組件	描述
RAM（隨機(jī)存取存儲(chǔ)器）	讀寫速度快，斷電后數(shù)據(jù)易失
ROM（只讀存儲(chǔ)器）	用于啟動(dòng)和維護(hù)思科IOS，其中存儲(chǔ)了POST、引導(dǎo)程序和微型IOS
Flash閃存	基于NVRAM（非易失RAM），重啟時(shí)數(shù)據(jù)不會(huì)消失，用于取代硬盤

1.2 交換機(jī)的轉(zhuǎn)發(fā)方式

1.2.1 分布式工作原理

接口僅負(fù)責(zé)收發(fā)電流信息

1.2.2 集中式工作原理

接口存在獨(dú)立的緩存空間和運(yùn)行芯片，將對(duì)流量進(jìn)行查表和轉(zhuǎn)發(fā)

1.3 交換機(jī)的基本功能

1.基于mac地址學(xué)習(xí)

2.基于目標(biāo)mac地址轉(zhuǎn)發(fā)

3.防止環(huán)路

4.基于目標(biāo)mac地址過濾

ARP：正向、反向、逆向、無故、代理

交換機(jī)具有學(xué)習(xí)MAC地址的功能，一個(gè)接口可以學(xué)習(xí)多個(gè)MAC地址，一個(gè)MAC地址只能通過交換機(jī)的某一個(gè)接口學(xué)習(xí)

定義宏指令：

進(jìn)入宏接口：

1.4 交換機(jī)的具體轉(zhuǎn)發(fā)過程

數(shù)據(jù)正進(jìn)入交換機(jī)后，先將該流量識(shí)別為二層流量；查看數(shù)據(jù)幀中的源MAC地址，將其記錄到MAC地址表中；再查看目標(biāo)MAC地址，基于目標(biāo)MAC再本地查詢MAC地址表，若表中存在該MAC的映射關(guān)系，將流量按該映射接口轉(zhuǎn)發(fā)即可；若表中沒有映射關(guān)系，將洪泛該流量

1.5 CAM表

MAC地址表是管理員看的，交換機(jī)真正識(shí)別的是CAM表；CAM表是將MAC地址表中的信息（MAC地址、接口編號(hào)、VLAN ID號(hào)）全部轉(zhuǎn)化為哈希值（不等長(zhǎng)的輸入，等長(zhǎng)的輸出）

1.6 數(shù)據(jù)交換方式（如何路由，針對(duì)三層設(shè)備）

1.6.1 原始的交換方式

流量進(jìn)入三層設(shè)備后，將在三層設(shè)備查詢路由表和ARP表，若為三層交換機(jī)還需要再二層設(shè)備查詢CAM表

1.6.2 傳統(tǒng)的交換方式快速交換

一次路由，然后交換（或一次路由，多次交換或一次路由，多次轉(zhuǎn)發(fā)）

當(dāng)一個(gè)數(shù)據(jù)包來到三層設(shè)備上時(shí)，設(shè)備將為該數(shù)據(jù)包進(jìn)行原始交換。過程結(jié)束后，設(shè)備假設(shè)該包為一段數(shù)據(jù)流的第一個(gè)包，為其生成cache；然后記錄出接口，新的MAC封裝；之后數(shù)據(jù)流的第二個(gè)包開始僅基于cache轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)流轉(zhuǎn)發(fā)完成后，cache表超市被刷新；在三層交換設(shè)備上二層依然需要基于CAM表

1.6.3 特快交換（cef）

無需路由，直接轉(zhuǎn)發(fā)

路由表變?yōu)镕IB（轉(zhuǎn)發(fā)信息數(shù)據(jù)庫），已經(jīng)完成了遞歸；并且可以被芯片直接使用

ADJ表將FIB表中的出接口信息，與ARP表進(jìn)行結(jié)合，生成轉(zhuǎn)發(fā)列表

當(dāng)流量進(jìn)入三層設(shè)備后，設(shè)備將基于目標(biāo)IP地址，直接在ADJ表中查找對(duì)應(yīng)的記錄；表內(nèi)存在流量的出接口和新的二層封裝參數(shù)；若為三層交換設(shè)備，在二層還需要查看CAM表

FIB表和CAM表的查看：

R2#show ip cef #查看FIB表

R2#show adjacency detail #查看ADJ表的詳細(xì)信息

注：若設(shè)備支持CEF,默認(rèn)開啟

開啟的命令

R2(config)#ip cef

1.7 交換機(jī)破解登錄密碼

按住mode鍵供電，進(jìn)入最小IOS

Switch:flash_init      #初始化flash

Switch:rename flash:config.text flash:xxx.text     #修改配置文件名

Switch:reset                                      #重啟

Switch:rename flash:xxx.texxt flash:config.text        #還原文件名

Switch:copy flash:config.text system:running-config     #將配置加載到運(yùn)行文檔中

注：之后不能推出，通過刪除或新增用戶名密碼來完成破解

路由器破解登錄密碼

路由器存在配置寄存器值，用于控制路由器的啟動(dòng)方式。在命令show version的輸出中，最后一行為配置寄存器的值，默認(rèn)為0x2102，讓路由器從犯閃存加載IOS并從NVRAM中加載配置；若為0x2142，則不加載配置

加電時(shí)，按ctrl+C進(jìn)入最小IOS

rommon 1 > confreg 0x2142 #修改寄存器值

rommon 2 > reboot 重啟

對(duì)于26以下的系列：

> O/R 0x2142

> boot

Router#copy startup-config running-config 還原配置

刪除用戶名、密碼；然后保存，在修改回寄存器值

R1(config)config-register 0x2102

二、VLAN以及VLAN間路由選擇

2.1 作用

二層交換機(jī)和三層設(shè)備協(xié)同工作，將一個(gè)廣播域邏輯的劃分為多個(gè)

2.2 配置VLAN

2.2.1 交換機(jī)上創(chuàng)建VLAN

1.分類

1）基于編號(hào)分類0-4095，其中1-4094可用

分類（基于編號(hào)）	范圍	使用條件
標(biāo)準(zhǔn)的VLAN	1-1005	任何條件下均可以
擴(kuò)展的VLAN	1006-4094	在VTP模式為透明時(shí)才能使用

默認(rèn)交換機(jī)存在vlan1；且所有接口屬于vlan1；vlan1同時(shí)作為默認(rèn)的管理vlan和native vlan；默認(rèn)交換機(jī)存在vlan1002-1005，預(yù)留該非以太網(wǎng)技術(shù)使用

2）基于工作特點(diǎn)分類

分類（基于工作特點(diǎn)）	描述
靜態(tài)vlan	交換機(jī)上的某個(gè)接口固定劃分到某個(gè)vlan中
動(dòng)態(tài)vlan	交換機(jī)+服務(wù)器，針對(duì)不同用戶的流量轉(zhuǎn)發(fā)到不同的vlan中

3）基于結(jié)構(gòu)分類

分類（基于結(jié)構(gòu)）	描述
End to end vlan	處于同一個(gè)交換網(wǎng)絡(luò)內(nèi)的相同vlanID，通訊時(shí)僅基于二層（同一個(gè)廣播域）
Local vlan	處于不同交換網(wǎng)絡(luò)內(nèi)的相同vlanID，通訊時(shí)需要基于三層進(jìn)行（不同廣播域）

2.創(chuàng)建vlan

1）在全局模式下創(chuàng)建vlan

Switch(config)#vlan 2    #創(chuàng)建

Switch(config-vlan)#name ccna   #命名

Switch(config-vlan)#exit

Switch(config)#no vlan 2

        #刪除

Switch(config)#vlan 2-10,30-40      #批量創(chuàng)建或刪除

2）進(jìn)入vlan database創(chuàng)建vlan

Switch#vlan database

Switch(vlan)#vlan 3 name ccnp

注：若刪除某個(gè)vlan，該vlan內(nèi)的接口仍然處于該vlan，但不能工作了；必須轉(zhuǎn)移接口到其他vlan，或者恢復(fù)創(chuàng)建該vlan

2.2.2 將交換機(jī)上的各個(gè)端口劃分到相應(yīng)的VLAN中

Switch(config)#int f0/1

Switch(config-if)#switchport mode access      #先定義模式為接入

Switch(config-if)#switchport access vlan 2       #再劃分到對(duì)應(yīng)的vlan

Switch(config-if)#int range f0/1-2,f0/4-5        #批量劃分

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 2

2.2.3 配置中繼接口（SW與SW間和SW與Router間）

1.trunk干道

不屬于任何一個(gè)vlan，承載所有vlan的流量，可以標(biāo)記和識(shí)別不同vlan的信息

2.封裝規(guī)則

ISL	IEEE802.1Q（dot1q）
Cisco私有	公有
封裝	標(biāo)記
30bytes	4bytes
15bytes用于vlan ID，但 5bytes保留	12bytes標(biāo)記vlan ID
1024個(gè)vlan	4096個(gè)vlan
支持所有數(shù)據(jù)鏈路層協(xié)議	僅支持以太網(wǎng)
/	Native VLAN

注：Cisco的二層交換機(jī)僅支持802.1Q的技術(shù)，只有cisco的三層以上交換機(jī)才支持ISL

3. trunk建立

1）手動(dòng)建立

二層交換機(jī)僅支持802.1q，故可以直接配置trunk干道

Switch(config)#int f0/24

Switch(config-if)#switchport mode trunk

由于多層交換機(jī)支持多種封裝方式，故在設(shè)置trunk干道前需要先修改封裝類型

Switch(config)#int f0/7

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

2）DTP（自動(dòng)形成trunk）

DTP（Cisco私有）動(dòng)態(tài)trunk協(xié)議，交換機(jī)之間自動(dòng)協(xié)商成為trunk干道，該協(xié)議在cisco產(chǎn)品中默認(rèn)開啟

SW1(config)#int e0/1

SW1(config-if)#switchport mode dynamic desirable

是否形成trunk	auto	desirable	access
auto	不能形成trunk干道	形成	不能形成trunk干道
desirable	形成	形成	不能形成trunk干道
access	不能形成trunk干道	不能形成trunk干道	不能形成trunk干道

注：手動(dòng)=主動(dòng)

查看trunk是否建立：

SW1#show interfaces trunk

4. Native VLAN

在802.1q中存在native vlan，默認(rèn)為vlan1，獨(dú)一無二，在trunk干道上默認(rèn)對(duì)native vlan的流量不標(biāo)記

配置：

SW1(config)#int e0/3

SW1(config-if)#switchport trunk native vlan 2

默認(rèn)native vlan對(duì)流量不進(jìn)行標(biāo)記，但也可以對(duì)其進(jìn)行標(biāo)記

SW1#show vlan dot1q tag native

dot1q native vlan tagging is disabled

SW1(config)#vlan dot1q tag native #修改為標(biāo)記

5. 附屬vlan

配置：

Switch(config)#vlan 2

Switch(config-vlan)#vlan 3

Switch(config-vlan)#ex

Switch(config)#int f0/7

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 3

Switch(config-if)#switchport voice vlan 2

6. 配置trunk干道允許列表

默認(rèn)trunk干道允許所有vlan通過

Switch(config)#int f0/3

Switch(config-if)#switchport trunk allowed vlan 1-10,20-30 #僅允許這些vlan通過

Switch(config-if)#switchport trunk allowed vlan remove 2 #從允許列表中排除某個(gè)vlan

2.2.4 配置VLAN間路由選擇（子接口（單臂路由）、SVI、物理接口）

1.單臂路由（子接口）

單臂路由是為實(shí)現(xiàn) VLAN 間通信的三層網(wǎng)絡(luò)設(shè)備路由器，作用是允許一臺(tái)路由器允許多個(gè)vlan互相通信。

優(yōu)點(diǎn)：實(shí)現(xiàn)不同vlan之間的通信，有助理解、學(xué)習(xí)VLAN原理和子接口概念。

缺點(diǎn)：容易成為網(wǎng)絡(luò)單點(diǎn)故障，轉(zhuǎn)發(fā)受中繼鏈路帶寬配置稍有復(fù)雜，現(xiàn)實(shí)意義不大。

配置：

IOU1(config)#vlan 2-3              #先創(chuàng)建vlan

IOU1(config-vlan)#int e0/1          #接口劃入相應(yīng)vlan

IOU1(config-if)#sw mo a

IOU1(config-if)#sw a v 2

IOU1(config-if)#int e0/2

IOU1(config-if)#sw mo a

IOU1(config-if)#sw a v 3

IOU1(config-if)#int e0/0

IOU1(config-if)#sw tr en do

IOU1(config-if)#sw mo tr            #注意，與路由器相連的接口須手動(dòng)改為trunk

R1的接口F0/0上創(chuàng)建兩個(gè)子接口，分別是F0/0.2對(duì)應(yīng)的vlan2、F0/0.3對(duì)應(yīng)的vlan 3

每個(gè)子接口必須封裝dot1Q協(xié)議，并且標(biāo)記相應(yīng)的vlan id號(hào)，dot1Q協(xié)議主要是標(biāo)記vlan的id號(hào).每個(gè)子接口必須配置ip地址，而且該接口的ip地址必須和相應(yīng)的vlan的在同一個(gè)網(wǎng)段

R1(config)#int f0/0

R1(config-if)#no sh #激活該物理接口

R1(config-if)#int f0/0.2

R1(config-subif)#encapsulation dot1Q 2 # 將vlan2封裝在F0/0.1接口

R1(config-subif)#ip add 192.168.1.254 255.255.255.0

R1(config-subif)#no sh

R1(config-subif)#int f0/0.3

R1(config-subif)#encapsulation dot1Q 3 ## 將vlan3封裝在F0/0.2接口

R1(config-subif)#ip add 192.168.2.254 255.255.255.0

2.SVI

交換機(jī)虛擬接口是一種三層接口，它是為在多層交換機(jī)上實(shí)現(xiàn)vlan間路由而配置的接口。SVI是一種與vlan ID相關(guān)聯(lián)的虛擬VLAN接口，其目的在于啟用該vlan的路由選擇能力

通過三層交換機(jī)實(shí)現(xiàn)vlan間的通信：為三層交換機(jī)創(chuàng)建vlan,設(shè)置交換機(jī)的兩個(gè)SVI，并配置IP地址。（在二層交換機(jī)上只能配置一個(gè)SVI端口，用來實(shí)現(xiàn)交換機(jī)交換機(jī)遠(yuǎn)程管理，在三層交換機(jī)上可以配置多個(gè)SVI端口）

IOU1(config)#vlan 2-3           #創(chuàng)建vlan

IOU1(config-vlan)#int e0/1

IOU1(config-if)#sw mo a

IOU1(config-if)#sw a v 2        #接口劃入相應(yīng)的vlan

IOU1(config-if)#int e0/2

IOU1(config-if)#sw mo a

IOU1(config-if)#sw a v 3

IOU1(config-if)#int vlan 2      #創(chuàng)建虛擬接口vlan2

IOU1(config-if)#ip add 192.168.1.254 255.255.255.0#配置虛擬接口vlan2的IP地址

IOU1(config-if)#no sh           #激活該端口

IOU1(config-if)#int vlan 3

IOU1(config-if)#ip add 192.168.2.254 255.255.255.0

IOU1(config-if)#no sh

3.物理接口（三層交換機(jī)）

采用集成了路由功能的交換機(jī)（三層交換機(jī)）完成vlan間路由，既有速度高、無沖突影響等優(yōu)點(diǎn)

配置：

IOU1(config)#int e0/1

IOU1(config-if)#no switchport       #轉(zhuǎn)變?yōu)槿龑咏涌?/p>
IOU1(config-if)#ip add 192.168.1.254 255.255.255.0

IOU1(config-if)#no sh

IOU1(config-if)#int e0/2

IOU1(config-if)#no switchport       #轉(zhuǎn)變?yōu)槿龑咏涌?/p>
IOU1(config-if)#ip add 192.168.2.254 255.255.255.0

IOU1(config-if)#no sh

IOU1(config-if)#ex

IOU1(config)#ip routing             #開啟路由功能

2.2.5 配置vlan時(shí)的注意點(diǎn)

1.子網(wǎng)劃分，是用于標(biāo)記管理員用設(shè)備切分好的廣播域；若能收到對(duì)方設(shè)備的廣播包，那么即使兩臺(tái)設(shè)備在不同IP網(wǎng)段，實(shí)際也為一個(gè)廣播域

2.access接口默認(rèn)不會(huì)對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記

3.若交換機(jī)的access接口，接收到一個(gè)數(shù)據(jù)包存在標(biāo)簽；若該標(biāo)簽號(hào)與本接口vlan編號(hào)一致，將取消該標(biāo)簽但轉(zhuǎn)發(fā)該數(shù)據(jù)；若標(biāo)簽號(hào)不一致，將直接丟棄該流量

4.若一條trunk干道的兩端若native vlan不同，那么會(huì)導(dǎo)致流量進(jìn)入到錯(cuò)誤的vlan中

2.3 三層交換機(jī)

三層交換機(jī)也就是路由器+交換機(jī)功能的集合，標(biāo)準(zhǔn)的三層交換機(jī)不支持NAT功能，NAT由核心層來完成。三層交換機(jī)集合了兩種設(shè)備的功能后，將出現(xiàn)新的功能，該功能最適合匯聚流量

1.管理vlan

默認(rèn)vlan1為管理vlan和native vlan；

二層交換機(jī)作為接入層，處于不同的地理位置，為了便于管理，建議可遠(yuǎn)程登錄配置；

但正常的二層設(shè)備不能配置IP地址，故二層交換機(jī)上默認(rèn)存在一個(gè)SVI（交換虛擬接口），該接口可以配置IP地址，出場(chǎng)就存在MAC地址，該MAC地址還用于STP的選舉

又因?yàn)榻粨Q機(jī)上存在vlan技術(shù)，該SVI接口處于那個(gè)vlan，該vlan就被稱為管理vlan；

將SVI轉(zhuǎn)移到其它的vlan中

注：二層交換機(jī)僅存在一個(gè)SVI口，故在開啟新的SVI接口時(shí)，原來的SVI口被自動(dòng)關(guān)閉

所希望其他網(wǎng)段的設(shè)備可以訪問給二層交換機(jī)的SVI口，那么該交換機(jī)上需要定義本廣播域的網(wǎng)關(guān)地址。

SVI接口雙UP的條件

1.該交換機(jī)存在該vlan

2.該交換機(jī)連接該vlan的用戶，或存在活動(dòng)的trunk干道

2.如何讓三層交換機(jī)成為網(wǎng)關(guān)設(shè)備

1.物理接口

默認(rèn)三層交換機(jī)工作在二層，所有接口為二層接口且屬于vlan1，可以將二層接口轉(zhuǎn)換為三層接口

交換機(jī)默認(rèn)并沒有開啟路由功能，需要手動(dòng)開啟

2.三層交換機(jī)可以使用SVI接口開作為網(wǎng)關(guān)接口；三層交換機(jī)存在多個(gè)SVI，多個(gè)MAC地址

三、VTP（VLAN Trunk協(xié)議）

3.1 作用

統(tǒng)一分發(fā)管理vlan信息。在同一個(gè)交換網(wǎng)絡(luò)內(nèi)（不一定直連），在一臺(tái)交換機(jī)上修改、創(chuàng)建、刪除vlan信息后，其他交換機(jī)可以自動(dòng)同步、學(xué)習(xí)；前提是交換機(jī)間必須為trunk干道，因?yàn)橥叫畔榻粨Q機(jī)上的vlan.dat文檔（周期（5min一次）+觸發(fā)（修改就會(huì)觸發(fā)））；該信息只能基于trunk干道的native vlan傳輸

3.2 配置

3.2.1domain（域）

所有交換機(jī)必須在同一個(gè)域內(nèi)

SW1(config)#vtp domain ccna

當(dāng)一臺(tái)交換機(jī)沒有加入域時(shí)，那么會(huì)自動(dòng)加入廣播過來的第一域名

3.2.2 mode（模式）

SW1(config)#vtp mode ?

client       Set the device to client mode.           #客戶端

off          Set the device to off mode.             #

server       Set the device to server mode.           #服務(wù)端

transparent Set the device to transparent mode.      #透明

注：

模式	是否可以被同步	是否同步別人	是否能創(chuàng)建、修改、刪除vlan信息
Client	可以被同步	可以同步別人	不能
Server	可以被同步	可以同步別人	能
Transparent	不能	不能	能

3.2.3 password（加密）

SW1(config)#vtp password 12345 #同一域內(nèi)所有設(shè)別密碼必須一致

3.2.4 版本（版本必須一致）

3.3 同步規(guī)則

Client和server模式才會(huì)同步域被同步；誰同步誰由配置版本號(hào)決定

1.每修改、刪除、創(chuàng)建一次vlan，配置版本號(hào)加1

2.誰的配置版本號(hào)高，就可以同步其他人

3.修改域名或?qū)⒃撃Ｊ礁臑橥该鲗?dǎo)致配置版本號(hào)歸0

Switch#show vtp status

VTP Version : 2

Configuration Revision : 2

Maximum VLANs supported locally : 255

3.4 VTP的同步條件

1.版本相同

2.domain相同

3.password相同

4.配置版本號(hào)高的同步低的

5.非透明模式

6.必須為trunk干道

3.5 VTP修剪

修剪不必要的擴(kuò)散流量，減少資源的占用；僅僅在server模式下可以生效

SW1(config)#vtp pruning #全局開啟，宏觀修剪

SW1(config)#int e0/2

SW1(config-if)#switchport trunk pruning vlan 2 #在該trunk干道上，專門針對(duì)某個(gè)vlan的流量進(jìn)行修剪

四、STP（生成樹協(xié)議）

4.1 線路冗余

一旦在交換機(jī)上使用鏈路冗余，那么將出現(xiàn)二層的橋接環(huán)路；因?yàn)镃AM是流量觸發(fā)交換機(jī)生成的，該表默認(rèn)并沒有被管理

4.1.1造成的影響

廣播風(fēng)暴
CAM表記錄翻滾（MAC地址表不穩(wěn)定）
數(shù)據(jù)幀的重復(fù)拷貝

4.1.2 解決方案

邏輯性阻塞某個(gè)接口

4.2 STP（Spanning Tree生成樹）

樹根設(shè)備到每臺(tái)交換機(jī)僅存在一條鏈路（默認(rèn)選擇最佳）；邏輯的阻塞部分鏈路；當(dāng)最佳路徑故障時(shí)，阻塞端口被打開，來恢復(fù)通訊

4.2.1 生成樹類型

公有生成樹：STP（802.1D生成樹）、RSTP（802.1W生成樹）、MST（802.1S多生成樹）

私有生成樹：PVST（基于VLAN的標(biāo)準(zhǔn)生成樹）、PVRST+（基于VLAN的快速生成樹）

4.2.2 802.1D

1.BDPU

交換機(jī)間溝通時(shí)使用的數(shù)據(jù)幀：BPDU（橋協(xié)議數(shù)據(jù)單元）

跨層封裝到二層--BPDU數(shù)據(jù)幀默認(rèn)不屬于任何一個(gè)vlan，故在存在與vlan的設(shè)備上，該數(shù)據(jù)幀基于native vlan發(fā)送

2.BPDU分類

1）配置BPDU

拓?fù)涫諗客瓿珊?，僅根網(wǎng)橋周期（2s）發(fā)送（目的?；睿辉跊]有根網(wǎng)橋的時(shí)候，所有設(shè)備僅發(fā)送BPDU；

2）拓?fù)渥兏麭PDU（TCN-BPDU）

拓?fù)渥兏?，包中不包含任何具體信息，也不會(huì)導(dǎo)致網(wǎng)絡(luò)重新收斂

當(dāng)一臺(tái)交換機(jī)的阻塞端口鏈路被斷開，那么將標(biāo)記位中第7位置1，標(biāo)記拓?fù)湟呀?jīng)改變，該BPDU將發(fā)送到根網(wǎng)橋處，根網(wǎng)橋使用標(biāo)記位為第6位，來表示確認(rèn)；若沒有收到ACK，那么2s周期發(fā)送TCN；根網(wǎng)橋在確認(rèn)后，將使用BDPU告訴所有的非根網(wǎng)橋，刷新CAM表，默認(rèn)CAM的保存周期為300s

3）次優(yōu)BPDU

非根網(wǎng)橋上的根端口斷開--或接受不到根網(wǎng)橋的BPDU了，同時(shí)本地?cái)嚅_的已不是阻塞端口；那么本地將自己定義為根網(wǎng)橋，發(fā)出BPDU，由于該BPDU次于根網(wǎng)橋的，故稱為次優(yōu)BPDU

總結(jié)：根網(wǎng)橋發(fā)送配置BPDU，包含拓?fù)湫畔?nbsp;

非根網(wǎng)橋的阻塞端口被斷開，當(dāng)依然可以與根網(wǎng)橋溝通，那么發(fā)送TCN，不包含拓?fù)湫畔ⅲ粫?huì)使網(wǎng)絡(luò)重新收斂

非根網(wǎng)橋上斷開了根端口后，若不能在與根網(wǎng)橋溝通，將本地定義為根網(wǎng)橋發(fā)送次優(yōu)BPDU，包含本地的拓?fù)湫畔?；也是配置BDPU，但不是根網(wǎng)橋的

3．BDPU主要字段

Bytes	Filed
2	Protocol ID
1	Version
1	Message Type
1	Flags
8	Root ID
4	Cost of path
8	Bridge ID
2	Port ID
2	Message age
2	Max age
2	Hellotime
2	Forward delay

4.生成樹選舉

選舉過程：根網(wǎng)橋---根端口（RP）---指定端口（DP）---非指定端口（NDP）

開始整個(gè)交換網(wǎng)絡(luò)沒有根網(wǎng)橋，所有設(shè)備均認(rèn)為本地為根網(wǎng)橋，發(fā)送本地BPDU；

當(dāng)收集到整個(gè)交換網(wǎng)絡(luò)的BPDU后，根網(wǎng)橋被選出；之后由根網(wǎng)橋基于所有的BPDU，生成拓?fù)?，使用配置BPDU來告知其他的交換機(jī)；

1）．根網(wǎng)橋

整個(gè)交換網(wǎng)路的中心；通過BPDU來控制整個(gè)網(wǎng)絡(luò)收斂

選舉條件：協(xié)議ID（PID）=網(wǎng)橋優(yōu)先級(jí)（BID）+MAC地址

網(wǎng)橋優(yōu)先級(jí)：0-65535（默認(rèn)32768）

正常的透明交換機(jī)不擁有mac地址，不能實(shí)現(xiàn)stp技術(shù)；非透明交換存在--SVI接口，出廠將被燒錄mac地址；若有多個(gè)，將選擇數(shù)字最小的來參選

選舉規(guī)則：先比較優(yōu)先級(jí)，數(shù)值越小越優(yōu)先；若優(yōu)先級(jí)一致，比較MAC地址，數(shù)值越小越優(yōu)先

2）．根端口

只能存在于非根網(wǎng)橋上，并且一個(gè)交換機(jī)只有一個(gè)；離根網(wǎng)橋最近的接口；作用是接收來自根網(wǎng)橋的BPDU，正常轉(zhuǎn)發(fā)用戶的數(shù)據(jù)流--非阻塞

不同帶寬時(shí)的cost值：

Bandwidth	Cost
10M	100
100M	19
1000M	1
10000M	2
>10000M	1

選舉規(guī)則：

（1）比較從該接口進(jìn)入時(shí)的cost值，越小越優(yōu)先（Cost值實(shí)在進(jìn)入交換機(jī)時(shí)，才疊加該段鏈路的開銷）

（2）若接口cost值相同，比較接口上級(jí)設(shè)備的BID，BID最小設(shè)備對(duì)應(yīng)的接口為根端口，因?yàn)榻o設(shè)備為備份根網(wǎng)橋

（3）若接口cost值相同，上級(jí)設(shè)備的BID也相同，再比較上級(jí)設(shè)備的PID（端口ID）=優(yōu)先級(jí)+接口編號(hào)

優(yōu)先級(jí)：0-255（默認(rèn)為128）；先比較優(yōu)先級(jí)，越小越優(yōu)先；再比較接口編號(hào)，越小越優(yōu)先

（4）若以上參數(shù)全部一致，比較本地的PID，越小越優(yōu)先

3)指定端口（DP）

每條鏈路上有且僅有一個(gè)；轉(zhuǎn)發(fā)來自根網(wǎng)橋的BPDU；根網(wǎng)橋上全部為指定端口，根端口的對(duì)端一定是指定端口

選舉規(guī)則：

必須從根網(wǎng)橋發(fā)出的BPDU，通過該端口向外（出項(xiàng)）轉(zhuǎn)發(fā)時(shí)消耗的cost值，越小越優(yōu)先
若出向cost值相同，比較本地的BID，越小越優(yōu)先
本地BID相同，比較本地的PID，越小越優(yōu)先

（4）本地PID相同，直接阻塞該端口

4).非指定端口（NDP）

又稱為阻塞端口，以上所有角色選舉完成后，剩余的全部接口為非指定；其狀態(tài)為阻塞

注：阻塞端口并不是關(guān)閉接口，依然可以接收到數(shù)據(jù)幀，但不轉(zhuǎn)發(fā)數(shù)據(jù)幀；可以正常識(shí)別BPDU

注：生成樹協(xié)議，cisco產(chǎn)品默認(rèn)運(yùn)行，個(gè)別廠商需要手工開啟-例：H3C

5.802.1D的端口狀態(tài)

端口狀態(tài)	端口能力
Disabled	不收發(fā)任何報(bào)文
Blocking	不接收或者轉(zhuǎn)發(fā)數(shù)據(jù)，接收但不發(fā)送BPDU，不進(jìn)行地址學(xué)習(xí)
Listening（15s）	不接收或者轉(zhuǎn)發(fā)數(shù)據(jù)，接收并發(fā)送BPDU，不進(jìn)行地址學(xué)習(xí)
Learning（15s）	不接收或者轉(zhuǎn)發(fā)數(shù)據(jù)，接收并發(fā)送BPDU，開始進(jìn)行地址學(xué)習(xí)
Forwarding	接收或者轉(zhuǎn)發(fā)數(shù)據(jù)，接收并發(fā)送BPDU，進(jìn)行地址學(xué)習(xí)

結(jié)論：802.1D必須在指示燈為綠色時(shí)，才開始轉(zhuǎn)發(fā)用戶流量

6.802.1D算法的收斂時(shí)間

1.初次收斂為30s

2.結(jié)構(gòu)變化

（1）存在直連檢測(cè)，本地的根端口斷開后，之后僅一條阻塞端口連接于其他交換機(jī)；本地不能發(fā)出TCN或也發(fā)不出次優(yōu)BPDU；那么只能本地的阻塞端口，總的收斂時(shí)間30s

（2）沒有直連檢測(cè)，本地根端口斷開后，可以向其他交換機(jī)的阻塞端口發(fā)送次優(yōu)BPDU；對(duì)端交換機(jī)在收到次優(yōu)BPDU后，將忽略該數(shù)據(jù)幀，而是進(jìn)行20shold time；之后再收斂該接，總的收斂時(shí)間：20s hold time+30s收斂=50s

7.STP控制

一旦運(yùn)行將自動(dòng)選擇出所有的角色，當(dāng)默認(rèn)可能不是最佳結(jié)構(gòu)，需要管理員手工干預(yù)，尤其根網(wǎng)橋一定放置在匯聚層或核心層的交換機(jī)上，產(chǎn)生上層blocking端口的數(shù)量

方法一：修改設(shè)備的網(wǎng)橋優(yōu)先級(jí)（4096的倍數(shù)）

方法二：設(shè)置主根和備份根

方法三：控制根端口位置，修改鏈路Cost值

方法四：修改發(fā)送方的PID優(yōu)先級(jí)

9.802.1D生成樹的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：樹少、簡(jiǎn)單

缺點(diǎn)：1.收斂速度慢

2.鏈路利用率低---備份鏈路正常始終不工作

4.2.3 PVST（基于VLAN的生成樹）

每個(gè)vlan一棵樹；因?yàn)閏isco存在獨(dú)立的vlan運(yùn)行芯片，故可以支持很多的樹；

每棵獨(dú)立的樹，依然使用802.1d算法收斂

不同vlan的網(wǎng)橋優(yōu)先級(jí)不同，優(yōu)先級(jí)=32768+vlan id；人為可修改32768的部分，且只能以4096的倍數(shù)來進(jìn)行修改；

切記:一臺(tái)設(shè)備若希望加入某棵vlan的樹，條件是該交換機(jī)存在該vlan；該交換機(jī)存在該vlan的活動(dòng)接口或者存在trunk干道；

1.PVST優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：簡(jiǎn)單、支持負(fù)載分擔(dān)

缺點(diǎn)：私有、樹多較難管理、收斂慢、trunk干道僅支持ISL封裝

4.2.4 PVST+

在PVST的基礎(chǔ)上進(jìn)行了部分的升級(jí)優(yōu)化；兼容802.1q trunk干道封裝,可以做部分的加速優(yōu)化

1.PVST+優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：1.一個(gè)VLAN一棵樹，提高連理的利用率

2.部分加速

3.兼容802.1Q

缺點(diǎn)：1.樹多，不好管理

2.加速不夠徹底

4.2.5 RSTP

RSTP：也叫RPVST（快速的PVST協(xié)議），思科私有

802.1w（802.1D的快速版），公有

1.RSTP和802.1w的異同

相同點(diǎn)：兩種協(xié)議均為快速收斂1-2s完成收斂，提速的原理一致

區(qū)別：RSTP有基于vlan的運(yùn)算芯片，故RSTP依然一個(gè)vlan一棵樹；802.1w整個(gè)交換網(wǎng)絡(luò)一棵樹

2.RSTP的端口狀態(tài)

Discarding：丟棄狀態(tài)
Learining：學(xué)習(xí)狀態(tài)

3）Forwarding：轉(zhuǎn)發(fā)狀態(tài)

3.RSTP的端口角色

1、根端口（RP）：同802.1D

2、指定端口（DP）：同802.1D

3、替代端口（AP）：如果一個(gè)端口收到另外一個(gè)網(wǎng)橋的 BPDU，但不是最好的，那么這個(gè)端口成為替換端口

4、備份端口（BP）：在如果一個(gè)端口收到同一個(gè)網(wǎng)橋的更好 BPDU，那么這個(gè)端口成為備份端。當(dāng)兩個(gè)端口被一個(gè)點(diǎn)到點(diǎn)鏈路的一個(gè)環(huán)路連在一起時(shí)，或者當(dāng)一個(gè)交換機(jī)有兩個(gè)或多個(gè)到共享局域網(wǎng)段的連接時(shí)，一個(gè)備份端口才能存在

注：無論AP還是BP其實(shí)就是802.1D中的阻塞端口，AP為對(duì)端設(shè)備，BP為本端設(shè)備

4.802.1w中端口角色

1、邊緣端口：edge Port，非trunking，access接口

2、非邊緣端口：非edge Port，trunking接口

5.RSTP快速的原理

1、取消了計(jì)時(shí)器，而是在一個(gè)狀態(tài)工作完成后，直接進(jìn)入下一狀態(tài)

2、分段式同步，兩臺(tái)設(shè)備間逐級(jí)收斂；使用請(qǐng)求和同一標(biāo)記；依賴標(biāo)記位的第1和第6位

3、BPDU的?；顬?s；hello time 2s

4、將端口加速（邊緣接口）、上行鏈路加速、骨干加速集成了

5、兼容802.1d和PVST，但802.1d和PVST沒有使用標(biāo)記位中的第1-6位，故不能快速收斂；因此如果網(wǎng)絡(luò)中有一臺(tái)設(shè)備不支持快速收斂，那么其他開啟快速收斂的設(shè)備也不能快速

6、當(dāng)TCN消息出現(xiàn)時(shí)，不需要等待根網(wǎng)橋的BPDU，就可以刷新本地的cam表

啟動(dòng)快速生成樹，所有交換機(jī)全部需啟動(dòng)

注：所有干涉選舉的命令和上面一致

切記：

默認(rèn)接口為半雙工（10M）時(shí)，接口類型為共享；全雙工時(shí)為點(diǎn)到點(diǎn)；

共享型接口依然運(yùn)行慢速生成；只有點(diǎn)到點(diǎn)接口可以快速；

故建議將共享型接口修改為點(diǎn)到點(diǎn)型

4.2.6 MST

MST，思科私有

802.1S多生成樹，公有

1.MST的原理

將多個(gè)vlan放置在一個(gè)組內(nèi)，為每個(gè)組生成一個(gè)樹，樹型算法為802.1w；將不同組的根網(wǎng)橋放置到不同的匯聚層設(shè)備處，可以進(jìn)行流量的分栽，提供鏈路利用率；不同組發(fā)出的BPDU，使用網(wǎng)橋優(yōu)先級(jí)（=優(yōu)先級(jí)+組ID）區(qū)分

優(yōu)先級(jí)默認(rèn)為32768，只能以4096的倍數(shù)來進(jìn)行修改

切記：整個(gè)交換機(jī)需要所有的設(shè)備均正常MST協(xié)議，才進(jìn)行部署

2.MST的配置

修改封裝為802.1q（SW1-SW3同配置）：

創(chuàng)建vlan（SW1-SW3同配置）：

#修改生成樹協(xié)議

默認(rèn)存在組0，且默認(rèn)所有vlan處于組0

修改連接類型為點(diǎn)到點(diǎn)（SW1-SW3同配置）：

SW1#show spanning-tree mst 0

SW1-SW3同配置：

切記：所有運(yùn)行MST協(xié)議的設(shè)備，分組內(nèi)容必須完全一致，否則可能出現(xiàn)問題

定義根網(wǎng)橋，備份根網(wǎng)橋

SW1(config)#spanning-tree mst 1 root primary #降2個(gè)4096

SW1(config)#spanning-tree mst 2 root secondary #降1個(gè)4096

SW2(config)#spanning-tree mst 1 root secondary

SW2(config)#spanning-tree mst 2 root primary

#修改參選接口的參數(shù)

4.2.7 STP增強(qiáng)

1.端口加速（portfast）

針對(duì)交換機(jī)的access接口，連接的是終端用戶這些不需要運(yùn)行生成樹的端口，切記不得配置于連接trunk干道的接口。默認(rèn)進(jìn)入listening狀態(tài)，等待30s進(jìn)入轉(zhuǎn)發(fā)狀態(tài)

節(jié)約時(shí)間：30s

位置：接入層交換機(jī)的access接口

2.上行鏈路加速（uplinkfast）

在設(shè)備上運(yùn)行上行鏈路加速后，若該設(shè)備滿足直連檢測(cè)條件；那么將阻塞端口直接變?yōu)楦丝?，進(jìn)入forwarding狀態(tài)

節(jié)約時(shí)間：30s

位置：所有的接入層交換機(jī)上

注：開啟后，該交換機(jī)的網(wǎng)橋優(yōu)先級(jí)和cost值，將倍增；迫使該設(shè)備在默認(rèn)情況下不會(huì)成為根網(wǎng)橋，且阻塞端口處于該設(shè)備；故該命令只敢在接入層設(shè)備配置

3.骨干加速（backbonefast）

若一個(gè)阻塞端口收到次優(yōu)BPDU時(shí)，將20s hold time+30s收斂，開啟骨干加速后；省略20s的hold time

節(jié)約時(shí)間：20s

位置：所有交換機(jī)

4.3 STP的安全

4.3.1 BPDU Guard（BPDU保護(hù)）

接入層接口默認(rèn)為DP（指定端口），該端口連接的是PC。若該接口的PC被更換或者被用戶模擬，成為一臺(tái)交換機(jī)，那么可能導(dǎo)致網(wǎng)橋轉(zhuǎn)移，最終迫使網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化。因?yàn)楦W(wǎng)橋最佳設(shè)置應(yīng)該在匯聚層，而新的結(jié)構(gòu)可能改變?cè)撎匦?，?dǎo)致網(wǎng)絡(luò)運(yùn)行不佳，流量集中于接入層設(shè)備

1.errdisable

可以將這些接口開啟BPDU保護(hù)功能；被保護(hù)接口若收到BPDU，那么將進(jìn)行錯(cuò)誤關(guān)閉狀態(tài)；進(jìn)入該狀態(tài)的接口狀態(tài)和協(xié)議均down。

（1）重新喚醒該接口的方法

手工重啟:先關(guān)閉（shutdown）再開啟（no shutdown）
自動(dòng)啟動(dòng)：需要人配置，配置后若該接口再300s內(nèi)沒有收到BPDU了，那么將自動(dòng)開啟

（2）配置位置

在接入層連接用戶的接口上，開啟BPDU保護(hù)功能

若接口出現(xiàn)了錯(cuò)誤關(guān)閉，可以查看導(dǎo)致原因

（3）查看各種錯(cuò)誤關(guān)閉的原因

針對(duì)BPDU保護(hù)出現(xiàn)的錯(cuò)誤關(guān)閉，可以通過手工重啟，或設(shè)置自動(dòng)重啟

SW1(config)#errdisable recovery cause bpduguard #當(dāng)BPDU保護(hù)出現(xiàn)后的自動(dòng)重啟

SW1(config)#errdisable recovery interval ?      #默認(rèn)300s收不到BPDU將自動(dòng)重啟

<30-86400> timer-interval(sec)              #修改計(jì)時(shí)器，最小30s

SW1(config)#spanning-tree portfast bpduguard    #在接入層接口的接口上，開啟所有接口的端口加速和所有接口的BPDU保護(hù)，全局開啟后，還需要到上行鏈路上進(jìn)行BPDU保護(hù)的關(guān)閉

SW1(config)#int e0/0

SW1(config-if)#spanning-tree bpduguard disable      #關(guān)閉單個(gè)接口的BPDU保護(hù)

SW1#show spanning-tree summary totals       #查看各種全局協(xié)議的配置

2.BPDU過濾

開啟BPDU過濾后，若接入層接口收到BPDU信息，將僅丟棄BPDU數(shù)據(jù)幀，正常轉(zhuǎn)發(fā)用戶流量

注：全局開啟后，需要在上行鏈路手動(dòng)關(guān)閉

3.保護(hù)和過濾的區(qū)別

保護(hù)和過濾除了對(duì)接口的處理方式不同，還存在一個(gè)區(qū)別：保護(hù)是拒絕接收BPDU，但可以發(fā)送；過濾是收發(fā)均拒絕

4.3.2 根網(wǎng)橋保護(hù)

若網(wǎng)絡(luò)中增添了新的交換機(jī)，其BID最優(yōu)；那么將可能搶占網(wǎng)絡(luò)的根網(wǎng)橋，導(dǎo)致拓?fù)浣Y(jié)構(gòu)發(fā)生變化。在接口開啟根橋保護(hù)后，若交換機(jī)的接口接收到了更優(yōu)BPDU時(shí)，將該接口阻塞，直到該接口不再收到更優(yōu)BPDU才恢復(fù)

SW2(config-if)#int e0/0

SW2(config-if)#spanning-tree guard root #接口開啟根橋保護(hù)

開啟根橋保護(hù)的接口，在接收到更優(yōu)BPDU時(shí)，將阻塞，進(jìn)入broken狀態(tài)，顯示與根不一致

SW2#show spanning-tree interface e0/0 detail

Port 1 (Ethernet0/0) of MST0 is broken （Root Inconsistent）

不一致接口在生成樹中的顯示：

SW2#show spanning-tree

Et0/0 Desg BKN*2000000 128.1 P2p *ROOT_Inc

查看出現(xiàn)不一致的接口

接入層接口---保護(hù)、過濾·、收到BPDU

根網(wǎng)橋保護(hù)---新連接的交換機(jī)的接口

總結(jié)：BPDU保護(hù)和過濾配置在所有的接入層連接PC的接口；

根網(wǎng)橋保護(hù)建議配置在新連接交換機(jī)的接口，來避免網(wǎng)絡(luò)的重新收斂

4.4 STP的環(huán)路保護(hù)

單向鏈路故障，尤其在光纖網(wǎng)絡(luò)，很有可能出現(xiàn)可以接收但不能發(fā)送；一旦出現(xiàn)單向鏈路故障，網(wǎng)絡(luò)及時(shí)存在STP，也依然可能出現(xiàn)環(huán)路

1.UDLD

當(dāng)一根網(wǎng)線出現(xiàn)單向鏈路故障時(shí)，直接關(guān)閉該接口

IOU1(config)#udld enable       #全局開啟所有接口的UDLD

IOU1(config)#int e0/0              #在接口上開啟UDLD

IOU1(config-if)#udld enable

IOU1(config-if)#no udld enable      #關(guān)閉

IOU1(config-if)#udld disable        #關(guān)閉

2.LOOP GUARD

開啟后，僅針對(duì)BPDU包，識(shí)別為單向鏈路故障，先對(duì)該接口進(jìn)行阻塞，然后自動(dòng)恢復(fù)

3.UDLD與LOOP GUARD的區(qū)別

1)UDLD被觸發(fā)后，接口被err-disable；然后需要手工重啟或自動(dòng)重啟

Loop Guard被觸發(fā)后，自動(dòng)阻塞然后恢復(fù)接口

2）UDLD用于處理硬件的單向問題，Loop Guard被用戶處理軟件問題（接口擁塞，CPU過載），建議兩種技術(shù)均配置

注：在一個(gè)網(wǎng)絡(luò)中，根網(wǎng)橋和網(wǎng)關(guān)最好放置在匯聚層設(shè)備上，且兩種角色最好在一處；因?yàn)閮煞N角色都算一個(gè)廣播域的中心點(diǎn)

五、Etherchannel（以太網(wǎng)信道）

將多個(gè)（2-8，2-16）接口，邏輯的整合為一個(gè)接口，來轉(zhuǎn)發(fā)流量，減少了阻塞端口的數(shù)量，提高了鏈路帶寬，增加了網(wǎng)絡(luò)的穩(wěn)定性

5.1 封裝模式

5.1.1 PAGP

端口聚合協(xié)議，cisco私有，通過發(fā)送慢速hello（30s），協(xié)商成為echerchannel，最大支持在8條鏈路的協(xié)商，鏈路數(shù)量必須為2^x，2 4 8

desirable：主動(dòng)模式

auto：auto模式包含了silent模式（安靜模式），可以進(jìn)行etherchannel協(xié)商

5.1.2 LACP

鏈路聚合控制協(xié)議（僅支持全雙工接口），公有協(xié)議。發(fā)送LACPDU進(jìn)行以太信道的協(xié)商，最大支持在16條鏈路上進(jìn)行以太信道協(xié)商，2 4 8 16，默認(rèn)僅僅使用8條。當(dāng)使用16條鏈路進(jìn)行協(xié)商，選擇8條為主鏈路，其余8條為備份鏈路。選擇方法：1.較小優(yōu)先級(jí)（優(yōu)先級(jí)默認(rèn)32768），2.最小的PID

模式：

active（主動(dòng)）passive（被動(dòng)）

5.1.3 on模式

手工模式，on模式不能與任何動(dòng)態(tài)PAgP或LAGP建立ethechannel。被動(dòng)與被動(dòng)不能形成

5.2 Ethechannel配置

5.2.1 二層ethechannel配置

SW1(config)#int range e0/1-2

SW1(config-if-range)#channel-group 1 mode on

SW1(config-if-range)#interface port-channel 1 #對(duì)邏輯接口進(jìn)行管理

SW1(config-if)#switchport trunk encapsulation dot1q #修改trunk封裝模式

SW1(config-if)#switchport mode trunk

5.2.2 配置指南

1.通道內(nèi)所有端口必須支持ethechannel；同時(shí)注意必須連接相同設(shè)備（同一設(shè)備，同本地類型相同）

2.這些物理接口必須具有相同的速率和雙工模式（LACP必須為全雙工）

3.通道內(nèi)不得使用span；若為三層通道，IP地址必須配置到邏輯接口上（channel-group）

4.三層通道內(nèi)的所有物理接口必須為三層接口，然后再channel口上配置IP地址

5.若為二層通道，這些物理接口應(yīng)該屬于同一vlan或者均為trunk干道，且封裝的類型一致，vlan的允許列表必須一致

6.通道的屬性改變將同步到物理接口，反之也可；若物理沒有全部down，通道依然正常同時(shí)配置所有物理接口，或者之惡配置channel口，均可修改接口的屬性

5.2.3三層ethechannel配置

在沒有三層ethechannel時(shí)，三層鏈路依然可以使用負(fù)載均衡來進(jìn)行通信；建立三層ethechannel后，可以節(jié)省IP地址網(wǎng)段，間路路由條目的編輯（一般配置在核心層）

SW1(config)#int range e0/1-2

SW1(config-if-range)#no switchport

SW1(config-if-range)#channel-group 1 mode on

SW1(config-if-range)#exit

SW1(config)#int port-channel 1 #在通道接口上配置IP地址

SW1(config-if)#ip add 192.168.1.1 255.255.255.0

5.3 配置channel時(shí)的注意點(diǎn)

二層通道基于負(fù)載分擔(dān)轉(zhuǎn)發(fā)流量，三層通道基于負(fù)載均衡轉(zhuǎn)發(fā)流量

負(fù)載均衡：訪問同一目標(biāo)時(shí)，將流量按為單位分割后，沿多條路徑同時(shí)傳輸

負(fù)載分擔(dān)：訪問不同目標(biāo)時(shí)基于不同鏈路，或者不同元在訪問目標(biāo)時(shí)基于不同鏈路

基于不同源MAC（src-mac）為默認(rèn)規(guī)則

六、SPAN（便于抓包的技術(shù)）

在一臺(tái)交換機(jī)上將一個(gè)接口的流量（源端口）映射到另一個(gè)接口（目的端口），在另一個(gè)接口開啟抓包工具

6.1 Span配置

在同一臺(tái)交換機(jī)的同一個(gè)會(huì)話號(hào)內(nèi)定義源、目端口

SW1(config)#monitor session 1 source interface fastEthernet 0/1

SW1(config)#monitor session 1 destination interface fastEthernet 0/2

6.2 Rspan

在同一個(gè)交換網(wǎng)絡(luò)內(nèi)進(jìn)行抓包

6.2.1 Rspan的條件

1.同一交換網(wǎng)絡(luò)內(nèi)

2.存在trunk干道

3．所有交換機(jī)創(chuàng)建一個(gè)rspan專用vlan

6.2.2 Rspan配置（從SW1的f0/1口映射到SW3的f0/1口）

SW1(config)#monitor session 1 source interface fastEthernet 0/1

SW1(config)#monitor session 1 destination remote vlan 113

SW1(config)#vlan 113

SW1(config-vlan)#remote-span

SW(2config)#vlan 113

SW2(config-vlan)#remote-span

SW(2config)#vlan 113

SW2(config-vlan)#remote-span

SW1(config)#monitor session 1 souorceremote vlan 113

SW1(config)#monitor session 1 destination interface fastEthernet 0/1

七、交換安全

7.1 MAC地址攻擊

攻擊者不斷修改擇機(jī)的MAC地址，交換機(jī)進(jìn)行大量學(xué)習(xí)，導(dǎo)致交換機(jī)mac地址表緩存溢出，不能再學(xué)習(xí)其他的MAC地址信息，此時(shí)交換機(jī)將工作再HUB狀態(tài)

解決方案

7.1.1 靜態(tài)MAC地址寫入

7.1.2 端口安全

1.必須先定義為接入層接口，然后開啟端口安全服務(wù)，設(shè)置MAC地址的獲取方式（手寫或粘連）

注：此時(shí)最大地址數(shù)量為1，處理方案為邏輯關(guān)閉；邏輯關(guān)閉的接口必須先關(guān)閉再開啟

設(shè)置支持的MAC地址數(shù)量

2.設(shè)置違約的處理方案

保護(hù)：接口出現(xiàn)非法MAC時(shí)，僅丟棄流量不關(guān)閉接口，合法MAC流量可以通過

限制：處理同保護(hù)基本一致：區(qū)別在于，非法MAC出現(xiàn)后，會(huì)向網(wǎng)路中的SNMP服務(wù)器發(fā)送警告信息

關(guān)閉：邏輯關(guān)閉，默認(rèn)的機(jī)制

7.1.3 基于MAC地址過濾

7.2 VLAN間攻擊

默認(rèn)交換機(jī)接口模式為auto或desirable，主機(jī)模擬交換機(jī)發(fā)送DTP協(xié)商幀，建立trun干道。學(xué)習(xí)交換網(wǎng)絡(luò)中的某些重要信息，發(fā)送VTP/BPDU等信息干涉交換網(wǎng)絡(luò)工作

解決方案

將連接用戶的接口設(shè)置為access接口；在trunk鏈路中針對(duì)Nativeda標(biāo)記

Private vlan	私有		混雜接口
Primary vlan	主vlan
Secondary vlan	輔助vlan	團(tuán)體vlan	團(tuán)體主機(jī)接口
		孤立vlan	鼓勵(lì)主機(jī)接口

配置：

創(chuàng)建主、輔助vlan，并在主vlan中映射包含輔助vlan

SW1(config)#vlan 100

SW1(config-vlan)#private-vlan primary

SW1(config-vlan)#private-vlan association 501-502

SW1(config)#vlan 501

SW1(config-vlan)#private-vlan isolated

SW1(config)#vlan 502

SW1(config-vlan)#private-vlan community

將接口劃入主VLAN:

將接口劃入輔助VLAN：

7.3 DHCP欺騙攻擊（spoofing）

解決方案：DHCP spoofing

信任接口：接收offer ack；發(fā)送discover request

非信任接口：接收discover request；發(fā)送offer ack

將連接DHCP server接口設(shè)置為信任端口

配置：

開啟DHCP spoofing

針對(duì)某些vlan開啟spooling

設(shè)置接口為信任接口

在DHCPserver上針對(duì)某些DHCP中繼信息信任

查看：

7.4 ARP欺騙攻擊

主機(jī)發(fā)送大量IP地址變化的無故ARP，使網(wǎng)絡(luò)中所有主機(jī)學(xué)習(xí)大量IP地址的ARP映射都為攻擊者，導(dǎo)致網(wǎng)路癱瘓

解決方案：

1.靜態(tài)ARP映射

2.DAI（Dynamic ARP Intercept）動(dòng)態(tài)ARP截取

必須依賴DHCP snooping中所產(chǎn)生DHCP Snooping binding表

全局使用ARP截取

連接網(wǎng)關(guān)、server等設(shè)備設(shè)置為信任接口

查看：

SW1#show ip dhcp snooping binding

八、NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）

查看

定義NTP服務(wù)器

再定義要同步的NTPserverIP

九、基于時(shí)間的ACL

先創(chuàng)建時(shí)間范圍列表，在定義整個(gè)列表總的工作時(shí)間

十、CDP（Cisco設(shè)備發(fā)現(xiàn)協(xié)議）

默認(rèn)開啟，但很危險(xiǎn)

CDP存在敏感信息（VTP域名、管理VLAN地址、native編號(hào)），建議所有的接入層連接用戶的接口關(guān)閉CDP

IOU1#show cdp neighbors #可以查看到本地所有接口連接的設(shè)備型號(hào)

IOU1#show cdp neighbors detail

CDP存在敏感信息（VTP域名、管理VLAN地址、native編號(hào)），建議所有的接入層連接用戶的接口關(guān)閉CDP

IOU1(config)#no cdp run #全局關(guān)閉

IOU1(config)#int e0/0

IOU1(config-if)#no cdp enable #關(guān)閉單個(gè)接口

十一、網(wǎng)關(guān)冗余

冗余的類型

1、鏈路冗余

2、線路冗余

3、設(shè)備冗余

4、網(wǎng)關(guān)冗余

5、電源冗余（USP）

6、引擎冗余

11.1. 最原始的網(wǎng)關(guān)冗余

PC的操作系統(tǒng)在WIN95系列以下，沒有配置網(wǎng)關(guān)地址時(shí)，若需要PC訪問非本地直連網(wǎng)段的目標(biāo)IP，那么將對(duì)該IP地址進(jìn)行ARP請(qǐng)求，默認(rèn)路由器存在代理ARP機(jī)制，將返回MAC地址（選擇最新記錄）；之后即可訪問目標(biāo)。當(dāng)默認(rèn)選擇的網(wǎng)關(guān)設(shè)備上行鏈路Down掉時(shí)，ICMP重定向會(huì)幫助PC尋找到最佳路徑的網(wǎng)關(guān)設(shè)備來實(shí)現(xiàn)網(wǎng)關(guān)冗余；當(dāng)默認(rèn)選擇的網(wǎng)關(guān)設(shè)備下行鏈路Down掉或者網(wǎng)關(guān)設(shè)備癱瘓，那么將等待2h，PC的ARP表刷新后重新ARP請(qǐng)求

若操作系統(tǒng)版本高于95，可以將網(wǎng)關(guān)地址配置為直接廣播地址（該網(wǎng)段的IP，主機(jī)位全為1），來事項(xiàng)以上規(guī)則

11.2HSRP（熱備份網(wǎng)關(guān)協(xié)議，Cisco私有）

11.2.1 原理

在兩臺(tái)路由器或三層交換機(jī)上虛擬一個(gè)網(wǎng)關(guān)IP地址，再虛擬一個(gè)網(wǎng)關(guān)MAC地址。虛擬網(wǎng)關(guān)IP地址由管理員定義（在該網(wǎng)段內(nèi)不得和主機(jī)IP沖突），MAC地址自動(dòng)生成

路由器的hello time：3s；hold time：10s，組播地址：224.0.0.2

11.2.2 特點(diǎn)

1.使用hello包進(jìn)行active standby選舉，hello時(shí)間3s，hold time時(shí)間10s，更新地址224.0.0.2

2.搶占默認(rèn)關(guān)閉

3.接口啟用了HSRP，接口ICMP重定向失效

4.切換速度快，可以使網(wǎng)關(guān)的IP網(wǎng)關(guān)和MAC地址不再變化；網(wǎng)關(guān)的切換對(duì)主機(jī)是透明的，可以實(shí)施上行鏈路追蹤

11.2.3 HSRP生成MAC地址的規(guī)則

0000.0c 07.ac 01

Cisco專用 HSRP專用組號(hào)

11.2.4 HSRP選舉規(guī)則

1.先比較優(yōu)先級(jí)，優(yōu)先級(jí)越大越優(yōu)先（默認(rèn)100）

2.再比較接口物理IP地址，越大越優(yōu)先

11.2.5 HSRP配置

R1(config)#int f0/0

R1(config-if)#ip add 13.1.1.1 255.255.255.0     #接口真實(shí)的IP地址

R1(config-if)#standby 1 ip 13.1.1.254       #鄰居間組號(hào)和地址必須相同，地址為虛擬網(wǎng)關(guān)

R1(config-if)#standby 1 priority 105            #修改優(yōu)先級(jí)，默認(rèn)100

R1(config-if)#standby 1 preempt            #搶占默認(rèn)關(guān)閉，利用修改優(yōu)先級(jí)來定     義網(wǎng)關(guān)位置不可控，需開啟搶占

R1(config-if)#standby 1 track s1/0          #當(dāng)被追蹤的接口down時(shí)，本地優(yōu)先級(jí)    自動(dòng)默認(rèn)下調(diào)10（減10）

查看：

11.2.6 搶占時(shí)的注意點(diǎn)

在網(wǎng)關(guān)冗余技術(shù)中，ICMP重定向（針對(duì)真是IP和MAC）是失效的；故當(dāng)上行鏈路Down時(shí)，網(wǎng)關(guān)將不會(huì)切換；可以定義上行鏈路追蹤（該配置必須在搶占開啟的情況下生效），且兩臺(tái)設(shè)備間的優(yōu)先級(jí)差值小于下調(diào)值；若本地存在多條上行鏈路或下行鏈路，建議上行鏈路追蹤配置時(shí)的總的下調(diào)值之和大于優(yōu)先級(jí)差值（即所有上行鏈路全down時(shí)，才讓standby搶占）；若下行鏈路大部分down時(shí)，可以讓standby搶占

11.2.7 HSRP總結(jié)

1.搶占默認(rèn)被關(guān)閉，需手動(dòng)開啟

2.僅支持兩臺(tái)設(shè)備

3.Cisco私有

4.較慢

11.3 VRRP（虛擬路由冗余協(xié)議，公有）

原理同HRP一致

11.3.1 區(qū)別

1.VRRP支持多臺(tái)設(shè)備

2.僅master發(fā)送hello

3.可以使用物理接口的IP地址來作為網(wǎng)關(guān)地址

4.搶占默認(rèn)開啟

5.hello time時(shí)間1s，hold time時(shí)間3s

11.3.2 VRRP選舉規(guī)則

1.先優(yōu)先級(jí)，默認(rèn)100，越大越優(yōu)先

2.再比較物理接口IP地址，越大越優(yōu)先

11.3.3 特點(diǎn)

VRRP在一個(gè)組內(nèi)可以存在多臺(tái)3層設(shè)備，存在一個(gè)master和多個(gè)backup正常產(chǎn)生一個(gè)虛擬IP（可以為真實(shí)接口IP）和一個(gè)虛擬MAC，默認(rèn)1s來檢測(cè)一次master是否活動(dòng)，hold time時(shí)間3s，組播地址224.0.0.18

11.3.4 VRRP生成MAC地址的規(guī)則

0000.5e00.01 01

VRRP專用組號(hào)

11.3.5注意點(diǎn)

若使用某個(gè)接口的真實(shí)IP地址作為虛擬網(wǎng)關(guān)IP地址，那么依然使用虛擬的MAC地址；且當(dāng)真實(shí)IP地址所在接口未down之前，其他設(shè)備不能作為master，否則將可能出現(xiàn)錯(cuò)誤的ARP應(yīng)答，導(dǎo)致選路不佳；故該地址所在的接口優(yōu)先級(jí)為255（在設(shè)置了上行鏈路追蹤的環(huán)境下，不建議使用真實(shí)的IP地址來作為網(wǎng)關(guān)地址，因?yàn)樯闲墟溌穌own后，被對(duì)端搶占主狀態(tài)，導(dǎo)致PC對(duì)網(wǎng)關(guān)地址進(jìn)行ARP時(shí)，收到兩個(gè)應(yīng)答，最終導(dǎo)致選路不佳

11.3.6 VRRP配置

VRRP配置與HSRP基本一致

查看：

上行鏈路追蹤

1．先定義追蹤列表

2.再在協(xié)議中調(diào)用

R1(config)#track 1 interface f0/1 line-protocol #定義追蹤列表1，追蹤接口為f0/1

R1(config-track)#int f0/1

R1(config-if)#vrrp 1 track 1 decrement 156

組號(hào) 表號(hào) 下調(diào)的優(yōu)先級(jí)

11.4 GLBP（網(wǎng)關(guān)負(fù)載均衡協(xié)議，cisco私有）

11.4.1 特點(diǎn)

該協(xié)議在應(yīng)用時(shí)，考慮到生成樹在3層架構(gòu)中的存在，需要相應(yīng)的改變拓?fù)浣Y(jié)構(gòu)。AVG：優(yōu)先級(jí)最大，再IP地址最大；響應(yīng)所有對(duì)網(wǎng)關(guān)地址ARP請(qǐng)求后，根據(jù)網(wǎng)關(guān)設(shè)備的數(shù)量（最大4個(gè)）回應(yīng)不同MAC給PC，同時(shí)將這些MAC分配給對(duì)應(yīng)的AVF。AVF根據(jù)AVG分配的MAC地址來轉(zhuǎn)發(fā)流量hello time 3s，組播地址224.0.0.102。

AVG：虛擬活動(dòng)網(wǎng)關(guān)，搶占默認(rèn)關(guān)閉

AVF：虛擬活動(dòng)轉(zhuǎn)發(fā)，搶占默認(rèn)開啟

11.4.2 GLBP生成MAC地址的規(guī)則

0007.b4 00.01 01

GLBP專用組號(hào) AVF編號(hào)

11.4.3 GLBP配置

R1(config)#int f0/0

R1(config-if)#glbp 1 ip 13.1.1.254

R1(config-if)#glbp 1 priority ?

<1-255> Priority value

上行鏈路追蹤：

1.先定義追蹤列表