生成樹協議、CDP思科設備發現協議、SSH協議
交換機成環導致:
1 廣播風暴
2 mac地址表震蕩
一個mac在一臺交換機上只能對應一個接口,但一個接口可以對應多個mac
3 重復幀拷貝
生成樹協議:
802.1D、PVST、PVST+、802.1s、802.1w
生成樹協議用於實現二層線路冗余,在網絡中邏輯的阻塞部分接口來實現從源到目的僅有一條唯一路徑;
最佳路徑故障時,阻塞端口自動工作來實現備份的作用;
所謂生成樹,就是在二層網絡中構建一個樹形結構,形成唯一、最短、星型拓撲;
802.1D
公有
PDU:協議數據單元
應用層 報文
傳輸層 數據段
網絡層 數據包
數據鏈路層 數據幀
物理層 比特流
BPDU:橋協議數據單元,跨層封裝到二層;
配置BPDU:最初未選出根橋時所有交換機均會發出,選出根橋後僅根橋可以發出
次優BPDU:TCN,拓撲變更消息
Hello time 2s,Hold time 20s
選舉四個角色:
根網橋:一棵樹僅有一個,負責整棵樹的管理、維護
比較橋ID,橋ID最小的成為根;
橋ID=網橋優先級(默認32768,取值範圍0-65535)+mac
根端口:所有非根設備上存在且僅有一個,負責接收根橋的BPDU和轉發用戶流量
1 基於cost值,比較入向cost(選舉根端口是為了接收BPDU),小則為根端口
Cost值:
10M=100
100M=19
1000M=4
10000M=2
>10000M=1
2 入向cost值相同,比較兩個接口對端交換機的橋ID,最佳對應接口為根端口
3 兩個接口對端橋ID相同,比較對端接口的PID=優先級(默認128)+接口編號(小優)
4 兩個接口對應對端的橋ID、PID和到根的cost值均相同,比較本地接口PID,小優
指定端口:一條鏈路一個,轉發根橋BPDU和用戶流量,根橋的端口全是指定端口
1 比較出向cost值,小優
2 出向cost值相同,比較鏈路兩端設備的本地BID,小優,即未來誰當老大誰為指定端口
3 本地BID相同,比較本地PID,即優先級和接口編號,小優
4 本地PID相同,即一根網線兩頭接同一接口;由於無法控制HUB的接口,為了破環,交換機將直接阻塞自己本身的接口
非指定端口:以上角色選舉完後剩余未被分配的端口,會被阻塞,對控制層面流量只接收不轉發,對數據層面流量不轉發也不接收
mac地址本身用於管理vlan,二層交換機僅一個mac,三層交換機有多個mac;
參選時三層交換機會用自己最小的mac地址;
對生成樹協議的幹涉,至少要關註根網橋位置,最合適的地點為匯聚層設備
接口狀態:
1 down
最初交換機剛插上網線,接口處於down狀態,接口信號燈不顯示;
此時開始通電,信號燈變為橘紅色,開始發BPDU並進入2狀態;
2 偵聽(listening):固定15s
該階段為選舉階段,該階段四種角色全部判定完畢;
判定完畢後,根端口和指定端口進入狀態3
非指定端口進入狀態4
3 學習(learning):固定15s
該狀態的接口需要記錄所有接口收發的mac地址;生成mac地址表;
4 阻塞
非指定端口也非根端口則進入該狀態,指示燈顯示橙色;
5 轉發(forwarding)
指定和根端口進入學習完成後進入該狀態,此時收斂完成;
收斂慢:以前網絡設備運算速度慢
鏈路利用率低:端口被阻塞
直連檢測
當交換機連接根橋的唯一一根網線斷開時觸發直連檢測,再過30s阻塞的接口進入轉發狀態(成為根)
鏈路斷開,交換機從兩個接口均無法收到根的BPDU,於是向阻塞端口發送次優BPDU(即交換機自己的BPDU),另一臺交換機從阻塞端口收到該BPDU後會等待20s的保活時間,然後才進入30s的偵聽、學習階段,總共耗時50s
PVST
私有,基於vlan的生成樹協議
算法與802.1D一致;
僅支持ISL,不支持802.1q;
基於vlan,每個vlan獨立一棵樹,可實現分流、備份,提高鏈路利用率;
基於vlan發出BPDU,分別選舉不同vlan下的根橋、根端口,指定、阻塞端口,具體選舉規則與802.1D一樣;
為了基於不同vlan,在vlan2下發出的BPDU優先級為32770,32770-32768=2,則此時進行的是基於vlan2的選舉;
若不幹涉選舉,最終會使一個mac最小的交換機成為多個vlan的根,所以需要手工幹預選舉,調整優先級使不同交換機成為不同vlan的根;
修改優先級時必須以32768的倍數修改,否則會使一個vlan的BPDU混入其他vlan中;
該協議可以分流;
選舉速度慢;
僅支持ISL;
生成樹多(一個vlan一個);
PVST+
私有,PVST升級版,目前思科交換機默認運行該算法
實現部分加速;
支持802.1q和ISL;
樹多問題未處理;
擁有一個vlan的樹的條件:
設備上創建了vlan 2;
設備連接有vlan 2的用戶或有trunk幹道;
PVST和PVST+幹涉選舉:
1 網橋優先級:影響根橋位置
2 接口優先級或cost值:影響根端口和指定、阻塞端口位置
修改基於vlan2的設備優先級幹涉根橋選舉:
修改SW1為vlan1的主根橋(優先級下調2倍的4096);
修改SW1為vlan2的備份根橋(優先級下調一個4096);
修改某個接口在某個vlan的接口優先級(以16的倍數修改,範圍0-240);
修改某個接口的開銷值;
PVST+部分加速
1 端口加速
將0/1-22調整為portfast接口,調整後接口不參與STP選舉直接進入轉發狀態(指定端口);
Switchport host會將選中的接口全部調整為access模式再做portfast;
一般連接終端的接口使用,trunk幹道一般不使用;
不進入接口的情況下將所有access模式的接口調整為portfast;
不對trunk幹道生效;
2 上行鏈路加速
當接口存在直連檢測的情況下,可以以毫秒為單位快速打開另一個被阻塞的接口,不需要30s偵聽和學習;
運行uplinkfast的交換機橋優先級和接口cost值變大,優先級大則交換機不會搶占根橋,cost值大則交換機上存在阻塞端口可能性變大,存在阻塞端口方便直連檢測;
該命令只能在接入層交換機使用;
3 骨幹加速
所有設備均可配置
針對上面的50s的情況,交換機一個接口對端是根橋的指定端口,另一個接口對端是一個阻塞端口,此時若連接根橋的鏈路故障,則該交換機無法從任何端口收到根的最優BPDU,此時交換機將發出自己的次優BPDU,假設交換機開啟了骨幹加速,則可以省掉維持穩定性的20s,直接進入30s(偵聽+學習),然後原先的阻塞端口進入轉發狀態;
PVST+的優點:
1 基於vlan分流
2 部分加速
3 兼容802.1q
PVST+的缺點:
1 初次收斂30s
2 無直連檢測則仍需30s
3 生成樹多
RPVST/RSTP(cisco)和802.1W(公有)
快速生成樹(1-2s內收斂完成)
不計時,主動切換狀態:直接偵聽決定端口身份,決定好不再等待後直接學習,學習完成後不再等待直接進入相應狀態開始工作
RSTP/RPVST基於vlan,一個vlan一棵樹;
802.1W不基於vlan,多個vlan一棵樹;
調整使用的生成樹協議為RSTP
不是所有接口都支持RSTP:
點到點接口:快速接口即全雙工接口,可以支持
共享接口(share):慢速即半雙工接口,不支持
可以修改接口類型,使其支持RSTP
cisco私有特點:
優點:快速、分流(基於vlan)、兼容(支持802.1q、ISL)
缺點:樹多
公有特點:
優點:快速
缺點:僅一棵樹(不分流,鏈路利用率低)
MSTP/802.1S
多生成樹/組生成樹
快速生成樹;
基於組,一個組一棵樹,將多個vlan加入該組,如vlan1/2/3在組1,vlan4/5/6在組2,總共形成兩棵生成樹;
借鑒PVST,組1的優先級為32769=32768+1,組2的優先級為32770=32768+2,靠優先級區分不同的組,一旦決定運行MSTP,則網絡中所有設備都必須統一運行MSTP;
此時交換機上有3棵樹,0號組樹、1號組樹、2號組樹
0號組包含的vlan
1號組包含的vlan
2號組包含的vlan
此時網絡中所有其他交換機的組vlan信息必須與此交換機保持一致,否則可能出環;
指定交換機的主根
指定交換機的備份根
其余命令基本都是將原來敲vlan的部分修改為mst 組號;
多生成樹協議,會基於不同vlan或不同的組實現多生成樹,此時要求:
本地存在這些vlan且本地有這些vlan的活動用戶或存在活動的trunk幹道,否則交換機上不會出現該vlan的樹;
CDP:思科設備發現協議
可以幫助遠程了解網絡拓撲;
默認開啟且每60s為周期向所有鄰居告知本地信息;
從左到右:
Device ID:顯示連接的對端設備
Local intrfce:本地接口編號
Holdtime
Capability:對端是什麽設備,此處R S表示對端為三層交換機(R=routing,S=switching)
Platform:對端設備型號
Port ID:對端接口編號
可以看到完整的CDP信息(可以提供的信息包括設備名稱、設備的SVI管理地址、操作系統版本、VTP域名、native vlan等信息)
在設備上全局關閉CDP
關閉某個接口的CDP
一般安全起見需要關閉所有連接終端的接口的CDP
SSH
相當於加密版的telnet;
只要1.99以上的版本均稱為版本2;
Linux系統默認開啟SSH登錄服務;
SSH使用非對稱算法(RSA),使用該算法安全性極高,網銀、支付寶均使用該算法;
可以被SSH的設備必定有K,表示設備支持安全加密(SSH)
開啟telnet:
開啟密文登錄認證(開啟SSH):
指定密碼庫名稱,庫名稱為r1.haojian.com(r1.域名)
開啟加密算法,默認生成密鑰長度512
修改密鑰長度為1024
使用SSH從一臺設備登入另一臺設備:
用用戶ccna登錄
指定僅允許ssh:
生成樹協議、CDP思科設備發現協議、SSH協議