Cisco交換機基礎

2019-11-05 01:31:09

字體：大中小

來源：轉載

供稿：網友

　　第一章園區網概述
園區網特點
1. 在一個固定地理區域內的一個公司或一個公司的一部分。
2. 擁有該園區網的公司通常也擁有該園區內所用的物理線路。

傳統園區網的主要問題
1. 可用性
2. 性能
在傳統園區網中，通常用多端口網橋將一個局域網分段成隔離的碰撞域。這樣可解決兩個問題：
1. 碰撞域（Collision Domain）
2. 距離限制

網絡中通信的三種形式：單播（Unitcast）、組播（Multicast）、廣播（Broadcast）。
1. 多點廣播實例：Cisco ip/TV分發多媒體數據、定位IP服務上的Novell 5。
2. 提出請求的廣播：IP的地址解析協議（ARP）、NetBIOS的名字請求、網間包交換協議（IPX）尋找最近服務器（Get Nearest Server，GNS）請求。
3. 發布通告的廣播：IPX服務通告協議（SAP）數據包、路由信息協議（RIP）、內部網關路由選擇協議（IGRP）。

遏制廣播的兩種方法：
1. 使用路由器生成多個子網；
2. 利用交換機實施VLAN。

當前園區網由兩部分組成：
1. 局域網交換機
2. 路由器

傳統的80/20規則和新的20/80規則
1. 80/20規則：在設計恰當地網絡環境中，一個給定網段上80%的流量是本地的，不超過20%的網絡流量需要通過主干。
2. 20/80規則：只有20%的流量是到本地工作組局域網的，而80%的流量需要流出本地網絡。

導致流量模式的改變有兩個因素：
1. 基于Web應用的計算普遍，很多PC既是信息的接受者，也是信息的發布者；
2. 企業部署集中式的服務器群（既降低成本、提高安全、便于治理）。

新的園區網模型中的3類服務
1. 本地服務：本地數據流不進入網絡主干或通過路由器
2. 遠程服務：遠程服務數據流穿過廣播域邊界，但可能也可不通過網絡主干
3. 企業級服務：放在距離網絡主干很近的一個獨立的子網上

與OSI分層相應的PDU和設備類型
模型層 PDU類型設備類型
數據鏈路層（第2層）數據幀交換機/網橋
網絡層（第3層）數據包路由器
傳輸層（第4層） TCP數據分段 TCP端口

多層交換機
多層交換基于單獨的流，MLS-SE為MLS流維護一個緩存條目并為每個流存儲統計信息。流中的所有數據包都與緩存中的信息進行比較。
缺省情況下，256秒之后，假如沒有任何流利用到一個MLS緩存項（Cache Entry），那么這個緩存項將從緩存中刪除。

路由器的優勢
決定轉發路徑
驗證3層包頭的完整性、有效期(on header only)
修改TTL
處理并響應任何選項信息
MIB中更新轉發統計數據
安全控制

第3層交換的優勢（路由器沒有）
低成本
低延時

交換機和網橋
第二層交換機由于采用ASIC（專用集成電路，application-Specified Integrated Circuits）硬件處理技術，所以交換機可比以太網橋低得多的成本提供高達Gbit速率的可擴展性和低時延。

第三層交換機主要有兩種產品
多層交換
Cisco快速轉發（CEF）

Cisco分層模型中各層使用的主要設備
層次層次名設備
第一層訪問層 Catalyst 1900，2820，2900，4000，5000
第二層分布層 Catalyst 5000（支持多層交換，帶路由模塊），2926G（需要外部路由支持）6000（密集Fast或Gigabit以太網口，如120個Gigabit端口）
第三層核心層 Catalyst 6500，8500（multicast routing，支持PIM協議）

接入層交換機應用
接入端口數交換機
Less than 50 19xx, 2820, 29xx（如CAD/CAM和IC設計環境）， 35xx
Less than 100 4xxx（可提供多達36Gbit以太網端口，96個用戶接入）
More than 100 5xxx（Multigigabit 10/100/1000Mbps）

園區兩個基本元素：
1. 交換區塊（Switching Block）
2. 核心區塊（Core Block）

影響交換區大小的主要因素：
1. 數據類型和行為；
2. 工作組的大小和數量（一般不超過2000個用戶）

說明交換區過大：
1. 分布層路由上出現流量瓶頸；
2. 廣播和Multicast降低了Switch和Router的處理速度。

分割交換區的原則
1. 應基于網絡上通過的流量（Traffic Flow），而不是Blocking中的節點數；
2. 為了進行分割，需要定期進行流量采集。

有兩種基本的核心層設計：
1. 緊縮核心（Collapsed）
◎ 分布層和核心層功能由同一個設備執行；
◎ 每臺接入層交換機到分布層交換機都有一條冗余鏈路；
◎ 第三層冗余是由運行HSRP的兩臺分布層交換機提供的。
2. 雙核心（Dual）：在核心層至少有兩個設備提供冗余。但他們之間沒有連接，以防止生成樹循環。

路由選擇協議所支持Blocking的最大數量
協議支持路由對等的最大數量核心層子網數 Blocking數
OSPF 50 2 25
EIGRP 50 2 25
RIP 30 2 15

實施第三層核心的好處：
很多設計采用第二層――第三層――第二層的模型，取得了成功，但有些情況下需要使用第三層核心，主要好處：
1. 快速收斂：路由協議收斂時間5s~10s，而生成樹收斂時間在50s；
2. 自動負載均衡：路由協議可在多條等成本路徑間均衡負載；
3. 消除對等問題：可以支持更多的Switching Blocking，達100個。
壞處：費用和性能。

傳統路由器功能：
_ Determine paths based on logical addressing
_ Run layer 3 checksums (on header only)
_ Use Time to Live (TTL)
_ PRocess and responds to any option information
_ Can update Simple Network Management Protocol (SNMP) managers with Management Information Base (MIB) information
_ Provide Security

第三層交換機優點：
_ Hardware-based packet forwarding
_ High-performance packet switching
_ High-speed scalability
_ Low latency
_ Lower per-port cost
_ Flow accounting
_ Security
_ Quality of service (QoS)

Quality of Service的含義
Messages are given more resources if they need it. 例如電視會議應用比電子郵件可能會得到更多的帶寬。
所以第四層的路由器或交換機可以根據第四層信息來控制流量。一種方法是采用標準的或擴展的訪問控制列表。另一種方法是通過NetFlow交換來提供流的第四層統計。
QQread.com 推出各大專業服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器
第二章連接交換區塊

快速以太網的距離限制
技術線纜分類線纜長度
100BaseTX EIA/TIA類型5（UTP）
非屏蔽雙絞線2對 100m
100BaseT4 EIA/TIA類型3,4,5（UTP）
非屏蔽雙絞線4對 100m
100BaseFX 多模光纖MMF纜線 62.5um光纖核心，125um外層包裝（62.5/125） 400m

Gbit以太網距離限制
技術線纜分類線纜長度
1000BaseCX 銅質屏蔽雙絞線 25m
1000BaseT 銅質EIA/TIA類型5（UTP）
非屏蔽雙絞線4對 100m
1000BaseFX 多模光纖 62.5um光纖核心和50um光纖芯，使用波長為780nm 260m
1000BaseLX 單模光纖 9um光纖芯，使用波長為1300nm 3km（Cisco最長支持10km）

Catalyst兩種OS
OS類型交換機
Cisco IOS Catalyst 1900/2800，2900XL
Set命令集 Catalyst 2926，2926G，1948G，4000，5000，6000

自動協商優先級識別
優先級次序物理層技術
A 100BaseTX全雙工
B 100BaseT4
C 100BaseTX半雙工
D 10BaseT全雙工
E 10BaseT半雙工

Token Ring分段方法
Method Forwarding Decision Frame Modification Ring Numbering
Transparent bridging MAC address N/A
Source-route bridging RIF RIF Ring numbers must be unique among bridge ports.
Source-route transparent bridging MAC address or RIF RIF Ring numbers must be unique among bridge ports.
Source-route switching Route descripto Ring numbers can be same across switch ports (single ring can be segmented on several ports).

IOS命令集標識一個端口（1900/2800，2900XL）
Switch（config-if）#description description-string
假如在標識字串中有空格，必須用引號括起來。
Switch（config-if）#description “description string”
而基于set命令的交換機設置端口標識沒有這個問題，命令不同，用Set port name命令。

UTP電纜遵守100m規則：
1. 從交換機到配線架（Patch Panel）為5m；
2. 從Patch Panel到辦公室模塊（Punch-down Block）為90m；
3. 從Punch-down Block到Desktop為5m。

CDP協議
是Cisco的專有協議，用來發現鄰居設備，Cisco設備每60s發送基于第二層的Multicast，目的MAC地址是0100.0ccc.cccc。

第三章通過VLAN定義共同工作組
設置VLAN Membership兩種常用方法：
1. 靜態VLAN――基于端口的成員身份，通過將端口指派給一個VLAN建立。
2. 動態VLAN――通過治理軟件，如Ciscoworks 2000或CWSI建立，基于設備MAC地址。

Cisco IOS下配置靜態VLAN
Switch#vlan database
Switch(vlan)#vlan vlan-num name vlan-name
Switch(vlan)#exit
Switch#configure terminal
Switch(config)#interface interface module/number
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan vlan-num
Switch(config-if)#end

Set-based下配置靜態VLAN
Switch(enable)set vlan vlan-num [name name ]
Switch(enable)set vlan vlan-num mod-num/port-list

交換環境中的兩種link：
1. Access link（接入）：一單個VLAN的成員（A member of only one vlan）。
2. Trunk link（干道）：Capable of carring multiple vlans。
混合鏈路，即該鏈路既是Trunk link又是Access link，它可傳輸兩種幀：標記幀（帶VLAN信息）和非標記幀

在交換Block中擴展VLAN時，有兩種定義VLAN邊界的基本方法：
1. 端到端VLAN：不管用戶的位置，都可放在同一個VLAN中。目的是維護80/20規則，即把80%數據流限制在本地；
2. 本地VLAN：根據用戶的位置配置，不管用戶是否是同一個項目組、部門等，數據流變成了20/80模式。

VTP協議優點：
1. 即VLAN干道協議，Cisco創建。在網絡中維持VLAN配置的一致性。
2. 通過混合介質主干將以太網VLAN映射到高速主干VLAN。
3. 對VLAN的準確跟蹤和監管。
4. 動態報告網絡中增加的VLAN。
5. 當添加新的VLAN時，實現“即插即用”。

VTP治理域
1. 同一個治理域中的所有交換機可以共享他們的VLAN信息，一個交換機只能參加到一個VTP治理域中。
2. 不同域中的交換機不能共享VTP信息。

VTP Version Number
1. 對維護VTP很要害，因為交換機根據VTP通告中的版本號來決定使用哪個VLAN數據庫。
2. VTP服務器修改VTP數據庫時，將配置Version Number增1。
3. 假如VTP服務器刪除了所有VLAN，并使用了更高的配置版本號，那么該治理域中的其他設備也將刪除他們的VLAN。
4. 配置版本號相同的兩個VLAN數據庫互不更新對方，因為它認為這兩個數據庫內容相同。

配置VTP和VLAN之前必須要考慮的事情：
1. 確定在網絡環境中運行的VTP版本號
2. 決定交換機是否應成為一個已有治理域的成員，或者應該為其創建一個新的域
3. 為交換機選擇一個VTP模式

VLAN Trunk link
1. Trunk link可以被配置來傳輸所有VLAN的數據幀，也可以被限制為只傳輸有限的VLAN；
2. Trunk link可以傳輸多個VLAN，但可以有一個Native VLAN，當Trunk link失效時就使用；
3. Trunk link所攜帶的不同VLAN幀，必須被唯一標識，如ISL和IEEE 802.1Q。

Cisco支持多種Trunk方式（即對VLAN幀標識）：
1. ISL――Cisco專有封裝協議，也是默認的。前面加26字節，后面加4字節FCS。
2. IEEE 802.1Q――IEEE標準方法，在幀頭寫入VLAN信息，后面只增加4字節FCS。
3. 802.10――FDDI上傳輸VLAN信息的Cisco專有協議，把VLAN信息寫入SAID安全關聯標識符部分
4. LANE――基于ATM上傳輸VLAN信息的一種IEEE標準方法。

幀標記和封裝方法
表示方法封裝標記（插入幀內）介質幀長度
ISL 是否以太網 1518/1548
802.1Q 否是以太網 1518/1522
802.10 否否 FDDI
LANE 否否 ATM

Baby Giant Frame（小巨人幀）
原始以太網幀大小不超過1518字節，假如一個最大長度的幀是通過802.1Q來標記得，那么這個幀變成1522字節，這種幀被成為小巨人幀。

Catalyst監控引擎版本干道協議支持自動協商的Trunk協議
4.2及以后 DTP動態干道協議 ISL和IEEE 802.1Q
4.1 DISL動態干道交換機間鏈路 ISL，手工配置802.1Q
4.1以前同上 ISL，不支持手動配置802.1Q
DTP協議為Cisco專有，它只能用于交換機之間的Trunk link，不能用于交換機和路由器之間的Trunk link。一般情況Trunk link狀態的端口每隔30s發送DTP幀，以便高速其它交換機。

快速以太網和Gbit以太網Trunk模式
On：永久設為Trunk模式。
Off：永久設為非Trunk模式。
Desirable：讓端口主動試圖將鏈路轉變為Trunk。假如相鄰端口被設為On，Desirable，或Auto，該端口可以變為Trunk端口。
Auto：讓端口主動試圖將鏈路轉變為Trunk。假如相鄰端口被設為On，Desirable，該端口可以變為Trunk端口。
Nonegotiate：端口永久設為Trunk模式，但不生成DTP幀，必須手工地把相鄰端口配置為Trunk端口來建立一條Trunk link。

Trunk中的VLAN
VLAN1：缺省
VLAN2：第一個VLAN
VLAN1002：FDDI-Default
VLAN1003：Token-Ring-Default
VLAN1004：FDDInet-Default
VLAN1005：TRnet-default

VTP三種操作模式
1. 服務器：缺省模式，可建立、修改和刪除VLAN，向同一域中的交換機通告它的VLAN配置，并接受從Trunk鏈路上收到的通告與其它交換機進行VLAN配置的同步。
2. 客戶機：行為同服務器模式，但不能建立、改變或刪除VLAN；傾聽vlan信息，使得z自己的vlan配置信息保持與vtp服務器同步；也可以把vlan信息轉發給其它交換機。
3. 透明：不參與VTP。在vtp v2中，配置為透明模式的交換機將在Trunk端口上轉發VTP信息以保證其他交換機接收到更新信息，但這些交換機將不修改自己的數據庫，也不發送指示VLAN狀態發生變化的更新信息。Vtp v1中，透明模式的交換機也不轉發vtp信息到其它交換機。需要注重的是透明模式下的交換機可以在本地創建vlan，但這些vlan的變化信息不會擴散到其它交換機。

三種形式的vtp通告：
Summary advertisements—vtp服務器發送，每隔300s。
Subset advertisements—vtp服務器發送。如vlan增刪、vlan的激活和掛起。
Advertisement requests from clients—vtp客戶發送，vtp服務器回復Summary advertisements和Subset advertisements。兩種原因促使vtp客戶要發送請求：一種是從Subset advertisements了解到vtp狀態發生變化；另一種是從Summary advertisements獲悉有更高的vtp version number，

Vtp v2有別于v1的一些特性：
1. Version-dependent transparent mode（與版本相關的透明模式）：v1要先檢查域名和版本，假如相同在轉發；v2則不檢查版本。
2. Consistency checks（一致性檢查）
3. Token Ring support（令牌環支持）：只有v2支持。
4. Unrecognized Type-Length-value (TLV) support（不熟悉類型長度值的支持）

Verify VTP status
Cisco IOS：show vtp status
Cisco set-based：show vtp domain

第四章治理冗余鏈路
網橋ID共8個字節，有兩部分組成：
1. 2個字節的優先級域：優先級低的為根橋，缺省優先級為32768，即0x8000。缺省地，所有Cisco交換機地優先級是相同的。
2. 6個字節MAC地址域：即交換機或網橋的MAC地址。所以缺省情況下，具有最低MAC地址的交換機將成為根橋。

選擇根橋（Root Bridge）
1. 自動選擇：STP自動選擇具有最低網橋ID的交換機為根橋。
2. 手工確定：原則是靠近網絡的中心。所以一般根橋設在一臺分布層的交換機而不是接入層交換機。建議手工設置來確定根橋。

確定到根橋的最佳路徑
STP協議利用BPDU中三個Field――路徑開銷、網橋ID、端口優先級/端口ID來確定到根橋的最佳路徑順序：
1. 路徑開銷：所有端口開銷的綜合為路徑開銷，路徑開銷低的端口為轉發端口。
2. 網橋ID：同一個交換機上有兩條鏈路達到根橋（如平行鏈路），那么最佳路徑就由下面的端口優先級或端口ID決定了。
3. 端口優先級/端口ID：端口優先級范圍0～63，缺省值32，具有低優先級的端口將轉發數據。假如端口優先級相同，端口ID則是決定因素，低端口ID將轉發數據。
BPDU：Bridge Protocol Data Unit

選擇指定的Root Port
一個交換機偵聽所有Active Port的BPDU，假如收到不止一個BPDU，那么說明存在這臺交換機到根橋之間的冗余鏈路，需要確定哪一個是Root Port。
交換機中某個端口到達根橋的路徑開銷最小，那么這個端口為Root Port。假如路徑開銷相等，那么由端口優先級/端口ID決定。Root Port就處于Forwarding狀態，其它冗余端口處于Blocking狀態。

EtherChannel
快速以太通道技術（Fast EtherChannel）和吉比特以太通道（Gigabit EtherChannel）使平行鏈路可以被生成樹看成是一條物理鏈路。
以太通道技術為鏈路失效情況提供了冗余性，假如在通道中有一條鏈路失效，那么幾毫秒內數據流被送到其它鏈路上，這種收斂變化對用戶來說是透明的。
EtherChannel上可以實現負載平衡，以兩條鏈路為例，假如源MAC和目的MAC最后一位異或后為0則從link0走，否則從link 1走。（也可以異或源和目的IP）

PAgP端口聚合協議（Port Aggregation Protocol）
給EtherChannel增添了新的功能，有利于以太通道的自動建立。但也有些限制：
1. PAgP不會在動態VLAN端口上建立聚合。因為動態VLAN可以強迫端口改為另一個VLAN。
2. PAgP要求通道中所有的端口同屬于一個VLAN，或者配置為Trunk端口。
3. 假如改變了通道中一個端口的速率或者單雙工方式，那么通道中所有端口都設為這一速率或單雙工方式。

PortFast
缺省情況下，假定交換機的所有端口都將與交換機或者網橋連接，所以所有端口都運行STP算法，即假如網絡發生了變化，在端口發送數據之前要等待50s。
而事實上許多端口會直接連接工作站或者服務器。所以我們采用PortFast可以讓這些端口節省Listening和Learning狀態的時間，立即進入Forwarding狀態。
需要注重的是：PortFast僅僅讓端口在網絡環境變化的情況下直接進入Forwarding狀態。而端口仍然運行STP協議，所以假如檢測到環路，端口仍將由Forwarding狀態變成Blocking狀態。

UplinkFast（上行速）
背景資料：STP確保了在拓撲變化的情況下沒有環路產生，但收斂速度慢。一些實時以及對帶寬敏感的網絡應用是不能接受的。
STP收斂速度慢的原因是收斂算法需要化時間確定一條可替代的鏈路，缺省時間是50s，即20s（Blocking→Listening）＋15s（Listening→Learning）＋15s（Learning→Forwarding）。
解決的方法是一旦發現了線路Blocking，馬上切換到Forwarding，不要經過Listening和Learning階段。這就是UplinkFast，切換時間可以在2s～4s。
UplinkFast被設計應用在接入層交換機。一般應用兩條上行鏈路連接到分布層，一條是冗余鏈路。
UplinkFast激活一個快速重新配置的條件：
1. 在交換機上必須啟動了UplinkFast功能；
2. 至少有一個處于Blocking的端口（即有冗余鏈路）；
3. 鏈路失效必須發生在Root Port上。
交換機啟動了UplinkFast后，由于提高了交換機上所有端口的路徑開銷，所以不適合作為根橋。

BackboneFast
Cisco專有。用在核心層和主干網絡在中。設置命令沒有基于IOS的，只有基于Set命令的。

Inferior BPDU（下級BPDU）
當指定網橋失去了與根橋的連接時，會就發出Inferior BPDU，表明自己是新的根橋。這樣對方的交換機就會在自己的Root Port和原本處于Blocking狀態的端口都收到BPDU了。

調和STP和VLAN的幾種主要方法：
1. PVST按VLAN生成樹――Cisco專用的實施方法，需要ISL封裝以進行工作。
2. CST公共生成樹――IEEE 802.1Q對于VLAN和生成樹的解決方案。
3. PVST+增強PVST――Cisco專用實施方法，使CST信息可以正確地傳進PVST。

PVST和CST的區別
PVST CST
特點每個VLAN建立一個獨立生成樹實例所有VLAN運行單個生成樹實例，BPDU信息運行在VLAN1上
優點 1. 減小了生成樹拓撲結構的總體大小
2. 改進擴展性并減少了收斂時間
3. 提供更快的恢復能力和更高可靠性 1. BPDU數少，所以占用帶寬少
2. 交換機上處理開銷少
缺點 1. 交換機為VLAN支持生成樹的維護開銷
2. Trunk link上為各個VLAN支持BPDU的帶寬開銷 1. 只有一個根橋，對某些設備可能存在此優化路徑
2. 生成樹拓撲結構大，可能導致更長的收斂時間和更頻繁的重新配置

第五章 VLAN間路由選擇
多層交換實現
1. 外部路由器＋裝配了NFFC和NFFC II卡的Catalyst 5000交換機結合起來使用。
I. 路由器接口要么有多個接口連接不同的子網，要么在快速以太網端口上用ISL。
II. 路由器上軟件條件：運行MLSP協議和Cisco IOS 11.3.4以上版本。
2. 采用第三層交換機：第二層交換和第三層路由功能集成在一個機箱中。
I. 5000系列交換機：配有RSM模塊（假如在5000上沒有裝配NFFC，那么只能視為第三層的路由器，而不是第三層的交換）
或RSFC模塊（是Supervisor Engine IIG和IIIG的子卡）
II. 6000/6500系列：裝配MSM模塊
裝配MSFC

配置內部路由處理器VLAN接口
1. 指定VLAN接口（除0或1之外），RSM可以支持多達256個VLAN選擇路由，ISL自動封裝。
說明：
VLAN0用于RSM和5000交換機之間的通信，映射到Channel 0，用戶接觸不到。
VLAN1是5000交換機的缺省VLAN，映射到Channel 1。
其它VLAN被映射到以上兩個通道中的一個，也可以被映射到某個特定通道以均衡每條通道的負載。
2. 為該接口分配一個IP地址，第一次設定時，要用no shutdown打開這個接口。
例如：
interface vlan 11（路由器上配置的接口號與5000上配置的VLAN號相對應）
ip address 172.16.41.141 255.255.255.0

配置外部路由處理器VLAN接口
1. 指定子接口，或者物理接口對應一個子網
2. 定義VLAN封裝
3. 為子接口分配一個IP地址
例如：
interface fastethernet 0/1.2（子接口號不一定要對應VLAN號，但實踐中為了便于治理，經常把子接口號定義成VLAN號一樣）
encapsulation isl 20
ip address 172.16.20.3 255.255.255.0

設定缺省網關
基于Cisco IOS：ip default-gateway ip-address
基于Set：set ip route destination gateway metric

檢驗缺省網關
基于Cisco IOS：show ip
基于Set：show ip route

分布層交換機治理接口的設定步驟
1. 指定治理接口sc0的IP地址；
2. 指定治理接口所屬的vlan，缺省為vlan1；
3. 指定治理接口的缺省網關。
sc0是Switch management interface
例如：
set interface sc0 202.121.48.2 255.255.255.192
set interface sc0 vlan1
set ip route default 202.121.48.63
set interface sc0 up
可以歸并為二條命令
set interface sc0 1 202.121.48.2 255.255.255.192 202.121.48.63
set interface sc0 up

顯示sc0和sl0的當前配置
show interface
sl1是將console port配置成通過slip可以治理交換，也需要設置ip地址以及目的ip地址。是一種帶外治理（共兩種：console port， slip－aux）。

第六章通過多層交換增強IP路由選擇性能
Cisco多層交換包括的組件：
1. MLS-SE多層交換引擎：Catalyst 2926G，配了NFFC或者NFFC II的Catalyst 5000。NFFC是一塊可以升級Supervisor Engine的子卡，讓Supervisor Engine支持基于ASIC的3層交換。
2. MLS-RP多層交換路由處理器：如RSM（Router Switch Module），或者一臺外部路由器，如7500、7200、4500、4700、8500等支持多層交換的路由器。
3. MLSP多層交換協議：運行于MLS-SE和MLS-RP之間，以啟用多層交換功能。實際上是MLS-RP發送組播Hello消息（缺省發送時間間隔15s）給MLS-SE，通知內容：
I. 各個VLAN上使用的MAC地址；
II. 路由信息/訪問列表發生了改變；
幾個英文縮寫解釋：
MLS-SE：Multilayer Switching-Switching Engine
MLS-RP：Multilayer Switching-Route Processor
MLSP：Multilayer Switching Protocol
NFFC：NetFlow Feature Card

啟用MLS功能
1. 啟用命令為：mls rp [ip│ipx]。Cisco IOS 12.0開始，MLS可對IPX數據包選擇路由。
2. 在內部或者外部MLS-RP上都要執行啟用命令使得路由器啟用MLS功能。
3. 不僅在全局配置模式下，而且在接口配置模式下都要執行啟用命令。

使MLS失效的命令
1. no ip routing
2. ip security
3. ip tcp compression-connections
4. clear ip-route

支持MLS的交換機
1. 當5000系列交換機裝配了RSFC（Route Switch Feature Card），或者RSM（Route Switch Module）――Supervisor Engine必須有NFFC和NFFC II，能支持MLS（Multi-Layer Switch）。
2. 當6000系列交換機裝配了MSFC（Multilayer Switch Feature Card）和MSM（Multilayer Switch Module），能支持MLS（Multi-Layer Switch）。

MSFC――Multilayer Switch Feature Card
Catalyst6000的多層交換功能卡(MSFC)可實現以線速進行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）, IPX 和IP-multicast 路由，同時支持AppleTalk, DecNet, Vines和Cache Engine。

MLS的Cache項
1. 保存在MLS-SE組件的Cache中。
2. 候選MLS Cache項缺省壽命為5s，即假如在MLS-SE的Cache中找不到相匹配的項目，就發給MLS-RP。
3. 每一個MLS Cache項目的缺省壽命為256s，這個壽命值可以修改，修改的壽命時間總是8的倍數，取值范圍8～2032。
4. 假如RP路由表發生變化、禁用MLS或者Access list變化，都會導致MLS Cache清除。

流掩碼（Flow Mask）模式
用來決定將數據包中多少信息放入MLS緩存中，而不是用來將數據包與MLS緩存中現有條目進行比較的。MLS-SE支持三種流掩碼模式：
1. 目的IP（沒有訪問列表，缺?。鹤畈痪唧w的流掩碼（The least specific flow mask mode）。
2. 源-目的IP（標準訪問列表）
3. IP流（擴展訪問列表）：最具體的流掩碼（The most specific flow mask mode ）。
在mls-se上設置流掩碼：set mls flow [destination│destination-source│full]

The MLS-SE supports only one flow mask for all MLS-RP’s connected to the MLS-SE. If the MLS-SE receives messages indicating different flow masks from different MLS-RP’s the MLS-SE will set it’s flow mask to the most specific flow mask.
MLS-RP’s running IOS 11.3 or later do not automatically support input access lists. To incorporate input access-lists the global configuration command ’mls rp ip input-acl’ must be configured.

第 3 樓第七章為容錯路由選擇配置HSRP
冗余性網絡的路由問題：
1. 缺省網關：缺省網關失效，工作站無法向別的子網發送數據包。
2. 代理ARP：路由器失效，要么另申請一個ARP請求找新的路由器，要么重新啟動?？傊瑫斐梢欢螘r間內源與目的不能通信。
3. 使用RIP：拓撲變化后適應很慢。
4. ICMP路由發現協議（簡稱IRDP）：缺省Cisco不啟用，啟用命令ip irdp。
解決的辦法就是HSRP。
注：Win 9X中使用Proxy ARP，應該把缺省網關設置為自己本身的IP地址。

備份組可以有以下成員：
1. Active路由器（一臺）：發送Hello消息，轉發發送到Virtual路由器的數據包。
2. Standby路由器（一臺）：發送Hello消息，監視HSRP運行狀態。
3. Virtual路由器（一臺）：配有自己的IP地址和MAC地址，不實際轉發數據包。
4. Other路由器（可以多臺）：只檢測Hello消息，不作應答。Active和Standby路由器均失效，則他們來競爭Active和Standby路由器。缺省地，MAC地址最小的路由器成為Active路由器。

HSRP消息格式
HSRP消息被封裝在UDP數據包中的數據部分，使用UDP端口號1985。
HSRP消息使用的目的地址是組播地址是224.0.0.2（即所有路由器），生存時間TTL為1。
（一）三種消息類型
1. Hello消息：每3秒發送一次，證實Active或Standby路由器正常運行。
2. Coup（政變）消息：表明路由器想成為Active路由器。
3. Resign（辭職）消息：表明路由器不想當Active路由器。
（二）兩個時間域
Hellotime：路由器發送Hello消息之間的時間間隔，缺省值3秒，取值范圍1～255。
Holdtime：當前Hello消息被認為有效的時間，一般最少是Hellotime的3倍，缺省10秒，取值范圍1～255。
命令：standby group-number timers hellotime holdtime

HSRP組：
1. 多個HSRP組可能同時存在于一個局域網上，在任何局域網上最多只可能有255個備份組。
2. 每個VLAN子網配置一個單獨的HSRP組。
3. 缺省HSRP組的號碼是0。
4. HSRP組中路由器的缺省優先級為100。
5. 假如一個末端工作站對虛擬路由器的IP地址發送一個ARP請求，那么Active將用Virtual路由器的MAC地址進行回答。

查看虛擬路由器的IP地址和MAC地址地兩種方法：
1. show ip arp
2. show standby
Ethernet3 - Group 1
Local state is Standby, priority 100
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.898
Hot standby IP address is 202.121.49.251 configured
Active router is 202.121.49.250 eXPires in 00:00:08
Standby router is local
Standby virtual mac address is 0000.0c07.ac01
shtu-4500#

虛擬路由器的MAC地址組成：
1. 廠商ID――構成MAC地址的前3個字節，如Cisco為0000.0c。
2. HSRP編碼――即HSRP虛擬MAC地址，總是07.ac。
3. 組ID――HSRP組編號，從0~255正好為一個字節。前面定義的HSRP組編號為01。

啟用HSRP
interface Ethernet3
standby 1 ip 202.121.49.251

Trunk link上配置HSRP
通過ISL上配置HSRP，可以消除單點失效導致數據流中斷的情況，為子網和VLAN間提供負載均衡和冗余能力。應該完成的任務：
1. 定義封裝格式；
2. 定義IP地址（是指給子接口設定IP地址）；
3. 啟用HSRP功能。

HSRP的6種狀態：
1. Initial：起始狀態，表明HSRP還沒有運行。
2. Learn：等待來自Active路由器的消息。
3. Listen：除Active和Standby路由器之外的其他路由器都保持傾聽狀態。
4. Speak：周期性發送Hello消息，參與Active和Standby路由器的競選。
5. Standby：HSRP中有且只有一個備份路由器。
6. Active：HSRP中有且只有一個Active路由器。

Active和Standby路由器的產生：
1. 當優先級不同的兩臺路由器進行比較時，有較高優先級的路由器是Active或Standby。
2. 假如兩臺路由器的優先級相同，那么有更高IP地址的路由器占先。
3. 假如Active路由器失效，Standby路由器將接替作為Active路由器。
4. 假如Standby路由器變成了Active路由器，那么從其它路由器中選擇一個作為備份路由器。
5. 假如Active路由器失效后，想重新奪回由備份路由器接替Active路由器的位置，必須設置preempt占先權。

HSRP Tracking
當一個被跟蹤接口變成不可用時，路由器的HSRP優先級將降低。所以HSRP Tracking減少了主接口不可用的路由器仍保持Active路由器的可能性。

理論上Route Processor能支持32650個子接口。
QQread.com 推出各大專業服務器評測 Linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器
第八章多點廣播綜述
一些Well-known的D類地址
范圍：224.0.0.0~239.255.255.255
D類地址目的
224.0.0.1 子網上的所有主機
224.0.0.2 子網上的所有路由器
224.0.0.4 所有距離矢量多點廣播路由選擇協議DVMRP路由器
224.0.0.5 所有開放最短路徑優先OSPF路由器
224.0.0.6 所有OSPF指定路由器（Designated Router）
224.0.0.9 所有RIP2路由器
224.0.0.13 所有協議獨立多點廣播PIM路由器

IGMP
IGMP――標準協議治理組播在路由口之間的傳送。但這個協議存在一個問題：假如設置一臺交換機中的一個VLAN可以接受組播數據，那么這個VLAN中的所有工作站都將收到Multicast Stream。
IGMP用IP數據包（Packet）來傳輸有關Multicast的消息，Packet由一個20字節IP Header和一個8字節長度的IGMP消息。

CGMP
1. Cisco專有協議。為避免IGMP協議帶來的問題，控制端口上的帶寬，控制Multicast Stream送到需要的端口上。
2. CGMP的基礎是：IP多點廣播路由器可看到所有的IGMP數據包，因此能夠通知所有交換機（利用2層Well-known地址）哪些主機何時加入和脫離多點廣播組。交換機正是利用這些信息構建一張轉發表的。
3. CGMP是基于Client/Server模型的。路由器擔任CGMP服務器角色，交換機是它的Client。

IGMPv1和IGMPv2的定義的Messages
1. Host Membership Report主機成員報告消息：主機發送這個Message加入一個Multicast組；
2. Group Specific Query：進行組成員查詢，由查詢者路由器發出。假如網段上有多臺路由器啟動了Multicast功能，經過選舉后，隨后IP地址最低的路由器發查詢信息（Message中的組地址為0）。
查詢時間間隔缺省60s，可用ip igmp query-interval命令調整。
3. Group Leave Message：脫離一個組，由主機發出。IGMPv1沒有使用脫離技術，假如路由器在一定數量的查詢消息后沒有接收到某個組的任何成員的報告消息，就認為這個接口上已經沒有這個組的成員了。

Multicast組的成員查詢
IGMPv1：利用報告抑制技術（Report Suppression），設定一個倒計時的定時器，初始值在10s內隨機取一個，當倒計時到0時，發送成員報告消息（TTL=1）。
IGMPv2：在Message格式中多了一個最大回應時間（Maximum Response Time，缺省值10秒），與隨機初始值的倒計時定時器一起配合進行。假如組成員收到了一個特定組查詢，而這是定時器的剩余值大于MRT，那么重新設個隨機值。當計時器當時后，即發出一個成員報告消息（TTL=1）。

分布樹（Distribution Tree）構造技術
分布樹在數據源所在的子網和每個含有Multicast成員的子網之間指定了一條唯一的路徑。這樣一個分布樹是由指定路由器（DR――用來發送路由查詢信息）構造的。
有兩種構造技術：
1. Source-specific樹：利用反向路徑轉發RPF技術構造一棵基于數據源的樹。
2. Center-specific樹：或稱共享樹，用共享樹算法建立一棵組成員共享的傳送樹。同一個組的Multicast Stream都通過同一個傳送樹進行發送和接收。

Dense-mode路由選擇協議：
距離矢量多點廣播路由協議（DVMRP） 1. 廣泛應用于Internet的多點廣播主干上（Mbone）。
2. 采用反向路徑擴散法（RPF－Reserve Path Flooding）。即除了數據包來的路徑不發，其余的路徑都發送。
多點廣播開放最短路徑優先（MOSPF） 1. 應用在單個路由域內，如一個組織控制的網絡。
2. 用OSPF作為伴隨的單點傳送路由協議，多點廣播信息包含在OSPF的鏈路狀態通告中。
3. Cisco不支持MOSPF。
獨立于協議的多點廣播密集模式（PIM DM） 1. 與DVMRP相似。即將數據包擴散到所有其它的路由器，然后刪除沒有組成員連接的路由器。
2. 比較適合于有較多成員屬于每個多點廣播組的場合。

Sparse-mode路由選擇協議：
基于核心的樹
（CBT－ Core-based Tree） 1. 構造一棵共享樹，多點廣播數據流的發送和接受都通過同一棵樹，與源無關。
2. 共享樹中有一個核心路由器，路由器和主機通過向核心發送加入請求來加入到樹中。假如加入過程中碰到了中間路由器已經加入到了這棵樹，那么這一臺路由器負責給以確認消息。
3. 好處：節省了在各路由器中的多點廣播狀態信息總量。
獨立于協議的多點廣播稀疏模式
（PIM SM） 1. 定義了一個匯聚點RP（Rendezvous Point），發送方要發送數據，先發送到匯聚點；接收方想接收數據，也到匯聚點登記。
2. 一旦建立起了從發送方向匯聚點再到接收方的數據流，路徑中的路由器自動優化路徑以取消不必要的Hop。

PIM DM非常有用的情形：
1. 發送方和接受訪彼此接近（Source and receivers close together）；
2. 發送方很少，接受方很多（Few sources and many receivers）；
3. Multicast數據流的數量很大（High volume of multicast traffic）；
4. Multicast數據流是經常性的（Constant multicast data streams）。

PIM SM非常有用的情形：
1. 在一個Multicast組中有較少的接受方（Few receivers in each group）；
2. 數據流的類型是間歇性的（Intermittent multicast traffic）。

Scoping技術（設定Multicast分發范圍）
在園區網中，將高帶寬數據流限制在網絡中的某個局域網或區域內對于限制或避免不必要的資源消耗是很要害的。具體的方法和Unicast一樣，控制Multicast數據包的TTL（IP協議缺省設置為255）。TTL值表示的范圍：
TTL門限值含義
0 限制在本主機，不會通過任何接口發出。
1 限制在同一子網，不被路由器轉發。
15 限制在同一組織
63 限制在同一地區
127 全球
191 全球，有限的帶寬
255 在范圍上沒有限制，全球

第九章配置IP多點廣播
啟用Multicast Routing兩個基本步驟：
1. 全局模式下配置ip multicast-routing啟用Multicast Routing（但接口上還是關閉的）；
2. 接口配置模式下配置ip pim dense-mode/sparse-mde/sparse-dense-mode。

多點廣播接口PIM模式
選項描述
Dense-mode 1. 假設前提：所有其他路由器都想為一個Multicast組轉發Multicast數據包。若一臺路由器收到了Multicast數據包，但它沒有直接的組成員或PIM鄰居，那么它向數據源發送修剪（Prune）消息。于是后續的Multicast數據包就不會被擴散到這臺路由器。
2. 在生成或更新Multicast路由表時，Dense-mode的接口總是被添加到路由表中。
Sparse-mode 假設前提：所有其他路由都不想為一個Multicast組轉發Multicast數據包。

Sparse-dense-mode 假如沒有檢測到RP（匯聚點）則按Dense-mode運行，檢測到了RP點，則按Sparse-mode運行。
PIM：Protocol Independent Multicast

OIlist外出接口表（Outgoing Interface List）
啟用了Multicast路由的路由器會維護一張Oilist表。根據這張表，路由器把Multicast數據包發送到表中列出的接口。
然而不同的PIM接口模式，決定了不同的Oilist表：
Dense-mode 1. 接口上偵聽到一個PIM鄰居，那么這個接口被加入到Oilist表；
2. 接口上有一臺主機加入了一個Multicast組；
3. 接口本身被手工配置加入了一個組。
Sparse-mode 1. 下游路由器接受到周期性的加入消息，這個接口才被添加到Oilist表中；
2. 在該接口上有直接成員時。

顯示Multicast路由表實例：
shtu-4500>sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, C - Connected, L - Local, P - Pruned
R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT
X - Proxy Join Timer Running
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.254), 02:34:52/00:02:20, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:（就是OILIST）
FastEthernet0.21, Forward/Dense, 02:34:52/00:00:00

(*, 224.2.160.103), 2w0d/00:02:59, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 08:44:15/00:00:00

(202.121.49.199, 224.2.160.103), 00:00:36/00:02:23, flags: PCT（202.121.49.199是tv.shtu.edu.cn）
Incoming interface: FastEthernet0.10, RPF nbr 0.0.0.0
Outgoing interface list: Null

(*, 224.0.1.40), 2w0d/00:00:00, RP 0.0.0.0, flags: DJCL
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.7, Forward/Dense, 3d03h/00:00:00

(*, 224.2.246.201), 08:51:44/00:02:59, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 08:51:44/00:00:00

(202.121.49.199, 224.2.246.201), 00:02:00/00:00:59, flags: PCT
Incoming interface: FastEthernet0.10, RPF nbr 0.0.0.0
Outgoing interface list: Null

(*, 224.0.1.24), 2w0d/00:02:17, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 3d03h/00:00:00

選擇指定路由器（Designated Router）
1. 選擇指定路由器只在多路訪問局域網上是必需的。
2. 選擇指定路由器的過程對于PIM SM和PIM DM來說都是相同的。
3. 選舉的目的：由指定路由器負責向所有局域網上的所有主機發送IGMP主機查詢消息。
4. 選擇指定路由器的規則：多路訪問局域網中的PIM路由器定期發出PIM路由器查詢消息到該局域網。具有最高IP地址的PIM路由器成為該局域網的DR。
假如DR失效，那么局域網上的其它PIM路由器重新選舉一個新的DR。

啟用CGMP
1. 只能跟PIM一起使用，即不支持其他的組播路由協議。
2. 路由器接口上啟用CGMP命令ip cgmp，將觸發一個CGMP加入消息。
3. 使用show running來檢測是否在接口上啟用了CGMP。
4. 啟用了CGMP能夠讓交換機使用從路由器過來的Multicast信息。

配置匯聚點RP
1. 假如PIM配置為Sparse-mode，必須選擇一臺或多臺路由器作為匯聚點。
2. 匯聚點的IP地址必須配置在葉節點路由器（Leaf Router）上。葉節點路由器是直接與一個Multicast組成員或者Multicast消息發送方相連接的路由器。
QQread.com 推出各大專業服務器評測 Linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器
第十章園區網訪問控制
分布層上控制被發送到核心塊的路由信息的方法：
1. 路由概括Route Summarization：根據采用的路由選擇協議，從分布層向核心層發送一條交換區中所有可用路由得概括條目。
2. 分布列表Distribution List：用來指明分布層哪些路由通告到核心層。

幾種不同應用的訪問控制列表
1. Protocol access-group：用在接口上，對數據流治理，protocol是要治理的第三層協議。如ip協議。
2. Access-class：線路上應用訪問控制表，如虛擬終端線路。
3. Distribute-list：治理路由更新信息。決定哪些路由可被路由器學習到，哪些路由可被廣播出去。
4. Ipx output-sap-filter：治理服務更新信息。決定將廣播哪些服務信息。

訪問控制列表應用In和Out
ip access-group：可以應用于進入或外出的數據流上。In訪問控制列表在數據包進入接口、選擇路由之前，對它進行檢查。Out訪問控制列表在數據包選擇路由之后，離開接口之前，對它進行檢查。
Access-class：In指明誰可以Telnet到這臺設備。Out指明當用戶已登錄到網絡設備內部時可以Telnet到哪里。

端口安全設置和檢查
1. 基于Set/CLI命令：set port security mod_num/port_num enable mac_address
show port mod_num/port_num
2. 基于IOS命令： port secure [max-mac-count maxinum_mac_count]
show mac-address-table security [type module/port]
maxinum_mac_count缺省值132，范圍1～132。
端口安全中進行MAC地址鎖定有兩種方式：
1. MAC地址的靜態指定：治理員設置，比動態學習的更安全，但治理工作量大。
2. MAC地址的動態學習：在端口上第一個源MAC地址成為安全MAC地址。

設置console會話超時
Cisco IOS：exec-timeout minutes seconds
Set-based：time-out

switch的led代表什么狀態
一般情況，交換機的指示燈顏色有一定的規律：
1. 紅色（Red）：剛開始初始化、不正常、禁用狀態。
2. 桔黃色（Orange）：處在引導過程中。
3. 綠色（Green）：正常

Link LED的含義：
1. 綠色（Green）：正常的鏈路信號；
2. 橙色（Orange）：端口被軟件關閉，端口不能使用，或者VLAN配置不正確；
3. 橙色并閃爍（Orange and Glint）：鏈路故障或端口硬件故障；
4. 關閉（Off）：無鏈路信號，原因可能遠程節點尚未加電、電纜斷路、電纜連接錯誤或遠程節點/網卡有故障。

舉例：
假如指示燈顯示為Red，表示端口STP處于Blocking狀態。

5000系列交換機10/100模塊的端口速率指示燈（SP LED）含義：綠色表示端口速率100Mbps，假如工作在10Mbps，則SP LED不亮。

SPAN
Cisco switches have a Switched Port Analyzer (SPAN) feature enables you to monitor traffic on any port for analysis by a network analyzer device or RMON probe.
顯示SPAN信息
show span

填空題！by default,the catalyst switch software sends error messages to the console terminal enter the command you would use to check for error message if they are redirected to another destination.

Cisco IOS下，如Cisco 2924XL和Cisco 4500等。
答案：terminal monitor

Cisco 4000
Show ip cef [sum]
Show buffer
Show traffic
Sh int fa0 stat
Ip route-cache

Cisco 5000
show multicast route
show test
sh mbuff

Cisco 5000，RSM模塊占用槽口（要與NFFC搭配使用才支持多層交換），后來發展成為一塊子卡RSFC加入到引擎中。
Cisco 6000/6500，MSM模塊占用槽口，后來發展成作為一塊子卡MSFC加入到引擎中。

Cisco IOS精髓

CEF包括兩張表FIB和adject

上一篇：CISCO交換機VLAN配置思路

下一篇：65xx系列交換機配置(Native IOS)(10)