RSTP、 EtherChannel、私有VLAN等做一下总结笔记

复习了下，有的地方写不是很细，或者表达的不是很明白。若有错误望前辈指出
也是希望自己以后忘了可以方便复习

首先

端到端VLAN与本地VLAN

端到端VLAN
是各VLAN遍布整个网络所有位置，无论用户的物理位置在哪都可以划进各个VLAN
就是在接入层的交换机上做了vlan。不同端口走的是不同的vlan。然后其他路都做的Trunk

本地VLAN
只要这些用户与一组位于相同地理位置的交换机相连，那么他们都会被划分进一个单独的VLAN。也就是接入层的交换机是没有做vlan的。所有接口都是一个vlan中。

本地VLAN优点：
轻松判断数据流
灵活的冗余路径
高可用性
有限故障域
设计方案扩展性强

设计VLAN的最佳做法

1、对于本地VLAN模型来说，一般推荐设计者在每个模块上使用1~3个VLAN，然后将这些VLAN限制在几台接入层交换机和分布层交换的范围内
2、不要将VLAN1作为未使用端口的黑洞。要将这些不使用的端口划分到其他VLAN中，只要不是VLAN1就好。
3、尽量将语言VLAN、数据VLAN、管理VLAN、Native VLAN、黑洞VLAN和默认VLAN（VLAN1）分开
4、在本地VLAN模型中，不要使用VTP。管理员可以用手动的方式配置Trunk上允许哪些VLAN
5、对于Trunk端口来说，应该关闭DTP并且手动对其进行配置。并且使用802.1Q
6、手动配置那些不打算用于Trunk链路的Access端口
7、阻止所有来自VLAN1的数据流量；VLAN1上只允许运行控制协议
8、出于安全性的考虑，不要使用Telent，但可以使管理VLAN支持SSH协议

设置封装协议：

switchport trunk encapsulation dot1q

交换机每5分组就会通过管理VLAN组播VTP汇总

每台交换机只能过支持单个VTP域

VTP域内是版本修订号高的向低的发更新

交换机发送VTP通过请求消息：
1、交换机重启
2、VTP域名被修改
3、交换机收到了一条VTP汇总通过消息，且该消息的配置修订号高于其自身的修订号

私有VLAN

私有VLAN类似私有地址，在一个vlan下划分vlan。不这么做的话，光分
不同ip段一个vlan，还要实现通信不如私有vlan。
主VLAN就是整个VLAN域，整个私有VLAN域同处于一个网段。然后用辅助VLAN来实现隔离。
就是把一个vlan二层广播域划分为多个子域，每个子域包含一对PVLAN；即一个主vlan和从vlan
*杂合端口一般是一个路由接口。可以与所有通信。

私有VLAN技术可以隔离同一个IP子网内的二层设备
虽然有些设备属于一个VLAN，但他们之间却不能通信
3种端口分为：
孤立、杂合、团体
孤立端口只能与杂合端口通信，杂合端口可以与所有端口通信，不同团体不能通信
VLAN划分：
主VLAN与辅助VLAN

辅助VLAN又分为孤立VLAN和团体VLAN，分别放有孤立端口和团体端口

每个辅助VLAN都是主VLAN的附属VLAN，他们会被映射给主VLAN，而每台设备都会与辅助VLAN相连
*一个杂合端口只能为一个主VLAN提供服务
*每个pVLAN中只能有一个孤立VLAN

Cisoc IOS配置pVLAN：

Switch(config)# vlan pvlan-id//进入VLAN全局模式配置pVLANSwitch(config-vlan)# private-vlan {community | isolated | primary}//将VLAN类型设置为pVLANSwitch(config-vlan)# exit//退出配置模式Switch(config)# vlan primary-vlan-id//进入VLAN全局模式来配置主VLANSwitch(config-vlan)# private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}//如果配置主VLAN，要确保有二层辅助VLAN关联到主VLAN。Switch(config-if)# interface type slot/port//选择用来充当pVLAN主机或杂合端口的LAN端口Switch(config-if)# switchport mode private-vlan {host | promiscuous}//将二层端口配置为pVLAN的主机端口或杂合端口Switch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id//为了能够访问pVLAN的端口，需要将团体或孤立私用VLAN关联给pVLANSwitch(config-if)# switchport private-vlan mapping primary-vlan-id {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}//将杂合端口映射到pVLAN

在单交换机的环境中配置私有VLAN:

Switch(config)# vtp transparent//先设置为透明模式Switch(config)# vlan 201Switch(config-vlan)# private-vlan isolated//孤立VLANSwitch(config)# vlan 202Switch(config-vlan)# private-vlan community//团体VLANSwitch(config)# vlan 100Switch(config-vlan)# private-vlan primary//主VLANSwitch(config-vlan)# private-vlan association 201,202Switch(config)# interface fastethernet 0/24Switch(config-if)# switchport mode private-vlan promiscuousSwitch(config-if)# switchport private-vlan mapping 100 201,202Switch(config)# interface range fastethernet 0/1 - 2Switch(config-if)# switchport mode private-vlan hostSwitch(config-if)# switchport private-vlan host-association 100 202Switch(config)# interface range fastethernet 0/3 - 4Switch(config-if)# switchport mode private-vlan hostSwitch(config-if)# switchport private-vlan host-association 100 201

有些低端交换机不支持私有VLAN，但是可以用端口保护特性。
即 流量只在受保护端口和不受保护端口之间以及两个不受保护的端口之间流动

EtherChannel

链路聚合，最多8条。生成树看到的是一条逻辑链路。
*两端的端口配置必须相同
*端口ID是由端口优先级和端口标识符来创建的

EtherChannel指导方针

支持EtherChannel、速率及双工、交换端口分析器、
三层EtherChannel、VLAN匹配、VLAN的取值范围、STP路径开销、端口通道与接口配置的对比

。。。。具体的在书93页

配置：

Switch(config)# interface fastethernet 0/23Switch(config-if)# channel-group 2 mode onSwitch(config)# interface fastethernet 0/24Switch(config-if)# channel-group 2 mode onSwitch(config)# interface port-channel 2Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk native VLAN 99Switch(config-if)# switchport trunk allowed VLAN 2,3,99RSwitch(config)# interface fastethernet 0/23RSwitch(config-if)# channel-group 5 mode onRSwitch(config)# interface fastethernet 0/24RSwitch(config-if)# channel-group 5 mode onRSwitch(config)# interface port-channel 5RSwitch(config-if)# switchport mode trunkRSwitch(config-if)# switchport trunk native VLAN 99RSwitch(config-if)# switchport trunk allowed VLAN 2,3,99

要注意的：
在EtherChannel中的所有接口都必须分进一个VLAN中，或者将其设置为Trunk端口，且本征VLAN也要匹配。而且所有接口必须是工作在同一个速率及双工模式下。

EtherChannel实现分担流量方法，因交换机不同而不同：、
2960、3560、3750：src-mac 基于mac转发
4550、6500：src-dst-ip 基于源目的ip地址转发（默认）

源MAC转发是指当数据包被发送给EtherChannel时，设备会根据入站数据包的源MAC地址来判断应该将数据包从通道的哪个端口转发出去。

生成树~

RSTP标准 ：802.1w
MSTP标准：802.1s
STP标准 ：802.1d

20s的阻塞
接收BPDU

15s的侦听
从阻塞变过来，确定该端口是用来转发的。发自己的BPDU
注意：不是数据帧

15s的学习
准备参与数据帧的转发，并开始填写CAM表

转发：处于活跃抓个图，转发数据帧+BPDU
禁用：就是关闭了

先全阻塞，然后交流协商，改变状态。
*开销是进加出不加

RSTP

BPDU

在交换机、交换机端口或LAN出现故障之后，RSTP能够提供快速连接的能力。

端口状态：
丢弃：阻断
学习：接收数据帧，并填写CAM表（以对未知单播帧的泛洪行为进行限制）
转发：只有完成了提议和达成协议的进程之后，数据帧才开始转发

*处于侦听状态的端口不是指定端口就是根端口，而且迟早会进入转发状态
*RSTP的阻塞状态的端口和侦听状态的端口没有区别，都丢数据帧

RSTP的端口角色：
根端口
指定端口
替代端口
备用端口
前两个转发，后两个是阻塞的

根端口：非根网桥与根网桥相连的端口，根端口在稳定工作状态的拓扑中处于转发状态。

指定端口：每个网段只能有一个指定端口，有指定端口的交换机称为指定交换机，它会在这个网段中接收去往根桥的数据帧，在这个网段中相连的所有交换机都会侦听BPDU，并以此判断自己是否是指定交换机。指定端口会处于转发状态。

替代端口：前往根网桥的替代路径，与根端口的路径不同，它出现在非指定交换机上。该路径的成本比根端口的路径成本高，在当前指定端口出现故障的时候过渡为指定端口。在稳定工作状态的拓扑中处于丢弃状态。

备份端口：是指定交换机上的一个额外的端口，用来为指定交换机上的的那个网段提供备份链路，在稳定状态的拓扑中也处于丢弃状态，该端口的端口ID高于指定端口的端口ID。

链路状态可以自动通过端口的双工模式来获得
链路类型：
点到点
全双工即点到点链路，快速过渡到转发状态

共享
半双工

根端口：
不使用链路类型，一旦端口收到了根的BPDU，根端口可以快速过渡到转发状态，非指定直接阻塞（同步）

指定端口：只有当链路类型参数表明这是一条点到点链路时，指定端口才能过渡到转发状态

边缘端口 PortFast
启用后，他会快速过渡到转发状态 与终端相连

边缘端口收到BPDU时，他会变成一个普通的生成树端口，并会生成一个拓扑变更通告（TCN）消息

*假设根网桥和交换机A之间创建了一条新的链路，那么这条链路两端的端口都会进入指定阻塞状态，直到他们从对方那里收到一个BPDU消息

STP的三个计时器：

1、hello时间 发生BPDU的时间间隔 2s
2、转发远驰 一个端口的侦听和学习时间 15s
3、端口老化时间 20s

STP拓扑变更机制：

拓扑变化时，交换机每隔hello时间间隔发送TCNBPDU，直到收到上游邻居的确认，上游邻居收到TCN以后也向根桥方向传播并发送确认。根桥收到TCN以后发送确认。然后发送TC指出拓扑变化，所有交换机将老化时间间隔从300秒缩短到转发时间延迟，以避免黑洞。

1）当交换机检测到拓扑变化后, 发送TCN给root bridge,TCN是通过root port向root bridge方向发出的.（每隔2秒）
2）当交换机从它的designate port接收到TCN类BPDU时,它必须为其做转发,从它自已的root port上发送出去TCN类型的BPDU包，这样一级一级地传到root bridge。
3）无论是哪台交换机从它的designate port上收到了TCN类型的BPDU包,它都必须给一个回复,从designate port上发出TCA位被置1的普通configuration BPDU包（TCA）
4）当TCN到达ROOT BRIDGE后,root bridge会发出一个正常的configuration BPDU包,但是包内的TC字段会被置1（TC）, 表示发现拓扑变化.这个包会被所有交换机转发,同样的TC位会置1,直至传遍全网,所有交换机都得知拓扑变化为止.
5）所有得知的交换机会将MAC地址表老化时间从默认的300秒缩短为转发延迟值15秒。

说简单点就是变了的交换机向上交换机发TCN，上级交换机回应TCA。
然后上级交换机再向上传递TCN.他的上面也会回应他一个TCA。
一直传到根交换机。
然后根交换机再向外发TC，依次传出去。

1、根桥的选择能否控制？如何进行？
手工设置优先级的值；手工指定主根桥和辅助根桥
Spanning-tree vlan XX priority XX (优先级取值只能是4096的倍数)
Spanning-tree vlan XX root {primary|secondary}[diameter XX]
2、根端口的选举能否控制？如何进行？
可以通过命令设置交换机端口的路径成本，接口模式下
Spanning-tree vlan XX cost XX
3、指定端口的选举能否控制？如何进行？
通过端口优先级的修改，接口模式下
Spanning-tree vlan XX port-priority XX
4、生成树的汇聚时间能否控制？如何进行？
手工配置STP定时器Spanning-tree vlan XX hello-time XX 等

STP选出无环路网络的三个步骤：选根桥、选RP、选DP
三种端口角色：根端口、指定端口、非指定端口
STP路径开销（如何计算？）：进入累加
端口的四种状态：阻塞、侦听、学习、转发
BDPU的三种计时器：Hello、转发延迟、最大寿命
BPDU格式和BPDU分类（配置BPDU/TC/TCA/TCN）（BPDU格式以及内容）
STP拓扑变化引起的收敛过程和时间（TCN、TCA、TC的应用）

**决策过程：**Four-Step Spanning-Tree Decision Process
Lowest RID：最低的根桥ID
Lowest path cost to root bridge:最低的根路径代价
Lowest sender BID：最低发送者桥ID
Lowest sender port ID（选小的）：最低发送者端口ID

PortFast使得被配置为二层Access端口的接口立即进入转发状态，也就是绕过侦听和学习状态。

在全局启用PortFast只会影响Access端口，而不影响Trunk端口

spanning-tree portfast default

配置为生成树的主根交换机：

spanning-tree vlan vlan-id root primary

在只包含偶两台直连RSTP交换机的网络拓扑中，典型的收敛时间少于1s。

BPDU防护依赖于PortFast

根防护特性从不一致根是自动恢复过来的

STP选出无欢路径的三个步骤发生在阻塞状态的20s。

STP定时器默认的计算机网络直径是7

Mac地址可以放入CAM表中但不能接收和发送数据这是STP的哪一种状态？
学习

指定端口和备用端口查看：

无论是否收到来自根桥的BPDU,交换机的所有端口都会每隔2秒发送一条BPDU,如果连续三次（6秒）没有收到BPDU就认为邻接交换机丢失

RSTP BPDU Flag Byte Use

在RSTP处理生成树会聚时，通过点到点链路传播握手消息，与最近的邻居握手，该次握手成功以后，下一台交换机再握手。这种过程不断重复直到网络的边缘。在每次握手的过程中必须采取措施保证没有引入环路，然后才能进行握手，这依靠同步过程来实现。

RSTP同步与快速协商 P/A机制

当指定端口处于丢失或学校状态时，就会将其发生的BPDU数据包的proposal提议位置位

然后指定端口发提议，接收提议的交换机根据需要将非边缘指定端口放入阻塞状态。（他的其他端口）
收到许可才会变成转发
在802.1W中，BPDU由Bridge自己生成，在Root ID里填上已知Root Bridge的Bridge ID。配置BPDU由本机产生直接使得RSTP在拓扑变更时无需等待Root Bridge的配置BPDU，即可刷新MAC表。

在802.1W中，不存在TCN BPDU，因为RSTP域内状态的同步无需由Root Bridge发起。Topology Change（TC）的通告发生在毗邻Bridge之间，当且仅当某D-Port状态从Discarding到Forwarding时需要使用TC置位的配置BPDU。

该BPDU仅从该D-Port转发出去，且Proposal 位将被置1。这就是RSTP新增的一个协商机制：P/A机制。并且，这也会引发一系列同步操作。
通过P/A机制，STP域内收敛行为发生在相邻的Bridge之间，各自完成自己的同步过程。

在RSTP中，为了加快收敛，引入了Proposal/Agreement机制，与邻居进行协商，协商通过则立即进入Forwarding（与时间无关）。
在BPDU的flags中，有2个bits分别用于表示proposal以及agreement

RSTP检测到拓扑变更：

1、启动TC WHILE计时器，它为HELLO计时器的2倍（4秒）
2、RSTP网桥清除与所有非边缘端口相关联的MAC地址。
3、设置了TC比特位的端口会发出BPDU。
当网桥从邻居处收到了具有TC位置1的BPDU 时：
1）、清除所有端口上学到的MAC地址。
2）、启动TC WHILE计时器，并且在它所有的指定端口和根端口上发送TC比特位置1的BPDU数据包。
发起拓扑变化的设备会在整个网络中泛洪拓扑变化消息，而不是像802.1D 一样由根桥发送TC位置1的BPDU消息。

一旦接收到跟的BPDU，网桥就会阻塞非边缘指定端口，这个过程被称为同步。完成同步以后，相应的端口会进入到转发状态。
在RSTP快速收敛的环境中没用用到任何的计时器。RSTP引入的新的机制是：交换机可以在其新的根端口上发送确认消息，以授权其立刻过渡到转发状态，并绕过侦听和学习阶段。

RSTP引入了哪些机制来提高收敛速度：

1、引入hello机制

2、AP和BP

3、P/A同步机制

4、拓扑变更机制

开始的时候把STP的拓扑变更与RSTP的弄混了在加上P/A机制。。。

STP的拓扑变更是通过TC，TCN,TCA来实现。要又根网桥来发TC。
但是 RSTP却是可以直接泛洪TC。并且使用P/A同步机制 阻塞非边缘指定端口,用提议和许可。

知乎上一个前辈我觉得吧P/A机制讲的很好。连接：
https://www.zhihu.com/question/35495673

还有个这个：
http://xnxycbq2010.blog.51cto.com/2399636/441350

http://blog.sina.com.cn/s/blog_153214e0c0102vv43.html