文章插图
文章插图
交换机(Switch)是一种用于电信号转发的网络设备,它可以为接入交换机的任意两个网络节点提供独享的电信号通路,最常见的交换机是以太网交换机,其他常见的还有电话语音交换机、光纤交换机等,交换机是集线器的升级替代产品,理论上讲交换机就是按照通信两端传输信息的需求,将需要的信息发送到目标设备上的网络组件.
文字描述,摘抄自《网络设备配置与管理》精简内容,部分内容来自华为《HCIP 安全认证》课程笔记,适合学习面试,其中的架构图,与搭建流程为自己规划并实验的 。STP 技术简介冗余技术概述STP生成树协议RSTP 快速生成树生成树的配置配置端口聚合配置端口安全1.STP 技术简介冗余技术概述
冗余技术又称为储备技术,是利用并联模型来提高网络可靠性的一种手段,它通过向网络中增加备用的链路,当一条通信信道出现故障时,自动切换到备用的通信信道,从而提高网络的稳定性和可靠性.
冗余技术虽然可以提高网络的稳定性和可靠性,但是也会产生许多的问题,如果两个交换机相连的话会造成交换机环路,出现的问题就是随机出现网络不通的现象,严重的话还会导致网络广播风暴,重复拷贝帧,MAC地址表不稳地等情况,但如果是智能交换机的话则不会出现此种情况,以下将分别介绍这几种环路的基本原理.
广播风暴: 在物理网络中出现环路现象,且没有采取解决措施的情况下,一旦域内有某个主机发送了广播帧,则当域内的交换机接收到数据后,就会不停地发送和转发广播帧,从而形成网络广播风暴,网络广播风暴会长时间占用网络带宽,和交换机CPU资源,影响网络性能,甚至引起整个网络瘫痪.
重复拷贝帧: 重复拷贝帧也称多帧复制,是指单播帧可能被多次复制传送到目标主机上去,此时数据帧的多个副本会保存在目标主机上,从而造成主机资源的浪费,甚至会造成目的主机无法选择其他来源的数据帧而导致数据丢失,简单的来讲就是数据分别从两个口进入了目的主机,导致目的主机MAC地址表中存在多个数据帧,有时还会导致数据的多次覆盖,从而无法接收到准确的数据.
MAC地址表不稳定: 一般情况下交换机接收到数据时,会将接收数据帧的端口与发送主机MAC地址的对应关系添加到本机的MAC地址表中,那么如果交换机在不同的端口接收到同一个数据帧的多份副本,将造成MAC地址表在短时间内被多次修改,和循环重复的覆盖,从而影响MAC地址表的稳定性.
以上几种情况是冗余技术的技术瓶颈所在,在实际的应用中网络的结构往往会很复杂,有更多的冗余链路,从而会产生更多的交换机环路,因此所带来的网络广播风暴,多帧复制会更加的严重,就因为这种需求,STP就由此诞生了.
STP生成树协议
为了解决网络冗余链路所产生的问题,IEEE定义了802.1D协议,即生成树协议STP,利用生成树协议可以避免帧在环路中的增生和无限循环,生成树的主要思想是,当两个交换机之间存在多条链路时,通过一定的算法只激活其中最主要的一条链路,而将其他冗余链路阻塞掉变为备用链路,当主链路出现问题时,生成树协议将自动启用备用链路,整个过程不需要认为干预.
STP协议中定义了,根桥(RootBridge),根端口(Root Port),指定端口(Designated Port),路径开销(Path Cost)等概念,目的在于通过构建一棵自然树的方法阻塞冗余链路,同时实现链路备份和链路最优化.
STP协议的通信,是通过桥协议数据单元(BPDU)进行通信的,它是运行STP的交换机之间交流消息帧,所有的支持STP协议的交换机都能接收并处理BPDU报文.
STP工作过程: 选举根桥->选举根端口->选举指定端口->STP阻塞非根
选举根桥:交换机假定自己是根,然后发送BPDU报文给其他交换机,最终选出ID号最小的交换机作为根桥.选举根端口:每台非根交换机都会选举出一个根端口,并且仅有一个根端口,并按照优先级选择一个根端口.选举指定端口:选择一条网桥到根桥的路径成本最小的路径,或者发送方的网桥ID最大的作为指定端口.选择阻塞端口:至此,就会根据STP算法,从多个链路中选择性的阻塞掉一些端口的数据通信.STP端口状态:阻塞(Blocking):端口只接受BPDU,不能接收或发送数据,也不能把学习到的MAC地址添加到MAC地址表中.转发(Forwarding):端口能够接收并转发数据,也能够学习MAC地址,并添加到MAC地址表中.侦听(Listening):该状态是从阻塞到转发状态过程中的临时状态,该状态只能发送和接受BPDU数据.学习(Learning):该状态是从阻塞到转发状态过程中的临时状态,该状态不能够发送或接收数据.关闭(Disable):该状态端口只提供网络管理服务,不能接受发送任何数据,也就是停止服务的状态.RSTP 快速生成树
STP协议虽然解决了链路闭合引起的死循环问题,但是在端口从阻塞状态到转发状态间经过了一个只学习MAC地址但不参与转发的过程,产生了转发延时(默认15秒),从而使得生成树的收敛过程需要较长的时间,一般是转发延时的两倍.
为了解决STP收敛时间过长的缺点,IEEE又推出了802.1w标准,定义了RSTP(快速生成树)协议.RSTP协议在网络配置参数发生变化时,能够显著地减少网络的收敛时间,由于RSTP是从STP发展而来的,其与STP协议保持高度的兼容性,RSTP协议规定,在某些情况下,处于阻塞状态的端口不必经历阻塞->侦听->学习->转发这一个过程,就可以直接进入转发状态.
RSTP协议只有以下三种:
丢弃(Discarding):RSTP将STP中的阻塞,禁用,和侦听统称为丢弃模式.学习(Learning):拓扑有所变动情况下,端口处于学习状态并学习MAC地址,将其添加到MAC地址表.转发(Forwarding):在网络拓扑稳定后,端口处于转发状态,并开始转发数据包.
以上就是生成树协议的常用内容,对比后会发现,RSTP的收敛时间明显低于STP,解决了数据同步过慢的问题所在.
2.生成树的配置
接下来通过一个具体的实例,来完成生成树的配置命令和配置流程的实践,以下实验我们将把Switch1(三层交换)配置成根桥,将Switch2(二层交换)配置为备份根桥,实验拓扑结构如下图:
判断根桥: 首先我们需要判断当前的根桥是哪一个设备,我们分别在四台交换机上执行show spanning-tree 命令,来查询默认哪一台是根桥设备,以下实验显示结果为Switch4是根桥设备.
Switch1#showspanning-tree//查询switch1是否为根桥Switch2#showspanning-tree//查询switch2是否为根桥Switch3#showspanning-tree//查询switch3是否为根桥Switch4#showspanning-tree//查询switch4是否为根桥VLAN0001SpanningtreeenabledprotocolieeeRootIDPriority32769//根桥ID的优先级Address0003.E41C.0B2C//根桥的MAC地址Thisbridgeistheroot//出现这条语句,则说明这台是交换机根桥HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32769//网桥ID优先级Address0003.E41C.0B2C//网桥的MAC地址HelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/2DesgFWD19128.2P2pFa0/1DesgFWD19128.1P2p
指定根桥: 我们想让Switch1(三层交换)作为根桥设备,此时可在三层交换机上,直接通过以下命令,更换根桥设备.Switch1>enableSwitch1#configureterminalSwitch1(config)#spanning-treevlan1rootprimary//将本设备配置成根桥Switch1(config)#exitSwitch1#showspanning-tree//查询是否配置成功VLAN0001SpanningtreeenabledprotocolieeeRootIDPriority24577Address0004.9A4C.052DThisbridgeistheroot//看到这里,说明配置成功了HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority24577(priority24576sys-id-ext1)Address0004.9A4C.052DHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2p
指定备份根桥: 接下来将Switch2(二层交换)指定为备份根桥,当Switch1出现故障后,Switch2将被选举为根桥设备,从而保证网络的正常运转,修改方式通过以下命令即可实现.Switch2>enableSwitch2#configureterminalSwitch2(config)#spanning-treevlan1rootsecondary//将本设备配置成根桥Switch2(config)#exitSwitch2#showspanning-treeVLAN0001SpanningtreeenabledprotocolieeeRootIDPriority24577Address0004.9A4C.052DCost19Port1(FastEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority28673(priority28672sys-id-ext1)Address00E0.8FAC.DC89HelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/2DesgFWD19128.2P2pFa0/1RootFWD19128.1P2p
此时配置到这里,我们可以手动关闭Switch1(三层交换),然后去查看Switch2(二层交换),通过show spanning-tree命令,你会发现当三层交换机关机的时候,二层交换机默认变成了根桥,顶替了Switch1的工作,当Switch1启动后,默认会将Switch1再次恢复成根桥.3.配置端口聚合
在我们的实际生产环境中,常常将交换机之间用多条链路连接起来,以获得更高的传输能力和网络性能,但根据之前的生成树协议,当交换机之间有冗余链路时,实际工作的链路只有一条,也就是说生成树协议阻碍了网络传输能力的提高.
为了解决生成树协议的传输能力的不足,出现了一种名为端口聚合的技术,它将多条物理链路组合成一条逻辑线路,实现链路带宽的增加,且还具有冗余作用,当其中部分链路出现故障时,其他链路还可以继续传输数据.
但是并不是所有的端口都可以任意聚合,端口聚合需要满足以下条件.
聚合的端口配置需要相同,包括端口速率和传输介质等.聚合的端口必须属于同一个VLAN,也就是不许在一个虚拟局域网中.聚合的端口类型必须相同,二层端口只能二层聚合,三层端口只能三层聚合.
端口聚合形成的逻辑端口称为聚合端口,端口聚合后原来端口的属性就会被聚合端口的属性所覆盖,也不能在源端口上做任何配置,实现端口聚合后,即使网络链路出现故障,只要不是所有链路都故障,网络还是可以继续运行的,只不过网络传输速度会降低而已.
下面将用一个具体的实例讲解端口聚合的配置方法和配置过程,包括创建聚合端口,配置聚合端口的工作方式和配置负载平衡,首先分别创建两个三层交换机,并通过网线fa0/1-4相连,拓扑图如下:
创建聚合端口: 在两台交换机上分别创建聚合端口,且两台交换机端口要一致.
#----在Switch1上操作-------------------------Switch1(config)#interfaceport-channel1//创建端口号为1的聚合端口(Switch1)Switch1(config-if)#exit#----在Switch2上操作-------------------------Switch2(config)#interfaceport-channel1Switch2(config-if)#exit
添加聚合端口: 将图中的fa0/1-4端口加入到聚合端口中,且两台交换机都需要配置.#----在Switch1上操作-------------------------Switch1(config)#interfacerangefa0/1-4//选择配置聚合的端口范围Switch1(config-if-range)#channel-group1modeon//将所选端口加入到1号聚合,并启动#----在Switch2上操作-------------------------Switch2(config)#interfacerangefa0/1-4Switch2(config-if-range)#channel-group1modeon
配置负载平衡: 接下来分别在,交换机Switch1和交换机Switch2上配置根据源MAC地址的负载平衡.#----在Switch1上操作-------------------------Switch1(config)#port-channelload-balancesrc-mac//配置负载平衡模式为src-mac#----在Switch2上操作-------------------------Switch2(config)#port-channelload-balancesrc-mac
配置聚合端口: 继续配置聚合端口属性,在交换机Switch2上配置聚合的属性.#----在Switch2上操作-------------------------Switch2(config)#interfaceport-channel1//选择聚合端口Switch2(config-if)#switchportmodetrunk//配置聚合端口工作模式为Trunk
查询是否生效: 最后通过使用show etherchannel summary命令,查询聚合情况,两台交换机都可查询到.Switch1#showetherchannelsummaryFlags:D-downP-inport-channelI-stand-alones-suspendedH-Hot-standby(LACPonly)R-Layer3S-Layer2U-inusef-failedtoallocateaggregatoru-unsuitableforbundlingw-waitingtobeaggregatedd-defaultportNumberofchannel-groupsinuse:1Numberofaggregators:1GroupPort-channelProtocolPorts//四个端口都加入了聚合链路中------+-------------+-----------+----------------------------------------------1Po1(SU)-Fa0/1(P)Fa0/2(P)Fa0/3(P)Fa0/4(P)//这里显示
根据上面的返回信息可以看到,fa0/1,fa0/2,fa0/3,fa0/4都加入到了聚合端口1,使用相同的命令也可以查询到二号交换机的配置情况.4.配置端口安全
在实际的生产环境中,对于有较高安全要求的设备,可以使用端口安全技术(Port Security)来提高网络的安全性,端口安全技术可在接入层验证接入设备,防止未经允许的设备接入到网络中,还可以限制端口接入的设备数量,防止过多设备接入网络,影响网络速率.
配置端口安全有两种,动态绑定和静态绑定
动态绑定:该方法是配置端口安全最简单的方法,在一个已经启用的端口上配置动态绑定后,可以让交换机自动绑定最先接入的规定数量的设备,该方法也是最常用的一种绑定方式.静态绑定:动态绑定时,一旦交换机重启,首先接入交换机的设备可用会发生变化,为保证安全性,可以根据MAC地址或IP地址指定可接入网络的设备.
接下来看一个具体的实例,来实现端口安全的配置,包括端口绑定端口违规的处理等,实验拓扑图参数如下:
启用端口安全: 配置交换机Switch0启用fa0/1端口,配置端口时应先关闭端口,否则会报错误.
Switch0(config)#interfacefa0/1//选择1号端口Switch0(config-if)#shutdown//先关闭端口,防止冲突Switch0(config-if)#switchportmodeaccess//配置端口工作模式为TrunkSwitch0(config-if)#switchportport-security//启用端口安全Switch0(config-if)#noshutdown//开启端口
【网络端口怎么设置更改8700 网络端口怎么设置无线网络】配置静态地址: 静态指定允许接入的设备的MAC地址,首先要知道MAC地址是多少.C:>arp-a//首先查询到两台机器MAC地址是多少PC00001.4272.5EE7PC100D0.589B.0C35
#----绑定MAC地址列表-----------------------------Switch0(config)#interfacefa0/1//选择配置端口Switch0(config-if)#switchportport-securitymaximum2//配置最大允许2台设备接入Switch0(config-if)#switchportport-securitymac-address0001.4272.5EE7//绑定MAC地址Switch0(config-if)#switchportport-securitymac-address00D0.589B.0C35Switch0(config-if)#switchportport-securityviolationshutdown//配置违规后关闭指定端口Switch0(config-if)#noshutdown//启动这些端口Switch0(config-if)#exit
#----查询绑定MAC地址列表-------------------------Switch0#showport-securityaddress//查询绑定的MAC地址列表SecureMacAddressTable-------------------------------------------------------------------------------VlanMacAddressTypePortsRemainingAge(mins)-------------------------------------100D0.589B.0C35SecureConfiguredFastEthernet0/1-//绑定的MAC地址10001.4272.5EE7SecureConfiguredFastEthernet0/1-------------------------------------------------------------------------------TotalAddressesinSystem(excludingonemacperport):1MaxAddresseslimitinSystem(excludingonemacperport):1024
配置动态地址: 动态分配接入设备的MAC地址,此配置无需绑定MAC地址,会接入最先访问的主机MAC地址.Switch0(config)#interfacefa0/1//选择指定端口Switch0(config-if)#switchportport-securitymaximum2//配置最大接入MAC地址为2Switch0(config-if)#switchportport-securitymac-addresssticky//自动获取接入设备Switch0(config-if)#switchportport-securityviolationshutdown//对违规设备拒绝服务Switch0(config-if)#noshutdown//启动这些端口Switch0(config-if)#exit
最后查询结果: 查看配置结果以及分配情况,使用show port-security interface fa0/1命令,查看fa0/1端口的配置结果.Switch0#showport-securityinterfacefa0/1//查看端口fa0/1的接入情况PortSecurity:Enabled//端口安全是否启用PortStatus:Secure-up//端口状态ViolationMode:Shutdown//违规端口的处理方式AgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:2//允许接入的最大设备TotalMACAddresses:2//当前接入的设备数量ConfiguredMACAddresses:2//静态配置的MAC地址数量StickyMACAddresses:0//动态配置的MAC地址数量LastSourceAddress:Vlan:0000.0000.0000:0//标注出违规设备的MAC地址SecurityViolationCount:0//安全违规计数器
完成上方的配置后,手动在Switch0交换机上新添加一个PC2主机,则一切正常,而如果在Hub集线器上添加一个PC3主机,那么链路将触发违规动作,如果此时使用show port-security interface fa0/1 命令查询会发现,Security Violation Count:1安全违规计数变成了1.如果更换了主机设备,这里通过更改PC1主机的MAC地址来模拟设备的更换,然后再测试会发现Last Source Address:Vlan这一个选项,会具体的标注出违规设备的MAC地址.
- 怎样安装xp系统教程 xp怎么装系统步骤图解
- cad块编辑教程 cad怎么把块编辑器调出来
- 电信爱wifi怎么激活 电信移动wifi怎么办理
- excel怎么打印所有内容 excel表格内容怎么全部打印出来
- 不是打印虚线 excel表格有虚线怎么去掉 excel表格中有虚线怎么去掉
- 苹果5s设置铃声教程 5s怎么设置铃声歌曲
- 我的圣诞节过成了圣诞劫 圣诞节结婚怎么样
- 过圣诞节怎么发朋友圈文案 圣诞节朋友圈可爱文案
- 老公总嫌弃我乱花钱 老婆乱花钱应该怎么劝
- ipad的id密码忘记了怎么办还没有邮箱 苹果ipad的id和密码,邮箱都忘记了怎么办