H3CSE笔记-构建H3C高性能园区网络

-1-*层级化网络模型：接入层：1、为用户提供网络的访问接口；2、丰富大量的接口；3、接入安全控制；4、接入速率控制、基于策略的分类、数据包标记等；5、较少考虑冗余性。汇聚层：1、将接入层数据汇集起来，依据策略对数据、信息等实施控制；2、必要的冗余设计；3、复杂的策略配置。核心层：1、对来自汇聚层的数据进行尽可能快速的交换；2、强大的数据交换能力；3、稳定、可靠的高冗余设计；4、不配置复杂策略。*层级化网络模型的优点：1、网络结构清晰；2、便于规划和维护；3、增强网络稳定性；4、增强网络可扩展性。*模块化网络架构的益处：1、确定网络，边界清晰，流量类型清楚；2、便于规划，增加伸缩性；3、模块方便增删，降低复杂性；4、设计的完整性。*小型局域网：1、网络主机数量少，但都在同一广播域内；2、甚至还存在多个主机在同一冲突域内。*中型局域网：虚拟局域网的应用（隔离广播域）、三层交换的应用（解决路由转发的性能瓶颈）。*大型局域网：多个中型或小型网的组合，具有三层结构。核心层的结构：1、双机主备互连；2、多机环网互连；3、多机Full-Mesh。汇聚层的结构：1、双上行；2、路由备份。接入层的结构：1、单上行；2、双上行；3、交叉互连。*典型三级网络结构：1、核心汇聚路由备份；2、双核心；3、汇聚、接入双上行。*网络的单点故障：星形拓扑和树形拓扑的单点故障可能带来全网性故障。网状网络：1、多冗余链路避免单点故障带来的高风险；2、STP阻塞冗余链路避免环路的形成。以太环网：1、多核心环形链接提供核心链路的备份；2、接入双上行避免单点故障带来的风险；3、RRPP实现高效倒换。双归属网络：1、双核心双上行提供冗余备份；2、SmartLink阻断冗余链路，实现链路的毫秒级切换。三层路由网络：1、路由协议实现最短路径转发，冗余链路提供备份选择；2、ECMP提供负载分担。网关冗余备份：1、边缘网关运行VRRP提供网关的主备备份；2、多备份组+MSTP提供负载分担。IRF设备级备份：1、IRF堆叠实现设备级的N+1冗余备份；2、分布式链路聚合实现链路负载分担。*网络管理和维护：1、统一网管：拓扑发现、设备管理、Trap告警；2、日志集中管理；3、集群、堆叠应用简化管理；4、流量镜像，针对性监控，问题定位；5、NTP服务统一时间，日志、Trap有序管理。*MAC地址表：[MACAddress]---[VLANID]---[Port]*VLAN跨交换机转发的处理流程：（主机发出的帧不带vlan标记，进入交换机被打上端口vlan标记，出去时被去掉）*802.1Q帧格式：（Tag一共4字节；TPID：以太网类型(0x8100)代表802.1Q协议；Priority：优先级，主要做QOS用；CFI：老式TokenRing标识位。）*当数据帧经过Access端口PVID值与Trunk链路端口PVID值不同时，在trunk链路上带上原来PVID值Tag标签，当相同时可以不带Tag标签。（PVID：PortVlanID。PVID可以给帧打标记、去标记，它解读VID。）*Hybrid链路：（untag：局域网中无标记的。）1、允许多个VLAN通过，可以接收和发送多个VLAN的数据帧：2、Hybrid端口和Trunk端口的不同之处在于：1.Hybrid端口允许多个VLAN的以太网帧不带标签；2.Trunk端口只允许缺省VLAN-2-的以太网帧不带标签。*VLAN的划分方式：1、基于端口的VLAN（静态VLAN）；2、基于MAC地址的VLAN（动）；3、基于协议的VLAN（动）；4、基于IP子网的VLAN（动）。·VLAN的匹配顺序：*VLAN动态注册的背景：*GARP（GenericAttributeRegistrationProtocal）通用属性注册协议。GARP提供了一种通用机制供桥接局域网设备相互之间（如终端站和交换机等）注册或注销属性值，如VLAN标识符。这样，属性信息在整个桥接局域网设备中传播开来，并且这些设备形成活动拓朴结构的一个子集－“可达性”树。GARP定义了结构、操作规则、状态机制以及变量来声明注册或注销属性值。交换机或终端站中的GARP参与者主要由连接端口或交换机的GARP应用程序和GARP信息声明（GID）两部分构成。具有相同网桥应用程序的GARP参与者之间的信息传播是由GARP信息传播部分（GIP）完成的。参与者之间通过LLC服务类型1实现协议交换过程，其中采用的是MAC地址组和GARP应用程序定义的PDU格式。GARP是针对IEEE802.1D（生成数协议）规范的IEEE802.1P扩展的一部分。GARP协议主要包括：1、GARP信息声明（GID）：GARP生成数据部分。2、GARP信息传播（GIP）：GARP数据分配部分。3、GARP组播注册协议（GMRP）：为参与者动态注册和注销连接相同局域网的MAC桥信息。·-3-*802.1QNativeVlan：为了提高转发速度，802.1Q使交换机对Vlan1的帧默认不打Tag。*对从企业A或B出来的帧打上双层Tag，一个是企业内部的Tag，一个是划出的TunnelPortVlan的Tag（用于云中的区别）。*GARP消息：为了高效控制属性的声明和注册，GARP提供了五种类型的消息：Empty、JoinIn、JoinEmpty、Leave、LeaveAll。GVRP端口注册模式：1、Normal模式：1.允许该端口动态注册或注销VLAN；2.传播动态VLAN以及静态VLAN信息。2、Fixed模式：1.禁止该端口动态注册或注销VLAN；2.只传播静态VLAN，不传播动态VLAN信息。3、Forbidden模式：1.禁止该端口动态注册或注销VLAN；2.不传播除VLAN1以外的任何VLAN信息。*GARP定时器：1、Hold定时器；2、Join定时器；3、Leave定时器；4、LeaveAll定时器。*Trunk端口配置命令：·配置端口的链路类型为Trunk类型：[Switch-Ethernet1/0/1]portlink-typetrunk·允许指定的VLAN通过当前Trunk端口：[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all}·设置Trunk端口的缺省VLAN：[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id*Hybrid端口配置命令：·配置端口的链路类型为Hybrid类型：[Switch-Ethernet1/0/1]portlink-typehybrid·允许指定的VLAN通过当前Hybrid端口：[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}·设置Hybrid端口的缺省VLAN：[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id*基于MAC地址的VLAN配置命令：·配置MAC地址所对应的VLAN及优先级：[Switch]mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypri]·开启端口的MACVLAN功能：[Switch-Ethernet1/0/1]mac-vlanenable·设置端口VLAN的匹配优先级：[Switch-Ethernet1/0/1]vlanprecedence{mac-vlan|ip-subnet-vlan}基于MAC地址的VLAN配置示例：-4-*基于协议的VLAN配置命令：·配置基于协议的VLAN，并指定协议模板：[Switch-vlan10]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx{ethernetii|llc|raw|snap}|mode{ethernetiietypeetype-id|llc{dsapdsap-id[ssapssap-id]|ssapssap-id}|snapetypeetype-id}}·配置Hybrid端口与基于协议的VLAN关联：[Switch-Ethernet1/0/1]porthybridprotocol-vlanvlanvlan-id{protocol-index[toprotocol-end]|all}基于协议的VLAN配置示例：*基于IP子网的VLAN配置命令：·配置当前VLAN与指定的IP子网关联：[Switch-vlan10]ip-subnet-vlan[ip-subnet-index]ipip-address[mask]·配置当前端口与基于IP子网的VLAN关联：[Switch-Ethernet1/0/1]porthybridip-subnet-vlanvlanvlan-id基于IP子网的VLAN配置示例：*配置GVRP：·开启全局GVRP功能：[Switch]gvrp·开启端口的GVRP功能：[Switch-Ethernet1/0/1]gvrp·配置GVRP注册模式：[Switch-Ethernet1/0/1]gvrpregistration{fixed|forbidden|normal}配置GARP定时器：·设置GARP的LeaveAll定时器的值：[Switch]garptimerleavealltimer-value·配置Hold定时器、Join定时器和Leave定时器：[Switch-Ethernet1/0/1]garptimer{hold|join|leave}timer-valueGVRP配置示例一：-5-GVRP配置示例二：GVRP配置示例三：*（1）Isolate-user-vlan技术产生背景：（Isolate：隔离）（2）Isolate-user-vlan技术基本原理：1、·Hybrid端口技术的应用所有端口都为Hybrid上行端口允许所有VLAN通过；·下行端口允许Isolate-user-vlan和自己的SecondaryVLAN；2、·MAC地址同步技术：各SecondaryVLAN学习的MAC地址同步到Isolate-user-vlan；·Isolate-user-vlan学习的MAC地址同步到各SecondaryVLAN。Isolate-user-vlan：上行设备感知的用户VLAN，它并不是用户的真正VLAN。SecondaryVLAN：用户真正属于的VLAN。-6-（3）Isolate-user-vlan技术功能：Isolate-user-vlan技术基本原理：*在园区网中，基于用户安全和管理计费等方面的考虑，运营商一般要求接入用户互相二层隔离。VLAN是天然的隔离手段，于是很自然的想法是每个用户一个VLAN。根据IEEE802.1Q协议规定，设备最大可使用VLAN资源为4094个。对于核心层设备来说，如果每个用户一个VLAN，4094个VLAN远远不够。为解决VLAN资源紧缺的问题，Isolate-user-vlan应运而生。支持Isolate-user-vlan功能后，可以将图1中的用户所在的VLAN（VLAN10～15）配置为SecondaryVLAN，将VLAN2和VLAN3配置为Isolate-user-vlan（如图2）。这样，DeviceA上只需配置VLAN2和VLAN3，节省了四个VLAN资源。·图1扁平的网络组网图：·图2Isolate-user-vlan功能示意图：·Isolate-user-vlan采用分层结构：上行的Isolate-user-vlan和下行的SecondaryVLAN。对上行设备来说只需识别Isolate-user-vlan，而不必关心Isolate-user-vlan中的SecondaryVLAN，从而节省了上行设备的VLAN资源。同时，将接入用户划入不同的SecondaryVLAN，可以实现用户之间二层报文的隔离。*（1）Isolate-user-vlan技术是