一些比较基础的交换知识,STP、RSTP、MSTP挖个坑,后续可能会加上。
目录
IRF(Intelligent Resilient Framework)智能弹性架构
GVRP(GARP VLAN Register Protocol)802.1Q
port-security mac-address mac-address vlan vlan-id
port-security protect-action { protect |restrict|shutdown}
port-security mac-address sticky
接口学的MAC在同一VLAN其它接口上也学到,后学到的MAC表项会覆盖原有表项
通过数据层(data plane)自学习建立ARP表、MAC表、(T)CAM表
堆叠
厂商
iStack
- 技术原理
• 定义:多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台交换设备
• 特性
• 交换机冗余
• 跨设备聚合、跨设备链路冗余
• 配置跨设备Eth-Trunk接口实现跨设备聚合
• 当聚合链路故障或某台成员交换机故障,跨设备Eth-Trunk通过堆叠线将流量重分布到其他聚合链路,实现链路和设备冗余
• 即通过stack link交换数据,连接成员交换机
• 交换机热插拔
• 自动同步主交换机配置、软件版本
• 本地转发优先
• 非本地转发原因:Eth-Trunk负载分担
• 解决堆叠线缆带宽瓶颈,从本设备进入流量,优先从本设备接口转发,当本设备无出接口或出接口全部故障,才从其它成员交换机接口转发
• 名词概念
• 角色
• 主交换机Master
• 管理堆叠。堆叠中只有一台主交换机
• 从交换机Standby
• 主交换机的备份交换机。当主交换机故障,备交换机接替原主交换机所有业务
• 堆叠中只有一台备交换机
• 备交换机Slave
• 业务转发,从交换机数量越多,堆叠系统的转发能力越强
• 除主交换机和备交换机外,堆叠中其他所有的成员交换机都是从交换机。
• 堆叠ID
• 成员交换机槽位号(Slot ID),标识和管理成员交换机,堆叠成员交换机的堆叠ID唯一
• 默认0
• 堆叠优先级
• 角色选举中确定交换机角色属性,优先级值越大优先级越高,优先级越高选为主交换机可能性越大。
• 默认100
• 堆叠建立过程
• 物理连接
• 按规划连接成员交换机
• 介质
• 堆叠卡堆叠
• 业务口堆叠
• 逻辑堆叠口绑定的物理成员端口相连
• 物理成员端口
• 堆叠连接物理网口
• 转发需跨成员交换机流量或成员交换机之间的堆叠协议报文
• 逻辑堆叠端口
• 专用于堆叠的逻辑端口,需要和物理成员端口绑定使用
• 每台成员交换机支持两个逻辑堆叠端口,分别为stack-port n/1和stack-port n/2,其中n为堆叠ID
• 拓扑
• 链形
• 收尾不连,适合长距离堆叠
• 可靠性低,一条故障造成堆叠分裂
• 利用率低,只有一条路径
• 环形
• 可靠性高,任一链路故障降级为链形
• 利用率搞,按最短路径转发
• 主交换机选举
堆叠主交换机选举超时时间为20s,堆叠成员交换机上电或重启时,由于不同成员交换机所需的启动时间可能差异比较大,因此不是所有成员交换机都有机会参与主交换机的第一次选举。后启动的交换机加入堆叠系统时,会重新进行主交换机的竞争。原主交换机竞争失败时会重启然后再以非主交换机加入堆叠,后启动交换机竞争失败时只能被动加入堆叠成为非主交换机,加入过程可参见堆叠成员加入与退出。因此,如果希望指定某一成员交换机成为主交换机,则可以先为其上电,待其启动完成后再给其他成员交换机上电。
• 互发堆叠竞争报文,根据选举原则,选出堆叠系统主交换机
• 运行交换机比启动状态交换机优先级高
• 堆叠优先级高的交换机优先竞争为主交换机
• 优先级相同,MAC越小越优先
• 拓扑收集备交换机选举
主交换机选举完成后,主交换机会收集所有成员交换机的拓扑信息,根据拓扑信息计算出堆叠转发表项下发给堆叠中的所有成员交换机,并向所有成员交换机分配堆叠ID。之后进行备交换机的选举,作为主交换机的备份交换机。除主交换机外最先完成设备启动的交换机优先被选为备份交换机。当除主交换机外其它交换机同时完成启动时,备交换机的选举规则如下(依次从第一条开始判断,直至找到最优的交换机才停止比较):
• 主交换机收集成员交换机拓扑信息,向成员交换机分配堆叠ID,并选出堆叠系统备交换机
• 堆叠优先级次高交换机成为备交换机
• 优先级相同,MAC越小越优先
• 软件、配置同步
• 主交换机将堆叠系统拓扑信息同步给成员交换机,成员交换机同步主交换机系统软件和配置文件,进入稳定状态
• 自动更新需版本间兼容
• 备/从交换机同步主交换机版本
• 配置同步保证在主交换机故障后,其余交换机仍能够正常执行各项功能
• 堆叠成员加入与退出
• 非带电加入
• 概念
• 堆叠成员加入:向已经稳定运行的堆叠系统添加一台新的交换机
• 带电加入
• 堆叠合并
• 不带电加入【推荐】
• 加入过程
• 先连线,冷启动,角色选举为从交换机,原成员交换机角色不变
• 主交换机更新拓扑,同步拓扑、分配堆叠ID
• 交换机同步主交换机配置与系统,稳定状态
• 加入点选择
• 链形选两端
• 环形破环选两端
• 堆叠配置
• 业务口堆叠
• 业务口加入逻辑堆叠口
• 链形连接,堆叠系统链形两端(或一端)成员交换机也需将物理成员端口加入逻辑堆叠口
• 堆叠卡堆叠
• 使能堆叠功能
• 建议手动分配堆叠ID
• 带电加入(堆叠合并)
• 概念
• 两个堆叠系统的主交换机通过竞争,选举出一个更优的作为新堆叠系统的主交换机,竞争失败交换机组所有交换机将重启,以从交换机的角色加入到新堆叠系统,其堆叠ID将由新主交换机重新分配。
• 选举规则
• 比较运行时间,越早越优先
• 主交换机选举规则与堆叠建立时一致
• 优先级
• MAC地址
• 异常情况
• 堆叠分裂,分裂的堆叠系统重新合并
• 不下电使用堆叠线缆连接到正在运行的堆叠系统导致正在运行的堆叠系统重启,影响业务运行。
• 退出
• 原交换机角色
• 主交换机退出
• 备份交换机升级为主交换机
• 重新计算堆叠拓扑并同步到其他成员交换机
• 指定新的备交换机,之后进入稳定运行状态
• 备交换机退出
• 主交换机重新指定备交换机
• 重新计算堆叠拓扑并同步到其他成员交换机,之后进入稳定运行状态
• 从交换机退出
• 主交换机重新计算堆叠拓扑并同步到其他成员交换机
• 原拓扑
• 环形:把退出交换机连接的两个端口用堆叠线缆连接
• 链形:拆除中间交换机会造成堆叠分裂,先评估业务风险
• 堆叠ID分配
如果新成员与已有成员堆叠ID冲突,则堆叠主交换机从0~最大的堆叠ID进行遍历,找到第一个空闲的ID分配给该新成员。新建堆叠或堆叠成员变化时,如果不在堆叠前手动指定各设备的堆叠ID,则由于启动顺序等原因,最终堆叠系统中各成员的堆叠ID是随机的。因此,在建立堆叠时,建议提前规划好设备的堆叠ID,或通过特定的操作顺序,使设备启动后的堆叠ID与规划的堆叠ID一致。
• 主交换机对设备的堆叠ID进行管理,堆叠ID缺省为0
• 堆叠ID为0或不为,堆叠前配置好堆叠ID,堆叠作为SVF的Client场景
• 逐台配置设备的堆叠ID为期望值
• 用堆叠线将各台设备连接建立堆叠
• 堆叠ID为0或不为,先建立堆叠再修正堆叠ID,不适用堆叠SVF的Client场景
• 逐台配置设备的堆叠ID为期望值
• 用堆叠线将各台设备连接建立堆叠,设备重启
• 堆叠ID为0,通过上电顺序控制堆叠ID,堆叠作为SVF的Client场景
• 用堆叠线将各台设备连接建立堆叠
• 逐台开机
• 堆叠登陆与访问
• 接口编号规则
• 没有堆叠设备
• 槽位号/子卡号/端口号(槽位号统一取值为0)
• GigabitEthernet0/0/1
• 加入堆叠后
• 堆叠ID/子卡号/端口号
• GigabitEthernet2/0/1
• 子卡号与端口号的编号规则与单机状态下一致
• 管理口:无论系统是否运行堆叠及运行堆叠后堆叠ID多少,接口的编号均为MEth 0/0/1。在堆叠系统中,只有一台成员交换机的管理网口生效,成为主用管理网口
• 堆叠系统登陆
• 任意成员交换机console
• 任意成员交换机的管理网口或其他三层接口登录
• 堆叠启动后默认选取主交换机管理网口为主用管理口,若主交换机管理口异常或不可用,则选取其他成员交换机管理网口为主用管理网口。如PC直连到非主用管理网口,则无法登录堆叠系统。
• 堆叠分裂与多主检测
• 堆叠分裂
• 堆叠系统带电移出部分成员交换机或堆叠线缆多点故障导致一个堆叠系统变成多个堆叠系统。
• 原主备交换机被分裂到同一个堆叠系统中
• 将移出的成员交换机的拓扑信息删除,并将新的拓扑信息同步给其他成员交换机
• 移出成员交换机检测堆叠协议报文超时,自行复位,重新选举
• 原主备交换机被分裂到不同的堆叠系统
• 主交换机所在系统重新指定备交换机,重新计算拓扑信息并同步给成员交换机
• 备交换机所在堆叠系统将发生备升主,原备交换机升级为主交换机,重新计算堆叠拓扑并同步到其他成员交换机,并指定新的备交换机
• MAD(Multi-Active Detection)多主检测
• 成员交换机都使用同一个IP和堆叠MAC,需要进行IP地址和MAC地址的冲突
• 直连检测
• 拓扑
• MAD专网,中间设备转发
• Full-mesh
• 交换机间通过普通线缆专网进行多主检测,MAD专网
• 成员交换机之间最多可以配置8条直连检测链路
• 不参与业务转发
• 堆叠系统正常运行时,不发送MAD报文
• MAD报文是BPDU报文,中间设备转发直连检测方式时,在直连检测链路的中间设备上需要配置转发BPDU报文
• 分裂后以1s为周期通过检测链路发送MAD报文以进行多主冲突处理
• 代理检测
• 堆叠系统Eth-Trunk上启用代理检测,在代理设备上启用MAD检测
• MAD故障恢复
• 堆叠链路恢复,Recovery状态堆叠系统重启,与Detect状态堆叠系统合并,业务口恢复Up,整个堆叠系统恢复
• 堆叠链路恢复前承载业务的Detect状态堆叠系统出现故障
• Detect状态堆叠系统从网络中移除,通过命令行启用Recovery状态系统,接替原业务,再修复原Detect系统故障及链路故障。故障修复后,合并堆叠系统。
• 堆叠主备倒换
• 倒换条件
• 主交换故障引起主备倒换
• 命令行执行主备倒换
• 主备倒换导致堆叠角色变化
• 原备交换机升为主交换机
• 新主交换机重新指定备交换机
• 原主交换机重启后重新加入堆叠系统,并被选举为从交换机
• 堆叠升级
• 智能升级
• 组建堆叠、加入堆叠时备从交换机与主交换机进行的升级配置同步
• 如不一致,自动从主交换机下载系统软件,并以新系统软件重启后加入堆叠系统
• 传统升级
• 将导致业务中断较长时间
• 配置启动软件系统,重启整个堆叠系统
• 平滑升级
• 适用于网络要求较高场景,将堆叠划分两个区域分别升级
堆叠系统划分成active区(主交换机所在的区域)和backup区两个相互备份的流量区域。启动升级后,两个区域依次进行升级,以保证其中一个区域的流量不会中断,减少因升级对业务造成的影响。平滑升级方式适用于对业务中断时间要求较高的场景
• 堆叠系统平滑升级要求堆叠上行及下行链路为备份组网,为确保后续升级维护成功,建议每台成员交换机至少有一条链路加入跨设备Eth-Trunk
• 组网要求
• 组网方式是上下行链路形成备份的组网
• 确保堆叠系统下次启动的系统软件版本支持平滑升级
• 确保堆叠系统各成员设备中当前启动的系统软件完全一致,包括文件名、版本号及存储路径
• 确保堆叠系统各成员设备中下次启动的系统软件完全一致,包括文件名、版本号及存储路径
• 分区原则
• backup区成员和active区成员交换机不能有重叠,且成员交换机个数都不能为0
• backup区不能包含主交换机
• backup区和active区各自的成员交换机在堆叠拓扑中要相互连接,中间不能断开
• backup区的成员交换机和active区的成员交换机构成整个堆叠系统
• 过程
• 主交换机下发命令触发堆叠系统进入平滑升级状态, backup区成员交换机以新系统软件启动
• backup区以新版本建立一个独立堆叠系统,通知active区进入升级阶段,主控权由active区主交换机转移到backup区的主交换机, backup区负责流量传输,active区进入升级过程
• active区以新系统软件重新启动并加入backup区的堆叠系统, backup区的主交换机根据最终堆叠建立的结果发布升级的结果
• 如果平滑升级过程中出现错误、异常或者升级过程超时(超时时间为70分钟),堆叠系统会自动进行回滚处理,切换为原来的启动系统软件后重新建立堆叠系统
- 配置注意
• 版本相关
• 成员交换机会自动同步主交换机版本,如成员交换机不支持该版本,该成员交换机会反复重启
• MDA相关
• 每个堆叠成员交换机可以同时配置8条直连检测链路
• 一个堆叠系统最多支持4个Eth-Trunk接口上配置代理检测
• 堆叠介质相关
• 成员交换机堆叠连接方式必须保持一致,不允许堆叠卡和业务口堆叠混配
• 如堆叠交换机有业务口堆叠配置又有堆叠卡,则只会使用业务口堆叠,除非所有交换机没有业务口堆叠相关配置
• 如需切换堆叠配置,可以预先将业务口配置,当交换机重启后将使用业务口堆叠
• 堆叠卡堆叠的交换机上存在业务口预配置时,不支持对交换机进行平滑升级
• 如果交换机当前是业务口堆叠,当需要切换成堆叠卡堆叠时,不仅要正确连接堆叠卡和堆叠线缆,还必须要清除业务口堆叠相关的配置。可使用reset stack-port configuration命令一键式清除业务口堆叠配置
• 业务口堆叠切换为堆叠卡堆叠时,先将业务口堆叠线缆拔除,否则会环路
• 部署相关
• 建议使用Eth-Trunk与其他设备相连,且每台成员交换机都有一个端口加入Eth-Trunk
• 如配置storm-control端口较多,建议用流量抑制替代,流量抑制对CPU资源消耗较低
• 如配置port-security端口较多,建议用mac-limit替代, mac-limit对CPU资源较低
• 当堆叠系统有成环风险时,建议配置mac-address flapping action error-down MAC地址漂移检测与接口error-down联动,接口Down被对端设备感知后有利于联动对端设备进行高可用切换
- S1720, S2700, S5700, S6720 V200R011C10 配置指南-设备管理.pdf
IRF(Intelligent Resilient Framework)智能弹性架构
VLAN
封装标准
802.1Q
QinQ
VLAN接口分类
access
- 不带tag,连接不支持802.1q的设备
- 收到与PVID一致报文,接收并转发,否则丢弃
- 进出交换机时插入/去掉tag
trunk
- 带tag【除native】,一般交换机互联
- tag在允许通过vlan范围内则转发,否则丢弃
- 报文所在vlan与pvid相同则不带tag,否则加tag
hybrid
- 可配置某些vlan带tag,某些不带
- tag在允许通过vlan范围内则转发,否则丢弃
- 报文所在vlan带tag,则带tag转发,否则不带tag
vlan划分方式
基于接口
基于子网
基于mac
- cisco:vmps
- 802.1x
vlan配置技术
GVRP(GARP VLAN Register Protocol)802.1Q
VTP (cisoc私有)
- 交换机角色
• server-服务器模式【缺省模式】
• 可以创建、删除、修改VLAN
• 修改结果将通告给同域交换机
• 泛洪VTP通告
• client-客户端
• 不允许创建、删除、修改VLAN
• 监听VTP通告相应的修改本机vlan
• 泛洪VTP通告
• transparent-传输模式
• 不同步VTP宣告,允许修改、删除、新建VLAN但不宣告
• 不会泛洪VTP通告
- VTP报文类型
• Summary advertisements
• Server 与Client之间周期性的通告VTP域名和当前配置版本
• 每5分钟一次
• Subnet advertisements
• Server端VLAN配置发生改变后,在Summary advertisement 之后发送Subnet advertisements通告新的VLAN
• 发送本端VLAN配置给其它交换机
• Advertisement requests
• 向邻居请求最新的VLAN配置,当交换机域配置改变或重启后交换机发送该消息
• 当收到的宣告配置版本大于当前则请求同步其它交换机VLAN配置
• VIP join messoges
• VIP Pruning 缺省关闭
VLAN隔离/私有VLAN
Isolated-User VLAN (H3C)
- Primary VLAN--上联VLAN
- Secondary VLAN--下联VLAN
PVLAN-Private VLAN(cisco)
HW
- vlan batch 2
- interface Vlanif2
- ip address 1.1.1.10 255.255.255.0
- arp-proxy inner-sub-vlan-proxy enable
- interface Ethernet0/0/1
- port link-type access port default vlan 2
- port-isolate enable group 1
- interface Etherneto/0/2
- port link-type access port default vlan 2
- port-isolate enable group 1
端口安全
HW
port-security enable
port-security max-mac-num XXX
- 默认一个
port-security mac-address mac-address vlan vlan-id
port-security protect-action { protect |restrict|shutdown}
- protect 丢弃不告警
- restrict 丢弃告警 //默认动作
port-security mac-address sticky
- display mac-address sticky I vlan vlan-id interface-type interface-number]*[verbose]
- 查看Sticky MAC表项
port-security aging-time XXX
- Sticky MAC不会被老化
- Sticky MAC地址表项,保存后重启设备不丢弃
MAC地址漂移
接口学的MAC在同一VLAN其它接口上也学到,后学到的MAC表项会覆盖原有表项
地址漂移检测
避免方式
- 提高接口MAC地址学习优先级
• mac-learning priority XXX(0-3)
• 缺省接口优先级为0,越高越大
- 不允许相同优先级的接口发生MAC地址表项覆盖
链路聚合
定义、前提
最多8条物理链路捆绑在一起成为一条逻辑链路
端口数量、速率、双工方式、流控方式必须一致
增加带宽、提高可靠性和实现负载分担
- 依据HASH-key进行负载分担
- 逐流的负载均衡,保证数据包不乱序
负载方式
源MAC
目的MAC
源IP
目的IP
源和目的MAC
源和目的IP
聚合模式
手工模式聚合
- 需手工创建Eth-Trunk、加入成员端口
- 无法检测链路层故障和链路错连
LACP模式聚合
- 通过LACP协议自动实现链路聚合
- LACP可以维护链路状态
- 默认优先级32768,以小优先
- 例子
• 静态LACP聚合,A为主用;
• 基于源MAC负载
• E0/0/1和EO/0/2为活动端口,EO/0/3为备份端口
• 活动端口故障恢复后,仍为活动端口--抢占
• A机
• lacp priority 100
• #
• interface Eth-Trunk12
• mode lacp-static
• load-balance src-mac
• lacp preempt enable
• max active-linknumber 2
• #
• interface EthernetO/0/1
• eth-trunk 12
• lacp priority 100
• #
• interface Ethernet0/0/2
• eth-trunk 12
• lacp priority 100
• #
• interface Ethernet0/0/3
• eth-trunk12
• B机
• interface Eth-Trunk12
• mode lacp-static
• interface Etherneto/0/1
• eth-trunk 12
• #
• interface Etherneto/0/2
• eth-trunk 12
• #
• interface Etherneto/0/3
• eth-trunk 12
• display eth-trunk 12
acl
https://www.cisco.com/c/zh_cn/support/docs/security/ios-firewall/23602-confaccesslists.html?referring_site=RE&pos=1&page=https://www.cisco.com/c/zh_cn/support/docs/ip/access-lists/26448-ACLsamples.html#
https://www.cisco.com/c/zh_cn/support/docs/ip/access-lists/26448-ACLsamples.html
交换机端口转发行为
flooding -- 泛洪
forwarding -- 转发
discarding -- 丢弃
通过数据层(data plane)自学习建立ARP表、MAC表、(T)CAM表
STP(spanning tree protocol)
选举步骤
选根桥
- BPDU -- MAC地址以小优先
非根交换机选1个根端口
- 端口开销
每个广播域选1个指定端口
阻塞其它非根、非指定端口
STP概念
RID:
BID:桥id
RPC
PID
AP/BP 备份端口 阻塞端口
STP
厂商
- HW:smart-link
- Cisco:Flex