二層交換機原理
發展歷程:
交換機之前爲集線器,其做的是透明轉發,即洪範式的轉發,之後爲網橋,軟件式的網橋,其傳輸速度慢,然後出現交換機,即硬件網橋。
集線器物理原理:
接口先將數據傳輸到總線上,但其如果兩方都進行數據傳輸,傳輸博之間會產生衝突問題,爲解決這個問題,出現csma/cd技術,數據單向傳輸,其他接口也會收到數據
csma/cd:帶衝突檢測的載波偵聽多路訪問技術,其偵聽總線是否有數據傳輸,如果有,要避免衝突,衝突檢測:數據在傳遞時會發送衝突信號,接口收到信號後會避讓,但會出現同時發送的情況,這時會隨機避讓
csma/cd技術是是處在衝突域的解決方案
目的:實現數據鏈路層的高速多路精確轉發,擴充接口
實現:
1)從物理設計上:二層接口+控制+背板
將一根總線多化(背板),可以理解爲每兩個接口都有多個通道,但出現的問題是數據不知道走哪個通道,所以要進行控制,即查看cam表
2)cam表:即Mac地址表,查表將數據轉發,其大小是固定的
構成爲:Mac、接口、VLAN映射關係
形成:自動學習:幀數據進入交換機,交換機自動識別源Mac地址及進入接口,如果cam表中沒有記錄,則把映射關係記錄在cam表中
手工指定:
mac address-table static 1234.1234.1234 vlan 2 interface f0/1
老化時間:5min 修改:
mac address-table aging-time xxx
改大是爲了網絡穩定,變化少
改小是爲了遇到Mac地址攻擊,或者是Mac超出最大條目
Mac地址攻擊:發送垃圾Mac地址,Mac表佔滿,使交換機處於洪範狀態
3)VLAN:劃分廣播域
從設計角度看:
分割cam表:把cam表分割爲以VLAN爲單位的獨立cam表,規定查詢cam表只能查詢本VLAN的cam表
劃分接口:VLAN把物理接口劃分了VLAN爲單位的邏輯歸屬。
4)trunk:多交換機間VLAN的通信
沒有trunk多交換機之間要通信時,兩個交換機VLAN間連根線即可
trunk是給數據打標記,所以一根線可以實現數據傳輸
從設計角度:trunk接口屬於所有VLAN(通過allow VLAN控制)
幀數據通過trunk攜帶哪個VLAN標記就可以查看哪個VLAN的cam表
Native vlan
概念trunk接口出現native vlan 針對不打標記流量默認歸於一個vlan這個vlan就是native vlan
默認是1(cisco)
總結:
洪範情況:1)未知單播:cam表未記錄:a、數據第一次發送;b、cam滿記錄不了
2)組播或廣播
各接口的轉發規則:
access:
1) 未帶VLAN標記進接口:查閱cam表後轉發
2) 攜帶VLAN標記進接口:如果VLAN標記與接口劃分VLAN一致,則去掉VLAN標記,查接口VLANcam表,然後轉發;如果不一致,則丟棄該數據
trunk:
1) 未帶VLAN標記進接口:按照native VLAN 識別該數據,查native VLAN cam表,然後轉發
2) 攜帶VLAN標記進接口:按照攜帶VLAN ID識別該數據,查攜帶VLAN cam表然後轉發
3) 數據從trunk出,需要攜帶轉發VLAN標示,並且查看該trunk是否允許該VLAN通過,如果允許則轉發。
PVLAN
私有VLAN ,不能跨交換機,其目的是加強同一個VLAN下的控制能力
同一個VLAN下在進行控制,即劃分子VLAN:
團體子VLAN:處於一個團體中可以通信,不同團體之間不能通信
孤立子VLAN:都不能通信,孤立集團裏的也不能通信
以上兩種子VLAN接口類型爲PVLAN,
混雜接口,理論上可以和任何一個接口通信
注意在做混雜映射的時候映射了什麼輔vlan這個接口就和什麼輔vlan進行通信,不是非要和所有 輔vlan通信的
q-in-q技術
解決運營商處VLAN不夠用的問題
目的:左邊VLAN2穿過ISP還是VLAN2
解決:進入ISP時trunk打標記爲VLAN10,出來後拆掉標籤VLAN10
switchport mode dot1q-tunnel
進出運營商是接口模式 先要修改爲access-10,後要修改dot1q-tunnel,
一個dot1q-tunnel多了4個字節,要修改mtu爲1504
Cdp 是傳遞CDP協議信息:將中間的ISP可以看成線路,實現vtp,stp等功能
VTP
VTP 要注意的是client端不能vlan信息存儲在nvram,只能存儲在RAM裏,這樣會導致client交換機 重啓後會重新獲取vlan信息,造成數據延遲。vtp他的更新主要參照修訂號,比本端修訂號大本端纔會同步。
vtp容易遭到攻擊所以一般建議配置vtp 的透明模式。或者先用server+client同步完網絡中vlan信息 在把所有交換機模式改爲透明,這樣即利用了vtp的方便又能保證安全。
vtp的裁剪
Server 下起 vtp pruning或者在trunk下手動過濾pruning
三層交換機原理
既具有交換又有路由功能的交換機叫三層交換機
一次路由,多次交換
做跨VLAN通信時要做一次路由,產生cef表,之後通過查詢cef+ARP+鄰居表形成的新表來直接轉發,不在需要再次查詢路由表通過交換轉發
鄰居表:IP+接口
ARP表 :IP+mac
cef表
形成路由表(cef表)+接口+Mac轉發表
三層轉發需要指出目標IP從哪個三層接口出去以及下一跳(cef表可以消除逐條查找和遞歸),這些信息不足以讓二層交換機執行,讓二層交換機執行要讓交換機知道從哪個二層口出去,所以先查鄰居表,鄰居表可以告知三層出口以及嚇一跳對應的二層接口,這時三層數據找到了二層出口但是缺少二層封裝的Mac地址;然後查詢ARP表,ARP表可以告知三層數據出去所需二層Mac封裝
最後形成 目的IP—下一跳+二層出接口+下一跳Mac+VLAN