交换机学习笔记31048.pdf

层地址学习、2 层转发和 3 层路由都是分散在各个 MAC 芯片中完成的。虽然地址学习是分散在各个芯片中完成的，但是系统中的所有 MAC 芯片会通过内部通讯协议通过交换结构互相交换地址学习信息，使得整个系统中的地址学习表是统一的。图中所示的是一个 L2/L3 层交换的 MAC 芯片，它主要包括了 L2 交换模块、L3 路由模块、流分类模块和转发引擎等几个部分：1、L2 交换模块主要进行 MAC 地址学习和 L2 层转发判断 2、L3 路由模块主要根据路由表进行 L3 层路由转发，如果是 L2 芯片则没有这个模块 3、流分类模块主要是对进入以太帧做 QOS 方面的调整或者流量限制。如果是 L2 层芯片，则可以根据源目的 MAC 地址、端口、VLAN 号、以太帧中的 COS 位进行流控，降低优先级甚至丢弃，如果是 L3 层芯片还可以根据 IP 包中的 TOS 位、IP 源目的地址、IP 地址加上 TCP/UDP的端口号，甚至根据应用层的信息进行 QOS 调整和流量控制。转发引擎主要是根据前面几个模块的结果做转发操作，输出队列的选择依据以太帧中的 COS 与优先级队列映射表或者Diffserv 表等。交换机构：总线结构、共享内存交换结构、CROSSBAR 结构 两种转发方式：直接转发、存储转发 三、VLAN 及三层交换 二层交换式网络中，整个网络是一个扁平的结构。网络全部由二层交换机构造起来，整个网络是一个大的广播域。在以太网中，所谓广播域就是指在一个网络中，广播帧（目的 MAC 地址为 ff-ff-ff-ff-ff-ff的帧）将要被转发的最大范围。在二层交换机中，交换机仅根据 MAC 地址进行帧的选路和转发，当一个完整正确的以太网帧从一个交换机端口上被接收上来以后，交换机将在自己维护的 MAC 地址表中去查找地址，根据地址类型的不同和查找结果的不同情况，交换机对帧采取不同的处理。单播帧（Unicast），目的地址在 MAC 地址表中存在：按照目的地址在地址表中的表项所指的输出端口，将帧转发到相应的端口上。（单播 MAC地址在地址表中只能指向一个输出端口）单播帧（Unicast），目的地址在 MAC 地址表中不存在：在广播域的所有端口上广播该帧 多播帧（Multicast），目的地址在 MAC 地址表中存在：按照目的地址在地址表中的表项所指的输出端口，将帧转发到相应的端口上。（多播 MAC地址在地址表中可以指向一个或一组输出端口）多播帧（Multicast），目的地址在 MAC 地址表中不存在：在广播域的所有端口上广播该帧 广播帧（Broadcast）：在广播域的所有端口上广播该帧 为了解决网络由广播导致的效率下降和安全性等问题，VLAN 的概念被引入，在支持 VLAN 功能的交换机组成的网络中，每一个 VLAN 被设计为一个独立的广播域。VLAN 之间被严格地隔离开来，任何一个帧都不能从自己所属的 VLAN 被转发到其他的 VLAN中。整个网络被划分为若干个规模更小的广播域，网络的广播被控制在相对比较小的范围内，提高了网络的带宽利用率，改善网络效率和性能。每一个人都不能随意地从网络上的一点，毫无控制地直接访问另一点的网络或监听整个网络上的帧，隔离的广播域改善了网络的安全性。对于 VLAN 概念的理解，有几点要注意：分离了广播域；2.单独的一个 VLAN 模拟了一个常规的交换以太网，因此 VLAN 将一个物理交换机分割成了一个或多个逻辑交换机；3.不同 VLAN 之间通信需要三层参与；4.当多台交换机级联时，VLAN 通过 VID 来识别，该 ID 插入到标准的以太帧中，被称作 tag；5.大多数的 tag 都不是端到端的，一般在上行路上第一个 VLAN 交换机打 tag，下行链路的最后一个 VLAN 交换机去除 tag；6.只有在一个数据帧不打 tag 就不能区分属于哪个 VLAN 时才会打上 tag，能去掉时尽早要去掉 tag；7.最终，IEEE 解决了 VLAN 的 tag 问题。VLAN 间通信 用传统的路由器进行 VLAN 之间的路由在性能上还有一定的不足：由于路由器利用通用的CPU，转发完全依靠软件进行，同时支持各种通信接口，给软件带来的负担也比较大。软件要处理包括报文接收、校验、查找路由、选项处理、报文分片，导致性能不能做到很高，要实现高的转发率就会带来高昂的成本。由此就诞生了三层交换机，利用三层交换技术来进一步改善性能。三层交换机的设计基于对 IP 路由的仔细分析，把 IP 路由中每一个报文都必须经过的过程提取出来，这个过程是个十分简化的过程：IP 路由中绝大多数报文是不包含 IP 选项的报文，因此处理报文 IP 选项的工作在多数情况下是多余的；不同的网络的报文长度都是不同的，为了适应不同的网络，IP 实现了报文分片的功能，但是在全以太网的环境中，网络的帧（报文）长度是固定的，因此报文分片的功能也是一个可以裁减的工作；三层交换机采用了和路由器的最长地址掩码匹配不同的方法，使用精确地址匹配的方式处理，有利于硬件实现快速查找；三层交换机采用了 Cache 的方法，把最近经常使用的主机路由放到了硬件的查找表中，只有在这个 Cache 中无法匹配到的项目才会通过软件去转发。这样，只有每个流的第一个报文会通过软件进行转发，其后的大量数据流则可以在硬件中得以完成。三层交换机在 IP 路由的处理上做了以上改进，实现了简化的 IP 转发流程，利用专用的芯片实现了硬件的转发，这样绝大多数的报文处理都在硬件中实现了，只有极少数报文才需要使用软件转发，整个系统的转发性能能够得以成百上千倍地增加。相同性能的设备在成本上得以大幅度下降。四、交换机的报文转发 L2 交换机中的 3 张表：1、地址转发表 MACVLAN端口选项MACA112 地址学习表是 L2 交换的转发依据。它主要记录某个 MAC 地址是从哪个端口收到的，以及这个被学习的帧属于哪个 VLAN 的信息，另外还有一个比较重要的栏是标志，在标志栏中可以设置标志，使匹配到这个条目的以太帧被送到 CPU 进行处理，或者送到 L3 路由模块进行处理。也可以设置标志表示该表项是属于静态表项，不进行老化处理。2、VLAN 表 VLAN端口11、2、3 VLAN 表主要记录哪些端口属于某个 VLAN。一个端口可以属于多个 VLAN，比如端口 1 既属于VLAN1，又属于 VLAN3，此时这个端口输出时采用的帧格式。3、端口寄存器表 端口号PVID 端口寄存器表项主要记录了该端口的缺省 VLAN。交换机的报文转发机制分两种：SVL 和 IVL。SVL：Shared vlan learning，共享式 vlan 学习。在这种方式下，MAC 地址在整张表中是唯一的，一个 MAC 地址在地址表中只能有一条记录，一个 MAC 只能被学习到一个端口上。IVL：Independent vlan learning，独立式 vlan 学习。在这种方式下，MAC 地址表在逻辑上可以被看成根据VLAN信息分成了很多张表，一个MAC地址可学习到不同VLAN对应的“地址表”上。MAC 地址在不同方式的地址表中的存在可以形象的表示为：MAC1 VALN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVLMAC1 VALN1 PORT1MAC2 VLAN1 PORT2MAC2 VLAN2 PORT3MAC3 VLAN3 PORT3 在 IVL 方式下，MAC2 可以学习在 VLAN1 的“地址表”上，也可以学习在 VLAN2 的“地址表”上。两种转发机制的转发报文的流程 而在 SVL 方式下，MAC2 只能有一条记录，只能对应某个 VLAN 和端口。对于 SVL 方式而言：交换机先根据目的 MAC 地址查 MAC 地址表，找到端口之后，然后判断这个端口所属的 VLAN 是否和报文携带的 VLAN 信息对应的 VLAN 相等，如果相等就转发，否则就丢弃。如果根据目的 MAC 没有找到对应的端口，则在报文所属的 VLAN 内进行广播。而对于 IVL 而言：交换机根据 MAC 地址和 VLAN 信息一起查 MAC 地址表，如果找到对应的端口则转发，否则在报文所属的 VLAN 内进行广播。三层交换机的数据包转发流程 三层交换机转发流程二层交换模块MAC表VLAN表三层路由模块路由表多层流分类流分类规则表多层流处理流处理属性表（接入带宽约束/优先级）策略/管理服务器以太网包以太网包广播包未知流交换网包转发广播包和无法路由的包包转发 假设两个使用 IP 协议的站点（源站点 A、目的站点 B）通过第三层交换机，通信的过程如下：-源站点 A 在开始发送时，已知目的站的 IP 地址，但尚不知道在局域网上发送所需要的 MAC地址。首先需要采用地址解析（ARP）来确定目的站的 MAC 地址。源站点把自己的 IP 地址与目的的站的 IP 地址比较。-若目的站 B 与源站 A 在同一子网内，源站 A 广播一个 ARP 请求，目的 B 站返回其 MAC 地址，A 站得到目的站点 B 的 MAC 地址后将这一地址缓存起来存放在 ARP 表中，并用此 MAC 地址封装包后转发数据。三层以太网交换机的第二层交换模块根据源站 A 发送的以太网帧中的目的MAC 地址查找 MAC 地址表确定将数据包发向目的端口。-若目的站 B 与源站 A 不在同一子网内，如源站 A 要与目的站 B 通信，源站 A 要向“缺省路径（其软件中配置的网关地址）”发出 ARP 封装包，“缺省路径”的 IP 地址实际上对应所连接第三层交换机的一个路由接口，即连接源站 A 的物理端口所属 VLAN 接口。当发源站 A 对“缺省路径”的 IP 地址广播出一个 ARP 请求时，交换机回相应路由接口（即发源站 A 的“缺省路径”）的 MAC 地址给源站。第三层交换模块在以往的通信过程中已得到目的站 B 的 MAC 地址，则直接将数据包以此 MAC 地址封装并发向目的站 B；否则则提取出输入帧的 IP 包去查路由表，根据路由表中的路由信息向目的站网段广播一个ARP 请求，目的站 B 得到此 ARP 请求后，向第三层交换模块回复其 MAC 地址，以后，当再进行站点 A 与站点 B 之间的数据包转发时，将用最终的目的站点 B 的 IP 地址为索引查找底层硬件转发表，得到出端口与对应的 MAC 地址，并用查到 MAC 地址封装包，从查到的出端口将数据转发出去；数据转发过程全部交给第二层交换处理，因此信息得到高速交换。报文到报文的交换方式与流交换方式的区别：如果每一个报文都要经历第三层处理，并且业务流转发是基于第三层地址的，这种交换方式就是报文到报文交换方式；如果只是第一个报文经过第三层处理，其他后续报文只进行第二层转发，这种交换方式就是流交换方式。在上图报文到报文的流活动中，报文进入系统中 OSI 参考模型的第一层物理接口，然后到达第二层接口进行目的 MAC 地址检查，如果查表检查的结果是不能交换则进入到第三层。在第三层，报文经过路由计算、地址解析等处理，经过三层处理后，报文头被修改并被传回第二层，二层确定合适的输出端口后，报文通过第一层传送到物理介质上。对于后续的每一个报文的转发，都要经过这样的一个过程。在流交换中，第一个报文被分析以确 定其是否表示了一个“流”或者一组具有相同源地址和目的地址的报文，如果第一个报文具有了正确的特征，则该标识流中的后续报文将拥有相同的优先权，同一流中的后续报文被交换到基于第二层的目的地址，流交换节省了检查每一个报文要花费的处理时间。现在三层交换机为了实现高速交换，都采用流交换的方式。五、关于 access、trunk、hybrid 先介绍 PVID：“PVID”是“Port VLAN ID”的缩写，是“端口缺省 VLAN ID”的意思，即一个端口缺省属于的 VLAN。PVID 的作用是：当一个数据帧进入交换机端口时，如果没有带 VLAN 标签，则该数据帧就会被打上端口的 PVID。当交换机收到一个数据帧时 1.Access 端口 （1）收到一个二层帧 （2）判断是否有 VLAN 标签：没有则转到第 3 步，有则转到第 4 步 （3）打上端口的 PVID，并进行交换转发 （4）若 VLAN 标签和 PVID 一致，转发 VLAN 帧；否则丢弃 2.trunk 端口 （1）收到一个二层帧 （2）判断是否有 VLAN 标签：没有则转到第 3 步，有则转到第 4 步 （3）打上端口的 PVID，并进行交换转发 （4）判断该 trunk 端口是否允许该 VLAN 帧进入：允许则转发，否则丢弃 （注意：trunk 口允许或不允许 VLAN 帧，是对进入的帧而言的，对出去的帧没有限制。）3.hybrid 端口 （1）收到一个二层帧 （2）判断是否有 VLAN 标签：没有则转到第 3 步，有则转到第 4 步 （3）打上端口的 PVID，并进行交换转发 （4）判断该 hybrid 端口是否允许该 VLAN 帧进入：允许则转发，否则丢弃 当交换机把数据帧转发出端口时：1.Access 端口 （1）将二层帧的 VLAN 标签剥离，直接发送出去 2.trunk 端口 （1）比较端口的 PVID 和将要发送二层帧的 VLAN 标签 （2）如果两者相等则转到第 3 步，否则转到第 4 步 （3）剥离 VLAN 标签，再发送 （4）直接发送 3.hybrid 端口 （1）判断 VLAN 在本端口的属性。查看该端口对哪些 VLAN 是 untag，哪些 VLAN 是 tag （2）如果是 untag 则转到第 3 步，如果是 tag 则转到第 4 步 （3）剥离 VLAN 标签，再发送 （4）直接发送 由上述可知，交换机内的数据都是有标签的。在入方向，不管端口配置的是何种模式，对于没有 VLAN 标签的数据帧都会打上 PVID；在出方向，不管端口配置的是何种模式，对于PVID=VID 的数据帧，都会去掉标签发送。六、MAC 地址漂移 如图所示，当 Switch1 向两个方向同时发报文时，在 Switch2 上的两个不同端口都会收到该报文，从而出现 MAC 地址漂移。当 Switch2 的两个端口出现了 MAC 地址漂移时，说明交换机的两个端口间可能出现了环路。LSW3LSW2LSW1 图：MAC-Flapping 示意图