交换机特性的简单介绍

目录：

1. 交换机的简单介绍
2. 企业网络的高级解决方案
3. Eth-Trunk
4. MUX VLAN
5. 端口隔离
6. 端口安全
7. RSTP&STP
8. MSTP

1.交换机的简单介绍

• 交换机的功能

     MAC地址学习    数据帧转发     防环路

• 交换机的转发原理

• VLAN的简单介绍

    1.端口类型：用于识别VLAN帧，每种端口类型均可配置一个缺省VLAN

• Access端口：用来连接用户主机的端口

      接收不带Tag报文：打上缺省VLAN Tag

      接收带Tag报文：当VLAN ID与缺省VLAN ID相同时接收该报文，不同时则丢弃该报文

      发送帧的过程：先剥离PVID Tag，然后再进行发送

• Trunk端口：用来和其他交换机连接的端口

     接收不带Tag报文：打上缺省VLAN ID，当缺省VLAN ID再允许通过的VLAN ID列表中，接收该报文

     接收带Tag报文：当VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表时，丢弃该报文

      发送帧的处理过程：当VLAN ID与缺省VLAN ID相同，且是该允许通过的VLAN ID时，去掉Tag，发送该报文。当VLAN ID与缺省VLAN ID不同，但接口允许通过时，保持原有Tag，发送该报文

• Hybrid端口：既可以连接用户主机，又可以连接其他交换机的端口

     接收报文特性和Trunk口相同

    发帧的处理过程：当VLAN ID是该接口允许通过的VLAN ID时，发送该报文，可以通过命令配置发送时是否携带Tag

• 交换机的转发原理

• VLAN内的数据转发

     通过Trunk-link做中继，把VLAN报文透传到互联的交换机

     Trunk-link可作为干线。同一条Trunk-link可以传输多个VLAN的报文

• VLAN间的数据转发

     默认情况下，不同VLAN之间不能直接通信，可以通过外部路由器部署子接口实现不同VLAN相互通信

2.企业网络的高级解决方案

• 核心层

     用于高速转发企业内部网络不同区域间的流量，将内部流量转发到外部或将外部流量转发到内部。核心层设备必须具备很高的处理和转发性能

• 汇聚层

    汇聚层具有实施策略，安全，工作组接入，虚拟局域网之间的路由，源地址和目的地址过滤等多种功能。一般支持采用三层交换技术和VLAN交换机，以达到网络隔离和分段的目的

• 接入层

    提供用户终端设备的接入

3.Eth-Trunk

• 作用：

       在不进行硬件升级的情况下，通过将多个物理接口捆绑为一个逻辑接口，以达到增加链路带宽的目的。在实现增大带宽目的的同时，链路聚合采用备份链路的机制，提高链路设备的可靠性。一般部署在核心节点，提高网络的吞吐量。

       Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、流控方式必须一致

• 链路聚合的两种模式

    手工负载分担模式

• 该模式下所有活动链路都参与数据转发，平均分担流量，因此称为负载分担模式
• 如果某条活动链路故障，链路聚合组自动在剩余的活动链路平均分担流量
• 当需要在两个直连设备间提供一个较大的链路带宽而设备又不支持LACP协议时，可以使用手动负载分担模式。ARG3系列路由器和X7交换机可以基于源目MAC地址或基于源目IP地址或两者结合进行负载均衡

    LACP模式

• 在LACP模式中，链路两端的设备相互发送LACP报文，协商聚合参数
• 协商完成后，两台设备确定活动接口和非活动接口。
• 在LACP模式中，需要手动创建一个Eth-Trunk口，并添加成员口
• LACP模式也称为M:N模式，M代表活动成员链路，用于在负载均衡模式中转发数据。N代表非活动链路，用于冗余备份

• 如果一条活动链路发生故障，该链路传输的数据被切换到一条优先级最高的备份链路上，这条备份链路转变为活动状态

 

• LACP模式

     LACP模式活动链路的选取

• 系统LACP优先级值越小，优先级越高，缺省情况下，系统LACP的优先级为32768
• 接口LACP优先级值越小，优先级越高，如果接口LACP优先级相同，接口ID小的被优选为活动接口

    LACP模式的抢占延时机制

    LACP抢占发生时，处于备用状态的链路将会等待一段时间后再切换到转发状态，这就是抢占延时。配置抢占延时是为了避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。

• Eth-Trunk接口负载分担

    Eth-Trunk接口进行负载分担时，可以选择IP地址或者包作为负载分担的散列依据，同时还可以设置成员接口的负载分担权重。

     某成员接口的权重值占所有成员接口负载分担权重之和的比例越大，该接口承担的负载分担越大

     目前交换机仅支持逐流负载分担

4.MUX VLAN

• 基本概念

• principal VLAN （主VLAN）

    principal port 可以和MUX VLAN所有的接口进行通信

• Subordinate VLAN（从VLAN）

      Separate port（隔离从VLAN）

      Separate port只能和Princopal port进行通信，和其他类型的接口实现完全隔离

      每个Separate VLAN 必须绑定一个Principal VLAN

      Group port（互通型VLAN）

       Group port可以和Principal port进行通信，在同一组内也可以互相通信，但不能和其他组接口或separate vlan通信。每个Group VLAN 必须绑定一个principal vlan

• 应用场景

    企业希望授予企业内部相同VLAN之中不同用户不同的通信权限

5.端口隔离

• MUX VLAN无法实现的场景——单个VLAN的通信权限设置

     同一项目组都被划分到一个VLAN中，其中属于企业内部的员工允许相互通信，企业外部的员工不允许相互通信，外部员工和内部员工之间允许通信。

• 端口隔离的基本概念

     配置端口隔离后，同一VLAN之间的端口隔离，只需要将用户加入到同一端口隔离组中，就可以实现同一隔离组内用户之间的二层数据的隔离。端口隔离功能为用户提供了更安全，更灵活的组网方案、

6.端口安全

• 基本概念

     通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC、Sticky MAC）阻止非法用户通过本接口和交换机通信，从而增强设备安全性

• 安全动态MAC地址

     使能端口安全而未使能Sticky MAC功能转换的MAC地址，设备重启后表项会丢失，需要重新学习。缺省情况下不会老化，只有在配置安全MAC的老化时间后才会老化。

• 安全静态MAC地址

      使能端口安全时手工配置的静态MAC地址。不会被老化，重启后不丢失

• Sticky MAC 地址

     使能端口安全也使能了Sticky MAC转换得到的MAC地址。不会老化，重启后不丢失

• 端口安全对于MAC地址表的影响

     使能端口安全

      之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址会变成安全动态MAC地址

      使能sticky MAC功能时，接口上的安全动态MAC会转化为Sticky MAC地址，之后学习到的MAC地址也变成Sticky MAC地址

• 端口安全的限制动作

     超过安全MAC地址限制后的动作

7.生成树协议STP&RSTP

• STP概述

     为了防止交换机之间互连产生环路，制定了生成树协议STP，STP通过逻辑阻塞端口来消除环路，并能够实现链路备份的目的。它的工作过程如下：

1. 选举一个根桥
2. 每个非根交换机上选举一个根端口
3. 每条链路选举一个指定端口
4. 阻塞非根非指定端口

• 根桥选举

    根据桥ID优先级进行选举，桥ID由16为的桥优先级和MAC地址构成。

    桥ID数值越小越优先。桥ID相同则比较MAC地址，MAC地址越小越优先。

• 根端口的选举（非根交换机上选举）

     该端口的根路径开销（RPC）

     对端BID

     对段PID

     本端PID

• 指定端口的选举

     根路径开销（RPC）

     本端BID

     对端PID

• 阻塞端口（未被选举的端口）
• 端口状态转换

 

• BPDU

BPDU包含桥ID、根路径开销、端口ID、计时器等参数。STP收敛完成后，只有根桥发送BPDU，其他非根桥转发BPDU

• STP拓扑变化

• 根桥故障

     非根桥会在BPDU老化（20s）之后开始根桥的重新选举

• 直连链路故障

     直连物理链路发生故障后，会将预备端口转换为根端口，显得根端口会在30s后恢复到转发状态。

     预备端口恢复到转发状态至少需要（MAX Age+2*Forward Delay时间）50s

• 拓扑变化导致MAC地址表错误

      MAC地址表项的默认老化时间为300s，这段时间内网络内的交换机无法得知拓扑发生变化

     STP的拓扑变更机制：变更点向根桥发送TCN消息，收到消息的上游交换机恢复TCA消息进行确认，最后TCN消息到达根桥后，再由根桥发送TC消息通知拓扑变化，删除表项。

• STP存在的问题和RSTP的引入

1. 初始化时间长
2. 交换机端口故障恢复慢
3. 拓扑变更机制效率低
4. 端口角色分配不合理
5. 端口状态冗余

     RSTP的引入--端口角色和端口状态

• 端口角色:

      Backup 指定端口的备份端口，提供了另一条从根桥到非根桥的备份链路

      Alternate 根端口的备份端口，提供了从指定桥到根桥的另一条备份路径

• 端口状态

 

• STP兼容：允许RSTP的交换设备在某端口接收到允许STP的交换设备发出的配置BPDU，会把该端口转换到STP工作模式
• 边缘端口：不接收BPDU,不参与RSTP运算。边缘端口接收到配置BPDU报文就丧失了边缘端口的属性，成为普通的STP端口，重新进行生成树的计算，引起网络震荡。并且可以直接从disable状态转入forwording状态，不经历时延

     快速收敛机制-P/A机制

• 概述：为了让指定端口快速进入转发状态。
• P/A机制要求设备之间的链路必须是全双工模式，一旦P/A协商不成功，指定端口就需要等待两个Forword Delay

     P/A机制基本原理：

1. 所有交换机都认为自己是根桥，向其他交换机发送P置为BPDU，并把发送P消息的端口变成DP口，同时接口处在Discarding状态，协商出根桥
2. 非根交换机之间进行协商
3. 根端口的快速切换机制，AP端口可以直接进入到转发状态
4. 次等BPDU的处理

        拓扑变更机制的优化

       网络发生拓扑变化时，变更点交换机直接向全网发送TC置位的BPDU报文，而不是先通知到根桥，然后由根桥向全网发送TC报文，这样在一定程度上节省了收敛时间

       BPDU保护功能

       应用场景：防止有人伪造RST BPDU恶意攻击交换设备，当边缘端口接收到该报文时，会自动设置为非边缘端口，并重新进行生成树计算，引起网络震荡。

       实现原理：配置BPDU保护功能后，如果边缘端口收到BPDU报文，边缘端口将会被立即关闭。

       根保护

       应用场景：由于维护人员的错误配置或网络中的恶意攻击，网络中合法根桥有可能会收到优先级更高的RST BPDU，使得合法根桥失去根地位，从而引起网络拓扑结构的错误变动。

       实现原理：一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文。在经过一段时间，如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。 Root保护功能只能在指定端口上配置生效。

       TC-BDPU泛洪保护

      TC-BPDU攻击： 交换机在接收到TC-BPDU报文后，会执行MAC地址表项的删除操作。如果有人伪造TC-BPDU报文恶意攻击交换机时，交换机短时间内会收到很多TC-BPDU报文，频繁的删除操作会给设备造成很大的负担，给网络的稳定带来很大隐患。

     TC-BPDU攻击保护： 启用防TC-BPDU报文攻击功能后，在单位时间内，RSTP进程处理TC类型BPDU报文的次数可配置（缺省的单位时间是2秒，缺省的处理次数是3次）。如果在单位时间内，RSTP进程在收到TC类型BPDU报文数量大于配置的阈值，那么RSTP进程只会处理阈值指定的次数；对于其他超出阈值的TC类型BPDU报文，定时器到期后，RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项，从而达到保护交换机的目的。

8.MSTP

      无论是RSTP还是MSTP都是在局域网内的所有VLAN共享一颗生成树，无法在VLAN间实现数据流量的负载均衡，链路被阻塞后不承载任何流量，可能导致部分VLAN的报文无法转发。

      为了弥补STP和RSTP的缺陷，引入了新的生成树协议MSTP，MSTP兼容STP和RSTP，将一个网络划分成多个域，生成树之间彼此独立。每个生成树称为实例MSTI，每一个域称为MST域。

文末总结：做这样的笔记实在是太枯燥了，而且效果不佳，以后换种风格，嘻嘻嘻。