业务支撑网网络技术 Lesson 7 第二层交换机的功能.ppt

《业务支撑网网络技术 Lesson 7 第二层交换机的功能.ppt》由会员分享，可在线阅读，更多相关《业务支撑网网络技术 Lesson 7 第二层交换机的功能.ppt（63页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Lesson 7 第二层交换机的功能第二层交换机的功能7.1 第二层交换机的工作原理7.2 生成树协议(STP)7.3 高级生成树协议7.4 第二层交换机的基本配置7.5 交换机的端口安全7.1 第二层交换机的工作原理7.1.1 面板指示灯7.1.2 交换机和网桥的比较7.1.3 交换机的数据转发方式7.1.4 第二层交换机的功能7.1.5 冗余(Redundant)7.1.1 面板指示灯面板指示灯7.1.2 交换机和网桥的比较交换机和网桥的比较网桥(Bridge)交换机(Switch)Cut-Through（直通转发）Switch checks destination address and

2、 immediately begins forwarding frame Fragment-Free（碎片丢弃）Switch checks the first 64 bytes,then immediately begins forwarding frame Store and Forward（存储转发）Complete frame is received and checked before forwarding7.1.3 交换机的数据转发方式交换机的数据转发方式7.1.4 第二层交换机的功能第二层交换机的功能地址学习(Address learning)转发/过滤决定(Forward/fil

3、ter decision)避免循环(Loop avoidance)MAC地址表地址表(MAC Address Table)交换机上电初始化期间交换机上电初始化期间MAC地址表是空的地址表是空的地址学习地址学习(Learning Addresses)Station A sends a frame to station C.The switch caches the MAC address of station A to port E0 by learning the source address of data frames.The frame from station A to station

4、 C is flooded out to all ports except port E0(unknown unicasts are flooded).地址学习地址学习(Learning Addresses)Station D sends a frame to station C.The switch caches the MAC address of station D to port E3 by learning the source address of data frames.The frame from station D to station C is flooded out to

5、 all ports except port E3(unknown unicasts are flooded).过滤帧过滤帧(Filtering Frames)Station A sends a frame to station C.The destination is known;the frame is not flooded.过滤帧过滤帧(Filtering Frames)Station A sends a frame to station B.The switch has the address for station B in the MAC address table.Statio

6、n D sends a broadcast or multicast frame.Broadcast and multicast frames are flooded to all ports other than the originating port.广播广播MAC地址：地址：FF.FF.FF.FF.FF.FF组播组播MAC地址范围地址范围：01:00:5E:00:00:00-01:00:5E:FF:FF:FF广播和组播帧广播和组播帧(Broadcast and Multicast Frames)7.1.5 冗余冗余(Redundant)优点：冗余能够避免单点故障缺点：交换循环(Swit

7、ch loop)交换循环的危害交换循环的危害广播风暴(Broadcast Storms)多帧复制(Multiple Frame copies)MAC地址表不稳定（MAC Database Instability）Host X sends a broadcast.Switches continue to propagate broadcast traffic over and over.广播风暴广播风暴(Broadcast Storms)Host X sends a unicast frame to router Y.The MAC address of router Y has not bee

8、n learned by either switch.Router Y will receive two copies of the same frame.多帧复制多帧复制(Multiple Frame copies)Host X sends a unicast frame to router Y.The MAC address of router Y has not been learned by either switch.Switches A and B learn the MAC address of host X on port 0.The frame to router Y is

9、flooded.Switches A and B incorrectly learn the MAC address of host X on port 1.MAC地址表不稳定地址表不稳定(MAC Database Instability）7.2 生成树协议生成树协议生成树协议(Spanning-tree protocol,STP)的出现可以使用我们的交换网络既可以发挥冗余技术的的优点，同时解决因交换循环所带来的缺点,采用IEEE802.1D标准7.2.1 STP的术语的术语STP交换机之间通过互送BPDU（Bridge protocol data unit）来检测无环路网络.STP的术语的术

10、语-根桥根桥根桥(Boot Bridge)是桥ID最低的网桥 STP的术语的术语-桥桥ID桥ID（Bridge ID）由桥优先级(思科交换机默认为32768)+交换机的MAC地址 STP的术语的术语-BPDUBPDU(Bridge Protocol Data Unit,网桥协议数据单元)是交换机之间利用BPDU互相交换信息，BPDU中包括桥ID来选举出根网桥。STP的术语的术语-非根网桥非根网桥非根网桥是除根网桥外的所有其他网桥 STP的术语的术语-根端口根端口 根端口(Root Port)是在所有非根网桥中选举连接到根网桥开销路径最小的链路所在的端口,如果有开销相同的路径则使用PID最小的端

11、口。PID（端口ID）由端口优先级（默认为128）加端口的MAC地址组成。根端口将被标记为转发端口.可以转发数据帧。STP的术语的术语-指定端口指定端口在每个冲突域中选举到根网桥开销路径最低的端口，如果有开销相同的路径则使用桥ID最小的交换机所在端口作为指定端口。指定端口将被标记为转发端口.可以转发数据帧。STP的术语的术语-非指定端口非指定端口在一个交换网络中选举完根端口和指定端口之后剩下的端口被称为非指定端口。非指定端口将被置为阻塞状态。不能转达发数据帧。7.2.2 路径的开销路径的开销 链路带宽链路开销10Gbps21Gbps4100Mbps1910Mbps1007.2.3 STP的操作

12、的操作选举根网桥 选举根端口 选举指定端口非指定端口 STP的操作的操作STP的计算的计算7.2.4 STP的收敛的收敛收敛(convergence)当所有端口变迁到转发或堵塞状态时，网络开始收敛，在网络收敛完成前，所有的数据不能被传送。收敛保证了所有的设备拥有相同的数据库（即相同的网络拓扑结构），这样保证全网范围内的数据一致性。一般来说从堵塞状态进入到转发状态需要50 秒左右的时间。在学习和转发状态下将学习在学习和转发状态下将学习MAC地址地址STP端口状态端口状态7.2.5 STP的类型公共生成树公共生成树(CST)所有的VLAN只有单个STP实例,这个实例称为公共生成树(Command

13、Spanning Tree,CST).基于802.1Q每每VLAN生成树生成树(PVST)Cisco的专利版本,每个VLAN都有一个独立的STP实例.基于Cisco ISL每每VLAN生成树加生成树加(PVST+)也是Cisco的专利版本,可以使PVST和CST协议的设备可以进行互操作.在802.1Q和ISL上操作CST CST 简化交换机的配置,节省计算STP时的CPU的开销不能实现在冗余链路的负载平衡CST不能提供最佳的可靠性和稳定性34PVST可以在连接分给不同的VLAN时通过冗余连接进行负载平衡PVST+CiscoPVST RegionCommon Spanning-Tree Regi

14、onIEEE 802.1Q Trunks7.2.6 STP的配置启用STP (默认是启用的)Switch(config)#spanning-tree vlan vlan-id更改优先级成为根交换机 Switch(config)#spanning-tree vlan vlan-id priority priority调节路径Cost在Trunk端口设置某一VLAN的CostSwitch(config-if)#spanning-tree vlan vlan-id cost cost在access端口设置CostSwitch(config-if)#spanning-tree cost cost启用P

15、ortFast Switch(config-if)#spanning-tree portfast启用UplinkFast (不能在根交换机上使用)Switch(config-if)#spanning-tree Uplinkfast启用BackboneFast（全部交换机都要启用）Switch(config)#spanning-tree backbonefastPortFastPortFast最小化服务器和工作站的停工时间(downtime)PortFast 只能用在访问端口上 C CEnd-User PC1.PortFastPortFastPortFastUplinkFastUplinkFas

16、t最小化网络停工时间(downtime)UplinkFast 是用于在交换机之间连接时,使网络小于5秒的时间内收敛PortFast 用在中继端口中 New Forwarding Path forVLAN RedNormalForwardingLinkEnd-User PC2.UplinkFast(快速上行链路)UplinkFast3.BackboneFast(快速主干)当指定网桥失去了与根桥的连接时，会就发出Inferior BPDU(下级BPDU)，表明自己是新的根桥。这样对方的交换机就会在自己的Root Port和原本处于Blocking状态的端口都收到BPDU了。BackboneFast

17、(快速主干)应用于没有的交换机上都使用收敛时间从原来的50秒节省到30秒时间查看STP的运行状态ASW11#show spanning-tree vlan 200VLAN0200 Spanning tree enabled protocol ieee Root ID Priority 49352 Address 0008.2199.2bc0 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 49352 (priority 49152 sys-id-ext

18、 200)Address 0008.2199.2bc0 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Uplinkfast enabledInterface Port ID Designated Port IDName Prio.Nbr Cost Sts Cost Bridge ID Prio.Nbr-Fa0/1 128.1 3019 LIS 0 49352 0008.2199.2bc0 128.1Fa0/2 128.2 3019 LIS 0 49352 0008.2199.2bc0 128.2Switc

19、h#show spanning-tree vlan vlan-id 显示STP交换机的信息Switch#show spanning-tree bridge Hello Max FwdVlan Bridge ID Time Age Dly Protocol-VLAN0200 49352(49152,200)0008.2199.2bc0 2 20 15 ieeeVLAN0202 49354(49152,202)0008.2199.2bc0 2 20 15 ieeeVLAN0203 49355(49152,203)0008.2199.2bc0 2 20 15 ieeeVLAN0204 49356(4

20、9152,204)0008.2199.2bc0 2 20 15 ieeeVLAN0205 49357(49152,205)0008.2199.2bc0 2 20 15 ieeeVLAN0206 49358(49152,206)0008.2199.2bc0 2 20 15 ieeeSwitch#show spanning-tree bridge7.3 高级生成树协议RSTP Rapid Spanning Tree Protocol,快速生成树协议MST Multiple Spanning Tree Protocol,多生成树协议7.3.1 RSTP 采用IEEE802.1W协议.能够比采用802

21、.1D的传统生成树协议更快收敛.1、RSTP 的端口类型根端口指定端口可选端口：非根网桥到根网桥的次最小开销链路所在端口备份端口：网段到根网桥的次最小开销链路所在的端口RSTP 端口状态RSTP RSTP 端口状态端口状态端口状态端口状态DiscardingDiscarding（丢弃）（丢弃）（丢弃）（丢弃）STP STP 端口状态端口状态端口状态端口状态DisabledDisabled（禁用）（禁用）（禁用）（禁用）端口是否包括在端口是否包括在端口是否包括在端口是否包括在活动的拓扑中活动的拓扑中活动的拓扑中活动的拓扑中NoNo端口是否学习端口是否学习端口是否学习端口是否学习MACMAC地址地

22、址地址地址NoNoDiscarding Discarding（丢弃）（丢弃）（丢弃）（丢弃）BlockingBlocking（阻塞）（阻塞）（阻塞）（阻塞）NoNoNoNoDiscarding Discarding（丢弃）（丢弃）（丢弃）（丢弃）ListeningListening（监听）（监听）（监听）（监听）NoNoNoNoLearningLearning（学习）（学习）（学习）（学习）LearningLearning（学习）（学习）（学习）（学习）NoNoYesYesForwardingForwarding（转发）（转发）（转发）（转发）ForwardingForwarding（转发）（

23、转发）（转发）（转发）YesYesYesYes2、RSTP的BPDU 格式3、RSTP的收敛4、拓扑改变和RSTP7.3.2 MST MST（Multiple Spanning Tree Protocol,多生成树协议），MST是由IEEE802.1s标准定义。MST可以使用多个STP实例，每个协议支持不同的VLAN组Standard 802.1Q CaseMST CaseMST 区域(Regions)MST configuration on each switch:NameRevision numberVLAN association table7.4 交换机的基本配置交换机的基本配置7.4

24、.1 Catalyst 2950交换机的默认配置：IP address:0.0.0.0CDP:enabled100BaseT port:autonegotiate duplex modeSpanning tree:enabledConsole password:none7.4.2 交换机的基本配置交换机的基本配置配置主机名：Switch(config)#hostname 主机名配置IP地址：Switch(config)#int vlan1Switch(config-if)#ip address IP地址 子网掩码Switch(config-if)#no shut配置网关地址：Switch(co

25、nfig)#ip default-gateway ip address查看交换机的查看交换机的IP地址地址Switch#show interfaces vlan 1Vlan1 is up,line protocol is upHardware is CPU Interface,address is 0008.a445.9b40(bia 0008.a445.9b40)Internet address is 10.2.2.11/24.Switch#查看交换的查看交换的MAC地址表地址表Switch#show Mac-address-table Mac Address Table-Vlan Mac

26、Address Type Ports-All 0008.a445.9b40 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 1 0008.e3e8.0440 DYNAMIC Fa0/2Total Mac Addresses for this criterion:5Switch#7.5 交换机的端口安全交换机的端口安全交换机的端口安全(Port Security)是基于识别站点的MAC地址来约束进入到一个交换机端口的访问。可以约束可以进入到交换

27、机端口的MAC地址数量，也可以约束进入到交换机的特定MAC地址。配置交换机的端口安全配置交换机的端口安全指定端口模式为访问(Access)模式 Switch(config-if)#switchport mode access指定能够进入端口的最大MAC地址数量Switch(config-if)#switchport port-security maximum 1-132设置能够进入端口的特定MAC地址Switch(config-if)#switchport port-security Mac-address Mac-address设置违反端口安全后的动作 Switch(config-if)#s

28、witchport port-security violation protect|restrict|shutdownshutdown：关闭，默认参数protect：保护，超过规定的MAC地址数量时，丢弃数据但不关闭端口restrict：限制将设置的安全规则应用端口Switch(config-if)#switchport port-security查看端口安全查看端口安全Switch#show port-securitySecure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count)(Count)(Count)-Fa0/2 1 1 0 Shutdown-Total Addresses in System(excluding one mac per port):0Max Addresses limit in System(excluding one mac per port):1024The End