Mac地址:交換機轉發二層幀的數據庫
結構:VLAN+來源+Mac地址+接口
表建立:交換機會把數據幀進入接口的源Mac記錄,一個接口可以記錄多個Mac。
表老化:表項中的每個記錄計時器舒心都有計時器(300s),計數器啓動——當該記錄沒有數據幀查詢時就會倒計時,一旦有數據幀查詢
端口安全:1.攻擊
Mac地址洪泛攻擊:mac地址洪泛攻擊: mac表的容量是有限的,攻擊者發送大量僞造的mac地址幀,交換學習的時候是沒有識別機制的,這樣一來大量的僞造mac地址就會填滿mac地址表。合法的mac學習因爲沒有
mac空間而學習不到,造成洪泛轉發。
Mac欺騙攻擊:僞造mac地址讓交換機做出錯誤的接口記錄。
端口安全原理:讓交換機記錄正確的mac地址綁定在正確的接口,並且不能修改,一旦修改就會對該接口做出懲罰(告警, 丟棄流量,關閉接口
MAC地址漂移:指設備上一個VLAN內有兩個端口學習到同一個Mac地址,後學習到的覆蓋原MAC地址表項的現象。
避免機制:提高MAC地址學習優先級
避免相同的接口優先級
MAC地址表項覆蓋
Mac地址漂移檢測:利用Mac地址出接口跳變現象,檢測是否發生漂移的功能。
類型:
STP:生成樹協議(802.1D標準生成樹)
交換機之間存在冗餘路徑,以及交換機泛洪機制,導致交換機之間產生二層交換環路。STP就是爲了解決環路問題
環路的影響:廣播風暴、MAC地址表不穩定、數據幀的重複拷貝。
stp解決環路的方式:通過阻塞端口來達到無環,阻塞端口可能更有多個(邏輯性阻塞某個或某些端口)。
在交換機之間,通過發送比較信息,選擇在環路之間應該被阻塞的接口
發送比較信息,BPDU ---網橋協議數據單元
BPDU類型
1.BID :網橋標識符,用於表示該交換機或網橋在該生成樹中的唯一性
BID優先級:默認值爲32768,數值範圍0-65535(BID優先級數值必須爲4096的倍數, 範圍也可稱爲0-61440),再使用BID優先級時,數值越小越優
Mac 地址:本交換機上背板地址池中最小的MAC地址,mac地址越小越優
2.root ID:根標識符 ,在一棵生成樹中表示唯一根.使用最優質的BID表示
3.Cost值,路徑開銷,描述了本接口到達根的路徑開銷值,數值越小越優,經過不同的鏈路增加對應的cost
4.port ID ,端口標識符,用於表示本交換機上接口的唯一性標識。構成:PID優先級+port number(比較Mac地址)
PID優先級:默認爲128,數值範圍0-255(PID優先級必須爲16的倍數,所有範圍 0-240),數值越小越優
Port number:端口號,表示了本交換機該接口的唯一性,一般爲接口的端口號標識(比較Mac地址),數值越小越優
5.生成樹中的計時器
Hello時間:默認2s,配置BPDU的發送間隔
Max age :最大等待時間,默認20s,hello數據包的超時時間以及從blocking進入 listening 狀態等待時間
Message age :消息時間,也稱消息的老化時間,實際上等於MAC地址老化時間, 默認300s,在啓用portfast等特性時變爲15s
Forward delay :轉發延時,默認15s ,在生成樹中狀態切換間隔
交換機角色:分爲根網橋和非根網橋
端口角色:根端口、指定端口、非指定端口(阻塞端口)
端口狀態切換:
Blocking :阻塞狀態,不能發送BPDU,接收BPDU,不能發送和接收數據,被動等待 20s進入下一狀態。(選根橋與根端口)
Listening :監聽狀態,可以發送和接收BPDU,不能發送和接收數據,進行STP選舉, 被動等待一個forward delay 15s進入下一狀態(指定與非指定)
Learning :學習狀態,可以發送和接收BPDU,不能發送和接收數據,可以學習BPDU 中的源MAC地址(MAC地址學習狀態),被動等待一個forward delay 15s進入下一 狀態
Forwarding :轉發狀態,可以發送、接收BPDU和數據,mac地址學習和生成樹接口 狀態切換完成
根網橋選舉:具有最優BID的交換機爲根網橋
根端口:用於接收來自根的BPDU信息,只能存在於非跟網橋之上,並且一個交換機 只能存在一個.
根端口選舉: 1.最小cost值 2.發送方最小的BID 3.發送方的PID 4.本地PID
指定端口: 端口,根網橋的所有接口全爲指定端口用於發送或轉發BPDU信息,存在於每條鏈路中,一條只能存在一個指定
非指定端口(阻塞端口):邏輯上打破接口。
優點:樹少、簡單、
缺點:生成樹收斂速度慢(默認共計收斂時間50s),基於計時器收斂、不能進行負載分擔
RSTP:(802.1W,快速生成樹),不再依賴於生成樹中的計時器進行收斂,使用BPDU中flags字段中的信息進行分佈式收斂。依賴互相發送BPDU中proposal (請求) 和 agreement (同意),使用分佈式BPDU交互,可以在2-3s之內完成生成樹收斂.
BID PID RID , 相關計時器 都與802.1D完全相同。
端口角色:
根端口(RP):
指定端口(DP):
替代端口(AP):在同一交換機上使用阻塞端口代替根端口,阻塞端口稱爲替代端口.(自動集成uplinkfast特性)
備份端口(BP):在同一交換機上,使用阻塞端口備份指定端口,阻塞端口稱爲備份端口
端口狀態:
Discarding :丟棄狀態,合併了blocking和listening 狀態
Learning:學習狀態
forwarding:轉發狀態
802.1w中定義了端口角色:
邊緣端口:edge port ,非trunking,access接口,
非邊緣端口:nonedge port ,trunking 接口
802.1W中的鏈路類型:link-type ,在P2P中纔可以啓用RSTP,在shared中不支持RSTP,僅僅工作在STP
P2P:點對點鏈路類型,全雙工鏈路上
Shared :共享性鏈路類型,半雙工鏈路上
選舉新的指定端口:proposal——agreement
說明:RSTP使用“Proposal-Agreement”協商機制加快非邊緣端口成爲新的指定端口之後,從Discarding狀態進入Forwarding狀態的速度。
本例中,假設最初網絡中各交換機的優先級優先次序爲SWA>SWB>SWC>SWD;因此SWA爲根交換機,SWD的E0/1爲Alternate Port,處於Discarding狀態。假設修改SWD的交換機優先級使優先級次序爲SWD>SWA>SWB>SWC;協商機制的工作過程如下:
(官方說明)1. SWD立即成爲根交換機,E0/1和E0/2立即成爲指定端口,E0/2保持轉發狀態不變,E0/1向外發送一個Proposal(建議),Proposal是設置了一個標誌位的RST BPDU,此BPDU中同時包含計算生成樹的參數;
2. SWC收到Proposal之後,計算生成樹,設置E0/1爲根端口,保持轉發狀態,E0/2爲指定端口。如果收到Proposal的端口是新的根端口,則設置所有非邊緣指定端口爲Discarding狀態,並向外發送新的Proposal,如果所有的非根端口都需要進入Discarding狀態或者是邊緣端口,則直接在接收到Proposal的根端口上向外發送Agreement;本例中,SWC設置E0/2爲Discarding狀態並向外發送新的Proposal;
3. SWA收到Proposal之後,計算生成樹,設置E0/1爲預備端口,設置E0/2爲根端口,如果收到Proposal的端口需要進入Discarding狀態,則在該端口進入Discarding之後,向外發送一個Agreement(同意);
4. SWC的E0/2收到Agreement之後,立即進入轉發狀態,在所有非邊緣指定端口收到Agreement之後,SWC在根端口上向外發送Agreement;
5. SWD在指定端口上收到Agreement之後,立即進入轉發狀態。