网络技术兴趣小组第三周课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络技术兴趣小组课件,湖南同德职业学院 实训中心501室,网络技术兴趣小组课件湖南同德职业学院 实训中心501,1,一、管理交换网络中的冗余链路,交换机的管理模式：备份链路、冗余链路,优点：健全性、稳定性、可靠性,缺点：环路问题（广播风暴、多帧复制、MAC地址表的不稳定、多个回路）,1.生成树协议与快速生成树协议（STP/RSTP）,概述,STP的全称是spanning-tree protocol,STP协议是一个二层的链路管理协议，它在提供链路冗余的同时防止网络产生环路，与VLAN配合可以提供链路负载均衡。即生成树协议提供一种控制环路的方法。采用这种方法，在连接发生问题的时候，你的以太网能够绕过出现故障的连接。生成树协议现已经发展为多生成树协议和快速生成树协议(RSTP,Rapid Spanning Tree Protocol,IEEE802.1W)。,生成树协议的主要功能有两个：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。,解决办法：,选择生成树协议，阻塞多余的冗余端口。,生成树协议的目的,：维持一个无回路的网络。,如果一个设备在拓扑中发现一个回路，它将阻塞一个或多个冗余的端口。当网络拓扑发变化时，生成树协议将重新配置交换机的各个端口以避免链接丢失或者出现新的回路。,一、管理交换网络中的冗余链路 交换机的管理模式：备份链路、冗,2,生成树端口状态：,Blocking(阻塞)20秒listening(监听)15秒learning(学习)15秒forwarding(转发),这样大约50秒的时间非根端口转变成为“根端口”或者变为“指定端口”开始转发数据。,快速生成树协议(RSTP),：,端口角色及状态：每个端口都在网络中扮演一个角色（Port Role）,用来体现在网络拓扑中的不同作用。,每个端口有3个状态（port state）来表示是否转发数据包，从而控制着整个生成树拓扑结构。,Discarding（丢弃）：,既不对收到的帧进行转发，也不进行源MAC地址学习,Learning（学习）：,不对收到的帧进行转发，但进行源MAC地址学习，这是个过度状态,Forwarding（转发）：,既对收到的帧进行转发，也进行源MAC地址的学习,RSTP协议在STP协议基础上做了三点重要改进，使得收敛速度快得多，由原来的50s减少为现在的约1s。,生成树端口状态：Blocking(阻塞)20秒lis,3,2.配置STP命令,SpanningTree的默认配置,协议的默认值是Disable（关闭STP）,STP Priority是32768,STP port Priority是128,可通过Spanning-tree reset命令让Spanning tree参数恢复到默认配置。,打开、关闭Spanning tree协议,交换机的默认状态是关闭Spanning tree协议,Switch(config)#Spanning-tree,注意：启动交换机的生成树（默认为MSTP）,Switch(config)#Spanning-tree MODE STP/RSTP,注意：将交换机生成树模式设置为STP/RSTP，即802.1d/802.1w。,如果用户要关闭Spanning tree协议，可用no Spanningtree全局配置命令进行设置。,2.配置STP命令,4,配置交换机优先级（Switch Priority）,设置交换机的优先级关系到整个网络中到底哪个交换机为根交换机，同是也关系到整个网络的拓扑结构。建议把核心交换机的优先级设得高些（数值小），这样有利于整个网络的稳定。,优先级的设置值有16个，都为“0”或“4096”的倍数(0-61440)，默认值为32768。,Switch(config)#Spanning-tree priority,如果要恢复到默认值，可用：,no Switch(config)#Spanning-tree priority全局配置命令进行设置。,配置端口优先级（Port Priority）,当有两个端口都连在一个共享介质上，交换机会选择一个高优先级（数值小）的端口进入forwarding状态，低优先级（数值大）的端口进入discarding状态。如果两个端口的优先级一样，就选端口号小的那个进入forwarding状态。,交换机端口的优先级的值有16个，都为“0”或“16”的倍数(0-240)，默认值为128。,Switch(configif)#Spanning-tree port-priority,STP、RSTP信息显示,Switch#show Spanning-tree (显示交换机生成树的状态),Switch#show Spanning-tree interface f 0/1(显示交换机接口F0/1的状态),配置交换机优先级（Switch Priority）,5,实训一：生成树协议STP/快速生成树协议RSTP的配置,拓扑图：,要求：,1.首先执行pc0 ping pc1，查看测试结果,2.再配置两台交换机的STP/RSTP配置，再pc0 ping pc1 t，再查看测试结果,3.分别断开两台链路中的一条，再pc0 ping pc1 t，再查看测试结果,实训一：生成树协议STP/快速生成树协议RSTP的配置拓扑图,6,命令清单：,(switch0)：S2960en,S2960#conf t,S2960(config)#spanning-tree,S2960(config)#spanning-tree mode stp/RSTP,S2960(config)#spanning-tree priority 4096（本条只在作为根交换机上配置）,S2960(config)#interface f0/23,S2960(config-if)#switchport mode trunk,S2960(config-if)#exit,S2960(config)#interface f0/24,S2960(config-if)#switchport mode trunk,S2960(config-if)#end,(switch0)：S2960en,S2960#conf t,S2960(config)#spanning-tree,S2960(config)#spanning-tree mode stp/RSTP,S2960(config)#interface f0/23,S2960(config-if)#switchport mode trunk,S2960(config-if)#exit,S2960(config)#interface f0/24,S2960(config-if)#switchport mode trunk,S2960(config-if)#end,命令清单：(switch0)：S2960en,7,2.以太网链路聚合,概述,链路聚合技术也称端口聚合，把多个物理接口捆绑在一起形成一个简单的逻辑接口，这个逻辑接口称为一个Aggregate Port(以下简称AP)，AP可以把多个端口的带宽叠加起来使用，比如全双工快速以太网端口形成的AP最大可以达到800Mb/s，或者千兆以太网接口形成的AP最大可以达到8Gb/s。并且链路聚合标准在点到点链路上提供了固有的、自动的冗余性。即可以实现均衡负载，并提供冗余链路。,AP根据报文的MAC地址或IP地址进行流量平衡，即把流量平均地分配到AP的成员链路中去。流量平衡可以根据源MAC地址、目的MAC地址或源IP地址/目的IP地址对进行。,配置过程,配置2层Aggregate Port（默认值）,创建AP：,（,config,）,#interface aggregateport n(n,为,AP,号,),将接口加入一个,AP,：,（,config-if,）,#port-group n(n,为,AP,号,),（如果这个,AP,不存在，则同时创建这个,AP,）,2.以太网链路聚合,8,例：将,2,层的以太网接口,0/1,和,0/2,配置成,2,层,AP1,成员,Switch#conf t,Switch(config)#interface range f 0/1 2,Switch(config-if-range)#port-group 1,Switch(config-if-range)#end,配置3层Aggregate Port,例：配置一个3层AP接口（AP3），并配置IP地址（192.168.1.1）,Switch#conf t,Switch(config)#interface aggretegateport 3,Switch(config-if)#no switchport,Switch(config-if)#ip address 192.168.1.1 255.255.255.0,Switch(config-if)#end,例：将2层的以太网接口0/1和0/2配置成2层AP1成员,9,显示Aggregate Port,switch#Show aggregateport port-number load-balance|summary,配置Aggregate Port的注意事项,组端口的速度必须一致,组端口必须属于同一个VLAN,组端口使用的传输介质相同,组端口必须属于同一层次，并与AP也要在同一层次,显示Aggregate Port,10,实训二：以太网链路聚合,拓扑图：,要求：,1.首先执行pc0 ping pc1，查看测试结果,2.再配置两台交换机的端口聚合配置，再pc0 ping pc1 t，再查看测试结果,3.分别断开两台链路中的一条，再pc0 ping pc1 t，再查看测试结果,实训二：以太网链路聚合 拓扑图：,11,命令清单：（两台交换机上都要做如下配置）,Switchen,Switch#conf t,Switch(config)#interface aggregateport 1,Switch(config-if)#switchport mode trunk(设置AG模式trunk),Switch(config-if)#exit,Switch(config)#interface range f0/1 2（进入接口0/1和0/2）,Switch(config-if-range)#port-group 1（配置接口0/1和0/2属于AG1）,Switch(config-if-range)#end,Switch#show aggregateport,命令清单：（两台交换机上都要做如下配置）,12,二、交换机的访问控制列表（ACL）,ACL(访问控制列表)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所采取的动作：允许,通过（permit）,或,拒绝通过（deny）,。用户可以把这些规则应用到特定交换机端口的,入口(in),或,出口(out),方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。,ACL是应用到交换机接口的指令列表，这些指令列表用来告诉交换机哪些数据包可以接收，哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。,基本原则：,1、按顺序执行，只要有一条满足，则不会继续查找,2、隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认的,3、任何条件下只给用户能满足他们需求的最小权限,4、不要忘记把ACL应用到端口上,标准ACL要尽量靠近目的端,扩展ACL要尽量靠近源端,二、交换机的访问控制列表（ACL）ACL(访问控制