大家好,欢迎来到IT知识分享网。
目录
三合一
概念
网关和生成树的根网桥都在汇聚层
网关作为了一个广播域的中心出口;生成树的根网桥也是一棵树的中心,也是流量的集合点;
若将两者分配不同的设备将导致网络通讯资源浪费,故强烈建议两者在同一台汇聚层设备上
举个例子
看下图若VLAN2要去其他网段,需要路由就需要经过上面两个设备(原因VLAN2假设在下图中的左边是根网桥右边网关,然后去往其他网段就需要经过生成树根网桥,然后再经过网关)
所以建议网关、生成树的根网桥都在同一设备上
以太网中继
注:这个通道分为三层通道和二层通道
三层通道再核心层使用
二层通道再汇聚层使用
红圈圈住的是三层通道,篮圈圈住的就是二层通道
来解释一下如下图中两个三层交换机之间的蓝色通道,这个蓝色通道是可以当作两个三层交换机之间的备份,若是把这个搞成三层通道那样就和下面的不搭了,就不是下面的备份了
概念
若使用基于vlan或基于分组的STP协议来工作三层架构中,将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高,可以通过 以太网通道 channel (cisco ) 以太网中继Eth-Trunk(华为) 技术来解决
通道技术将多个接口逻辑的整合为一个接口,实现带宽叠加的作用
(一般工程中是将16根线逻辑成一个)
举个例子
在下图中互动比较多的VLAN可以划分在同一网段,然后若上面两台设备左边5个VLAN和右边5个VLAN活动频繁就需要,把中间的链路带宽增加,要把中间链路带宽增加就可以在上面的的两台设备之间添加一条链路,但是这样会出现环路,这时候就会引出下面的知识点以太网中继,以太网中继可以逻辑的将两个设备之间的两条线看成一条,但是带宽还是两条线的带宽,同时接口也逻辑上的看成一个
二层接口配置(二层通道不支持负载均衡)
通道的对端必须为同一台设备;
通道的所有物理接口应该具有相同的速率、双工模式;相同的类型,相同的vlan允许列表;
若只配置一台设备,那么只有配置的那台设备上是一个逻辑接口,但是另一台没有配置的设备,还是两个接口,然后这个样子是会出现环但是,不会出现一个无解的环
[sw1]interface Eth-Trunk 0 创建通道接口
[sw1-Eth-Trunk0]q
[sw1]interface GigabitEthernet 0/0/1 将物理接口加入到通道内
[sw1-GigabitEthernet0/0/1]eth-trunk 0
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 0
[sw1]display interface b 查看所有接口
三层通道配置
三层通道:成为通道的所有物理链路必须先为三层接口;其意义在于将多个需要配置ip地址的接口逻辑为一个接口,配置一个ip地址即可
[sw1]interface Eth-Trunk 0
[sw1-Eth-Trunk0]undo portswitch 切换为3层接口
[sw1-Eth-Trunk0]ip add 192.168.1.1 255.255.255.0 配置ip地址
[sw1]interface GigabitEthernet 0/0/1 将物理接口加入到通道内
[sw1-GigabitEthernet0/0/1]undo portswitch
[sw1-GigabitEthernet0/0/1]eth-trunk 0
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]undo portswitch
[sw1-GigabitEthernet0/0/2]eth-trunk 0
SVI
交换虚拟接口
SVI出现的原因
思考一下,你要管理不同的设备,然后由于设备的地点,保密性不同,配置的地点要求也不同。然后在接入层的设备,不同的接入层设备在不同的房间,那是配置环境可能多种多样,可能比较嘈杂,也可能配置的设备在的位置比较不好比如在天花板上,这样你电脑实体连接是不是不是很方便,所以建议用远程管理,但是重要的问题来了,你用远程,但是在接入层一般用的设备都是二层交换机啊,你没有IP就没有办法配置,这样就引出了SVI这个技术
管理VLAN
二层交换机物理接口正常无法配置ip地址;故存在一个SVI(交换虚拟接口)接口;
该接口可以配置ip地址,出厂存在MAC地址;用于远程登录该设备;该接口默认在vlan1 中,故vlan1就被称为默认的管理vlan;
(二层交换机仅存在一个svi,默认在vlan1中,转移到其他vlan时,之前的vlanif接口将自动被关闭
三层交换机支持多个SVI接口,所有的svi可以共存)
下图Vlanif就是管理接口
给Vlanif配置IP
(注:想要让Vlanif这个接口双up,首先需要创建VLAN,然后还需要在对应的VLAN中需要有接口,或者有允许该VLAN通过的trunk或者混杂模式)
[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 192.168.2.1 24
(在二层交换机中)修改Vlanif,默认Vlanif是VLAN1下,将器修改到VLAN2
直接配置一个Vlanif2就成Vlanif2
[Huawei]interface Vlanif 2
[Huawei-Vlanif2]ip address 192.168.2.1 24
来举举例子来理解这个SVI
其实可以把这个SVI接口配置IP后相像成一个连接在这个交换机上的电脑
看下图Vlanif1的接口状态是down,Vlanif2的接口状态时up
再看下面这一张图交换机1下面的电脑默认再VLAN1中如何和Vlanif2中的IP通讯(是在不同网段),这个时候可以借助路由器
下图就是添加了路由器的图
配置时首先在交换机1上的g0/0/4接口配置trunk 允许所有VLAN通过,然后在路由上配置虚拟子接口,管理VLAN2的接口,然后VLAN1的接口用物理接口来管理就可以了
然后正常配置PC1,但是这个时候去pingVLAN的虚拟接口时你会发现不通(原因你把VLAN2虚拟接口要看成一个电脑,然后你给PC1配置了网关,那你是不是要配置VLAN2的虚拟接口网关)
(注:若其他网段设备需要访问svi,那么交换机必须定义网关地址,或缺省路由,否则无法回复)
三层交换机
三层交换机用了交换机的硬件,但是用了三层路由器的系统,所以在模拟器中有关与三层交换机的现像有些就配置不出来(用硬件设备模拟软件设备是会出现问题的)。
普通的二层交换机具有三层路由器设备的功能;标准的3层交换机不具有nat功能;只能作为汇聚层设备,无法成为核心层连接互联网的设备;
(注:默认情况下,cisco和华为的三层交换机所有物理接口为二层接口)
(注:可以将三层交换机的接口修改为三层功能)
现在来用各种例子理解一下这个三层交换机
首先来个配置
将三层交换机的二层物理端口配置成三层接口
[sw1]interface GigabitEthernet 0/0/10
[sw1-GigabitEthernet0/0/10]undo portswitch(你不再是交换机的端口)
[sw1-GigabitEthernet0/0/10]ip address 192.168.1.1 24
例子1
首先最上面的sw1是三层交换机,且接口已经配置成三层接口(注配置成三层接口就相当于一个路由器那样每个接口在不同网段),下面的Swich0也就是与PC0直接相连的交换机的与PC0直接相连的接口开启SVI接口属于VLAN1,然后PC0的网段是1.0网关也搞了,PC1网段是2.0网关也搞了,若是你在思科的设备上,现在你PC0去pingPC1ping不通(原因是思科默认3层路由功能未开启)华为是默认开启的,华为PC0去pingPC1ping可以ping通。
Switch(config)#ip routing 思科开启三层路由功能命令
例子2
看下图
首先PC0配置1.0网段,PC2配置2.0网段,他们上面交换机对应的接口都配置成三层交换机接口。然后Swich2配置SVI接口配置地址为3.2 PC2的地址配置3.0网段配置成3.1,然后对于3.0这个网段的上面的sw1的接口配置成SVI配置地址3.254,这个时候PC2可以拿上面对应的SVI当作网关,然后此时PC2可以ping通PC0和PC2。
由上面的现象可以知道可以使用SVI当作路由接口来使用,然后SVI接口又可以配置很多
再来看下面的例子接着上面的图又多了右边一条链路,此时把新多出来的链路(包括上面三层交换机的一段)都划分到VLAN2,然后给三层交换机的那个接口配置SVI,下面的那个2层交换机的SVI可配置也可以不配置,若配置的话,它再以三层交换机的相应接口IP为网关,那样别人也可以PING通它。然后这条链路整体配置4.0的网段。然后这个时候根据这个来看用这个SVI来做网关,解决了路由器在不同VLAN之间通讯,只可以使用子接口的弊端,带宽压力减小
例子3
还是上面的图又新扩展了一条链路 这个时候将新扩展的链路的三层交换机的接口划分到VLAN2(接口类型是access,过去式没有标签的),然后下面的Swich4不配置了,Swich4接口默认在VLAN1,然后假设上面的三层交换机有DHCP功能,此时PC4通过DHCP可以获取VLAN2的IP(为啥属于VLAN2原因式三层交换机和二层交换机之间的链路都是access模式没有标签是可以相同的)(实际工程中可以这样做比较省事)
例子4
看下图又多了一条新链路,然后将PC5、PC6的网关分别指向VLAN1和VLAN2
这时就要在三层和二层交换机之间的链路类型修改为trunk ,这时PC5可以ping通PC6,这样是去找相应的网管去通讯
例子5
看下图是在上面的图的基础上又新添加了一条链路,然后这里是两个三层交换机相连,新添加的三层交换机上还连接了一个二层交换机下面两个电脑然后再新添加的三层交换机上配置两个SVI一个VLAN1一个VLLAN2 IP地址分别是3.253和4.253,然后将三层交换机之间的两条链路用以太网中继技术绑定再一起(注:现在绑定过后默认的链路属于VLAN1),由于中间绑定完的链路属于VLAN1,那么此时属于VLAN1的SVI可以通,但是属于VLAN2的SVI不可以通,此时就需要将中间绑定完的的链路调一下调成trunk,然后PC7属于VLAN1,PC8属于VLAN2,这时相连的二层交换机Swich6就需要将自身和三层交换机相连的接口调成trunk。注意此刻PC7和PC8ping1.0ping不通
再来谈点三层架构
首先下面有个VLAN1和VLAN2,然后左边的VLAN1是网关和根网桥,右边是VLAN2的网关和根网桥,这个左右双方都需要做SVI1和SVI2配置完IP后可用来做备份,当左边的三层交换机断掉了,可以用右边的,来当作网关这就引出了下面要学的东西网关冗余
网关冗余
上面的图若用DHCO来获取IP地址的话,DHCP有个租期,你要是原本的网关断掉的话,需要租期过了才会重新获取IP
解决方法
HSRP
思科解决方法HSRP,首先告诉你一个假的IP来当作网关比如上面的图,对于VLAN1下面的设备,然后两个交换机的SVI1配置的IP分别是1.1,和1.2,这时思科的方法就会告诉VLAN1这个设备上的假的IP比如说1.254之类的。(原因其实究其本质这个东西需要的是网关的MAC,其实IP地址不重要)。再来个通俗的说法,现在就来了假设一个设备网关的IP不停的修改你如何让他上网,首先对应的接口不变 ,然后给一个假的IP,然后手写一张ARP-MAC表,告诉要上网的设备你的假网关对应的MAC就是那个相应的接口MAC,这样一来每次上网就不发ARP,反而是直接单播找那个接口。
正式来说一下思科的HSRP协议,HSRP协议首先有HELLO包,然后HELLO包可以建邻,也可以选举选的是当网管的接口的主和备份,然后选出来以后给设备一个虚假的网关,然后给这个虚假的网关再来一个虚假的MAC地址,然后谁是主设备的时候就是双MAC,一个自己的MAC,一个虚拟的MAC,然后此时要通询的设备要上网发送ARP请求,然后目标IP就是虚假的IP,然后发送过后,主设备应答,要上网的设备就知道虚假IP的地址和其对应的虚假MAC在主设备了。一旦主设备坏了,HELLO包没了,右边的设备就知道左边的设备坏了,然后虚拟的MAC就换到右边的设备了,然后右边的设备发一个包下面的二层交换机就知道了虚假MAC连接的二层交换机的接口换了,换成和右边交换机相连的接口,但是此时对于电脑来说是不知道到电脑一直知道的都是虚假的网关。
VRRP
和HSRP的区别
1、多台设备(其实也没啥必要因为有堆叠可以将多台交换机堆叠成两台)
2、仅master发送hello
3、可以使用物理接口的ip地址来为网关地址 (当你确定用真IP来当作网关IP时,MAC一定要是假的且这个优先级一定时255,还是建议不要用真实接口IP来作为虚拟IP)
4、抢占默认开启
5、hold time 3s
拟路由冗余协议–公有协议,原理同HSRP一致
原理
VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup
正常产生一个虚拟IP(可以为真实接口ip)和一个虚拟MAC
默认每1s来检测一次master是否活动 224.0.0.18 TTL=1 hold time 3.6s(这个超时时间是(3*周期时间+(256-优先级))/256,就靠这个算法来整,所以优先级高就先选)
选举规则
开始都是backup状态,然后比较各个选项。
先优先级,默认100,大优;再接口ip地址大优;
特点:切换速度快;可以使网关的IP和MAC地址不用变化;网关的切换对主机是透明的;
可以实施上行链路追踪
配置
配置解析
vrrp vrid创建一个vrrp组
virtual-ip 虚拟IP地址
(注:由于三层架构,配置负载分担很鸡肋,上面配置负载分担的图不是三层架构,当你使用路由器当网关可以使用负载分担的配置方式)
上行链路追踪
vrrp可以开启和关闭抢占技术,默认开展抢占技术,但是这个抢占只针对优先级
在网关冗余技术中,ICMP重定向是失效的;故当上行链路DOWN时,网关将不会切换;
可以定义上行链路追踪—–该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值; 若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值—-所有上行链路全down时,才让备份设备抢占;下行链路大部分down时,可以让备份设备抢占
假设下图中上面画X的链路断了这个时候,对于下面的电脑来说选左边的链路已经不好了,这个时候就需要来一手上行链路追踪,或者说那个画叉的链路的下面的链路出现了问题,你上去了再走左边的链路是不是不行,因为下面不通了。所以这个时候配置上行链路追踪,这样切换左右两边路由的时候,上行链路和下行链路是一起切换的
接口出现故障,接口的状态是如下图所示的过渡状态
配置
名词注解
CAM
交换机转发数据依赖本地的MAC地址表;其实MAC地址表用于管理员查看;
交换机真正识别CAM表; MAC表=CAM表
MAC和CAM区别
CAM表是将MAC地址表中的MAC地址+接口编号+VLANid进行哈希运算,将运算后的值存储在CAM表中进行查找—以二进制存在
哈希算法
哈希运算(音译)真实散列函数算法(摘要算法)—MD-1-5 SHA
(加密
要是进行加密 正向运算
解密 反向运算
数据变大)
哈希算法的特点(不是加密)
不等长的输入,等长的输出
雪崩效应,源数据的一点变化将导致计算后数据的巨大变化 (用来数据校验)
不能还原
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/141196.html
