多层网络第5章 多层交换技术.ppt

1、第5章 多层交换技术,5.1 理解传统的MLS 5.2路由器交换算法演进历程 5.3 CEF快速转发 5.4 MLS与CEF比较 5.5 多层交换用于流量分析 5.6 多层交换硬件实现ACL 5.7 基于CEF的MLS配置、验证和排错,5.1 理解传统的MLS,5.1.1 MLS组件 MLS由以下三个部分组成： 多层路由处理器（MLS-RP）相当于网络中的路由器，负责处理每个数据流的第一个数据包，协助MLS交换引擎（MLS-SE）在第3层的CAM（Content-Addressable Memory）中建立捷径条目（Shortcut Entry）。MLS-RP可以是一个外部的路由器，也可以由三

2、层交换机的路由交换模块（RSM）来实现。,下一页,返 回,5.1 理解传统的MLS, 多层交换的交换引擎（MLS-SE）是负责处理转发和重写数据包功能的交换实体。 多层交换协议（MLSP）是一个轻型协议，用来通过多层路由处理器（MLS-RP）对多层交换的交换引擎进行初始化。 下面以图5-3所示的网络为例，阐述多层交换实现的步骤,上一页,下一页,返 回,图5-3 多层交换环境,返 回,5.1 理解传统的MLS,第一步：发送MLSP Hello信息。 当路由器被激活后，多层路由处理器每15s发送一个MLSP Hello包，这些包内含路由器接口所使用的VLAN标识和MAC地址信息。MLS-SE通过这

3、些信息掌握具备多层交换能力的路由器的第2层属性。由于Hello包是周期性发送的，所以，这种方法可以保证相关值动态地跟踪网络的变化，并可实现一定的淘汰机制。Hello包是在第2层发布的，它使用多播地址01-00-0C-DD-DD-DD。,上一页,下一页,返 回,5.1 理解传统的MLS,第二步：标识候选包（Candidate Packet）。 在了解具有多层交换能力的路由器的相关地址后，MLS-SE可以对进入交换机的数据包进行匹配判断。对于一个流中的数据包，如果MLS缓存中含有与之匹配的捷径条目，则MLS-SE就旁路路由器而直接转发该数据包；如果MLS中不包含与该数据包相匹配的捷径条目，则MLS

4、-SE将它归为候选包，并在缓存中建立部分捷径（Partial Shortcut）。这样的包采用传统的第2层交换机处理方式处理，并发往与之相连的路由器接口（网关），具体如图5-4所示。,上一页,下一页,返 回,图5-4 标识后选数据包,返 回,5.1 理解传统的MLS,注意：候选包（帧）必须满足两个标准，目标地址经过MLS-RP所列的路由器接口的一个MAC地址；不存在捷径条目。 第三步：标识使能包（Enable Packet）。 路由器收到并以传统的方式转发数据包。通过数据包的目标地址路由表得知，这个包应从Fast Ethernet1/0的第二个接口转出，具体过程如图5-5所示。,上一页,下一页

5、,返 回,图5-5 标识使能数据包,返 回,5.1 理解传统的MLS,此时，路由器已经重写第2层帧的帧头。同时，路由器不仅改写了ISL头的VLAN号，而且也修改了两个MAC地址域：源MAC改为路由器出口的MAC地址，目标MAC改为主机B的MAC地址。虽然数据包的IP地址未改写，但IP包头的生存时间（TTL）值被减1，故IP包头的校验和也需要作相应的修改。 这个修改后的数据包称为使能包（Enable Packet），当这个数据包从路由器送出并穿过交换机到达目的地主机时，要执行下列四个功能：,上一页,下一页,返 回,5.1 理解传统的MLS,第2层交换机根据使能包的目的地MAC地址，知道该数据包应

6、该从哪个口转发出去。 MLS-SE得知使能包的帧头上源地址是通过Hello过程建立的地址记录之一。 MLS-SE根据使能包目的IP地址查寻在第二步中建立的部分捷径条目。 MLS-SE完成该捷径条目的建立过程，该捷径记录将包含重写数据流中的后续包帧头所需的所有信息。,上一页,下一页,返 回,5.1 理解传统的MLS,第四步：直接交换（转发）数据流中的后续包。 当后续的数据包被主机A送出后，MLS-SE利用数据包中的目标IP地址查找在第三步建立的完整捷径。地址匹配后，MLS-SE利用重写引擎修改帧头信息，然后直接转发给主机B（数据包不发给路由器）。重写操作修改帧头域，其值同第一个被路由器修改的数据

7、包的域值一样。交换机重写数据帧，使它看起来好像是由路由处理器处理的，最终目的地收到该数据帧就如同是由路由器处理的。,上一页,下一页,返 回,图5-6 流的后续数据包不通过路由,返 回,5.1 理解传统的MLS,上述这个过程被称为“一次路由，多次交换”。交换机利用专业化硬件ASIC来处理数据包，速度相当快，可以达到100Mb/s甚至1000Mb/s。多层交换具有以下突出特点： 有机的硬件结合使得数据交换加速。 优化的路由软件使得路由过程效率提高。 除了必要的路由决定过程外，大部分数据转发过程由第2层交换处理。 多个子网互联时只是与第3层交换模块的逻辑连接，不像传统的外接路由器那样需增加端口，保护

8、了用户的投资。,上一页,下一页,返 回,5.1 理解传统的MLS,路由是MLS的一个整体部分，可是路由仍然是MLS-RP的责任。当第3层交换被启用时，MLS-RP仍然运行原有的路由选择协议，并且维护一个实时的路由表。路由表的变化可能会影响MLS的行为。发生在路由表的变化，比如路由修改或访问控制列表的应用，将产生一个路由器到交换机的通知以重清所有受影响的MLS条目。,上一页,下一页,返 回,5.1 理解传统的MLS,对于交换机的改动，比如将一台设备从一个端口移至另一个端口，将导致对以那个端口为目的地的条目进行重清。当数据流活跃时，流的状态和标志被保持，当流的数据包停止发送后，该流在MLS缓存中的

9、条目就会老化，部分捷径或候选条目在没有使能条目时在缓存中可以保留5s。只要流中有后续数据包通过设备，那么完整的缓存条目就会保留在缓存中，老化时间默认为256s。,上一页,下一页,返 回,5.1 理解传统的MLS,5.1.2 流掩码 有三种流掩码： 目的IP（Destination-IP）：最少细节的流掩码。MLS-SE为每个目的IP地址维护一条MLS表项，所有给定到目的IP地址的流都使用这条MLS表项。 源和目的IP（Source-Destination-Ip）：MLS-SE为每个源和目的IP地址维护一条MLS表项，所有给定源和目的之间的流不管IP协议端口都使用这条MLS表项。 IP流（IP-

10、Flow）：最详细的流掩码。MLS-SE为每个IP流维护一条详细的MLS表项，一个IP流表项包括源IP地址、目的IP地址、协议和协议端口。,上一页,返 回,5.2路由器交换算法演进历程,路由器交换算法的简单回顾如下： 1. 过程交换 最初的Cisco路由器采用集中式CPU包交换，所有的包通过共享总线传到CPU，经路由表查找、CRC重算，再通过共享总线把包传到适当的线路卡上。,下一页,返 回,5.2路由器交换算法演进历程,2. 快速交换 快速交换即传统的MLS。到达某特定目的地址的IP包通常会引起数据包流，即假设交换过到特定目标的包之后，另一个很可能不久也会到达。通过构建最近交换目标的高速缓存，

11、可以减少包在全路由表中查找同一目标的次数，这种“一次路由，然后交换”的方式称为快速交换，快速交换大大提高了路由器的包转发速率，因而成为Cisco路由器平台上默认的交换机制。但有一点需要注意：IP路由表的改变导致高速缓存无效，在路由状况不断变化的环境中，路由高速缓存的优势将受到很大限制。,上一页,下一页,返 回,5.2路由器交换算法演进历程,3. 分布式交换 随着VIP（Versatile Interface Processor，通用接口处理器）卡的引入，路由器的交换体系逐渐向对等多处理器结构发展。每个VIP卡都包含RISC处理器，维护最新的由路由交换处理器产生的快速交换高速缓存的备份，并能独立

12、实现路由交换的功能，高速完成两种类型的交换：本地VIP的交换和VIP之间的交换。,上一页,下一页,返 回,5.2路由器交换算法演进历程,4. CEF特快交换 如前所述，快速交换的高速缓存机制在Internet之类的高速动态路由选择环境（经常存在网络拓扑变化、路由改变、路由震荡等）中不能很好地伸缩，路由的改变导致高速缓存无效，而重建高速缓存（即执行“过程交换”的过程）在计算上开销很大，同时，随着互联网及其业务的迅猛发展，基于Web的各种应用和交互式业务使得通信次数多而通信时间短的实时数据流大量增加，特别是病毒爆发时，产生大量到不同目标地址的攻击数据包，这些数据包都是单独的流，快速交换的高速缓存内

13、容处于不断变化之中，重建高速缓存的负担加大，从而导致路由器性能的降低。CEF特快交换技术正是针对上述不足而设计的。,上一页,返 回,5.3 CEF快速转发,第3层引擎（实际是一个路由器）用来维持路由选择信息，路由选择信息可能来自静态路由或者来自动态路由选择协议。基本上，路由选择表将表中的每个IP目的子网重新转换成一个常用的路由优先的排序列表。这种新格式称为转发信息库（FIB），它还包含网络前缀可以参考的路由选择或者转发信息。,下一页,返 回,5.3 CEF快速转发,一个到192.168.0.6/16的信息可能包含在FIB中，同样，到达192.168.1.0/24和192.168.1.128/2

14、5的信息也可能存在。注意：这些例子增加了更多细化的子网。在FIB中，这些地址按照细化顺序排列，或者称为最长匹配，最具体的在前，次具体的随后。当交换机接收到一个分组的时候，它可以很容易地检测到目的地址并且在FIB中找到最长匹配地址的表项。 FIB也为每个表项提供了下一跳地址。在FIB中找到最长匹配地址表项的时候，第3层的下一跳地址也相应地找到了。,上一页,下一页,返 回,5.3 CEF快速转发,FIB中也可以包含主机路由（子网掩码为255.255.255.255）的表项。这些路由通常是不能在路由选择表中找到的，除非它们进行广播或者手动配置。主机路由在FIB中维持，FIB为到达直接连接或者邻接的主

15、机提供最高效的路由选择查找。 在FIB建立之后，分组可以直接通过第3层转发引擎进行转发。这要按照硬件交换过程进行，在这个过程中不需要“昂贵的”或者耗时的操作。有些时候，分组不能通过硬件进行交换，需要根据FIB来进行交换。然后，在分组上标记“CEF送出”，立即送到第3层引擎进行进一步处理。,上一页,下一页,返 回,5.3 CEF快速转发,转发信息库FIB是路由器决定目标交换的查找表，FIB的条目与IP路由表条目之间有一一对应的关系，即FIB是IP路由表中包含的路由信息的一个镜像。由于FIB包含了所有必需的路由信息，因此就不用再维护路由高速缓存了。 当网络拓扑或路由发生变化时，IP路由表被更新，F

16、IB的内容也随之发生变化。,上一页,下一页,返 回,5.3 CEF快速转发,同路由选择表一样，FIB也具有动态特征。在第3层引擎发现路由选择拓扑发生变化的时候，它会将更改信息发送给FIB。不论在什么时候，路由选择表只要收到路由前缀或者下一跳地址发生改变的信息，FIB也会收到相同的信息。当然，如果下一跳地址改变或者超出了地址解析协议（ARP）规定的跳数，FIB也必须作出相同变化的反应。,上一页,下一页,返 回,5.3 CEF快速转发,5.3.2 邻接表 一个路由器通常维持一个包含第3层网络和下一跳信息的路由选择表，以及一个包含第3层到第2层地址映射的ARP表。这些表都是独立保存的。 FIB为每个

17、表项保存了第3层的下一跳地址。为了能更多地转发流线型分组，FIB相应地保存了每个下一跳表项的第2层信息。FIB的这个部分称为邻接表，它包含了能到达的单一第2层节点的MAC地址。,上一页,下一页,返 回,5.3 CEF快速转发,邻接表信息是根据ARP表建立的。当下一跳地址收到一个合法的ARP表项时，就更新邻接表。如果ARP表项不存在，FIB表项被标记为“CEF收集”。这意味着第3层转发引擎无法用硬件转发分组，原因就是没有第2层的下一跳地址。分组被发送到第3层引擎以便能够产生一个ARP请求并能接收到一个ARP应答。这称为“CEF收集”状态，在该状态下，第3层引擎必须收集下一跳目的地的MAC地址。,

18、上一页,下一页,返 回,5.3 CEF快速转发,在FIB表项处于CEF收集状态等待ARP的解析期间，去往该主机的后续分组被立即丢弃，从而输入队列不被填满并且第3层引擎不至于为了复制ARP请求而过于繁忙。这被称为ARP抑制或者抑制邻接。如果ARP应答在2s内没有回应，抑制ARP将被解除以便于可触发另一个ARP请求。否则，在收到ARP应答之后，抑制ARP将做解除，FIB表项填写完毕，分组可以完全由硬件来转发。,上一页,下一页,返 回,5.3 CEF快速转发,系统一旦发现邻接关系，就将其写到邻接表中，邻接序列随时都在生成，每次生成一个邻接条目，就会为那个邻接节点预先计算一个链路层头标信息，并把这个链

19、路层头标信息存储在邻接表中，当决定路由时，它就指向下一网络段及相应的邻接条目。随后在对数据包进行CEF交换时，用它来进行封装。欲查看邻接表的有关信息，可以使用Cisco IOS的命令：show adjacency、show adjacency detail。当查看邻接表信息时，会发现有以下两种主要邻接类型：Host Adjacency和Point to Point。Host Adjacency类型通常的显示是一个IP地址，它表示邻接的下一跳IP地址；Point to Point类型的显示是“point2point”，表示这是一条点对点电路。此外还有其他一些特殊类型，如Null Adjacenc

20、y、Glean Adjacency等。,上一页,下一页,返 回,5.3 CEF快速转发,5.3.3 分组重写 交换机有一个附加的功能模块，它可以实时地执行分组重写。分组重写引擎仅在转发前对分组进行下面的改变： 第2层目的地址变为下一跳设备的MAC地址。 第2层源地址变为通往外部第3层交换机接口的MAC地址。 第3层IP生存时间（TTL）减小1，在经由一个路由器的时候发生。 第3层IP校验和包括改变的IP头进行重新计算。 第2层帧校验和包括第2层和第3层头进行重新计算。 通常，传统的路由器对每个分组进行相同的改变。多层交换机也要像使用传统路由器一样，作出相同的改变。然而，多层交换机通过专用的分组

21、重写硬件和从表查询中获得的地址信息，能够非常高效地重写分组。,上一页,下一页,返 回,5.3 CEF快速转发,5.3.4 集中式和分布式交换 CEF有两种模式：集中式和分布式。集中式允许一个路由处理模块运行特快交换，即FIB和邻接表驻留在路由处理模块中，当线路卡不可用或不具备分散CEF交换的功能时，就可使用集中CEF交换模式。传统MLS只支持集中式交换。 交换ASIC以分布式的方式存在，允许整个系统高效地输送流量。当添加更多的接口卡时，系统的处理能力也增加了因为相关的逻辑和转发决策分布在整个设备上。今天的一些高端交换机、路由器每秒钟可以转发4亿个数据包。,上一页,下一页,返 回,5.3 CEF

22、快速转发,分布式CEF（一般记作dCEF）允许第3层交换机接口或多个线路卡（VIP）分别运行快速交换功能，独立地作出转发决策。前提是：线路是VIP线路卡或GSR线路卡。中央路由处理器完成系统管理、路由选择和转发表计算等功能，并把CEF表分布到单个线路卡上；每个线路卡维护着一个FIB和邻接表的备份。线路卡在端口适配器之间执行快速转发，这样，交换操作就无需路由交换模块的参与了。dCEF采用一种“内部过程通信”机制来保证路由处理器和接口卡之间FIB和邻接表的同步。,上一页,下一页,返 回,5.3 CEF快速转发,5.3.5基于CEF的MLS的负载均衡 1. 按目的地配置负载平衡 基本原理是：对于给定

23、的一对源/目的IP地址，即使有多个路径可用，也要保证数据包采用同一路径；通往不同源/目的IP地址的数据流则倾向于采用不同的路径。通过采用按目的地负载平衡的方法，可以保证对某个源/目的IP地址对的数据包以一定的次序到达。当启用CEF时，按目的地配置的负载平衡被默认启用。,上一页,下一页,返 回,5.3 CEF快速转发,2. 按数据包配置负载平衡 基本原理是：采用轮转法确定各个数据包按哪条路径到达目的地。这种负载平衡方法可使路由器在路径上连续发送数据包，即保证路径的使用状况比较好，但针对一个源/目的IP地址对的数据包可能会采用不同的路径，从而导致目的端对数据包的重新排序。这种类型的负载平衡对某些类

24、型的数据流传送不是很合适（如VoIP数据流）。当然，若在某一源/目的IP地址对之间有大量的数据流通过并行链路传送，如果按目的地负载平衡方式，将会使某条链路负担过重，而其他链路上的数据流很少，此时采用按数据包的负载平衡是合理的。,上一页,返 回,5.4 MLS与CEF比较,MLS是一个基于流的模型，它继承了一个特定流中第一个分组的软件路径处理，依次创建一条为了加快性能而由流中的后续分组使用的缓存表项。尽管这个模型工作得非常良好，但是在如大型企业网络核心的环境中发现这个模型总是不理想的，特别是当一个企业网络有对等问题以及流的流量对于缓存而言太大时，基于流的模型并不是理想的。,下一页,返 回,5.4

25、 MLS与CEF比较,当大量路由器由许多独立组织控制时，可能会遇到一些设备负面影响另一些设备的稳定性的情况。在这种情况（一个对等关系）下，路由器的不稳定性或翻动路由会导致清除以前缓存的数据。在基于流的模型中，缓存表项的丢失要求特定流的第一个分组按软件路径处理。在对等环境中，比如支持企业网络核心所要求的，这意味着可能有数以万计的流需要为进一步的硬件加速而由软件路径重新学习或缓存。但是，扩展基于软件的转发使得每秒钟能同时处理数以万计的并发流是很困难的。因此稳定性和抵御路由翻动的能力是至关重要的。基于CEF的转发模型被设计用来适度处理这些情况并最小化这些事件对网络稳定性的影响。,上一页,下一页,返

26、回,5.4 MLS与CEF比较,基于流的模型所遇到的扩展性挑战的另一个方面是关于查找表中所需缓存的实际流的数量。回忆一下一条流量表项可以有多种表示方式：包括目的IP、源目的IP和IP流。选择的粒度越大，流的信息就越详细，但是访问和存储的效率就越低。例如，多个表项可以映射到一个目的IP流的特定表项（比如，多个客户端都访问一台服务器）。当选择IP流方式时，在完整的源和目的IP地址之外还要存储完整的协议和端口信息。这就依次减少了两条表项能共享一条特定流表项的可能。,上一页,下一页,返 回,5.4 MLS与CEF比较,但是在今天，大多数企业网并不关心这个。网络增长时所能支持的流数目也必须增长（比如在服

27、务器提供商环境中），从而导致表项的数量超过可用的流缓存表空间。这个流缓存表的空间限制导致了非优化的分组处理，即不匹配流缓存的分组必须通过软件处理。纠正这个问题的一种选择是改变流掩码来定义一个较少细节的掩码，比如目的IP地区。这个解决办法增加了缓存的效率，但是它有太多自身的局限，需要软件来处理。,上一页,下一页,返 回,5.4 MLS与CEF比较,尽管对于超过缓存大小问题的简单回答是增加可用表项的数量，但实际上不是那么简单。基于硬件转发的速度与流缓存的大小之间有直接的关系。简单地增加流缓存的大小不能保证适合的查找引擎能足够快地分析表从而进行高速的硬件转发。逻辑上看增加查找引擎的速度和增加缓存表的

28、大小是矛盾的，在某种程度上这个方法能起作用，但是网络管理员不得不持续升级设备，这是一种极其昂贵且低效的解决方法。,上一页,下一页,返 回,5.4 MLS与CEF比较,基于缓存的转发模型根据实际的通信流为加速转发建立缓存表项。在传统的企业环境中，这个模型已证明是非常高效的，因为流量模式将大量的源与少量的目的相关联。一个例子就是传统的中央服务器群，即大量客户端向很少的服务器发送和接收流量。当将这些流量模式和Internet的模式相比较时，要实现企业数据中心的多对一方式是极不可能的。因为Internet是一个全球的实体，所以维护流缓存并确保其中数据的完整性变得越来越困难。这意味着必须根据保持当前流缓

29、存状态的维护需求来预计缓存流量的确定数量。缓存状态中的变化反映在CPU的利用率上。,上一页,下一页,返 回,5.4 MLS与CEF比较,使用流缓存模型，必须为由CPU正确处理的第一个分组或由于某些原因而不能用硬件处理的分组维护一张完整的转发表。在CPU作出转发决定以后（根据路由选择表进行查找的部分），在流缓存表中创建一条表项，然后用硬件处理后续分组。,上一页,下一页,返 回,5.4 MLS与CEF比较,与快速交换相似，CEF也使用自己建立的数据结构（而不是路由表）来执行交换操作。快速交换通过生成并查找路由高速缓存交换数据包，该路由高速缓存的条目（包括目的IP地址、输出接口、MAC地址头信息等）

30、是在第一个数据包到来时，对整个路由表执行最长匹配查找算法获得下一跳IP地址，然后查找ARP缓存获得第2层的MAC地址信息，并写入路由高速缓存，之后的数据包则根据已经生成的高速缓存的条目直接重写MAC头信息完成交换操作。,上一页,下一页,返 回,5.4 MLS与CEF比较,CEF通过FIB和邻接表对数据包进行交换，但FIB和邻接表是在数据包到来以前，由CPU根据路由表生成并定时更新的，因此到达路由器的第一个数据包也无需执行查找路由表的过程，直接由FIB和邻接表获得新的MAC头信息，就可进行交换了，对于拥有大容量路由表的路由器来说，这种预先建立交换查找条目的方式能够有效地提高交换性能。,上一页,下

31、一页,返 回,5.4 MLS与CEF比较,CEF是专门为高性能、高伸缩性的IP骨干网络设计的一种高速交换方式。从上述介绍不难看出，在大规模的动态IP网络中，CEF能够提供前所未有的交换的一致性和稳定性。它能够有效弥补快速交换的高速缓存条目频繁失效的缺陷，采用dCEF分布式交换可使每个线路卡进行完全的交换，提供更优越的性能；CEF比快速交换的路由高速缓存占用的内存要少，并能提供负载平衡、网络记账等功能。,上一页,返 回,5.5 多层交换用于流量分析,为确定网络流量的类型和数量，ASIC现在内置了新的数据包取样技术，以提供整个系统流量监控的控制平台。Netflow或sFlow现在已成为日益普及的方

32、法，可以为企业和服务供应商提供网络中应用流量的实时视图、流量所需的带宽、流量的去向。Netflow或sFlow允许大型企业更好地监控跨多个部门的网络资源的使用状况。,下一页,返 回,5.5 多层交换用于流量分析,可以识别网络中的非法的无线和有线的应用，并在网络性能受到影响之前及时发现和制止对于拒绝服务（DoS）的攻击。现在对于意识到安全性的重要的企业来说，使用多层交换机/路由器进行安全和流量分析正在变得日益流行，这主要是因为网络设备厂商将这种技术内置于多层交换机/路由器中。越来越多的网络设备被整合到单一的设备中，用户不再需要独立的硬件来监视流量或安全性的某些方面，这可以为网络用户带来极大的好处

33、。,上一页,返 回,5.6 多层交换硬件实现ACL,在路由器中经常使用安全过滤是必要的，路由器之所以成为理想的安全“检查点”，是因为它们是网络的入口和出口。在路由器上创建被称为访问控制列表（ACL）的复杂规则以后，路由器将根据这套规则来检查每一个数据包。例如，这些规则可以只允许特殊的授权用户访问公司的数据。,下一页,返 回,5.6 多层交换硬件实现ACL,对于传统路由器来说，根据安全规则检查数据包是一个费时的过程。当路由器找到每一个数据包中的第3层和第4层信息以后，它必须将这些信息与规则进行比较。启用安全过滤会使路由器的速度更慢。当对性能的影响太大时，就需要使用特殊设备来分担。,上一页,下一页

34、,返 回,5.6 多层交换硬件实现ACL,即使是多层交换路由器，它们在执行这一功能（同时保持线速性能）时也会面临挑战。当启用安全性功能时，部分新交换机/路由器速度也会慢下来。不过，大多新型的交换机、路由器已经将这些安全策略集成到硬件上，因而，即使在启用ACL的情况下，也能够提供线速转发性能。,上一页,返 回,5.7 基于CEF的MLS配置、验证和排错,5.7.1 启用和关闭CEF 默认情况下，对于使用基于CEF的MLS体系结构的Cisco Catalyst交换机来说，它们启用CEF。因此Catalyst交换机也就默认执行第3层硬件交换。对于支持基于CEF的MLS的Catalyst交换机来说，默

35、认启用基于CEF的MLS和基于目标的负载均衡。基于上述原因，无需配置基于CEF的MLS。如果由于一些原因关闭了它，可以使用ip cef全局配置命令重新启动它。,下一页,返 回,5.7 基于CEF的MLS配置、验证和排错,为了在线路卡上启动dCEF以便路由处理器能处理路由选择协议或交换来自传统接口处理器的分组，使用ip cef distributed全局配置命令。 当CEF或dCEF全局启动时，支持CEF的所有接口默认启动。 一个管理员也许想在一个特定接口上关闭CEF或dCEF，因为该接口配置了不支持CEF或dCEF的功能。例如，策略路由选择和CEF不能一起使用，有时一个接口被配置支持策略路由选

36、择，而另一个接口则支持CEF。在这种情况下，可全局启动CEF，但在配置了策略路由选择的接口上关闭它。这使得除了一个接口外的所有接口都能快速转发。,上一页,下一页,返 回,5.7 基于CEF的MLS配置、验证和排错,5.7.2 查看CEF表 在对CEF问题进行排错时，首先应检查CEF表，需要使用如下命令： show ip cef。 show ip cef detail。 例5-1 命令show ip cef示例。,上一页,下一页,返 回,Switch#sh ip cef Prefix Next Hop Interface 0.0.0.0/0 192.204.1.65 Vlan905 0.0.0.

37、0/32 receive,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,127.0.0.0/8 attached EOBC0/0 127.0.0.0/32 receive 127.0.0.41/32 127.0.0.41 EOBC0/0 127.0.0.51/32 receive 127.255.255.255/32 receive 10.35.144.0/21 192.204.1.129 Vlan914 10.35.240.0/20 192.204.1.129 Vlan914 192.192.16.0/20 192.204.1.129 Vlan914 192.204.0

38、.0/18 192.204.1.129 Vlan914 192.204.1.32/27 attached Vlan904 192.204.1.32/32 receive,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,192.204.1.34/32 192.204.1.34 Vlan904 192.204.1.35/32 receive 192.204.1.63/32 receive 192.204.1.64/29 attached Vlan905 192.204.1.64/32 receive 192.204.1.65/32 192.204.1.65 Vlan905 19

39、2.204.1.66/32 receive 192.204.1.71/32 receive 192.204.1.128/29 attached Vlan914 192.204.1.128/32 receive,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,192.204.1.129/32 192.204.1.129 Vlan914 192.204.1.130/32 receive 192.204.1.135/32 receive 192.204.64.0/19 192.204.1.129 Vlan914 224.0.0.0/4 drop 224.0.0.0/24 rece

40、ive 255.255.255.255/32 receive ,5.7 基于CEF的MLS配置、验证和排错,例5-2 命令show ip cef detail示例。,上一页,下一页,返 回,Switch#sh ip cef detail IP Distributed CEF with switching（Table Version 66），flags=0 x0 30 routes，0 reresolve，0 unresolved（0 old，0 new），peak 5 21 instant recursive resolutions，0 used background process 206

41、leaves，64 nodes，73456 bytes，1456 inserts，1250 invalidations 0 load sharing elements，0 bytes，0 references universal per-destination load sharing algorithm，id B7AF5771 3（0）CEF resets，63 revisions of existing leaves Resolution Timer: Exponential（currently 1s，peak 1s） 0 in-place/0 aborted modifications

42、refcounts: 17242 leaf，16896 node,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,Table epoch: 0（30 entries at this epoch） Adjacency Table has 57 adjacencies 1 IPv4 incomplete adjacency 0.0.0.0/0，version 18，epoch 0，cached adjacency 192.204.1.65 0 packets，0 bytes via 192.204.1.65，0 dependencies，recursive next hop 1

43、92.204.1.65，Vlan905 via 192.204.1.65/32 valid cached adjacency 0.0.0.0/32，version 0，epoch 0，receive 127.0.0.0/8，version 7，epoch 0，attached，connected 0 packets，0 bytes,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,via EOBC0/0，0 dependencies valid glean adjacency 127.0.0.0/32，version 4，epoch 0，receive 127.0.0.41/

44、32，version 21，epoch 0，connected，cached adjacency 127.0.0.41 0 packets，0 bytes via 127.0.0.41，EOBC0/0，0 dependencies next hop 127.0.0.41，EOBC0/0 valid cached adjacency 127.0.0.51/32，version 3，epoch 0，receive 127.255.255.255/32，version 5，epoch 0，receive ,5.7 基于CEF的MLS配置、验证和排错,5.7.3 查看邻接表 如果希望显示邻接关系表中的

45、信息，就需要使用show adjacency和show adjacency detail 命令。通过指定可选参数detail，该命令可以显示详细的邻接关系表信息。 例5-3 命令show adjacency示例。,上一页,下一页,返 回,Switch#show adjacency Protocol Interface Address IP Vlan801 10.35.240.3（5） IP Vlan801 10.35.240.2（5） IP Vlan501 192.204.40.42（5）,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,IP Vlan801 10.35.2

46、40.17（5） IP Vlan501 192.204.40.40（5） IP Vlan801 10.35.240.23（31） IP Vlan501 192.204.40.34（5） IP Vlan801 10.35.240.24（77） IP Vlan801 10.35.240.26（33） IP Vlan501 192.204.40.38（5） IP Vlan801 10.35.240.29（41） IP Vlan501 192.204.40.39（5） IP Vlan501 192.204.40.36（5） IP Vlan501 192.204.40.37（5） IP Vlan501

47、192.204.40.30（5） IP Vlan501 192.204.40.31（5） IP Vlan501 192.204.40.29（5）,5.7 基于CEF的MLS配置、验证和排错,上一页,下一页,返 回,IP Vlan801 10.35.240.38（5） IP Vlan501 192.204.40.19（5） IP Vlan801 10.35.240.45（5） IP Vlan501 192.204.40.11（5） IP Vlan904 192.204.1.34（5） IP Vlan501 192.204.40.8（5） IP Vlan501 192.204.40.14（5） IP Vlan501 192.204.40.12（5） IP Vlan801 10.35.240.57（5） IP Vlan501 192.204.40