炭老弟家常菜

<Vlan備援與復原>
vlan資訊存於flash中的Vlan.dat
組態檔沒存vlan資料
查詢vlan.dat:show flash
※要將交換器所有vlan刪除,必需刪vlan.dat
※要備份完整vlan設定需備份vlan.dat及run組態檔

備份vlan資訊:
#copy flash: tftp:(將flah檔案備份到tftp server)
#copy tftp: flash:(將tftp server檔案復原到flah)

<Vlan Trunk Protocol>
交換器VTP功能預設為啟動
提供vlan資訊更新服務
常用VTP指令:
S(config)#vtp mode server(設定vtp為server模式)
S(config)#vtp domain ccna(設定vtp domain名稱為ccna)
S(config)#vtp password cisco(設定vtp密碼為cisco)
S(config-if)#switchport trunk native vlan 10(修改原生vlan為10)
S(config-if)#switchport trunk allowed vlan 10(只有vlan10能使用trunk連線)
S#show vtp status(查詢vtp狀態)
S#show vtp password(查詢vtp密碼)
S#show int fa0/1 switchport(查詢fa0/1連接port狀態)
S#show int trunk(查詢trunk port)

vtp運作條件:
1.交換器之間連線須為trunk
2.交換器之間要有一台作為server
3.所有交換器vtp domain名稱需一樣
4.若有設vtp密碼,則所有交換器需設相同密碼
※vtp更新資訊不包含連接port屬於哪一個vlan,只更新建立vlan的資料

<VTP模式>
1.Server:
可以一台以上
交換器預設的vtp模式
可建立.修改.刪除本地Vlan
產生vtp更新封包
接收其他vtp更新封包來修改本地Vlan
2.Client:
無法自行建立.修改.刪除本地vlan
無法產生vtp更新封包
可接收vtp更新封包,依據更新封包建立.修改.刪除本地vlan
3.Transparent:
只會協助傳送vtp封包
不根據vtp更新封包來修改本地vlan
可建立.修改.刪除本地vlan,但不產生vtp更新封包

※vtp domain為空值(NULL),vtp更新封包會強迫更新為其他名稱
※Configuration Revision越大,VTP資訊越新
※Client的Revision值若大於Server,則會發送VTP更新封包給Server

※VTP更新為覆蓋方式,可能會破壞原先交換器的vlan網路環境
解決:將Revision設為0,不影響vlan資訊
重設VTP Revision值的方法:
將vtp domain名稱更換,再換回來

設定vtp密碼:
密碼一樣才能收到vtp更新封包
指令:
S(config)#vtp password xxx
#show vtp password(vtp密碼不存在於run組態檔,存在vlan.dat)

<交換器Port-Security>
針對連接到交換器的電腦做連線的管理
可針對電腦的MAC或數目來做設定管理

port-security步驟:
1.在介面啟動port-security
2.設定MAC數量
3.設定那些MAC可連線到port(不一定需要同時設定數量,動態不須設定)
4.設定違反的Port要如何動作(protect/restrict/shutdown)

常用指令:
手動設定連接port為存取模式
S(config-if):switchport made access(一定為access,不能為trunk.DTP)
啟動介面port-security
S(config-if):switchport port-security
限定安全MAC數目為2
S(config-if):switchport port-security maximum 2
手動設定靜態安全MAC
S(config-if):switchport port-security mac-address H.H.H
設定粘滯安全MAC(會記錄到run中)
S(config-if):switchport port-security mac-address sticky
設定違反安全原則為shutdown模式
S(config-if):switchport port-security violation shutdown
查看交換器上mac table
S#show mac-address-table
清除交換器上mac table(靜態設定的安全MAC不會被移出secure MAC table)
S#clear mac-address-table
查看Secure MAC table
S#show pory-security address
清除Secure MAC table
S#claer pory-security all
查詢fa0/1的port-security狀態
S#show pory-security int fa0/1

<違反安全Mac處理模式(violation)>
protect:
將超過MAC允許數量的封包丟棄,直至增加最大MAC數或移除足夠數量的安全MAC
restrict:
將超過MAC允許數量的封包丟棄
發送安全違規通知(SNMP.syslog).違規計數器的計數增加(security violation count)
shutdown:
預設為shutdown
介面變為錯誤停用(error-disabled)
發送安全違規通知
重啟介面需先shutdown再no shutdown

<擴張數樹定STP>
Spanning-Tree Protocol
解決邏輯迴圈
實體連線還在,邏輯上將迴圈路徑封鎖(Block)
確保所有目的地之間只有一條邏輯路徑
提供備援會重新計算路徑,將封鎖的port解除

多餘架構(Redundant Topology):
備援機制
有迴圈問題,最嚴重為廣播風暴(broadacast storm)
※廣播風暴:交換器收到廣播封包會flooding,若有迴圈則一直flooding到當機

常用指令:
調整交換器的BID Priority為28672
S(config)#spanning-tree vlan 1 priority 28672
設定交換器為root交換器
S(config)#spanning-tree vlan 1 root primary
交換器中所有的port都啟動PortFast
S(config)#spanning-tree portfast default
將該介面啟動PortFast
S(config-if)#spanning-tree portfast
查詢STP執行狀況
S#show spanning-tree
只查詢vlan 10的STP執行狀況
S#show spanning-tree vlan 10

<STP運作>
預設是啟動
連線閃橘燈表示開始STP,綠燈表示STP計算完成
1.選擇根交換器(Root Bridge):
BID(Bridge ID)最小優先權的值當根交換器
若優先權一樣則比較MAC值最小的
每個廣播區域只有一個根交換器
2.選擇根連接port(Root Port):
每台非根交換器都有一個根連接Port
非根交換器使用路徑成本,最小的port當RP
若路徑成本一樣,根據port往上接的交換器BID及port ID做比較
3.選擇委任連接port(Designated Port):
每個LAN區段只有一個Designated Port
若LAN區段有兩個DP,根據交換器之間的最低連接port成本及BID決定
4.選擇非委任連接port(Non-designated port):
未被選為委任連接port就被設定為非委任連接port
此port會被封鎖

STP封包:
BPDU(Bridge Protocol Data Unit)

BID欄位:
Bridge Priority(2bytes)Mac Address(6bytes)

※STP的比較都是最小值獲勝
※BID的Priority預設都一樣,所以直接比較MAC
※RB的Port一律都是DP

修改BID Priority:
調整時必須以4096的倍數

<Port State>
Switch啟動進入狀態順序
1.
Block:
STP開始運作時先進入Block
不能轉送資料,但可接收BPDU
2.
Listen:
接收BPDU,發送自己的BPDU
通知鄰居準備參與STP
Learn:
即將可以轉送資料
開始學習MAC至MAC Table中
3.
Forward:
正常轉送資訊
發送和接收BPDU
Disable:
該port由管理者關閉
停用連接port
不參與STP

<多個虛擬網路STP(Per Vlan Spanning tree)>
每個vlan有自己的STP root.Rort Rule

STP版本
1.cisco版本:
每個vlan獨立執行,有自己root.port state
PVST
Rapid PVST
2.IEEE版本:
不管交換器的vlan數目
STP
RSTP

查詢STP總表:
S#show spanning-tree summary

交換器資料流量平衡:
讓每個vlan的root交換器為不同台交換器
指定Vlan 10的root交換器
S(config)#spanning-tree vlan 10 root primary
指定Vlan 20的root交換器
S(config)#spanning-tree vlan 10 root primary

STP root交換器備援:
不建議自己規劃BID priority
使用root primary或root secondary自動幫忙算出合適BID priority
指令:
S(config)#spanning-tree vlan X root secondary

<STP BPDU Guard>
交換器網路介面啟動BPDU Guard,即不會收到BPDU封包
介面進入Error Disable狀態,並將該port關閉
PT模擬器不支援
指令:
交換器預設啟動BPDU Guard
S(config)#spanning portfast bdpugard default
在fa0/1啟動BPDU Guard功能
S(config)#int fa0/1
S(config)#spanning-tree bpduguard enable
停用BPDU Guard功能
S(config)#spanning-tree bpduguard disable

※Error Disable關閉的port,啟動需先shutdown再no shutdown

<STP PortFast>
若port是連接終端設備,如PC.工作站則不會有迴圈
需將STP關閉,跳過STP運作,讓設備能立即使用網路
從封鎖狀態直接轉換到轉送狀態
搭配BPDU Guard防守收到BPDU封包

PortFast啟動分為全部啟動與特定port:
所有port啟動PortFast(一般不建議)
S(config)#spanning portfast default
將fa0/1啟動PortFast
S(config)#int fa0/1
S(config)#spanning-tree portfast

規劃PortFast:
S(config)#int range fa0/1-10
S(config-if-range)#spanning-tree portfast
S(config-if-range)#spanning-tree portfast

<Rapid STP,RSTP>
STP IEEE802.1D缺點收斂時間長,Port state轉換依賴計時器(Timer)
RSTP IEEE802.1W Port state轉換使用主動協商(Proposal&Agreement)

RSTP Port state:
1.丟棄(Discard)
原STP狀態的停用.封鎖.接收
2.學習(Learn)
學習MAC位址
3.轉送(Forward)
學習MAC位址

RSTP Port Role:
取消NDP角色,新增Alternate Port與Backup Port