portfast和bpduguard应用 TCP负载均衡地址转换 802.1Q理论技术

portfast和bpduguard应用PortFast加快终端主机连接入stp网络的收敛.只适用于,在交换机与主机(电脑)相连的端口,不应该在交换机与交换机,路由器,hub互连的网络设备的端口使用.把一个port设置了portfast，就是让那个port不再使用STP的算法。在STP中，port有5个状态：disable、blocking、listening、learning、forwarding。只有forwarding状态，port才能发送用户数据。如果一个port一开始是没有接pc，一旦pc接上，就会经历blocking-listening-learing-forwarding，每个状态的变化要经历一段时间，这样总共会有3个阶段时间，缺省的配置要50秒钟。这样从pc接上网线，到能发送用户数据，需要等50秒的时间，但如果设置了portfast，那就不需要等待这50秒了。portfast只能用在接入层,也就是说交换机的端口是接HOST的才能起用portfast,如果是接交换机的就一定不能启用,否则会造成新的环路.起用portfast往往是因为一些应用的要求,cisco是建议将符合条件的port设置成portfast的.PS:将SWITCH的端口设置为spanning-treeportfast后，如果这个端口接到其他SWITCH或者HUB上就可能造成环路问题。加上spanning-treebpduguardenable之后，当这个端口在收到BPDU包后就会进入errdisable状态，从而避免环路。BPDUGUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态.我们知道,当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU.当这个端口下如果有自回环的环路,那么它发出去的BPDU在小交换机上回环后就会被自己接收到,这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络.Portfast和bpduguard配置：switch（config)#interfacerangef0/1-5switch(config-if-range)#spanning-treeportfastswitch(config-if-range)#spanning-treebpduguardenableBPDUGuard使具备PortFast特性的端口在接收到BPDU时进入err-disable状态来避免桥接环路，其可在全局或接口下进行配置（默认关闭），可使用errdisablerecoverycausebpduguard命令开启端口状态的自动恢复。不同于BPDU防护，BPDUFilter配置于全局/接口模式时，功能有所不同，当启用于PortFast端口模式时，交换机将不发送任何BPDU，并且把接收到的所有BPDU都丢弃；而启用于全局模式时，端口在接收到任何BPDU时，将丢弃PortFast状态和BPDU过滤特性，更改回正常的STP操作，BPDUFilter特性默认关闭。当同时启用bpduguard与bpdufilter时，bpdufilter优先级较高，bpduguard将失效。LOOPGuard主要用来避免阻塞端口错误地过渡到转发状态而产生桥接环路的情况；当交换机在启用loopguard特性的非指定端口上停止接收BPDU时，交换机将使得端口进入STP“不一致环路”（inconsistentports）阻塞状态，当不一致端口再次收到BPDU时，端口将根据BPDU自动过滤到STP状态。通过shspanning-treeinconsistentports命令可以查看不一致端口状态。loopguard特性默认开启。BPDUGUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。我们知道，当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU，当BPDUGUARD开启后,在正常情况下，一个下联的端口是不会收到任何BPDU的，因为PC和非网管换机都不支持STP,所以不会收发BPDU。当这个端口下如果有自回环的环路，那么它发出去的BPDU在非网管换机上回环后就会被自己接收到，这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了，不会转发任何数据，也就切断了环路,保护了整个网络。BPDUGuard特性可以全局启用也可以基于基于接口的启用,两种方法稍有不同.当在启用了PortFast特性的端口收到了BPDU后，BPDUGuard将关闭该端口，使该端口处于err-disable状态，这时必须手动才能把此端口回复为正常状态。配置BPDUGuard:Switch(config)#spanning-treeportfastbpduguarddefault/---在启用了PortFast特性的端口上启用BPDUguard---/Switch(config-if)#spanning-treebpduguardenable/---在没启用PortFast特性的情况下启用BPDUguard---/BPDUFiltering特性和BPDUGuard特性非常类似.通过使用BPDUFiltering,将能够防止交换机在启用了PortFast特性的端口上发送BPDU给主机。如果全局配置了BPDUFiltering，当某个PortFast端口接收到了BPDU,那么交换机将禁用PortFast和BPDUFiltering特性,把端口更改回正常的STP状态.如果在单独的PortFast端口启用BPDUFiltering,此端口将不发送任何的BPDU并忽略所有接收到的BPDU.注意,如果在连接到其他交换机的端口(不是连的主机的端口)上配置了BPDUFiltering,那么就有可能导致层2环路（PreventfromsendingandreceivingBPDU）.另外,如果在与启用了BPDUFiltering的相同端口上配置了BPDUGuard特性,所以BPDUGuard将不起作用,起作用的将是BPDUFiltering.配置BPDUFiltering:Switch(config)#spanning-treeportfastbpdufilterdefault/---在启用了PortFast特性的端口上启用BPDUFiltering---/Switch(config-if)#spanning-treebpdufilterenable/---在不启用PortFast特性的情况下启用BPDUFiltering---/ROOTGuardRootGuard：防止新加入的交换机(有更低根网桥ID)影响一个已经稳定了（已经存在根网桥）的交换网络,阻止未经授权的交换机成为根网桥。工作原理：当一个端口启动了此特性，当它收到了一个比根网桥优先值更优的BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个端口特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。ROOTGuard在DP(designatedport)指定端口上做，该端口就不会改变了，只会是DP了，这样可以防止新加入的交换机成为root，该端口就变成了永久的DP了，（showspanninconsistentport），若新加入的交换机想成为root，则它的端口不能工作，直到这个新交换机委曲求全做RP为止。LoopGuardLoopGuard：防止一个阻断的端口由于链路不正常（不能双向通信等）接不到BPDU后变成转发，配了此项后，即使接不到BPDU也是阻断的loop-inconsistentblockingstate（启用loopguard时自动关闭rootguard）；Loopguard在RP接口或替代端口启用：Switch(config-if)#spanning-treeguardloop全局启用：Switch(config)#spantreeglobal-defaultloopguardenable如果在一个启用了rootguard的端口上启用loopguard，loopguard将禁用rootguard功能。TCP负载均衡地址转换【实验名称】TCP负载均衡地址转换【实验目的】掌握多台服务器复用同一IP地址时的TCP负载均衡地址转换技术。【背景描述】你是某网站的高级网络管理员，你的网站为了更好的给外界提供下载服务，用两台服务器共同承担外界对你网站的FTP下载。但是网站的FTP下载地址已经固定唯一，请你能实现两台服务器对同一服务的负载分担，且不能让外界探测到你服务器的数量。【实现功能】多台主机共享一个虚拟IP地址，实现服务负载分担。【实验拓扑】【实验设备】R2624（2台）【实验步骤】第一步：基本配置Red-GiantenableRed-Giant#configureterminalRed-Giant(config)#hostnameR1R1(config)#interfaceserial0R1(config-if)#ipaddress200.198.12.1255.255.255.0R1(config-if)#clockrate64000R1(config-if)#noshR1(config-if)#exiR1(config)#interfacefastethernet0R1(config-if)#ipaddress10.1.1.1255.255.255.0R1(config-if)#noshR1(config-if)#endRed-Giant#configureterminalRed-Giant(config)#hostnameR2R2(config)#interfaceserial0R2(config-if)#ipaddress200.198.12.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#exiR2(config)#interfacefastethernet0R2(config-if)#ipaddress100.100.100.1255.255.255.0R2(config-if)#end验证测试：R2#ping200.198.12.1Typeescapesequencetoabort.Sending5,100-byteICMPEchoesto200.198.12.1timeoutis2seconds:!!!!!第二步：配置TCP负载均衡地址转换R1(config)#ipnatpoolrealhosts10.1.1.210.1.1.3netmask255.255.255.0typerotary！定义真实地址负载分担R1(config)#access-list1permit10.1.1.100R1(config)#ipnatinsidedeR1(config)#ipnatinsidedestinationlist1poolrealhosts！定义一个虚拟的IP地址表现为代表几个主机的唯一地址R1(config)#interfaceserial0R1(config-if)#ipnatoutsideR1(config-if)#exiR1(config)#interfacefastethernet0R1(config-if)#ipnatinside验证测试：R1#shipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalTcp10.1.1.100:2110.1.1.2:21100.100.100.100:1178100.100.100.100:1178Tcp10.1.1.100:2110.1.1.3:21100.100.100.50:1024100.100.100.50:1024【注意事项】不要把inside和