详解三层交换机以及网络连通性测试

前言导入

网关作为了一个广播域的中心出口，生成树的根网桥也是一棵树的中心，也是流量的集合点，若将两者分配不同的设备将导致网络通讯资源浪费，故强烈建议两者在同一台汇聚层设备上。

Eth-Trunk以太网链路聚合

• 若使用基于vlan或基于分组的STP协议来工作三层架构中，将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高，可以通过以太网通道channel（Cisco），以太网中继Eth-Trunk（华为），来解决，通道技术将多个接口逻辑的整合为一个接口，实现带宽叠加的作用。

• Eth-Trunk，也被称为以太网链路聚合，是一种通过将多条以太网物理链路捆绑在一起成为一条逻辑链路的技术。这种技术的目的是增加链路的带宽和可靠性。当网络规模不断扩大，用户对骨干链路的带宽和可靠性提出越来越高的要求时，Eth-Trunk技术可以有效地满足这些需求。

• 在具体应用中，Eth-Trunk可以用于二层或三层的链路聚合。根据网络的具体需求，可以通过相应的命令将接口切换为二层或三层接口。

配置要求：

• 通道的对端必须为同一台设备

• 

• 通道的所有物理接口应该具有相同的速率，双工模式，相同的类型，相同的vlan允许列表

[sw1]interface Eth-Trunk 0   创建通道接口
[sw1-Eth-Trunk0]q    退出
[sw1]interface g0/0/1    进入物理接口
[sw1-GigabitEthernet0/0/1]eth-trunk 0   将物理接口加入通道内

注：华为设备，之后设备的配置进入eth-trunk口修改；

Eth-trunk三层通道

• 三层通道相当于路由器与路由器之间的线路通道
• 成为通道的所有物理链路必须先为三层接口，其意义在于将多个需要配置IP地址的接口逻辑为一个接口，配置一个IP地址即可

[sw1]interface Eth-Trunk 0
[sw1-Eth-Trunk0]undo portswitch   切换为三层接口
[sw1-Eth-Trunk0]ip address 192.168.1.1 24   配置IP地址

[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]undo portswitch   修改物理接口为三层接口
[sw1-GigabitEthernet0/0/1]eth-trunk 0     将物理接口划入通道内

Eth-trunk二层通道

[sw1]interface Eth-Trunk 0   创建通道接口
[sw1-Eth-Trunk0]q    退出
[sw1]interface g0/0/1    进入物理接口
[sw1-GigabitEthernet0/0/1]eth-trunk 0   将物理接口加入通道内

管理vlanSVI

二层交换机物理接口正常无法配置IP地址，故存在一个svi（交换虚拟接口）接口；该接口可以配置IP地址，出厂存在MAC地址，用于远程登录该设备； 该接口默认处于vlan 1中，故vlan 1就被称为默认的管理vlan
注：

• 二层交换机存在一个svi，默认在vlan 1中，转移到其他vlan后，之前的vlanif接口将自动关闭
• 三层交换机支持多个svi接口，所有的svi可以共存

[sw1]interface vlanif 2
[sw1-Vlanif2]ip address 192.168.2.1 24

如果其他网段设备需要访问交换机上的svi接口，那么交换机上必须定义网关地址或回包的缺省路由，否则无法回复

[sw1]ip route-static 0.0.0.0 0 192.168.2.254

三层交换机

• 普通的三层交换机具有三层路由器的功能，标准的三层交换机不具有nat功能；只能作为汇聚层设备，无法成为核心层连接连接互联网的设备；
• 默认情况下，Cisco和华为，华三的三层交换机所有物理接口为二层接口
• 可以手动将三层交换机的二层接口修改为三层接口

[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]undo portswitch    将二层接口修改为三层接口
[sw1-GigabitEthernet0/0/1]ip address 192.168.1.1 24

• 注：华为的三层交换机默认存在三层路由功能，Cisco需要手动开启
• 切记：三层设备最大的意义在于可以使用svi接口来作为路由接口（网关接口）
  
  
  
  
  
  

二层交换机工作过程

先识别源MAC地址，记录后，再识别目标MAC地址

识别目标MAC后，若是单播（1.其他已知设备的MAC，则基于MAC地址表单播转发）
					（2.若是未知的其他设备的MAC，则洪泛）
			若是组播或广播，则洪泛

路由器工作过程

先识别目标MAC地址

识别目标MAC后，若是（1.路由器自己接口的MAC，则解封装）
				（2.其他设备的MAC，则丢包）
			若是组播或广播的MAC，解封装

只有在识别完目标MAC解封装后，再识别目标IP地址

识别目标IP地址后，若是（1.路由器接口的IP地址，则再次解封装）
			        （2.其他设备的IP地址，则查询本地的路由表转发）
			    若是组播或广播，则解封装

三层交换机工作过程

先识别源MAC地址，记录，再识别目标MAC地址

识别目标MAC后，若是单播（1.本地svi的MAC地址，则解封装到3层）
                     （2.其他已知设备的MAC地址，基于MAC地址表单播转发）
                     （3.未知设备的MAC地址，则洪泛）
              若是组播或广播，则解包+洪泛

当解到3层后（也就是目标MAC是本地的svi接口的MAC），识别目标IP地址，原理同路由器工作一样

svi接口双up条件

• 本地创建了该svi所在的vlan
• 该交换机上存在该vlan的用户接口或存在允许该vlan通过的trunk或混杂接口

网关冗余

vrrp

虚拟路由冗余协议（公有协议），原理同HSRP一致

vrrp工作原理

vrrp在一个组内可以存在多台三层设备，在组内存在一个master和多个backup（备份），vrrp会正常产生一个虚拟IP地址和一个虚拟MAC地址，默认每1s来检测一次master是否活动，组播224.0.0.18发包，TTL=1s，hold time 3s

选举规则

先比优先级，默认100，大优；再比接口IP地址，大优；

特点

切换速度快，可以使终端网关的IP和MAC地址不用变化，网关的切换对主机是透明的（终端不知道网关是否切换），并且可以实施上行链路追踪
注：
在网关冗余技术中，ICMP重定向是失败的，故当上行链路down时，网关将不会切换。可以定义上行链路追踪：该配置必须在抢占开启的情况下生效，且两台设备间的优先级差值小于下调值； 若本地存在多条上行或下行链路，建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时，才让备份设备抢占；下行链路大部分down时，可以让备份设备抢占；

vrrp与hsrp区别

• vrrp支持多台交换机设备
• 仅master发送hello包
• vrrp可以使用物理接口IP地址来作为网关地址（不推荐）
• 抢占默认开启
• hold time 3s

配置

主备备份方式

主配置：
[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.10    定义虚拟IP地址和vrid（主备的vrid和虚拟IP必须一致）
[sw1-GigabitEthernet0/0/1]vrrp vrid 1 priority 120     修改优先级

[sw1-GigabitEthernet0/0/1]vrrp vrid 1 track interface g0/0/1 reduce 30     配置上行链路追踪

备配置：
[sw2]interface g0/0/1
[sw2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.10

[sw1]display interface brief
[sw1]display vrrp interface vlanif 2

负载分担方式

[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.10
[sw1-GigabitEthernet0/0/1]vrrp vrid 1 priority 120     在vrid1组内，让sw1成为master，sw2成为backup
[sw1-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.20

[sw1-GigabitEthernet0/0/1]vrrp vrid 1 track interface g0/0/1 reduce 30     配置上行链路追踪

[sw2]interface g0/0/1
[sw2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.10
[sw2-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.20
[sw2-GigabitEthernet0/0/1]vrrp vrid 2 priority 120      在vrid2组内，让sw2成为master，sw1成为backup

[sw2-GigabitEthernet0/0/1]vrrp vrid 2 track interface g0/0/1 reduce 30     配置上行链路追踪

注：正常在三层架构中由于生成树的存在，负载分担方式将可能由于不同vlan根网桥位置不同，导致部分链路阻塞，使得负载分担反而成为累赘；因此仅建议在直接使用路由器作为网关时，才使用负载分担方式

SVI总结

• 在创建vlanif之前，先创建对应vlan
• vlanif是管理对应vlan的
• vlanif接口跟实际真实接口没有关联，相当于vlanif接口为交换机内部的接口

网络连通性测试

ping原理

Ping 是一种基于 ICMP（Internet Control Message Protocol）的网络诊断工具，用于测试两台计算机之间的网络连接和可达性。以下是 Ping 命令的工作原理：

1. 发送 ICMP Echo 请求：

   发送主机（通常是用户的计算机）通过执行 Ping 命令，向目标主机发送 ICMP Echo 请求消息。这个请求消息包含了发送主机的 IP 地址和一个唯一的标识符。

2. 目标主机的响应：

   目标主机接收到 ICMP Echo 请求后，如果目标主机可达，它会返回一个 ICMP Echo Reply 消息作为响应。Echo Reply 消息包含了相同的标识符，以及目标主机的 IP 地址。

3. 测量往返时间（RTT）：

   发送主机接收到 Echo Reply 消息后，会计算从发送请求到接收响应的时间，称为往返时间（Round-Trip Time，RTT）。Ping 命令通常会显示每个 Echo Reply 消息的往返时间。

4. 重复发送 ICMP Echo 请求：

   默认情况下，Ping 命令会连续发送 ICMP Echo 请求，并等待每个请求的响应。这样可以在一段时间内持续地测试网络连接。

5. 检测丢包：

   如果在一定时间内没有收到目标主机的响应，或者收到了 ICMP 错误消息（如目标不可达或时间超时），则 Ping 命令会将该请求标记为丢包，并显示相应的丢包率。

6. 显示统计信息：

   Ping 命令通常会在结束后显示一些统计信息，如往返时间的最小值、最大值、平均值和丢包率等。

总的来说，Ping 命令通过发送 ICMP Echo 请求并测量响应时间来测试两台计算机之间的网络连接，从而帮助用户诊断网络故障和评估网络性能。

ping常用参数

在使用 ping 命令时，可以添加一些参数以控制其行为。以下是常用的 ping 命令参数：

1. -c：指定要发送的 ICMP Echo 请求的次数。例如，ping -c 5 192.168.1.1 将发送 5 个 ICMP Echo 请求。

2. -s：指定发送的数据包的大小（以字节为单位）。默认情况下，数据包大小为 56 字节（包括 ICMP 头）。 例如，ping -s 1000 192.168.1.1 将发送一个大小为 1000 字节的 ICMP Echo 请求。

3. -t：设置等待响应的超时时间（以秒为单位）。如果在指定的时间内没有收到响应，则显示超时消息。例如，ping -t 5 192.168.1.1 将设置超时时间为 5 秒。

4. -a：设置源IP地址，例如，ping -a 192.168.1.1 192.168.4.1

5. -r：显示访问路径。

6. 

7. 

tracert原理

tracert（或 traceroute）命令的原理基于发送数据包并检查路由器返回的错误消息。以下是其工作原理的基本步骤：

1. 设置数据包TTL值：

   tracert 发送一个 ICMP Echo 请求（或 UDP 数据包）到目标主机，但将数据包的 TTL（Time-To-Live，生存时间）字段设置为 1。TTL 表示数据包在网络上可以经过的最大跳数（路由器数）。

2. 发送数据包：

   数据包离开本地主机并沿着网络传输，到达网络中的第一台路由器。当 TTL 为 1 时，数据包到达路由器后，该路由器将 TTL 减 1，并发现 TTL 为 0，因此会将 ICMP “Time Exceeded” 消息返回给发送者。

3. 记录路由器地址：

   tracert 接收到 ICMP “Time Exceeded” 消息后，记录该路由器的 IP 地址。这样，tracert 就知道了第一跳的路由器。

4. 增加TTL值：

   然后，tracert 发送另一个 ICMP Echo 请求，但将 TTL 设置为 2。这样，数据包可以通过第一跳路由器并继续前进到网络中的下一个路由器。当该数据包到达第二跳路由器时，TTL 将减为 0，该路由器会像之前一样返回 ICMP “Time Exceeded” 消息。

5. 重复步骤3和步骤4：

   tracert 不断增加 TTL 值，每次都记录下一跳路由器的地址，直到数据包到达目标主机为止。

6. 确定路径：

   通过记录下每一跳的路由器地址，tracert 最终能够确定数据包到达目标主机的路径。这就使得 tracert 能够显示从本地主机到目标主机的网络路径上的每个路由器。

7. 显示结果：

   最终，tracert 将输出每个路由器的 IP 地址，并计算每一跳的往返时间（RTT）。这样用户就可以了解数据包在网络中的路径以及每一跳的响应时间。

总的来说，tracert 命令通过发送数据包并分析路由器返回的 ICMP 错误消息来确定数据包经过的路由路径，从而帮助用户诊断网络连接问题和了解网络拓扑结构。

tracert参数

<H3C>tracert ?
  -a             Specify the source IP address used by TRACERT  （指定TRACERT使用的源IP地址）
  -f             Specify the TTL value for the first packet  （指定第一个数据包的TTL值）
  -m             Specify the maximum TTL value  （请指定最大TTL值）
  -p             Specify the destination UDP port number  （指定目的UDP端口号）
  -q             Specify the number of probe packets sent each time （配置每次发送探测报文的数量）
  -t             Set the Type of Service (ToS) value  （设置服务类型(ToS)值）
  -vpn-instance  Specify a VPN instance    （指定VPN实例）
  -w             Set the timeout to wait for each reply  （设置等待每个应答的超时时间）
  STRING<1-253>  IP address or hostname of the destination device   （目的设备的IP地址或域名）
  ipv6           IPv6 information  （IPv6的信息）

tracert显示信息解释

tracert 命令返回的信息提供了从源主机到目标主机的路径的详细信息，包括每一跳（路由器）的 IP 地址、主机名（如果可用）、往返时间（RTT）等。以下是 tracert 命令返回信息的一般解释：

1. 序号（Hop Number）：显示数据包通过的跳数。序号从 1 开始，代表数据包的起始点（通常是发送主机），依次递增，直到目标主机。

2. 路由器 IP 地址（Router IP Address）：显示数据包通过的每个路由器的 IP 地址。这些 IP 地址标识了数据包在网络中的路径。

3. 路由器主机名（Router Hostname）：如果可用，tracert 命令会尝试解析每个路由器的 IP 地址对应的主机名，并显示出来。

4. RTT 1 / RTT 2 / RTT 3：显示往返时间（Round-Trip Time，RTT）的统计信息。通常会显示每个路由器的三个 RTT 值，分别代表发送到路由器并返回的数据包的往返时间。RTT 1 是首次的往返时间，而 RTT 2 和 RTT 3 是后续发送的数据包的往返时间。单位通常是毫秒（ms）。

5. 网络连通性信息：在每个路由器的行中，tracert 命令还会显示是否能够成功到达目标主机，以及是否存在延迟或数据包丢失等情况。

6. 结束信息：tracert 命令完成后，通常会显示一些统计信息，如总共经过的跳数、往返时间的最小值、最大值、平均值等。

通过解释 tracert 命令返回信息中的这些部分，用户可以了解从源主机到目标主机的网络路径，并评估每个路由器的响应时间以及可能存在的网络问题。