1.1 交换网络介绍
常见的以太网设备包括Hub、交换机等。交换机工作在数据链路层,它有效地隔离了以太网中的冲突域,极大地提升了以太网性能。
随着企业网络的发展,越来越多的用户需要接入到网络,交换机提供了大量的接入端口能够很好地满足这种需求,同时,交换机也彻底解决了困扰早期以太网的冲突问题,极大地提升了以太网的性能,同时也提高了以太网的安全性。
交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
MAC地址漂移
- 可以基于VLAN进行检测
- 可以基于全局进行检测
1.2 交换机的转发行为
交换机中有一个MAC地址表,里面存放了MAC地址与交换机端口的映射关系。MAC地址表也称为CAM表。
如图所示:交换机对帧的转发操作行为一共有三种:泛洪(Flooding)、转发(Forwarding)、丢弃(Discarding)
- 泛洪:交换机把从某一端口进来的帧通过所有其它的端口转发出去(除这个帧进入到交换机的那个端口)
- 转发:交换机把从某一端口进来的帧通过另一个端口转发出去(另一个端口不能是帧进入交换机的那个端口)
- 丢弃:交换机把从某一端口进来的帧直接丢弃
交换机的基本工作原理可以概括地描述如下:
- 如果进入交换机的是一个单播帧,则交换机会去MAC地址表中查找这个帧的目的MAC地址。
- 如果查不到这个MAC地址,则交换机执行泛洪操作。
- 如果查到了这个MAC地址,则比较这个MAC地址在MAC地址表中对应的端口是不是这个帧进入交换机的那个端口。如果不是,则交换机执行转发操作。如果是,则交换机执行丢弃操作。
- 如果进入交换机的是一个广播帧,则交换机不会去查MAC地址表,而是直接执行泛洪操作。
另外,交换机还具有学习能力。当一个帧进入交换机后,交换机会检查这个帧的源MAC地址,并将该源MAC地址与这个帧进入交换机的那个端口进行映射,然后将这个映射关系存放进MAC地址表。
1.2.1 丢弃的情况
- 当一个包从接口收到又要从该接口发出时会产生丢弃
PC1访问PC2
SW1的接口收包与发包情况:发现接口处收到了单播帧,但是出接口并没有任何数据,说明产生了丢包
SW2的接口有正常的数据包转发
1.3 交换机初始状态
初始状态下,交换机并不知道所连接主机的MAC地址,所以MAC地址表为空。本例中,SWA为初始状态,在收到主机A发送的数据帧之前,MAC地址表中没有任何表项。
1.4 MAC地址表
1.4.1 MAC地址表简介
主机A发送数据给主机C,一般会首先发送ARP请求来获取主机C的MAC地址,此ARP请求帧中的MAC地址是广播地址,源MAC地址是自己的MAC地址。SWA收到该帧后,会将源MAC地址和接收端口的映射关系添加到MAC地址表中。缺省情况下,交换机学习到的MAC地址表项的老化时间为300秒。如果在老化时间内再次收到主机A发送的数据帧,SWA中保存的主机A的MAC地址和G0/0/1的映射的老化时间会被刷新。此后,如果交换机收到目标MAC地址为00-01-02-03-04-AA的数据帧时,都将通过G0/0/1端口转发。
1.4.2 MAC地址表的组成
- 动态表项
- 由接口通过报文中的源MAC地址学习获得,表项可老化,默认时间300秒。
- 在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
- 静态表项
- 由用户手工配置,并下发到各接口板,表项不可老化。
- 在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。
- 黑洞表项
- 由用户手工配置,并下发到各接口板,表项不可老化。
- 配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
配置静态MAC表项
[Huawei]mac-address static 0011-2233-4455 GigabitEthernet 0/0/2 vlan 1
配置黑洞MAC表项
[Huawei]mac-address blackhole 00aa-bbcc-ddee
配置动态MAC老化时间
[Huawei]mac-address aging-time 400
查看MAC地址表项:
[Huawei]display mac-address
1.4.3 收到不同MAC帧的处理
MAC地址有3类:
- 单播MAC帧
- 组播MAC帧
- 广播MAC帧
- 收到目的MAC为单播帧时,交换机首先查看MAC地址表中是否存在该MAC对应的表项,如果没有则是未知单播帧,则执行泛洪处理。
- 收到目的MAC为组播帧时,进行泛洪处理(当配置了IGMP Snooping后不进行泛洪)。
- 收到目的MAC为广播帧时,进行泛洪处理(目的MAC全1)。
当第8bit是单数时是组播MAC,是双数时是单播MAC
01-00-00-02-03-04 —— 第一组为00000001(第8位为1时是组播地址,而后续前面bit置1加上末尾这个1使得无论怎样都会是奇数,所以只要前第一个字节是奇数则可以判断该MAC为组播MAC地址,而偶数的则为单播地址,因为没有末尾那个1,前面的比特都是偶数,所以怎么加都不会是偶数。)
1.4.4 以太网MAC地址
MAC地址总共为48bit,前24bit为各个厂商的唯一标识(由IEEE分配),后24bit为每个厂商为此网卡提供的唯一的身份标识。
例如:E8-4E-56-19-01-72
1.4.5 端口安全
- 安全动态MAC地址
- 会被老化
- 重启后会丢失
- 只能动态学习到
- Sticky MAC地址
- 不会被老化
- 重启后不会丢失
- 可以手工配置也可以动态学习到
- 端口安全执行动作有三种
- restrict:限制功能,丢弃报 文,会发送日志信息。
- protect:保护功能,丢弃报文,不上报日志信息。
- error-down:关闭功能,使端口处于关闭状态,并且会上报日志信息。
1.5 交换机工作机制
- PC1访问PC2,首先PC1自己与目的IP进行与运算,发现在同一网段,则直接发送二层帧,但是发现自己的ARP表中没有PC2的MAC,所以需要进行ARP来获取PC2的MAC地址,用来封装二层数据帧。
- SW1收到广播ARP帧时记录PC1的源MAC,将源MAC、接口、VLAN绑定为一个MAC地址表项。
- SW1收到广播帧进行一个泛洪操作。
- PC2收到广播的ARP包,解封装发现找的是自己,则进行ARP应答。
- SW1收到PC2的应答报文,记录从G0/0/2接口收到的PC2的源MAC。
- SW1发现目的MAC是PC1的MAC,则直接进行转发操作,将数据帧发送到G0/0/1接口。
- PC1发送后续的ICMP包,SW1收到后根据目的MAC直接进行转发操作。
- 接口收到组播/广播、未知单播帧怎么处理?
- 首先针对数据帧源MAC进行一个学习/刷新。
- 组播/广播帧进行泛洪处理。
- 已知单播帧根据MAC地址表进行转发。
- 未知单播帧进行泛洪处理。
1.6 以太网帧结构
- 目的MAC地址的第一个字节的最后一位,如果是0的话说明这是一个单播地址
- 如果这一位为1,其它位不同,则表明这是一个组播地址
- 如果MAC全为1,这说明这是一个广播地址
二层数据帧封装
- 数据帧封装分为两种帧格式封装,一种为Ethernet II定义格式,一种为IEEE802.3定义格式
注:如何区分数据包使用哪种格式
- 当数据包的长度大于或等于1536Byte时为Ethernet II协议封装
- 当数据包的长度小于或等于1500Byte时为IEEE802.3协议封装
1.5.1 Ethernet II帧格式
- 6Byte的目的MAC地址
- 6Byte的源MAC地址
- 2Byte的Type类型(0x0800为IP、0x0806为ARP、0x8847为MPLS)
- 46Byte-1500Byte的Data
- 48Byte的FCS校验
**
- 在Ethernet_II封装数据帧中:
- 数据帧最小为64Byte:
- 46Byte的数据单元+2Byte的Type+6Byte的D_MAC+6Byte的S_MAC+4Byte的FCS校验位
- 数据帧最大为1518Byte:
- 1500Byte的数据单元+2Byte的Type+6Byte的D_MAC+6Byte的S_MAC+4Byte的FCS校验位
- 数据帧最小为64Byte:
1.5.2 IEEE802.3帧格式
- 6Byte的目标MAC地址
- 6Byte的源MAC地址
- 2Byte的Length长度表示符
- 3Byte的LLC链路控制子层:
- 1Byte的D.SAP
- 1Byte的S.SAP
- 5Byte的S.NASP
- 3Byte的Org Code
- 2Byte的Type
- 38Byte—1492Byte的Data数据
- 4Byte的FCS校验位
IEEE802.3帧长度值小于等于1500
如果A主机发送的帧很小,很快完成帧的转发,而两台冲突主机相距很远,在主机A发送的帧传输到B的前一刻,B开始发送帧,这样,当A的帧到达B时,B检测到冲突,于是发送冲突信号,假如在B的冲突信号传输到A之前,A的帧已经发送完毕,那么A将检测不到冲突而误认为已经发送成功,因此必须有最小包长的限制。
1.7 基本参数配置
早期的以太网的工作模式都是10M半双工的。随着技术的发展,出现了全双工模式,接着又出现了百兆和千兆以太网。采用不同工作模式的设备无法直接相互通信,自协商技术的出现解决了不同以太网工作模式之间的兼容性问题。自协商的内容主要包括双工模式和运行效率。一旦协商通过,链路两端的设备就具有相同的工作模式
negotiation auto命令用来设置以太网端口的自协商功能。端口是否应该使能自协商模式,要考虑对接双方设备的端口是否都支持自动协商。
如果对端设备的以太网端口不支持自协商模式,则需要在本端端口上先使用undo negotiation auto命令配置为非自协商模式。之后,修改本端端口的速率和双工模式保持与对端一致,确保通信正常。
duplex命令用来设置以太网端口的双工模式。GE电口工作速率为1000Mbit/s时,只支持全双工模式,不需要与链路对端的端口共同协商双工模式。
speed命令用来设置端口的工作速率。配置端口的速率和双工模式之前需要先配置端口为非自协商模式