- 积分
- 854
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
发表于 2013-4-12 09:15:30
|
显示全部楼层
CCNP SWITCH 学习笔记 2012-03-02 01:14:05| 分类: 心得摘录 | 标签: |字号大
# W; p3 y- u& P3 S中
* `" f6 O8 ]3 z0 M! S& B小 订阅
( ~5 g- }& k$ `4 E寒假之前借了SWITCH这本书,行李太多也没带回家去了,电子书看了刺眼,所以直到回校才看。原本以为是介绍数据链路层的一本书,后来才知道是讲园区网的,因为是自学,而且很多PT模拟不了,GNS3开两个路由器CPU就100%了,所以没辙,许多实验做不了,很多知识,像SNMP、SLA、AAA、组播、QoS都没怎么仔细了解。希望以后在Cisco Team或者其他书籍渠道能把NP巩固得更好一些。+ U S9 ~. v! B! i, U+ C2 [# Q
0 X, ]- W1 o; C, T笔记做得较简略,只能做提纲吧作为备忘,明天开始可以看CCNP Route了。 9 r, R6 t5 f/ [, |0 C$ g
- x1 W+ ?; r" R! D, t; N; |. m5 R- K
; d. E8 g3 N/ S U, Q9 B1 b2 w* w5 t0 C r$ ]& w
一、分析Cisco企业园区架构
/ R$ P. y ~ l6 Z; E* L1.1 企业园区网设计概述
- J/ r; O$ v& ~3 V ]9 m3 s企业网络包括:核心骨干网、园区网、数据中心、分支机构/WAN、Internet边缘;
$ Y. d$ `' ?3 E# G; e园区网的作用:是分布与某一个地理位置内的终端用户能够访问到网络通信服务和网络资源。数据中心是用来存放计算机系统和相关组成部分的设施;
7 V! N& P" X0 U8 y4 r% A园区网设计方案的分层模型: ' D/ O& d" Z% l( h. ~8 n- ]
接入层:用来使用户、服务器或边缘设备能够访问网络,可以加入安全、访问控制、过滤管理等内容; " r t* C# w2 d
分布层:位于接入层和核心层之间,充当服务和控制的边界;
) ~0 t# I8 D7 ^核心层:以最快的速度交换数据包。 ) F3 \9 {& U1 `! v8 _4 z \ g- ^
多层交换机:
; b4 Q; }3 i; R) a8 d, k7 V) l二层交换机:只能根据MAC地址对数据包进行交换,与传统二层交换机相连的设备必须位于相同的子网,可能具有一些第三、四层的特性,如IGMP、QoS等;
6 K. ?. ?3 P) v. @: J三层交换机:能够使用路由协议根据IP地址制定最优转发决策,可能无法支持BGP;
3 |% W$ D/ p- x% T9 ~四层交换机:根据协议会话进行交换,识别各种不同类型的IP数据流,如FTP、NTP、HTTP等,区分流量;
, g: `+ t/ H8 \6 }# m. K+ ^4 q七层交换机:根据数据有效负载中的信息,使用NBAR来放行阻止流量。 6 ~$ F2 D/ T8 A( I! p$ u
Catalyst交换机: , Z6 `% ?5 B" V5 N
6500系列:13插槽,支持最多16个10GBit以太网接口,支持最高7层特性;
5 J5 q9 t& D$ A4 K5 |4500系列:10插槽,支持2,3层交换; ! v. J' M* w% J& O# u
4948G,3960和3560系列:48个1Gbit和4个10Gbit接分布层,支持2,3层交换,不支持冗余硬件;
; y4 y( ^9 C6 L4 A1 O& @8 h2000系列:48个1Gbit和多个10Gbit接分布层,仅支持2层交换,不支持冗余硬件。 / n; q2 g* e1 P9 e3 {/ I6 D/ I
Nexus 7000系列:18个模块,230Gbit;
/ _3 F. V. c1 Y; z3 Z4 J; j' }Nexus 5000和2000系列:低延迟,纯二层。
0 B9 w: B- s' @$ x2 q* m. [( J2 DMLS(多层交换):表示使用ASIC的高级特性如QoS、NAT后,设备仍然能够以线速对数据帧进行路由或交换;
6 Y3 C8 n- ]5 \& M# v. b) \园区网流量类型:网络管理、语音、IP组播、一般数据、清道夫类;
: k. B+ C/ q& x以服务为导向的网络架构(SONA): $ h( u2 m! ^, H* C
网络基础设施层:供客户随时随地连接网络;
2 T! K# e2 _5 v/ p+ m6 Y" R交互服务层:为利用网络基础设施的应用和业务流程有效分配资源; - j7 e# u& C6 c8 J: B& }2 a
应用层 ( ^5 w5 S# P- m: E1 S
1.2企业园区网设计 , @# [! F5 r1 v* c! ]8 K
接入层:高可用性(FHRP首跳冗余协议、HSRP热备份路由协议,只有三层交换机才支持)、网络融合、安全性;
8 O- m* [8 i! }0 g分布层: ' g, b {! r- z6 G' z) i
汇集接入层交换机 5 `$ K' E, h" Y
为简化起见而分隔接入层
! U- _9 Q2 Y4 x5 r汇总去往接入层的路由 9 d6 O: K9 y& N% F7 o: X' |
总是用两条链路来连接上游核心层路由器 & E1 Q4 m A$ V S
可以应用数据包过滤、安全特性和QoS特性 & \( t& X h8 s2 w3 }4 P
核心层: + Y1 v& d2 K* q" O5 }
将位于分布层的交换机同网络的其他部分汇聚到一起;
/ q, j# T- I3 a5 q% R通过提供冗余的汇集点来实现快速收敛和高可用性; $ G! t7 v" P# I" {/ Q0 |4 t
可以在未来随着分布层和接入层的扩展而扩展;
0 Z# y: t* o( b3 C" i b小型园区网 < 200台终端设备,中型200-1000,大型2000以上; & B# A) s! r+ u
1.3 使用PPDIOO生命周期法来设计并实施网络
$ _7 u6 \" {( u) p) v# d准备Prepare:确定需求 & }5 u8 j$ C' C. d
规划Plan:规划目标、设备、用户需求
9 M3 g& e1 o# Y5 W$ }& j设计Design:设计作业 7 _- j. n0 B3 J" P4 B
实施Implement:建设网络,包括(步骤描述、参考设计文件、详尽的实施准则、预估实施所需的时间)
3 R' e( G- q! E6 J4 T运营Operate:测试
+ {+ l0 p/ ?0 V4 V0 L3 D" \优化Optimize:主动管理 # H" C0 f5 z% F9 l- z
二、在园区网中实施VLAN
8 V$ b+ k2 n$ K3 S3 P2.1 在园区网中实施VLAN技术 " g& r' ^6 y, z6 u
端到端VLAN:各VLAN遍布整个网络的所有位置,在默认情况下,该VLAN的泛洪流量会穿越每一台交换机,排错难度大,可能产生生成树问题;
" l8 E: d6 W! j% Z/ O3 v4 C本地VLAN:VLAN集中在一个区域,与部分交换机关联;
4 v0 O1 Z4 }& ^) _- D& I轻松判断数据流
( i2 S5 X, l$ |# n' q灵活的冗余路径
9 S" l, y& w" f6 a) V' S7 f9 k设计方案扩展性强 5 C! ?( k- b( X6 L$ y, k( C5 L
有限故障域 $ A! b& k' Y8 I; o, E
普适原则: 0 f3 Y: K* H6 O6 E+ }( l' M$ }$ @
每个模块1-3个VLAN / ^; G# u, G5 j% n9 |2 K \$ `
不要使用默认VLAN 1,将语音、数据、管理、Native、黑洞、默认VLAN分开 ' D* p- v$ d3 V
使用802.1q,对于Trunk,尽量关闭DTP 1 z; {3 A2 W$ r4 ]
VLAN id:2-1001正常,1002-1005用于令牌环的默认VLAN,1006-1024系统使用,1025-4094正常但VTP不支持
$ | b6 F" `, Z* U' V5 `一旦删除VLAN,该VLAN的端口会进入inactive的状态,此时不会转发任何流量
) g- T6 }2 I3 H9 }. X! f2.2 在Cisco园区网实施链路聚集
( p+ P( }& V, d7 M# ]4 L/ V$ b接入层交换机与分布层交换机之间相连用Trunk,为了避免环路,一般分布层之间不再连线
$ g4 ]+ B# O! K当链路需要设置Trunk,可以设为非协商nonegotiate,节省两秒收敛速度
; ?# W! g. o& a* H/ c. xSwitchport trunk encapsulation {isl | dot1q | nonegotiate}
) ? o8 X3 i: u% v0 R' GSwitchport trunk native vlan vlan-id
& w* J3 U8 D4 z6 J1 _! @; s3 dSwitchport trunk allowed vlan ***
/ R$ Z+ @& O; x& i9 M- w; K+ E1 x2.3 VTP协议 0 ?; g/ O5 e* e
交换机只在trunk干道传递VTP信息,每5秒通告一次,在没配置VTP和没收到通告的交换机处于"no-management-domain"状态 * t$ g/ n$ V+ J! Z
域名相同、密码、版本号、trunk
# |8 w/ z$ ]$ lVTP消息类型:
4 E& A: ^( K! v$ O5 L8 L4 k7 M0 {汇总通告消息(当前VTP域名和配置修订号)
B' _) X% r. I% | \* B: k子集通告消息,每条包括一个VLAN信息的列表 ! b1 j( ]( M2 |
通告请求信息
5 G# }) u9 K6 Z. ZShow vtp counters
h7 y* H0 Q! aVtp pruning VTP剪枝
: ^) q* c1 H D- r, t- z2.4 pVLAN & Q8 R- L7 }& h! ]$ i2 k( `' i
Show vlan private-vlan $ d- S8 E! O/ g2 N+ n" l
配置
" z2 t2 j- ^/ y/ G g! ]Switch(config)# vlan 10 ; t n7 n. C) g9 P0 g# C4 W
Switch(config-vlan)# private-vlan {community | isolated | primary} !设置主VLAN和子VLAN 1 M' @5 j/ j3 i& Q0 `2 D
Switch(config-vlan)# private-vlan association **** !在主VLAN里面关联子VLAN ID
) g1 q/ e# k9 \' e( Q. wSwitch(config-if)# private mode private-vlan promiscuous 5 G$ K8 Y6 k" W5 Y m
Switch(config-if)# switchport private-vlan mapping 100 201,202 !设置冗杂端口并添加主次VLAN ID
, C" O5 p" T2 Z4 V. DSwitch(config-if)# private mode private-vlan host - m4 C9 l7 |. a P% v) _# M/ N
Switch(config-if)# switchport private-vlan host-association 100 201 !设置团体或隔离端口,添加主次VLAN ID
- A, w7 [) a9 I+ v# G L跨越交换机的私用VLAN配置 5 A+ M* t( _$ u+ Z/ f- m8 g5 }
将端口配置为私用VLAN:switchport private-vlan association trunk 2 201
9 Y0 ]7 S$ \( K0 R允许的VLAN:switchport private-vlan trunk allowed vlan vlan-list
$ D; u1 ]8 B4 ~4 y" W j- {配置native vlan:switchport private-vlan trunk native vlan vlan-id : _- c. Z5 ~4 H. t' X6 M
2.5 使用EtherChannel来配置链路聚集
2 e0 Z0 s! ~! ^, M. `/ ?2 `1 oPAgP端口汇聚协议:Cisco特有的,数据包每30秒发送一次协商配置 8 d2 v2 K) o8 u$ s) A
On-On(默认) . Q+ f. P8 q! V: Y: R2 g
Desirable-Auto/Desirable ' ~- l+ f3 M- s' y0 H3 A
LACP:IEEE标准 3 V6 J4 U3 c: w# u0 r/ `
On-On(默认)
/ A9 L: i/ q+ u' ?5 mActive/Passive-Active
" a* V; t8 ]% \! V4 e3 j步骤
/ S+ p9 |4 { x7 z指定接口范围 4 I- e$ c ~! v; S
指定协议 Switch(config-if-range)# channel-protocol { PAgP | LACP}
D8 B+ p: v; o/ A* c! M" C创建port-channel接口(端口号码本地有效):Switch(config-if-range)# channel-group number mode*** ! u# g2 R9 e/ X. h/ M* Y- _
指定参数(IP地址,VLAN等) . c0 w" U1 k j2 o' X0 K' i& l
验证:show int f0/24 etherchannel; show etherchannel 1 port-channel; show etherchannel summary
+ K7 x) l( q& [: B流量负载分担 . a1 j+ V# p. b) p7 D
port-channel load-bannace *** " T/ m# |0 D$ \- b! k3 ?
show etherchannel load-balance / m) V* y% e- g7 j
三、实施生成树 . c4 B# R* M# f2 h1 U
3.1 生成树协议的演化 ( G6 y# I/ j8 R: _
在Cisco交换机中,PVST+是在启用VLAN时的默认STP协议
# X: I& M: q6 ]; w对普通BID,2字节优先权(0-61440),6字节MAC地址;对于PVST,4位优先权,扩展系统ID 12位,6字节MAC地址; , e O) [9 Y9 ~2 Z" k, v
spanning-tree portfast default:在access端口启用portfast特性
! Z* o. O e! S( b7 e* K/ Tspanning-tree portfast trunk:在trunk端口启用portfast特性
J; J0 S; Q$ U. P" P10Gbit/s 开销为1,1Gbit/s 开销为4,100Mbit/s 开销为19,10Mbit/s 开销为100; 4 ^) C7 f u2 [, @
3.4 多生成树MST
. ]+ k% d; u7 r$ v3 L8 [* t1 W2 h同一MST区域:同一区域名称、同一修订号、同一VLAN映射
% R4 ^- u9 ~ S3 X交换机发送VLAN到实例映射表的摘要、配置修订号和名称,一旦摘要不一样,接收到BPDU端口就位于区域边界
; s; u! }0 l# |4 ]8 PMST的扩展系统ID:网桥优先级(4bit)+ 扩展系统ID(12bit包括MSTI号)+ MAC地址
# |% h; U$ U) I9 B) DShow current; show pending;
! d3 J3 M b& R) H, N! K( g3.5 生成树的增强
) P5 @: E. G- @3 ^BPDU防护:防止交换机设备意外连接到启动Portfast特性的端口,若收到BPDU,端口进入"err-disable",端口关闭(默认是阻塞状态),可以设置超时时间重新启动 ' N, p6 S4 f; C$ }; b
全局:spanning-tree portfast edge bpduguard default
0 h' w& A! l4 w* w接口:spanning-tree bpudguard enable
8 Q/ j6 F+ F& x- M: I8 F# ]BPDU过滤:限制交换机不向接入端口发送不必要的BPDU,若收到外界的BPDU,则关闭portfast成为转发端口
; \ {3 F9 U4 R; L& K7 w全局:spanning-tree portfast bpdufilter default
+ a0 r8 _) p, d4 e0 E, P接口:spanning-tree bpdufilter enable
* ~: e4 F# a) \ i0 ]BPDU过滤优先级高于BPDU防护 ' ~7 j& ^9 v! X4 |
根防护:在所有的接入端口上启用根防护特性,使跟网桥不会通过这些端口建立起来,当不再接收到更优的BPDU时,转为转发状态;
; p2 ~* G0 l3 n9 UShow spanning-tree inconsistentports !显示不一致根的端口
' `$ v. ^- }$ A, ^4 v9 C* i3.6 避免转发环路和黑洞 / c2 z, o3 X$ j9 T
环路防护:交换机将在过渡到STP转发状态前执行额外的检查,如果在启动了环路保护特性的非指定端口不能再接收到BPDU,那么交换机就会进入STP不一致状态,而不允许其经历监听、学习状态最终过度到转发状态(如果重新接收到了BPDU,可以恢复转发态) 3 ^$ N' a0 R Q6 }. q
管理人员应该在阻塞端口、根端口和替代端口上启用环路保护 2 L1 U9 `8 _- t7 Z, R
接口:spanning-tree guard loop
3 J' ?5 V" n# ~( E/ p) e2 G全局:spanning-tree loopguard default
! r# G6 u4 n* K7 T端口取消:no spanning-tree loopguard
0 c/ c: a5 u+ P0 a$ u( j* W验证:show spanning-tree int f0/1 detail
( _) W0 X# D7 J; m单向链路检测UDLD:
! u9 F# N# a/ s" Z& L# s& JUDLD是一个二层协议,它与一层机制协同工作来判断链路的物理状态,自动协商功能将照顾到物理信令和故障检测,UDLD则可以检测邻居身份和关闭连接不当的端口
" }, T1 I' ?7 W4 Y tUDLD使用的MAC地址是01-00-0c-cc-cc-cc,数据包中包括发送端口的设备ID,端口ID,邻居的设备ID和端口ID 0 S, ~4 \6 ]2 ~
积极模式尝试与邻居建立连接关系,在连接8次都失败之后,端口的状态会成为err-disable状态,禁用端口
% i: C, C: v1 k, X: g比较积极端口UDLD和环路保护:
/ d* R& [) b1 ^4 q+ j6 I& k环路防护可以防止由于软件问题所引起的指定端口不能发送BPDU所导致的STP故障
; I! Y0 {2 I0 e, p( yUDLD可以禁用etherchannel的发生故障的端口,环路保护会阻塞所有端口
( G, G( `. y5 c& x6 L7 y; y; D2 DFlex链路:STP的替代解决方案 : G8 W) K! ~3 ^3 Z
Flex链路,备用链路
5 {9 C/ i6 ^( J接口级别: switchport backup interface # c3 h/ G& U& A" q
3.7 生成树的推荐用法 : z. W+ @4 ?# P6 T; N6 Q
在网络的分布层和核心层建立三层连接,只有接入层工作在二层,使用等价多路径ECMP " @1 S) r. R: Z# f5 q: l
- R. E4 O1 K7 W; M3 v r3 p& N
在分布层交换机之间的二层端口,以及接入层交换机连接到分布交换机的上行链路端口上实施环路防护特性 9 `# k! J4 z5 E3 s; Z
在面向接入层交换机的分布层交换机端口上配置根防护特性
- ^1 d$ E6 F: j7 p8 B在从接入层交换机通往分布层交换机的上行链路端口上实施uplinkfast - Z% y) M& w4 Y
从接入层到终端的端口启用BPDU防护和根防护、portfast " M$ H- h- U( }2 c: L3 h M
UDLD协议
; [; ]4 s) Q9 @3 f$ u# X3.8 STP潜在故障
8 `1 ~2 P) h7 q1 ]- e双工不匹配 $ g% f1 S. ^4 \) G) |
单向链路失效 / `2 q# q. L% Y6 K3 Q6 P2 S5 c
帧破坏
. @+ G. N+ S. k# e9 e7 A资源错误,CPU负担过大,show process cpu
) t3 o, ]/ O) M; c% iPortfast配置错误
, d) ^7 d% m8 {+ G$ R# eDebug spanning-tree events % E; j. i. t4 e7 {5 _( d7 P, B
Logging buffered
1 c3 q1 a" E! p- @: m0 u( W) {" P四、实施VLAN间路由
* E# u( x" C8 T, D4.1 描述VLAN间路由 ) J2 h) ?* ^7 p# f0 i! l' V
路由端口、SVI、BVI " U( ^7 s% m1 d% T" G5 d
路由端口(单臂路由):简单、单点故障、拥塞、延迟 / N0 P$ o2 z% U' U5 x% P; U6 n, C1 e
SVI:远快于单臂路由、利用软件、三层交换机较昂贵 . |7 N: F/ Q* |4 F/ W% L$ c
BVI:利用硬件更快 " [- X+ L3 X) R- n, M- x# @3 ?
4.3 在多层交换环境中实施动态主机配置协议
" `$ m$ w! Q" ?4 C0 Y申请DHCP的步骤: $ b' N, h4 E5 Y) @! T2 c
客户端发送DHCPDISCOVER广播消息寻找服务器(0.0.0.0 255.255.255.255) ; l& U, |- v2 c% `" {" ?
服务器发送OFFER信息,提供IP地址,MAC地址,域名以及IP地址的租期,DHCP不能保证IP会留给这个客户端,但是会保留直到有客户端正式请求这个地址 4 k" _7 e9 ?8 J- H: _/ ^( K9 k
客户端返回正式请求,DHCPREQUEST,广播
* s- |- h* Z$ l% R服务器单播发给客户端DHCPACK,确认IP地址分配给了客户端 : b( w9 o9 J& Y: b0 w2 H/ O
DHCP中继:ip helper-address
" @6 _2 ^5 g- k进入虚接口配置
$ p# J# F: H7 m, X5 S, p" n在这里注意到一个问题,必须要路由器路由表包含了那个网段,才能分配地址,而且虚接口只能和封装了的路由器子接口连通
- ~( L, H% z* y" DCAM表:二层交换机地址表;TCAM表:三态内容寻址存储器,主要用于快速查找ACL、路由等表项。
8 Z# r* }3 d# y& gFIB:转发信息库;AT:邻接关系表
0 O# ~; d, m0 N" W: T' [五、在园区网中实施高可用性和冗余性
$ d, d2 V2 r" \/ v# Z: o7 I$ m1 }5.1 理解高可用性 5 U6 n3 p# t9 c
最佳的冗余性:
9 s5 B* p" h1 {6 I9 R1 [核心层和分布层部署冗余的交换机以及全互联链路,以此提供最高冗余性和最优收敛时间 # ?3 x, U. \6 L7 \- A5 e3 ]
接入层交换机与冗余的分布层交换机之间应该部署冗余的连接
6 D+ A1 H! Y. J5.3 实施网络监测 $ \3 q5 X( V i
Syslog: UDP514端口 ! w7 [4 z; o# o' @; F! x
严重级别:
( Y& T3 [5 `. h& CFACILITY-SUBFACILITY-SEVERITY-MNEMONIC: Message-text
7 l7 V" L' _* {6 m& E特性(硬件类型、协议、软件型号)、严重性(0-7)、助记码、消息文本
3 d: p9 X7 p* y! D: I; zService sequence-numbers:Syslog可以显示序列号 - T: _( ?0 ^2 G! F
service timestamps [debug | log] [datetime uptime] [localtime | msec | show-timezone | year] 显示时间戳日期和时间 ! a& ?; P& T7 Q) l
SNMP:UDP、轮询 3 O) |" T0 @$ t. C, R; q7 |2 v2 I
包含三个元素:网络管理应用(SNMP管理器)、SNMP代理(运行在被管理设备内)、MIB数据库对象
0 h5 {2 B/ R$ O2 B6 V网络管理应用周期性的轮询SNMP代理;代理负责收集并存储设备及自身运作的信息、响应请求、生成陷阱; 8 }& n0 P% i& g2 x. s" |
代理收集信息后保持在本地的MIB中,团体字符串Community String负责控制设备对MIB的访问 ?8 r d+ Y8 d E
SNMP消息: / f. ~- e+ v2 T9 I' O
Get Request:管理应用想代理请求指定MIB变量的值 + |! ]( `+ u1 e0 f) b
Get Next Request:请求表格或列表的下一个对象 $ a; F- M8 T2 Y! Y x
Set Request:用了设置代理上的一个MIB的变量
( ]5 Z# z5 Z! ZGet Response:代理用其来响应管理器发出的请求
* T. f' m0 H' A. N- _5 }Trap:代理用其向管理器主动发出告警 - a7 C: Z" I5 q6 R( f1 r4 V1 w
SNMPv1和v2无法提供安全特性,无认证也无加密,v3有三个安全等级(不需认证不加密、认证不加密、认证加密)
6 y" X6 I3 X1 z$ [ V! A- J; E% s) NSLA:Service-Level Agreement IP服务水平协议 show ip sla statistics; show ip sla configuration 4 M+ l: D7 f ]" z" b
5.5 实施冗余的Supervisor引擎 $ u: `" C2 i# O
RPR:路由处理器冗余性
] m$ A) K3 j5 I1 n! a+ M发生情况:活跃的Supervisor引擎上的RP,SP发生故障,通过CLI手动切换,活跃的Supervisor引擎被拆除,Supervisor引擎之间的时钟同步失败 , S* X+ z F6 z
SSO:状态化故障倒换
8 E6 A9 T1 {2 ? S, y" x5.6 理解FHRP(首跳冗余性协议 1 G( [% l% x0 _4 _
FHRP:First hop redundancy protocols , w) {- I2 e2 U( p7 H5 m4 |
HSRP:热备份路由器协议
! a2 ~. S, R$ _. ?HSRP:Cisco开发,提供网关的冗余性,无需在子网终端设备上进行任何额外的配置,一组路由器被视为一个虚拟路由器,共享IP地址和MAC地址 ( i; `0 f$ q1 r0 H2 ?
HSRP路由器组中的路由使用hello相互通信,224.0.0.2的UDP1985端口,所有路由器都需要建立L2邻接关系 ' x7 T1 e$ \; c0 Y8 S1 J; w, C
一个HSRP路由器组可以有2台以上的路由器,但只有活跃路由器和备用路由器各一台,其他路由器保持在初始状态,当活跃路由器和备份路由器都发生故障时,其他路由器会竞争活跃路由器和备用路由器
0 Y1 _+ X0 x/ k7 @五种状态
" F) x2 q5 X1 r+ x! m, G! F2 V初始:还未运行HSRP、启用HSRP的接口第一次进入Up状态 5 b+ |$ \6 t7 H0 U1 {, a
监听:指导虚拟IP地址,但不是活跃或备份路由器,只会监听hello消息
* f, m6 d/ S3 \" `. u' l5 w S宣告:发送周期性hello,参与竞选
* I" ~7 \& J) h2 q; m备用,发送周期性hello ! y- |$ M9 H/ c3 X: r- \
活跃,发送周期性hello 4 u# d# K2 q0 ]% ?; e
优先级,默认100,相同优先级路由IP高的成为活跃 ! c! T6 t! w! j9 f& `3 Z9 B/ M/ k
当同时启用了STP和HSRP,必须保证STP根网桥和HSRP活跃路由器相同,不然会出现次优路径(因为某些端口被STP阻塞,无法直接到达HSRP活跃路由器) 6 _8 x+ |5 h( J$ Z# l% i. A
HSRP配置:
/ I) w1 ^! q6 z* h" `1 }Standby group-number ip ip-address !配置组号和虚拟IP地址 9 d) W$ u% X2 v) H! F! v q
Standby group-number priority value !配置优先级(抢占和非抢占模式,默认是0,0-255,越高越可能) # s6 g* q5 J9 d! W( L- ]5 X# L1 \) c2 t
Standby group-number preempt !配置抢占模式 9 b5 T7 Q& e8 \) |* s9 V) O# R- G
Standby group-number authentication **** !配置认证
" D; v+ M2 `. }) V9 j) q" ?standby 150 track Ethernet0 !定义追踪端口 , M: y0 q% U% e; r
VRRP:虚拟路由器冗余性协议 # }% v9 b0 w& T/ s9 j
7 Z: O' Z* N/ O" R0 L
% i- H' e1 }0 lHSRP
* }* j' l! a, U& _ VRRP& |: ]" R* k( I7 g, K8 \) x
GLBP; j8 B) T( z4 x
8 ]& C) O& ~0 {' j& g( G m+ xCisco 专有7 Y5 x; U1 k5 s% p9 K
IEEE标准4 ?4 c& o$ C( _& p5 h
Cisco专有
6 {/ K' l- y. a# b& M9 O( `7 ? 6 l- ^, u" h+ ]* a9 ~ m% m" }, V5 H
最多支持16个组
9 h( _; Y) a1 g) w* y: J) w 最多支持255个组
/ j7 Q# N U9 m8 w ?: x# ]" e# x* W 最多支持1024个组
: z5 l2 X! B5 V; k/ R : g% Z5 V. n! E1 V9 T9 z6 U
1个活跃路由1个备份多个候选* _" ^! k2 r# y4 n" `. a
1个活跃若干个备份
) r- Q6 V: |* U: _: [! M d0 a 1个AVG、若干AVF5 E1 p: I8 H7 P0 L5 x7 t
. e: R4 A4 R3 d0 @5 {
虚拟IP和真实IP不同
- Z2 B8 R( b- T. u9 N 虚拟IP和真实IP相同
7 K5 s7 h" k6 d- Z9 j3 z; \# L 虚拟IP地址与AVG和AVF真实IP不同" [3 z# s3 f. ]6 f3 c
- ~$ M9 E. U0 [# O2 B, [使用224.0.0.2
3 E$ A$ g, l$ N3 t: L( N) q 使用224.0.0.18$ w3 C+ P, f) g. L& ?) v
使用224.0.0.102% t* p+ Y* G( x% y! F
9 {6 k0 u; _0 q" m9 h1 |3 b: E1 R默认计时器:hello3秒,保持时间10秒1 X O& H% d6 |. T$ N
小于HSRP,默认hello一秒$ O4 w% U' N4 r) s3 A! C
默认和HSRP一样
( }2 r2 W1 U3 n; [' b) ?
7 w4 G4 ^, K2 Z2 I; k3 x& w( N1 C+ e6 u可以追踪接口或对象
5 Z. e, I. h9 Q6 G$ G2 r7 J# ~7 j6 s 只可以追踪对象
# D$ i( F( f' f: I& v 只可以追踪对象+ V- H$ T% A$ m2 u' j
' E# P( q$ L' p, R" f' S
使用认证,默认cisco
% Z+ P8 E) \3 d$ I0 F, _/ D 支持明文认证,后取消,但cisco设备可用6 |' z+ o( O( Y+ Z/ u
支持认证、每个AVG/AVF有一个虚拟MAC地址5 l$ m1 B& f) ^1 w4 d) p4 M
1 b/ u; S! L4 Z; P+ G! l1 _8 `$ J0 c% e& z# c8 e- k" Y8 |
' P3 R" B8 \, ?% T6 f# G. o# v9 S0 _: ?2 w6 X
VRRP都是抢占的,优先级0-255,255一定是活跃,0一定不活跃,只有主用路由器才发送Hello公告 & m: m2 }+ ^/ a1 v) l3 P1 O
VRRP转换过程:
. i& g$ H: i! I8 b: Y公告间隔 4 U) l; d6 p' k
主用失效间隔,3*公告间隔+时滞时间
# u( K9 a# c0 i+ r8 @ b时滞时间 256-(优先级/256) / l7 p1 y8 d6 `
配置VRRP . V2 a7 Q3 F: W+ Y. A
Vrrp group-number ip virtual-gateway-address 6 ?8 H# }0 @" {1 k4 B& ~2 E5 d
Vrrp group-number priority ***
! c, Q, k% T0 {8 Q$ k! ~GLBP:网关负载分担协议
2 ]: C% ?9 Y' x) [0 yGLBP AVG活跃虚拟网关、GLBP AVF活跃虚拟转发者
/ M4 Z* p5 s9 L: X- a& `& M+ T一个GLBP组中最多可以有四个组成员
" E+ y' t2 r2 L2 hVRRP和HSRP都只能设定一个门限值,GLBP设定两个门限值,当路由器加权下降到下限时,不再成为AVF,上升到一个较高的门限时,成为AVF + u; t+ [0 c `$ A7 f; y) T
在VLAN跨越多台交换机的环境中,建议管理员选择HSRP作为首跳冗余性协议,选择活跃路由器作为根网桥
, C0 M% T, Z7 J* P- S }5.6 Cisco IOS服务器负载分担
}: |% W7 x( t/ p唯一能支持Cisco IOS SLB的Catalyst交换机是Catalyst 6500交换机 ) F0 f; d3 r0 m9 Z$ H8 G
配置SLB ( c: ?# r J' l" T7 O' I8 M* K
ip slb serverfarm serverfarm-name !定义服务器群
( h. @) ~; t$ t, V hreal *** !关联真实服务器地址
; H& b; h' r$ [, [+ R) vinservice !启用真实服务器群
; c: K ?# ]* t0 \( rip slb vserver vserver-name !定义虚拟服务器 ; Z9 R0 O+ c: M
virtual ip-address net-mask *** !配置虚拟IP
* N+ P$ \' ~! Rserverfarm 优选服务器 backup 次选服务器
9 V" O$ V* R3 Z3 u' g/ V( @- y! Y
5 y( Q$ y! o# e六、保障园区网设备安全 ! P/ M1 r- Z3 ^
6.1 交换机安全基础 0 C* v5 u( G: P* M& c# ~, H
MAC层攻击:MAC地址泛洪
% X( ]8 k% k, @, d解决方法:端口安全 & F$ s- F/ a$ y9 K6 F
在必要的端口上阻塞单播泛洪 switchport block {unicast | multicast} & |8 w& {* i: O! D9 K/ S# D4 P' Z
6.2 理解和防御VLAN攻击
s1 F" \4 q3 [2 X Z0 [交换机端口默认启用自动Auto模式的链路聚集协议,攻击者可以发送恶意DTP帧建立Trunk
* _! n& N/ h( J7 F5 F使用双层标签实现VLAN跳转攻击
6 Y, w. X0 v( R解决方法: . t& n" ~1 w5 E% l: }2 I' w
把未使用的端口设置为Access端口,并把他们放人同一个不使用的VLAN中,建立Trunk时设置承载VLAN范围
* U6 Y. O( v" g! B m配置VLAN ACL
1 ]# [4 v( k, r6 b4 ]: W- C. k4 a6.3 理解和防御欺骗攻击
# G* r6 N# [" y1 |) ?& _9 _4 eDHCP欺骗:两方面,一个是DoS,一个是中间人 3 p. @! V- p7 }4 }2 g' {8 T8 A
解决方法: 6 v L1 t6 @" O' X5 }+ i- A
DHCP侦听:把端口分为可信端口和不可信端口,可信端口可以发送任何DHCP消息,不可信端口只能发送请求
' o; a7 a" M B- w可信链路上直连着DHCP服务器,或者是连接DHCP服务器的上行链路
I* U" S' `3 V1 j, q1 N- Y' I8 U, T8 k启用 option 82:ip dhcp snooping information option !在转发DHCP请求数据包时插入源端口信息 ! R+ V& R: L$ c3 I
ARP欺骗攻击(无故ARP) , u% B- W8 m" N; ^9 ?
解决方法: . u9 v& O6 C7 W. Q7 U' P1 t. e
动态ARP检测协议(DAI) " g0 T8 V' {. Q1 `& a1 C
需先启动DHCP侦听
( Z6 x# O) Y( M- u7 d交换机会拦截不可信端口的所有ARP请求和应答,和原来的映射表进行对比 , t9 B( @+ e. q) z' F1 }
把所有Access端口设为不可信端口,把连接交换机的端口设置为可信端口
$ y2 F) l8 K# e1 WIP欺骗(使用邻居IP地址发送信息) ; W) D+ D9 l4 f) ]# z: R1 H
解决方法:
, Q2 ]* j& J! a+ m) MIP源防护(IPSG):在DHCP不可信端口启动IP源防护(也是利用DHCP绑定表)
0 [% \ p: I) U6 B6 w) B6.4 保障网络交换机的安全
' j% V; E; k- r9 Q9 D3 P. Q% s8 b3 eTelnet漏洞,明文传输,DoS攻击
+ w- {1 R6 ?5 M, n" z配置SSH 1 Z \' n! m) Q1 r; O' {8 y
Username *** password ***
4 {1 p; [. U) C$ E" @- |& [4 e8 DIp domail-name xyz.com
$ D0 F0 j2 L2 T; U" M; `* |Crypto key generate rsa
. L/ k) [! W( EIp ssh version 2 , \; E* Z7 I% f( E
Line vty 0 4 , D' D: |4 ?# ^. p
Login local ' @5 F" w; R: Y. T5 z7 t; Q, E
Transport input ssh 1 Q% n4 N% ]3 |2 Z b5 P; `2 p
AAA 认证授权审计
' p( c5 z- d* j, f# v1 k; ~IEEE 802.1x
# \1 W8 k$ p# y3 B8 p6.6 性能和连通性排错 , @7 g( b- X `& H$ e) F
SPAN + m) d' Y3 k+ ]
目的端口不会参与生成树,目的端口不应该连另一台交换机,否则可能产生回路
1 p9 q" C, r! @+ C# g" wPSRAN 使用RSPAN VLAN,只要道路中的都有RSPAN VLAN,并配置源和出口,以及Trunk就行 ) t! \ y) y2 }( d; g6 d5 {
1 Z; x7 C! \) p" J
七、在园区网架构中规划高级服务 & b4 b+ K3 y/ @, W! c
7.2 理解QoS $ t% u% B% s. l' }
网络可以符合IETF(Internet工程任务组)的IntServ(集成服务)模型,也可以满足DiffServ(区分服务)模型 * B& H4 B5 I5 a$ W# r1 b, r
QoS特性包括:流量分类与标记、流量调节、拥塞避免和拥塞管理 $ L! B( K8 t, N" e2 O! A& ?
QoS服务的三个基本等级: % u0 L& e5 x% B0 O* m9 o* g! V
尽力而为的服务:没有任何保证的标准连接方式,FIFO
$ c4 W+ V9 X+ _* J8 @集成服务IntServ:严格的预订服务
% p, N e+ q" E9 r区分服务DiffServ:统计优先,区分服务可以将通信流分类,然后将它们加入到效率不同的队列
$ K: e- S1 c2 F流量分类与标记 - [2 m* [: W2 R5 }& f; s
DSCP
8 [$ O- W {! p% e. ^ m二层帧使用3个比特来实现分类,0—7,成为Cos,class of service,服务类别 $ D0 L$ }$ |2 F) d1 g
三层IP包头的Tos的前6 bit为DHCP字段,最后2 bit 为ECN,早期拥塞通知,IP优先级为前3 bit
, y3 W6 U9 h; `7 Q' Z$ `* z% JQoS信任,将Cos乘以8映射到内部DSCP,不信任端口CoS为0
4 b7 ?6 _+ G6 Z+ q7 L拥塞管理 ; ^0 w0 e D! H7 }1 `, k
FIFO队列 5 X8 S# o) M3 y* t' g( K2 z7 F, T
加权轮训队列WRR,Weighted round robin
+ E7 ?+ o0 Y0 N m自定义队列CQ,Custom Queuing
; }, ?8 C% W M, v拥塞避免
" ]- a; k0 V! f/ w$ b( R# ?8 d尾部丢弃:容易抖动,浪费带宽 : C1 Y3 ?; k3 |9 m
WRED,加权随机早期检测,在输出缓冲区达到指定的门限值后开始随机的丢弃某些类别的数据包
9 ]4 t& `: Y0 T2 x0 P6 ?7.3 在园区网中实施IP组播 / `3 { z! S2 G
组播IP地址的结构224.0.0.0---239.255.255.255 8 v1 V8 Q& O8 g, R) P0 ~) x0 Y
保留的链路本地地址:224.0.0.0---224.0.0.255 ! |8 a- Y- c! h0 a, U* ~/ b# j% P
全局范围地址:224.0.1.0---238.255.255.255 # G' {; x/ w7 b7 v [2 E, V/ M
指定信源组播地址 SSM:232.0.0.0 --- 232.255.255.255 !PIM的一种(S,G)
: }: |' I! e0 A, e+ aGLOP地址:233.0.0.0 --- 233.255.255.255 !拥有自主系统号的组织静态定义用途
+ n9 ?9 m% k6 C; {( K: S) Q有限范围地址:239.0.0.0 --- 239.255.255.255 !相当于内部IP,学校、公司内部用 & R# r) A- S# b* e
224.0.0.1 所有主机
% D4 W( g. i; I. W224.0.0.2 所有路由器 4 u' {; j0 F0 y" h
组播MAC地址,前24位 01-00-5E,25为0,IP剩下28位取后23位补齐,32个IP对应一个Mac
: u; D& B) U! i2 O! D7 Y0 q反向路径转发RPF 8 [& o& M: b0 ^! }6 _. d
组播转发树:源树、共享树(RP,rendezvous point) # N' h6 _3 A! W' s( I7 L. [9 P. i
7.3.6 IP组播协议 % X6 b9 [+ V# \- i& b3 d* ^
PIM,protocol independent multicast,协议无关组播
+ U* J7 A. n2 _5 q% u* v& OIGMP,internet 组管理协议
$ x0 \7 U' I% A+ sPIM密集 PIM-DM PIM稀疏 PIM-SM % _; p$ w% W k! ~! C* n
|
172#
2013-4-12 09:15:30
回复(0)
收起回复
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
,很好
