交换机原理及配置-2016-03

2023/11/31以太网原理与二层组网技术

通信工程系西安邮电大学通信与信息工程学院2023/11/3以太网原理以太网的历史及发展帧结构多址访问CSMA/CD2023/11/3Ethernet的历史第一个使用的局域网技术，70年代开发于XeroxPARC目前“Dominant”LAN技术:采用CSMA/CD多址接入技术。基带传输，廉价不断的技术进步:10，100，1000，10000MbpsMetcalfe的Ethernet原理图2023/11/3Ethernet的发展第一阶段（1973—1982）：以太网的产生与DIX联盟第二阶段（1982—1991）：10Mb/s以太网发展成熟第三阶段（1992—1997）：快速以太网的出现第四阶段（1997—现在）：千兆以太网及万兆以太网2023/11/3以太网相关技术标准年代速率通用名称IEEE编号距离介质19733Mbit/sXerox以太网?同轴198010Mbit/sEthernetIDIX500米同轴198410Mbit/sEthernetIIDIX500米同轴198510Mbit/s10Base5(粗缆)802.3500米同轴(RG-11)198510Mbit/s10Base2(细缆)802.3185米同轴(RG-58)198910Mbit/s10BaseT802.3100米3类UTP1995100Mbit/s100BaseTX802.3u100米5类UTP1995100Mbit/s100BaseFX802.3u400米多模光纤单模光纤19981Gbit/s1000BaseSX802.3z260米550米62.5µm多模光纤50µm多模光纤19981Gbit/s1000BaseLX802.3z550米5km50µm多模光纤10µm单模光纤19991Gbit/s1000BaseT802.3ab100米5E或6类UTP200110Gbit/s10GbE802.3ae65米40公里50µm多模光纤10µm单模光纤2023/11/3Ethernet帧结构发送方网络适配器将IP分组(或其它网络层分组)封装到Ethernet帧中。2023/11/3Ethernet帧结构Preamble:

7个字节的10101010，一个字节10101011

用于发送方和接收方的时钟同步。Addresses:6字节每个适配器在生产时分配一个全球唯一的地址：制造商从IEEE申请地址空间24bitsidentifymanufacturer例如0:0:15:*3comadapter适配器可以收到LAN上的所有帧，如果地址匹配则送到本地的网络层，否则则丢弃。特殊地址广播地址–FF:FF:FF:FF:FF:FFis“everybody”多播地址－所有第一位为“1”，但不是广播地址适配器会维持一个感兴趣的多播组节点的列表2023/11/3Ethernet帧结构Type:2字节指明信息字段承载的高层协议，如IP，NovellIPX，AppleTalk等。FCS:4字节CRC计算时不含前导码在接收方检测，如果发现错误，则简单丢弃帧2023/11/3CSMA/CD先听后发，边发边听，冲突停止，随机延迟后重发。2023/11/3Ethernet组网技术共享式以太网交换式以太网以太交换机原理交换机配置

共享式以太网典型代表10Base-TCSMA/CD:先听后发，边发边听，冲突回避，随机延迟后重发CSMA/CD的作用范围是一个冲突域缺点：所有主机共享带宽，难以支持大型网络。2023/11/3集线器2023/11/3冲突域和广播域在10Base-T中如果同时有两个及以上的站点同时发送数据，必定会发生冲突。在这样的共享介质型局域网中，会发生冲突碰撞的区域称为冲突域。以hub为核心的10Base-T网中所有的站点都在同一个冲突域。当局域网上任意一个站点发送广播帧时，凡能收到广播帧的区域称为广播域。对于hub而言，它将在一个端口收到的比特从其它所有端口发送，广播帧也不例外。hub连接的所有站点也处于同一个广播域。交换型以太网交换机的每个端口都是一个独立的冲突域。典型代表：100baseTx，端口工作于全双工模式，CSMA/CD关闭。由两层设备构成的整个网络属于同一个广播域两层设备的3个功能：地址学习，转发/过滤，环路避免。2023/11/3E0E1E2E3ACBD交换机交换机取代集线器2023/11/3透明网桥

设计目标:Completetransparency“Plug-and-play”－自学习无需任何软硬件就可实现自我配置网桥的引入对现有LAN无影响透明网桥三部分内容:帧的转发地址学习

SpanningTreeAlgorithm2023/11/3透明网桥：帧转发每个网桥维护一张转发表，表中每一项含以下内容：<MACaddress,port,age>MACaddress:

主机名或群地址port:

网桥的端口号age:

表项的年龄每个表项的内容描述了一台具有MACaddress主机位于交换机的port号端口方向，该信息的老化时间是age

2023/11/3假设一个MAC帧到达portx.透明网桥：帧转发2查找目的地的MAC地址对应的端口是什么

在指定的端口上转发帧在除portx之外的所有端口上转发帧.发现?未发现?2023/11/3目的地址是否为广播或组播地址？YESNO是否目的MAC地址已知YESNO根据MAC-Port表进行转发

Frame到达端口除进入端口外所有端口转发（洪泛）转发/过滤流程2层交换机使用MAC－port表转发接收到的帧的过程称为－Forwarding/Filtering2023/11/3MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3透明网桥：地址学习ACBD1.交换机开机初始化时，MAC-port表是空的。2.当在某端口收到一帧时，交换机提取帧中的源MAC地址，将该地址与接收端口关联起来，写入MAC-port表，然后广播该帧。3.目的端应答后，交换机收到应答帧，继续执行提取帧中的源MAC地址，将该地址与接收端口关联起来，写入MAC-port表的操作。4.交换机知道了两台主机的位置后，后面就可以进行点到点的通信了。2023/11/3冲突域/广播域冲突域冲突域广播域Hub工作在物理层，简单地再生，放大信号交换机工作在数据链路层，根据MAC地址转发或过滤数据帧传统以太网与交换式以太网比较HubSwtich2023/11/3交换机基本操作

ZTE交换机介绍

ZTE3928系列基本配置2023/11/3中兴交换机全系列产品

性能ZXR1039/32,交换容量：32G转发性能：13.1/9.6Mpps/ZXR1051/50系列全千兆汇聚,接入,L2交换容量：32G/24G转发性能:24Mpps/13.4MppsZXR1059/52系列全千兆汇聚交换容量：320G/240G转发性能：131/95MppsZXR1028/26交换容量：32G/19.2GqZXR10-万兆交换机T160G/64G/40G交换容量：768G/480G/192G转发性能：571/357/143Mpps2023/11/3交换机的分类按照组网时所使用的场合分为：接入层交换机：常采用固定配置，端口密度较大，具有较高的接入能力汇聚层交换机：可以是模块化交换机，也可以是固定配置的交换机，具有较高的接入能力和带宽，具有丰富的控制功能；核心层交换机：一般采用模块化设计，要求具有很高的背板容量和交换能力按照交换机的工作原理分：二层交换机：工作在数据链路层，基于MAC地址进行帧的转发，主要用于网络接入层和汇聚层三层交换机：工作在网络层，基于IP地址进行IP包的转发，主要应用于网络的核心层和汇聚层2023/11/3ZXR103228/3928简介正面：24个快速以太网电接口、Console口、指示灯背面：电源、开关和两个扩展插槽。这两个扩展插槽可以配置4个千兆以太网电/光口，或者4个百兆以太网光口。

固定端口：24×100BASE-TX扩展槽位：2块扩展模块类型：2端口GE光电组合模块

2023/11/3端口命名方式<端口类型>_<槽位号>/<端口号><端口类型>包括以下几种：fei表示快速以太网端口，gei表示千兆以太网端口。<槽位号>：ZXR103928前面的百兆接口为1号插槽，机箱背面有2个插槽，按从左到右依次编号分别为槽位2和3。<端口号>：接口板上端口的编号，从1开始。例如，fei_1/8表示1号槽位快速以太网接口板上的第8个端口；gei_2/1表示2号槽位千兆以太网接口板上的第1个端口。2023/11/3交换机文件系统在交换机中，通常接触到的主要存储设备是主控板上的FLASH，FLASH相当于PC机的硬盘，交换机的软件版本文件和配置文件通常都存储在FLASH中。ZXR103928的FLASH中缺省包含三个目录IMG用于存放软件版本文件CFG用于存放配置文件，配置文件的名称为startrun.datDATA用于存放记录告警信息的log.dat文件2023/11/3交换机的配置方式现代的交换机一般都提供了多种配置方式，用户可以根据所连接的网络选用适当的配置方式。常用的配置方式包括Console口连接配置、Telnet连接配置、SSH连接配置、SNMP连接配置等。在交换机首次进行配置时，只能采用Console口连接配置方式。2023/11/3超级终端方式超级终端软件：推荐使用Windows的超级终端开始－>程序－>附件－>通讯－>超级终端参数设置：波特率：9600bps数据位数：8bits奇偶校验：NoParity停止位数：1stopsbit流控：NoFlowcontrol2023/11/3Telnet方式在命令行方式下键入：telnet<ipaddress>2023/11/3交换机的命令模式目前大部分的交换机、路由器都采用命令行方式CLI(CommandLineInterface)的用户界面，象MS-DOS一样，CLI的特点是比较难学，但配置起来比较快。为方便用户对交换机进行配置和管理，通常根据功能和权限将命令分配到不同的模式下，一条命令只有在特定的模式下才能执行。2023/11/3命令模式模式提示符进入命令功能用户模式ZXR10>登录系统后直接进入查看简单信息特权模式ZXR10#enable（用户模式）配置系统参数全局配置模式ZXR10(config)#configureterminal（特权模式）配置全局业务参数端口配置模式ZXR10(config-if)#interface<interface-name>（全局配置模式）配置端口参数VLAN数据库配置模式ZXR10(vlan-db)#vlandatabase（特权模式）批量创建或删除VLANVLAN配置模式ZXR10(config-vlan)#vlan<vlan-id>（全局配置模式）配置VLAN参数VLAN接口配置模式ZXR10(config-if)#interfacevlan<vlan-id>（全局配置模式）配置VLAN接口IP参数MSTP配置模式ZXR10(config-mstp)#spanning-treemstconfiguration（全局配置模式）配置MSTP参数2023/11/3在线帮助和命令缩写ZXR10>?Execcommands:enableTurnonprivilegedcommandsexitExitfromtheEXECloginLoginasaparticularuserlogoutExitfromtheEXECpingSendechomessages

quit

QuitfromtheEXEC

ZXR10#co?configurecopyZXR10#vonter^%Invalidinputdetectedat'^'marker.ZXR10#con<Tab>ZXR10#configureZXR10#configure?terminalEnterconfigurationmodeZXR10#conft2023/11/3ZXR103228端口配置fei_1/1-24gei_2/1-2gei_3/1-2Zxr10#configterminalZxr10(config)#interfacefei_1/1Zxr10(config-if)#nonegotiationauto//关闭自动协商Zxr10(config-if)#duplex{full|half}//设置双工模式Zxr10(config-if)#speed{10|100|1000}//设置速率Zxr10(config-if)#flowcontrol{enable|disable}//设置流控Zxr10(config-if)shutdown|noshutdown//打开或关闭端口Zxr10(config-if)#exitZxr10(config)#interfacegei_2/1Zxr10(config-if)#hybrid-attribute{fiber|copper}//设置千兆端口的光电属性

2023/11/3ZXR10#clockset12:40:00feb202016//设置系统时间ZXR10#configureterminalZXR10(config)#hostnametest//设置主机名test(config)#usernamezxr10passwordzxr10//设置登陆用户名和密码test(config)#enablesecretzxr10//设置enable密码系统参数配置2023/11/3虚拟局域网VLAN扁平式二层网络的缺点：广播域过大安全性问题（信息访问控制、病毒）解决办法路由器－－在3层划分广播域（基于IP）VLAN－－在2层划分广播域（基于VLAN）－802.1q每个二层网段是一个独立的冲突域所有的二层网段属于一个广播域网络处于0管理状态。2023/11/3SwitchA人事部VLAN财务部VLAN工程部VLANSwitchBVLAN简介人事部VLAN财务部VLAN工程部VLANVLAN是一种按照一定的原则在二层划分逻辑广播域的技术。通过VLAN，可以把一个物理的二层网络划分成多个小的逻辑的网络，每个小的逻辑网络都是一个独立的广播域。属于同一VLAN的成员仍然可以在二层实现通信，而不同VLAN的成员则不能在二层直接通信。同时，广播帧、未知目的帧的洪泛都被交换机限定在一个VLAN之内。虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组。将局域网内的设备逻辑的而不是物理的划分成一个个网段。2023/11/3VLAN简介2023/11/3IEEE802.1Q帧格式DASATYPEDATACRCDASATYPEDATACRCTAG标准帧tag帧Tag(4字节):TPID：0x8100,TagProtocolIdentifier.TCI:TagControlInformation,由三个字段组成－UserPriority（3bits),0是最高优先级。－CanonicalFormatIndicator(1bit)：0对应802.3的帧。－VLANID:12bits2023/11/3VLAN类型—基于端口的VLAN主机A主机B主机C主机DVLAN表Port1Port2Port7Port10端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN102023/11/3VLAN的类型—基于MAC地址的VLANVLAN表MAC地址所属VLANMACAVLAN5MACBVLAN10MACCVLAN5MACDVLAN10主机A主机B主机C主机D2023/11/3西安邮电大学通信工程系VLAN的类型—基于协议的VLANVLAN表协议类型所属VLANIPX协议VLAN5IP协议VLAN10…………主机A主机B主机C主机D2023/11/3VLAN的类型—基于子网的VLANVLAN表IP网络所属VLANIP1.1.1.0/24VLAN5IP1.1.2.0/24VLAN10…………主机A主机B主机C主机D2023/11/3VLAN的端口Access端口：只能属于一个VLAN，该VLAN就是该端口的NativeVLAN，该端口连接的链路上传输的帧是标准的以太网帧。Trunk端口：属于多个VLAN，该口连接的链路上传输的帧是tag帧。Hybrid端口：可以属于多个VLAN，可以接收和发送多个VLAN的报文。进入ACCESS口加上VLAN标识离开ACCESS口去掉VLAN标识TRUNK口对VLAN帧进行透传2023/11/3以太网交换机的端口分类Access端口：一般用于接用户计算机的端口，access端口只能属于1个VLAN。出于安全和管理的需要，VLAN划分通常仅在交换机上进行，添加和删除VLAN标记的操作均由交换机完成，对终端是透明的。这样做的好处是引入VLAN之后，终端上的软硬件无需改变，主机网卡发送和接收的帧仍然是标准以太帧（untag帧）。当这样的帧到达连接主机的Access端口时，交换机将根据该端口所属的VLAN，添加VLAN标记。对于送出的帧，交换机将剥离VLAN标记，还原成标准以太帧送出。2023/11/3以太网交换机的端口分类Trunk端口：一般用于交换机之间连接的端口，trunk端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。中继链路要传输多个不同VLAN的数据。因此，数据帧在中继链路上传输的时候，交换机必须用一种方法来识别数据帧是属于哪个VLAN的，此时传输的帧就必须是打上标记的802.1Q帧（tag帧）。通过这些标记，交换机就可以确定哪些帧分别属于哪个VLAN。对于Trunk端口，交换机会将打过标记的帧进行透明传输，既不打标记，也不剥离标记。换言之，交换机允许打过标记的帧带着VLAN标记透明地通过其Trunk端口。2023/11/3以太网交换机的端口分类Hybrid端口：可以用于交换机之间连接，也可以用于接用户的计算机，hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。可以同时传送打标签的和不打标签的帧，相应的交换机端口称为混合端口。混合端口可以属于多个VLAN，但允许通过配置指定哪些VLAN的帧发送时打标记，哪些VLAN的帧不打标记。2023/11/3端口的缺省ID（PVID）交换机中一个端口如果属于多个VLAN，当它收到未打标记的帧时，它会认为该帧属于哪个VLAN呢？应该打上什么样的VLAN标记呢？我们用PVID（PortVlanID）加以区分。当交换机端口收到一个未打标记的帧时，就根据自身的PVID号码打上相应的标记。Access端口只属于一个VLAN，所以它的缺省ID就是它所在的VLAN，不用设置。Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLANID，缺省情况下为VLAN1。2023/11/3802.1Q的转发原则—Access-Link当Access端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID；如果该帧包含802.1Qtagheader，交换机不作处理，直接丢弃。当Access端口发送帧时剥离802.1Qtagheader，发出的帧为普通以太网帧接收方向Access发送方向AccessPVID:12023/11/3Trunk802.1Q的转发原则—Trunk-Link当Trunk端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID；如果该帧包含802.1Qtagheader，则不改变。当Trunk端口发送帧时当该帧的VLANID与端口的PVID不同时，直接透传；当该帧的VLANID与端口的PVID相同时，则剥离802.1Qtagheader接收方向发送方向TrunkPVID:1PVID:22023/11/3802.1Q的转发原则—Hybird-Link当Hybird端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID；如果该帧包含802.1Qtagheader，则不改变。当Hybird端口发送帧时判断VLAN在本端口的属性。用“disinterface”可看到该端口对哪些VLAN是untag，哪些VLAN是tag，如果是untag则剥离802.1Qtagheader再发送，如果是tag则直接透传。2023/11/3西安邮电大学通信工程系各种端口收发帧时的处理过程端口类型收发处理过程Access接收打上端口的PVID（等于VLANID），进行转发。发送将报文的VLAN标记剥离，发送出去。Trunk接收判断是否有VLAN标记，如果没有则打上端口的PVID，进行转发；如果有，则判断该trunk端口是否允许该VLAN的数据进入，允许则转发，否则丢弃。发送除VLAN1的帧要剥离VLAN标签外，其它VLAN的帧带标签发送。Hybrid接收判断是否有VLAN标记，如果没有则打上端口的PVID，进行转发，如果有，则判断该hybrid端口是否允许该VLAN的数据进入，允许则转发，否则丢弃。发送判断该VLAN在本端口的属性，即可看到该端口对哪些VLAN是untag，哪些VLAN是tag，如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送。2023/11/3VLAN通信过程划分VLAN之后，只有属于同一VLAN的主机之间才能够在二层通信，不同VLAN则不能直接在二层通信。为了使VLAN正常地运行，在交换机中为每个VLAN建立一张MAC地址表（具体的MAC表的数据结构与厂家的具体实现有关），该表中包含了属于该VLAN的所有端口、端口的属性和对应的MAC地址。2023/11/3单交换机VLAN通信2023/11/3多交换机VLAN通信2023/11/3配置VLAN步骤1）创建VLAN可以单个创建VLAN，Switch(config)#vlan20也可以批量创建VLAN，Switch(config)#vlandatabaseSwitch(vlan-db)#vlan10-222）指定端口类型，例如Switch(config-if)#switchportmodetrunk该命令指定交换机中的端口类型为Access、Trunk或者Hybrid，默认为Access，Access端口可以不用再指明。3）建立端口与VLAN的关联，可以采用两种方式。可以在接口模式下将该接口加入某个VLAN，这样一次只可以添加一个接口，例如在接口模式下执行Switch(config-if)#switchportaccessvlan10如果VLAN10已经存在，则将端口加入，如果VLAN不存在，则先创建VLAN，并把该端口加进VLAN，此端口为Access端口。也可以先创建VLAN，然后在VLAN模式下批量添加接口，例如Switch(config-vlan)#switchportpvidfei_1/5-6，将fei_1/5、fei_1/6加入VLAN，并且成为这两个VLAN的PVID。2023/11/3VLAN配置ZXR10#vlandatabase/进入VLAN数据库模式

ZXR10(vlan)#vlan2-20/批量创建VLAN2到VLAN20ZXR10(vlan)#exitZXR10#configureterminalZXR10(config)#vlan21/创建单个VLANZXR10(config-vlan)#switchportpvidfei_1/5/增加接入端口ZXR10(config-vlan)#exitZXR10(config)#interfacefei_1/1/进入接口配置模式ZXR10(config-if)#switchportmodetrunk/修改端口的工作模式为trunkZXR10(config-if)#switchporttrunkvlan21/把端口加入到VLAN212023/11/3隔离的广播域带来的问题VLAN10VLAN20172.16.20.4VLAN30VLAN的工作特性会禁止VLAN之间的通信流量!2023/11/3解决方法:VLAN间路由VLAN10VLAN20172.16.20.4VLAN30VLANs之间的通信需要进行三层路由处理!2023/11/3解决方法:定义一个缺省网关VLAN10Network

172.16.10.0172.16.10.3VLAN20Network

172.16.20.0172.16.20.4Iknowwherenetwork172.16.20.0is!Iwillsend

thepackettomydefaultrouter.终端用户将非本地的分组发给缺省网关2023/11/3VLAN20VLAN10问题:支持多VLAN间的流量VLAN30Ihavethree

distinctstreamsof

trafficdestinedfor

thesameplace!??FileServerA

172.16.3.127IneedinformationfromFileServerA.IneedinformationfromFileServerA.IneedinformationfromFileServerA.多VLAN与一个路由器相连,要求路由器有多个连接,或支持VLAN中继??2023/11/3VLAN60VLAN10VLAN30VLAN20解决方案1:多链路路由器可以为每个VLAN提供独立的接入链路2023/11/3多链路vlan路由原理VLAN20VLAN30VLAN10fei_1/1fei_1/3fei_1/3fei_1/1fei_1/4fei_1/6192.168.3.2/24192.168.1.2/24192.168.1.1/24192.168.3.1/24192.168.2.2/24fei_1/5ABC通信过程中IP地址、MAC地址如何变化？2023/11/3多链路vlan路由特点配置：路由器上在多个物理接口配置不同

VLAN缺省网关IP地址，交换机上的端口设置为ACCESSPORT，分别属于不同的VLAN特点：需要多个路由器物理接口，成本高灵活性与可扩展性差VLANoneVLANtwoVLANthreefei_1/1fei_1/3fei_1/22023/11/3多链路vlan路由配置ZXR10(config)#interfacefei_1/1ZXR10(config-if)#ipadd1.1.1.1255.0.0.0ZXR10(config)#interfacefei_1/2ZXR10(config-if)#ipadd2.1.1.1255.0.0.0ZXR10(config)#interfacefei_1/3ZXR10(config-if)#ipadd3.1.1.1255.0.0.0VLANoneVLANtwoVLANthreefei_1/1fei_1/3fei_1/22023/11/3解决方案2:单臂路由Eth3/1.13/1.23/1.3路由器支持在一条物理链路上承载多个VLANVLAN10VLAN30VLAN20Eth3/0.13/0.23/0.3VLAN602023/11/3方案二：单臂路由配置：在路由器单个物理接口配置多个子接口,做802.1Q封装，不同子接口配置不同VLAN的缺省网关IP地址，交换机上的端口设置为802.1Qtrunk特点：只需要一个路由器物理接口，成本低可扩展性好,需要路由器支持trunk封装VLANoneVLANtwoVLANthree802.1Qtrunkencapsulationfei_0/1.1fei_0/1.2fei_0/1.32023/11/3方案二：单臂路由的配置ZXR10(config)#interfacefei_0/1.1ZXR10(config-subif)#encapsulationdot1Q1ZXR10(config-subif)#ipadd1.1.1.1255.0.0.0ZXR10(config)#interfacefei_0/1.2ZXR10(config-subif)#encapsulationdot1Q2ZXR10(config-subif)#ipadd2.1.1.1255.0.0.0ZXR10(config)#interfacefei_0/1.3ZXR10(config-subif)#encapsulationdot1Q3ZXR10(config-subif)#ipadd3.1.1.1255.0.0.0VLANoneVLANtwoVLANthree802.1Qtrunkencapsulationfei_0/1.1fei_0/1.2fei_0/1.32023/11/3方案三：三层/多层交换机方式配置：为每个VLAN配置逻辑接口（interface）其IP地址为对应VLAN的缺省网关地址

特点：同一机架内集成了路由与交换功能可见接口都是二层端口（port）需创建三层接口（interface）并与vlan关联VLANoneVLANtwoVLANthree2023/11/3三层交换机出现背景为了隔离广播域，VLAN技术在网络中得到了大量的应用，不同VLAN间的通信要经过三层设备来完成转发，传统的方式是使用路由器。但随着VLAN间互访的不断增加，单纯使用路由器在实际应用中暴露出一些问题：路由器端口数量有限，而且路由速度较慢，随着数据流量的不断增长路由器就成为了网络的瓶颈。基于这种情况，由二层交换技术和路由技术有机结合而成的三层交换机便应运而生。2023/11/3三层交换机概述三层交换机是将路由器和交换机的功能结合的一种设备，融合了路由器和交换机各自的优势，既具有交换功能，又具有路由功能。与路由器相同，三层交换机也是根据第三层信息决定转发路径；但与路由器不同的是，三层交换机中分组的转发是通过专用硬件ASIC实现的，以实现高速度和低时延。三层交换机和路由器的主要区别之处在于它们对分组的转发操作物理实现上的不同。传统路由器中，通常基于微处理器引擎进行软件分组转发操作；而三层交换机是用硬件进行分组交换的。它对数据的转发与路由器有所不同：对于如IP包转发等这些规律的过程通过硬件得以高速实现。而对于第三层路由软件，如路由信息的更新、路由表维护、路由计算、路由的确定等功能，用优化、高效的软件实现。另外，与路由器丰富的接口类型不同，三层交换机的接口以以太接口为主，端口密度很大。2023/11/3交换和路由的集成二层交换机上和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。VLAN100VLAN200VLAN300VLAN100VLAN200VLAN3002023/11/3三层交换机功能模型10.110.0.113/24G:10.110.0.25410.110.1.69/24G:10.110.1.25410.110.1.88/24G:10.110.1.25410.110.2.200/24G:10.110.2.254ETH0:10.110.0.254/24ETH1:10.110.1.254/24ETH2:10.110.2.254/242023/11/3三层交换机中的路由和二层交换二层交换引擎：实现同一网段内的快速二层转发三层路由引擎：实现跨网段的三层路由转发2023/11/3报文到报文的三层交换技术传统三层技术对每个报文进行处理，并基于第三层地址转发报文。这一方法称为报文到报文（PxP）。1231231231232023/11/3基于流交换的三层交换技术不在三层处理所有报文的的方法称之为流交换（FS）。第一个报文后续报文1231231231232023/11/3西安邮电大学通信工程系三层交换机原理三层交换机上所有可见的物理接口都是具有二层功能的端口（port），其三层接口（interface）可以通过配置创建。当交换机划分VLAN后，每个VLAN是一个广播域，每一个VLAN对应一个IP子网，因此可以基于VLAN创建三层接口，这个接口是此VLAN的所有成员可直接访问到的一个逻辑接口。可以用interfaceVLAN命令来激活VLAN的三层接口，对于这个VLAN中的主机而言，这个三层接口的IP地址是它们的缺省网关地址。而对于三层交换机而言，在本交换机上基于VLAN创建的这些三层接口都被视为直连路由。2023/11/3二层处理/三层处理？2023/11/3同一VLAN通信过程假设AB之间要进行通信，主机A在开始发送时，首先判断目的主机与自己在同一子网内。因此A通过ARP获得B的MAC地址，以B的MAC作为目的MAC进行二层封装成帧。交换机收到该帧时，发现目的MAC地址不是交换机本身的MAC地址，说明收发双方在相同子网，因此交换机进行二层转发即可。二层交换模块查找MAC地址表，确定将数据包发往目的端口fei_1/2，到达主机B。2023/11/3不同VLAN通信过程主机A在开始发送第一个报文时，判断目的主机与自己不在同一子网。因此主机A首先要向其“缺省网关”发出ARP请求报文，交换机回一个ARP响应，告诉A此VLAN10的MAC地址，同时通过软件把主机A的IP地址、MAC地址、与交换机相连的端口号（fei_1/1）等信息设置到交换芯片的三层硬件表项中。主机A收到这个ARP响应报文之后，以MAC4为目的进行二层封装成帧。交换机收到该帧时，发现目的MAC地址是自身的MAC地址，说明收发双方不在相同子网，需要交换机进行路由，因此交换机就会把报文送到交换芯片的三层引擎处理。假设交换机中不存在主机C的MAC地址，则通过ARP协议获得目的IP地址所对应的MAC地址和端口（fei_1/3），同时将C的IP地址、MAC地址、端口号（fei_1/3）等信息设置到交换芯片的三层硬件表项中。据此，交换机可以形成硬件路由表。目的IP接口192.168.2.2fei_1/3192.168.1.2fei_1/1芯片内部的三层引擎中保存了主机A、C的路由信息后，以后主机A、C之间进行通信或其它主机想要与A、C进行通信时，交换芯片则会直接把包从三层硬件表项中指定的端口fei_1/1、fei_1/3转发出去，而不必再把包交给CPU处理。这种通过“一次路由，多次交换”的方式，大大提高了转发速度。目的IP接口192.168.2.2fei_1/3192.168.1.2fei_1/12023/11/3方式三：三层/多层交换机方式ZXR10(config)#vlan1ZXR10(config-vlan)#switchportpvidgei1/1-2ZXR10(config)#vlan2ZXR10(config-vlan)#switchportpvidgei1/3-4ZXR10(config)#vlan3ZXR10(config-vlan)#switchportpvidgei1/5-6ZXR10(config)#interfacevlan1ZXR10(config-subif)#ipadd1.1.1.1255.0.0.0ZXR10(config)#interfacevlan2ZXR10(config-subif)#ipadd2.1.1.1255.0.0.0ZXR10(config)#interfacevlan3ZXR10(config-subif)#ipadd3.1.1.1255.0.0.0VLANoneVLANtwoVLANthree2023/11/3VLAN技术的不足1目前IEEE802.1Q标准中所支持的VLAN数目最多为4094个，用户数量受到限制，且不利于网络的扩展。2每个VLAN对应一个IP子网，划分大量的子网会造成IP地址的浪费。3大量VLAN和IP子网的规划和管理使网络管理变得非常复杂。2023/11/3PVLAN（PrivateVLAN）技术一个VLAN中的端口分为两类：与用户相连的端口为隔离端口（IsolatePort），上行与路由器相连的端口为混杂端口（PromiscuousPort）。隔离端口只能与混杂端口通信，相互之间不能通信。

ZXR103900/3200支持20个PVLAN组，每一组可以任意选择端口互相隔离，每组只支持1个端口作为上行端口。解决VLAN数量过多的问题。2023/11/3

PVLAN原理交换机将从隔离端口接收到的所有帧转发至混杂端口，无论vlanID和目的MAC地址，而从混杂端口收到的帧将进行正常的转发流程，将根据目的MAC送至主机，对于未知目的帧和广播帧，则送至该vlan的所有端口。这样就将同一个VLAN下的端口隔离开来，用户只能与自己的默认网关通信，网络的安全性得到保障。2023/11/3PVLAN（PrivateVLAN）技术VLAN10VLAN10VLAN10隔离端口隔离端口混合端口使用如下命令查看配置情况：ZXR10#showvlanprivate-mapSession_idIsolate_PortsPromis_Ports2023/11/3PVLAN典型应用举例Pvlan的一个典型应用是酒店，每个房间都有一个端口需要连接至Internet，如果让这些房间的端口在数据链路层能够互相通信，就会使局域网遭受可能的安全问题，例如ARP欺骗等。可以使用pvlan将房间之间互相隔离，但保证每个房间仍然能够与Internet连接。2023/11/3SuperVLAN技术传统VLAN技术，要求每个VLAN占用一个IP子网.SuperVLAN允许把多个VLAN（称为子VLAN）聚合成一个SuperVLAN.ISP只需为SuperVLAN分配一个IP子网，并为每个用户建立一个子VLAN，所有子VLAN可以灵活分配SuperVLAN子网中的IP地址，使用SuperVLAN的缺省网关。每个子VLAN都是一个独立的广播域，保证不同用户之间的隔离，子VLAN之间的通信通过SuperVLAN进行路由。2023/11/3SuperVLAN原理241Subvlan3Subvlan2Subvlan43SuperVLAN1IP地址：1.1.1.1/24SwitchIP地址：1.1.1.4/24网关：1.1.1.1IP地址：1.1.1.2/24网关：1.1.1.1IP地址：1.1.1.3/24网关：1.1.1.12023/11/3Supervlan的通信过程SuperLAN内的通信是通过ARP代理实现的。ARP代理是指一个物理网络的子网中的源主机向另一个物理网络的子网中的目的主机发ARP请求，和源主机直连的网关用自己接口的MAC地址代替目的主机回送ARP响应，这个过程称为ARP代理。subvlan20subvlan30Supervlan10（192.168.1.1/24）Vlan40（192.168.2.1/24）PC1IP:192.168.1.2/24GW：192.168.1.1/24PC2IP:192.168.1.3/24GW：192.168.1.1/24PC3IP:192.168.2.2/24GW:192.168.2.1/242023/11/3supervlan各subvlan之间的互通当PC1要和PC2通信时，首先判断对方与自己在同一个网段，而ARP缓存中也没有对方的MAC地址，因此发出ARP请求广播，请求获得PC2的MAC地址。但是PC2不在subVLAN20所在的广播域，无法接收到PC1发出的ARP请求，此时ARP代理所做的是，当二层发出的ARP请求在其广播域内没有回应时，网关开始在路由表查找，发现下一跳为直连路由接口，则在该接口（即supervlan100的虚接口）发一个ARP广播，请求PC2的MAC地址。PC2收到交换机发出的ARP请求后，回送一个ARP应答，此应答中包括PC2的MAC地址。交换机收到PC2的应答报文后，就把自己的MAC地址当作PC2的MAC地址回给PC1。之后，主机PC1要发给PC2的报文都发给了交换机，由三层交换机做正常的三层转发。2023/11/3SubVLAN与普通VLAN间的互通当PC1要和PC3通信时，首先判断对方与自己不在同一个网段，所以PC1将信息发送给自己的网关：supervlan100的虚接口192.168.1.1，请求网关的MAC地址。交换机收到PC1的ARP请求后，查找SubVLAN和SuperVLAN的对应关系，知道应该回应SuperVLAN100的MAC，并且将ARP响应从SubVLAN20发送给主机PC1。PC1学到网关MAC地址后，开始发送目的MAC为SuperVLAN100、目的IP为PC3的IP报文。交换机收到IP报文后，检测目的IP地址，知道应该进行三层转发。于是查找路由表，发现下一跳地址为192.168.2.1，出接口为VLAN40，查找APR表，没有发现端口对应的MAC地址，于是在VLAN40中广播ARP请求。PC3收到交换机发出的ARP请求后，给出应答，包含PC3的MAC地址。交换机收到应答后，就可以将PC1的IP报文发送给PC3了。2023/11/3SuperVLAN配置

showsupervlan//查看supervlan的配置inter-subvlan-routing{enable|disable},//开启子VLAN间的路由功能S3S2VLAN10VLAN201)定义SuperVLAN,2)缺省网关地址3)指定SuperVLAN中的子VLAN2023/11/3SuperVLAN配置(1)打开或关闭SubVLAN之间的路由功能

Switch(config-if)#inter-subvlan-routing{enable|disable}(2)给vlan绑定IP地址

switch(config-vlan)#

ipsupervlanpool<IPaddress><IPaddress>(3)打开或关闭SuperVLAN的IP地址池过滤功能

Switch(config-if)

#ip-pool-filter{enable|disable}(4)创建supervlan，命令格式为

Switch(config)#interfacesupervlan<supervlan-id>(5)创建SubVLAN，命令格式为

Switch(config-if)#subvlan<vlan-id>2023/11/3透明网桥：生成树算法如果没有环路，前面的策略会很好地工作！组网时，在交换机间配置冗余链路，是维持网络健壮性的常用手段。但交换机必须解决冗余链路形成的环路带来的不稳定问题。环路带来三个问题：广播风暴、帧的复制MAC－port转发表抖动2023/11/3

缺省情况下，交换机的生成树功能是打开的关闭/打开生成树功能zxr10(config)#spanning-treedisable/enablezxr10(config-if)#spanning-treedisable/enable

STP基本配置2023/11/3假设两个局域网通过两个网桥互联，假设hostn

发送一帧F，其目的地网桥目前未知。Whatishappening?网桥A和B会flood该帧到

LAN2.网桥B会在LAN2上收到帧F，然后拷贝回LAN1网桥A也会做同样地事情.拷贝还会持续What’sthesolution?透明网桥：环路的危害2023/11/3透明网桥：环路的危害环路的另一个问题是，接收方会从不同的网段收到同一个帧的多个复本。如下图所示：同时，由于交换机会从多条链路收到同一个帧，这会导致交换机无法判定主机的位置，而频繁修改MAC转发表，使得无法转发帧。网段1网段2交换机B交换机A路由器C（1）unicast（2）unicast2023/11/3环路避免：STP简介在三层网络中，一般由路由协议负责选路时不会出现环路。在两层交换式网络中，则由生成树协议（SpanningTreeProtocol）负责确保交换网中不会出现环路。IEEE802.1d:采用ST算法，在网络初始化时，所有网桥运行一个分布式生成树，选举一个参考点(根桥），关闭多余的冗余链路，以达到消除环路的目的。主要思想：为网桥选择转发帧的端口，并关闭其它端口。STP原理选举“根桥”：整个网络中，只能选举一个交换机做“根”。每个网桥有个唯一的标识符BridgeID。根桥总是在所有的端口上转发帧。选举“根