|
标签:
交换机收到frame后,先查看是否有VACL
如果有的话,先通过VACL,在查表进行转发
VACL:VLAN的ACL,该功能一般在三层交换机上菜有
VACL抓取IP和MAC 动作有转发和丢弃两个
access-list 4 permit 100.1.1.3
vlan access-map A 序号
match ip address 4
action drop
调用:
vlan filter A vlan-list 100
思考:是否可以同VACL,来实现VLAN之间互访的限制???????
mac access-list extended MAC
permit host xxxx.xxxx.xxxx any
vlan access-map A
match ip mac MAC
action drop
注意点:基于MAC的VACL,如果之前设备已经有相关的arp表项的话,VACL就不起作用了
HASH的特点:
1、不可逆
2、不等长输入,等长输出
三层交换机的MAC表就不叫CAM表了,而是TCAM表
netflow:一次路由,多次交换,比较老的技术
转发方式:
1、集中式,转发由中央处理器来统一转发 ,老式的方法
2、分布式,转发卡来转发
进程级交换:通过CPU去处理
ASIC级交换:属于硬件交换,由专门的转发硬件来处理
CEF:
控制层面,有张FIB表和邻居表
FIB作用:
1、可以被ASIC调用
2、解决递归
3、扩展 MPLS
邻居表:把ARP表项的复制
启用CEF的命令:全局ip cef
show ip cef 查看FIB表
show ip cef detail查看CEF详细列表
show ajacency 查看邻居表
show ajacency detail查看邻居表详细信息
在同一台交换设备上VLAN的MAC地址是一样,它属于设备的管理MAC地址
ARP throttling ARP的抑制
当ARP request 没有被回应,就会继续发送,为了抑制这种广播报文的传播的一种抑制机制
SPAN:switched port analyzer
monitor session 1 source interface f0/1
monitor session 1 destination interface f0/2
跨设备SPAN
写抓取包的源
monitor session 1 destination remote vlan 100
monitor session 1 destination remote vlan 100 reflector-port 空接口 老设备需要配置,新的不用
vlan 100
remote-span
另一个设备上的配置:
vlan 100
remote-span
monitor session 1 source remote vlan 100
monitor session 1 destination interface f0/2
NTP:网络时间协议,用于同步时钟
NTP用到UDP端口号123,目前版本4
ntp master 默认层级为8 数字越小,层级越低
ntp server x.x.x.x x.x.x.x需要路由可达
show ntp status
和次级时钟同步:
ntp peer x.x.x.x
|
