以太网端口镜像和链路聚合和VLAN技术原理.

deeperGWconfidential于洋以太网端口镜像和链路聚合和VLAN技术原理GWD1主要内容以太网端口镜像和链路聚合镜像的作用和分类LACP的基本原理端口聚合的作用和聚合方式VLAN技术原理·VLAN基础插入VLAN标记（IEEE802.1Q）的以太网帧带有VLAN的交换机的MAC地址学习与转发帧跨交换机的VLAN间通信GWD镜像的作用和分类镜像端口：在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”或“目的端口”。镜像端口作用：流量观测、故障定位、网络监控。镜像端口分类：基于端口的镜像：端口镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进行分析和监视基于流的镜像：流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视2GWD基于端口的镜像基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位以太网交换机支持多对一的镜像，即将多个端口的报文复制到一个监控端口上3E0/1E0/2镜像数据业务数据mirror[ingress|egress]portlistGWD基于流的镜像基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流可以分开镜像一台交换机只支持配置一个监控端口4E0/2E0/1数据流1的镜像数据数据流1的业务数据数据流2的业务数据interfaceethportlistmirroringressportlistegressportlistGWD链路聚合的概念链路聚合（LinkAggregation），也称为端口捆绑、端口聚集或链路聚集，链路聚合是将多个端口聚合在一起形成1个汇聚组，以实现出/入负荷在各成员端口中的分担。从外面看起来，1个汇聚组好象就是1个端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路链路聚合在数据链路层上实现5GWD链路聚合的优点提高链路带宽流量负荷分担提高可靠性：同组成员彼此动态备份6trafficGWD链路聚合的限制条件聚合链路两端的物理参数必须保持一致进行聚合的链路的数目进行聚合的链路的速率进行聚合的链路的双工方式，全双工/半双工聚合链路两端的逻辑参数必须保持一致同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP（SpanningTreeProtocol）生成树协议、QoS（QualityofService，服务质量）、VLAN、端口等相关配置7GWDLACP（链路聚合控制协议）LACP链路聚合控制协议:LACP作为交换数据的设备提供一种标准的协商方式，供系统根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成后，负责维护链路状态，在聚合条件发生变化时，自动调整或解散链路聚合。8LACP报文结构目的地址源地址协议类型协议子类型版本号Actor信息Partner信息保留128BytesLACP协议报文：以太网上广播报文报文长度128字节报文不携带VLAN的tag标志协议类型值0x8809，子类型值为0x01（LACP），当前版本为0x01Actor信息域中携带本系统和端口信息如系统ID，端口优先级，Key等。Partner域中包含本系统中目前保存的对端系统信息其它为保留域GWD协议特征系统通过交换协议报文实现自协商，报文中包含本系统的配置和当前状态协议报文分事件触发和周期发送两种发送方式：事件触发－本端状态或配置变化等事件引发新协议报文的产生和发送周期发送－聚合链路稳定工作时，系统间定时发送当前状态以维护聚合协议报文不带编号，因此双方不采用检测和重发丢失的协议报文，而是用定时器和周期发送机制来避免信息丢失慢速协议：平均每秒发送的协议报文不超过5个9GWDKEY值计算操作Key是在链路聚合时，LACP协议根据端口的配置（即速率、双工、基本配置、管理Key）生成的一个配置组合聚合关心的端口配置主要有：端口速率端口双工特性端口的硬件限制端口的基本配置，包括VLAN,ACL（AccessControlList，访问控制列表）,QOS（QualityofService，服务质量）,RSTP（rapidspanningTreeProtocol，快速生成树协议）,MSTP（Multi-ServiceTransferPlatform，多生成树协议）,GVRP（GARPVLAN注册协议）等端口的KEY值包含在LACP报文中，参与聚合组的选择。10GWD链路聚合的方式手工聚合用户配置聚合组号和端口成员，端口不运行LACP静态聚合用户配置聚合聚合组号和端口成员，端口运行LACP动态聚合基于IEEE802.3ad的LACP聚合组号根据协议自动创建聚合端口根据key值自动匹配添加11以下这些端口不能加入聚合组：镜像的监控端口镜像的目的端口配置了静态MAC地址的端口配置了静态ARP的端口使能802.1x的端口POS端口VPN端口等GWDVLAN基础12什么是VLAN？VLAN（VirtualLAN），“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指分割的网络——广播域。在此先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（MulticastFrame）和目标不明的单播帧（UnknownUnicastFrame）也能在同一个广播域中畅行无阻。本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。划分VLAN的目的：1.抑制广播。2.安全性考虑。3.管理方便。VLAN划分方式：1.基于端口。2.基于MAC地址。3.基于第三层协议。4.基于组播组。5.基于IP地址映射。6.基于策略。GWD插入VLAN标记（IEEE802.1Q）的以太网帧13VLAN标记字段的长度是4字节，插入在以太网帧的源地址字段和类型字段之间。VLAN标记的前两个字节总是设置为0x8100，称为IEEE802.1Q标记类型。当数据链路层检测到以太网帧的源地址字段后面的两个字节的值是0x8100时，就知道现在插入了4字节的VLAN标记（TAG）。于是就接着检查后面两个字节的内容。后面的两个字节的内容中：前3位是用户优先级字段。接着的一位是规范格式指示符CFI。最后的12位是该虚拟局域网VLAN标识符VID（VLANID），它唯一地标识了这个以太网帧是属于哪一个VLAN，最多可供识别4096个VLAN。DMACSMACVLANTAGLength/TypeDATA/PADFCS插入4字节的VLAN标记802.1Q标记类型标记控制信息1000000100000000用户优先级CFIVID插入VLAN标记的以太网帧GWD带有VLAN的交换机的MAC地址学习与转发帧带有VLAN功能的交换机不划分VLAN时（所有端口默认以unTAG方式接入VLAN1）交换机内部只有一个公用的MAC转发表。划分VLAN时，交换机内部有一张VLAN表（标识每个端口所接入的VLAN以及接入类型，从逻辑上把交换机分成若干个），每个VLAN有一张独立的MAC转发表（使得各个VLAN内部就像独享一台普通的交换机）。配置表例如下：14ＶＩＤ端口接入类型1001、2TAG2003、4unTAGＭＡＣ端口时间01-12-34-10-EA-0D２600sＭＡＣ端口时间注意：端口默认以unTAG方式接入的VLAN1，这个VLAN1是指VID=1的VLAN。GWD带有VLAN的交换机的MAC地址学习与转发帧不划分VLAN时，与普通交换机的过程基本一致。划分VLAN时根据划分的规则建立VLAN划分表，并为每个VLAN建立相应的MAC转发表（以VLAN为单位建立转发表和普通交换机的过程基本一致），流程主要包括：分析接收的以太网帧、确定和查找Vlan、查找和学习源MAC、查找目的MAC并转发数据帧。具体步骤如下：15１、分析端口接收到的以太网帧TAG帧，检索VLAN表查看该端口是否接入该帧标记的VLAN接入该VLAN则查找相应的MAC转发表进行下一步处理没接入则丢弃该帧unTAG，检索VLAN表查找该端口以unTAG方式接入的VLAN查找相应的MAC转发表进行下一步处理思考：为什么接收到unTAG帧时，没有“丢弃该帧”的处理方式？GWD带有VLAN的交换机的自学习与转发帧16２、查找和学习源MAC：交换机在MAC转发表中查找收帧Vid对应的源MAC表项，未找到则学习收帧源MAC；若找到则更新该表项的老化时间。３、查找目的MAC。４、转发帧，根据端口的接入类型，发送相应格式（TAGorunTAG）的帧。（说明：以太网帧在交换机内部都是以TAG方式传递）端口的接入类型有两种即TAG和unTAG，同样以太网帧也有TAG和unTAG两种格式。端口的类型由网络管理人员设置，以太网帧传入交换机时其帧类型不确定，交换机转发帧时，根据设置的接口类型来发送相应格式的帧。注意：１、一个端口可以以TAG方式加入多个VLAN。2、在GWD交换机中一个端口以unTAG方式只能且必须加入一个VLAN。TAG端口主要用于交换机间的通信，此时TAG帧主要在交换机间传输。unTAG端口主要用于交换机与终端机间的通信，此时unTAG帧主要在交换机与终端间传输。归纳：1、unTAG帧进入交换机时，将unTAG帧发送至unTAG方式接入的VLAN中。2、TAG帧进入交换机时，将其发送至TAG帧目的VLAN中。GWD跨交换机的VLAN间通信171423AB例2：如下图示，A、B两台终端通过两台交换机互联，现将两交换机各端口配置如下表，试分析(1)从A端发送TAG帧(VID=100)至B端(2)从B端发送TAG帧(VID=200)至A端的传递过程。SW2SW1portvidT/uSW11100T11u2100uSW23200u4200T41uGWD跨交换机的VLAN间通信18分析：(1)从A端发送TAG帧(VID=100)至B端，SW1的1端口(TAG方式接入VLAN100)接收到TAG帧(VID=100)，1端口所在VLAN与TAG帧所带VLAN标记同属一个，接下来在VLAN100中查找MAC转发表，将TAG帧从SW1的2端口(unTAG方式接入VLAN100)发送出且将TAG帧变成unTAG帧；SW2的3端口(unTAG方式接入VLAN200)接收到unTAG帧，查找VLAN200中MAC转发表，从SW2的4端口(TAG方式接入VLAN200)发送出，B接收到TAG帧(VID=200)。(2)从B端发送TAG帧(VID=200)至A端，SW2的4端口(TAG方式接入VLAN200)接收到TAG帧(VID=200)，4端口所在VLAN与TAG帧所带VLAN标记同属一个，接下来在VLAN200中查找MAC转发表，将TAG帧从SW2的3端口(unTAG方式接入VLAN200)发送出且将TAG帧变成unTAG帧；SW1的2端口(unTAG方式接入VLAN100)接收到unTAG帧，查找VLAN100中MAC转发表，从SW1的1端口(TAG方式接入VLAN100)发送出，A接收到TAG帧(VID=100)。GWD跨交换机的VLAN间通信191423AB例3：如下图示，A、B两台终端通过两台交换机互联，现将两交换机各端口配置如下表，试分析(1)从A端发送TAG帧(VID=100)至B端(2)从B端发送TAG帧(VID=200)至A端的传递过程。SW2SW1portVidT/uSW11100T11U2100USW23200T31u4200T41uGWD跨交换机的VLAN间通信20分析：(1)从A端发送TAG帧(VID=100)至B端，SW1的1端口(TAG方式接入VLAN100)接收到TAG帧(VI