二／三層交換機原理

2023/2/2二／三層交換機原理(VLAN,VLANIF,Trunk,

VRRP)Page2TCP/IP與OSI七層模型應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層HTTPFTPTELNETOSPFISISRIPTCPUDPSCTPIPETHPPPFRX25ATM物理介質(zhì)ICMPARP/RARP鏈路層封裝網(wǎng)絡(luò)層封裝傳輸層封裝凈荷。。。報文：Contents交換機原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個常見問題解答VRRPPage4哦，這封信是給地瓜的。土豆，土豆信已收到不是給我的，丟棄不是給我的，丟棄是我的信，收下HUB傳統(tǒng)HUB的工作過程Page5哦，這封信是給地瓜的。收到，發(fā)一個回執(zhí)哦，4口連的設(shè)備叫地瓜，OK，送4口!送信人叫土豆，而1口連的設(shè)備叫土豆，OK，轉(zhuǎn)1口！這兩人都不叫地瓜，都不會收到信傳統(tǒng)Switch的已知地址報文轉(zhuǎn)發(fā)過程Page6哦，這封信是給地瓜的。土豆，土豆地瓜在這里哦，不知道地瓜在哪里，發(fā)尋人啟事找我的人叫土豆，而1口連的設(shè)備叫土豆，OK，轉(zhuǎn)1口！不是找我的，丟棄不是找我的，丟棄傳統(tǒng)Switch的地址未知報文廣播過程Page7問題：如何隔離廣播域？廣播域1廣播域2VLAN10廣播域VLAN20廣播域RouterSwitch+VLANContents交換機原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個常見問題解答VRRPPage9VLAN實例VLAN作用隔離廣播域增強保密性，提高網(wǎng)絡(luò)安全性組網(wǎng)靈活良好的擴展性劃分VLAN原則：基于MAC地址基于端口基于協(xié)議基于IP地址基于組合策略ToInternet人力部網(wǎng)絡(luò)部營銷部Page10Trunk端口Access端口Hybrid：允許多個VLAN報文通過，也允許不帶VLAN的報文通過。收到不帶VLAN標記報文默認則認為其屬于缺省VLAN（PVID）。VLAN的三種端口類型Page11TrunklinkAccesslinkFrameTagging的工作過程普通IP報文VLANTAGVID：VLANID，長度為12比特，表示該幀所屬的VLANPage12/80000-1a2b-0001/80000-1a2b-0002/80000-1a2b-0003/80000-1a2b-0005/80000-1a2b-0004/80000-1a2b-0007/80000-1a2b-0006VLAN之間的路由同一VLAN報文路徑不同VLAN間報文路徑Page13L3交換機介紹RouterL2SwitchVLAN10VLAN20三層交換機中的三層轉(zhuǎn)發(fā)引擎在各個VLAN之間轉(zhuǎn)發(fā)報文，而每個VLAN一般對應(yīng)一個網(wǎng)段，因此三層交換機的路由功能通常叫做VLAN間路由（Inter-VLANRouting）。在邏輯上三層交換和路由是等同的，三層交換的過程就是IP報文選路的過程。但在具體實現(xiàn)上，傳統(tǒng)路由器和傳統(tǒng)交換機是有區(qū)別的：傳統(tǒng)路由器通過微處理器上運行的軟件實現(xiàn)查找和轉(zhuǎn)發(fā)三層交換機通過硬件實現(xiàn)查找和轉(zhuǎn)發(fā)，但轉(zhuǎn)發(fā)路由表與路由器一樣，需要軟件通過路由協(xié)議來建立和維護L3SwitchVLAN10VLAN20VLANIF10VLANIF20Page14三層交換技術(shù)傳統(tǒng)三層技術(shù)對每個報文進行處理，并基于第三層地址轉(zhuǎn)發(fā)報文。這一方法稱為報文到報文。123123123123不在三層處理所有報文的的方法稱之為流交換。123123123123第一個報文后續(xù)報文Page15匹配算法最長匹配算法精確匹配算法網(wǎng)絡(luò)地址子網(wǎng)掩碼接口編號其他3...2...2...Intf1Intf2Intf3SIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx網(wǎng)絡(luò)地址路由接口端口號其他812...912...9933...Port1Port2Port3SIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxPage16RouterL3分類根據(jù)網(wǎng)絡(luò)應(yīng)用位置，一般分為骨干、高端、中端、接入系列路由器根據(jù)網(wǎng)絡(luò)應(yīng)用位置，一般分為高端、中端、接入系列L3應(yīng)用特點一般用于Internet或接入Internet或電信級數(shù)據(jù)網(wǎng)一般用于園區(qū)/企業(yè)組網(wǎng)性能骨干達到10Tbit轉(zhuǎn)發(fā)，接口最高40GE轉(zhuǎn)發(fā)，而且接近線速轉(zhuǎn)發(fā)骨干達到Tbit轉(zhuǎn)發(fā)，接口一般最高10GE轉(zhuǎn)發(fā)，一般不是線速轉(zhuǎn)發(fā)，一般不支持POS廣域口價格策略高昂高端應(yīng)用低廉，高端L3的端口可以是高端Router的1/3價格以下架構(gòu)芯片復(fù)雜，可處理百萬級路由硬轉(zhuǎn)發(fā)(查找)，可以支持百框以上的分布式查找，可靠性高，抗攻擊能力強。芯片一般復(fù)雜，僅支持萬級硬轉(zhuǎn)發(fā)(查找)，不能命中的路由需要上報查找，極端會導(dǎo)致Down機，可靠性不高，抗攻擊能力弱。業(yè)務(wù)為了支持靈活業(yè)務(wù)，芯片復(fù)雜業(yè)務(wù)較簡單，芯片簡單，但部分頂級L3可以接近替代路由器潛規(guī)則Cisco“壟斷”的高利潤市場，通過協(xié)議/業(yè)務(wù)/性能/可靠性等制造各種門檻數(shù)通小廠商的低價市場，正在不斷試圖打破Cisco的市場，蠶食中低端組網(wǎng)應(yīng)用。Router與L3的比較Page17正在規(guī)劃的RPU板DPU單板路由轉(zhuǎn)發(fā)二層交換（兼有交換和匯聚/分發(fā)功能）分發(fā)和內(nèi)外網(wǎng)隔離功能Router路由協(xié)議VRRPTrunkDPU核心網(wǎng)設(shè)備三層交換機Router三層交換機Router核心網(wǎng)設(shè)備單板三層交換機核心網(wǎng)設(shè)備VRRPContents交換機原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個常見問題解答VRRPPage19ARP－地址解析協(xié)議不知道的MAC地址？IP:/24MAC:00-E0-FC-00-00-11IP:/24MAC:00-E0-FC-00-00-12ARPRequestARPReply僅有IP為的主機回響應(yīng)業(yè)務(wù)報文Page20GratuitousARP－免費ARP源IP：源MAC：00-E0-FC-00-00-11目的IP：（同源IP）目的MAC：0G-ARPRequest?ARPReplyIP:/24MAC:00-E0-FC-00-00-11問題1、如果PC1沒有收到ARPReply意味著什么，如果收到了呢？2、網(wǎng)絡(luò)中其它主機收到免費ARP報文，需要怎么處理？PC1PC2Page21免費ARP報文應(yīng)用舉例L3-1L3-2SoftXIPBearerNetwork主鏈：IP1-1備鏈：IP1-1OSPF備注：CE/用戶邊緣設(shè)備；我司Soft產(chǎn)品的接口板IFM，為主備板保護，主備板配置相同的IP，不同的MAC。問： 如果軟交換發(fā)生單板倒換，Soft需要支持哪些功能，才能保證業(yè)務(wù)不受影響？Contents交換機原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個常見問題解答VRRPPage23物理端口與路由接口的區(qū)別RouterL3SwitchVLAN10問題路由器、L3的物理端口與路由接口分別是什么關(guān)系？A：一對一B：一對多C：多對一物理端口1物理端口2路由接口1路由接口21234VLAN20路由接口2：VLANIF20路由接口1：VLANIF10物理端口1物理端口4Page24LSW之間多條級聯(lián)鏈路為什么要做捆綁？疑問：LSW之間從可靠性，以及增加帶寬的角度考慮，往往都會連接2條或者多條FE/GE鏈路，為什么必須要做鏈路捆綁？1423L1L2Port12341234…出現(xiàn)環(huán)路！Link1Link2Page2510M半雙工、100M全雙工、自適應(yīng)／手工的含義10M、100M、1000M：表示Ethernet端口的發(fā)送／接收頻率半雙工／全雙工：

全雙工：交換機能夠同時發(fā)送、接收數(shù)據(jù)，兩者同步進行。全雙工的好處在于遲延小，速度快

半雙工：對于收和發(fā)，一個時間段內(nèi)只能有一個動作發(fā)生，不能同時進行收和發(fā)。

早期的對講機、集線器等設(shè)備都是半雙工。隨著技術(shù)的不斷進步，半雙工會逐漸退出歷史舞臺。

（提示：如果在通信過程的任意時刻，信息只能由一方A傳到另一方B，則稱為單工。）自適應(yīng)：指一條Ethernet鏈路的兩端設(shè)備，通過自協(xié)商而非手工配置的方式確定彼此的工作模式。

對電口一般只協(xié)商10/100/1000M速率，及全雙工/半雙工模式

對光口除了協(xié)商速率和工作模式外，還會有其他協(xié)商項，如流控，遠程錯誤指示等

自適應(yīng)的優(yōu)點是工作的同時還能夠檢測單通等鏈路故障，缺點是可能協(xié)商結(jié)果不是最佳工作模式鏈路兩端的設(shè)備的工作模式（速率/雙工）必須一致，否則無法正常工作。

我司Soft與Router/L3自協(xié)商結(jié)果OK，一般推薦采用自協(xié)商模式

我司UMG接口存在BUG，無法與Router/L3自協(xié)商出100M全雙工，需要手工指定100M全雙式模式Page26加強：交換機報文處理步驟報文處理AccessTrunkHybrid收報文1、收到一個報文2、判斷是否有VLAN信息，如果沒有則轉(zhuǎn)到第3步，否則直接丟棄3、打上端口的PVID，并進行交換轉(zhuǎn)發(fā)1、收到一個報文2、判斷是否有VLAN信息：如果沒有則打上端口的PVID3、判斷該端口是否允許該VLAN的數(shù)據(jù)進行轉(zhuǎn)發(fā)：如果可以則轉(zhuǎn)發(fā)，否則丟棄與Trunk相同發(fā)報文將報文的VLAN信息剝離，直接發(fā)送出去（在交換機內(nèi)部，轉(zhuǎn)發(fā)到該端口的VLAN報文，其VLANID必與該端口的PVID相同）1、比較端口的PVID和將要發(fā)送報文的VLAN信息2、如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步3、剝離VLAN信息，再發(fā)送4、直接發(fā)送1、判斷待轉(zhuǎn)發(fā)報文的VLANID在本端口的屬性（untag，tag）2、如果是untag則轉(zhuǎn)到第3步，如果是tag則轉(zhuǎn)到第4步3、剝離VLAN信息，再發(fā)送4、直接發(fā)送Contents交換機原理VRRP概念可靠性分析VRRP與思科HSRP有什么區(qū)別？VRRP不足及改進思路探討Page28為什么需要VRRP？InternetIP11

GW:XIP22

GW:IP33

GW:IP44

GW:R1:R2:VirtualIP:R1:VRRPPage29VRRP概述1VRRP部分名詞介紹虛擬路由器號（VRID）

范圍1～255，由用戶配置。有相同VRID的一組路由器構(gòu)成一個虛擬路由器。虛擬IP地址（VirtualIPAddress）

一個虛擬路由器除擁有自己的接口地址外，還與同一VRID內(nèi)的其它路由器共享一個虛擬IP地址，一般局域網(wǎng)內(nèi)各主機以虛擬IP地址作為它們的缺省網(wǎng)關(guān)。如果虛擬IP地址接口與接口地址相同，則IP地址擁有者(IPaddressowner)。虛擬MAC地址（VirtualMACAddress）

一個虛擬路由器擁有一個虛擬MAC地址：00-00-5E-00-01-{VRID}。當虛擬路由器回應(yīng)ARP請求時，回應(yīng)的是虛擬MAC地址，而不是接口的真實MAC地址。Virtualroutermaster（主用虛擬路由器） 一個VRID組內(nèi)只有優(yōu)先級最高的路由器才能成為主用虛擬路由器，只有主用路由器響應(yīng)目的地址為為虛擬IP／虛擬MAC的報文。IP地址擁有者則恒為主用路由器Virtualrouterbackup（備用虛擬路由器） 一個VRID組網(wǎng)除主用虛擬路由器之外的所有虛擬路由器都是備用虛擬路由器，可以有多臺，備用路由器不響應(yīng)目的地址為虛擬IP／虛擬MAC的報文，當主用路由器故障的時候，剩余路由器中優(yōu)先級最高的升為主用。Page30VRRP概述2VRRP部分名詞介紹優(yōu)先級

同一VRID下如果有多臺路由器，則優(yōu)先級（1－255,數(shù)值越大優(yōu)先級越高）最高的成為主路由器，若優(yōu)先級相同，則主IP地址大的就成為主路由器。通告周期

當主路由器正常工作時，它會每隔一段時間（Advertisement_Interval）發(fā)送一個VRRP組播報文，以通知組內(nèi)的備份路由器，主路由器處于正常工作狀態(tài)。當組內(nèi)的備份路由器長時間（Mater_Down_Interval）沒有接收到來自主路由器的報文，則將自己轉(zhuǎn)為主路由器。監(jiān)視接口狀態(tài)

主用路由器設(shè)定了監(jiān)視上行接口時，如果主用路由器的上行接口DOWN掉時，其優(yōu)先級下降，導(dǎo)致備份組內(nèi)其它路由器的優(yōu)先級高于這個路由器的優(yōu)先級，這時剩余路由器中優(yōu)先級最高的路由器成為主用路由器。搶占模式（Preempt_Mode）

一旦備份組中的某臺路由器成為主路由器，只要它沒有出現(xiàn)故障，其它路由器即使隨后被配置更高的優(yōu)先級，也不會成為主路由器，除非被設(shè)置為搶占方式。Page31常見VRRP組網(wǎng)G9BearerNetworkL2-1R1R2L2-2MSoftXVRRPUMGG9BearerNetworkR1R2UMGMSoftXGE-TrunkVRRP需要路由器支持二層交換功能主推方案G9BearerNetworkL3-1L3-2MSoftXVRRPUMG次選方案Contents交換機原理VRRP概念可靠性分析VRRP與思科HSRP有什么區(qū)別？VRRP不足及改進思路探討Page33主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP互聯(lián)TRUNK正常，VLANIF正常，VRRP不倒換MSX檢測到故障后主備倒換，發(fā)送免費ARP更新數(shù)通設(shè)備ARP表流量從Slave通過備用鏈路轉(zhuǎn)發(fā)給Master正常情況下流向Page34主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRPMaster監(jiān)控到上行故障，降低優(yōu)先級，VRRP倒換,且路由收斂VRRP倒換后發(fā)送ARP更新流量走二層或三層轉(zhuǎn)發(fā)（視VRRP倒換與路由收斂速度而定）MSX檢測不到故障(鏈路正常，網(wǎng)關(guān)可達)，不倒換Page35主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP3個周期檢測不到心跳包，發(fā)生倒換倒換后發(fā)送ARP更新MSX檢測到故障，主備倒換，發(fā)送免費ARP更新數(shù)通設(shè)備ARP表Page36主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP檢測不到心跳包，升為主用，出現(xiàn)雙主Master路由器得不到ARP響應(yīng)，把接收的流量丟棄！VRRP組網(wǎng)路由器之間的互聯(lián)鏈路非常重要！MSX備板不響應(yīng)Router的ARP請求路由器發(fā)起目的地址為MSXIP的ARP請求MSX檢測不到故障，不倒換Contents交換機原理VRRP概念可靠性分析VRRP與思科HSRP有什么區(qū)別？VRRP不足及改進思路探討Page38VRRP與思科HSRP有什么區(qū)別？HSRP是cisco私有的，只適用于cisco設(shè)備。VRRP符合internet標準（RFC2338），事實上VRRP協(xié)議就是在HSRP的基礎(chǔ)上制定出來的，但是對HSRP進行了簡化和增強。VRRP的狀態(tài)機比HSRP的要簡單,HSRP有6個狀態(tài)(初始(Initial)狀態(tài)，學(xué)習(xí)(Learn)狀態(tài)，監(jiān)聽(Listen)狀態(tài)，對話(Speak)狀態(tài)，備份(Standby)狀態(tài)，活動(Active)狀態(tài))和8個事件,

VRRP只有3個狀態(tài)(初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個事件.HSRP有三種報文，而且有三種狀態(tài)可以發(fā)送報文呼叫(Hello)報文告辭(Resign)報文突變(Coup)報文。VRRP只有一種廣播報文:由主路由器定時發(fā)出來通告它的存在，使用這些報文可以檢測虛擬路由器各種參數(shù)，還可以用于主路由器的選舉。HSRP將報文承載在UDP報文上，而VRRP承載在TCP報文上(HSRP使用UDP1985端口，向組播地址

發(fā)送hello消息。)VRRP支持將真實接口IP地址設(shè)置為虛擬IP地址，HSRP不支持VRRP的通告周期以秒為單位，最小1秒。崩潰間隔時間:3*通告周期+時滯時間(skew-time)。