以太网交换培训.ppt

2020 1 3 核心网IP技能培训 二 以太网交换 Page2 学习完此课程 您将会 掌握MAC 帧和VLAN的基本概念二层交换和三层交换的基本原理VLAN的扩展特性链路聚合的概念和配置 目标 Page3 第1章帧 MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合 内容介绍 Page4 OSI二层 数据链路层 Page5 常见的以太网Frame格式 最早的以太网格式的定义规范 由DigitalequipmentCorp Intel Xerox发展 后来被发展成IEEE标准 叫ethernet DIX 也叫ethernetV2 ARPA 交换机和路由器的常用格式 802 3标准 IEEE标准组织在1980s年代发展 其它的以太网Frame格式包括 802 3 802 2 LLC 802 3 802 2 SNAP 802 2 SNAP Page6 Frame参数 MAC地址 MAC地址 Mediaaccesscontrol 也叫硬件地址 为了控制在共享的介质的设备的访问 必须定义一个规则 MAC地址作用主要有在共享介质中唯一标识某台设备 控制设备的访问 当设备接受到一个Frame时 需要检查DEMAC 如果是自己的MAC地址 就接受该Frame MAC地址表示方法 MAC地址是由48bit 6byte 组成 前3byte表示组织的唯一标识 后三位由该组织分配给每台设备 00E0 FC79 405F HUAWEI 设备标识 Frame的种类 根据目的MAC的不同 可以分为三种帧 UnicastFrameBroadcast 全F 或者全0 multicast Cisco设备的MAC地址 前3byte 常见的有 00000C Page7 Frame参数 Type Type Type表示DATA里面封装的报文类型 常见的类型有 为了识别是EthernetII和802 3的帧 EthernetII的type域从1536 16进制位为600 开始 在802 3中 数据的长度小于或者等于1500 05DC Page8 桥和以太网交换机 桥和HUB的区别 随着网络的快速发展 特别是本地局域网络的发展 越来越多的设备需要互相访问 同时需要连接到更长的距离 而传统的以太网采用HUB进行连接 整个HUB就是一个冲突域 采用CSMA CD机制来检测和侦听 所有的设备共享带宽 网络的带宽利用率低 效率低 并且有距离的限制 而桥建立桥接表 MAC 不象HUB总是将帧发送到所有的端口 桥根据MAC表来决定向那个端口进行转发 这样桥的每个端口为一个冲突域 每台设备将享用一个端口的带宽 HUB frame Bridge frame 查看MAC表 所有的设备共享整台HUB 共享带宽 独占一个端口的带宽 Page9 桥和交换机的区别 桥和交换机都是一个广播域 每个端口都是一个collision域 并都形成MAC表来指导帧转发 不同点是 1 交换机端口的数量多 2 交换机上可以划分VLAN来将整个广播域分割为多个广播域 Page10 MAC表的建立 每台交换机都需要建立MAC表 MAC表的建立过程是被动学习的过程 1 每台交换机都有cache来保存MAC表 指导帧的转发 当交换机刚上电时 MAC表是空的 2 交换机从端口接受一个帧的时候 将帧的原MAC和该端口记录在MAC表中 通过不停的学习到所有连接到交换机端口的设备的MAC和相应的端口 来建立一张完整的MAC表 3 当交换机转发一个帧的时候 需要查看MAC表 如果MAC表没有该帧的目的MAC 交换机将广播该帧到所有的端口 除了接受该帧的端口 PC1 PC2 PC3 0 1 0 2 0 3 MAC1 MAC2 MAC3 MAC表 MAC地址PORTMAC10 1MAC20 2MAC30 3 Page11 两种MAC表 随着VLAN的应用 MAC表项有两种定义 SVL SHAREVLAN 这种定义意味着在MAC表中每个MAC地址只能对应一个VLAN 这样会导致MAC地址学习错误 PC1 0 1 PC2 0 2 0 3 0 4 VLAN2 VLAN3 0 1 0 2 如图 PC1访问PC2必须经过一台路由器进行转发 假设路由器在它的0 1端口将PC1的报文透传到0 2端口 这样交换机的0 4端口学习到PC1的MAC地址 由于交换机是SVL 此时交换机将替换掉 0 1 VLAN2 学习的表项为从 0 4 VLAN3 的表项 导致MAC表项出错 PC2响应时 router接受到PC2的响应报文 从0 1转发出去 此时交换机不能转发帧到0 1 PC1不能接受到PC2的响应报文 IVL independentVLAN 这种定义意味着在MAC表中 每个MAC可以对应多个不同的VLAN 如图 当ROUTER从0 2接受到PC2的响应报文之后 从0 1转发出去 交换机接受到这个帧之后 发现有 0 1 VLAN2 的表项 从0 1转发出去 现在所有的交换机都采用IVL建立MAC表 Page12 MAC表结构 1 动态MAC表交换机的MAC表通过被动学习VLAN端口的帧来动态建立 并为每个MAC地址设定一个计时器 如果在一定的时间内没有学习到MAC地址 该MAC将老化 重新学习 缺省的情况下 老化时间为300s 2 静态MAC表通过手工配置静态的MAC表项 静态MAC表项默认是永久存在交换机中 也可以设置老化的时间3 MAC表的结构 MACADD 表示帧的sourceMAC VLANID 端口所属的VLAN STATE 有两个值 dynamicorstatic PORTINDEX 接受帧的端口 AGETIME 表示MAC存活的时间 NOAGE 表示不老化 Page13 帧的封装过程 PC1 MAC1ANDIP1 PC2 MAC2ANDIP2 0 1 0 2 Pc1访问PC2的帧的封装过程 交换机上的两个接口在同一个VLAN 1 PC1发送ARP的请求报文 目的MAC是广播地址 目的地址为IP2 2 交换机接受到该帧 将端口 MAC1 VLAN放到MAC表项中 并向所有的接口0 2广播 3 PC2接受到这个ARP请求报文 发送ARP响应报文 目的MAC为MAC1 原MAC为MAC2 4 交换机从0 2接受到ARP响应报文之后 将MAC2 0 2 VLAN添加到MAC表项中 并向端口0 1转发该帧 5 PC1知道了PC2的MAC地址 下一个帧的目的地址为MAC2 Page14 交换机性能指标之一 MAC表容量 交换机存储的MAC地址不是无限 它跟交换机的cache有密切的关系 不同类型的交换机有不同的MAC表项大小 MAC表项容量的大小也反映了该交换机的能力 是一个重要的性能指标 常见的交换机的MAC表的容量为 Page15 交换机的安全 MAC表的安全 1 MAC表项溢出由于交换机只是被动的学习原MAC 并且动态MAC地址老化时间为5分钟 如果一个交换机的MAC表满了 又不能达到老化的时间 交换机将不能学习到原MAC 导致交换机不能正常转发 接在交换机端口下的一台PC 通过发送原MAC不停变化的帧 当交换机接受到这些变化的帧之后 将添加到自己的MAC表中 一旦MAC表满 交换机将不能处理正常的帧 导致不能转发 同时产生大量广播报文 导致交换机CPU繁忙 解决办法 如果发现MAC表中的一个端口下学习到大量MAC地址 表明交换机正在遭受攻击 可以配置该端口下学习到MAC地址的数量 超过配置的数量的MAC将停止转发 mac addressmax mac count disalbe forwarding 端口模式下配置 2 原MAC欺骗黑客通过发送另外一台攻击的计算机的MAC地址为原地址的报文 路由器收到这个报文之后 将流量转发给黑客 黑客将获取到流向被攻击的计算机流量 进一步分析之后 可以获取到其它的重要信息 比如密码 帐号 解决办法 在路由器上作原MAC和IP的绑定 如果MAC和IP不一致 将丢弃该报文 Page16 交换机对帧的处理方式 交换机对接受的帧有不同的处理方式 1 storeandforwarding这种模式在开始交换之前 检查整个帧 如果帧出现错误 将丢弃该帧 2 cut through当交换机检查到接受到该帧的目的MAC地址 进行转发 即使帧出现了错误 交换机也会转发 这样当达到目的地时 被目的设备丢弃 浪费了带宽 3 Fragment free当交换机检查帧的64位帧时 开始转发 64位帧即最小的帧 Page17 问题 帧的最小长度为多少 Hub Bridge 交换机分别位于OSI中的哪层 在同一个VLAN中 如果MAC1学习到port1上 后来由于某种原因该MAC1学习到了PORT2 这时之前的mac表项还存在吗 如果是在不同的VLAN下 MAC表项是什么样的 Page18 第1章帧 MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合 内容介绍 Page19 VLAN的定义和划分 1 VLAN的定义VLAN virtuallocalareanetwork 虚拟本地局域网 默认的交换机是一个广播域 采用VLAN 可以将交换机逻辑上划分为多个逻辑广播域 各个VLAN之间不能访问 通过手动配置逻辑将端口放到不同的VLAN中 2 VLAN的划分基于端口的划分 交换机常见的划分方式 该方式灵活 不受终端物理位置的限制 基于MAC的划分 根据交换机学习到的MAC 进行划分 受物理位置的限制 基于协议的划分 根据端口学习的协议类型和封装格式来划分 可以用来划分的协议为 IP IPX APPLETALE 类型有 ethernetII 802 3 802 3 LLC 等 主要应用于网络中提供的服务类型来划分 方便管理和维护 基于IP子网的划分 基于应用层的划分 Page20 VLAN的帧格式 VLAN基于IEEE802 1Q标准 标准对普通的帧进行了修改 在原MAC地址和类型字段插入了4字节的802 1QTAG标记 Type 表示帧的类型 0 x8100是表示802 1Qtag帧 不支持该类型帧的设备 将丢弃该帧PRI 表示优先级 取值范围为0 7 CFI 用于令牌环和FDDI VID 表示帧所属的VLAN 取值为 0 4096 VRP中 VLAN0系统使用 实际可用的VID为1 4094 Page21 VLAN端口的类型 根据端口接入设备的类型 划分了VLAN的端口分为几种 默认的情况下所有的端口属于VLAN1 1 Access端口配置了Access类型的端口 端口只能属于一个VLAN 一般要来接入不能识别802 1Qtag的设备 比如主机 2 Trunk端口配置了Trunk类型的端口 该端口属于多个VLAN 能识别带Tag的帧 允许多个VLAN通过 一般接入识别802 1Qtag的设备 TrunkVLAN时 VLAN1默认被Trunk 3 Hybrid端口配置了Hybrid类型的端口 即能识别普通的帧 不带Tag 也能识别带Tag的帧 一般该端口即可接入交换机 也可以接入计算机 4 PVID 缺省VLAN PVID portVLANID 即端口的PVID 每个端口的类型都有PVID Access PVID和Access端口配置的VID一致 Trunk Trunk端口本身的VID 可以配置 默认为1 和Trunk的VLAN没有关系 Access Trunk Hybrid Page22 VLAN帧的处理过程 VLAN对帧的处理过程分三部分 1 接受过程接受到的帧可以是带Tag的帧 也可以是不带Tag的帧 Access端口接受到普通帧的时候 打上Access端口的VID 当接受到Tag帧的时候 比较PVID 如果VID和PVID相同 则接受 如果不同 则丢弃 Trunk端口和Hybrid端口接受到普通帧的时候 打上该端口的默认的PVID 当接受到带Tag的帧时 查看端口允许的VID和该帧的VID 如果匹配 则接受 如果不匹配 查看VID和PVID是否相同 如果相同 则接受 否则 丢弃 2 查找转发过程根据端口接受的帧的目的MAC VID来查找MAC表 从相应的端口转发 3 发送过程端口发送的出去帧可以是带Tag帧 也可以是不带Tag的帧 当从Access端口发送帧时 将去掉帧的Tag 成为普通的帧 当从Trunk端口发送帧时 如果帧的VID和Trunk端口的PVID相同 将去掉Tag 发送该帧 如果帧的VID跟PVID不同 查看是否Trunk该VID 如果匹配则发送 否则丢弃 当从Hybrid端口发送帧时 如果帧的VID和Hybrid端口的PVID相同 去掉Tag 发送该帧 如果帧的VID跟PVID不同 查看是否Trunk了该VID 并根据配置情况来决定该帧发送是带Tag还是不带Tag porthybridvlan tagged untagged Page23 VLAN帧的处理过程续 PVID处理 VLAN2 PVID VLAN2 VLAN2 PVID VLAN3 1 2 3 TRUNK ACCESS ACCESS Page24 问题 PVID的作用是什么 Access端口的PVID是多少 Trunk端口下的PVID是多少 当一个Trunk端口接受一个普通帧时 交换机如何处理 如果为acess端口 又如何处理 两台交换机之间Trunk多个VLAN 如果修改了其中一台交换机的Trunk端口的PVID 会发生什么情况 Page25 第1章帧 MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合 内容介绍 Page26 提供VLAN间路由的设备 默认情况下 不同的VLAN属于不同的广播域 不能相互访问 为了提供VLAN间的访问 必须提供不同VLAN来访问的设备 对于这样设备必须达到这样的目的1 提供IP报文转发的功能 2 提供让不同物理位置VLAN间访问的路径 3 能够提供一些策略来控制访问 能够提供这些功能的设备有路由器和三层交换机 路由器路由器就是一种能够提供IP报文转发和控制 以及IP报文选路的设备 由专用的硬件和软件组成 属于三层功能的设备 三层交换机和路由器提供的功能一样 在二层交换机的基层上 增加了三层的功能 Page27 三层交换机和路由器的区别 路由器和三层交换机 1 三层接口 路由器 支持多种低速率接口 同异步接口 ADSL ISDN E1等 和高速端口 ATM Pos FE GE等 每个接口都是一个广播域 三层接口为物理接口 一个三层接口对应一个物理接口 三层交换机 不支持低速率的端口 只支持高速端口 在中 低端口交换机上支持FE GE 高端的三层交换机能够支持ATM POS 三层接口是逻辑的接口 VLANIF 一个三层接口支持多个物理接口 2 硬件结构路由器 数据平面和控制平面都使用CPU 三层交换机 数据平面采用ASIC来转发 提供更高的性能和转发速率 3 报文转发处理路由器 基于逐包处理 接受到每个报文 都进行查找 再进行转发 低端的路由器 三层交换机 对于到目的地址第一个包 在processor进行查找 后续的报文直接从转发引擎中转发 随着技术的不断发展 现在高端的路由器和交换机的硬件结构非常相同 Page28 三层交换机的架构 三层交换机采用数据平面和控制平面分离的架构 来提高数据交换的能力 processor ASIC Switchfabric 架构示意图 控制平面和系统管理 1 路由协议 STP ARP ICMP IGMP VRRP等2 系统的管理 数据转发平面1 二层和三层的转发 2 ACL Qos标记和策略 组播复制 端口镜像 3 端口ASIC 队列调度 拥塞管理和避免 tagging 端口聚合 广播抑制 连接各个端口和模块 SWITCHFABRIC SLOT1 SLOT2 SLOT3 SLOT4 Page29 交换结构 共享式存储交换结构 Forwardingengineer Switchmodule Switchmodule Switchmodule Sharingmemory 缓存发生在交换引擎中 报文存在在共享内存里 共享总线式的交换结构 Forwardingengineer Switchmodule Switchmodule Switchmodule 缓存发生在交换模块中 不是在引擎里在一个给定的时间内 只有一个模块访问引擎 适合组播和广播流量最早的结构 Page30 交换结构 续 交换矩阵结构 集中式转发 Crossbar Forwardingengineer Switchmodule Switchmodule Switchmodule 模块之间存在多条路径非常高的带宽交换能力 信令和调度更加复杂 交换矩阵结构 分布式转发 Crossbar PrimaryForwardingengineer SwitchModulewithForwardingEngineer SwitchModulewithForwardingEngineer SwitchModulewithForwardingEngineer Page31 转发表结构 RouterProcessor Switchmodule Switchmodule Switchmodule ASIC 精确路由查找 1 基于流进行转发 2 第一个报文经过processor转发 3 后续的报文经过ASIC转发 4 查找基于原地址 目的地址的精确路由查找 Page32 转发表结构 续 RouterProcessor Switchmodule Switchmodule Switchmodule ASIC 最长匹配 1 Processor建立IPforwarding表 2 Processor将FIB表复制到ASIC上 3 FIB报文的查找基于最长匹配原则 4 报文都是经过硬件转发 5 控制平面不进行流量的转发 专注于协议进程 FIB FIB Page33 二层和三层交换机的识别 华为交换机有中低端二层交换机和三层交换机 以及高端的三层交换机 从交换机的命令通常可以看出是二层交换机还是三层交换机 一般交换机都有一个几位数字 一般是4位 来表示交换机的型号 如果从左到右的第二个数字是 5 表示三层交换机 如果不是就表示二层交换机 第一个数字表示交换机的等级 等级越高 表明交换机的性能越好 后面的两位表示交换机的端口 端口一般是12 24的倍数 如果大于12或者是24 比如26 那么该交换机一般支持2个GE模块 这种规则适合大多数产家的设备 常见的交换机以及它们的架构为 Page34 VLAN间路由 VLAN2 VLAN3 1 使用三层交换机 IP1 IP1 1 IP2 1 IP2 2 使用路由器 MAC1 MAC2 MAC2 MAC3 1 2 由于路由器的每个物理端口都属于一个广播域 当多个VLAN要通过路由器来互通时 需要在路由上配置多个接口 可以通过在交换机互连路由器的端口配置Trunk TrunkVLAN2和VLAN3 然后在路由的接口上封装802 1Q 将一个物理端口配置两个逻辑的子接口 分别封装VLAN2和VLAN3 经过三层交换时 帧中的原MAC和目的MAC在每段上都变化了 对于交换机的三层接口使用一个MAC Page35 问题 不同的VLAN之间用户如何进行相互通信 从源到目的地址的报文头和帧头中 什么不会变化 什么发生变化 Page36 第1章帧 MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合 内容介绍 Page37 VLAN的扩展特性一 superVLAN SuperVLAN 每个VLAN的用户如果需要访问外部 该VLAN中的用户必须配置网关地址 对应与该VLANIF接口 当大量的VLAN应用时 需要大量的IP地址 特别是对于公网地址 更是紧缺 为了节省IP地址 使用SuperVlan 对外访问提供一个IP地址 SuperVLAN中的用户VLAN为subVLAN 为了实现subVLAN之间的访问 需要在subVLAN下配置ARPProxy来实现 SuperVLAN不能包含端口 VLAN1 VLAN2 VLAN3 VLAN4 SUPERVLAN5IP3 MAC3 优点 节省IP地址缺点 由于开启了ARPProxy VLAN之间可以访问 相当于所有的VLAN属于一个广播域 ARPProxy 1 PC1访问PC2 发送ARP请求报文给网关 SuperVLAN PC1MAC1 PC2MAC2 2 交换机接受PC1的ARP请求报文报文之后 将自己使用自己的MAC地址发送ARP响应报文给PC1 配置VLAN6和路由器互连 来实现和外面通讯 VLAN6 Page38 VLAN的扩展特性二 ISOLATE USER VLAN Isolate user VLAN特性 Isolate user VLAN采用二层VLAN的结构 在同一台设备上设置Isolate user VLAN和secondaryVLAN 一个Isolate user VLAN包括多个secondaryVLAN 对于上层设备只知道Isolate user VLAN 而不知道Isolate user VLAN里面的secondaryVLAN 应用场景 1 上行设备支持的VLAN数量有限 下行设备存在多个VLAN 2 IP地址数量有限 配置使用 1 Isolate user VLAN只使用与上行设备连接的接口 2 Isolate user VLAN不能和Trunk端口同时配置 3 secondaryVLAN用于多个不同业务和用户 4 一个Isolate user VLAN可以对应多个secondaryVLAN 最多30个secondaryVLAN 5 Isolate user VLAN和secondaryVLAN建立映射关系之后 不能进行端口的添加和删除 Page39 VLAN的扩展特性二 ISOLATE USER VLAN应用 应用场景 多台S3026都下挂了大量的VLAN 上行连接到路由器来和外面通讯 如果按照正常的配置 路由器需要配置大量的子接口 性能和可靠性低 并且路由器支持的子接口数量也有限 多台S3026都下挂了大量的VLAN 上行使用三层交换机 下面的VLAN数量超过了三层交换机的支持的VLAN数量 解决的方案 使用Isolate user VLAN特性 将一个Isolate user VLAN对应多个VLAN 30 Isolate user VLAN和secondaryVLAN在一个子网内 当secondaryVLAN的发送报文给Isolate user VLAN时 交换机内部维护一张映射表 将secondaryVLAN的VID替换成Isolate user VLAN的VID 报文返回时 交换机做同样的操作 VLAN2 VLAN3 VLAN4 VLAN5 VLAN100 VLAN101 VLAN102 VLAN103 VLAN200 VLAN201 VLAN202 VLAN203 Page40 SuperVLAN和ISOLATE USER VLAN的比较 相同点1 对外均提供一个IP 可以大量节约IP地址 2 superVLAN和subVLAN ISOLATE USER VLAN和secondaryVLAN必须都在一个子网中 不同点1 superVLAN使用ARPProxy实现subVLAN之间的访问 Isolate user vlan的secondaryVLAN之间如果需要访问 需要配置在一个VLAN中 2 superVLAN不包含端口 所有的subVLAN的端口都属于superVLAN Isolate user VLAN必须包括上行的端口 3 对外访问时 superVLAN的上行接口需要另外配置VLAN来和上行设备互通 superVLAN使用ARPproxy实现访问 Isolate user VLAN维持primary VLAN和secondary的映射表 进行VID的替换来实现primaryVLAN和secondaryVLAN的互通 Page41 VLAN配置 1 配置VLAN quidway vlanid2 VLAN描述 quidway vlan descriptionstring3 VLAN命名 quidway vlan namestring4 添加端口 quidway vlan portinterface list 端口添加之后 端口为a