以太网交换培训PPT课件

2020/5/18,核心网IP技能培训（二）,以太网交换,Page2,学习完此课程，您将会：掌握MAC、帧和VLAN的基本概念二层交换和三层交换的基本原理VLAN的扩展特性链路聚合的概念和配置,目标,Page3,第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合,内容介绍,Page4,OSI二层-数据链路层,Page5,常见的以太网Frame格式,最早的以太网格式的定义规范，由DigitalequipmentCorp，Intel，Xerox发展,后来被发展成IEEE标准，叫ethernet(DIX),也叫ethernetV2(ARPA).(交换机和路由器的常用格式）,802.3标准，IEEE标准组织在1980s年代发展,其它的以太网Frame格式包括：802.3+802.2(LLC),802.3+802.2+SNAP,802.2,SNAP,Page6,Frame参数-MAC地址,MAC地址,Mediaaccesscontrol，也叫硬件地址。为了控制在共享的介质的设备的访问，必须定义一个规则。MAC地址作用主要有在共享介质中唯一标识某台设备。控制设备的访问，当设备接受到一个Frame时，需要检查DEMAC，如果是自己的MAC地址，就接受该Frame。,MAC地址表示方法,MAC地址是由48bit(6byte)组成，前3byte表示组织的唯一标识，后三位由该组织分配给每台设备。,00E0-FC79-405F,HUAWEI,设备标识,Frame的种类：根据目的MAC的不同，可以分为三种帧，UnicastFrameBroadcast(全F，或者全0）multicast,Cisco设备的MAC地址（前3byte），常见的有：00000C,Page7,Frame参数-Type,Type,Type表示DATA里面封装的报文类型，常见的类型有：,为了识别是EthernetII和802.3的帧，EthernetII的type域从1536（16进制位为600）开始，在802.3中，数据的长度小于或者等于1500（05DC)。,Page8,桥和以太网交换机,桥和HUB的区别,随着网络的快速发展，特别是本地局域网络的发展，越来越多的设备需要互相访问，同时需要连接到更长的距离。而传统的以太网采用HUB进行连接，整个HUB就是一个冲突域，采用CSMA/CD机制来检测和侦听，所有的设备共享带宽，网络的带宽利用率低，效率低；并且有距离的限制。而桥建立桥接表（MAC），不象HUB总是将帧发送到所有的端口，桥根据MAC表来决定向那个端口进行转发。这样桥的每个端口为一个冲突域，每台设备将享用一个端口的带宽。,HUB,frame,Bridge,frame,查看MAC表,所有的设备共享整台HUB，共享带宽！,独占一个端口的带宽！,Page9,桥和交换机的区别,桥和交换机都是一个广播域，每个端口都是一个collision域，并都形成MAC表来指导帧转发，不同点是：1、交换机端口的数量多。2、交换机上可以划分VLAN来将整个广播域分割为多个广播域。,Page10,MAC表的建立,每台交换机都需要建立MAC表，MAC表的建立过程是被动学习的过程：1、每台交换机都有cache来保存MAC表，指导帧的转发，当交换机刚上电时，MAC表是空的。2、交换机从端口接受一个帧的时候，将帧的原MAC和该端口记录在MAC表中。通过不停的学习到所有连接到交换机端口的设备的MAC和相应的端口，来建立一张完整的MAC表。3、当交换机转发一个帧的时候，需要查看MAC表，如果MAC表没有该帧的目的MAC，交换机将广播该帧到所有的端口（除了接受该帧的端口）。,PC1,PC2,PC3,0/1,0/2,0/3,MAC1,MAC2,MAC3,MAC表：MAC地址PORTMAC10/1MAC20/2MAC30/3,Page11,两种MAC表,随着VLAN的应用，MAC表项有两种定义：SVL(SHAREVLAN)这种定义意味着在MAC表中每个MAC地址只能对应一个VLAN.这样会导致MAC地址学习错误。,PC1,0/1,PC2,0/2,0/3,0/4,VLAN2,VLAN3,0/1,0/2,如图：PC1访问PC2必须经过一台路由器进行转发，假设路由器在它的0/1端口将PC1的报文透传到0/2端口，这样交换机的0/4端口学习到PC1的MAC地址，由于交换机是SVL，此时交换机将替换掉（0/1，VLAN2）学习的表项为从（0/4，VLAN3）的表项。导致MAC表项出错，PC2响应时，router接受到PC2的响应报文，从0/1转发出去，此时交换机不能转发帧到0/1，PC1不能接受到PC2的响应报文。,IVL（independentVLAN)这种定义意味着在MAC表中，每个MAC可以对应多个不同的VLAN。如图：当ROUTER从0/2接受到PC2的响应报文之后，从0/1转发出去，交换机接受到这个帧之后，发现有（0/1,VLAN2）的表项，从0/1转发出去。现在所有的交换机都采用IVL建立MAC表。,Page12,MAC表结构,1、动态MAC表交换机的MAC表通过被动学习VLAN端口的帧来动态建立，并为每个MAC地址设定一个计时器，如果在一定的时间内没有学习到MAC地址，该MAC将老化，重新学习。缺省的情况下，老化时间为300s。2、静态MAC表通过手工配置静态的MAC表项，静态MAC表项默认是永久存在交换机中，也可以设置老化的时间3、MAC表的结构,MACADD:表示帧的sourceMAC。VLANID:端口所属的VLAN。STATE:有两个值：dynamicorstatic。PORTINDEX:接受帧的端口。AGETIME：表示MAC存活的时间。NOAGE:表示不老化。,Page13,帧的封装过程,PC1:MAC1ANDIP1,PC2:MAC2ANDIP2,0/1,0/2,Pc1访问PC2的帧的封装过程，交换机上的两个接口在同一个VLAN：,1,PC1发送ARP的请求报文，目的MAC是广播地址，目的地址为IP2。,2,交换机接受到该帧，将端口、MAC1、VLAN放到MAC表项中，并向所有的接口0/2广播。,3,PC2接受到这个ARP请求报文，发送ARP响应报文，目的MAC为MAC1，原MAC为MAC2。,4,交换机从0/2接受到ARP响应报文之后，将MAC2、0/2、VLAN添加到MAC表项中。并向端口0/1转发该帧。,5,PC1知道了PC2的MAC地址，下一个帧的目的地址为MAC2。,Page14,交换机性能指标之一：MAC表容量,交换机存储的MAC地址不是无限，它跟交换机的cache有密切的关系，不同类型的交换机有不同的MAC表项大小。MAC表项容量的大小也反映了该交换机的能力，是一个重要的性能指标。常见的交换机的MAC表的容量为：,Page15,交换机的安全：MAC表的安全,1、MAC表项溢出由于交换机只是被动的学习原MAC，并且动态MAC地址老化时间为5分钟，如果一个交换机的MAC表满了，又不能达到老化的时间，交换机将不能学习到原MAC，导致交换机不能正常转发。接在交换机端口下的一台PC，通过发送原MAC不停变化的帧，当交换机接受到这些变化的帧之后，将添加到自己的MAC表中；一旦MAC表满，交换机将不能处理正常的帧，导致不能转发。同时产生大量广播报文，导致交换机CPU繁忙。解决办法：如果发现MAC表中的一个端口下学习到大量MAC地址，表明交换机正在遭受攻击，可以配置该端口下学习到MAC地址的数量，超过配置的数量的MAC将停止转发。mac-addressmax-mac-countdisalbe-forwarding端口模式下配置。2、原MAC欺骗黑客通过发送另外一台攻击的计算机的MAC地址为原地址的报文，路由器收到这个报文之后，将流量转发给黑客，黑客将获取到流向被攻击的计算机流量，进一步分析之后，可以获取到其它的重要信息（比如密码、帐号。）解决办法：在路由器上作原MAC和IP的绑定，如果MAC和IP不一致，将丢弃该报文。,Page16,交换机对帧的处理方式,交换机对接受的帧有不同的处理方式：1、storeandforwarding这种模式在开始交换之前，检查整个帧，如果帧出现错误，将丢弃该帧。2、cut-through当交换机检查到接受到该帧的目的MAC地址，进行转发。即使帧出现了错误，交换机也会转发，这样当达到目的地时，被目的设备丢弃，浪费了带宽。3、Fragmentfree当交换机检查帧的64位帧时，开始转发。（64位帧即最小的帧）。,Page17,问题,帧的最小长度为多少？Hub、Bridge、交换机分别位于OSI中的哪层？在同一个VLAN中，如果MAC1学习到port1上，后来由于某种原因该MAC1学习到了PORT2，这时之前的mac表项还存在吗？如果是在不同的VLAN下，MAC表项是什么样的？,Page18,第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合,内容介绍,Page19,VLAN的定义和划分,1、VLAN的定义VLAN(virtuallocalareanetwork),虚拟本地局域网。默认的交换机是一个广播域，采用VLAN，可以将交换机逻辑上划分为多个逻辑广播域，各个VLAN之间不能访问。通过手动配置逻辑将端口放到不同的VLAN中。2、VLAN的划分基于端口的划分。交换机常见的划分方式，该方式灵活，不受终端物理位置的限制。基于MAC的划分。根据交换机学习到的MAC，进行划分；受物理位置的限制。基于协议的划分。根据端口学习的协议类型和封装格式来划分。可以用来划分的协议为：IP,IPX,APPLETALE,类型有：ethernetII,802.3,802.3+LLC,等。主要应用于网络中提供的服务类型来划分，方便管理和维护。基于IP子网的划分。基于应用层的划分。,Page20,VLAN的帧格式,VLAN基于IEEE802.1Q标准，标准对普通的帧进行了修改，在原MAC地址和类型字段插入了4字节的802.1QTAG标记。,Type：表示帧的类型，0 x8100是表示802.1Qtag帧，不支持该类型帧的设备，将丢弃该帧PRI：表示优先级，取值范围为07。CFI：用于令牌环和FDDI。VID：表示帧所属的VLAN，取值为：04096。VRP中，VLAN0系统使用。实际可用的VID为14094。,Page21,VLAN端口的类型,根据端口接入设备的类型，划分了VLAN的端口分为几种（默认的情况下所有的端口属于VLAN1：1、Access端口配置了Access类型的端口，端口只能属于一个VLAN。一般要来接入不能识别802.1Qtag的设备，比如主机。2、Trunk端口配置了Trunk类型的端口，该端口属于多个VLAN，能识别带Tag的帧,允许多个VLAN通过。一般接入识别802.1Qtag的设备。TrunkVLAN时，VLAN1默认被Trunk。3、Hybrid端口配置了Hybrid类型的端口，即能识别普通的帧（不带Tag），也能识别带Tag的帧。一般该端口即可接入交换机，也可以接入计算机。4、PVID(缺省VLAN)PVID：portVLANID.即端口的PVID。每个端口的类型都有PVID。Access：PVID和Access端口配置的VID一致。Trunk：Trunk端口本身的VID，可以配置，默认为1，和Trunk的VLAN没有关系。,Access,Trunk,Hybrid,Page22,VLAN帧的处理过程,VLAN对帧的处理过程分三部分：1、接受过程接受到的帧可以是带Tag的帧，也可以是不带Tag的帧。Access端口接受到普通帧的时候，打上Access端口的VID。当接受到Tag帧的时候，比较PVID，如果VID和PVID相同，则接受，如果不同，则丢弃。Trunk端口和Hybrid端口接受到普通帧的时候，打上该端口的默认的PVID。当接受到带Tag的帧时，查看端口允许的VID和该帧的VID，如果匹配，则接受；如果不匹配，查看VID和PVID是否相同，如果相同，则接受；否则，丢弃。,2、查找转发过程根据端口接受的帧的目的MAC、VID来查找MAC表，从相应的端口转发。3、发送过程端口发送的出去帧可以是带Tag帧，也可以是不带Tag的帧。当从Access端口发送帧时，将去掉帧的Tag，成为普通的帧。当从Trunk端口发送帧时：如果帧的VID和Trunk端口的PVID相同，将去掉Tag，发送该帧；如果帧的VID跟PVID不同，查看是否Trunk该VID，如果匹配则发送，否则丢弃。当从Hybrid端口发送帧时：如果帧的VID和Hybrid端口的PVID相同，去掉Tag，发送该帧。如果帧的VID跟PVID不同，查看是否Trunk了该VID，并根据配置情况来决定该帧发送是带Tag还是不带Tag。（porthybridvlantagged/untagged,Page23,VLAN帧的处理过程续,PVID处理：,VLAN2,PVID=VLAN2,VLAN2,PVID=VLAN3,1,2,3,TRUNK,ACCESS,ACCESS,Page24,问题,PVID的作用是什么？Access端口的PVID是多少？Trunk端口下的PVID是多少？当一个Trunk端口接受一个普通帧时，交换机如何处理？如果为acess端口，又如何处理？两台交换机之间Trunk多个VLAN，如果修改了其中一台交换机的Trunk端口的PVID，会发生什么情况？,Page25,第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合,内容介绍,Page26,提供VLAN间路由的设备,默认情况下，不同的VLAN属于不同的广播域，不能相互访问。为了提供VLAN间的访问，必须提供不同VLAN来访问的设备。对于这样设备必须达到这样的目的1、提供IP报文转发的功能。2、提供让不同物理位置VLAN间访问的路径。3、能够提供一些策略来控制访问。能够提供这些功能的设备有路由器和三层交换机。路由器路由器就是一种能够提供IP报文转发和控制，以及IP报文选路的设备，由专用的硬件和软件组成。属于三层功能的设备。三层交换机和路由器提供的功能一样，在二层交换机的基层上，增加了三层的功能。,Page27,三层交换机和路由器的区别,路由器和三层交换机：1、三层接口。路由器：支持多种低速率接口（同异步接口、ADSL、ISDN、E1等）和高速端口（ATM、Pos、FE、GE等）。每个接口都是一个广播域，三层接口为物理接口，一个三层接口对应一个物理接口。三层交换机：不支持低速率的端口，只支持高速端口，在中、低端口交换机上支持FE、GE，高端的三层交换机能够支持ATM、POS。三层接口是逻辑的接口（VLANIF)，一个三层接口支持多个物理接口。2、硬件结构路由器：数据平面和控制平面都使用CPU。三层交换机：数据平面采用ASIC来转发，提供更高的性能和转发速率。3、报文转发处理路由器：基于逐包处理，接受到每个报文，都进行查找，再进行转发（低端的路由器）。三层交换机：对于到目的地址第一个包，在processor进行查找，后续的报文直接从转发引擎中转发。,随着技术的不断发展，现在高端的路由器和交换机的硬件结构非常相同。,Page28,三层交换机的架构,三层交换机采用数据平面和控制平面分离的架构，来提高数据交换的能力。,processor,ASIC,Switchfabric,架构示意图：,控制平面和系统管理；1、路由协议、STP,ARP,ICMP,IGMP,VRRP等2、系统的管理,数据转发平面1、二层和三层的转发。2、ACL，Qos标记和策略、组播复制、端口镜像。3、端口ASIC：队列调度、拥塞管理和避免，tagging，端口聚合，广播抑制。,连接各个端口和模块,SWITCHFABRIC,SLOT1,SLOT2,SLOT3,SLOT4,Page29,交换结构,共享式存储交换结构,Forwardingengineer,Switchmodule,Switchmodule,Switchmodule,Sharingmemory,缓存发生在交换引擎中。报文存在在共享内存里。,共享总线式的交换结构,Forwardingengineer,Switchmodule,Switchmodule,Switchmodule,缓存发生在交换模块中，不是在引擎里在一个给定的时间内，只有一个模块访问引擎。适合组播和广播流量最早的结构。,Page30,交换结构(续),交换矩阵结构集中式转发,Crossbar,Forwardingengineer,Switchmodule,Switchmodule,Switchmodule,模块之间存在多条路径非常高的带宽交换能力。信令和调度更加复杂。,交换矩阵结构分布式转发,Crossbar,PrimaryForwardingengineer,SwitchModulewithForwardingEngineer,SwitchModulewithForwardingEngineer,SwitchModulewithForwardingEngineer,Page31,转发表结构,RouterProcessor,Switchmodule,Switchmodule,Switchmodule,ASIC,精确路由查找,1、基于流进行转发。2、第一个报文经过processor转发。3、后续的报文经过ASIC转发。4、查找基于原地址/目的地址的精确路由查找。,Page32,转发表结构（续）,RouterProcessor,Switchmodule,Switchmodule,Switchmodule,ASIC,最长匹配,1、Processor建立IPforwarding表。2、Processor将FIB表复制到ASIC上。3、FIB报文的查找基于最长匹配原则。4、报文都是经过硬件转发。5、控制平面不进行流量的转发，专注于协议进程。,FIB,FIB,Page33,二层和三层交换机的识别,华为交换机有中低端二层交换机和三层交换机，以及高端的三层交换机。从交换机的命令通常可以看出是二层交换机还是三层交换机。一般交换机都有一个几位数字（一般是4位）来表示交换机的型号，如果从左到右的第二个数字是“5”表示三层交换机，如果不是就表示二层交换机，第一个数字表示交换机的等级，等级越高，表明交换机的性能越好；后面的两位表示交换机的端口，端口一般是12、24的倍数，如果大于12或者是24，比如26，那么该交换机一般支持2个GE模块。这种规则适合大多数产家的设备。常见的交换机以及它们的架构为：,Page34,VLAN间路由,VLAN2,VLAN3,1、使用三层交换机,IP1,IP1-1,IP2-1,IP2,2、使用路由器,MAC1,MAC2,MAC2,MAC3,1,2,由于路由器的每个物理端口都属于一个广播域，当多个VLAN要通过路由器来互通时，需要在路由上配置多个接口；可以通过在交换机互连路由器的端口配置Trunk，TrunkVLAN2和VLAN3,然后在路由的接口上封装802.1Q，将一个物理端口配置两个逻辑的子接口，分别封装VLAN2和VLAN3.,经过三层交换时，帧中的原MAC和目的MAC在每段上都变化了。对于交换机的三层接口使用一个MAC。,Page35,问题,不同的VLAN之间用户如何进行相互通信？从源到目的地址的报文头和帧头中，什么不会变化？什么发生变化？,Page36,第1章帧、MAC的概念和二层转发第2章VLAN的基本概念和原理第3章三层交换机架构和转发结构和VLAN间路由第4章VLAN的扩展特性第5章链路聚合,内容介绍,Page37,VLAN的扩展特性一：superVLAN,SuperVLAN：每个VLAN的用户如果需要访问外部，该VLAN中的用户必须配置网关地址，对应与该VLANIF接口，当大量的VLAN应用时，需要大量的IP地址，特别是对于公网地址，更是紧缺；为了节省IP地址，使用SuperVlan，对外访问提供一个IP地址。SuperVLAN中的用户VLAN为subVLAN。为了实现subVLAN之间的访问，需要在subVLAN下配置ARPProxy来实现。SuperVLAN不能包含端口。,VLAN1,VLAN2,VLAN3,VLAN4,SUPERVLAN5IP3/MAC3,优点：节省IP地址缺点：由于开启了ARPProxy，VLAN之间可以访问，相当于所有的VLAN属于一个广播域。,ARPProxy：1、PC1访问PC2，发送ARP请求报文给网关（SuperVLAN)。,PC1MAC1,PC2MAC2,2、交换机接受PC1的ARP请求报文报文之后，将自己使用自己的MAC地址发送ARP响应报文给PC1。,配置VLAN6和路由器互连，来实现和外面通讯！,VLAN6,Page38,VLAN的扩展特性二：ISOLATE-USER-VLAN,Isolate-user-VLAN特性：Isolate-user-VLAN采用二层VLAN的结构，在同一台设备上设置Isolate-user-VLAN和secondaryVLAN，一个Isolate-user-VLAN包括多个secondaryVLAN，对于上层设备只知道Isolate-user-VLAN，而不知道Isolate-user-VLAN里面的secondaryVLAN。应用场景：1、上行设备支持的VLAN数量有限，下行设备存在多个VLAN。2、IP地址数量有限。配置使用：1、Isolate-user-VLAN只使用与上行设备连接的接口。2、Isolate-user-VLAN不能和Trunk端口同时配置。3、secondaryVLAN用于多个不同业务和用户。4、一个Isolate-user-VLAN可以对应多个secondaryVLAN，最多30个secondaryVLAN。5、Isolate-user-VLAN和secondaryVLAN建立映射关系之后，不能进行端口的添加和删除。,Page39,VLAN的扩展特性二：ISOLATE-USER-VLAN应用,应用场景：多台S3026都下挂了大量的VLAN，上行连接到路由器来和外面通讯。如果按照正常的配置，路由器需要配置大量的子接口；性能和可靠性低，并且路由器支持的子接口数量也有限。多台S3026都下挂了大量的VLAN，上行使用三层交换机，下面的VLAN数量超过了三层交换机的支持的VLAN数量。,解决的方案：使用Isolate-user-VLAN特性，将一个Isolate-user-VLAN对应多个VLAN(30)；Isolate-user-VLAN和secondaryVLAN在一个子网内。当secondaryVLAN的发送报文给Isolate-user-VLAN时，交换机内部维护一张映射表，将secondaryVLAN的VID替换成Isolate-user-VLAN的VID。报文返回时，交换机做同样的操作。,。,VLAN2,VLAN3,VLAN4,VLAN5,VLAN100,VLAN101,VLAN102,VLAN103,VLAN200,VLAN201,VLAN202,VLAN203,Page40,SuperVLAN和ISOLATE-USER-VLAN的比较,相同点1、对外均提供一个IP，可以大量节约IP地址。2、superVLAN和subVLAN，ISOLATE-USER-VLAN和secondaryVLAN必须都在一个子网中。不同点1、superVLAN使用ARPProxy实现subVLAN之间的访问。Isolate-user-vlan的secondaryVLAN之间如果需要访问，需要配置在一个VLAN中。2、superVLAN不包含端口，所有的subVLAN的端口都属于superVLAN。Isolate-user-VLAN必须包括上行的端口。3、对外访问时，superVLAN的上行接口需要另外配置VLAN来和上行设备互通，superVLAN使用ARPproxy实现访问。Isolate-user-VLAN维持primary-VLAN和secondary的映射表，进行VID的替换来实现primaryVLAN和secondaryVLAN的互通。,Page41,VLAN配置,1、配置VLANquidwayvlanid2、VLAN描述quidway-vlandescriptionstring3、VLAN命名quidway-vlannamestring4、添加端口quidway-vlanportinterface-list(