




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、第一章:二層交換:生成樹的增強(qiáng)(BPDU防護(hù)過濾,根防護(hù)) (2014-09-26 09:33:57)轉(zhuǎn)載標(biāo)簽: ccie cisco分類: 網(wǎng)絡(luò)技術(shù)以下提到的STP代表了所有生成樹協(xié)議。STP用于防環(huán),但是有一個(gè)基礎(chǔ),就是軟件硬件都沒有問題。軟件一般就是指配置錯(cuò)誤、bug,而硬件一般是指雙向通訊故障,比如光纖兩根線路,一根上行一根下行,如果斷了一根就變成了單向通訊了。簡單來說,這些問題引起的后果,就是不該收到BPDU收到了,該收到BPDU的接口沒有收到=如果本該是接著終端,并啟用了portfast的端口,被誤接了交換機(jī),就會(huì)引起了二層的環(huán)路。有兩個(gè)工具
2、可以防止這種情況· BPDU GUARD· BPDU FILTER=先來說BPDU GUARD(下簡稱BG)當(dāng)配置了BG后,在portfast的接入接口收到BPDU,立即置為err_disabled。兩種配置方法全局配置: sw4(config)#spanning-tree portfast bpduguard default默認(rèn)所有portfast的接口,都啟用BG。接口配置:sw4(config-if)#spanning-tree bpduguard enable無論接口是否啟用了portfast,都啟用BGP如果需要把err_disable恢復(fù)過來,可以shutdow
3、n再no shutdown接口,但如果配置仍是錯(cuò)誤,接口還是會(huì)被err_disabled實(shí)驗(yàn):sw4(config-if)#spanning-tree bpduguard enable6d01h: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/8 with BPDU Guard enabled. Disabling port.6d01h: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/8, putting Fa0/8 in err-disable stat
4、e6d01h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down6d01h: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down查看端口狀態(tài)sw4#show interfaces status err-disabledPort Name Status ReasonFa0/8 err-disabled bpduguard設(shè)置自動(dòng)恢復(fù)sw4(config)#errdisable recovery c
5、ause bpduguard默認(rèn)300秒后自動(dòng)恢復(fù),但如果問題依舊,還是會(huì)err_disabled。=BPDU FILTER(下簡稱BF)不同的配置方式,有不同的作用如果在全局模式下配置,所有啟用了portfast的端口如果接收到了BPDU,會(huì)立即禁用portfast,并使端口參與STP運(yùn)算,成為STP端口;如果在接口模式下配置,那么接口將不會(huì)發(fā)送BPDU,而如果接收到BPDU,會(huì)無視掉,不會(huì)改變接入端口的角色。全局配置命令:sw4(config)#spanning-tree portfast bpdufilter default接口配置命令:sw4(config-if)#spanning-t
6、ree bpdufilter enable注意,兩種配置方式的作用差異很大,我一般建議在接入接口上啟用第二種。=根防護(hù)(ROOT GUARD,下稱RG)當(dāng)在一個(gè)穩(wěn)定的交換網(wǎng)絡(luò)中,加入一臺(tái)新的交換機(jī),而這臺(tái)新交換機(jī)有可能搶奪根橋位置。設(shè)置了根防護(hù)的接口,可以防止成為根端口?;叵胍幌率裁词歉丝?,就是去往根橋并處于轉(zhuǎn)發(fā)狀態(tài)的接口。如上圖,那么新交換機(jī)D接入網(wǎng)絡(luò)后,如果它并沒有搶奪到根橋位置,則相安無事,正常轉(zhuǎn)發(fā);如果它搶奪根橋,發(fā)出更優(yōu)的BPDU,C將接著D的接口block掉,但只會(huì)block掉根橋所在vlan,舉例,D并不打算成為VLAN1的根橋,而要成為VLAN99的根橋,那么C就會(huì)在VLAN
7、99的生成樹中,把那個(gè)端口置為blocking,注意不是err_disabled,因?yàn)槠渌鹶lan的生成樹里它可能是正常的,如VLAN1。只要D不再發(fā)出更優(yōu)的BPDU,SW C會(huì)立即停止阻塞這個(gè)端口上的相應(yīng)VLAN的BPDU。實(shí)驗(yàn):拓?fù)湓赟W3的對(duì)應(yīng)接口上設(shè)置root guard,并開啟debugsw3(config)#int f0/7sw3(config-if)#spanning-tree guard rootsw3#debug spanning-tree eventsSpanning Tree event debugging is on 在SW4上修改優(yōu)先級(jí),使SW4搶奪根橋位置
8、sw4(config)#spanning-tree vlan 1 root primary 看SW3的debug和生成樹信息*Mar 7 18:47:39.759: STP: VLAN0001 heard root 24577-001a.a10b.7a00 on Fa0/7*Mar 7 18:47:39.759: 6d18h: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port FastEthernet0/7 on VLAN00
9、01.sw3#*Mar 7 18:47:39.763: STP: VLAN0001 Fa0/7 -> blockingsw3#*Mar 7 18:47:41.763: STP: VLAN0001 heard root 24577-001a.a10b.7a00 on Fa0/7*Mar 7 18:47:41.763: . sw3#show spanning-tree vlan 1VLAN0001 Spanning tree enable
10、d protocol ieee Root ID Priority 32769 Address This bridge
11、is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
12、60; Address Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec &
13、#160; Aging Time 300Interface Role Sts Cost Prio.Nbr Type- - - - - -Fa0/7 Desg BKN*19
14、60; 128.7 P2p *ROOT_Inc sw3#show spanning-tree inconsistentportsName Interface
15、0; Inconsistency- - -VLAN0001 FastEthernet0/7 Root InconsistentNumber of inconsistent ports (segments) in the system : 1 將SW
16、4改回去sw4(config)#no spanning-tree vlan 1 root primary 再看SW3的debug信息,可以見到sw3不再收到SW4的更優(yōu)BPDU后自動(dòng)恢復(fù)接口的狀態(tài)。sw3#6d18h: %SPANTREE-2-ROOTGUARD_UNBLOCK: Root guard unblocking port FastEthernet0/7 on VLAN0001.sw3#*Mar 7 18:54:22.723: STP: VLAN0001 Fa0/7 -> listening*Mar 7 18:54:37.7
17、23: STP: VLAN0001 Fa0/7 -> learning*Mar 7 18:54:52.723: STP: VLAN0001 Fa0/7 -> forwarding 注意,root guard不能只針對(duì)特定VLAN啟用,而是對(duì)全部VLAN,不過在RG工作中,只會(huì)block掉嘗試成為根端口的那個(gè)VLAN的BPDU和流量。第二章:生成樹的優(yōu)化我們都知道一個(gè)網(wǎng)絡(luò)優(yōu)化的好壞,影響整個(gè)網(wǎng)絡(luò)的性能,所以生成樹協(xié)議的優(yōu)化在網(wǎng)絡(luò)中是十分重要的,下面我們說說生成樹的優(yōu)化及其增強(qiáng)特性。工具/原料· STP相關(guān)資料方法/步驟1. 1由于生成樹也有許
18、多不能解決的問題:比如1.802.1d不能阻止有問題的交換機(jī)成為根網(wǎng)橋2.不具備從特定端口過濾BPDU的特性3.網(wǎng)絡(luò)設(shè)備故障會(huì)使網(wǎng)絡(luò)中產(chǎn)生橋接環(huán)路和黑洞4.某些故障會(huì)干擾生成樹所以生成樹的優(yōu)化是必須做的。2. 2BPDU防護(hù): 防止交換機(jī)意外連接到了啟用了PORTFAST特性的端口。如果接口啟用了PORTFAST特性,那么當(dāng)該接口收到BPDU的時(shí)候,BPDU防護(hù)功能就會(huì)使其進(jìn)入“err-disable”狀態(tài),而不是將其blocking,以防產(chǎn)生橋接環(huán)路。直到管理員手動(dòng)打開該端口。管理員也可以設(shè)置超時(shí)時(shí)間間隔,當(dāng)端口進(jìn)入“err-disable”狀態(tài)之后,超過時(shí)間間隔,端口會(huì)再次打開,
19、如果這時(shí)候仍舊接收到BPDU,BPDU防護(hù)特性會(huì)再次將其關(guān)閉BPDU防護(hù)有兩種啟用方式:1)全局啟用:(no)spanning-tree portfast edge bpduguard default,這個(gè)是在所有開啟了PORTFAST的端口上啟用BPDU防護(hù),前提是,已經(jīng)開啟了PORTFAST2)端口啟用:spanning-tree bpduguard enable,這個(gè)只在當(dāng)前端口啟用,這個(gè)無需先配置PORTFAST3. 3BPDU過濾(不 發(fā)): 當(dāng)交換機(jī)直接與主機(jī)相連的時(shí)候,這個(gè)時(shí)候是不需要向主機(jī)發(fā)送BPDU的,因?yàn)橹鳈C(jī)不參與拓?fù)涞挠?jì)算,所以發(fā)過去還是會(huì)丟棄,白白的浪費(fèi)資源,因此還不如
20、不發(fā)。1)全局啟用:(no)spanning-tree portfast bpdufilter default。全局啟用會(huì)作用于交換機(jī)上所有處于工作狀態(tài),且沒有單獨(dú)在接口底下配置BPDU過濾特性的PORTFAST端口(也就是說要想全局啟用生效,端口必須先配置PORTFAST屬性)。如果這個(gè)端口收到了BPDU,那么他們就不再處于PortFast狀態(tài),BPDU過濾特性也將被禁用,然后開始和其他STP接口一樣收發(fā)BPDU。在啟動(dòng)的時(shí)候,端口會(huì)傳輸10個(gè)BPDU數(shù)據(jù)包,如果這個(gè)端口在這個(gè)時(shí)間內(nèi)收到了BPDU數(shù)據(jù)包,那么同樣會(huì)退出PortFast狀態(tài)并且禁用BPDU過濾特性。2)端口啟用:spannin
21、g-tree bpdufilter enable。端口會(huì)忽略收到的BPDU數(shù)據(jù)包,也不會(huì)發(fā)送任何BPDU數(shù)據(jù)包,這個(gè)不需要預(yù)先開啟portfast特性。BPDU過濾優(yōu)先級(jí)高于BPDU防護(hù),當(dāng)有BPDU過濾的時(shí)候,BPDU防護(hù)將不生效4. 4根防護(hù)(不建立):當(dāng)一個(gè)具有更高優(yōu)先級(jí)的網(wǎng)橋接入當(dāng)前網(wǎng)絡(luò)的時(shí)候,會(huì)造成當(dāng)前網(wǎng)絡(luò)拓?fù)涞淖兓?,?dǎo)致一系列事情的發(fā)生。根保護(hù)的目的是確保根保護(hù)的端口成為指定端口,如果啟用了根防護(hù)的端口上收到了一個(gè)更優(yōu)的BPDU,則這個(gè)端口會(huì)進(jìn)入不一致根的狀態(tài)(等效于blocking狀態(tài)),這時(shí)候不會(huì)處理BPDU,也就是說新的BPDU不會(huì)得到傳播,也就不會(huì)競選根網(wǎng)橋,這樣就保證了原有拓?fù)涞姆€(wěn)定性。這個(gè)時(shí)候,處于不一致根狀態(tài)的的端口還
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025屆山東省泰安肥城市高二下化學(xué)期末檢測(cè)模擬試題含解析
- 供應(yīng)工業(yè)冷庫管理辦法
- 數(shù)據(jù)湖成本控制-洞察及研究
- 檔案數(shù)據(jù)追溯管理辦法
- 公安舉報(bào)投訴管理辦法
- 貨物裝卸機(jī)械使用安全守則
- 智能化農(nóng)用機(jī)器人及其人機(jī)交互優(yōu)化-洞察及研究
- 醫(yī)療幫扶專家管理辦法
- 信用評(píng)級(jí)機(jī)構(gòu)競爭態(tài)勢(shì)與公司債券發(fā)行上市審核探析
- 公安職工餐廳管理辦法
- 2025年中國LTCC技術(shù)行業(yè)市場(chǎng)現(xiàn)狀、前景分析研究報(bào)告(智研咨詢發(fā)布)
- 租賃住房培訓(xùn)課件下載
- 房管員試題資料
- 2024年蘇州昆山國創(chuàng)投資集團(tuán)有限公司招聘筆試真題
- 商場(chǎng)吸煙區(qū)管理制度
- 糖尿病足截肢術(shù)后護(hù)理
- 廣東省東莞市2022-2023學(xué)年高二下學(xué)期期末物理試題(含答案)
- 公司第四季度安委會(huì)會(huì)議匯報(bào)材料課件
- 2025年農(nóng)業(yè)技術(shù)員考試試題及答案
- 【詩歌鑒賞】2025屆高三下4月名校模考試題
- 小學(xué)生書法知識(shí)講座課件
評(píng)論
0/150
提交評(píng)論