一:MAC地址表
1 - MAC地址表的组成
<Huawei>dis mac-address
用于记录交换机转发二层数据帧的表项
控制层:MAC 地址与接口的对应关系,接 口所属 VLAN,来源
数据层:由 MAC 表同步下去的 CAM 表
转发原理: 单播转发 - MAC 表中能查询到目的 MAC
洪泛转发 - MAC 表中不能能查询到目的 MAC
MAC地址表的分类
动态表项(自动学习,默认老化时间300s)
静态表项(人工添加,不老化)
黑洞表项(手工配入,不老化,处理病毒)黑洞比拒绝速度快
2 - 端口安全
主要攻击方式
mac地址洪泛攻击:伪造大量mac地址,使mac表瘫痪,因为mac表的容量是有限的,交换机学习是没有识别能力的,攻击者发送大量伪造的mac地址,mac地址表被伪造的mac地址填满,而合法的mac因为没有mac表没有空间造成洪泛
mac 欺骗攻击:伪造别人的mac地址而获取一些特殊权限,伪造mac地址让交换机做出错误的接口记录。 因为学习时mac表中的mac地址变换了,就会将原有的记录删除,学习新的记录
端口安全原理
让交换机记录正确的mac地址并绑定在正确的接口上,且不能修改,一旦修改就会对接口做出惩罚(告警提示、丢弃流量、关闭接口)
端口安全通过将接口学习到的动态 MAC 地址转换为安全 MAC 地址,阻止非法用 户通过本接口和交换机通信
安全MAC地址分类
安全动态 MAC 地址:使能端口安全而未使能 Sticky MAC 功能时转换的 MAC 地址
安全静态 MAC 地址:使能端口安全时手工配置的静态 MAC 地址
Sticky MAC 地址:使能端口安全后又同时使能 Sticky MAC 功能后转换得到的 MAC 地址
3 - MAC 地址漂移
MAC 地址漂移是指设备上一个 VLAN 内有两个端口学习到同一个 MAC 地 址后学习到的 MAC 地址表项覆盖原 MAC 地址表项的现象
出现情况:设备出现 MAC 地址漂移时,设备 CPU 占用率会有不同程度的升高,正常情况下网络中不会在短时间内出现大量 MAC 地址漂移的情况。出现 这种现象一般都意味着网络中存在环路
避免方式:提高接口 MAC 地址学习优先级
不允许相同优先级的接口发生MAC地址表覆盖
MAC 地址漂移检测:利用 mac 地址出接口跳变现象,检测 mac 地址是否发生漂移现象的功能
二:免费ARP
设备主动使用自己的 IP 地址作为目的 IP 地址发送 ARP 请求(自我介绍)
IP 地址冲突检测
用于通告一个新的 MAC 地址,减少广播
在 VRRP 备份组中通告主备切换
三:MSTP
1 - STP 生成树
STP 通过阻塞端口来消除环路,并实现链路备份的目的
角色:交换机角色:1 - 根交换机 2 - 非根交换机
端口角色:1 - 根端口 2 - 指定端口 3 - 非指定端口
选举:根交换机 - - 参数: BID 》优先级(优先级+系统ID)+mac编号
规则:越小越优 先优先级然后mac
根端口 - - 参数:BPDU 》1 - cost(越小) 2 - 对端BID 3 - 对端PID 4 - 本地PID
规则:非根交换机在选举根端口时分别比较该端口的根路径开销(COST)、发 送方的 BID,发送方的 PID(当发送方一个端口与本端的 N 个端口之间用 hub 连接时),本端 PID(设备上的一个接口通过 hub 连接到另一个接口)进行选 举
指定端口 - - 非根交换机在选举指定端口是分别依据根路径开销、BID、PID。 未被选举为根端口或指定端口的预备端口,将会被阻塞
过程:1 - 选举一个根桥(Root)
2 - 每个非根交换机选举一个根端口(R)
3 - 每个网段选举一个指定端口(D)
4 - 阻塞非根、非指定端口(A)
状态:端口状态 Disable 关闭
Blocking 阻塞所有(花费 20s 等待所有 BPDU 后进入下个状态)
Listening 监听所有指定端口,选举指定接口,这个阶段所有端口角色均已确定,15s 后 进入下个状态
Learning 原有 MAC 表老化掉,开放了接口的数据转发功能,学习新的 MAC 地址, MAC 表重新形成
Forwarding 转发数据
BPDU生存时间:等别人的BPDU,BPDU生存时间最长的为20s
转发延时:端口选举时间15S等自己的BPDU能不能回来
收敛切换清除mac重新学习时间:25s
收敛时间30~50s
缺点 : 收敛慢,拓扑机制复杂,端口角色不足,端口状态可以精简
2 - RSTP 快速生成树
定义两个新端口角色:预备端口(Alternate Port)即根端口的备份
备份端口(Backup Port)即指定端口的备份
端口状态5个精简变为3个:Discarding-不转发用户流量也不学习 MAC 地址
Learning-不转发用户流量但是学习 MAC 地址
Forwarding-既转发用户流量又学习 MAC 地址
Blocking》Discarding改变为可以接受BPDU(包含根信息)
预约:竞选根端口失败》替换端口 竞争指定端口失败》备份端口 减少选举时间15s
主动P/A机制:其目的是使一个指定端口尽快进入 Forwarding 状态
特点:由于有来回确认机制和同步变量机制,就无需依靠计时器来保障无环(RSTP 在选举的过程中加入了 发起请求-回复同意 (P/A 机制)这种 确认机制,由于每个步骤有确认就不需要依赖计时器来保证网络拓扑无环才去转发,只需要考虑 BPDU 发送报文并计算无环拓扑的时间 (一般都是秒级))要求两台交换设备之间链路必须是点对点的全双工模式
当网络出现新路径》新路(p置位BPDU)关闭除边缘端口 防环》BPDU打败》回复A置位BPUD同意》转发
STP网络类型:p to p share(hub)
缺陷:局域网内所有 VLAN 共享一棵生成树,链路被阻塞后将不承载任何流量
(1-部分 VLAN 路径不同,VLAN 报文无法转发 2-v无法实现流量的负载分担 3-次优二层路径)
3 - MSTP 多生成树
mstp资源优化利用 资源复用 区域划分 减少单台设备算力
通过 BID 参数来解决分辨多颗生成树的 BPDU
MST 域内可以生成多棵生成树,每棵生成树都称为一个 MSTI(MSTP Instance 多生成树实例)。MSTI 之间彼此独立,且每个 MSTI 的计算过程基本 与 RSTP 的计算过程相同,默认下所有 VLAN 属于 instance 0
同一个 MST 域的设备具有下列特点:MSTP版本,name,level,划区一致(具有相同的 VLAN 到生成树实例映射配置)
MSTP 的特点
每个 MSTI 独立计算自己的生成树,互不干扰
每个 MSTI 的生成树计算方法与 STP 基本相同
每个 MS TI 的生成树可以有不同的根,不同的拓扑
每个 MSTI 在自己的生成树内发送 BPDU
每个 MSTI 的拓扑通过命令配置决定
每个端口在不同 MSTI 上的生成树参数可以不同
每个端口在不同 MSTI 上的角色、状态可以不同。
- CST 域间树
是连接交换网络内所有 MST 域的一棵生成树。如果把每个 MST 域看作是 一个节点 ,CST 就是这些节点通过 STP 或 RSTP 协议计算生成的一棵生树。 可以防止区域间的环路
- IST 域内树
是各 MST 域内的一棵生成树。IST 是一个特殊的 MSTI,MSTI 的 ID 为 0 ,通常称为 MSTIO
- SST 不支持mst
运行 STP 或 RSTP 的交换设备只能属于一个生成树; MST 域中只有一个 交换设备,这个交换设备构成单生成树
- CIST 总体树
所有 MST 域的 IST 加上 CST 就构成一棵完整的生成树,即 CIST
- 域根( Regional Root ) 分为 IST 域根和 MSTI 域根
在 MST 域中 IST 生成树中距离总根最近的交换设备是 IST 域根。 一个 MST 域内可以生成多棵生成树,每棵生成树都称为一个 MSTI。MST 域根是每个多生成树实例的树根
- 总根是 CIST 的根桥
- 主桥( Master Bridge )也就是 IST Master
它是域内距离总根最近的交换设备。如果总根在 MST 域中,则总根为该域 的主桥
建议instance 0配置在核心交换机
扫一扫
3379
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
