淺談思科設備——STP優化、熱備份及冗餘設計

八、網絡方案升級

1 STP優化方案

1.1 STP收斂優化

***STP收斂速度：30s～50s

即，端口從Disable到Forwading的過程

1.1.1 STP PortFast功能

PortFast特性：

可以確保將access鏈路上連接的終端設

 

優化方案：

連接終端設備的Access接口啓動STP PortFast特性

端口從Disable/block到Forwading的時間，由30s減少到0s

***默認情況下，STP PortFast關閉Disable

 

STP收斂速度優化：

***針對Access鏈路

 

配置命令：

【命令】Switch(config)#interface fastEthernet 0/1    #連接的PC

【命令】Switch(config-if)#switchport mode access

【命令】Switch(config-if)#switchport access vlan 1

【命令】Switch(config-if)#spanning-tree portfast    #開啓PortFast功能

 

【命令】Switch(config)#spanning-tree portfast default    #打開所有Access端口的PortFast

 

驗證命令：

【命令】Switch#show spanning-tree interface fas0/1 portfast    #查看指定端口的PortFast功能狀態

【命令】Switch#show spanning-tree summary    #查看所有端口的狀態

1.1.2 UplinkFast功能

上行鏈路加速，UplinkFast功能

針對的是交換機之間的Trunk鏈路

當交換機發現自己本身的鏈路出現故障以後

會快速將備份鏈路轉換爲主鏈路進行使用

切換時間，從原來的30s，降低爲0s

 

配置命令：

【命令】Switch(config)#spanning-tree uplinkfast    #開啓所有trunk端口的UplinkFast

 

驗證命令：

【命令】Switch#show spanning-tree summary

 

僅針對設備發現的直連故障的鏈路切換

僅在本地設備開啓即可，對端設備可以不開啓

***STP的優先級，必須是默認的32768

1.2 STP安全優化

***配置功能保護STP樹協議

1.2.1 BPDU Guard

BPDU Guard：BPDU保護

作用在Access端口上，開啓BPDU保護，防止虛假BPDU報文的***

即開啓了該特定的端口，不允許接收BPDU報文

開啓功能後，該端口如果接收到了BPDU，端口會進入Err-disable狀態

 

配置命令：

【命令】Switch(config-if)#spanning-tree bpduguard enable    #開啓Access端口上BPDU保護功能

 

Err-disbale狀態恢復：

1、手動恢復：

【命令】Switch(config)#interface fastEthernet 0/1

【命令】Switch(config-if)#shutdown

【命令】Switch(config-if)#no shutdown 

2、自動恢復：

該端口停止接收BPDU報文後300s，自動退出Err-disable狀態，恢復正常

1.2.2 Root Guard

根保護：

即根交換機保護

在端口（根/非根交換機）配置該特性後，該端口將強制性指定爲指定端口。

該端口收到更優的BPDU後，DP和RP衝突

會進入到非一致的狀態，即root-inconsistence狀態，此時不能轉發數據，從而根交換機身份的保護。

 

配置命令：

【命令】Switch(config)#interface fastEthernet 0/1

 

【命令】Switch(config-if)#spanning-tree guard root    #配置端口的root guard

驗證命令：

【命令】Switch#show spanning-tree

 

***從而可以看到該端口的角色一直是指定端口

2 熱備份路由選擇協議

***HSRP，Hot Standby Routing Protocol，熱備份路由選擇協議

HSRP：Cisco私有協議

VRRP：公有協議，華爲等其他廠商設備

2.1 配置HSRP熱備份協議

2.1.1 路由器作熱備份

1、PC機配置虛擬網關地址

2、在網關端口下，啓用HSRP協議

***交換線路需要設置在同一VLAN下

【命令】Router(config)#interface GigabitEthernet 0/0    #進入配置網關的端口

 

【命令】Router(config-if)#standby 10 ip 192.168.10.250    #配置熱備份組號及虛擬網關IP地址

2.1.2 三層交換機作熱備份

***創建VLAN端口

 

2.2 冗餘設計—搶佔功能

HSRP啓動後，通過比較報文中的優先級來確定成員路由器的主和備的身份

優先級越大越好

***默認優先級是100

【命令】Router(config-if)#standby 10 priority ***    #修改熱備份線路優先級

【命令】Router(config-if)#standby 10 preempt    #開啓搶佔功能

***所有虛擬網關的成員都必須開啓搶佔功能

 

驗證命令：

【命令】Router#show standby    #查看熱備份路由信息

【命令】

Router#debug ip icmp    #檢查回包過程

2.3 冗餘設計—HSRP鏈路跟蹤

***保證上行鏈路的通暢

（模擬器無法實現降低指定數量的優先級）

 

被跟蹤的端口（通往外網的端口）不可用時，降低該端口的優先級

 

啓用了HSRP的網關，可以跟蹤連接外網的鏈路的狀態

如果被跟蹤的鏈路down，則該網段端口會在對應HSRP組中降低指定的優先級，從而可以讓原網中的備份網關轉換爲主網關

【命令】Router(config)#interface vlan***

【命令】Router(config-if)#standby 1 track GigabitEthernet 0/1 priority 150    #跟蹤鏈路GigabitEthernet 0/1

***上述GigabitEthernet 0/1應該是路由器上連接外網的鏈路

2.4 冗餘設計—以太網通道

***鏈路冗餘——EtherChannel，以太網通道

2.4.1 定義

也稱爲鏈路捆綁、鏈路聚合、或者端口聚集

 

即允許將多個功能參數相似的物理鏈路，捆綁、虛擬成一個邏輯鏈路，從而

***增加交換機（網絡設備）之間的傳輸帶寬

***增加設備之間的連接可靠性

 

不但可以在設備之間形成鏈路備份，還可以實現數據轉發的負載均衡

 

注意：

進行鏈路捆綁的鏈路可以是二層鏈路，也可以是三層鏈路

進行鏈路捆綁的鏈路參數必須相同

所謂的三層鏈路，指的是可以配置IP地址的鏈路

所謂的二層鏈路，指的是交換機上不可以配置IP地址的鏈路

 

所謂的三層網絡，指的是路由網絡

所謂的二層網絡，指的是交換網絡

 

所謂的三層地址，指的是IP地址

所謂的二層地址，指的是MAC地址

 

所以：二層不同看MAC，三層不同看IP

2.4.2 場景

在成本控制的環境下，需要解決設備之間的傳輸帶寬瓶頸問題

***增加交換機（網絡設備）之間的傳輸帶寬

***增加設備之間的連接可靠性

2.4.3 配置過程

作鏈路捆綁的鏈路配置必須相同

【命令】Switch(config)#default interface fastEthernet 0/1    #恢復端口初始化配置

 

【命令】Switch(config)#interface range fastEthernet 0/1 , fastEthernet 0/2

【命令】Switch(config-if)#channel-group *** mode on

【命令】Switch(config)#interface port-channel ***    #創建鏈路捆綁端口***

 

【命令】Switch#show etherchannel *** summary    #查看捆綁鏈路***（捆綁鏈路組號）概要

2.5 HSRP消息

HSRP中的所有路由器都發送或接收HSRP消息

UDP端口號1985

使用組播發送HSRP消息，組播地址224.0.0.2

TTL=1

 

3 配置命令總結

特權模式

Switch#show spanning-tree interface fas0/1 portfast    #查看指定端口PortFast功能狀態

 

Router#show standby    #查看熱備份路由信息

 

Router#debug ip icmp    #檢查回包過程

 

全局配置模式

Switch(config)#interface fastEthernet 0/1    #進入Access端口

Switch(config-if)#spanning-tree portfast    #開啓PortFast功能

 

Switch(config)#spanning-tree portfast default    #打開所有Access端口的PortFast

 

Switch(config)#spanning-tree uplinkfast    #開啓所有trunk端口的UplinkFast

 

Switch(config-if)#spanning-tree bpduguard enable    #開啓BPDU保護功能

 

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#shutdown

Switch(config-if)#no shutdown    #手動恢復Err-disbale狀態

 

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#spanning-tree guard root    #配置端口的root guard

 

Router(config)#interface GigabitEthernet 0/0    #進入配置網關的端口

Router(config-if)#standby 10 ip 192.168.10.250    #配置熱備份組號及虛擬網關IP地

址

 

Router(config-if)#standby 10 priority ***    #修改熱備份線路優先級

Router(config-if)#standby 10 preempt    #開啓搶佔功能

 

Router(config)#interface vlan***

Router(config-if)#standby 1 track GigabitEthernet 0/1 priority ***    #跟蹤虛擬網關組1的鏈路網關端口GigabitEthernet 0/1，降低***優先級

 

Switch(config)#default interface fastEthernet 0/1    #恢復端口初始化配置

 

Switch(config)#interface range fastEthernet 0/1 , fastEthernet 0/2

Switch(config-if)#channel-group *** mode on    #創建鏈路捆綁端口***

Switch(config)#interface port-channel ***

 

Switch#show etherchannel *** summary    #查看捆綁鏈路***（捆綁鏈路組號）概要