一、学习提纲
1、构建高可靠可冗余网络
核心层组环:RRPP实现高效倒换
双核心双上行(双归属网络):Smart Link阻断冗余链路,实现链路的厘秒级切换
网关冗余:VRRP+MSTP提供负载分担,IRF堆叠(要求设备系统一致,升级一定会停业务)、DRNI跨设备聚合
2、组播业务的快速开展
组播路由协议:组播三层转发表建立
IGMP:网关和主机之间成员关系维护
3、网络安全的部署
内部防御:802.1x认证、MAC认证、Port Security(端口安全:设置端口学习mac地址的最大条数)、Portal认证(网页认证)
综合防御:EAD防御
4、网络管理和维护应用
二、MVRP技术
1、概述
MRP(Multiple Register Protocol,多属性注册协议)作为一个属性注册协议的载体,可以用来传播属性消息。遵循MRP协议的应用实体称为MRP应用,MVRP(Multiple VLAN Register Protocol,多VLAN注册协议)
就是MRP的应用之一。MRP和MVRP分别是GARP(Generic Attribute Registration Protocol,通用属性注册协议)及GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)的升级版本,提高了属性声明效
率,用于替代GARP和GVRP协议。MVRP用于在设备间发布并学习VLAN配置信息,使得设备能够自动同步VLAN配置,减少网管人员的配置工作。在网络拓扑变化后,MVRP根据新的拓扑重新发布及学习VLAN,做到实
时与网络拓扑同步更新。
2、MVRP端口注册模式
Normal模式:该模式下的MVRP实体允许进行动态VLAN的注册或注销。
Fixed模式:该模式下的MVRP实体禁止进行动态VLAN的注销,收到的MVRP报文会被丢弃。也就是说,在该模式下,实体已经注册的动态VLAN是不会被注销的,同时也不会注册新的动态VLAN。
Forbidden模式:该模式下的MVRP实体禁止进行动态VLAN的注册,收到的MVRP报文会被丢弃。同时,将端口的MVRP注册模式配置为Forbidden模式时,该端口上除VLAN1以外所有已注册的动态VLAN将被删除。
3、MRP消息
MRP消息主要包括Join消息、New消息、Leave消息和LeaveAll消息,它们通过互相配合来实现信息的注册或注销。其中,Join消息和New消息属于声明,Leave消息和LeaveAll消息属于回收声明。
4、MVRP配置限制和指导
配置MVRP时,需要注意:
MVRP功能只能与STP、RSTP或MSTP配合使用,而无法与其他二层网络拓扑协议(如PVST、RRPP和Smart Link)同时配置。MVRP报文的收发不受STP/RSTP/MSTP阻塞端口影响。有关STP、RSTP、MSTP和PVST
的详细介绍,请参见“二层技术-以太网交换配置指导”中的“生成树”;有关RRPP的详细介绍,请参见“可靠性配置指导”中的“RRPP”;有关Smart Link的详细介绍,请参见“可靠性配置指导”中的“Smart Link”。
建议不要同时启用远程端口镜像功能和MVRP功能,否则MVRP可能将远程镜像VLAN注册到错误的端口上,导致镜像目的端口会收到很多不必要的报文。有关远程端口镜像的详细介绍,请参见“网络管理和监控配置指导”中的“镜像”。
在二层聚合接口上启用了MVRP功能后,会同时在二层聚合接口和对应的所有选中成员端口上进行动态VLAN的注册或注销。
如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的MVRP相关配置不会生效,该接口退出聚合组后,MVRP的配置才会生效
5、实例演示
基本配置:
[SW1]int g1/0/1 [SW1-GigabitEthernet1/0/1]port link-type trunk [SW1-GigabitEthernet1/0/1]port trunk permit vlan all
MVRP配置:
[SW1]mvrp global enable 全局模式下开启MVRP [SW1]int g1/0/1 [SW1-GigabitEthernet1/0/1]mvrp enable 进入接口试图下,开启MVRP
设置接口模式:
[SW3]int g1/0/2 [SW3-GigabitEthernet1/0/2]mvrp registration forbidden 进入接口视图下,修改接口模式
二、VLAN扩展-Hybrid端口
1、端口有三种模式:access,hybrid,trunk。
Access类型端口:只能属于1个VLAN,且该端口不打tag,一般用于连接计算机端口;
Trunk类型端口:可以允许多个VLAN通过,且该端口都是打tag的,一般用于交换机之间的连接;
Hybrid类型端口:可以允许多个VLAN通过,至于该端口在vlan中是否打tag由用户根据具体情况而定,可以用于交换机之间的连接也可以用于交换机和用户计算机之间的连接。
trunk和hybrid的区别主要是,hybrid端口可以允许多个vlan的报文不打标签,而 trunk端口只允许缺省vlan的报文不打标签,同一个交换机上不能hybrid和trunk并存。
2、使用场景,案例演示
要求:PC2、PC3能ping通PC4,PC2和PC3不能互通
SW配置
[SW1]vlan 10 [SW1-vlan10]vlan 20 [SW1-vlan20]vlan 100 [SW1]int g1/0/1 [SW1-GigabitEthernet1/0/1]port link-type hybrid [SW1-GigabitEthernet1/0/1]port hybrid pvid vlan 100 [SW1-GigabitEthernet1/0/1]port hybrid vlan 10 20 100 untagged [SW1-GigabitEthernet1/0/1]int g1/0/2 [SW1-GigabitEthernet1/0/2]port link-type hybrid [SW1-GigabitEthernet1/0/2]port hybrid pvid vlan 10 [SW1-GigabitEthernet1/0/2]port hybrid vlan 10 100 untagged [SW1-GigabitEthernet1/0/2]int g1/0/3 [SW1-GigabitEthernet1/0/3]port link-type hybrid [SW1-GigabitEthernet1/0/3]port hybrid pvid vlan 20 [SW1-GigabitEthernet1/0/3]port hybrid vlan 20 100 untagged
三、私有VLAN(Private VLAN)
1、实验演示
要求:SW1上只感觉出来一个vlan100,PC3和PC4不能互通,但是都能ping通SW1网关
SW2配置
[SW2]vlan 10 [SW2-vlan10]vlan 20 [SW2-vlan20]vlan 30 [SW2-vlan30]private-vlan primary [SW2-vlan30]private-vlan secondary 10 20 [SW2]int g1/0/3 [SW2-GigabitEthernet1/0/3]port private-vlan 30 promiscuous [SW2]int g1/0/1 [SW2-GigabitEthernet1/0/1]port link-type access [SW2-GigabitEthernet1/0/1]port access vlan 10 [SW2-GigabitEthernet1/0/1]port private-vlan host [SW2-GigabitEthernet1/0/1]int g1/0/2 [SW2-GigabitEthernet1/0/2]port link-type access [SW2-GigabitEthernet1/0/2]port access vlan 20 [SW2-GigabitEthernet1/0/2]port private-vlan host [SW2-GigabitEthernet1/0/3]display this # interface GigabitEthernet1/0/3 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 使用私有vlan自动将端口设置为Hybrid口 port hybrid vlan 10 20 30 untagged port hybrid pvid vlan 30 port private-vlan 30 promiscuous combo enable fiber # return
SW1配置
[SW1]vlan 100 [SW1-vlan100]port g1/0/3
[SW1-vlan100]int vlan 100
[SW1-Vlan-interface100]ip address 192.168.1.254 24
2、代理ARP:实现PC3和PC4通
[SW2]int vlan 30 [SW2-Vlan-interface30]private-vlan secondary 10 20 [SW2-Vlan-interface30]ip address 192.168.1.100 24 [SW2-Vlan-interface30]local-proxy-arp enable 开启arp代理,模拟器实验不了
四、Super VLAN
1、Super VLAN技术中的概念
2、Super VLAN与外部的二层通信
3、Super VLAN与外部的三层通信
4、Super VLAN技术配置示例
