1、以太网交换培训文档ppt第一页,共47页。学习完此课程,您将会:学习完此课程,您将会:p掌握MAC、帧和VLAN的基本概念p二层交换和三层交换的基本原理pVLAN的扩展特性p链路聚合的概念和配置Page 2第二页,共47页。第第2章章 VLAN的基本概念和原理的基本概念和原理第第3章章 三层交换机架构和转发结构和三层交换机架构和转发结构和VLAN间路由间路由第第4章章 VLAN的扩展特性的扩展特性第第5章章 链路聚合链路聚合Page 3第三页,共47页。OSI 二层-数据链路层ApplicationPresentationSessionTransportIPDate link Physical
2、ApplicationPresentationSessionTransportIPDate link PhysicalPage 4第四页,共47页。常见的以太网常见的以太网FrameFrame格式格式l最早的以太网格式的定义规范,由最早的以太网格式的定义规范,由Digital equipment Corp,Intel,Xerox发展发展,后来被发展成后来被发展成IEEE标准,标准,叫叫ethernet(DIX),也叫也叫ethernet V2(ARPA).(交换机和路由器的常用格式)交换机和路由器的常用格式)Ethernet V2(ARPA)MAC DE(6 byte)MAC SA(6byte
3、)Type(2byte)Data(461500 byte)FCS(4byte)l802.3标准,标准,IEEE标准组织在标准组织在1980s年代发展年代发展802.3MAC DE(6 byte)MAC SA(6byte)Length(2byte)Data(461500byte)FCS(4byte)l其它的以太网其它的以太网Frame格式包括:格式包括:802.3+802.2(LLC),802.3+802.2+SNAP802.3MAC DE(6 byte)MAC SA(6byte)Length(2byte)DSAP(1byte)SSAP(1byte)CONTROL(1-2byte)OUI(3by
4、te)TYPE(2byte)DataFCS(4byte)802.2SNAPPage 5第五页,共47页。Frame参数-MAC 地址MACMAC地址地址Media access control,也叫硬件地址。为了控制在共享的介质的设备的访问,必须定义一个规则。MAC地址作用主要有在共享介质中唯一标识某台设备。控制设备的访问,当设备接受到一个Frame时,需要检查DE MAC,如果是自己的MAC地址,就接受该Frame。MACMAC地址表示方法地址表示方法MAC地址是由48bit(6byte)组成,前3byte表示组织的唯一标识,后三位由该组织分配给每台设备。00E0-FC79-405FHUAW
5、EI设备标识Frame的种的种类类:根据目的MAC的不同,可以分为三种帧,Unicast Frame Broadcast(全F,或者全0)1.multicastCisco设备的MAC地址(前3byte),常见的有:00000C,Page 6第六页,共47页。Frame参数-TypelType Type表示DATA里面封装的报文类型,常见的类型有:Protocol16进制位进制位IP0800ARP0806802.30000-05DC为了识别是Ethernet II和802.3的帧,Ethernet II的type域从1536(16进制位为600)开始,在802.3中,数据的长度小于或者等于150
6、0(05DC)。Page 7第七页,共47页。桥和以太网交换机l桥和桥和HUB的区别的区别 随着网络的快速发展,特别是本地局域网络的发展,越来越多的设备需要互相访问,同时需要连接到更长的距离。而传统的以太网采用HUB进行连接,整个HUB就是一个冲突域,采用CSMA/CD机制来检测和侦听,所有的设备共享带宽,网络的带宽利用率低,效率低;并且有距离的限制。而桥建立桥接表(MAC),不象HUB总是将帧发送到所有的端口,桥根据MAC表来决定向那个端口进行转发。这样桥的每个端口为一个冲突域,每台设备将享用一个端口的带宽。HUBframeBridgeframe查看MAC表所有的设备共享整台HUB,共享带宽
7、!独占一个端口的带宽!Page 8第八页,共47页。桥和交换机的区别桥和交换机都是一个广播域,每个端口都是一个collision域,并都形成MAC表来指导帧转发,不同点是:1、交换机端口的数量多。2、交换机上可以划分VLAN来将整个广播域分割为多个广播域。Page 9第九页,共47页。MAC表的建立每台交换机都需要建立MAC表,MAC表的建立过程是被动学习的过程:1、每台交换机都有cache来保存MAC表,指导帧的转发,当交换机刚上电时,MAC表是空的。2、交换机从端口接受一个帧的时候,将帧的原MAC和该端口记录在MAC表中。通过不停的学习到所有连接到交换机端口的设备的MAC和相应的端口,来建
8、立一张完整的MAC表。3、当交换机转发一个帧的时候,需要查看MAC表,如果MAC表没有该帧的目的MAC,交换机将广播该帧到所有的端口(除了接受该帧的端口)。PC1PC2PC30/10/20/3MAC1MAC2MAC3MAC 表:表:MAC 地址 PORTMAC1 0/1MAC2 0/2MAC3 0/3Page 10第十页,共47页。两种MAC表随着VLAN的应用,MAC表项有两种定义:SVL(SHARE VLAN)这种定义意味着在MAC表中每个MAC地址只能对应一个VLAN.这样会导致MAC地址学习错误。PC10/1PC20/20/30/4VLAN2VLAN30/10/2 如图:PC1访问PC
9、2必须经过一台路由器进行转发,假设路由器在它的0/1端口将PC1的报文透传到0/2端口,这样交换机的0/4端口学习到PC1的MAC地址,由于交换机是SVL,此时交换机将替换掉(0/1,VLAN2)学习的表项为从(0/4,VLAN3)的表项。导致MAC表项出错,PC2响应时,router接受到PC2的响应报文,从0/1转发出去,此时交换机不能转发帧到0/1,PC1不能接受到PC2的响应报文。IVL(independent VLAN)这种定义意味着在MAC表中,每个MAC可以对应多个不同的VLAN。如图:当ROUTER 从0/2接受到PC2的响应报文之后,从0/1转发出去,交换机接受到这个帧之后,
10、发现有(0/1,VLAN2)的表项,从0/1转发出去。现在所有的交换机都采用IVL建立MAC表。Page 11第十一页,共47页。MAC表结构1、动态动态MAC表表交换机的MAC表通过被动学习VLAN端口的帧来动态建立,并为每个MAC地址设定一个计时器,如果在一定的时间内没有学习到MAC地址,该MAC将老化,重新学习。缺省的情况下,老化时间为300s。2、静、静态态MAC表表 通过手工配置静态的MAC表项,静态MAC表项默认是永久存在交换机中,也可以设置老化的时间3、MAC表的表的结结构构MAC ADDVLAN IDSTATEPORT INDEXAGE TIMEMAC ADD:表示帧的sour
11、ce MAC。VLAN ID:端口所属的VLAN。STATE:有两个值:dynamic or static。PORT INDEX:接受帧的端口。AGE TIME:表示MAC存活的时间。NOAGE:表示不老化。Page 12第十二页,共47页。帧的封装过程PC1:MAC1 AND IP1PC2:MAC2 AND IP20/10/2Pc1访问PC2的帧的封装过程,交换机上的两个接口在同一个VLAN:1PC1发送ARP的请求报文,目的MAC是广播地址,目的地址为IP2。FF-FF-FF-FF-FF-FF(DE MAC)MAC10806DATA2交换机接受到该帧,将端口、MAC1、VLAN放到MAC表
12、项中,并向所有的接口0/2广播。FF-FF-FF-FF-FF-FF(DE MAC)MAC10806DATA3PC2接受到这个ARP请求报文,发送ARP响应报文,目的MAC为MAC1,原MAC为MAC2。MAC1MAC20806DATA4交换机从0/2接受到ARP响应报文之后,将MAC2、0/2、VLAN添加到MAC表项中。并向端口0/1转发该帧。5PC1知道了PC2的MAC地址,下一个帧的目的地址为MAC2。MAC2MAC10800DATAMAC1MAC20806DATAPage 13第十三页,共47页。交换机性能指标之一:MAC表容量交换机存储的MAC地址不是无限,它跟交换机的cache有密
13、切的关系,不同类型的交换机有不同的MAC表项大小。MAC表项容量的大小也反映了该交换机的能力,是一个重要的性能指标。常见的交换机的MAC表的容量为:交换机类型交换机类型MAC数量数量/VLAN/整机整机30264KS3026E8KS3026F16KS3526系列系列8KS3528G/P,S3552G/P/F12KS551516KS6503/S6506/S6506R32K/64K/64KS8505/S8508/S851264KNE40/NE8064KNE40E/NE80E64KPage 14第十四页,共47页。交换机的安全:MAC表的安全1、MAC表表项项溢出溢出 由于交换机只是被动的学习原MA
14、C,并且动态MAC地址老化时间为5分钟,如果一个交换机的MAC表满了,又不能达到老化的时间,交换机将不能学习到原MAC,导致交换机不能正常转发。接在交换机端口下的一台PC,通过发送原MAC不停变化的帧,当交换机接受到这些变化的帧之后,将添加到自己的MAC表中;一旦MAC表满,交换机将不能处理正常的帧,导致不能转发。同时产生大量广播报文,导致交换机CPU繁忙。解决办法:如果发现MAC表中的一个端口下学习到大量MAC地址,表明交换机正在遭受攻击,可以配置该端口下学习到MAC地址的数量,超过配置的数量的MAC将停止转发。mac-address max-mac-count disalbe-forwar
15、ding 端口模式下配置。2、原、原MAC欺欺骗骗 黑客通过发送另外一台攻击的计算机的MAC地址为原地址的报文,路由器收到这个报文之后,将流量转发给黑客,黑客将获取到流向被攻击的计算机流量,进一步分析之后,可以获取到其它的重要信息(比如密码、帐号。)解决办法:在路由器上作原MAC和IP的绑定,如果MAC和IP不一致,将丢弃该报文。Page 15第十五页,共47页。交换机对帧的处理方式交换机对接受的帧有不同的处理方式:1、store and forwarding 这种模式在开始交换之前,检查整个帧,如果帧出现错误,将丢弃该帧。2、cut-through 当交换机检查到接受到该帧的目的MAC地址,
16、进行转发。即使帧出现了错误,交换机也会转发,这样当达到目的地时,被目的设备丢弃,浪费了带宽。3、Fragmentfree 当交换机检查帧的64位帧时,开始转发。(64位帧即最小的帧)。Page 16第十六页,共47页。问题l帧的最小长度为多少?帧的最小长度为多少?lHub、Bridge、交换机分别位于、交换机分别位于OSI中的哪层?中的哪层?l在同一个在同一个VLAN中,如果中,如果MAC1学习到学习到port1上,后来由于某种原因该上,后来由于某种原因该MAC1学习到了学习到了PORT2,这时之前的,这时之前的mac表项还存在吗?如果是在不表项还存在吗?如果是在不同的同的VLAN下,下,MA
17、C表项是什么样的?表项是什么样的?Page 17第十七页,共47页。第第1章章 帧、帧、MAC的概念和二层转发的概念和二层转发第第3章章 三层交换机架构和转发结构和三层交换机架构和转发结构和VLAN间路由间路由第第4章章 VLAN的扩展特性的扩展特性第第5章章 链路聚合链路聚合Page 18第十八页,共47页。VLAN的定义和划分1、VLAN的定义 VLAN(virtual local area network),虚拟本地局域网。默认的交换机是一个广播域,采用VLAN,可以将交换机逻辑上划分为多个逻辑广播域,各个VLAN之间不能访问。通过手动配置逻辑将端口放到不同的VLAN中。2、VLAN的划
18、分 基于端口的划分。交换机常见的划分方式,该方式灵活,不受终端物理位置的限制。基于MAC的划分。根据交换机学习到的MAC,进行划分;受物理位置的限制。基于协议的划分。根据端口学习的协议类型和封装格式来划分。可以用来划分的协议为:IP,IPX,APPLETALE,类型有:ethernet II,802.3,802.3+LLC,等。主要应用于网络中提供的服务类型来划分,方便管理和维护。基于IP子网的划分。基于应用层的划分。Page 19第十九页,共47页。VLAN的帧格式VLAN基于IEEE 802.1Q标准,标准对普通的帧进行了修改,在原MAC地址和类型字段插入了4字节的802.1Q TAG标记
19、。DE MACSR MACTAG(4byte)TYPEDATAFCSType(2byte)PRI(3 bit)CFI(1bit)VID(12bit)Type:表示帧的类型,0 x8100是表示802.1Q tag帧,不支持该类型帧的设备,将丢弃该帧PRI:表示优先级,取值范围为07。CFI:用于令牌环和FDDI。VID:表示帧所属的VLAN,取值为:04096。VRP中,VLAN0系统使用。实际可用的VID为14094。Page 20第二十页,共47页。VLAN端口的类型根据端口接入设备的类型,划分了VLAN的端口分为几种(默认的情况下所有的端口属于VLAN1:1、Access端口 配置了 A
20、ccess类型的端口,端口只能属于一个VLAN。一般要来接入不能识别802.1Q tag的设备,比如主机。2、Trunk 端口 配置了Trunk类型的端口,该端口属于多个VLAN,能识别带Tag的帧,允许多个VLAN通过。一般接入识别802.1Q tag的设备。Trunk VLAN时,VLAN1默认被Trunk。3、Hybrid端口 配置了Hybrid类型的端口,即能识别普通的帧(不带Tag),也能识别带Tag的帧。一般该端口即可接入交换机,也可以接入计算机。4、PVID(缺省VLAN)PVID:port VLAN ID.即端口的PVID。每个端口的类型都有PVID。Access:PVID和A
21、ccess端口配置的VID一致。Trunk:Trunk端口本身的VID,可以配置,默认为1,和Trunk的VLAN没有关系。AccessTrunkHybridPage 21第二十一页,共47页。VLAN帧的处理过程VLAN对帧的处理过程分三部分:1、接受过程 接受到的帧可以是带Tag的帧,也可以是不带Tag的帧。AccessAccess端口端口接受到普通帧的时候,打上Access端口的VID。当接受到Tag帧的时候,比较PVID,如果VID和PVID相同,则接受,如果不同,则丢弃。TrunkTrunk端口和端口和HybridHybrid端口端口接受到普通帧的时候,打上该端口的默认的PVID。当
22、接受到带Tag的帧时,查看端口允许的VID和该帧的VID,如果匹配,则接受;如果不匹配,查看VID和PVID是否相同,如果相同,则接受;否则,丢弃。2、查找转发过程 根据端口接受的帧的目的MAC、VID来查找MAC表,从相应的端口转发。3、发送过程 端口发送的出去帧可以是带Tag帧,也可以是不带Tag的帧。当从当从AccessAccess端口发送帧时端口发送帧时,将去掉帧的Tag,成为普通的帧。当从当从TrunkTrunk端口发送帧时:端口发送帧时:如果帧的VID和Trunk端口的PVID相同,将去掉Tag,发送该帧;如果帧的VID跟PVID不同,查看是否Trunk该VID,如果匹配则发送,否
23、则丢弃。当从当从HybridHybrid端口发送帧时:端口发送帧时:如果帧的VID和Hybrid端口的PVID相同,去掉Tag,发送该帧。如果帧的VID跟PVID不同,查看是否Trunk了该VID,并根据配置情况来决定该帧发送是带Tag还是不带Tag。(port hybrid vlan tagged/untagged Page 22第二十二页,共47页。VLAN帧的处理过程续PVID处理:VLAN2PVID=VLAN2VLAN2PVID=VLAN3VID=212VID=33TRUNKACCESSACCESSPage 23第二十三页,共47页。问题lPVID的作用是什么?的作用是什么?Acces
24、s端口的端口的PVID是多少?是多少?Trunk端口下的端口下的PVID是多少?是多少?l当一个当一个Trunk端口接受一个普通帧时,交换机如何处理?如果为端口接受一个普通帧时,交换机如何处理?如果为acess端口,又如何处端口,又如何处理?理?l两台交换机之间两台交换机之间Trunk多个多个VLAN,如果修改了其中一台交换机的,如果修改了其中一台交换机的Trunk端口的端口的PVID,会发生什么情况?会发生什么情况?Page 24第二十四页,共47页。第第1章章 帧、帧、MAC的概念和二层转发的概念和二层转发第第2章章 VLAN的基本概念和原理的基本概念和原理第第4章章 VLAN的扩展特性的
25、扩展特性第第5章章 链路聚合链路聚合Page 25第二十五页,共47页。提供VLAN间路由的设备默认情况下,不同的VLAN属于不同的广播域,不能相互访问。为了提供VLAN间的访问,必须提供不同VLAN来访问的设备。对于这样设备必须达到这样的目的 1、提供IP报文转发的功能。2、提供让不同物理位置VLAN间访问的路径。3、能够提供一些策略来控制访问。能够提供这些功能的设备有路由器和三层交换机。u 路由器 路由器就是一种能够提供IP报文转发和控制,以及IP报文选路的设备,由专用的硬件和软件组成。属于三层功能的设备。u 三层交换机 和路由器提供的功能一样,在二层交换机的基层上,增加了三层的功能。Pa
26、ge 26第二十六页,共47页。三层交换机和路由器的区别路由器和三层交换机:1、三层接口。路由器:支持多种低速率接口(同异步接口、ADSL、ISDN、E1等)和高速端口(ATM、Pos、FE、GE等)。每个接口都是一个广播域,三层接口为物理接口,一个三层接口对应一个物理接口。三层交换机:不支持低速率的端口,只支持高速端口,在中、低端口交换机上支持FE、GE,高端的三层交换机能够支持ATM、POS。三层接口是逻辑的接口(VLAN IF),一个三层接口支持多个物理接口。2、硬件结构 路由器:数据平面和控制平面都使用CPU。三层交换机:数据平面采用ASIC来转发,提供更高的性能和转发速率。3、报文转
27、发处理 路由器:基于逐包处理,接受到每个报文,都进行查找,再进行转发(低端的路由器)。三层交换机:对于到目的地址第一个包,在processor进行查找,后续的报文直接从转发引擎中转发。随着技随着技术术的不断的不断发发展,展,现现在高端的路由器和交在高端的路由器和交换换机的硬件机的硬件结结构非常相同。构非常相同。Page 27第二十七页,共47页。三层交换机的架构三层交换机采用数据平面和控制平面分离的架构,来提高数据交换的能力。processorASICSwitch fabric架构示意图:控制平面和系统管理;1、路由协议、STP,ARP,ICMP,IGMP,VRRP等2、系统的管理数据转发平面
28、 1、二层和三层的转发。2、ACL,Qos标记和策略、组播复制、端口镜像。3、端口ASIC:队列调度、拥塞管理和避免,tagging,端口聚合,广播抑制。连接各个端口和模块SWITCH FABRICSLOT1SLOT2SLOT3SLOT4Page 28第二十八页,共47页。交换结构u共享式存储交换结构Forwarding engineerSwitchmoduleSwitchmoduleSwitchmoduleSharing memory缓存发生在交换引擎中。报文存在在共享内存里。u共享总线式的交换结构ForwardingengineerSwitchmoduleSwitchmoduleSwitc
29、hmodule缓存发生在交换模块中,不是在引擎里在一个给定的时间内,只有一个模块访问引擎。适合组播和广播流量最早的结构。Page 29第二十九页,共47页。交换结构(续)u交换矩阵结构集中式转发CrossbarForwardingengineerSwitchmoduleSwitchmoduleSwitchmodule模块之间存在多条路径非常高的带宽交换能力。信令和调度更加复杂。u交换矩阵结构分布式转发CrossbarPrimaryForwardingengineerSwitchModule with ForwardingEngineer SwitchModule with Forwarding
30、Engineer SwitchModule with ForwardingEngineer Page 30第三十页,共47页。转发表结构Router ProcessorSwitchmoduleSwitchmoduleSwitchmoduleASIC精确路由查找IP prefixNext hop10.44/1610.4.1.1 via gi 1/110.33.1/2410.33.1.1 via fe 1/10/010.1.1.1 via gi 3/1SIPDIP10.3.3.310.44.1.110.4.4.4 10.33.1.1010.5.5.510.2.2.21、基于流进行转发。2、第一个报
31、文经过processor转发。3、后续的报文经过ASIC转发。4、查找基于原地址/目的地址的精确路由查找。Page 31第三十一页,共47页。转发表结构(续)Router ProcessorSwitchmoduleSwitchmoduleSwitchmoduleASIC最长匹配IP prefixNext hop10.44/1610.4.1.1 via gi 1/110.33.1/2410.33.1.1 via fe 1/10/010.1.1.1 via gi 3/11、Processor建立IP forwarding表。2、Processor将FIB表复制到ASIC上。3、FIB报文的查找基于
32、最长匹配原则。4、报文都是经过硬件转发。5、控制平面不进行流量的转发,专注于协议进程。FIBIP prefixNext hop10.44/1610.4.1.1 via gi 1/110.33.1/2410.33.1.1 via fe 1/10/010.1.1.1 via gi 3/1FIBPage 32第三十二页,共47页。二层和三层交换机的识别华为交换机有中低端二层交换机和三层交换机,以及高端的三层交换机。从交换机的命令通常可以看出是二层交换机还是三层交换机。一般交换机都有一个几位数字(一般是4位)来表示交换机的型号,如果从左到右的第二个数字是“5”表示三层交换机,如果不是就表示二层交换机,
33、第一个数字表示交换机的等级,等级越高,表明交换机的性能越好;后面的两位表示交换机的端口,端口一般是12、24的倍数,如果大于12或者是24,比如26,那么该交换机一般支持2个GE模块。这种规则适合大多数产家的设备。常见的交换机以及它们的架构为:交换机类型交换机类型交换机类型交换机类型交换结构交换结构3026二层交换机二层交换机S3026E二层交换机二层交换机 S3026F二层交换机二层交换机S3526系列系列三层交换机三层交换机共享式存储共享式存储S3528G/P,S3552G/P/F三层交换机三层交换机共享式存储共享式存储S5515三层交换机三层交换机共享式存储共享式存储S6503/S650
34、6/S6506R三层交换机三层交换机共享式总线共享式总线S8505/S8508/S8512三层交换机三层交换机crossbar分布式分布转分布式分布转发发Page 33第三十三页,共47页。VLAN间路由VLAN2VLAN31、使用三层交换机IP1IP1-1IP2-1IP22、使用路由器MAC2MAC1IP1IP2MAC1MAC2MAC2MAC3MAC3MAC2IP1IP212由于路由器的每个物理端口都属于一个广播域,当多个VLAN要通过路由器来互通时,需要在路由上配置多个接口;可以通过在交换机互连路由器的端口配置Trunk,Trunk VLAN2和VLAN3,然后在路由的接口上封装802.1
35、Q,将一个物理端口配置两个逻辑的子接口,分别封装VLAN2和VLAN3.经过三层交换时,帧中的原MAC和目的MAC在每段上都变化了。对于交换机的三层接口使用一个MAC。Page 34第三十四页,共47页。问题l不同的不同的VLAN之间用户如何进行相互通信?之间用户如何进行相互通信?l从源到目的地址的报文头和帧头中,什么不会变化?什么发生变化?从源到目的地址的报文头和帧头中,什么不会变化?什么发生变化?Page 35第三十五页,共47页。第第1章章 帧、帧、MAC的概念和二层转发的概念和二层转发第第2章章 VLAN的基本概念和原理的基本概念和原理第第3章章 三层交换机架构和转发结构和三层交换机架
36、构和转发结构和VLAN间路由间路由第第5章章 链路聚合链路聚合Page 36第三十六页,共47页。VLAN的扩展特性一:super VLANSuper VLAN:每个VLAN的用户如果需要访问外部,该VLAN中的用户必须配置网关地址,对应与该VLAN IF接口,当大量的VLAN应用时,需要大量的IP地址,特别是对于公网地址,更是紧缺;为了节省IP地址,使用Super Vlan,对外访问提供一个IP地址。Super VLAN中的用户VLAN为sub VLAN。为了实现sub VLAN之间的访问,需要在sub VLAN 下配置ARP Proxy来实现。Super VLAN不能包含端口。VLAN1V
37、LAN2VLAN3VLAN4SUPER VLAN 5IP3/MAC3优点:节省IP地址缺点:由于开启了ARP Proxy,VLAN之间可以访问,相当于所有的VLAN属于一个广播域。ARP Proxy:1、PC1访问PC2,发送ARP请求报文给网关(Super VLAN)。PC1 MAC1PC2 MAC2全全FFMAC1IP1IP22、交换机接受PC1的ARP请求报文报文之后,将自己使用自己的MAC地址发送ARP响应报文给PC1。MAC1MAC3IP2IP1配置VLAN6和路由器互连,来实现和外面通讯!VLAN6Page 37第三十七页,共47页。VLAN的扩展特性二:ISOLATE-USER-
38、VLANIsolate-user-VLAN特性:Isolate-user-VLAN采用二层VLAN的结构,在同一台设备上设置Isolate-user-VLAN 和secondary VLAN,一个Isolate-user-VLAN包括多个secondary VLAN,对于上层设备只知道Isolate-user-VLAN,而不知道Isolate-user-VLAN里面的secondary VLAN。应用场景:1、上行设备支持的VLAN数量有限,下行设备存在多个VLAN。2、IP地址数量有限。配置使用:1、Isolate-user-VLAN只使用与上行设备连接的接口。2、Isolate-user-
39、VLAN不能和Trunk端口同时配置。3、secondary VLAN用于多个不同业务和用户。4、一个Isolate-user-VLAN可以对应多个secondary VLAN,最多30个secondary VLAN。5、Isolate-user-VLAN和secondary VLAN建立映射关系之后,不能进行端口的添加和删除。Page 38第三十八页,共47页。VLAN的扩展特性二:ISOLATE-USER-VLAN应用应用场景:多台S3026都下挂了大量的VLAN,上行连接到路由器来和外面通讯。如果按照正常的配置,路由器需要配置大量的子接口;性能和可靠性低,并且路由器支持的子接口数量也有限
40、。多台S3026都下挂了大量的VLAN,上行使用三层交换机,下面的VLAN数量超过了三层交换机的支持的VLAN数量。解决的方案:使用Isolate-user-VLAN特性,将一个Isolate-user-VLAN对应多个VLAN(30);Isolate-user-VLAN和secondary VLAN在一个子网内。当secondary VLAN的发送报文给Isolate-user-VLAN时,交换机内部维护一张映射表,将secondary VLAN的VID替换成Isolate-user-VLAN的VID。报文返回时,交换机做同样的操作。LSW01LSW02LSW03LSW0N。VLAN2VLA
41、N3VLAN4VLAN5VLAN100VLAN101VLAN102VLAN103VLAN200VLAN201VLAN202VLAN203Page 39第三十九页,共47页。Super VLAN和ISOLATE-USER-VLAN的比较相同点 1、对外均提供一个IP,可以大量节约IP地址。2、super VLAN和sub VLAN,ISOLATE-USER-VLAN和secondary VLAN必须都在一个子网中。不同点 1、super VLAN使用ARP Proxy实现sub VLAN之间的访问。Isolate-user-vlan 的secondary VLAN之间如果需要访问,需要配置在一个
42、VLAN中。2、super VLAN不包含端口,所有的sub VLAN的端口都属于super VLAN。Isolate-user-VLAN必须包括上行的端口。3、对外访问时,super VLAN的上行接口需要另外配置VLAN来和上行设备互通,super VLAN使用ARP proxy实现访问。Isolate-user-VLAN维持primary-VLAN和secondary的映射表,进行VID的替换来实现primary VLAN和secondary VLAN的互通。Page 40第四十页,共47页。VLAN配置1、配置VLAN quidway vlan id2、VLAN描述 quidway-v
43、lan description string3、VLAN命名 quidway-vlan name string4、添加端口 quidway-vlan port interface-list(端口添加之后,端口为access)5、创建VLAN接口 quidwayinterface vlan id 6、配置Trunk端口、端口的PVID、Hybrid端口 quidway-interface number port link-type trunk/hybrid quidway-interface number port trunk/hybrid pvid vlan-id quidway-interf
44、ace number port trunk permit vlan vlan-id-list|all quidway-interface number port hybrid vlan vlan-id-list tagged|untaggedPage 41第四十一页,共47页。交换机的性能指标之二:VLAN数量不同的交换机支持的VLAN特性和数量都不同,下面列出几种常见交换机的VLAN数量和特性交换机类型交换机类型VLAN 数量数量(802.1Q、端口、端口)VLAN特性特性S302632Isolate-user-vlan,GVRPS3026E256Isolate-user-vlan,GVRP
45、S3026F4KIsolate-user-vlan,GVRPS3026C/G/S-SI128Isolate-user-vlan,GVRPS3526C/E/EF256Isolate-user-vlan,GVRPS3500系列系列4KGVRPS55164KGVRPS6500 系列系列4KGVRPS8500系列系列4KGVRPNE40/804KGVRPPage 42第四十二页,共47页。第第1章章 帧、帧、MAC的概念和二层转发的概念和二层转发第第2章章 VLAN的基本概念和原理的基本概念和原理第第3章章 三层交换机架构和转发结构和三层交换机架构和转发结构和VLAN间路由间路由第第4章章 VLAN的
46、扩展特性的扩展特性Page 43第四十三页,共47页。链路聚合链路聚合:将多根物理链路组成一个聚合组,形成一个逻辑链路,该逻辑链路拥有物理链路同样的二层和三层特性;主要的作用有:1、增加了带宽。2、负荷分担;流量在聚合组中的每个链路负荷分担。3、链路备份。聚合组中的一根链路出现故障,流量自动切换到其它的链路上。LSW01LSW02链路聚合时的注意点:1、聚合组中的物理端口的配置要一致(端口速率、全双工,端口模式,trunk的VLANID、Qos配置等)。2、聚合组的物理端口号必须连续。3、聚合组的主端口为最小端口号。4、一个端口只能属于一个聚合组。Page 44第四十四页,共47页。链路聚合-
47、端口选择和配置流量在聚合组中的链路上负荷分担,但是聚合组如何选择哪个端口来转发流量?1、原MAC和目的MAC来选择端口 交换机根据接受的帧的原MAC和目的MAC进行HASH算法(一般是计算MAC的后几位),根据Hash算法得到不同的index,每个index对应聚合组中的端口。交换机中维持一个index表,根据该表来选择流量分担在不同的端口。2、根据流进行hash来选择端口 一个流包括五元组(DEMAC,SR MAC,SR IP,DE IP,PORT)来进行hash计算index表,根据该表来选择转发的端口。链路聚合的配置:link-aggregation interface-type to
48、interface-number both Page 45第四十五页,共47页。交换机支持聚合组数和端口的数量不同的交换机支持不同的聚合组数,和每个聚合组支持不同的端口数量,下表列出了常见的交换机的支持数量:交换机类型交换机类型聚合组数聚合组数端口数端口数/每个聚合组每个聚合组S302614(端口必须连续)(端口必须连续)S3026E68(端口必须连续)(端口必须连续)S3026C/G/S-SI68S3526C/E/EF68个个100M,2个个1000MS3500系列系列68个个100M,2个个1000MS5516816个个GES6500 系列系列648S8500系列系列B/C/CA单板支持单板支持7个,个,D单板支持单板支持31个个8NE40/NE801616NE40E/NE80E6416Page 46第四十六页,共47页。问题 链路聚合的好处是什么?链路聚合的好处是什么?在设计在设计VRRP时,重点需要考虑的是什么时,重点需要考虑的是什么Page 47第四十七页,共47页。
