Huawei-3COM系列培训课程_以太网交换机基础.ppt

以太网交换机原理 LANSwitchFundamental 引入 网络帝国 路由器 男主角 网络中的核心设备 提供丰富的接口连接 软件特性 也是构建网络的核心力量 以太网交换机 女主角 提供各种以太网接口类型的线速转发功能 是构建局域网和城域网的核心力量 路由交换设备 反串 提供LAN交换板的路由器 提供增强型引擎的交换机 路由器和交换机的融合趋势越来越明显 其他设备 配角 网管 安全 语音 视讯设备 提供网络的管理或业务增值功能 链路层或物理层交换设备 剧务 ATM交换机 FR X 25交换机 DDN节点机 传输设备 对各种物理端口进行带宽或时隙的拆分 培训目标 了解以太网工作的基本机制掌握二层交换机转发机制和流程 重要 掌握三层交换机转发机制和流程 重要 掌握三层交换机和路由器的区别了解交换机的常用协议和技术 可选 了解当前交换机主要厂商和产品 可选 培训大纲 以太网基本概念二层交换机基本原理三层交换机基本原理交换机相关协议和技术 可选 交换机厂商和相关产品 可选 以太网发展简史 IEEE802 3以太网标准IEEE802 3u100BASE T快速以太网标准IEEE802 3z ab1000Mb s千兆以太网标准IEEE802 3ae10GE以太网标准 70年代 80年代 90年代 以太网产生 10M以太网发展成熟 共享式转向LAN交换机 100M快速以太网 92年 96年 千兆以太网迅速发展 万兆以太网出现 2002年 以太网工作机制 CSMA CD 载波侦听与冲突检测 CarrierSenseMultipleAccess CollisionDetectionCS 载波侦听发送之前的侦听 确保线路空闲 减少冲突机会MA 多址访问每个站点发送的数据 可以被多个站点接收CD 冲突检测 边发送边检测 发现冲突后进行回退回退 检测到冲突后的处理 发现冲突就停止发送 然后延迟一个随机时间之后继续发送 以太网帧格式 EthernetII DA 目的MAC地址SA 源MAC地址Type 帧类型 ARP IP RARP FrameLoad 有效载荷FCS 帧检测序列 MAC地址 MediaAccessControl 网络设备根据目的MAC来判断是否处理接收到以太网帧MAC地址是48bit二进制的地址 前24位为供应商代码 后24为序列号单播地址 第一字节最低位为0 如00 e0 fc 00 00 06多播地址 第一字节最低位为1 如01 e0 fc 00 00 06广播地址 48位全1ff ff ff ff ff ff 冲突域和广播域 物理网段 冲突域 连接在同一导线上所有工作站的集合逻辑网段 广播域 限制以太网广播报文的范围 一般来说 逻辑网段定义了第三层网络 如IP子网等 以太网典型设备 Hub工作原理 Hub的缺陷 HUB对所连接的LAN只做信号的中继 所有的物理设备构成了一个冲突域和广播域在主机数目较多的情况下 冲突严重广播泛滥 全双工以太网 数据通过两种独立的路径传输和接收 只存在两个节点 可以在同一时间对信息进行双向传输 而不会发生冲突 本章小结 以太网工作机制 CSMA CD以太网EthernetII帧格式和MAC地址概念 广播域和冲突域典型设备HUB工作原理和缺陷全双工以太网 培训大纲 以太网基本概念二层交换机基本原理三层交换机基本原理交换机相关协议和技术 可选 交换机厂商和相关产品 可选 二层交换机基本交换过程 通过识别MAC进行 Switch A B C D 二层交换机工作模型 二层交换引擎 ASIC ApplicationSpecificIntegratedCircuitL2FDB Layer2forwardingdatabase 二层交换机转发处理流程 查MAC转发表 即L2FDB 处理转发对于表中不包含的地址 通过广播的方式转发使用地址自动学习 根据以太网帧的源MAC 和老化机制进行地址表维护一般不对帧格式进行修改 二层交换机的局限性 二层交换机将网段上的冲突域限制到了端口级 但是无法限制广播域的大小 扁平二层网络 问题广播泛滥 网络性能差网络安全性差解决方法在二层交换机上引入VLAN功能 VLAN的基本作用 VirtualLocalAreaNetwork相同VLAN内主机可以任意通信二层交换不同VLAN内主机二层流量完全隔离阻断广播包 减小广播域提供了网络安全性相同VLAN跨设备通信实现虚拟工作组减少用户移动带来的管理工作量 VLAN的划分方法 基于端口划分基于MAC地址划分基于网络层 协议 IP地址 IP子网 划分基于IP组播划分基于组合策略划分 基于端口VLAN的划分 建议VLAN和IP子网间是一对一的关系 便于管理 VLAN和端口对应表 VLAN标准 12比特彻底改变了以太网 VLAN的标准 802 10 Cisco在1995年提出802 1Q IEEE于1996制定 VLAN实现虚拟工作组 Access和Trunk链路 Access链路连接Access链路的交换机端口称为Access端口帧在Access链路上转发不带VLANTag交换机Access端口接收到以太网帧后 按照端口所在VLAN加上VLANTag 然后进行转发帧从Access端口发送出去 帧中的VLANTag会被去掉Trunk链路连接Trunk链路的交换机端口称为Trunk端口帧在Trunk链路上转发带VLANTag 因此允许多个VLAN的帧在Trunk链路上转发交换机Trunk端口接收到以太网帧后 需要判断该Trunk端口是否允许帧中VLANID对应的VLAN通过 若允许 则进行转发 否则要直接丢弃该帧帧从Trunk端口发送出去 VLANTag一般不会被去掉 支持VLAN的二层交换引擎 支持VLAN二层交换机地址学习方式 IVL IndependentVLANLearning SVL SharedVLANLearning MAC1VLAN1PORT1 MAC2VLAN1PORT2 MAC2VLAN2PORT3 MAC3VLAN3PORT3 MAC1VLAN1PORT1 MAC2VLAN2PORT2 MAC3VLAN3PORT3 IVL SVL 支持VLAN二层交换机转发流程 IVL 根据帧内TagHeader的VLANID查找L2FDB表 确定查找的范围 根据目的MAC查找出端口 图中应该从端口2转发出去 如果在L2FDB表中查找不到该目的MAC 则该报文将通过广播的方式在该VLAN内所有端口转发 同时该以太网帧的源MAC将被学习到接收到报文的端口上 即端口1 VLAN2 L2FDB表中的MAC地址通过老化机制更新 在转发的过程中 不会对帧的内容进行修改 支持VLAN二层交换机转发流程 SVL 根据帧的目的MAC查MAC转发表 即L2FDB 查找相应的出端口 根据现有L2FDB表 报文应该从端口2发送出去 判断出端口的VLANID和报文TagHeader内的VLANID是否匹配 匹配则转发 不匹配则丢弃 如果在L2FDB表中查找不到该目的MAC 则判断出端口的VLANID和报文TagHeader内的VLANID是否匹配 不匹配直接丢弃 匹配则在该VLAN内广播 L2FDB表中MAC地址通过老化机制来更新 在转发的过程中 不会对帧的内容进行修改 支持VLAN交换机的广播域和冲突域 本章小结 交换机的基本转发原理根据MAC进行转发VLAN产生的背景传统交换机不能限制广播域安全性差VLAN的基本概念标签的定义 VLAN的范围VLAN的划分方法Access链路和Trunk链路支持VLAN的交换机的转发流程 可选 了解即可 地址学习方式为SVL的转发流程地址学习方式为IVL的转发流程 培训大纲 以太网基本概念二层交换机基本原理三层交换机基本原理交换机相关协议和技术 可选 交换机厂商和相关产品 可选 80 20规则 通常 我们按照组织内的工作单位将网络主机划分到一个个的逻辑网络内 从而将这些主机的大部分流量限制在一个比较小的范围内 以减少对其他主机的影响 并降低网络主干的负载 在这样的划分下 传统网络中的数据流量模式遵循80 20规则 传统园区网络流量模式 20 80规则 新兴园区网流量模式 流量模式演变带来的影响 传统的路由器在新兴20 80流量规则面前显的无能为力 解决办法 使用三层交换机来替代路由器 三层交换技术和L3的提出 二层交换技术极大的提升了以太网的性能 但仍然不能完全满足局域网的需要 为了将广播和本地流量限制在一定的范围内 交换式以太网采取划分逻辑子网 VLAN 的方式 VLAN间的互通传统上需要由路由器来完成 但路由器配置复杂 造价昂贵 而且转发速度容易成为网络的瓶颈 新20 80规则的兴起 80 的流量需要跨越VLAN 路由器不堪重负 三层交换机基本特征 三层交换机与传统路由器具有相同的功能 根据IP地址进行选路进行三层的校验和使用生存时间 TTL 对路由表进行更新和维护二者最大的区别三层交换采用ASIC硬件进行包转发而传统路由器采用CPU进行包转发相比于传统路由器三层交换具有以下优点 基于硬件的包转发 转发效率高低时延低花费三层交换机实质就是一种特殊的路由器 有很强交换能力而价格低廉的路由器 三层交换机功能模型 ETH0 10 153 0 254 24 ETH1 10 153 1 254 24 ETH2 10 153 2 254 24 10 153 0 113 24G 10 153 0 254 24 10 153 1 8 24G 10 153 1 254 24 10 153 1 11 24G 10 153 1 254 24 10 153 2 22 24G 10 153 2 254 24 VLANSwitch Layer3Switch 三层交换引擎 IP网络规则 主机IP 掩码 目的主机IP确定目的主机是否在本地网络内 ARP请求目的主机MAC ARP查找设定网关MAC 网关MAC填入以太网帧 三层交换完成通信 目的MAC填入以太网帧 二层交换完成通信 在本地网络内 不在本地网络内 三层交换机选择二层或三层交换 目的MAC是否为三层接口MAC 三层交换VLAN间转发 是 否 检查VLAN属性 以太网帧输入 二层交换VLAN内转发 三层交换过程 V1 10 153 80 1 24MAC 0 0 1 V2 10 153 90 1 24MAC 0 0 2 A 10 153 80 10 24MAC 0 0 A B 10 153 80 11 24MAC 0 0 B C 10 153 90 20 24MAC 0 0 C Arp请求 ARP应答 Arp请求 ARP应答 路由器选路 最长匹配 根据报文的目的地址 与路由项进行匹配操作 匹配的动作是用报文目的地址与路由项的子网掩码进行 与 如图目的IP10 111 1 88和各表项子网掩码 与 的结果如下10 111 1 88 255 255 0 0 10 111 0 010 111 1 88 255 255 255 0 10 111 1 010 111 1 88 255 255 0 0 10 111 0 0如果 与 的结果和路由项中网络地址相同 则认为路由匹配所有匹配项中子网掩码位数最长的为最佳匹配项 报文据此进行转发 从该表项对应接口发送 如果找不到匹配项 则根据缺省路由0 0 0 0 0进行转发如果没有缺省路由则报文被丢弃路由表和FIB表 交换机选路 交换机的报文选路转发通过ASIC硬件进行 效率大大超过路由器 交换机除了支持最长匹配转发外 和路由器相同 还支持精确匹配转发L3FDB表是三层交换机转发的基础 三层交换机转发 精确匹配 流转发 支持精确匹配转发的L3FDB是类似于二层交换机MAC地址表的Cache 交换机根据报文的目的IP在L3FDB表中进行查找 对于能够在此 Cache 命中的报文 则直接根据表项的端口信息进行转发 不能在 Cache 命中的报文将被送到CPU进行软件路由 路由的原理和路由器完全相同的最长地址匹配 软件路由后将把该目的IP添加到L3FDB表中 如果表项长期不被刷新则会被老化掉 因此 通过多次地址学习就可以把表项逐一加进来 这样后续的流量就可以直接Cache命中 不需要软件路由 这就是三层交换机所谓的 一次路由 多次交换 三层交换机转发 最长匹配 逐包转发 最长匹配转发也依赖于L3FDB L3FDB转发项通过FIB表项下发建立起来 对于能够在此 Cache 命中的报文 则直接进行转发 Cache 方式采用最长匹配算法 不能在 Cache 命中的报文将被转发到CPU进行软件路由 路由的原理和路由器完全相同的最长地址匹配 逐包转发引擎保护设备本身 逐包转发 流转发 流转发模式无法适应网络的动荡 更严重的是在 冲击波 等网络蠕虫病毒发作时可能会使全网陷于瘫痪 逐包转发模式即使在加载大量路由 网络路由频繁波动 网络蠕虫极其严重的情况下 仍然保证IP报文的线速转发 因而可以保障正常业务的运行 物理接口与三层接口 Eth1 2 2 2 2 24 Eth0 1 1 1 1 24 Eth0 1 Eth0 2 Eth0 3 Eth0 4 VLAN2 2 2 2 2 24 VLAN1 1 1 1 1 24 路由器和三层交换机比较 实际上三层交换机和路由器并没有绝对的区别 往高端上其技术是融合的 本章小结 三层交换机基本原理和功能模型三层交换流程三层交换机的精确匹配转发三层交换机的最长匹配转发三层交换机与路由器的异同 培训大纲 以太网基本概念二层交换机基本原理三层交换机基本原理交换机相关协议和技术 可选 交换机厂商和相关产品 可选 自协商机制 解决不同速率以太网速率兼容性问题自协商功能完全由物理层芯片设计实现 因此并不使用专用数据报文或带来任何高层协议开销自协商的内容包括速率 双工 流控等注 若对端设备不支持自协商 缺省假设 链路工作于半双工模式千兆以太网的自协商机制已经实现 智能MDI MDIX识别 流控机制 网络拥塞一般是由于线速不匹配 如100M向10M端口发送数据 和突发的集中传输而产生的 它可能导致这几种情况 延时增加 丢包 重传增加 网络资源不能有效利用 结论 在链路层解决缓冲区溢出的问题半双工网络 后退压力算法 backpressure 全双工网络 PAUSE帧 IEEE802 3x 半双工流控 后退压力算法 backpressure 基于CSMA CD算法 网络上设备都会监听网络以确定网络是否可用 当设备的资源不足时就会启动流量控制 发送一组载波信号脉冲串 假冲突信号 设备检测到网络上的载波信号就会认为网络由于正在被其他设备使用而发生冲突 半双工网络上的其他站点就会停止发送数据 全双工流控 IEEE802 3x 发送PAUSE帧是特定的一种MAC控制帧特定的组播目的地址 送CPU处理 不会转发 POE供电 标准 802 3af标准 2003 6正式批准 全球统一的电源接口可靠 实现了集中式电源供电方便 网络终端不需外接电源 只需要一根网线802 3af标准定义了两种设备PSE和PDPSEPower SourcingEquipment供电设备PDPoweredDevice受电设备 端口流量镜像 作用查看网络中某个或某些端口流量 用于故障定位和分析设置方法设置监控端口 被镜像端口 ASIC将被镜像端口所收发的报文同步地拷贝一份给监控端口 被镜像端口可以是一个端口 也可以是一组端口监控端口具有普通业务口的功能 被镜像端口 监控端口 生成树协议 Spanning TreeProtocol 采用STP生成树协议 可以有效的管理冗余链路 阻断环路链路备份协议标准IEEE802 1D STP掌管着端口的转发大权 小树枝抖一抖 上层协议就得另谋生路 STP基本原理 SwitchA SwitchB SwitchC SwitchD ROOT BPDU BPDU BridgeProtocolDataUnit STP RSTP MSTP STP IEEEStd802 1D 1998定义 不能快速迁移 即使是在点对点链路或边缘端口 也必须等待2倍的forwarddelay的时间延迟 网络才能收敛 RSTP IEEEStd802 1w定义 可以快速收敛 却存在以下缺陷 局域网内所有网桥共享一棵生成树 不能按vlan阻塞冗余链路 MSTP IEEEStd802 1s定义 它允许不同VLAN的流量沿各自的路径分发 从而为冗余链路提供了更好的负载分担机制 MSTP基本原理 SwitchA SwitchB SwitchC SwitchD VLAN2ROOT BPDU BPDU BridgeProtocolDataUnit VLAN3ROOT TrunkVLAN2 3 VLAN2 VLAN3 VLAN3 VLAN2 GARP协议 GARP GenericAttributeRegistrationProtocol 是一种通用的属性注册协议 它为处于同一个交换网内的交换成员之间提供了分发 传播 注册某种信息的一种手段 如VLAN 多播组地址等 GARP基本原理 a 注册了的属性A 属性声明属性会通过GARP 声明 注册 声明 的过程传播到整个网络域中 S1 S2 S3 GARP的应用 GARP本身不作为一个实体在Switch中存在遵循GARP协议的应用实体称为GARP应用目前主要的GARP应用为GVRP和GMRPGVRP 维护Switch中的VLAN动态注册信息GMRP 维护Switch中的动态多播组注册信息CISCO特性协议VTP VLANTrunkProtocol 其实现功能与GVRP类似 端口聚合 LinkAggregation LinkAggregation 将两个以上的端口捆绑在一起增加上行端口带宽链路备份负载分担聚合方式手工聚合LACP Linkaggregationcontrolprotocol端口聚合的三种模式 MAC IngressIngress egressEgress目前也有根据IP实现负载分担 Isolate user vlan 也称为PVLAN作用和目的节省汇聚交换机的VLAN资源二层隔离接入交换机不同端口下的用户用于多播VLAN类似概念 VLAN透传 接入交换机 汇聚交换机 VLAN1 VLAN2 VLAN3 VLAN4 VLAN6 VLAN5 VLAN7 VLAN8 Isolate user vlan6 Isolate user vlan5 为什么二层需要支持多播 多播 只传递数据给有接收者的那些链路 多播方案 方案1 VLAN定义多播的边界方法不灵活 对VLAN数目要求高方案2 GMRP目前没有第三方客户端支持方案3 CGMPCisco私有协议方案4 IGMPSnooping IGMPSnooping原理 二层交换机截获主机和路由器之间传送的IGMP报文 建立多播MAC和端口的对应表 从而控制多播报文在二层交换机上的转发 IGMPSnooping应用 二层交换机侦听用户发往组播路由器的IGMP数据报文 明确端口的多播成员 QinQ vMAN vMAN DomainA DomainB QinQ 双Tag 用于虚拟城域网vMAN SuperVLAN 作用和目的节省交换机路由接口数目节约IP地址SuperVLAN只建立三层接口 不包含物理端口Subvlan包含物理端口 但不能建立三层接口SuperVLAN内通信通过ARPProxy实现 接入交换机 汇聚交换机 VLAN1 VLAN2 VLAN3 VLAN4 TrunkVLAN3 4 TrunkVLAN1 2 SuperVLAN7 subvlan1 2SuperVLAN8 subvlan3 4 QOS ACL ACL AccessControlList访问控制列表QOS QualityofService服务质量不同于路由器 ACL和QOS功能都基于ASIC芯片实现QOS主要功能CAR CommittedAccessRate 优先级标记流量统计报文重定向流镜像SP WRR WFQ队列调度方式QOS profile asetofQoS rules 提供了一种有效的访问策略组织形式与用户绑定 基于8021X认证在端口上下发 IEEE802 1X基本概念 提出背景解决以太网的可运营可管理认证策略基于端口进行接入控制 Port BasedAccessControl 认证基本原理认证成功 打开 端口 允许所有的报文通过认证不成功就使这个端口保持 关闭 此时只允许802 1X的认证报文EAPOL ExtensibleAuthenticationProtocoloverLAN 通过 802 1X认证体系结构 8021X相关 CentralMACAuthentication MAC地址认证不需要任何客户端软件交换机在首次检测到此用户的新MAC地址以后 启动对此用户的认证MAC地址作为用户名和密码认证过程与1X认证一致DUDAuthenticationMAC绑定端口 动态MAC地址学习数目端口限制过滤未认证MAC所有的流量 Portal认证 什么是PORTAL 在英语中的原意是大门 正门的意思在IT行业一般将PORTAL称为门户网站P