網橋、交換機和路由器
目錄
網橋
網橋是一種鏈路層產品,能夠記錄終端主機的MAC地址和埠的對應,生成CAM表。網橋能夠進行衝突域隔離,有效的提高網路頻寬利用率,不同介面之間的資料不會相互衝突。
網橋的缺點:介面比較有限,預設是兩個介面,對網路的衝突域隔離比較有限,網橋沒有專用的硬體而是採用CPU來處理資料,所以處理速度相對較慢
交換機
交換機(Switch)是網橋演變過來的,所以也是一種鏈路層產品,交換機一般是用在區域網內資料傳送,但是也有廣域網交換機。交換機可以隔離衝突域,但是不能隔離廣播域。
交換機相比網橋,主要有幾個優勢:
- 介面數量更多
- 採用專用的ASIC硬體晶片進行高速轉發,所以速度更快
- 能夠進行VLAN隔離(不僅僅可以隔離衝突域,通過VLAN可以隔離廣播域)
VLAN
VLAN(Virtual Local Area Network)虛擬區域網,一個VLAN就是一個廣播域,VLAN之間的通訊是通過三層路由實現的。
設計二層VLAN時,應保證全域性所有交換機VLAN資訊都一致,VLAN可以隔離廣播域
turnk通道在傳輸不同VLAN時,會在資料幀的中加入802.1Q資料,裡面包含有VLAN的資訊,以區分不同VLAN
交換原理
轉發決策
交換機的轉發決策有三種操作:丟棄、轉發和擴散。
- 丟棄:當本埠下的主機訪問已知本埠下的主機時丟棄。
- 轉發:當某埠下的主機訪問已知某埠下的主機時轉發。
- 擴散:當某埠下的主機訪問未知埠下的主機時要擴散。
每個操作都要記錄下發包端的源MAC地址,然後放入CAM表,以備其它主機的訪問
生存期
生存期是埠地址列表中表項的壽命。每個表項在建立後開始進行倒記時,每次傳送資料都要重新整理記時。對於長期不傳送資料的主機,其MAC地址的表項在生存期結束時刪除。所以埠地址表記錄的總是最活躍的主機的MAC地址。
網管功能
一臺交換機所支援的管理程度反映了該裝置的可管理性與可操作性。帶網管功能的交換機可對每個埠的流量進行監測,設定每個埠的速率,關閉/開啟埠連線。通過對交換機埠進行監測,便於對網路業務流量的區分和迅速進行網路故障定義,提高了網路的可管理性。
交換機的介面模式
交換機的埠有三種模式:Access、Trunk、Hybrid
- Access型別的埠只能屬於一個VLAN,一般用於連線主機
- Trunk型別的埠可以允許多個VLAN通過,可以接收和傳送多個VLAN的報文,一般用於和交換機或路由器之間連線的埠
- Hybrid型別的埠可以允許多個VLAN通過,可以接收和傳送多個VLAN的報文,可以用於交換機之間連線,也可以用於連線使用者的計算機
注:Hybrid埠和Trunk埠在接收資料時,處理方法是一樣的,唯一不同之處在於傳送資料時:Hybrid埠可以允許多個VLAN的報文傳送時不打標籤,而Trunk埠只允許預設VLAN的報文傳送時不打標籤。
從access口進入的資料幀會加入VLAN tag資訊,從access口出去的資料幀會去除VLAN tag
trunk介面的預設VLAN
- Access埠只屬於1個VLAN,所以它的預設VLAN就是它所在的VLAN,不用設定
- Hybrid埠和Trunk埠屬於多個VLAN,所以需要設定預設VLAN ID。預設情況下,Hybrid埠和Trunk埠的預設VLAN為VLAN 1
- 當埠接收到不帶VLAN Tag的報文後,則將報文轉發到屬於預設VLAN的埠。當埠傳送帶有VLAN Tag的報文時,如果該報文的VLAN ID與埠預設的VLAN ID相同,則系統將去掉報文的VLAN Tag,然後再發送該報文。
注:對於華為交換機預設VLAN被稱為“Pvid Vlan”,對於思科交換機預設VLAN被稱為“Native Vlan"。所有介面的預設VLAN一定要相等
Tag和Pvid
注:trunk預設放行本地已經建立的VLAN,所有trunk介面的pvid必須都相等
PC1和PC4通訊(當trunk介面的pvid != 10)
pc1傳送訊息從g0/0/1口進入LSW1,進入LSW1後,交換機給資料包中加入tag(包含VLAN資訊)。然後從g0/0/2口發給LSW2的g0/0/2口,再從LSW2的g0/0/3口發給LSW3的g0/0/3口,進入LSW3中。這之間資料包一直含有tag資訊。然後LSW3將資料包的tag資訊剝除,從g0/0/1口發出到達PC4
PC1和PC4通訊(當trunk介面的pvid=10)
pc1傳送訊息從g0/0/1口進入LSW1,進入LSW1後,交換機給資料包中加入tag(包含VLAN資訊)。然後從g0/0/2口發出,因為pvid=10,所以把tag資訊剝除,到達LSW2的g0/0/2口進入LSW2中,因為pvid=10,又加入了tag資訊,從LSW2的g0/0/3口發出又把tag資訊剝除了,進入LSW3的g0/0/3口,又加入了tag資訊。然後再剝除資訊後從LSW3的g0/0/1口發出給PC4(在交換機內一直是有tag資訊的,線上路上一直是沒tag資訊的)
埠隔離和埠安全
埠隔離
埠隔離可以實現同一個VLAN內的埠之間的隔離,可以設定同一個VLAN內的不同埠同處於一個group,那麼同一個組內的埠都不可以通訊。
在華為模擬器中,埠隔離有兩個模式: all 和 l2
埠隔離的設定
進入該埠下: [Huawei-GigabitEthernet0/0/1] port-isolate enable group 2
如圖,PC1、PC2、PC3都處於VLAN10中,PC1、PC2在group2中、PC3在group1中。那麼PC1不能和PC2通訊,PC3可以和PC1、PC2通訊
埠安全
埠安全是允許該埠最大的max地址數量,超過該數量後,實施保護策略
埠安全的三種措施: protect 、restrict 、shutdown
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown
如圖,給交換機的G0/0/1口設定埠安全,設定最多隻能儲存兩個MAC地址,當PC3插入hub與其他主機通訊時,交換機的G0/0/1埠會被關閉
華為模擬器中的配置
建立多個VLAN :vlan batch 10 20
設定埠型別:port link-type access/trunk/hybrid
放行所有VLAN:port trunk allow-pass vlan all
設定交換機trunk介面的pvid:port trunk pvid vlan 10
給g0/0/0建立子介面: interface GigabitEthernet 0/0/0.10
讓子介面識別vlan10的資料幀和對資料幀加tag:[Huawei-GigabitEthernet0/0/0.10] dot1q termination vid 10
讓子介面支援arp廣播:[Huawei-GigabitEthernet0/0/0.10] arp broadcast enable三層交換機
三層交換機是二層交換+三層路由,相當於是在二層交換機基礎上,增加了路由引擎。
三種轉發技術:
- 程序交換
- 快速交換,一次路由,多次交換,思想是,某一個流量的第一個報文,需要通過路由引擎進行處理,處理之後 ,轉發決定會被快取在ASIC硬體晶片中,後續流量直接通過ASIC晶片進行快速轉發。如果識別同一條資料流(標識資料流的五元組:源目IP、源目埠、協議號)
- CEF轉發 硬體晶片會自動產生轉發表(無關乎流量),所有流量的處理都通過硬體晶片來完成,是最快的轉發技術。
交換機的所有介面為二層介面,在配置閘道器地址時,不能直接在物理介面下配置。那麼我們可以針對不同的vlan,配置虛擬介面,比如,針對vlan10,配置虛擬介面,interface vlan 10 .
但是要注意到三層交換機並不能完全取代路由器,因為它主要是為了實現處於兩個不同子網的Vlan進行通訊,而不是用來作資料傳輸的複雜路徑選擇
分別進入vlan10和vlan20,配閘道器地址即可
[LSW1] int vlan 10
[LSW1-Vlanif10] ip add 192.168.1.254 24
[LSW1] int vlan 20
[LSW1-Vlanif10] ip add 192.168.2.254 24
路由器
路由器(Router) 是連線因特網中各區域網、廣域網的裝置,它會根據通道的情況自動選擇和設定路由,以最佳路徑,按前後順序傳送訊號。一般路由器有兩個部分組成,WAN和LAN,WAN是用來撥號的,是讓路由自身能上網的一個部分,LAN是用來區域網內交換資料的,外接的網線插在WAN埠,我們電腦通過網線連線LAN埠,無線路由器的無線部分一般屬於LAN,所以一般叫WLAN。路由器內建DHCP伺服器,可以為使用路由的電腦自動分配IP,所以他們直接插上就能上網
無線路由器
WLAN系統一般由 AC(接入控制器) 和 AP(Access Point無線接入點)組成。
- AP:為AccessPoint簡稱,一般翻譯為“無線訪問節點”,它是用於無線網路的無線交換機,也是無線網路的核心。無線AP是移動計算機使用者進入有線網路的接入點,主要用於寬頻家庭、大樓內部以及園區內部,典型距離覆蓋幾十米至上百米,目前主要技術為802.11系列。大多數無線AP還帶有接入點客戶端模式(APclient),可以和其它AP進行無線連線,延展網路的覆蓋範圍。
- AC:它是指無線接入控制伺服器(AC),接入控制器(AC)無線區域網接入控制裝置,負責把來自不同AP的資料進行匯聚並接入Internet,同時完成AP裝置的配置管理、無線使用者的認證、管理及寬頻訪問、安全等控制功能
