以太网端口镜像和链路聚合和VLAN技术原理

1、deeperGW confidential于洋以太网端口镜像和链路聚合和VLAN技术原理GWD1主要内容主要内容 以太网端口镜像和链路聚合 镜像的作用和分类 LACP的基本原理 端口聚合的作用和聚合方式 VLAN技术原理 VLAN基础 插入VLAN标记（IEEE802.1Q）的以太网帧 带有VLAN的交换机的MAC地址学习与转发帧 跨交换机的VLAN间通信GWD镜像的作用和分类 镜像端口： 在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实 现对网络的监听，指定端口称之为“镜像端口”或“目的端口”。 镜像端口作用： 流量观测、故障定位、网络监控。 镜像端口分类： 基于端口

2、的镜像： 端口镜像就是将被监控端口上的数据被监控端口上的数据复制到指定的监控端口，对数据进行分析和监视 基于流的镜像：流镜像就是将匹配访问控制列表规则的业务流匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视 2GWD 基于端口的镜像是把被镜像端口被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位 以太网交换机支持多对一的镜像，即将多个端口的报文复制到一个监控端口上3E0/1E0/2镜像数据业务数据mirror ingress|egress GWD 基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流可以

3、分开镜像 一台交换机只支持配置一个监控端口 4E0/2E0/1数据流1 的镜像数据数据流1的业务数据数据流2的业务数据interface eth mirror ingress egress GWD 链路聚合 （Link Aggregation），也称为端口捆绑、端口聚集或链路聚集，链路聚合是将多个端口聚合在一起形成1个汇聚组，以实现出/入负荷在各成员端口中的分担。从外面看起来，1个汇聚组好象就是1个端口。 使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路 链路聚合在数据链路层上实现5GWD 提高链路带宽 流量负荷分担 提高可靠性：同组成员彼此动态备份6trafficGWD

4、聚合链路两端的物理参数必须保持一致 进行聚合的链路的数目 进行聚合的链路的速率 进行聚合的链路的双工方式 ，全双工/半双工 聚合链路两端的逻辑参数必须保持一致 同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP （Spanning Tree Protocol） 生成树协议、QoS （Quality of Service，服务质量） 、VLAN、端口等相关配置 7GWDLACP LACP （链路聚合控制协议）（链路聚合控制协议）LACP 链路聚合控制协议: LACP作为交换数据的设备提供一种标准的协商方式，供系统根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成后，负

5、责维护链路状态，在聚合条件发生变化时，自动调整或解散链路聚合。8LACP报文结构目的地址目的地址 源地址源地址协议协议类型类型协议协议子类型子类型版本版本号号Actor信息信息Partner信息信息保留保留128 BytesLACP协议报文： 以太网上广播报文 报文长度 128字节 报文不携带VLAN的tag标志 协议类型值 0 x8809，子类型值为0 x01（LACP），当前版本为0 x01 Actor信息域中携带本系统和端口信息如系统ID，端口优先级，Key等。 Partner域中包含本系统中目前保存的对端系统信息 其它为保留域GWD 系统通过交换协议报文实现自协商，报文中包含本系统的配

6、置和当前状态 协议报文分事件触发和周期发送两种发送方式： 事件触发本端状态或配置变化等事件引发新协议报文的产生和发送 周期发送聚合链路稳定工作时，系统间定时发送当前状态以维护聚合 协议报文不带编号，因此双方不采用检测和重发丢失的协议报文，而是用定时器和周期发送机制来避免信息丢失 慢速协议：平均每秒发送的协议报文不超过5个9GWD 操作Key是在链路聚合时，LACP协议根据端口的配置（即速率、双工、基本配置、管理Key）生成的一个配置组合 聚合关心的端口配置主要有： 端口速率 端口双工特性 端口的硬件限制 端口的基本配置，包括VLAN, ACL（Access Control List，访问控制列

7、表）, QOS （Quality of Service，服务质量）, RSTP（rapid spanning Tree Protocol ，快速生成树协议）, MSTP （Multi-Service Transfer Platform，多生成树协议）, GVRP（ GARP VLAN 注册协议）等 端口的KEY值包含在LACP报文中，参与聚合组的选择。10GWD链路聚合的方式 手工聚合 用户配置聚合组号和端口成员，端口不运行LACP 静态聚合 用户配置聚合聚合组号和端口成员，端口运行LACP 动态聚合 基于IEEE802.3ad的LACP 聚合组号根据协议自动创建 聚合端口根据key值自动匹配

8、添加 11以下这些端口不能加入聚合组：镜像的监控端口镜像的目的端口配置了静态MAC地址的端口配置了静态ARP的端口使能802.1x的端口POS端口VPN端口等 GWDVLANVLAN基础基础12什么是VLAN ？ VLAN （Virtual LAN ）， “虚拟局域网” 。LAN 可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN 所指的 LAN 特指分割的网络广播域。 在此先复习一下广播域的概念。广播域，指的是广播帧（目标 MAC 地址全部为 1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧 （Multicast Frame

9、 ）和目标不明的单播帧（Unknown Unicast Frame ）也能在同一个广播域中畅行无阻。 本来，二层交换机只能构建单一的广播域，不过使用 VLAN 功能后，它能够将网络分割成多个广播域。 划分VLAN的目的：1.抑制广播。2.安全性考虑。3.管理方便。VLAN划分方式：1.基于端口。2.基于MAC地址。3.基于第三层协议。4.基于组播组。5.基于IP地址映射。6.基于策略。GWD插入插入VLANVLAN标记（标记（IEEE802.1QIEEE802.1Q）的以太网帧）的以太网帧13 VLAN 标记字段的长度是4字节，插入在以太网帧的源地址字段和类型字段之间。VLAN标记的前两个字节

10、总是设置为0 x8100，称为IEEE 802.1Q标记类型。当数据链路层检测到以太网帧的源地址字段后面的两个字节的值是0 x8100时，就知道现在插入了4字节的VLAN标记（TAG）。于是就接着检查后面两个字节的内容。后面的两个字节的内容中： 前3位是用户优先级字段。 接着的一位是规范格式指示符CFI。 最后的12位是该虚拟局域网VLAN标识符VID（VLAN ID），它唯一地标识了这个以太网帧是属于哪一个VLAN，最多可供识别4096个VLAN。DMACSMACVLAN TAGLength/TypeDATA/PADFCS插入4字节的VLAN标记802.1Q标记类型标记控制信息1000000

11、1 00000000用户优先级CFIVID插入VLAN标记的以太网帧GWD带有带有VLANVLAN的交换机的的交换机的MACMAC地址学习与转发帧地址学习与转发帧 带有VLAN功能的交换机不划分VLAN时（所有端口默认以unTAG方式接入VLAN1）交换机内部只有一个公用的MAC转发表。 划分VLAN时，交换机内部有一张VLAN表（标识每个端口所接入的VLAN以及接入类型，从逻辑上把交换机分成若干个），每个VLAN有一张独立的MAC转发表（使得各个VLAN内部就像独享一台普通的交换机）。配置表例如下：14端口接入类型1001、2TAG2003、4unTAG端口时间01-12-34-10-EA-

12、0D600s端口时间注意注意：端口默认以unTAG方式接入的VLAN1，这个VLAN1是指VID=1的VLAN。GWD带有带有VLANVLAN的交换机的的交换机的MACMAC地址学习与转发帧地址学习与转发帧不划分VLAN时，与普通交换机的过程基本一致。划分VLAN时根据划分的规则建立VLAN划分表，并为每个VLAN建立相应的MAC转发表（以VLAN为单位建立转发表和普通交换机的过程基本一致 ），流程主要包括：分析接收的以太网帧、确定和查找Vlan、查找和学习源MAC、查找目的MAC并转发数据帧。具体步骤如下：15思考思考：为什么接收到unTAG帧时，没有“丢弃该帧”的处理方式？GWD带有VLA

13、N的交换机的自学习与转发帧16、查找目的MAC。、转发帧，根据端口的接入类型，发送相应格式（TAG or unTAG）的帧。（说明：以太网帧在交换机内部都是以TAG方式传递） 端口的接入类型端口的接入类型有两种即TAG和和unTAG，同样以太网帧以太网帧也有TAG和和unTAG两种格式。端口的类型由网络管理人员设置，以太网帧传入交换机时其帧类型不确定，交换机转发帧时，根据设置的接口类型来发送相应格式的帧。 注意注意：、一个端口可以以TAG方式加入多个VLAN 。2、在GWD交换机中一个端口以unTAG方式只能且必须加入只能且必须加入一个VLAN。 TAG端口主要用于交换机间的通信，此时TAG帧

14、主要在交换机间传输。unTAG端口主要用于交换机与终端机间的通信，此时unTAG帧主要在交换机与终端间传输。归纳归纳：1、unTAG帧进入交换机时，将unTAG帧发送至unTAG方式接入的VLAN中。 2、TAG帧进入交换机时，将其发送至TAG帧目的VLAN中。GWD跨交换机的跨交换机的VLANVLAN间通信间通信171423AB 例2：如下图示，A、B两台终端通过两台交换机互联，现将两交换机各端口配置如下表，试分析(1)从A端发送TAG帧(VID=100)至B端 (2)从B端发送TAG帧(VID=200)至A端的传递过程。SW2SW1portvidT/uSW11100T11u2100uSW2

15、3200u4200T41uGWD跨交换机的跨交换机的VLANVLAN间通信间通信18分析：(1)从A端发送TAG帧(VID=100)至B端，SW1的1端口(TAG方式接入VLAN100)接收到TAG帧(VID=100) ，1端口所在VLAN与TAG帧所带VLAN标记同属一个，接下来在VLAN100中查找MAC转发表，将TAG帧从SW1的2端口(unTAG方式接入VLAN100)发送出且将TAG帧变成unTAG帧； SW2的3端口(unTAG方式接入VLAN200)接收到unTAG帧，查找VLAN200中MAC转发表，从SW2的4端口(TAG方式接入VLAN200)发送出，B接收到TAG帧(VI

16、D=200)。(2)从B端发送TAG帧(VID=200)至A端 ， SW2的4端口(TAG方式接入VLAN200)接收到TAG帧(VID=200) ，4端口所在VLAN与TAG帧所带VLAN标记同属一个，接下来在VLAN200中查找MAC转发表，将TAG帧从SW2的3端口(unTAG方式接入VLAN200)发送出且将TAG帧变成unTAG帧； SW1的2端口(unTAG方式接入VLAN100)接收到unTAG帧，查找VLAN100中MAC转发表，从SW1的1端口(TAG方式接入VLAN100)发送出，A接收到TAG帧(VID=100)。GWD跨交换机的跨交换机的VLANVLAN间通信间通信19

17、1423AB 例3：如下图示，A、B两台终端通过两台交换机互联，现将两交换机各端口配置如下表，试分析(1)从A端发送TAG帧(VID=100)至B端 (2)从B端发送TAG帧(VID=200)至A端的传递过程。SW2SW1portVidT/uSW11100T11U2100USW23200T31u4200T41uGWD跨交换机的跨交换机的VLANVLAN间通信间通信20分析：(1)从A端发送TAG帧(VID=100)至B端，SW1的1端口(TAG方式接入VLAN100)接收到TAG帧(VID=100) ，1端口所在VLAN与TAG帧所带VLAN标记同属一个，接下来在VLAN100中查找MAC转发

18、表，将TAG帧从SW1的2端口(unTAG方式接入VLAN100)发送出且将TAG帧变成unTAG帧； SW2的3端口(unTAG方式接入VLAN1)接收到unTAG帧，查找VLAN1中MAC转发表，从SW2的4端口(unTAG方式接入VLAN1)发送出，B接收到unTAG帧。(2)从B端发送TAG帧(VID=200)至A端 ， SW2的4端口(TAG方式接入VLAN200)接收到TAG帧(VID=200) ，4端口所在VLAN与TAG帧所带VLAN标记同属一个，接下来在VLAN200中查找MAC转发表，将TAG帧从SW2的3端口(TAG方式接入VLAN200)发送出； SW1的2端口(unTAG方式接入VLAN100)接收到T