三层交换机 DHCP VRRP

一 交换机概念

实现vlan间通信，就需要路由，解决办法要么是二层交换机加路由器形成单臂路由，要么就是直接使用三层交换机。本质上就是“带有路由功能的（二层）交换机”。路由属于OSI参考模型中第三层网络层功能，因此被称为“三层交换机”。

三层交换机是在二层交换机的基础上，增加了路由选择功能的网络设备，能够基于 ASIC 和 FPGA 实现网络功能和转发分组。

二层交换机能够基于数据链路层的 MAC 地址，进行数据帧或 VLAN 的传输功能。

三层交换机能够基于网络层的 IP 地址，实现路由选择以及分组过滤等功能。

 三层交换机原理：

     使用三层交换技术实现不同vlan之间的通信

     三层交换 = 二层交换 + 三层转发

 三层交换机和路由器的比较

性能:传统路由器对过往的每个包执行路由功能，靠软件处理，而三层交换机只对少量包执行软件的路由功能，大量的包或者在第二层上、或者在第三层上进行硬件交换性能相差很大。

接口类型:三层交换机的接口基本都是以太网接口，没有路由器接口类型丰富。因此路由器可以用于异种网络互连，而三层交换机则多用于大型局域网内部的子网互连。

路由功能:三层交换机虽有寻找路径功能，但比较弱不支持复杂的路由协议，只能用于网络结构比较简单的情形。而专业路由器则可以用于大型复杂网络。

综上所述，三层交换机重点是交换，强调的是性能;而专业路由器则重点解决互连的复杂性以及准确的控制。

二、传统的 MLS

• 三层转发过程中需要重新封装2层
• 三层交换机上，第三层引擎处理数据流的第一个包
• 交换ASIC从3层引擎中获悉2层重写信息，在硬件中创建一个MLS条目
• 负责重写和转发数据流中的后续数据。

简单地说，主机第一次ARP请求广播后，将数据发给三层交换机，交换机从3层引擎中获悉2层重写信息将其记录到底层硬盘里，并转发出去，当下一次再具有相同地址信息的数据流再次通过时，即根据此表直接在二层（数据链路层）完成转发，即“一次路由，多次交换”，有效提高了数据包转发的效率。*三层转发过程中要重新封装2层。

三、基于CEF 的MLS

CEF 概念：基于拓扑转发的模型
1、转发信息库（FIB）
2、邻接关系表

3、工作原理：

①、主机A给主机B发送单播数据包

②、交换机查找FIB表，找到下一跳地址

③、查找下一跳地址对应的邻接关系的2层封装信息

④、转发

 

 单臂路由可实现不同VLAN间通信

     access--PC

     Trunk--交换机

   单臂路由实现不同vlan间通信原理：    路由器重新封装mac地址，转换vlan标签

  单臂路由缺点

• “单臂”为网络骨干链路，容易形成网络瓶颈。
• 子接口依托于物理接口，应用不灵活。
• vlan间转发需要查看路由表，浪费资源。

四 层交换机转发原理

• 一次路由，多次转发
• 只会查找一次路由表，然后形成mis条目，后续的数据包按照mis条目转发

                                       实线拓扑图

 实验目的

通过交换机实现不同VLAN的通信，然后实现全网互通   三台主机选择自动配置

② pc12主机配置 IP地址  子网掩码  网关

③给SW2交换机选择端口类型，将端口加入vlan中

 ④给三层交换机SW6，新建vlan10、20、30，配置接口1为trunk类型，允许所有vlan通过；三个vlan分别配置虚拟接口和IP地址

⑤再给LSW2配置vlan100虚拟接口和IP，选择access接口类型，且该接口默认属于vlan100；添加往PC12方向静态路由配置

 

⑥测试是否通信

        关于三层交换总结：

•                VLAN是交换机的逻辑划分：提高安全性、隔离广播域、简化网络管理
•                Trunk简化网络结构：实现同vlan跨交换机互通
•                三层交换机转换原理：一次路由，多次交换
•                三层交实现不同vlan间互通
•                三层交多用于核心层：路由功能 + 高速转发
•                三层交具有路由功能可以转发数据，IP地址是配置再虚拟接口上而不是物理接口                          上，物理接口对接交换机的配置Trunk，对接PC机的配置Access。

总结

单臂路由或者三层交换机都可以实现VLAN之间的通信

单臂路由工作原理:   路由器重新封装MAC地址，转换VLANID

三层交换机工作原理:一次路由，多次交换

一次路由:数据流的第一个数据包由三层引擎来处理，重新封装MAc，再路由转发数据包

多次交换:第一个数据包转发后，会在硬件创建一个MSL条目，MSL包含FIB(转发信息库:包含邻接主机IP和vlanid)、邻接关系表(包含邻接主机MAC地址)，通过查询FIB和邻接关系表重新封装数据帧，从相应端口转发数据

三层交换机具有路由功能可转发数据，ip地址是配置在虚接口上而不是物理接口上，物理接口对接交换机配置trunk，对接pc机配合access

二 通过给路由器配置DHCP协议，让dhcp为pc11配置地址信息

 ①先选择DHCP

 ②给AR5路由配置IP

③AR5的配置对照pc11ipconfig

 三 地址池 实验 

四 DHCP 含义：

动态主机配置协议

网络中的自动分配TCP/IP参数的协议（ ip  dns   网关  子网掩码）。

自动获取ip地址。需要有一台服务器提供ip地址给客户端自动获取

DHCP分配方式

• 自动分配：分配到一个ip地址后永久使用（基本不会这样设置）
• 手动分配：由管理员专门制定ip地址  （多用于打印机等固定不变）
• 动态分配：使用完释放该ip，给其他客户机使用

DHCP使用udp协议

• 客户端：udp68

• 服务器：udp67

 DHCP的租约过程叙述

           ① 当DHCP客户机加入到网络中来，需要得到IP地址上网
           ②DHCP客户机会发送一个广播报文DIscover，寻找DHCP服务器
           ③DHCP服务器收到Discover报文，会回复一个Offer报文并且携带相关配置信息（IP地址                            子网掩码   DNS    网关）；
           ④客户端收到Offer报文后，会将报文中的配置信息配置好，再回复一个Request报文，告                     诉DHCP服务器将使用的地址从合法地址池中去除；
           ⑤DHCP服务器收到Request报文后，会回复一个ACK报文，告诉客户机可以放心使vrrp

客户端发送discover报文给DHCP服务器，由可能出现三种可能

① 网络中无DHCP服务器，客户机会自动配置一个错误地址  169.254开头的地址

②只有一台DHCP 服务器，就这台回复

③不止一台，哪台offer报文先到达客户机，客户机就用谁的报文

 

五 vrrp：虚拟路由器冗余协议（备胎协议）

1  VRRP能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现网关的备份。  

2  协议版本: VRRPv2（常用）和VRRPv3

3  VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两种网络。

4 VRRP协议报文： 只有一种报文:Advertisement报文（通告报文）    也叫心跳线  ;其目的IP地址是224.0.0.18，协议号是112。

利用VRRP，一组路由器协同工作且只有一个处于Master状态，处于该状态的路由器（的接口）承担实际的数据流量转发任务，在一个VRRP组内的多个路由器接口共用一个虚拟IP地址，该地址被称为局域网内所有主机的  缺省网关地址

单网关缺陷

当网关路由器Router A出现故障时，本网段内以该设备为网关的主机都不能与 Internet进行通信

多网管的缺陷

通过部署多网关的方式实现网关的备份

但多网关可能会出现一些问题：网关间IP地址冲突；主机会频繁的切换网络出口

• VRRP决定哪个路由器是Master
• Master路由器    负责接收发送至网关的数据包并进行转发，以及响应pc对于对于其网关IP地                              址 的ARP请求。

• Backup路由器    侦听Master路由器的状态，并在Master路由器发生故障时，接替其工作，从                             而保证业务流量的平滑切换。

• 依靠优先级分出Master和Backup

• 虚拟ip地址、虚拟MAC地址

  虚拟IP地址就是虚拟路由器的IP地址，该地址实际上就是用户的网关地址。

  就是虚拟路由器根据VRID（虚拟路由器id）生成的MAC地址，一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-{VRID}

   VRRP的作用

提供了局域网上的设备备份机制，VRRP是一种容错协议，它们保证当主机的下一跳路由器换掉时，可以及时有另一台路由器来代替，从而保证通讯的连续性和可靠性。

  VRRP设备的工作方式有如下两种：

· 抢占模式：在抢占模式下，如果Backup设备的优先级比当前Master设备的优先级高，则主动将自己切换成Master。

· 非抢占模式：在非抢占模式下，只要Master设备没有出现故障，Backup设备即使随后被配置了更高的优先级也不会成为Master设备。

因此，如果需要优先级高的VRRP设备能够主动成为Master，可以将此设备配置采用抢占方式

  VRRP主备路由器切换过程

· 如果Master发生故障，则主备切换：Backup在Master_Down_Interval时间内未收到Master发送的状态通告报文，则立即成为Master。

· 如果原Master故障恢复，则主备回切：发现收到RouterB的VRRP报文中的优先级比自己低，RouterA立即抢占成为Master。

  设备类型

①主（master）路由器

通过比较VRRP优先级，优先级大的是master路由器；

周期性的发送VRRP报文，维护master路由器和备份路由器的身份；周期时间默认是1s； 备份

关，通过比较 VRRP 优先级，优先级小的是备份路由器；

②备份（backup）路由器：

通过不断的接收master路由器发送的 VRRP 报文来判断master路由器的状态；

如果在一定的时间内，收不到 VRRP 报文，则认为master路由器出现故障，自己升级为master路

由器；

这个“一定的时间”，默认是“master路由器发送VRRP的周期”的3倍，所以默认是 3s 。 

③虚拟网关

通过VRRP虚拟出来的网关IP地址，这个网关IP地址，是配置在终端设备上的；

终端设备访问其他网段时，直接将数据发送给虚拟网关IP地址，

此时只有master路由器会回应针对虚拟网关IP地址的ARP请求，所以最终终端设备发送的数据

发送到了master路由器设备上

VRID
虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器
 

  VRRP 主备  备份过程

• 设置了优先级 优先级大的优先 优先级一样的 时候 比较 接口的 mac 地址
• 路由器配置好以后，互相是不知道对面的配置，会互相发送通告报文，选举主备路由器
• 选举出主备路由器
• 选举出主备后， backup 就不再发送报文，
• master 始终在周期性发送 通告报文
• master每间隔1秒发送一个通告报文，backup 始终监听master，backup一段时间内收不到master的报文会 成为

  主备路由器切换过程

master发生故障，主备切换过程

一般来说 在主发生故障的时， backup在3秒没回成为主(此时间核优先级等设置有关)

虚拟ip 会在路由器B上

原来的主路由器恢复

 负载均担

传统的主备方式流量都经由单个Master转发，Master负担过重

通过配置不同的备份组，使RouterB成为新备份组的Master，这样就可以分担网络中流量了 

六 VRRP总结

①VRRP组通过vrid来识别的，一个VRRP组可以有多个VRRP路由器，其中包含一个Master，一个或者多个Backup。

②VRRP会虚拟出一个虚拟路由器，包含虚拟IP和虚拟MAC地址，虚拟IP要和Master、Backup在同一网段离。

③一般是通过虚拟IP地址，用作在VRRP路由器局域网下所有主机的默认网关IP地址

④Master实际转发数据和响应局域网主机的ARP请求，定时发送VRRP报文给Backup

⑤Vack用于监听Master发来的VRRP报文，如果超过一定时限，就会抢占Master