CDP
CDP是cisco設備(路由器、交換機、訪問服務器等)所默認啓用的一個第2層協議,發現並能識別所連接鄰居設備詳細信息的一個重要協議。
CDP運行在所有支持SNAP(subnetwork access protocol,子網訪問協議)幀類型的介質中,其中包括以太網、幀中繼和ATM等物理介質。CDP工作在OSI參考模型的第2層,能夠與其他Cisco設備進行交互,而與網絡層協議無關。
通過在所有支持CDP的接口上向多播地址01-00-0c-cc-cc-cc發送週期性的消息(通告消息)方式,CDP能夠利用鄰接設備所發送的消息,學到所連接設備的有關信息。
CDP數據包格式
-----------------------------------
| 版本 | TTL | 校驗和 |
-----------------------------------
| TLV列表 |
-----------------------------------
數據包各字段描述
字段 長度 描述
-------------------------------------------------------
版本 8比特 CDP版本(Ox02代表版本2)
TTL保存時間 8比特 接收端應當保存數據包中信息的時長,單位爲秒
校驗和 16比特 CDP數據包的校驗和
TLV列表 可變長度 TLV列表
CDP是cisco設備(路由器、交換機、訪問服務器等)所默認啓用的一個第2層協議,發現並能識別所連接鄰居設備詳細信息的一個重要協議。
CDP運行在所有支持SNAP(subnetwork access protocol,子網訪問協議)幀類型的介質中,其中包括以太網、幀中繼和ATM等物理介質。CDP工作在OSI參考模型的第2層,能夠與其他Cisco設備進行交互,而與網絡層協議無關。
通過在所有支持CDP的接口上向多播地址01-00-0c-cc-cc-cc發送週期性的消息(通告消息)方式,CDP能夠利用鄰接設備所發送的消息,學到所連接設備的有關信息。
CDP數據包格式
-----------------------------------
| 版本 | TTL | 校驗和 |
-----------------------------------
| TLV列表 |
-----------------------------------
數據包各字段描述
字段 長度 描述
-------------------------------------------------------
版本 8比特 CDP版本(Ox02代表版本2)
TTL保存時間 8比特 接收端應當保存數據包中信息的時長,單位爲秒
校驗和 16比特 CDP數據包的校驗和
TLV列表 可變長度 TLV列表
TLV格式
-------------------------------------------------
| 類 型(16比特) | 長 度(16比特) |
-------------------------------------------------
| 數 據(可變長度) |
-------------------------------------------------
-------------------------------------------------
| 類 型(16比特) | 長 度(16比特) |
-------------------------------------------------
| 數 據(可變長度) |
-------------------------------------------------
TLV類型及描述
類型 描述
-------------------------------------
設備ID 標識發送設備
地址 網絡層地址---通常爲發送CDP數據包的接口地址
端口ID 標識發送CDP數據包的接口
功能 描述設備的功能(例如路由器還是交換機)
版本 描述設備運行軟件的信息
平臺 描述設備的硬件平臺
Native VLAN 802.1Q Native VLAN(未標識的數據報)
應用VLAN ID 包含單個或多個應用,每個包含應用ID(如VoIP電話)及相應的VLAN ID
觸發器 當設備接收到帶有觸發器TLV的CDP數據包,它將對所接收數據包進行響應,而不是等待週期性發送數據包
功耗 接口所連接設備的線上供電的最大功率,單位爲毫瓦
SysName 系統名
sysObjectID 發送端MIB對象的sysObjectID部分OBJECT-IDENTIFIER值
管理地址 接收SNMP消息的設備網絡層地址
除了包含上述消息之外,CDP還包含保持時間(Hold time),它表示接收設備應當在丟棄CDP消息之前將其保留多久。CDP版本2是CDP些以的最新版本,它能夠提供額外的TLV。
類型 描述
-------------------------------------
設備ID 標識發送設備
地址 網絡層地址---通常爲發送CDP數據包的接口地址
端口ID 標識發送CDP數據包的接口
功能 描述設備的功能(例如路由器還是交換機)
版本 描述設備運行軟件的信息
平臺 描述設備的硬件平臺
Native VLAN 802.1Q Native VLAN(未標識的數據報)
應用VLAN ID 包含單個或多個應用,每個包含應用ID(如VoIP電話)及相應的VLAN ID
觸發器 當設備接收到帶有觸發器TLV的CDP數據包,它將對所接收數據包進行響應,而不是等待週期性發送數據包
功耗 接口所連接設備的線上供電的最大功率,單位爲毫瓦
SysName 系統名
sysObjectID 發送端MIB對象的sysObjectID部分OBJECT-IDENTIFIER值
管理地址 接收SNMP消息的設備網絡層地址
除了包含上述消息之外,CDP還包含保持時間(Hold time),它表示接收設備應當在丟棄CDP消息之前將其保留多久。CDP版本2是CDP些以的最新版本,它能夠提供額外的TLV。
配置過程:
默認配置:
參數 默認值
---------------------------------
CDP全局配置 使能
CDP接口上 使能
CDP timer(發送更新) 60秒
CDP holdtime 180秒
CDP通告版本 V2
默認配置:
參數 默認值
---------------------------------
CDP全局配置 使能
CDP接口上 使能
CDP timer(發送更新) 60秒
CDP holdtime 180秒
CDP通告版本 V2
啓用和禁用CDP
配置過程:
啓用是默認的,所以默認下不需要啓用
1. 全局配置
1) 進入全局模式 configure terminal
2) 禁用CDP
no cdp run
3) 恢復啓用
cdp run
2. 接口配置
1) 進入接口模式 interface 接口
2) 禁用CDP
no cdp enable
3) 恢復啓用
cdp enable
配置過程:
啓用是默認的,所以默認下不需要啓用
1. 全局配置
1) 進入全局模式 configure terminal
2) 禁用CDP
no cdp run
3) 恢復啓用
cdp run
2. 接口配置
1) 進入接口模式 interface 接口
2) 禁用CDP
no cdp enable
3) 恢復啓用
cdp enable
配置CDP參數
配置過程:
1) 進入全局模式 configure terminal
2) 修改相應參數
cdp timer 秒數 //發送CDP更新的時間,時間爲5-254,默認爲60秒
cdp holdtime 秒數 //保持時間,時間爲10-255,默認爲180秒
cdp advertise-v2 //發送CDP數據包的版本
3) 驗證結果
show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
案例:
CCIE-LAB(V180)
題目要求:
Configure the Length of time camount,a neighbor should hold CDP information sent by SW2 before discarding it to 2 minute
配置:
SW2
Configure terminal
Cdp holdtime 120
配置過程:
1) 進入全局模式 configure terminal
2) 修改相應參數
cdp timer 秒數 //發送CDP更新的時間,時間爲5-254,默認爲60秒
cdp holdtime 秒數 //保持時間,時間爲10-255,默認爲180秒
cdp advertise-v2 //發送CDP數據包的版本
3) 驗證結果
show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
案例:
CCIE-LAB(V180)
題目要求:
Configure the Length of time camount,a neighbor should hold CDP information sent by SW2 before discarding it to 2 minute
配置:
SW2
Configure terminal
Cdp holdtime 120
IEEE802.3流量控制
IEEE 802.3流量控制特性用於避免兩臺設備之間的流量丟失。接收設備的緩衝區溢出能夠導致流量丟失。即使發送端和接收端具有相同的工作效率,兩者的緩衝區仍然可能不相同。此外,因爲設備內在的瓶頸或下游交換機的原因,接收設備也許不能足夠快地清空接收緩衝區。爲了避免在上述情況下發生流量丟失,通過IEEE 802.3流量控制特性,將使得鏈路夥伴之間能夠交流接收緩衝區滿的情況。當鏈路夥伴發現對端設備的緩衝區已經滿了,它將停止發送流量,並且在對端設備表明它既由接收流量的能力之後再重新發送流量。
注意,IEEE 802.3流量控制也常指IEEE 802.3z。
IEEE 802.3使用特定幀(暫停幀)來通知鏈路夥伴延遲一端特定時間後再發送幀。特定時間不是由用戶所決定,而是由接收交換機端口邏輯所確定的。3560交換機只支持接收暫停幀,不會發送和暫停幀。
配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置流量控制
flowcontrol [receive|send] [desirable|on|off]
receive:是否處理接收到的暫停幀
send:接口在發生擁塞時,是否發送暫停幀
desirable:如果不知道鏈路夥伴的IEEE 802.3流量控制配置時,使用desirable
on:當端口接收到暫停幀,它將停止發送流量
4) 驗證配置
show interface 接口
show flowcontrol interface 接口
案例:
configure terminal
interface fa0/23
flowcontrol receive on
案例:
CCIE-LAB(yy)
題目要求1:
Sw1 f0/8 爲避免擁塞,在收到pause frame 時停止發包
配置:
SW1
Config termi
Interface f0/8
Flowcontrol receive on
Show interface f0/8 flowcontrol
題目要求2:
配置Sw1 g0/1當網絡有擁塞時,發送pause frame,並不對接收到的pause frame做響應。
配置:
SW1
Configure termi
Interface g0/1
Flowcontrol send on
Flowcontrol receive off
IEEE 802.3流量控制特性用於避免兩臺設備之間的流量丟失。接收設備的緩衝區溢出能夠導致流量丟失。即使發送端和接收端具有相同的工作效率,兩者的緩衝區仍然可能不相同。此外,因爲設備內在的瓶頸或下游交換機的原因,接收設備也許不能足夠快地清空接收緩衝區。爲了避免在上述情況下發生流量丟失,通過IEEE 802.3流量控制特性,將使得鏈路夥伴之間能夠交流接收緩衝區滿的情況。當鏈路夥伴發現對端設備的緩衝區已經滿了,它將停止發送流量,並且在對端設備表明它既由接收流量的能力之後再重新發送流量。
注意,IEEE 802.3流量控制也常指IEEE 802.3z。
IEEE 802.3使用特定幀(暫停幀)來通知鏈路夥伴延遲一端特定時間後再發送幀。特定時間不是由用戶所決定,而是由接收交換機端口邏輯所確定的。3560交換機只支持接收暫停幀,不會發送和暫停幀。
配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置流量控制
flowcontrol [receive|send] [desirable|on|off]
receive:是否處理接收到的暫停幀
send:接口在發生擁塞時,是否發送暫停幀
desirable:如果不知道鏈路夥伴的IEEE 802.3流量控制配置時,使用desirable
on:當端口接收到暫停幀,它將停止發送流量
4) 驗證配置
show interface 接口
show flowcontrol interface 接口
案例:
configure terminal
interface fa0/23
flowcontrol receive on
案例:
CCIE-LAB(yy)
題目要求1:
Sw1 f0/8 爲避免擁塞,在收到pause frame 時停止發包
配置:
SW1
Config termi
Interface f0/8
Flowcontrol receive on
Show interface f0/8 flowcontrol
題目要求2:
配置Sw1 g0/1當網絡有擁塞時,發送pause frame,並不對接收到的pause frame做響應。
配置:
SW1
Configure termi
Interface g0/1
Flowcontrol send on
Flowcontrol receive off
UDLD(UniDirectional Link Detection單向鏈路監測)和積極模式UDLD
當鏈路保持“UP”狀態的時候,但接口卻沒有傳遞流量,UDLD協議能夠監測到交換機端口上的單向鏈路的情形。這種情形通常會出現在以下幾種情況之中:GBIC(吉比特接口轉換器)或接口出現故障、軟件故障、硬件失效或其他異常表現。UDLD有助於防止在上述幾種失效中發生災難性的事件,當監測到有單向鏈路,它將停止端口發送信息。
UDLD是一種第2層協議,它與第1層機制協同工作來確定鏈路的物理狀態。在第1層中,自動協商功能將照顧到物理信令和故障監測。UDLD能夠執行自動協商不能執行的任務,例如監測鄰居身份和關閉連接不當的端口。當同時啓用自動協商和UDLD的時候,第1層和第2層監測將協同工作來防止物理或邏輯上的單向連接,並且還可以其他協議的故障。
UDLD有兩種模式:通常模式和廣泛模式。通常模式是默認的,當監測吉比特接口出現了故障,它會監測到單向性鏈路,防止出現問題。如果某個端口連接正確沒有故障,但只是傳輸是單向的,UDLD不會監測到單向鏈路,因爲第1層機制沒有問題,它也不會非法這個端口。
廣泛模式下,當出現一下情況時,它會監測到單向鏈路,它將非法端口:
* 一個光纖吉比特端口或雙絞線鏈路中,其中一個端口不能發送或接收數據包
* 一個光纖吉比特端口或雙絞線鏈路中,其中一個端口斷了而其他端口是活動
* 一個光纖線纜的一頭連接錯誤
積極模式UDLD是UDLD的一種變種,它能夠提供額外的好處。在啓用積極模式UDLD的情況下,當端口停止接收UDLD數據包的時候,UDLD將嘗試重新建立與鄰居的連接。但如果嘗試次數超過8次之後,那麼端口狀態就將變更爲“error-disable”狀態,它將有效地禁用端口。
UDLD的算法:
學習鄰居的信息並將信息保存在一個本地cache中,一但檢測到一個新的鄰居或一個鄰居請求重新同步cache時,就發送一系列的UDLD probe/echo(hello)包。
UDLD在所有端口上持續的發送probe/echo信息,當在端口上收到一個UDLD響應信息時觸發一個"detection-phase"和驗證進程。如果所有的有效條件都達滿足(端口是雙向連接,並且線纜正確),這個端口被啓用。否則,該端口被禁用,並觸發如下所示的syslog信息:
"UDLD-3-DISABLE: Unidirectional link detected on port mod/port. Port disabled"()
"UDLD-4-ONEWAYPATH: A unidirectional link from port mod/port to port mod/port of device [chars] was detected"
一但一個鏈路建立起來並被標誌爲雙向的,UDLD會繼續每隔15秒發送一個probe/echo信息。
1. 鄰居數據庫維護(Neighbor database maintenance)
UDLD在每個活動的接口上週期性的發送probe/echo包,以維護鄰居緩存的完整性。一端收到一個hello信息,將它緩存到內存中,並保存一個通過hold-time定義的時間間隔。如果一個hold-time超時,相應的cache被清空,如果在hold-time定義的時間間隔內收到新的hello信息,則新的替代老的,並將計時器清零。
爲了維護UDLD cache的完整性,一旦一個啓用了UDLD的接口被禁用,或該接口上的設備被重啓,該接口存在的所有緩存均會被清除,UDLD傳送至少一個信息讓鄰居清空響應的緩存條目。
2. 回顯監測機制
回顯機制構成了檢測算法的基礎。一旦一個UDLD設備學習到了一個新的鄰居或從一個非同步狀態的鄰居收到一了個重新同步的請求。它將啓動或重啓本端的檢測窗口,併發送一個完全同意的回顯信息。由要求所有的鄰居都必須有這個相應的行爲,回顯的發送者期待收到一個響應的echos。如果檢測窗口結束,而沒有合法的響應信息收到,這個鏈路被認爲是單向連接。就觸發鏈路重連接或端口shutdown進程。
在啓用UDLD的情況下,交換機將定期地向鄰居發送UDLD協議數據包,並且期望在預定計時器到期之前接收到迴應的數據包。如果計時器到期,那麼交換機將確定該鏈路是單向鏈路,並且關閉該端口。
配置過程:
默認配置:
參數 默認值
------------------------------------------
UDLD全局配置 未啓動
在光纖上的UDLD 未啓動
在銅攬線上的UDLD 未啓動
UDLD的aggressive模式 未啓動
當鏈路保持“UP”狀態的時候,但接口卻沒有傳遞流量,UDLD協議能夠監測到交換機端口上的單向鏈路的情形。這種情形通常會出現在以下幾種情況之中:GBIC(吉比特接口轉換器)或接口出現故障、軟件故障、硬件失效或其他異常表現。UDLD有助於防止在上述幾種失效中發生災難性的事件,當監測到有單向鏈路,它將停止端口發送信息。
UDLD是一種第2層協議,它與第1層機制協同工作來確定鏈路的物理狀態。在第1層中,自動協商功能將照顧到物理信令和故障監測。UDLD能夠執行自動協商不能執行的任務,例如監測鄰居身份和關閉連接不當的端口。當同時啓用自動協商和UDLD的時候,第1層和第2層監測將協同工作來防止物理或邏輯上的單向連接,並且還可以其他協議的故障。
UDLD有兩種模式:通常模式和廣泛模式。通常模式是默認的,當監測吉比特接口出現了故障,它會監測到單向性鏈路,防止出現問題。如果某個端口連接正確沒有故障,但只是傳輸是單向的,UDLD不會監測到單向鏈路,因爲第1層機制沒有問題,它也不會非法這個端口。
廣泛模式下,當出現一下情況時,它會監測到單向鏈路,它將非法端口:
* 一個光纖吉比特端口或雙絞線鏈路中,其中一個端口不能發送或接收數據包
* 一個光纖吉比特端口或雙絞線鏈路中,其中一個端口斷了而其他端口是活動
* 一個光纖線纜的一頭連接錯誤
積極模式UDLD是UDLD的一種變種,它能夠提供額外的好處。在啓用積極模式UDLD的情況下,當端口停止接收UDLD數據包的時候,UDLD將嘗試重新建立與鄰居的連接。但如果嘗試次數超過8次之後,那麼端口狀態就將變更爲“error-disable”狀態,它將有效地禁用端口。
UDLD的算法:
學習鄰居的信息並將信息保存在一個本地cache中,一但檢測到一個新的鄰居或一個鄰居請求重新同步cache時,就發送一系列的UDLD probe/echo(hello)包。
UDLD在所有端口上持續的發送probe/echo信息,當在端口上收到一個UDLD響應信息時觸發一個"detection-phase"和驗證進程。如果所有的有效條件都達滿足(端口是雙向連接,並且線纜正確),這個端口被啓用。否則,該端口被禁用,並觸發如下所示的syslog信息:
"UDLD-3-DISABLE: Unidirectional link detected on port mod/port. Port disabled"()
"UDLD-4-ONEWAYPATH: A unidirectional link from port mod/port to port mod/port of device [chars] was detected"
一但一個鏈路建立起來並被標誌爲雙向的,UDLD會繼續每隔15秒發送一個probe/echo信息。
1. 鄰居數據庫維護(Neighbor database maintenance)
UDLD在每個活動的接口上週期性的發送probe/echo包,以維護鄰居緩存的完整性。一端收到一個hello信息,將它緩存到內存中,並保存一個通過hold-time定義的時間間隔。如果一個hold-time超時,相應的cache被清空,如果在hold-time定義的時間間隔內收到新的hello信息,則新的替代老的,並將計時器清零。
爲了維護UDLD cache的完整性,一旦一個啓用了UDLD的接口被禁用,或該接口上的設備被重啓,該接口存在的所有緩存均會被清除,UDLD傳送至少一個信息讓鄰居清空響應的緩存條目。
2. 回顯監測機制
回顯機制構成了檢測算法的基礎。一旦一個UDLD設備學習到了一個新的鄰居或從一個非同步狀態的鄰居收到一了個重新同步的請求。它將啓動或重啓本端的檢測窗口,併發送一個完全同意的回顯信息。由要求所有的鄰居都必須有這個相應的行爲,回顯的發送者期待收到一個響應的echos。如果檢測窗口結束,而沒有合法的響應信息收到,這個鏈路被認爲是單向連接。就觸發鏈路重連接或端口shutdown進程。
在啓用UDLD的情況下,交換機將定期地向鄰居發送UDLD協議數據包,並且期望在預定計時器到期之前接收到迴應的數據包。如果計時器到期,那麼交換機將確定該鏈路是單向鏈路,並且關閉該端口。
配置過程:
默認配置:
參數 默認值
------------------------------------------
UDLD全局配置 未啓動
在光纖上的UDLD 未啓動
在銅攬線上的UDLD 未啓動
UDLD的aggressive模式 未啓動
全局配置:
1) 進入全局模式 configure terminal
2) 啓用UDLD
udld [aggressive|enable|message time 秒數]
aggressive:啓動aggressive模式
enable:啓動通常模式
message time:消息間隔時間,取值爲1-90秒
3) 驗證結果
show udld
1) 進入全局模式 configure terminal
2) 啓用UDLD
udld [aggressive|enable|message time 秒數]
aggressive:啓動aggressive模式
enable:啓動通常模式
message time:消息間隔時間,取值爲1-90秒
3) 驗證結果
show udld
switch#show udld
……
Interface Fa0/23
---
Port enable administrative configuration setting: Disabled
Port enable operational state: Disabled
Current bidirectional state: Unknown
……
Interface Fa0/23
---
Port enable administrative configuration setting: Disabled
Port enable operational state: Disabled
Current bidirectional state: Unknown
Interface Fa0/24
---
Port enable administrative configuration setting: Disabled
Port enable operational state: Disabled
Current bidirectional state: Unknown
接口配置:
1) 進入接口模式 interface 接口
2) 配置UDLD
udld port [aggressive]
aggressive:設置爲aggressive模式,如果不加這個參數就是通常模式
3) 驗證結果
show udld 接口號
案例:
Sw(config)#interface f0/23
Sw(config-if)#udld port aggressive
Sw#show udld f0/23
Interface Fa0/23
---
Port enable administrative configuration setting: Enabled / in aggressive mode
Port enable operational state: Enabled / in aggressive mode
Current bidirectional state: Unknown
Current operational state: Advertisement
Message interval: 7
Time out interval: 5
No neighbor cache information stored
---
Port enable administrative configuration setting: Disabled
Port enable operational state: Disabled
Current bidirectional state: Unknown
接口配置:
1) 進入接口模式 interface 接口
2) 配置UDLD
udld port [aggressive]
aggressive:設置爲aggressive模式,如果不加這個參數就是通常模式
3) 驗證結果
show udld 接口號
案例:
Sw(config)#interface f0/23
Sw(config-if)#udld port aggressive
Sw#show udld f0/23
Interface Fa0/23
---
Port enable administrative configuration setting: Enabled / in aggressive mode
Port enable operational state: Enabled / in aggressive mode
Current bidirectional state: Unknown
Current operational state: Advertisement
Message interval: 7
Time out interval: 5
No neighbor cache information stored
廣播和多播抑制
廣播數據包具有獨特的特徵,廣播域中的每臺設備都將處理廣播數據包。如果某個網段中存在過量的廣播流量,那麼所有的設備都將受到影響。基於上述原因,如果網絡中存在廣播風暴,最終將導致擁塞,並且會嚴重降低網絡性能的等級。未知多播編址幀將在VLAN中擴散,並且會影響子網中的其餘設備。因此,網絡應當防止過量多播或廣播流量所導致的非正常功能的故障設備或惡意***,這具有非常關鍵的作用。
爲了緩解過量廣播的影響,交換機提供了廣播抑制的特性。廣播抑制監測採取如下兩種行動:丟棄過量的流量;或者禁用接收過量的流量的端口。
通過監控在1秒週期內進入端口的流量,這種特性能夠正常發揮作用。如果廣播流量超過了所配置的閥值,那麼交換機就將採取所配置的違規動作。
基於IOS軟件的交換機唯一違規行爲就是丟棄數據包(對於4500系列交換機還有關閉選項)。
配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置抑制的類型
storm-control [broadcast|multicast|unicast] level [閥值 | bps bps值 | pps pps值]
閥值:取值爲0-100,代表是端口帶寬的百分比,例如,如果在快速以太網上啓用廣播抑制的特性,那麼10,代表就是10Mbit/s的流量。100表示交換機就將不抑制任何流量。0表示交換機將抑制所有流量。
Bps:取值爲0-10000000000,代表爲每秒多少bit,當超過指定的值將會受到抑制。
Pps:取值爲0-10000000000,代表爲每秒多少包,當超過指定的值將會受到抑制。
4) 配置抑制的行爲
storm-control action [shutdown|trap]
shutdown:端口將進入到“err-disable”狀態
trap:產生SNMP trap(抑制)消息來通告發生過量流量的情況
5) 驗證配置
show storm-control 接口 [broadcast|multicast|unicast]
案例:
configure terminal
interface f0/23
storm broadcast level 5
storm multicast level 20
storm action shutdown
show storm-control fa0/23
Interface Filter State Trap State Upper Lower Current Traps Sent
--------- ------------- ------------- ------- ------- ------- ----------
Fa0/23 Forwarding inactive 5.00% 5.00% 0.00% 0
Show storm-control multicast f0/23
Interface Filter State Trap State Upper Lower Current Traps Sent
--------- ------------- ------------- ------- ------- ------- ----------
Fa0/23 Forwarding inactive 20.00% 15.00% 0.00% 0
show running interface f0/23
Building configuration...
Current configuration : 189 bytes
!
interface FastEthernet0/23
switchport mode trunk
udld port aggressive
storm-control broadcast level 5.00
storm-control multicast level 20.00 15.00
storm-control action shutdown
end
案例:
CCIE-LAB(v180)
題目要求:
SW1 Fa0/6 will stop forwarding unicast traffic if the input rate exceeds 65Mbps
配置:
SW1
Configure terminal
Interface f0/6
Storm-control unicast level 65.00
或 storm-control unicast bps 65000000
廣播數據包具有獨特的特徵,廣播域中的每臺設備都將處理廣播數據包。如果某個網段中存在過量的廣播流量,那麼所有的設備都將受到影響。基於上述原因,如果網絡中存在廣播風暴,最終將導致擁塞,並且會嚴重降低網絡性能的等級。未知多播編址幀將在VLAN中擴散,並且會影響子網中的其餘設備。因此,網絡應當防止過量多播或廣播流量所導致的非正常功能的故障設備或惡意***,這具有非常關鍵的作用。
爲了緩解過量廣播的影響,交換機提供了廣播抑制的特性。廣播抑制監測採取如下兩種行動:丟棄過量的流量;或者禁用接收過量的流量的端口。
通過監控在1秒週期內進入端口的流量,這種特性能夠正常發揮作用。如果廣播流量超過了所配置的閥值,那麼交換機就將採取所配置的違規動作。
基於IOS軟件的交換機唯一違規行爲就是丟棄數據包(對於4500系列交換機還有關閉選項)。
配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置抑制的類型
storm-control [broadcast|multicast|unicast] level [閥值 | bps bps值 | pps pps值]
閥值:取值爲0-100,代表是端口帶寬的百分比,例如,如果在快速以太網上啓用廣播抑制的特性,那麼10,代表就是10Mbit/s的流量。100表示交換機就將不抑制任何流量。0表示交換機將抑制所有流量。
Bps:取值爲0-10000000000,代表爲每秒多少bit,當超過指定的值將會受到抑制。
Pps:取值爲0-10000000000,代表爲每秒多少包,當超過指定的值將會受到抑制。
4) 配置抑制的行爲
storm-control action [shutdown|trap]
shutdown:端口將進入到“err-disable”狀態
trap:產生SNMP trap(抑制)消息來通告發生過量流量的情況
5) 驗證配置
show storm-control 接口 [broadcast|multicast|unicast]
案例:
configure terminal
interface f0/23
storm broadcast level 5
storm multicast level 20
storm action shutdown
show storm-control fa0/23
Interface Filter State Trap State Upper Lower Current Traps Sent
--------- ------------- ------------- ------- ------- ------- ----------
Fa0/23 Forwarding inactive 5.00% 5.00% 0.00% 0
Show storm-control multicast f0/23
Interface Filter State Trap State Upper Lower Current Traps Sent
--------- ------------- ------------- ------- ------- ------- ----------
Fa0/23 Forwarding inactive 20.00% 15.00% 0.00% 0
show running interface f0/23
Building configuration...
Current configuration : 189 bytes
!
interface FastEthernet0/23
switchport mode trunk
udld port aggressive
storm-control broadcast level 5.00
storm-control multicast level 20.00 15.00
storm-control action shutdown
end
案例:
CCIE-LAB(v180)
題目要求:
SW1 Fa0/6 will stop forwarding unicast traffic if the input rate exceeds 65Mbps
配置:
SW1
Configure terminal
Interface f0/6
Storm-control unicast level 65.00
或 storm-control unicast bps 65000000
保護端口
保護端口不轉發第二層的任何數據包(單播、廣播、組播)到其它任何保護端口,數據轉發必須通過第3層設備來進行。
配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置保護端口
switchport proctected
4) 驗證結果
show interface 接口 switchport
保護端口不轉發第二層的任何數據包(單播、廣播、組播)到其它任何保護端口,數據轉發必須通過第3層設備來進行。
配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置保護端口
switchport proctected
4) 驗證結果
show interface 接口 switchport
switch#show interface f0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Appliance trust: none
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Appliance trust: none
本文出自 “無聊生活,積極面對” 博客