端口+STP+VRRP基础知识及典型组网实例分析 .pptx

; ; ; ; ; ;交换机端口接收数据帧的处理规则 ;3. hybrid端口 （1）收到一个二层帧 （2）判断是否有VLAN标签：没有则转到第3步，有则转到第4步 （3）打上端口的PVID，并进行交换转发 （4）判断该hybrid端口是否允许该VLAN帧进入：允许则转发，否则 直接丢弃 可以看到，trunk口和hybrid口对接收到的数据帧的处理规则是一样的。;交换机端口转发数据帧的处理规则 ; ;引入;STP的基本概念;STP的基本概念;STP的基本概念;STP的基本概念;STP的基本概念;STP的基本概念;STP的基本概念;STP的基本概念;STP的技术细节;STP的技术细节;STP的技术细节;STP的技术细节; ; ; ; ; ; ; ; ; ; ; ; ; ; ;; ;VRRP的技术细节;FW-1;典型组网分析;政府机关、集团公司总部等对网络可用性很高的单位往往采用双机热备份 方案来组网，2层交换机的2条千兆链路分别上行到主备85，主备85应 用VRRP为用户PC提供虚拟网关，应用STP来切断冗余链路组成的环路。 ;Quidview 网络管理平台;双机组网的特点: 在单机树型组网中，在网络设备受到病毒等恶意攻击时，一般表现为网络 访问速度变慢或很慢. 但是在双机热备份组网中，由于存在物理环路，设备在受到攻击时很容易 造成STP的BPDU丢失从而使得STP计算错误，不能正确切断物理环路，引 发广播风暴。另外2、3层交换机长时间受到巨量广播报文冲击，有时转发 芯片会失效，就是在广播风暴消失后也不能正常转发数据包，必须手工复位 交换机。因此，双机组网相比单机组网显得脆弱些，跟交换机本身稳定性反 而关系不是太大，其它厂商的交换机一样如此。所以，针对双机组网，必须 严格按照下面描述的步骤进行配置，提高网络的整体稳定性。 ;业务VLAN和虚接口地址的配置: 在接口上配置允许通过的VLAN 时,这里着重要说明的是千万不要对端口配 置trunk permit vlan all或trunk permit vlan 2 to 200之类，必须老老实实的一 个一个指定允许通过的VLAN，也千万不要配置GVRP。切记，切记!!!! 容易产生8字环!!!!!!!!! ;;STP的配置 主用85配置为STP的根，备用85配置为STP的备用根，一般不用设置STP的 模式，可以运行在默认的模式下。2层交换机强烈建议启用STP协议，只要直接?? 用STP，不用进行其它STP配置。 ;按照前面VRRP和STP的配置，主备85是热备份方式，正常情况下备用85无任 何业务，只能在网络发生故障如主用85当机或2层交换机连接主用85的光纤 DOWN时，业务才会全部或部分切换到备用85。 有用户提出要进行主备85之间的负荷分担，如果2层交换机全部或部分支持MSTP， 负荷分担是完全可以实现的，只要配置MSTP的几个实例，将不同的VLAN划分到 不同的实例中，配置不同的实例有不同的根，并相应配置VRRP的主用，这样不同 的实例走不同的85，起到负荷分担的作用. 但是在实际应用中，局域网的流量并不大，采用双机更多的是出于可靠性的考虑， 配置负荷分担并不能提高网络的性能，反而增加了配置的复杂性，潜在的也降低了 网络的稳定性，毕竟越是复杂稳定性越难以保证，所以一般情况下不建议配置主备 85之间的负荷分担。;强制双工和速率的配置: 电接口的自协商功能稳定一些，一般采用自协商就可以了. 光接口由于光模块的兼容性稍差、某些线路光衰比较大等原因，有些端 口自协商会不成功，需要设置为强制双工和强制速率。;防病毒ACL的配置 病毒攻击产生大量的报文冲击设备，造成网络振荡和设备故障， 所以必须在所有交换机配置防病毒ACL规则对病毒报文进行过虑如: acl name anti-virus advanced rule 42 deny tcp destination-port eq 135 rule 43 deny tcp destination-port eq 137 rule 44 deny tcp destination-port eq 138 rule 45 deny tcp destination-port eq 139 rule 46 deny tcp destination-port eq 593 rule 47 deny tcp destination-port eq 445 rule 48 deny tcp destination-port eq 4444 rule 49 deny udp destination-port eq netbios-ns rule 50 deny udp destination-port eq 4