CCIE交换笔记.docxVIP

Switched Port Analyzer（SPAN端口分析仪）： 源端口（受控端口）可为： 单一端口； 多个端口 多--1 （带宽瓶颈） Vlan（则此端口中所有vlan都被监控） Trunk：所有流量都被监控 Etherchannel（内部所有物理端口都被监控） 流量的方向：receive（Rx） 接收 Tansfer （Tx） 发送 both（两个方向全部监控） 如果是旧的ios版本 3550 2900 2950 交换机 只支持单一接口的both方向以及多端口或者vlan的入方向！不支持多接口同时出 新版本无此限制Catalyst 3750+ 目标端口：单一端口！或者是remote-vlan Ingress：默认情况下，目标端口都是连接pc，所以不用运行二层协议（DTP VTP CDP) 但如果接的是IDS等设备，则建议打开ingress功能，使其在监控的同时还能运行各种二层协议 命令：monitor session 1 destination interface fa0/28 ingress vlan 1（建议是用native vlan来传此数据） Local-span命令：monitor session 1 source interface/Remote/vlan rx/tx/both 监控端口 monitor session 1 destination interface fa0/28 查看配置：show monitor session all Remote Span：RSPAN：受控端口和目标端口不在同一个设备上，但在同一个交换域内！ 用一个专用vlan来传递数据（如vlan 88 起进程 remote span 所有交换机一定要一致） 命令：monitor session 1 source interface fa0/8 基于trunk链路 Monitor session 1 destination remote vlan 88 reflector-port fa0/10 Describing STP Security Mechanisms（STP的安全特性）： BPDU Guard：在开启了portfast的接口，如果收到更优的BPDU，则为了整个交换域的stp稳定，将此接口置于error-disable状态！以保护当前的stp。 Err-disable恢复：1.手动恢复：interface fa1/1 shut no shut 2.自动恢复：需要配置。 实验流程： 1.检查发现R1是根桥，R2的fa1/1接口是root port 则此接口会周期收到更优的BPDU 在R2的fa1/1接口 开启portfast 并开启bpduguard 此时，fa1/1接口会置于err-disable show ip int bri可以看到 双down 可以手动恢复此接口 先shut 再no shut 可以配置自动恢复: show err detect 查看可以造成errdisable的原因 show errdisable recovery 查看可以自动恢复的原因（默认全是关闭） Errdisable recovery cause bpduguard Errdisable recover interval 30 （默认300s恢复） 5：配置自动恢复后，进接口手动恢复一下，看30s后的效果！ 基于全局开启或关闭：spanning-tree portfast bpduguard default 基于接口开启或关闭：进入接口后spanning-tree bpduguard enable【disable】 在快速端口较多的环境中，全局开启，并在连接其他交换机的端口关闭！ PDU Filter（基于portfast端口）：收到更优的bpdu后，不会err-disable而是选择丢弃！并将接口处于一个叫做broken的状态！默认10s自动恢复 基于全局开启或关闭：spanning-tree portfast bpdufilter default 基于接口开启或关闭：进入接口后spanning-tree bpdufilter enable【disable】 在快速端口较多的环境中，全局开启，并在连接其他交换机的端口关闭！ Root Guard（根桥防护）：在原先的stp