以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)膠片v1.0

1、以太網(wǎng)交換機(jī)基礎(chǔ)程永椿程永椿 00742李李 博博 004042005/03/13LAN Switch Fundamental引入：網(wǎng)絡(luò)帝國路由器（男主角）網(wǎng)絡(luò)中的核心設(shè)備，提供豐富的接口連接、軟件特性，也是構(gòu)建網(wǎng)絡(luò)的核心力量。以太網(wǎng)交換機(jī)（女主角）以太網(wǎng)交換機(jī)（女主角）提供各種以太網(wǎng)接口類型的線速轉(zhuǎn)發(fā)功能，是構(gòu)建局域網(wǎng)和城域網(wǎng)的核心力量。路由交換設(shè)備（反串）提供LAN交換板的路由器；提供增強(qiáng)型引擎的交換機(jī) 路由器和交換機(jī)的融合趨勢越來越明顯。其他設(shè)備（配角）網(wǎng)管、安全、語音、視訊設(shè)備，提供網(wǎng)絡(luò)的管理或業(yè)務(wù)增值功能。鏈路層或物理層交換設(shè)備（劇務(wù)）ATM交換機(jī)、FR、X.25交換機(jī)、DDN節(jié)點(diǎn)機(jī)

2、、傳輸設(shè)備。對各種物理端口進(jìn)行帶寬或時隙的拆分。培訓(xùn)目標(biāo) 了解以太網(wǎng)工作的基本機(jī)制 掌握二層交換機(jī)轉(zhuǎn)發(fā)機(jī)制和流程（重要?。?掌握三層交換機(jī)轉(zhuǎn)發(fā)機(jī)制和流程（重要?。?掌握三層交換機(jī)和路由器的區(qū)別 了解交換機(jī)的常用協(xié)議和技術(shù)（可選） 了解當(dāng)前交換機(jī)主要廠商和產(chǎn)品（可選）培訓(xùn)大綱 以太網(wǎng)基本概念以太網(wǎng)基本概念 二層交換機(jī)基本原理 三層交換機(jī)基本原理 交換機(jī)相關(guān)協(xié)議和技術(shù)（可選） 交換機(jī)廠商和相關(guān)產(chǎn)品（可選）以太網(wǎng)發(fā)展簡史IEEE802.3 以太網(wǎng)標(biāo)準(zhǔn)IEEE802.3u 100BASE-T快速以太網(wǎng)標(biāo)準(zhǔn)IEEE802.3z/ab 1000Mb/s千兆以太網(wǎng)標(biāo)準(zhǔn)IEEE802.3ae 10GE以太網(wǎng)標(biāo)

3、準(zhǔn)70年代80年代90年代以太網(wǎng)產(chǎn)生10M以太網(wǎng)發(fā)展成熟共享式轉(zhuǎn)向LAN交換機(jī)100M快速以太網(wǎng)92年96年千兆以太網(wǎng)迅速發(fā)展萬兆以太網(wǎng)出現(xiàn)2002年以太網(wǎng)工作機(jī)制 CSMA/CD：載波偵聽與沖突檢測-Carrier Sense Multiple Access/Collision Detection CS: 載波偵聽 發(fā)送之前的偵聽，確保線路空閑，減少沖突機(jī)會 MA: 多址訪問 每個站點(diǎn)發(fā)送的數(shù)據(jù)，可以被多個站點(diǎn)接收 CD: 沖突檢測： 邊發(fā)送邊檢測，發(fā)現(xiàn)沖突后進(jìn)行回退 回退： 檢測到?jīng)_突后的處理：發(fā)現(xiàn)沖突就停止發(fā)送，然后延遲一個隨機(jī)時間之后繼續(xù)發(fā)送以太網(wǎng)幀格式Ethernet II DA ：

4、目的MAC地址 SA ：源MAC地址 Type ：幀類型（ARP，IP，RARP） Frame Load：有效載荷 FCS ：幀檢測序列MAC地址Media Access Control，網(wǎng)絡(luò)設(shè)備根據(jù)目的MAC來判斷是否處理接收到以太網(wǎng)幀MAC地址是48 bit二進(jìn)制的地址，前24位為供應(yīng)商代碼，后24為序列號 單播地址：第一字節(jié)最低位為0，如00-e0-fc-00-00-06多播地址：第一字節(jié)最低位為1，如 01-e0-fc-00-00-06廣播地址：48位全1 ff-ff-ff-ff-ff-ff沖突域和廣播域 物理網(wǎng)段（沖突域）：連接在同一導(dǎo)線上所有工作站的集合 邏輯網(wǎng)段（廣播域）：限制以

5、太網(wǎng)廣播報文的范圍。一般來說，邏輯網(wǎng)段定義了第三層網(wǎng)絡(luò)，如IP子網(wǎng)等。 以太網(wǎng)典型設(shè)備-Hub工作原理應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層物理層物理層H ub物理層Hub的缺陷HUB對所連接的LAN只做信號的中繼，所有的物理設(shè)備構(gòu)成了一個沖突域和廣播域在主機(jī)數(shù)目較多的情況下： 沖突嚴(yán)重 廣播泛濫全雙工以太網(wǎng) 數(shù)據(jù)通過兩種獨(dú)立的路徑傳輸和接收。 只存在兩個節(jié)點(diǎn)，可以在同一時間對信息進(jìn)行雙向傳輸，而不會發(fā)生沖突。本章小結(jié) 以太網(wǎng)工作機(jī)制 CSMA/CD 以太網(wǎng)Ethernet II幀格式和MAC地址 概念：廣播域和沖突域 典型設(shè)備HUB工作原理和缺陷 全雙

6、工以太網(wǎng)培訓(xùn)大綱 以太網(wǎng)基本概念 二層交換機(jī)基本原理二層交換機(jī)基本原理 三層交換機(jī)基本原理 交換機(jī)相關(guān)協(xié)議和技術(shù)（可選） 交換機(jī)廠商和相關(guān)產(chǎn)品（可選）二層交換機(jī)基本交換過程 通過識別MAC進(jìn)行SwitchABCD二層交換機(jī)工作模型應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層物理層物理層Sw i tch鏈路層鏈路層二層交換引擎 ASIC-Application Specific Integrated Circuit L2FDBLayer 2 forwarding databaseport1port2port3port4port5port6MACMACMAC

7、MACMACMAC二層交換引擎L2FDBSwitchASIC二層交換機(jī)轉(zhuǎn)發(fā)處理流程M AC地址所在端口M AC A1M AC B1M AC C2M AC D2MACDMACA.端口2MACDMACA.端口1查MAC轉(zhuǎn)發(fā)表(即L2FDB)處理轉(zhuǎn)發(fā)對于表中不包含的地址，通過廣播的方式轉(zhuǎn)發(fā)使用地址自動學(xué)習(xí)(根據(jù)以太網(wǎng)幀的源MAC)和老化機(jī)制進(jìn)行地址表維護(hù)一般不對幀格式進(jìn)行修改二層交換機(jī)的局限性 二層交換機(jī)將網(wǎng)段上的沖突域限制到了端口級、但是無法限制廣播域的大小。扁平二層網(wǎng)絡(luò) 問題 廣播泛濫，網(wǎng)絡(luò)性能差 網(wǎng)絡(luò)安全性差 解決方法 在二層交換機(jī)上引入VLAN功能VLAN的基本作用 Virtual Loca

8、l Area Network 相同VLAN內(nèi)主機(jī)可以任意通信 二層交換 不同VLAN內(nèi)主機(jī)二層流量完全隔離 阻斷廣播包，減小廣播域 提供了網(wǎng)絡(luò)安全性 相同VLAN跨設(shè)備通信 實(shí)現(xiàn)虛擬工作組 減少用戶移動帶來的管理工作量VLAN的劃分方法 基于端口劃分 基于MAC地址劃分 基于網(wǎng)絡(luò)層(協(xié)議、IP地址、IP子網(wǎng))劃分 基于IP組播劃分 基于組合策略劃分基于端口VLAN的劃分 建議VLAN和IP子網(wǎng)間是一對一的關(guān)系，便于管理VLAN和端口對應(yīng)表虛虛擬網(wǎng)V V L LA A N N I ID DP P1 1P P2 2P P3 3P P4 4P P5 5P P6 6P P7 7P P8 8P P9 9

9、工程部1市場部2銷售部3VLAN標(biāo)準(zhǔn)（12比特徹底改變了以太網(wǎng)?。?VLAN的標(biāo)準(zhǔn)： 802.10，Cisco在1995年提出 802.1Q，IEEE于1996 制定DestSrcDataLen/EtypeFCS662224.DestSrcFCSDataLen/EtypeVLAN實(shí)現(xiàn)虛擬工作組Access和Trunk鏈路 Access鏈路 連接Access鏈路的交換機(jī)端口稱為Access端口 幀在Access鏈路上轉(zhuǎn)發(fā)不帶VLAN Tag 交換機(jī)Access端口接收到以太網(wǎng)幀后，按照端口所在VLAN加上VLAN Tag，然后進(jìn)行轉(zhuǎn)發(fā) 幀從Access端口發(fā)送出去，幀中的VLAN Tag會被去掉

10、 Trunk鏈路 連接Trunk鏈路的交換機(jī)端口稱為Trunk端口 幀在Trunk鏈路上轉(zhuǎn)發(fā)帶VLAN Tag，因此允許多個VLAN的幀在Trunk鏈路上轉(zhuǎn)發(fā) 交換機(jī)Trunk端口接收到以太網(wǎng)幀后，需要判斷該Trunk端口是否允許幀中VLAN ID對應(yīng)的VLAN通過。若允許，則進(jìn)行轉(zhuǎn)發(fā)；否則要直接丟棄該幀 幀從Trunk端口發(fā)送出去，VLAN Tag一般不會被去掉支持VLAN的二層交換引擎MACMACMACMACMACMAC 二層交換引擎L2FDBL2FDBL2FDB 支持VLAN二層交換機(jī)地址學(xué)習(xí)方式IVL： Independent VLAN Learning；SVL： Shared VLA

11、N Learning；MAC1 VLAN1 PORT1MAC2 VLAN1 PORT2MAC2 VLAN2 PORT3MAC3 VLAN3 PORT3MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVL支持VLAN二層交換機(jī)轉(zhuǎn)發(fā)流程-IVL根據(jù)幀內(nèi)Tag Header的VLAN ID查找L2FDB表，確定查找的范圍；根據(jù)目的MAC查找出端口，圖中應(yīng)該從端口2轉(zhuǎn)發(fā)出去；如果在L2FDB表中查找不到該目的MAC，則該報文將通過廣播的方式在該VLAN內(nèi)所有端口轉(zhuǎn)發(fā)；同時該以太網(wǎng)幀的源MAC將被學(xué)習(xí)到接收到報文的端口上，即端口1（VLAN 2）；

12、L2FDB表中的MAC地址通過老化機(jī)制更新；在轉(zhuǎn)發(fā)的過程中，不會對幀的內(nèi)容進(jìn)行修改 VLAN I DMAC地址所在端口2M ACA13M ACB13M ACC22M ACD2端口1MACDMACA.VLAN 2端端口口2 2MACDMACA.VLAN 2支持VLAN二層交換機(jī)轉(zhuǎn)發(fā)流程-SVL根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表(即L2FDB)，查找相應(yīng)的出端口。根據(jù)現(xiàn)有L2FDB表，報文應(yīng)該從端口2發(fā)送出去；判斷出端口的VLAN ID和報文Tag Header內(nèi)的VLAN ID是否匹配，匹配則轉(zhuǎn)發(fā)，不匹配則丟棄；如果在L2FDB表中查找不到該目的MAC，則判斷出端口的VLAN ID和報文Tag H

13、eader內(nèi)的VLAN ID是否匹配，不匹配直接丟棄；匹配則在該VLAN內(nèi)廣播；L2FDB表中MAC地址通過老化機(jī)制來更新；在轉(zhuǎn)發(fā)的過程中，不會對幀的內(nèi)容進(jìn)行修改端口1MACDMACA.VLAN 2端端口口2 2MACDMACA.VLAN 2M AC地址所在端口M AC A1M AC B1M AC C2M AC D2支持VLAN交換機(jī)的廣播域和沖突域本章小結(jié) 交換機(jī)的基本轉(zhuǎn)發(fā)原理 根據(jù)MAC進(jìn)行轉(zhuǎn)發(fā) VLAN產(chǎn)生的背景 傳統(tǒng)交換機(jī)不能限制廣播域 安全性差 VLAN的基本概念 標(biāo)簽的定義，VLAN的范圍 VLAN的劃分方法 Access鏈路和Trunk鏈路 支持VLAN的交換機(jī)的轉(zhuǎn)發(fā)流程（可選，

14、了解即可） 地址學(xué)習(xí)方式為SVL的轉(zhuǎn)發(fā)流程 地址學(xué)習(xí)方式為IVL的轉(zhuǎn)發(fā)流程培訓(xùn)大綱 以太網(wǎng)基本概念 二層交換機(jī)基本原理 三層交換機(jī)基本原理三層交換機(jī)基本原理 交換機(jī)相關(guān)協(xié)議和技術(shù)（可選） 交換機(jī)廠商和相關(guān)產(chǎn)品（可選）80/20規(guī)則通常，我們按照組織內(nèi)的工作單位將網(wǎng)絡(luò)主機(jī)劃分到一個個的邏輯網(wǎng)絡(luò)內(nèi)，從而將這些主機(jī)的大部分流量限制在一個比較小的范圍內(nèi)，以減少對其他主機(jī)的影響，并降低網(wǎng)絡(luò)主干的負(fù)載。在這樣的劃分下，傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)流量模式遵循80/20規(guī)則（傳統(tǒng)園區(qū)網(wǎng)絡(luò)流量模式）20/80規(guī)則 新興園區(qū)網(wǎng)流量模式:流量模式演變帶來的影響 傳統(tǒng)的路由器在新興20/80流量規(guī)則面前顯的無能為力： 解決辦法

15、：使用三層交換機(jī)來替代路由器三層交換技術(shù)和L3的提出二層交換技術(shù)極大的提升了以太網(wǎng)的性能，但仍然不能完全滿足局域網(wǎng)的需要；為了將廣播和本地流量限制在一定的范圍內(nèi)，交換式以太網(wǎng)采取劃分邏輯子網(wǎng)（VLAN）的方式；VLAN間的互通傳統(tǒng)上需要由路由器來完成，但路由器配置復(fù)雜，造價昂貴，而且轉(zhuǎn)發(fā)速度容易成為網(wǎng)絡(luò)的瓶頸；新20/80規(guī)則的興起，80%的流量需要跨越VLAN，路由器不堪重負(fù)VLAN1VLAN2VLAN3傳 統(tǒng) 路 由 器 整 機(jī) 64字節(jié) 包 轉(zhuǎn) 發(fā) 能 力 通 常 100,100ppsLANSwitch單 個 100M端 口 64字 節(jié) 包 轉(zhuǎn) 發(fā) 能力 148,810pps三層交換機(jī)基

16、本特征 三層交換機(jī)與傳統(tǒng)路由器具有相同的功能： 根據(jù)IP地址進(jìn)行選路 進(jìn)行三層的校驗(yàn)和 使用生存時間（TTL） 對路由表進(jìn)行更新和維護(hù) 二者最大的區(qū)別 三層交換采用ASIC硬件進(jìn)行包轉(zhuǎn)發(fā) 而傳統(tǒng)路由器采用CPU進(jìn)行包轉(zhuǎn)發(fā) 相比于傳統(tǒng)路由器三層交換具有以下優(yōu)點(diǎn)： 基于硬件的包轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)效率高 低時延 低花費(fèi) 三層交換機(jī)實(shí)質(zhì)就是一種特殊的路由器，有很強(qiáng)交換能力而價格低廉的路由器。三層交換機(jī)功能模型ETH0:54/24ETH1:54/24ETH2:54/2413/24G:54/24

17、/24G:54/241/24G:54/242/24G:54/24VLAN SwitchLayer3 Switch三層交換引擎MACMACMACMACMACMAC 二層交換引擎L2FDBL2FDBL2FDB L3FDB三層交換引擎IP網(wǎng)絡(luò)規(guī)則主機(jī)IP/掩碼/目的主機(jī)IP確定目的主機(jī)是否在本地網(wǎng)絡(luò)內(nèi)ARP請求目的主機(jī)MACARP查找設(shè)定網(wǎng)關(guān)MAC網(wǎng)關(guān)MAC填入以太網(wǎng)幀三層交換完成通信目的MAC填入以太網(wǎng)幀二層交換完成通信在本地網(wǎng)絡(luò)內(nèi)不在本地網(wǎng)絡(luò)內(nèi)三層交換機(jī)選擇二層或三層交換目的MAC是否為三層接口M

18、AC三層交換VLAN間轉(zhuǎn)發(fā)是否檢查VLAN屬性以太網(wǎng)幀輸入二層交換VLAN內(nèi)轉(zhuǎn)發(fā)三層交換過程V1:/24MAC:0-0-1V2:/24MAC:0-0-2A :0/24MAC:0-0-AB :1/24MAC:0-0-BC :0/24MAC:0-0-CArp請求ARP應(yīng)答Arp請求ARP應(yīng)答0-0-10-0-A000-0-C0-0-00路由器選路-最長匹配根據(jù)報文的目的地址，與路由項(xiàng)進(jìn)行匹配操作；匹配

19、的動作是用報文目的地址與路由項(xiàng)的子網(wǎng)掩碼進(jìn)行“與”；如圖 目的IP8和各表項(xiàng)子網(wǎng)掩碼“與”的結(jié)果如下8 & 8 & 8 & 如果“與”的結(jié)果和路由項(xiàng)中網(wǎng)絡(luò)地址相同，則認(rèn)為路由匹配所有匹配項(xiàng)中子網(wǎng)掩碼位數(shù)最長的為最佳匹配項(xiàng)，報文據(jù)此進(jìn)行轉(zhuǎn)發(fā)（從該表項(xiàng)對應(yīng)接口發(fā)送）如果找不到匹配項(xiàng)，則根據(jù)缺省路由/0進(jìn)行轉(zhuǎn)發(fā)如果沒有缺省路由則報文被丟棄 路由表和F

20、IB表網(wǎng)絡(luò)地址子網(wǎng)掩碼接口編號其他.0.02.Intf 1Intf 2Intf 3SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.交換機(jī)選路 交換機(jī)的報文選路轉(zhuǎn)發(fā)通過ASIC硬件進(jìn)行，效率大大超過路由器； 交換機(jī)除了支持最長匹

21、配轉(zhuǎn)發(fā)外（和路由器相同），還支持精確匹配轉(zhuǎn)發(fā) L3FDB表是三層交換機(jī)轉(zhuǎn)發(fā)的基礎(chǔ) 三層交換機(jī)轉(zhuǎn)發(fā)-精確匹配（流轉(zhuǎn)發(fā)）支持精確匹配轉(zhuǎn)發(fā)的L3FDB是類似于二層交換機(jī)MAC地址表的Cache；交換機(jī)根據(jù)報文的目的IP在L3FDB表中進(jìn)行查找；對于能夠在此“Cache”命中的報文，則直接根據(jù)表項(xiàng)的端口信息進(jìn)行轉(zhuǎn)發(fā)；不能在“Cache”命中的報文將被送到CPU進(jìn)行軟件路由，路由的原理和路由器完全相同的最長地址匹配；軟件路由后將把該目的IP添加到L3FDB表中；如果表項(xiàng)長期不被刷新則會被老化掉；因此，通過多次地址學(xué)習(xí)就可以把表項(xiàng)逐一加進(jìn)來，這樣后續(xù)的流量就可以直接Cache命中，不需要軟件路由。這就是三

22、層交換機(jī)所謂的“一次路由，多次交換”。 網(wǎng)絡(luò)地址路由接口端口號其他8.99.19933.Port 1Port 2Port 3SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.三層交換機(jī)轉(zhuǎn)發(fā)-最長匹配（逐包轉(zhuǎn)發(fā)）最長匹配轉(zhuǎn)發(fā)也依賴于L3FDB；L3FDB轉(zhuǎn)發(fā)項(xiàng)通過FIB表項(xiàng)下發(fā)建立起來；對于能夠

23、在此“Cache”命中的報文，則直接進(jìn)行轉(zhuǎn)發(fā)?！盋ache”方式采用最長匹配算法；不能在“Cache”命中的報文將被轉(zhuǎn)發(fā)到CPU進(jìn)行軟件路由，路由的原理和路由器完全相同的最長地址匹配。 網(wǎng)絡(luò)地址子網(wǎng)掩碼VLAN接口其他.0.02.VLAN Intf1VLAN Intf2VLAN Intf3SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:13D

24、IP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.逐包轉(zhuǎn)發(fā)引擎保護(hù)設(shè)備本身網(wǎng)絡(luò)地址子網(wǎng)掩碼接口編號其他.0.02.Intf 1Intf 2Intf 3SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx

25、-xx-xx-xx-xx-xx網(wǎng)絡(luò)地址路由接口端口號其他8.99.19933.Port 1Port 2Port 3SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:13DIP:8.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.流轉(zhuǎn)發(fā)模式無法適應(yīng)網(wǎng)絡(luò)的動蕩，更嚴(yán)重的是在流轉(zhuǎn)發(fā)模式無法適應(yīng)網(wǎng)絡(luò)的動蕩，更嚴(yán)重的是在“沖擊波沖擊波”等網(wǎng)絡(luò)蠕蟲病等網(wǎng)絡(luò)蠕蟲病毒發(fā)作

26、時可能會使全網(wǎng)陷于癱瘓！毒發(fā)作時可能會使全網(wǎng)陷于癱瘓！逐包轉(zhuǎn)發(fā)模式即使在加載大量路由、網(wǎng)絡(luò)路由頻繁波動、網(wǎng)絡(luò)蠕蟲極其嚴(yán)逐包轉(zhuǎn)發(fā)模式即使在加載大量路由、網(wǎng)絡(luò)路由頻繁波動、網(wǎng)絡(luò)蠕蟲極其嚴(yán)重的情況下，仍然保證重的情況下，仍然保證IPIP報文的線速轉(zhuǎn)發(fā)，因而可以保障正常業(yè)務(wù)的運(yùn)行。報文的線速轉(zhuǎn)發(fā)，因而可以保障正常業(yè)務(wù)的運(yùn)行。物理接口與三層接口Eth1: /24Eth0: /24Eth0/1Eth0/2Eth0/3Eth0/4VLAN2:/24VLAN1:/24路由器和三層交換機(jī)比較實(shí)際上三層交換機(jī)和路由器并沒有絕對的區(qū)別，往高端上其技術(shù)是融合的。

27、項(xiàng)目路由器三層交換機(jī)端口類型非常豐富，幾乎可以支持所有通信端口比較單一，主要支持以太網(wǎng)，在骨干級設(shè)備上才會支持POS和ATM轉(zhuǎn)發(fā)實(shí)現(xiàn)途徑主要以CPU加軟件實(shí)現(xiàn)為主。（GSR是實(shí)現(xiàn)硬件的路由）由硬件ASIC實(shí)現(xiàn)轉(zhuǎn)發(fā)路由算法最長匹配第一包路由，以后做精確匹配或者最長匹配包轉(zhuǎn)發(fā)率低高成本高低二層交換不支持支持三層接口和物理接口對應(yīng)關(guān)系一一對應(yīng)一個VLAN三層接口可以包含多個物理接口本章小結(jié) 三層交換機(jī)基本原理和功能模型 三層交換流程 三層交換機(jī)的精確匹配轉(zhuǎn)發(fā) 三層交換機(jī)的最長匹配轉(zhuǎn)發(fā) 三層交換機(jī)與路由器的異同培訓(xùn)大綱 以太網(wǎng)基本概念 二層交換機(jī)基本原理 三層交換機(jī)基本原理 交換機(jī)相關(guān)協(xié)議和技術(shù)（可選

28、）交換機(jī)相關(guān)協(xié)議和技術(shù)（可選） 交換機(jī)廠商和相關(guān)產(chǎn)品（可選）自協(xié)商機(jī)制 解決不同速率以太網(wǎng)速率兼容性問題 自協(xié)商功能完全由物理層芯片設(shè)計實(shí)現(xiàn)，因此并不使用專用數(shù)據(jù)報文或帶來任何高層協(xié)議開銷 自協(xié)商的內(nèi)容包括速率、雙工、流控等 注： 若對端設(shè)備不支持自協(xié)商，缺省假設(shè)：鏈路工作于半雙工模式 千兆以太網(wǎng)的自協(xié)商機(jī)制已經(jīng)實(shí)現(xiàn) 智能MDI/MDIX識別Transmit PairReceive PairTransmit PairReceive PairReceive PairTransmit Pair不需要知道電纜另一端為MDI還是MDIX設(shè)備兩種電纜（普通、交叉）都可連接交換機(jī)、集線器或NIC設(shè)備消除由

29、于電纜配錯引起的連接錯誤簡化10/100M網(wǎng)絡(luò)安裝維護(hù)，降低開銷Transmit PairReceive Pair直連網(wǎng)線交叉網(wǎng)線流控機(jī)制 網(wǎng)絡(luò)擁塞一般是由于線速不匹配（如100M向10M端口發(fā)送數(shù)據(jù)）和突發(fā)的集中傳輸而產(chǎn)生的，它可能導(dǎo)致這幾種情況：延時增加、丟包、重傳增加，網(wǎng)絡(luò)資源不能有效利用。 結(jié)論：在鏈路層解決緩沖區(qū)溢出的問題 半雙工網(wǎng)絡(luò)后退壓力算法(backpressure) 全雙工網(wǎng)絡(luò)PAUSE幀(IEEE802.3x)半雙工流控 后退壓力算法(backpressure) 基于CSMA/CD算法，網(wǎng)絡(luò)上設(shè)備都會監(jiān)聽網(wǎng)絡(luò)以確定網(wǎng)絡(luò)是否可用，當(dāng)設(shè)備的資源不足時就會啟動流量控制，發(fā)送一組載

30、波信號脈沖串（假沖突信號），設(shè)備檢測到網(wǎng)絡(luò)上的載波信號就會認(rèn)為網(wǎng)絡(luò)由于正在被其他設(shè)備使用而發(fā)生沖突，半雙工網(wǎng)絡(luò)上的其他站點(diǎn)就會停止發(fā)送數(shù)據(jù)。全雙工流控 IEEE802.3x 發(fā)送PAUSE幀 是特定的一種MAC控制幀 特定的組播目的地址，送CPU處理，不會轉(zhuǎn)發(fā)操作代碼0 x0001類型=0 x88082字節(jié)pause-ti m e源地址目的地址：01-80-C2-00-00-01保留0幀校驗(yàn)POE供電標(biāo)準(zhǔn)，802.3af標(biāo)準(zhǔn)，2003.6正式批準(zhǔn)，全球統(tǒng)一的電源接口可靠，實(shí)現(xiàn)了集中式電源供電方便，網(wǎng)絡(luò)終端不需外接電源，只需要一根網(wǎng)線802.3af標(biāo)準(zhǔn)定義了兩種設(shè)備PSE和PDPSE Power

31、-Sourcing Equipment 供電設(shè)備PD Powered Device 受電設(shè)備端口流量鏡像 作用 查看網(wǎng)絡(luò)中某個或某些端口流量，用于故障定位和分析 設(shè)置方法 設(shè)置監(jiān)控端口，被鏡像端口。ASIC將被鏡像端口所收發(fā)的報文同步地拷貝一份給監(jiān)控端口。 被鏡像端口可以是一個端口，也可以是一組端口 監(jiān)控端口具有普通業(yè)務(wù)口的功能被鏡像端口監(jiān)控端口生成樹協(xié)議Spanning-Tree Protocol 采用STP生成樹協(xié)議，可以有效的管理冗余鏈路： 阻斷環(huán)路 鏈路備份 協(xié)議標(biāo)準(zhǔn)IEEE 802.1DSTP掌管著端口的轉(zhuǎn)發(fā)大權(quán)“小樹枝抖一抖，上層協(xié)議就得另謀生路”。STP基本原理Switch AS

32、witch BSwitch CSwitch DROOTBPDU BPDUBridge Protocol Data UnitSTP/RSTP/MSTP STP：IEEE Std 802.1D-1998定義，不能快速遷移。即使是在點(diǎn)對點(diǎn)鏈路或邊緣端口，也必須等待2倍的forward delay的時間延遲，網(wǎng)絡(luò)才能收斂。 RSTP：IEEE Std 802.1w定義，可以快速收斂，卻存在以下缺陷：局域網(wǎng)內(nèi)所有網(wǎng)橋共享一棵生成樹，不能按vlan阻塞冗余鏈路。 MSTP：IEEE Std 802.1s定義，它允許不同VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。MSTP基本原理

33、Switch ASwitch BSwitch CSwitch DVLAN 2 ROOTBPDU BPDUBridge Protocol Data UnitVLAN 3 ROOTTrunk VLAN2, 3VLAN2VLAN3VLAN3VLAN2GARP協(xié)議 GARP（Generic Attribute Registration Protocol）是一種通用的屬性注冊協(xié)議，它為處于同一個交換網(wǎng)內(nèi)的交換成員之間提供了分發(fā)、傳播、注冊某種信息的一種手段。如VLAN、多播組地址等declarationregisterwithdraw declarationderegisterS2S1GARP基本原理a

34、 = 注冊了的屬性A = 屬性聲明屬性會通過GARP“聲明注冊聲明”的過程傳播到整個網(wǎng)絡(luò)域中S1S2S3GARP的應(yīng)用 GARP本身不作為一個實(shí)體在Switch中存在 遵循GARP協(xié)議的應(yīng)用實(shí)體稱為GARP應(yīng)用 目前主要的GARP應(yīng)用為GVRP和GMRP GVRP-維護(hù)Switch中的VLAN動態(tài)注冊信息 GMRP-維護(hù)Switch中的動態(tài)多播組注冊信息 CISCO特性協(xié)議VTP(VLAN Trunk Protocol)，其實(shí)現(xiàn)功能與GVRP類似端口聚合Link Aggregation Link Aggregation-將兩個以上的端口捆綁在一起 增加上行端口帶寬 鏈路備份 負(fù)載分擔(dān) 聚合方式

35、 手工聚合 LACP-Link aggregation control protocol 端口聚合的三種模式(MAC) Ingress Ingress-egress Egress 目前也有根據(jù)IP實(shí)現(xiàn)負(fù)載分擔(dān)Isolate-user-vlan也稱為PVLAN作用和目的節(jié)省匯聚交換機(jī)的VLAN資源二層隔離接入交換機(jī)不同端口下的用戶用于多播VLAN類似概念: VLAN透傳接入交換機(jī)匯聚交換機(jī)VLAN1VLAN2VLAN3VLAN4VLAN6VLAN5VLAN7VLAN8Isolate-user-vlan 6Isolate-user-vlan 5為什么二層需要支持多播多播：只傳遞數(shù)據(jù)給有接收者的那些

36、鏈路多播方案 方案1：VLAN定義多播的邊界 方法不靈活，對VLAN數(shù)目要求高 方案2：GMRP 目前沒有第三方客戶端支持 方案3：CGMP Cisco私有協(xié)議 方案4： IGMP Snooping IGMP Snooping原理 二層交換機(jī)截獲主機(jī)和路由器之間傳送的IGMP報文，建立多播MAC和端口的對應(yīng)表，從而控制多播報文在二層交換機(jī)上的轉(zhuǎn)發(fā)。網(wǎng)絡(luò)IGMPIGMPIGMP Snooping應(yīng)用二層交換機(jī)偵聽用戶發(fā)往組播路由器的IGMP數(shù)據(jù)報文，明確端口的多播成員QinQvMANvMANDomainADomainB QinQ雙Tag，用于虛擬城域網(wǎng)vMANSuperVLAN作用和目的節(jié)省交換

37、機(jī)路由接口數(shù)目節(jié)約IP地址SuperVLAN只建立三層接口，不包含物理端口Subvlan包含物理端口，但不能建立三層接口SuperVLAN內(nèi)通信通過ARP Proxy實(shí)現(xiàn)接入交換機(jī)匯聚交換機(jī)VLAN1VLAN2VLAN3VLAN4Trunk VLAN3,4Trunk VLAN1,2SuperVLAN7:subvlan1,2SuperVLAN8:subvlan3,4QOS/ACL ACLAccess Control List 訪問控制列表 QOSQuality of Service 服務(wù)質(zhì)量 不同于路由器，ACL和QOS功能都基于ASIC芯片實(shí)現(xiàn) QOS主要功能 CAR（Committed Ac

38、cess Rate） 優(yōu)先級標(biāo)記 流量統(tǒng)計 報文重定向 流鏡像 SP/WRR/WFQ隊列調(diào)度方式 QOS-profile a set of QoS rules 提供了一種有效的訪問策略組織形式 與用戶綁定，基于8021X認(rèn)證在端口上下發(fā)IEEE 802.1X基本概念 提出背景解決以太網(wǎng)的可運(yùn)營可管理 認(rèn)證策略基于端口進(jìn)行接入控制(Port-Based Access Control) 認(rèn)證基本原理 認(rèn)證成功，“打開”端口，允許文所有的報文通過 認(rèn)證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1X的認(rèn)證報文EAPOL（Extensible Authentication Protocol ov

39、er LAN）通過802.1X認(rèn)證體系結(jié)構(gòu)8021X相關(guān) Central MAC AuthenticationMAC地址認(rèn)證 不需要任何客戶端軟件 交換機(jī)在首次檢測到此用戶的新MAC地址以后，啟動對此用戶的認(rèn)證 MAC地址作為用戶名和密碼 認(rèn)證過程與1X認(rèn)證一致 DUD Authentication MAC綁定端口動態(tài)MAC地址學(xué)習(xí)數(shù)目端口限制 過濾未認(rèn)證MAC所有的流量Portal認(rèn)證 什么是PORTAL？ 在英語中的原意是大門、正門的意思 在IT行業(yè)一般將PORTAL稱為門戶網(wǎng)站 PORTAL認(rèn)證通常也稱為WEB認(rèn)證，可以免客戶端 認(rèn)證方式 強(qiáng)制PORTAL 主動PORTALPORTAL系

40、統(tǒng)組成 PORTAL系統(tǒng)四要素 客戶端 控制單元 PORTAL服務(wù)器 認(rèn)證計費(fèi)服務(wù)器客戶客戶PORTAL服務(wù)器認(rèn)證計費(fèi)服務(wù)器接入設(shè)備(控制單元)802.1X/PORTAL/PPPoE 每種方法都有它存在的理由，它們之間是互補(bǔ)的關(guān)系 相比較而言PORTAL認(rèn)證和802.1x更加受運(yùn)營商的歡迎 PORTAL認(rèn)證是寬帶網(wǎng)絡(luò)生態(tài)系統(tǒng)中一種比較高級的形態(tài)，而802.1x是一種比較低級的形 態(tài)，滿足低成本低附加值的需求集群管理Command SwitchStandby SwitchMember SwitchCandidate SwitchSNMP/HTTP/FTP Server優(yōu)點(diǎn) 集中管理 統(tǒng)一維護(hù) 節(jié)省公網(wǎng)IPWEB網(wǎng)管以太網(wǎng)交換機(jī)提供一個內(nèi)置的WEB Server，網(wǎng)管客戶端通過瀏覽器，使用HTTP協(xié)議向WEB Server請求交換機(jī)的管