Since I didn’t include this part at the beginning at the very low level, decided just add it here. Select the port connected to the path with the lowest accumulated Spanning Tree Path Costto the Root Bridge (Root Switch) as the Root Port, when a Non-Root Switch has multiple paths to reach the Root Switch. If multiple paths are available to reach the Root Bridge (Root Switch) with the same accumulated Spanning Tree Path Cost in a Non-Root Switch, select the port connected to the neighbor switch which has the lowest Switch IDvalue as the Root Port.

Continue reading

Native VLAN:用于转发未TAG的VLAN流量,需要TRUNK两端的Native相同,否则报错。 有些IOS不支持DTP,所以没有mode Dynamic命令,只能做sw mod tr. Dynamic Desirable: 无论对端接口是Trunk, Desirable还是Auto,本地设置为Desirable的接口与之相连后,会一直保持处于Trunk mode. Dynaimc Auto: 无论对端接口是Trunk, Desirable还是Auto,本地设置为Auto的接口与之相连后,会一直保持处于Trunk mode. 两端接口特性:Auto – Desirable: Trunk可以建立; Auto – Auto: Trunk 无法建立; Desirable – Desirable: Trunk可以建立。 switchport nonegotiable:关闭接口DTP功能vlan 201 private-vlan isolated 定义201为孤立VLAN vlan 202 pri community 定义202为团体VLAN vlan 100 pri primary 定义VLAN100是主VLAN pri association 201,202 说明VLAN100包含两个子VLAN,201和202 int f0/24 sw mod pri promiscuous 定义本接口为复合接口,用于连出到上行交换机 sw pri mapping 100 201,202 定义本接口是以100为主VLAN,包含201和202两个成员 int range f0/1 - 2 sw mod pri host 定义本接口用于连接客户主机 sw pri host-assocation 100 202 说明本接口是给100的子VLAN202用 int range f0/3 - 4 sw mod pri host sw pri host-association 100 201 说明本接口是给100的子VLAN201用

Continue reading

vlan 认识

VLAN的目的:将交换机中的各接口在第二层逻辑隔离。 所以可以出现不同VLAN同1个子网的情况,这时,虽然各主机IP可能相同,但他们所属 VLAN不同,所以实际上他们之间并不冲突,但是只能有一个VLAN连出路由器与外网相连,因为路由器要求各接口子网不同,相同子网不同VLAN势必造成路由上的虚拟接口位于同一个子网,这是不允许的。 所以,实际应用中一般将同一网段划在同一VLAN中,路由器中子接口为这些网段设置IP作为网关。VLAN特点: ISL:这种CISCO特有的TRUNK协议,相对802.1Q而言最大的不同是它所有VLAN帧都是TAGGED。 802.1Q:作为IEEE的标准,它规定在交换机中传递的帧,需要在其头部添加4bytes的TAG作为标识。(以下接口说明均为802.1Q特性) ACCESS口:所有从这个口进入交换机的二层帧,都会被交换机逻辑的认为是属于自己接口上允许的那个VLAN的,所以它不会进行任何处理,直接发给对应(同一VLAN)的出口接口。所以进出ACCESS口的帧都是UNTAGGED的,这样PC才能解读。 TRUNK口:所有从这个口进出的数据,除了NATIVE VLAN是没有TAG的,其他所有VLAN都有TAG。正是因为交换机要对TRUNK上的VLAN进行TAG,才会需要在TRUNK口上使用 sw mod tr en 802.1q (isl)。 TRUNK中携带的VLAN范围只能是 1-1005 !!!据此,理论上说,因为所有出ACCESS口和TRUNK口(NATIVE)的帧都是UNTAGGED的,那么当ACCESS与TRUNK直连的时候应该可以实现ACCESS中归属的VLAN和对端NATIVE相通,但实际中交换机会强制端口阻塞,因为DTP判断出两端封装协议不同(没有实体交换机实验,有待验证)。同样的,当使用两个相通的TRUNK连接交换机(NATIVE不同),交换机也会阻塞该端口来拒绝通信。 DTP:用于在交换机之间协商判断接口封装协议的数据,dynamic access接口属性就是基于这个数据的。 同1个VLAN不同子网能否互通? 根据VLAN的原理,同1个VLAN下的主机应该是可以互通的,但是一般情况下我们验证互通的方法都是通过ICMP的PING,需要用到三层功能。所以,即使在同1个VLAN下所有主机的帧都具有相同VLAN TAG,但由于不是在同一个子网下,用PING验证通信的时候会出现路由需求,但此时又没有路由链接,所以PING会失败,但并不代表网络不通,因为其他协议可以通信。 例如:vlan1: A:10.1.1.1 255.255.255.0 B:10.1.2.1 255.255.255.0 当不考虑VLAN存在的时候,AB之间通信是需要路由的. 加上VLAN后也是一样,当A的帧发出后,它会发现10.1.1.0中没有B,但此时它又找不到去往10.1.2.0的路,所以就放弃了。 不同VLAN同1个子网能否互通? 当交换机之间是TRUNK链接的时候,不同VLAN同1子网之间是不能互PING的,因为此时即使各主机位于同一广播域内,但由于经过TRUNK链路时会在帧中添加VLAN TAG,这样会造成相互隔离。 但 当交换机之间是ACCESS链接时(如SW1中的F0/0属于VLAN2 链接了属于VLAN3的SW2上的F0/0),是能PING通的,因为在经过ACCESS链路时并不会添加TAG,所以当来自SW1中VLAN2的主机的 帧穿过时,会被SW2以无TAG的帧接收到,从而顺利传递给VLAN3中的主机。而这些主机又都位于同意子网中,不需要路由,所以直接就PING通了。 不同VLAN不同子网能否互通? 一定需要路由。 在下图的单臂路由中,R1为核心交换机,R2,R3为路由器,R1中的子接口f0/0.1 f0/0.2承接VLAN1和VLAN2。 在 这个网络中,只要10.1.1.1 10.1.2.1设置完成,R2开启IP ROUTING即可实现VLAN间路由,而不需要进行任何路由协议的配置,此时能够实现10.1.1.2 PING 10.1.2.2,并且10.1.1.2和10.1.2.2直接就可以PING F0/1口的192.168.1.1且不需要任何设置,就好像VLAN连到10.1.1.1和10.1.2.1从R2的角度代替R2在PING自己的接口一样。 但C1和C2要想PING 通192.168.1.2和C3的话,就需要在R2和R3间做路由。分别使用 IP ROUTE 0.0.0.0 0.0.0.0各自出口 后即可。  

Continue reading

STP

STP (Spanning Tree Protocol): 生成树协议用于处理交换机之间的冗余链路,判断出主链路和备选链路。 BPDU (Bridge Protocol Data Unit): STP协议的数据包,用于选择根桥和备份桥。拥有最低桥ID的将成为根桥。 相互冗余相连的交换机网络中,各交换机通过BPDU中的信息推选根桥(Root Bridge),以决定此网络的核心焦点。这样就使整个巨大的网络变成一台巨型交换机,网络中各交换机的接口状态均由根桥计算决定。 桥ID由桥优先级(Priority 32768)和接口MAC组合决定。网络中桥ID最小的被选举为根桥。网络中最终选出的各桥到根桥的路径连接接口为根端口,而此桥与邻桥(通过此桥连接根桥)相连的此桥上的接口为指定端口。即A-B-C,A为根桥,则B-C中靠B侧为指定端口,因为他是B-C网线中距离A最近的端口。根桥的所有端口都是指定端口。SPANNING TREE在交换机中是默认开启的,只有有特殊需求时才需要配置,如在接口上(config-if)#spanning-tree portfast或在(config)#下修改为RSTP MODE-RAPID-PVST。Cisco对802.1d添加的补丁功能==================================================BPDUGuard: 当一台交换机的接口运行了PORTFAST(应连主机,此接口不参与STP)后,此接口依然会接收到BPDU,这时如果错将此接口与另一台开启STP的交换机相连,可能发生环路。但如果这时有Guard,将自动禁用这个错误的接口。即放弃该接口。BPDUFilter: 当一台交换机的接口运行了PORTFAST(应连主机,此接口不参与STP)后,此接口依然会接收到BPDU,这时如果错将此接口与另一台开启STP的交 换机相连,可能发生环路。当开启Filter后,此错误接口将自动退出PORTFAST模式,并重新参与到STP过程中以避免环路。 所以GUARD和FILTER都是在完成避免环路这同一件事。UplinkFast(Cisco专有): 用于在直连链路失效时改进STP收敛时间。即避免通常等待的50秒时间,在主链路失效时,以更快的响应速度选取备选链路连接根桥。 BackboneFast(Cisco专有): 用于在非直连链路失效时检测到,并改进STP收敛时间。A-B-C,A-B完好,B-C失效,若在A开启backbonefast则可以检测到B-C间的失效链路并作出快速STP重新收敛。 新的RSTP(802.1w)包含上述所有补丁功能===========================================RSTP新增了两个接口:Alternate Port, Backup Port(config)spanning-tree mode rapid-pvst 这里所谓的PVST,是指 Per-Vlan Spanning Tree技术,也就是为每个VLAN都建立STP库,是STP和VLAN技术共同发展协作的见证。

Continue reading

CISCO交换机默认是起用错误检测的,检测到任何错误时,关闭端口。默认的检测类型是全部都检测,具体可以检测的类型有下面的几种: RT4(config)#errdisable detect cause all Enable error detection on all cases arp-inspection Enable error detection for arp inspection dhcp-rate-limit Enable error detection on dhcp-rate-limit dtp-flap Enable error detection on dtp-flapping gbic-invalid Enable error detection on gbic-invalid l2ptguard Enable error detection on l2protocol-tunnel link-flap Enable error detection on linkstate-flapping loopback Enable error detection on loopback pagp-flap Enable error detection on pagp-flapping 自动检测非常烦,遇到错误就会自动把端口关闭。如果不想启动错误检测,可以用命令 no errdisable detect cause all 来关闭。 如果想检测一部分内容,不想检测另一部分,可以用下面的命令来关闭其中的检测项目 RT4(config)#no errdisable detect cause ?

Continue reading

dynamic port不能启用Port Security,只有静态接入端口或中继端口才行。要将模式切换为access。 Cat3750(config-if)#switchport port-security Command rejected: FastEthernet1/0/2 is a dynamic port. !— Port security can only be configured on static access ports or trunk ports. Cat3750(config-if)#switchport mode access !— Sets the interface switchport mode as access. Cat3750(config-if)#switchport port-security !— Enables port security on the interface. Cat3750(config-if)#switchport port-security mac-address 0011.858D.9AF9 !— Sets the secure MAC address for the interface. Cat3750(config-if)#switchport port-security violation shutdown !— Sets the violation mode to shutdown. This is the default mode.

Continue reading

Author's picture

LuLU

Love coding and new technologies

Cloud Solution Consultant

Canada