交換網(wǎng)絡(luò)常用協(xié)議詳解

第4章交換網(wǎng)絡(luò)4.1生成樹協(xié)議4.1.1交換機的工作原理交換機根據(jù)收到數(shù)據(jù)幀中的源MAC地址建立該地址同交換機端口的映射，并將其寫入MAC地址表中。交換機將數(shù)據(jù)幀中的目的MAC地址同已建立的MAC地址表進行比較，以決定由哪個端口進行轉(zhuǎn)發(fā)。如數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉(zhuǎn)發(fā)，這一過程稱為泛洪（flood）。廣播幀和組播幀向所有的端口轉(zhuǎn)發(fā)。4.1.2交換機環(huán)路的危害廣播風(fēng)暴當(dāng)廣播數(shù)據(jù)充斥網(wǎng)絡(luò)無法處理，并占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運行，甚至徹底癱瘓，這就發(fā)生了“廣播風(fēng)暴”。Mac地址表的震蕩同一個MAC地址在一臺交換機上的兩個及以上接口都學(xué)習(xí)到，導(dǎo)致MAC地址表中關(guān)于此MAC地址與交換機的端口對應(yīng)不斷改變，引起交換機中MAC地址表的不斷刷新。4.1.3生成樹STP（SpanningTreeProtocol）通過阻斷冗余鏈路將一個有環(huán)路的橋接網(wǎng)絡(luò)修剪成一個無環(huán)路的樹形拓?fù)浣Y(jié)構(gòu)，即：能夠確保數(shù)據(jù)幀在某一時刻從一個源出發(fā)，到達網(wǎng)絡(luò)中任何一個目標(biāo)的路徑只有一條，而其他的路徑都處于非激活狀態(tài)（不能進行轉(zhuǎn)發(fā)），如果在網(wǎng)絡(luò)中發(fā)現(xiàn)某條正在使用的鏈路出現(xiàn)故障時，網(wǎng)絡(luò)中開啟了STP技術(shù)的交換機會將非激活狀態(tài)的阻塞端口打開，恢復(fù)曾經(jīng)斷開的鏈路，確保網(wǎng)絡(luò)的連通性。如下圖4-1所示，為保證鏈路冗余，三臺交換機兩兩相連形成環(huán)。假設(shè)switch1產(chǎn)生廣播報文，會發(fā)送給switch0和switch2，switch0會把自己收到的廣播報文通過fa0/2口發(fā)給switch2，switch2又會把此廣播報文通過fa0/1口發(fā)給switch1，這樣便形成到了環(huán)路。使用STP生成樹協(xié)議，可以通過阻塞其中一個端口（圖中顯示紅色的fa0/2）,使得報文只能走switch1—switch2—switch0這條路，保證switch0學(xué)習(xí)到的廣播報文不會再回發(fā)給switch1，以此實現(xiàn)防止環(huán)路的目的。圖4-1STP示例4.1.4STP度量值BID：橋IDBID是由16位的橋優(yōu)先級（BridgePriority）與橋MAC地址構(gòu)成。BID橋優(yōu)先級占據(jù)高16位，其余的低48位是MAC地址。在STP網(wǎng)絡(luò)中，橋ID最小的設(shè)備會被選舉為根橋。PID：端口IDPID由兩部分構(gòu)成的，高4位是端口優(yōu)先級，低12位是端口號。PID只在某些情況下對選擇指定端口有作用。路徑開銷路徑開銷（PathCost）是一個端口變量，是STP協(xié)議用于選擇鏈路的參考值。STP協(xié)議通過計算路徑開銷，選擇較為“強壯”的鏈路，阻塞多余的鏈路，將網(wǎng)絡(luò)修剪成無環(huán)路的樹形網(wǎng)絡(luò)結(jié)構(gòu)。在一個STP網(wǎng)絡(luò)中，某端口到根橋累計的路徑開銷就是所經(jīng)過的各個橋上的各端口的路徑開銷累加而成，這個值叫做根路徑開銷（RootPathCost）。在STP計算過程中，都遵循數(shù)值越小越好的原則。4.1.5STP三要素根橋：對于一個STP網(wǎng)絡(luò)，根橋在全網(wǎng)中只有一個，它是整個網(wǎng)絡(luò)的邏輯中心，但不一定是物理中心。根橋會根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓鴦討B(tài)變化。根端口：去往根橋路徑開銷最小的端口，根端口負(fù)責(zé)向根橋方向轉(zhuǎn)發(fā)數(shù)據(jù)，這個端口的選擇標(biāo)準(zhǔn)是依據(jù)根路徑開銷判定。在一臺設(shè)備上所有使能STP的端口中，根路徑開銷最小者，就是根端口。很顯然，在一個運行STP協(xié)議的設(shè)備上根端口有且只有一個，根橋上沒有根端口。指定端口指定橋向本機轉(zhuǎn)發(fā)消息的端口。根橋上的所有端口都是指定端口4.1.6STP端口狀態(tài)STP包含的信息，通過BPDU協(xié)議報文傳輸阻塞(blocking)：該端口被阻塞，不可以轉(zhuǎn)發(fā)或接收數(shù)據(jù)包監(jiān)聽(listening)：該端口正在等待接收bpdu數(shù)據(jù)包，bpdu可能告知該端口重新回到阻塞狀態(tài)學(xué)習(xí)(learning)：該端口正在向其轉(zhuǎn)發(fā)數(shù)據(jù)庫中添加地址，但是并不轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)(forwarding)：該端口正在轉(zhuǎn)發(fā)數(shù)據(jù)包失效(disabled)；端口不接受也不處理BPDU4.1.7STP三種模式STP：基于端口，最早提出，所有VLAN對應(yīng)一個生成樹RSTP：基于端口，快速生成樹協(xié)議，簡化了端口狀態(tài)，增加了端口角色MSTP：基于實例，多生成樹協(xié)議，多個vlan對應(yīng)一個生成樹4.2VLAN間路由4.2.1網(wǎng)絡(luò)的分層三層網(wǎng)絡(luò)結(jié)構(gòu)是采用層次化架構(gòu)的三層網(wǎng)絡(luò)。三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計的網(wǎng)絡(luò)有三個層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。圖4-2給出一個示例。圖4-2三層網(wǎng)絡(luò)架構(gòu)示例核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的作用在核心層中，應(yīng)該采用高帶寬的兆以上交換機。因為核心層是網(wǎng)絡(luò)的樞紐中心，重要性突出。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十嚴(yán)格。匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。匯聚層必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。匯聚層具有實施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應(yīng)該采用支持三層交換技術(shù)和VLAN的交換機，以達到網(wǎng)絡(luò)隔離和分段的目的。接入層：通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機具有低成本和高端口密度特性。在接入層設(shè)計上主張使用性能價格比高的設(shè)備。接入層是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時應(yīng)該非常易于使用和維護，同時要考慮端口密度的問題。4.2.2VLAN的作用VLAN虛擬局域網(wǎng)（VirtualLocalAreaNetwork），是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術(shù)。VLAN內(nèi)的主機間可以直接通信，而VLAN間不能直接互通，從而將廣播報文限制在一個VLAN內(nèi)。限制廣播域：廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。增強局域網(wǎng)的安全性：不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信。提高了網(wǎng)絡(luò)的健壯性：故障被限制在一個VLAN內(nèi)，本VLAN內(nèi)的故障不會影響其他VLAN的正常工作。靈活構(gòu)建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。4.2.3VLAN的幀格式傳統(tǒng)以太網(wǎng)數(shù)據(jù)幀在目的MAC地址和源MAC地址之后封裝的是上層協(xié)議的類型字段。傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀格式為下圖4-3：圖4-3傳統(tǒng)以太網(wǎng)幀格式IEEE802.1Q是虛擬橋接局域網(wǎng)的正式標(biāo)準(zhǔn)，對Ethernet幀格式進行了修改，在源MAC地址字段和協(xié)議類型字段之間加入4字節(jié)的802.1QTag802.1Q幀格式見下圖4-4：圖4-4802.1Q幀格式802.1QTag包含4個字段，各字段解釋如下表4-1所示：表4-1802.1Q字段詳細(xì)解釋字段長度名稱解釋TPID2bytesTagProtocolIdentifier（標(biāo)簽協(xié)議標(biāo)識符），表示幀類型。取值為0x8100時表示802.1QTag幀。如果不支持802.1Q的設(shè)備收到這樣的幀，會將其丟棄。PRI3bitsPriority，表示幀的優(yōu)先級。取值范圍為0～7，值越大優(yōu)先級越高。用于當(dāng)交換機阻塞時，優(yōu)先發(fā)送優(yōu)先級高的數(shù)據(jù)幀。CFI1bitCanonicalFormatIndicator（標(biāo)準(zhǔn)格式指示位），表示MAC地址是否是經(jīng)典格式。CFI為0說明是經(jīng)典格式，CFI為1表示為非經(jīng)典格式。用于兼容以太網(wǎng)和令牌環(huán)網(wǎng)。在以太網(wǎng)中，CFI的值為0。VID12bitsVLANID，表示該幀所屬的VLAN。VLANID取值范圍是0～4095。由于0和4095為協(xié)議保留取值，所以VLANID的有效取值范圍是1～4094（4064～4094為設(shè)備缺省保留VLANID，通過命令vlanreserved可以將保留VLAN范圍修改到其他VLAN區(qū)間）。每臺支持802.1Q協(xié)議的交換機發(fā)送的數(shù)據(jù)包都會包含VLANID，以指明交換機屬于哪一個VLAN。因此，在一個VLAN交換網(wǎng)絡(luò)中，以太網(wǎng)幀有以下兩種形式：有標(biāo)記幀（taggedframe）：加入了4字節(jié)802.1QTag的幀無標(biāo)記幀（untaggedframe）：原始的、未加入4字節(jié)802.1QTag的幀4.2.4交換機接口模式在802.1Q中定義VLAN幀后，將接口分為：Access接口Access接口是交換機上用來連接用戶主機的接口，它只能連接接入鏈路。僅允許唯一的VLANID通過本接口，這個VLANID與接口的缺省VLANID相同，Access接口發(fā)往對端設(shè)備的以太網(wǎng)幀永遠(yuǎn)是不帶標(biāo)簽的幀。下圖4-5為access接口對報文的處理方式。圖4-5access接口對報文的處理Trunk接口Trunk接口是交換機上用來和其他交換機連接的接口，它只能連接干道鏈路，允許多個VLAN的幀（帶Tag標(biāo)記）通過。缺省的VLANID為VLAN1，可以進行修改。下圖4-6為trunk接口對報文的處理方式。圖4-6trunk接口對報文的處理4.2.5VTP同步VTP(VLANTrunkingProtocol)是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺交換機在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺交換機配置成VTPServer,其余交換機配置成VTPClient,這樣他們可以自動學(xué)習(xí)到server上的VLAN信息。VTP有三種工作模式:VTPServer、VTPClient和VTPTransparent。見下圖4-7。新交換機出廠時的默認(rèn)配置是預(yù)配置為VLAN1，VTP模式為服務(wù)器。一般，一個VTP域內(nèi)的整個網(wǎng)絡(luò)只設(shè)一個VTPServer。VTPServer維護該VTP域中所有VLAN信息列表，VTPServer可以建立、刪除或修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步VLAN配置，會把配置保存在NVRAM中。VTP雖然也維護所有VLAN信息列表，但其VLAN的配置信息是從VTPServer學(xué)到的，VTPClient不能建立、刪除或修改VLAN，但可以轉(zhuǎn)發(fā)通告，同步VLAN配置，不保存配置到NVRAM中。VTPTransparent相當(dāng)于是一項獨立的交換機，它不參與VTP工作，不從VTPServer學(xué)習(xí)VLAN的配置信息，而只擁有本設(shè)備上自己維護的VLAN信息。VTPTransparent可以建立、刪除和修改本機上的VLAN信息，同時會轉(zhuǎn)發(fā)通告并把配置保存到NVRAM中。圖4-7VTP工作模式4.2.6單臂路由二層交換機是讓不同vlan之間不能通信，單臂路由主要實現(xiàn)不同VLAN之間可以通信（從邏輯上分成多個網(wǎng)絡(luò)，縮小網(wǎng)絡(luò)，有效控制廣播風(fēng)暴），缺點是容易形成網(wǎng)絡(luò)單點故障?，F(xiàn)實情況下，劃分VLAN時是將不同網(wǎng)段劃分到不同VLAN中。如下圖4-8所示，PC2和PC3屬于不同VLAN不同網(wǎng)段。圖4-8單臂路由示例這時會發(fā)現(xiàn)，即使不劃分VLAN，在不使用路由器的情況下，兩臺PC不可以進行通信，這是因為兩臺PC處于不同的網(wǎng)段，通信時需要將消息先發(fā)給網(wǎng)關(guān)，可以理解為這是“三層”上無法通信。劃分VLAN后，如果交換機產(chǎn)生帶有VLAN10的廣播報文，因為PC3劃分到VLAN20中，這時PC3也無法收到該廣播報文，可以理解為這是“二層”上無法通信。所以對數(shù)據(jù)在鏈路上傳輸?shù)倪^程進行理解時，要從二層和三層上對數(shù)據(jù)處理的不同做區(qū)分。4.3高可用性高可用性指的是通過盡量縮短因日常維護操作和突發(fā)的系統(tǒng)崩潰(非計劃)所導(dǎo)致的停機時間，以提高系統(tǒng)和應(yīng)用的可用性。它與被認(rèn)為是不間斷操作的容錯技術(shù)有所不同。構(gòu)成計算機網(wǎng)絡(luò)系統(tǒng)的三大要素是:網(wǎng)絡(luò)系統(tǒng)，服務(wù)器系統(tǒng)，存儲系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)包括防火墻，路由器等網(wǎng)絡(luò)設(shè)備，服務(wù)器系統(tǒng)主要指用戶使用的各種服務(wù)器系統(tǒng)，存儲系統(tǒng)，則是用戶最主要的數(shù)據(jù)存儲放的地點。因此IT系統(tǒng)的高可用建設(shè)應(yīng)包括網(wǎng)絡(luò)設(shè)備高可用性，服務(wù)器設(shè)備高可用性，及存儲設(shè)備的高可用性三個方面。4.3.1VRRPVRRP虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol)是一種容錯協(xié)議。VRRP將局域網(wǎng)的一組路由器(包括一個Master即活動路由器和若干個Backup即備份路由器)組織成一個虛擬路由器，稱之為一個備份組。這個虛擬的路由器擁有自己的IP地址10.100.10.1(這個IP地址可以和備份組內(nèi)的某個路由器的接口地址相同，相同的則稱為ip擁有者)，備份組內(nèi)的路由器也有自己的IP地址(如Master的IP地址為10.100.10.2,Backup的IP地址為10.100.10.3)。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1,而并不知道具體的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.1.于是，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進行通信。如果備份組內(nèi)的Master路由器壞掉，Backup路由器將會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。4.3.2GLBPGLBP網(wǎng)關(guān)負(fù)載均衡協(xié)議（GatewayLoadBalancingProtocol）是思科私有協(xié)議，和HSRP和VRRP一樣也能提供提供冗余網(wǎng)關(guān)。不同點是：HSRP和VRRP配成多個組，不同PC的網(wǎng)關(guān)設(shè)為不同組的IP地址來實現(xiàn)負(fù)載均衡。而GLBP設(shè)成相同網(wǎng)關(guān)也能負(fù)載均衡。（原理是：雖然VRRP的三層IP地址是相同的，但二層虛擬Mac地址不同）4.4端口安全交換機最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過MAC地址與端口綁定和根據(jù)MAC地址允許流量的配置MAC地址與端口綁定當(dāng)發(fā)現(xiàn)主機的MAC地址與交換機上指定的MAC地址不同時，交換機相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時，端口模式必須為Access或者Trunk狀態(tài)。3550-1(config)#intf0/13550-1(config-if)#switchportmodeaccess//指定端口模式3550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1//配置MAC地址3550-1(config-if)#switchportport-securitymaximum1//限制此端口允許通過的MAC地址數(shù)為13550-1(config-if)#switchportport-securityviolationshutdown//當(dāng)發(fā)現(xiàn)與上述配置不符時，端口down掉通過MAC地址來限制端口流量此配置允許TRUNK口最多通過100個MAC地址，超過100時，但來自新的主機的數(shù)據(jù)幀將丟失。3550-1(config)#intf0/13550-1(config-if)#switchporttrunkencapsulationdot1q3550-1(config-if)#switchportmodetrunk//配置端口模式為Trunk3550-1(config-if)#switchportport-securitymaximum100//允許此端口通過的