三层交换原理

1、Ruijie University内 容Contents1认识三层交换机21、认识三层交换机三层交换的应用场景跨网段（VLAN）互访要解决不同VLAN内的PC无法直接获取到对方的ARP信息 不同VLAN之间广播报文二层交换机只能在同一VLAN内根据MAC地址转发报文无法实现跨VLAN来转发报文三层实现跨（网段）VLAN转发二层交换机二层交换机VLAN 10VLAN 30能够完成二层封装能够完成二层封装192.168.1.10/24192.168.3.10/24主机默认网关当一台PC A（192.168.1.10）需要在同一网段的其他PC B （192.168.1.11）时，PC A和PC B的

2、IP地址配置如下所示：PC A的IP地址配置PC B的IP地址配置PC A和PC B的通信过程如基础篇的描述主机默认网关当一台PC A（192.168.1.10）需要，PC A的IP地址配置如下所示：其他网段的PC（比如ernet时）时默认网关是保证PC A可以 ernet的重要配置。在日常使用PC时都会设置该选项主机默认网关网关（Gateway）的概念网关是PC外部网络（除了PC所在网段之外的网络）的必经，那么网关对应的IP地址应该在什么地方配置呢？VLAN 10以及VLAN 30所对应的网关IP都设置在三层交换机上Switch(config)# vlan 10Switch(config)#

3、 vlan 30Switch(config)#erface vlan 10Switch(config-if)# ip address 192.168.1.254 255.255.255.0 Switch(config)#erface vlan 30Switch(config-if)# ip address 192.168.3.254 255.255.255.0三层交换机二层交换机二层交换机VLAN 10VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24三层交换机的SVISVI接口erface vlan也称为SVI（Switch virtualerface

4、）即交换虚拟接口，这网关接口种接口是存在于交换机，与VLAN进行关联，而不是特指某个物理接口。属于同一VLAN内的主机都可以直接到这个接口的IP，以下图的VLAN 10为例：三层交换机erface vlan 10ip address 192.168.1.254 255.255.255.0VLAN 10switchport acs vlan 10switchport mode trunk192.168.1.11/24二层交换机VLAN 10两台PC都可以192.168.1.254这个地址PC A192.168.1.10/24三层交换机的SVISVI接口只要三层交换机上有UP的接口（可以是acVL

5、AN 10，那么SVI 10接口也是UP的s接口、也可以是trunk接口）属于三层交换机erface vlan 10ip address 192.168.1.254 255.255.255.0erface vlan 20ip address 192.168.2.254 255.255.255.0VLAN 10switchport acs vlan 10switchport mode trunk192.168.1.11/24二层交换机VLAN 10Ruijie#sh ip erfaceVLAN 10VLAN 20erface briefIP-Address(Pri) 192.168.1.254/

6、24192.168.2.254/24OK?YES YESSus UP UPPC A192.168.1.10/24为什么SVI 20也是UP的？2、三层交换机作为主机的默认网关能够根据所收到IP报文的目的地址进行转发,如PC A 去PC B。erface vlan 10ip address 192.168.1.254 255.255.255.0erface vlan 30ip address 192.168.3.254 255.255.255.0三层交换机二层交换机二层交换机VLAN 10VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24这里只是说明三层交

7、换的结果，实际上在三层转发的过程中很多细节问题都没有考虑S：192.168.1.10D：192.168.3.10ICMP Echo RequestS：192.168.1.10D：192.168.3.10ICMP Echo Request三层交换的详细工作过程（以PC APC B为例）1.PC A完成TCP/IP封装，源IP和目的IP都已经确定好了，源MAC也已经确定好，目的MAC地址该如何确定呢？PC A是否可以直接发送ARP查询报文来查询PC B的MAC？三层交换机erface vlan 10ip address 192.168.1.254 255.255.255.0二层交换机二层交换机VL

8、AN 10ARP查询报文 192.168.3.10 对应的MAC是多少？VLAN 30PC APC BPC B能否收到这个ARP查询报文？192.168.1.10/24192.168.3.10/24MACS：PC A MACD：?IPS：192.168.1.10D：192.168.3.10ICMP Echo Request三层交换的详细工作过程（以PC APC B为例）1.PC A完成TCP/IP封装，源IP和目的IP都已经确定好了，源MAC也已经确定好，目的MAC地址该如何确定呢？PC发送的ARP查询报文中的Tagert IP Address字段（即查询哪个IP）有如下两个规则： 如果PC与

9、之通信的目的IP与PC在同一网段内（比如本地IP为192.168.1.10/24,要通信的IP地址为192.168.1.11），则发送的ARP查询报文中的段即为192.168.1.11,即直接查询目的IP所对应的MAC地址IP Address字 如果PC与之通信的目的IP与PC不在同一网段内（比如本地IP为192.168.1.10/24,要通信的IP地址为192.168.3.10），则发送的ARP查询报文中的IP Address字段为网关IP地址（192.168.1.254），即发送ARP查询报文来查询网关IP所对应的MAC地址三层交换的详细工作过程（以PC APC B为例）1.PC A完成T

10、CP/IP封装，源IP和目的IP都已经确定好了，源MAC也已经确定好，目的MAC地址该如何确定呢？ PC A首先发出ARP查询报文来查询网关IP 192.168.1.254所对应的MAC地址三层交换机erface vlan 10ip address 192.168.1.254 255.255.255.0MAC地址表12VLANMAC地址端口VLAN 10ARP查询报文210PC A MAC12交换机进行源MAC地址学习，学习到了 PC A的MAC地址二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24ARP查询报文交换

11、机进行源MAC地址，学习到了 PC A的MAC地址ARP表项IPMAC地址接口192.168.1.10PC A MACVlan 10MAC地址表VLANMAC地址端口10PC A MAC1三层交换的详细工作过程（以PC APC B为例）1.PC A完成TCP/IP封装，源IP和目的IP都已经确定好了，源MAC也已经确定好，目的MAC地址该如何确定呢？三层网关交换机发送ARP响应报文（包含erface vlan 10接口对应的MAC），ARP响应报文的源MAC为网关IP的MAC，目的MAC为PC A的MACerface vlan 10ip address 192.168.1.254 255.25

12、5.255.0三层交换机1222 二层交换机 二层交换机11VLAN 3010PC A192.168.1.10/24PC B192.168.3.10/24ARP响应报文 AN交换机进行源MAC地址学习，学习到了 vlan 10网关的MAC地址VLAN 10ARP响应报文MAC地址表VLANMAC地址端口10PC A MAC110Vlan10网关2MAC地址表VLANMAC地址端口10PC A MAC1三层交换的详细工作过程（以PC APC B为例）2.PC A获取到网关IP对应的MAC地址后就可以完成TCP/IP封装,将报文发送出去，经过二层交换机转发至三层网关交换机MAC地址表SMACD：

13、VLAN an 1MAC地址端口erface vlan 10ip address 192.168.1.254 255.255.255.0网关(vl0) MAC三层交换机TAG 10 LANPC A MAC1: V10MAC地址表.1012MIPAC地址VLAN端口D：192.168.3.1010PC A MAC1ICMP Echo Request10Vlan10网关122二层交换机二层交换机1VLAN 101VLAN 30C APC B192.168.1.10/24192.168.3.10/24MACS：PC A MACD：网关(vlan 10) MAC PIPS：192.168.1.10D：

14、192.168.3.10ICMP Echo Request三层交换的详细工作过程（以PC APC B为例）3.三层网关交换机的erface vlan 10接口会对这个报文进行处理（报文的TAG标记为VLAN 10,并且目的MAC也为erface vlan 10接口的MAC）上层内容，目的IP为192.168.3.10,位于erface vlan 30接口的网段继续内，因此将进行三层转发erface vlan 10ip address 192.168.1.254 255.255.255.0erface vlan 30ip address 192.168.3.254 255.255.255.0三层

15、交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24MACS：PC A MACD：网关(vlan 10) MACTAG : VLAN 10IPS：192.168.1.10D：192.168.3.10ICMP Echo Request三层交换的详细工作过程（以PC APC B为例）3 . 三层网关交换机直接将从端口1接收到的数据直接端口2转发出去吗？VLAN 标记：端口2所连接的对端二层交换机上只有VLAN30源MAC地址：为VLAN 10中PC A的MAC目的MAC地址：为VLAN 10 网关接口的MAC

16、地址直接将报文转发出去是不能达到PC B的三层交换机122二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24MACS：PC A MACD：网关(vlan 10) MACTAG : VLAN 10IPS：192.168.1.10D：192.168.3.10ICMP Echo Request2三层交换的详细工作过程（以PC APC B为例）3 .三层转发的实际结果就是跨VLAN进行转发，不同VLAN内的MAC地址转是完全的，因此三层转发时，数据包从一个VLAN进入到另一个VLAN时，源MAC和目的MAC都需要进行变更网关

17、（vlan 30） MAC PC B MACVLAN 30（目的MAC在VLAN30中）erface vlan 10ip address 192.168.1.254 255.255.255.0erface vlan 30ip address 192.168.3.254 255.255.255.0三层交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24MACS：PC A MACD：网关(vlan 10) MACTAG : VLAN 10IPS：192.168.1.10D：192.168.3.10ICMP E

18、cho Request三层交换的详细工作过程（以PC APC B为例）3 .三层网关交换机在ARP表项查询PC B 的IP所对应的MAC地址，如果有相应条目则直接提取出来使用，如果没有则需要发送ARP查询报文来获取PC B对应的MAC地址三层交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24ARP表项IPMAC地址接口192.168.1.10PC A MACVlan 10MACS：网关(vlan 10)MACD：PC B MACTAG : VLAN 30IPS：192.168.1.10D：192.168

19、.3.10ICMP Echo Request三层交换的详细工作过程（以PC APC B为例）4 .三层网关交换机发送ARP查询报文，查询PC B的MAC地址，该ARP查询报文的源MAC地址为erface vlan 30接口所对应的MAC地址三层交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24ARP查询报文交换机进行源MAC地址学习，学习到了vlan 30网关的MAC地址MAC地址表VLANMAC地址端口30Vlan30网关2VLAN 10ARP查询报文ARP表项IPMAC地址接口192.168.1.1

20、0PC A MACVlan 10三层交换的详细工作过程（以PC APC B为例）5 .PC B对ARP查询报文进行响应，返回ARP响应报文，其源MAC是PC B的MAC地址，目的MAC是VLAN 30网关接口的MAC地址三层交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24ARP响应报文交换机进行源MAC地址学习，学习到了PC B的 MAC地址VLAN 30ARP响应报文MAC地址表VLANMAC地址端口30Vlan30网关230PC B MAC1交换机进行源MAC地址学习，学习到了 PC B的MAC地

21、址，同时又更新了ARP表项MAC地址表VLANMAC地址端口10PC A MAC130PC B MAC2ARP表项IPMAC地址接口192.168.1.10PC A MACVlan 10192.168.3.10PC B MACVlan 30三层交换的详细工作过程（以PC APC B为例）6 .当三层网关交换机掌握PC B的ARP表项时，即可以完成二层封装，然后再查找 MAC地址表，将报文从端口2转发出去（如果出接口为Trunk，则添加目的MAC所属VLAN的TAG字段）三层交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.1

22、68.3.10/24MAC地址表VLANMAC地址端口10PC A MAC130PC B MAC2ARP表项IPMAC地址接口192.168.1.10PC A MACVlan 10192.168.3.10PC B MACVlan 30MACS：网关(vlan 30)MACD：PC B MACTAG : VLAN 30IPS：192.168.1.10D：192.168.3.10ICMP Echo Request三层交换的详细工作过程（以PC APC B为例）7 .后续数据转发过程PC APC B，首先完成TCP/IP封装，经过二层交换机转发至三层网关交换机，三层网关交换机首先查找ARP表项，找到

23、目的IP所对应的MAC地址，完成目的 MAC替换（同时替换源MAC地址为目的IP所在VLAN的SVI接口MAC地址），再查找MAC地址表项，找到替换后的目的MAC地址的出接口及对应VLAN标记，进行VLAN标记替换后从相应的出接口转发出去。三层交换机1222二层交换机二层交换机1VLAN 101VLAN 30PC A192.168.1.10/24PC B192.168.3.10/24MAC地址表VLANMAC地址端口30PC B MAC130Vlan30网关2MAC地址表VLANMAC地址端口10PC A MAC110VLAN10网关2MAC地址表VLANMAC地址端口10PC A MAC13

24、0PC B MAC2ARP表项IPMAC地址接口192.168.1.10PC A MACVlan 10192.168.3.10PC B MACVlan 30相关show命令的输出（1）查看SVI接口对应的MAC地址Ruijie#sherfavlan 10Index(dec):4097 (hex):100a VLAN 1 is UP , line protocol is UPHardware is VLAN, address is 001a.a97e.9d8c (bia 001a.a97e.9d8c) erface address is: 192.168.1.254/24ARP type: AR

25、PA, ARP Timeout: 3600 seconds MTU 1500 bytes, BW 1000000 KbitEncapsulation protocol is Ethernet-II, loack not setKeepaliveerval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1 Queueing strategy: FIFOOutput queue 0/0, 0 drops; Input queue 0/75, 0 drops相关show命令的输出（2）查看MAC地址表项Ruijie#sh ma

26、c-address-tableVlanMAC AddressTypeerface1010101020202020001a.a919.414d000d.9dd2.65870011.2517.54300015.e92d.5e740016.36a5.2b030016.41e5.53660016.d31e.2a890016.d32c.2070DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMICFastEthernet 0/1 FastEthernet 0/2 FastEthernet 0/3 FastEthernet 0/4 FastE