sw1(config)#spanning-tree portfast default
Проверка осуществляется командой:
sw1#show spanning-tree summary
Switch is in rapid-pvst mode
Root bridge for: none
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
Во втором варианте и этот вариант более рекомендуем, настраивается на каждом интерфейсе, показано ниже:
sw1(config)#interface FastEthernet0/1
sw1(config-if)#switchport access vlan 9
sw1(config-if)#switchport mode access
sw1(config-if)#spanning-tree portfast
Отключается на интерфейсе командой:
sw1(config-if)#spanning-tree portfast disable
Проверка осуществляется командой:
sw1#show spanning-tree interface FastEthernet 0/1 portfast
VLAN0009 enabled
Или в развернутом варианте:
sw1#show spanning-tree interface FastEthernet 0/1 detail
Port 3 (FastEthernet0/1) of VLAN0016 is designated forwarding
Port path cost 19, Port priority 128, Port Identifier 128.3.
Designated root has priority 16, address 001b.544e.3280
Designated bridge has priority 32784, address 001b.2b24.2f00
Designated port id is 128.3, designated path cost 4
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu guard is enabled
Loop guard is enabled by default on the port
BPDU: sent 33130, received 0
Защита
от
BPDU
пакетов
(Bpduguard)
Данная утилита используется на уровне доступа, она отключает интерфейс, переходит в состояние err-disable, при приходе на него BPDU пакета, используется вместе с portfast, чтобы после её срабатывания включить интерфейс, надо дать на заблокированном интерфейсе команду shutdown после этого набрать no shutdown.
В первом варианте вводиться одной строкой и применяется ко всем портам доступа, показано ниже:
sw1(config)#spanning-tree portfast default
sw1(config)#spanning-tree portfast bpduguard default
Проверка осуществляется командой:
sw1#show spanning-tree summary
Switch is in rapid-pvst mode
Root bridge for: VLAN0001, VLAN0116, VLAN0120
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default is enabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
часть информации удалена
Во втором варианте, настраивается на каждом интерфейсе, и мы используем этот вариант, применение показано ниже:
sw1(config)#interface FastEthernet0/1
sw1(config-if)#spanning-tree bpduguard enable
Отключаем командой показанной ниже.
sw1(config-if)#spanning-tree bpduguard disable
Проверка осуществляется командой:
sw1#show spanning-tree interface FastEthernet 0/1 detail
Port 1 (FastEthernet0/1) of VLAN0009 is designated forwarding
Port path cost 19, Port priority 128, Port Identifier 128.1.
Designated root has priority 9, address 001b.544e.3280
Designated bridge has priority 32777, address 001b.54cb.e580
Designated port id is 128.1, designated path cost 4
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu guard is enabled
Loop guard is enabled by default on the port
BPDU: sent 167665, received 0
Фильтр
BPDU
пакетов
(Bpdufilter)
Данная утилита предназначена, для фильтрации BPDU пакетов, она не пропускает чужой и не отправляет свой BPDU пакет и при этом не отключает интерфейс, к примеру, наш коммутатор стоит против коммутатора нашего провайдера, чтобы не пропускать его BPDU пакеты мы должны установить данную утилиту на интерфейс, обращенный к провайдеру.
Мы можем указать данную команду одной строкой для всех портов portfast:
sw1(config)#spanning-tree portfast default
sw1(config)#spanning-tree portfast bpdufilter default
Проверка осуществляется командой:
sw1#show spanning-tree summary
Switch is in rapid-pvst mode
Root bridge for: VLAN0001, VLAN0116, VLAN0120
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is enabled
Loopguard Default is enabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
часть информации удалена
Настраивается на определенном интерфейсе, применение показано ниже:
sw1(config)#interface FastEthernet0/1
sw1(config-if)#spanning-tree bpdufilter enable
Следует заметить, что не стоит использовать данную утилиту вместе с утилитой bpduguard.
Защита коневого коммутатора (Guard root)
Данная утилита позволяет гарантировать не избрание корневым определенного коммутатора, но для её использования обязательно требуется, чтобы до её включения мы избрали коммутатор, который будет у нас корневым и только после этого мы прописываем на интерфейсах в сторону не корневого коммутатора данную команду:
sw1(config)#interface FastEthernet0/24
sw1(config-if)#spanning-tree guard root
Проверка осуществляется командой:
sw1#show spanning-tree inconsistentports
Защита
от
петель
(Guard loop)
Данная утилита обеспечивает дополнительную защиту против образования петель, для предотвращения STP петель за счет однонаправленной связи.
Работает подобно UDLD, но вместо этого использует BDPU keepalive для определения однонаправленного движения. Заблокированные порты будут переведены в состояние LOOP_INCONSISTANT_STATE, чтобы избежать петель.
Глобально задается командой показанной ниже:
sw1(config)#spanning-tree loopguard default
Проверка осуществляется командой:
sw1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
EtherChannel misconfig guard is enabled
Extended system ID is disabled
Portfast Default is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default is enabled
UplinkFast is disabled
BackboneFast is disabled
Pathcost method used is short
часть информации удалена
На отдельном интерфейсе задается командой, показанной ниже:
sw1(config)#interface FastEthernet0/24
sw1(config-if)#spanning-tree guard loop
Протокол обнаружения однонаправленной связи UniDirectional Link Detection (UDLD)
Протокол обнаружения однонаправленной связи (UDLD), является протоколом 2 уровня, отслеживает физическую конфигурацию кабелей и обнаруживает однонаправленные соединения и отключает порт. Данные соединения могут быть причиной петель в коммутации, образовывать черные дыры и недетерминированных перенаправлении. Чтобы включить интерфейс, после его отключения, необходимо на интерфейсе выполнить команду shutdown, а потом no shutdown.
Настраивается на интерфейсе:
sw1#conf t
sw1(config)# interface range fa0/19 20
Для медной пары:
sw1(config-if)#udld aggressive
Для оптического кабеля:
sw1(config-if)#udld
sw1(config-if)#end
sw1#wr
Проверка осуществляется командой:
sw1# show udld
Туннель через коммутаторы (802.1q Tunneling)
Туннель через коммутаторы 802.1q Tunneling, имеем 2 маршрутизатора их надо соединить туннелем через коммутаторы, следует отметить, что между коммутаторами есть магистральное соединение и на них прописаны vlan, настройка приводиться ниже:
r1(config)#interface f0/0
r1(config-if)#no shutdown
r1(config-if)#interface f0/0.10
r1(config-if)#encapsulation dot1Q 10
r1(config-if)#ip address 10.0.0.1 255.255.255.0
r1(config-if)#interface f0/0.20
r1(config-if)#encapsulation dot1Q 20
r1(config-if)#ip address 20.0.0.1 255.255.255.0
r2(config)#interface f0/0
r2(config-if)#no shutdown
r2(config-if)#interface f0/0.10
r2(config-if)#encapsulation dot1Q 10
r2(config-if)#ip address 10.0.0.2 255.255.255.0
r2(config-if)#interface f0/0.20
r2(config-if)#encapsulation dot1Q 20
r2(config-if)#ip address 20.0.0.2 255.255.255.0
sw1(config)#system mtu 1504
Данный интерфейс смотрит на маршрутизатор r1
sw1(config)#interface f0/1
sw1(config-if)#switchport access vlan 200
sw1(config-if)#switchport mode dot1q-tunnel
sw1(config-if)#l2protocol-tunnel cdp
sw1(config-if)#no cdp enable
sw1(config-if)#interface f0/19
sw1(config-if)#switchport trunk encapsulation dot1q
sw1(config-if)#switchport mode trunk
sw2(config)#system mtu 1504
Данный интерфейс смотрит на маршрутизатор r2
sw2(config)#interface f0/2
sw2(config-if)#switchport access vlan 200
sw2(config-if)#switchport mode dot1q-tunnel
sw2(config-if)#l2protocol-tunnel cdp
sw2(config-if)#no cdp enable
sw2(config-if)#interface f0/19
sw2(config-if)#switchport trunk encapsulation dot1q
sw2(config-if)#switchport mode trunk
Проверяем командой show cdp neighbor и ping на первом и втором маршрутизаторе.
Частные виртуальные локальные сети (Private VLANs)
Частные виртуальные локальные сети используются, когда нужно, чтобы один хост или несколько хостов не имели доступа к общей сети. Соответственно существуют три типа таких портов изолированные (isolated),сообщество (community) и прослушивающий (promiscuous), прослушивающий (promiscuous) порт может общаться со всеми видами портов в пределах частной виртуальной локальной сети. Также через него частные порты могут обмениваться между собой информацией. Варианты настройки приведены ниже:
Настройка изолированной виртуальной локальной сети (isolated vlan)
Обязательно переводим коммутатор в прозрачный режим (transparent) и после этого создаем изолированию виртуальную локальную сеть и первую виртуальную локальную сеть, только одна изолированная сеть может быть привязана к первой сети, к которой она будет привязана:
sw2(config)#vtp transparent
sw2(config-vlan)#vlan 201
sw2(config-vlan)#private-vlan isolated
sw2(config-vlan)#vlan 100
sw2(config-vlan)#private-vlan primary
sw2(config-vlan)#private-vlan association 201
sw2(config-vlan)#end
sw2#wr
Настраиваем порт, к которому будет подключен изолированный хост:
sw2(config)#interface f0/1
sw2(config-if)#switchport mode private-vlan host
sw2(config-if)#switchport private-vlan host-association 100 201
Проверка осуществляется командой:
sw2#show vlan private-vlan
Primary Secondary Type Ports
100 201 isolated Fa0/1
Также посмотреть результат можно и этой командой
sw2#show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 100 (VLAN00100) 201 (VLAN00201)