2)若cost相同,比较本地BID (优)---先优先级再mac 3)若本地BID相同,比较本地PID(小优) 阻塞端口(非指定端口):当以上所有角色被确定完成后,没有任何角色的接口将会被阻塞 注:该端口只是逻辑关闭,接收不转发 端口状态: Down 阻塞,在生成树协议刚启动时默认所有端口的状态;一旦向外发送BPDU(等待接口BPDU)进入下一状态
Listening 监听(15s)收到BPDU,进行STP选举,选举完成后角色为根端口和指定端口进入下一状态,若角色为非指定将直接转为阻塞
Learning 学习 (15s)根端口和指定端口,开始记录源MAC地址,形成MAC地址表 Forwarding 转发 在以上30s结束后根端口和指定端口将进入该状态,开始转发用户数据 在这30s中所有接口不会转发用户数据
30s算法:在所有接口第一次选举时经过的时间
当结构发生变化时,若down的接口为本根端口将直接让阻塞端口进入listening 50s 算法:在没有直连检测的情况下,阻塞端口经过20s没有再接口到BPDU才进入listening 优化:802.1d 时间
portfast 端口加速
Switch(config-if)#spanning-tree portfast 该接口将直接进入转发状态
sw3(config)#spanning-tree portfast default 该命令对trunk无效,其他所有接口全部打开 sw1(config-if)#switchport host 接口模式变为access ,同时portfast
Uplinkfast 上行链路加速
接入层设备阻塞端口在直连检测后需要30s时间才变为转发状态 sw3(config)#spanning-tree uplinkfast 配置时,在接入层设备上配置
Backbonefast 骨干加速
配置在所有交换机上
当接收到次优BPDU时 需要20s时间等待 sw1(config)#spanning-tree backbonefast
节省监听次优BPDU时间20s,但无法节省30s侦听,学习时间 sw1#show spanning-tree summary totals 查看各种加速是否被开启 修改网桥优先级:
sw1(config)#spanning-tree priority (0---) 修改接口优先级:
sw1(config-if)#spanning-tree port-priority ?
<0-240> port priority in increments of 16 以16为倍数
PVST cisco私有 cisco产品默认开启
工作原理及各种属性同802.1d完全一致 基于一个vlan一颗生成树
基于不同vlan将向外发出不同的BPDU,在原有网桥优先级上叠加vlanid;由于BPDU的修改是以4096的倍速为单位故可以区分不同vlan的BPDU
通告将不同vlan的根网桥防止到不同的汇聚层设备上,可以实现不同vlan流量的负载分担 sw1(config)#spanning-tree vlan 1 root ?
primary Configure this switch as primary root for this spanning tree secondary Configure switch as secondary root
在汇聚层设备配置,可以设定本交换作为某个vlan的主根网桥及备份根网桥(配置搭配一顶要合理)
RSTP/802.1W 公有叫法 RPVST/PVST+ cisco私有叫法
基于原有的PVST开发;增加的能力为加速 收敛速度在1-2s完成
原理:选路原则不改变;不依赖计时器,依赖BPDU中flag来进行收敛 主动切换状态 状态:
丢弃---(阻塞、侦听)RSTP也是在这个状态完成选举 学习----形成MAC地址表 转发
角色:根端口 指定端口 替代端口、备份端口(非指定端口一份为二) 替代端口(AP):使用本地(sw)上的阻塞端口来代替发生故障的根端口 备份端口(BP):使用同一链路上的阻塞端口来备份发生故障的指定端口 RSTP使用BPDU中的flag字段来进行标记,起到快速收敛 RSTP使用分段收敛,在收敛第一段时间让其他接口阻塞(同步),发出协商(6)后收到提议(1) 不是所有的链路都可以进行RSTP 点到点链路类型 RSTP 共享性链路 STP 链路类型根据双工模式区分---全双工 ptop ---半双工--sharde
在半双工链路上确定对端只存在一个节点可以讲链路类型手动修改 sw1(config)#interface f0/1
sw1(config-if)#spanning-tree link-type point-to-point
在RSTP中所有的非根交换机均向外发送BPDU 用于邻居间的保活(2s 6s hold) 兼有骨干加速和上行链路加速作用 配置:
sw4(config)#spanning-tree mode rapid-pvst 所有交换机上修改模式 sw1(config)#spanning-tree vlan 1 root ?
primary Configure this switch as primary root for this spanning tree secondary Configure switch as secondary root
在汇聚层设备配置,可以设定本交换作为某个vlan的主根网桥及备份根网桥(配置搭配一顶要合理)
MSTP ----802.1s 多生成树
基于RSTP(802.1W)开发,实现多个vlan共享同一个STP实例 基于组进行生成树选举
sw4(config)#spanning-tree mode mst 所有交换机修改模式 在没有创建组时所有的vlan在一个组(MTS0) sw3#show spanning-tree mst 查看属于该组的vlan 创建组:在所有交换机上配置 spanning-tree mst configuration
instance 1 vlan 1-5 创建组1,vlan1-5属于该组 instance 2 vlan 6-10 创建组2 ,vlan6-10属于该组
sw2(config)#spanning-tree mst 1 root ? 定义主根桥和备份根桥位置 primary Configure this switch as primary root for this spanning tree secondary Configure switch as secondary root
STP安全
6、BPDU guard BPDU防护
交换机某一端口先连接PC,后转为switch;若该交换机优先级较小那么争抢为根网桥; 在该接口上配置BPDU防护后,该接口不应该收到BPDU,但却接收到后那么出现 Err-disable
sw2(config-if)#spanning-tree bpdufilter enable 接口上开启BPDU防护
默认此时接口状态为逻辑关闭,若想重新激活该接口需将接口先手工关闭再开启 可指定自动恢复--
sw2(config)#errdisable recovery cause bpduguard 配置自动激活的原因 300s将自动激活该接口
sw2(config)#errdisable recovery interval 30修改自动激活的时间
sw2(config)#spanning-tree portfast bpduguard default 开启所有接口的BPDU防护;注意使用此命令时trunk接口也会激活,故在trunk接口关闭 sw2(config-if)#spanning-tree bpduguard disable sw2#show errdisable recovery 7、BPDU过滤
只丢弃BPDU数据,不关闭接口 用户的其他数据正常转发 sw2(config-if)#spanning-tree bpdufilter enable 3、Root 防护
到接口收到新的优质的BPDU时,将阻塞该接口,之后再没有优质BPDU时才将接口改为转发 sw2(config)#int f0/1
sw2(config-if)#spanning-tree guard root 单项链路检测失败
在以太网中接口链路发生故障,STP计算出错导致环路; UDLD
LOOP guard
当一条链路单项通讯错误将直接关闭该接口 sw1(config)#udld enable 全局激活UDLD sw1(config-if)#udld port 接口配置UDLD sw1(config-if)#spanning-tree guard loop Udld 和loop guard的区别: Loop guard 可以基于vlan配置 UDLU 可以主动恢复
UDLU 建议所有接口配置
Loop guard 建议在根端口及交替端口配置 UDLU 解决硬件问题 Loop 解决软件问题
Ether channel 以太网通道
用于sw-sw
将交换机间相连的多个物理接口(8-16口)逻辑整合为一个接口;起到带宽叠加的作用 配置:
动态协议商 PAgP 端口聚合协议 cisco私用
手动强制 LACP 链路聚合配置协议 IEEE802.3ab sw1(config-if-range)#channel-group 1 mode ? active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected desirable Enable PAgP unconditionally on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected PAgP -------- auto desirable Auto 和auto不能形成
LACP-------- active passive assive 和assive 不能形成 On 手动
注:双方的协议必须一致 Ether channel配置指南:
所有端口必须支持etherchannel;同时注意必须连接相同的设备 必须具备相同的速率和双工模式;LACP必须使用全双工 通道内端口不得SPAN
若三层通道,ip地址必须配置到逻辑接口上;
若是二层通道,应该属于同一vlan或者trunk干道 vlan允许列表必须一致 通道内的端口必须支持可变开销
通道接口改变,会影响到物理接口;物理接口若没有全down,通道正常通信 通道的负载均衡 与负载分担
二层通道并不能支持负载均衡,只能基于不同的源或者目标MAC地址进行负载分担 sw1(config)#port-channel load-balance ? 默认基于源MAC dst-mac Dst Mac Addr src-mac Src Mac Addr
三层通道所有的物理接口需配置为3层接口,然后在channel接口上配置ip地址,数据传输已负载均衡传输; 多层交换 MLS
二层交换通讯原理 -----查看进项的VACL(基于vlan的ACL)----源MAC地址(记录)---目标MAC---查表(MAC表)----查看出现的VACL---QOS---转发 VACL vlan访问控制列表(一般3层交换机支持) 可以识别IP地址和MAC地址 抓取流量,产生动作:
Action -----dorp 终止 forward ----发送 配置:
基于ip地址 5、抓流量
sw1(config)#access-list 1 permit 192.168.1.1 6、配置vlan--map
vlan access-map sb 10 创建v-map名 sb序号10 action forward 在未配置任何动作时自动转发 match ip address 1 匹配流量 存在或关系 7、调用
sw1(config)#vlan filter sb vlan-list 10 基于vlan10的流量使用sb列表 注:不影响其他vlan的流量 基于MAC地址 6、抓流量
mac access-list extended macpc1 permit host 0005.32cc.5ce0 any 源 目标 7、配置vlan-map
sw1(config)#vlan access-map macpc1 10
sw1(config-access-map)#match mac address macpc1 sw1(config-access-map)#action drop 8、调用
sw1(config)#vlan filter macpc1 vlan-list 10
注:若PC已经存在目标的ARP表vacl不起效 高端二层交换使用CAM转发
将vlanid和mac地址通过md5得到hash值(key);
Cam ----key---interface
3层交换机(vlan间路由) 三、真实物理接口
sw1(config)#ip routing 开启路由功能 sw1(config)#int f0/2
sw1(config-if)#no switchport 变更为3层接口,交换机默认接口为二层 sw1(config-if)#ip address 2.2.2.2 255.255.255.0 四、SVI虚接口 双up的条件
1、该交换中存在该vlan 2、该vlan下存在用户或该交换机上存在可用trunk干道 sw1(config)#interface vlan 3
sw1(config-if)#ip address 2.2.2.2 255.255.255.0 三层交换机查表:
网流式MLS TACAM 一次路由多次交换 CEF MLS cisco私有 无需路由,直接交换;
FIB表---将路由表下载下来(可被芯片直接调用) 解决了递归问题 扩展应用(MPLS) Adiacent 邻居表 ARP表 配置:
sw1(config)#ip routing
sw1(config)#ip cef 开启CEF 大部分三层交换机均支持该功能 sw1#show ip cef detail 网关冗余
早期利用 代理ARP和ICMP重定向可以实现网关冗余
上行链路故障时利用ICMP重定向快速切换,下行链路故障时被动等待ARP刷新(默认4h) pc(config)#int f0/0
pc(config-if)#arp timeout 180 修改ARP刷新时间 pc(config-if)#no ip proxy-arp 关闭代理ARP
HSRP 热备份冗余协议 (cisco私有)
特点:切换速度快;可以实现网关地址ip不变;网关切换对于主机是透明的;
原理:由两台路由器或多层交换虚拟出一个IP和MAC地址;并且选定一个forwarding路由和一个standby路由器
Forwarding standby 优先级较高(默认100) 接口真实ip地址较大
进行ARP应答,进行数据转发
r1(config-if)#standby 1 ip 10.1.1.254 组号 虚ip地址 虚拟MAC自动生成 0000.0c07.ac01 厂商 HSRP 组号
学习虚ip的设备是standby路由器
注:当转发路由器下行链路down时,自动切换;
当转发路由器上行链路down时,不切换,并且HSRP开启后会关闭ICMP重定向;故数据传输未走最短路径