企業(yè)?三層架構（?成樹）企業(yè)三層架構（內?結構）：接?層—常使??層交換機，就近提供接?密度，?于?戶的接?；匯聚層（分布層）----集合所有接?層流量（星型），對流量實施管理和策略；核?層—路由轉發(fā)，?速轉發(fā)，nat，QOS；企業(yè)?三層架構：冗余線路設備?關電源（UPS）1、?播風暴2、MAC地址表翻滾（不停的更新CAM表）3、重復拷貝所有的數據幀BCMSN–交換技術主要應?于匯聚和接?層；-----VLAN/TRUNK/VTP/DTP/STP/CHANNEL/HSRP…/VPC等三層架構中最重要的思想為冗余（備份）–線路冗余—設備冗余—?關冗余—USP（電源冗余）STP–?成樹–通過溝通計算，將?絡中部分的接?堵塞，導致從根到所有節(jié)點僅擁有唯?的路徑；（同時盡量選擇最短的路徑，?成星型拓撲結構）【1】IEEE802.1D交換機間溝通時使?的數據幀—BPDU橋協(xié)議數據單元–跨層封裝到?層（BPDU：?橋的包）BPDU數據幀默認不屬于任何?個vlan，故在存在vlan的設備上，該數據幀基于nativevlan發(fā)送；3類BPDU：(B:?橋PDU:協(xié)議數據單元BPDU----橋協(xié)議數據單元----?橋的包)（?成樹只有BPDU這?種包，所以什么都?：認識，建鄰，保活…）1）配置BPDU—拓撲收斂完成后，僅根?橋周期（2s?個周期）發(fā)送；在沒有跟?橋的時候，所有設備僅發(fā)送BPDU；—選舉根?橋、發(fā)布拓撲信息、周期保活鏈路（20s的holdtime）即：每隔2s發(fā)?個，20s收不到BPDU就認為你掛了。2）TCN–拓撲變更消息—包中不包含任何具體信息，也不會導致?絡重新收斂；當?臺交換機的阻塞端?鏈路被斷開，那么將標記為中七位置1，標識拓撲已經改變，該BPDU將發(fā)送到根?橋處，根?橋使?標記為第0位，來表?確認；若沒有收到ack，那么2s周期發(fā)送TCN；根?橋在確認后，將使?BPDU告訴所有的?根?橋，刷新cam表；默認cam的保存周期為300s；3）次優(yōu)BPDU–?根?橋上的根端?斷開–接收不到的根?橋的BPDU了，同時本地斷開的也不是阻塞端?；那么本地將??定義為根?橋，發(fā)出BPDU，由于該BPDU次于根?橋的，故稱為次優(yōu)BPDU；（邏輯阻塞<阻塞端?>：過來的包全扔掉，除了BPDU會打開看看）總結：根?橋發(fā)配置BPDU，包含拓撲信息?根?橋的阻塞端?被斷開，同時依然可以與根?橋溝通，那么發(fā)送TCN，不包含拓撲信息，不會使?絡重新收斂，只是讓?家刷新cam表；?根?橋上斷開了根端?后，若不能再與根?橋溝通，將本地定義為根?橋發(fā)送次優(yōu)BPDU，包含本地的拓撲信息—也是配置BPDU，但不是根?橋的；?、802.1D（最早的，有點?，應該見不到了，最重要）?共在計算過程中，將選出四種??：根?橋（樹根、核?）根端?指定端??指定端?（??）【1】根?橋：樹根、核?在?棵?成樹實例中有且僅有?臺；在沒有根?橋時，所有交換機均認為本地是根?橋，發(fā)出BPDU；進?選舉；?較BPDU中的BID–橋ID====?橋優(yōu)先級+MAC地址（數值最?的）1.先?較所有設備的優(yōu)先級，0-65535默認所有設備為32768；?優(yōu)；2.優(yōu)先級相同的情況下?較MAC地址，數值?優(yōu)；即：先pk優(yōu)先級，如果?樣就再pkMAC（都是?的優(yōu)先）【2】根端?：在每臺?根?橋上有且僅有?個，本地離根?橋最近的接?；該接??于接收來?根的BPDU，同時該接?也?于收發(fā)?戶流量；PID=端?ID===接?優(yōu)先級0-255默認為128+接?編號BID的參數是?橋優(yōu)先級+macCost值就是帶寬（就是距離）根端?選舉規(guī)則：1、??向最?cost值，最?最優(yōu)2、?較該接?對端（上級）設備的BID；?優(yōu)（BID：?橋優(yōu)先級+mac地址）（這是考慮未來的做法，如果根壞了，誰更有可能會是根）3、?較該接?對端（上級）設備的PID；?優(yōu)（??接?優(yōu)先級）4、?較本地PID；（pid=端?id=發(fā)的接?優(yōu)先級+發(fā)的接?編號0-250默認128）（?較本地的pid，因為當有hub的時候，即交換機連接hub再連接交換機，1,2,3可能會?樣）（考慮未來因為如果根出問題了，對端設備就有可能成為根，所以是“接?對端”）或Eg：【3】指定端?：在每根?線上有且僅有?個；轉發(fā)來?根的BPDU；同時轉發(fā)?戶流量；根端?的對端肯定是指定端?；根?橋上所有接?均為指定端?；1、?較從該接?（根?橋）發(fā)出BPDU的cost值（出?向cost值）2、?較本地的BID，?優(yōu)（BID相同：?橋優(yōu)先級和mac相同，即：??連??）3、?較本地PID，?優(yōu)（PID=portID=發(fā)的接?優(yōu)先級+發(fā)的接?編號）4、直接阻塞端?【4】?指定端?—阻塞端?以上所有??全部完成，那么剩余所有的為存在??端?為?指定端?—邏輯阻塞，流量可以進?，不能轉出；Cost值：10M=100100M=191000M=410000M=210000M=1注：根?橋作為交換?絡的流量核?；匯聚層設備也是相同的功能；故根?橋必須在匯聚層；【5】802.1d接?狀態(tài)：Down：接?指?燈未亮起，沒有電流信號，?線剛剛連接，不能收發(fā)BPDU（即就是模擬器的紅燈）偵聽（15s）：接?指?燈為橙?，進?BPDU收發(fā)，選舉各種??（強制規(guī)定時長為15s，哪怕2s就選完了也得等到15s）指定端?和根端?進?到下?個狀態(tài)；?指定端?進?阻塞狀態(tài)，指?燈?致保持為橙?學習（15s）：接?指?燈為橙?，根端?和指定端?學習各個接?流量中的MAC地址；?成MAC表----CAM表；15s時長結束后進?下?狀態(tài)轉發(fā)：根端?和指定端?在學習狀態(tài)完成后進?；接?指?燈為綠?，收斂完成；可以正常轉發(fā)?戶的流量；在30s內接?是轉發(fā)?戶數據；阻塞：?指定端?在偵聽完成后，進?的狀態(tài)；指?燈?致保持為橙?（?指定端?專?，邏輯阻塞，不轉發(fā)只接收）【6】802.1D的收斂時間1、初次收斂–30s2、結構突變1）存在直連檢測—本地只有?個阻塞端?可以收到BPDU該接?直接進?偵聽和學習狀態(tài)，需要30s收斂（15s偵聽+15s檢測）轉換為根端?；Eg：2）沒有直連檢測—阻塞端?需要50s=20sholdtime+30s的收斂eg：所以收斂速度很慢802.1D算法的缺點：1、收斂速度慢2、鏈路利?率低備份路徑在最佳路徑存在時?直閑置；（因為阻塞的線路?直都沒?，理由有點牽強）?、PVST基于vlan的?成樹協(xié)議Cisco私有解決鏈路利?率的協(xié)議（分流的思想）?臺交換機上若希望存在某個vlan的樹，需要創(chuàng)建該vlan，同時本地存在該vlan的接?或者活動trunk?道。在每個vlan中存在?棵?成樹，通過將不同?成樹的根放置于不同匯聚層位置，來實現鏈路利?率的提?；每個vlan發(fā)出?個BPDU；各個vlan進?各?的802.1D計算；為了區(qū)分不同vlan發(fā)出的BPDU，?橋優(yōu)先級（4096的倍數）+VLANid（因為vlan最多創(chuàng)建4096個）注：若需要?臺交換機加?到?個vlan的?成樹中；前提是該交換機創(chuàng)建該vlan，連接了該vlan的?戶----本地有接?劃分到vlan2，且雙up；或者本地存在雙up的trunk?道缺點：1.收斂慢2.cisco私有3.樹多（有?個vlan就有?棵樹），帶寬和設備硬件資源均占?（cisco設備存在?個專?芯?來進?多?成樹運?）4.私有，僅?持接?封裝為ISL的trunk?道三、PVST+在PVST的基礎上進?了升級；?標?多數cisco設備默認使?的stp協(xié)議；升級點：1、?持802.1q封裝2、可以做部分的加速收斂1.初次收斂還是30s2.部分加速—結構突變端?加速上?鏈路加速?感加速默認不執(zhí)?，需要??開啟接?層連接pc的接?接?層設備所有交換機不參選直連檢測設備?直連檢測本地接?cost和本地?橋優(yōu)先級均變??涉選舉的命令：1、修改優(yōu)先級，但必須為4096的倍數（因為vlan最多創(chuàng)建4096個）sw1(config)#spanning-treevlan2priority?<0-61440>bridgepriorityinincrementsof40961、直接設置備份和主根sw1(config)#spanning-treevlan2rootprimary本地為vlan2主根sw1(config)#spanning-treevlan1rootsecondary本地為vlan1的備份根該命令不?定完全?效；主根命令是本地優(yōu)先級下降2個4096備份根命令是本地優(yōu)先級下降1個40962、修改接?優(yōu)先級或者cost值CORE(config)#interfacef0/1CORE(config-if)#spanning-treevlan2port-priority?<0-240>portpriorityinincrementsof16必須以16的倍數來修改CORE(config-if)#spanning-treevlan2cost?修改cost值<1-200000000>Changeaninterface’sperVLANspanningtreepathcost如何加速：1、端?加速連接PC的接?，開啟端?加速后；?旦連線，直接為轉發(fā)狀態(tài)；Switch(config)#interfacefastEthernet0/16Switch(config-if)#spanning-treeportfast不能?于連接其他交換機的接?CORE(config)#interfacef0/1CORE(config-if)#switchporthost主機接?該接?同時寫?兩條命令switchportmodeaccessspanning-treeportfastCORE(config)#spanning-treeportfastdefault全局下開啟端?加速，對trunk?道不?效；2、上?鏈路加速在設備上配置上?鏈路加速后，?旦該交換機滿?直連檢測條?，該阻塞端?直接成為根端?，進?轉發(fā)狀態(tài)；CORE(config)#spanning-treeuplinkfast只能在接?層設備上配置注：該命令?旦配置，那么該交換機的?橋優(yōu)先級和接?cost值將會加?；其意義在于存在阻塞端?的設備才會存在直連檢測，?阻塞端?最好在接?層設備上；故加?優(yōu)先級和cost值，在于放棄成為根?橋，盡量成為阻塞端?；3、??加速當阻塞接收到次優(yōu)BPDU，那么該接?取消20sholdtime，進?30s收斂；該命令所有設備均可配置CORE(config)#spanning-treebackbonefast缺點：1.樹多2.私有協(xié)議3.加速不夠徹底四、802.1W（?cisco的叫法）RSTP（cisco的叫法）----快速?成樹；RSTP可以兼容802.1W802.1w也是?前?cisco產品?多的默認協(xié)議802.1W—快速的?成樹協(xié)議----對802.1D的提速—?棵樹RSTPcisco的快速?成樹----對PVST+的提速—每個vlan?棵樹兩種協(xié)議，均為快速收斂1-2s完成收斂，提速的原理?致；區(qū)別在于cisco有基于vlan的運算芯?，故RSTP依然?個vlan?棵樹；802.1w整個交換?絡?棵樹；即：RSTP----PVST+升級所得；故依然每個vlan?個樹802.1w----802.1d升級所得，整個?絡?棵樹----鏈路利?率低缺點：私有的樹多；公有?棵樹快速的原理：1、取消了計時器，?是在?個狀態(tài)?作完成后，直接進?下?狀態(tài)；2、分段式同步，兩臺設備間逐級收斂；使?請求和同意標記；依賴標記位的第1和第6位3、BPDU的保活為6s；hellotime2s；4、將端?加速（邊緣接?）、上?鏈路加速、??加速集成了5、兼容802.1d和PVST，但802.1d和PVST沒有使?標記位中的第1-6位，故不能快速收斂；因此如果?絡中有?臺設備不?持快速收斂，那么其他開啟快速收斂的設備也不能快速；6、當tcn消息出現時，不需要等待根?橋的BPDU，就可以刷新本地的cam表；狀態(tài)變化：將阻塞狀態(tài)和偵聽狀態(tài)合為丟棄狀態(tài)??變化：將?指定端?為AP-替代接?BP-備份接??論AP還是BP其實就是802.1D中的阻塞端?，AP為對端設備，BP為本端設備；啟動快速?成樹，所有交換機全部需啟動；sw1(config)#spanning-treemoderapid-pvst注：所有?涉選舉的命令和pvst+?致；切記：默認接?為半雙?（10M）時，接?類型為共享；全雙?時為點到點；共享型接?依然運?慢速?成；只有點到點接?可以快速；故建議將共享型接?修改為點到點型sw1(config)#interfacerangeethernet0/0-1sw1(config-if-range)#spanning-treelink-typepoint-to-point【5】MST-802.1S--分組式的?成樹快速?成樹協(xié)議；將多個vlan放置于同?個組內；?個組?棵樹；使?該協(xié)議時，整個?絡所有設備必須均運?MST，同時所以設備的分組設置必須完全?致；Cisco設備默認為PVST+?Cisco設備默認為802.1w將多個vlan放置在?個組內，為每個組?成?個樹，樹型算法為802.1w；將不同組的根?橋放置到不同的匯聚層設備處，可以流量的分載，提供鏈路利?率；不同組發(fā)出的BPDU，使??橋優(yōu)先級區(qū)分優(yōu)先級+組ID優(yōu)先級默認為32768，只能以4096的倍數來進?修改切記：整個交換機需要所有設備均正常MST協(xié)議，才進?部署；sw1(config)#spanning-treemodemst修改協(xié)議默認存在組0，且默認所有vlan處于組0；sw1#showspanning-treemst0sw1(config)#spanning-treemstconfigurationsw1(config-mst)#instance1vlan1-50將vlan1-50劃分到組1sw1(config-mst)#instance2vlan51-100將vlan51-100劃分到組2切記：所有運?MST協(xié)議的設備，分組內容必須完全?致，否則將可能出現故障；定義根?橋，備份根?橋的位置sw1(config)#spanning-treemst1rootprimary降2個4096sw1(config)#spanning-treemst2rootsecondary降1個4096sw1(config)#interfacee0/0修改參選接?的參數sw1(config-if)#spanning-treemst1?costChangetheinterfacespanningtreepathcostforaninstanceport-priorityChangethespanningtreeportpriorityforaninstance?、STP的安全[1]BPDU保護接?層接?默認為DP（指定端?），該端?連接的是PC若該接?的PC被更換、?戶模擬，成為?臺交換機，那么可能導致根?橋轉移，最終迫使?絡結構發(fā)?變化，因為根?橋最佳設置應該在匯聚層，?新的結構將可能改變該特性，導致?絡運?不佳，流量集中于接?層設備；可以將這些接?開啟BPDU保護功能；被保護接?若收到BPDU，那么將進?錯誤關閉狀態(tài)；進?該狀態(tài)的接?狀態(tài)和協(xié)議均down，若需要重新喚活該接?：1、??重啟—先關閉再開啟2、?動啟動----需要?配置，配置后若該接?在300s內沒有收到BPDU了，那么將?動開啟sw2(config)#interfacee0/0sw2(config-if)#spanning-treebpduguardenablebpduguard保鏢在接?層連接?戶的接?上，開啟BPDU保護功能被保護接?若接收到BPDU將錯誤關閉sw2#showinterfacese0/0Ethernet0/0isdown,lineprotocolisdown(err-disabled)若接?出現了錯誤關閉，可以查看導致原因sw2#showinterfacesstatuserr-disabledPortNameStatusReasonEt0/0err-disabledbpduguard針對BPDU保護出現的錯誤關閉，可以通過??重啟，或設置?動重啟sw2(config)#errdisablerecoverycausebpduguard當BPDU保護出現后的?動重啟sw2#showerrdisablerecovery查看各種錯誤的原因狀態(tài)sw2(config)#errdisablerecoveryinterval?默認300s收不到BPDU將?動重啟<30-86400>timer-interval(sec)修改計時器，最?30s全局配置：在接?層接?上，開啟所有接?的端?加速和所有接?的BPDU保護sw2(config)#spanning-treeportfastbpduguard全局開啟后，還需要到上?鏈路上進?BPDU保護的關閉sw2(config)#interfacee0/0sw2(config-if)#spanning-treebpduguarddisable關閉單個接?的BPDU保護sw2#showspanning-treesummarytotals查看各種全局協(xié)議的配置[2]BPDU過濾開啟BPDU過濾后，若接?層接?收到BPDU信息，將僅丟棄BPDU數據幀，正常轉發(fā)?戶流量sw2(config)#interfacee0/0接?開啟或關閉sw2(config-if)#spanning-treebpdufilter?disableDisableBPDUfilteringforthisinterfaceenableEnableBPDUfilteringforthisinterfacesw2(config)#spanning-treeportfastbpdufilterdefault全局開啟注：全局開啟后，需要在上?鏈路接???關閉總結：保護和過濾出了對接?的處理?式不同，還存在?個區(qū)別保護是拒絕接收BPDU，但可以發(fā)送；過濾是收發(fā)均拒絕[3]根?橋保護若?絡中增添了新的交換機，其BID最優(yōu)；那么將搶占?絡的根?橋，導致拓撲結構變化；在接?開啟根橋保活后，若交換機的接?接收到了更優(yōu)BPDU時，將該接?阻塞；直到該接?不再收到更優(yōu)BPDU才恢復；sw2(config)#interfacee0/0sw2(config-if)#spanning-treeguardroot接?開啟根?保護開啟根橋保護的接?，在接收到更優(yōu)BPDU時，將阻塞；進?broken狀態(tài)，顯?與根不?致；sw2#showspanning-treeinterfaceethernet0/0detailPort1(Ethernet0/0)ofVLAN0001isbroken(RootInconsistent)sw2#showspanning-treeEt0/0DesgBKN*100128.1Shr*ROOT_Inc不?致接?在?成樹列表中的顯?sw2#showspanning