以太网交换机基础培训教材
端口进行了注册(a)。显然,GARP协议的属性注册和注销仅仅是对于接收到GARP BPDU的端口而言的。这样,只有单个属性源的情况下,属性注册形成的都是单向通路。双向通路只有两个相同的属性源注册后才能形成,确保了与属性相关的流量限制在了该双向链路上。减少了网络的冗余。
S1 S2
S3
图 28 GARP基本原理
需要强调的是,GARP本身不作为一个实体在Switch中存在。利用GARP机制来实现信息传递的具体应用实体称为GARP应用。目前主要的GARP应用为GVRP和GMRP,GVRP维护Switch中的VLAN动态注册信息,而GMRP维护Switch中的动态多播组注册信息。CISCO特性协议VTP(VLAN Trunk Protocol),其实现功能与GVRP类似。
5.2.3 聚合特性
聚合为交换机提供了端口捆绑的技术,允许两个交换机之间通过两个或多个端口并行连接同时传输数据以提供更高的带宽。聚合是目前许多交换机支持的一个高级特性。
采用聚合有很多优点:
Page 36 , Total 48 第36页,共48页
以太网交换机基础培训教材
?
增加网络带宽。聚合可以将多个端口捆绑成为一个逻辑连接,捆绑后的带宽是每个独立端口的带宽总和。当端口上的流量增加而成为限制网络性能的瓶颈时,采用支持该特性的交换机可以轻而易举地增加网络的带宽(例如,可以将2-4个100Mbit/s端口连接在一起组成一个200—400Mbit/s的连接)。 该特性可适用于10M、100M、1000M以太网。 ?
提高网络连接的可靠性。当主干网络以很高的速率连接时,一旦出现网络连接故障,后果是不堪设想的。高速服务器以及主干网络连接必须保证绝对的可靠。采用聚合的一个良好的设计可以对这种故障进行保护,例如,将一根电缆错误地拔下来不会导致链路中断。也就是说,组成聚合的一个端口一旦连接失败,网络数据将自动重定向到那些好的连接上。这个过程非常快,可以保证网络无间断地继续正常工作。 ?
实现网络流量的负载分担。目前大部分交换机都可以根据以太网帧的源、目的MAC进行流量在各个聚合端口上的分担,而且根据源、目的IP地址进行流量分担也已经实现。 聚合的方式主要有手工聚合和动态聚合,动态聚合需要LACP协议支撑,该协议定义在IEEE 802.3ad中。
5.2.4 Isolate-user-vlan
在通常的组网中,边缘交换机会给每个用户分配一个VLAN,然后通过Trunk链路将所有用户汇聚到上行交换机。因此,边缘交换机配置了多少个VLAN,上行交换机也必须配置多少个VLAN。但某些汇聚交换机支持的VLAN数目是有一定限制的,从而导致组网受限。所以,提出了Isolate-user-vlan来解决这个问题。
汇聚交换机VLAN7VLAN5接入交换机VLAN1VLAN2VLAN3VLAN4VLAN8VLAN6Isolate-user-vlan5Isolate-user-vlan6 图 29 Isolate-user-vlan
Page 37 , Total 48 第37页,共48页
以太网交换机基础培训教材
Isolate-user-vlan的基本原理如下:一个Isolate-user-vlan和多个Secondary VLAN对应,Isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和连接上行交换机的端口。这样,对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate-user-vlan中包含的Secondary VLAN,简化了网络配置,节省了VLAN资源(如图29所示)。
当然,通过另外一种方式也可以避免汇聚交换机VLAN数目不足的问题,那就是VLAN透传。也就是说,汇聚交换机不对报文的Tag进行处理,直接根据MAC地址进行转发,相当于该汇聚交换机不支持VLAN功能。
5.2.5 二层多播
前文也提到了多播MAC地址,多播的作用就是将数据只传递给有接收者的那些链路。在二层提出多播的原因主要是:交换机对多播报文当广播处理。因此,在实际的网络应用中,会导致所有的用户都能接收到组播报文,即使该用户未请求该业务。从而导致网络带宽的浪费和影响安全性,如图30中“不支持多播功能的二层交换机”。
图 30 不支持多播功能交换机
从原理上将,在二层实现多播可以有如下四种方案
方案1:VLAN定义多播的边界。由于VLAN可以隔离广播报文,因此当然可以隔离多播报文。但该方法的主要缺点是不灵活,会消耗很多的VLAN资源;
方案2:GMRP。GARP可以用于属性的注册,当然包括多播MAC地址。但该方法面临的主要问题是当前没有第三方客户端支持来支持该协议的使用,基本没有采用。
方案3:CGMP。该协议是Cisco的私有协议,在组网和互通方面有一定限制。
方案4:IGMP Snooping,是目前应用最广泛的二层组播协议。其基本原理是二层交换机截获主机和路由器之间传送的IGMP报文,建立多播MAC和端口的对应表,从而控制多播报文在二层交换机上的转发。如图30中支持IGMP-Snooping的交换机。
Page 38 , Total 48 第38页,共48页
以太网交换机基础培训教材
5.2.6 QinQ
QinQ即双Tag,在原来VLAN Tag的基础上再加上一层Tag。QinQ主要用于虚拟城域网(vMAN-virtual Metropolitan Area Network)中,用于实现VLAN的VPN。如下图:
图 31 QinQ实现vMAN
在城域网核心交换网络中,运行商会给每个客户分配特定的VLAN ID。因此,当某客户在DomainA的报文(一般都带有客户自己私有的VLAN Tag)发送到城域网交换机上时,城域网交换机会根据指定的配置给该报文加上又一层VLAN Tag,即此时报文有双层Tag。该报文在城域网核心交换网络内转发,转发的依据是城域网交换机加上的VLAN Tag。当报文从vMAN另一个交换机进入客户的Domain B时,城域网交换机会把在vMAN中交换所使用的Vlan Tag去掉,还原原有的数据包。这样可以保证在vMAN内, 数据包按照vMAN tag 进行交换,在Domain A ,B内按照原来的Vlan Tag进行交换。从而把vMAN和用户端隔离开来。
5.3 三层特性
5.3.1 SuperVLAN
接入交换机接入用户,用户之间用VLAN来进行隔离,汇聚交换机汇聚并实现各VLAN之间的互通,这是一种典型的城域网小区用户通过以太网实现宽带接入的方法。在这种应用中,VLAN被用来作为隔离、标识和管理用户所用,其在一定程度上实现了可运营可管理的经营方式。但目前这种组网模型中存在一个问题,那就是每个VLAN都需要占用一个独立的网段,各VLAN的网关各不相同。因此,一方面造成大量IP地址的浪费,另一方面是管理不便(在DHCP服务器情况下,不同的用户都需要告知其网关IP地址)。为解决这个问题,提出了SuperVLAN的概念,它实现了多个VLAN可
Page 39 , Total 48 第39页,共48页
以太网交换机基础培训教材
共用一个网段,用户都用相同的网关IP地址
SuperVLAN又称为VLAN聚合(VLAN Aggregation -RFC3069),是一种优化IP地址的管理技术。其基本概念是在一个物理网络内,用VLAN隔离广播域,主机的IP地址分配在一个网段内,共用一个默认网关。
VLAN聚合的基本构成为一个SuperVLAN和多个SubVLAN。SuperVLAN只建立三层接口,不包含物理端口;SubVLAN只包含物理端口,但不能建立三层接口;在SubVLAN内的主机其网关都只能设定为SuperVLAN配置的IP地址。因此,SuperVLAN内主机通信无法通过二层交换机来进行(因为VLAN隔离了二层交换),需要通过ARP Proxy技术来实现。
ARP Proxy,也称为ARP代理。VLAN隔离等因素会导致属于一个IP子网内主机无法直接通过二层交换来实现通信,源主机向子网中的目的主机发ARP request时,该IP子网的网关会用自己接口的MAC地址代替目的主机回ARP reply,这个过程称为ARP代理。也就是说,该IP子网内主机通信的报文都会交给子网网关来处理。当然,子网主机和子网外主机通信则和普通三层交换机完全一致。
5.4 Qos/ACL
关于Qos/ACL,这里只强调一下:对于交换机而言,其基本功能的实现完全依赖于ASIC支持程度。因此,交换机目前的Qos/ACL功能相比较而言远没有路由器灵活和强大。一般来说,交换机Qos支持如下功能:
? CAR(Committed Access Rate) ? 优先级标记 ? 流量统计 ? 报文重定向 ? 流镜像
? SP/WRR/WFQ队列调度方式
5.5 安全特性
5.5.1 802.1X
在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,因此网络安全性较差。从安全性和运营管理上考虑,有必要对端口加以控制,以实现用户级的接入控制。IEEE 802.1X标准就是为了解决以太网基于端口接入控制(Port-Based Access Control)的问题。
802.1X协议起源于802.11协议,后者是标准的无线局域网协议。802.1X协议起初的主要目的是为了解决无线局域网用户的接入认证问题,现已经被应用于一般的有线LAN接入。
总的来说,802.1X协议有如下特点: ?
802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略;
Page 40 , Total 48 第40页,共48页
以太网交换机基础培训教材 - 图文
