1、SB-002 SB-002 以太網交換機常見技術及協議以太網交換機常見技術及協議ISSUE 2.0日期：杭州華三通信技術有限公司 版權所有，未經授權不得使用與傳播n 了解二三層以太網交換機上常見的一了解二三層以太網交換機上常見的一些技術及其協議，如：些技術及其協議，如：POE，端口鏡，端口鏡像，像，GARP，IGMP，QinQ，Super VLAN，P-VLAN以及以及PVE等等課程目標課程目標學習完本課程，您應該能夠：學習完本課程，您應該能夠：3交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-

2、VLANlPVE4POE供電供電l標準，802.3af標準，2003.6正式批準，全球統一的電源接口l可靠，實現了集中式電源供電l方便，網絡終端不需外接電源，只需要一根網線l802.3af標準定義了兩種設備PSE和PDPSE Power-Sourcing Equipment 供電設備PD Powered Device 受電設備5交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE6端口流量鏡像端口流量鏡像l作用作用查看網絡中某個或某些端口流量，用于故障定位和分析l設置方法設置方法設置

3、監控端口，被鏡像端口。ASIC將被鏡像端口所收發的報文同步地拷貝一份給監控端口。l被鏡像端口可以是一個端口，也可以被鏡像端口可以是一個端口，也可以是一組端口是一組端口l監控端口具有普通業務口的功能監控端口具有普通業務口的功能被鏡像端口 監控端口7交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE8GARP協議協議lGARP（Generic Attribute Registration Protocol）是一種通用的屬性注冊協議，它為處于）是一種通用的屬性注冊協議，它為處于同一個交換

4、網內的交換成員之間提供了分發、傳播、同一個交換網內的交換成員之間提供了分發、傳播、注冊某種信息的一種手段。如注冊某種信息的一種手段。如VLAN、組播組地址等、組播組地址等9GARP基本原理基本原理S1S2S10GARP的應用的應用lGARP本身不作為一個實體在本身不作為一個實體在Switch中存在中存在l遵循遵循GARP協議的應用實體稱為協議的應用實體稱為GARP應用應用l目前主要的目前主要的GARP應用為應用為GVRP和和GMRPGVRP-維護Switch中的VLAN動態注冊信息GMRP-維護Switch中的動態組播組注冊信息11交換機相關協議及技術交換機相關協議及技術lPOElPort m

5、irrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE12為什么二層需要支持組播為什么二層需要支持組播l組播組播：只傳遞數據給有接收者的那些鏈路：只傳遞數據給有接收者的那些鏈路視頻流服務器組播管理路由器不支持組播的交換機視頻流不需接受視頻不需接受視頻需要接收視頻需要接收視頻 不需接受視頻13組播方案組播方案l方案方案1：VLAN定義組播的邊界定義組播的邊界方法不靈活，對VLAN數目要求高l方案方案2：GMRP目前沒有第三方客戶端支持l方案方案3：IGMP Snooping 14IGMP Snooping原理原理l二層交換機截獲主機和路由器二層交換

6、機截獲主機和路由器之間傳送的之間傳送的IGMP報文，建立組報文，建立組播播MAC和端口的對應表，從而和端口的對應表，從而控制組播報文在二層交換機上控制組播報文在二層交換機上的轉發。的轉發。網絡IGMPIGMP15IGMP Snooping應用應用l二層交換機偵聽用戶發往組播路由器的二層交換機偵聽用戶發往組播路由器的IGMP數數據報文，明確端口的組播成員據報文，明確端口的組播成員IGMP視頻服務器組播管理路由器視頻數據流支持IGMP Snooping的二層交換機接收者非接收者接收者接收者 非接收者16交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP s

7、noopinglQinQlSuper VLANlP-VLANlPVE17QinQ原理原理1l 也稱為也稱為Double-Tagging，VLAN stacking，NestedVLAN，Service VLAN等等。其實就是支等等。其實就是支持雙持雙VLAN標簽轉發。標簽轉發。l IEEE 802.1ad標準定義了標準定義了S-TAG(Service VLAN Tag)，S-TAG與與C-TAG(Customer VLAN Tag)格格式相同。式相同。DMACSMAC8100VID18100VID2EtherTypeS-TAGC-TAGTPID18QinQ原理原理2S-TAGPacketS-T

8、AGPacketC-TAGDouble-tagged PacketSingle-tagged PacketProvider NetworkPacketPacketC-TAGSingle-tagged PacketUntagged PacketUntagged PacketPacketPacketC-TAGSingle-tagged PacketPush S-TAG at Access PortStrip S-TAG at Access P19QinQ原理原理3l日益緊缺的公網日益緊缺的公網VLAN ID資源問題。資源問題。l用戶可以規劃自己的私網用戶可以規劃自己的私網VLAN ID，不會，不會

9、導致和公網導致和公網VLAN ID沖突。沖突。l為小型城域網或企業網提供一種較為簡單為小型城域網或企業網提供一種較為簡單的二層的二層VPN解決方案。解決方案。20QinQ基本配置基本配置G3/1/1為用戶側端口，為用戶側端口，G3/1/2為公網端口，要求用戶為公網端口，要求用戶報文打上報文打上S-TAG在公網上傳輸在公網上傳輸配置接入端口配置接入端口H3Cinterface GigabitEthernet 3/1/1H3C-GigabitEthernet3/1/1port access vlan 100H3C-GigabitEthernet3/1/1vlan-vpn enable Some A

10、CL with VLAN tag may not take effect配置公網端口配置公網端口H3Cinterface GigabitEthernet 3/1/2H3C-GigabitEthernet3/1/2port link-type trunk H3C-GigabitEthernet3/1/2port trunk permit vlan 100報文從報文從3/1/1進入，從進入，從3/1/2出來的時候出來的時候S-TAG為為VLAN21QinQ進階配置進階配置l 部分交換機（如部分交換機（如S8500）實現了）實現了S-TAG中的中的TPID(Tag Protocol Identifi

11、er)可設置。按運行商可設置。按運行商要求，我們可以用非要求，我們可以用非0 x8100值來指定值來指定TPID值。值。l 繼續前面的配置，現在我們指定從公網端口繼續前面的配置，現在我們指定從公網端口G3/1/2出來的報文出來的報文S-TAG中的中的TPID值為值為0 x9100H3Cvlan-vpn tpid 9100H3C-GigabitEthernet3/1/2vlan-vpn uplink enable 22交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE23SuperV

12、LAN原理原理1l SuperVLAN又稱為又稱為VLAN聚合，其原理是一個聚合，其原理是一個Super VLAN包含多個包含多個Sub VLAN ，多個，多個SubVLAN共用一個子網。共用一個子網。1234SuperVLAN100192.168.100.1SubVLAN40SubVLAN30SubVLAN24SuperVLAN原理原理2l 每個每個Sub VLAN是一個廣播域，不同是一個廣播域，不同Sub VLAN之間二層相互隔離，之間二層相互隔離，Sub VLAN不能配置虛接口不能配置虛接口IP地址。多個地址。多個VLAN共享一個共享一個IP地址，從而節省了地址，從而節省了IP地址資源地

13、址資源 l 不同不同Sub VLAN間的三層互通及間的三層互通及Sub VLAN與其與其他網絡的互通，需要利用他網絡的互通，需要利用ARP代理功能。代理功能。 l SuperVLAN的目的是節省的目的是節省IP地址地址25SuperVLAN基本配置基本配置H3Cvlan 20H3C-vlan20port GigabitEthernet 3/1/2H3C-vlan20vlan 30H3C-vlan30port GigabitEthernet 3/1/3H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 3/1/4H3C-vlan40vlan 100H

14、3C-vlan100supervlanH3C-vlan100subvlan 20 30 40H3Cinterface vlan 100H3C-Vlan-interface100ip address 192.168.100.1 24H3C-vlan100display supervlan Supervlan ID : 100 Subvlan ID : 20 30 40 Subvlan in which arp proxy is disabled: 20 30 26ARP代理代理lSubVLAN的的ARP代理功能默認關閉，各代理功能默認關閉，各SubVLAN間用戶無法互通；間用戶無法互通；l用戶要

15、在用戶要在SubVLAN之間通訊，則必須打開之間通訊，則必須打開SubVLAN的的ARP代理功能；代理功能；l打開打開ARP代理將嚴重影響代理將嚴重影響ARP性能。性能。27SubVLAN用戶互通配置用戶互通配置H3Cvlan 20H3C-vlan20 arp proxy enableH3Cvlan 30H3C-vlan30 arp proxy enableH3C-vlan40display supervlan Supervlan ID : 100 ARP proxy : enabled Subvlan ID : 20 30 40 Subvlan in which arp proxy is d

16、isabled: 28交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE29PVLAN原理原理1lPVLAN是二層是二層VLAN的概念，跟三層的概念，跟三層VLAN，ARP Proxy全沒關系全沒關系1234Primary VLAN100SecondaryVLAN40SecondaryVLAN30SecondaryVLAN20上行端口上行端口接入端口接入端口30PVLAN原理原理2l 接入端口屬于接入端口屬于SVLAN(Secondary VLAN)和和PVLAN(Primary

17、VLAN),上行端口屬于上行端口屬于PVLAN和和所有的所有的SVLAN；l 從上行端口下行的報文在從上行端口下行的報文在PVLAN中轉發中轉發,接入端接入端口上行的報文在口上行的報文在SVLAN中轉發；中轉發；l PVLAN的目的是為了節省的目的是為了節省VLAN資源；資源；l 缺點：節省了缺點：節省了VLAN資源的同時浪費了硬件資源的同時浪費了硬件MAC表項的資源。表項的資源。31PVLAN原理原理31234PVLAN100SVLAN40SVLAN30SVLAN20上行報文在SVLAN中轉發，并將MAC同步到PVLAN中下行報文在PVLAN中轉發，因為事先同步了SVLAN的MAC，所以報文

18、只會單播到SVLAN的一個端口去0000-1111-2222202MACVLANPort方式方式學習學習0000-1111-22221002軟件同步0000-3333-44441001學習學習0000-3333-4444202軟件同步0000-3333-4444303軟件同步0000-3333-4444404軟件同步l 為防止上行和下行報文在為防止上行和下行報文在VLAN中廣播。上行端中廣播。上行端口學習到的口學習到的MAC在每個在每個SVLAN中同步一份，下中同步一份，下行端口學習到的行端口學習到的MAC同步一份到同步一份到PVLAN中去。中去。32PVLAN典型配置典型配置# 配置配置PV

19、LAN(isolate-user-vlan)H3Cvlan 100H3C-vlan100isolate-user-vlan enable H3C-vlan100port GigabitEthernet 3/1/1# 配置配置Secondary VLAN H3C-vlan100vlan 20H3C-vlan20port GigabitEthernet 3/1/2H3C-vlan20vlan 30 H3C-vlan30port GigabitEthernet 3/1/3H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 3/1/4# 配置配置isola

20、te-user-vlan和和Secondary VLAN間的映射關系間的映射關系 H3C-vlan40quit H3Cisolate-user-vlan 100 secondary 20 30 40 33交換機相關協議及技術交換機相關協議及技術lPOElPort mirrorlGARPlIGMP snoopinglQinQlSuper VLANlP-VLANlPVE34Private Edge VLAN原理原理1l 重定向二層數據報文到指定的上行端口重定向二層數據報文到指定的上行端口(上行端口上行端口可以是單個端口或者聚合組可以是單個端口或者聚合組)l 隔離端口之間不能互通，上行口之間可以互通

21、；隔離端口之間不能互通，上行口之間可以互通；l 隔離端口與上行端口必須在同一隔離端口與上行端口必須在同一VLAN內，同一內，同一VLAN內允許存在多個隔離組，一個隔離組只能內允許存在多個隔離組，一個隔離組只能有一個上行端口，不同隔離組的上行端口可以相有一個上行端口，不同隔離組的上行端口可以相同可以不同同可以不同35Private Edge VLAN原理原理21234group156group2group3兩個隔離組可以共用一個上行端口，但似乎沒什么意義7上行口可以為聚合端口8下行口也可以為聚合端口隔離端口隔離端口上行端口上行端口36Private Edge VLAN原理原理3l 解決了解決了PVLAN的的MAC浪費的問題浪費的問題l 同時也不會浪費本設備的同時也不會浪費本設備的VLAN資源資源l 配置比較靈活配置比較靈活l 注意：只重定向二層流，對三層流的處理與普通注意：只重定向二層流，對三層流的處理與普通端口沒有區別端口沒有區別37端口隔離典型配置端