1、Switched Port Analyzer(SPAN 端口分析仪):(1)源端口(受控端口)可为:1.单一端口;2.多个端口 多-1 (带宽瓶颈)3.Vlan(则此端口中所有 vlan 都被监控)4.Trunk:所有流量都被监控5.Etherchannel(内部所有物理端口都被监控)(2)流量的方向:receive(Rx) 接收 Tansfer (Tx) 发送 both(两个方向全部监控)如果是旧的 ios 版本 3550 2900 2950 交换机 只支持单一接口的 both 方向以及多端口或者vlan 的入方向!不支持多接口同时出新版本无此限制 Catalyst 3750+(3)目标端口
2、:单一端口!或者是 remote-vlanIngress:默认情况下,目标端口都是连接 pc,所以不用运行二层协议(DTP VTP CDP)但如果接的是 IDS 等设备,则建议打开 ingress 功能,使其在监控的同时还能运行各种二层协议 命令:monitor session 1 destination interface fa0/28 ingress vlan 1(建议是用 native vlan 来传此数据)Local-span 命令:monitor session 1 source interface/Remote/vlan rx/tx/both 监控端口monitor session
3、 1 destination interface fa0/28 查看配置:show monitor session allRemote Span:RSPAN:受控端口和目标端口不在同一个设备上,但在同一个交换域内! 用一个专用 vlan 来传递数据(如 vlan 88 起进程 remote span 所有交换机一定要一致)命令:monitor session 1 source interface fa0/8 基于 trunk 链路Monitor session 1 destination remote vlan 88 reflector-port fa0/10Describing STP Se
4、curity Mechanisms(STP 的安全特性):(1)BPDU Guard:在开启了 portfast 的接口,如果收到更优的 BPDU,则为了整个交换域的 stp 稳定,将此接口置于 error-disable 状态!以保护当前的 stp。Err-disable 恢复: 1.手动恢复: interface fa1/1 shut no shut 2.自动恢复:需要配置。实验流程:1.检查发现 R1 是根桥,R2 的 fa1/1 接口是 root port 则此接口会周期收到更优的 BPDU2.在 R2 的 fa1/1 接口 开启 portfast 并开启 bpduguard 此时,f
5、a1/1 接口会置于 err-disable show ip int bri 可以看到 双 down3.可以手动恢复此接口 先 shut 再 no shut4.可以配置自动恢复: show err detect 查看可以造成 errdisable 的原因show errdisable recovery 查看可以自动恢复的原因(默认全是关闭)Errdisable recovery cause bpduguardErrdisable recover interval 30 (默认 300s 恢复)5:配置自动恢复后,进接口手动恢复一下,看 30s 后的效果! 基于全局开启或关闭:spanning-
6、tree portfast bpduguard default基于接口开启或关闭:进入接口后 spanning-tree bpduguard enable【disable】在快速端口较多的环境中,全局开启,并在连接其他交换机的端口关闭!(2)PDU Filter(基于 portfast 端口):收到更优的 bpdu 后,不会 err-disable 而是选择丢弃!并将接口处于一个叫做 broken 的状态!默认 10s 自动恢复基于全局开启或关闭:spanning-tree portfast bpdufilter default基于接口开启或关闭:进入接口后 spanning-tree bpd
7、ufilter enable【disable】在快速端口较多的环境中,全局开启,并在连接其他交换机的端口关闭!(3)Root Guard(根桥防护):在原先的 stp 域所有边缘端口(不管是否开启 portfast)都防止更优的 BPDU 出现,以保护现有根桥的角色!处于 inconsistence【不一致】状态开启了 rootguard 的端口,无条件理解为 DP DP 和 RP 不匹配,就是不一致!基于接口配置:【no】spanning-tree guard root 无全局配置。以下两种用于防环(一般建议在设备上同时开启这两种功能):用于 bpdu 丢失造成的环路问题(4)Udld(un
8、idirectional link detect):用来解决由于单向链路故障产生的没有 ndp 的环路问题,一般用于光纤链路(用于硬件问题:介质问题 端口出问题!)命令:全局 udld enable(5)Loop Guard(软件问题:链路拥塞 cpu 繁忙导致单向链路的数据无法正常传输):命令:spanning-tree guard loopVlan 高阶技术: Private Vlan(私有 Vlan):一个服务器一个 vlan,一个服务器一个网段。 即如何实现一个 vlan 中数据的隔离!需求:经理可以和所有 pc 互访,财务部 pc 之间无法互相访问,但是处在同 vlan 中,研发部门
9、可以相互访问,财务部门和研发部门无法互相访问。Primary VlanSecondary Vlan:isolated vlan 隔离 vlan community vlan 社团 vlan主 vlan 可以和所有 vlan 互访,从 vlan 之间无法互访,isolated 与从 vlan 之间 pc 无法互访,community 与从 vlan 之间 pc 可以互访私有 vlan 还定义了两大类端口:1.promiscuous(混杂端口):可以和其他所有端口通信2.Host 端口:isolated (隔离端口):只能够配置:1.将设备的 vtp 模式改成透明模式!(私有): vtp mode
10、 transparent2.划分相对应的 vlan:vlan 100Private-vlan primaryVlan 200Private-vlan isolatedVlan 300Private-vlan community3.将主 vlan 和从 vlan 进行关联:Vlan100Private-vlan association 200,3004.设定混杂端口和 host 端口进行关联:Interface fastethernet1/0/11Switchport access vlan 100Switchport private-vlan mapping 100 200,300Switch
11、 mode private-vlan promiscuousInterface range fastethernet1/0/12-13Switchport access vlan 200Switchport mode private-vlan hostSwitchport private-vlan host-association 100 200Interface range fastethernet1/0/14-15Swithport access vlan 300Switchport mode private-vlan hostSwitchport private-vlan host-as
12、sociation 100 300VLAN(虚拟局域网) TRUNK VTP交换机默认的处理方式为泛洪,交换机有自学习功能,学习受到的数据帧的 MAC 地址(MAC 地址表) 未知单播帧:在交换机的 MAC 地址表中没有该 MAC 地址的数据帧,数据帧的发送需要对方的 MAC 地址。EtherChannel:以太网的链路聚合协议一个 vlan 相当于一个广播域,也相当于一个子网。实现 vlanEnd-to-End vlan:端到端的 vlanCdp 报错即双工模式不匹配 关闭 cdp:no cdp runVlan 范围(vxlan)创建扩展 vlan 时要将 vtp 模式配置成 vtp 的 transparent 模式下才可以动态 vlan:Trunk 的配置命令:
