1、51CTO下载高性能园区笔记* 层级化网络模型:接入层:1、为用户提供网络的访问接口;2、丰富大量的接口;3、接入安全控制;4、接入速率控制、基于策略的分类、数据包标记等;5、较少考虑冗余性。汇聚层:1、将接入层数据汇集起来,依据策略对数据、信息等实施控制;2、必要的冗余设计;3、复杂的策略配置。核心层:1、对来自汇聚层的数据进行尽可能快速的交换;2、强大的数据交换能力;3、稳定、可靠的高冗余设计;4、不配置复杂策略。* 层级化网络模型的优点:1、网络结构清晰;2、便于规划和维护;3、增强网络稳定性;4、增强网络可扩展性。* 模块化网络架构的益处:1、确定网络,边界清晰,流量类型清楚;2、便于
2、规划,增加伸缩性;3、模块方便增删,降低复杂性;4、设计的完整性。* 小型局域网:1、网络主机数量少,但都在同一广播域内;2、甚至还存在多个主机在同一冲突域内。* 中型局域网:虚拟局域网的应用隔离广播域)、三层交换的应用解决路由转发的性能瓶颈)。* 大型局域网:多个中型或小型网的组合,具有三层结构。核心层的结构:1、双机主备互连;2、多机环网互连;3、多机Full-Mesh。汇聚层的结构:1、双上行;2、路由备份。接入层的结构:1、单上行;2、双上行;3、交叉互连。* 典型三级网络结构:1、核心汇聚路由备份;2、双核心;3、汇聚、接入双上行。* 网络的单点故障:星形拓扑和树形拓扑的单点故障可能
3、带来全网性故障。网状网络:1、多冗余链路避免单点故障带来的高风险;2、STP 阻塞冗余链路避免环路的形成。以太环网:1、多核心环形链接提供核心链路的备份;2、接入双上行避免单点故障带来的风险;3、RRPP 实现高效倒换。双归属网络:1、双核心双上行提供冗余备份;2、Smart Link 阻断冗余链路,实现链路的毫秒级切换。三层路由网络:1、路由协议实现最短路径转发,冗余链路提供备份选择;2、ECMP 提供负载分担。网关冗余备份:1、边缘网关运行VRRP 提供网关的主备备份;2、多备份组+MSTP 提供负载分担。IRF 设备级备份:1、IRF 堆叠实现设备级的N+1 冗余备份;2、分布式链路聚合
4、实现链路负载分担。* 网络管理和维护:1、统一网管:拓扑发现、设备管理、Trap 告警;2、日志集中管理;3、集群、堆叠应用简化管理;4、流量镜像,针对性监控,问题定位;5、NTP 服务统一时间,日志、Trap 有序管理。* MAC 地址表:MAC Address-VLAN ID-Port* VLAN 跨交换机转发的处理流程:主机发出的帧不带vlan 标记,进入交换机被打上端口vlan 标记,出去时被去掉)* 802.1Q 帧格式:代表802.1Q 协议;Priority:优先级,主要做QOS 用;CFI:老式Token Ring 标识位。)* 当数据帧经过Access 端口PVID 值与Tr
5、unk 链路端口PVID 值不同时,在trunk 链路上带上原来PVID 值Tag 标签,当相同时可以不带Tag 标签。PVID:Port Vlan ID。PVID 可以给帧打标记、去标记,它解读VID。)* Hybrid 链路:untag:局域网中无标记的。)1、允许多个VLAN 通过,可以接收和发送多个VLAN 的数据帧:2、Hybrid 端口和Trunk 端口的不同之处在于:1.Hybrid 端口允许多个VLAN 的以太网帧不带标签;2.Trunk 端口只允许缺省VLAN的以太网帧不带标签。* VLAN 的划分方式:1、基于端口的VLAN静态VLAN);2、基于MAC 地址的VLAN动)
6、;3、基于协议的VLAN动);4、基于IP子网的VLAN动)。VLAN 的匹配顺序:* VLAN 动态注册的背景:* GARPGeneric Attribute Registration Protocal)通用属性注册协议。GARP 提供了一种通用机制供桥接局域网设备相互之间如终端站和交换机等)注册或注销属性值,如VLAN 标识符。这样,属性信息在整个桥接局域网设备中传播开来,并且这些设备形成活动拓朴结构的一个子集“可达性”树。GARP 定义了结构、操作规则、状态机制以及变量来声明注册或注销属性值。交换机或终端站中的GARP 参与者主要由连接端口或交换机的GARP 应用程序和GARP 信息声明
7、GID)两部分构成。具有相同网桥应用程序的GARP 参与者之间的信息传播是由GARP 信息传播部分GIP)完成的。参与者之间通过LLC 服务类型1 实现协议交换过程,其中采用的是MAC 地址组和GARP 应用程序定义的PDU 格式。GARP 是针对IEEE 802.1D 生成数协议)规范的IEEE 802.1P 扩展的一部分。GARP 协议主要包括:1、GARP 信息声明GID):GARP 生成数据部分。2、GARP 信息传播GIP):GARP 数据分配部分。3、GARP 组播注册协议GMRP):为参与者动态注册和注销连接相同局域网的MAC 桥信息。* 802.1Q Native Vlan:为
8、了提高转发速度,802.1Q 使交换机对Vlan 1 的帧默认不打Tag。* 对从企业A 或B 出来的帧打上双层Tag,一个是企业内部的Tag,一个是划出的Tunnel Port Vlan 的Tag用于云中的区别)。* GARP 消息:为了高效控制属性的声明和注册,GARP 提供了五种类型的消息:Empty、JoinIn、JoinEmpty、Leave、LeaveAll。GVRP 端口注册模式:1、Normal 模式:1.允许该端口动态注册或注销VLAN; 2.传播动态VLAN 以及静态VLAN 信息。2、Fixed 模式:1.禁止该端口动态注册或注销VLAN; 2.只传播静态VLAN,不传播
9、动态VLAN 信息。3、Forbidden 模式:1.禁止该端口动态注册或注销VLAN; 2.不传播除VLAN1 以外的任何VLAN 信息。* GARP 定时器:1、Hold 定时器;2、Join 定时器;3、Leave 定时器;4、LeaveAll 定时器。* Trunk 端口配置命令:配置端口的链路类型为Trunk 类型:Switch-Ethernet1/0/1 port link-type trunk允许指定的VLAN 通过当前Trunk 端口:Switch-Ethernet1/0/1 port trunk permit vlan vlan-id-list|all设置Trunk 端口的缺
10、省VLAN:Switch-Ethernet1/0/1 port trunk pvid vlan vlan-id* Hybrid 端口配置命令:配置端口的链路类型为Hybrid 类型:Switch-Ethernet1/0/1 port link-type hybrid允许指定的VLAN 通过当前Hybrid 端口:Switch-Ethernet1/0/1 port hybrid vlan vlan-id-list tagged|untagged设置Hybrid 端口的缺省VLAN:Switch-Ethernet1/0/1 port hybrid pvid vlan vlan-id* 基于MAC
11、地址的VLAN 配置命令:配置MAC 地址所对应的VLAN 及优先级:Switch mac-vlan mac-address mac-address mask mac-mask vlan vlan-id priority pri开启端口的MAC VLAN 功能:Switch-Ethernet1/0/1 mac-vlan enable设置端口VLAN 的匹配优先级:Switch-Ethernet1/0/1 vlan precedence mac-vlan|ip-subnet-vlan基于MAC 地址的VLAN 配置示例:* 基于协议的VLAN 配置命令:配置基于协议的VLAN,并指定协议模板:S
12、witch-vlan10 protocol-vlan protocol-index at |ipv4|ipv6|ipx ethernetii|llc|raw|snap|mode ethernetii etypeetype-id|llc dsap dsap-id ssap ssap-id|ssap ssap-id|snap etype etype-id配置Hybrid 端口与基于协议的VLAN 关联:Switch-Ethernet1/0/1 port hybrid protocol-vlan vlan vlan-id protocol-index to protocol-end|all基于协议的
13、VLAN 配置示例:* 基于IP 子网的VLAN 配置命令:配置当前VLAN 与指定的IP 子网关联:Switch-vlan10 ip-subnet-vlan ip-subnet-index ip ip-address mask配置当前端口与基于IP 子网的VLAN 关联:Switch-Ethernet1/0/1 port hybrid ip-subnet-vlan vlan vlan-id基于IP 子网的VLAN 配置示例:* 配置GVRP:开启全局GVRP 功能:Switch gvrp开启端口的GVRP 功能:Switch-Ethernet1/0/1 gvrp配置GVRP 注册模式:Swi
14、tch-Ethernet1/0/1 gvrp registration fixed|forbidden|normal配置GARP 定时器:设置GARP 的LeaveAll 定时器的值:Switch garp timer leaveall timer-value配置Hold 定时器、Join 定时器和Leave 定时器:Switch-Ethernet1/0/1 garp timer hold|join|leave timer-valueGVRP 配置示例一:GVRP 配置示例二:GVRP 配置示例三:* 1)Isolate-user-vlan 技术产生背景:Isolate:隔离)2)Isolat
15、e-user-vlan 技术基本原理:1、Hybrid 端口技术的应用所有端口都为Hybrid 上行端口允许所有VLAN 通过;下行端口允许Isolate-user-vlan 和自己的Secondary VLAN;2、MAC 地址同步技术:各Secondary VLAN 学习的MAC 地址同步到Isolate-user-vlan;Isolate-user-vlan 学习的MAC 地址同步到各Secondary VLAN。Isolate-user-vlan :上行设备感知的用户VLAN,它并不是用户的真正VLAN。Secondary VLAN:用户真正属于的VLAN。3)Isolate-user
16、-vlan 技术功能: Isolate-user-vlan 技术基本原理:* 在园区网中,基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户互相二层隔离。VLAN 是天然的隔离手段,于是很自然的想法是每个用户一个VLAN。根据IEEE 802.1Q 协议规定,设备最大可使用VLAN 资源为4094 个。对于核心层设备来说,如果每个用户一个VLAN,4094 个VLAN 远远不够。为解决VLAN 资源紧缺的问题,Isolate-user-vlan 应运而生。支持Isolate-user-vlan 功能后,可以将图1 中的用户所在的VLANVLAN 1015)配置为Secondary VL
17、AN,将VLAN 2 和VLAN3 配置为Isolate-user-vlan如图2)。这样,Device A 上只需配置VLAN 2 和VLAN 3,节省了四个VLAN 资源。图1 扁平的网络组网图:图2 Isolate-user-vlan 功能示意图: Isolate-user-vlan 采用分层结构:上行的Isolate-user-vlan 和下行的Secondary VLAN。对上行设备来说只需识别Isolate-user-vlan,而不必关心Isolate-user-vlan 中的Secondary VLAN,从而节省了上行设备的VLAN 资源。同时,将接入用户划入不同的Seconda
18、ry VLAN,可以实现用户之间二层报文的隔离。* 1)Isolate-user-vlan 技术是如何屏蔽Secondary VLAN 信息、节省VLAN 资源的呢?实现这个功能,要求:1、来自不同Secondary VLAN 的报文,能够通过上行端口发送给上行设备,而且不能携带Secondary VLAN 信息。2、来自Isolate-user-vlan 的报文,能够通过下行端口发送给用户,而且不能携带Isolate-user-vlan 信息。2)我们知道,Isolate-user-vlan 和Secondary VLAN 采用不同的VLAN 编号,各自包含了不同的端口,通常不同VLAN 之
19、间的报文是二层互相隔离的,要达到以上要求,需要两方面的配合:1、在本设备上需要进行配置同步和MAC 地址同步处理。2、上行设备需要进行必须的配置:创建VLAN:VLAN ID 等于Isolate-user-vlan 的VLAN ID。配置入端口参数:将端口类型设置为Hybrid,将端口缺省VLAN 值设置为Isolate-user-vlan ID,配置端口允许缺省VLAN 的报文以untagged 方式通过。* Isolate-user-vlan 配置同步:配置Isolate-user-vlan 功能后,系统会自动对Isolate-user-vlan 和Secondary VLAN 所包含的端
20、口进行配置同步:1、对于上行端口,会将端口类型修改为Hybrid,并允许来自Secondary VLAN 的报文以untagged 方式通过。而上行设备的入端口通过手工配置已经将端口的缺省VLAN 值设置为Isolate-user-vlan ID,所以,当上行设备收到这样的报文后,均认为这些报文来自Isolate-user-vlan,并给它们添加tag,tag 中的VLAN ID 等于Isolate-user-vlan ID。从而,屏蔽了Secondary VLAN 信息。2、对于下行端口,会将端口类型修改为Hybrid,并允许来自Isolate-user-vlan 的报文以untagged
21、方式通过。图3 Isolate-user-vlan 配置同步组网图:表2 配置同步后端口的相关属性:通过MAC 地址学习,如上图3 所示的组网中Switch 会生成并维护一张MAC 地址表如表3 所示)。如果Device 给Host 2 发送报文源MAC 为mac_a,目的MAC 为mac_2);Switch 会给报文添加tag,VLAN ID 为5即端口的缺省VLAN ID);然后以“mac_2+VLAN5”为条件去查询MAC 地址表。因为找不到相应的表项,该报文会在VLAN 5 内广播,并最终从Eth1/2、Eth1/3 发送出去。同理,每次上行和下行的报文都需要广播才能到达目的地。当Se
22、condary VLAN 和Isolate-user-vlan 包含的端口较多时,这样的处理方式会占用大量的带宽资源,也不安全 Host 2 第一次发出单播上行报文,报文为untagged 报文,源MAC 地址为mac_2,目的MAC 地址为mac_a。(2 Switch 通过下行端口Ethernet1/2 收到报文,给报文打上端口缺省VLAN 的标签2,并学习MAC 地址,记录MAC 地址表项mac_2+VLAN2+Eth1/2) 根据MAC 地址同步原则,该MAC 地址同时同步学习到VLAN 5 内,设备同时记录MAC 地址表项 因为Switch 当前没有mac_a 的MAC 表项,因此设
23、备在VLAN 2 内广播该报文。(5 因为配置同步,Ethernet1/5 端口允许VLAN 2 的报文以untagged 方式通过,所以报文去掉tag 后通过Ethernet1/5 发送出去。(6 Device A 收到报文后进行响应。(7 Switch 通过上行端口Ethernet1/5 收到报文,给报文打上端口缺省VLAN 的标签5 ,并学习MAC 地址,记录MAC 地址表项mac_a+VLAN5+Eth1/5)。通过MAC 地址同步,又生成两条MAC 地址表项mac_a+VLAN2+Eth1/5)和 Switch 以“mac_2+VLAN 5”为条件去查询MAC 地址表,找到出接口Et
24、hernet1/2,并将报文去掉tag 后发送给Host 2。* 小区内有大量用户且用户支持不同的业务如视频、语音、数据等),为了保证用户安全以及区分不同业务流,使用VLAN 技术对用户的二层报文进行隔离。但因为设备VLAN 资源有限,因而可以在接入交换机上配置Isolate-user-vlan 功能,以节省Device 的VLAN 资源。同时将多个端口配置为Isolate-user-vlan 的上行端口,并结合ACL 和QoS 配置,以便让不同的上行端口传输不同的业务,简化网络管理。* GARPGeneric Attribute Registration Protocol)通用属性注册协议;
25、GMRPGARP Multicast Registration Protocol)组播属性注册协议;GVRPGARP VLAN Registration Protocol)VLAN 属性注册协议。* GARP 协议主要用于建立一种属性传递扩散的机制,以保证协议实体能够注册和注销该属性。GARP 作为一个属性注册协议的载体,可以用来传播属性。将GARP 协议报文的内容映射成不同的属性即可支持不同上层协议应用。例如,GMRP 和GVRP:1、GMRP 是GARP 的一种应用,用于注册和注销组播属性;2、GVRP 是GARP 的一种应用,用于注册和注销VLAN 属性。GARP 协议通过目的MAC 地
26、址区分不同的应用。在IEEE Std 802.1D 中将01-80-C2-00-00-20 分配给组播应用,即GMRP。在IEEE Std 802.1Q 中将01-80-C2-00-00-21 分配给VLAN 应用,即GVRP。* 如果需要为网络中的所有设备都配置某些VLAN,就需要网络管理员在每台设备上分别进行手工添加。如图1 所示,Device A 上有VLAN 2,Device B 和Device C 上只有VLAN 1,三台设备通过Trunk 链路连接在一起。为了使Device A 上VLAN 2 的报文可以传到Device C,网络管理员必须在Device B 和Device C 上
27、分别手工添加VLAN 2。对于上面的组网情况,手工添加VLAN 很简单,但是当实际组网复杂到网络管理员无法短时间内完全了解网络的拓扑结构,或者是整个网络的VLAN 太多时,工作量会非常大,而且非常容易配置错误。在这种情况下,用户可以通过GVRP 的VLAN 自动注册功能完成VLAN 的配置。GVRP 基于GARP 机制,主要用于维护设备动态VLAN 属性。通过GVRP 协议,一台设备上的VLAN 信息会迅速传播到整个交换网。GVRP 实现动态分发、注册和传播VLAN 属性,从而达到减少网络管理员的手工配置量及保证VLAN 配置正确的目的。在设备上,每一个参与协议的端口可以视为一个应用实体。当G
28、VRP 在设备上启动的时候,每个启动GVRP 的端口对应一个GVRP应用实体。GVRP 协议的属性注册和注销仅仅是对于接收到GVRP 协议报文的端口而言的。* GVRP 协议可以实现VLAN 属性的自动注册和注销:1、VLAN 的注册:指的是将端口加入VLAN。2、VLAN 的注销:指的是将端口退出VLAN。GVRP 协议通过声明和回收声明实现VLAN 属性的注册和注销。1、当端口接收到一个VLAN 属性声明时,该端口将注册该声明中包含的VLAN 信息端口加入VLAN)。2、当端口接收到一个VLAN 属性的回收声明时,该端口将注销该声明中包含的VLAN 信息端口退出VLAN)。* GARP 应
29、用实体之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join 消息、Leave 消息和LeaveAll 消息:1、Join 消息:当一个GARP 应用实体希望其它设备注册自己的属性信息时,它将对外发送Join 消息;当收到其它实体的Join 消息或本设备静态配置了某些属性,需要其它GARP 应用实体进行注册时,它也会向外发送Join 消息。Join 消息分为JoinEmpty 和JoinIn 两种,区别如下:1.JoinEmpty:声明一个本身没有注册的属性。2.JoinIn:声明一个本身已经注册的属性。2、Leave 消息:当一个GARP 应用实体希望其它设备注销自己的属性信息时,它将对外发送Leave 消息;当收到其它实体的Leave消息注销某些属性或静态注销了某些属性后,它也会向外发送Leave 消息。Leave 消息分为LeaveEm
