華為三層以太網(wǎng)交換機(jī)基本原理及轉(zhuǎn)發(fā)流程.doc

華為三層以太網(wǎng)交換機(jī)基本原理及轉(zhuǎn)發(fā)流程.txt熬夜，是因?yàn)闆]有勇氣結(jié)束這一天；賴床，是因?yàn)闆]有勇氣開始這一天。朋友，就是將你看透了還能喜歡你的人。1. 二層轉(zhuǎn)發(fā)流程1.1. MAC地址介紹MAC 地址是48 bit 二進(jìn)制的地址，如：00-e0-fc-00-00-06?？梢苑譃閱尾サ刂贰⒍嗖サ刂泛蛷V播地址。單播地址：第一字節(jié)最低位為0，如：00-e0-fc-00-00-06多播地址：第一字節(jié)最低位為1，如：01-e0-fc-00-00-06廣播地址：48 位全1，如：ff-ff-ff-ff-ff-ff注意：1）普通設(shè)備網(wǎng)卡或者路由器設(shè)備路由接口的MAC 地址一定是單播的MAC 地址才能保證其與其它設(shè)備的互通。2） MAC 地址是一個(gè)以太網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)上運(yùn)行的基礎(chǔ)，也是鏈路層功能實(shí)現(xiàn)的立足點(diǎn)。1.2. 二層轉(zhuǎn)發(fā)介紹交換機(jī)二層的轉(zhuǎn)發(fā)特性，符合802.1D 網(wǎng)橋協(xié)議標(biāo)準(zhǔn)。交換機(jī)的二層轉(zhuǎn)發(fā)涉及到兩個(gè)關(guān)鍵的線程：地址學(xué)習(xí)線程和報(bào)文轉(zhuǎn)發(fā)線程。學(xué)習(xí)線程如下：華為認(rèn)證技術(shù)文章21）交換機(jī)接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源MAC 地址來建立MAC 地址表；2）端口移動(dòng)機(jī)制：交換機(jī)如果發(fā)現(xiàn)一個(gè)包文的入端口和報(bào)文中源MAC地址的所在端口不同，就產(chǎn)生端口移動(dòng)，將MAC 地址重新學(xué)習(xí)到新的端口；3）地址老化機(jī)制： 如果交換機(jī)在很長一段時(shí)間之內(nèi)沒有收到某臺(tái)主機(jī)發(fā)出的報(bào)文，在該主機(jī)對(duì)應(yīng)的MAC 地址就會(huì)被刪除，等下次報(bào)文來的時(shí)候會(huì)重新學(xué)習(xí)。注意： 老化也是根據(jù)源MAC 地址進(jìn)行老化。報(bào)文轉(zhuǎn)發(fā)線程:1）交換機(jī)在MAC 地址表中查找數(shù)據(jù)幀中的目的MAC 地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC 地址和目的MAC 地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。1.3. VLAN二層轉(zhuǎn)發(fā)介紹報(bào)文轉(zhuǎn)發(fā)線程:引入了VLAN 以后對(duì)二層交換機(jī)的報(bào)文轉(zhuǎn)發(fā)線程產(chǎn)生了如下的影響：1）交換機(jī)在MAC 地址表中查找數(shù)據(jù)幀中的目的MAC 地址，如果找到（同時(shí)還要確保報(bào)文的入VLAN 和出VLAN 是一致的），就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向（VLAN 內(nèi)）所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC 地址和目的MAC 地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向（VLAN 內(nèi)）入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。以太網(wǎng)交換機(jī)上通過引入VLAN，帶來了如下的好處：1）限制了局部的網(wǎng)絡(luò)流量， 在一定程度上可以提高整個(gè)網(wǎng)絡(luò)的處理能力。2）虛擬的工作組，通過靈活的VLAN 設(shè)置，把不同的用戶劃分到工作華為認(rèn)證技術(shù)文章3組內(nèi)；3）安全性，一個(gè)VLAN 內(nèi)的用戶和其它VLAN 內(nèi)的用戶不能互訪，提高了安全性。另外，還有常見的兩個(gè)概念VLAN 的終結(jié)和透傳， 從字面意思上就可以很好的了解這兩個(gè)概念。所謂VLAN 的透傳就是某個(gè)VLAN 不僅在一臺(tái)交換機(jī)上有效，它還要通過某種方法延伸到別的以太網(wǎng)交換機(jī)上，在別的設(shè)備上照樣有效；終結(jié)的意思及相對(duì)，某個(gè)VLAN 的有效域不能再延伸到別的設(shè)備，或者不能通過某條鏈路延伸到別的設(shè)備。VLAN 透傳可以使用802.1Q 技術(shù)，VLAN 終結(jié)可以使用PVLAN 技術(shù)。IEEE802.1Q 協(xié)議是VLAN 的技術(shù)標(biāo)準(zhǔn),主要是修改了標(biāo)準(zhǔn)的幀頭，添加了一個(gè)tag 字段，其中包含了VLAN ID 等VLAN 信息，具體實(shí)現(xiàn)這里不談，如果有興趣可以看相關(guān)的標(biāo)準(zhǔn)和資料。注意：在Trunk 端口轉(zhuǎn)發(fā)報(bào)文的時(shí)候，如果報(bào)文的VLAN Tag 等于端口上配置的默認(rèn)VLAN ID，則該報(bào)文的Tag 應(yīng)該去掉，對(duì)端收到這個(gè)不帶Tag 信息的報(bào)文后， 從端口的PVID 獲得報(bào)文的所屬VLAN 信息，因此配置的時(shí)候必須保證連接兩臺(tái)交換機(jī)之間的一條Trunk 鏈路兩端的PVID 設(shè)置相同。為什么要去Tag 呢？這樣做是為了保證一般的用戶插到Trunk 上以后，仍舊可以正常通信，因?yàn)槠胀ㄓ脩魺o法識(shí)別帶有802.1Q Vlan 信息的報(bào)文。使用802.1Q 技術(shù)可以很好的實(shí)現(xiàn)VLAN 的透傳，可是有的時(shí)候需要把VLAN 終結(jié)掉，也就是說這個(gè)VLAN 邊界在哪里終止，PVLAN 技術(shù)可以很好的實(shí)現(xiàn)這個(gè)功能， 同時(shí)達(dá)到節(jié)省VLAN 的目的。cisco 的PVLAN 意思是private vlan，而我們的PVLAN 意思是primary vlan。這里的VLAN 有兩類：Primary vlan 和secondary vlan（子VLAN）。實(shí)現(xiàn)了接入用戶二層報(bào)文的隔離，同時(shí)上層交換機(jī)下發(fā)的報(bào)文可以被每一個(gè)用戶接收到，簡化了配置，節(jié)省了VLAN 資源。具體實(shí)現(xiàn)這里不談，如果有興趣可以相關(guān)資料。華為認(rèn)證技術(shù)文章4下面談?wù)勅龑咏粨Q流程。用VLAN 分段，隔離了VLAN 間的通信，用支持VLAN 的路由器（三層設(shè)備）可以建立VLAN 間通信。但使用路由器來互聯(lián)企業(yè)園區(qū)網(wǎng)中不同的VLAN 顯然不合時(shí)代的潮流。因?yàn)槲覀兛梢允褂萌龑咏粨Q來實(shí)現(xiàn)。差別1（性能）：傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報(bào)文，靠軟件處理，而三層交換機(jī)通過ASIC 硬件來進(jìn)行報(bào)文轉(zhuǎn)發(fā)，性能差別很大；差別2（接口類型）：三層交換機(jī)的接口基本都是以太網(wǎng)接口，沒有路由器接口類型豐富；差別3：三層交換機(jī)，還可以工作在二層模式，對(duì)某些不需路由的包文直接交換，而路由器不具有二層的功能。首先讓我們看一下設(shè)備互通的過程：如圖所示：交換機(jī)上劃分了兩個(gè)VLAN，在VLAN1，VLAN 2 上配置了路由接口用來實(shí)現(xiàn)vlan1 和 vlan 2 之間的互通。A 和B 之間的互通（以A 向B 發(fā)起ping 請(qǐng)求為例）：1） A 檢查報(bào)文的目的IP 地址，發(fā)現(xiàn)和自己在同一個(gè)網(wǎng)段；2） A-B ARP 請(qǐng)求報(bào)文，該報(bào)文在VLAN1 內(nèi)廣播；3） B-A ARP 回應(yīng)報(bào)文；4） A-B icmp request;5） B-A icmp reply;A 和C 之間的互通（以A 向C 發(fā)起ping 請(qǐng)求為例）：1） A 檢查報(bào)文的目的IP 地址，發(fā)現(xiàn)和自己不在同一個(gè)網(wǎng)段；2） A-switch（int vlan 1） ARP 請(qǐng)求報(bào)文，該報(bào)文在VLAN1 內(nèi)廣播；華為認(rèn)證技術(shù)文章53） 網(wǎng)關(guān)-A ARP 回應(yīng)報(bào)文；4） A-switch icmp request（目的MAC 是 int vlan 1 的MAC，源MAC 是A 的MAC，目的IP 是C，源IP 是A）；5） switch 收到報(bào)文后判斷出是三層的報(bào)文。檢查報(bào)文的目的IP 地址，發(fā)現(xiàn)是在自己的直連網(wǎng)段；6） switch（int vlan 2）-C ARP 請(qǐng)求報(bào)文，該報(bào)文在VLAN2 內(nèi)廣播；7） C-switch（int vlan 2） ARP 回應(yīng)報(bào)文；8） switch（int vlan 2）-C icmp request （目的MAC 是 C 的MAC，源MAC 是 int vlan 2 的MAC，目的IP 是C，源IP 是A）同步驟4）相比報(bào)文的MAC 頭進(jìn)行了重新的封裝， 而IP 層以上的字段基本上不變；9） C-A icmp reply，這以后的處理同前面icmp request 的過程基本相同。以上的各步處理中，如果ARP 表中已經(jīng)有了相應(yīng)的表項(xiàng)，則不會(huì)給對(duì)方發(fā)ARP 請(qǐng)求報(bào)文。怎么樣來區(qū)分二和三層的數(shù)據(jù)流？3526 產(chǎn)品是三層以太網(wǎng)交換機(jī)，在其處理流程中既包括了二層的處理功能，又包括了三層的處理功能。區(qū)別二三層轉(zhuǎn)發(fā)的基本模型：vlan 1 vlan 2A CB三層交換機(jī)劃分了2 個(gè)VLAN， A 和B 之間的通信是在一個(gè)VLAN 內(nèi)6完成，對(duì)與交換機(jī)而言是二層數(shù)據(jù)流，A 和C 之間的通信需要跨越VLAN，是三層的數(shù)據(jù)流。上面提到的是宏觀的方法，具體到微觀的角度，一個(gè)報(bào)文從端口進(jìn)入后，Swtich 設(shè)備是怎么來區(qū)分二層包文，還是三層報(bào)文的呢？從A 到B 的報(bào)文由于在同一個(gè)VLAN 內(nèi)部， 報(bào)文的目的MAC 地址將是主機(jī)B 的MAC 地址，而從A 到C 的報(bào)文，要跨越VLAN，報(bào)文的目的MAC 地址是設(shè)備虛接口VLAN1 上的MAC 地址。因此交換機(jī)區(qū)分二三層報(bào)文的標(biāo)準(zhǔn)就是看報(bào)文的目的MAC地址是否等于交換機(jī)虛接口上的MAC 地址。以華為S3526 交換機(jī)為例，三層交換機(jī)整個(gè)處理流程中分成了三個(gè)大的部分：1）平臺(tái)軟件協(xié)議棧部分這部分中關(guān)鍵功能有：運(yùn)行路由協(xié)議，維護(hù)路由信息表；IP 協(xié)議棧功能，在整個(gè)系統(tǒng)的處理流程中，這部分擔(dān)負(fù)著重要的功能，當(dāng)硬件不能完成報(bào)文轉(zhuǎn)發(fā)的時(shí)候，這部分可以代替硬件來完成報(bào)文的三層轉(zhuǎn)發(fā)。另外對(duì)交換機(jī)進(jìn)行telnet, ping, ftp,snmp 的數(shù)據(jù)流都是在這部分來處理。舉例：show ip route：Routing Tables:Destination/Mask Proto P