目录
网桥
交换机
VLAN
交换原理
三层交换机
路由器
无线路由器
网桥
网桥是一种链路层产品,能够记录终端主机的MAC地址和端口的对应,生成CAM表。网桥能够进行冲突域隔离,有效的提高网络带宽利用率,不同接口之间的数据不会相互冲突。
网桥的缺点:接口比较有限,默认是两个接口,对网络的冲突域隔离比较有限,网桥没有专用的硬件而是采用CPU来处理数据,所以处理速度相对较慢
交换机
交换机(Switch)是网桥演变过来的,所以也是一种链路层产品,交换机一般是用在局域网内数据传送,但是也有广域网交换机。交换机可以隔离冲突域,但是不能隔离广播域。
交换机相比网桥,主要有几个优势:
- 接口数量更多
- 采用专用的ASIC硬件芯片进行高速转发,所以速度更快
- 能够进行VLAN隔离(不仅仅可以隔离冲突域,通过VLAN可以隔离广播域)
VLAN
VLAN(Virtual Local Area Network)虚拟局域网,一个VLAN就是一个广播域,VLAN之间的通信是通过三层路由实现的。
设计二层VLAN时,应保证全局所有交换机VLAN信息都一致,VLAN可以隔离广播域
turnk通道在传输不同VLAN时,会在数据帧的中加入802.1Q数据,里面包含有VLAN的信息,以区分不同VLAN
交换原理
转发决策
交换机的转发决策有三种操作:丢弃、转发和扩散。
- 丢弃:当本端口下的主机访问已知本端口下的主机时丢弃。
- 转发:当某端口下的主机访问已知某端口下的主机时转发。
- 扩散:当某端口下的主机访问未知端口下的主机时要扩散。
每个操作都要记录下发包端的源MAC地址,然后放入CAM表,以备其它主机的访问
生存期
生存期是端口地址列表中表项的寿命。每个表项在建立后开始进行倒记时,每次发送数据都要刷新记时。对于长期不发送数据的主机,其MAC地址的表项在生存期结束时删除。所以端口地址表记录的总是最活跃的主机的MAC地址。
网管功能
一台交换机所支持的管理程度反映了该设备的可管理性与可操作性。带网管功能的交换机可对每个端口的流量进行监测,设置每个端口的速率,关闭/打开端口连接。通过对交换机端口进行监测,便于对网络业务流量的区分和迅速进行网络故障定义,提高了网络的可管理性。
交换机的接口模式
交换机的端口有三种模式:Access、Trunk、Hybrid
- Access类型的端口只能属于一个VLAN,一般用于连接主机
- Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于和交换机或路由器之间连接的端口
- Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机
注:Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
从access口进入的数据帧会加入VLAN tag信息,从access口出去的数据帧会去除VLAN tag
trunk接口的缺省VLAN
- Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置
- Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
- 当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口。当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
注:对于华为交换机缺省VLAN被称为“Pvid Vlan”,对于思科交换机缺省VLAN被称为“Native Vlan"。所有接口的缺省VLAN一定要相等
Tag和Pvid
注:trunk默认放行本地已经创建的VLAN,所有trunk接口的pvid必须都相等
PC1和PC4通信(当trunk接口的pvid != 10)
pc1发送消息从g0/0/1口进入LSW1,进入LSW1后,交换机给数据包中加入tag(包含VLAN信息)。然后从g0/0/2口发给LSW2的g0/0/2口,再从LSW2的g0/0/3口发给LSW3的g0/0/3口,进入LSW3中。这之间数据包一直含有tag信息。然后LSW3将数据包的tag信息剥除,从g0/0/1口发出到达PC4
PC1和PC4通信(当trunk接口的pvid=10)
pc1发送消息从g0/0/1口进入LSW1,进入LSW1后,交换机给数据包中加入tag(包含VLAN信息)。然后从g0/0/2口发出,因为pvid=10,所以把tag信息剥除,到达LSW2的g0/0/2口进入LSW2中,因为pvid=10,又加入了tag信息,从LSW2的g0/0/3口发出又把tag信息剥除了,进入LSW3的g0/0/3口,又加入了tag信息。然后再剥除信息后从LSW3的g0/0/1口发出给PC4(在交换机内一直是有tag信息的,在线路上一直是没tag信息的)
端口隔离和端口安全
端口隔离
端口隔离可以实现同一个VLAN内的端口之间的隔离,可以设置同一个VLAN内的不同端口同处于一个group,那么同一个组内的端口都不可以通信。
在华为模拟器中,端口隔离有两个模式: all 和 l2
端口隔离的设置
进入该端口下: [Huawei-GigabitEthernet0/0/1] port-isolate enable group 2
如图,PC1、PC2、PC3都处于VLAN10中,PC1、PC2在group2中、PC3在group1中。那么PC1不能和PC2通信,PC3可以和PC1、PC2通信
端口安全
端口安全是允许该端口最大的max地址数量,超过该数量后,实施保护策略
端口安全的三种措施: protect 、restrict 、shutdown
如图,给交换机的G0/0/1口设置端口安全,设置最多只能保存两个MAC地址,当PC3插入hub与其他主机通信时,交换机的G0/0/1端口会被关闭
华为模拟器中的配置
三层交换机
三层交换机是二层交换+三层路由,相当于是在二层交换机基础上,增加了路由引擎。
三种转发技术:
- 进程交换
- 快速交换,一次路由,多次交换,思想是,某一个流量的第一个报文,需要通过路由引擎进行处理,处理之后 ,转发决定会被缓存在ASIC硬件芯片中,后续流量直接通过ASIC芯片进行快速转发。如果识别同一条数据流(标识数据流的五元组:源目IP、源目端口、协议号)
- CEF转发 硬件芯片会自动产生转发表(无关乎流量),所有流量的处理都通过硬件芯片来完成,是最快的转发技术。
交换机的所有接口为二层接口,在配置网关地址时,不能直接在物理接口下配置。那么我们可以针对不同的vlan,配置虚拟接口,比如,针对vlan10,配置虚拟接口,interface vlan 10 .
但是要注意到三层交换机并不能完全取代路由器,因为它主要是为了实现处于两个不同子网的Vlan进行通讯,而不是用来作数据传输的复杂路径选择
路由器
路由器(Router)
无线路由器
WLAN系统一般由 AC(接入控制器) 和 AP(Access Point无线接入点)组成。
- AP:为AccessPoint简称,一般翻译为“无线访问节点”,它是用于无线网络的无线交换机,也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为802.11系列。大多数无线AP还带有接入点客户端模式(APclient),可以和其它AP进行无线连接,延展网络的覆盖范围。
- AC:它是指无线接入控制服务器(AC),接入控制器(AC)无线局域网接入控制设备,负责把来自不同AP的数据进行汇聚并接入Internet,同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能