三层交换

Posted tmjblog

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了三层交换相关的知识,希望对你有一定的参考价值。

早期的网络中一般使用二层交换来搭建局域网,不同局域网之间用路由器进行通信,但随着网络业务的快速发展,局域网间的访问需求越来越大,使用路由器成本过高,而且转发性能低下,接口数量少等特点,于是三层交换机应运而生。

三层交换机既有二层交换机的功能,并且硬件上支持三层转发。

14.1 ARP协议

将IP地址解析为MAC地址的协议。

分为四种:

  • 动态ARP

    动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,适用于拓扑结构复杂、通信实时性要求高的网络。

  • 静态ARP

    手工建立的IP地址和MAC地址之间固定的映射关系,不会老化,可以覆盖动态ARP表项

  • 免费ARP

    设备使用自己的IP地址作为目的IP地址发送ARP请求,检查是否有IP冲突。

  • Proxy ARP0

    如果ARP请求跨网段,网关将回复自己的MAC地址。

14.2 三层交换原理

技术图片

以PC A ping PC B为例:

  1. A发送ARP请求发现目的不在本网段,发送ARP请求到网关
  2. 网关接收后,记录MAC地址和ARP表项,并且向PC A回复ARP应答
  3. A收到应答后封装ICMP报文,发到网关
  4. 网关向指定VLAN发送ARP请求
  5. B接到后向网关回复ARP应答
  6. 网关收到后记录MAC表项,ARP表项和三层转发表项,并且将A的ICMP请求发给B
  7. B收到后直接回复ICMP应答给A

14.3 VLANIF(SVI)

是三层逻辑接口,配置IP地址后可以实现VLAN间互通和部署三层业务。

14.4 Eth-Trunk

简称链路聚合,思科中又称链路捆绑,就是将多各物理接口捆绑为一个逻辑接口。好处是增加了带宽,提高了可靠性,还可以进行负载分担。

分为两种:

  • 手工模式

    手工配置,无法选择活动链路和备份链路的具体数目。

  • LACP模式

    又称为M:N模式,先配置系统优先级选出主动端,再根据接口优先级(值越小优先级越高,默认32768)选择M和N两种链路,优先级较高的接口会被选为M,即活动链路,优先级较低的被选为N,即备份链路。当活动链路出现故障时,备份链路经过抢占延时后顶上。

14.5 园区网架构

技术图片

14.6 MUX VLAN

通过MUX VLAN提供的二层流量隔离机制,实现企业内部员工之间或和企业用户之间的隔离

MUX VLAN分为:

  • Principal VLAN(主VLAN)

    能与MUX VLAN内的所有VLAN进行通信。

  • Subordinate VLAN(从VLAN)

    • Separate VLAN(隔离型从VLAN)

      只能和主VLAN通信,与其它类型的VLAN完全隔离,内部也完全隔离

    • Group VLAN(互通型从VLAN)

      可以和主VLAN通信,与其它从VLAN隔离,内部不隔离

14.7 端口隔离

同一VLAN的用户需要进行隔离,划分VLAN太浪费资源,就可以采用此功能。只需将端口加入到同一隔离组中,就可以实现互相隔离。

隔离模式分为两种:

  • 二层隔离三层互通

    可以隔离同一VLAN不同接口的广播报文,但用户还可以进行三层通信

  • 二层三层都隔离

    同一VLAN不同接口下的用户彻底不能通信。

14.8 端口安全

为了阻止非法用户通过本接口和交换机通信,增强设备的安全性,端口安全可以将接口学到的动态MAC地址转换为安全MAC地址。

14.8.1 安全地址

安全地址可分为三种:

  • 安全动态MAC

    使能端口安全未使能Sticky MAC时转换到的MAC地址,特点是

    • 设备重启后表项会丢失

    • 缺省情况下不会老化,除非配置老化时间,老化时间分为两种:

      • 绝对老化时间

        以时间为准,如果设置为5分钟,每隔一分钟算一次存在时间,大于5分钟老化

      • 相对老化时间

        以流量为准,如果设置为5分钟,每隔一分钟查一次是否有该MAC流量,如果没有则5分钟后老化

  • 安全静态MAC

    使能端口安全时候手工配置的静态MAC地址,不会被老化,手动保存后不会丢失

  • Sticky MAC

    使能端口安全并使能Sticky MAC功能后转换到的MAC地址,不会被老化,手动保存配置后重启设备不会丢失。

14.8.2 限制动作

动作 说明
restrict 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
protect 只丢弃源MAC地址不存在的报文,不上报告警。
shutdown 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延时时间后能够自动恢复。

以上是关于三层交换的主要内容,如果未能解决你的问题,请参考以下文章

三层交换机的“三层”是什么意思?

华为三层交换机VLAN间路由怎么设置

三层交换机配置步骤

如何配置三层交换机的详细方法

思科三层交换机配置实例及命令

华为三层交换机配置命令