二层交换机转发流程.doc

21二层以太网交换机基本原理及转发流程版本主要作者版本描述完成日期1.0李小玮二层以太网交换机基本原理及转发流程2011-7-21目录1MAC地址的简单介绍32VLAN的简单介绍33IP 过滤技术的简单介绍44QOS的简单介绍45实验56小结171、 MAC地址的简单介绍 MAC（Media Access Control，介质访问控制）地址是烧录在Network Interface Card（网卡）的EPROM里。MAC地址是48 bit二进制的地址，如：00-e0-fc-00-00-06。前24位叫做组织唯一标志符，后24位是由厂家自己分配。 MAC地址可以分为单播地址、多播地址和广播地址。单播地址：第一字节最低位为0，如：00-e0-fc-00-00-06多播地址：第一字节最低位为1，如：01-e0-fc-00-00-06广播地址：48位全1，即：ff-ff-ff-ff-ff-ff2、 VLAN的简单介绍 VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，即VLAN Tag。用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。3、 Ip过滤技术的简单介绍IP过滤技术可将访问和被访问者限制在一个特定范围内。可通过由管理员配置IP分组过滤表，IP过滤模块根据IP分组中报头的源地址、目的地址、端口号等信息，对来往的IP分组进行过滤，允许或者禁止某些IP地址的访问。还可以通过配置代理服务器来限制内部用户对Internet的访问。4、 QOS的简单介绍QoS（Quality of Service）即服务质量。对于网络业务，服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。5、 实验 实验一：在同一vlan下，对于G0/1和G0/2设置ip 过滤，PC ping 路由器的F0/0端口实验目的：分析一般情况下，交换机收到报文后的转发流程。分析：1）通过ping之前，在交换机上show mac address-table可以看出，一开始交换机没有mac信息。Switch_config#show mac address-table Mac Address Table (Total 0)-Vlan Mac Address Type Ports- - - -通过show interface g0/1，看出ping前的包数。GigaEthernet0/1 is up, line protocol is up Hardware is Giga-Combo-TX, address is 00e0.0fad.d0da (bia 00e0.0fad.d0da) MTU 1500 bytes, BW 100000 kbit, DLY 10 usec Encapsulation ARPA Auto-Duplex(Full), Auto-Speed(100Mb/s) flow-control off 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec Received 17 packets, 1688 bytes 15 broadcasts, 2 multicasts 0 discard, 0 error, 0 PAUSE 0 align, 0 FCS, 0 symbol 0 jabber, 0 oversize, 0 undersize 0 carriersense, 0 collision, 0 fragment 0 L3 packets, 0 discards, 0 Header errors Transmited 0 packets, 0 bytes 0 broadcasts, 0 multicasts 0 discard, 0 error, 0 PAUSE 0 sqettest, 0 deferred 0 single, 0 multiple, 0 excessive, 0 late 0 L3 forwards通过show interface g0/2，看出ping前的包数。Switch#show int g0/2GigaEthernet0/2 is up, line protocol is up Hardware is Giga-Combo-TX, address is 00e0.0fad.d0db (bia 00e0.0fad.d0db) MTU 1500 bytes, BW 100000 kbit, DLY 10 usec Encapsulation ARPA Auto-Duplex(Full), Auto-Speed(100Mb/s) flow-control off 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec Received 0 packets, 0 bytes 0 broadcasts, 0 multicasts 0 discard, 0 error, 0 PAUSE 0 align, 0 FCS, 0 symbol 0 jabber, 0 oversize, 0 undersize 0 carriersense, 0 collision, 0 fragment 0 L3 packets, 0 discards, 0 Header errors Transmited 17 packets, 1704 bytes 15 broadcasts, 2 multicasts 0 discard, 0 error, 0 PAUSE 0 sqettest, 0 deferred 0 single, 0 multiple, 0 excessive, 0 late 0 L3 forwards2）此时，pc开始ping F0/0A、交换机收到pc的arp包。先查看所收到的包，是否有vlan tag。如果没，那么就加上端口所属vlan 的tag。如果有，就查看vlan规则，是否允许该vlan通过，如果不允许，那么就直接丢弃。VLAN Status Name Ports- - - -1 Static Default F0/1, F0/2, F0/3, F0/4, F0/5 F0/6, F0/7, F0/8, F0/9, F0/10 F0/11, F0/12, F0/13, F0/14, F0/15 F0/16, F0/17, F0/18, F0/19, F0/20 F0/21, F0/22, F0/23, F0/24, G0/42 Static VLAN0002 G0/1, G0/2, G0/3通过show vlan可以得到以上信息，看到端口G0/1，G0/2，G0/3均划入了vlan 2，并不属于其他vlan，所以交换机G0/1口只允许vlan 2 通过，因此所有非vlan 2 的包，将全部丢弃。同时，由于pc所发出的包是没有vlan tag的，因此，交换机会将pc的包加上一个vlan2 的tag。B、交换机查看其端口的ip过滤表信息。 通过show ip access-list，可以看到ip过滤表的相关信息。Standard IP access list 1 Index Rule content - 1 permit 192.168.1.1 255.255.255.0 2 permit 192.168.1.2 255.255.255.0 3 deny any同时我们通过show run 看到该ip acl已经应用在G0/1口上。interface GigaEthernet0/1 ip access-group 1所以，G0/1端口允许192.168.1.1的ip和192.168.1.2的ip通过。因此，交换机转发pc的包，否则丢弃。C、交换机查看自己的mac表，如果pc的mac没有，那么就记录在mac-port表。 Mac Address Table (Total 1)-Vlan Mac Address Type Ports- - - -1 000a.e42f.d625 DYNAMIC g0/1D、交换机查看自己的vlan-map，在表中查找允许vlan 2 通过的端口。VLAN Status Name Ports- - - -1 Static Default F0/1, F0/2, F0/3, F0/4, F0/5 F0/6, F0/7, F0/8, F0/9, F0/10 F0/11, F0/12, F0/13, F0/14, F0/15 F0/16, F0/17, F0/18, F0/19, F0/20 F0/21, F0/22, F0/23, F0/24, G0/42 Static VLAN0002 G0/1, G0/2, G0/3于是找到了G0/1，G0/2和G0/3，由于G0/1是包的来源端口，所以交换机不予以考虑。然后交换机通过mac-port表，开始查找端口对应的mac是否为目的mac，如果找到，就进行后续处理；找不到就直接进行广播处理。交换机查看到所收到的包是广播包，那么就直接发送出vlan 2 中除了该包来源端口的其他所有端口（这里即G0/2和G0/3）。图1 pc发出的arp request上图即为pc所发出的arp包。由于是广播包，所以此时如果在G0/3端口抓包，同样可以看到上图。E、因为G0/2默认为access口，所以交换机会将报文的tag进行untag处理，然后再发送。如果为Trunck口，那么交换机就会根据配置决定是否对包做untag处理，默认情况下，不进行untag处理。F、路由器F0/0端口收到arp request后，回复arp reply。此时交换机同样先查看所收到的包是否有vlan tag。如果有，那么就查看该端口的vlan规则，是否允许该vlan通过。没有，则打上vlan 2 的tag。G、然后交换机查看G0/2端口的ip过滤表信息。通过show ip access-list，可以看到ip过滤表的相关信息。Standard IP access list 1 Index Rule content - 1 permit 192.168.1.1 255.255.255.0 2 permit 192.168.1.2 255.255.255.0 3 deny any同时我们通过show run 看到该ip acl已经应用在G0/2口上。interface GigaEthernet0/2 ip access-group 1可以看出，端口允许192.168.1.1的ip和192.168.1.2的ip通过，因此，交换机转发报文，否则丢弃。同时交换机记录了F0/0的mac ，记录在mac-port表。 Mac Address Table (Total 2)-Vlan Mac Address Type Ports- - - -1 000a.e42f.d625 DYNAMIC g0/11 00e0.0f84.4b30 DYNAMIC g0/2H、交换机查看自己的vlan-map，在表中查找允许vlan 2 通过的端口。VLAN Status Name Ports- - - -1 Static Default F0/1, F0/2, F0/3, F0/4, F0/5 F0/6, F0/7, F0/8, F0/9, F0/10 F0/11, F0/12, F0/13, F0/14, F0/15 F0/16, F0/17, F0/18, F0/19, F0/20 F0/21, F0/22, F0/23, F0/24, G0/42 Static VLAN0002 G0/1, G0/2, G0/3这个是交换机当前vlan 的信息。于是交换机找到了G0/1和G0/3，然后查找端口对应的mac是否为目的mac。然后进行单播转发。此时，在G0/3抓包，则无法看到arp reply。图1 Router发出的arp reply I、由于G0/1为access口，那么交换机就自动将vlan 2的tag进行untag处理。如果是Trunck口，由于pc无法识别有tag的报文，因此会对与通讯造成影响，那么就必须手工配置switchport trunck untag vlan 进行untag处理。H、Pc记录了F0/0的mac后，就开始了icmp报文的发送与接收。3）通过ping之后，在交换机上show mac address-table可以看出，交换机上面有了mac信息 Mac Address Table (Total 2)-Vlan Mac Address Type Ports- - - -1 000a.e42f.d625 DYNAMIC g0/11 00e0.0f84.4b30 DYNAMIC g0/2Ping后，G0/1的信息。GigaEthernet0/1 is up, line protocol is up Hardware is Giga-Combo-TX, address is 00e0.0fad.d0da (bia 00e0.0fad.d0da) MTU 1500 bytes, BW 100000 kbit, DLY 10 usec Encapsulation ARPA Auto-Duplex(Full), Auto-Speed(100Mb/s) flow-control off 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec Received 22 packets, 2064 bytes 16 broadcasts, 2 multicasts 0 discard, 0 error, 0 PAUSE 0 align, 0 FCS, 0 symbol 0 jabber, 0 oversize, 0 undersize 0 carriersense, 0 collision, 0 fragment 0 L3 packets, 0 discards, 0 Header errors Transmited 5 packets, 376 bytes 0 broadcasts, 0 multicasts 0 discard, 0 error, 0 PAUSE 0 sqettest, 0 deferred 0 single, 0 multiple, 0 excessive, 0 late 0 L3 forwards 与ping前相比多了5个包。1个arp包，4个ping包。（ Received 17 packets， 15 broadcasts， Transmited 0 packets，0 broadcasts）Ping后，G0/2的信息。GigaEthernet0/2 is up, line protocol is up Hardware is Giga-Combo-TX, address is 00e0.0fad.d0db (bia 00e0.0fad.d0db) MTU 1500 bytes, BW 100000 kbit, DLY 10 usec Encapsulation ARPA Auto-Duplex(Full), Auto-Speed(100Mb/s) flow-control off 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec Received 5 packets, 376 bytes 0 broadcasts, 0 multicasts 0 discard, 0 error, 0 PAUSE 0 align, 0 FCS, 0 symbol 0 jabber, 0 oversize, 0 undersize 0 carriersense, 0 collision, 0 fragment 0 L3 packets, 0 discards, 0 Header errors Transmited 22 packets, 2080 bytes 16 broadcasts, 2 multicasts 0 discard, 0 error, 0 PAUSE 0 sqettest, 0 deferred 0 single, 0 multiple, 0 excessive, 0 late 0 L3 forwards 相比之前，多了5个包。1个arp包，4个ping包。（Received 0 packets，0 broadcasts，Transmited 17 packets，15 broadcasts）4） Ping完后如果将缆线从交换机任意端口拔出，那么交换机会自动清除改端口对应mac-port信息 Mac Address Table (Total 1)-Vlan Mac Address Type Ports- - - -1 00e0.0f84.4b30 DYNAMIC g0/2此时，已经将PC的缆线从交换机G0/1口拔出。5） 交换机的mac-port表有老化时间。在一定时间内，如果没有流量从该端口通过，那么交换机会自动清除该端口所对应的mac信息。 Mac Address Table (Total 0)-Vlan Mac Address Type Ports- - - -实验二：在同一vlan下，对于G0/1和G0/2设置如下ip 过滤，PC ping 路由器的F0/0端口实验目的：研究ip acl的处理流程。A、Ip 过滤设置，第一种：Extended IP access list 123 Index Rule content - 1 permit ip 192.168.1.100 255.255.255.0 any 2 permit ip 192.168.1.1 255.255.255.0 any 3 permit ip 192.168.1.2 255.255.255.0 any 4 deny ip any any同时我们通过show run 看到该ip acl已经应用在G0/1口上。interface GigaEthernet0/1 ip access-group 123结果：从图中可以看出PC已经ping通了路由器。得出，当第一条ip acl并不匹配时，交换机并没有直接就做drop处理，而是继续匹配第二项，直到匹配到相符的信息在做处理。B、Ip过滤设置，第二种：Extended IP access list 123 Index Rule content - 1 deny ip any any 2 permit ip 192.168.1.1 255.255.255.0 any 3 permit ip 192.168.1.2 255.255.255.0 any同时我们通过show run 看到该ip acl已经应用在G0/1口上。interface GigaEthernet0/1 ip access-group 123结果：从图中我们可以看出，pc并没有ping通路由器。可以看出，交换机是严格按照第一条，第二条.这样的顺序进行匹配的。小结：上面两个实验说明了交换机在处理IP Acl时，严格按照第一条，第二条.这样的顺序进行匹配的。当第一条不符合时，交换机会查看第二条，依次执行，直到找到一条相符合的，再做出反应。实验三：在同一vlan下，对于G0/2设置如下qos设置，路由器的F0/0端口ping PC 实验目的：研究QOS的处理流程。通过在交换机上show ip access-list和show policy-map可以看出在交换机上所设置的QOS 。 Index Rule content - 1 permit ip any any这个是ip access-list信息。policy-map 12 classify ip access-group 123 action forwardpolicy-map 123 classify ip access-group 123 action drop这个是policy-map信息。可以看出，qos的设置是根据ip access-list的，因而，ip acl的处理肯定是先于qos的处理的。A、Qos设置第一种：interface GigaEthernet0/2 qos policy 123 ingress qos policy 12 ingress在这种设置情况下，路由器ping pc ，可以看到如下信息。PING 192.168.1.2 (192.168.1.2): 56 data bytes.- 192.168.1.2 ping statistics -5 packets transmitted, 0 packets received, 100% packet loss同时，在pc上面抓包，可以看到下图。 看到Pc所收到的仅有arp报文。从中可以了解到，在不做其他任何设置的情况下，路由器发出的icmp ping包已经在交换机的G0/2口被qos处理了。所以，可以得出，交换机在处理qos时，当匹配到了第一条qos后，就会立即做出相应处理。B、Qos设置第二种：interface GigaEthernet0/2 qos policy 12 ingress qos policy 123 ingress在这种设置情况下，路由器ping pc ，可以看到如下信息。PING 192.168.1.2 (192.168.1.2): 56 data bytes!- 192.168.1.2 ping statistics -5 packets transmitted, 5 packets received, 0% packet lossround-trip min/avg/max = 0/0/0 ms同时，在pc上面抓包，可以看到下图。 看到Pc收到了arp包和icmp ping包。从中可以了解到，在不做其他任何设置的情况下，路由器发出的icmp ping包经过在交换机的G0/2口的qos处理后，依然到达了pc这端。所以，可以得出，交换机在处理qos时，是严格按照第一条，第二条.这样的顺序进行匹配，当匹配到了一条后，就立即做出处理，不在进行匹配。6、 小结二层交换机的交换流程比较简单，主要是vlan匹配、ip过滤、mac的学习还有QOS处理。1、讨论了一下二层交换机的普通流程。1） 数据包刚到交换机时：A、 交换机会优先看数据包的tag信息。B、 交换机进行vlan的匹配以及处理。C、根据ip过滤表来决定该包是否进行转发，如果转发，那么就学习其mac信息，否则直接丢弃。2）当数据包要传出交换机时：A、交换机先查找允许该包所属的vlan通过的所有端口。B、然后再进行目的mac和port的匹配。如果目的mac为全F，即广播报文，那么就向除了发送端的所有端口进行泛洪处理；如果找到目的mac所属的发送端口，那么就进行单播转发。C、根据端口的模式决定是否要进行untag处理，然后发送数据包。2、同时，通过实验证实了ip acl和端口qos设置的匹配顺序，得出1） ip acl和qos设置都是严格按照第一条，第二条.的顺序进行匹配，若匹配了一项以后，就立即做出处理，不再继续进行匹配。2） 通过对于qos设置的过程，得出qos是根据ip acl进行处理的，因而ip acl的处理一定优先于qos的处理。另：由于设配有限，并没有做vlan的tag处理和ip过滤处理的先后处理问题的实验。附录：交换机的版本信息和在实验一中的配置信息UNIDATA S.p.A. Internetwork Operating System SoftwareUNISW.324F Series Software, Version 2.0.2A, RELEASE SOFTWARECopyright 2010Compiled: 2010-1-29 17:14:22 by SYS, Image text-base: 0x10000ROM: System Bootstrap, Version 0.3.3Serial num:S35020154, ID num:S35020154System image file is Switch.binUNIDATA UNISW.324F RISC131072K bytes of memory,8192K bytes of flashBase ethernet MAC Address: 00:e0:0f:ad:d0:c1Switch uptime is 0:01:29:03, The current time: 2011-7-19 15:37:55 Module Version Description system 2.3.3 System lib(Oct.13,2009) command 2.0.31 Switch command lib(Dec.25,2009) Resource 1.0.2 Resource Manager(Jan 29 2010 13:37:46) LIBDEV 3.5.14 Device Manager(Nov.30,2009) PUB 0.5.8 PUB MODULE MAC 2.1.4 MAC Layer(Nov.25.2009) VM 2.1.11 IEEE 802.1Q VLAN Manager(Jan 29 2010 13:49:39) LACP 0.1.40 IEEE 802.3AD Link Aggregate Control Protocol 802.1x 0.2.23 IEEE 802.1x Port-Based Network Access Control STP 2.7.6 IEEE 802.1D,.1w &.1s Spanning Tree Protocols GARP 0.0.14 IEEE 802.1D GARP Protocol(Jan 29 2010 13:47:46) GVRP 0.0.21 IEEE 802.1Q GVRP Protocol(2009-07-14) PDP 1.0.1 Discovery protocol UDLD 1.0.4 UniDirectional Link Detection (UDLD) protocol LLDP 1.0.2 L2 Discovery protocol bcmp 1.0.2 bcmp lib(Jan 29 2010 13:50:06) EAPS 1.2.6 Ethernet Automatic Protection Switching OAM 1.0.5 IEEE 802.3ah EFM(2009-12-17) LLC 0.0.2 Logic Link Control, up