查看文章 |
ccnp-bcmsn2
2008-10-25 0:56
Chap4 VLAN (1)端到端VLAN与本地VLAN 端到端vlan:终端与地理位置无关,用户在园区内移动时,vlan成员身份通常保持不变,每个vlan内成员有共同的安全和资源要求。 本坡vlan:端到端vlan难于维护,本地vlan更易于管理和构思,典型的vlan构成是单个配线架上的单台接入交换机上拥有最少数目的vlan。 (2)静态VLAN与动态VLAN 静态是利用手工分配给特定vlan交换机端口而建立的 动态vlan是根据已经输入到VMPS中的源MAC地址而分配的。 虽然静态vlan配置需要通过手工输入变更,但它们是安全和易于配置的,并且对监控人员来说非常直接如果网络中很少发生增加、移动或变更的情况,适合采用静态vlan。 运行CatOS的catalyst4000/5000/6500支持VMPS vlan配置 int f1/1 switchport host //能够将某端口配置为主机设备(工作站或服务器)所使用,启用该特性时,就表示对指定端口启用Portfast与禁用Etherchannel特性。 (3)私有VLAN(pVLAN) 能够为相同vlan内不同端口之间提供隔离的VLAN。可降低子网数目和降低vlan利用率。 每个pvlan包括主vlan和辅vlan 主vlan由多个辅助vlan组成,辅助vlan属于主vlan的相同子网。 辅助vlan是主vlan的子代,并且映射到一个主vlan。每台设备都连接到辅助pvlan pvlan使用混杂端口,能够与pvlan中的全部设备通信。混杂端口可以映射到多个辅助vlan,通常是路由器端口、备份服务器或vlan接口。 团体vlan能与团体内设备与混杂设备通信。 隔离vlan只能与混杂端口通信。不能与隔离vlan中的其他端口通信。 cisco 6500/4500支持提到的pvlan的所有特性。但运行cisco IOS的4500还不支持团体vlan。2950/3550/3560只支持pvlan的隔离端口特性。 # vlan pvlan-id private-vlan {comunity|isolated|primary} exit vlan primary-vlan-id private-vlan association {second-vlan-list|add second-vlan-list|remove second-vlan-list} int vlan primary-vlan-id private-vlan mapping {second-vlan-list|add second-vlan-list| remove second-vlan-list} inter type slot/port switchport //如果交换机端口默认工作在3层需要配置LAN端口支持第2层操作 switchport mode private-vlan {host|promiscuous} //配置为pvlan主机端口或混杂端口 switchport private-vlan host-association primary-vlan-id second-vlan-list //将团体和隔离vlan关联到pvlan switchport private-vlan mapping primary-vlan-id {second-vlan-list | add second-vlan-list| remove second-vlan-list} eg: vlan 100 private-vlan primary vlan 200 private-vlan community vlan 300 private-vlan isolated vlan 100 private-vlan association 200,300 int vlan100 private-vlan mapping add 200,300 int f5/1 switchport mode private-vlan host switchport private-vlan host-association 100 200 int f5/2 switchport mode private-vlan host switchport private-vlan host-association 100 300 > set vlan vlan-id pvlan-type primary set vlan vlan-id pvlan-type {isolation|community} set pvlan primary-vlan-id {isolation-vlan-id|community-vlan-id} set pvlan primary-vlan-id {isolation-vlan-id|community-vlan-id} mod/ports set pvlan primary-vlan-id {isolation-vlan-id|community-vlan-id} mod/ports eg: set vlan 100 pvlan-type primary set vlan 300 pvlan-type isolated set vlan 200 pvlan-type community set pvlan 100 200 5/1 set pvlan 100 300 5/2 set pvlan mapping 100,200 15/1 set pvlan mapping 100,300 15/1 //指定混杂模式的接口 (4)VLAN的范围和映射 ISL编号范围是1~1005 802.1Q支持1~4094,所以当802.1Q中的vlan要穿越ISl中的vlan时,需要实现映射。 *1 非cisco设备应该从1到1000范围的自动映射到相应ISLvlan对于编号大于1000的802.1Qvlan必须映射到某个ISL vlan。 *2 非cisco设备使用cisco的保留vlan时,需要映射到某个非保留vlan中。 *3 单台交换机上最多只能有8个802.1Q到ISL VLAN的映射,只能映射到以太网类型的ISLvlan中。 *4 非包括Native vlan。 *5 映射后将阻塞被映射vlan的流量,如把2000映射到200,则200的流量被阻止。 *6 映射仅本地交换机有用,如在全网络中使用,需要在所有适当的交换机上配置vlan映射。 (5)vlan trunk > set trunk mod/port [on| desirable|auto|negotiate] [isl|dot1q] set trunk mod/port vlan-id1,[vlan-id2,vlan-id3...] clear trunk mod/port vlan-ids set dot1q-all-taged enable [all] //对所有vlan标记 set port dot1q-all-taged mod/port enable | disable //对特定vlan标记 eg: set trunk 1/2 desirable isl|dot1q clear trunk 1/2 10-20 (6)vtp domain > set vtp domain name set vtp mode client|server|off|transport set vtp passwd vtppass set vtp version 1|2 set vtp pruning enable ??set vtp pruneeligible vlan_range set vtp pruning enable clear vtp pruneeligible vlan_range Chap5 IEEE 802.1D, IEEE 802.1s , IEEE 802.1w (1)STP(IEEE 802.1D) 网桥:优先级(2Byte)+MAC(6Byte) 越小成为根桥概率越高 BPDU 有两种类型 配置BPDU与TCN 接口工作状态 阻塞->监听->学习->转发->禁用 计时器:hello时间2s 转发延迟15s 最大寿命20s 端口从阻塞到转发需30~50s时间 根网桥:优先级+MAC 小则优先 | 根端口:到根交换机开销最低的端口 | 这两个是针对交换机而言 指定端口:在各个网段中到根交换机开销最小 |这个是针对网段而言 (2)交换机的MAC地址池数从一方面决定了可用的vlan数目,第一个vlan分配地址池中的一个MAC地址,以此类推 (3)配置PVST+ # spanning-tree vlan 100 spanning-tree vlan 100 priority 4096 //通过操作优先级来选举根桥 spanning-tree vlan 100 root primary | secondary //通过宏命令来操作,推荐用上面那种。 端口开销: 生成树默认把同优先级下的端口开销小的端口作为转发端口,并且阻塞其他端口。 # spanning-tree cost port-cost spanning-tree vlan vlan-id cost port-cost (4)RSTP(IEEE 802.1w) 端口状态:丢弃、学习、转发。 端口角色:根端口、指定端口、替代端口(另一网桥)、备份端口(同一网桥)、禁用端口。 --要如何配置呢? RSTP 默认集成了类似backbonefast portfast特性 (5)MST(IEEE 802.1s) 降低生成树实例的数目,降低了交换机的CPU同期,从而提高交换机的性能 MST vs PVST+ PVST+:最优化负载均衡能;维护每个vlan的STP实例,需要更高的CPU利用率 MST:可以采用半数vlan采用同一vlan实例,同样可以负载均衡,而交换机只需要处理更少的vlan实例,降低了cpu的使用率。可以实现多个vlan映射到同一生成树实例的能力。而MST可以看成单个虚拟网桥。 CST(common spanning tree)MST(mutiple spanning tree) MST实例: uplinkfast/backbonefast在MST中不可用,但portfast/bpdu-guard,bpdu-filter可用,禁用vlan1,但是启用该功能时仍能vlan1中传送BPDU,对于私有vlan需要将辅助vlan映射到与主vlan相同的实例。 配置MST: # spanning-tree mst configuration name mst-name revision revision-number //配置MST版本号,版本号是一个16bit的无符号整数 instance inst-numb vlan vlan-range //把多个vlan映射到同一生成树 show spanning-tree mst [configuration ] !配置MST与vlan database中配置vlan与vtp类似,可以在未提交前使用abort放弃。 Chap6 增加生成树弹性与STP排错 (1)802.1D生成树协议增强 Portfast--Uplinkfast--Backbonefast portfast->对于接入交换机而言 spanning-tree portfast UplinkFast->对于有两个以上上联线路的第2层链路的交换机多为接入到汇聚层交换机间,可在5s内完成切换,在主干或分布层交换机不应启用该特性 spanning-tree uplinkfast BackboneFast->核心与与核心有两条上联链路连接的交换上配置,可把收敛时间从50s到减少到30s spanning-tree backbonefast (2)提高生成树的弹性 BPDU防护:spanning-tree portfast bpduguart //以接口为基础来配置 BPDU过滤:spanning-tree portfast bpdufilter default //可以防止在启用portfast的接口上发送BPDU.支持以端口或全局来配置,不是一种推荐的配置。 |-|根防护:spanning-tree guard root //接口基础来配置 |-|环路防护:spanning-tree guard loop(接口) / spanning-tree loopguard default (全局) |上面两个不共存于相同的端口,配置一个必须关闭另一个 !排错:简化,细化。 |
最近读者: