动态MAC地址表老化时间为5分钟
当接口down,会删除当前接口动态学到的mac信息
access端口:(接入端口,只能承载 单一vlan流量)
1.接收数据:
查看数据是否携带tag,如果携带,查看vlan id和接口pvid是否相同相同则接受,不同则丢弃;如果不携带,则给数据打上
一个tag且vlan id和接口pvid相同
2.发送数据:
对比数据帧携带的vlan id和接口pvid是否相同,相同则剥离tag,发送原始帧出去;不同则丢弃
trunk端口:干道链路,可以承载多vlan数据
1.接收数据:
查看数据是否携带tag,如果携带,查看放行列表是否允许,如果允许则直接收到交换机内部,如果不允许则丢弃;如果未
携带tag,则打上一个tag,vlan id和pvid相同(trunk接口下的pvid默认为1),然后在查看放行列表,允许则通过,不允
许则丢弃
2.发送数据:
查看放行列表,如果允许放行,则比较vlan id和pvid,相同则剥离tag,发送原始数据帧;如果不同则直接发送。如果不允
许放行则直接丢弃
注:allow all放行所有指的是放行本交换机本地创建的所有vlan,未创建的vlan不包含
hybrid端口:混杂模式,既可以连接终端,又可以连接交换机作为干道链路
配置Voice VLAN:语音VLAN,华为接口只能配置为trunk或者hybrid,思科可以配置为access
VLAN间路由
单臂路由:路由器的一个接口上通过配置子接口的方式,实现原来相互隔离的不同VLAN之间的互联互通。路由器的物理接口可
以被划分成多个逻辑接口,这些被划分后的逻辑接口被形象的称为子接口。
交换机trunk+路由器子接口模式
路由器相关配置:
注:路由器只有子接口才能处理带tag的帧
mux-vlan:一般用于多台路由器之间控制ospf邻居建立关系
端口隔离:在同一个隔离组的端口无法互通,只针对二层访问,且只有本地有效,跨越设备无效
port-isolate enable group ? 将该端口加入一个隔离组
单向隔离:在一个接口下配置,配置后该接口能发信息给对方,对方信息发送不过来
am isolate g0/0/?
ARP代理:路由器默认不处理arp报文,开启arp代理后则会处理
arp-proxy enable 接口下开启arp代理
1.路由式ARP代理:
2.VLAN内ARP代理:用于解决相同vlan内的不同隔离用户之间的互访问题
三层交换机vlanif下进行配置
arp-proxy inner-sub-vlan-proxy enable 开启vlan内arp路由代理
开启后同一端口隔离组内的端口也可进行互访
3.VLAN间ARP代理:用于解决super-vlan的子vlan之间的互访问题
super-vlan(聚合vlan):
QinQ:是二层VPN技术,通过在原有802.1Q标签的基础上增加一层802.1Q标签,QinQ实现了双层VLAN标签的封装,从而
将VLAN数量从4096扩展到4094×4094。通过在用户私网VLAN标签外再封装一层公网VLAN标签,使报文能够穿越运营商网
络。公网设备仅根据外层VLAN标签进行转发,而内层VLAN标签透明传输
配置基本QinQ:同一用户发过来的携带vlan的数据帧,都打上同一tag进行转发
灵活QinQ:可以根据不同vlan打上不同的tag
端口安全:
端口镜像:将指定源的报文复制一份发送到目的端口,通常被用来抓包或者审计监控
1.SPAN 本地端口镜像
2.RSPAN 二层远端端口镜像
3.ERSPAN 三层远端端口镜像
STP:
华为的体系中:STP RSTP MSTP
常用命令:
stp mode stp //修改stp模式
stp priority 0 //修改桥优先级
dis bridge mac-address //查看桥mac地址
stp port priority 1 //修改端口优先级
stp术语:
查看stp信息:
stp工作流程:
stp端口角色:RP:根端口、DP:指定端口
stp端口状态:
1.disable:当接口没有开启stp协议,或接口处于down状态时。这种状态不处理任何BPDU
2.listening:接受BPDU,发送BPDU,不学习MAC地址,不转发数据
3.learning:接受BPDU,发送BPDU,学习MAC地址,不转发数据
4.forwarding:接受BPDU,发送BPDU,学习MAC地址,转发数据
5.blocking:接受BPDU,不发送BPDU,不学习MAC地址,不转发数据
listening-->learning 15s
learning-->forwarding 15s
stp初始状态到完全收敛至少需要结果30s
stp的几个计时器
hello time 2s发送一次
max age 20s未收到BPDU则认为自己是根桥
forwarding delay 转发时延15s
message age BPDU 每转发一台设备+1,最大跳数
stp拓扑变化
当交换机发送拓扑变化时,会发送TCN BPDU给根桥
途径的交换机会给原始交换机回应TCA,并且将TCN BPDU继续发送给根桥
根桥收到TCN后,会将TC/TCA发送给生成树网络中的所有交换机,将所有交换机的MAC地址表老化时间改为15s(一次性)
RSTP:Rapid Spanning Tree Protocol
端口角色扩充:
RP:同stp
DP:同stp
AP:Alternate Port 预备端口:给RP端口做备份的
BP:Backup Port 备份端口:给DP端口做备份
端口状态缩减:
Blocking、Disable和Listening合并为Discarding状态
RSTP快速收敛机制:
P/A机制
初始都认为自己是根桥,此时发送的BPDU的P置位为yes,双方比较BID选举根桥后,非根桥会将P置位为no;在执行P/A
协商时,除边缘端口外的其他端口都会被阻塞
根端口快速切换机制
根端口挂掉后,新的根端口会立即迁移到forwarding状态
次级BPDU处理机制
AP端口在收到次级BPDU后立马发送本地最优BPDU给对端,同时端口角色从AP变更为DP
边缘端口EP的引入
如果将交换机的一个接口配置为EP,交换机开机时,stp进程在接口上运行,发现接口为EP,则会直接进入进入forwarding
状态进行数据转发,无需等30s
stp edged-port enable //将接口使能边缘 端口功能
stp edged-port default //全局使能边缘端口(一定要在连接交换机的端口取消使能)
当把两个边缘端口连接到一起时,会产生临时环路
边缘端口默认向外面发送BPDU,当接收到BPDU时,则会变成一个普通端口,进入正常的stp选举(如果变成普通端口,接口
需要重启后才能恢复)
RSTP如何判断拓扑发生了变化?
当一个非边缘指定端口,进入到了转发状态,则会认为网络拓扑发生了变化。
一旦检测到拓扑发生变化,将进行如下处理:
为本交换设备的所有非边缘指定端口(也包括RP)启动一个TC While Timer,该计时器值是HelloTime的两倍。在这个时间
内,清空状态发生变化的端口上学习到的MAc地址。同时从启用了等待计时器的接口发送RSTBPou,其中Tc置位。一旦
TC WhileTimer超时,则停止发送RST BPDU
其他交换设备接收到TC置位的RST BPDU后,清空除了接受端口和边缘端口以外,所有端口学习到MAC地址,除了收到
RST BPDu的端口。然后也为自己所有的非边缘指定端口和根端口启动TC while Timer,重复上述过程。如此,网络中就会
产生RST BPDU的泛洪
RSTP超时时间:Hello Time×3×时间因子(默认为3) 18s 不再向stp一样依赖于MAX AGE
stp timer-factor 3 //修改时间因子
stp timer max-age 3 //修改stp的max age
边缘端口探测:将会自动把接口设置为边缘端口。
在华为设备中默认开启,只要启用了RSTP的端口在(2×Hello Time+1)秒之后没有收到BPDU,将会自动将端口设置为边缘端口
STP与RSTP兼容问题:
当启用了RSTP的端口,收到了STP BPDU,此时将会把收到此BPDU接口运行的模式改为STP。只有当接口再次收到RST BPDU
之后,才会切换回RSTP。
RSTP安全特性
1.BPDU保护:
当边缘端口收到BPDU时,表示网络产生了不在管理范围内的变化,如果EP开启了BPDU保护功能,一旦收到BPDU就会把收
到BPDU的边缘端口关闭,变为error-down状态,默认不会自动恢复,可以人为设置恢复时间
stp bpdu-protection //开启BPDU保护功能,针对所有边缘端口生效 error-down auto-recovery cause bpdu-protection
interval 30 //开启自动恢复功能,恢复时间为30s
2.根保护
强制一个接口永远为DP端口,不能变成RP端口,防止周围交换机成为根桥。针对不是边缘端口的DP接口,如果收到了更优
的BPDU,那么将会导致二层网络震荡(根桥被抢占)
stp root-protection //开启根保护功能,接口下开启
3.环路保护
在启动了环路保护功能后,如果根端口或AP长时间收不到来自上游设备的BPDU报文时,则向网管发出通知信息(此时根端口
会进入Discarding状态,角色切换为指定端口),而AP则会一直保持在阻塞状态(角色也会切换为指定端口),不转发报文,从
而不会在网络中形成环路。直到链路不再拥塞或单向链路故障恢复,端口重新收到BPDU报文进行协商,并恢复到链路拥塞或
者单向链路故障前的角色和状态。
4.TC-BPDU保护
交换设备在接收到TC BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。如果有人伪造TC BPDU报文恶意攻击交换
设备时,交换设备短时间内会收到很多TC BPDU报文,频繁的删除操作会给设备造成很大的负担,给网络的稳定带来很大隐
患。启用防TC-BPDU报文攻击功能后,在单位时间内,交换设备处理TC BPDU报文的次数可配置。如果在单位时间内,交换
设备在收到TCBPDU报文数量大于配置的阈值,那么设备只会处理阈值指定的次数。对于其他超出阈值的TCBPDU报文,定时
器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。
stp tc-protection interval ? //设置单位时间(默认为2s)
stp tc-protection threshold ? //设置单位时间内处理的次数(默认1次)
stp tc-restriction enable //接口下开启防TC BPDU功能
MSTP:
特点:
将一个或者多个vlan华为到一个实例中,基于每个实例维护一棵生成树,每个实例都叫做一个MSTI。
每个MSTI以RSTP为内核单独运行。
可以为每个MSTI单独配置接口的cost,桥优先级等参数。
stp region-configuration //进入到MST的域配置视图
region-name hcie //修改域名 (默认为mac地址)
revision-level 1 //修改修订级别(默认为0)
instance 1 vlan 2
instance 2 vlan 3
active region-configuration //激活域配置
stp instance 1 root primary //配置交换机为实例1的主根
stp instance 2 root secondary //配置交换机为实例2的备份根
