第三章交換機-

1、第三章 交換機與VLAN內(nèi)容o 3.1路由器實驗回顧o 3.2交換機與vlano 3.3交換機實驗內(nèi)容3.1路由器實驗回顧o 路由器實驗中的問題：n PC機上的路由o 默認路由：o Ip route f0/0n Rip協(xié)議觀察o 組播地址n Ospf協(xié)議觀察o Debug ip ospf eventso Debug ip ospf floodn Encapsulation用法o Rip o Network o Network o wr 保存設置o .net n confreg = 0 x2102oRoutero O

2、SPFo 改變網(wǎng)絡狀態(tài)o Debug ip ospf flood3.2交換機與vlano Vlan的工作原理o 三層交換機 虛擬局域網(wǎng)虛擬局域網(wǎng)3.2.1 VLAN的含義o VLAN，即虛擬局域網(wǎng)（Virtual LAN），它也是一種局域網(wǎng)（LAN）。o網(wǎng)橋/交換機分割廣播域n通過將網(wǎng)絡分割成多個沖突域提供增強的網(wǎng)絡服務，然而網(wǎng)橋/交換機仍是一個廣播域，一個廣播數(shù)據(jù)包可被網(wǎng)橋/交換機轉發(fā)至全網(wǎng)。雖然OSI模型的第三層的路由器提供了廣播域分段，但交換機也提供了一種稱為VLAN的廣播域分段方法。o一個VLAN一個廣播域邏輯網(wǎng)段oVLAN的優(yōu)點： n安全性。一個VLAN里的廣播幀不會擴散到其他VLA

3、N中。 n網(wǎng)絡分段。將物理網(wǎng)段按需要劃分成幾個邏輯網(wǎng)段 n靈活性?？蓪⒔粨Q端口和連接用戶邏輯的分成利益團體，例如以同一部門的工作人員，項目小組等多種用戶組來分段。 oVLAN如何操作： n配置在交換機上的每一個VLAN都能執(zhí)行地址學習、轉發(fā)/過濾和消除回路機制，就像一個獨立的物理網(wǎng)橋一樣。VLAN可能包括幾個端口 n交換機通過將數(shù)據(jù)轉發(fā)到與發(fā)起端口同一VLAN的目的端口實現(xiàn)VLAN。 n通常一個端口只運載它所屬VLAN的通信量。VLAN的產(chǎn)生原因廣播風暴通過路由器將網(wǎng)絡分段與普通的局域網(wǎng)不同的是：o （1）VLAN中的工作站一般屬于不同的LAN或LAN網(wǎng)段。o （2）先有LAN，后有VLAN。

4、換句話說，VLAN是建立在LAN之上的。VLAN是通過將LAN中的工作站按一定的方法劃分到邏輯組中而形成的。VLAN的形成并沒有改變原有網(wǎng)絡的拓撲，在用戶看來，網(wǎng)絡的視圖是一致的。VLAN 主要解決以下2個方面的問題：o （1）保持網(wǎng)絡的廣播通信方式，將對路由器的依賴減少到最小程度。o （2）減少網(wǎng)絡移動和變化的成本。以太網(wǎng)交換機A4B1以太網(wǎng)交換機C3B3C1A2A1A3C2B2以太網(wǎng)交換機以太網(wǎng)交換機以太網(wǎng)交換機A4B1以太網(wǎng)交換機C3B3C1A2A1A3C2B2以太網(wǎng)交換機以太網(wǎng)交換機地理位置超越了邏輯結構地理位置超越了邏輯結構虛擬的網(wǎng)絡為什么需要VLANo 主要因為以下2個原因：（1）

5、 需求驅動。（2） 技術驅動。1 需求驅動o VLAN的引入首先是由于用戶需求的驅動。o 需要有一種辦法，在盡量不改動網(wǎng)絡固有配置的前提下，通過靈活的、標準的、基于軟件的做法將具有相同需求的用戶放到一起，使之就象在一個LAN中那樣工作。通過VLAN劃分廣播域市場部工程部財務部2 技術驅動o 但是怎樣使網(wǎng)絡延伸擴展呢？這就需要技術支持，需要更高級的技術，它不但能夠在物理上使網(wǎng)絡延伸，還能使對網(wǎng)絡實施更靈活強大的控制功能成為可能。使VLAN成為可能的技術包括： （1）LAN交換技術 （2）生成樹算法（IEEE802.1D） （3）過濾服務（IEEE802.1p） （4）幀標簽技術（IEEE802.

6、1Q） （5）LAN安全標準（IEEE802.1O）3.2.3 VLAN的種類o 從簡到繁依次是： （1）基于端口的VLAN (Port-Based) （2）基于協(xié)議的VLAN (Protocol-Based) （3）基于MAC層分組的VLAN (MAC-Layer Grouping) （4）基于網(wǎng)絡層分組的VLAN (Network-Layer Grouping) （5）基于IP組播分組的VLAN (IP Multicast Grouping) （6）組合的VLAN （7）基于策略的VLAN (Policy-Based)1 基于端口分組的VLANo按端口分組是早期定義VLAN成員關系的方法。

7、在這種定義方法中，某個交換機上的端口（例如端口1、3、5）構成VLANA，而該交換機上的其他端口構成VLANB。早期基于端口的VLAN成員只能位于一個交換機中。第二代基于端口的VLAN支持多個交換機，例如交換機X上的端口1和端口2與交換機Y上的端口3和端口4構成一個VLAN。 基于端口VLAN的示意圖圖3-1 基于端口分組的VLAN VLAN3VLAN2VLAN1基于端口的VLANVLAN成員之間信息通信o 第2層VLAN成員間的通信我們知道第2層LAN成員之間的通信是根據(jù)幀中MAC地址尋址的，第2層VLAN成員之間的通信還要使用新增加的VLAN標簽中的VLAN標識符（VLAN ID）進行尋址

8、。VLAN標簽的標準是IEEE802.1Q，我們在3.2.6節(jié)介紹。第2層VLAN尋址包括2個步驟：o （1）先根據(jù)VLAN ID找到目的VLAN。（2）再根據(jù)MAC地址找到目的主機。舉例o （1）假設aaa向ddd發(fā)送數(shù)據(jù)。aaa的數(shù)據(jù)幀F(xiàn)aaa通過端口1被交換機S1接收，S1發(fā)現(xiàn)Faaa的目的地址是ddd，S1通過查閱VLAN成員關系數(shù)據(jù)庫（如表3-2所示）得知ddd屬于VLAN B，并且ddd位于S2。（2）于是S1給Faaa加上VLAN A的標識符（Faaa記為Faaa）。Faaa經(jīng)S1與S2之間的鏈路發(fā)送到S2。S2接收到Faaa后，通過檢查VLAN ID知道此幀來自VLAN A，目

9、的地址是ddd。S2查表5-2（S2中也有該表）判斷ddd所屬的VALN，發(fā)現(xiàn)ddd屬于VALN B。（3）如果S2允許VALN A到VLAN B的轉發(fā)（符合過濾規(guī)則，由802.1p標準化），則查表3-3確定ddd所在的端口（4），然后將Faaa去掉標簽，通過端口4交給ddd。o 如圖3-6所示表3-2 VLAN成員關系MAC地址VALN IDAaaABbbBCccADddB表3-3 S2的交換表 MAC地址端口IDccc3ddd4圖3-6第2層VLAN成員通信VLAN BVLAN Aaaabbbcccddd交換機S234交換機S112幀標簽幀幀3.2.5 VLAN標準o （1）IEEE：其制

10、定的標準是IEEE802.1O和802.1Q。o （2）ATM論壇：其制定的標準是LANE標準。o （3）IETF：其工作是在IEEE802.1D和802.1p基礎上增強過濾控制功能。o 除了上述標準外，VLAN還涉及以下標準：n（1）管理標準：包括簡單網(wǎng)絡管理協(xié)義SNMP和遠程監(jiān)控RMON。該類協(xié)議解決交換式網(wǎng)絡、ATM網(wǎng)絡中通信量管理等問題。n（2）安全標準：包括ISAKMP協(xié)議、Oakley KDP協(xié)議、RADIUS協(xié)議。安全標準解決數(shù)據(jù)完整性、審計、事件監(jiān)控、報警、計帳等問題。1 IEEE802.1Do IEEE802.1D標準通常被稱為生成樹（spanning tree）標準。生成樹

11、算法用于消除網(wǎng)絡拓撲中的環(huán)路（Loop）。當網(wǎng)絡中主機之間存在替代路由時，環(huán)路就會出現(xiàn)。環(huán)路會導致通信量增加，使網(wǎng)絡性能下降。為了深入理解IEEE802.1D，必須了解生成樹算法。下面我們介紹生成樹算法。生成樹算法o 生成樹算法使用5個參數(shù)值來驅動生成樹拓撲。它們是： （1）組播地址：指明擴展網(wǎng)絡中的所有網(wǎng)橋。該參數(shù)值與LAN類型有關，由軟件自動確定。 （2）擴展網(wǎng)絡中每個網(wǎng)絡的唯一的標識符。 （3）橋/LAN接口端口的唯一標識符。 （4）端口優(yōu)先級。 （5）端口的成本。 其中后4個參數(shù)值由人工分配。3 IEEE802.1Qo 1996年3月，IEEE802.1網(wǎng)絡互聯(lián)分會完成了制定VLAN標

12、準的初始階段的調(diào)查工作，并通過了標準方案，該方案包括了3個方面的內(nèi)容：n （1）VLAN的結構化方法。n （2）在多個VLAN和多供應商設備環(huán)境中支持VLAN成員關系信息通信的幀標簽的標準格式。n （3）VLAN標準化的未來方向VLAN的幀格式TPID=0 x8100Access Link和Trunk Link端口對接收報文的處理收報文：Acess端口： 1、收到一個報文 2、判斷是否有VLAN信息：如果沒有則轉到第3步，否則轉到第4步 3、打上端口的PVID，并進行交換轉發(fā) 4、直接丟棄（缺?。﹖runk端口： 1、收到一個報文 2、判斷是否有VLAN信息：如果沒有則轉到第3步，否則轉到第4

13、步 3、打上端口的PVID，并進行交換轉發(fā) 4、判斷該trunk端口是否允許該VLAN的數(shù)據(jù)進入：如果可以則轉發(fā)，否則丟棄hybrid端口： 1、收到一個報文 2、判斷是否有VLAN信息：如果沒有則轉到第3步，否則轉到第4步 3、打上端口的PVID，并進行交換轉發(fā) 4、判斷該hybrid端口是否允許該VLAN的數(shù)據(jù)進入：如果可以則轉發(fā)，否則丟棄端口對發(fā)送報文的處理發(fā)報文：Acess端口： 1、將報文的VLAN信息剝離，直接發(fā)送出去trunk端口： 1、比較端口的PVID和將要發(fā)送報文的VLAN信息 2、如果兩者相等則轉到第3步，否則轉到第4步 3、剝離VLAN信息，再發(fā)送 4、直接發(fā)送hybr

14、id端口：1、判斷該VLAN在本端口的屬性（disp interface 即可看到該端口對哪些VLAN是untag， 哪些VLAN是tag） 2、如果是untag則轉到第3步，如果是tag則轉到第4步 3、剝離VLAN信息，再發(fā)送 4、直接發(fā)送幀在網(wǎng)絡通信中的變化Trunk link和VLAN45VLAN間路由nVLAN間路由產(chǎn)生的問題o隔離的廣播域o查找路由o承載多個VLAN的流量n分布層拓撲結構n配置VLAN間路由二層交換網(wǎng)絡廣播網(wǎng)絡o 傳統(tǒng)的二層交換網(wǎng)絡，整個網(wǎng)絡就是一個廣播域，當網(wǎng)絡規(guī)模增大的時候，網(wǎng)絡廣播嚴重，效率下降，不利于管理。二層交換廣播域二層交換廣播域問題：隔離的廣播域VLA

15、N10VLAN20VLAN30因為因為VLAN是設計用來控制廣播域大小并將本地數(shù)據(jù)流保持在是設計用來控制廣播域大小并將本地數(shù)據(jù)流保持在本地，所以本地，所以VLAN之間通訊是受限制的之間通訊是受限制的解決方案：在VLAN之間使用路由器VLAN10VLAN20VLAN30VLAN之間的通訊需要路由器的處理之間的通訊需要路由器的處理問題：查找路由VLAN10Network VLAN20Network 我需要把這個包發(fā)送到我需要把這個包發(fā)送到主機上，

16、該主機主機上，該主機并非本地網(wǎng)端并非本地網(wǎng)端VLAN之間通訊就引出了終端設備如何能夠通過多個局域之間通訊就引出了終端設備如何能夠通過多個局域網(wǎng)段或其他設備進行通訊的問題網(wǎng)段或其他設備進行通訊的問題解決方案：指定缺省網(wǎng)關VLAN10NetworkVLAN20Network 我知道我知道網(wǎng)絡的位置網(wǎng)絡的位置我要發(fā)送我要發(fā)送一個包到一個包到我的默認路由器我的默認路由器.終端用戶將目標網(wǎng)絡為非本地的數(shù)據(jù)包發(fā)送到自己的缺省終端用戶將目標網(wǎng)絡為非本地的數(shù)據(jù)包發(fā)送到自己的缺省網(wǎng)關網(wǎng)關VLAN20VL

17、AN10問題：支持多VLAN數(shù)據(jù)流VLAN30我接到三個我接到三個通向同一地址通向同一地址的流量，我需要的流量，我需要三條物理連接三條物理連接!? ? File Server A27我需要文件服務器我需要文件服務器Server A的信息的信息我需要文件服務器我需要文件服務器Server A的信息的信息我需要文件服務器我需要文件服務器Server A的信息的信息多個多個VLAN共用一臺外部路由器，就需要到交換機有多條物理共用一臺外部路由器，就需要到交換機有多條物理連接連接? ? VLAN60VLAN10VLAN30VLAN20解決方案：多鏈路交換機可以支持為每個交換機可以支持

18、為每個VLAN提供一個單獨的接口提供一個單獨的接口解決方案：一條鏈路傳送多個VLAN的數(shù)據(jù)流Eth 3/1.1 3/1.2 3/1.3路由器支持為多個路由器支持為多個VLAN提供一條提供一條ISL鏈路鏈路VLAN10VLAN30VLAN20Eth 3/0.1 3/0.2 3/0.3VLAN60二層交換機工作原理o工作方式n交換機根據(jù)收到數(shù)據(jù)幀中的源MAC地址建立該地址同交換機端口的映射，并將其寫入MAC地址表中。 n交換機將數(shù)據(jù)幀中的目的MAC地址同已建立的MAC地址表進行比較，以決定由哪個端口進行轉發(fā)。 n如數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉發(fā)。這一過程稱之為泛洪（f

19、lood）。 n廣播幀和組播幀向所有的端口轉發(fā)。 o交換機的三個主要功能： n學習：以太網(wǎng)交換機了解每一端口相連設備的MAC地址，并將地址同相應的端口映射起來存放在交換機緩存中的MAC地址表中。 n轉發(fā)/過濾：當一個數(shù)據(jù)幀的目的地址在MAC地址表中有映射時，它被轉發(fā)到連接目的節(jié)點的端口而不是所有端口（如該數(shù)據(jù)幀為廣播/組播幀則轉發(fā)至所有端口）。 n消除回路：當交換機包括一個冗余回路時，以太網(wǎng)交換機通過生成樹協(xié)議避免回路的產(chǎn)生，同時允許存在后備路徑。 三層交換機功能模型三層交換機的路由和二層交換o 二層交換引擎：實現(xiàn)同一網(wǎng)段內(nèi)的快速二層轉發(fā)o 三層路由引擎：實現(xiàn)跨網(wǎng)段的三層路由轉發(fā)傳統(tǒng)的三層路由技術o 傳統(tǒng)三層路由技術對每個報文進行處理，并基于第三層地址信息轉發(fā)報文。這一方法稱為逐包轉發(fā)?；诹鞯娜龑咏粨Q技術o 根據(jù)數(shù)據(jù)流的首報文轉發(fā)建立新的快速轉發(fā)路徑，同一數(shù)據(jù)流的后續(xù)報文按照此轉發(fā)路徑進行轉發(fā)的方法稱之為流交換（FS）。最長匹配的三層交換技術o 傳統(tǒng)的三層路由技術通過軟件查找路由表進行逐包轉發(fā)