增强的生成树协议 生成树的保护 ethercha.doc

4 增强的生成树协议 生成树的保护 ethercha伴随着三层交换的出现，原有的802.1D在一分钟内完成收敛恢复连接已经不合时宜，因为一些动态路由协议往往在1S内就能够完成收敛。如何减少生成树的收敛时间?思科提出了三个FAST，IEEE借鉴后开发了RSTP。另外一个问题便是：802.1D只针对物理设备选举生成树，不考虑VLAN，也就是说这种情况下所有用户流量都只会走一个根，这在冗余的链路环境中势必造成设备资源的巨大浪费，这是不允许的。如何解决这个问题?每个VLAN一棵生成树，通过为不同的VLAN指定不同的根，从而实现负载分担。然而如果遇上大规模的网络，VLAN数目很多的情况下，这种每个VLAN一棵生成树的方案也变得不可取，因为尽管每VLAN一棵树可以让设备资源不至于闲置，但在VLAN数目很多时会占用很大的设备资源。因为交换机不得不为每个VLAN维持保存一棵树。这种问题如何解决?于是MST多生成树出来了。何谓多生成树，说白了就是多个VLAN对应一棵树。至此，生成树自身已经很完善了。接下来将会是如何保护生成树不频繁的翻转，保护树根。思科提出了几个增强的方案，具体看下面。以上这些都只是单条物理链路上的生成树的情况，而在园区网中常常会因各种原因存在多条物理链路以增加带宽，但是一旦启用生成树，这些链路将只会有一条起作用，也就是说增加带宽的目的将不会达到。如何解决?EtherChannel问题：(1)uplink fast发送伪多播帧抑制TCN是怎么实现的?是怎么一个过程?不明白，请老师指教！(2)RSTP拓扑变更中的TC while计时器是做什么用的?(3)RSTP中链路类型是作什么用的?为什么要区别点对点链路和共享链路?一、思科的三个fast 1、Port Fast(1)本质：让access接口不参与生成树，不发不收BPDU，在接口启用之后直接变为转发状态；(2)作用：节省了生成树的收敛时间，提高了效率。(3)用处：接主机的接入层交换机接口(4)配置：方法一：全局启用，然后在非access接口改；方法二：在access接口配置：SW1(config-if)#spanning-tree portfast方法三：在基于IOS的CatLyst交换机上SW1(config-if)#switchport host将端口置为接入模式并启用Portfast特性禁用channel.(5)好处：防止工作站引导时的DHCP超时，Novell登录问题，Apple-talk地址发现等问题2、Uplink Fast(1)本质：根端口的备份；(2)作用：从而节省了生成树收敛时间(3)实现：在根端口失效时立即变为根端口，而不用等待max-age超时再从blocking状态直到切换为转发状态，该过程在5s之内完成。同时，交换机代理主机发送伪多播帧以抑制TCN拓扑变更通告，进而便于上游交换机将MAC地址表从发生故障的链路立即移动到新的端口。(4)用处：VLAN数目较少的接入层交换机(5)配置：SW2(config)#spanning-tree uplinkfast全局模式下配置。配置完之后该交换机的优先级会增加到49152，并且所有接口的cost值会加上3000，使得该交换机不能成为根桥，当然这只在默认优先级和默认端口开销的交换机上有效.3、Backbone Fast(1)本质：指定端口的备份。(2)实现：当非直连上行链路down掉之后，上游交换机会发送一个次级BPDU，本地交换机收到这个次级BPDU后，先检查有没有到达根桥的替代路径，如果没有则在Max-age过期后发送自己的BPDU开始新的STP选举，如果有则向替代路径发送一个RLQ根链路查询，如果返回的响应是原先的根桥，则说明原来的根桥还活着。这时将把接收到次级BPDU的端口立即变为监听状态。(3)作用：用于非直连检测。能节省20秒的收敛时间，不用等待最大寿命超时。(4)用处：所有交换机上(5)条件：点到点链路。如是共享链路，收到次级BPDU会正常的进行STP的选举。(6)配置：SW2(config)#spanning-tree backbonefast二、RSTP 1、端口状态：(1)Discarding：学习BPDU。由于用到了提议和协定，这个时间通常会在1S内完成。这是RSTP之所以快的主要原因。(2)Leaning：学习MAC地址(3)Forwarding：转发用户数据2、端口角色：(1)根端口(2)指定端口(3)代替端口：相当于cisco的uplink fast,是根端口的备份，在根端口失效后立即变为根端口(4)备份端口：是指定端口的备份口，一般和指定端口位于同一个交换机上(5)边缘端口：相当于cisco的port fast,接主机，不发送BPDU，也不发送拓扑变化通告TC，在接收到BPDU时变为普通RSTP端口3、选举步骤：先选根桥，再选根端口，接着选指定端口、代替端口、备份端口4、选举原则：交换机角色选举原则为先看优先级再看基MAC；端口角色选举原则为：开销-sender ID-port ID 5、报文格式：76543210其中：7代表top change；0代表top change的ack；6代表提议proposal；5和4两个bit位表示端口角色。00为未知端口角色，01为代替口或者是备份口(区别在于是否在同一个交换机上)，10代表根端口，11代表指定端口3代表端口为学习状态；2代表转发状态；1代表协定aggrement.6、快的因素：端口状态和端口角色的变化(1)端口状态的变化：其实现是靠提议和协定(2)边缘端口可直接过渡到转发状态(3)多了一个根端口的备份口(4)多了一个指定端口的备份口(5)拓扑变更时直接由第一跳交换机向外发送TC位置位的BPDU 7、提议和协定非边缘端口一旦被打开，将会从对方交换机收到一个prosal的提议，同时自己也向对方以送一个提议，接下来会有应答协定。根桥根口会在这一提一答之间完成竞选，时间通常会少于1秒。不同于802.1D总共35秒的生成树选举时间，少了漫长的被动的等待。这是RSTP之所以快的主要原因。8、拓扑变更(1)条件：非边缘端口、进入转发状态！(2)实现：第一步：检测到拓扑变更，交换机立即启动一个TC while计时器，清除非边缘端口的MAC地址，并在这个时间内向其他交换机发送一个TC位置位的BPDU；第二步：接收到TC位置位的BPDU，交换机立即清除其他所有接口的MAC地址，并同时启动一个TC while计时器，将TC位置位的BPDU向其他交换机扩散.(3)特点：一步完成，检测到拓扑变更立即扩散，不需要等待根桥的通知；根桥在未收到TC位置位的BPDU时还可转发数据。9、配置：Switch(config)#spanning-tree mode rapid-pvst三、PVST和PVST+(1)作用：能实现负载分担，充分利用设备资源(2)做法：一个VLAN一棵生成树(3)后者是前者的增强(4)不足：在VLAN数目极多的情况下将会有很大的资源占用(5)配置：思科交换机上默认为pvst+,Switch(config)#spanning-tree mode pvst四、多生树MST 1、优势：在有效实现负载分担的同时，又能减少资源的占用，适合多VLAN的场合；2、实现：多个VLAN对应一个生成树实例，将生成树实例的数目控制在一个合理的范围之内，与逻辑拓扑的个数一致；3、属性：区域名称(32个字节)、配置版本号(2个字节)、1个包含4096个要素的表(映射用)。这三个属性一致表明属性同一区域；4、BPDU：包含VLAN到实例映射的摘要、配置版本号、区域名称；5、特点：可和802.1D、802.1s互操作。一个MST可被看作是一个普通的交换机，参与其他生成树的选举；6、配置：Switch(config)#spanning-tree mode mst设置STP模式为MST Switch(config)#spanning-tree mst configuration进入MST配置模式Switch(config-mst)#show current查看当前MST配置Switch(config-mst)#name cisco MST域Switch(config-mst)#revision 1配置版本号，不会自动递增Switch(config-mst)#instance 1vlan 1-500实例与VLAN的映射Switch(config-mst)#show pending显示未提交的MST配置Switch(config-mst)#end保存配置Switch(config)#spanning-tree mst 1root primary将这个交换机作为实例1的主根Switch(config)#spanning-tree mst 2root secondery将这个交换机作为实例2的备份根五、生成树的保护1、根防护(1)作用：保护根(2)原理：将端口强行置为指定端口，并在接收到更好的BPDU时将接口disbale掉(3)用处：根桥的所有接口，其他交换机的所有接入接口。在冗余链路上怎么启用?没法启用！(4)配置：Switch(config-if)#spanning-tree guard root 2、BPDU防护(1)本质：不接收BPDU(2)目的：控制生成树，减少不安全因素；(3)实现：将不该收到BPDU的端口在收到时disable掉，直到收不到时再打开；(4)位置：接入接口；(5)配置：方法一：SW1(config-if)#spanning-tree bpduguard enable在接口配置方法二：SW1(config)#spanning-tree portfast bpduguard在全局模式下配置3、BPDU过滤(1)本质：不发送BPDU.优先级高于BPDU防护(2)原理：在接口下配置的话为不发送也不接收所有BPDU，全局配置的话为不发送BPDU，但在接收到BPDU时变为普通的STP端口(3)配置：Switch(config)#spanning-tree portfast bpdufilter default Switch(config)#spanning-tree bpdufilter 4、UDLD(1)本质：就是一个协议，自动协商也可以直到单向链路检测的作用(2)作用：单向链路检测，防止环路(3)模式：标准与积极，区别在于前者只通知，后者还可以主动err-disable端口(4)配置：SW(config-if)#udld port aggressive六、EtherChannel 1、本质：将多条物理链路捆绑成一条逻辑链路2、作用：增加带宽，提供冗余3、种类：二层EtherChannel和三层EtherChannel 4、条件：快速以太网或吉比特以太网，不支持10M端口的通道处理5、限定：8个端口(catlyst交换机)，不必连续，也不必位于同一个模块中双工和速率必须相同一个端口只能属于一个通道组所有通道接口都必须位于同一个VLAN或相同本地VLAN的trunk链路中trunk模式必须相同(推荐)相同的VLAN开销配置6、模式：(1)on/off模式：手工配置，不启用协议(2)Pagp模式：思科私有auto被动协商，默认模式desirable主动协商，catlyst交换机推荐模式两种状态都可跟silent/non-silent关键字，silent用于连接不支持Pagp的设备，后者希望接收到对方的pagp的帧，用于单向链路检测能否形成channel取决于接口速度、trunk状态和VLAN的配置(3)LACP模式：工业标准模式：passive/active主动与被动，catlyst上推荐后者一旦启用，lacp将尝试在一个通道内配置最大数目的兼容端口，多余的接口将置为备用状态。配置参数：系统优先级：用来与MAC地址形成系统ID进而与其他系统进行协商端口优先级：用来确定哪些端口被置于备用模式管理密钥：LACP要求通道内的每个端口都拥有一个密钥值能否形成channel取决于端口的物理特征(如数据速率、双工兼容性、点到点或共享介质)和其他所配置的额外限制7、负载均衡：(1)依据：源或目标MAC、源或目标IP、第四层端口(2)配置：set port channel distribution.Catos交换机port-channel load-balance.IOS交换机再加上两个，不成系统：交换机密码恢复思路：想办法将config.txt文件改名，从而达到交换机启动时不加载这个配置的目的1、断电重启2、重启时按住mode键一直到LCD灯熄灭不闪，过一两秒钟后松开手3、当交换机在进入switch：状态时键入flash_init初始化flash文件系统4、装载并初始化helper辅助image，进行灾难性恢复switch：load_helper 5、查看flash中所有文件列表switch：dir flash：6、将配置文件改成交换机不可识别的文件类：rename flash：config.txt flash：config.old思科建议改成old的文件名7、重启switch：boot 8、将原来的配置文件改成交换机能识别的文件switch：rename flash：config.old fl