51CTO下载高性能园区笔记.docx

51CTO下载高性能园区笔记.docx

《51CTO下载高性能园区笔记.docx》由会员分享，可在线阅读，更多相关《51CTO下载高性能园区笔记.docx（144页珍藏版）》请在冰豆网上搜索。

51CTO下载高性能园区笔记

*层级化网络模型：

接入层：

1、为用户提供网络的访问接口；2、丰富大量的接口；3、接入安全控制；4、接入速率控制、基于策略的分类、数

据包标记等；5、较少考虑冗余性。

汇聚层：

1、将接入层数据汇集起来，依据策略对数据、信息等实施控制；2、必要的冗余设计；3、复杂的策略配置。

核心层：

1、对来自汇聚层的数据进行尽可能快速的交换；2、强大的数据交换能力；3、稳定、可靠的高冗余设计；4、不配

置复杂策略。

*层级化网络模型的优点：

1、网络结构清晰；2、便于规划和维护；3、增强网络稳定性；4、增强网络可扩展性。

*模块化网络架构的益处：

1、确定网络，边界清晰，流量类型清楚；2、便于规划，增加伸缩性；3、模块方便增删，降低复杂性；4、设计的完整性。

*小型局域网：

1、网络主机数量少，但都在同一广播域内；2、甚至还存在多个主机在同一冲突域内。

*中型局域网：

虚拟局域网的应用（隔离广播域）、三层交换的应用（解决路由转发的性能瓶颈）。

*大型局域网：

多个中型或小型网的组合，具有三层结构。

核心层的结构：

1、双机主备互连；2、多机环网互连；3、多机Full-Mesh。

汇聚层的结构：

1、双上行；2、路由备份。

接入层的结构：

1、单上行；2、双上行；3、交叉互连。

*典型三级网络结构：

1、核心汇聚路由备份；2、双核心；3、汇聚、接入双上行。

*网络的单点故障：

星形拓扑和树形拓扑的单点故障可能带来全网性故障。

网状网络：

1、多冗余链路避免单点故障带来的高风险；2、STP阻塞冗余链路避免环路的形成。

以太环网：

1、多核心环形链接提供核心链路的备份；2、接入双上行避免单点故障带来的风险；3、RRPP实现高效倒换。

双归属网络：

1、双核心双上行提供冗余备份；2、SmartLink阻断冗余链路，实现链路的毫秒级切换。

三层路由网络：

1、路由协议实现最短路径转发，冗余链路提供备份选择；2、ECMP提供负载分担。

网关冗余备份：

1、边缘网关运行VRRP提供网关的主备备份；2、多备份组+MSTP提供负载分担。

IRF设备级备份：

1、IRF堆叠实现设备级的N+1冗余备份；2、分布式链路聚合实现链路负载分担。

*网络管理和维护：

1、统一网管：

拓扑发现、设备管理、Trap告警；2、日志集中管理；3、集群、堆叠应用简化管理；4、流量

镜像，针对性监控，问题定位；5、NTP服务统一时间，日志、Trap有序管理。

*MAC地址表：

[MACAddress]---[VLANID]---[Port]

*VLAN跨交换机转发的处理流程：

（主机发出的帧不带vlan标记，进入交换机被打上端口vlan标记，出去时被去掉）

*802.1Q帧格式：

（Tag一共4字节；TPID：

以太网类型（0x8100）代表802.1Q协议；Priority：

优先级，主要做QOS用；

CFI：

老式TokenRing标识位。

）

*当数据帧经过Access端口PVID值与Trunk链路端口PVID值不同时，在trunk链路上带上原来PVID值Tag标签，当相同时可以

不带Tag标签。

（PVID：

PortVlanID。

PVID可以给帧打标记、去标记，它解读VID。

）

*Hybrid链路：

（untag：

局域网中无标记的。

）

1、允许多个VLAN通过，可以接收和发送多个VLAN的数据帧：

2、Hybrid端口和Trunk端口的不同之处在于：

1.Hybrid端口允许多个VLAN的以太网帧不带标签；2.Trunk端口只允许缺省VLAN的以太网帧不带标签。

*VLAN的划分方式：

1、基于端口的VLAN（静态VLAN）；2、基于MAC地址的VLAN（动）；3、基于协议的VLAN（动）；4、基于IP

子网的VLAN（动）。

·VLAN的匹配顺序：

*VLAN动态注册的背景：

*GARP（GenericAttributeRegistrationProtocal）通用属性注册协议。

GARP提供了一种通用机制供桥接局域网设备相互之间

（如终端站和交换机等）注册或注销属性值，如VLAN标识符。

这样，属性信息在整个桥接局域网设备中传播开来，并且这些设备

形成活动拓朴结构的一个子集－“可达性”树。

GARP定义了结构、操作规则、状态机制以及变量来声明注册或注销属性值。

交换机或终端站中的GARP参与者主要由连接端口或交换机的GARP应用程序和GARP信息声明（GID）两部分构成。

具有相

同网桥应用程序的GARP参与者之间的信息传播是由GARP信息传播部分（GIP）完成的。

参与者之间通过LLC服务类型1实现

协议交换过程，其中采用的是MAC地址组和GARP应用程序定义的PDU格式。

GARP是针对IEEE802.1D（生成数协议）规范的IEEE802.1P扩展的一部分。

GARP协议主要包括：

1、GARP信息声明（GID）：

GARP生成数据部分。

2、GARP信息传播（GIP）：

GARP数据分配部分。

3、

GARP组播注册协议（GMRP）：

为参与者动态注册和注销连接相同局域网的MAC桥信息。

*802.1QNativeVlan：

为了提高转发速度，802.1Q使交换机对Vlan1的帧默认不打Tag。

*对从企业A或B出来的帧打上双层Tag，一个是企业内部的Tag，一个是划出的TunnelPortVlan的Tag（用于云中的区别）。

*GARP消息：

为了高效控制属性的声明和注册，GARP提供了五种类型的消息：

Empty、JoinIn、JoinEmpty、Leave、LeaveAll。

GVRP端口注册模式：

1、Normal模式：

1.允许该端口动态注册或注销VLAN；2.传播动态VLAN以及静态VLAN信息。

2、Fixed模式：

1.禁止该端口动态注册或注销VLAN；2.只传播静态VLAN，不传播动态VLAN信息。

3、Forbidden模式：

1.禁止该端口动态注册或注销VLAN；2.不传播除VLAN1以外的任何VLAN信息。

*GARP定时器：

1、Hold定时器；2、Join定时器；3、Leave定时器；4、LeaveAll定时器。

*Trunk端口配置命令：

·配置端口的链路类型为Trunk类型：

[Switch-Ethernet1/0/1]portlink-typetrunk

·允许指定的VLAN通过当前Trunk端口：

[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all}

·设置Trunk端口的缺省VLAN：

[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id

*Hybrid端口配置命令：

·配置端口的链路类型为Hybrid类型：

[Switch-Ethernet1/0/1]portlink-typehybrid

·允许指定的VLAN通过当前Hybrid端口：

[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}

·设置Hybrid端口的缺省VLAN：

[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id

*基于MAC地址的VLAN配置命令：

·配置MAC地址所对应的VLAN及优先级：

[Switch]mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypri]

·开启端口的MACVLAN功能：

[Switch-Ethernet1/0/1]mac-vlanenable

·设置端口VLAN的匹配优先级：

[Switch-Ethernet1/0/1]vlanprecedence{mac-vlan|ip-subnet-vlan}

基于MAC地址的VLAN配置示例：

*基于协议的VLAN配置命令：

·配置基于协议的VLAN，并指定协议模板：

[Switch-vlan10]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx{ethernetii|llc|raw|snap}|mode{ethernetiietype

etype-id|llc{dsapdsap-id[ssapssap-id]|ssapssap-id}|snapetypeetype-id}}

·配置Hybrid端口与基于协议的VLAN关联：

[Switch-Ethernet1/0/1]porthybridprotocol-vlanvlanvlan-id{protocol-index[toprotocol-end]|all}

基于协议的VLAN配置示例：

*基于IP子网的VLAN配置命令：

·配置当前VLAN与指定的IP子网关联：

[Switch-vlan10]ip-subnet-vlan[ip-subnet-index]ipip-address[mask]

·配置当前端口与基于IP子网的VLAN关联：

[Switch-Ethernet1/0/1]porthybridip-subnet-vlanvlanvlan-id

基于IP子网的VLAN配置示例：

*配置GVRP：

·开启全局GVRP功能：

[Switch]gvrp

·开启端口的GVRP功能：

[Switch-Ethernet1/0/1]gvrp

·配置GVRP注册模式：

[Switch-Ethernet1/0/1]gvrpregistration{fixed|forbidden|normal}

配置GARP定时器：

·设置GARP的LeaveAll定时器的值：

[Switch]garptimerleavealltimer-value

·配置Hold定时器、Join定时器和Leave定时器：

[Switch-Ethernet1/0/1]garptimer{hold|join|leave}timer-value

GVRP配置示例一：

GVRP配置示例二：

GVRP配置示例三：

*

（1）Isolate-user-vlan技术产生背景：

（Isolate：

隔离）

（2）Isolate-user-vlan技术基本原理：

1、·Hybrid端口技术的应用所有端口都为Hybrid上行端口允许所有VLAN通过；·下行端口允许Isolate-user-vlan和自己的

SecondaryVLAN；

2、·MAC地址同步技术：

各SecondaryVLAN学习的MAC地址同步到Isolate-user-vlan；·Isolate-user-vlan学习的MAC地

址同步到各SecondaryVLAN。

Isolate-user-vlan：

上行设备感知的用户VLAN，它并不是用户的真正VLAN。

SecondaryVLAN：

用户真正属于的VLAN。

（3）Isolate-user-vlan技术功能：

Isolate-user-vlan技术基本原理：

*在园区网中，基于用户安全和管理计费等方面的考虑，运营商一般要求接入用户互相二层隔离。

VLAN是天然的隔离手段，于是

很自然的想法是每个用户一个VLAN。

根据IEEE802.1Q协议规定，设备最大可使用VLAN资源为4094个。

对于核心层设备来说，如果每个用户一个VLAN，4094个

VLAN远远不够。

为解决VLAN资源紧缺的问题，Isolate-user-vlan应运而生。

支持Isolate-user-vlan功能后，可以将图1中的用户所在的VLAN（VLAN10～15）配置为SecondaryVLAN，将VLAN2和VLAN

3配置为Isolate-user-vlan（如图2）。

这样，DeviceA上只需配置VLAN2和VLAN3，节省了四个VLAN资源。

·图1扁平的网络组网图：

·图2Isolate-user-vlan功能示意图：

·Isolate-user-vlan采用分层结构：

上行的Isolate-user-vlan和下行的SecondaryVLAN。

对上行设备来说只需识别

Isolate-user-vlan，而不必关心Isolate-user-vlan中的SecondaryVLAN，从而节省了上行设备的VLAN资源。

同时，将接入用

户划入不同的SecondaryVLAN，可以实现用户之间二层报文的隔离。

*

（1）Isolate-user-vlan技术是如何屏蔽SecondaryVLAN信息、节省VLAN资源的呢？

实现这个功能，要求：

1、来自不同SecondaryVLAN的报文，能够通过上行端口发送给上行设备，而且不能携带SecondaryVLAN信息。

2、来自Isolate-user-vlan的报文，能够通过下行端口发送给用户，而且不能携带Isolate-user-vlan信息。

（2）我们知道，Isolate-user-vlan和SecondaryVLAN采用不同的VLAN编号，各自包含了不同的端口，通常不同VLAN之间的

报文是二层互相隔离的，要达到以上要求，需要两方面的配合：

1、在本设备上需要进行配置同步和MAC地址同步处理。

2、上行设备需要进行必须的配置：

·创建VLAN：

VLANID等于Isolate-user-vlan的VLANID。

·配置入端口参数：

将端口类型设置为Hybrid，将端口缺省VLAN值设置为Isolate-user-vlanID，配置端口允许缺省

VLAN的报文以untagged方式通过。

*Isolate-user-vlan配置同步：

配置Isolate-user-vlan功能后，系统会自动对Isolate-user-vlan和SecondaryVLAN所包含的端口进行配置同步：

1、对于上行端口，会将端口类型修改为Hybrid，并允许来自SecondaryVLAN的报文以untagged方式通过。

而上行设

备的入端口通过手工配置已经将端口的缺省VLAN值设置为Isolate-user-vlanID，所以，当上行设备收到这样的报

文后，均认为这些报文来自Isolate-user-vlan，并给它们添加tag，tag中的VLANID等于Isolate-user-vlanID。

从而，屏蔽了SecondaryVLAN信息。

2、对于下行端口，会将端口类型修改为Hybrid，并允许来自Isolate-user-vlan的报文以untagged方式通过。

·图3Isolate-user-vlan配置同步组网图：

·表2配置同步后端口的相关属性：

·通过MAC地址学习，如上图3所示的组网中Switch会生成并维护一张MAC地址表（如表3所示）。

如果Device给Host2发送报

文（源MAC为mac_a，目的MAC为mac_2）；Switch会给报文添加tag，VLANID为5（即端口的缺省VLANID）；然后以“mac_2+VLAN

5”为条件去查询MAC地址表。

由于找不到相应的表项，该报文会在VLAN5内广播，并最终从Eth1/2、Eth1/3发送出去。

同理，每次上行和下行的报文都需要广播才能到达目的地。

当SecondaryVLAN和Isolate-user-vlan包含的端口较多时，这

样的处理方式会占用大量的带宽资源，也不安全（广播报文容易被截获和侦听）。

通过MAC地址同步机制可以解决这个问题。

*Isolate-user-vlan的MAC地址同步机制为：

1、SecondaryVLAN到Isolate-user-vlan的同步，即下行端口在SecondaryVLAN内学习到的动态MAC地址都同步至

Isolate-user-vlan内。

2、Isolate-user-vlan到SecondaryVLAN的同步，即上行端口在Isolate-uservlan学习到的动态MAC地址同步到所有的

SecondaryVLAN内。

当Isolate-user-vlan下面配置了很多SecondaryVLAN，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发

性能。

同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播，所以，SecondaryVLAN

到Isolate-user-vlan的同步所有产品均支持，而Isolate-user-vlan到SecondaryVLAN的同步部分产品不支持。

·表4由图三同步后的MAC地址转发表：

·通过上图3中Host2的报文流程来阐述Isolate-user-vlan的实现机制。

（1）Host2第一次发出单播上行报文，报文为untagged报文，源MAC地址为mac_2，目的MAC地址为mac_a。

（2）Switch通过下行端口Ethernet1/2收到报文，给报文打上端口缺省VLAN的标签2，并学习MAC地址，记录MAC地址表项

（mac_2+VLAN2+Eth1/2）（表示目的MAC地址为mac_2，VLAN标签为2的报文，出接为Ethernet1/2）。

（3）根据MAC地址同步原则，该MAC地址同时同步学习到VLAN5内，设备同时记录MAC地址表项（mac_2+VLAN5+Eth1/2）。

（4）由于Switch当前没有mac_a的MAC表项，因此设备在VLAN2内广播该报文。

（5）由于配置同步，Ethernet1/5端口允许VLAN2的报文以untagged方式通过，所以报文去掉tag后通过Ethernet1/5发送出去。

（6）DeviceA收到报文后进行响应。

（7）Switch通过上行端口Ethernet1/5收到报文，给报文打上端口缺省VLAN的标签5，并学习MAC地址，记录MAC地址表

项（mac_a+VLAN5+Eth1/5）。

通过MAC地址同步，又生成两条MAC地址表项（mac_a+VLAN2+Eth1/5）和（mac_a+VLAN3+Eth1/5）。

（8）Switch以“mac_2+VLAN5”为条件去查询MAC地址表，找到出接口Ethernet1/2，并将报文去掉tag后发送给Host2。

*小区内有大量用户且用户支持不同的业务（如视频、语音、数据等），为了保证用户安全以及区分不同业务流，使用VLAN技术对

用户的二层报文进行隔离。

但因为设备VLAN资源有限，因而可以在接入交换机上配置Isolate-user-vlan功能，以节省Device的

VLAN资源。

同时将多个端口配置为Isolate-user-vlan的上行端口，并结合ACL和QoS配置，以便让不同的上行端口传输不同的

业务，简化网络管理。

*GARP（GenericAttributeRegistrationProtocol）通用属性注册协议；GMRP（GARPMulticastRegistrationProtocol）组

播属性注册协议；GVRP（GARPVLANRegistrationProtocol）VLAN属性注册协议。

*GARP协议主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。

GARP作为一个属性注册协议的载体，

可以用来传播属性。

将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。

例如，GMRP和GVRP：

1、GMRP是GARP的一种应用，用于注册和注销组播属性；

2、GVRP是GARP的一种应用，用于注册和注销VLAN属性。

GARP协议通过目的MAC地址区分不同的应用。

在IEEEStd802.1D中将01-80-C2-00-00-20分配给组播应用，即GMRP。

在

IEEEStd802.1Q中将01-80-C2-00-00-21分配给VLAN应用，即GVRP。

*如果需要为网络中的所有设备都配置某些VLAN，就需要网络管理员在每台设备上分别进行手工添加。

如图1所示，DeviceA上

有VLAN2，DeviceB和DeviceC上只有VLAN1，三台设备通过Trunk链路连接在一起。

为了使DeviceA上VLAN2的报文可以

传到DeviceC，网络管理员必须在DeviceB和DeviceC上分别手工添加VLAN2。

对于上面的组网情况，手工添加VLAN很简单，但是当实际组网复杂到网络管理员无法短时间内完全了解网络的拓扑结构，或

者是整个网络的VLAN太多时，工作量会非常大，而且非常容易配置错误。

在这种情况下，用户可以通过GVRP的VLAN自动注册功

能完成VLAN的配置。

GVRP基于GARP机制，主要用于维护设备动态VLAN属性。

通过GVRP协议，一台设备上的VLAN信息会迅速传播到整个交换网。

GVRP实现动态分发、注册和传播VLAN属性，从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。

在设备上，每一个参与协议的端口可以视为一个应用实体。

当GVRP在设备上启动的时候，每个启动GVRP的端口对应一个GVRP

应用实体。

GVRP协议的属性注册和注销仅仅是对于接收到GVRP协议报文的端口而言的。

*GVRP协议可以实现VLAN属性的自动注册和注销：

1、VLAN的注册：

指的是将端口加入VLAN。

2、VLAN的注销：

指的是将端口退出VLAN。

GVRP协议通过声明和回收声明实现VLAN属性的注册和注销。

1、当端口接收到一个VLAN属性声明时，该端口将注册该声明中包含的VLAN信息（端口加入VLAN）。

2、当端口接收到一个VLAN属性的回收声明时，该端口将注销该声明中包含的VLAN信息（端口退出VLAN）。

*GARP应用实体之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join消息、Leave消息和LeaveAll消息：

1、Join消息：

当一个GARP应用实体希望其它设备注册自己的属性信息时，它将对外发送Join消息；当收到其它实体的Join消

息或本设备静态配置了某些属性，需要其它GARP应用实体进行注册时，它也会向外发送Join消息。

·Join消息分为JoinEmpty和JoinIn两种，区别如下：

1.JoinEmpty：

声明一个本身没有注册的属性。

2.JoinIn：

声明一个本身已经注册的属性。

2、Leave消息：

当一个GARP应用实体希望其它设备注销自己的属性信息时，它将对外发送Leave消息；当收到其它实体的Leave

消息注销某些属性或静态注销了某些属性后，它也会向外发送Leave消息。

·Leave消