H3CSE V10 构建高性能园区网络笔记.docx
《H3CSE V10 构建高性能园区网络笔记.docx》由会员分享,可在线阅读,更多相关《H3CSE V10 构建高性能园区网络笔记.docx(184页珍藏版)》请在冰豆网上搜索。
H3CSEV10构建高性能园区网络笔记
H3CSEV1.0
构建H3C高性能园区网络
读书笔记增强版
目录
1层级化网络模型4
2网络模型发展历程4
3典型园区网的业务部署5
4VLAN原理6
5VLAN配置9
6VLAN扩展技术14
7VLAN路由20
8STP23
9RSTP27
10MSTP31
11STP保护机制35
12HA36
13链路聚合38
14smartlink和monitorlink42
15RRPP48
16VRRP53
17IRF56
18组播59
19组播组管理协议61
20组播转发机制67
21组播路由协议69
22组播配置维护73
23VoiceVLAN74
24POE基本原理77
25园区网安全80
26AAA81
27端口接入控制86
28网络访问控制92
29SSH96
30园区网维护管理综述100
31SNMP及日志管理101
32集群管理技术106
33LLDP技术110
34镜像技术115
35NTP117
1层级化网络模型
接入层:
1、为用户提供网络的访问接口;2、丰富大量的接口;3、接入安全控制;4、接入速率控制、基于策略的分类、数据包标记等;5、较少考虑冗余性。
汇聚层:
1、将接入层数据汇集起来,依据策略对数据、信息等实施控制;2、必要的冗余设计;3、复杂的策略配置。
核心层:
1、对来自汇聚层的数据进行尽可能快速的交换;2、强大的数据交换能力;3、稳定、可靠的高冗余设计;4、不配置复杂策略。
*层级化网络模型的优点:
1、网络结构清晰;2、便于规划和维护;3、增强网络稳定性;4、增强网络可扩展性。
*模块化网络架构的益处:
1、确定网络,边界清晰,流量类型清楚;2、便于规划,增加伸缩性;3、模块方便增删,降低复杂性;4、设计的完整性。
2网络模型发展历程
*小型局域网:
1、网络主机数量少,但都在同一广播域内;2、甚至还存在多个主机在同一冲突域内。
*中型局域网:
虚拟局域网的应用(隔离广播域)、三层交换的应用(解决路由转发的性能瓶颈)。
*大型局域网:
多个中型或小型网的组合,具有三层结构。
VLAN最大数量4K。
2的12次方。
核心层的结构:
1、双机主备互连;2、多机环网互连;3、多机Full-Mesh。
汇聚层的结构:
1、双上行;2、路由备份。
接入层的结构:
1、单上行;2、双上行;3、交叉互连。
*典型三级网络结构:
1、核心汇聚路由备份;2、双核心;3、汇聚、接入双上行。
3典型园区网的业务部署
*网络的单点故障:
星形拓扑和树形拓扑的单点故障可能带来全网性故障。
网状网络:
1、多冗余链路避免单点故障带来的高风险;2、STP阻塞冗余链路避免环路的形成。
以太环网:
1、多核心环形链接提供核心链路的备份;2、接入双上行避免单点故障带来的风险;3、RRPP实现高效倒换。
STP切换是秒级,RRPP和SmartLink都是毫秒级切换。
双归属网络:
1、双核心双上行提供冗余备份;2、SmartLink阻断冗余链路,实现链路的毫秒级切换。
三层路由网络:
1、路由协议实现最短路径转发,冗余链路提供备份选择;2、ECMP提供负载分担。
网关冗余备份:
1、边缘网关运行VRRP提供网关的主备备份;2、多备份组+MSTP提供负载分担。
IRF设备级备份:
1、IRF堆叠实现设备级的N+1冗余备份;2、分布式链路聚合实现链路负载分担。
*网络管理和维护:
1、统一网管:
拓扑发现、设备管理、Trap告警;2、日志集中管理;3、集群、堆叠应用简化管理;4、流量镜像,针对性监控,问题定位;5、NTP服务统一时间,日志、Trap有序管理。
4VLAN原理
*MAC地址表:
[MACAddress]---[VLANID]---[Port]。
ARP表老化时间20M,MAC老化时间5M。
*VLAN跨交换机转发的处理流程:
(主机发出的帧不带vlan标记,进入交换机被打上端口vlan标记,出去时被去掉)。
IP报文(0800),2层帧(0806)。
*802.1Q帧格式:
(Tag一共4字节;TPID:
以太网类型(0x8100)代表802.1Q协议;Priority:
优先级,主要做QOS用;CFI:
老式TokenRing标识位,MAC是否标准,CFI值是0或1。
)
VLANID是2的12次方,所是VLAN最大是4K,0,4095是保留的,VLAN1-4096,VLAN1不能删除。
*当数据帧经过Access端口PVID值与Trunk链路端口PVID值不同时,在trunk链路上带上原来PVID值Tag标签,当相同时可以不带Tag标签。
(PVID:
PortVlanID。
PVID可以给帧打标记、去标记,它解读VID。
)VLAN1在Trunk链路上默认不带TAG。
也可以设定其它VLAN不带TAG入交换机考虑PVID(不带标的,带的转发),出交换机时PVID相同去标,不同时Trunk承载允许后不去标转发。
*Hybrid链路:
(untag:
局域网中无标记的。
)
1、允许多个VLAN通过,可以接收和发送多个VLAN的数据帧:
2、Hybrid端口和Trunk端口的不同之处在于:
1.Hybrid端口允许多个VLAN的以太网帧不带标签,也可以允许多个VLAN带标签;2.Trunk端口只允许缺省VLAN的以太网帧不带标签。
*VLAN的划分方式:
1、基于端口的VLAN(静态VLAN);2、基于MAC地址的VLAN(动。
H3c只能在Hybird接口上实现);3、基于协议的VLAN(动。
H3c只能在Hybird接口上实现);4、基于IP子网的VLAN(动。
H3c只能在Hybird接口上实现)。
同一交换机上不同Hybird和Trunk共存。
·VLAN的匹配顺序:
这图为考试重点。
*VLAN动态注册的背景:
感觉GVRP有点类似VTP。
*GARP(GenericAttributeRegistrationProtocal)通用属性注册协议。
GARP提供了一种通用机制供桥接局域网设备相互之间(如终端站和交换机等)注册或注销属性值,如VLAN标识符。
这样,属性信息在整个桥接局域网设备中传播开来,并且这些设备形成活动拓朴结构的一个子集-“可达性”树。
GARP定义了结构、操作规则、状态机制以及变量来声明注册或注销属性值。
交换机或终端站中的GARP参与者主要由连接端口或交换机的GARP应用程序和GARP信息声明(GID)两部分构成。
具有相同网桥应用程序的GARP参与者之间的信息传播是由GARP信息传播部分(GIP)完成的。
参与者之间通过LLC服务类型1实现
协议交换过程,其中采用的是MAC地址组和GARP应用程序定义的PDU格式。
GARP是针对IEEE802.1D(生成数协议)规范的IEEE802.1P扩展的一部分。
GARP协议主要包括:
1、GARP信息声明(GID):
GARP生成数据部分。
2、GARP信息传播(GIP):
GARP数据分配部分。
3、GARP组播注册协议(GMRP):
为参与者动态注册和注销连接相同局域网的MAC桥信息。
*802.1QNativeVlan:
为了提高转发速度,802.1Q使交换机对Vlan1的帧默认不打Tag。
*对从企业A或B出来的帧打上双层Tag,一个是企业内部的Tag,一个是划出的TunnelPortVlan的Tag(用于云中的区别)。
*GARP消息:
为了高效控制属性的声明和注册,GARP提供了五种类型的消息:
Empty、JoinIn、JoinEmpty、Leave、LeaveAll。
GVRP端口注册模式:
1、Normal模式:
1.允许该端口动态注册或注销VLAN;2.传播动态VLAN以及静态VLAN信息。
2、Fixed模式:
1.禁止该端口动态注册或注销VLAN;2.只传播静态VLAN,不传播动态VLAN信息。
3、Forbidden模式:
1.禁止该端口动态注册或注销VLAN;2.不传播除VLAN1以外的任何VLAN信息。
*GARP定时器:
1、Hold定时器;2、Join定时器;3、Leave定时器;4、LeaveAll定时器。
5VLAN配置
创建VLAN:
vlanx
Vlan下添加端口:
vlan视图下portinterfacex,接口视图下portaccessvlanx。
*Trunk端口配置命令:
·配置端口的链路类型为Trunk类型:
[Switch-Ethernet1/0/1]portlink-typetrunk
·允许指定的VLAN通过当前Trunk端口:
[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all},少用VLANALL,使用明细。
禁用VLAN1。
·设置Trunk端口的缺省VLAN:
[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id
*Hybrid端口配置命令:
Trunk和Hybrid端口不能直接切换,先设为Access再设置其它类型。
·配置端口的链路类型为Hybrid类型:
[Switch-Ethernet1/0/1]portlink-typehybrid
·允许指定的VLAN通过当前Hybrid端口:
[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}
·设置Hybrid端口的缺省VLAN:
[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id
*基于MAC地址的VLAN配置命令:
·配置MAC地址所对应的VLAN及优先级:
优先级指的是配置多种VLAN类型时谁优先。
[Switch]mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypri]
·开启端口的MACVLAN功能:
[Switch-Ethernet1/0/1]mac-vlanenable
·设置端口VLAN的匹配优先级:
[Switch-Ethernet1/0/1]vlanprecedence{mac-vlan|ip-subnet-vlan}
基于MAC地址的VLAN配置示例:
*基于协议的VLAN配置命令:
基于MAC、协议、IP子网的VLAN只对Hybrid端口配置有效。
·配置基于协议的VLAN,并指定协议模板:
[Switch-vlan10]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx{ethernetii|llc|raw|snap}|mode{ethernetiietype
etype-id|llc{dsapdsap-id[ssapssap-id]|ssapssap-id}|snapetypeetype-id}}
·配置Hybrid端口与基于协议的VLAN关联:
[Switch-Ethernet1/0/1]porthybridprotocol-vlanvlanvlan-id{protocol-index[toprotocol-end]|all}
基于协议的VLAN配置示例:
*基于IP子网的VLAN配置命令:
·配置当前VLAN与指定的IP子网关联:
[Switch-vlan10]ip-subnet-vlan[ip-subnet-index]ipip-address[mask]
·配置当前端口与基于IP子网的VLAN关联:
[Switch-Ethernet1/0/1]porthybridip-subnet-vlanvlanvlan-id
基于IP子网的VLAN配置示例:
*GARP(GenericAttributeRegistrationProtocol)通用属性注册协议;GMRP(GARPMulticastRegistrationProtocol)组播属性注册协议;GVRP(GARPVLANRegistrationProtocol)VLAN属性注册协议。
*GARP协议主要用于建立一种属性传递扩散的机制,以保证协议实体能够注册和注销该属性。
GARP作为一个属性注册协议的载体,
可以用来传播属性。
将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。
例如,GMRP和GVRP:
1、GMRP是GARP的一种应用,用于注册和注销组播属性;
2、GVRP是GARP的一种应用,用于注册和注销VLAN属性。
GARP协议通过目的MAC地址区分不同的应用。
在IEEEStd802.1D中将01-80-C2-00-00-20分配给组播应用,即GMRP。
在IEEEStd802.1Q中将01-80-C2-00-00-21分配给VLAN应用,即GVRP。
*如果需要为网络中的所有设备都配置某些VLAN,就需要网络管理员在每台设备上分别进行手工添加。
如图1所示,DeviceA上有VLAN2,DeviceB和DeviceC上只有VLAN1,三台设备通过Trunk链路连接在一起。
为了使DeviceA上VLAN2的报文可以传到DeviceC,网络管理员必须在DeviceB和DeviceC上分别手工添加VLAN2。
对于上面的组网情况,手工添加VLAN很简单,但是当实际组网复杂到网络管理员无法短时间内完全了解网络的拓扑结构,或者是整个网络的VLAN太多时,工作量会非常大,而且非常容易配置错误。
在这种情况下,用户可以通过GVRP的VLAN自动注册功能完成VLAN的配置。
GVRP基于GARP机制,主要用于维护设备动态VLAN属性。
通过GVRP协议,一台设备上的VLAN信息会迅速传播到整个交换网。
GVRP实现动态分发、注册和传播VLAN属性,从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。
在设备上,每一个参与协议的端口可以视为一个应用实体。
当GVRP在设备上启动的时候,每个启动GVRP的端口对应一个GVRP应用实体。
GVRP协议的属性注册和注销仅仅是对于接收到GVRP协议报文的端口而言的。
*GVRP协议可以实现VLAN属性的自动注册和注销:
1、VLAN的注册:
指的是将端口加入VLAN。
2、VLAN的注销:
指的是将端口退出VLAN。
GVRP协议通过声明和回收声明实现VLAN属性的注册和注销。
1、当端口接收到一个VLAN属性声明时,该端口将注册该声明中包含的VLAN信息(端口加入VLAN)。
2、当端口接收到一个VLAN属性的回收声明时,该端口将注销该声明中包含的VLAN信息(端口退出VLAN)。
*GARP应用实体之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join消息、Leave消息和LeaveAll消息:
1、Join消息:
当一个GARP应用实体希望其它设备注册自己的属性信息时,它将对外发送Join消息;当收到其它实体的Join消息或本设备静态配置了某些属性,需要其它GARP应用实体进行注册时,它也会向外发送Join消息。
·Join消息分为JoinEmpty和JoinIn两种,区别如下:
1.JoinEmpty:
声明一个本身没有注册的属性。
2.JoinIn:
声明一个本身已经注册的属性。
2、Leave消息:
当一个GARP应用实体希望其它设备注销自己的属性信息时,它将对外发送Leave消息;当收到其它实体的Leave消息注销某些属性或静态注销了某些属性后,它也会向外发送Leave消息。
·Leave消息分为LeaveEmpty和LeaveIn两种,区别如下:
1.LeaveEmpty:
注销一个本身没有注册的属性。
2.LeaveIn:
注销一个本身已经注册的属性。
3、LeaveAll消息:
每个应用实体启动后,将同时启动LeaveAll定时器,当该定时器超时后应用实体将对外发送LeaveAll消息。
LeaveAll消息用来注销所有的属性,以使其它应用实体重新注册本实体上所有的属性信息,以此来周期性地清除网络中的垃圾属性(例如某个属性已经被删除,但由于设备突然断电,并没有发送Leave消息来通知其他实体注销此属性)。
*GARP协议中用到了四个定时器,下面分别介绍一下它们的作用:
1、Join定时器:
Join定时器是用来控制Join消息(包括JoinIn和JoinEmpty)的发送的。
为了保证Join消息能够可靠的传输到其它应用实体,发送第一个Join消息后将等待一个Join定时器的时间间隔,如果在一个Join定时器时间内收到JoinIn消息,则不发送第二个Join消息;如果没收到,则再发送一个Join消息。
每个端口维护独立的Join定时器。
2、Hold定时器:
Hold定时器是用来控制Join消息(包括JoinIn和JoinEmpty)和Leave消息(包括LeaveIn和LeaveEmpty)的发送的。
当在应用实体上配置属性或应用实体接收到消息时不会立刻将该消息传播到其它设备,而是在等待一个Hold定时器后再发送消息,设备将此Hold定时器时间段内接收到的消息尽可能封装成最少数量的报文,这样可以减少报文的发送量。
如果没有Hold定时器的话,每来一个消息就发送一个,造成网络上报文量太大,既不利于网络的稳定,也不利于充分利用每个报文的数据容量。
每个端口维护独立的Hold定时器。
Hold定时器的值要小于等于Join定时器值的一半。
3、Leave定时器:
Leave定时器是用来控制属性注销的。
每个应用实体接收到Leave或LeaveAll消息后会启动Leave定时器,如果在Leave定时器超时之前没有接收到该属性的Join消息,属性才会被注销。
这是因为网络中如果有一个实体因为不存在某个属性而发送了Leave消息,并不代表所有的实体都不存在该属性了,因此不能立刻注销属性,而是要等待其他实体的消息。
例如,某个属性在网络中有两个源,分别在应用实体A和B上,其他应用实体通过协议注册了该属性。
当把此属性从应用实体A上删除的时候,实体A发送Leave消息,由于实体B上还存在该属性源,在接收到Leave消息之后,会发送Join消息,以表示
它还有该属性。
其他应用实体如果收到了应用实体B发送的Join消息,则该属性仍然被保留,不会被注销。
只有当其它应用实体等待两个Join定时器以上仍没有收到该属性的Join消息时,才能认为网络中确实没有该属性了,所以这就要求Leave定时
器的值大于2倍Join定时器的值。
每个端口维护独立的Leave定时器。
4、LeaveAll定时器:
每个GARP应用实体启动后,将同时启动LeaveAll定时器,当该定时器超时后GARP应用实体将对外发送LeaveAll消息,随后再启动LeaveAll定时器,开始新的一轮循环。
接收到LeaveAll消息的实体将重新启动所有的定时器,包括LeaveAll定时器。
在自己的LeaveAll定时器重新超时之后才会再次发送LeaveAll消息,这样就避免了短时间内发送多个LeaveAll消息。
如果不同设备的LeaveAll定时器同时超时,就会同时发送多个LeaveAll消息,增加不必要的报文数量,为了避免不同设备同时发生LeaveAll定时器超时,实际定时器运行的值是大于LeaveAll定时器的值,小于1.5倍LeaveAll定时器值的一个随机值。
一次LeaveAll事件相当于全网所有属性的一次Leave。
由于LeaveAll影响范围很广,所以建议LeaveAll定时器的值不能太小,至少应该大于Leave定时器的值。
每个设备只
在全局维护一个LeaveAll定时器。
*GVRP注册模式:
手工配置的VLAN称为静态VLAN,通过GVRP协议创建的VLAN称为动态VLAN。
GVRP有三种注册模式,不同的模式对静态VLAN和动态VLAN的处理方式也不同。
GVRP的三种注册模式分别定义如下:
1、Normal模式:
允许动态VLAN在端口上进行注册,同时会发送静态VLAN和动态VLAN的声明消息。
2、Fixed模式:
不允许动态VLAN在端口上注册,只发送静态VLAN的声明消息。
3、Forbidden模式:
不允许动态VLAN在端口上进行注册,同时删除端口上除VLAN1外的所有VLAN,只发送VLAN1的声明消息。
*GARP协议报文采用IEEE802.3Ethernet封装形式,报文结构:
*配置GVRP:
全局GVRP开启后,在接口上还需开启接口GVRP。
默认GVRP的注册模式是Normal。
·开启全局GVRP功能:
[Switch]gvrp
·开启端口的GVRP功能:
[Switch-Ethernet1/0/1]gvrp
·配置GVRP注册模式:
[Switch-Ethernet1/0/1]gvrpregistration{fixed|forbidden|normal}
配置GARP定时器:
·设置GARP的LeaveAll定时器的值:
[Switch]garptimerlevealltimer-value
·配置Hold定时器、Join定时器和Leave定时器:
[Switch-Ethernet1/0/1]garptimer{hold|join|leave}timer-value
默认时间(单位厘秒):
leaveall=1000。
Hold=10,Join=20,Leave=60。
GVRP配置示例一:
GVRP配置示例二:
GVRP配置示例三:
6VLAN扩展技术
*
(1)Isolate-user-vlan技术产生背景:
(Isolate:
隔离)
(2)Isolate-user-vlan技术基本原理:
1、·Hybrid端口技术的应用所有端口都为Hybrid上行端口允许所有VLAN通过;·下行端口允许Isolate-user-vlan和自己的SecondaryVLAN;
2、·MAC地址同步技术:
各SecondaryVLAN学习的MAC地址同步到Isolate-user-vlan;·Isolate-user-vlan学习的MAC地址同步到各SecondaryVLAN。
Isolate-user-vlan:
上行设备感知的用户VLAN,它并不是用户的真正VLAN。
SecondaryVLAN:
用户真正属于的VLAN。
(3)Isolate-user-vlan技术功能:
Isolate-user-vlan技术基本原理:
*
升级会员 