二層交換機與三層交換機交換原理

二層交換機原理

發展歷程：
交換機之前爲集線器，其做的是透明轉發，即洪範式的轉發，之後爲網橋，軟件式的網橋，其傳輸速度慢，然後出現交換機，即硬件網橋。

集線器物理原理：
接口先將數據傳輸到總線上，但其如果兩方都進行數據傳輸，傳輸博之間會產生衝突問題，爲解決這個問題，出現csma/cd技術，數據單向傳輸，其他接口也會收到數據

csma/cd：帶衝突檢測的載波偵聽多路訪問技術，其偵聽總線是否有數據傳輸，如果有，要避免衝突，衝突檢測：數據在傳遞時會發送衝突信號，接口收到信號後會避讓，但會出現同時發送的情況，這時會隨機避讓
csma/cd技術是是處在衝突域的解決方案
目的：實現數據鏈路層的高速多路精確轉發，擴充接口
實現：
   1）從物理設計上：二層接口+控制+背板
     將一根總線多化（背板），可以理解爲每兩個接口都有多個通道，但出現的問題是數據不知道走哪個通道，所以要進行控制，即查看cam表
   2）cam表：即Mac地址表，查表將數據轉發，其大小是固定的
     構成爲：Mac、接口、VLAN映射關係
     形成：自動學習：幀數據進入交換機，交換機自動識別源Mac地址及進入接口，如果cam表中沒有記錄，則把映射關係記錄在cam表中
        手工指定：

mac address-table static 1234.1234.1234 vlan 2 interface f0/1

       老化時間：5min 修改：

mac address-table aging-time xxx

         改大是爲了網絡穩定，變化少
         改小是爲了遇到Mac地址攻擊，或者是Mac超出最大條目
           Mac地址攻擊：發送垃圾Mac地址，Mac表佔滿，使交換機處於洪範狀態
   3）VLAN：劃分廣播域
     從設計角度看：
         分割cam表：把cam表分割爲以VLAN爲單位的獨立cam表，規定查詢cam表只能查詢本VLAN的cam表
         劃分接口：VLAN把物理接口劃分了VLAN爲單位的邏輯歸屬。
   4）trunk：多交換機間VLAN的通信
     沒有trunk多交換機之間要通信時，兩個交換機VLAN間連根線即可
     trunk是給數據打標記，所以一根線可以實現數據傳輸
     從設計角度：trunk接口屬於所有VLAN（通過allow VLAN控制）
           幀數據通過trunk攜帶哪個VLAN標記就可以查看哪個VLAN的cam表

Native vlan

  概念trunk接口出現native vlan 針對不打標記流量默認歸於一個vlan這個vlan就是native vlan
  默認是1（cisco）

總結：

洪範情況：1）未知單播：cam表未記錄：a、數據第一次發送；b、cam滿記錄不了
     2）組播或廣播
各接口的轉發規則：
 access：
  1） 未帶VLAN標記進接口：查閱cam表後轉發
  2） 攜帶VLAN標記進接口：如果VLAN標記與接口劃分VLAN一致，則去掉VLAN標記，查接口VLANcam表，然後轉發；如果不一致，則丟棄該數據
 trunk：
  1） 未帶VLAN標記進接口：按照native VLAN 識別該數據，查native VLAN cam表，然後轉發
  2） 攜帶VLAN標記進接口：按照攜帶VLAN ID識別該數據，查攜帶VLAN cam表然後轉發
  3） 數據從trunk出，需要攜帶轉發VLAN標示，並且查看該trunk是否允許該VLAN通過，如果允許則轉發。

PVLAN

私有VLAN ,不能跨交換機，其目的是加強同一個VLAN下的控制能力
  同一個VLAN下在進行控制，即劃分子VLAN:
   團體子VLAN：處於一個團體中可以通信，不同團體之間不能通信
   孤立子VLAN：都不能通信，孤立集團裏的也不能通信
     以上兩種子VLAN接口類型爲PVLAN，
   混雜接口，理論上可以和任何一個接口通信
     注意在做混雜映射的時候映射了什麼輔vlan這個接口就和什麼輔vlan進行通信，不是非要和所有 輔vlan通信的

q-in-q技術

解決運營商處VLAN不夠用的問題

目的：左邊VLAN2穿過ISP還是VLAN2
解決：進入ISP時trunk打標記爲VLAN10，出來後拆掉標籤VLAN10

switchport mode dot1q-tunnel

進出運營商是接口模式 先要修改爲access-10，後要修改dot1q-tunnel，
一個dot1q-tunnel多了4個字節，要修改mtu爲1504

Cdp 是傳遞CDP協議信息：將中間的ISP可以看成線路，實現vtp，stp等功能

VTP

VTP 要注意的是client端不能vlan信息存儲在nvram，只能存儲在RAM裏，這樣會導致client交換機 重啓後會重新獲取vlan信息，造成數據延遲。vtp他的更新主要參照修訂號，比本端修訂號大本端纔會同步。

vtp容易遭到攻擊所以一般建議配置vtp 的透明模式。或者先用server+client同步完網絡中vlan信息 在把所有交換機模式改爲透明，這樣即利用了vtp的方便又能保證安全。

vtp的裁剪
Server 下起 vtp pruning或者在trunk下手動過濾pruning

三層交換機原理

既具有交換又有路由功能的交換機叫三層交換機
一次路由，多次交換
做跨VLAN通信時要做一次路由，產生cef表，之後通過查詢cef+ARP+鄰居表形成的新表來直接轉發，不在需要再次查詢路由表通過交換轉發

鄰居表：IP+接口

ARP表 ：IP+mac

cef表

  形成路由表（cef表）+接口+Mac轉發表
  三層轉發需要指出目標IP從哪個三層接口出去以及下一跳（cef表可以消除逐條查找和遞歸），這些信息不足以讓二層交換機執行，讓二層交換機執行要讓交換機知道從哪個二層口出去，所以先查鄰居表，鄰居表可以告知三層出口以及嚇一跳對應的二層接口，這時三層數據找到了二層出口但是缺少二層封裝的Mac地址；然後查詢ARP表，ARP表可以告知三層數據出去所需二層Mac封裝
  最後形成 目的IP—下一跳+二層出接口+下一跳Mac+VLAN