day17、1 - 三层交换技术

最新推荐文章于 2024-08-06 17:58:42 发布

EdimadeZhou

最新推荐文章于 2024-08-06 17:58:42 发布

阅读量325

点赞数

分类专栏： web安全基础文章标签：网络网络协议 tcp/ip web安全运维

本文链接：https://blog.csdn.net/Edimade/article/details/124703996

版权

web安全基础专栏收录该内容

58 篇文章 40 订阅

订阅专栏

本文详细阐述了单臂路由的局限性和三层交换技术的解决方案，包括三层交换机的组成、优势、工作原理以及实际应用在网络规划中的操作。重点讲解了如何利用三层交换机的虚拟端口和背板带宽提高效率，降低网络瓶颈并增强稳定性。

摘要由CSDN通过智能技术生成

一、单臂路由引出三层交换

1.单臂路由的缺点

网络瓶颈
容易发生单点故障
不同VLAN间通信的每一帧都进行单独路由

2.引出三层交换机

我们以前说过为了解决连接不同vlanID端口的PC发的数据可以被路由器接收，我们可以在交换机和路由器之间设置多根线，一根线通一个vlan的帧，且不用再配置trunk了。但是由于路由器没有这么多接口，而且如果一个公司中有很多vlan就要设置很多接口，所以此方案行不通。于是只能引入单臂路由技术，在路由器上开启很多虚拟的子接口，一个子接口识别和封装一个vlan标签

----》
现在按照这个想法如果把路由器和交换机做到一个机器中去，让这一个机器完成单臂路由的功能。内部路由器和交换机开启多个虚拟端口连接多跟线路（不是某一个端口的虚拟子接口，就是单独的虚拟端口，有点类似于设置多个线的情况），但不占用物理端口。现在做到一个机器中，开启的虚拟端口和虚拟线路在机器内部，所以内部的虚拟端口只可能因为此机器断电而故障，不会再像单臂路由一样多个虚拟子接口受一个物理端口的约束。所以我们按照这个想法引出三层交换技术

二、三层交换技术概述

1.三层交换机的组成

三层交换机又叫做公司的核心交换机
由一个纯的三层路由器和一个纯的二层交换机构成（其中的路由器叫路由引擎）
背板带宽：内部的交换机和路由器之间可以假想成开启了多个虚拟端口，虚拟端口之间连接了多根虚拟的线，一根线只走一个vlan的帧，当中的虚拟的线路叫做此三层交换机的背板，即数据进入三层交换机后在背板上传输。每根背板有带宽即背板带宽，一般都是千兆

2.三层交换机优势

解决了网络瓶颈问题

因为单臂路由技术是只有一根线连接到路由器，所有的数据都只从这一根trunk链路流入单臂路由器。那么一个线的带宽是有线的，而且还会被很多数据共用，速度自然会下降。但是现在如果使用三层交换机，内部开启了多个虚拟端口，虚拟端口间连接了多跟虚拟的线路----背板。所以相当于来自一个vlan的PC发出的帧只能从对应vlan的背板上传输，即一个背板线路负责一个vlan数据的传输。而且背板也是有带宽的，所以这样就解决了一个带宽被多个vlan的数据共用
解决了容易发生单点故障问题

此时三层交换机内部开启的虚拟端口依赖于三层交换机本身，因为这些虚拟端口和虚拟线路–背板都是在三层交换机的内部。不像单臂路由的所有子接口依赖于一个物理端口，物理端口故障，所有端口故障。三层交换机的内部的虚拟端口和背板只会因为机器的断电或损坏而故障，相对于比较稳定
加快了通信效率

三层交换机的特点：一次路由，永久交换。具体三层交换机路由原理详见三、三层交换机工作原理，结合day15、4 - 单臂路由中的单臂路由通信全过程对比起来看。

3.三层交换机内部结构理解

三层交换机内部可以理解为有一个纯的二层交换机和一个纯的三层路由器，所以我们要是打开三层交换机配置命令时，既可以配置二层命令也可以配置三层命令，我们可以理解为是给对应的组成部分配置的命令。
三层交换机的路由引擎只是一个模块，很多路由器的功能都缺失，只是为了实现不同vlan间通信加入的一个功能模块，但并不能直接将外网的网线往三层交换机上插，也就是说，三层交换机无法提供上网服务，必须再买一条路由器，将路由器连接到核心交换机上
- 连接到哪呢？记住：三层交换机的露在外面的端口（即可以接网线连接设备的端口），全部相当于接到内部的纯二层交换机的端口上，而不是连接到内部的路由引擎的的端口上。
- 接着要将此二层端口升级为三层端口，才能在三层交换机上敲三层设备的命令。那么此时就可以理解为在三层交换机内部的路由器上开启了一个物理端口，连接到外面的路由器。那么此时三层交换机内的路由器和外面买得路由器之间就是一个新的网段，加入公司中现在有10、20、30、40网段，那么此三层交换机与外部的路由器之间设置为50网段。接着在三层交换机的路由表中（可以理解为内部的路由器的路由表）添加一条默认路由：除10、20、30、40、50网段外的其他网段下一跳IP为连接到外部路由器的端口IP，假设图中的50.1.1.2。因为公司内部的四个网段都与三层交换机内部的路由器直连，所以此时相当于三层交换机内部路由器的路由表配置完整
- 除此之外我们要知道这个外部添加的路由器也属于公司内部的路由器，所以还需要给与三层交换机连接的路由器配置路由表，外网的其他网段可以指一条默认路由；然后还需要依次给公司内部的多个网段添加对应的静态路由条目，比如10网段、20网段、30网段、40网段的下一跳IP都为f0/1对应的IP假如为50.1.1.1。注意看下图理解，10/20/30/40网段与这台路由器并不直连
- 那么当员工想上网，需要和外网通信，即先请求自己所属vlan的网关，那么会将信息通过交换机发送到三层交换机的端口（即理解为内部的二层交换机端口），然后添加vlan标签，再通过对应vlan的背板送到内部路由引擎开启的虚拟接口–网关，再根据给三层交换机（理解为内部的路由器）配置好的路由表的默认路由条目匹配，则将帧再转发到外部连接的路由器，再由此路由器根据路由表向外网转发，最终与外网实现通信

三、三层交换机命令

三层交换机买来默认是关闭三层路由引擎的，即只能当二层交换机使用。需要输入以下命令开启三层路由引擎

1）开启/关闭三层路由功能

conf t
ip routing     #一定不要忘记！不然三层交换机即使配置好了所有命令也无法提供路由的功能！！！
no ip routing

2）三层交换机上开启虚拟接口（配置VLAN的网关）

conf t
int vlan 10   #给哪一个vlan创建的虚拟接口就写vlan几
ip add 10.1.1.254 255.255.255.0
no shut
exit

3）二层端口升级为三层端口

conf t
int f0/x
no switchport   #升级为三层接口
ip add ...
no shut

只有三层交换机才有升级命令，普通的二层交换机没有这条命令

什么时候使用：如果在三层交换机上要输入给三层设备的命令，那么就需要先进入此端口升级为三层端口，再输入三层设备相关的命令

四、内部网络规划

1.公司中网络规划

此网络拓扑中：我们称三层交换机为核心层；所有二层交换机叫接入层

1）购买三层交换机

由于一个大型公司中，需要解决广播带来的危害问题，所以需要划分vlan，但是又只想让vlan隔离广播，却不影响不同vlan员工PC之间的正常的通信，以及不同vlan员工PC和与外网相连的路由器（网关）通信。所有最好的方法是购买三层交换机。但是不建议直接将员工电脑连接到三层交换机上

2）根据员工分布部署二层交换机

比如现在公司有三层楼，每一层楼几百个员工，那么建议每一层都买上十几台二层交换机，将员工的PC连接到对应楼层的就近交换机上。再将这些二层交换机都连接到三层交换机上，实现所有的二层交换机可以与三层交换机互动

3）配置二层和三层交换机

由于此公司还要满足任何vlan的员工PC经过二层交换机都可以和三层交换机实现通信，则需要将二层交换机和三层交换机之间的链路设置为trunk链路
接下来在三层交换机（内部的纯二层交换机）上根据公司员工、部门、服务器规划好要创建的vlan，创建好后，配饰使用vtp协议，那么三层交换机下的所有二层交换机将自动学习到创建的vlan
再去二层交换机上逐一将相应的端口加入到相应的vlan
接着再去三层交换机上将路由引擎开启ip routing；在根据公司中有多少vlan就起多少虚拟接口，作为不同vlan对应网段的网关，给每个虚接口配置好IP。

4）员工指向对应vlan的网关

最后可以部署好DHCP服务器，为员工提供对应vlan的IP、DNS、子网掩码、网关等
也可以手动给员工配好网关和IP等。

此时，公司内所有员工就可以实现全网互通了

2.校园中网络规划

此网路拓扑图中：从上到下分为核心层，汇聚层，接入层
一般，汇聚层的一台三层交换机和它下面的接入层以及学生老师PC为学校某区域的网络；其他的汇聚层的三层交换机和它下面的接入层已经PC为学校的另一块区域。每块区域划分自己的vlan，当同区域需要通信，只需要请求这个区域中的汇聚层三层交换机即可，不需要去请求核心层的交换机。如果是跨学校的区域通信，则数据先到自己所在区域的汇聚层三层交换机，然后再到核心层交换机，再到另一个区域的汇聚层–接入层–PC；如果是学校与外网通信，则也需要先到自己区域的汇聚层，再到核心层交换机，最后经过学校的路由器，传入到外网。

这里的路由器学到后面其实可以换成防火墙，后面会学习

五、三层交换机工作原理

结合下图来说明：

三层交换机中所有的虚拟端口的MAC地址都相同，因为厂家不可能给虚拟交换机的那么多虚拟接口一个接口配置一个MAC，太多了。而且这些虚拟端口都不是真实存在的，都属于三层交换机内部的。
说明：
- 当mac地址为AA的PC1向mac为BB的PC2发送消息时，由于PC1和PC2在不同vlan，即在不同一网段，则PC1先去请求自己所在vlan的网关。由于还不知道网关的MAC地址，则先发送ARP请求广播，三层交换机再发送ARP单播应答，PC1会得到网关的MAC地址。接着PC1会发送多个帧：目标MAC为CC、源MAC为AA，源IP为10.1.1.1、目标IP为20.1.1.1。到达三层交换机
  
  PC1发的消息可能很大，一个帧没法运送完成
- 当此消息的第一个帧达到三层交换机后由于此这些帧属于vlan10，则只能进入到三层交换机内路由引擎上属于vlan10的CC端口（网关10.1.1.254）。vlan10的虚拟端口收到后，首先检查帧的目标MAC是否为自己，不是就丢弃；是则解封装送到路由引擎内部，用目标IP匹配路由表，匹配到应该从20.1.1.254属于vlan20的虚拟端口路由出去。则会将报文运送到20.254的CC端口。CC端口由于不知道PC2的MAC地址，会通过ARP广播最终得到PC2的MAC地址，然后将BB作为目标MAC、CC作为源MAC，剩下的部分不变封装好，从CC虚拟接口（20网段的网关）发往PC2
  
  注意一个小细节：只要目标IP为20.1的帧，那么最后从20.1.1.254虚拟端口转发目标MAC永远为BB、源MAC永远为CC，即只要路由引擎得到此帧转发给20.1.1.1，那么再将报文送到CC端口时目标MAC和源MAC永远是固定下来的
- 当CC虚拟端口封装好帧转发的同时，会自动在三层交换机形成两张表：快速转发表–CEF表；邻接关系表。且两张表有一一对应的关系。比如现在在CEF表中形成一条记录：vlan20 20.1.1.1；邻接关系表中会对应此记录形成一个记录：BB CC。那么当PC1发往PC2的消息的剩下的帧，经过10.1.1.254虚拟端口解封装，即将帧头帧尾拿下来后，得到目标IP为20.1.1.1，和CEF表中的记录匹配，再根据一一对应关系，直接将邻接关系表中的BB CC作为帧头的目标MAC和源MAC地址封装好，这个过程不用检查路由表和用ARP得到目标MAC（或者arp缓存表），直接封装即可。
- 那么如果有一天其他vlan的PC也想PC2发送帧，那么由于三层交换机中已经形成了两个表，则也不需要额外的操作，直接实现快速转发。
- 总结：一个消息拆分成很多帧发送，当第一个帧经过三层交换机需要匹配路由表和使用ARP获取目标MAC，后续的所有帧都根据CEF表和邻接关系表实现快速转发，即一次路由，永久交换