1.多層交換機可以通過第三層交換機或者是外部路由器來實現。
當使用第三層交換機時的要求:
A. CATALYST5000、6000 系列交換機,監控引擎的軟件版本在4.1 以上
B. CISCO IOS 版本的11.3 WA4(4)或更新。
C. 監控引擎III 或是IIIF 配置NFFCII,或是監控引擎IIG 或是IIIG。
D. 路由交換特徵卡(RSFC)
CATALYST 5000 系列交換機:RSFC ,RSM
RSM:路由交換模塊
5000/5500 交換機上與監控引擎接口的線路卡,用於提供VLAN 間路由
RSFC:路由交換功能卡
5000/5500 監控引擎IIG 和IIIG 的附屬卡,用於提供VLAN 間路由和MLS
當使用一個外部路由器和CATALYST 交換機組合來實現MLS。它的需求是:
A. CATALYST5000、6000 系列交換機,監控引擎的軟件版本在4.1 以上
B. CISCO IOS 版本的11.3 WA4(4)或更新。
C. 監控引擎III 或是IIIF 配置NFFCII,或是監控引擎IIG 或是IIIG。
D. CISCO 高端路由器,如CISCO7500,7200,4500,4700 或是8000 系列
MLS 的組件:
MLS-SE:它是負責轉移和重寫數據包功能的交換實體。MLS-SE 是位於CATALYST 交換機監控引擎III 上的一個NETFLOW
特徵卡。
MLS-RP:它是外接的、安裝有支持多層交換軟件的路由器上的一個路由模塊。
MLSP:它是用來建立和管理MLS-SE 和MLS-RP 之間會話的一個協議。MLSP 是RSM 或是路由器通告路由變化和VLANS 或是
參與MLS 的接口的MAC 地址的方法。
MLS 工作原理
MLS-RP 通告:
當MLS-RP 在園區網被激活後,它會每隔15 秒鐘發出一個多點廣播消息,這個消息是用CGMP 消息,但是由於使用了
不同的協議,因此交換機可以將這些消息和其他的多點廣播消息區別開來。運用CGMP 的原因是爲了使路由器和交換
機可以相互操作。
在這些HELLO 消息當中有如下的信息:
A. MLS-RP 用來在參與MLS 的接口的MAC 地址:交換機運用這個MAC 地址來決定源數據包是否是發送往第三層
設備的。同時讓交換機知道路由器,因爲多層交換引擎通過MLS-RP 的MAC 地址來分配XTAG 來區分不同的MLS-RP。
B. 訪問控制列表
C. 路由的增加和刪除
MLSP HELLO 的消息:
因爲MLS-RP 會發送CGMP 消息給所有的交換機,這個HELLO 消息只有具有第三層交換功能的才能處理,第二層交換
交換機將將這個消息傳向下遊。當交換機收到HELLO 消息時,它將提出該所含的所有的MAC 地址以及接口信息存到
CAM 中分配XTAG:
如果交換機連接了多個MLS-RP,那麼交換機將用MLS-RP 的MAC 地址配備XTAG 的方式來區分它們。當MLS-RP 失效
或是退出網絡而要從第三層表格中刪除的時候很有用.
建立MLS 緩存條目:
多層交換基於單獨的流,MLS-SE 爲MLS 流維護一個緩存條目併爲每個數據流存儲統計信息,流中的所有數據包都
會於緩存中的緩存條目進行比較。
建立緩存條目是一個較爲複雜的過程,當數據流經過多層交換機時,交換機會檢查包中目的地MAC 地址,如果該地
址是第三層路由設備地地址,那麼它就會比較MLS 緩存確定時候存在爲該流建立的MLS 緩存條目,如果該數據包是
該流當中的第一數據包,那麼MLS 緩存肯定就不會存在緩存條目,這時,交換機還是沒有關於這個流的三層交換所
需消息,因此它會將這個數據包轉發到第三層路由器上去。這時這個數據流會在多層交換中生成一個候選的條目。
當路由器接受到這個數據包時,它會將讀取地址,並在路由表中看是不是有存在轉發的路由表,如果有的話,它就
會使用自己的MAC 地址作爲該幀的源地址,並將該幀發往MLS-SE。這時交換機根據CAM 表,交換機知道了它將從
什麼地方轉發該數據,這時他也會識別出源地址是RP 的地址,這個識別就會觸發交換機檢查MLS 緩存中是否存在
關於該路由器的條目。交換機比較MLS 候選條目和返回數據幀的XTAG,如果相同的話,就說明,該數據流就是來
自同一路由處理器。
當建立了完整的MLS 條目的話,多層交換機在處理一個流下續的數據流,將要進行第二層交換。
當交換機接受到後續流後,交換機將要重寫這個數據幀的幀頭:將源MAC 地址換成路由器的MAC 地址,但是在第三
層的IP 地址是沒有變化的,TTL 會減去1,這樣就可以看作是被路由器處理過的數據幀一樣。
MLS 工作原理:
1.MLS-SE 接收到初始化的MLSP Hello 包時,MLS-SE 會針對MLS-RP 生成本地唯一的XTAG,並記錄每個Vlan 關聯
的MLS-RP 的MAC 地址。MLS-SE 爲通過MLSP 從同一個MLS-RP 學到的所有MAC 地址附加相同的XTAG。
當使用第三層交換機時的要求:
A. CATALYST5000、6000 系列交換機,監控引擎的軟件版本在4.1 以上
B. CISCO IOS 版本的11.3 WA4(4)或更新。
C. 監控引擎III 或是IIIF 配置NFFCII,或是監控引擎IIG 或是IIIG。
D. 路由交換特徵卡(RSFC)
CATALYST 5000 系列交換機:RSFC ,RSM
RSM:路由交換模塊
5000/5500 交換機上與監控引擎接口的線路卡,用於提供VLAN 間路由
RSFC:路由交換功能卡
5000/5500 監控引擎IIG 和IIIG 的附屬卡,用於提供VLAN 間路由和MLS
當使用一個外部路由器和CATALYST 交換機組合來實現MLS。它的需求是:
A. CATALYST5000、6000 系列交換機,監控引擎的軟件版本在4.1 以上
B. CISCO IOS 版本的11.3 WA4(4)或更新。
C. 監控引擎III 或是IIIF 配置NFFCII,或是監控引擎IIG 或是IIIG。
D. CISCO 高端路由器,如CISCO7500,7200,4500,4700 或是8000 系列
MLS 的組件:
MLS-SE:它是負責轉移和重寫數據包功能的交換實體。MLS-SE 是位於CATALYST 交換機監控引擎III 上的一個NETFLOW
特徵卡。
MLS-RP:它是外接的、安裝有支持多層交換軟件的路由器上的一個路由模塊。
MLSP:它是用來建立和管理MLS-SE 和MLS-RP 之間會話的一個協議。MLSP 是RSM 或是路由器通告路由變化和VLANS 或是
參與MLS 的接口的MAC 地址的方法。
MLS 工作原理
MLS-RP 通告:
當MLS-RP 在園區網被激活後,它會每隔15 秒鐘發出一個多點廣播消息,這個消息是用CGMP 消息,但是由於使用了
不同的協議,因此交換機可以將這些消息和其他的多點廣播消息區別開來。運用CGMP 的原因是爲了使路由器和交換
機可以相互操作。
在這些HELLO 消息當中有如下的信息:
A. MLS-RP 用來在參與MLS 的接口的MAC 地址:交換機運用這個MAC 地址來決定源數據包是否是發送往第三層
設備的。同時讓交換機知道路由器,因爲多層交換引擎通過MLS-RP 的MAC 地址來分配XTAG 來區分不同的MLS-RP。
B. 訪問控制列表
C. 路由的增加和刪除
MLSP HELLO 的消息:
因爲MLS-RP 會發送CGMP 消息給所有的交換機,這個HELLO 消息只有具有第三層交換功能的才能處理,第二層交換
交換機將將這個消息傳向下遊。當交換機收到HELLO 消息時,它將提出該所含的所有的MAC 地址以及接口信息存到
CAM 中分配XTAG:
如果交換機連接了多個MLS-RP,那麼交換機將用MLS-RP 的MAC 地址配備XTAG 的方式來區分它們。當MLS-RP 失效
或是退出網絡而要從第三層表格中刪除的時候很有用.
建立MLS 緩存條目:
多層交換基於單獨的流,MLS-SE 爲MLS 流維護一個緩存條目併爲每個數據流存儲統計信息,流中的所有數據包都
會於緩存中的緩存條目進行比較。
建立緩存條目是一個較爲複雜的過程,當數據流經過多層交換機時,交換機會檢查包中目的地MAC 地址,如果該地
址是第三層路由設備地地址,那麼它就會比較MLS 緩存確定時候存在爲該流建立的MLS 緩存條目,如果該數據包是
該流當中的第一數據包,那麼MLS 緩存肯定就不會存在緩存條目,這時,交換機還是沒有關於這個流的三層交換所
需消息,因此它會將這個數據包轉發到第三層路由器上去。這時這個數據流會在多層交換中生成一個候選的條目。
當路由器接受到這個數據包時,它會將讀取地址,並在路由表中看是不是有存在轉發的路由表,如果有的話,它就
會使用自己的MAC 地址作爲該幀的源地址,並將該幀發往MLS-SE。這時交換機根據CAM 表,交換機知道了它將從
什麼地方轉發該數據,這時他也會識別出源地址是RP 的地址,這個識別就會觸發交換機檢查MLS 緩存中是否存在
關於該路由器的條目。交換機比較MLS 候選條目和返回數據幀的XTAG,如果相同的話,就說明,該數據流就是來
自同一路由處理器。
當建立了完整的MLS 條目的話,多層交換機在處理一個流下續的數據流,將要進行第二層交換。
當交換機接受到後續流後,交換機將要重寫這個數據幀的幀頭:將源MAC 地址換成路由器的MAC 地址,但是在第三
層的IP 地址是沒有變化的,TTL 會減去1,這樣就可以看作是被路由器處理過的數據幀一樣。
MLS 工作原理:
1.MLS-SE 接收到初始化的MLSP Hello 包時,MLS-SE 會針對MLS-RP 生成本地唯一的XTAG,並記錄每個Vlan 關聯
的MLS-RP 的MAC 地址。MLS-SE 爲通過MLSP 從同一個MLS-RP 學到的所有MAC 地址附加相同的XTAG。
2.主機A 與主機B 位於不同的VLAN 中。主機A 向主機B 發起數據傳送。當A 發送首個數據包給MLS-SE 時,MLS-SE
將此數據包看作3 層交換的“候選數據包”,因爲MLS-SE 通過MLSP 學到了MLS-RP 的各個VLAN 和MAC 地址信息,
所以它能正確轉發數據包,並在MLS 緩存中創建關於此3 層數據流的不完整的MLS 項。MLS-RP 接收到此數據包,
將目的MAC 地址改成主機B 的MAC 地址,並以自已的主機B 所屬的VLAN 相關聯的MAC 地址作爲源MAC 轉發數據包。
3.MLS-RP 將數據包路由到主機B。當MLS-SE 接收到此數據包時,MLS-SE 發現源MAC 地址屬於MLS-RP,XTAG 與候
選數據包匹配。MLS-SE 將此數據包作爲“使能數據包”,並將MLS 緩存中的MLS 項補充完整。
4.MLS 項被補充完整後,相同流內的所有從源主機到目的主機的3 層數據包都直接由交換機進行第3/4 層交換,不
經過路由器。IP MLS 是單向的:對於從主機B 到主機A 的通信,需要創建另一條3 層交換路徑。
使MLS 失效的命令
有些IP 命令會要求路由器對每個數據包都要進行處理時
任何要求每個數據包都要進行處理的命令都會阻礙多層交換功能。
A. no ip routing:清除所有的MLS 緩存條目,並在MLS-RP 關閉MLS 功能。
B. ip security:關閉在接口上的MLS 功能
C. ip tcp compression-connections 在接口上關閉MLS 功能
D. clear ip-route:清除所有爲這個MLS-RP 執行第三層的交換機中的MLS 緩存條目
以下幾點與mls 不兼容:
IP accounting, encryption, compression, IP security,
Network Address Translation (NAT),Committed Access Rate (CAR).
配置多層交換路由處理器
1.在路由處理器上全局性的爲某個路由選擇協議啓用MLS 功能
router(config)#mls rp ip
2.在接口上分配一個MLS VTP 域:
我們決定哪些路由處理器將作爲MLS 接口之後,我們必須將它們加入到於交換機處於相同的VTP 域中。交換機和
MLS 接口必須處在相同的VTP 域中。
router(config)#interface vlan vlan-num
router(config-if)#mls rp vtp-domain domain-name
使用show mls rp vtp-domain 查看相關信息
3.在接口上啓用MLS:
將一個MLS 接口放入VTP 域並不能激活接口上的MLS 功能。MLS 功能必須明確的在接口上啓用。因爲VLAN 與子網
是一一對應關係,參與第三層交換的每個接口都必須爲指定啓用了多層交換的功能。
router(config-if)#mls rp ip
4.創建一個空域
這種情況出現在當路由器所屬的VTP 域與交換機所屬的VTP 不同時,因爲我們前面已經知道路由器接口和交換機所
屬的VTP 相同的時候,才能正常的進行多層交換。
有目的地將兩臺設備放在不同的域中
當配置交換機或是路由器處理器時,拼錯了VTP 名字
當把接口放在VTP 域之前輸入了MLS 接口命令。
5.指定一個MLS 管理接口
在RSM 或是路由器配置參與多層交換時,該設備將通過MLSP 發送HELLO 消息、通告路由變化,並且公佈該設備上
參與的MLS 的那些接口的MAC 地址。在MLS-RP 上的一個接口必須指定爲管理接口,通過該接口進行MLSP 數據包進
行轉發和接受
router(config)#interface vlan 1
router(config-if)#mls rp management-interface
6.爲外部路由器上的接口分配一個VLAN ID
多層交換是VLAN 間的路由選擇。多層交換機根據哪個端口是哪個VLAN 配置的來作轉發決定。內部路由處理器和
ISL 配置的臉露自然用VLAN id 來識別接口。外部路由處理器接口知道有關子網的信息,但沒有VLAN 的信息。因
此MLS 要求每臺外部路由器接口都有一個分配給它的Vlan id
router(config)#INTERFACE interface number
router(config-if)#MLS RP VLAN-ID vlan-id-number
7.Show mls rp 來顯示MLS 的配置
Show mls rp interface interface number 來顯示某個接口上的MLS 配置。
MLS-RP 配置如下:
1. 需要啓用MLS:mls rp ip
2. 加入VTP 域:mls rp vtp-domain www(主接口配置)
3. mls rp vlan-id xx
4. 在子接口啓用MLS:mls rp ip
5. 配置管理接口
1.router(config)# mls rp ip //全局啓動MLS
2.確定哪些路由器接口作爲MLS 接口,並將這些接加入與MLS-SE 相同的VTP 域中。
Router(config)# inter f2/0
Router(config-if)# mls rp vtp-domain name //在主接口上配置VTP 域名,對子接口有效
Router(config-if)# inter f2/0.1
Router(config-subif)# encapsulation dotlq 20 //爲子接口配置封裝
Router(config-subif)# mls rp ip //啓動Ip MLS
應用流掩碼
1.用來決定將數據包中多少信息放入MLS 緩存中,而不是用來將數據包與MLS 緩存中現有條目進行比較的。
MLS-SE 支持三種流掩碼模式:
目的IP(沒有訪問列表,缺省):最不具體的流掩碼(The least specific flow mask mode)
源-目的IP(標準訪問列表)
IP 流(擴展訪問列表):最具體的流掩碼(The most specific flow mask mode)
對於MLS-SE 索服務的所有的MLS-RP 來說,它只支持一種流掩碼。當檢測到不同的流掩碼是,它將使用最具體的流
掩碼來實現。當MLS-SE 流掩碼改變時,整個MLS 緩存將重清。
2.輸入訪問控制列表和IP 流掩碼和使用輸出訪問控制列表
在啓用了MLS 接口上設置一個輸入訪問控制列表將重清所有去往這個接口流的MLS 緩存,然而輸入訪問控制列表的
缺省行爲是對所有進入數據包進行檢查和路由選擇。在CISCO IOS 11.3 或是更遲的版本是不支持在配置了MLS 的
接口上自動支持輸入控制列表。這樣的話,就會對每個數據都是要通過路由器。
爲了能讓多層交換能與輸入訪問控制列表協同工作,可以使用router(config)#mls rp ip input-acl
配置多層交換機的交換引擎
MLS 在支持三層交換的CATALYST 的交換機上是缺省使用的,如果MLS-RP 是內部的RSM,那麼該交換機不必要其他
的額外的配置。但是在如下的情況下,要進行配置。
檢驗配置
要在MLS-SE 顯示多層交換的信息,我們可以在特權的模式下switch (enable)#SHOW MLS
它顯示的內容包括:
是否在交換機上啓用多層交換功能;(SET MLS ENABLE)
以秒爲單位的MLS 的緩存條目更新時間;(SET MLS AGININGTIME 304)
以秒爲單位的MLS 的快速更新時間和門限值;(SET MLS AGININGTIME FAST 64 7)
流掩碼(SET MLS FILOW [destination|destination-source|full]
所交換的數據包的流的總數;
緩存中活躍的MLS 條目的總和;
是否啓用了NETFLOW 的數據輸出,如果有的話,是針對哪個端口和哪臺主機;
MLS-RP 的IP 地址、MAC 地址、XTAG 和支持的VLAN;
要顯示有關具體的MLS-RP 的信息,可以使用SHOW MLS RP ip-address
要顯示MLS 的緩存條目,可以在特權的模式下執行
switch (enable)#SHOW MLS ENTRY
他也可以針對某個具體的條件來顯示MLS 條目中的
show mls entry destination ip-address (對某個具體的目的IP 地址)
show mls entry source ip-address (對某個具體的源IP 地址)
show mls entry rp ip-addrss (對某個具體的MLSRP id)
show mls entry flow protocol source-port destination-port (對某個具體的IP 流)
Configuring MLS on a Router
相關MLS 的命令:
顯示特定接口的IP MLS 信息: show mls rp interface vlan 10
顯示MLS-RP 上關於特定VTP 域的信息: show mls rp vtp-domain domain-name
顯示Catalyst 6000 MSFC 上的MLS 信息: show mls status
顯示MLS-SE 上的MLS 信息: show mls
顯示MLS-SE 上關於某個MLS-RP 的MLS 信息: show mls rp 192.168.1.100
顯示MLS-SE 上所有的MLS 信息: show mls entry
基於目的IP 地址顯示MLS 項: show mls entry destination 192.168.1.100
基於源IP 地址顯示MLS 項: show mls entry source 192.168.1.100
基於特定的MLS-RP 顯示IP MLS 項: show mls entry rp 192.168.1.100
基於特定流顯示IP MLS 項: show mls entry flow tcp 23 3389
清除特定流的IP MLS 項:clear mls entry destination 192.168.1.100 source 192.168.1.200 flow tcp 3389 23