portfast和bpduguard应用TCP负载均衡地址转换8021Q理论技术.docx
- 文档编号:23116395
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:16
- 大小:86.19KB
portfast和bpduguard应用TCP负载均衡地址转换8021Q理论技术.docx
《portfast和bpduguard应用TCP负载均衡地址转换8021Q理论技术.docx》由会员分享,可在线阅读,更多相关《portfast和bpduguard应用TCP负载均衡地址转换8021Q理论技术.docx(16页珍藏版)》请在冰豆网上搜索。
portfast和bpduguard应用TCP负载均衡地址转换8021Q理论技术
portfast和bpduguard应用
PortFast加快终端主机连接入stp网络的收敛.
只适用于,在交换机与主机(电脑)相连的端口,不应该在交换机与交换机,路由器,hub互连的网络设备的端口使用.
把一个port设置了portfast,就是让那个port不再使用STP的算法。
在STP中,port有5个状态:
disable、blocking、listening、learning、forwarding。
只有forwarding状态,port才能发送用户数据。
如果一个port一开始是没有接pc,一旦pc接上,就会经历blocking->listening->learing->forwarding,每个状态的变化要经历一段时间,这样总共会有3个阶段时间,缺省的配置要50秒钟。
这样从pc接上网线,到能发送用户数据,需要等50秒的时间,但如果设置了portfast,那就不需要等待这50秒了。
portfast只能用在接入层,也就是说交换机的端口是接HOST的才能起用portfast,如果是接交换机的就一定不能启用,否则会造成新的环路.
起用portfast往往是因为一些应用的要求,cisco是建议将符合条件的port设置成portfast的.
PS:
将SWITCH的端口设置为spanning-treeportfast后,如果这个端口接到其他SWITCH或者HUB上就可能造成环路问题。
加上spanning-treebpduguardenable之后,当这个端口在收到BPDU包后就会进入errdisable状态,从而避免环路。
BPDUGUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态.
我们知道,当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和
接受BPDU.当这个端口下如果有自回环的环路,那么它发出去的BPDU在小交换机上回环后就会被自己接收到,这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络.
Portfast和bpduguard配置:
switch(config)#interfacerangef0/1-5
switch(config-if-range)#spanning-treeportfast
switch(config-if-range)#spanning-treebpduguardenable
BPDUGuard使具备PortFast特性的端口在接收到BPDU时进入err-disable状态来避免桥接环路,其可在全局或接口下进行配置(默认关闭),可使用errdisablerecoverycausebpduguard命令开启端口状态的自动恢复。
不同于BPDU防护,BPDUFilter配置于全局/接口模式时,功能有所不同,当启用于PortFast端口模式时,交换机将不发送任何BPDU,并且把接收到的所有BPDU都丢弃;而启用于全局模式时,端口在接收到任何BPDU时,将丢弃PortFast状态和BPDU过滤特性,更改回正常的STP操作,BPDUFilter特性默认关闭。
当同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效。
LOOPGuard主要用来避免阻塞端口错误地过渡到转发状态而产生桥接环路的情况;当交换机在启用loopguard特性的非指定端口上停止接收BPDU时,交换机将使得端口进入STP“不一致环路”(inconsistentports)阻塞状态,当不一致端口再次收到BPDU时,端口将根据BPDU自动过滤到STP状态。
通过shspanning-treeinconsistentports命令可以查看不一致端口状态。
loopguard特性默认开启。
BPDUGUARD
的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。
我们知道,当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU,当BPDUGUARD开启后,在正常情况下,一个下联的端口是不会收到任何BPDU的,因为PC和非网管换机都不支持STP,所以不会收发BPDU。
当这个端口下如果有自回环的环路,那么它发出去的BPDU在非网管换机上回环后就会被自己接收到,这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络。
BPDUGuard特性可以全局启用也可以基于基于接口的启用,两种方法稍有不同.
当在启用了PortFast特性的端口收到了BPDU后,BPDUGuard将关闭该端口,使该端口处于err-disable状态,这时必须手动才能把此端口回复为正常状态。
配置BPDUGuard:
Switch(config)#spanning-treeportfastbpduguarddefault/---在启用了PortFast特性的端口上启用BPDUguard---/
Switch(config-if)#spanning-treebpduguardenable/---在没启用PortFast特性的情况下启用BPDUguard---/
BPDUFiltering
特性和BPDUGuard特性非常类似.通过使用BPDUFiltering,将能够防止交换机在启用了PortFast特性的端口上发送BPDU给主机。
如果全局配置了BPDUFiltering,当某个PortFast端口接收到了BPDU,那么交换机将禁用PortFast和BPDUFiltering特性,把端口更改回正常的STP状态.
如果在单独的PortFast端口启用BPDUFiltering,此端口将不发送任何的BPDU并忽略所有接收到的BPDU.
注意,如果在连接到其他交换机的端口(不是连的主机的端口)上配置了BPDUFiltering,那么就有可能导致层2环路(PreventfromsendingandreceivingBPDU).另外,如果在与启用了BPDUFiltering的相同端口上配置了BPDUGuard特性,所以BPDUGuard将不起作用,起作用的将是BPDUFiltering.
配置BPDUFiltering:
Switch(config)#spanning-treeportfastbpdufilterdefault/---在启用了PortFast特性的端口上启用BPDUFiltering---/
Switch(config-if)#spanning-treebpdufilterenable/---在不启用PortFast特性的情况下启用BPDUFiltering---/
ROOTGuard
RootGuard:
防止新加入的交换机(有更低根网桥ID)影响一个已经稳定了(已经存在根网桥)的交换网络,阻止XX的交换机成为根网桥。
工作原理:
当一个端口启动了此特性,当它收到了一个比根网桥优先值更优的BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。
这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
ROOTGuard在DP(designatedport)指定端口上做,该端口就不会改变了,只会是DP了,这样可以防止新加入的交换机成为root,该端口就变成了永久的DP了,(showspanninconsistentport),若新加入的交换机想成为root,则它的端口不能工作,直到这个新交换机委曲求全做RP为止。
LoopGuard
LoopGuard:
防止一个阻断的端口由于链路不正常(不能双向通信等)接不到BPDU后变成转发,配了此项后,即使接不到BPDU也是阻断的loop-inconsistentblockingstate(启用loopguard时自动关闭rootguard);
Loopguard在RP接口或替代端口启用:
Switch(config-if)#spanning-treeguardloop
全局启用:
Switch(config)#spantreeglobal-defaultloopguardenable
如果在一个启用了rootguard的端口上启用loopguard,loopguard将禁用rootguard功能。
TCP负载均衡地址转换
【实验名称】
TCP负载均衡地址转换
【实验目的】
掌握多台服务器复用同一IP地址时的TCP负载均衡地址转换技术。
【背景描述】
你是某网站的高级网络管理员,你的网站为了更好的给外界提供下载服务,用两台服务器共同承担外界对你网站的FTP下载。
但是网站的FTP下载地址已经固定唯一,请你能实现两台服务器对同一服务的负载分担,且不能让外界探测到你服务器的数量。
【实现功能】
多台主机共享一个虚拟IP地址,实现服务负载分担。
【实验拓扑】
【实验设备】
R2624(2台)
【实验步骤】
第一步:
基本配置
Red-Giant>enable
Red-Giant#configureterminal
Red-Giant(config)#hostnameR1
R1(config)#interfaceserial0
R1(config-if)#ipaddress200.198.12.1255.255.255.0
R1(config-if)#clockrate64000
R1(config-if)#nosh
R1(config-if)#exi
R1(config)#interfacefastethernet0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#nosh
R1(config-if)#end
Red-Giant#configureterminal
Red-Giant(config)#hostnameR2
R2(config)#interfaceserial0
R2(config-if)#ipaddress200.198.12.2255.255.255.0
R2(config-if)#noshutdown
R2(config-if)#exi
R2(config)#interfacefastethernet0
R2(config-if)#ipaddress100.100.100.1255.255.255.0
R2(config-if)#end
验证测试:
R2#ping200.198.12.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchoesto200.198.12.1timeoutis2seconds:
!
!
!
!
!
第二步:
配置TCP负载均衡地址转换
R1(config)#ipnatpoolrealhosts10.1.1.210.1.1.3netmask255.255.255.0typerotary
!
定义真实地址负载分担
R1(config)#access-list1permit10.1.1.100
R1(config)#ipnatinsidede
R1(config)#ipnatinsidedestinationlist1poolrealhosts
!
定义一个虚拟的IP地址表现为代表几个主机的唯一地址
R1(config)#interfaceserial0
R1(config-if)#ipnatoutside
R1(config-if)#exi
R1(config)#interfacefastethernet0
R1(config-if)#ipnatinside
验证测试:
R1#shipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
Tcp10.1.1.100:
2110.1.1.2:
21100.100.100.100:
1178100.100.100.100:
1178
Tcp10.1.1.100:
2110.1.1.3:
21100.100.100.50:
1024100.100.100.50:
1024
【注意事项】
●不要把inside和outside应用的接口弄错
●要建立一个虚拟地址代表多台服务器
【参考配置】
R1#shrun
Buildingconfiguration...
Currentconfiguration:
!
version6.14
(2)
!
hostname"R1"
!
ipsubnet-zero
!
interfaceFastEthernet0
ipaddress10.1.1.1255.255.255.0
ipnatinside
!
interfaceFastEthernet1
noipaddress
shutdown
!
interfaceFastEthernet2
noipaddress
shutdown
!
interfaceFastEthernet3
noipaddress
shutdown
!
interfaceSerial0
ipaddress200.198.12.1255.255.255.0
ipnatoutside
clockrate64000
!
interfaceSerial1
noipaddress
shutdown
!
ipnatpoolrealhosts10.1.1.210.1.1.3netmask255.255.255.0typerotary
ipnatinsidedestinationlist1poolrealhosts
ipclassless
access-list1permit10.1.1.100
!
linecon0
lineaux0
linevty04
login
!
end
R2#shrun
Currentconfiguration:
!
version6.14
(2)
!
hostname"R2"
!
ipsubnet-zero
!
interfaceFastEthernet0
ipaddress100.100.100.1255.255.255.0
!
interfaceFastEthernet1
noipaddress
shutdown
!
interfaceFastEthernet2
noipaddress
shutdown
!
interfaceFastEthernet3
noipaddress
shutdown
!
interfaceSerial0
ipaddress200.198.12.2255.255.255.0
!
interfaceSerial1
noipaddress
shutdown
!
ipclassless
!
linecon0
lineaux0
linevty04
login
!
end
802.1Q技术
目录
第1章简介3
第2章802.1Q介绍4
2.1VLAN原理4
2.2VLAN分类方式4
2.3802.1Q协议帧5
第3章802.1Q的组网技术7
3.1单臂路由器组网模式7
3.2子网隔离9
简介
本章主要讲述802.1Q的原理。
本章主要内容:
●802.1Q简介
●802.1Q的组网技术
802.1Q介绍
802.1Q协议是由IEEE于1999年颁布的用以标准化VLAN实现方案的草案。
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,主要实现用于数据链路层上广播域的隔离,以及更为方便、有效地对交换式以太网进行扩展和管理。
VLAN原理
VLAN技术允许网络管理员将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播以及单播流量都不会转发到其他VLAN中,这有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性等。
而802.1Q协议是为解决以太网的广播问题和安全性而提出的一种协议,它主要在以太网帧的基础上增加了VLAN头,从而用VLAN ID把用户划分为更小的工作组,限制了不同工作组间的用户二层互访。
每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
同一个VLAN中的所有成员共同拥有一个VLANID,组成一个虚拟局域网络;同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包;不同VLAN成员之间不可直接通信,需要通过路由支持才能通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
VLAN分类方式
VLAN成员主要有四种分类方式:
1、基于端口划分的VLAN:
这种方式主要是根据以太网交换机的端口来划分,该方法是目前定义VLAN最广泛的方法,IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
其优点是定义VLAN成员时特别简单,只需将所有端口都定义一下就可以了。
其缺点是如果某个VLAN的用户离开了原来的端口,到了一个新的交换机的某个端口,则必须重新定义。
2、基于MAC地址划分VLAN:
这种方式主要是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。
其优点是当用户物理位置移动时,即从一个交换机换到其它的交换机时,VLAN不用重新配置。
其缺点是在初始化时,所有用户都必须进行配置,另外因为每个交换机端口都可能存在很多个VLAN组的成员,就无法限制广播包,也导致了交换机执行效率的降低。
3、基于网络层划分VLAN:
这种划分VLAN的方式是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,但它主要利用生成树算法进行桥交换,而和网络层的路由无关。
其优点是用户的物理位置改变不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,另外一点重要的是这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
但缺点是效率较低,因为需要检查每个数据包的网络层地址。
4、基于IP组播划分VLAN:
这种方法认为一个组播组就是一个VLAN,这种划分将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
目前,在大部分网络实现中广泛采用第一种方法,因为其最简单,而且有效,并且不用考虑端口所连接的设备。
802.1Q协议帧
802.1Q协议定义了基于端口的VLAN模型,即在标准的以太网帧中源地址后增加一个四字节的802.1Q帧头。
如下图所示:
DA
SA
Type
Data
CRC
标准以太帧格式
DA
SA
Tag
Type
Data
CRC
TPID
TCI
0x8100
Priority
CFI
VLANID
IEEE802.1Q标准帧格式
图1标准以太帧格式与IEEE802.1Q标准帧格式
由上图可以看出,这4个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID--TagProtocolIdentifier,它的值是8100),和两个字节的标签控制信息(TCI--TagControlInformation)。
TPID是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。
两个字节的TCI包含三个域,分别为Priority(三个比特,表示帧的优先级)域,CFI(CFI--CanonicalFormatIndicator,一个比特,称为规范格式指示符)域以及VLANID(十二个比特,表示一个VLAN的ID号)域。
802.1Q协议加入的Tag字段可以根据其携带的VLAN信息,表明该数据帧属于哪个VLAN,从而确定数据帧的属性。
802.1Q的组网技术
若以太网支持802.1Q协议,可以将其划分成多个子网,每个子网对应一个VLAN。
当数据帧流经交换机时,交换机会按照802.1Q标准定义的帧格式对其重新进行封装,增加一个四字节的Tag标签,在标签中描述该数据帧所属于的VLAN。
这样,当路由器的以太口接收到此帧时,就会根据其所携带的Tag标签来判断这个数据帧属于哪个VLAN,并与接收接口所对应的VLAN进行比较。
如果接收接口和数据帧属于同一个VLAN,接口则接收此帧,否则将此帧丢弃。
同样,路由器在发送数据帧时,也按照802.1Q标准帧格式封装标签,并指明标签的VLAN与发送接口所对应的VLAN相同。
因此,通过VLAN这种方式就在数据链路层上实现了数据帧的隔离,也就是说,在数据链路层上,同一个VLAN中的设备可以任意通信,不同VLAN间不能通信。
因此,支持802.1Q的路由器主要在不同的VLAN之间作为广播域或者网关,即作为单臂路由器与交换机相连来解决VLAN之间的通信,以及在数据链路层上对广播域进行隔离。
单臂路由器组网模式
为实现VLAN之间的路由通信,最简单的方法是在路由器和交换机之间使用多个连接。
即将路由器的一个以太口和交换机的一个端口连接,以太口和连接的交换机的端口在同一个VLAN中,并作为该VLAN的网关和其它VLAN进行路由通信。
如下图所示:
图2普通路由器实现VLAN路由
上面这种做法很简单,但没有有效利用路由器的接口,因此提出了单臂路由器的概念。
所谓的单臂路由器,也就是路由器只有一个物理以太接口和交换机相连,通过路由器的快速以太口配置子接口和交换机的中继端口实现VLAN间的路由通信。
其典型组网模式如下图所示:
图3单臂路由器实现VLAN路由
在上图中,交换机被配置成两个VLAN,而端口8作为中继端口既属于VLAN1也属于VLAN2。
在路由器的快速以太口上配置两个子接口,每个子接口被配置一个独立的IP子网上,并分别属于VLAN1和VLAN2,从而实现VLAN间的路由通信。
子网隔离
缺省情况下,在路由器上配置了两个子接口以及它们相应的VLAN,通过路由就可以实现这两个VLAN相互间的通信。
但在某些应用场合下不允许VLAN之间相互通信,即一个V
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- portfast和bpduguard应用 TCP负载均衡地址转换 8021Q理论技术 portfast bpduguard 应用 TCP 负载 均衡 地址 转换 8021 理论 技术