二／三层交换机原理

2023/2/2二／三层交换机原理(VLAN,VLANIF,Trunk,

VRRP)Page2TCP/IP与OSI七层模型应用层表示层会话层传输层网络层链路层物理层HTTPFTPTELNETOSPFISISRIPTCPUDPSCTPIPETHPPPFRX25ATM物理介质ICMPARP/RARP链路层封装网络层封装传输层封装净荷。。。报文：Contents交换机原理HUB与Switch的区别VLAN＆VLANIF介绍ARP&GratuitousARP几个常见问题解答VRRPPage4哦，这封信是给地瓜的。土豆，土豆信已收到不是给我的，丢弃不是给我的，丢弃是我的信，收下HUB传统HUB的工作过程Page5哦，这封信是给地瓜的。收到，发一个回执哦，4口连的设备叫地瓜，OK，送4口!送信人叫土豆，而1口连的设备叫土豆，OK，转1口！这两人都不叫地瓜，都不会收到信传统Switch的已知地址报文转发过程Page6哦，这封信是给地瓜的。土豆，土豆地瓜在这里哦，不知道地瓜在哪里，发寻人启事找我的人叫土豆，而1口连的设备叫土豆，OK，转1口！不是找我的，丢弃不是找我的，丢弃传统Switch的地址未知报文广播过程Page7问题：如何隔离广播域？广播域1广播域2VLAN10广播域VLAN20广播域RouterSwitch+VLANContents交换机原理HUB与Switch的区别VLAN＆VLANIF介绍ARP&GratuitousARP几个常见问题解答VRRPPage9VLAN实例VLAN作用隔离广播域增强保密性，提高网络安全性组网灵活良好的扩展性划分VLAN原则：基于MAC地址基于端口基于协议基于IP地址基于组合策略ToInternet人力部网络部营销部Page10Trunk端口Access端口Hybrid：允许多个VLAN报文通过，也允许不带VLAN的报文通过。收到不带VLAN标记报文默认则认为其属于缺省VLAN（PVID）。VLAN的三种端口类型Page11TrunklinkAccesslinkFrameTagging的工作过程普通IP报文VLANTAGVID：VLANID，长度为12比特，表示该帧所属的VLANPage12/80000-1a2b-0001/80000-1a2b-0002/80000-1a2b-0003/80000-1a2b-0005/80000-1a2b-0004/80000-1a2b-0007/80000-1a2b-0006VLAN之间的路由同一VLAN报文路径不同VLAN间报文路径Page13L3交换机介绍RouterL2SwitchVLAN10VLAN20三层交换机中的三层转发引擎在各个VLAN之间转发报文，而每个VLAN一般对应一个网段，因此三层交换机的路由功能通常叫做VLAN间路由（Inter-VLANRouting）。在逻辑上三层交换和路由是等同的，三层交换的过程就是IP报文选路的过程。但在具体实现上，传统路由器和传统交换机是有区别的：传统路由器通过微处理器上运行的软件实现查找和转发三层交换机通过硬件实现查找和转发，但转发路由表与路由器一样，需要软件通过路由协议来建立和维护L3SwitchVLAN10VLAN20VLANIF10VLANIF20Page14三层交换技术传统三层技术对每个报文进行处理，并基于第三层地址转发报文。这一方法称为报文到报文。123123123123不在三层处理所有报文的的方法称之为流交换。123123123123第一个报文后续报文Page15匹配算法最长匹配算法精确匹配算法网络地址子网掩码接口编号其他3...2...2...Intf1Intf2Intf3SIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx网络地址路由接口端口号其他812...912...9933...Port1Port2Port3SIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxPage16RouterL3分类根据网络应用位置，一般分为骨干、高端、中端、接入系列路由器根据网络应用位置，一般分为高端、中端、接入系列L3应用特点一般用于Internet或接入Internet或电信级数据网一般用于园区/企业组网性能骨干达到10Tbit转发，接口最高40GE转发，而且接近线速转发骨干达到Tbit转发，接口一般最高10GE转发，一般不是线速转发，一般不支持POS广域口价格策略高昂高端应用低廉，高端L3的端口可以是高端Router的1/3价格以下架构芯片复杂，可处理百万级路由硬转发(查找)，可以支持百框以上的分布式查找，可靠性高，抗攻击能力强。芯片一般复杂，仅支持万级硬转发(查找)，不能命中的路由需要上报查找，极端会导致Down机，可靠性不高，抗攻击能力弱。业务为了支持灵活业务，芯片复杂业务较简单，芯片简单，但部分顶级L3可以接近替代路由器潜规则Cisco“垄断”的高利润市场，通过协议/业务/性能/可靠性等制造各种门槛数通小厂商的低价市场，正在不断试图打破Cisco的市场，蚕食中低端组网应用。Router与L3的比较Page17正在规划的RPU板DPU单板路由转发二层交换（兼有交换和汇聚/分发功能）分发和内外网隔离功能Router路由协议VRRPTrunkDPU核心网设备三层交换机Router三层交换机Router核心网设备单板三层交换机核心网设备VRRPContents交换机原理HUB与Switch的区别VLAN＆VLANIF介绍ARP&GratuitousARP几个常见问题解答VRRPPage19ARP－地址解析协议不知道的MAC地址？IP:/24MAC:00-E0-FC-00-00-11IP:/24MAC:00-E0-FC-00-00-12ARPRequestARPReply仅有IP为的主机回响应业务报文Page20GratuitousARP－免费ARP源IP：源MAC：00-E0-FC-00-00-11目的IP：（同源IP）目的MAC：0G-ARPRequest?ARPReplyIP:/24MAC:00-E0-FC-00-00-11问题1、如果PC1没有收到ARPReply意味着什么，如果收到了呢？2、网络中其它主机收到免费ARP报文，需要怎么处理？PC1PC2Page21免费ARP报文应用举例L3-1L3-2SoftXIPBearerNetwork主链：IP1-1备链：IP1-1OSPF备注：CE/用户边缘设备；我司Soft产品的接口板IFM，为主备板保护，主备板配置相同的IP，不同的MAC。问： 如果软交换发生单板倒换，Soft需要支持哪些功能，才能保证业务不受影响？Contents交换机原理HUB与Switch的区别VLAN＆VLANIF介绍ARP&GratuitousARP几个常见问题解答VRRPPage23物理端口与路由接口的区别RouterL3SwitchVLAN10问题路由器、L3的物理端口与路由接口分别是什么关系？A：一对一B：一对多C：多对一物理端口1物理端口2路由接口1路由接口21234VLAN20路由接口2：VLANIF20路由接口1：VLANIF10物理端口1物理端口4Page24LSW之间多条级联链路为什么要做捆绑？疑问：LSW之间从可靠性，以及增加带宽的角度考虑，往往都会连接2条或者多条FE/GE链路，为什么必须要做链路捆绑？1423L1L2Port12341234…出现环路！Link1Link2Page2510M半双工、100M全双工、自适应／手工的含义10M、100M、1000M：表示Ethernet端口的发送／接收频率半双工／全双工：

全双工：交换机能够同时发送、接收数据，两者同步进行。全双工的好处在于迟延小，速度快

半双工：对于收和发，一个时间段内只能有一个动作发生，不能同时进行收和发。

早期的对讲机、集线器等设备都是半双工。随着技术的不断进步，半双工会逐渐退出历史舞台。

（提示：如果在通信过程的任意时刻，信息只能由一方A传到另一方B，则称为单工。）自适应：指一条Ethernet链路的两端设备，通过自协商而非手工配置的方式确定彼此的工作模式。

对电口一般只协商10/100/1000M速率，及全双工/半双工模式

对光口除了协商速率和工作模式外，还会有其他协商项，如流控，远程错误指示等

自适应的优点是工作的同时还能够检测单通等链路故障，缺点是可能协商结果不是最佳工作模式链路两端的设备的工作模式（速率/双工）必须一致，否则无法正常工作。

我司Soft与Router/L3自协商结果OK，一般推荐采用自协商模式

我司UMG接口存在BUG，无法与Router/L3自协商出100M全双工，需要手工指定100M全双式模式Page26加强：交换机报文处理步骤报文处理AccessTrunkHybrid收报文1、收到一个报文2、判断是否有VLAN信息，如果没有则转到第3步，否则直接丢弃3、打上端口的PVID，并进行交换转发1、收到一个报文2、判断是否有VLAN信息：如果没有则打上端口的PVID3、判断该端口是否允许该VLAN的数据进行转发：如果可以则转发，否则丢弃与Trunk相同发报文将报文的VLAN信息剥离，直接发送出去（在交换机内部，转发到该端口的VLAN报文，其VLANID必与该端口的PVID相同）1、比较端口的PVID和将要发送报文的VLAN信息2、如果两者相等则转到第3步，否则转到第4步3、剥离VLAN信息，再发送4、直接发送1、判断待转发报文的VLANID在本端口的属性（untag，tag）2、如果是untag则转到第3步，如果是tag则转到第4步3、剥离VLAN信息，再发送4、直接发送Contents交换机原理VRRP概念可靠性分析VRRP与思科HSRP有什么区别？VRRP不足及改进思路探讨Page28为什么需要VRRP？InternetIP11

GW:XIP22

GW:IP33

GW:IP44

GW:R1:R2:VirtualIP:R1:VRRPPage29VRRP概述1VRRP部分名词介绍虚拟路由器号（VRID）

范围1～255，由用户配置。有相同VRID的一组路由器构成一个虚拟路由器。虚拟IP地址（VirtualIPAddress）

一个虚拟路由器除拥有自己的接口地址外，还与同一VRID内的其它路由器共享一个虚拟IP地址，一般局域网内各主机以虚拟IP地址作为它们的缺省网关。如果虚拟IP地址接口与接口地址相同，则IP地址拥有者(IPaddressowner)。虚拟MAC地址（VirtualMACAddress）

一个虚拟路由器拥有一个虚拟MAC地址：00-00-5E-00-01-{VRID}。当虚拟路由器回应ARP请求时，回应的是虚拟MAC地址，而不是接口的真实MAC地址。Virtualroutermaster（主用虚拟路由器） 一个VRID组内只有优先级最高的路由器才能成为主用虚拟路由器，只有主用路由器响应目的地址为为虚拟IP／虚拟MAC的报文。IP地址拥有者则恒为主用路由器Virtualrouterbackup（备用虚拟路由器） 一个VRID组网除主用虚拟路由器之外的所有虚拟路由器都是备用虚拟路由器，可以有多台，备用路由器不响应目的地址为虚拟IP／虚拟MAC的报文，当主用路由器故障的时候，剩余路由器中优先级最高的升为主用。Page30VRRP概述2VRRP部分名词介绍优先级

同一VRID下如果有多台路由器，则优先级（1－255,数值越大优先级越高）最高的成为主路由器，若优先级相同，则主IP地址大的就成为主路由器。通告周期

当主路由器正常工作时，它会每隔一段时间（Advertisement_Interval）发送一个VRRP组播报文，以通知组内的备份路由器，主路由器处于正常工作状态。当组内的备份路由器长时间（Mater_Down_Interval）没有接收到来自主路由器的报文，则将自己转为主路由器。监视接口状态

主用路由器设定了监视上行接口时，如果主用路由器的上行接口DOWN掉时，其优先级下降，导致备份组内其它路由器的优先级高于这个路由器的优先级，这时剩余路由器中优先级最高的路由器成为主用路由器。抢占模式（Preempt_Mode）

一旦备份组中的某台路由器成为主路由器，只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为主路由器，除非被设置为抢占方式。Page31常见VRRP组网G9BearerNetworkL2-1R1R2L2-2MSoftXVRRPUMGG9BearerNetworkR1R2UMGMSoftXGE-TrunkVRRP需要路由器支持二层交换功能主推方案G9BearerNetworkL3-1L3-2MSoftXVRRPUMG次选方案Contents交换机原理VRRP概念可靠性分析VRRP与思科HSRP有什么区别？VRRP不足及改进思路探讨Page33主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP互联TRUNK正常，VLANIF正常，VRRP不倒换MSX检测到故障后主备倒换，发送免费ARP更新数通设备ARP表流量从Slave通过备用链路转发给Master正常情况下流向Page34主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRPMaster监控到上行故障，降低优先级，VRRP倒换,且路由收敛VRRP倒换后发送ARP更新流量走二层或三层转发（视VRRP倒换与路由收敛速度而定）MSX检测不到故障(链路正常，网关可达)，不倒换Page35主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP3个周期检测不到心跳包，发生倒换倒换后发送ARP更新MSX检测到故障，主备倒换，发送免费ARP更新数通设备ARP表Page36主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP检测不到心跳包，升为主用，出现双主Master路由器得不到ARP响应，把接收的流量丢弃！VRRP组网路由器之间的互联链路非常重要！MSX备板不响应Router的ARP请求路由器发起目的地址为MSXIP的ARP请求MSX检测不到故障，不倒换Contents交换机原理VRRP概念可靠性分析VRRP与思科HSRP有什么区别？VRRP不足及改进思路探讨Page38VRRP与思科HSRP有什么区别？HSRP是cisco私有的，只适用于cisco设备。VRRP符合internet标准（RFC2338），事实上VRRP协议就是在HSRP的基础上制定出来的，但是对HSRP进行了简化和增强。VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态)和8个事件,

VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文告辞(Resign)报文突变(Coup)报文。VRRP只有一种广播报文:由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。HSRP将报文承载在UDP报文上，而VRRP承载在TCP报文上(HSRP使用UDP1985端口，向组播地址

发送hello消息。)VRRP支持将真实接口IP地址设置为虚拟IP地址，HSRP不支持VRRP的通告周期以秒为单位，最小1秒。崩溃间隔时间:3*通告周期+时滞时间(skew-time)。