以太网交换机基础教材(PPT-98页)课件.ppt

1、以太网交换机基础程永椿程永椿 00742李李 博博 004042005/03/13LAN Switch Fundamental引入：网络帝国路由器（男主角）网络中的核心设备，提供丰富的接口连接、软件特性，也是构建网络的核心力量。以太网交换机（女主角）以太网交换机（女主角）提供各种以太网接口类型的线速转发功能，是构建局域网和城域网的核心力量。路由交换设备（反串）提供LAN交换板的路由器；提供增强型引擎的交换机 路由器和交换机的融合趋势越来越明显。其他设备（配角）网管、安全、语音、视讯设备，提供网络的管理或业务增值功能。链路层或物理层交换设备（剧务）ATM交换机、FR、X.25交换机、DDN节点机

2、、传输设备。对各种物理端口进行带宽或时隙的拆分。培训目标 了解以太网工作的基本机制 掌握二层交换机转发机制和流程（重要！） 掌握三层交换机转发机制和流程（重要！） 掌握三层交换机和路由器的区别 了解交换机的常用协议和技术（可选） 了解当前交换机主要厂商和产品（可选）培训大纲 以太网基本概念以太网基本概念 二层交换机基本原理 三层交换机基本原理 交换机相关协议和技术（可选） 交换机厂商和相关产品（可选）以太网发展简史IEEE802.3 以太网标准IEEE802.3u 100BASE-T快速以太网标准IEEE802.3z/ab 1000Mb/s千兆以太网标准IEEE802.3ae 10GE以太网标

3、准70年代80年代90年代以太网产生10M以太网发展成熟共享式转向LAN交换机100M快速以太网92年96年千兆以太网迅速发展万兆以太网出现2002年以太网工作机制 CSMA/CD：载波侦听与冲突检测-Carrier Sense Multiple Access/Collision Detection CS: 载波侦听 发送之前的侦听，确保线路空闲，减少冲突机会 MA: 多址访问 每个站点发送的数据，可以被多个站点接收 CD: 冲突检测： 边发送边检测，发现冲突后进行回退 回退： 检测到冲突后的处理：发现冲突就停止发送，然后延迟一个随机时间之后继续发送以太网帧格式Ethernet II DA ：

4、目的MAC地址 SA ：源MAC地址 Type ：帧类型（ARP，IP，RARP） Frame Load：有效载荷 FCS ：帧检测序列MAC地址Media Access Control，网络设备根据目的MAC来判断是否处理接收到以太网帧MAC地址是48 bit二进制的地址，前24位为供应商代码，后24为序列号 单播地址：第一字节最低位为0，如00-e0-fc-00-00-06多播地址：第一字节最低位为1，如 01-e0-fc-00-00-06广播地址：48位全1 ff-ff-ff-ff-ff-ff冲突域和广播域 物理网段（冲突域）：连接在同一导线上所有工作站的集合 逻辑网段（广播域）：限制以

5、太网广播报文的范围。一般来说，逻辑网段定义了第三层网络，如IP子网等。 以太网典型设备-Hub工作原理应用层表示层会话层传输层网络层链路层应用层表示层会话层传输层网络层链路层物理层物理层物理层H ub物理层Hub的缺陷HUB对所连接的LAN只做信号的中继，所有的物理设备构成了一个冲突域和广播域在主机数目较多的情况下： 冲突严重 广播泛滥全双工以太网 数据通过两种独立的路径传输和接收。 只存在两个节点，可以在同一时间对信息进行双向传输，而不会发生冲突。本章小结 以太网工作机制 CSMA/CD 以太网Ethernet II帧格式和MAC地址 概念：广播域和冲突域 典型设备HUB工作原理和缺陷 全双

6、工以太网培训大纲 以太网基本概念 二层交换机基本原理二层交换机基本原理 三层交换机基本原理 交换机相关协议和技术（可选） 交换机厂商和相关产品（可选）二层交换机基本交换过程 通过识别MAC进行SwitchABCD二层交换机工作模型应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层物理层物理层Sw i tch链路层链路层二层交换引擎 ASIC-Application Specific Integrated Circuit L2FDBLayer 2 forwarding databaseport1port2port3port4port5port6MACMACMAC

7、MACMACMAC二层交换引擎L2FDBSwitchASIC二层交换机转发处理流程M AC地址所在端口M AC A1M AC B1M AC C2M AC D2MACDMACA.端口2MACDMACA.端口1查MAC转发表(即L2FDB)处理转发对于表中不包含的地址，通过广播的方式转发使用地址自动学习(根据以太网帧的源MAC)和老化机制进行地址表维护一般不对帧格式进行修改二层交换机的局限性 二层交换机将网段上的冲突域限制到了端口级、但是无法限制广播域的大小。扁平二层网络 问题 广播泛滥，网络性能差 网络安全性差 解决方法 在二层交换机上引入VLAN功能VLAN的基本作用 Virtual Loca

8、l Area Network 相同VLAN内主机可以任意通信 二层交换 不同VLAN内主机二层流量完全隔离 阻断广播包，减小广播域 提供了网络安全性 相同VLAN跨设备通信 实现虚拟工作组 减少用户移动带来的管理工作量VLAN的划分方法 基于端口划分 基于MAC地址划分 基于网络层(协议、IP地址、IP子网)划分 基于IP组播划分 基于组合策略划分基于端口VLAN的划分 建议VLAN和IP子网间是一对一的关系，便于管理VLAN和端口对应表虚虚拟网V V L LA A N N I ID DP P1 1P P2 2P P3 3P P4 4P P5 5P P6 6P P7 7P P8 8P P9 9

9、工程部1市场部2销售部3VLAN标准（12比特彻底改变了以太网！） VLAN的标准： 802.10，Cisco在1995年提出 802.1Q，IEEE于1996 制定DestSrcDataLen/EtypeFCS662224.DestSrcFCSDataLen/EtypeVLAN实现虚拟工作组Access和Trunk链路 Access链路 连接Access链路的交换机端口称为Access端口 帧在Access链路上转发不带VLAN Tag 交换机Access端口接收到以太网帧后，按照端口所在VLAN加上VLAN Tag，然后进行转发 帧从Access端口发送出去，帧中的VLAN Tag会被去掉

10、 Trunk链路 连接Trunk链路的交换机端口称为Trunk端口 帧在Trunk链路上转发带VLAN Tag，因此允许多个VLAN的帧在Trunk链路上转发 交换机Trunk端口接收到以太网帧后，需要判断该Trunk端口是否允许帧中VLAN ID对应的VLAN通过。若允许，则进行转发；否则要直接丢弃该帧 帧从Trunk端口发送出去，VLAN Tag一般不会被去掉支持VLAN的二层交换引擎MACMACMACMACMACMAC 二层交换引擎L2FDBL2FDBL2FDB 支持VLAN二层交换机地址学习方式IVL： Independent VLAN Learning；SVL： Shared VLA

11、N Learning；MAC1 VLAN1 PORT1MAC2 VLAN1 PORT2MAC2 VLAN2 PORT3MAC3 VLAN3 PORT3MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVL支持VLAN二层交换机转发流程-IVL根据帧内Tag Header的VLAN ID查找L2FDB表，确定查找的范围；根据目的MAC查找出端口，图中应该从端口2转发出去；如果在L2FDB表中查找不到该目的MAC，则该报文将通过广播的方式在该VLAN内所有端口转发；同时该以太网帧的源MAC将被学习到接收到报文的端口上，即端口1（VLAN 2）；

12、L2FDB表中的MAC地址通过老化机制更新；在转发的过程中，不会对帧的内容进行修改 VLAN I DM AC地址所在端口2M AC A13M AC B13M AC C22M AC D2端口1MACDMACA.VLAN 2端口2端口2MACDMACA.VLAN 2支持VLAN二层交换机转发流程-SVL根据帧的目的MAC查MAC转发表(即L2FDB)，查找相应的出端口。根据现有L2FDB表，报文应该从端口2发送出去；判断出端口的VLAN ID和报文Tag Header内的VLAN ID是否匹配，匹配则转发，不匹配则丢弃；如果在L2FDB表中查找不到该目的MAC，则判断出端口的VLAN ID和报文T

13、ag Header内的VLAN ID是否匹配，不匹配直接丢弃；匹配则在该VLAN内广播；L2FDB表中MAC地址通过老化机制来更新；在转发的过程中，不会对帧的内容进行修改端口1MACDMACA.VLAN 2端口2端口2MACDMACA.VLAN 2M AC地址所在端口M AC A1M AC B1M AC C2M AC D2支持VLAN交换机的广播域和冲突域本章小结 交换机的基本转发原理 根据MAC进行转发 VLAN产生的背景 传统交换机不能限制广播域 安全性差 VLAN的基本概念 标签的定义，VLAN的范围 VLAN的划分方法 Access链路和Trunk链路 支持VLAN的交换机的转发流程（

14、可选，了解即可） 地址学习方式为SVL的转发流程 地址学习方式为IVL的转发流程培训大纲 以太网基本概念 二层交换机基本原理 三层交换机基本原理三层交换机基本原理 交换机相关协议和技术（可选） 交换机厂商和相关产品（可选）80/20规则通常，我们按照组织内的工作单位将网络主机划分到一个个的逻辑网络内，从而将这些主机的大部分流量限制在一个比较小的范围内，以减少对其他主机的影响，并降低网络主干的负载。在这样的划分下，传统网络中的数据流量模式遵循80/20规则（传统园区网络流量模式）20/80规则 新兴园区网流量模式:流量模式演变带来的影响 传统的路由器在新兴20/80流量规则面前显的无能为力： 解

15、决办法：使用三层交换机来替代路由器三层交换技术和L3的提出二层交换技术极大的提升了以太网的性能，但仍然不能完全满足局域网的需要；为了将广播和本地流量限制在一定的范围内，交换式以太网采取划分逻辑子网（VLAN）的方式；VLAN间的互通传统上需要由路由器来完成，但路由器配置复杂，造价昂贵，而且转发速度容易成为网络的瓶颈；新20/80规则的兴起，80%的流量需要跨越VLAN，路由器不堪重负VLAN1VLAN2VLAN3传 统 路 由 器 整 机 64字节 包 转 发 能 力 通 常 100,100ppsLANSwitch单 个 100M端 口 64字 节 包 转 发 能力 148,810pps三层交

16、换机基本特征 三层交换机与传统路由器具有相同的功能： 根据IP地址进行选路 进行三层的校验和 使用生存时间（TTL） 对路由表进行更新和维护 二者最大的区别 三层交换采用ASIC硬件进行包转发 而传统路由器采用CPU进行包转发 相比于传统路由器三层交换具有以下优点： 基于硬件的包转发，转发效率高 低时延 低花费 三层交换机实质就是一种特殊的路由器，有很强交换能力而价格低廉的路由器。三层交换机功能模型ETH0:10.153.0.254/24ETH1:10.153.1.254/24ETH2:10.153.2.254/2410.153.0.113/24G:10.153.0.254/2410.153.

17、1.8/24G:10.153.1.254/2410.153.1.11/24G:10.153.1.254/2410.153.2.22/24G:10.153.2.254/24VLAN SwitchLayer3 Switch三层交换引擎MACMACMACMACMACMAC 二层交换引擎L2FDBL2FDBL2FDB L3FDB三层交换引擎IP网络规则主机IP/掩码/目的主机IP确定目的主机是否在本地网络内ARP请求目的主机MACARP查找设定网关MAC网关MAC填入以太网帧三层交换完成通信目的MAC填入以太网帧二层交换完成通信在本地网络内不在本地网络内三层交换机选择二层或三层交换目的MAC是否为三层

18、接口MAC三层交换VLAN间转发是否检查VLAN属性以太网帧输入二层交换VLAN内转发三层交换过程V1:10.153.80.1/24MAC:0-0-1V2:10.153.90.1/24MAC:0-0-2A :10.153.80.10/24MAC:0-0-AB :10.153.80.11/24MAC:0-0-BC :10.153.90.20/24MAC:0-0-CArp请求ARP应答Arp请求ARP应答0-0-10-0-A10.153.80.1010.153.90.200-0-C0-0-210.153.80.1010.153.90.20路由器选路-最长匹配根据报文的目的地址，与路由项进行匹配操作

19、；匹配的动作是用报文目的地址与路由项的子网掩码进行“与”；如图 目的IP10.111.1.88和各表项子网掩码“与”的结果如下10.111.1.88 & 255.255.0.0 10.111.0.010.111.1.88 & 255.255.255.0 10.111.1.010.111.1.88 & 255.255.0.0 10.111.0.0如果“与”的结果和路由项中网络地址相同，则认为路由匹配所有匹配项中子网掩码位数最长的为最佳匹配项，报文据此进行转发（从该表项对应接口发送）如果找不到匹配项，则根据缺省路由0.0.0.0/0进行转发如果没有缺省路由则报文被丢弃 路由表和FIB表网络地址子网

20、掩码接口编号其他10.111.0.0255.255.0.03.10.111.1.0255.255.255.02.10.119.0.0255.255.0.02.Intf 1Intf 2Intf 3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.交换机选路 交换机的报文选路转发通过ASIC硬件进行，效率大大超过路由器； 交换机除了支持最长匹配转发外（和路由器

21、相同），还支持精确匹配转发 L3FDB表是三层交换机转发的基础 三层交换机转发-精确匹配（流转发）支持精确匹配转发的L3FDB是类似于二层交换机MAC地址表的Cache；交换机根据报文的目的IP在L3FDB表中进行查找；对于能够在此“Cache”命中的报文，则直接根据表项的端口信息进行转发；不能在“Cache”命中的报文将被送到CPU进行软件路由，路由的原理和路由器完全相同的最长地址匹配；软件路由后将把该目的IP添加到L3FDB表中；如果表项长期不被刷新则会被老化掉；因此，通过多次地址学习就可以把表项逐一加进来，这样后续的流量就可以直接Cache命中，不需要软件路由。这就是三层交换机所谓的“一

22、次路由，多次交换”。 网络地址路由接口端口号其他10.111.1.8812.10.111.1.9912.10.119.6.19933.Port 1Port 2Port 3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.三层交换机转发-最长匹配（逐包转发）最长匹配转发也依赖于L3FDB；L3FDB转发项通过FIB表项下发建立起来；对于能够在此“Cache”

23、命中的报文，则直接进行转发。”Cache”方式采用最长匹配算法；不能在“Cache”命中的报文将被转发到CPU进行软件路由，路由的原理和路由器完全相同的最长地址匹配。 网络地址子网掩码VLAN接口其他10.111.0.0255.255.0.03.10.111.1.0255.255.255.02.10.119.0.0255.255.0.02.VLAN Intf1VLAN Intf2VLAN Intf3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:10.110.0.113DIP:10.111

24、.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.逐包转发引擎保护设备本身网络地址子网掩码接口编号其他10.111.0.0255.255.0.03.10.111.1.0255.255.255.02.10.119.0.0255.255.0.02.Intf 1Intf 2Intf 3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx

25、-xx-xx网络地址路由接口端口号其他10.111.1.8812.10.111.1.9912.10.119.6.19933.Port 1Port 2Port 3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.流转发模式无法适应网络的动荡，更严重的是在流转发模式无法适应网络的动荡，更严重的是在“冲击波冲击波”等网络蠕虫病等网络蠕虫病毒发作时可能会使全网陷于

26、瘫痪！毒发作时可能会使全网陷于瘫痪！逐包转发模式即使在加载大量路由、网络路由频繁波动、网络蠕虫极其严逐包转发模式即使在加载大量路由、网络路由频繁波动、网络蠕虫极其严重的情况下，仍然保证重的情况下，仍然保证IPIP报文的线速转发，因而可以保障正常业务的运行。报文的线速转发，因而可以保障正常业务的运行。物理接口与三层接口Eth1: 2.2.2.2/24Eth0: 1.1.1.1/24Eth0/1Eth0/2Eth0/3Eth0/4VLAN2:2.2.2.2/24VLAN1:1.1.1.1/24路由器和三层交换机比较实际上三层交换机和路由器并没有绝对的区别，往高端上其技术是融合的。项目路由器三层交换

27、机端口类型非常丰富，几乎可以支持所有通信端口比较单一，主要支持以太网，在骨干级设备上才会支持POS和ATM转发实现途径主要以CPU加软件实现为主。（GSR是实现硬件的路由）由硬件ASIC实现转发路由算法最长匹配第一包路由，以后做精确匹配或者最长匹配包转发率低高成本高低二层交换不支持支持三层接口和物理接口对应关系一一对应一个VLAN三层接口可以包含多个物理接口本章小结 三层交换机基本原理和功能模型 三层交换流程 三层交换机的精确匹配转发 三层交换机的最长匹配转发 三层交换机与路由器的异同培训大纲 以太网基本概念 二层交换机基本原理 三层交换机基本原理 交换机相关协议和技术（可选）交换机相关协议和

28、技术（可选） 交换机厂商和相关产品（可选）自协商机制 解决不同速率以太网速率兼容性问题 自协商功能完全由物理层芯片设计实现，因此并不使用专用数据报文或带来任何高层协议开销 自协商的内容包括速率、双工、流控等 注： 若对端设备不支持自协商，缺省假设：链路工作于半双工模式 千兆以太网的自协商机制已经实现 智能MDI/MDIX识别Transmit PairReceive PairTransmit PairReceive PairReceive PairTransmit Pair不需要知道电缆另一端为MDI还是MDIX设备两种电缆（普通、交叉）都可连接交换机、集线器或NIC设备消除由于电缆配错引起的连

29、接错误简化10/100M网络安装维护，降低开销Transmit PairReceive Pair直连网线交叉网线流控机制 网络拥塞一般是由于线速不匹配（如100M向10M端口发送数据）和突发的集中传输而产生的，它可能导致这几种情况：延时增加、丢包、重传增加，网络资源不能有效利用。 结论：在链路层解决缓冲区溢出的问题 半双工网络后退压力算法(backpressure) 全双工网络PAUSE帧(IEEE802.3x)半双工流控 后退压力算法(backpressure) 基于CSMA/CD算法，网络上设备都会监听网络以确定网络是否可用，当设备的资源不足时就会启动流量控制，发送一组载波信号脉冲串（假冲

30、突信号），设备检测到网络上的载波信号就会认为网络由于正在被其他设备使用而发生冲突，半双工网络上的其他站点就会停止发送数据。全双工流控 IEEE802.3x 发送PAUSE帧 是特定的一种MAC控制帧 特定的组播目的地址，送CPU处理，不会转发操作代码0 x0001类型=0 x88082字节pause-ti m e源地址目的地址：01-80-C2-00-00-01保留0帧校验POE供电标准，802.3af标准，2003.6正式批准，全球统一的电源接口可靠，实现了集中式电源供电方便，网络终端不需外接电源，只需要一根网线802.3af标准定义了两种设备PSE和PDPSE Power-Sourcing

31、 Equipment 供电设备PD Powered Device 受电设备端口流量镜像 作用 查看网络中某个或某些端口流量，用于故障定位和分析 设置方法 设置监控端口，被镜像端口。ASIC将被镜像端口所收发的报文同步地拷贝一份给监控端口。 被镜像端口可以是一个端口，也可以是一组端口 监控端口具有普通业务口的功能被镜像端口监控端口生成树协议Spanning-Tree Protocol 采用STP生成树协议，可以有效的管理冗余链路： 阻断环路 链路备份 协议标准IEEE 802.1DSTP掌管着端口的转发大权“小树枝抖一抖，上层协议就得另谋生路”。STP基本原理Switch ASwitch BSw

32、itch CSwitch DROOTBPDU BPDUBridge Protocol Data UnitSTP/RSTP/MSTP STP：IEEE Std 802.1D-1998定义，不能快速迁移。即使是在点对点链路或边缘端口，也必须等待2倍的forward delay的时间延迟，网络才能收敛。 RSTP：IEEE Std 802.1w定义，可以快速收敛，却存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按vlan阻塞冗余链路。 MSTP：IEEE Std 802.1s定义，它允许不同VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。MSTP基本原理Switch AS

33、witch BSwitch CSwitch DVLAN 2 ROOTBPDU BPDUBridge Protocol Data UnitVLAN 3 ROOTTrunk VLAN2, 3VLAN2VLAN3VLAN3VLAN2GARP协议 GARP（Generic Attribute Registration Protocol）是一种通用的属性注册协议，它为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的一种手段。如VLAN、多播组地址等declarationregisterwithdraw declarationderegisterS2S1GARP基本原理a = 注册了的属性

34、A = 属性声明属性会通过GARP“声明注册声明”的过程传播到整个网络域中S1S2S3GARP的应用 GARP本身不作为一个实体在Switch中存在 遵循GARP协议的应用实体称为GARP应用 目前主要的GARP应用为GVRP和GMRP GVRP-维护Switch中的VLAN动态注册信息 GMRP-维护Switch中的动态多播组注册信息 CISCO特性协议VTP(VLAN Trunk Protocol)，其实现功能与GVRP类似端口聚合Link Aggregation Link Aggregation-将两个以上的端口捆绑在一起 增加上行端口带宽 链路备份 负载分担 聚合方式 手工聚合 LAC

35、P-Link aggregation control protocol 端口聚合的三种模式(MAC) Ingress Ingress-egress Egress 目前也有根据IP实现负载分担Isolate-user-vlan也称为PVLAN作用和目的节省汇聚交换机的VLAN资源二层隔离接入交换机不同端口下的用户用于多播VLAN类似概念: VLAN透传接入交换机汇聚交换机VLAN1VLAN2VLAN3VLAN4VLAN6VLAN5VLAN7VLAN8Isolate-user-vlan 6Isolate-user-vlan 5为什么二层需要支持多播多播：只传递数据给有接收者的那些链路多播方案 方案

36、1：VLAN定义多播的边界 方法不灵活，对VLAN数目要求高 方案2：GMRP 目前没有第三方客户端支持 方案3：CGMP Cisco私有协议 方案4： IGMP Snooping IGMP Snooping原理 二层交换机截获主机和路由器之间传送的IGMP报文，建立多播MAC和端口的对应表，从而控制多播报文在二层交换机上的转发。网络IGMPIGMPIGMP Snooping应用二层交换机侦听用户发往组播路由器的IGMP数据报文，明确端口的多播成员QinQvMANvMANDomainADomainB QinQ双Tag，用于虚拟城域网vMANSuperVLAN作用和目的节省交换机路由接口数目节约

37、IP地址SuperVLAN只建立三层接口，不包含物理端口Subvlan包含物理端口，但不能建立三层接口SuperVLAN内通信通过ARP Proxy实现接入交换机汇聚交换机VLAN1VLAN2VLAN3VLAN4Trunk VLAN3,4Trunk VLAN1,2SuperVLAN7:subvlan1,2SuperVLAN8:subvlan3,4QOS/ACL ACLAccess Control List 访问控制列表 QOSQuality of Service 服务质量 不同于路由器，ACL和QOS功能都基于ASIC芯片实现 QOS主要功能 CAR（Committed Access Rate

38、） 优先级标记 流量统计 报文重定向 流镜像 SP/WRR/WFQ队列调度方式 QOS-profile a set of QoS rules 提供了一种有效的访问策略组织形式 与用户绑定，基于8021X认证在端口上下发IEEE 802.1X基本概念 提出背景解决以太网的可运营可管理 认证策略基于端口进行接入控制(Port-Based Access Control) 认证基本原理 认证成功，“打开”端口，允许文所有的报文通过 认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过

39、802.1X认证体系结构8021X相关 Central MAC AuthenticationMAC地址认证 不需要任何客户端软件 交换机在首次检测到此用户的新MAC地址以后，启动对此用户的认证 MAC地址作为用户名和密码 认证过程与1X认证一致 DUD Authentication MAC绑定端口动态MAC地址学习数目端口限制 过滤未认证MAC所有的流量Portal认证 什么是PORTAL？ 在英语中的原意是大门、正门的意思 在IT行业一般将PORTAL称为门户网站 PORTAL认证通常也称为WEB认证，可以免客户端 认证方式 强制PORTAL 主动PORTALPORTAL系统组成 PORTA

40、L系统四要素 客户端 控制单元 PORTAL服务器 认证计费服务器客户客户PORTAL服务器认证计费服务器接入设备(控制单元)802.1X/PORTAL/PPPoE 每种方法都有它存在的理由，它们之间是互补的关系 相比较而言PORTAL认证和802.1x更加受运营商的欢迎 PORTAL认证是宽带网络生态系统中一种比较高级的形态，而802.1x是一种比较低级的形 态，满足低成本低附加值的需求集群管理Command SwitchStandby SwitchMember SwitchCandidate SwitchSNMP/HTTP/FTP Server优点 集中管理 统一维护 节省公网IPWEB网

41、管以太网交换机提供一个内置的WEB Server，网管客户端通过浏览器，使用HTTP协议向WEB Server请求交换机的管理网页。管理网页上嵌有功能强大的JAVA Applet小程序，JAVA Applet小程序随着网页一起下载到网管客户端，并通过SNMPv3协议与SNMP Agent通讯，获取交换机上的配置数据，或者向交换机下达管理命令。从而达到管理交换机的目的。客户端：安装有标准的web浏览器IE4.0-6.0或Netscape4.0-6.0Html文件、jar文件保存在交换机的Flash中IRF 含义： 智能弹性架构（Intelligent Resilient Framework）。

42、组成： 多台设备互相连接起来形成一个“联合设备”。无论在管理还是在使用上，就成为了一个整体。 优点： 扩展端口数量和交换能力， 增强设备的可靠性 NDP堆叠（telnet方式，非严格意义上的堆叠）IRF组成UNIT1UNIT2UNIT3UNIT4IRF FabricUser PortFabric PortIRF三个主要特征 DDM（分布式设备管理）（分布式设备管理） 整个Fabric可以作为一台整体设备进行管理 管理方式可以是CONSOLE、SNMP、TELNET、WEB等多种方式 DRR（分布式弹性路由）（分布式弹性路由） Fabric的多个设备对外表现为一台单独的三层交换机 整个Fabri

43、c作为一台设备进行路由功能和转发功能 Fabric内单个Unit发生故障时，路由协议和数据转发可以不中断 DLA（分布式链路聚合）（分布式链路聚合） 支持跨Unit的链路聚合 在Unit之间实现负载分担和链路备份IRF应用接入交换机802.3ad LACP802.3ad LACP802.3ad LACP与路由器相同的主要特性 单播路由协议 RIP OSPF BGP IS-IS 多播路由协议 IGMP PIM-SM/PIM-DM MSDP NTP/DHCP-server/DHCP-relay/VRRP Quidview网管 .本章小结 端口特性(端口自协商、MDI/MDIX自识别、端口流控机制、

44、POE供电、端口镜像） 二层协议和特性（STP/RSTP/MSTP、GARP/GVRP/GMRP、聚合特性、Isolate-user-vlan、二层多播、QinQ） 三层特性(SuperVLAN) QOS/ACL 安全特性（8021X、MAC地址认证/DUD、PORTAL） 管理特性（集群、WEB网管） IRF堆叠培训大纲 以太网基本概念 二层交换机基本原理 三层交换机基本原理 交换机相关协议和技术（可选） 交换机厂商和相关产品（可选）交换机厂商和相关产品（可选）业界主要交换机厂商 Cisco 3Com Extreme Foundry Nortel Riverstone 港湾 实达 .Huaw

45、ei-3com主要交换机产品S8500系列S6500系列S5500系列、S5600系列S3500系列、S3900系列S3000和S2000系列Cisco主要交换机产品6500系列3750系列3550系列2950系列Extreme主要交换机产品BlackDiamond系列Summit系列Alpine系列Foundry主要交换机产品BigIron系列FastIron系列EdgeIron系列谢 谢 !欢迎交流1、先天下之忧而忧；后天下之乐而乐。范仲淹2、捐躯赴国难，视死忽如归。曹植3、近乡情更切，不敢问来人。宋之问4、气蒸云梦泽；波撼岳阳城。孟浩然5、中夜四五叹，常为大国忧。李白6、国耻未雪，何由成

46、名？李白7、当须徇忠义，身死报国恩。李希仲8、科学虽没有国界，但是学者却有他自己的国家。巴斯德9、虚荣的人注视着自己的名字，光荣的人注视着祖国的事业。马蒂10、爱国主义就是千百年来固定下来的对自己的祖国的一种最深厚的感情。列宁11、利于国者爱之，害于国者恶之。晏婴12、常思奋不顾身，而殉国家之急。司马迁13、爱国如饥渴。班固14、一身报国有万死，双鬓向人无再青。陆游15、死去原知万事空，但悲不见九州同。王师北定中原日，家祭无忘告乃翁。陆游16、人生自古谁无死，留取丹心照汗青。文天祥17、天下兴亡，匹夫有责。顾炎武18、南北驱驰报主情，江花边草笑平生。一年三百六十日，都是横戈马上行。戚继光19、

47、瞒人之事弗为，害人之心弗存，有益国家之事虽死弗避。吕坤20、各出所学，各尽所知，使国家富强不受外侮，足以自立于地球之上。詹天佑21、做人最大的事情是什么呢？就是要知道怎样爱国。孙中山22、我们爱我们的民族，这是我们自信心的泉源。周恩来23、为中华之崛起而读书。周恩来24、以身许国，何事不敢为？岳飞25、夜视太白收光芒，报国欲死无战场！陆游26、位卑不敢忘忧国。陆游27、寄意寒星荃不察，我以我血荐轩辕。鲁迅28、中国自古以来，就有埋头苦干的人，就有拼命硬干的人，就有为民请命的人，就有舍身求法的人。他们是中国的脊梁。鲁迅29、惟有民魂是值得宝贵的，惟有它发扬起来，中国人才有真进步。鲁迅30、我们中

48、华民族有同自己的敌人血战到底的气概，有在自力更生的基础上光复旧物的决心，有自立于世界民族之林的能力。毛泽东31、与其忍辱生，毋宁报国死。何香凝32、锦绣河山收拾好，万民尽作主人翁。朱德33、人民不仅有权爱国，而且爱国是个义务，是一种光荣。徐特立34、爱国的主要方法，就是要爱自己所从事的事业。谢觉哉35、中国是古老的民族，也是勇敢的民族。中华民族有两大优点：勇敢，勤劳。这样的民族多么可爱，我们爱我们民族（当然其他民族也有他们可爱之处，我们决不忽视这一点），这是我们自信心的泉源。周恩来36、真正的爱国者是爱人类的，爱国决不是排外。马铁丁37、爱国主义就是千百年来巩固起来的对自己的祖国的一种最深厚的感情。列宁38、必须经过祖国这一层楼，然后更上一层楼，达到人类的高度。罗曼罗兰39、黄金诚然是宝贵的，但是生气蓬勃的勇敢的爱国者却比黄金更为宝贵。林肯