先来理解两个概念:冲突域,广播域
冲突域:冲突域是数据必然发送到的区域。HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。
广播域:广播数据时可以发送到的区域是一个广播域。交换机和集线器对广播帧是透明的,所以用交换机和HUB组成的网络是一个广播域。路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。
交换机的工作原理
当PCA发送数据到本子网的pcB,数据发制送至交换机接口,如果交换机MAC表里没有PCA的表项,则保存帧里的MAC源地址并与PCB映射,然后交换机查看MAC表有没有PCB的MAC地址,如果有则转发度数据,如果没有则发送一个ARP广播要求PCB发送MAC地址响应,然后将其存储并转发数据
标准CAM表:CAM+接口编号,进行哈希运算(哈希运算是散列函数算法,采用摘要提取法,并不是加密算法。常用哈希算法,MD5、SHA)
支持vlan基础的CAM表:MAC+接口编号+VLAN ID,进行哈希运算
哈希算法的特点:
1.不等长的输入,等长的输出(将任意长度的输入经过变化以后得到固定长度的输出)
2.雪崩效应(修改一小处地方在进行一次哈希运算之后变化很大,适合做校验)
3.不可逆运算(它是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程)
三层交换机:是二层交换机和路由器的功能集合的设备
当一个数据包进入3层交换机后:
第一步:先查看源MAC地址,生成CAM表
第二步:查看不表MAC地址
- 广播:洪范的同时解封装
- 组播:洪范或者基于组转发,若设备在该组中同时解封
- 单播:目标MAC为本地,直接解封转;目标MAC为其他设备基于CAM表转发
第三步:查看ip地址,此时就是作为一个路由器在工作,与路由器工作原理一致
面试问题一:三层交换机和二层交换机有什么区别?
1.工作层级不同
二层交换机在数据链路层(网络接入层),三层交换机工作在核心网络层
2.原理不同,功能不同
二层交换机基于MAC地址寻找合适的端口转发数据,只有交换功能,三层交换机是基于源目路由之后,就可以多次交换,实现一次路由多次交换功能,同时通过配置vlan的IP地址,实现不同vlan间通信
3.适用协议不同
二层交换机适用物理层协议与数据链路层协议,三层交换机既可以适用网络接入层协议,也可适用网络层协议
面试问题二:三层交换机可以替换路由器吗?为什么?
答:三层交换机与路由器的区别:
1、主要功能不同
三层交换机虽然可以数据交换和路由,但其主要功能是数据交换,路由器的主要功能才是路由功能
2、适用环境不同
三层交换机只是用于局域网提供快速数据交换功能,满足局域网数据交换频繁的应用特点,而路由器不仅适用局域网,更适用于运行不同协议的广域网与局域网不同网络实现网络互联
3、性能体现不同
三层交换机通过硬件执行数据包交换,中低端路由器则基于CPU软件软件路由引擎执行数据包交换,有些高端路由器也是基于硬件转发的,从工作原理上看,三层交换机工作过程简单,第一次路由之后将MAC地址与IP地址的映射表存储在缓存列表中,之后不在路由,而路由器每次转发数据都需要路由,包括每次面对相对应的路由选路问题都需要占用资源,消耗时间。所有三层交换机解决了路由器在局域网中数据转发频繁的问题,比起路由器节约资源,路由器则更适合应用在不同网络类型中数据转发不频繁的网络互联
综上所述,不能替换,各有各的优势,三层交换机的转发数据包的速度较快,路由器相比较慢(因为复杂);路由器的路由功能较优越,更好的路由寻路。比如当网络出现故障时,路由器的路由算法可以规划出另一条优选路线供数据包转发,而三层交换机达不到这样的要求,所以替换是不存在的!
交换机的作用
1、提供端口密度,用于更多节点的互联,集线器(HUB)的作用
2、对电流信息进行识别再转发,可无线延长传播距离
3、解决冲突,实现所有节点间的同时数据收发
4、实现二层单播
简单理解vlan技术
虚拟局域网协议,通过将局域网内的设备逻辑的设置为一个个不同的区域,用vlan2,3,4…等vlan id标记,为了解决以太网的广播问题与安全问题。
vlan对交换机的影响:
交换机在发送数据报文时查看mac地址表的目的mac地址,再匹配vlan id,确定入vlan与出vlan一致,才转发数据报文,不一致,向与入接口vlan id相同的所有vlan端口发送
思科vlan配置逻辑:(交换机的接口只有接入和中继模式)
1.交换机上创建vlan
2.接口划入vlan
3.Trunk干道(交换机之间贴标签)
4.vlan间路由
华为vlan规则:display port vlan active(查看vlan允许列表)
1.所有数据帧在一个交换机内部转发时,必须存在标签(我是哪个vlan的流量)
2.在每一个交换机的接口上均存在转发允许列表(不是实际存在),只有被允许通过的流量才能通过该接口进出
3.流量从接口出时,可以继续携带标签,也可以被剥离标签
4.流量从接口入时有标签识别允许列表中(vlan list 行是否有),允许可通过,反之丢弃;入时无标签,贴上该接口的pvid标签
5.流量出接口,允许出可以出去,反正不能出,出去是否携带标签(vlan list 行是u表示不贴标签,T表示继续携带)
6.电脑接受vlan流量时不需要标记,标记的电脑直接丢弃
华为三个接口模式:(除access外,其他模式默认允许通过vlan1通过)
接入access:只能定义该接口的PVID;不能修改允许列表
中继trunk:可以修改pvid,也可以修改允许列表,但不能定义允许列表中,流量在离开时是否可以携带标签
混杂hybird:默认所有接口在不修改的前提下都是该模式,可以修改PVID,定义允许列表,可以定义该标签是否被标记
vlan实验
一、实验要求
- 1、pc1和pc3的接口为access,pvlan为vlan2
2、pc2/4/5/6在同一网段,且pc2能正常访问pc4/5/6,pc4可以访问pc5,但不能访问pc6.
3.pc1/3与pc2/4/5/6不在一个网段
4.所有pc通过DHCP获取ip地址,且pc1/3能访问pc2/4/5/6
二、实验分析
ip地址规划:pc1/3为一个网段,pc2/4/5/6为一个网段,不同网段互通需要三层设备,将路由器的0/0/0口配置子接口设置pc1/3网段的网关,物理接口给pc2/4/5/6为另一个网段的网关
vlan划分:pc4/5能互相访问,将其划分在一个vlan,不能访问pc6,pc6划分为另外的vlan,pc2能访问pc4/5/6,就与pc4/5不同,将其再划分为一个vlan,这样就有了,pc1/3为vlan2,pc2为vlan3,pc4/5为vlan4,pc6为vlan5.
策略设计:针对每个接口,华为设备的特殊属性,混杂模式定义允许与拒绝规则,在pc2/4/5/6网段,pc2所连0/0/2口,上去允许vlan3,下来允许vlan3/4/5,且剥离标签,pc4/5端口,上去允许vlan4,下来流量允许vlan3/4,剥离标签,pc6端口,上去允许vlan5,下来允许vlan3/6,同时也需要剥离标签
三、实验配置
sw1
[sw1]vlan batch 2 to 5
[sw1-GigabitEthernet0/0/1]port link-type access //修改接口模式为access
[sw1-GigabitEthernet0/0/1]port default vlan 2 //接口划入vlan
[sw1-GigabitEthernet0/0/2]port hybrid untagged vlan 3 to 5// 定义下接口时允许vlan3 到5通过,且不标记
[sw1-GigabitEthernet0/0/2]port hybrid pvid vlan 3 //默认接口模式为hybrid模式,该接口就划分在vlan3,流量上去就会打上vlan3的标签
[sw1-GigabitEthernet0/0/4]port hybrid tagged vlan 2 to 5 //两个交换机之间允许所有通过且需要贴标签
sw2
[sw2]vlan batch 2 to 5
[sw2-GigabitEthernet0/0/3]port hybrid tagged vlan 2 to 5
[sw2-GigabitEthernet0/0/1]port link-type access
[sw2-GigabitEthernet0/0/1]port default vlan 2
[sw2-GigabitEthernet0/0/2]port hybrid pvid vlan 4
[sw2-GigabitEthernet0/0/2]port hybrid untagged vlan 3 to 4
[sw2-GigabitEthernet0/0/4]port hybrid tagged vlan 2 to 5
sw3
[sw3]vlan batch 2 to 5
[sw3-GigabitEthernet0/0/3]port hybrid tagged vlan 2 to 5
[sw3-GigabitEthernet0/0/1]port hybrid pvid vlan 4
[sw3-GigabitEthernet0/0/1]port hybrid untagged vlan 3 to 4
[sw3-GigabitEthernet0/0/2]port hybrid pvid vlan 5
[sw3-GigabitEthernet0/0/2]port hybrid untagged vlan 3 5
在sw1连接路由器的接口,使得vlan3/4/5网段上路由器时剥离标签,华为中默认剥离标签进入物理接口,思科中默认剥离标签为vlan1,下路由器时不带标签进入sw1时为vlan1,这样路由器只识别两种流量,vlan2带标签的,子接口接受,不带标签的物理接口接受,默认混杂模式是允许通过vlan1的流量,所以除了access接口模式是不通过只通过vlan1
sw1
[sw1-GigabitEthernet0/0/3]port hybrid tagged vlan 2
[sw1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 to 5
R1
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 14
[r1-GigabitEthernet0/0/0.1]ip address 192.168.2.1 24
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 //将vlan2设置在0.0子接口中
[r1-GigabitEthernet0/0/0.1]arp broadcast enable //华为默认不开启arp广播,这里需要手动开启
[r1]dhcp enable //开启dhcp池塘
[r1]ip pool v1
[r1-ip-pool-v1]network 192.168.1.0 mask 24
[r1-ip-pool-v1]gateway-list 192.168.1.1
[r1-ip-pool-v1]dns-list 114.114.114.114
[r1-ip-pool-v1]q
[r1]ip pool v2
[r1-ip-pool-v2]network 192.168.2.0 mask 24
[r1-ip-pool-v2]gateway-list 192.168.2.1
[r1-ip-pool-v2]dns-list 114.114.114.114
[r1-ip-pool-v2]q
[r1-GigabitEthernet0/0/0]dhcp select global //接口上开启dhcp
[r1-GigabitEthernet0/0/0.1]dhcp select global
总结:vlan2访问vlan3/4/5/6时通过路由器进,出路由器时已经是vlan1了在另外一个广播域中流通,而vlan3/4/5/6所在广播域之间访问是通过混杂模式的允许拒绝规则,不经过路由器。
1025
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
