交换机收到frame后,先查看是否有VACL

如果有的话,先通过VACL,在查表进行转发

VACL:VLAN的ACL,该功能一般在三层交换机上菜有

VACL抓取IP和MAC 动作有转发和丢弃两个

access-list 4 permit 100.1.1.3

vlan access-map A 序号

match ip address 4

action drop


调用:

vlan filter A vlan-list 100


思考:是否可以同VACL,来实现VLAN之间互访的限制???????


mac access-list extended MAC

permit host xxxx.xxxx.xxxx any

vlan access-map A

match ip mac MAC

action drop

注意点:基于MAC的VACL,如果之前设备已经有相关的arp表项的话,VACL就不起作用了


HASH的特点:

1、不可逆

2、不等长输入,等长输出


三层交换机的MAC表就不叫CAM表了,而是TCAM表


netflow:一次路由,多次交换,比较老的技术


转发方式:

1、集中式,转发由中央处理器来统一转发 ,老式的方法

2、分布式,转发卡来转发


进程级交换:通过CPU去处理

ASIC级交换:属于硬件交换,由专门的转发硬件来处理


CEF:

控制层面,有张FIB表和邻居表

FIB作用:

1、可以被ASIC调用

2、解决递归

3、扩展 MPLS


邻居表:把ARP表项的复制

启用CEF的命令:全局ip cef

show ip cef 查看FIB表

show ip cef detail查看CEF详细列表

show ajacency 查看邻居表

show ajacency detail查看邻居表详细信息


在同一台交换设备上VLAN的MAC地址是一样,它属于设备的管理MAC地址


ARP throttling ARP的抑制

当ARP request 没有被回应,就会继续发送,为了抑制这种广播报文的传播的一种抑制机制


SPAN:switched port analyzer

monitor session 1 source interface f0/1

monitor session 1 destination interface f0/2


跨设备SPAN

写抓取包的源

monitor session 1  destination remote vlan 100

monitor session 1  destination remote vlan 100 reflector-port 空接口 老设备需要配置,新的不用

vlan 100

remote-span


另一个设备上的配置:

vlan 100

remote-span

monitor session 1 source remote vlan 100

monitor session 1 destination interface f0/2


NTP:网络时间协议,用于同步时钟

NTP用到UDP端口号123,目前版本4


ntp master 默认层级为8 数字越小,层级越低

ntp server x.x.x.x   x.x.x.x需要路由可达

show ntp status

和次级时钟同步:

ntp peer x.x.x.x