MST-802.1S --分组式的生成树
把多个VLAN划分到一个组里,每个组用一个生成树,算法为802.1W。
不同组的根网桥需要加载到不同的汇聚层设备处,可以分载流量,加快速率。
不同组发出的BPDU,使用网桥优先级区分 优先级+组ID
优先级默认为32768,只能以4096的倍数来进行修改。
切记:整个交换机需要所有设备均正常MST协议,才进行部署;
所有运行MST协议的设备,分组内容必须完全一致,否则将可能出现故障。
(全网用同样的树,否则会出现故障)

相关命令:
sw1(config)#spanning-tree mode mst 修改协议
默认存在组0,且默认所有vlan处于组0;
sw1#show spanning-tree mst 0
sw1(config)#spanning-tree mst configuration
sw1(config-mst)#instance 1 vlan 1-50 将vlan1-50划分到组1
sw1(config-mst)#instance 2 vlan 51-100 将vlan51-100划分到组2
定义根网桥,备份根网桥的位置
sw1(config)#spanning-tree mst 1 root primary 降2个4096
sw1(config)#spanning-tree mst 2 root secondary 降1个4096
sw1(config)#interface e0/0 修改参选接口的参数
sw1(config-if)#spanning-tree mst 1 ?
cost Change the interface spanning tree path cost for an instance
port-priority Change the spanning tree port priority for an instance

STP的安全

BPDU保护(主要防止黑客攻击)
把PC模拟成交换机,把优先级降低,可以发BPDU抢走根网桥,破坏整个网络结构。

解决办法:
可以将这些接口开启BPDU保护功能(被保护接口收到BPDU,将被错误关闭)
进入错误关闭状态的接口状态和协议均down(如果无故被down则可断定为受到了攻击)若需要重新唤活该接口
1、手工重启—先关闭(shut down)再开启(no shut down)
2、自动启动----需要人配置,配置后若该接口在300s内没有收到BPDU了,那么将自动开启

命令演示:
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree bpduguard enable
在接入层连接用户的接口上,开启BPDU保护功能
被保护接口若接收到BPDU将错误关闭
sw2#show interfaces e0/0
Ethernet0/0 is down, line protocol is down (err-disabled)
若接口出现了错误关闭,可以查看导致原因
sw2#show interfaces status err-disabled
Port Name Status Reason
Et0/0 err-disabled bpduguard

针对BPDU保护出现的错误关闭,可以通过手工重启,或设置自动重启
sw2(config)#errdisable recovery cause bpduguard 当BPDU保护出现后的自动重启
sw2#show errdisable recovery 查看各种错误的原因状态
sw2(config)#errdisable recovery interval ? 默认300s收不到BPDU将自动重启
<30-86400> timer-interval(sec) 修改计时器,最小30s

全局配置:
在接入层接口上,开启所有接口的端口加速和所有接口的BPDU保护
sw2(config)#spanning-tree portfast bpduguard
全局开启后,还需要到上行链路上进行BPDU保护的关闭
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree bpduguard disable 关闭单个接口的BPDU保护
sw2#show spanning-tree summary totals 查看各种全局协议的配置

BPDU过滤
把影响生成树协议的BPDU信息过滤掉,不参与生成树,流量照常转发。

配置命令:
sw2(config)#interface e0/0 接口开启或关闭
sw2(config-if)#spanning-tree bpdufilter ?
disable Disable BPDU filtering for this interface
enable Enable BPDU filtering for this interface

sw2(config)#spanning-tree portfast bpdufilter default 全局开启
注:全局开启后,需要在上行链路接口手工关闭

区别:保护只拒绝接受,过滤收发均拒绝。

根网桥保护(主要防止管理员犯错)
新添交换机发出更优BPDU,抢走根网桥。

解决办法:
开启根桥保护,将该接口阻塞;直到该接口不再收到更优BPDU才恢复

命令演示:
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard root 接口开启根网保护

开启根桥保护的接口,在接收到更优BPDU时,将阻塞;进入broken状态,显示与根不一致;
sw2#show spanning-tree interface ethernet 0/0 detail
Port 1 (Ethernet0/0) of VLAN0001 is broken (Root Inconsistent)

sw2#show spanning-tree
Et0/0 Desg BKN*100 128.1 Shr *ROOT_Inc
不一致接口在生成树列表中的显示

sw2#show spanning-tree inconsistentports 查看出现不一致的接口
Name Interface Inconsistency

VLAN0001 Ethernet0/0 Root Inconsistent

Number of inconsistent ports (segments) in the system : 1

配置位置:
BPDU保护和过滤配置在所有的接入层连接PC接口;
Root 保护建议配置在新连接交换机的接口。

环路保护

BC单向链路断开会被误认为其他路径断开,将开启阻塞端口,形成环路。
(常见于光纤网络)

解决办法:
【1】UDLD --当一根网线出现单向链路故障时,直接关闭该接口(单向链路保护)

【2】LOOP GUARD ----开启后,仅针对BPDU包,识别为单向链路故障,先对该接口进行阻塞,然后自动恢复;
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard loop 开启命令

UDLD被触发后,接口被err-disable;然后需要手工重启 或设置自动重启
Loop guard被触发后,自动阻塞然后恢复接口的
UDLD用于处理硬件的单向问题,loop guard被用于处理软件问题(接口拥塞,CPU过载)
建议两种技术均配置

关于中心的拓扑:
在一个网络中,根网桥和网关最好放置于汇聚层设备上,且两种角色最好在一处;
因为两种角色都算一个广播域的中心点;这样拓扑更加方便,迅速。

三层交换机如何配置为网关:

三层交换机相当于 路由器和交换机,靠硬件芯片工作所以模拟软件很难模拟。它可以实现除了NAT之外的所有的功能。并且出现了新功能,便于汇聚流量。

1,管理vlan 默认vlan1 为管理vlan和native vlan
接入层交换机是最应该远程登录的,但是没有IP,所以默认存在一个SVI-交换虚拟接口,
该接口可以配置ip地址,出厂就存在MAC地址–该MAC还用于STP的选举;
交换机上存在vlan技术,该SVI接口处于的vlan被称为管理vlan;

命令演示:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown
将SVI接口转移到其他的vlan中
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#no shutdown
注:二层交换机仅存在一个SVI口,故在开启新的SVI接口时,原来的SVI口自动被关闭;
所希望其他网段的设备可以访问该SVI接口,那么交换机上需要定义本广播域的网关地址
Switch(config)#ip default-gateway 192.168.2.254

SVI接口双up的条件:
1、该交换机存在该vlan
2、该交换机连接该vlan的用户,或者存在活动trunk干道;

如何让3层交换机成为网关设备:

默认为二层,但可以将二层接口转换为三层接口
配置命令:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport 转换为3层接口
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config)#ip routing 开启IPV4的路由功能,正常路由器默认开启

3层交换机可以使用SVI接口来作为网关接口;3层交换机存在多个svi,多个mac地址

以太网通道:

数据包不可以分开传输,但是又多个包形成的数据流可以,将多个接口(2-8,2-16,具体看设备是否支持)逻辑上转换为一个接口,用来增加带宽。

配置命令:
Switch(config)#interface range gigabitEthernet 0/1 -2
Switch(config-if-range)#channel-group 1 mode ?
Active Enable LACP unconditionally 主动(LACP)
Auto Enable PAgP only if a PAgP device is detected 被动(PAGP)
Desirable Enable PAgP unconditionally 主动 (PAGP)
On Enable Etherchannel only 手工
passive Enable LACP only if a LACP device is detected 被动 (LACP)
LACP–公有的自动建立channel(仅支持全双工接口) PAGP-cisco私有的
规则:被动与被动不能形成,被动与手工也不能形成;
Channel建立后,生成逻辑接口;
Switch(config)#interface port-channel 1 对逻辑接口进行管理
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

配置要点:
1、所有端口必须支持etherchannel技术;同时注意必须连接相同设备(同一设备,同本地类型相同)
2、这些物理接口必须具有相同的速率和双工模式;LACP必须为全双工
3、通道内不得使用span,若为3层通道,ip地址必须配置到逻辑接口上
4、三层通道内所有的物理接口必须为3层接口,然后在channel口上配置ip地址
5、若二层通道,这些物理接口应该属于同一VLAN或者均为trunk干道,且封装的类型一致,VLAN的允许列表必须一致
6、通道的属性改变将同步到物理接口,反之也可;若物理没有全部down,通信依然正常
同时配置所有物理接口,或直接配置channel口,均可修改接口的属性;

三层channel:
三层有负载均衡,不做不影响速率,但是可以节省IP地址网段,便于管理。
配置演示:
sw1(config)#interface range gigabitEthernet 0/1 -2
sw1(config-if-range)#no switchport
sw1(config-if-range)#channel-group 1 mode on
sw1(config)#interface port-channel 1 在通道接口上配置ip地址
sw1(config-if)#ip address 192.168.1.1 255.255.255.0

二层通道基于负载分担转发流量,三层通道基于负载均衡转发流量
负载均衡-访问同一目标时,将流量按包为单位分割后,延多条路径同时传输;
负载分担-访问不同目标时基于不同链路,或者不同源在访问目标时基于不同链路;
基于不同源为默认规则;
sw1(config)#port-channel load-balance ?
dst-ip Dst IP Addr
dst-mac Dst Mac Addr
src-dst-ip Src XOR Dst IP Addr
src-dst-mac Src XOR Dst Mac Addr
src-ip Src IP Addr
src-mac Src Mac Addr 默认

span —便于抓包的技术
抓其他接口的包
在一台交换机上将F0/1口映射到F0/2口; —在F0/2口开启抓包工具即可
源端口 目标端口

CORE(config)#monitor session 1 source interface fastEthernet 0/1
CORE(config)#monitor session 1 destination interface fastEthernet 0/2
在同一台交换机的同一个会话号内定义源、目端口
1、Rspan
在同一个交换网络内进行抓包
条件:同一交换网络、存在trunk干道、所有交换机创建一个rspan专用vlan
Sw1(config)#monitor session 1 source interface fastEthernet 0/1
Sw1(config)#monitor session 1 destination remote vlan 113
Sw1(config)#vlan 113
Sw1(config-vlan)#remote-span

Sw2(config)#vlan 113
Sw2(config-vlan)#remote-span

Sw3(config)#vlan 113
Sw3(config-vlan)#remote-span
Sw3(config)#monitor session 1 source remote vlan 113
Sw3(config)#monitor session 1 destination interface fastEthernet 0/1

防止MAC地址攻击
MAC地址攻击:
1,一直发MAC信息(原MAC与目标MAC)给交换机,快速顶掉交换机MAC表记录,交换机的所有数据都被洪泛给所有人,通信将变得很困难。
2,换着MAC去路由器获取IP,将影响所有人的获取效率。

防止攻击:
简单的端口安全–绑定mac,限制mac地址数量
命令演示:
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access 必须先定义为接入接口
Switch(config-if)#switchport port-security 必须先开启端口安全服务
Switch(config-if)#switchport port-security mac-address ? 设置MAC地址的获取
H.H.H 48 bit mac address 手写
sticky Configure dynamic secure addresses as sticky 粘连

注:此时最大地址数量为1,处理方案为逻辑关闭;
逻辑关闭的接口必须,先关闭再开启

Switch(config-if)#switchport port-security maximum ? 修改绑定的MAC地址数量
<1-132> Maximum addresses

Switch(config-if)#switchport port-security violation ? 修改违约的处理方案
protect Security violation protect mode 保护
Restrict Security violation restrict mode 限制
Shutdown Security violation shutdown mode 关闭

保护:接口出现非法MAC时,仅丢弃流量不关闭接口,合法mac流量可以通过;
限制:处理同保护基本一致;区别在于,非法mac出现后,会向网络中的SNMP服务器发送警告信息;
关闭:逻辑关闭–默认的机制

NTP—网络时间协议
配置命令:
r1#show clock
*11:46:11.423 UTC Sun Dec 23 2018
r1#clock set 12:00:00 1 aug 2017 修改时钟
r1(config)#ntp master 本地成为ntp服务器
r2(config)#ntp server 12.1.1.1 与12.1.1.1同步

基于时间的ACL
r1(config)#time-range openlab 创建openlab列表
r1(config-time-range)#absolute start 12:00 1 aug 2018 end 12:00 1 aug 2020
定义整个列表的工作总时间
r1(config-time-range)#periodic daily 9:30 to 12:00
r1(config-time-range)#periodic daily 13:30 to 16:00
r1(config)#ip access-list extended openlab
r1(config-ext-nacl)#permit ip host 172.16.10.253 any
r1(config-ext-nacl)#permit ip host 172.16.20.253 any
r1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 any time-range openlab
r1(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 any time-range openlab
r1(config-ext-nacl)#permit ip any any

CDP–cisco设备发现协议(私有协议)
CORE#show cdp neighbors 可以查看到本地所有接口连接的设备型号及接口
默认开启,但很危险
CORE#show cdp neighbors detail 查看详细信息
CDP存在敏感信息—VTP 域名 管理vlan地址 native编号
建议所有的接入层连接用户的接口关闭CDP

CORE(config)#no cdp run 全局关闭
CORE(config)#interface f0/1
CORE(config-if)#no cdp enable 关闭单个接口

网关冗余:
当一个路由器设备坏掉后,他的网关功能将又其他设备实现。
原始的网关冗余:

PC的操作系统在win95系列以下,没有配置网关地址时,若需要PC访问非本地直连网段的目标ip,那么将对该IP地址进行ARP请求,默认路由器存在代理ARP机制,将返回MAC地址(选择最新记录);之后即可访问目标

当默认选择的网关设备上行链路故障后,ICMP重定向会保证PC寻找到最佳路径的网关设备,来实现网关冗余;若下行链路故障,或者网关设备瘫痪,那么将等待2h,PC的ARP表刷新后重新ARP请求;(过于落后)

若操作系统版本高与95,可以将网关地址配置为直接广播地址,来实现以上规则;—直接广播地址–该网段的ip,主机位全1;

HSRP --热备份网关–cisco私有
切换速度快,可以使网关的IP和MAC地址不用变化;
网关的切换对主机是透明的,可以实施上行链路追踪。

原理:在两台路由器和三层交换机之间虚拟一个网关ip地址和MAC地址。
路由器间的hello time 3s;hold time 10s 组播地址:224.0.0.2 TTL=1

MAC地址—0000.0c(cisco专用)07.ac(HSRP专用)01(组号)

配置演示:
r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 ip 134.1.1.254 邻居间组号和地址必须相同,地址为虚拟网关地址

r3(config-if)#standby 1 priority ? 修改优先级,默认100
<0-255> Priority value
注:抢占默认关闭,利用修改优先级来定义网关位置不可控,需要开启抢占

r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 preempt 开启抢占

如果:

在网关冗余技术中,ICMP重定向是失效的;故当上行链路DOWN时,网关将不会切换;
可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值; 若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时,才让备份设备抢占;下行链路大部分down时,可以让备份设备抢占;
r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 track serial 1/0
当被追踪的接口down时,本地优先级自动默认下调10(减10)

r3(config-if)#standby 1 track serial 1/0 ? 可修改下降值
<1-255> Decrement value

总结:1、抢占被关闭 2、仅支持两台设备 3、Cisco私有 4、较慢

VRRP:虚拟路由冗余协议–公有协议,原理同HSRP一致
与HSRP区别:1、多台设备 2、仅master发送hello 3、可以使用物理接口的ip地址来为网关地址 4、抢占默认开启 5、hold time 3s

VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup
正常产生一个虚拟IP(可以为真实接口ip)和一个虚拟MAC
默认每1s来检测一次master是否活动 224.0.0.18 TTL=1 hold time 3s

选举规则:先优先级,默认100,大优;再接口ip地址大优;

命令演示:
r1(config)#interface fastEthernet 0/0
r1(config-if)#vrrp 1 ip 134.1.1.254
r1(config-if)#vrrp 1 priority 110

r3#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 100 3609 Y Backup 134.1.1.1 134.1.1.254

上行链路追踪:
1、先定义追踪列表
2、再在协议中调用
core(config)#track 1 interface fa0/1 line-protocol
定义追踪表1,追踪接口为F0/1
r1(config)#interface fastEthernet 0/0
r1(config-if)#vrrp 1 track 1 decrement 156
组号 表号 下调的优先级

注:若使用某个接口的真实ip地址作为虚拟网关ip地址,那么依然使用虚拟的MAC地址;且当真实IP地址所在接口未down之前,其他设备不能作为master,否则将可能出现错误的ARP应答,导致选路不佳;故该地址所在的接口优先级为255;
必须有个虚拟MAC,并且必须依旧是master
在设置了上行链路追踪的环境下,不建议使用真实的ip地址来作为网关地址;因为可能上行链路故障后,被对端抢占主状态,导致PC对网关地址进行ARP时,收到两个应答,最终选路不佳;

GLBP:网关负载均衡协议
AVG优先级最大,有四个MAC分给其他设备AVF,如果哪个AVF凉了就把MAC交给AVG代理,如果AVG凉了,由下一个AVF代理它的位置实现它的功能。

注:该协议在应用时,考虑到生成树在3层架构中的存在,需要相应的改变拓扑结构;

命令演示:
AVG抢占关闭
AVF抢占开启

r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 ip 134.1.1.254

r1(config-if)#glbp 1 priority ? 修改优先级
<1-255> Priority value

上行链路追踪:
1)先定义追踪列表
2)再在协议中调用
core(config)#track 1 interface fa0/0 line-protocol
定义追踪表1,追踪接口为F0/0
r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 weighting track 1 decrement 10
组号 表号 下调的优先级

关于生成树的一些小东西相关推荐

  1. 硬币 假硬币 天平_小东西叫硬币

    硬币 假硬币 天平 During the last 1,5 years, I've been traveling a lot. Apart from my must-have things like ...

  2. 一至七-----小东西

    一至七-----小东西 用什么就声明什么,可以节约空间,如下: using std::cout using std::cin using std::endl cin和 cout 是 istream类 ...

  3. Battle Encoder Shirase一款能限制进程CPU占有率的小东西

    Battle Encoder Shirase 一款能限制进程CPU占有率的小东西 附件:http://down.51cto.com/data/2348334 本文转自 saturn 51CTO博客,原 ...

  4. 写了一个svg七巧板拼图的小东西

    写了一个svg七巧板拼图的小东西,可以拖动移动,改变颜色边框,旋转角度,然后保存图片. 保存图片用到的html2canvas.js和canvg.js,canvg用来将svg转换成canvas,html ...

  5. 计算机网络定义记不住,记不住是怎么回事?——记忆是个神奇的小东西

    有没有感觉最近记忆力衰退?看似简单的内容记起来也挺费事费力,没有以前那么轻松了,是不是感觉自己老了呢?现在回忆起学生时代的学习,我发现初中时是记忆里最好的时候,背诵地理.政治.历史等不费吹灰之力,等到 ...

  6. 向日葵linux远程很卡,血泪经验分享!一个小东西搞定内网财务主机的远程运维...

    原标题:血泪经验分享!一个小东西搞定内网财务主机的远程运维 360行,要说哪一行辛苦,"运维"绝对可以入围!作为一名运维技术人员,每天和电脑主机打交道,转眼也快五年了.最烦的其实就 ...

  7. 双ram口多模块存储器_RAM模块上的灰色小东西是什么?

    双ram口多模块存储器 If you are performing your first ever RAM upgrade, then watching a small piece suddenly ...

  8. 半弧形进门鞋柜:小东西很考究

    半弧形进门鞋柜:小东西很考究  2014-10-28 11:16   网页设计   标签:设计   4921    发表评论 如果你家入户后有1米左右宽度的空位置,很多设计师会建议你做一个简单的半弧形 ...

  9. G++ 4.4.7 无法编译模板程序,Vs可以,和解?智者尾部留言,本人第一次使用vs pro,通常并且习惯在linux下写些小东西,虽然程序简单;...

    G++ 4.4.7 无法编译模板程序,Vs可以,和解?智者尾部留言,本人第一次使用vs pro,通常并且习惯在linux下写些小东西,虽然程序简单; vs 模板编译运行Ok \ linux g++ 4 ...

  10. 【无聊的小东西之自动输入】

    无聊的小东西--自动输入(Python.PyQt5) 文章目录 无聊的小东西--自动输入(Python.PyQt5) 前言 一.问题展示 二.开始胡说八道 三.你以为结束了嘛? 在这里插入图片描述 好 ...

最新文章

  1. Eclipse 创建 Java 项目概述
  2. 一个整数,它加上100后是一个完全平方数,再加上168又是一个完全平方数,请问该数是多少?...
  3. 《看门狗》真人版跑酷!
  4. spring中bean的细节之三种创建Bean对象的方式
  5. Java JDBC连接SQL Server2005错误:通过port 1433 连接到主机 localhost 的 TCP/IP 连接失败...
  6. 初识Mysql(part12)--我需要知道的3条Mysql语句之插入数据
  7. 怎样写 Linux LCD 驱动程序
  8. 手写数字识别中多元分类原理_如何验签名真伪?法大大手写签名识别功能来了!...
  9. 【PyTorch】深度学习实战之PyTorch实现线性回归
  10. KETTLE 新建数据库连接窗口无法打开错误 提示 XUL Definition 错误
  11. 史诗级动态规划 教程 by hch
  12. 20180626 STM32 ---利用KILE5 仿真IO口的波形图
  13. 获取微信昵称乱码php,Android 微信登录昵称乱码问题,及获取微信用户信息
  14. [VBA]Excel 人员信息管理
  15. 李宏毅老师《机器学习》课程笔记-6 GAN
  16. ​抖音怎么养号容易热门,一机两卡养抖音号可以吗
  17. 如何快速入门产品经理?
  18. 第五章.系统安全分析与设计
  19. 马士兵内部资料—《Java面试突击核心讲》共1658页
  20. 如何进行自我职业规划?

热门文章

  1. 多重共线性分析 与 方差膨胀因子VIF
  2. python绘制线段_使用matplotlib绘制线段线
  3. 过原点回归的两条性质的理解
  4. 飞思卡尔系列单片机的censorship的使用
  5. 日本多城现共享单车 日网友:感受到中国式刺激
  6. ucore开启虚拟存储器过程详解
  7. C++ primer (5th) 随想与学习笔记 6 优先级晦涩难通 新标准更清晰
  8. App界面原型设计工具
  9. hidl 原理分析_【一点资讯】安卓手机NFC模拟门禁卡(设置UID)的一种方法 www.yidianzixun.com...
  10. mysql group by 配置_关于mysql group by 的设置