CCNP 复习记录 —— 交换


Trunk

开启802.1Q的,需要MTU 1522;ISL的,MTU 1548

Native VLAN:用于转发未TAG的VLAN流量,需要TRUNK两端的Native相同,否则报错。

有些IOS不支持DTP,所以没有mode Dynamic命令,只能做sw mod tr.
Dynamic Desirable: 无论对端接口是Trunk, Desirable还是Auto,本地设置为Desirable的接口与之相连后,会一直保持处于Trunk mode.
Dynaimc Auto: 无论对端接口是Trunk, Desirable还是Auto,本地设置为Auto的接口与之相连后,会一直保持处于Trunk mode.
两端接口特性:Auto — Desirable: Trunk可以建立; Auto — Auto: Trunk 无法建立; Desirable — Desirable: Trunk可以建立。
switchport nonegotiable:关闭接口DTP功能

Vlan Filter

可以使用 “vlan filter VLAN-ACCESS-MAP-NAME vlan-list VLAN-NUMBER” with “vlan access-map NAME — drop — match ip address ACCESS-LIST”  去过滤特定VLAN中的特定流量。
比如:
vlan filter test1 vlan-list 10 将VLAN10中关于10.0.0.0的流量过滤掉
!
vlan access-map test1
drop
match ip address 10
!
access-list 10 permit 10.0.0.0

P-VLAN

三种接口类型(将相应pVLAN属性定义在接口上就产生了相应属性的端口):

  1. 孤立端口(Isolated):完全与其他任何pVlan 端口隔离,只和杂合端口(Promiscuous)通信。
  2. 杂合端口(Promiscuous): 可与pVlan中的任何端口通信,可见适用于mirror或SNMP设备
  3. 团体端口(Community):可以和同一团体中的端口进行通信,就是vlan的vlan。

其中“杂合端口”是隶属于“Primary VLAN”的;“主机端口”是隶属于“Secondary VLAN”的,“主机端口”也分为两类——“isolated端口”和“community端口”。

pVLAN当中使用的一些规则:
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
3.不同“Primary VLAN”之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。
4.“Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
5.“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。

主Vlan 端口只能关联1个孤立vlan端口,但可以关联多个团体vlan端口。孤立端口不能和同一个孤立vlan中的其他孤立端口通信,只能和杂合端口通信然后由它转发。

vlan 201
private-vlan isolated  定义201为孤立VLAN
vlan 202
pri community   定义202为团体VLAN
vlan 100
pri primary   定义VLAN100是主VLAN
pri association 201,202    说明VLAN100包含两个子VLAN,201和202
int f0/24
sw mod pri promiscuous   定义本接口为复合接口,用于连出到上行交换机
sw pri mapping 100 201,202   定义本接口是以100为主VLAN,包含201和202两个成员
int range f0/1 – 2
sw mod pri host     定义本接口用于连接客户主机
sw pri host-assocation 100 202       说明本接口是给100的子VLAN202用
int range f0/3 – 4
sw mod pri host
sw pri host-association 100 201      说明本接口是给100的子VLAN201用

要将PVLAN信息传递到下一交换机,需使用TRUNK。
int f5/2
sw mod pri trunk secondary    开启pVlan trunk
sw pri trunk native vlan 10   控制vlan是10
sw pri trunk allowed vlan 10, 3,301-302  允许10,3,301,302
sw pri association trunk 3 301   主vlan3,子vlan301
sw pri association trunk 3 302   主vlan3,子vlan302

Port-Channel/EtherChannel

最多可以捆绑8条interface。

PAgP是CISCO协议:每30秒发一次协商协议。
Auto:默认模式,被动响应,不会主动协商。
Desirable:主动协商状态。
On:则强制任何情况下都启用etherchannel而不协商,但需要两端都是ON,任何一端不是都不行。

LACP是IEEE协议:
Passive:和PAgP的auto相同。
Active:同Desirable。
On:同ON。

Interface上的STP开销值不同也能建立etherchannel

STP/RSTP

MAC最小的是根桥。
相同开销下,选举接口号最小的作为根端口(Root Port)。

BPDU GUARD 的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态

如果全局配置BPDU Filtering,当某个Port Fast端口接收到了BPDU,那么交换机将禁用Port Fast和BPDU Filtering特性,把端口更改回正常的STP接口状态—即listening 和learning状态

如果在单独的Port Fast端口启用BPDU Filtering,此端口将不发送任何的BPDU并忽略所有接收到的BPDU.

Root Guard用于保护ROOT Bridge永远是ROOT。如果开启ROOT GUARD的接口收到一个ROOT更优BPDU,就会将此接口改为Inconsistent Port状态,不接受此BPDU。这也防止了黑客想替换ROOT的危险。

Loop Guard用于防止ALT和ROOT口变为DES口。

UDLD

UniDirectional Link Detection 单向链路检测:以2层的角度检测双工链路中的单向链路问题,即只能接收不能发送或只能发送不能接收。

Normal模式只负责检测和写LOG,Aggressive模式会主动尝试重建链路。After eight failed retries, the port is disabled.

Inconsistent Port

当交换机在启用loop guard特性的非指定端口(Desg)上停止接收BPDU时,交换机将使得端口进入STP“不一致环路”(inconsistentports)阻塞状态,当不一致端口再次收到BPDU时,端口将根据BPDU自动过滤到STP状态。通过sh spanning-tree inconsistentports命令可以查看不一致端口状态。loop guard特性默认开启。

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s