CNS_DOC_09060206 多层交换

1234为了减少局域网内的广播流量、提高网络的可用性和安全性，因此对局域网进行了VLAN的划分。可是，这就导致了一个问题——VLAN间数据无法互相传输的问题。5解决的一个方法是：让路由器为不同的VLAN提供路由功能。这时每隔VLAN都需要有路由器的物理接口作为网关，则VLAN20与VLAN10可以通过路由器实现VLAN间路由。6如果采用物理接口，当VLAN过多时，则路由器的物理接口难以满足要求。为了解决这样一个问题就产生了一种单臂路由器的解决方案。即是将物理接口划分为许多子接口，每个子接口对应一个VLAN，作为VLAN的网关。与路由器直连的交换机的端口必须设置为trunk端口。7配置单臂路由器的方法虽然可以解决VLAN间路由的问题，但是路由器是基于软件转发的，处理能力有限。随着技术的发展，现在可以将交换机和路由器的功能集成在一起，则有了一种新的设备——三层交换机。三层交换机既有二层寻址功能，又有三层路由功能。因此提供了一种新的解决方案——配置SVI接口。SVI接口是为VLAN虚拟出来的一个接口，可以配置IP地址，本VLAN内的设备指这个接口的地址为网关。去往其他网段的数据交给作为网关的三层交换机处理。其中，交换机上将有多个SVI接口和IP地址，却只有一个MAC地址。三层交换机处理数据的流程分为2个步骤：首先进行2层处理，2层处理时发现数据是交给路由引擎时，才由3层引擎处理。2层处理的过程如下：1.数据进入接口，由进接口进行处理2.VACL处理过程3.进行2层的查找4.发现不是交给路由引擎的，则经由出的VACL5.匹配完QoS后，选择出去的接口，有可能是一个或者多个接口，需要看是否做了链路聚合或组播6.在出端口进入队列等待发送83层的处理过程与2层基本相同：只是在进行2层查找的时候多了一个处理流程。因为三层引擎有一个MAC地址，在二层查找的时候，如果目的MAC地址是三层引擎的地址，则交给三层引擎处理。处理过程如下：1.匹配RACL2.是否需要匹配策略，不需要则经由2层处理过程发送；需要匹配，则进行如下处理3.第三步进行三层查找4.匹配出去的ACL，转由二层发送的处理过程进行处理9在进行VLAN间或不同网段间通信时，需要对数据包进行重写。需要重写的字段包括5个部分：1.目的MAC地址2.源MAC地址3.TTL值4.三层校验和5.二层校验和改写时，目的IP地址和源IP地址不变10单播数据包改写原则：源和目的IP地址不变，MAC地址虽下一跳的改变而改变。11对于组播数据包来说，目的MAC地址也将保持不变。1213三层网络设备可以分成3个层次：控制层面、管理层面和数据层面。管理层面主要涉及命令的写入，SNMP以及SYSLOG。控制层面的主要功能是交换路由信息，形成路由表。数据层面的作用是根据路由表形成IP转发表对数据进行转发。1415将路由表下载到ASIC芯片中，通过硬件对数据进行转发，转发速度快。16华三的中高端三层交换机，使用比较普遍的是S7506这种型号。17不论Crossbar是否拥有交叉点的Buffer，Crossbar都支持在入口提供虚拟队列缓存，一般在N*N的Crossbar结构里每个线卡的入口都会提供N个虚拟队列，分别为每个输出的线卡缓存对应的数据包，这样，即使某线卡的数据包由于对应的输出线卡出现拥塞情况而暂停发送，如果后续的数据包（该线卡其它入口虚拟队列）对应着非拥塞的输出线卡，后续的数据包可以顺利地通过Crossbar进行转发，不因先到达数据包的暂停发送而造成线卡后续数据的拥塞，这就是我们常说的virtualoutputqueus（VOQ）技术。18虚拟输出队列提供了更快速的转发性能。19BufferlessCrossbar采用集中的调度，由于每个交叉点没有Buffer，数据转发需要入口和出口线卡直接端到端连接，如果直接处理变长数据包将因为极其复杂的调度和部分线卡的某些VOQ队列始终无法得到服务而产生严重的延迟或丢包，因此，商用的bufferlessCrossbar都只能处理固定长度的数据包（信元），当处理实际网络环境中长度不一的各种变长数据包时，Crossbar需要对这些数据包进行分割成信元，信元通过Crossbar交换以后，在出口处进行重新的组装。包分割和组装带来了巨大的损耗，例如在以64字节为传输信元的Crossbar里，如果传输65字节（假设原来传输需要65ns），由于需要被划分成2个信元（128字节），系统必须能在每个32.5ns内处理一个信元（64字节）才能线速接收外部线卡输入的65字节数据包。仔细地研究BufferlessCrossbar的工作机制后发现，调度是集中的，在每一个信元传输过程中所有的入口和出口线卡直接端到端连接，在每一个信元时间内，不允许多个输入同时选择一个输出，而在BufferedCrossbar的工作机制里，调度由每个交叉点的缓存独立决定的，形成“分布式调度”，每个VOQ队列都尽力发送数据，如图中，2、3都同时发送数据到C（发送到交叉点的Buffer里），而1在发送给C的数据还没有被完全处理完之前已经发送数据给A，每个VOQ队列都尽力发送数据，在交叉点没有空闲的缓存时才通过背压流控方式间接地调整VOQ不再发送数据。调度变得非常简单，不需要判断每个线卡的VOQ，不需要配置整个系统的所有“输出输入线卡对”，不带来Crossbar的调度损耗。同时由于调度是相互独立的，不存在所有“输出输入线卡对”同步地从一个状态变化到另一个状态，因此，就不需同步每个数据包发送的结束时间，不需要单个的、定长的数据包，这种新的体系结构允许直接对非定长数据包进行*作，没有包分割和重组，这从根本上改变了整个系统。当包分割和重组不需要，而调度的损耗影响又不存在以后，BufferedCrossbar芯片不再需要进行内部的超速，可以充分发挥芯片的交换效率，外部的线卡达到了与Crossbar芯片相同的速率。2021A要访问B，则三层交换机会为它提供一次路由的功能，之后直接进行交换。在提供路由功能时，执行的是精确的查找。一次路由、多次交换的优点是路由一次后，其他的转发都由硬件处理。带来的问题是因为要处理数据，CPU的消耗加大；而且对设备的存储空间也提出了挑战。22交换机在进行数据三层转发前需要查询路由转发表，然后才能做出数据转发的决定，交换机的路由转发表由非主机路由表（包括直连路由、静态路由、动态学习到的路由）和主机路由表（二层用户直接连接到三层设备时的路由或由系统管理员设定的某指定主机路由）两大部分组成。在传统的交换机工作模式中，对数据三层转发均采用“一次路由、多次交换”的方式，即每种数据流的第一个数据包采用CPU软件实现路由，然后交换机把数据三层转发需要的相关信息表项下载到ASIC芯片，该数据流的后续数据包通过ASIC芯片采用流精确匹配（每种流一个表项）来硬件实现。因此，在传统的交换机工作模式下，存在两个明显的缺点：首先，每种数据流的第一数据包采用CPU软件实现路由，在数据流复杂（大型网络、应用繁多、病毒和攻击网络）的环境下，数据的三层转发将大量耗费CPU资源，不仅影响了路由的效率，而且CPU利用率过高后有可能导致设备死机；其次，由于采用了流精确匹配的硬件转发方式，在大型网络、应用繁多等数据流复杂的环境下对交换机的三层表项硬件存储空间是一个极大的挑战，尤其在病毒和攻击网络环境下，由于每个数据包都有可能是一个独立的数据流，能在很短时间内就使硬件存储空间溢出，从而导致其它的数据流只能使用纯CPU软件实现三层转发，在该设备状况下，交换机将迅速因为资源耗竭而瘫痪直接死机。针对传统交换机数据三层转发采用“一次路由、多次交换”方式的多种缺陷，RG-S6800E交换机通过LPM+HDR技术得到了很好的解决。最长匹配（LPM）三层交换技术可以解决传统方式“多次交换”中采用“流精确匹配”而带来存储空间压力过大的问题。最长匹配（LPM）技术支持直连路由、静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项，而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此，LPM技术的优点是极大地节约存储空间，拥有硬件缺省路由，所以，病毒和攻击数据可以通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正常运行。而主机直接路由（HDR）是用于解决CPU参与“一次路由”而引起CPU利用率过高问题的。主机直接路由（HDR）支持网络设备在软件路由表下一跳节点运行ARP协议时把该节点所关联的主机路由或非主机路由（网段路由）直接下载到硬件转发表。因此，没有了第一次CPU参与路由的效率影响，网络中的所有主机（Host）都可以通过硬件路由表（主机路由表和非主机路由表）进行直接路由。RG-S6800E采用了LPM+HDR相结合的硬件路由方式极大地提高了交换机的路由效率，并2324在建立了FIB和IPFDB表之后，三层交换机提供路由功能时，将根据IP地址前缀执行最长匹配的查找，然后根据结果找到目的MAC地址。整个处理过程均由ASIC芯片完成，即通过硬件来进行处理，速度很快。通过命令displayfib可以查看华三设备的FIB表的相关信息。2526通过命令displayipfdball查看根据ARP表生成的邻居关系表的相关条目。2728配置SVI接口的方法：系统视图下，输入interfacevlan-interfaceXX29查看interfacevlan-interfaceXX的相关信息：主要包括接口状态（up还是down），帧格式以及硬件信息。其中，两个情况会导致接口是down的状态。第一种是管理员手动关闭；第二种是相关VLAN下没有up的物理接口。30建立了SVI接口之后，就可以查看路由表了。这时可以看到相关路由条目，均为直连的。31在终端上使用带redirectsPing命令,将ICMP数据包提交引擎.如果仍然不能ping通InterfaceVlan则说明Engine问题。3233343536