將根據下圖整理一下交換機的大部分配置。
![]()
一、基本設置
switch A
(config)# hostmane SA //配置名字爲SA
SA(config)# interface vlan 1
SA(config-if)# ip address 192.168.1.1 255.255.255.0 //配置管理ip
SA(config-if)# no shutdown
SA(config)#enable secrect //設置密碼
SA(config)#line vty 0 15 //設置telnet密碼
SA(config)# password elitek
SA(config)#login
SA(config)#line console 0 //設置控制口的密碼
SA(config-line)#password elitek
SA(config-line)#login
SA(config)#aaa new-model //啓用AAA認證
SA(config)# username khp password honyi //設置用戶名和密碼
SA(config)#crypto key generate rsa modulus 2048 //啓用ssh會話,產生ssh會話所需要的密鑰。此處用rsa類型的密鑰,不同的IOS用不同的密鑰。
SA(config)#ip name-server 192.168.1.8 //設置DNS服務器
SA(config)# ip domain-name elitek //設置所屬域名
SA(config)# ip domain-lookup //啓用DNS解析
二、VLAN的劃分
(一)vlan劃分要明白幾個主要知識點:
1、vlan的作用及vlan種類:
VLAN的作用:劃分廣播域,不同VLAN之間不相互廣播,不能直接通信。需路由器或三層交換機才能讓各VLAN之間通信。
VLAN的種類: 分爲靜態VLAN和動態VLAN。
靜態VLAN:手工指定交換機端口屬於哪個VLAN。以靜態VLAN爲主。
動態VLAN:用終端的MAC地址來劃分VLAN。終MAC地址與VALN的對應數據庫存於一個VMPS服務器內。
還可依IP地址和用戶名劃VLAN,分別屬於三層,四層。
2、鏈路聚集及鏈路聚集協議
(1)鏈路聚集:幹道(trunk)能夠在單條物理鏈路中承載多個vlan的流量。即一條交換機到交換機的幹線中可以傳輸多個VLAN。
(2)鏈路聚集協議:在幹道中用於傳輸多個VLAN的協議。分爲:ISL、802.1Q、DTP
ISL: 這個協議是CISCO專有的。用在純CISCO環境下使用。支持1---1005編號的VLAN。
802.1Q:這個協議是業界標準。支持1--4094編號的VLAN。
DTP: 也是CISCO專有的點到點協議。並用DTP協議來協商鏈路聚集的狀態。
3、鏈路聚集模式
(1)on (trunk): 本端口爲開啓模式。不管對端鄰接接口是什麼模式,都永遠作爲幹道中繼接口。
(2)off: 本端口不作爲幹道中繼接口。不管對端鄰接接口是什麼模式,即使對端中開啓(on)模式也不作爲中繼接口。
(3)desirable(企望):只要對端鄰接接口可以成爲中繼接口,他就成爲中繼接口。是主動嘗試將鏈路轉換爲幹道中鏈路。對端接口模式爲:trunk 、 desirable 、auto他都會變爲中繼接口。
(4)auto(自動): 與其相連的對端鄰接接口讓其成爲什麼就是什麼。接口願意將鏈路轉爲幹道中繼端口。和desirable的區別是,desirable是主動的,auto是被動的。對端接口模式是:trunk、 desirable就會變成中繼接口.
(5)nonegotiate(非協商):此模式也是把端口強行打開爲口繼接口。與trunk模式一樣。區別是:禁止接口產生DTP信息。對端端口一定要爲trunk,否則會出錯。
4、 VTP
VTP能夠在整個交換網絡中分發和同步VLAN的相關信息,維護VLAN配置的一致性。 每臺交換機只支持單個VTP域。
(1) VTP的工作模式:
server(服務器模式): 可創建、修改、刪除VLAN; 中繼端口向外發送或接收並轉發從VTP域中其他交換機接收到的最新信息; 接收到的信息同步自已的VLAN配置中; 將vlan配置存到NVRAM中。
clinet(客戶模式) : 不能創建、修改、刪除VLAN; 中繼端口接收並轉發從VTP域中其他交換機接收到的最新信息; 接收到的信息同步到自已的vlan配置中; 不能將vlan配置存到NVRAM中。
transparent(透明模式):只能在本地交換機中創建、修改、刪除VLAN; 中繼端口接收並轉發從VTP域中其他交換機接收到的最新信息; 接收到的信息不能同步到自已的vlan配置中;可將本地配置存於NVRAM中。
透明模式的交換機不參與VTP。所以不會通告自已的VLAN配置,也不把接收到的VTP通告與自已的VLAN數據庫同步。透明交換機的版本號總爲0 (vtp根據版本號來更新自已的數據庫,當比自已的版本號大時,就會更新。但透明交換機版本號總爲0 ,所以就不會更新)
off(關閉模式): 只有基於catos操作系統的才支持此模式。與透明模式類似。只是關閉模式不接收從VTP域中其他交換機收到的最新信息,直接丟棄VTP通告。
(2)VTP版本 :有vtp1和vtp2。vtp1爲默認版本。vtp2支持令牌環,VTP1不支持。 vtp1透明模式時,要檢查域名和密碼,如果匹配纔會轉發;但vtp2不檢查,直接轉發。
(3)VTP修剪 : 把不必傳遞的信息不轉發。或不接收不屬於自已的信息。 幹道接口承載VTP管理域內的所有VLAN的流量。很多情況下,VTP域中的所有交換機並不會配置整個VTP域中的所有VLAN。所以全部VLAN都進行轉發和接收會佔很大的帶寬。可以進行修剪,不需要接收或轉發的VLAN信息。
(4)VTP認證:新加入的交換機會自動加入到非安全管理域,所以需設置域名和密碼來保證VTP域的安全。確保相同域的所有交換機的域名和密要相同。
所以trunk有三點:一是封裝類型,二是接口模式,三是兩端的VTP信息是否匹配。
配置詳情清單:
switch A
(config)# hostmane SA //配置名字爲SA
SA(config)# interface vlan 1
SA(config-if)# ip address 192.168.1.1 255.255.255.0 //配置管理ip
SA(config-if)# no shutdown
SA(config)#vlan database //進入vlan配置模式
SA(vlan)#vtp domain zj8s //設置域名
SA(vlan)#vtp password cisco //設置域密碼
SA(vlan)#vtp server //設置交換機VTP工作模式,此處是server模式,可以創建VLAN。不同的交換機此處命令稍有不同。
SA(vlan)#vtp purning //啓用vlan修剪
SA(config)#vlan database //進入VLAN配置模式
SA(vlan)#vlan 2 name zj29t //創建VLAN並設置VLAN名
SA(vlan)#vlan 3 name zj30t
SA(vlan)#vlan 4 name zj31t
// fast0/1和fast0/2屬於ethernetchannel裏的知識,暫不配置。
SA(config)#interface fast0/3 //進入fast3號端口
SA(config-if)#switchport mode trunk //設置端口的中繼模式爲trunk
SA(config-if)#switchprot trunk encapslation dot1q //設置端口中繼協議爲802.1q
SA(config-if)#switchport allowed vlan all //允許所有VLAN經過此中繼傳輸
SA(config)#interface fast0/4 //進入fast3號端口
SA(config-if)#switchport mode trunk //設置端口的中繼模式爲trunk
SA(config-if)#switchprot trunk encapslation dot1q //設置端口中繼協議爲802.1q
SA(config-if)#switchport allowed vlan 2-3 //只允許VLAN2和vlan3經過此中繼傳輸
SA(config-if)#switchport trunk purning vlan 4 //修剪vlan4的信息。因爲這個端口只接有兩個VLAN,所以可以修剪vlan4 ,以減少通告帶寬。
switch C
config)# hostmane SC //配置名字爲SA
Sc(config)# interface vlan 1
Sc(config-if)# ip address 192.168.1.3 255.255.255.0 //配置管理ip
Sc(config-if)# no shutdown
Sc(config)#vlan database //進入vlan配置模式
Sc(vlan)#vtp domain zj8s //設置域名
Sc(vlan)#vtp password cisco //設置域密碼
Sc(vlan)#vtp mode client //設置交換機VTP工作模式,此處是client模式,不可以創建VLAN,只轉發和同步信息。不同的交換機此處命令稍有不同。
Sc(config)#interface fast0/1 //進入fast1號端口
SC(config-if)#switchport mode trunk //設置端口的中繼模式爲trunk
SC(config-if)#switchprot trunk encapslation dot1q //設置端口中繼協議爲802.1q
SC(config-if)#switchport allowed vlan all //允許所有VLAN經過此中繼傳輸
Sc(config-if)# no shutdown
SC(config)#interface fast0/2 //進入fast2號端口
SC(config-if)#switchport mode trunk //設置端口的中繼模式爲trunk
SC(config-if)#switchprot trunk encapslation dot1q //設置端口中繼協議爲802.1q
SC(config-if)#switchport allowed vlan 1,2,3,4 //允許vlan 1,2,3,4四個VLAN
Sc(config-if)# no shutdown
SC(config)#interface fast0/3 // 進入端口3
SC(config-if)#switchport mode access //接口爲access模式,即接入端口
SC(config-if)#switchport access vlan2 //端口加入vlan2
Sc(config-if)# no shutdown
SC(config)#interface fast0/4 // 進入端口4
SC(config-if)#switchport mode access //接口爲access模式,即接入端口
SC(config-if)#switchport access vlan3 //端口加入vlan3
Sc(config-if)# no shutdown
SC(config)#interface fast0/5 //進入端口5
SC(config-if)#switchport mode access //接口爲access,即接入端口
SC(config-if)#switchport access vlan4 //端口加入vlan3
Sc(config-if)# no shutdown
(二)pvlan(私有vlan)
三、 生成樹協議 (stp)
(一)生成樹協議基礎
1、生成樹協議的作用:生成樹協議是爲了避免冗餘網絡中造成環路。
2、生存樹協議的幾個基本概念:
(1)網橋標識符:(網橋ID)生成樹爲每個網橋或交換機分配唯一的標識符。也叫網橋ID。
網橋ID=2字節優先級值+6字節的MAC地址 。mac地址值是唯一的,所以網橋ID也是唯一的。 網橋優級值越小,優先級越高。默認是32768,範圍是0~65535。
(2)生存樹路徑開銷:生成樹路徑開銷是以路徑中所有鏈路開銷累加起來的總路徑開銷。是以鏈路的帶完爲基礎的。 10Gbit/s默認路徑開銷爲2 ;1Gbit/s爲4 ; 100Mbit/s爲19 ;10Mbit/s爲100
(3)橋接協議數據單元(bpdu)的作用:選舉根網橋;確定冗餘路徑的位置;通告網絡拓撲變更; 監控網絡生成樹狀態;阻塞特定端口避免環路。
分爲:配置BPDU和TCN BPDU(拓撲通告變更BPDU)。
3、生成樹協議的操作過程:
(1)根據網橋ID選舉一個根網橋。網橋ID值最小的成爲根網橋。因爲網橋ID是優先級+mac地址表示,所以優先級值最小的成爲根網橋;優先級相同時,mac值最小的成爲根網橋。
(2)選擇所有非根網橋的根端口。與根網橋最近的端口或路徑開銷最小的端口成爲一個網橋的根端口。每個網橋只選一個根端口。與根網橋直連的端口一定是根端口。
根端口的選舉方法:到達根網橋路徑開銷最小的作爲根端口-->路徑開銷相同時,端口優先級值低(即端口優先級高)的作爲根端口-->端口優級相同時,MAC地址值小的作爲根端口。
(3)選擇所有網段的指定端口。從每個網段找出一個指定端口,到達根網橋路徑開銷小的端口爲網段的指定端口,當開銷相同時,網橋ID小的爲指定端口。根網橋的所有端口都是指定端口。
(4)阻塞其他端口
(二)802.1D 協議 (stp)
對整個網絡生成一個無環網絡。
1、stp(802.1d)端口的狀態:
阻塞(不轉發幀,但監聽BPDU包,不能學習接收幀的MAC地址)
監聽
學習(不轉發幀,但能學習接收幀的MAC地址)
轉發(轉發幀,也能學習接收幀的MAC地址)
禁用(不參與生成樹,不轉發數據幀)
端口從阻塞狀態變成轉發狀態,要經過先變成監聽,再變成學習,最後變成轉發的過程。
2、計時
(1)hello時間,根網橋發送BPDU包的時間間隔,默認爲2秒
(2)轉發延遲:從阻塞狀態變爲轉發狀態所需的時間,默認25秒
(3)最大壽命:控制網橋端口保存配置bpdu的最大時間。默認20秒。可配爲 6---40秒.
3、802.1D stp的配置:
需配置的幾個點:優先級,端口開銷,端口優先級。 還可以配置hello時間,轉發延遲,和最大壽命。
SWITCH A:
SA(config)#spanning-tree priority 4096 //把A交換機設爲根交換機。設置優先級爲4096,而默認是32678,所以優先級最高,成爲根網橋。
或SA(config)#spanning-tree root primary //也把交換機A設置根交換機。
SWITCH B:
SB(config)#spanning-tree priority 5000 //配置優先級值比A交換機大一點,比默認值小,配置成備用根交換機。
或SB(config)#spanning-tree root secondary //也可以配爲備用根交換機。
SWITCH C:
SC(config)#interface fast0/1
SC(config-if)#spanning-tree cost 10 //設置端口開銷。默認fast開銷爲19,這裏爲10,將會被選舉爲根端口。(100M)
SC(config-if)#spanning-tree port-priority 4096 //設置端口優先級(不是網橋優先級),當開銷相同時,優先級高的爲根端口。
//以上配置可以把SC中的fast0/1設爲根端口。端口2和
SWITCH D:
SD(config)#interface fast0/1
SD(config-if)#spanning-tree cost 10 //設置端口開銷。默認fast開銷爲19,這裏爲10,將會被選舉爲根端口。(100M)
SD(config-if)#spanning-tree port-priority 4096 //設置端口優先級(不是網橋優先級),當開銷相同時,優先級高的爲根端口。
SD(config)#interface fast0/2
SD(config-if)#spanning-tree cost 19 //即fast2端口的開銷爲19,也是默認的。
(三) pvst +增強的按VLAN的生成樹 (802.1d的增強版,也屬於802.1d,爲了條理清晰才當作一大點)
pvst+的特點: pvst + 爲每個VLAN維護一個單獨的生成樹。而stp是爲整個網絡維護一個生成樹。通過pvst+可以配置負載均衡。
配置:
SWITCH A:
SA(config)#spanning-tree vlan 2,4 //設置VLAN2和vlan4
SA(config)#spanning-tree vlan 2,4 priority 4096 //把A交換機設爲vlan2和vlan4的根交換機。設置優先級爲4096,而默認是32678,所以優先級最高,成爲根網橋。
或SA(config)#spanning-tree vlan 2,4 root primary //也把交換機A設置爲vlan2和vlan4r的根交換機。
SA(config)#spanning-tree vlan 3 //設置vlan3
SA(config)#spanning-tree vlan 3 priority 9152 //設置此交換機爲vlan3的備用根交換機
或 SA(config)#spanning-tree vlan 3 root secondary //設置此交換機爲vlan3的備用根交換機
SWITCH B:
SB(config)#spanning-tree vlan 3
SB(config)#spanning-tree vlan 3 priority 4096
SB(config)#spanning-tree vlan 3 root primary
SB(config)#spanning-tree vlan 2,4 priority 9152
SB(config)#spanning-tree vlan 2,4 root secondary
SWITCH C:
SD(config)#spanning-tree mode pvst //設置生成樹的協議
SC(config)#interface fast0/1
SC(config-if)#spanning-tree vlan 2,4 cost 10 //設置端口開銷。默認fast開銷爲19,這裏爲10,將會被選舉爲vlna2和vlan4的根端口。(100M)
SC(config-if)#spanning-tree vlan 2,4 port-priority 4096 //設置端口優先級(不是網橋優先級),當開銷相同時,優先級高的爲根端口。
SC(config-if)#spanning-tree vlan 3 cost 19
SC(config)#interface fast0/2
SC(config-if)#spanning-tree vlan 3 cost 10 //設置端口開銷。默認fast開銷爲19,這裏爲10,此端口將被選舉爲 vlan3的根端口。(100M)
或SC(config-if)#spanning-tree vlan 3 port-priority 4096 //設置端口優先級(不是網橋優先級),當開銷相同時,優先級高的爲根端口。
SC(config-if)#spanning-tree vlan 2,4 cost 19
//以上配置可以把SC中的fast0/1設爲根端口。端口2和
SWITCH D:
SD(config)#spanning-tree mode pvst //設置生成樹的協議
SD(config)#interface fast0/1
SD(config-if)#spanning-tree vlan 2,4 cost 10 //設置端口開銷。默認fast開銷爲19,這裏爲10,將會被選舉爲根端口。(100M)
SD(config-if)#spanning-tree vlan 2,4 port-priority 4096 //設置端口優先級(不是網橋優先級),當開銷相同時,優先級高的爲根端口。
SD(config)#interface fast0/2
SD(config-if)#spanning-tree vlan 3 cost 10 //把fast2端口設爲valn3 的根端口
SD(config-if)#spanning-tree vlan 2,4 cost 19
(三)802.1W 協議 (快速生成樹協議RSTP)
rstp是快速生成樹協議,從阻塞到轉發的轉換速度要比STP要快。配置方法和pvst+幾乎一樣。且和stp相兼容。
SD(config)#spanning-tree mode rstp //設置生成樹的協議
(四)802.1S (MST) 多生成樹協議
1、目的:mst的目的是降低與網絡的物理拓撲相匹配的生成樹實例的總數。即把多個VLAN映射到一個MST實例中,從而減少生成樹實例。
pvst+要爲每個VLAN維護一個STP實例,可能需要很多不同STP拓撲的物理拓撲。
2、幾個重要的概念:
(1)cst:公共生成樹。一個大的局域網中生成一個cst(公共生存樹),以保證這個整體的局域網無環路。
(2)mst域:一個大網絡中,可以把一些局部區域劃分爲mst域。一個大的整體網絡中可以有一個或多個mst域。
一個mst域有三個屬性:區域名,版本號,valn到生成樹實例的映射關係。這三點相同的交換機才屬於一個MST域。
當收到的bpdu中包含的三點屬性值與自已的有任何一點不同,則接收BPDU的端口就是區域邊界。
(3)ist內部生成樹:一個MST區域內必須有且只有一個IST內部生存樹實例。編號爲0。IST的作用是與本區域外的其他區域和整體網絡相溝通的。即與CST整體生成樹是相互溝通的。
(4)mst實例(msti):即mst區域內的實例。一個mst區域內部可以有多個MST實例(msti)。編號從1開始,即msti1開始。ist內部生存樹實例可以稱爲msti0,只是一個殊的MST實例。
個人整體的理解:
一個大的網絡中,形成一個cst(公共生存樹)。在這個大的網絡中,這個cst可以使總體無環。
在這個大網絡的局部,可以生成一個或多個mst區域。每個mst區域生成一個ist,且只能有一個ist。這個ist是與stp,rstp兼容的。這個ist是能被區域外的大網絡中的其他網絡所理解的。即ist是與大網絡相交流的。
同時,一個mst區域可以生成一個或多個msti。每個msti依據信息獨立計算自已的拓撲。每個msti與其他msti無關。每個msti再與區域內的vlan相關聯。可以多個vlan關聯到一個msti上。
3、兩個注意點:
(1)當mst區域中的某交換機爲整個cst的根交換機時,則mst區域中的ist的根交換機爲這個交換機。、
(2) 一個mst區域內的ist生成樹實例的根交換機不一定是該區域中網橋ID最小的那臺交換機。而是區域內到達整個CST根交換機開銷最小的那始交換機。
如果cst的根交換機不是mst區域內的交換機時,則mst區域內的根交換機必須是區域中的邊界交換機。且是到cst根交換機開銷最小的邊界交換機。
mst實例的根交換機就沒有這些規定,與普通生成樹的選舉方法一樣。
4、配置清單:
SWITCH A:
SA(config)#spanning-tree mode mst //選擇mst生成樹模式
SA(config)#spanning-tree mst configuration //進入mst配置子模式
SA(config-mst)#name tky //配置mst域名
SA(config-mst)#revision 1 //配置版本號爲1
SA(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST實例
SA(config-mst)instance 3 vlan 3 //把VLAN映射到MST實例
SA(config)# spanning-tree mst 2 priority 4096 //配置MST實例的優先級。 把mst 2實例的根交換機配置本交換機
SWITCH B:
SB(config)#spanning-tree mode mst //選擇mst生成樹模式
SB(config)#spanning-tree mst configuration //進入mst配置子模式
SB(config-mst)#name tky //配置mst域名
SB(config-mst)#revision 1 //配置版本號爲1
SB(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST實例
SB(config-mst)instance 3 vlan 3 //把VLAN映射到MST實例
SB(config)# spanning-tree mst 3 priority 4096 //配置MST實例的優先級。 把mst 3實例的根交換機配置本交換機
SWITCH C:
SC(config)#spanning-tree mode mst //選擇mst生成樹模式
SC(config)#spanning-tree mst configuration //進入mst配置子模式
SC(config-mst)#name tky //配置mst域名
SC(config-mst)#revision 1 //配置版本號爲1
SC(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST實例
SC(config-mst)instance 3 vlan 3 //把VLAN映射到MST實例
SC(config)#interface fast0/1 //進入端口
SC(config-if)# spanning-tree mst 2 cost 10 //配置MST2實例的開銷。此接口作爲mst2中的根端口
SC(config-if)#spanning-tree mst 2 prot-priority 4096 //配置實例的端口優先級
SC(config)#interface fast0/2 //進入端口
SC(config-if)# spanning-tree mst 3 cost 10 //配置MST2實例的開銷。此接口作爲mst3中的根端口
SC(config-if)#spanning-tree mst 3 prot-priority 4096 //配置實例的端口優先級
SWITCH D:
SD(config)#spanning-tree mode mst //選擇mst生成樹模式
SD(config)#spanning-tree mst configuration //進入mst配置子模式
SD(config-mst)#name tky //配置mst域名
SD(config-mst)#revision 1 //配置版本號爲1
SD(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST實例
SD(config-mst)instance 3 vlan 3 //把VLAN映射到MST實例
SD(config)#interface fast0/1 //進入端口
SD(config-if)# spanning-tree mst 3 cost 10 //配置MST2實例的開銷。此接口作爲mst3中的根端口
SD(config-if)#spanning-tree mst 3 prot-priority 4096 //配置實例的端口優先級
SD(config)#interface fast0/2 //進入端口
SD(config-if)# spanning-tree mst 2 cost 10 //配置MST2實例的開銷。此接口作爲mst2中的根端口
SD(config-if)#spanning-tree mst 2 prot-priority 4096 //配置實例的端口優先級
四、增強的生存樹協議
(一)portfast
1、作用:讓阻塞端口直接過渡到轉發狀態。終端連到此端口後,直接立即連接到網絡中,不必等待生成樹進行收斂。
2、注意事項:此特性只用於接入層交換機的接入端口,即邊緣端口。不能在中繼端口上啓用此端口,否則會有產生環路的風險。可全局配置,也可端口配置。
3、配置:
SWITCH C:
SC(config)#interface fast 0/3-8 //配置端口3-8
SC(config-if)# spanning-tree portfast //3-8號端口啓用portfast特性。因爲1和2端口是中繼端口,所以不啓用。
SC(config)#spanning-tree portfast default //整個交換機啓用portfast特性。最好不要全局啓用,以避免環路。
no spanning-tree portfast //此命令關閉portfast特性
SWITCH D:
SD(config)#interface fast 0/3-8 //配置端口3-8
SD(config-if)# spanning-tree portfast //3-8號端口啓用portfast特性。
SD(config)#spanning-tree portfast default //整個交換機啓用portfast特性。最好不要全局啓用,以避免環路。
(二)uplinkfast //上行鏈路加速
1、作用:主要用在接入層交換機。當接入層交換機有多條冗餘鏈路連接到分佈層時,多條冗餘鏈路可以組成一個上行鏈路組。
只開通一條上行鏈路處於轉發狀態,其他的他部處於阻塞狀態。當轉發的鏈路發生故障後,
處於阻塞狀態的其他冗餘鏈路中的一條將快速過渡過到轉發狀態,無需經歷監聽和學習狀態。
5秒內完成。
2、注意:啓用uplinkfast將影響所有VLAN,不支持以VLAN爲基礎的uplinkfast
啓用uplinkfast特性的交換機,須將交換機的優先級改回默認值,否則會失敗。
因爲啓用此特性,會將把優先級自動改爲49152,端口開銷改爲3000,以使交換機不能成爲根交換機。如手工更改過優先級,將會失敗。
3、配置
SWITCH C:
SC(config)#spanning-tree uplinkfast //全局啓用uplinkfast特性
SC(config)#spanning-tree uplinkfast max-update-rate 200 //表示每秒發送的多播數據包數目,此處設爲200,默認是150個。
SWITCH D:
SD(config)#spanning-tree uplinkfast //全局啓用uplinkfast特性
(三)backbonefast // 骨幹加速
1、作用:是對uplinkfast的一種補充。uplinkfst只是用於接入層。而backbonefast用於主幹到主幹之間的故障快速響應。
2、注意:想啓用此特性,需要在所有交換機都啓用backbonefast特性;
3、配置:
SWITCH A\B\C\D上都加上一條全局命令:
(CONFIG)#spanning-tree backbonefast
no spanning-tree backbonefast //此全局命令取消backbonefast特性
(四)bpdu防護
1、作用:不接收任何bpdu包,即不參與STP,能防止交換機設備意外的連接到啓用了portfast特性的端口,而造成環路。
2、注意:當收到bpdu包後將報錯並關閉端口。需手工 no shutdown命令纔會再開啓。可全局或端口配置。
3、配置:因爲只在接入層才啓用portfast,所以只用配置 C\D交換機
SWITCH C:
SC(config)#interface fast 0/3-8 //配置端口3-8
SC(config-if)# spanning-tree portfast //3-8號端口啓用portfast特性。因爲1和2端口是中繼端口,所以不啓用。
SC(config-if)# anning-tree bpduguard enable //3-8號端口啓用bpdu 防護
//SC(config-if)#spanning-tree bpduguard disable //關閉bpdu防護
SC(config)#spanning-tree portfast bpduguard default // 全局啓用bpdu防護
SWITCH D:
SD(config)#interface fast 0/3-8 //配置端口3-8
SD(config-if)# spanning-tree portfast //3-8號端口啓用portfast特性。
SD(config-if)#spanning-tree bpduguard enable //3-8號端口啓用bpdu 防護
//SD(config-if)#spanning-tree bpduguard disable //關閉bpdu防護
SD(config)#spanning-tree portfast bpduguard default // 全局啓用bpdu防護
(五)bpdu過濾
1、作用:能夠防止交換機在啓用portfast特性的接口上發送BPDU。
2、汪意事項:(1) 在端口上配置了BPDU過濾的,那麼端口不發送任何BPDU,將收到的BPDU丟棄。
(2)在交換機全局性配置了BPDU過濾,交換機的端口在各自收到任何BPDU時,將參與STP中。變爲STP中的鏈路端口。 BPDU過濾特性和PORTFAST特性將失效。
BPDU過慮在全局上配置和端口上配置是有區別的:
當端口上配置時,所有的BPDU包都不接受
當在全局上配置時,一個接口收到BPDU包時,將丟棄portfast特性和bpdu過濾特性,而參與到stp中,轉爲trunk(口繼)端口。
bpdu過濾特性優先於bpdu防護。同時配置時,bpdu過濾特性生效。
3、配置
SWITCH C:
SC(config)#interface fast 0/3-8 //配置端口3-8
SC(config-if)# spanning-tree portfast //3-8號端口啓用portfast特性。因爲1和2端口是中繼端口,所以不啓用。
SC(config-if)# anning-tree bpdufilter enable //3-8號端口啓用bpdu 防護
//SC(config-if)#spanning-tree bpdufilter disable //關閉bpdu防護
SC(config)#spanning-tree portfast bpdufilter default // 全局啓用bpdu防護
SWITCH D:
SD(config)#interface fast 0/3-8 //配置端口3-8
SD(config-if)# spanning-tree portfast //3-8號端口啓用portfast特性。
SD(config-if)#spanning-tree bpdufilter enable //3-8號端口啓用bpdu 防護
//SD(config-if)#spanning-tree bpdufilter disable //關閉bpdu防護
SD(config)#spanning-tree portfast bpdufilter default // 全局啓用bpdu防護
(六)根防護
1、作用:根防護特性能強制讓端口成爲指定端口。進而能防止周圍交換機成爲根交換機。指定端口連接的交換機肯定不能成爲根交換機。
可以用在根交換機的指定端口,接入層的所有端口上。配置此特性的端口所連接的交換機不能成爲根交換機。
switch A:
SA(config)#interface range fast0/3-4
SA(config-if)#spanning-tree guard root //把A交換機的3和4端口配置根防護特性
switch B:
SB(config)#interface range fast0/3-4
SB(config-if)#spanning-tree guard root //把B交換機的3和4端口配置根防護特性
switch C:
SC(config)#interface range fast0/3-8
SC(config-if)#spanning-tree guard root //把C交換機的3和8端口配置根防護特性
switch D:
SD(config)#interface range fast0/3-8
SD(config-if)#spanning-tree guard root //把C交換機的3和8端口配置根防護特性
五、交換機的穩定性和高級特性
(一)etherchannel
1、作用:多端口綁定成一個端口,以增加交換機之間的流量和穩定性。最多支持8個端口。支持二層和三層端口綁定。
2、支持的etherchannel協議:
(1)pagp協議,端口匯聚協議,cisco專有協議。
pagp協義的模式:
on(開啓):強制端口形成etherchannel。要求本交換機的etherchannel通道的鏈路夥伴都是on模式,且對端交換機的端口也要爲on模式時才能開啓etherchannel。
on只與on模式形成etherchannel,與其他任何模式都不形成etherchannel。並且夥伴端口和對端端口都需要爲on模式才能給成etherchannel通道.
off(關閉):不允許端口形成etherchannel
auto(自動):被動協商狀態,也是默認的模式。即對端讓他做什麼他就做什麼。從對端收到形成etherchannel的意願,就可以組成etherchannel通道。對端爲desirable模式才能組成etherchannel.
desirable(企望):主動協商狀態。即期望成爲etherchannel端口。只要對方不拒絕即可形成etherchannel。對端是auto和desirable模式就形成etherchannel。
注意:pagp要求所有channel中的端口處理同一個VLAN或都配置成爲trunk端口。
處於一個channel中的某一個端口配置進行修改時,該channel中的所有端口都需要作相同的修改。
pagp不能在不同速度或不同雙工模式的端口之間工作。
(2)LACP協議,鏈路匯聚控制協議。業界的標準802.3ad。
lacp模式:
on(開啓): 強制端口形成etherchannel。用兩端同時都爲on模式時才能開通etherchannel。
off(關閉): 阻止形成etherchannel.
passive(被動):默認模式。和pagp的auto模式相似。即對端讓他做什麼他就做什麼。從對端收到LACP數據包後,即從對端收到形成etherchannel的意願,就可以組成etherchannel通道。對端爲active模式才能組成etherchannel.
active(主動):即主動協商。即期望成爲etherchannel端口。只要對方不拒絕即可形成etherchannel。對端是passive和active模式就形成etherchannel。
LACP的配置參數:
系統優先級:交換機用mac 地址和系統優先級作爲 系統ID。並用 系統ID 與其他系統協商。LACP要求每個鏈路夥伴都有 系統ID。可手工指定系統ID,也可以交換機自動分配。
端口優先級:端口優先級和端口號生成端口ID。要求每個端口都有端口優先級,可手工指定和自動生成。
管理密鑰:LACP要求通道內每個端口都有一個密鑰值,可手工指定也可自動確定。管理密鑰定義了端口與其他端口進行匯聚的能力。
3、etherchannel負載均衡
(1)stp將etherchannel當單個邏輯接口,因此把流量分佈到etherchannel中的所有端口。
(2)並且可採用mac,ip,端口號(不是指交換機的端口,而是指TCP或UDP之類的第四層端口號)的方法實現負載均衡。
目的MAC或ip地址負載法:當有多條線路組成一個通道時,把目的地爲某mac或ip地址的數據包經通道中一條線路傳輸。另一目的地爲某mac或ip地址的數據包經通道中的另一條線路傳輸。
源MAC或ip地址負載法: 即某源mac或IP地址的經一條線路,另一mac地址或ip地址的經另一條線路。
第四層tcp或udp端口作爲負載法:即以源和目標會話時的端口號作爲均衡。如PC1,PC2到服務器2時的80端口用線路1,25端口用線路2
port-channel load-balance {src-mac|dst-mac|src-dst-mac|src-ip|dst-ip|src-dst-ip|dst-port|src-dst-port}
port-channel load-balance{dst-mac|src-mac}
4、配置
switch A:
SA(config)#interface gigabitethernet 0/1
SA(config-if)#switchport mode trunk
SA(config-if)# switchport trunk encapslation dot1q
SA(config-if)# channel-protocol lacp //協議爲lacp,沒有指定協議時,默認爲pagp
SA(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
// SA(config-if)# no channel-group //這個命令將一個接口從通道組中刪除
SA(config-if)# duplex full
SA(config-if)# speed 1000
SA(config-if)# no shutdown
SA(config)#interface gigabitethernet 0/2
SA(config-if)#switchport mode trunk
SA(config-if)# switchport trunk encapslation dot1q
SA(config-if)# channel-protocol lacp // 協議爲lacp,沒有指定協議時,默認爲pagp
SA(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SA(config-if)# duplex full
SA(config-if)# speed 1000
SA(config-if)# no shutdown
switch B:
SB(config)#interface gigabitethernet 0/1
SB(config-if)#switchport mode trunk //都爲trunk口
SB(config-if)# switchport trunk encapslation dot1q
SB(config-if)# channel-protocol lacp //協議爲lacp,沒有指定協議時,默認爲pagp
SB(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SB(config-if)# duplex full
SB(config-if)# speed 1000
SB(config-if)# no shutdown
SB(config)#interface gigabitethernet 0/2
SB(config-if)#switchport mode trunk
SB(config-if)# switchport trunk encapslation dot1q
SB(config-if)# channel-protocol lacp // 協議爲lacp,沒有指定協議時,默認爲pagp
SB(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SB(config-if)# duplex full
SB(config-if)# speed 1000
SB(config-if)# no shutdown
4、三層接口的ethernetchannel配置:
switch A:
SA(config)#interface gigabitethernet 0/1
SA(config-if)#no switchport //端口改爲三層接口
SA(config-if)# channel-protocol lacp
SA(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SA(config-if)# duplex full
SA(config-if)# speed 1000
SA(config-if)# no shutdown
SA(config)#interface gigabitethernet 0/2
SA(config-if)#no switchport //端口改爲三層接口
SA(config-if)# channel-protocol lacp
SA(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SA(config-if)# duplex full
SA(config-if)# speed 1000
SA(config-if)# no shutdown
SA(config)#interface port-channel 1
SA(config-if)#ip address 192.168.9.1 255.255.255.0
SA(config-if)#no shutdown
switch B:
SB(config)#interface gigabitethernet 0/1
SB(config-if)#no switchport //端口改爲三層接口
SB(config-if)# channel-protocol lacp //協議爲lacp
SB(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SB(config-if)# duplex full
SB(config-if)# speed 1000
SB(config-if)# no shutdown
SB(config)#interface gigabitethernet 0/2
SB(config-if)#no switchport //端口改爲三層接口
SB(config-if)# channel-protocol lacp //協議爲lacp
SB(config-if)# channel-group 1 mode on //模式爲on,且把此端口加入到通道組1
SB(config-if)# duplex full
SB(config-if)# speed 1000
SB(config-if)# no shutdown
SB(config)#interface port-channel 1
SB(config-if)#ip address 192.168.9.2 255.255.255.0 //設置IP地址
SB(config-if)#no shutdown
六、vlan間路由
(一)基本知識:
1、vlan與vlan之間無法直接通信,需要第三層路由,建議在分佈層和接入層進行VLAN間路由
2、執行三層路由的方法:任意三層交換機; 支持鏈路聚集的外部路由器(單臂路由器);在每個VLAN中都有獨立接口的任意外部路由器(即有多個接口的路由器)
(二)三層交換機連接VLAN
1、三層交換機的接口的類型:
(1) 二層接口: 不具備三層交換功能。普通二層交換機接口功能。一般三層交換機用 switchport命令可將三層交換機具有三層接口配置爲二層接口。
(2)路由接口:類似於cisco ios路由器上的路由器端口,純第三層接口,不與特定VLAN相關聯。可以看着一個普通的路由器接口。一般三層交換機端口默認是二層接口,要轉爲三層接口,用 no switchport接口命令可轉成三層接口。
(3)交換機虛擬接口(svi):主要功能就是用於完成VLAN間路由器選擇。SVI是一種與VLAN-ID相關聯的虛擬VLAN接口。目的是爲了啓用該VLAN的路由選擇能力。
(4)網橋虛擬接口(BVI):是一種三層虛擬接口,與SVI類似。能跨越橋接或路由域來路由數據包。不常用。
(5)總結:物理上講三層交換機只有二層接口和三層接口兩種。從功能上講三層接口又分了:純路由接口、SVI、BVI三種接口。
2、路由接口詳解:
路由端口類似於cisco ios路由器上的路由器的純第三層接口,不與特定VLAN相關聯。
普通路由器的路由端口主要用於點到點鏈路,用於連接WAN路由器和安全設備。
多層交換機的路由端口主要用於主幹層中的交換機相連;主幹和分佈層交換機相連,前提是分佈層也佈署了三層交換機的路由端口。
3、SVI詳解:也是重點要講的。
svi是用於VLAN間路由的。必須爲每個SVI接口配置IP地址和掩碼,並要和VLAN屬於一個子網。
SVI的步驟:
(config)#ip routing //啓用路由器上的IP路由選擇能力
(config)# router 路由協議 //配置路由協議
(config)# interface vlan vlan-id //爲每個VLAN配置一個SVI接口,併爲接口配置。
配置:
Switch A:
SA(config)#intrface vlan 2
SA(config-if)#ip address 192.168.2.2 255.255.255.0 //設置VLAN2的IP地址。想靜態配置的話,就在此處定義IP地址,然後手工把客戶端地址設爲此子網內的IP地址,然後把網關設爲此地址即可。想動態分配客戶端地址的話,就讓DHCP服務器自動分配。如DHCP不在本VLAN中,就要如下配置中繼代理。
SA(config-if)#no shutdown
SA(config)#intrface vlan 3
SA(config-if)#ip address 192.168.3.2 255.255.255.0 //設置VLAN3的 SVI IP地址。
SA(config-if)#no ip directed-broadcast //動態配置IP地址
SA(config-if)#ip helper-address 192.168.2.10 //DHCP中繼代理的配置。動態爲客戶端分配IP地址,後面的IP是DHCP服務器的地址。因爲DHCP要廣播地址,而三層接口不傳送廣播信息,所以此處是配置一個DHCP中繼代理。
SA(config-if)#no shutdown
SA(config)#intrface vlan 4
SA(config-if)#ip address 192.168.4.2 255.255.255.0
SA(config-if)#no ip directed-broadcast
SA(config-if)#ip helper-address 192.168.2.10
SA(config-if)#no shutdown
(四)單臂路由
