1、第2层交换是在LAN上使用设备的硬件地址对网络进行分段的过程
2、网桥是基于软件的,而交换机是基于硬件的,交换机可以看成是多端口的网桥
3、通过检查所接收的每个数据帧的源地址,网桥和交换机就学到了MAC地址
4、网桥和交换机都基于第二层地址做出转发的决定
5、第2层交换的3种交换功能:地址学习、转发/过滤决定、避免环路
6、交换机不会将帧送往除了目的地接口之外的任何其他接口,这样就保留了在其他网段上的带宽,这种方式称为帧过滤
7、记住:如果在转发/过滤表中找不到目的的MAC地址,交换机就会将帧转发到其他所有端口,以搜寻目的设备
8、如果一个端口只能连接一台主机,而且被违反时就关闭,则使用:
Switch#config t;
Switch(config)#int f0/1
Switch(config-if)#swithport port-security maximum 1
Switch(config-if)#swithport port-security violation shutdwn
9、在mac-address下提供静态MAC地址安全:
Switch(config-if)#swithport port-security mac-address sticky
Switch(config-if)#swithport port-security maximum 2
Switch(config-if)#swithport port-security violation shutdown
10、交换机之间冗余链路可以同时广播帧,从而导致网络环路
11、根桥:桥ID最小的网桥
12、BPDU:桥协议数据单元
13、桥ID:STP利用桥ID来跟踪网络中的所有交换机,桥ID由桥优先级和MAC地址的组合来决定
14、根端口:指直接连到根桥的链路所在的端口,或者到根桥的路径最短的端口
15、指定端口:有最低开销的端口,指定端口被标记为转发端口
16、非指定端口:比指定端口开销高,被设置为阻塞状态,不是转发端口
17、阻塞端口:不能转发帧,为了防止产生环路,被阻塞的端口将始终监听帧。
18、STP工作流程:
首先选举根桥,由根桥负载决定网络拓扑;然后将非根端口、非指定端口设置为阻塞,从而打破交换环路
19、选举根桥:桥ID为8字节,包括设备优先级和MAC地址,值越小越能成为根桥
20、端口安全:
S1(config)#int range f0/3 - 4
S1(config-if-range)#switchport port-security ?
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
<cr>
S1(config-if-range)#switchport port-security maximum ?
<1-132> Maximum addresses
S1(config-if-range)#switchport port-security maximum 1
S1(config-if-range)#switchport port-security ?
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
<cr>
S1(config-if-range)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
S1(config-if-range)#switchport port-security mac-address sticky
S1(config-if-range)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
S1(config-if-range)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
S1(config-if-range)#switchport port-security violation shutdown
S1(config-if-range)#exit
以上命令在端口f0/3和f0/4上设置端口安全,只有关联到端口的第二个MAC地址才能通过交换机发送帧。如果有第二台设备试图向交换机发送帧,那么端口将由于violation命令而关闭
21、BPDUGuard会将端口设置为错误禁用状态,而BPDUFilter将使端口保持打开,但不运行PortFast
22、