HCNA进阶笔记.docx
《HCNA进阶笔记.docx》由会员分享,可在线阅读,更多相关《HCNA进阶笔记.docx(37页珍藏版)》请在冰豆网上搜索。
HCNA进阶笔记
链路聚合
链路聚合一般部署在核心节点,以便提升整个网络的数据吞吐量。
链路聚合:
是把两台设备之间的多条物理链路聚合到一起,当做一条逻辑链路来使用。
这两台设备可以是一对路由器,一对交换机,或者一台路由器和一台交换机。
一条聚合链路可以包含多条成员链路,在ARG3系列路由器和X7系列交换机上默认最多为8条。
聚合链路能够提高链路带宽。
理论上,通过聚合几条链路,一个聚合口的带宽可以扩展为所有成员口带宽的综合,这样有效地增加了逻辑链路的带宽。
链路聚合为网络提高了可靠性。
配置了链路聚合后,如果一个成员接口发生了故障,改成员口的物理链路会把流量切换到另一条成员链路上。
链路聚合还可以在一个聚合口上实现负载均衡,一个聚合口可以把流量分散到多个不同的成员口上,通过成员链路把流量发送到同一个目的地,将网络产生拥塞可能性降到最低。
链路聚合包含两种模式:
手动负载均衡模式和静态LACP(LinkAggregationControlProtocol)
手工负载分担模式:
Eth-Trunk的建立、成员接口的加入由手工配置,没有链路聚合控制协议的参与。
该模式下所有活动链路都参与数据的转发,平均分担流量,因此称为负载分担模式。
如果某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。
当需要在两个直连设备之间提供一个较大的链路带宽而设备不支持LACP协议时,可以使用手工负载分担模式。
ARG3系列路由器和X7系列交换机可以基于目的MAC,源MAC,或者基于源MAC地址和目的MAC地址,源IP地址,目的IP地址,或者源IP地址和目的IP地址进行负载分担。
静态LACP模式中,链路两端设备相互发送LACP报文,协商聚合参数。
协商完成后,两台设备确定活动接口和非活动接口。
在静态LACP模式中,需要手动创建一个Eth-Trunk口,并添加成员口。
LACP协商选举活动接口和非活动接口。
惊天LACP模式也叫M:
N模式。
M代表活动成员链路,用于在负载均衡模式中转发数据。
N代表非活动链路,用于冗余备份。
如果一条活动链路发生故障,该链路传输的数据被切换到一条优先级最高的备份链路上,这条备份链路转变为活动状态。
两种链路聚合模式的主要区别是:
在静态LACP模式中,一些链路充当备份链路。
在手动负载均衡模式中,所有的成员口都处于转发状态。
在一个聚合口中,聚合链路两端的物理口(即成员口)的所有参数必须一致,包括物理口的数量,传输速率,双攻模式,流量控制模式。
成员口可以使二层口或者三层口。
数据流在聚合链路上传输,数据顺序必须保持不变。
一个数据流可以看做是一组MAC地址和IP地址相同的帧。
为了避免同流的帧出现数据包乱序的情况,Eth-Trunk采用主流负载分担机制,这种机制把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找对应的出接口,不同的MAC或者IP地址HASH得出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担,既逐流的负载分担。
逐流负载分担能保证包的顺序,但不能保证带宽利用率。
负载分担的类型包括以下几种:
1.根据报文的源MAC地址进行负载分担。
2.根据报文的目的MAC地址进行负载分担
3.根据报文的源IP地址进行负载分担
4.根据报文的目的IP地址进行负载分担
5.根据报文的源MAC地址和目的MAC地址进行负载分担。
6.根据报文的源IP地址和目的IP地址进行负载分担。
7.根据报文的VLAN、源物理端口等对L2、IPv4、IPv6和MPLS报文进行增强型负载分担。
本例中,通过执行interfaceEth-Trunk命令配置链路聚合。
这条命令创建了一个Eth-Trunk口,并且进入该Eth-Trunk口视图。
Trunk-id用来唯一标识一个Eth-Trunk口,该参数的取值可能是0到63之间的任何一个整数。
如果指定的Eth-Trunk口已经存在,执行命令后会直接进入该Eth-Trunk口视图。
配置Eth-Trunk口和成员口,需要注意以下规则:
1.只能删除不包含任何成员口的Eth-Trunk口。
2.把接口加入Eth-Trunk口时,二层Eth-Trunk口的成员口必须是二层接口,三层Eth-Trunk口的成员口必须是三层接口。
3.一个Eth-Trunk口对多可以加入8个成员口。
4.加入Eth-Trunk口的接口必须是hybrid接口(默认接口类型)
5.一个Eth-Trunk口不能充当其他Eth-Trunk口的成员口。
6.一个以太接口只能加入一个Eth-Trunk口。
如果把一个以太接口加入另一个Eth-Trunk口,必须先把该以太接口从当前所属的Eth-Trunk口中删除。
7.一个Eth-Trunk口的成员口类型必须相同。
例如,一个快速以太网口(FE口)和一个千兆以太口(GE口)不能加入同一个Eth-Trunk口。
8.位于不同接口板(LPU)上的以太口可以加入同一个Eth-Trunk口。
如果一个对端接口直接和本端Eth-Trunk口的一个成员口相连,该对端接口也必须加入一个Eth-Trunk口。
否则两端无法通信。
9.如果成员口的速率不同,速率较低的接口可能会拥塞,报文可能会被丢弃。
10.接口加入Eth-Trunk口后,Eth-Trunk口学习MAC地址,成员口不再学习。
执行displayinterfaceEth-Trunk命令,可以确认两台设备间是否已经成功实现链路聚合。
也可以使用这条命令收集流量统计数据,定位接口故障。
如果Eth-Trunk口处于UP状态,表明接口正常运行。
如果接口处于DOWN状态,表明所有成员口物理层发生故障。
如果管理员关闭端口,接口处于AdministrativelyDOWN状态。
可以通过接口状态的改变发现接口故障,所有接口正常情况下都应处于UP状态。
如果要在路由器上配置三层链路聚合,需要首先创建Eth-Trunk接口,然后在Eth-Trunk逻辑口上执行undoportswitch命令,吧聚合链路从二层转为三层链路。
执行undoprotswitch命令后,可以为Eth-Trunk逻辑接口分配一个IP地址。
1.一个快速以太口(FE口)和一个千兆以太口(GE口)不能加入同一
个Eth-Trunk。
如果将两个不同类型的接口加入到同一个Eth-Trunk口,
设备会提示发生错误。
2.只有LACP模式支持备份成员链路。
如需建立备份链路,应使用LACP
模式的链路聚合。
VLAN(VirtualLocalAreaNetwork)虚拟局域网
VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签做出了说明:
TPID:
TagProtocolIdentifier,2个字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。
如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
TCI:
TagControlInformation,2字节。
帧的控制信息,详细说明如下:
1.Priority:
3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。
当交换机阻塞时,优先发送优先级高的数据帧。
2.CFI:
CanonicalFormatIndicator,1比特。
CFI表示MAC地址是否为经典格式。
CFI为0说明是经典格式,CFI为1表示为非经典格式。
用于区分以太网帧、FDDI(FiberDistributedDigitalInterface)帧和令牌环网帧。
在以太网中,CFI的值为0.
3.VlanIdentifier:
VLANID,12比特,在X7系列交换机中,可配置的VLANID取值范围是0~4095,但是0和4095在协议中规定为保留的VLANID,不能给用户使用,即可配置的范围是1~4094.
在现有的交换网络环境中,以太网的帧有两种格式:
没有TAG的标准以太网帧(untaggedframe);有VLAN标记的以太网帧(taggedframe)
VLAN的划分包括如下5种方法:
1.基于端口划分:
根据交换机的端口编号来划分VLAN。
通过为交换机的每个端口配置不同的PVID,来将不同端口划分到VLAN中。
初始情况下,X7系列交换机的端口处于VLAN1中。
此方法配置简单,但是当主机移动位置时,需要重新配置VLAN。
2.基于MAC地址划分:
根据主机网卡的MAC地址划分VLAN。
次划分方法需要网络管理员提前配置网络中的主机MAC地址和VLANID的映射关系。
如果交换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携带的MAC地址来添加相应的VLAN标签。
次使用方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。
3.基于IP子网划分:
交换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。
4.基于协议划分:
根据数据帧的协议类型(或协议族类型)、封装格式来分配VLANID。
网络管理员需要首先配置协议类型和VLANID之间的映射关系。
5.基于策略划分:
使用几个条件的组合来分配VLAN标签。
这些条件包括IP子网、端口和IP地址等。
只有当所有条件都匹配时,交换机才为数据帧添加VLAN标签。
另外,针对每一条策略都是需要手工配置的。
创建VLAN后,可以执行displayvlan命令验证配置结果。
如果丌指定任
何参数,则该命令将显示所有VLAN的简要信息。
执行displayvlan[vlan-id[verbose]]命令,可以查看指定VLAN的详
细信息,包括VLANID、类型、描述、VLAN的状态、VLAN中的端口、
以及VLAN中端口的模式等。
执行displayvlanvlan-idstatistics命令,可以查看指定VLAN中的流量
统计信息。
执行displayvlansummary命令,可以查看系统中所有VLAN的汇总信
息。
可以使用两种方法把端口加入到VLAN。
1.第一种方法是进入到VLAN视图,执行port命令,把端口
加入VLAN。
2.第二种方法是进入到接口视图,执行portdefault命令,把
端口加入VLAN。
vlan-id是指端口要加入的VLAN。
执行displayvlan命令,可以确认端口是否已经加入到VLAN中。
在本示
例中,端口GigabitEthernet0/0/5和GigabitEthernet0/0/7分别加入了
VLAN3和VLAN2。
UT表明该端口发送数据帧时,会剥离VLAN标签,
即此端口是一个Access端口或丌带标签的Hybrid端口。
U或D分别表示
链路当前是Up状态或Down状态。
配置Trunk时,应先使用portlink-typetrunk命令修改端口的类型为Trunk,然后再配置Trunk端口允许哪些VLAN的数据帧通过。
执行porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}命令,可以配置端口允许的VLAN,all表示允许所有VLAN的数据帧通过。
执行porttrunkpvidvlanvlan-id命令,可以修改Trunk端口的PVID。
修改Trunk端口的PVID之后,需要注意:
缺省VLAN不一定是端口允许通过的VLAN。
只有使用命令porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}允许缺省VLAN数据通过,才能转发缺省VLAN的数据帧。
交换机的所有端口默认允许VLAN1的数据通过。
在本示例中,将SWA的G0/0/1端口配置为Trunk端口,该端口PVID默认为1。
配置porttrunkallow-passvlan23命令之后,该Trunk允许VLAN2和VLAN3的数据流量通过。
执行displayvlan命令可以查看修改后的配置。
TG表明该端口在转发对应VLAN的数据帧时,不会剥离标签,直接进行转发,该端口可以是Trunk端口或带标签的Hybrid端口。
本示例中,GigabitEthernet0/0/1在转发VLAN2和VLAN3的流量时,不剥离标签,直接转发。
随着IP网络的融合,TCP/IP网络可以为高速上网HSI(HighSpeedInternet)业务、VoIP(VoiceoverIP)业务、IPTV(InternetProtocolTelevision)业务提供服务。
语音数据在传输时需要具有比其他业务数据更高的优先级,以减少传输过程中可能产生的时延和丢包现象。
为了区分语音音数据流,可在交换机上部署VoiceVLAN功能,把VoIP的
电话流量进行VLAN隔离,并配置更高的优先级,从而能够保证通话质
量。
执行voice-vlanenable命令,可以把VLAN2到VLAN4094之
间的任一VLAN配置成诧音VLAN。
执行voice-vlanmode命令,可以配置端口加入诧音VLAN的模式。
端口加入VoiceVLAN的模式有两种:
1.自劢模式:
使能VoiceVLAN功能的端口根据进入端口的数据流中的源MAC地址字段来判断该数据流是否为诧音数据流。
源MAC地址符合系统设置的诧音设备OUI(OrganizationallyUniqueIdentifier)地址的报文认为是诧音数据流。
接收到诧音数据流的端口将自劢加入VoiceVLAN中传输,并通过老化机制维护VoiceVLAN内的端口数量。
2.手劢模式:
当接口使能VoiceVLAN功能后,必须通过手工将连接诧音设备的端口加入或退出VoiceVLAN中,这样才能保证VoiceVLAN功能生效。
执行voice-vlanmac-addressmac-addressmaskoui-mask[descriptiontext]命令,用来配置VoiceVLAN的OUI地址。
OUI地址表示一个MAC地址段。
交换机将48位的MAC地址和掩码的对应位做“不”运算可以确定出OUI地址。
接入设备的MAC地址和OUI地址匹配的位数,由掩码中全“1”的长度决定。
例如,MAC地址为0001–0001–0001,掩码为FFFF-FF00–0000,那么将MAC地址不其相应掩码位执行“不”运算的结果就是OUI地址0001–0000–0000。
只要接入设备的MAC地址前24位和OUI地址的前24位匹配,那么使能VoiceVLAN功能的端口将认为此数据流是诧音数据流,接入的设备是诧音设备。
执行displayvoice-vlanstatus命令,可以查看诧音VLAN的信息,包括状态、工作模式、老化时间、以及使能了诧音VLAN功能的端口信息。
Add-Mode字段表明诧音VLAN的添加模式。
自劢模式中,使能了诧音VLAN功能后,端口可以自劢加入到诧音VLAN。
如果诧音设备发送的报文的MAC地址匹配了OUI,连接该诧音设备的端口也会加入诧音VLAN。
如果在老化时间内,端口没有收到诧音设备的任何诧音数据报文,端口自劢会被删除。
手劢模式中,在端口上使能了语音VLAN功能之后,必须手劢把端口添加到诧音VLAN中。
Security-Mode字段表示VoiceVLAN端口的工作模式,有两种:
1.正常模式:
可以传输诧音数据和业务数据,但是容易受到恶意数据
流量的攻击。
2.安全模式:
只允许传输诧音数据流。
安全模式可以防止VoiceVLAN
受到恶意数据流量的攻击,但是检查报文的工作会占用一定的系统
资源。
Legacy字段表明端口是否开启不其他厂商诧音设备互通的功能,
Enable表示开启,Disable表示关闭。
GARP和GVRP
GARP(GenericAttributeRegistrationProtocol)全称是通用属性注册协议,它为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息(VLAN属性、组播地址等)的手段。
GVRP是GARP的一种具体应用或实现,主要用于维护设备动态VLAN属性。
通过GVRP协议,一台交换机上的VLAN信息会迅速传播到整个交换网络。
GVRP实现了LAN属性的动态分发、注册、传播,从而减少了网络管理员的工作量,也能保证VLAN’配置的正确性。
GVRP的实现必须满足三个条件:
1.链路类型必须是Trunk,并且允许所有vlan通过
2.在全局模式下使能gvrp
3.在接口下使能gvrp
默认的注册模式为normal(其他两个是fixed、forbidden)
HDLC和PPP原理和配置
ISO指定的HDLC是一种
PPP链路建立过程描述:
1.Dead阶段称为物理层不可用阶段。
当通信双方的两端检测到物理线路激活时,就会从Dead阶段迁移至Establish阶段,及链路建立阶段。
2.在Establish阶段,PPP链路进行LCP参数协商。
协商内容包括最大接收单元(MRU)、认证方式、魔术字(MagicNumber)等选项。
LCP参数协商成功后,会进入Opened状态,表示底层链路已经建立。
3.多数情况下,链路两端的设备是需要经过认证阶段(Authenticate)后才能够进入到网络层协议阶段。
PPP链路在缺省情况下是不要求进行认证的。
如果要求认证,则在链路建立阶段必须制定认证协议。
认证方式是在链路建立阶段双方进行协商的。
如果在这个阶段再次受到了Configure-request报文,则又会返回到链路建立阶段。
4.在Network阶段,PPP链路进行NCP协商。
通过NCP协商来选择和配置一个网络层协议并进行网络层协商。
只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。
如果这个阶段收到了Configure-Request报文,也会返回到链路建立阶段。
5.NCP协商成功后,PPP链路将保持通信状态。
PPP运行过程中,可以随时中断链接,例如物理链路断开、认证失败、超时定时器时间、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。
6.在Terminate阶段,如果所有的资源都被释放,通信双方回到Dead阶段,直到通信双方重新建立PPP连接。
PPP采用了与HDLC协议类似的帧格式:
1.Flag与标识一个物理帧的起始和结束,该字节为二进制序列01111110(0X7E)。
2.PPP帧的地址域跟HDLC的地址域有差异,PPP帧的地址域字节固定为11111111(0XFF),是一个广播地址。
3.PPP数据帧的控制域默认为00000011(0X03),表明为无序号帧。
4.帧校验序列(FCS)是一个16位的校验和,用于检查PPP帧的完整性。
5.协议字段用来说明PPP所封装的协议报文类型,典型的字段值有:
0XC021代表LCP报文,0XC023代表PAP报文,0XC223代表CHAP报文。
6.信息字段包含协议字段中指定协议的数据包。
数据字段的默认最大长度(不包括协议字段)称为最大接收单元(MRUMaximumReceiveUnit),MRU的缺省值为1500字节。
如果协议字段被设立为0XC021,则说明通信双方正通过LCP报文进行PPP链路的协商和建立:
1.Code字段,主要是用来表示LCP数据报文的类型。
典型的报文类型有:
配置信息报文(ConfigurePackets:
0X01),配置成功信息报文(Configure-Ack:
0X02),中止请求报文(Terminate-Request:
0X05)
2.Identifier域为1个字节,用来匹配请求和响应。
3.Length域的值就是该LCP报文的总字节数据。
4.数据字段则承载各种TLV(Type/Length/Value)参数用于协商配置选项,包括最大接收单元,认证协议等。
此表格列出了LCP用于链路层参数协商所使用的四种报文类型:
1.Configure-request:
链路层协商过程中发送的第一个报文,该报文表明点到点双方开始进行链路层参数协商。
2.Configure-ACK:
收到对端发来的Configure-Request报文,如果参数取值完全接受,则以此报文响应。
3.Configure-Nak:
收到对端发来的Configure-Request报文,如果参数取值不被本端认可,则发送此报文并且携带本段可接受的配置参数。
4.Configure-Reject:
收到对端发来的Configure-Request报文,如果本端不能识别对端发送的Configure-Request中的某些参数,则发送此报文并且携带那些本端不能识别的配置参数。
LCP报文携带的一些常见的配置参数有MRU,认证协议,以及魔术字。
1.在VRP平台上,MRU参数使用接口上配置的最大传输单元(MTU)值来表示。
2.常用的PPP认证协议有PAP和CHAP,一条PPP链路的两端可以使用不同的认证协议认证对端。
但是被认证方必须支持认证方要求使用的认证协议并正确配置用户名和密码等认证信息。
3.LCP使用魔术字来检测链路环路和其他异常情况。
魔术字为随机产生的一个数字,随机机制需要保证两端产生相同魔术字的可能性几乎为0。
4.收到一个Configure-Request报文之后,其包含的魔术字需要和本地产生的魔术字进行比较,如果不同,表示链路无环路,则使用Configure-Ack报文确认(其他参数也协商成功),表示魔术字协商成功。
在后续发送的报文中,如果报文含有魔术字字段,则该字段设置为协商成功的魔术字。
如图所示,RTA和RTB使用串行链路相连,运行PPP。
当物理层链路变为可用状态之后,RTA和RTB使用LCP协商链路参数。
本例中,RTA首先发送一个Configure-Request报文,此报文中包含RTA上配置的链路层参数。
当RTB收到此Configure-Request报文之后,如果RTB能识别并接受此报文中的所有链路层参数,则向RTA回应一个Configure-Ack报文。
RTA在没有收到Configure-Ack报文的情况下,会每隔3秒重传一次Configure-Request报文,如果连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文,则认为对端不可用,停止发送
Configure-Request报文。
注:
完成上述过程只是表明RTB认为RTA上的链路参数配置是可接受的。
RTB也需要向RTA发送Configure-Request报文,使RTA检测RTB上的链路参数是不是可接受的。
当RTB收到RTA发送的Configure-Request报文之后,如果RTB能识别
此报文中携带的所有链路层参数,但是认为部分或全部参数的取值不能
接受,即参数的取值协商不成功,则RTB需要向RTA回应一个
Configure-Nak报文。
在这个Configure-Nak报文中,只包含不能接受的链路层参数,并且此
报文所包含的链路层参数均被修改为RTB上可以接受的取值(或取值范
围)。
在收到Configure-Nak报文之
升级会员 