二、OSPF进阶（HCIP）

L重洋

已于 2023-05-23 19:14:52 修改

阅读量229

点赞数

分类专栏： HCIP 文章标签：网络 p2p 网络协议

于 2023-05-03 22:32:02 首次发布

本文链接：https://blog.csdn.net/kittle_linxi/article/details/130477766

版权

HCIP 专栏收录该内容

16 篇文章 0 订阅

订阅专栏

一、OSPF的接口网络类型

二、OSPF的不规则区域

三、关于OSPF的数据表—LSDB（链路状态数据库）

四、OSPF的LSA优化（减少OSPF的LSA更新量）

OSPF 的 LSA-4 和 LSA-5 的区别是什么？

五、OSPF的扩展配置

六、交换技术

Router ID

Area ID

authentication

默认hello包的hello time 为10s或30s dead time为hello time的4倍

邻居间hello包中必须是完全一致的参数；hello和dead time；区域id；认证字段；

末梢区域标记：在华为设备体系中，邻居间接口所配置IP地址子网掩码必须完全一致

一、OSPF的接口网络类型

网络类型--点到点 BMA NBMA

[r1]display ospf interface GitabitEthernet 0/0/0

查看ospf协议在该接口上的工作方式

网络类型 OSPF接口网络类型（ospf工作方式）

Loopback 华为标记到点到点工作方式，实际无hello包收发；32位主机路由学习

点到点（串线PPP/HDLC GRE) P2P(点到点)hello 10s 不选DR/BDR

BMA（以太网） Broadcast 10s 选DR/BDR

NBMA(MGRE) P2P（点到点） --- 点到点工作方式只能建立一个邻居；

注：MGRE为MA工作方式，在一个网段中节点的数量不限制；但OSPF协议在Tunnel接口默认的工作方式为点到点，该方式只能建立一个邻居关系；故在MGRE中运行OSPF协议，默认只能产生一个关系，无法全网沟通；

解决方案：修改接口工作方式

[r1]interface Tunnel0/0/0

[r1-Tunnel0/0/0]ospf network-type?

broadcast Specify OSPF broadcast network

nbma Specify OSPF NBMA network

p2mp Specify OSPF point-to-multpoint network

p2p Specify OSPF point-to-point network

[r1]ospf network-type broadcast 修改为广播型

切记：tunnel接口默认为点到点的工作方式与人为修改的broadcast工作方使用了相同的hello time，将导致p2p与broadcast接口相遇时，邻居关系正常建立；但p2p不支持DR选举，最终无法正常沟通LSA信息；所以要求一个网段内所有接口的工作方式必须完全一致；

注2：在一个MGRE工作环境中，所有接口工作方式若修改为broadcast；必须关注拓扑结构；

1）中心到站点（星型）---DR位置问题由于分支与分支没有伪广播，没有邻居建立动作，都只能观察到中心点，故DR选举时仅在本地和中心进行；所以就整个网段而言，DR选举在每台路由器上都出现不同的结果，最终导致网络无法正常正敛；

解决方案：中心为DR，取消BDR；

2）全连网状拓扑—由于该网段所有节点均能和其他节点通讯，故可以和以太网一样，正常进行DR/BDR选举

3）部分网状拓扑—将DR/BDR放置于不同的中心点即可

二、OSPF的不规则区域

1、远离了骨干的非骨干区域

2、不连续骨干

解决方案：

1、tunnel --在两台ABR间建立VPN隧道；之后将该隧道链路宣告到OSPF协议中；

缺点：（1）选路不佳；

（2）周期的信息将占用中间穿越区域的链路资源

2、OSPF虚链路 ---由非法ABR与合法ABR间建立沟通，获得授权；之后非法ABR具有区域间路由共享的能力

[r2]ospf 1

[r2-ospf-1]area 1 中间穿越区域

[r2-ospf-1-area-0.0.0.1]vlink-peer 4.4.4.4 对端设备的RID

由于没有新增路径，所以不会出现选路不佳的问题；

缺点：OSPF周期的信息对中间区域造成影响

华为：两台ABR间取消所有影响——不可靠

Cisco：两台ABR间周期保活，周期更新——对中间区域造成很多大占用

3、多进程双向重发布

多进程——在一台路由器上，同时运行多个OSPF进程；每个进程拥有自己的邻居，和各自独立的数据库；数据库不共享，仅将不同数据库计算所得的路由加载于同一张路由表显示；

故在一台路由器上运行同一协议的不同进程，类似于在同一台路由器上允许多种路由协议；

重发布：在一个网络中若运行多种路由协议时，可以制作一台ABSR(自治系统边界路由器/协议边界路由器)；ASBR需要不同接口工作在不同的协议中，通过不同协议获取未知的路由；默认协议间不会互动；重发布技术可以将不同协议学习到的路由协议共享到其他的协议；

[r2]ospf 1

[r2-ospf-1]import-route ospf 2

[r2-ospf-1]q

[r2]ospf 2

[r2-ospf-2]import-route ospf 1

三、关于OSPF的数据表—LSDB（链路状态数据库）

OSPF协议邻接关系间，沟通互传的信息为各自LSA；最终将本地收集到达的所有LSA集合在本地的LSDB表中；

LSA—链路状态通告--OSPF协议在不同网络环境产生不同类别的LSA，用于携带传递不同信息；

[r3]display ospf lsdb router 1.1.1.1 查看一条LSA的具体内容

类别 Link-id

在所有类别的LSA均存在以下信息：

Type: Router 类别名此处为1类

Ls id: 1.1.1.1 link-id 在目录中的页码号，用于具体查看该LSA时输入

Adv rtr: 1.1.1.1 通告者（更新源）的RID

Ls age: 400 老化时间，单位s；触发更新马上归0；1800周期归0；最大老化3609；

Len: 60 长度

Options: E 选择

seq#: 80000003 序列号棒棒糖序列号规则

chksum: 0xb2ee 校验码

传播半径通告者携带的信息

LSA1 Router 单区域本区域内所有运行OSPF协议的路由器（RID) 本地直连拓扑

LSA2 Network 单区域单个MA网络中的DR(RID) 单个MA网段拓扑

LSA3 Summary 整个OSPF区域 ABR 域间路由

LSA4 asbr 除ASBR所在区域外的整个OSPF区域 ABR(与ASBR在同一域的ABR) ASBR位置

LSA5 External(ase) 整个OFPS区域 ASBR 域外路由

LSA7 NSSA 单个NSSA区域 ASBR 域外路由

ASBR所在区域基于1类告知位置

Link-id 通告者

LSA1 Router 通告者的RID 本区域内所有运行OSPF协议的路由器（RID)

LSA2 Networl DR的接口IP地址单个MA网络中的DR(RID)

LSA3 Summary 整个OSPF区域 ABR;在通过下一台ABR时，修改为新的ABR

LSA4 asbr A BRS的RID ABR;在通过下一台ABR时，修改为新的ABR

LSA5 ase 路由的目标网络号 ASBR

LSA7 Nssa 路由的目标网络号 ASBR;离开该区域进入其他区域将被转换为5类

四、OSPF的LSA优化（减少OSPF的LSA更新量）

1、汇总-减少骨干区域LSA数量（不支持区域接口汇总）

2、特殊汇总-减少非骨干区域的LSA数量

【1】汇总

1）域间路由汇总 -- 在ABR上将区域传播的3类LSA进行汇总

[r1]ospf 1

[r1-ospf-1]area 2

本地通过区域2的1/2类LSA计算所得路由，在基于3类传递时方可汇总

[r1-ospf-1-area-0.0.0.2]abr-summary 5.5.4.0 255.255.254.0 汇总

只能在ABR上配置，将A区域路由传递到B区域时进行汇总配置

2）域外路由汇总 -- 在ASBR上进行重发布，导入5/7类LSA进入OSPF区域时，进行汇总

[r4]ospf 1

[r4-ospf-1]asbr-summary 99.1.0.0 255.255.252.0

华为设备切记r4上得添加空接口，防止出环；Cisco设备自动生成

【2】特殊区域 -- 不能是骨干区域，不能存在虚链路

第一类：不能存在ASBR

1）末梢区域stub—该区域拒绝4、5类的LSA进入，而是由连接骨干区域的ABR设备向该区域发布一条3类的缺省路由；

[r5]ospf 1

[r5-ospf-1]area 2 将该区域2配置为末梢区域

[r5-ospf-1-area-0.0.0.2]stub

注：一旦配置特殊区域，该区域内所有设备均需要配置，否则无法建立邻居关系

2）完全区域末梢 -- 在末梢区域的基础上，进一步拒绝3类的LSA，仅保留一条3类的缺省路由进入

[r1]ospf 1

[r1-ospf-1]area 2

[r1-ospf-1-area-0.0.0.2]stub no-summary

第二类：存在ASBR

1）NSSA—非完全末梢区域——该区域将拒绝4/5类的LSA；本地NSSA所在的区域ASBR产生的5类LSA被7类传输，在通过该NSSA进入骨干区域时，被ARB转换回5类；

NSSA区域的作用不是抑制本地ASBR产生的信息，而是抑制该网络中其他区域ASBR产生的4/5类LSA；

华为：之后由该NSSA区域连接骨干区域的ABR向该NSSA区域发布一条7类的缺省路由；

Cisco：默认把一个区域配置为NSSA后，将不会自动产生缺省路由，需要在管理员确定网络无环的前提下，再手工添加缺省路由；

[r4]ospf 1

[r4-ospf-1]are 1

[r4-ospf-1-area-0.0.0.1]nssa

2）完全NSSA—在NSAA基础上，进一步拒绝3类LSA（即3/4/5都拒绝）；由连接骨干区域的ABR向该区域发布一条3类的缺省路由；本NSSA区域内部的路由基于7类传递，之后转换为5类进入骨干区域；

先将该区域配置为NSSA,然后仅在ABR上配置完全即可

[r3-ospf-1-area-0.0.0.1]nssa no-summary

切记：NSSA在华为体系中自动生成7类缺省；完全NSSA在华为和Cisco体系中均自动生成3类缺省；此时一定需要关注网络连接的ISP的位置，否则可能导致环路出现；

OSPF 的 LSA-4 和 LSA-5 的区别是什么？

　　LSA-4 即类型4：ASBR Summary LSA:由ABR发出，ASBR汇总LSA除了所通告的目的地是一个ASBR而不是一个网络外，其他同Network Summary LSA。

　　LSA-5 即类型5：AS External LSA:发自ASBR路由器，用来通告到达OSPF自治系统外部的目的地，或者OSPF自治系统那个外部的缺省路由的LSA.这种LSA将在全AS内泛洪（4个特殊区域除外）。

五、OSPF的扩展配置

1、手工认证---认证就是在ospf邻居间的所有数据包中携带密钥，两端密钥相同，意味着身份合法；在邻居间的接口上定义安全密钥

【1】接口认证—在和邻居直连的接口上配置身份密钥；两端若编号和密码不同将无法建立邻居

[r1]interface GigabitEthernet 0/0/1

[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456

md5:模式 1:编号 123456: 密钥

【2】区域认证

[r1]ospf 1

[r1-ospf-1]area 0

[r1-ospf-1-0.0.0.0] authentication-mode md5 1 cipher 123456

在r1这台设备，所有宣告在区域0的接口上配置了认证

【3】虚链路认证—在虚链路的两端进行配置

[r1-ospf-1-0.0.0.0]vlink-peer 4.4.4.4 md5 1 cipher 123456

3、手工汇总---区域汇总在ABR上将A区域的路哟共享到B区域时，方可进行手工汇总的配置

[r2]ospf 1

[r2-ospf-1]area 0

[r2-ospf-1-area-0.0.0.0] abr-summary 1.1.0.0 255.255.252.0

注：此时R2设备同时连接区域0和其他的区域；在将区域0的部分路由共享到其他区域时，进行了汇总的配置，汇总网段为1.1.0.0/22

4、被动接口---沉默接口—仅接=仅接收不发送路由协议信息（数据包），只能用于连接用户PC的接口；不得用于连接其他路由器OSPF邻居的接口

[r2]ospf 1

[r2-ospf-1]silent-interface GigabitEthernet 0/0/0

5、加快收敛—修改OSPF协议的计时器

Hello time 10s或30s dead time 为 hello time 的4倍

修改本端或一台路由器某个接口的hello time，该接口的dead time将自动以4倍关系匹配

切记：邻居间直接的接口hello和dead time若不一致，将不能建立邻居关系；修改时也不能建议修改的过小；修改时需要两端一致，且hello time不能修改的过小，过大占用链路资源；

[r2-GigabitEthernet 0/0/1] ospf timer hello 10

6、缺省路由—在连接外网的边界路由器上配置一条缺省信息后；该设备将向内网发送信息；使得内部其他的ospf路由器自动生成缺省路由，下一跳指向边界路由器方向；但边界路由器所需要拥有到达ISP的缺省路由时，需要管理员手工编写

3类缺省——特殊区域自动产生末梢、完全末梢、完全NSSA 普通NSSA产生7类缺省；

5类缺省——从域外重发布进入到OSPF的缺省路由比如连接ISP的边界路由器需要手工静态一条缺省路由指向ISP，这样改路由器的路由表中就存在一条非OSPF的缺省路由；可以让该OSPF路由器重发布这条缺省进入OSPF域；

[r3]ospf 1

[r3-ospf-1]default-route-advertise 把r1设备上，路由表中的其他协议或其他进程产生的缺省路由导入本OSPF域

[r3-ospf-1]default-route-advertise always 让本地r1强制向该OSPF域发布一条缺省路由，无论r1本地路由表有没有缺省

7类缺省——普通NSSA自动产生一条7类缺省；

在NSSA区域手工配置

该设备通过其他方式获取一条缺省路由，之后通过该命令导入本地的NSSA域

[r3-ospf-1-area-0.0.0.0]nssa default-route-advertise

重发布、重分布、重分发：

在一个网络中，若运行多种路由协议，或相同协议的不同进程；

协议间不能直接沟通计算，进程间也是独立转发和运算；故需要使用重发布计算来实现路由共享；

条件：

1、必须存在ASBR（自治系统边界路由器、协议边界路由器）同时连接两种协议或两个进程，同时学习到两边的路由，之后进行路由共享；

2、必须关注种子度量—起始度量 A协议和B协议的度量计算逻辑不通，无法直接使用；故在将A协议发布到B协议时，ASBR将不携带A协议的度量到B协议，而是在共享到B协议时，又ASBR设备在路由中添加一个起始度量值，之后B协议可以基于起始度量叠加内部度量；

规则：

1、将A协议发布到B协议时，在ASBR上的B协议中配置

2、将A协议发布到B协议时，是将ASBR上所有通过A协议学习，及ASBR上宣告在A协议的所有直连路由，全部共享到B协议中；

名词：

单点双点多点在两个协议或两个进程间存在多少台ASBR设备

单向（仅将A协议路由共享到B协议中）双向（A/B协议的路由均共享到对端）

配置：基于三个方面

A→B 一种动态路由共享到另一种动态路由

静态→B 将ASBR上的静态路由共享到一种动态路由中

直连→B 将ASBR上未宣告到B协议的直连路由共享到B协议（动态）中

RIP

A→B

[r2]rip

[r2-rip-1]import-route ospf 1

[r2-rip-1]import-route ospf 1 cost 2 重发布的过程中，修改种子度量为2

若不定义种子度量，默认为0

静态→B

[r2-rip-1]import-route static 默认种子度量为0；静态缺省路由将不能导入；

直连→B

[r2-rip-1]import-route direct 默认种子度量为0；

注：若ASBR进行了A→B协议的重发布，同时进行了直连路由到A协议的重发布；

两种重发布还发布了相同的路由信息，但优先重发布直连

[r1]nhrp shortcut 最短路径切换

[r1]nhrp redirect 重定向

OSPF运算过程：

1、建立邻居

2、同步LSDB（LSA）

3、以路由器为节点进行OSPF计算出以路由器为节点的最短路径

4、计算以路由器拓扑为基础，计算各路由器网端的路径与开销

OSPF的过滤：

1、三类LSA的过滤

1）filter

area 0.0.0.0

filter 2000 import/export 注意：2000是acl名字

acl number 2000

rule 10 deny source 10.9.9.9 0

rule 20 permit

该工具只能在ABR上使用，因为三类只产生在ABR上

2）汇总过滤

area 0.0.0.1

abr-summary 10.9.9.9 255.255.255.255 not-advertise

2、filter-policy

该工具的作用是过滤该路由器路由表的路由

该工具可以在ABR上过滤三类，该过滤效果回影响下游路由器

该工具如果在同一个区域过滤路由，不会影响下游路由器

该工具如果用于过滤5类或7类，可以影响下游路由器

ospf 1 router-id 1.1.1.1

filter-policy 2000 import

acl number 2000

rule 10 deny source 10.9.9.9 0

rule 20 permit

3、接口过滤LSA

[r1-GigabitEthernet0/0/0]ospf filter-lsa-out?

all Filter all type of LSAs

ase Filter type-5 ASE LSAs

nssa Filter type-7 NSSA LSAs

summary Filter type-3 Summary LSAs

OSPF的路由优先级：

类型1是外部路叠加内部开销

类型2是外部路由不叠加内部开销，默认类型

[r1-ospf-1]import-route direct cost 1 type 1

域内路由域间路由 5类类型1 5类类型2 7类类型1 7类类型2

总结：域内路由>域间路由>域外路由类型1>类型2

preference 50 //修改OSPF内部优先级

preference ase 100 //修改OSPF外部优先级

FA地址：转发地址——当5类或7类LSA中携带了FA地址，则计算路径开销值时计算的是当前路由器到达FA地址的开销值之和+种子度量值。（若FA地址不可达，则路由不能加表）

VRP平台填写5类LSA的FA地址及其路由计算规则：

1）FA填写为0.0.0.0时当一个5类LSA中的FA为0.0.0.0时，接收该LSA的路由器按照Adv Rtr(也就是ASBR)来计算下一跳

2）FA填写为非0.0.0.0是，同时满足如下条件时，ASBR会在5类LSA的FA域内填写非0.0.0.0的转发地址，接收LSA的路由器按照该非0.0.0.0地址计算下一跳

ASBR的下一跳接口路由可达;

ASBR与外部网络连接的下一跳接口没有被设置为被动接口 ;

ASBR与外部网络连接的下一跳接口不是OSPF的P2P或P2MP类型；

ASBR与外部网络连接的下一跳接口地址落在OSPF协议中发布的网络范围之内

3）不满足以上四点条件的，FA都填写为0.0.0.0

按照RFC2328选路原则，在最终比较相同的5类ASE LSA(E2、相同cost)时，会参考比较intra cost，即到ASBR或者FA的cost值（FA为0，迭代ASBR;FA非0，迭代FA）；cost值较小的路由将优选（虽然最终不会将此cost加入到路由表cost值）

FA 地址：

1、默认7类LSA 产生FA地址，5类LSA不产生的（7转5 的5类LSA 携带FA地址）。

2、7类LSA 产生规则：默认产生的FA地址为产生7类LSA 的ASBR 最大的环回接口地址；若连接其他协议的接口也运行了OSPF协议，网络类型为BMA，则产生的7类LSA中FA地址为连接其他接口对应的下一跳地址；若网络类型为P2P，则FA地址依然为环回接口中IP地址最大的。

3、5类LSA FA地址规则：默认不产生，若连接其他协议的接口运行了OSPF 协议并且网络类型为BMA，则FA地址为重发布之前路由的下一跳地址，若网络类型为P2P，则不会产生FA地址。

4、若在NSSA区域与非NSSA区域之间的路由器上进行重发布，默认路由分别重发布进入NSSA和非NSSA，同时进入的7类LSA不支持7转5类

（P=0，P代表是否有支持7转5功能）。在华为设备中，依然携带FA地址，此时FA地址为NSSA区域中的某个IP地址。

OSPF的接口网络类型不是建立邻居关系的条件，broadcast与P2P会建立邻居关系，但是相互传递的LSA不会生成路由；

OSPF的7类转5类：7转5的时候，如果有两个ABR，那么只在route-id大的ABR上进行，防环原因

OSPF的附录E：

在OSPF中会出现前缀一致，掩码不一致的三类LSA，如果这两个LSA的ADV一致，那么这两个LSA将无法区分，LSA的区分时看LINK-ID、ADV、TYPE是否一致；

解决办法：把掩码长的LSA,主机位置为1；

Router-LSA的flag字段：

Router-LSA必须描述和始发路由器所有接口或链路

Link State ID:是指始发路由器的路由器id

Flag:

V:设置为1时，说明始发路由器时一条或多条具有完全邻接关系的虚链路的一个端点

E:当始发路由器时一个ASBR路由器时，该位置为1

B：当始发路由器时一个ABR路由器时，该位置为1

Router-LSA的option字段：

option可选字段出现在每一个Hello数据包、DD和每个LSA中的；

option字段允许路由器和其他路由器进行一些可选性的通信；

Option字段包含的信息：

1）DN：用来避免环路；

2）O：支持Opaque LSA；

3）DC:支持按需链路；

4）EA:支持外部属性LSA；

5）N/P:对7类LSA的控制；

6）MC：支持MOSPF;

7）E：支持接收外部LSA；

8）MT:支持多拓扑OSPF

OSPF的虚链路：

1、连接远离骨干域的普通区域；（虚链路可以一直延申）

2、缝合断裂的骨干域（如下图，若区域0断开，则区域3在R2,R3上做虚链路）

stub router：把一个OSPF的路由器设置为stub router的话，该路由器发出的一类LSA cost值会设置为最大值65535

重发布：

工具：

1、前缀列表：是一种只能匹配路由条目的工具

10.1.0.0/24

10.1.0.0/16

10.1.0.0/22

用acl匹配10.1.0.0/16

acl 2000

rule 1 permit source 10.1.0.0 0.0.255.255 /10.1.0.0 0.0.0.0

上述两种写法都会把前三条路由匹配，第一种写法还会匹配第四条

0表示在乎，1表示不在乎

匹配奇数：xxxxxxx1 10.1.0.1 0.0.255.254

匹配偶数：10.1.0.0 0.0.255.254

ACL是一种用反掩码匹配的机制

前缀列表是一种用掩码匹配的机制

ip ip-prefix index 1 permit/deny 10.1.0.0 16

如何用前缀列表匹配一个范围地址

less-equal great-equal

匹配前三个路由：

ip ip-prefix index 1 permit/dent 10.1.0.0 16 great-equal 17 less-equal 24

所有IP地址：

ip ip-prefix index 1 permit 0.0.0.0 0 less-equal 32

ip ip-prefix index 1 permit 0.0.0.0 0 匹配默认路由

前缀列表不能用于匹配流量，ACL可以

2、route-policy—路由策略工具，可灵活地与ACL、IP-Prefix List、As-path-Filter等工具配合使用

route-policy RP deny node 10

if-match ip-prefix Pref1

route-policy-name(permit)deny node node

if-match(acl/cost/interface/ip next-hop/ip-prefix)

apply(cost/ip-address/next-hop/tag)

Route-Policy由若干个node构成，node之间是“或”关系，且每个node下可以有若干个if-match和apply子句，if-match之间是“与”的关系；

Route-Policy的每个node都有相应的permit模式或deny模式。如果是permit模式，则当路由项满足该node的所有if-match子句时，就被允许通过该node的过滤并执行该node的apply子句，且不再进入下一个node；如果路由项没有满足该node的所有if-match子句，则会进入下一个node继续过滤。如果时deny模式，则当路由项满足该node的所有if-match子句时，就会拒绝通过该node的过滤，这时的apply子句不会被执行，并且不进入下一个node；否则就进入下一个node继续进行过滤

上述图边界设备都会做重发布，其中R2,R3会做双向重发布

R2或R3去往10.5.5.5会出现次优路径，也就是R2/R3上的10.5.5.5的下一跳指向R1

解决方案有两种：

1、使用filter-policy在RIP侧过滤10.5.5.5的路由

2、使用preference家route-policy精确修改优先级

ip ip-filter p index 10 permit 10.5.5.5 32

route-policy p permit node 10

if-match ip-prefix p

apply preference 160

route-policy p permit node 20

perference routr-policy node 20

rip 1

perference route-policy p

六、交换技术：

一、交换的硬件构造：

1、内存式 2、矩阵式

二、交换机的转发表：

1、MAC转发表不直接参与数据转发

2、CAM表直接参与数据转发 CAM是做二元匹配，CAM芯片能够大大加快数据查找的速度

交换机MAC地址的形成：

1、手动、人工添加

[LSW1]mac-address static aaaa-bbbb-cccc GigabitEthernet 0/0/1 vlan 1

2、自动

进入交换机单播帧交换机将自动识别其源MAC地址，生成与进入接口对应的动态MAC地址映射，该动态表会在生成后开启一个计时器（5min),如果计数器时间内没有数据查找该条目那么将老化，如果有则刷新计数器；

mac-address aging-time 10 //修改老化计数器

3、黑洞

[LSW1]mac-address blackhole aaaa-bbbb-cccc

一种安全措施，该黑洞MAC会被交换机丢弃

交换MAC的查询：

1、单播数据帧能够在MAC表中查询到自己的目标MAC——精确转发

2、单播数据帧不能够在MAC表中查询到自己的目标MAC——洪泛转发---未知单播帧的洪泛

攻击手段：MAC地址洪泛攻击

原理是给交换机发送大量的垃圾帧MAC地址，是伪造的，迫使交换机在短时间内迅速把MAC地址表空间填满

3、组播与广播

默认都是洪泛转发，组播可用IGMP协议来精确转发

VLAN：在交换机上隔离不同广播域接口的技术

vlan的实现手段：

1、对MAC表分割，对物理交换机实现接口资源的虚拟化

2、使用802.1q技术进入交换机的数据帧做标记

交换机虚拟接口（SVI)类型：以下三种模式最大的差异在于配置的权限不同

1、access（接入）对进入该接口的空白帧做默认vlan标记，对于从该接口出去的标记帧剥离标记，如果进入该接口时携带vlan标记的帧，那么只有与默认vlan标记的一致的帧可以进入，不一致丢弃;（只能修改PVID;修改PVID，vlan list只能允许一个vlan进、出，就是PVID所在vlan；字母只能为U）

2、trunk（中继）对携带有标记的帧做保持操作，如果是trunk允许通过的标记是保持的，如果不允许则丢弃；（可以修改PVID、允许列表、允许列表中所有vlan为T，仅PVID为U）

3、hybrid（混杂）具有access与trunk的标记操作特性，也就是既可以保持标记也可以打标记，可以剥离标记；（可以修改PVID，允许列表，可修改字母）

4、qinq 双vlan标记

[Lsw1]interface Eth0/0/3

[Lsw1-interface Eth0/0/3]port hybrid pvid vlan 修改vlan3

[Lsw1-interface Eth0/0/3]port hybrid untagged vlan 3 4 5 添加允许列表3、4、5，同时定义其字母为U

[Lsw1-interface Eth0/0/3]port hybrid tagged vlan 7 8 9 添加允许列表7、8、9，同时定义其字母为T

交换机 vlan 的三层接口

三层交换机可实现一次路由多次交换，指的是不同vlan的pc在三层交换机上通信时，第一次需要向路由器查找路由表来实现通信，第二次开始就不需要查找路由表而是直接查找MAC表来通信；

二层交换机的工作原理：

当数据帧进入交换机后，交换机首先查看源MAC地址，然后将该MAC与数据帧进入的接口映射记录，到本地的MAC表中；再查看数据帧的目的MAC地址，然后基于目标MAC查询本地的MAC地址表；若表中存在记录，仅记录的接口单播复制该流量；若没有流量，默认将对该流量进行洪泛；

洪泛——除流量进入接口外，其他所有接口均复制同一流量；