SB-002 以太網(wǎng)交換機(jī)常見技術(shù)及協(xié)議V2.0

1、SB-002 SB-002 以太網(wǎng)交換機(jī)常見技術(shù)及協(xié)議以太網(wǎng)交換機(jī)常見技術(shù)及協(xié)議ISSUE 2.0日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 了解二三層以太網(wǎng)交換機(jī)上常見的一了解二三層以太網(wǎng)交換機(jī)上常見的一些技術(shù)及其協(xié)議，如：些技術(shù)及其協(xié)議，如：POE，端口鏡，端口鏡像，像，GARP，IGMP，QinQ，Super VLAN，P-VLAN以及以及PVE等等課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：3交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-

2、VLANlPVE4POE供電供電l標(biāo)準(zhǔn)，802.3af標(biāo)準(zhǔn)，2003.6正式批準(zhǔn)，全球統(tǒng)一的電源接口l可靠，實(shí)現(xiàn)了集中式電源供電l方便，網(wǎng)絡(luò)終端不需外接電源，只需要一根網(wǎng)線l802.3af標(biāo)準(zhǔn)定義了兩種設(shè)備PSE和PDPSE Power-Sourcing Equipment 供電設(shè)備PD Powered Device 受電設(shè)備5交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE6端口流量鏡像端口流量鏡像l作用作用查看網(wǎng)絡(luò)中某個或某些端口流量，用于故障定位和分析l設(shè)置方法設(shè)置方法設(shè)置

3、監(jiān)控端口，被鏡像端口。ASIC將被鏡像端口所收發(fā)的報文同步地拷貝一份給監(jiān)控端口。l被鏡像端口可以是一個端口，也可以被鏡像端口可以是一個端口，也可以是一組端口是一組端口l監(jiān)控端口具有普通業(yè)務(wù)口的功能監(jiān)控端口具有普通業(yè)務(wù)口的功能被鏡像端口 監(jiān)控端口7交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE8GARP協(xié)議協(xié)議lGARP（Generic Attribute Registration Protocol）是一種通用的屬性注冊協(xié)議，它為處于）是一種通用的屬性注冊協(xié)議，它為處于同一個交換

4、網(wǎng)內(nèi)的交換成員之間提供了分發(fā)、傳播、同一個交換網(wǎng)內(nèi)的交換成員之間提供了分發(fā)、傳播、注冊某種信息的一種手段。如注冊某種信息的一種手段。如VLAN、組播組地址等、組播組地址等9GARP基本原理基本原理S1S2S10GARP的應(yīng)用的應(yīng)用lGARP本身不作為一個實(shí)體在本身不作為一個實(shí)體在Switch中存在中存在l遵循遵循GARP協(xié)議的應(yīng)用實(shí)體稱為協(xié)議的應(yīng)用實(shí)體稱為GARP應(yīng)用應(yīng)用l目前主要的目前主要的GARP應(yīng)用為應(yīng)用為GVRP和和GMRPGVRP-維護(hù)Switch中的VLAN動態(tài)注冊信息GMRP-維護(hù)Switch中的動態(tài)組播組注冊信息11交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort m

5、irrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE12為什么二層需要支持組播為什么二層需要支持組播l組播組播：只傳遞數(shù)據(jù)給有接收者的那些鏈路：只傳遞數(shù)據(jù)給有接收者的那些鏈路視頻流服務(wù)器組播管理路由器不支持組播的交換機(jī)視頻流不需接受視頻不需接受視頻需要接收視頻需要接收視頻 不需接受視頻13組播方案組播方案l方案方案1：VLAN定義組播的邊界定義組播的邊界方法不靈活，對VLAN數(shù)目要求高l方案方案2：GMRP目前沒有第三方客戶端支持l方案方案3：IGMP Snooping 14IGMP Snooping原理原理l二層交換機(jī)截獲主機(jī)和路由器二層交換

6、機(jī)截獲主機(jī)和路由器之間傳送的之間傳送的IGMP報文，建立組報文，建立組播播MAC和端口的對應(yīng)表，從而和端口的對應(yīng)表，從而控制組播報文在二層交換機(jī)上控制組播報文在二層交換機(jī)上的轉(zhuǎn)發(fā)。的轉(zhuǎn)發(fā)。網(wǎng)絡(luò)IGMPIGMP15IGMP Snooping應(yīng)用應(yīng)用l二層交換機(jī)偵聽用戶發(fā)往組播路由器的二層交換機(jī)偵聽用戶發(fā)往組播路由器的IGMP數(shù)數(shù)據(jù)報文，明確端口的組播成員據(jù)報文，明確端口的組播成員IGMP視頻服務(wù)器組播管理路由器視頻數(shù)據(jù)流支持IGMP Snooping的二層交換機(jī)接收者非接收者接收者接收者 非接收者16交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP s

7、noopinglQinQlSuper VLANlP-VLANlPVE17QinQ原理原理1l 也稱為也稱為Double-Tagging，VLAN stacking，NestedVLAN，Service VLAN等等。其實(shí)就是支等等。其實(shí)就是支持雙持雙VLAN標(biāo)簽轉(zhuǎn)發(fā)。標(biāo)簽轉(zhuǎn)發(fā)。l IEEE 802.1ad標(biāo)準(zhǔn)定義了標(biāo)準(zhǔn)定義了S-TAG(Service VLAN Tag)，S-TAG與與C-TAG(Customer VLAN Tag)格格式相同。式相同。DMACSMAC8100VID18100VID2EtherTypeS-TAGC-TAGTPID18QinQ原理原理2S-TAGPacketS-T

8、AGPacketC-TAGDouble-tagged PacketSingle-tagged PacketProvider NetworkPacketPacketC-TAGSingle-tagged PacketUntagged PacketUntagged PacketPacketPacketC-TAGSingle-tagged PacketPush S-TAG at Access PortStrip S-TAG at Access P19QinQ原理原理3l日益緊缺的公網(wǎng)日益緊缺的公網(wǎng)VLAN ID資源問題。資源問題。l用戶可以規(guī)劃自己的私網(wǎng)用戶可以規(guī)劃自己的私網(wǎng)VLAN ID，不會，不會

9、導(dǎo)致和公網(wǎng)導(dǎo)致和公網(wǎng)VLAN ID沖突。沖突。l為小型城域網(wǎng)或企業(yè)網(wǎng)提供一種較為簡單為小型城域網(wǎng)或企業(yè)網(wǎng)提供一種較為簡單的二層的二層VPN解決方案。解決方案。20QinQ基本配置基本配置G3/1/1為用戶側(cè)端口，為用戶側(cè)端口，G3/1/2為公網(wǎng)端口，要求用戶為公網(wǎng)端口，要求用戶報文打上報文打上S-TAG在公網(wǎng)上傳輸在公網(wǎng)上傳輸配置接入端口配置接入端口H3Cinterface GigabitEthernet 3/1/1H3C-GigabitEthernet3/1/1port access vlan 100H3C-GigabitEthernet3/1/1vlan-vpn enable Some A

10、CL with VLAN tag may not take effect配置公網(wǎng)端口配置公網(wǎng)端口H3Cinterface GigabitEthernet 3/1/2H3C-GigabitEthernet3/1/2port link-type trunk H3C-GigabitEthernet3/1/2port trunk permit vlan 100報文從報文從3/1/1進(jìn)入，從進(jìn)入，從3/1/2出來的時候出來的時候S-TAG為為VLAN21QinQ進(jìn)階配置進(jìn)階配置l 部分交換機(jī)（如部分交換機(jī)（如S8500）實(shí)現(xiàn)了）實(shí)現(xiàn)了S-TAG中的中的TPID(Tag Protocol Identifi

11、er)可設(shè)置。按運(yùn)行商可設(shè)置。按運(yùn)行商要求，我們可以用非要求，我們可以用非0 x8100值來指定值來指定TPID值。值。l 繼續(xù)前面的配置，現(xiàn)在我們指定從公網(wǎng)端口繼續(xù)前面的配置，現(xiàn)在我們指定從公網(wǎng)端口G3/1/2出來的報文出來的報文S-TAG中的中的TPID值為值為0 x9100H3Cvlan-vpn tpid 9100H3C-GigabitEthernet3/1/2vlan-vpn uplink enable 22交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE23SuperV

12、LAN原理原理1l SuperVLAN又稱為又稱為VLAN聚合，其原理是一個聚合，其原理是一個Super VLAN包含多個包含多個Sub VLAN ，多個，多個SubVLAN共用一個子網(wǎng)。共用一個子網(wǎng)。1234SuperVLAN100192.168.100.1SubVLAN40SubVLAN30SubVLAN24SuperVLAN原理原理2l 每個每個Sub VLAN是一個廣播域，不同是一個廣播域，不同Sub VLAN之間二層相互隔離，之間二層相互隔離，Sub VLAN不能配置虛接口不能配置虛接口IP地址。多個地址。多個VLAN共享一個共享一個IP地址，從而節(jié)省了地址，從而節(jié)省了IP地址資源地

13、址資源 l 不同不同Sub VLAN間的三層互通及間的三層互通及Sub VLAN與其與其他網(wǎng)絡(luò)的互通，需要利用他網(wǎng)絡(luò)的互通，需要利用ARP代理功能。代理功能。 l SuperVLAN的目的是節(jié)省的目的是節(jié)省IP地址地址25SuperVLAN基本配置基本配置H3Cvlan 20H3C-vlan20port GigabitEthernet 3/1/2H3C-vlan20vlan 30H3C-vlan30port GigabitEthernet 3/1/3H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 3/1/4H3C-vlan40vlan 100H

14、3C-vlan100supervlanH3C-vlan100subvlan 20 30 40H3Cinterface vlan 100H3C-Vlan-interface100ip address 192.168.100.1 24H3C-vlan100display supervlan Supervlan ID : 100 Subvlan ID : 20 30 40 Subvlan in which arp proxy is disabled: 20 30 26ARP代理代理lSubVLAN的的ARP代理功能默認(rèn)關(guān)閉，各代理功能默認(rèn)關(guān)閉，各SubVLAN間用戶無法互通；間用戶無法互通；l用戶要

15、在用戶要在SubVLAN之間通訊，則必須打開之間通訊，則必須打開SubVLAN的的ARP代理功能；代理功能；l打開打開ARP代理將嚴(yán)重影響代理將嚴(yán)重影響ARP性能。性能。27SubVLAN用戶互通配置用戶互通配置H3Cvlan 20H3C-vlan20 arp proxy enableH3Cvlan 30H3C-vlan30 arp proxy enableH3C-vlan40display supervlan Supervlan ID : 100 ARP proxy : enabled Subvlan ID : 20 30 40 Subvlan in which arp proxy is d

16、isabled: 28交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE29PVLAN原理原理1lPVLAN是二層是二層VLAN的概念，跟三層的概念，跟三層VLAN，ARP Proxy全沒關(guān)系全沒關(guān)系1234Primary VLAN100SecondaryVLAN40SecondaryVLAN30SecondaryVLAN20上行端口上行端口接入端口接入端口30PVLAN原理原理2l 接入端口屬于接入端口屬于SVLAN(Secondary VLAN)和和PVLAN(Primary

17、VLAN),上行端口屬于上行端口屬于PVLAN和和所有的所有的SVLAN；l 從上行端口下行的報文在從上行端口下行的報文在PVLAN中轉(zhuǎn)發(fā)中轉(zhuǎn)發(fā),接入端接入端口上行的報文在口上行的報文在SVLAN中轉(zhuǎn)發(fā)；中轉(zhuǎn)發(fā)；l PVLAN的目的是為了節(jié)省的目的是為了節(jié)省VLAN資源；資源；l 缺點(diǎn)：節(jié)省了缺點(diǎn)：節(jié)省了VLAN資源的同時浪費(fèi)了硬件資源的同時浪費(fèi)了硬件MAC表項(xiàng)的資源。表項(xiàng)的資源。31PVLAN原理原理31234PVLAN100SVLAN40SVLAN30SVLAN20上行報文在SVLAN中轉(zhuǎn)發(fā)，并將MAC同步到PVLAN中下行報文在PVLAN中轉(zhuǎn)發(fā)，因?yàn)槭孪韧搅薙VLAN的MAC，所以報文

18、只會單播到SVLAN的一個端口去0000-1111-2222202MACVLANPort方式方式學(xué)習(xí)學(xué)習(xí)0000-1111-22221002軟件同步0000-3333-44441001學(xué)習(xí)學(xué)習(xí)0000-3333-4444202軟件同步0000-3333-4444303軟件同步0000-3333-4444404軟件同步l 為防止上行和下行報文在為防止上行和下行報文在VLAN中廣播。上行端中廣播。上行端口學(xué)習(xí)到的口學(xué)習(xí)到的MAC在每個在每個SVLAN中同步一份，下中同步一份，下行端口學(xué)習(xí)到的行端口學(xué)習(xí)到的MAC同步一份到同步一份到PVLAN中去。中去。32PVLAN典型配置典型配置# 配置配置PV

19、LAN(isolate-user-vlan)H3Cvlan 100H3C-vlan100isolate-user-vlan enable H3C-vlan100port GigabitEthernet 3/1/1# 配置配置Secondary VLAN H3C-vlan100vlan 20H3C-vlan20port GigabitEthernet 3/1/2H3C-vlan20vlan 30 H3C-vlan30port GigabitEthernet 3/1/3H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 3/1/4# 配置配置isola

20、te-user-vlan和和Secondary VLAN間的映射關(guān)系間的映射關(guān)系 H3C-vlan40quit H3Cisolate-user-vlan 100 secondary 20 30 40 33交換機(jī)相關(guān)協(xié)議及技術(shù)交換機(jī)相關(guān)協(xié)議及技術(shù)lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE34Private Edge VLAN原理原理1l 重定向二層數(shù)據(jù)報文到指定的上行端口重定向二層數(shù)據(jù)報文到指定的上行端口(上行端口上行端口可以是單個端口或者聚合組可以是單個端口或者聚合組)l 隔離端口之間不能互通，上行口之間可以互通

21、；隔離端口之間不能互通，上行口之間可以互通；l 隔離端口與上行端口必須在同一隔離端口與上行端口必須在同一VLAN內(nèi)，同一內(nèi)，同一VLAN內(nèi)允許存在多個隔離組，一個隔離組只能內(nèi)允許存在多個隔離組，一個隔離組只能有一個上行端口，不同隔離組的上行端口可以相有一個上行端口，不同隔離組的上行端口可以相同可以不同同可以不同35Private Edge VLAN原理原理21234group156group2group3兩個隔離組可以共用一個上行端口，但似乎沒什么意義7上行口可以為聚合端口8下行口也可以為聚合端口隔離端口隔離端口上行端口上行端口36Private Edge VLAN原理原理3l 解決了解決了PVLAN的的MAC浪費(fèi)的問題浪費(fèi)的問題l 同時也不會浪費(fèi)本設(shè)備的同時也不會浪費(fèi)本設(shè)備的VLAN資源資源l 配置比較靈活配置比較靈活l 注意：只重定向二層流，對三層流的處理與普通注意：只重定向二層流，對三層流的處理與普通端口沒有區(qū)別端口沒有區(qū)別37端口隔離典型配置端