《CCIE交换笔记》word版.docx

Switched Port Analyzer（SPAN端口分析仪）：（1） 源端口（受控端口）可为：1. 单一端口；2. 多个端口 多-1 （带宽瓶颈）3. Vlan（则此端口中所有vlan都被监控）4. Trunk：所有流量都被监控5. Etherchannel（内部所有物理端口都被监控）（2） 流量的方向：receive（Rx） 接收 Tansfer （Tx） 发送 both（两个方向全部监控）如果是旧的ios版本 3550 2900 2950 交换机 只支持单一接口的both方向以及多端口或者vlan的入方向！不支持多接口同时出新版本无此限制Catalyst 3750+（3） 目标端口：单一端口！或者是remote-vlan Ingress：默认情况下，目标端口都是连接pc，所以不用运行二层协议（DTP VTP CDP) 但如果接的是IDS等设备，则建议打开ingress功能，使其在监控的同时还能运行各种二层协议 命令：monitor session 1 destination interface fa0/28 ingress vlan 1（建议是用native vlan来传此数据）Local-span命令：monitor session 1 source interface/Remote/vlan rx/tx/both 监控端口 monitor session 1 destination interface fa0/28 查看配置：show monitor session allRemote Span：RSPAN：受控端口和目标端口不在同一个设备上，但在同一个交换域内！ 用一个专用vlan来传递数据（如vlan 88 起进程 remote span 所有交换机一定要一致）命令：monitor session 1 source interface fa0/8 基于trunk链路 Monitor session 1 destination remote vlan 88 reflector-port fa0/10Describing STP Security Mechanisms（STP的安全特性）：（1） BPDU Guard：在开启了portfast的接口，如果收到更优的BPDU，则为了整个交换域的stp稳定，将此接口置于error-disable状态！以保护当前的stp。Err-disable恢复：1.手动恢复：interface fa1/1 shut no shut 2.自动恢复：需要配置。实验流程：1.检查发现R1是根桥，R2的fa1/1接口是root port 则此接口会周期收到更优的BPDU2. 在R2的fa1/1接口 开启portfast 并开启bpduguard 此时，fa1/1接口会置于err-disable show ip int bri可以看到 双down3. 可以手动恢复此接口 先shut 再no shut4. 可以配置自动恢复: show err detect 查看可以造成errdisable的原因 show errdisable recovery 查看可以自动恢复的原因（默认全是关闭） Errdisable recovery cause bpduguard Errdisable recover interval 30 （默认300s恢复）5：配置自动恢复后，进接口手动恢复一下，看30s后的效果！ 基于全局开启或关闭：spanning-tree portfast bpduguard default基于接口开启或关闭：进入接口后spanning-tree bpduguard enable【disable】在快速端口较多的环境中，全局开启，并在连接其他交换机的端口关闭！（2) PDU Filter（基于portfast端口）：收到更优的bpdu后，不会err-disable而是选择丢弃！并将接口处于一个叫做broken的状态！默认10s自动恢复基于全局开启或关闭：spanning-tree portfast bpdufilter default基于接口开启或关闭：进入接口后spanning-tree bpdufilter enable【disable】在快速端口较多的环境中，全局开启，并在连接其他交换机的端口关闭！（3） Root Guard（根桥防护）：在原先的stp域所有边缘端口（不管是否开启portfast）都防止更优的BPDU出现，以保护现有根桥的角色！处于inconsistence【不一致】状态开启了rootguard的端口，无条件理解为DP DP和RP不匹配，就是不一致！基于接口配置：【no】spanning-tree guard root 无全局配置。以下两种用于防环（一般建议在设备上同时开启这两种功能）：用于bpdu丢失造成的环路问题（4） Udld（unidirectional link detect）：用来解决由于单向链路故障产生的没有ndp的环路问题，一般用于光纤链路（用于硬件问题：介质问题 端口出问题！）命令：全局udld enable（5） Loop Guard（软件问题：链路拥塞 cpu繁忙导致单向链路的数据无法正常传输）：命令：spanning-tree guard loopVlan高阶技术：Private Vlan（私有Vlan）：一个服务器一个vlan，一个服务器一个网段。 即如何实现一个vlan中数据的隔离！需求：经理可以和所有pc互访，财务部pc之间无法互相访问，但是处在同vlan中，研发部门可以相互访问，财务部门和研发部门无法互相访问。Primary VlanSecondary Vlan：isolated vlan 隔离vlan community vlan 社团vlan主vlan可以和所有vlan互访，从vlan之间无法互访，isolated与从vlan之间pc无法互访，community与从vlan之间pc可以互访私有vlan还定义了两大类端口：1. promiscuous（混杂端口）：可以和其他所有端口通信2. Host端口：isolated（隔离端口）：只能够配置：1. 将设备的vtp模式改成透明模式！（私有）：vtp mode transparent2. 划分相对应的vlan：vlan 100 Private-vlan primary Vlan 200 Private-vlan isolated Vlan 300 Private-vlan community3. 将主vlan和从vlan进行关联：Vlan100Private-vlan association 200,3004. 设定混杂端口和host端口进行关联：Interface fastethernet1/0/11Switchport access vlan 100Switchport private-vlan mapping 100 200,300Switch mode private-vlan promiscuousInterface range fastethernet1/0/12-13Switchport access vlan 200Switchport mode private-vlan hostSwitchport private-vlan host-association 100 200Interface range fastethernet1/0/14-15Swithport access vlan 300Switchport mode private-vlan hostSwitchport private-vlan host-association 100 300VLAN(虚拟局域网) TRUNK VTP交换机默认的处理方式为泛洪，交换机有自学习功能，学习受到的数据帧的MAC地址（MAC地址表） 未知单播帧：在交换机的MAC地址表中没有该MAC地址的数据帧，数据帧的发送需要对方的MAC地址。Ethe