目錄
網橋
交換機
VLAN
交換原理
交換機的接口模式
Tag和Pvid
端口隔離和端口安全
華為模拟器中的配置
三層交換機
路由器
無線路由器
網橋
網橋是一種鍊路層産品,能夠記錄終端主機的MAC位址和端口的對應,生成CAM表。網橋能夠進行沖突域隔離,有效的提高網絡帶寬使用率,不同接口之間的資料不會互相沖突。
網橋的缺點:接口比較有限,預設是兩個接口,對網絡的沖突域隔離比較有限,網橋沒有專用的硬體而是采用CPU來處理資料,是以處理速度相對較慢
交換機
交換機(Switch)是網橋演變過來的,是以也是一種鍊路層産品,交換機一般是用在區域網路内資料傳送,但是也有廣域網交換機。交換機可以隔離沖突域,但是不能隔離廣播域。
交換機相比網橋,主要有幾個優勢:
- 接口數量更多
- 采用專用的ASIC硬體晶片進行高速轉發,是以速度更快
- 能夠進行VLAN隔離(不僅僅可以隔離沖突域,通過VLAN可以隔離廣播域)
VLAN
VLAN(Virtual Local Area Network)虛拟區域網路,一個VLAN就是一個廣播域,VLAN之間的通信是通過三層路由實作的。
設計二層VLAN時,應保證全局所有交換機VLAN資訊都一緻,VLAN可以隔離廣播域
turnk通道在傳輸不同VLAN時,會在資料幀的中加入802.1Q資料,裡面包含有VLAN的資訊,以區分不同VLAN
交換原理
轉發決策
交換機的轉發決策有三種操作:丢棄、轉發和擴散。
- 丢棄:當本端口下的主機通路已知本端口下的主機時丢棄。
- 轉發:當某端口下的主機通路已知某端口下的主機時轉發。
- 擴散:當某端口下的主機通路未知端口下的主機時要擴散。
每個操作都要記錄下發包端的源MAC位址,然後放入CAM表,以備其它主機的通路
生存期
生存期是端口位址清單中表項的壽命。每個表項在建立後開始進行倒記時,每次發送資料都要重新整理記時。對于長期不發送資料的主機,其MAC位址的表項在生存期結束時删除。是以端口位址表記錄的總是最活躍的主機的MAC位址。
網管功能
一台交換機所支援的管理程度反映了該裝置的可管理性與可操作性。帶網管功能的交換機可對每個端口的流量進行監測,設定每個端口的速率,關閉/打開端口連接配接。通過對交換機端口進行監測,便于對網絡業務流量的區分和迅速進行網絡故障定義,提高了網絡的可管理性。
交換機的接口模式
交換機的端口有三種模式:Access、Trunk、Hybrid
- Access類型的端口隻能屬于一個VLAN,一般用于連接配接主機
- Trunk類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的封包,一般用于和交換機或路由器之間連接配接的端口
- Hybrid類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的封包,可以用于交換機之間連接配接,也可以用于連接配接使用者的計算機
注:Hybrid端口和Trunk端口在接收資料時,處理方法是一樣的,唯一不同之處在于發送資料時:Hybrid端口可以允許多個VLAN的封包發送時不打标簽,而Trunk端口隻允許預設VLAN的封包發送時不打标簽。
從access口進入的資料幀會加入VLAN tag資訊,從access口出去的資料幀會去除VLAN tag
trunk接口的預設VLAN
- Access端口隻屬于1個VLAN,是以它的預設VLAN就是它所在的VLAN,不用設定
- Hybrid端口和Trunk端口屬于多個VLAN,是以需要設定預設VLAN ID。預設情況下,Hybrid端口和Trunk端口的預設VLAN為VLAN 1
- 當端口接收到不帶VLAN Tag的封包後,則将封包轉發到屬于預設VLAN的端口。當端口發送帶有VLAN Tag的封包時,如果該封包的VLAN ID與端口預設的VLAN ID相同,則系統将去掉封包的VLAN Tag,然後再發送該封包。
注:對于華為交換機預設VLAN被稱為“Pvid Vlan”,對于思科交換機預設VLAN被稱為“Native Vlan"。所有接口的預設VLAN一定要相等
Tag和Pvid
注:trunk預設放行本地已經建立的VLAN,所有trunk接口的pvid必須都相等
PC1和PC4通信(當trunk接口的pvid != 10)
pc1發送消息從g0/0/1口進入LSW1,進入LSW1後,交換機給資料包中加入tag(包含VLAN資訊)。然後從g0/0/2口發給LSW2的g0/0/2口,再從LSW2的g0/0/3口發給LSW3的g0/0/3口,進入LSW3中。這之間資料包一直含有tag資訊。然後LSW3将資料包的tag資訊剝除,從g0/0/1口發出到達PC4
PC1和PC4通信(當trunk接口的pvid=10)
pc1發送消息從g0/0/1口進入LSW1,進入LSW1後,交換機給資料包中加入tag(包含VLAN資訊)。然後從g0/0/2口發出,因為pvid=10,是以把tag資訊剝除,到達LSW2的g0/0/2口進入LSW2中,因為pvid=10,又加入了tag資訊,從LSW2的g0/0/3口發出又把tag資訊剝除了,進入LSW3的g0/0/3口,又加入了tag資訊。然後再剝除資訊後從LSW3的g0/0/1口發出給PC4(在交換機内一直是有tag資訊的,線上路上一直是沒tag資訊的)
端口隔離和端口安全
端口隔離
端口隔離可以實作同一個VLAN内的端口之間的隔離,可以設定同一個VLAN内的不同端口同處于一個group,那麼同一個組内的端口都不可以通信。
在華為模拟器中,端口隔離有兩個模式: all 和 l2
端口隔離的設定
進入該端口下: [Huawei-GigabitEthernet0/0/1] port-isolate enable group 2
如圖,PC1、PC2、PC3都處于VLAN10中,PC1、PC2在group2中、PC3在group1中。那麼PC1不能和PC2通信,PC3可以和PC1、PC2通信
端口安全
端口安全是允許該端口最大的max位址數量,超過該數量後,實施保護政策
端口安全的三種措施: protect 、restrict 、shutdown
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown 如圖,給交換機的G0/0/1口設定端口安全,設定最多隻能儲存兩個MAC位址,當PC3插入hub與其他主機通信時,交換機的G0/0/1端口會被關閉
華為模拟器中的配置
建立多個VLAN :vlan batch 10 20
設定端口類型:port link-type access/trunk/hybrid
放行所有VLAN:port trunk allow-pass vlan all
設定交換機trunk接口的pvid:port trunk pvid vlan 10
給g0/0/0建立子接口: interface GigabitEthernet 0/0/0.10
讓子接口識别vlan10的資料幀和對資料幀加tag:[Huawei-GigabitEthernet0/0/0.10] dot1q termination vid 10
讓子接口支援arp廣播:[Huawei-GigabitEthernet0/0/0.10] arp broadcast enable 三層交換機
三層交換機是二層交換+三層路由,相當于是在二層交換機基礎上,增加了路由引擎。
三種轉發技術:
- 程序交換
- 快速交換,一次路由,多次交換,思想是,某一個流量的第一個封包,需要通過路由引擎進行處理,處理之後 ,轉發決定會被緩存在ASIC硬體晶片中,後續流量直接通過ASIC晶片進行快速轉發。如果識别同一條資料流(辨別資料流的五元組:源目IP、源目端口、協定号)
- CEF轉發 硬體晶片會自動産生轉發表(無關乎流量),所有流量的處理都通過硬體晶片來完成,是最快的轉發技術。
交換機的所有接口為二層接口,在配置網關位址時,不能直接在實體接口下配置。那麼我們可以針對不同的vlan,配置虛拟接口,比如,針對vlan10,配置虛拟接口,interface vlan 10 .
但是要注意到三層交換機并不能完全取代路由器,因為它主要是為了實作處于兩個不同子網的Vlan進行通訊,而不是用來作資料傳輸的複雜路徑選擇
分别進入vlan10和vlan20,配網關位址即可
[LSW1] int vlan 10
[LSW1-Vlanif10] ip add 192.168.1.254 24
[LSW1] int vlan 20
[LSW1-Vlanif10] ip add 192.168.2.254 24 路由器
路由器(Router)
無線路由器
WLAN系統一般由 AC(接入控制器) 和 AP(Access Point無線接入點)組成。
- AP:為AccessPoint簡稱,一般翻譯為“無線通路節點”,它是用于無線網絡的無線交換機,也是無線網絡的核心。無線AP是移動計算機使用者進入有線網絡的接入點,主要用于寬帶家庭、大樓内部以及園區内部,典型距離覆寫幾十米至上百米,目前主要技術為802.11系列。大多數無線AP還帶有接入點用戶端模式(APclient),可以和其它AP進行無線連接配接,延展網絡的覆寫範圍。
- AC:它是指無線接入控制伺服器(AC),接入控制器(AC)無線區域網路接入控制裝置,負責把來自不同AP的資料進行彙聚并接入Internet,同時完成AP裝置的配置管理、無線使用者的認證、管理及寬帶通路、安全等控制功能