VLAN与三层交换机
1.VLAN的概念及优势
1.1分割广播域
物理分割:路由分割,子网划分
逻辑分割:划分VLAN
注:广播中如果有多个主机发出广播,要划分广播域,不然会造成广播风暴(占用大量带宽使网络瘫痪)
1.2VLAN优势
控制广播:划分后只需管理每个VLAN区域的广播。
增强网络安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
简化网络管理:只需管理每个vlan区域即可。
2.VLAN的种类
2.1静态vlan
基于端口划分静态VLAN,是目前最常见的VLAN实现方式。
静态VLAN即明确指定交换机的端口属于哪个VLAN,这需要网络管理员手动配置,当主机连接到交换机的接口上时,就被分到对应的VLAN中。
华为的vlan数量是4096;其中vlan0和vlan4095系统保留不可见不可使用;vlan1,系统默认vlan,用户可以使用这个vlan,但不可以删除,vlan2~vlan4094用户可以创建,使用,删除
2.2动态vlan
基于MAC地址划分动态VLAN(需要额外买服务器)
3.交换机vlan的接口类型
access:一般用于连接 计算机 或者路由的端口
作用:数据进交换机的时候打上vlan标签,出交换机的时候脱掉vlan标签
trunk:中继一般用于连接交换机与交换机的端口
作用:用于识别可放心行的vlan标签
hybrid:华为私有协议 华为交换机接口上默认的接口类型
小结:1.VLAN是逻辑隔离的虚拟局域网
2.VLAN能够隔离广播,提高安全性,简化管理
3.VLAN分为动态VLAN和静态VLAN
4.静态VLAN有两种配置方式:VLAN数据库和全局配置
4.Trunk的作用
Trunk是用来实现不同交换机上相同VLAN的主机之间的通信,即跨交换机的VLAN通信
PC经过发送方交换机某个接口发送数据,此时交换机对照vlan信息表,将经过某接口的数据打上标签,打上标签的数据经过trunk(主干)链路验证这个vlanid是否在trunk链路范围内,若是在名单范围内,就无条件放行,如果不在名单范围内,则该流量不予通过。当打了标签的数据到达了接受方的交换机后,接收方交换机会解开这个数据对应的标签,对照本地mac地址表和vlan信息表,将此消息发给该vlan对应的端口上。
1.当WLAN30中的主机A发送数据帧给主机B时,主机A发送的数据帧是普通的数据帧。
2.交换机SW1接收到数据帧,知道这个数据帧来自WLAN30且要转发给交换机SW2,于是就会在数据帧中打上VLAN30的标识,然后转发给SW2。
3.交换机SW2接受到带有VLAN30标识的数据帧后,根据目标的MAC地址,得知数据帧是发给主机B的,就删除VLAN标识还原为普通的数据帧,然后转发给主机B。
5.VLAN的标识
在以太网上实现中继,有两种封装类型:ISL(Cisco私有标准),IEEE802.1q
ISL帧格式
IEEE802.1q帧格式
2字节标识协议标识符(TPID)包含一个0X8100的固定指,这个特定的TPID值指明了该帧带有IEEE802.1q的标识信息。
2字节标识控制信息(TCT)包含了下面的三个元素:
1.3位的用户优先级:IEEE802.1q不使用该字段
2.1位的规范格式标识符:CFT常用于以太网和令牌网。在以太网中,CFT的值通常设置为0。
3.12位VLAN标识符:该字段唯一标识了帧所属的VLAN。VLAN ID可以唯一标识4096个VLAN,但VLAN 0和VLAN 4095是被保留的。
总结:
access:用于交换机和主机相连或者主机和路由器相连时需要的类型,access接口只能属于一个vlan。
Trunk:用于交换机和交换机相连的类型(连接两端需要相同配置),trunk不属于任何vlan,它是一条公有链路,用来在单条链路上承载不同的vlan流量让其通过。Trunk有两种封装模式:ISE和IEEE802.1q。Trunk配置简化了网络结构,管理更灵活
vlan工作原理:一个VLAN=一个广播域=逻辑网段(子网)。
用户可创建vlan范围在2~4094。
6.三层交换机
1次转发,多次交换
三层交换技术可以实现VLAN间通信
三层交换=二层交换+三层转发
当三层设备接收到一个数据帧,会拆除原数据帧,重新封装新的源MAC地址和目标MAC地址,并且因为帧头部的信息发生变化,最后的帧校验CRC也应当随之改变。
在这个流中的多个数据包,其中只有第一个数据包是由三层交换机的三层引擎来处理的,处理的方式是软件方式,与路由器相同,三层引擎获取了新的2层封装信息后,叫路由转发这个数据包。
在第一个数据包转发完成后,在硬件中创建一个MLS条目,用于后续的数据包由硬件执行的重新封装和快速转发。2层数据帧会被重新封装为需要转发的下一个网段中的帧格式。
这就是MLS一次路由,多次交换的原理。
6.1传统的MLS
使用传统的MLS时,交换机将流中第一个数据包转发给第三层引擎,后者以软件交换的方式对数据包进行过处理,对数据流中的第一个包进行路由处理后,第三层引擎对硬件交换组织进行编程,使之为后续的数据包选择路由。这个过程被称为“一次路由多次交换”,也就是说交换机的三层引擎只需要处理数据流中的第一个数据包,而后续的数据全部由硬件来执行转发。这样实现了三层交换的线速转发。
6.2基于CEF的MLS
1.与传统MLS不同的是,CEF预先根据路由表学习路由信息后,直接储存在FIB (转发信息库)。REF预先根据ARP表生成邻接关系表,直接由硬件进行转发。传统MLS至少需要软件查询一次路由表后,建立转发条目,才能使用硬件进行转发。
2.FIB (转发信息库)
3.邻接关系表
7.工作原理
第三层交换工作在OSI七层网络模型中的第三层即网络层,是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记,具有同一标记的业务流的后续报文被交换到第二层数据链路层 ,从而打通源IP地址和目的IP地址之间的一 条通路。这条通路经过第二层链路层。有了这条通路,三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由,而是直接将数据包进行转发,将数据流进行交换。
当一个三层数据包进入三层交换机以后,会查看路由表,即“一次路由”,查找出接口和下一跳,之后会找到下一跳的MAC地址,进行二层封装的变换,和三层设备即路由器的本质是一样的(三层的本质:是把一个子网的MAC迁移到另外一个子网,不同子网的MAC不可能会出现在同一个包的源目MAC上,把原有的二层封装去掉,封装上新的MAC地址,源是出接口的MAC地址,目的是下一跳的MAC地址,此时新的二层封装形成,数据包转发出设备),完成一次“路由器”的工作
如果找不到下一跳的MAC地址,进行ARP洪范,再找不到就丢弃。在做二层封装的时候,因为有目标MAC的存在,所以也可以说是三层的目标IP最后会映射到目标MAC上,此时会形成一个目标IP和封装目标MAC的映射,而三层交换机具有二层交换机的功能,则此时就形成了三层到二层的一个映射,转发一定是要找到接口,通过IP找到MAC,通过MAC找到对应出接口,这就相当于形成了一个IP的MAC表,那么三层IP进来以后就直接会找到对应的出接口,数据包就不需要再查看数据表,只需要变换一次二层封装就可以了。
总结:
三层交换=二层交换+三层转发
实现不同vlan之间的通信
路由器主要功能计算路由,三层交换机不可以
三层交换机通过硬件来交换和路由选择数据包,简单来说三层交换就等于是二层交换加上三层转发
三层交换机具有路由功能可以转发数据,ip地址是配置在虚拟接口上而不是物理接口,物理接口对接交换机的配置trunk,对接 pc机配置的access
一次路由:数据流的第一数据包由三层引擎来处理,重新封装mac地址,
在由路由转发数据包。
多次交换:第一个数据包转发后,会在硬件创建一个MSL条目。
MLS包含fln(转发的信息库:包含有vlan ip和主机ip)、邻接关系表(链接主机和mac地址),通过查询FLB和邻接关系表重新封装