SB-002 以太网交换机常见技术及协议V2.0

1、SB-002 SB-002 以太网交换机常见技术及协议以太网交换机常见技术及协议ISSUE 2.0日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 了解二三层以太网交换机上常见的一了解二三层以太网交换机上常见的一些技术及其协议，如：些技术及其协议，如：POE，端口镜，端口镜像，像，GARP，IGMP，QinQ，Super VLAN，P-VLAN以及以及PVE等等课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：3交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-

2、VLANlPVE4POE供电供电l标准，802.3af标准，2003.6正式批准，全球统一的电源接口l可靠，实现了集中式电源供电l方便，网络终端不需外接电源，只需要一根网线l802.3af标准定义了两种设备PSE和PDPSE Power-Sourcing Equipment 供电设备PD Powered Device 受电设备5交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE6端口流量镜像端口流量镜像l作用作用查看网络中某个或某些端口流量，用于故障定位和分析l设置方法设置方法设置

3、监控端口，被镜像端口。ASIC将被镜像端口所收发的报文同步地拷贝一份给监控端口。l被镜像端口可以是一个端口，也可以被镜像端口可以是一个端口，也可以是一组端口是一组端口l监控端口具有普通业务口的功能监控端口具有普通业务口的功能被镜像端口 监控端口7交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE8GARP协议协议lGARP（Generic Attribute Registration Protocol）是一种通用的属性注册协议，它为处于）是一种通用的属性注册协议，它为处于同一个交换

4、网内的交换成员之间提供了分发、传播、同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的一种手段。如注册某种信息的一种手段。如VLAN、组播组地址等、组播组地址等9GARP基本原理基本原理S1S2S10GARP的应用的应用lGARP本身不作为一个实体在本身不作为一个实体在Switch中存在中存在l遵循遵循GARP协议的应用实体称为协议的应用实体称为GARP应用应用l目前主要的目前主要的GARP应用为应用为GVRP和和GMRPGVRP-维护Switch中的VLAN动态注册信息GMRP-维护Switch中的动态组播组注册信息11交换机相关协议及技术交换机相关协议及技术lPOElPort m

5、irrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE12为什么二层需要支持组播为什么二层需要支持组播l组播组播：只传递数据给有接收者的那些链路：只传递数据给有接收者的那些链路视频流服务器组播管理路由器不支持组播的交换机视频流不需接受视频不需接受视频需要接收视频需要接收视频 不需接受视频13组播方案组播方案l方案方案1：VLAN定义组播的边界定义组播的边界方法不灵活，对VLAN数目要求高l方案方案2：GMRP目前没有第三方客户端支持l方案方案3：IGMP Snooping 14IGMP Snooping原理原理l二层交换机截获主机和路由器二层交换

6、机截获主机和路由器之间传送的之间传送的IGMP报文，建立组报文，建立组播播MAC和端口的对应表，从而和端口的对应表，从而控制组播报文在二层交换机上控制组播报文在二层交换机上的转发。的转发。网络IGMPIGMP15IGMP Snooping应用应用l二层交换机侦听用户发往组播路由器的二层交换机侦听用户发往组播路由器的IGMP数数据报文，明确端口的组播成员据报文，明确端口的组播成员IGMP视频服务器组播管理路由器视频数据流支持IGMP Snooping的二层交换机接收者非接收者接收者接收者 非接收者16交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP s

7、noopinglQinQlSuper VLANlP-VLANlPVE17QinQ原理原理1l 也称为也称为Double-Tagging，VLAN stacking，NestedVLAN，Service VLAN等等。其实就是支等等。其实就是支持双持双VLAN标签转发。标签转发。l IEEE 802.1ad标准定义了标准定义了S-TAG(Service VLAN Tag)，S-TAG与与C-TAG(Customer VLAN Tag)格格式相同。式相同。DMACSMAC8100VID18100VID2EtherTypeS-TAGC-TAGTPID18QinQ原理原理2S-TAGPacketS-T

8、AGPacketC-TAGDouble-tagged PacketSingle-tagged PacketProvider NetworkPacketPacketC-TAGSingle-tagged PacketUntagged PacketUntagged PacketPacketPacketC-TAGSingle-tagged PacketPush S-TAG at Access PortStrip S-TAG at Access P19QinQ原理原理3l日益紧缺的公网日益紧缺的公网VLAN ID资源问题。资源问题。l用户可以规划自己的私网用户可以规划自己的私网VLAN ID，不会，不会

9、导致和公网导致和公网VLAN ID冲突。冲突。l为小型城域网或企业网提供一种较为简单为小型城域网或企业网提供一种较为简单的二层的二层VPN解决方案。解决方案。20QinQ基本配置基本配置G3/1/1为用户侧端口，为用户侧端口，G3/1/2为公网端口，要求用户为公网端口，要求用户报文打上报文打上S-TAG在公网上传输在公网上传输配置接入端口配置接入端口H3Cinterface GigabitEthernet 3/1/1H3C-GigabitEthernet3/1/1port access vlan 100H3C-GigabitEthernet3/1/1vlan-vpn enable Some A

10、CL with VLAN tag may not take effect配置公网端口配置公网端口H3Cinterface GigabitEthernet 3/1/2H3C-GigabitEthernet3/1/2port link-type trunk H3C-GigabitEthernet3/1/2port trunk permit vlan 100报文从报文从3/1/1进入，从进入，从3/1/2出来的时候出来的时候S-TAG为为VLAN21QinQ进阶配置进阶配置l 部分交换机（如部分交换机（如S8500）实现了）实现了S-TAG中的中的TPID(Tag Protocol Identifi

11、er)可设置。按运行商可设置。按运行商要求，我们可以用非要求，我们可以用非0 x8100值来指定值来指定TPID值。值。l 继续前面的配置，现在我们指定从公网端口继续前面的配置，现在我们指定从公网端口G3/1/2出来的报文出来的报文S-TAG中的中的TPID值为值为0 x9100H3Cvlan-vpn tpid 9100H3C-GigabitEthernet3/1/2vlan-vpn uplink enable 22交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE23SuperV

12、LAN原理原理1l SuperVLAN又称为又称为VLAN聚合，其原理是一个聚合，其原理是一个Super VLAN包含多个包含多个Sub VLAN ，多个，多个SubVLAN共用一个子网。共用一个子网。1234SuperVLAN100192.168.100.1SubVLAN40SubVLAN30SubVLAN24SuperVLAN原理原理2l 每个每个Sub VLAN是一个广播域，不同是一个广播域，不同Sub VLAN之间二层相互隔离，之间二层相互隔离，Sub VLAN不能配置虚接口不能配置虚接口IP地址。多个地址。多个VLAN共享一个共享一个IP地址，从而节省了地址，从而节省了IP地址资源地

13、址资源 l 不同不同Sub VLAN间的三层互通及间的三层互通及Sub VLAN与其与其他网络的互通，需要利用他网络的互通，需要利用ARP代理功能。代理功能。 l SuperVLAN的目的是节省的目的是节省IP地址地址25SuperVLAN基本配置基本配置H3Cvlan 20H3C-vlan20port GigabitEthernet 3/1/2H3C-vlan20vlan 30H3C-vlan30port GigabitEthernet 3/1/3H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 3/1/4H3C-vlan40vlan 100H

14、3C-vlan100supervlanH3C-vlan100subvlan 20 30 40H3Cinterface vlan 100H3C-Vlan-interface100ip address 192.168.100.1 24H3C-vlan100display supervlan Supervlan ID : 100 Subvlan ID : 20 30 40 Subvlan in which arp proxy is disabled: 20 30 26ARP代理代理lSubVLAN的的ARP代理功能默认关闭，各代理功能默认关闭，各SubVLAN间用户无法互通；间用户无法互通；l用户要

15、在用户要在SubVLAN之间通讯，则必须打开之间通讯，则必须打开SubVLAN的的ARP代理功能；代理功能；l打开打开ARP代理将严重影响代理将严重影响ARP性能。性能。27SubVLAN用户互通配置用户互通配置H3Cvlan 20H3C-vlan20 arp proxy enableH3Cvlan 30H3C-vlan30 arp proxy enableH3C-vlan40display supervlan Supervlan ID : 100 ARP proxy : enabled Subvlan ID : 20 30 40 Subvlan in which arp proxy is d

16、isabled: 28交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE29PVLAN原理原理1lPVLAN是二层是二层VLAN的概念，跟三层的概念，跟三层VLAN，ARP Proxy全没关系全没关系1234Primary VLAN100SecondaryVLAN40SecondaryVLAN30SecondaryVLAN20上行端口上行端口接入端口接入端口30PVLAN原理原理2l 接入端口属于接入端口属于SVLAN(Secondary VLAN)和和PVLAN(Primary

17、VLAN),上行端口属于上行端口属于PVLAN和和所有的所有的SVLAN；l 从上行端口下行的报文在从上行端口下行的报文在PVLAN中转发中转发,接入端接入端口上行的报文在口上行的报文在SVLAN中转发；中转发；l PVLAN的目的是为了节省的目的是为了节省VLAN资源；资源；l 缺点：节省了缺点：节省了VLAN资源的同时浪费了硬件资源的同时浪费了硬件MAC表项的资源。表项的资源。31PVLAN原理原理31234PVLAN100SVLAN40SVLAN30SVLAN20上行报文在SVLAN中转发，并将MAC同步到PVLAN中下行报文在PVLAN中转发，因为事先同步了SVLAN的MAC，所以报文

18、只会单播到SVLAN的一个端口去0000-1111-2222202MACVLANPort方式方式学习学习0000-1111-22221002软件同步0000-3333-44441001学习学习0000-3333-4444202软件同步0000-3333-4444303软件同步0000-3333-4444404软件同步l 为防止上行和下行报文在为防止上行和下行报文在VLAN中广播。上行端中广播。上行端口学习到的口学习到的MAC在每个在每个SVLAN中同步一份，下中同步一份，下行端口学习到的行端口学习到的MAC同步一份到同步一份到PVLAN中去。中去。32PVLAN典型配置典型配置# 配置配置PV

19、LAN(isolate-user-vlan)H3Cvlan 100H3C-vlan100isolate-user-vlan enable H3C-vlan100port GigabitEthernet 3/1/1# 配置配置Secondary VLAN H3C-vlan100vlan 20H3C-vlan20port GigabitEthernet 3/1/2H3C-vlan20vlan 30 H3C-vlan30port GigabitEthernet 3/1/3H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 3/1/4# 配置配置isola

20、te-user-vlan和和Secondary VLAN间的映射关系间的映射关系 H3C-vlan40quit H3Cisolate-user-vlan 100 secondary 20 30 40 33交换机相关协议及技术交换机相关协议及技术lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE34Private Edge VLAN原理原理1l 重定向二层数据报文到指定的上行端口重定向二层数据报文到指定的上行端口(上行端口上行端口可以是单个端口或者聚合组可以是单个端口或者聚合组)l 隔离端口之间不能互通，上行口之间可以互通

21、；隔离端口之间不能互通，上行口之间可以互通；l 隔离端口与上行端口必须在同一隔离端口与上行端口必须在同一VLAN内，同一内，同一VLAN内允许存在多个隔离组，一个隔离组只能内允许存在多个隔离组，一个隔离组只能有一个上行端口，不同隔离组的上行端口可以相有一个上行端口，不同隔离组的上行端口可以相同可以不同同可以不同35Private Edge VLAN原理原理21234group156group2group3两个隔离组可以共用一个上行端口，但似乎没什么意义7上行口可以为聚合端口8下行口也可以为聚合端口隔离端口隔离端口上行端口上行端口36Private Edge VLAN原理原理3l 解决了解决了PVLAN的的MAC浪费的问题浪费的问题l 同时也不会浪费本设备的同时也不会浪费本设备的VLAN资源资源l 配置比较灵活配置比较灵活l 注意：只重定向二层流，对三层流的处理与普通注意：只重定向二层流，对三层流的处理与普通端口没有区别端口没有区别37端口隔离典型配置端