Cisco交換機(jī)基礎(chǔ)

2019-11-05 01:31:09

字體：大中小

供稿：網(wǎng)友

　　第一章園區(qū)網(wǎng)概述
園區(qū)網(wǎng)特點(diǎn)
1. 在一個(gè)固定地理區(qū)域內(nèi)的一個(gè)公司或一個(gè)公司的一部分。
2. 擁有該園區(qū)網(wǎng)的公司通常也擁有該園區(qū)內(nèi)所用的物理線路。

傳統(tǒng)園區(qū)網(wǎng)的主要問(wèn)題
1. 可用性
2. 性能
在傳統(tǒng)園區(qū)網(wǎng)中，通常用多端口網(wǎng)橋?qū)⒁粋€(gè)局域網(wǎng)分段成隔離的碰撞域。這樣可解決兩個(gè)問(wèn)題：
1. 碰撞域（Collision Domain）
2. 距離限制

網(wǎng)絡(luò)中通信的三種形式：?jiǎn)尾ィ║nitcast）、組播（Multicast）、廣播（Broadcast）。
1. 多點(diǎn)廣播實(shí)例：Cisco ip/TV分發(fā)多媒體數(shù)據(jù)、定位IP服務(wù)上的Novell 5。
2. 提出請(qǐng)求的廣播：IP的地址解析協(xié)議（ARP）、NetBIOS的名字請(qǐng)求、網(wǎng)間包交換協(xié)議（IPX）尋找最近服務(wù)器（Get Nearest Server，GNS）請(qǐng)求。
3. 發(fā)布通告的廣播：IPX服務(wù)通告協(xié)議（SAP）數(shù)據(jù)包、路由信息協(xié)議（RIP）、內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議（IGRP）。

遏制廣播的兩種方法：
1. 使用路由器生成多個(gè)子網(wǎng)；
2. 利用交換機(jī)實(shí)施VLAN。

當(dāng)前園區(qū)網(wǎng)由兩部分組成：
1. 局域網(wǎng)交換機(jī)
2. 路由器

傳統(tǒng)的80/20規(guī)則和新的20/80規(guī)則
1. 80/20規(guī)則：在設(shè)計(jì)恰當(dāng)?shù)鼐W(wǎng)絡(luò)環(huán)境中，一個(gè)給定網(wǎng)段上80%的流量是本地的，不超過(guò)20%的網(wǎng)絡(luò)流量需要通過(guò)主干。
2. 20/80規(guī)則：只有20%的流量是到本地工作組局域網(wǎng)的，而80%的流量需要流出本地網(wǎng)絡(luò)。

導(dǎo)致流量模式的改變有兩個(gè)因素：
1. 基于Web應(yīng)用的計(jì)算普遍，很多PC既是信息的接受者，也是信息的發(fā)布者；
2. 企業(yè)部署集中式的服務(wù)器群（既降低成本、提高安全、便于治理）。

新的園區(qū)網(wǎng)模型中的3類(lèi)服務(wù)
1. 本地服務(wù)：本地?cái)?shù)據(jù)流不進(jìn)入網(wǎng)絡(luò)主干或通過(guò)路由器
2. 遠(yuǎn)程服務(wù)：遠(yuǎn)程服務(wù)數(shù)據(jù)流穿過(guò)廣播域邊界，但可能也可不通過(guò)網(wǎng)絡(luò)主干
3. 企業(yè)級(jí)服務(wù)：放在距離網(wǎng)絡(luò)主干很近的一個(gè)獨(dú)立的子網(wǎng)上

與OSI分層相應(yīng)的PDU和設(shè)備類(lèi)型
模型層 PDU類(lèi)型設(shè)備類(lèi)型
數(shù)據(jù)鏈路層（第2層）數(shù)據(jù)幀交換機(jī)/網(wǎng)橋
網(wǎng)絡(luò)層（第3層）數(shù)據(jù)包路由器
傳輸層（第4層） TCP數(shù)據(jù)分段 TCP端口

多層交換機(jī)
多層交換基于單獨(dú)的流，MLS-SE為MLS流維護(hù)一個(gè)緩存條目并為每個(gè)流存儲(chǔ)統(tǒng)計(jì)信息。流中的所有數(shù)據(jù)包都與緩存中的信息進(jìn)行比較。
缺省情況下，256秒之后，假如沒(méi)有任何流利用到一個(gè)MLS緩存項(xiàng)（Cache Entry），那么這個(gè)緩存項(xiàng)將從緩存中刪除。

路由器的優(yōu)勢(shì)
決定轉(zhuǎn)發(fā)路徑
驗(yàn)證3層包頭的完整性、有效期(on header only)
修改TTL
處理并響應(yīng)任何選項(xiàng)信息
MIB中更新轉(zhuǎn)發(fā)統(tǒng)計(jì)數(shù)據(jù)
安全控制

第3層交換的優(yōu)勢(shì)（路由器沒(méi)有）
低成本
低延時(shí)

交換機(jī)和網(wǎng)橋
第二層交換機(jī)由于采用ASIC（專(zhuān)用集成電路，application-Specified Integrated Circuits）硬件處理技術(shù)，所以交換機(jī)可比以太網(wǎng)橋低得多的成本提供高達(dá)Gbit速率的可擴(kuò)展性和低時(shí)延。

第三層交換機(jī)主要有兩種產(chǎn)品
多層交換
Cisco快速轉(zhuǎn)發(fā)（CEF）

Cisco分層模型中各層使用的主要設(shè)備
層次層次名設(shè)備
第一層訪問(wèn)層 Catalyst 1900，2820，2900，4000，5000
第二層分布層 Catalyst 5000（支持多層交換，帶路由模塊），2926G（需要外部路由支持）6000（密集Fast或Gigabit以太網(wǎng)口，如120個(gè)Gigabit端口）
第三層核心層 Catalyst 6500，8500（multicast routing，支持PIM協(xié)議）

接入層交換機(jī)應(yīng)用
接入端口數(shù) 交換機(jī)
Less than 50 19xx, 2820, 29xx（如CAD/CAM和IC設(shè)計(jì)環(huán)境）， 35xx
Less than 100 4xxx（可提供多達(dá)36Gbit以太網(wǎng)端口，96個(gè)用戶(hù)接入）
More than 100 5xxx（Multigigabit 10/100/1000Mbps）

園區(qū)兩個(gè)基本元素：
1. 交換區(qū)塊（Switching Block）
2. 核心區(qū)塊（Core Block）

影響交換區(qū)大小的主要因素：
1. 數(shù)據(jù)類(lèi)型和行為；
2. 工作組的大小和數(shù)量（一般不超過(guò)2000個(gè)用戶(hù)）

說(shuō)明交換區(qū)過(guò)大：
1. 分布層路由上出現(xiàn)流量瓶頸；
2. 廣播和Multicast降低了Switch和Router的處理速度。

分割交換區(qū)的原則
1. 應(yīng)基于網(wǎng)絡(luò)上通過(guò)的流量（Traffic Flow），而不是Blocking中的節(jié)點(diǎn)數(shù)；
2. 為了進(jìn)行分割，需要定期進(jìn)行流量采集。

有兩種基本的核心層設(shè)計(jì)：
1. 緊縮核心（Collapsed）
◎ 分布層和核心層功能由同一個(gè)設(shè)備執(zhí)行；
◎ 每臺(tái)接入層交換機(jī)到分布層交換機(jī)都有一條冗余鏈路；
◎ 第三層冗余是由運(yùn)行HSRP的兩臺(tái)分布層交換機(jī)提供的。
2. 雙核心（Dual）：在核心層至少有兩個(gè)設(shè)備提供冗余。但他們之間沒(méi)有連接，以防止生成樹(shù)循環(huán)。

路由選擇協(xié)議所支持Blocking的最大數(shù)量
協(xié)議支持路由對(duì)等的最大數(shù)量核心層子網(wǎng)數(shù) Blocking數(shù)
OSPF 50 2 25
EIGRP 50 2 25
RIP 30 2 15

實(shí)施第三層核心的好處：
很多設(shè)計(jì)采用第二層――第三層――第二層的模型，取得了成功，但有些情況下需要使用第三層核心，主要好處：
1. 快速收斂：路由協(xié)議收斂時(shí)間5s~10s，而生成樹(shù)收斂時(shí)間在50s；
2. 自動(dòng)負(fù)載均衡：路由協(xié)議可在多條等成本路徑間均衡負(fù)載；
3. 消除對(duì)等問(wèn)題：可以支持更多的Switching Blocking，達(dá)100個(gè)。
壞處：費(fèi)用和性能。

傳統(tǒng)路由器功能：
_ Determine paths based on logical addressing
_ Run layer 3 checksums (on header only)
_ Use Time to Live (TTL)
_ PRocess and responds to any option information
_ Can update Simple Network Management Protocol (SNMP) managers with Management Information Base (MIB) information
_ Provide Security

第三層交換機(jī)優(yōu)點(diǎn)：
_ Hardware-based packet forwarding
_ High-performance packet switching
_ High-speed scalability
_ Low latency
_ Lower per-port cost
_ Flow accounting
_ Security
_ Quality of service (QoS)

Quality of Service的含義
Messages are given more resources if they need it. 例如電視會(huì)議應(yīng)用比電子郵件可能會(huì)得到更多的帶寬。
所以第四層的路由器或交換機(jī)可以根據(jù)第四層信息來(lái)控制流量。一種方法是采用標(biāo)準(zhǔn)的或擴(kuò)展的訪問(wèn)控制列表。另一種方法是通過(guò)NetFlow交換來(lái)提供流的第四層統(tǒng)計(jì)。
QQread.com 推出各大專(zhuān)業(yè)服務(wù)器評(píng)測(cè) linux服務(wù)器的安全性能 SUN服務(wù)器 HP服務(wù)器 DELL服務(wù)器 IBM服務(wù)器聯(lián)想服務(wù)器浪潮服務(wù)器曙光服務(wù)器同方服務(wù)器華碩服務(wù)器寶德服務(wù)器
第二章連接交換區(qū)塊

快速以太網(wǎng)的距離限制
技術(shù) 線纜分類(lèi) 線纜長(zhǎng)度
100BaseTX EIA/TIA類(lèi)型5（UTP）
非屏蔽雙絞線2對(duì) 100m
100BaseT4 EIA/TIA類(lèi)型3,4,5（UTP）
非屏蔽雙絞線4對(duì) 100m
100BaseFX 多模光纖MMF纜線 62.5um光纖核心，125um外層包裝（62.5/125） 400m

Gbit以太網(wǎng)距離限制
技術(shù) 線纜分類(lèi) 線纜長(zhǎng)度
1000BaseCX 銅質(zhì)屏蔽雙絞線 25m
1000BaseT 銅質(zhì)EIA/TIA類(lèi)型5（UTP）
非屏蔽雙絞線4對(duì) 100m
1000BaseFX 多模光纖 62.5um光纖核心和50um光纖芯，使用波長(zhǎng)為780nm 260m
1000BaseLX 單模光纖 9um光纖芯，使用波長(zhǎng)為1300nm 3km（Cisco最長(zhǎng)支持10km）

Catalyst兩種OS
OS類(lèi)型交換機(jī)
Cisco IOS Catalyst 1900/2800，2900XL
Set命令集 Catalyst 2926，2926G，1948G，4000，5000，6000

自動(dòng)協(xié)商優(yōu)先級(jí)識(shí)別
優(yōu)先級(jí)次序物理層技術(shù)
A 100BaseTX全雙工
B 100BaseT4
C 100BaseTX半雙工
D 10BaseT全雙工
E 10BaseT半雙工

Token Ring分段方法
Method Forwarding Decision Frame Modification Ring Numbering
Transparent bridging MAC address N/A
Source-route bridging RIF RIF Ring numbers must be unique among bridge ports.
Source-route transparent bridging MAC address or RIF RIF Ring numbers must be unique among bridge ports.
Source-route switching Route descripto Ring numbers can be same across switch ports (single ring can be segmented on several ports).

IOS命令集標(biāo)識(shí)一個(gè)端口（1900/2800，2900XL）
Switch（config-if）#description description-string
假如在標(biāo)識(shí)字串中有空格，必須用引號(hào)括起來(lái)。
Switch（config-if）#description “description string”
而基于set命令的交換機(jī)設(shè)置端口標(biāo)識(shí)沒(méi)有這個(gè)問(wèn)題，命令不同，用Set port name命令。

UTP電纜遵守100m規(guī)則：
1. 從交換機(jī)到配線架（Patch Panel）為5m；
2. 從Patch Panel到辦公室模塊（Punch-down Block）為90m；
3. 從Punch-down Block到Desktop為5m。

CDP協(xié)議
是Cisco的專(zhuān)有協(xié)議，用來(lái)發(fā)現(xiàn)鄰居設(shè)備，Cisco設(shè)備每60s發(fā)送基于第二層的Multicast，目的MAC地址是0100.0ccc.cccc。

第三章通過(guò)VLAN定義共同工作組
設(shè)置VLAN Membership兩種常用方法：
1. 靜態(tài)VLAN――基于端口的成員身份，通過(guò)將端口指派給一個(gè)VLAN建立。
2. 動(dòng)態(tài)VLAN――通過(guò)治理軟件，如Ciscoworks 2000或CWSI建立，基于設(shè)備MAC地址。

Cisco IOS下配置靜態(tài)VLAN
Switch#vlan database
Switch(vlan)#vlan vlan-num name vlan-name
Switch(vlan)#exit
Switch#configure terminal
Switch(config)#interface interface module/number
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan vlan-num
Switch(config-if)#end

Set-based下配置靜態(tài)VLAN
Switch(enable)set vlan vlan-num [name name ]
Switch(enable)set vlan vlan-num mod-num/port-list

交換環(huán)境中的兩種link：
1. Access link（接入）：一單個(gè)VLAN的成員（A member of only one vlan）。
2. Trunk link（干道）：Capable of carring multiple vlans。
混合鏈路，即該鏈路既是Trunk link又是Access link，它可傳輸兩種幀：標(biāo)記幀（帶VLAN信息）和非標(biāo)記幀

在交換Block中擴(kuò)展VLAN時(shí)，有兩種定義VLAN邊界的基本方法：
1. 端到端VLAN：不管用戶(hù)的位置，都可放在同一個(gè)VLAN中。目的是維護(hù)80/20規(guī)則，即把80%數(shù)據(jù)流限制在本地；
2. 本地VLAN：根據(jù)用戶(hù)的位置配置，不管用戶(hù)是否是同一個(gè)項(xiàng)目組、部門(mén)等，數(shù)據(jù)流變成了20/80模式。

VTP協(xié)議優(yōu)點(diǎn)：
1. 即VLAN干道協(xié)議，Cisco創(chuàng)建。在網(wǎng)絡(luò)中維持VLAN配置的一致性。
2. 通過(guò)混合介質(zhì)主干將以太網(wǎng)VLAN映射到高速主干VLAN。
3. 對(duì)VLAN的準(zhǔn)確跟蹤和監(jiān)管。
4. 動(dòng)態(tài)報(bào)告網(wǎng)絡(luò)中增加的VLAN。
5. 當(dāng)添加新的VLAN時(shí)，實(shí)現(xiàn)“即插即用”。

VTP治理域
1. 同一個(gè)治理域中的所有交換機(jī)可以共享他們的VLAN信息，一個(gè)交換機(jī)只能參加到一個(gè)VTP治理域中。
2. 不同域中的交換機(jī)不能共享VTP信息。

VTP Version Number
1. 對(duì)維護(hù)VTP很要害，因?yàn)榻粨Q機(jī)根據(jù)VTP通告中的版本號(hào)來(lái)決定使用哪個(gè)VLAN數(shù)據(jù)庫(kù)。
2. VTP服務(wù)器修改VTP數(shù)據(jù)庫(kù)時(shí)，將配置Version Number增1。
3. 假如VTP服務(wù)器刪除了所有VLAN，并使用了更高的配置版本號(hào)，那么該治理域中的其他設(shè)備也將刪除他們的VLAN。
4. 配置版本號(hào)相同的兩個(gè)VLAN數(shù)據(jù)庫(kù)互不更新對(duì)方，因?yàn)樗J(rèn)為這兩個(gè)數(shù)據(jù)庫(kù)內(nèi)容相同。

配置VTP和VLAN之前必須要考慮的事情：
1. 確定在網(wǎng)絡(luò)環(huán)境中運(yùn)行的VTP版本號(hào)
2. 決定交換機(jī)是否應(yīng)成為一個(gè)已有治理域的成員，或者應(yīng)該為其創(chuàng)建一個(gè)新的域
3. 為交換機(jī)選擇一個(gè)VTP模式

VLAN Trunk link
1. Trunk link可以被配置來(lái)傳輸所有VLAN的數(shù)據(jù)幀，也可以被限制為只傳輸有限的VLAN；
2. Trunk link可以傳輸多個(gè)VLAN，但可以有一個(gè)Native VLAN，當(dāng)Trunk link失效時(shí)就使用；
3. Trunk link所攜帶的不同VLAN幀，必須被唯一標(biāo)識(shí)，如ISL和IEEE 802.1Q。

Cisco支持多種Trunk方式（即對(duì)VLAN幀標(biāo)識(shí)）：
1. ISL――Cisco專(zhuān)有封裝協(xié)議，也是默認(rèn)的。前面加26字節(jié)，后面加4字節(jié)FCS。
2. IEEE 802.1Q――IEEE標(biāo)準(zhǔn)方法，在幀頭寫(xiě)入VLAN信息，后面只增加4字節(jié)FCS。
3. 802.10――FDDI上傳輸VLAN信息的Cisco專(zhuān)有協(xié)議，把VLAN信息寫(xiě)入SAID安全關(guān)聯(lián)標(biāo)識(shí)符部分
4. LANE――基于ATM上傳輸VLAN信息的一種IEEE標(biāo)準(zhǔn)方法。

幀標(biāo)記和封裝方法
表示方法封裝標(biāo)記（插入幀內(nèi)）介質(zhì) 幀長(zhǎng)度
ISL 是否以太網(wǎng) 1518/1548
802.1Q 否是以太網(wǎng) 1518/1522
802.10 否否 FDDI
LANE 否否 ATM

Baby Giant Frame（小巨人幀）
原始以太網(wǎng)幀大小不超過(guò)1518字節(jié)，假如一個(gè)最大長(zhǎng)度的幀是通過(guò)802.1Q來(lái)標(biāo)記得，那么這個(gè)幀變成1522字節(jié)，這種幀被成為小巨人幀。

Catalyst監(jiān)控引擎版本干道協(xié)議支持自動(dòng)協(xié)商的Trunk協(xié)議
4.2及以后 DTP動(dòng)態(tài)干道協(xié)議 ISL和IEEE 802.1Q
4.1 DISL動(dòng)態(tài)干道交換機(jī)間鏈路 ISL，手工配置802.1Q
4.1以前同上 ISL，不支持手動(dòng)配置802.1Q
DTP協(xié)議為Cisco專(zhuān)有，它只能用于交換機(jī)之間的Trunk link，不能用于交換機(jī)和路由器之間的Trunk link。一般情況Trunk link狀態(tài)的端口每隔30s發(fā)送DTP幀，以便高速其它交換機(jī)。

快速以太網(wǎng)和Gbit以太網(wǎng)Trunk模式
On：永久設(shè)為T(mén)runk模式。
Off：永久設(shè)為非Trunk模式。
Desirable：讓端口主動(dòng)試圖將鏈路轉(zhuǎn)變?yōu)門(mén)runk。假如相鄰端口被設(shè)為On，Desirable，或Auto，該端口可以變?yōu)門(mén)runk端口。
Auto：讓端口主動(dòng)試圖將鏈路轉(zhuǎn)變?yōu)門(mén)runk。假如相鄰端口被設(shè)為On，Desirable，該端口可以變?yōu)門(mén)runk端口。
Nonegotiate：端口永久設(shè)為T(mén)runk模式，但不生成DTP幀，必須手工地把相鄰端口配置為T(mén)runk端口來(lái)建立一條Trunk link。

Trunk中的VLAN
VLAN1：缺省
VLAN2：第一個(gè)VLAN
VLAN1002：FDDI-Default
VLAN1003：Token-Ring-Default
VLAN1004：FDDInet-Default
VLAN1005：TRnet-default

VTP三種操作模式
1. 服務(wù)器：缺省模式，可建立、修改和刪除VLAN，向同一域中的交換機(jī)通告它的VLAN配置，并接受從Trunk鏈路上收到的通告與其它交換機(jī)進(jìn)行VLAN配置的同步。
2. 客戶(hù)機(jī)：行為同服務(wù)器模式，但不能建立、改變或刪除VLAN；傾聽(tīng)vlan信息，使得z自己的vlan配置信息保持與vtp服務(wù)器同步；也可以把vlan信息轉(zhuǎn)發(fā)給其它交換機(jī)。
3. 透明：不參與VTP。在vtp v2中，配置為透明模式的交換機(jī)將在Trunk端口上轉(zhuǎn)發(fā)VTP信息以保證其他交換機(jī)接收到更新信息，但這些交換機(jī)將不修改自己的數(shù)據(jù)庫(kù)，也不發(fā)送指示VLAN狀態(tài)發(fā)生變化的更新信息。Vtp v1中，透明模式的交換機(jī)也不轉(zhuǎn)發(fā)vtp信息到其它交換機(jī)。需要注重的是透明模式下的交換機(jī)可以在本地創(chuàng)建vlan，但這些vlan的變化信息不會(huì)擴(kuò)散到其它交換機(jī)。

三種形式的vtp通告：
Summary advertisements—vtp服務(wù)器發(fā)送，每隔300s。
Subset advertisements—vtp服務(wù)器發(fā)送。如vlan增刪、vlan的激活和掛起。
Advertisement requests from clients—vtp客戶(hù)發(fā)送，vtp服務(wù)器回復(fù)Summary advertisements和Subset advertisements。兩種原因促使vtp客戶(hù)要發(fā)送請(qǐng)求：一種是從Subset advertisements了解到vtp狀態(tài)發(fā)生變化；另一種是從Summary advertisements獲悉有更高的vtp version number，

Vtp v2有別于v1的一些特性：
1. Version-dependent transparent mode（與版本相關(guān)的透明模式）：v1要先檢查域名和版本，假如相同在轉(zhuǎn)發(fā)；v2則不檢查版本。
2. Consistency checks（一致性檢查）
3. Token Ring support（令牌環(huán)支持）：只有v2支持。
4. Unrecognized Type-Length-value (TLV) support（不熟悉類(lèi)型長(zhǎng)度值的支持）

Verify VTP status
Cisco IOS：show vtp status
Cisco set-based：show vtp domain

第四章治理冗余鏈路
網(wǎng)橋ID共8個(gè)字節(jié)，有兩部分組成：
1. 2個(gè)字節(jié)的優(yōu)先級(jí)域：優(yōu)先級(jí)低的為根橋，缺省優(yōu)先級(jí)為32768，即0x8000。缺省地，所有Cisco交換機(jī)地優(yōu)先級(jí)是相同的。
2. 6個(gè)字節(jié)MAC地址域：即交換機(jī)或網(wǎng)橋的MAC地址。所以缺省情況下，具有最低MAC地址的交換機(jī)將成為根橋。

選擇根橋（Root Bridge）
1. 自動(dòng)選擇：STP自動(dòng)選擇具有最低網(wǎng)橋ID的交換機(jī)為根橋。
2. 手工確定：原則是靠近網(wǎng)絡(luò)的中心。所以一般根橋設(shè)在一臺(tái)分布層的交換機(jī)而不是接入層交換機(jī)。建議手工設(shè)置來(lái)確定根橋。

確定到根橋的最佳路徑
STP協(xié)議利用BPDU中三個(gè)Field――路徑開(kāi)銷(xiāo)、網(wǎng)橋ID、端口優(yōu)先級(jí)/端口ID來(lái)確定到根橋的最佳路徑順序：
1. 路徑開(kāi)銷(xiāo)：所有端口開(kāi)銷(xiāo)的綜合為路徑開(kāi)銷(xiāo)，路徑開(kāi)銷(xiāo)低的端口為轉(zhuǎn)發(fā)端口。
2. 網(wǎng)橋ID：同一個(gè)交換機(jī)上有兩條鏈路達(dá)到根橋（如平行鏈路），那么最佳路徑就由下面的端口優(yōu)先級(jí)或端口ID決定了。
3. 端口優(yōu)先級(jí)/端口ID：端口優(yōu)先級(jí)范圍0～63，缺省值32，具有低優(yōu)先級(jí)的端口將轉(zhuǎn)發(fā)數(shù)據(jù)。假如端口優(yōu)先級(jí)相同，端口ID則是決定因素，低端口ID將轉(zhuǎn)發(fā)數(shù)據(jù)。
BPDU：Bridge Protocol Data Unit

選擇指定的Root Port
一個(gè)交換機(jī)偵聽(tīng)所有Active Port的BPDU，假如收到不止一個(gè)BPDU，那么說(shuō)明存在這臺(tái)交換機(jī)到根橋之間的冗余鏈路，需要確定哪一個(gè)是Root Port。
交換機(jī)中某個(gè)端口到達(dá)根橋的路徑開(kāi)銷(xiāo)最小，那么這個(gè)端口為Root Port。假如路徑開(kāi)銷(xiāo)相等，那么由端口優(yōu)先級(jí)/端口ID決定。Root Port就處于Forwarding狀態(tài)，其它冗余端口處于Blocking狀態(tài)。

EtherChannel
快速以太通道技術(shù)（Fast EtherChannel）和吉比特以太通道（Gigabit EtherChannel）使平行鏈路可以被生成樹(shù)看成是一條物理鏈路。
以太通道技術(shù)為鏈路失效情況提供了冗余性，假如在通道中有一條鏈路失效，那么幾毫秒內(nèi)數(shù)據(jù)流被送到其它鏈路上，這種收斂變化對(duì)用戶(hù)來(lái)說(shuō)是透明的。
EtherChannel上可以實(shí)現(xiàn)負(fù)載平衡，以?xún)蓷l鏈路為例，假如源MAC和目的MAC最后一位異或后為0則從link0走，否則從link 1走。（也可以異或源和目的IP）

PAgP端口聚合協(xié)議（Port Aggregation Protocol）
給EtherChannel增添了新的功能，有利于以太通道的自動(dòng)建立。但也有些限制：
1. PAgP不會(huì)在動(dòng)態(tài)VLAN端口上建立聚合。因?yàn)閯?dòng)態(tài)VLAN可以強(qiáng)迫端口改為另一個(gè)VLAN。
2. PAgP要求通道中所有的端口同屬于一個(gè)VLAN，或者配置為T(mén)runk端口。
3. 假如改變了通道中一個(gè)端口的速率或者單雙工方式，那么通道中所有端口都設(shè)為這一速率或單雙工方式。

PortFast
缺省情況下，假定交換機(jī)的所有端口都將與交換機(jī)或者網(wǎng)橋連接，所以所有端口都運(yùn)行STP算法，即假如網(wǎng)絡(luò)發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待50s。
而事實(shí)上許多端口會(huì)直接連接工作站或者服務(wù)器。所以我們采用PortFast可以讓這些端口節(jié)省Listening和Learning狀態(tài)的時(shí)間，立即進(jìn)入Forwarding狀態(tài)。
需要注重的是：PortFast僅僅讓端口在網(wǎng)絡(luò)環(huán)境變化的情況下直接進(jìn)入Forwarding狀態(tài)。而端口仍然運(yùn)行STP協(xié)議，所以假如檢測(cè)到環(huán)路，端口仍將由Forwarding狀態(tài)變成Blocking狀態(tài)。

UplinkFast（上行速）
背景資料：STP確保了在拓?fù)渥兓那闆r下沒(méi)有環(huán)路產(chǎn)生，但收斂速度慢。一些實(shí)時(shí)以及對(duì)帶寬敏感的網(wǎng)絡(luò)應(yīng)用是不能接受的。
STP收斂速度慢的原因是收斂算法需要化時(shí)間確定一條可替代的鏈路，缺省時(shí)間是50s，即20s（Blocking→Listening）＋15s（Listening→Learning）＋15s（Learning→Forwarding）。
解決的方法是一旦發(fā)現(xiàn)了線路Blocking，馬上切換到Forwarding，不要經(jīng)過(guò)Listening和Learning階段。這就是UplinkFast，切換時(shí)間可以在2s～4s。
UplinkFast被設(shè)計(jì)應(yīng)用在接入層交換機(jī)。一般應(yīng)用兩條上行鏈路連接到分布層，一條是冗余鏈路。
UplinkFast激活一個(gè)快速重新配置的條件：
1. 在交換機(jī)上必須啟動(dòng)了UplinkFast功能；
2. 至少有一個(gè)處于Blocking的端口（即有冗余鏈路）；
3. 鏈路失效必須發(fā)生在Root Port上。
交換機(jī)啟動(dòng)了UplinkFast后，由于提高了交換機(jī)上所有端口的路徑開(kāi)銷(xiāo)，所以不適合作為根橋。

BackboneFast
Cisco專(zhuān)有。用在核心層和主干網(wǎng)絡(luò)在中。設(shè)置命令沒(méi)有基于IOS的，只有基于Set命令的。

Inferior BPDU（下級(jí)BPDU）
當(dāng)指定網(wǎng)橋失去了與根橋的連接時(shí)，會(huì)就發(fā)出Inferior BPDU，表明自己是新的根橋。這樣對(duì)方的交換機(jī)就會(huì)在自己的Root Port和原本處于Blocking狀態(tài)的端口都收到BPDU了。

調(diào)和STP和VLAN的幾種主要方法：
1. PVST按VLAN生成樹(shù)――Cisco專(zhuān)用的實(shí)施方法，需要ISL封裝以進(jìn)行工作。
2. CST公共生成樹(shù)――IEEE 802.1Q對(duì)于VLAN和生成樹(shù)的解決方案。
3. PVST+增強(qiáng)PVST――Cisco專(zhuān)用實(shí)施方法，使CST信息可以正確地傳進(jìn)PVST。

PVST和CST的區(qū)別
PVST CST
特點(diǎn) 每個(gè)VLAN建立一個(gè)獨(dú)立生成樹(shù)實(shí)例所有VLAN運(yùn)行單個(gè)生成樹(shù)實(shí)例，BPDU信息運(yùn)行在VLAN1上
優(yōu)點(diǎn) 1. 減小了生成樹(shù)拓?fù)浣Y(jié)構(gòu)的總體大小
2. 改進(jìn)擴(kuò)展性并減少了收斂時(shí)間
3. 提供更快的恢復(fù)能力和更高可靠性 1. BPDU數(shù)少，所以占用帶寬少
2. 交換機(jī)上處理開(kāi)銷(xiāo)少
缺點(diǎn) 1. 交換機(jī)為VLAN支持生成樹(shù)的維護(hù)開(kāi)銷(xiāo)
2. Trunk link上為各個(gè)VLAN支持BPDU的帶寬開(kāi)銷(xiāo) 1. 只有一個(gè)根橋，對(duì)某些設(shè)備可能存在此優(yōu)化路徑
2. 生成樹(shù)拓?fù)浣Y(jié)構(gòu)大，可能導(dǎo)致更長(zhǎng)的收斂時(shí)間和更頻繁的重新配置

第五章 VLAN間路由選擇
多層交換實(shí)現(xiàn)
1. 外部路由器＋裝配了NFFC和NFFC II卡的Catalyst 5000交換機(jī)結(jié)合起來(lái)使用。
I. 路由器接口要么有多個(gè)接口連接不同的子網(wǎng)，要么在快速以太網(wǎng)端口上用ISL。
II. 路由器上軟件條件：運(yùn)行MLSP協(xié)議和Cisco IOS 11.3.4以上版本。
2. 采用第三層交換機(jī)：第二層交換和第三層路由功能集成在一個(gè)機(jī)箱中。
I. 5000系列交換機(jī)：配有RSM模塊（假如在5000上沒(méi)有裝配N(xiāo)FFC，那么只能視為第三層的路由器，而不是第三層的交換）
或RSFC模塊（是Supervisor Engine IIG和IIIG的子卡）
II. 6000/6500系列：裝配MSM模塊
裝配MSFC

配置內(nèi)部路由處理器VLAN接口
1. 指定VLAN接口（除0或1之外），RSM可以支持多達(dá)256個(gè)VLAN選擇路由，ISL自動(dòng)封裝。
說(shuō)明：
VLAN0用于RSM和5000交換機(jī)之間的通信，映射到Channel 0，用戶(hù)接觸不到。
VLAN1是5000交換機(jī)的缺省VLAN，映射到Channel 1。
其它VLAN被映射到以上兩個(gè)通道中的一個(gè)，也可以被映射到某個(gè)特定通道以均衡每條通道的負(fù)載。
2. 為該接口分配一個(gè)IP地址，第一次設(shè)定時(shí)，要用no shutdown打開(kāi)這個(gè)接口。
例如：
interface vlan 11（路由器上配置的接口號(hào)與5000上配置的VLAN號(hào)相對(duì)應(yīng)）
ip address 172.16.41.141 255.255.255.0

配置外部路由處理器VLAN接口
1. 指定子接口，或者物理接口對(duì)應(yīng)一個(gè)子網(wǎng)
2. 定義VLAN封裝
3. 為子接口分配一個(gè)IP地址
例如：
interface fastethernet 0/1.2（子接口號(hào)不一定要對(duì)應(yīng)VLAN號(hào)，但實(shí)踐中為了便于治理，經(jīng)常把子接口號(hào)定義成VLAN號(hào)一樣）
encapsulation isl 20
ip address 172.16.20.3 255.255.255.0

設(shè)定缺省網(wǎng)關(guān)
基于Cisco IOS：ip default-gateway ip-address
基于Set：set ip route destination gateway metric

檢驗(yàn)缺省網(wǎng)關(guān)
基于Cisco IOS：show ip
基于Set：show ip route

分布層交換機(jī)治理接口的設(shè)定步驟
1. 指定治理接口sc0的IP地址；
2. 指定治理接口所屬的vlan，缺省為vlan1；
3. 指定治理接口的缺省網(wǎng)關(guān)。
sc0是Switch management interface
例如：
set interface sc0 202.121.48.2 255.255.255.192
set interface sc0 vlan1
set ip route default 202.121.48.63
set interface sc0 up
可以歸并為二條命令
set interface sc0 1 202.121.48.2 255.255.255.192 202.121.48.63
set interface sc0 up

顯示sc0和sl0的當(dāng)前配置
show interface
sl1是將console port配置成通過(guò)slip可以治理交換，也需要設(shè)置ip地址以及目的ip地址。是一種帶外治理（共兩種：console port， slip－aux）。

第六章通過(guò)多層交換增強(qiáng)IP路由選擇性能
Cisco多層交換包括的組件：
1. MLS-SE多層交換引擎：Catalyst 2926G，配了NFFC或者NFFC II的Catalyst 5000。NFFC是一塊可以升級(jí)Supervisor Engine的子卡，讓Supervisor Engine支持基于ASIC的3層交換。
2. MLS-RP多層交換路由處理器：如RSM（Router Switch Module），或者一臺(tái)外部路由器，如7500、7200、4500、4700、8500等支持多層交換的路由器。
3. MLSP多層交換協(xié)議：運(yùn)行于MLS-SE和MLS-RP之間，以啟用多層交換功能。實(shí)際上是MLS-RP發(fā)送組播Hello消息（缺省發(fā)送時(shí)間間隔15s）給MLS-SE，通知內(nèi)容：
I. 各個(gè)VLAN上使用的MAC地址；
II. 路由信息/訪問(wèn)列表發(fā)生了改變；
幾個(gè)英文縮寫(xiě)解釋?zhuān)?
MLS-SE：Multilayer Switching-Switching Engine
MLS-RP：Multilayer Switching-Route Processor
MLSP：Multilayer Switching Protocol
NFFC：NetFlow Feature Card

啟用MLS功能
1. 啟用命令為：mls rp [ip│ipx]。Cisco IOS 12.0開(kāi)始，MLS可對(duì)IPX數(shù)據(jù)包選擇路由。
2. 在內(nèi)部或者外部MLS-RP上都要執(zhí)行啟用命令使得路由器啟用MLS功能。
3. 不僅在全局配置模式下，而且在接口配置模式下都要執(zhí)行啟用命令。

使MLS失效的命令
1. no ip routing
2. ip security
3. ip tcp compression-connections
4. clear ip-route

支持MLS的交換機(jī)
1. 當(dāng)5000系列交換機(jī)裝配了RSFC（Route Switch Feature Card），或者RSM（Route Switch Module）――Supervisor Engine必須有NFFC和NFFC II，能支持MLS（Multi-Layer Switch）。
2. 當(dāng)6000系列交換機(jī)裝配了MSFC（Multilayer Switch Feature Card）和MSM（Multilayer Switch Module），能支持MLS（Multi-Layer Switch）。

MSFC――Multilayer Switch Feature Card
Catalyst6000的多層交換功能卡(MSFC)可實(shí)現(xiàn)以線速進(jìn)行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）, IPX 和IP-multicast 路由，同時(shí)支持AppleTalk, DecNet, Vines和Cache Engine。

MLS的Cache項(xiàng)
1. 保存在MLS-SE組件的Cache中。
2. 候選MLS Cache項(xiàng)缺省壽命為5s，即假如在MLS-SE的Cache中找不到相匹配的項(xiàng)目，就發(fā)給MLS-RP。
3. 每一個(gè)MLS Cache項(xiàng)目的缺省壽命為256s，這個(gè)壽命值可以修改，修改的壽命時(shí)間總是8的倍數(shù)，取值范圍8～2032。
4. 假如RP路由表發(fā)生變化、禁用MLS或者Access list變化，都會(huì)導(dǎo)致MLS Cache清除。

流掩碼（Flow Mask）模式
用來(lái)決定將數(shù)據(jù)包中多少信息放入MLS緩存中，而不是用來(lái)將數(shù)據(jù)包與MLS緩存中現(xiàn)有條目進(jìn)行比較的。MLS-SE支持三種流掩碼模式：
1. 目的IP（沒(méi)有訪問(wèn)列表，缺?。鹤畈痪唧w的流掩碼（The least specific flow mask mode）。
2. 源-目的IP（標(biāo)準(zhǔn)訪問(wèn)列表）
3. IP流（擴(kuò)展訪問(wèn)列表）：最具體的流掩碼（The most specific flow mask mode ）。
在mls-se上設(shè)置流掩碼：set mls flow [destination│destination-source│full]

The MLS-SE supports only one flow mask for all MLS-RP’s connected to the MLS-SE. If the MLS-SE receives messages indicating different flow masks from different MLS-RP’s the MLS-SE will set it’s flow mask to the most specific flow mask.
MLS-RP’s running IOS 11.3 or later do not automatically support input access lists. To incorporate input access-lists the global configuration command ’mls rp ip input-acl’ must be configured.

第 3 樓第七章為容錯(cuò)路由選擇配置HSRP
冗余性網(wǎng)絡(luò)的路由問(wèn)題：
1. 缺省網(wǎng)關(guān)：缺省網(wǎng)關(guān)失效，工作站無(wú)法向別的子網(wǎng)發(fā)送數(shù)據(jù)包。
2. 代理ARP：路由器失效，要么另申請(qǐng)一個(gè)ARP請(qǐng)求找新的路由器，要么重新啟動(dòng)?？傊瑫?huì)造成一段時(shí)間內(nèi)源與目的不能通信。
3. 使用RIP：拓?fù)渥兓筮m應(yīng)很慢。
4. ICMP路由發(fā)現(xiàn)協(xié)議（簡(jiǎn)稱(chēng)IRDP）：缺省Cisco不啟用，啟用命令ip irdp。
解決的辦法就是HSRP。
注：Win 9X中使用Proxy ARP，應(yīng)該把缺省網(wǎng)關(guān)設(shè)置為自己本身的IP地址。

備份組可以有以下成員：
1. Active路由器（一臺(tái)）：發(fā)送Hello消息，轉(zhuǎn)發(fā)發(fā)送到Virtual路由器的數(shù)據(jù)包。
2. Standby路由器（一臺(tái)）：發(fā)送Hello消息，監(jiān)視HSRP運(yùn)行狀態(tài)。
3. Virtual路由器（一臺(tái)）：配有自己的IP地址和MAC地址，不實(shí)際轉(zhuǎn)發(fā)數(shù)據(jù)包。
4. Other路由器（可以多臺(tái)）：只檢測(cè)Hello消息，不作應(yīng)答。Active和Standby路由器均失效，則他們來(lái)競(jìng)爭(zhēng)Active和Standby路由器。缺省地，MAC地址最小的路由器成為Active路由器。

HSRP消息格式
HSRP消息被封裝在UDP數(shù)據(jù)包中的數(shù)據(jù)部分，使用UDP端口號(hào)1985。
HSRP消息使用的目的地址是組播地址是224.0.0.2（即所有路由器），生存時(shí)間TTL為1。
（一）三種消息類(lèi)型
1. Hello消息：每3秒發(fā)送一次，證實(shí)Active或Standby路由器正常運(yùn)行。
2. Coup（政變）消息：表明路由器想成為Active路由器。
3. Resign（辭職）消息：表明路由器不想當(dāng)Active路由器。
（二）兩個(gè)時(shí)間域
Hellotime：路由器發(fā)送Hello消息之間的時(shí)間間隔，缺省值3秒，取值范圍1～255。
Holdtime：當(dāng)前Hello消息被認(rèn)為有效的時(shí)間，一般最少是Hellotime的3倍，缺省10秒，取值范圍1～255。
命令：standby group-number timers hellotime holdtime

HSRP組：
1. 多個(gè)HSRP組可能同時(shí)存在于一個(gè)局域網(wǎng)上，在任何局域網(wǎng)上最多只可能有255個(gè)備份組。
2. 每個(gè)VLAN子網(wǎng)配置一個(gè)單獨(dú)的HSRP組。
3. 缺省HSRP組的號(hào)碼是0。
4. HSRP組中路由器的缺省優(yōu)先級(jí)為100。
5. 假如一個(gè)末端工作站對(duì)虛擬路由器的IP地址發(fā)送一個(gè)ARP請(qǐng)求，那么Active將用Virtual路由器的MAC地址進(jìn)行回答。

查看虛擬路由器的IP地址和MAC地址地兩種方法：
1. show ip arp
2. show standby
Ethernet3 - Group 1
Local state is Standby, priority 100
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.898
Hot standby IP address is 202.121.49.251 configured
Active router is 202.121.49.250 eXPires in 00:00:08
Standby router is local
Standby virtual mac address is 0000.0c07.ac01
shtu-4500#

虛擬路由器的MAC地址組成：
1. 廠商ID――構(gòu)成MAC地址的前3個(gè)字節(jié)，如Cisco為0000.0c。
2. HSRP編碼――即HSRP虛擬MAC地址，總是07.ac。
3. 組ID――HSRP組編號(hào)，從0~255正好為一個(gè)字節(jié)。前面定義的HSRP組編號(hào)為01。

啟用HSRP
interface Ethernet3
standby 1 ip 202.121.49.251

Trunk link上配置HSRP
通過(guò)ISL上配置HSRP，可以消除單點(diǎn)失效導(dǎo)致數(shù)據(jù)流中斷的情況，為子網(wǎng)和VLAN間提供負(fù)載均衡和冗余能力。應(yīng)該完成的任務(wù)：
1. 定義封裝格式；
2. 定義IP地址（是指給子接口設(shè)定IP地址）；
3. 啟用HSRP功能。

HSRP的6種狀態(tài)：
1. Initial：起始狀態(tài)，表明HSRP還沒(méi)有運(yùn)行。
2. Learn：等待來(lái)自Active路由器的消息。
3. Listen：除Active和Standby路由器之外的其他路由器都保持傾聽(tīng)狀態(tài)。
4. Speak：周期性發(fā)送Hello消息，參與Active和Standby路由器的競(jìng)選。
5. Standby：HSRP中有且只有一個(gè)備份路由器。
6. Active：HSRP中有且只有一個(gè)Active路由器。

Active和Standby路由器的產(chǎn)生：
1. 當(dāng)優(yōu)先級(jí)不同的兩臺(tái)路由器進(jìn)行比較時(shí)，有較高優(yōu)先級(jí)的路由器是Active或Standby。
2. 假如兩臺(tái)路由器的優(yōu)先級(jí)相同，那么有更高IP地址的路由器占先。
3. 假如Active路由器失效，Standby路由器將接替作為Active路由器。
4. 假如Standby路由器變成了Active路由器，那么從其它路由器中選擇一個(gè)作為備份路由器。
5. 假如Active路由器失效后，想重新奪回由備份路由器接替Active路由器的位置，必須設(shè)置preempt占先權(quán)。

HSRP Tracking
當(dāng)一個(gè)被跟蹤接口變成不可用時(shí)，路由器的HSRP優(yōu)先級(jí)將降低。所以HSRP Tracking減少了主接口不可用的路由器仍保持Active路由器的可能性。

理論上Route Processor能支持32650個(gè)子接口。
QQread.com 推出各大專(zhuān)業(yè)服務(wù)器評(píng)測(cè) Linux服務(wù)器的安全性能 SUN服務(wù)器 HP服務(wù)器 DELL服務(wù)器 IBM服務(wù)器聯(lián)想服務(wù)器浪潮服務(wù)器曙光服務(wù)器同方服務(wù)器華碩服務(wù)器寶德服務(wù)器
第八章多點(diǎn)廣播綜述
一些Well-known的D類(lèi)地址
范圍：224.0.0.0~239.255.255.255
D類(lèi)地址目的
224.0.0.1 子網(wǎng)上的所有主機(jī)
224.0.0.2 子網(wǎng)上的所有路由器
224.0.0.4 所有距離矢量多點(diǎn)廣播路由選擇協(xié)議DVMRP路由器
224.0.0.5 所有開(kāi)放最短路徑優(yōu)先OSPF路由器
224.0.0.6 所有OSPF指定路由器（Designated Router）
224.0.0.9 所有RIP2路由器
224.0.0.13 所有協(xié)議獨(dú)立多點(diǎn)廣播PIM路由器

IGMP
IGMP――標(biāo)準(zhǔn)協(xié)議治理組播在路由口之間的傳送。但這個(gè)協(xié)議存在一個(gè)問(wèn)題：假如設(shè)置一臺(tái)交換機(jī)中的一個(gè)VLAN可以接受組播數(shù)據(jù)，那么這個(gè)VLAN中的所有工作站都將收到Multicast Stream。
IGMP用IP數(shù)據(jù)包（Packet）來(lái)傳輸有關(guān)Multicast的消息，Packet由一個(gè)20字節(jié)IP Header和一個(gè)8字節(jié)長(zhǎng)度的IGMP消息。

CGMP
1. Cisco專(zhuān)有協(xié)議。為避免IGMP協(xié)議帶來(lái)的問(wèn)題，控制端口上的帶寬，控制Multicast Stream送到需要的端口上。
2. CGMP的基礎(chǔ)是：IP多點(diǎn)廣播路由器可看到所有的IGMP數(shù)據(jù)包，因此能夠通知所有交換機(jī)（利用2層Well-known地址）哪些主機(jī)何時(shí)加入和脫離多點(diǎn)廣播組。交換機(jī)正是利用這些信息構(gòu)建一張轉(zhuǎn)發(fā)表的。
3. CGMP是基于Client/Server模型的。路由器擔(dān)任CGMP服務(wù)器角色，交換機(jī)是它的Client。

IGMPv1和IGMPv2的定義的Messages
1. Host Membership Report主機(jī)成員報(bào)告消息：主機(jī)發(fā)送這個(gè)Message加入一個(gè)Multicast組；
2. Group Specific Query：進(jìn)行組成員查詢(xún)，由查詢(xún)者路由器發(fā)出。假如網(wǎng)段上有多臺(tái)路由器啟動(dòng)了Multicast功能，經(jīng)過(guò)選舉后，隨后IP地址最低的路由器發(fā)查詢(xún)信息（Message中的組地址為0）。
查詢(xún)時(shí)間間隔缺省60s，可用ip igmp query-interval命令調(diào)整。
3. Group Leave Message：脫離一個(gè)組，由主機(jī)發(fā)出。IGMPv1沒(méi)有使用脫離技術(shù)，假如路由器在一定數(shù)量的查詢(xún)消息后沒(méi)有接收到某個(gè)組的任何成員的報(bào)告消息，就認(rèn)為這個(gè)接口上已經(jīng)沒(méi)有這個(gè)組的成員了。

Multicast組的成員查詢(xún)
IGMPv1：利用報(bào)告抑制技術(shù)（Report Suppression），設(shè)定一個(gè)倒計(jì)時(shí)的定時(shí)器，初始值在10s內(nèi)隨機(jī)取一個(gè)，當(dāng)?shù)褂?jì)時(shí)到0時(shí)，發(fā)送成員報(bào)告消息（TTL=1）。
IGMPv2：在Message格式中多了一個(gè)最大回應(yīng)時(shí)間（Maximum Response Time，缺省值10秒），與隨機(jī)初始值的倒計(jì)時(shí)定時(shí)器一起配合進(jìn)行。假如組成員收到了一個(gè)特定組查詢(xún)，而這是定時(shí)器的剩余值大于MRT，那么重新設(shè)個(gè)隨機(jī)值。當(dāng)計(jì)時(shí)器當(dāng)時(shí)后，即發(fā)出一個(gè)成員報(bào)告消息（TTL=1）。

分布樹(shù)（Distribution Tree）構(gòu)造技術(shù)
分布樹(shù)在數(shù)據(jù)源所在的子網(wǎng)和每個(gè)含有Multicast成員的子網(wǎng)之間指定了一條唯一的路徑。這樣一個(gè)分布樹(shù)是由指定路由器（DR――用來(lái)發(fā)送路由查詢(xún)信息）構(gòu)造的。
有兩種構(gòu)造技術(shù)：
1. Source-specific樹(shù)：利用反向路徑轉(zhuǎn)發(fā)RPF技術(shù)構(gòu)造一棵基于數(shù)據(jù)源的樹(shù)。
2. Center-specific樹(shù)：或稱(chēng)共享樹(shù)，用共享樹(shù)算法建立一棵組成員共享的傳送樹(shù)。同一個(gè)組的Multicast Stream都通過(guò)同一個(gè)傳送樹(shù)進(jìn)行發(fā)送和接收。

Dense-mode路由選擇協(xié)議：
距離矢量多點(diǎn)廣播路由協(xié)議（DVMRP） 1. 廣泛應(yīng)用于Internet的多點(diǎn)廣播主干上（Mbone）。
2. 采用反向路徑擴(kuò)散法（RPF－Reserve Path Flooding）。即除了數(shù)據(jù)包來(lái)的路徑不發(fā)，其余的路徑都發(fā)送。
多點(diǎn)廣播開(kāi)放最短路徑優(yōu)先（MOSPF） 1. 應(yīng)用在單個(gè)路由域內(nèi)，如一個(gè)組織控制的網(wǎng)絡(luò)。
2. 用OSPF作為伴隨的單點(diǎn)傳送路由協(xié)議，多點(diǎn)廣播信息包含在OSPF的鏈路狀態(tài)通告中。
3. Cisco不支持MOSPF。
獨(dú)立于協(xié)議的多點(diǎn)廣播密集模式（PIM DM） 1. 與DVMRP相似。即將數(shù)據(jù)包擴(kuò)散到所有其它的路由器，然后刪除沒(méi)有組成員連接的路由器。
2. 比較適合于有較多成員屬于每個(gè)多點(diǎn)廣播組的場(chǎng)合。

Sparse-mode路由選擇協(xié)議：
基于核心的樹(shù)
（CBT－ Core-based Tree） 1. 構(gòu)造一棵共享樹(shù)，多點(diǎn)廣播數(shù)據(jù)流的發(fā)送和接受都通過(guò)同一棵樹(shù)，與源無(wú)關(guān)。
2. 共享樹(shù)中有一個(gè)核心路由器，路由器和主機(jī)通過(guò)向核心發(fā)送加入請(qǐng)求來(lái)加入到樹(shù)中。假如加入過(guò)程中碰到了中間路由器已經(jīng)加入到了這棵樹(shù)，那么這一臺(tái)路由器負(fù)責(zé)給以確認(rèn)消息。
3. 好處：節(jié)省了在各路由器中的多點(diǎn)廣播狀態(tài)信息總量。
獨(dú)立于協(xié)議的多點(diǎn)廣播稀疏模式
（PIM SM） 1. 定義了一個(gè)匯聚點(diǎn)RP（Rendezvous Point），發(fā)送方要發(fā)送數(shù)據(jù)，先發(fā)送到匯聚點(diǎn)；接收方想接收數(shù)據(jù)，也到匯聚點(diǎn)登記。
2. 一旦建立起了從發(fā)送方向匯聚點(diǎn)再到接收方的數(shù)據(jù)流，路徑中的路由器自動(dòng)優(yōu)化路徑以取消不必要的Hop。

PIM DM非常有用的情形：
1. 發(fā)送方和接受訪彼此接近（Source and receivers close together）；
2. 發(fā)送方很少，接受方很多（Few sources and many receivers）；
3. Multicast數(shù)據(jù)流的數(shù)量很大（High volume of multicast traffic）；
4. Multicast數(shù)據(jù)流是經(jīng)常性的（Constant multicast data streams）。

PIM SM非常有用的情形：
1. 在一個(gè)Multicast組中有較少的接受方（Few receivers in each group）；
2. 數(shù)據(jù)流的類(lèi)型是間歇性的（Intermittent multicast traffic）。

Scoping技術(shù)（設(shè)定Multicast分發(fā)范圍）
在園區(qū)網(wǎng)中，將高帶寬數(shù)據(jù)流限制在網(wǎng)絡(luò)中的某個(gè)局域網(wǎng)或區(qū)域內(nèi)對(duì)于限制或避免不必要的資源消耗是很要害的。具體的方法和Unicast一樣，控制Multicast數(shù)據(jù)包的TTL（IP協(xié)議缺省設(shè)置為255）。TTL值表示的范圍：
TTL門(mén)限值含義
0 限制在本主機(jī)，不會(huì)通過(guò)任何接口發(fā)出。
1 限制在同一子網(wǎng)，不被路由器轉(zhuǎn)發(fā)。
15 限制在同一組織
63 限制在同一地區(qū)
127 全球
191 全球，有限的帶寬
255 在范圍上沒(méi)有限制，全球

第九章配置IP多點(diǎn)廣播
啟用Multicast Routing兩個(gè)基本步驟：
1. 全局模式下配置ip multicast-routing啟用Multicast Routing（但接口上還是關(guān)閉的）；
2. 接口配置模式下配置ip pim dense-mode/sparse-mde/sparse-dense-mode。

多點(diǎn)廣播接口PIM模式
選項(xiàng) 描述
Dense-mode 1. 假設(shè)前提：所有其他路由器都想為一個(gè)Multicast組轉(zhuǎn)發(fā)Multicast數(shù)據(jù)包。若一臺(tái)路由器收到了Multicast數(shù)據(jù)包，但它沒(méi)有直接的組成員或PIM鄰居，那么它向數(shù)據(jù)源發(fā)送修剪（Prune）消息。于是后續(xù)的Multicast數(shù)據(jù)包就不會(huì)被擴(kuò)散到這臺(tái)路由器。
2. 在生成或更新Multicast路由表時(shí)，Dense-mode的接口總是被添加到路由表中。
Sparse-mode 假設(shè)前提：所有其他路由都不想為一個(gè)Multicast組轉(zhuǎn)發(fā)Multicast數(shù)據(jù)包。

Sparse-dense-mode 假如沒(méi)有檢測(cè)到RP（匯聚點(diǎn)）則按Dense-mode運(yùn)行，檢測(cè)到了RP點(diǎn)，則按Sparse-mode運(yùn)行。
PIM：Protocol Independent Multicast

OIlist外出接口表（Outgoing Interface List）
啟用了Multicast路由的路由器會(huì)維護(hù)一張Oilist表。根據(jù)這張表，路由器把Multicast數(shù)據(jù)包發(fā)送到表中列出的接口。
然而不同的PIM接口模式，決定了不同的Oilist表：
Dense-mode 1. 接口上偵聽(tīng)到一個(gè)PIM鄰居，那么這個(gè)接口被加入到Oilist表；
2. 接口上有一臺(tái)主機(jī)加入了一個(gè)Multicast組；
3. 接口本身被手工配置加入了一個(gè)組。
Sparse-mode 1. 下游路由器接受到周期性的加入消息，這個(gè)接口才被添加到Oilist表中；
2. 在該接口上有直接成員時(shí)。

顯示Multicast路由表實(shí)例：
shtu-4500>sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, C - Connected, L - Local, P - Pruned
R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT
X - Proxy Join Timer Running
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.254), 02:34:52/00:02:20, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:（就是OILIST）
FastEthernet0.21, Forward/Dense, 02:34:52/00:00:00

(*, 224.2.160.103), 2w0d/00:02:59, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 08:44:15/00:00:00

(202.121.49.199, 224.2.160.103), 00:00:36/00:02:23, flags: PCT（202.121.49.199是tv.shtu.edu.cn）
Incoming interface: FastEthernet0.10, RPF nbr 0.0.0.0
Outgoing interface list: Null

(*, 224.0.1.40), 2w0d/00:00:00, RP 0.0.0.0, flags: DJCL
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.7, Forward/Dense, 3d03h/00:00:00

(*, 224.2.246.201), 08:51:44/00:02:59, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 08:51:44/00:00:00

(202.121.49.199, 224.2.246.201), 00:02:00/00:00:59, flags: PCT
Incoming interface: FastEthernet0.10, RPF nbr 0.0.0.0
Outgoing interface list: Null

(*, 224.0.1.24), 2w0d/00:02:17, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 3d03h/00:00:00

選擇指定路由器（Designated Router）
1. 選擇指定路由器只在多路訪問(wèn)局域網(wǎng)上是必需的。
2. 選擇指定路由器的過(guò)程對(duì)于PIM SM和PIM DM來(lái)說(shuō)都是相同的。
3. 選舉的目的：由指定路由器負(fù)責(zé)向所有局域網(wǎng)上的所有主機(jī)發(fā)送IGMP主機(jī)查詢(xún)消息。
4. 選擇指定路由器的規(guī)則：多路訪問(wèn)局域網(wǎng)中的PIM路由器定期發(fā)出PIM路由器查詢(xún)消息到該局域網(wǎng)。具有最高IP地址的PIM路由器成為該局域網(wǎng)的DR。
假如DR失效，那么局域網(wǎng)上的其它PIM路由器重新選舉一個(gè)新的DR。

啟用CGMP
1. 只能跟PIM一起使用，即不支持其他的組播路由協(xié)議。
2. 路由器接口上啟用CGMP命令ip cgmp，將觸發(fā)一個(gè)CGMP加入消息。
3. 使用show running來(lái)檢測(cè)是否在接口上啟用了CGMP。
4. 啟用了CGMP能夠讓交換機(jī)使用從路由器過(guò)來(lái)的Multicast信息。

配置匯聚點(diǎn)RP
1. 假如PIM配置為Sparse-mode，必須選擇一臺(tái)或多臺(tái)路由器作為匯聚點(diǎn)。
2. 匯聚點(diǎn)的IP地址必須配置在葉節(jié)點(diǎn)路由器（Leaf Router）上。葉節(jié)點(diǎn)路由器是直接與一個(gè)Multicast組成員或者M(jìn)ulticast消息發(fā)送方相連接的路由器。
QQread.com 推出各大專(zhuān)業(yè)服務(wù)器評(píng)測(cè) Linux服務(wù)器的安全性能 SUN服務(wù)器 HP服務(wù)器 DELL服務(wù)器 IBM服務(wù)器聯(lián)想服務(wù)器浪潮服務(wù)器曙光服務(wù)器同方服務(wù)器華碩服務(wù)器寶德服務(wù)器
第十章園區(qū)網(wǎng)訪問(wèn)控制
分布層上控制被發(fā)送到核心塊的路由信息的方法：
1. 路由概括Route Summarization：根據(jù)采用的路由選擇協(xié)議，從分布層向核心層發(fā)送一條交換區(qū)中所有可用路由得概括條目。
2. 分布列表Distribution List：用來(lái)指明分布層哪些路由通告到核心層。

幾種不同應(yīng)用的訪問(wèn)控制列表
1. Protocol access-group：用在接口上，對(duì)數(shù)據(jù)流治理，protocol是要治理的第三層協(xié)議。如ip協(xié)議。
2. Access-class：線路上應(yīng)用訪問(wèn)控制表，如虛擬終端線路。
3. Distribute-list：治理路由更新信息。決定哪些路由可被路由器學(xué)習(xí)到，哪些路由可被廣播出去。
4. Ipx output-sap-filter：治理服務(wù)更新信息。決定將廣播哪些服務(wù)信息。

訪問(wèn)控制列表應(yīng)用In和Out
ip access-group：可以應(yīng)用于進(jìn)入或外出的數(shù)據(jù)流上。In訪問(wèn)控制列表在數(shù)據(jù)包進(jìn)入接口、選擇路由之前，對(duì)它進(jìn)行檢查。Out訪問(wèn)控制列表在數(shù)據(jù)包選擇路由之后，離開(kāi)接口之前，對(duì)它進(jìn)行檢查。
Access-class：In指明誰(shuí)可以Telnet到這臺(tái)設(shè)備。Out指明當(dāng)用戶(hù)已登錄到網(wǎng)絡(luò)設(shè)備內(nèi)部時(shí)可以Telnet到哪里。

端口安全設(shè)置和檢查
1. 基于Set/CLI命令：set port security mod_num/port_num enable mac_address
show port mod_num/port_num
2. 基于IOS命令： port secure [max-mac-count maxinum_mac_count]
show mac-address-table security [type module/port]
maxinum_mac_count缺省值132，范圍1～132。
端口安全中進(jìn)行MAC地址鎖定有兩種方式：
1. MAC地址的靜態(tài)指定：治理員設(shè)置，比動(dòng)態(tài)學(xué)習(xí)的更安全，但治理工作量大。
2. MAC地址的動(dòng)態(tài)學(xué)習(xí)：在端口上第一個(gè)源MAC地址成為安全MAC地址。

設(shè)置console會(huì)話超時(shí)
Cisco IOS：exec-timeout minutes seconds
Set-based：time-out

switch的led代表什么狀態(tài)
一般情況，交換機(jī)的指示燈顏色有一定的規(guī)律：
1. 紅色（Red）：剛開(kāi)始初始化、不正常、禁用狀態(tài)。
2. 桔黃色（Orange）：處在引導(dǎo)過(guò)程中。
3. 綠色（Green）：正常

Link LED的含義：
1. 綠色（Green）：正常的鏈路信號(hào)；
2. 橙色（Orange）：端口被軟件關(guān)閉，端口不能使用，或者VLAN配置不正確；
3. 橙色并閃爍（Orange and Glint）：鏈路故障或端口硬件故障；
4. 關(guān)閉（Off）：無(wú)鏈路信號(hào)，原因可能遠(yuǎn)程節(jié)點(diǎn)尚未加電、電纜斷路、電纜連接錯(cuò)誤或遠(yuǎn)程節(jié)點(diǎn)/網(wǎng)卡有故障。

舉例：
假如指示燈顯示為Red，表示端口STP處于Blocking狀態(tài)。

5000系列交換機(jī)10/100模塊的端口速率指示燈（SP LED）含義：綠色表示端口速率100Mbps，假如工作在10Mbps，則SP LED不亮。

SPAN
Cisco switches have a Switched Port Analyzer (SPAN) feature enables you to monitor traffic on any port for analysis by a network analyzer device or RMON probe.
顯示SPAN信息
show span

填空題！by default,the catalyst switch software sends error messages to the console terminal enter the command you would use to check for error message if they are redirected to another destination.

Cisco IOS下，如Cisco 2924XL和Cisco 4500等。
答案：terminal monitor

Cisco 4000
Show ip cef [sum]
Show buffer
Show traffic
Sh int fa0 stat
Ip route-cache

Cisco 5000
show multicast route
show test
sh mbuff

Cisco 5000，RSM模塊占用槽口（要與NFFC搭配使用才支持多層交換），后來(lái)發(fā)展成為一塊子卡RSFC加入到引擎中。
Cisco 6000/6500，MSM模塊占用槽口，后來(lái)發(fā)展成作為一塊子卡MSFC加入到引擎中。

Cisco IOS精髓

CEF包括兩張表FIB和adject

上一篇：CISCO交換機(jī)VLAN配置思路

下一篇：65xx系列交換機(jī)配置(Native IOS)(10)