端口+STP+VRRP基礎(chǔ)知識及典型組網(wǎng)實例分析課件

端口+STP+VRRP基礎(chǔ)知識介紹

端口+STP+VRRP基礎(chǔ)知識介紹第一部分端口通過圖例的方式復(fù)習(xí)交換機端口對報文的處理方式第一部分端口他們對報文的入和出是怎樣處理的呢?他們和PVID在實際組網(wǎng)中又容易出現(xiàn)哪些問題呢?以下我們將用幾個例子來列舉出他們之間的關(guān)系.access、trunk、hybrid和PVID他們對報文的入和出是怎樣處理的呢?他們和PVID在實際組網(wǎng)a問主機A能PING通主機B嗎?復(fù)習(xí)知識:trunk,access端口同PVID對報文出入是怎樣進(jìn)行打標(biāo)記的.復(fù)習(xí)目標(biāo):通過復(fù)習(xí)理解,對實際網(wǎng)絡(luò)中出現(xiàn)的端口問題能迅速排查.問主機A能PING通主機B嗎?復(fù)習(xí)知識:問:主機B能PING通主機A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為untagged時對報文是怎樣處理的.問:主機B能PING通主機A嗎?復(fù)習(xí)知識:主機B能ping通主機A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為tagged時對報文是怎樣處理的.主機B能ping通主機A嗎?復(fù)習(xí)知識:交換機端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機的一點原理：為了快速高效處理，交換機內(nèi)部的數(shù)據(jù)幀一律都帶有VLAN標(biāo)簽，以統(tǒng)一方式處理.1.Access端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）若VLAN標(biāo)簽和PVID一致，轉(zhuǎn)發(fā)VLAN幀；否則直接丟棄2.trunk端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該trunk端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄（注意：trunk口允許或不允許VLAN幀，是對進(jìn)入的幀而言的，對出去的幀沒有限制。）交換機端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機的一點原3.hybrid端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該hybrid端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄可以看到，trunk口和hybrid口對接收到的數(shù)據(jù)幀的處理規(guī)則是一樣的。3.hybrid端口交換機端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口（1）將二層幀的VLAN標(biāo)簽剝離，直接發(fā)送出去2.trunk端口（1）比較端口的PVID和將要發(fā)送二層幀的VLAN標(biāo)簽（2）如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送3.hybrid端口（1）用“disinterface”命令，可以查到hybrid端口對哪些VLAN是untag，哪些VLAN是tag。以此來判斷進(jìn)入hybrid口的VLAN幀，是屬于untagVLAN，還是tagVLAN。（2）如果屬于untagVLAN則轉(zhuǎn)到第3步，如果屬于tagVLAN則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送交換機端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口第二部分ＳＴＰ協(xié)議第二部分ＳＴＰ協(xié)議引入STP/RSTP/MSTP的作用在二層網(wǎng)絡(luò)上形成樹狀網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免環(huán)路。二層網(wǎng)絡(luò)環(huán)路的危害1.廣播風(fēng)暴（沒有三層網(wǎng)絡(luò)的TTL機制）。2.MAC地址學(xué)習(xí)錯誤。二層網(wǎng)絡(luò)的健壯性STP可以增強網(wǎng)絡(luò)健壯性，避免單點故障，單鏈路故障。引入STP/RSTP/MSTP的作用STP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路如圖中，在使能了STP后，SW3的B端口不再轉(zhuǎn)發(fā)流量，從而達(dá)到修剪冗余鏈路的目的一些概念：根橋/指定橋指定端口根端口根路徑開銷端口IDSTP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路一些概念STP的基本概念一個根橋?qū)τ谝粋€STP網(wǎng)絡(luò)，根橋有且只有一個。它是整個網(wǎng)絡(luò)的邏輯中心，但不一定是物理中心。根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓鶚蚩赡芨淖?。STP交換機之間通過比較BID（橋ID）來選舉根橋。STP的基本概念一個根橋STP的基本概念擁有最小BID的交換機被選舉為根橋每個交換機上根路徑開銷最小的端口將成為根端口圖3STP的基本概念擁有最小BID的交換機被選舉為根橋圖3STP的基本概念三要素的選舉從一個初始的有環(huán)拓?fù)渖蓸錉钔負(fù)?，總體來說有三個要素：根橋、根端口和指定端口。根橋是全網(wǎng)意義上的。通過交換特殊的協(xié)議報文，網(wǎng)絡(luò)中很快就會對最小的BID達(dá)成一致。所謂根端口，是指一個非根橋的STP交換機上離根橋最近的端口，這個端口的選擇標(biāo)準(zhǔn)是根路徑開銷。STP的基本概念三要素的選舉STP的基本概念三要素的選舉–關(guān)于指定端口在每一個運行STP交換機上（根橋除外），端口都有三類：根端口、指定端口、非根非指定端口；根橋上沒有根端口。指定端口的概念是針對于某網(wǎng)段（Segment）的，是流量從根橋方向來而從這個端口轉(zhuǎn)發(fā)“出去”。STP的基本概念三要素的選舉–關(guān)于指定端口STP的基本概念四條比較原則STP選舉有4個比較原則，構(gòu)成消息優(yōu)先級向量：{根橋ID，累計根路徑開銷，發(fā)送交換機BID，發(fā)送端口PID}STP交換機協(xié)議采用特殊的協(xié)議報文（又稱協(xié)議數(shù)據(jù)單元，BridgeProtocolDataUnit）來交互信息，這種特殊的消息稱為“配置消息（ConfigurationMessage）”或者一般簡稱之BPDU。消息優(yōu)先級向量就是攜帶在配置BPDU中的。STP的基本概念四條比較原則STP的基本概念四條比較原則配置BPDU中攜帶本端口的信息，主要信息如下表：字段內(nèi)容簡要說明根橋BID每個STP網(wǎng)絡(luò)中有且僅有一個根累計根路徑開銷發(fā)送這個BPDU的端口到根橋的“距離”發(fā)送交換機BID發(fā)送這個BPDU的交換機的BID發(fā)送端口PID發(fā)出這個BPDU的端口的PIDSTP的基本概念四條比較原則字段內(nèi)容簡要說明根橋BID每個SSTP的基本概念最低BID。用來選根橋。最小的累計根路徑開銷。用來在非根橋上選擇根端口，在根橋上每個端口到根橋的根路徑開銷都是0。圖4STP的基本概念最低BID。用來選根橋。圖4STP的技術(shù)細(xì)節(jié)根橋的選擇由于每個橋都認(rèn)為自己是根橋，所以在每個端口所發(fā)出的BPDU中，根橋字段都是用各自的BID填充。BPDU會按照HelloTime指定的時間間隔來發(fā)送，默認(rèn)的時間為2秒。當(dāng)發(fā)送BPDU的時候，填充RootBID字段的是“當(dāng)前我所認(rèn)為的根橋”的BID。通過交互，交換機之間比較RootBID，最后可以得出一個最好的BID，達(dá)成一致。STP的技術(shù)細(xì)節(jié)根橋的選擇STP的技術(shù)細(xì)節(jié)根端口的選擇每個非根橋STP交換機都要選擇一個根端口，根端口對于一個交換機來說有且只有一個。其本質(zhì)是“距離根橋最近的端口”，這個最近的衡量是靠累計根路徑開銷來判定的STP的技術(shù)細(xì)節(jié)根端口的選擇STP的技術(shù)細(xì)節(jié)指定端口的選擇在網(wǎng)段上抑制其他端口（無論是自己的還是其他網(wǎng)橋的）發(fā)送BPDU的端口，就是該網(wǎng)段的指定端口。在收斂后，只有指定端口和根端口可以處于轉(zhuǎn)發(fā)狀態(tài)。在一個網(wǎng)段上擁有指定端口的交換機被稱作該網(wǎng)段的指定橋。STP的技術(shù)細(xì)節(jié)指定端口的選擇STP的技術(shù)細(xì)節(jié)穩(wěn)定之后在拓?fù)浞€(wěn)定之后，根橋仍然按照HelloTime間隔發(fā)出配置BPDU。其他非根橋交換機僅僅在收到上一級過來的BPDU，才會觸發(fā)發(fā)出BPDU。如果有必要，則根據(jù)BPDU里面的信息更新自己相應(yīng)端口的。STP的技術(shù)細(xì)節(jié)穩(wěn)定之后第三部分VRRP第三部分VRRPVrrp技術(shù)

用VRRP實現(xiàn)虛擬路由器Internet實際IP地址：10.100.10.3/24實際IP地址：10.100.10.2/24虛擬IP地址：10.100.10.1/24VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）提供了局域網(wǎng)上的設(shè)備備份機制Vrrp技術(shù)用VRRP實現(xiàn)虛擬路由器Internet實際VRRP技術(shù)VRRP定義了一種報文：VRRP報文，是組播報文VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動狀態(tài)（Master）備份狀態(tài)（Backup）VRRP報文封裝在IP報文上VRRP技術(shù)VRRP定義了一種報文：VRRP報文，是組播報VRRP原理從備份組的交換機中選舉主交換機：默認(rèn)情況下選擇優(yōu)先級最大的為主交換機，其它交換機作為備份交換機主交換機定期發(fā)送VRRP報文如果備份交換機長時間沒有收到主交換機報文，則將自己狀態(tài)改為Master若有多臺備份交換機，則根據(jù)接收的VRRP報文，選舉優(yōu)先級最大的交換機成為新的主交換機VRRP原理從備份組的交換機中選舉主交換機：STP/VRRP/OSPF實例分析STP/VRRP/OSPF實例分析學(xué)習(xí)目標(biāo):1.生成樹協(xié)議常見問題分析2.VRRP協(xié)議及問題分析3.典型組網(wǎng)分析學(xué)習(xí)目標(biāo):第一部分生成樹協(xié)議第一部分生成樹協(xié)議SwitchABID=0001SwitchCBID=0050SwitchBBID=1045PC=4PC=8PC=4DPDPRPBPDU:RootSwitch=0001CosttoRoot=8BPDU:RootSwitch=0001

CosttoRoot=4BothRootsCostsare=8

BID-A<BIDB問題1：哪個端口將被阻斷？問題2：如果所有的PathCost都相同，哪個端口將被阻斷？復(fù)習(xí)重點:STP通過BPDU(BridgeProtocolDataUnit)報文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。指定端口同可選端口怎么比較.SwitchABID=0001SwitchCBI如何決定BPDU配置消息的優(yōu)劣比較RID(RootBridgeID)，確定網(wǎng)絡(luò)同步。RID相同，比較PathCost（到根橋距離），越小越優(yōu)。RID/PathCost相同，比較指定橋的BID(DesignatedBridgeID)，越小越優(yōu)。RID/PathCost/DBID相同，比較指定端口的ID(DesignatedPortID)，越小越優(yōu)。哪邊更優(yōu)？BPDUBPDU如何決定BPDU配置消息的優(yōu)劣比較RID(RootBrid如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。BID—網(wǎng)橋的優(yōu)先級+網(wǎng)橋MAC。網(wǎng)橋的優(yōu)先級為可配置，缺省值為32768。在缺省情況下，根橋?qū)⒂蒑AC地址最小的網(wǎng)橋擔(dān)任。如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。STP協(xié)議簡介常用概念根橋(RootBridge)—橋ID最小的網(wǎng)橋。其中橋ID是由網(wǎng)橋的優(yōu)先級和網(wǎng)橋的MAC組成。根端口(RootPort)—這個端口到達(dá)根橋的路徑是該端口所在網(wǎng)橋到達(dá)根橋的最佳路徑。全網(wǎng)中只有根橋是沒有根端口的。指定端口(DesignatedPort)—每一個網(wǎng)段選擇到根橋最近的網(wǎng)橋作為指定網(wǎng)橋，該網(wǎng)橋到這一網(wǎng)段的端口為指定端口?？蛇x端口(AlternatePort)—既不是指定端口，也不是根端口的端口。RP–ROOTPORTSwitchABID=0001SwitchCBID=1045SwitchBBID=0050DP–DESIGNATEDPORTDPRPDPRPDPDPAPAPSwitchDBID=0030STP協(xié)議簡介常用概念RP–ROOTPORTSwitc確定網(wǎng)橋端口角色BPDU報文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。通過BPDU配置消息來決定端口的角色：—根端口：網(wǎng)橋各個端口中到根橋最近的端口?！付ǘ丝冢壕W(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更優(yōu)，則端口為指定端口。—可選端口：網(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更差，則端口為可選端口。確定網(wǎng)橋端口角色BPDU報文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生效?復(fù)習(xí)重點:1.STP通過BPDU(BridgeProtocolDataUnit)報文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。2.BPDU報文的目標(biāo)MAC地址為：01-80-C2-00-00-00.Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Sw-ASTP-1STP-2根橋-A根橋-B1.1.1.22.2.2.12.2.2.2Sw-B-1Sw-B-2Sw-A-1Sw-A-2復(fù)習(xí)重點:1.只在端口關(guān)閉STP功能,BPDU報文將會被丟棄.2.沒有運行STP協(xié)議的網(wǎng)橋?qū)袯PDU報文當(dāng)作普通業(yè)務(wù)報文轉(zhuǎn)發(fā)。3.我們的交換機就算配置三層地址,但是大家也要記住它只是被加入了VLAN-Interface里,它的二層特性并未改變.一樣可以將BPDU報文發(fā)送.請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Speed Linktype 802.1Dcost 802.1tcost10Mbps HalfDuplex 100 2,000,000 FullDuplex 95 1,999,999 Aggregatedlink 90 1,000,000 100Mbps HalfDuplex 19 200,000 FullDuplex 18 199,999 AggregatedLink 15 100,0001000Mbps FullDuplex 4 20,000 AggregatedLink 3 10,000復(fù)習(xí)重點:很多時候我們經(jīng)常會遇到H3C交換機同其它友商交換機STP選路錯誤的問題,問題常常是因為各個廠商的PATHCOST標(biāo)準(zhǔn)不同.Speed Linktype 802.1Dcost 8第二部分VRRP協(xié)議第二部分VRRP協(xié)議VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualrouteridentifier)用來標(biāo)識虛擬路由器，取值范圍1-255虛擬路由器的MAC地址00-00-5e-00-02-xxxx為vrid值虛擬路由器的IPAddress虛擬路由器使用的ip地址虛擬路由器的priority用來標(biāo)識運行VRRP協(xié)議路由器對應(yīng)VRID的優(yōu)先級取值范圍0-2551-254是備份路由器可以配置的范圍缺省值為100InternetVRID1:Priority110:VirtualIPfe80::1

MasterBackupIPaddressfe80::2IPaddressfe80::3VRID1:Priority100:VirtualIPfe80::1

Gateway:fe80::1ActualIPaddressfe80::5Gateway:fe80::1ActualIPaddressfe80::6Gateway:fe80::1ActualIPaddressfe80::7Gateway:fe80::1ActualIPaddressfe80::8VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualroFW-1SW-ASW-BSW-CFW-2PCFW-1SW-ASW-BSW-CFW-2PC圖例一圖例二復(fù)習(xí)重點:1.VRRP在什么情況下會進(jìn)行主備切換.2.VRRP與靜態(tài)路由配合時容易忽略的地方.FW-1SW-ASW-BSW-CFW-2PCFW-1SW-A典型組網(wǎng)分析典型組網(wǎng)分析政府機關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機熱備份方案來組網(wǎng)，2層交換機的2條千兆鏈路分別上行到主備85，主備85應(yīng)用VRRP為用戶PC提供虛擬網(wǎng)關(guān)，應(yīng)用STP來切斷冗余鏈路組成的環(huán)路。綜合組網(wǎng)應(yīng)用政府機關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機熱Quidview網(wǎng)絡(luò)管理平臺網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3CS9512業(yè)務(wù)服務(wù)器群H3C

S9512H3C

S5024*6臺H3C

S7506*18臺H3C

S5024G*3臺NetEngine40-8廣域網(wǎng)雙機熱備份組網(wǎng)常用的組網(wǎng)圖:Quidview網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3C業(yè)務(wù)服務(wù)器群H3C雙機組網(wǎng)的特點:在單機樹型組網(wǎng)中，在網(wǎng)絡(luò)設(shè)備受到病毒等惡意攻擊時，一般表現(xiàn)為網(wǎng)絡(luò)訪問速度變慢或很慢.但是在雙機熱備份組網(wǎng)中，由于存在物理環(huán)路，設(shè)備在受到攻擊時很容易造成STP的BPDU丟失從而使得STP計算錯誤，不能正確切斷物理環(huán)路，引發(fā)廣播風(fēng)暴。另外2、3層交換機長時間受到巨量廣播報文沖擊，有時轉(zhuǎn)發(fā)芯片會失效，就是在廣播風(fēng)暴消失后也不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包，必須手工復(fù)位交換機。因此，雙機組網(wǎng)相比單機組網(wǎng)顯得脆弱些，跟交換機本身穩(wěn)定性反而關(guān)系不是太大，其它廠商的交換機一樣如此。所以，針對雙機組網(wǎng)，必須嚴(yán)格按照下面描述的步驟進(jìn)行配置，提高網(wǎng)絡(luò)的整體穩(wěn)定性。雙機組網(wǎng)的特點:業(yè)務(wù)VLAN和虛接口地址的配置:在接口上配置允許通過的VLAN時,這里著重要說明的是千萬不要對端口配置trunkpermitvlanall或trunkpermitvlan2to200之類，必須老老實實的一個一個指定允許通過的VLAN，也千萬不要配置GVRP。切記，切記!!!!容易產(chǎn)生8字環(huán)!!!!!!!!!

業(yè)務(wù)VLAN和虛接口地址的配置:VRRP配置ping網(wǎng)關(guān)往往是診斷網(wǎng)絡(luò)故障的第一步，所以在VRRP配置前，必須在全局模式下先配置vrrpping-enable，因為這個命令在配置VRRP后就不能再配置了。主備85之間每一組VRRP都會以advertise配置的時間間隔發(fā)送報文，默認(rèn)值是1秒鐘，如果有多個VRRP組，每秒同一時刻就會有較多的VRRP報文上CPU，為了避免這種情況，可以將VRRP組分為4組，每組分別以則數(shù)時間間隔（2、3、5、7秒）配置advertise，這樣就可以使得VRRP報文分散上CPU。VRRP通過priority來配置主備，主備配置必須與STP的配置相一致，否則會使得數(shù)據(jù)多經(jīng)過1個交換機加重網(wǎng)絡(luò)負(fù)荷。VRRP配置STP的配置主用85配置為STP的根，備用85配置為STP的備用根，一般不用設(shè)置STP的模式，可以運行在默認(rèn)的模式下。2層交換機強烈建議啟用STP協(xié)議，只要直接啟用STP，不用進(jìn)行其它STP配置。STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情況下備用85無任何業(yè)務(wù)，只能在網(wǎng)絡(luò)發(fā)生故障如主用85當(dāng)機或2層交換機連接主用85的光纖DOWN時，業(yè)務(wù)才會全部或部分切換到備用85。有用戶提出要進(jìn)行主備85之間的負(fù)荷分擔(dān)，如果2層交換機全部或部分支持MSTP，負(fù)荷分擔(dān)是完全可以實現(xiàn)的，只要配置MSTP的幾個實例，將不同的VLAN劃分到不同的實例中，配置不同的實例有不同的根，并相應(yīng)配置VRRP的主用，這樣不同的實例走不同的85，起到負(fù)荷分擔(dān)的作用.但是在實際應(yīng)用中，局域網(wǎng)的流量并不大，采用雙機更多的是出于可靠性的考慮，配置負(fù)荷分擔(dān)并不能提高網(wǎng)絡(luò)的性能，反而增加了配置的復(fù)雜性，潛在的也降低了網(wǎng)絡(luò)的穩(wěn)定性，畢竟越是復(fù)雜穩(wěn)定性越難以保證，所以一般情況下不建議配置主備85之間的負(fù)荷分擔(dān)。VRRP+STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情強制雙工和速率的配置:電接口的自協(xié)商功能穩(wěn)定一些，一般采用自協(xié)商就可以了.光接口由于光模塊的兼容性稍差、某些線路光衰比較大等原因，有些端口自協(xié)商會不成功，需要設(shè)置為強制雙工和強制速率。強制雙工和速率的配置:防病毒ACL的配置病毒攻擊產(chǎn)生大量的報文沖擊設(shè)備，造成網(wǎng)絡(luò)振蕩和設(shè)備故障，所以必須在所有交換機配置防病毒ACL規(guī)則對病毒報文進(jìn)行過慮如:aclnameanti-virusadvancedrule42denytcpdestination-porteq135

rule43denytcpdestination-porteq137rule44denytcpdestination-porteq138rule45denytcpdestination-porteq139rule46denytcpdestination-porteq593rule47denytcpdestination-porteq445rule48denytcpdestination-porteq4444rule49denyudpdestination-porteqnetbios-nsrule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434rule52denyudpdestination-porteq4444rule53denytcpdestination-porteq1022rule54denytcpdestination-porteq1023rule55denytcpdestination-porteq5554rule56denyudpdestination-porteq6666rule57denytcpdestination-porteq9996防病毒ACL的配置交換網(wǎng)絡(luò)排查步驟:1.通過命令來查看STP狀態(tài)(displaystpbrief),在正常情況下應(yīng)該有一個端口被

DISCARDING掉.如果所有的端口都處于FORWARDING,說明網(wǎng)絡(luò)中已經(jīng)存在了環(huán)路.2.對一個形成環(huán)路的每一個端口，使用displaystpinterface命令查看BPDU收發(fā)報文數(shù)是否在增長.如果BPDU報文的收有增長,一般情況下網(wǎng)絡(luò)幾分鐘后可以恢復(fù)正常.如果BPDU報文收發(fā)無正常,則很難自愈,應(yīng)該立即關(guān)閉備的交換機,讓業(yè)務(wù)恢復(fù)正常.

3.網(wǎng)絡(luò)正常后，可以查看各端口的流量和廣播流量，如果某些端口廣播流量特別大，基本可以確定下掛的PC被病毒感染，可以通過端口鏡像抓包來確認(rèn)；交換網(wǎng)絡(luò)排查步驟:STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何設(shè)備相連的端口。用戶如果將某個端口指定為邊緣端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無需等待延遲時間。配置命令：[Sysname-Ethernet1/1/1]stpedged-portenable千萬小心：刪除邊緣的端口命令！[Sysname-Ethernet1/1/1]undostpedged-port邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報文）時系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重新計算生成樹，引起網(wǎng)絡(luò)拓?fù)涞恼鹗?。這些端口正常情況下應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊設(shè)備，就會引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。STP-EdgedPortBPDU置為非邊緣端口，重新計算生成樹交換網(wǎng)絡(luò)BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報BPDU保護(hù)功能處理流程交換機上啟動了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時通知網(wǎng)管這些端口被STP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。配置命令：[Sysname]stpbpdu-protectionSTP-EdgedPortBPDU端口被STP關(guān)閉交換網(wǎng)絡(luò)BPDU保護(hù)功能處理流程STP-EdgedPortBPDURoot保護(hù)功能產(chǎn)生背景由于維護(hù)人員的錯誤配置（例如網(wǎng)橋優(yōu)先級修改）或網(wǎng)絡(luò)中的惡意攻擊，合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯誤變動。這種不合法的變動，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root保護(hù)功能可以防止這種情況的發(fā)生。Root保護(hù)功能產(chǎn)生背景Root保護(hù)功能處理流程對于設(shè)置了Root保護(hù)功能的端口，其在所有實例上的端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被選擇為非指定端口時，這些端口的狀態(tài)將被設(shè)置為Discarding狀態(tài)，不再轉(zhuǎn)發(fā)報文（相當(dāng)于將與此端口相連的鏈路斷開）。當(dāng)在足夠長的時間內(nèi)沒有收到更優(yōu)的配置消息時，端口會恢復(fù)原來的正常狀態(tài)。

配置命令：[Sysname-Ethernet1/1/1]stproot-protectionRoot保護(hù)功能處理流程指定主備根橋用戶也可以通過設(shè)備提供的命令來指定當(dāng)前設(shè)備為根橋。

配置命令：[Sysname]stp[instanceinstance-id]rootprimary[bridge-diameter

bridgenum][hello-timecenti-seconds]指定主備根橋指定主備根橋（續(xù)）設(shè)置當(dāng)前設(shè)備為根橋或者備份根橋之后，用戶不能再修改設(shè)備的優(yōu)先級。當(dāng)前設(shè)備在各棵生成樹實例中的角色互相獨立，它可以作為一棵生成樹實例的根橋或備份根橋，同時也可以作為其他生成樹實例的根橋或備份根橋；在同一棵生成樹實例中，同一臺設(shè)備不能既作為根橋，又作為備份根橋。當(dāng)根橋出現(xiàn)故障或被關(guān)機時，備份根橋可以取代根橋成為指定生成樹實例的根橋；但是此時如果用戶設(shè)置了新的根橋，則備份根橋?qū)⒉粫蔀楦鶚颉Ｈ绻脩魹橐豢蒙蓸鋵嵗渲昧硕鄠€備份根橋，當(dāng)根橋失效時，MSTP將選擇MAC地址最小的那個備份根橋作為根橋。指定主備根橋（續(xù)）設(shè)置當(dāng)前設(shè)備為根橋或者備份根橋之后，用戶Root保護(hù)和指定主備根橋的區(qū)別配置Root保護(hù)功能與指定主備根橋的作用一樣碼？Root保護(hù)和指定主備根橋的區(qū)別配置Root保護(hù)功能與指定主環(huán)路保護(hù)功能產(chǎn)生背景依靠不斷接收上游設(shè)備發(fā)送的BPDU報文，設(shè)備可以維持根端口和其他阻塞端口的狀態(tài)。但是由于鏈路擁塞或者單向鏈路故障，這些端口會收不到上游設(shè)備的BPDU報文，此時下游設(shè)備會重新選擇端口角色，收不到BPDU報文的下游設(shè)備根端口會轉(zhuǎn)變?yōu)橹付ǘ丝?，而阻塞端口會遷移到轉(zhuǎn)發(fā)狀態(tài)，從而交換網(wǎng)絡(luò)中會產(chǎn)生環(huán)路。環(huán)路保護(hù)功能會抑制這種環(huán)路的產(chǎn)生。

環(huán)路保護(hù)功能產(chǎn)生背景環(huán)路保護(hù)功能處理流程對于配置了環(huán)路保護(hù)的端口，如果發(fā)生鏈路擁塞或者單向鏈路故障，接收不到上游設(shè)備發(fā)送的BPDU報文，環(huán)路保護(hù)生效，則根端口的角色變?yōu)橹付ǘ丝?，端口的狀態(tài)為Discarding狀態(tài)；阻塞端口同樣也變?yōu)橹付ǘ丝冢丝跔顟B(tài)為Discarding狀態(tài)，不轉(zhuǎn)發(fā)報文，從而不會在網(wǎng)絡(luò)中形成環(huán)路。配置命令：[Sysname-Ethernet1/1/1]stploop-protection環(huán)路保護(hù)功能處理流程環(huán)路保護(hù)功能流程演示BPDU根端口指定端口TCTC拓?fù)涓淖?，重新計算，打開端口阻塞端口forwarding拓?fù)涓淖?，重新計算，打開端口指定端口環(huán)路保護(hù)生效端口discardingBPDU指定端口環(huán)路保護(hù)功能流程演示BPDU根端口指定端口TCTC拓?fù)涓淖?，防止TC-BPDU報文攻擊的保護(hù)功能設(shè)備在接收到TC-BPDU報文后，會執(zhí)行MAC地址表項和ARP表項的刪除操作。在有人偽造TC-BPDU報文惡意攻擊設(shè)備時，設(shè)備短時間內(nèi)會收到很多的TC-BPDU報文，頻繁的刪除操作給設(shè)備帶來很大負(fù)擔(dān)，給網(wǎng)絡(luò)的穩(wěn)定帶來很大隱患。防止TC-BPDU報文攻擊的保護(hù)功能使能后，設(shè)備在收到TC-BPDU報文后的一定時間內(nèi)（一般為10秒），只進(jìn)行一次刪除操作，同時監(jiān)控該時間段內(nèi)是否收到TC-BPDU報文。如果在該時間段內(nèi)收到了TC-BPDU報文，則設(shè)備在該時間超時后再進(jìn)行一次刪除操作。這樣可以避免頻繁的刪除MAC地址表項和ARP表項。配置命令：[Sysname]stptc-protectionenable防止TC-BPDU報文攻擊的保護(hù)功能設(shè)備在接收到TC-BPD注意事項BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)這三種保護(hù)功能的支持情況與設(shè)備的型號有關(guān)，請以設(shè)備的實際情況為準(zhǔn)。不同的交換機、不同的版本對TC-Protection缺省是否打開不一致。

其它保護(hù)功能缺省均未打開。

在對一個端口進(jìn)行配置的時候，在環(huán)路保護(hù)功能、Root保護(hù)功能或者邊緣端口設(shè)置三個配置中，同一時刻只能有一個配置生效。注意事項BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)這三種保護(hù)功能單端口環(huán)路檢測產(chǎn)生背景邊緣交換機下接橋設(shè)備，橋的兩個端口可能因為種種原因形成環(huán)路，造成從該交換機口出去的報文又從該端口收到形成環(huán)路。對于交換機來說，該環(huán)路是在交換機的一個端口上產(chǎn)生，標(biāo)準(zhǔn)STP無法解決該問題。交換機二層交換設(shè)備接口人為環(huán)路或設(shè)備內(nèi)部自環(huán)單端口環(huán)路檢測產(chǎn)生背景邊緣交換機下接橋設(shè)備，橋的兩個端口可能單端口環(huán)路檢測功能介紹開啟端口環(huán)回監(jiān)測功能定時(缺省30S)監(jiān)測各個端口是否被外部環(huán)回。如果發(fā)現(xiàn)某端口被環(huán)回，交換機會將該端口處于受控工作狀態(tài)，刪除該端口對應(yīng)的MAC地址轉(zhuǎn)發(fā)表項，并向終端上報Trap信息。但是端口的物理狀態(tài)仍然為UP。配置命令：[Sysname-Ethernet1/1/1]loopback-detectionenable交換機二層交換設(shè)備接口被人為環(huán)路或設(shè)備內(nèi)部自環(huán)環(huán)回檢測報文檢測到環(huán)路后將端口處于受控狀態(tài)單端口環(huán)路檢測功能介紹開啟端口環(huán)回監(jiān)測功能定時(缺省30S)單端口環(huán)路檢測報文單端口環(huán)路檢測報文單端口環(huán)路檢測功能介紹(續(xù)一)存在問題：邊緣交換機的上行口會檢測到其它分支上有環(huán)路存在，系統(tǒng)將上行端口受控，這樣內(nèi)網(wǎng)PC均無法訪問Internet。交換機1交換機2三層交換機二層交換設(shè)備環(huán)路檢測報文PC檢測到環(huán)路后將端口處于受控狀態(tài)PC無法訪問InternetInternet單端口環(huán)路檢測功能介紹(續(xù)一)存在問題：交換機1交換機2三層單端口環(huán)路檢測功能介紹(續(xù)二)解決辦法：目前低端交換機作為邊緣交換機使用時缺省打開單端口環(huán)路檢測功能。但是，必須手動關(guān)閉上行端口檢測功能或關(guān)閉受控。配置命令：[Sysname-Ethernet1/1/1]undoloopback-detectionenable或：[Sysname-Ethernet1/1/1]undoloopback-detectioncontrolenable單端口環(huán)路檢測功能介紹(續(xù)二)解決辦法：Q&AQ&A端口+STP+VRRP基礎(chǔ)知識介紹

端口+STP+VRRP基礎(chǔ)知識介紹第一部分端口通過圖例的方式復(fù)習(xí)交換機端口對報文的處理方式第一部分端口他們對報文的入和出是怎樣處理的呢?他們和PVID在實際組網(wǎng)中又容易出現(xiàn)哪些問題呢?以下我們將用幾個例子來列舉出他們之間的關(guān)系.access、trunk、hybrid和PVID他們對報文的入和出是怎樣處理的呢?他們和PVID在實際組網(wǎng)a問主機A能PING通主機B嗎?復(fù)習(xí)知識:trunk,access端口同PVID對報文出入是怎樣進(jìn)行打標(biāo)記的.復(fù)習(xí)目標(biāo):通過復(fù)習(xí)理解,對實際網(wǎng)絡(luò)中出現(xiàn)的端口問題能迅速排查.問主機A能PING通主機B嗎?復(fù)習(xí)知識:問:主機B能PING通主機A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為untagged時對報文是怎樣處理的.問:主機B能PING通主機A嗎?復(fù)習(xí)知識:主機B能ping通主機A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為tagged時對報文是怎樣處理的.主機B能ping通主機A嗎?復(fù)習(xí)知識:交換機端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機的一點原理：為了快速高效處理，交換機內(nèi)部的數(shù)據(jù)幀一律都帶有VLAN標(biāo)簽，以統(tǒng)一方式處理.1.Access端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）若VLAN標(biāo)簽和PVID一致，轉(zhuǎn)發(fā)VLAN幀；否則直接丟棄2.trunk端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該trunk端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄（注意：trunk口允許或不允許VLAN幀，是對進(jìn)入的幀而言的，對出去的幀沒有限制。）交換機端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機的一點原3.hybrid端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該hybrid端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄可以看到，trunk口和hybrid口對接收到的數(shù)據(jù)幀的處理規(guī)則是一樣的。3.hybrid端口交換機端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口（1）將二層幀的VLAN標(biāo)簽剝離，直接發(fā)送出去2.trunk端口（1）比較端口的PVID和將要發(fā)送二層幀的VLAN標(biāo)簽（2）如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送3.hybrid端口（1）用“disinterface”命令，可以查到hybrid端口對哪些VLAN是untag，哪些VLAN是tag。以此來判斷進(jìn)入hybrid口的VLAN幀，是屬于untagVLAN，還是tagVLAN。（2）如果屬于untagVLAN則轉(zhuǎn)到第3步，如果屬于tagVLAN則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送交換機端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口第二部分ＳＴＰ協(xié)議第二部分ＳＴＰ協(xié)議引入STP/RSTP/MSTP的作用在二層網(wǎng)絡(luò)上形成樹狀網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免環(huán)路。二層網(wǎng)絡(luò)環(huán)路的危害1.廣播風(fēng)暴（沒有三層網(wǎng)絡(luò)的TTL機制）。2.MAC地址學(xué)習(xí)錯誤。二層網(wǎng)絡(luò)的健壯性STP可以增強網(wǎng)絡(luò)健壯性，避免單點故障，單鏈路故障。引入STP/RSTP/MSTP的作用STP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路如圖中，在使能了STP后，SW3的B端口不再轉(zhuǎn)發(fā)流量，從而達(dá)到修剪冗余鏈路的目的一些概念：根橋/指定橋指定端口根端口根路徑開銷端口IDSTP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路一些概念STP的基本概念一個根橋?qū)τ谝粋€STP網(wǎng)絡(luò)，根橋有且只有一個。它是整個網(wǎng)絡(luò)的邏輯中心，但不一定是物理中心。根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓鶚蚩赡芨淖?。STP交換機之間通過比較BID（橋ID）來選舉根橋。STP的基本概念一個根橋STP的基本概念擁有最小BID的交換機被選舉為根橋每個交換機上根路徑開銷最小的端口將成為根端口圖3STP的基本概念擁有最小BID的交換機被選舉為根橋圖3STP的基本概念三要素的選舉從一個初始的有環(huán)拓?fù)渖蓸錉钔負(fù)?，總體來說有三個要素：根橋、根端口和指定端口。根橋是全網(wǎng)意義上的。通過交換特殊的協(xié)議報文，網(wǎng)絡(luò)中很快就會對最小的BID達(dá)成一致。所謂根端口，是指一個非根橋的STP交換機上離根橋最近的端口，這個端口的選擇標(biāo)準(zhǔn)是根路徑開銷。STP的基本概念三要素的選舉STP的基本概念三要素的選舉–關(guān)于指定端口在每一個運行STP交換機上（根橋除外），端口都有三類：根端口、指定端口、非根非指定端口；根橋上沒有根端口。指定端口的概念是針對于某網(wǎng)段（Segment）的，是流量從根橋方向來而從這個端口轉(zhuǎn)發(fā)“出去”。STP的基本概念三要素的選舉–關(guān)于指定端口STP的基本概念四條比較原則STP選舉有4個比較原則，構(gòu)成消息優(yōu)先級向量：{根橋ID，累計根路徑開銷，發(fā)送交換機BID，發(fā)送端口PID}STP交換機協(xié)議采用特殊的協(xié)議報文（又稱協(xié)議數(shù)據(jù)單元，BridgeProtocolDataUnit）來交互信息，這種特殊的消息稱為“配置消息（ConfigurationMessage）”或者一般簡稱之BPDU。消息優(yōu)先級向量就是攜帶在配置BPDU中的。STP的基本概念四條比較原則STP的基本概念四條比較原則配置BPDU中攜帶本端口的信息，主要信息如下表：字段內(nèi)容簡要說明根橋BID每個STP網(wǎng)絡(luò)中有且僅有一個根累計根路徑開銷發(fā)送這個BPDU的端口到根橋的“距離”發(fā)送交換機BID發(fā)送這個BPDU的交換機的BID發(fā)送端口PID發(fā)出這個BPDU的端口的PIDSTP的基本概念四條比較原則字段內(nèi)容簡要說明根橋BID每個SSTP的基本概念最低BID。用來選根橋。最小的累計根路徑開銷。用來在非根橋上選擇根端口，在根橋上每個端口到根橋的根路徑開銷都是0。圖4STP的基本概念最低BID。用來選根橋。圖4STP的技術(shù)細(xì)節(jié)根橋的選擇由于每個橋都認(rèn)為自己是根橋，所以在每個端口所發(fā)出的BPDU中，根橋字段都是用各自的BID填充。BPDU會按照HelloTime指定的時間間隔來發(fā)送，默認(rèn)的時間為2秒。當(dāng)發(fā)送BPDU的時候，填充RootBID字段的是“當(dāng)前我所認(rèn)為的根橋”的BID。通過交互，交換機之間比較RootBID，最后可以得出一個最好的BID，達(dá)成一致。STP的技術(shù)細(xì)節(jié)根橋的選擇STP的技術(shù)細(xì)節(jié)根端口的選擇每個非根橋STP交換機都要選擇一個根端口，根端口對于一個交換機來說有且只有一個。其本質(zhì)是“距離根橋最近的端口”，這個最近的衡量是靠累計根路徑開銷來判定的STP的技術(shù)細(xì)節(jié)根端口的選擇STP的技術(shù)細(xì)節(jié)指定端口的選擇在網(wǎng)段上抑制其他端口（無論是自己的還是其他網(wǎng)橋的）發(fā)送BPDU的端口，就是該網(wǎng)段的指定端口。在收斂后，只有指定端口和根端口可以處于轉(zhuǎn)發(fā)狀態(tài)。在一個網(wǎng)段上擁有指定端口的交換機被稱作該網(wǎng)段的指定橋。STP的技術(shù)細(xì)節(jié)指定端口的選擇STP的技術(shù)細(xì)節(jié)穩(wěn)定之后在拓?fù)浞€(wěn)定之后，根橋仍然按照HelloTime間隔發(fā)出配置BPDU。其他非根橋交換機僅僅在收到上一級過來的BPDU，才會觸發(fā)發(fā)出BPDU。如果有必要，則根據(jù)BPDU里面的信息更新自己相應(yīng)端口的。STP的技術(shù)細(xì)節(jié)穩(wěn)定之后第三部分VRRP第三部分VRRPVrrp技術(shù)

用VRRP實現(xiàn)虛擬路由器Internet實際IP地址：10.100.10.3/24實際IP地址：10.100.10.2/24虛擬IP地址：10.100.10.1/24VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）提供了局域網(wǎng)上的設(shè)備備份機制Vrrp技術(shù)用VRRP實現(xiàn)虛擬路由器Internet實際VRRP技術(shù)VRRP定義了一種報文：VRRP報文，是組播報文VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動狀態(tài)（Master）備份狀態(tài)（Backup）VRRP報文封裝在IP報文上VRRP技術(shù)VRRP定義了一種報文：VRRP報文，是組播報VRRP原理從備份組的交換機中選舉主交換機：默認(rèn)情況下選擇優(yōu)先級最大的為主交換機，其它交換機作為備份交換機主交換機定期發(fā)送VRRP報文如果備份交換機長時間沒有收到主交換機報文，則將自己狀態(tài)改為Master若有多臺備份交換機，則根據(jù)接收的VRRP報文，選舉優(yōu)先級最大的交換機成為新的主交換機VRRP原理從備份組的交換機中選舉主交換機：STP/VRRP/OSPF實例分析STP/VRRP/OSPF實例分析學(xué)習(xí)目標(biāo):1.生成樹協(xié)議常見問題分析2.VRRP協(xié)議及問題分析3.典型組網(wǎng)分析學(xué)習(xí)目標(biāo):第一部分生成樹協(xié)議第一部分生成樹協(xié)議SwitchABID=0001SwitchCBID=0050SwitchBBID=1045PC=4PC=8PC=4DPDPRPBPDU:RootSwitch=0001CosttoRoot=8BPDU:RootSwitch=0001

CosttoRoot=4BothRootsCostsare=8

BID-A<BIDB問題1：哪個端口將被阻斷？問題2：如果所有的PathCost都相同，哪個端口將被阻斷？復(fù)習(xí)重點:STP通過BPDU(BridgeProtocolDataUnit)報文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。指定端口同可選端口怎么比較.SwitchABID=0001SwitchCBI如何決定BPDU配置消息的優(yōu)劣比較RID(RootBridgeID)，確定網(wǎng)絡(luò)同步。RID相同，比較PathCost（到根橋距離），越小越優(yōu)。RID/PathCost相同，比較指定橋的BID(DesignatedBridgeID)，越小越優(yōu)。RID/PathCost/DBID相同，比較指定端口的ID(DesignatedPortID)，越小越優(yōu)。哪邊更優(yōu)？BPDUBPDU如何決定BPDU配置消息的優(yōu)劣比較RID(RootBrid如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。BID—網(wǎng)橋的優(yōu)先級+網(wǎng)橋MAC。網(wǎng)橋的優(yōu)先級為可配置，缺省值為32768。在缺省情況下，根橋?qū)⒂蒑AC地址最小的網(wǎng)橋擔(dān)任。如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。STP協(xié)議簡介常用概念根橋(RootBridge)—橋ID最小的網(wǎng)橋。其中橋ID是由網(wǎng)橋的優(yōu)先級和網(wǎng)橋的MAC組成。根端口(RootPort)—這個端口到達(dá)根橋的路徑是該端口所在網(wǎng)橋到達(dá)根橋的最佳路徑。全網(wǎng)中只有根橋是沒有根端口的。指定端口(DesignatedPort)—每一個網(wǎng)段選擇到根橋最近的網(wǎng)橋作為指定網(wǎng)橋，該網(wǎng)橋到這一網(wǎng)段的端口為指定端口?？蛇x端口(AlternatePort)—既不是指定端口，也不是根端口的端口。RP–ROOTPORTSwitchABID=0001SwitchCBID=1045SwitchBBID=0050DP–DESIGNATEDPORTDPRPDPRPDPDPAPAPSwitchDBID=0030STP協(xié)議簡介常用概念RP–ROOTPORTSwitc確定網(wǎng)橋端口角色BPDU報文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。通過BPDU配置消息來決定端口的角色：—根端口：網(wǎng)橋各個端口中到根橋最近的端口。—指定端口：網(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更優(yōu)，則端口為指定端口?！蛇x端口：網(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更差，則端口為可選端口。確定網(wǎng)橋端口角色BPDU報文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生效?復(fù)習(xí)重點:1.STP通過BPDU(BridgeProtocolDataUnit)報文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。2.BPDU報文的目標(biāo)MAC地址為：01-80-C2-00-00-00.Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Sw-ASTP-1STP-2根橋-A根橋-B1.1.1.22.2.2.12.2.2.2Sw-B-1Sw-B-2Sw-A-1Sw-A-2復(fù)習(xí)重點:1.只在端口關(guān)閉STP功能,BPDU報文將會被丟棄.2.沒有運行STP協(xié)議的網(wǎng)橋?qū)袯PDU報文當(dāng)作普通業(yè)務(wù)報文轉(zhuǎn)發(fā)。3.我們的交換機就算配置三層地址,但是大家也要記住它只是被加入了VLAN-Interface里,它的二層特性并未改變.一樣可以將BPDU報文發(fā)送.請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Speed Linktype 802.1Dcost 802.1tcost10Mbps HalfDuplex 100 2,000,000 FullDuplex 95 1,999,999 Aggregatedlink 90 1,000,000 100Mbps HalfDuplex 19 200,000 FullDuplex 18 199,999 AggregatedLink 15 100,0001000Mbps FullDuplex 4 20,000 AggregatedLink 3 10,000復(fù)習(xí)重點:很多時候我們經(jīng)常會遇到H3C交換機同其它友商交換機STP選路錯誤的問題,問題常常是因為各個廠商的PATHCOST標(biāo)準(zhǔn)不同.Speed Linktype 802.1Dcost 8第二部分VRRP協(xié)議第二部分VRRP協(xié)議VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualrouteridentifier)用來標(biāo)識虛擬路由器，取值范圍1-255虛擬路由器的MAC地址00-00-5e-00-02-xxxx為vrid值虛擬路由器的IPAddress虛擬路由器使用的ip地址虛擬路由器的priority用來標(biāo)識運行VRRP協(xié)議路由器對應(yīng)VRID的優(yōu)先級取值范圍0-2551-254是備份路由器可以配置的范圍缺省值為100InternetVRID1:Priority110:VirtualIPfe80::1

MasterBackupIPaddressfe80::2IPaddressfe80::3VRID1:Priority100:VirtualIPfe80::1

Gateway:fe80::1ActualIPaddressfe80::5Gateway:fe80::1ActualIPaddressfe80::6Gateway:fe80::1ActualIPaddressfe80::7Gateway:fe80::1ActualIPaddressfe80::8VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualroFW-1SW-ASW-BSW-CFW-2PCFW-1SW-ASW-BSW-CFW-2PC圖例一圖例二復(fù)習(xí)重點:1.VRRP在什么情況下會進(jìn)行主備切換.2.VRRP與靜態(tài)路由配合時容易忽略的地方.FW-1SW-ASW-BSW-CFW-2PCFW-1SW-A典型組網(wǎng)分析典型組網(wǎng)分析政府機關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機熱備份方案來組網(wǎng)，2層交換機的2條千兆鏈路分別上行到主備85，主備85應(yīng)用VRRP為用戶PC提供虛擬網(wǎng)關(guān)，應(yīng)用STP來切斷冗余鏈路組成的環(huán)路。綜合組網(wǎng)應(yīng)用政府機關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機熱Quidview網(wǎng)絡(luò)管理平臺網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3CS9512業(yè)務(wù)服務(wù)器群H3C

S9512H3C

S5024*6臺H3C

S7506*18臺H3C

S5024G*3臺NetEngine40-8廣域網(wǎng)雙機熱備份組網(wǎng)常用的組網(wǎng)圖:Quidview網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3C業(yè)務(wù)服務(wù)器群H3C雙機組網(wǎng)的特點:在單機樹型組網(wǎng)中，在網(wǎng)絡(luò)設(shè)備受到病毒等惡意攻擊時，一般表現(xiàn)為網(wǎng)絡(luò)訪問速度變慢或很慢.但是在雙機熱備份組網(wǎng)中，由于存在物理環(huán)路，設(shè)備在受到攻擊時很容易造成STP的BPDU丟失從而使得STP計算錯誤，不能正確切斷物理環(huán)路，引發(fā)廣播風(fēng)暴。另外2、3層交換機長時間受到巨量廣播報文沖擊，有時轉(zhuǎn)發(fā)芯片會失效，就是在廣播風(fēng)暴消失后也不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包，必須手工復(fù)位交換機。因此，雙機組網(wǎng)相比單機組網(wǎng)顯得脆弱些，跟交換機本身穩(wěn)定性反而關(guān)系不是太大，其它廠商的交換機一樣如此。所以，針對雙機組網(wǎng)，必須嚴(yán)格按照下面描述的步驟進(jìn)行配置，提高網(wǎng)絡(luò)的整體穩(wěn)定性。雙機組網(wǎng)的特點:業(yè)務(wù)VLAN和虛接口地址的配置:在接口上配置允許通過的VLAN時,這里著重要說明的是千萬不要對端口配置trunkpermitvlanall或trunkpermitvlan2to200之類，必須老老實實的一個一個指定允許通過的VLAN，也千萬不要配置GVRP。切記，切記!!!!容易產(chǎn)生8字環(huán)!!!!!!!!!

業(yè)務(wù)VLAN和虛接口地址的配置:VRRP配置ping網(wǎng)關(guān)往往是診斷網(wǎng)絡(luò)故障的第一步，所以在VRRP配置前，必須在全局模式下先配置vrrpping-enable，因為這個命令在配置VRRP后就不能再配置了。主備85之間每一組VRRP都會以advertise配置的時間間隔發(fā)送報文，默認(rèn)值是1秒鐘，如果有多個VRRP組，每秒同一時刻就會有較多的VRRP報文上CPU，為了避免這種情況，可以將VRRP組分為4組，每組分別以則數(shù)時間間隔（2、3、5、7秒）配置advertise，這樣就可以使得VRRP報文分散上CPU。VRRP通過priority來配置主備，主備配置必須與STP的配置相一致，否則會使得數(shù)據(jù)多經(jīng)過1個交換機加重網(wǎng)絡(luò)負(fù)荷。VRRP配置STP的配置主用85配置為STP的根，備用85配置為STP的備用根，一般不用設(shè)置STP的模式，可以運行在默認(rèn)的模式下。2層交換機強烈建議啟用STP協(xié)議，只要直接啟用STP，不用進(jìn)行其它STP配置。STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情況下備用85無任何業(yè)務(wù)，只能在網(wǎng)絡(luò)發(fā)生故障如主用85當(dāng)機或2層交換機連接主用85的光纖DOWN時，業(yè)務(wù)才會全部或部分切換到備用85。有用戶提出要進(jìn)行主備85之間的負(fù)荷分擔(dān)，如果2層交換機全部或部分支持MSTP，負(fù)荷分擔(dān)是完全可以實現(xiàn)的，只要配置MSTP的幾個實例，將不同的VLAN劃分到不同的實例中，配置不同的實例有不同的根，并相應(yīng)配置VRRP的主用，這樣不同的實例走不同的85，起到負(fù)荷分擔(dān)的作用.但是在實際應(yīng)用中，局域網(wǎng)的流量并不大，采用雙機更多的是出于可靠性的考慮，配置負(fù)荷分擔(dān)并不能提高網(wǎng)絡(luò)的性能，反而增加了配置的復(fù)雜性，潛在的也降低了網(wǎng)絡(luò)的穩(wěn)定性，畢竟越是復(fù)雜穩(wěn)定性越難以保證，所以一般情況下不建議配置主備85之間的負(fù)荷分擔(dān)。VRRP+STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情強制雙工和速率的配置:電接口的自協(xié)商功能穩(wěn)定一些，一般采用自協(xié)商就可以了.光接口由于光模塊的兼容性稍差、某些線路光衰比較大等原因，有些端口自協(xié)商會不成功，需要設(shè)置為強制雙工和強制速率。強制雙工和速率的配置:防病毒ACL的配置病毒攻擊產(chǎn)生大量的報文沖擊設(shè)備，造成網(wǎng)絡(luò)振蕩和設(shè)備故障，所以必須在所有交換機配置防病毒ACL規(guī)則對病毒報文進(jìn)行過慮如:aclnameanti-virusadvancedrule42denytcpdestination-porteq135

rule43denytcpdestination-porteq137rule44denytcpdestination-porteq138rule45denytcpdestination-porteq139rule46denytcpdestination-porteq593rule47denytcpdestination-porteq445rule48denytcpdestination-porteq4444rule49denyudpdestination-porteqnetbios-nsrule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434rule52denyudpdestination-porteq4444rule53denytcpdestination-porteq1022rule54denytcpdestination-porteq1023rule55denytcpdestination-porteq5554rule56denyudpdestination-porteq6666rule57denytcpdestination-porteq9996防病毒ACL的配置交換網(wǎng)絡(luò)排查步驟:1.通過命令來查看STP狀態(tài)(displaystpbrief),在正常情況下應(yīng)該有一個端口被

DISCARDING掉.如果所有的端口都處于FORWARDING,說明網(wǎng)絡(luò)中已經(jīng)存在了環(huán)路.2.對一個形成環(huán)路的每一個端口，使用displaystpinterface命令查看BPDU收發(fā)報文數(shù)是否在增長.如果BPDU報文的收有增長,一般情況下網(wǎng)絡(luò)幾分鐘后可以恢復(fù)正常.如果BPDU報文收發(fā)無正常,則很難自愈,應(yīng)該立即關(guān)閉備的交換機,讓業(yè)務(wù)恢復(fù)正常.

3.網(wǎng)絡(luò)正常后，可以查看各端口的流量和廣播流量，如果某些端口廣播流量特別大，基本可以確定下掛的PC被病毒感染，可以通過端口鏡像抓包來確認(rèn)；交換網(wǎng)絡(luò)排查步驟:STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何設(shè)備相連的端口。用戶如果將某個端口指定為邊緣端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無需等待延遲時間。配置命令：[Sysname-Ethernet1/1/1]stpedged-portenable千萬小心：刪除邊緣的端口命令！[Sysname-Ethernet1/1/1]undostpedged-port邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報文）時系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重新計算生成樹，引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯＿@些端口正常情況下應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊設(shè)備，就會引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。STP-EdgedPortBPDU置為非邊緣端口，重新計算生成樹交換網(wǎng)絡(luò)BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報BPDU保護(hù)功能處理流程交換機上啟動了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時通知網(wǎng)管這些端口被STP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。配置命令：[Sysname]stpbpdu-protectionSTP-EdgedPortBPDU端口被STP關(guān)閉交換網(wǎng)絡(luò)BPDU保護(hù)功能處理流程STP-EdgedPortBPDURoot保護(hù)功能產(chǎn)生背景由于維護(hù)人員的錯誤配置（例如網(wǎng)橋優(yōu)先級修改）或網(wǎng)絡(luò)中的惡意攻擊，合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯誤變動。這種不合法的變動，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root保護(hù)功能可以防止這種情況的發(fā)生。Root保護(hù)功能產(chǎn)生背景Root保護(hù)功能處理流程對于設(shè)置了Root保護(hù)功能的端口，其在所有實例上的端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被