来源:蜘蛛抓取(WebSpider)
时间:2016-03-08 05:55
标签:
交换机crc
本文为大家分享的是华为3Com8016交换机的DHCP配置案例,希望对同学们学习华为交换机基础知识有帮助!1功能需求及组网说明8016DHCP配置『配置环境参数』1.DHCP server的IP地址192.168. 0.10/242.DHCP server连接在交换机G1/0/0,属于vlan100,网关即vlan100虚接口地址192.168.0.1/243.交换机通过G1/0/1连接SwitchAG1/1,G1/0/2连接SwitchBG1/14.SwitchA通过G2/1连接SwitchC G1/15.vlan10的用户网段为10.10.1.1/246.vlan20的用户网段为10.10.2.1/247.vlan30的用户网段为10.10.3.1/248.SwitchA和SwitchC为二层交换机,SwitchB为三层交换机『组网需求』1.8016作DHCP relay,利用远端DHCP server为SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用户以8016上的vlan20虚接口为网关,8016作DHCP server直接为其分配IP地址3.SwitchC上的vlan30用户以SwitchB上的vlan30虚接口为网关,8016作DHCP server为其分配IP地址2数据配置步骤『8016DHCP relay数据流程』DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP server申请IP地址,这样便于地址池的管理和维护。【8016DHCP relay配置】1.DHCP server要配置到一个VLAN上,这个VLAN可以是任意的,但是要实现Relay,不要将Server同任何客户端配置到同一个VLAN内,建议专门划出VLAN给DHCP server组使用,这里将DHCP服务器组1对应的端口的VLAN配置为100.[Quidway] vlan 100[Quidway-vlan100] port gigabitethernet 1/0/0[Quidway] interface vlanif 1002.配置DHCP server的网关地址[Quidway-Vlanif100] ip address 192.168.0.1 255.255.255.03.配置DHCP服务器组1对应的IP地址。[Quidway] dhcp relay server-group 1 server 192.168.0.104.配置DHCP服务器组1服务的VLAN范围为10[Quidway] dhcp relay server-group 1 vlan 105. 进入G1/0/1,设置为trunk端口,允许vlan10通过[Quidway-gigabitethernet 1/0/1] port trunk permit vlan 106.配置VLAN10的对应网关地址。[Quidway] interface vlanif 10[Quidway-Vlanif10] ip address 10.10.1.1 255.255.255.0『8016作DHCP server数据流程』内置DHCP server下挂的用户类型有两种:一种是S8016的VLAN用户,用户直接向S8016发起DHCP请求,这类称为VLAN地址池用户;另一种是中间经过了DHCP中继设备(例如MA5200设备),DHCP请求在到达S8016之前经过了DHCP relay,这类称为全局地址池用户。【8016vlan用户】1.用户所在VLAN ID为20,创建并进入VLAN配置视图。[Quidway] vlan 202.将VLAN 20用户地址分配方式设置为本地。[Quidway-vlan20] address allocate local3.配置VLAN 20接口IP地址10.10.2.1,同时指定了DHCP server可分配的地址资源为10.10.2.0~10.10.2.255.[Quidway] interface vlan 20[Quidway-Vlanif20] ip address 10.10.2.1 255.255.255.04.S8016下挂了一台DNS服务器,IP地址是10.10.2.15,在S8016中设置DNS服务器的IP地址,同时将这个IP地址在地址池中禁止分配给用户。[Quidway-vlan2] dhcp server forbidden-ip 10.10.2.15[Quidway-vlan2] dns primary-ip 10.10.2.155. 进入G1/0/2,设置为trunk端口,允许vlan20通过[Quidway-gigabitethernet 1/0/2] port trunk permit vlan 20【全局地址用户】1.创建全局地址池,并命名为&abc&,地址池用户网关地址为10.10.30.1[Quidway] dhcp server ip-pool abc 10.10.3.1 255.255.255.02.配置路由IP信息[Quidway] dhcp server gateway abc 10.10.3.13.S8016下挂了另外一台DNS服务器,IP地址是10.10.3.15,在S8016中设置DNS服务器的IP地址,同时将这个IP地址在地址池中禁止分配给用户。[Quidway] dns primary-ip abc 10.10.3.15[Quidway] dhcp server forbidden-ip abc 10.10.3.154.配置VLAN200与SwitchB相应的虚接口vlan200在同一个网段[Quidway] interface vlanif 200[Quidway-Vlanif200] ip address 10.10.10.1 255.255.255.0【SwitchB相关配置】1.创建(进入)vlan30[SwitchB] vlan 302.将E0/1加入到vlan30[SwitchB-vlan30]port Ethernet 0/13.实际当中一般将上行端口设置成trunk属性,允许vlan透传[SwitchB-GigabitEthernet2/1]port link-type trunk4.允许SwitchC的vlan从G2/1端口透传通过[SwitchB-GigabitEthernet2/1]port trunk permit vlan 305.实际当中一般将上行端口设置成trunk属性,允许vlan透传[SwitchB-GigabitEthernet1/1]port link-type trunk6.允许所有vlan从E0/3端口透传通过,也可以指定具体的vlan值[SwitchB-GigabitEthernet1/1]port trunk permit vlan 307.创建(进入)vlan30的虚接口[SwitchB]interface Vlan-interface 308.给vlan30的虚接口配置IP地址[SwitchB-Vlan-interface30]ip address 10.10.3.1 255.255.255.0[SwitchB]9.定义一个DHCP server[SwitchB]dhcp-server 0 ip 10.10.10.1[SwitchB-Vlan-interface30]dhcp-server 010. 创建(进入)vlan200的虚接口,vlan200用于SwitchB与8016互连[SwitchB]interface Vlan-interface 20011. 给vlan200的虚接口配置IP地址[SwitchB-Vlan-interface200]ip address 10.10.10.2 255.255.255.0【SwitchC相关配置】1.创建(进入)vlan30[SwitchC] vlan 302.将E0/1加入到vlan30[SwitchC-vlan30]port Ethernet 0/13.实际当中一般将上行端口设置成trunk属性,允许vlan透传[SwitchC-GigabitEthernet1/1]port link-type trunk4.允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值[SwitchC-GigabitEthernet1/1]port trunk permit vlan 303测试验证1.PC1、PC2和PC3都能够正确的获取IP地址和网关2.PC1、PC2和PC3都能够PING通自己的网关及DHCP server华为交换机端口镜像配置【3026等交换机镜像】S/SH/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口,对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像(观测)端口[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。【E/】〖基于三层流的镜像〗1. 定义一条扩展访问控制列表[SwitchA]acl num 1012. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-to ip-group 101 interface e0/8〖基于二层流的镜像〗1. 定义一个ACL[SwitchA]acl num 2002. 定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule 0 permit ingress interface Ethernet0/1 (egress interface any)3. 定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule 1 permit (ingress interface any)egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-to link-group 200 interface e0/8【5516】支持对入端口流量进行镜像配置端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像。[SwitchA]mirror Ethernet 3/0/2ingress-to Ethernet 3/0/1【06R】目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。[SwitchA]mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【补充说明】1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现2. 8016支持跨单板端口镜像华为路由器 qos car+nat+dhcp+vlan 配置心得好久没有写博客了,也好久没有泡坛了,工作压力是大了很多,但实际上还是自己懒了很多,也比以前浮澡了很多,趁今天领导都去开会的机会,把昨天的帮客户解决网络问题的心得写一下,供大家参考,也希望大家提出宝贵意见。客户网络环境:一个小型办公网络,有两家公司(A、B)在一个写字楼办公,共申请一条4M独享VDSL专线(其中A是缴3M的专线费用,B是缴1M的专线费用),共60台电脑左右,各30台电脑,各三台非网管24口D-LINK交换机,一台华为1821路由器(1wan口,4lan口)。用户特殊需求:(1)、A、B不能互访。(2)、A、B都通过华为路由器DHCP获取地址。(3)、A、B带宽必须划分开,A享受3M带宽,B享受1M带宽(原来的时候B公司网络流量过大经常影响到A公司网络办公)。简单解决方案:根据现有网络条件,实际上仅通过华为1821路由器可以实现以上功能,具体实施如下:(1)、在华为路由器1821内部网关口(eth1/0)划分子接口(eth1/0.1、eth1/0.2),分别配置两个网关(192.168.0.1、192.168.0.2),并分别进行封装与vlan2、vlan3相对应。(2)、在华为路由器1821两个lan口(eth1/1、eth1/2)划分两个vlan(vlan2、vlan3)。(3)、分别在两个不同的逻辑子接口(eth1/0.1、eth1/0.2)配置nat并应用。(4)、分别在两个不同的逻辑子接口(eth1/0.1、eth1/0.2)配置dhcp,在同一物理接口针对两个vlan网络应用dhcp来分配两个不同的网段。(5)、由于该路由器lan口为二层端口,无法实现qos car限速,只能考虑在其唯一的内部网关接口(eth1/0)的子接口上实现qos car限速达到带宽限制的作用。(6)、配置wan口地址(X、X、X、X),配置static route地址,大功告成。(7)、配置用户登录(super、console、vty等)用户名及密码(这里仅配置密码模式)。(8)、测试并观察端口信息、负载信息等,随时调整相应策略,由于考虑到其设备处理能力及时间紧迫,并未增加太多策略(如ACL等)和功能。具体配置如下:#sysname Quidway#clock timezone gmt-12:000 minus 12:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20#WEB set-package force flash:/http.zip#radius scheme system#domain system#local-user *******password cipher .]@*********service-type telnet terminallevel 3service-type ftp#acl number 2000 \\ 配置nat Aclrule 0 permit source 192.168.0.0 0.0.0.255#acl number 3000 \\ 配置nat Aclrule 0 permit ip source 192.168.1.0 0.0.0.255acl number 3001 \\配置 Firewall Aclrule 0 deny ip destination 192.168.1.0 0.0.0.255acl number 3002 \\配置 Firewall Aclrule 0 deny ip destination 192.168.0.0 0.0.0.255#interface Ethernet1/0ip address dhcp-alloc#interface Ethernet1/0.1ip address 192.168.0.1 255.255.255.0dhcp select interface \\ dhcp 应用于子接口dhcp server dns-list 202.106.0.20 202.106.196.115firewall packet-filter 3001 inbound \\ firewall ACL过滤应用于接口vlan-type dot1q vid 2 \\子接口封装dot1qqos car inbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard\\流量限速qos car 配置qos car outbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard\\流量限速qos car 配置#interface Ethernet1/0.2ip address 192.168.1.1 255.255.255.0dhcp select interface \\ dhcp 应用于子接口dhcp server dns-list 202.106.0.20 202.106.196.115firewall packet-filter 3002 inbound \\ firewall ACL过滤应用于接口vlan-type dot1q vid 3 \\子接口封装dot1qqos car inbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard\\流量限速qos car 配置qos car outbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard\\流量限速qos car 配置#interface Ethernet1/1port access vlan 2 \\将e1/1端口加入vlan2#interface Ethernet1/2port access vlan 3 \\将e1/1端口加入vlan2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet2/0 \\进入wan口配置ip address X、X、X、X 255.255.255.224nat outbound 3000nat outbound 2000#interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.0y、y、y、ypreference 60#user-interface con 0 \\用户登录配置authentication-mode passwordset authentication password cipher 0HB8%-MB%I^[Q1R','&6NQ!!user-interface vty 0 4user privilege level 3set authentication password cipher 0HB8%-MB%I^[Q1R','&6NQ!!#return[Quidway]华为路由器和交换机配置地址转换一。 端口:路由器--ethernet(以太口)、Serial(串口)、loopback(虚拟端口)交换机--ethernet、vlan、loopback注意:交换机默认其24个端口全在vlan 1里面,交换机在给vlan配了ip之后就具有路由器的功能了。 另一个需要注意的是,所用的端口是否被shutdown了,如果被shutdown了,需要进入相应的端口执行undo shutdown.二。 配置ip除了交换机的以太口不可以配置ip外,其他端口都可以,配置方法相同。[Quidway] interface*(所要配置的端口,如vlan 1)[Quidway-*]ip add*.*.*.*(ip) *.*.*.*(掩码)/*(掩码位数,一般只在路由器上适用)三。 NAT 上网(此命令是在VRP版本为3.4的路由器上测试的,在其他版本上是否适用,未经考察)组网图:R1E0/2E0/3E0/1E1:192.192.169.*/24E0:192.168.2.1/24Ip:192.168.2.10/24网关:192.168.2.1Ip:192.168.2.11/24网关:192.168.2.1Ip:192.168.2.12/24网关:192.168.2.1Ip:192.168.2.13/24网关:192.168.2.1PCAPCBPCCE0/4To internetPCDS1E0/5NAPT工作过程:P191.用地址池的方法上网:首先配置路由器的接口的ip地址,然后配置地址转换,把所有内网地址转换成所配置的地址池中的地址,参考命令如下:[R1]acl number 2000 //在vrp为3.4的路由器上,表示basic acl[R1-acl-basic-2000]rule permit source 192.168.2.00.0.0.255(地址掩码的反码)[R1-acl-basic-2000]rule deny source any#这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包[R1]nat address-group1(地址池的组号)192.192.169.9.15#这条命令定义了一个包含6个公网地址(10~15)的地址池,地址池代号为1[R1] interface e 1[R1-Ethernet1] nat outbound 2000(acl的编号) address-group 1 (地址池的代号)[R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1(千万不要忘记这一步,!)#上面设置了路由器的E0和E1端口IP地址,并在路由表中添加缺省路由。2.共用一个ip上网首先配置路由器的接口的ip地址,参考命令如下:system[Router]sysname R1[R1]interface e0[R1-Ethernet0]ip add 192.168.2.1 24[R1]interface e1[R1-Ethernet1]ip add 192.192.169.10 24 //这里假设出口ip是192.192.169.10然后配置地址转换,参考命令如下:[R1]acl number 2000 //在vrp为3.4的路由器上,表示basic acl[R1-acl-basic-2000]rule permit source 192.168.2.00.0.0.255(地址掩码的反码)[R1-acl-basic-2000]rule deny source any#这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包[R1] interface e 1[R1-Ethernet1]nat serverprotocol tcp global 192.192.169.10(E1的ip) inside 192.168.2.1(内网网关E0的ip)[R1-Ethernet1] nat outbound 2000(acl的编号)[R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1#上面设置了路由器的E0和E1端口IP地址,并在路由表中添加缺省路由。注:有的组网图可能会复杂一些,比如交换机上划分了vlan,需要在路由器上添加到交换机的路由四、配置路由1.默认路由[Quidway]ip route-static 0.0.0.0(目的地址)0.0.0.0(地址掩码)*.*.*.*(下一条地址)2.静态路由[Quidway]ip route-static *.*.*.*(目的地址)*.*.*.*(地址掩码)*.*.*.*(下一条地址)3. rip(交换机和路由器的配置相同)[Quidway]rip[Quidway-rip]network *.*.*.*(所要启动rip协议的端口的网络号)4. ospf(交换机和路由器的配置相同)[Quidway]router id *.*.*.*[Quidway]ospf[Quidway-ospf]area * (启动ospf的自治区域)[Quidway-ospf-area-0.0.0.*] network *.*.*.*(所要启动rip协议的端口的网络号)*.*.*.*(网络掩码的反码)注:要注意交换机/路由器对应端口所在的自治区域。帧在网络通信中的变化端口镜像:将某些指定端口(出或入方向)的数据流量映射到监控端口,以便集中使用数据捕获软件进行数据分析[S1]inter e 0/13[S1-Ethernet0/13]port link &type Trunk[S1-Ethernet0/13]port trunk permit VLAN 2 3这样E0/13既属于VLAN2又属于VLAN3,&Tagged&表示从该端口通过的保温都要打上IEEE802.1q标记,用于标记该报文所属的VLAN.区域内,每台路由器描述的是自己能够确保正确的信息--自己周边的网络拓扑结构--无论路由器位于网络中什么位置,都可以准确无误得接收到全网的拓扑结构图;OSPF 根据收集到的链路状态用最短路径树算法计算路由,从算法上本身保证了不会生成自环路由;当网络拓扑结构发生变化时,会有一台或多台路由器感知到这一变化,重新描述网络拓扑结构,并将其通知给其它路由器,每个路由器收到更新信息后,都会立即重新运行最短路径树算法,得到新的路由。区域间,通过ABR将一个区域内已计算出的路由封装成Type3类的LSA发送到另一个区域中来传递路由信息。此时的OSPF是基于D-V算法的。为消除自环,所有ABR将本区域内的路由信息封装成LSA后统一发送给骨干区域,再由骨干区域将这些信息发送给其他区域,骨干区域内每一条LSA都确切知道生成者信息(所有区域必须和骨干区域相连,骨干区域自身也必须是连通的)。所以就不会产生路由自环。服务器192.192.169.200我要用的ip:192.192.169.113;网关:192.192.169.1附:display ip routingip route-static *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip)ip route *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip)undo ip route-static *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip)import-route static 将静态路由引入ospfdisplay ospf lsa假如S1上的vlan3与R1的e0/0相连,要设定其Metric值为100[S1]inter vlan3[S1-Vlan-interface3]ospf cost 100[R1]inter e 0/0[R1-Ethernet0]ospf cost 100[R1]tracert *.*.*.* (目标ip)1 ip12 ip23 ip3说明R1到达目标先到ip1再到ip2再到ip3(目标),由此可得出最短路径树查看交换机的MAC地址: display arp华为路由器交换机 VLAN 配置实例使用4台PC(pc多和少,原理是一样的,所以这里我只用了4台pc),华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)。方案说明:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit华为三层以太网交换机基本原理及转发流程1. 二层转发流程1.1. MAC地址介绍MAC 地址是48 bit 二进制的地址,如:00-e0-fc-00-00-06.可以分为单播地址、多播地址和广播地址。单播地址:第一字节最低位为0,如:00-e0-fc-00-00-06多播地址:第一字节最低位为1,如:01-e0-fc-00-00-06广播地址:48 位全1,如:ff-ff-ff-ff-ff-ff注意:1)普通设备网卡或者路由器设备路由接口的MAC 地址一定是单播的MAC 地址才能保证其与其它设备的互通。2) MAC 地址是一个以太网络设备在网络上运行的基础,也是链路层功能实现的立足点。1.2. 二层转发介绍交换机二层的转发特性,符合802.1D 网桥协议标准。交换机的二层转发涉及到两个关键的线程:地址学习线程和报文转发线程。学习线程如下:华为认证技术文章21)交换机接收网段上的所有数据帧,利用接收数据帧中的源MAC 地址来建立MAC 地址表;2)端口移动机制:交换机如果发现一个包文的入端口和报文中源MAC地址的所在端口不同,就产生端口移动,将MAC 地址重新学习到新的端口;3)地址老化机制: 如果交换机在很长一段时间之内没有收到某台主机发出的报文,在该主机对应的MAC 地址就会被删除,等下次报文来的时候会重新学习。注意: 老化也是根据源MAC 地址进行老化文章出自,转载请保留此链接!。报文转发线程:1)交换机在MAC 地址表中查找数据帧中的目的MAC 地址,如果找到,就将该数据帧发送到相应的端口,如果找不到,就向所有的端口发送;2)如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同,则丢弃该报文;3)交换机向入端口以外的其它所有端口转发广播报文。1.3. VLAN二层转发介绍报文转发线程:引入了VLAN 以后对二层交换机的报文转发线程产生了如下的影响:1)交换机在MAC 地址表中查找数据帧中的目的MAC 地址,如果找到(同时还要确保报文的入VLAN 和出VLAN 是一致的),就将该数据帧发送到相应的端口,如果找不到,就向(VLAN 内)所有的端口发送;2)如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同,则丢弃该报文;3)交换机向(VLAN 内)入端口以外的其它所有端口转发广播报文。以太网交换机上通过引入VLAN,带来了如下的好处:1)限制了局部的网络流量, 在一定程度上可以提高整个网络的处理能力。2)虚拟的工作组,通过灵活的VLAN 设置,把不同的用户划分到工作华为认证技术文章3组内;3)安全性,一个VLAN 内的用户和其它VLAN 内的用户不能互访,提高了安全性。另外,还有常见的两个概念VLAN 的终结和透传, 从字面意思上就可以很好的了解这两个概念。所谓VLAN 的透传就是某个VLAN 不仅在一台交换机上有效,它还要通过某种方法延伸到别的以太网交换机上,在别的设备上照样有效;终结的意思及相对,某个VLAN 的有效域不能再延伸到别的设备,或者不能通过某条链路延伸到别的设备。VLAN 透传可以使用802.1Q 技术,VLAN 终结可以使用PVLAN 技术。IEEE802.1Q 协议是VLAN 的技术标准,主要是修改了标准的帧头,添加了一个tag 字段,其中包含了VLAN ID 等VLAN 信息,具体实现这里不谈,如果有兴趣可以看相关的标准和资料。注意:在Trunk 端口转发报文的时候,如果报文的VLAN Tag 等于端口上配置的默认VLAN ID,则该报文的Tag 应该去掉,对端收到这个不带Tag 信息的报文后, 从端口的PVID 获得报文的所属VLAN 信息,因此配置的时候必须保证连接两台交换机之间的一条Trunk 链路两端的PVID 设置相同。为什么要去Tag 呢?这样做是为了保证一般的用户插到Trunk 上以后,仍旧可以正常通信,因为普通用户无法识别带有802.1Q Vlan 信息的报文。使用802.1Q 技术可以很好的实现VLAN 的透传,可是有的时候需要把VLAN 终结掉,也就是说这个VLAN 边界在哪里终止,PVLAN 技术可以很好的实现这个功能, 同时达到节省VLAN 的目的。cisco 的PVLAN 意思是private vlan,而我们的PVLAN 意思是primary vlan.这里的VLAN 有两类:Primary vlan 和secondary vlan(子VLAN)。实现了接入用户二层报文的隔离,同时上层交换机下发的报文可以被每一个用户接收到,简化了配置,节省了VLAN 资源。具体实现这里不谈,如果有兴趣可以相关资料。华为认证技术文章4下面谈谈三层交换流程。用VLAN 分段,隔离了VLAN 间的通信,用支持VLAN 的路由器(三层设备)可以建立VLAN 间通信。但使用路由器来互联企业园区网中不同的VLAN 显然不合时代的潮流。因为我们可以使用三层交换来实现。差别1(性能):传统的路由器基于微处理器转发报文,靠软件处理,而三层交换机通过ASIC 硬件来进行报文转发,性能差别很大;差别2(接口类型):三层交换机的接口基本都是以太网接口,没有路由器接口类型丰富;差别3:三层交换机,还可以工作在二层模式,对某些不需路由的包文直接交换,而路由器不具有二层的功能。首先让我们看一下设备互通的过程:如图所示:交换机上划分了两个VLAN,在VLAN1,VLAN 2 上配置了路由接口用来实现vlan1 和 vlan 2 之间的互通。A 和B 之间的互通(以A 向B 发起ping 请求为例):1) A 检查报文的目的IP 地址,发现和自己在同一个网段;2) A----&B ARP 请求报文,该报文在VLAN1 内广播;3) B----&A ARP 回应报文;4) A----&B5) B----&AA 和C 之间的互通(以A 向C 发起ping 请求为例):1) A 检查报文的目的IP 地址,发现和自己不在同一个网段;2) A----&switch(int vlan 1) ARP 请求报文,该报文在VLAN1 内广播;华为认证技术文章53) 网关----&A ARP 回应报文;4) A----&switch icmp request(目的MAC 是 int vlan 1 的MAC,源MAC 是A 的MAC,目的IP 是C,源IP 是A);5) switch 收到报文后判断出是三层的报文。检查报文的目的IP 地址,发现是在自己的直连网段;6) switch(int vlan 2)----&C ARP 请求报文,该报文在VLAN2 内广播;7) C---&switch(int vlan 2) ARP 回应报文;8) switch(int vlan 2)----&C icmp request (目的MAC 是 C 的MAC,源MAC 是 int vlan 2 的MAC,目的IP 是C,源IP 是A)同步骤4)相比报文的MAC 头进行了重新的封装, 而IP 层以上的字段基本上不变;9) C----&A icmp reply,这以后的处理同前面icmp request 的过程基本相同。以上的各步处理中,如果ARP 表中已经有了相应的表项,则不会给对方发ARP 请求报文。怎么样来区分二和三层的数据流?3526 产品是三层以太网交换机,在其处理流程中既包括了二层的处理功能,又包括了三层的处理功能。区别二三层转发的基本模型:vlan 1 vlan 2A C1.1.1.1255.255.0.01.1.1.2255.255.0.02.2.2.2255.255.0.02.2.2.1255.255.0.01.1.1.3255.255.0.0B如图所示:三层交换机划分了2 个VLAN, A 和B 之间的通信是在一个VLAN 内6完成,对与交换机而言是二层数据流,A 和C 之间的通信需要跨越VLAN,是三层的数据流。上面提到的是宏观的方法,具体到微观的角度,一个报文从端口进入后,Swtich 设备是怎么来区分二层包文,还是三层报文的呢?从A 到B 的报文由于在同一个VLAN 内部, 报文的目的MAC 地址将是主机B 的MAC 地址,而从A 到C 的报文,要跨越VLAN,报文的目的MAC 地址是设备虚接口VLAN1 上的MAC 地址。因此交换机区分二三层报文的标准就是看报文的目的MAC地址是否等于交换机虚接口上的MAC 地址。以华为S3526 交换机为例,三层交换机整个处理流程中分成了三个大的部分:1)平台软件协议栈部分这部分中关键功能有:运行路由协议,维护路由信息表;IP 协议栈功能,在整个系统的处理流程中,这部分担负着重要的功能,当硬件不能完成报文转发的时候,这部分可以代替硬件来完成报文的三层转发。另外对交换机进行telnet, ping, ftp,snmp 的数据流都是在这部分来处理。举例:show ip route:Routing Tables:Destination/Mask Proto Pre Metric Nexthop Interface0.0.0.0/0 Static 60 0 10.110.255.9 VLAN-Interface210.110.48.0/21 Direct 0 0 10.110.48.1 VLAN-Interface110.110.48.1/32 Direct 0 0 127.0.0.1 InLoopBack010.110.255.8/30 Direct 0 0 10.110.255.10 VLAN-Interface210.110.255.10/32 Direct 0 0 127.0.0.1 InLoopBack0127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0华为认证技术文章7维护ARP 表show arp:IpAddress Mac_Address VLAN ID Port Name Type10.110.255.9 00e0.fc00.5518 2 GigabitEthernet2/1 Dynamic10.110.51.75 .f039 1 Ethernet0/9 Dynamic10.110.54.30 0800.20aa.f41d 1 Ethernet0/10 Dynamic10.110.51.137 0010.a4aa.fce6 1 Ethernet0/12 Dynamic10.110.50.90 .e04f 1 Ethernet0/8 Dynamic2)硬件处理流程主要的表项是:二层MAC 地址表,和三层的ip fdb 表,这两个表中用于保存转发信息,在转发信息比较全的情况下,报文的转发和处理全部由硬件来完成处理,不需要软件的干预。 这两个表的功能是独立的,没有相互的关系,因为一个报文只要一进入交换机,硬件就会区分出这个包是二层还是三层。非此即彼。例如:show mac all:MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0000.21cf.73f4 1 Learned Ethernet0/19 266a79 1 Learned Ethernet0/12 225b38 1 Learned Ethernet0/9 262.9648 1 Learned Ethernet0/16 232.9f64 1 Learned Ethernet0/16 300MAC 地址表是精确匹配的IVL 方式, 其中关键的参数是:Vlan ID, Portindex.例如:show ipfdb all:0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: ErrorIp Address RtIf Vtag VTValid Port Mac Status10.11.83.77 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 110.11.198.28 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 110.63.32.2 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 110.72.255.100 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2华为认证技术文章810.75.35.103 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 210.75.35.106 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2路由接口索引(RtIf):该索引用来确定该转发表项位于哪个路由接口下面,对3526 产品来讲,支持的路由接口数目是32;Vlan tag: 该值用来表明所处的VLAN,该VLAN 和路由接口是对应的;Vlan tag 有效位(VTValid):用来标识转发出去的报文中是否需要插入Vlan tag 标记。端口索引(Port):用来说明该转发表项的出端口;下一跳MAC:三层设备每完成一跳的转发,会重新封装报文中的MAC头,硬件ASIC 芯片一般依据这个域里面的数值来封装报文头。两个重要的概念:解析,未解析,每次收到报文,ASIC 都会从其中提取出源和目的地址在MAC Table 或者 IP Fdb Table 中进行查找,如果地址在转发表中可以找到,则认为该地址是解析的,如果找不到,则认为该地址是未解析的。根据这个地址是源,还是目的,还可以有源解析,目的未解析等等的组合。对于二层未解析,硬件本身可以将该报文在VLAN 内广播,但是对于三层报文地址的未解析报文硬件本身则不对该报文进行任何的处理,而产生CPU 中断,靠软件来处理。硬件部分的处理可以用这句话来描述:收到报文后,判断该报文是二或是三层报文,然后判断其中的源,目的地址是否已经解析,如果已经解析,则硬件完成该报文的转发,如果是未解析的情况,则产生CPU 中断,靠软件来学习该未解析的地址。3)驱动代码部分其中关键的核心有:地址解析任务:在该任务中对已经报上来的未解析的地址进行学习,以便硬件完成后续的报文的转发而不需软件干预地址管理任务:为了便于软件管理和维护,软件部分保存了一份同硬件中转发表相同的地址表copy.华为认证技术文章9fib(forwarding information base)表: 这个表的信息来源于ip route table 中的路由信息,之所以把它放在了driver 部分, 是为了地址解析任务在学IP 地址时查找的方便。举例:show fib:Destination/Mask Nexthop Flag Interface0.0.0.0/0 10.110.255.9 I VLAN-Interface210.110.48.0/21 10.110.48.1 D VLAN-Interface110.110.48.1/32 127.0.0.1 D InLoopBack010.110.255.8/30 10.110.255.10 D VLAN-Interface210.110.255.10/32 127.0.0.1 D InLoopBack0127.0.0.0/8 127.0.0.1 D InLoopBack0三层转发主要涉及到两个关键的线程:地址学习线程和报文转发线程,这个和二层的线程是类似的;1)报文转发线程主要根据地址学习线程生成的转发表(ipfdb table)信息来对报文进行转发,如果里面的信息足够多,这个转发的过程全部由硬件来完成,如果信息不够,则会要求地址学习线程来进行学习,同时该报文硬件不能转发,会交给软件协议栈来进行转发。2)地址学习线程主要用来生成硬件转发表(ipfdb table)其实ipfdb table 和二层的MAC 地址表也是类似的,只不过里面的具体表项所代表的含义和所起的作用不同罢了。有一个问题:在路由器等软件转发引擎中,每收一个报文都会去查路由表查下一跳,然后再查ARP 表找下一跳的MAC,可是在三层交换机(如S3526)中,报文转发的时候不需要去查路由表和ARP 表,这样的话,这两个表是不是就没有什么作用了?回答当然是否定的,在S3526 的三层转发流程中,过程一般都是这样的,第一个报文硬件无法转发,要进行IP 地址的学习,同时为了保证不丢包,该报文也由软件来进行转发,在学习完成以后,第二,第三个报文以华为认证技术文章10后就一直是由硬件来完成转发了,这个过程也可以套用&一次路由,多次交换&来形象的进行总结,在一次路由中,要利用路由表和ARP 表来学习IP 地址,和转发第一个报文,在以后的多次交换过程中,则只要有ipfdb table 就可以了。路由器网络接口解析大全[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434[Quidway]packet-filter ip-group 1003526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下:acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配置:旧命令行配置如下:8016(config)#rule-map intervlan aaa udpanyany eq 14348016(config)#acl bbb aaa deny8016(config)#access-group acl bbb vlan 10 port all国际化新命令行配置如下:8016(config)#rule-map intervlan aaa udpanyany eq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10 port all最近更新:免责声明:本文仅代表作者个人观点,与本网无关。看完本文,记得打分哦:很好下载Doc格式文档马上分享给朋友:?知道苹果代表什么吗实用文章,深受网友追捧比较有用,值得网友借鉴没有价值,写作仍需努力相关华为认证:
48小时热门
