1:以太网的帧类型
Ethernetll: 由目的 MAC、源 MAC、协议类型、数据内容、FCS 组成。一般用与数据传输
802.3 RAW:只支持IPX/SPX 网络,被淘汰
802.3 LLC:由目的 MAC、源 MAC、长度、LLC 头部、数据内容、FCS 组成
802.3 SNAP: 由目的 MAC、源 MAC、长度、LLC 头部、SNAP 头部、数据内容、FCS
802.3 顿格式的 LLC 头部和 SNAP 头部中拥有更多字段,所以可以实现更多的对链路的控制,一般以太网数据链路层协议使用的顿格式都是 802.3 格式,但是 802.3 格式的多出的头部导致留给有效数据载荷的空间就变少了,所以在用于普通数据传输时,一般使用 Ethernetll 格式来封装
2:交换机转发数据帧的原理
交换机收到数据帧后,学习数据的源 MAC 地址,把数据的源 MAC 地址、收到的端口、该端
口的 PVID 进行映射,产生一条MAC 地址记录
对于支持 Vlan 的交换机,会给数据加上 Vlan tag,Van tag 中的 Vlan id 就是接收该端口的所属
Vlan
交换机在 Tag 中 Van 的 MAC 地址表中检查数据的目的 MAC 地址,如果目的 MAC 地址在 MAC
地址表中有记录,则按照记录对应的出接口进行转发;如果表中没有记录,则对该帧做广播泛洪处
理,把该帧从除了接收端口之外的所有其他端口转发出去
如果交换机收到的数据顿本身就是广播帧,会把该帧从除了接收端口之外的所有其他端口转发出去
3:交换机MAC地址学习的两种模式
IVL: 独享模式。各个Van 内学习到的 MAC 地址为各个 Vlan 所有,不会共享给其他 Vlan。目前绝大多数交换机都是这个模式
SVL: 共享模式。某一个 Van 学习到 MAC 地址后,会共享给其他所有 Vlan
4:802.1Q 顿格式(Vlan 帧格式)
被加上 Van taq 的顿格式称为 802.1Q 格式。该格式的一般只有交机能识别,路由器在子接口上
开启 802.1Q 识别后也能识别,PC 无法识别
给数据帧加上 Van tag 是为了使交换机知道该数据顿是来自与哪个 VIan
802.1Q 顿格式为目的 MAC 地址、源 MAC 地址、Van tag、协议类型、数据内容、FCS
Vlan tag 的格式为 TPID、Priority、CFI、Vlan ID
TPID: 标签协议识别符,用于辨识区分一个顿是否被标记
Priority: 802.1P 优先级,用于交换机进行 QOS 拥塞管理
CFI: 标准格式指示,若为 1代表 MAC 地址为非标准格式;若为0则为标准格式
Vlan ID: 标记该顿数据接收端口的 VIan id
5:交换机Access,Trunk,Hybrid 端口类型处理数据的方式 (VIan 通讯原理)
交换机端口分为 Access、Trunk、Hyrbid 三种类型
Access 口对顿的处理:
收到不带 Tag 的顿,打上该接口 PVID 的Van tag
收到带 Tag 的顿,当 Tag 中的 VIan id 与接口 PVID 一致,则接收该,不一致则丢弃该帧
发送帧时会先剥离的该顿的 Vlan tag
Trunk口对帧的处理:
收到不带 Tag 的顿,会打上该接口 PVID 的 Vlan tag。当 PVID 在 Passing 列表中,则接收该
帧,不在则丢弃该帧
收到带 Tag 的顿,当 Tag 中的 VIan id 在 Passing 表中,则接收该;不在则丢弃该顿
发送帧时,如果 Vlan id 与端口的 PVID 一致,则剥离 Tag 转发;如果不一致,则保留 Tag 转发
Trunk 端口的 Passing 表中的 Van 来自本机存在的 Van 与 Permit 表的交集
Hybrid 口对帧的处理:
收到不带 Tag 顿的处理同 Trunk 口
收到带 Tag 顿的处理同 Trunk 口
发送帧时,如果 Vlan id 与端口的 PVID 一致,则剥离 Tag 转发;如果不一致,则判断 Vlan id 是在接口的 Untagged 表还是 Tagged 表中;在 Untagged 表中则剥离标签转发,在Tagged 表中
则保留标签转发
6:Vlan 的类型
基于端口的 Van:固定的把某个端口加入某个 VIan
基于MAC 的Vlan: Mac 地址绑定到 Van,同- Mac 地址的设备,无论连接在哪个端口,Van 归属
不变
基于协议的 Vlan:三层协议绑定到 VIan,同一协议的报文,无论从哪个端口接收,Van 归属不变
基于IP 子网的 Vlan: P 网段绑定到 Van,同一P 子网的设备,无论连接在哪个端口,Van 归属不
变
除了基于端口的 Van 以外,其它 Vlan 类型都需要所有支持的接口类型都设置为 Hybrid,同时放行所有Vlan
默认优先级: Mac Vlan >IP 子网 Vlan > 协议 VIan > 端口 VIan
7:Private Vlan 原理以及适用场景
Private Vlan(私有 Vlan)技术通过把上行接口和下行接口都设置为 Hybrid 类型来实现下行Vlan对
上行设备不可见的效果,用于解决局域网中 VIan 数量不够用的问题。
Vlan 的可用数量为 4094,大型局域网中对于核心层设备来说,如果每个用户一个VLAN,4094个
Vlan 远远不够
Private Vlan 设置一个 Primary Vlan 和若干个 Secondary Van,把连接上行交换机的接口配置为
Hybrid 类型,PVID为 Primary Vlan,并 Untagged 放行 Primary Vlan 和所有 Secondary Vlan;下连用户终端的接口也设置为 Hybrid 类型,PVID 为本地的 Secondary Vlan,并 Untagged 放行 PrimaryVlan 和本地的 Secondary Vlan。所以当下行终端的数据携带 Secondary Vlan 的 Tag 经过上行接口发送至上游交换机时,会被剥离掉 Vlan tag,上游交换机收到未携带 Tag 的后会加上本端口 PVID的 Tag,所以实际上下行 PC 的数据不管来自哪个 Van,最终到达上游交换机时都会被打上新的Tag,导致 Secondary Vlan 对上游交换机不可见。既然不可见,就意味着所有的 Secondary VIan 可以在下游被复用,通过这样来解决 Vlan 数量不够用的问题
由于在下行交换机上的连接终端的下行接口只放行 Primary Vlan 和本地的 Secondary Vlan,所以不同的 Secondary Vlan 之间是无法互通的,也能在本地实现不同 VIan 的隔离
Secondary Vlan 之间可以通过在本地交换机的 Primary Vlan 三层接口上开启本地代理ARP 来实现
,但该功能需要交换机开启L3 域功能;也可以无需开启L3 域功能,而借助上行交换机的 Vlan 三层接口开启本地代理ARP来实现
使用 Private Vlan 技术后,交换机会在 Secondary Vlan 学习到终端的 MAC 地址。当上游向终端发送数据帧时,进入本地交换机会加上 Primary Vlan 的 Vlan tag。按照交换机查表原理,会在 PrimaryVlan 的 MAC 地址表中查询终端的 MAC 地址。结果是查询不到,就会通过广播泛洪把数据发送至终端设备。可以通过 MAC 地址同步技术来解决该问题。MAC 地址同步是指当交换机在 SecondaryVlan 学习到一条 MAC 地址记录,会自动复制一条至 Private Vlan;同理,Private Vlan 学习到一条MAC 地址记录,也会自动复制一条至 Secondary Vlan
8:Super Vlan 原理以及适用场景
Super Vlan 用于解决三层交换机 Vlan 三层接口不够用的问题。如果大规模组网中,划分了数量巨大的 Vlan,可能会超出网关三层交换机支持的最大三层接口数量。Super Vlan 可以解决该问题
Super Vlan 只用于建立三层接口,不能加入任何物理接口,用于包含若千个 Sub Vlan。只要所包含的Sub Vlan 中存在UP 状态的物理口,Super Vlan 的接口就能 UP
Sub Vlan 只用于加入物理接口,不能建立三层接口,Sub Vlan 只能通过 Super Vlan 与外部进行三层通讯。Sub Vlan 保留各自独立的广播域
通过 Super Vlan 技术,可以实现不同 Vlan 的主机使用同一个IP 网段进行编址,对应同一个网关,网关就是 Super Vlan 的三层接口地址
Super Van 由于只建立三层接口,不包含任何物理接口,所以不可能出现有携带 Super Vlan 标签的数据帧发送至其他交换机,反之如果接收到携带 Super Vlan 标签的数据,交换机也无法转发,所以Trunk 链路将自动禁止 Super Vlan 的流量通过,也就是说 Super Vlan 无法在交换机上进行二层转发,只允许进行三层转发
Sub Vlan 可以通过在 Super Vlan 的三层接口上开启本地代理 ARP 来实现
9:本地代理ARP和普通代理ARP
由于ARP 的查询请求是广播发送,所以不同广播域的主机无法互相查询 MAC 地址。在使用了
Private Vlan 或 Super Vlan 的网络中,Secondary Vlan 之间或 Sub Vlan 之间,无论是二层还是三层都将无法互通。代理ARP 可以解决这个问题。代理ARP 又分为普通代理ARP 和本地代理ARP
普通代理 ARP 的工作环境为: 想要互通的主机P 地址在同一网段,且连接在不同的三层接口下,但
又不在一个广播域。通过在交换机三层接口上设置代理 ARP,在收到一个广播域的内的 ARP 广播查询请求,以自己为源地址,在被查询的 P 的广播域内发送查询目的主机的 ARP 请求。收到被查询主机ARP 单播响应后,再以自己为源地址,发送 ARP 单播响应至发起查询请求的主机,通告查询主机,被查询 IP 的 MAC 地址是交换机三层接口的 MAC 地址。之后查询主机要访问被查询的主机,就会把目的 MAC 地址封装为交换机三层接口的 MAC 地址,发往交换机。交换机收到后再通过三层转发至被查询主机。
本地代理 ARP 的工作环境为:想要互通的主机P 地址在同一网段,且连接在同一个三层接口下,但
又不在一个广播域,比如 Private Vlan 中 Secondary Vlan 的互通或者 Super Vlan 中 Sub Vlan 的互通。工作原理是在三层交换机的 Super Vlan 三层接口下启用本地代理ARP后,Super VIan 的三层按口就能收到一个 Sub Van 中主机对另外一个 Sub Vlan 中主机的ARP 广播查询请求。之后交换机会把收到的ARP 广播查询请求,以自己为源地址,在被查询的IP 对应的 Sub Van 中发送;收到被查询主机的单播响应后,交换机会以自己为源地址,在收到查询请求的 Sub Vlan 中发送单播应,通告查询主机,被查询的 IP 的 MAC 地址是 Super Van 的 MAC 地址。之后查询主机要访问被查询的主机,就会把目的 MAC 地址封装为 Super Vlan 的 MAC 地址,发往交换机。交换机收到后再通过三层转发至被查询主机
10:Access 端口和 Trunk 端口能否互联,如果可以,怎么互联?
Access 和 Trunk 端口可以互联
如果要实现的是同一个Van 在两个端口间互通,只需要把Access 端口加入到该 Van,并把 Trunk
端口的 PVID 设置为该 Vlan,并放行该 Van 就可以了。比如 Van10 内部互通,从Access 端口一侧的交换机来自 Vlan10 的,会被 Access 端口剥离标签发出,对端 Trunk 端口收到未携带标签的.
打上PVID,也就是 Vlan10 的标签,再转发至 Vlan10 的主机;从Trunk 端口一侧的交换机来自
Vlan10 的顿,由于 PVID 就是Van10,所以也会剥离标签发出;对端Access 端口收到未携带标签的
,打上 Vlan10的标签,再转发至 VIan10 的主机
如果要实现的是跨 Vlan 互通,比如一台交换机上 Vlan10 和另一台交换机上 Vlan20 的互通,只需要把Access 端口加入到 Vlan10 或 Van20,把对端Trunk 端口的 PVID 设置为另-个Van 就可以了
比如把Access 端口加入 Van10,从该端口一侧的交换机来自 Van10 的会被剥离标签发出,对端
Trunk 口收到未携带标签的顿,打上 PVID,也就是 Vlan20 的,就可以转发至 Vlan20 的主机;从
Trunk 口一侧的交换机来自 Vlan20 的,由于和 PVID 一致,所以剥离标签发出,对端Access 端
收到未携带标签的顿,打上 Van10 的标签,再转发至Van10 的主机
由于Access 端口只能允许一个 Vlan 通过,所以无法实现两台交换机之间多 Vlan 同时互通的效果
11:三层交换机的数据转发原理
三层交换机转发分为精确匹配和最长匹配
精确匹配流程如下:
交换机收到数据顿,如果目的 MAC 地址是 Vlan 三层接口的 MAC 地址,就判断为三层转发,否则判断为二层转发
如果判断为三层转发,则检查IPFDB 表,根据PFDB 表的出接口进行转发。如果IPFDB 表中没有记录,则查询 FIB 表,按照 FIB 表进行最长匹配查询转发,然后产生该数据报文IPFDB 转发记录
IPFDB 表是根据 FIB 表和ARP 表产生的唯一匹配表项,同时包含二层转发信息和三层转发信息
最长匹配流程如下:
交换机收到数据顿,如果目的 MAC 地址是 Van 三层接口的 MAC 地址,就判断为三层转发,否则判断为二层转发
如果判断为三层转发,则检查 L3 Table 表,根据 L3 Table 表的出接口进行转发。如果 L3 Table表中没有记录,则查询 DEF_IP 表,按照 DEFIP 表进行最长匹配查询转发,然后产生该数据报文的 L3 Table 转发记录
L3 Table 表是根据 DEFP 表和ARP 表产生的唯一匹配表项,同时包含二层转发信息和三层转发信息。DEF_IP 表是类似 FIB 的最长匹配表项。与精确匹配的区别是,DEF_IP 表由专门的芯片来维护,而 FIB 是由CPU 维护,所以DEF-IP 的查表速度比 FIB 要快很多
12.MVRP的端口模式
MVRP 端口分为 Normal 模式、Fixed 模式和 Forbidden 模式
Normal 模式是可传递和动态学习所有的 Van,就是会把本地创建的静态 Vlan 注册出去,也会接收其他交换机发送过来的注册消息,学习动态 Vlan,交换机的 MVRP 端口默认是该模式
Fixed 模式是只传递 Vlan1 和静态 Van,不学习其他交换机传递的动态 Van。也就是会把本地创建的静态 Vlan 注册出去,但是不接收其他交换机发送过来的注册消息,也就不会学习动态 VIan
Forbidden 模式是只传递 Vlan1,Vlan1 每台交换机都有,所以基本等于不传递静态 Van,也不学习动态 Vlan
MVRP的端口要求都是 Trunk 类型,并放行所有 Vlan
MVRP 协议运行的实体是端口,而不是交换机,只有某个端口是 Normal 模式,接收注册消息而学
到其他交换机注册过来的动态 Vlan 后,该Trunk 端口才会放行该 Vlan; 如果某个端口只是发出某
Vlan 的注册消息,那么该 Trunk 端口不会放行该 Vlan
当某台交换机学习到动态 Vlan 后,一旦该 Vlan 中加入了某个端口,该 Vlan 在该交换机中会自动变为静态Vlan,从而会向对端发起该 VIan 的注册消息
167
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
