二、三、四层交换机还傻傻搞不清?

01 二层交换机详解

二层交换机在网络中主要工作在数据链路层(OSI模型的第二层),其核心功能是基于MAC地址进行帧的转发和过滤。

与传统的集线器不同,二层交换机能够智能地学习每个端口连接设备的MAC地址,并根据这些信息将数据帧直接发送到目标设备,从而显著提高网络效率并减少不必要的广播流量。

MAC地址学习:

  • 当一个设备首次向交换机发送数据帧时,交换机会记录该设备的MAC地址及其对应的接口编号。这样,在后续通信中,它就可以准确地知道如何将帧传递给正确的接收者。

帧转发与过滤:

  • 一旦建立了MAC地址表,交换机就可以通过查找表来决定是否应该转发、丢弃或泛洪(即广播)接收到的数据帧。这种机制不仅提高了传输效率,还增强了网络安全

VLAN(虚拟局域网)技术:

  • VLAN允许逻辑上分离同一物理网络中的多个广播域,从而实现更灵活的网络分段和更好的资源管理。通过配置不同的VLAN,管理员可以限制特定组之间的直接通信,增加安全性并优化性能。

01 关键特性

MAC地址表

  • 动态学习:交换机自动学习并更新MAC地址表,无需手动配置。每当一个新的MAC地址出现在某个端口上,它就会被添加到表中。
  • 老化时间:为了防止MAC地址表无限增长,交换机会设置一个老化时间(通常为5分钟)。如果在此期间没有再次接收到来自该MAC地址的数据帧,则会将其从表中删除。

广播域与冲突域

  • 广播域:所有属于同一VLAN的设备构成一个广播域。二层交换机通过VLAN隔离不同广播域,减少了不必要的广播流量对网络性能的影响。
  • 冲突域:每个物理端口代表一个独立的冲突域。由于现代交换机采用全双工模式,因此理论上每个端口都是一个单独的冲突域,大大降低了冲突发生的可能性。

02 常见配置命令

创建和管理VLAN:

system-view
vlan <vlan-id>

配置Trunk端口和Access端口:

interface <interface-type> <interface-number>
port link-type trunk
port trunk allow-pass vlan <vlan-id-range>

interface <interface-type> <interface-number>
port link-type access
port default vlan <vlan-id>

实现链路聚合(LACP):

interface eth-trunk <eth-trunk-id>
lacp mode active

查看MAC地址表:

display mac-address

查看VLAN信息:

display vlan

03 故障排除技巧

环路形成:使用生成树协议(STP)来检测和防止网络中的环路。可以通过命令display stp查看STP状态。

VLAN配置错误:确保所有相关设备上的VLAN配置一致。使用命令display vlan检查当前的VLAN设置。

端口状态异常:使用命令display interface查看端口的状态信息,确认物理连接是否正常。

MAC地址表溢出:如果发现MAC地址表频繁更新或存在大量未知条目,可能是受到了MAC洪水攻击。此时应加强安全策略,如启用端口安全(Port Security)功能。

02 三层交换机详解

三层交换机在网络中不仅具备传统二层交换机的功能,还增加了第三层(网络层)的路由功能。这意味着它不仅可以基于MAC地址进行帧转发,还能解析IP地址并执行路由选择,从而实现跨VLAN和子网之间的通信。

相比传统的路由器,三层交换机通常具有更高的性能和更低的延迟,适合应用于需要频繁路由决策的企业园区网和数据中心环境中。

三层转发:

通过内置的路由引擎,三层交换机能够快速查找路由表,确定最优路径,并将数据包直接转发到目标网络或下一跳路由器。

SVI(Switched Virtual Interface):

每个VLAN可以配置一个逻辑接口(SVI),该接口拥有自己的IP地址,使得不同VLAN之间的通信可以通过三层交换机内部路由完成,而无需外部路由器介入。

01 关键特性

静态路由与动态路由协议

  • 静态路由:
  • 管理员手动配置特定目的地网络的路由条目。适用于小型、静态网络环境,易于管理和维护。
  • 动态路由协议:
  • RIP:一种较老的动态路由协议,适用于小型网络,收敛速度慢且开销较大。
  • OSPF:广泛使用的链路状态路由协议,适用于大型复杂网络,提供快速收敛和良好的扩展性。
  • BGP:用于自治系统(AS)之间通信的路由协议,适用于互联网服务提供商(ISP)和跨国企业网络。

子接口与逻辑接口

  • 子接口:在同一物理接口上创建多个逻辑接口,每个子接口对应不同的VLAN,允许单个物理端口承载多个VLAN流量。这在Trunk链路上特别有用。
  • 逻辑接口:如前所述,SVI是为每个VLAN配置的逻辑接口,用于实现VLAN间的三层通信。

02 常见配置命令

配置SVI:

interface Vlanif <vlan-id>
ip address <ip-address> <subnet-mask>

设置默认网关:

ip route-static 0.0.0.0 0.0.0.0 <next-hop-ip

启用并配置动态路由协议:

  • OSPF:
ospf <process-id>
area 0
network <network> <wildcard-mask> area 0
  • BGP:
bgp <as-number>
peer <peer-ip> as-number <peer-as-number>

查看路由表:

display ip routing-table

查看ARP缓存:

display arp

03 故障排除技巧

路由不可达:使用命令ping和tracert测试连通性,检查路由表是否正确配置了到达目标网络的路由。

子网划分不当:确保所有相关设备上的IP地址和子网掩码配置一致。使用命令display ip routing-table查看当前的路由信息。

路由协议故障:检查动态路由协议的状态,如OSPF邻居关系是否建立成功。使用命令display ospf peer查看OSPF邻居信息。

默认网关配置错误:确认默认网关是否正确配置,并且网关设备本身也能够正常工作。使用命令display ip routing-table检查默认路由是否存在。

03 四层交换机详解

四层交换机在网络中不仅具备二层和三层交换机的功能,还扩展到了传输层(OSI模型的第四层)。

这意味着它不仅可以基于MAC地址和IP地址进行数据包转发,还能解析TCP/UDP端口号,从而实现对应用层流量的更精细控制。四层交换机在负载均衡、服务质量(QoS)管理和安全策略实施方面具有显著优势,广泛应用于数据中心和服务提供商网络中。

基于端口的应用识别:

通过分析TCP或UDP报文头中的源端口和目的端口,四层交换机可以区分不同的应用程序流量,并据此做出相应的处理决策。

会话跟踪与状态检测:

四层交换机能够维护连接状态信息,确保每个会话的连贯性和安全性,这对于需要长时间保持连接的应用(如HTTP、FTP)尤为重要。

01 关键特性

会话跟踪与状态检测

  • 连接状态表:四层交换机内部维护一个连接状态表,记录每个活动会话的状态信息,包括源IP、目的IP、源端口、目的端口等。这使得它可以智能地判断哪些数据包属于同一个会话,并根据预先设定的规则进行处理。
  • NAT(网络地址转换):为了隐藏内部网络结构并增强安全性,四层交换机通常支持NAT功能。它可以将内部私有IP地址映射为外部公共IP地址,反之亦然,同时保留端口号以区分不同会话。

QoS(服务质量)与ACL(访问控制列表)

  • QoS策略配置:四层交换机可以根据应用类型优先级来分配带宽资源,确保关键业务流量得到优先处理。例如,对于视频会议或VoIP通话,可以通过设置高优先级队列保证其低延迟和高质量传输。
  • ACL规则应用:通过定义详细的ACL规则,四层交换机可以精确控制哪些类型的流量允许通过,哪些需要被阻止。这对于保护敏感数据和防止未经授权的访问非常有效。

02 常见配置命令

配置NAT:

nat address-group <group-id> <internal-ip> <external-ip>
interface GigabitEthernet0/0/1
nat outbound <acl-number> address-group <group-id>

设置负载均衡算法:

server-template <template-name>
load-balance algorithm least-connections

应用QoS策略:

qos policy <policy-name>
classifier <classifier-name> behavior <behavior-name>
interface GigabitEthernet0/0/1
qos apply policy <policy-name> inbound

配置ACL规则:

acl number <acl-number>
rule permit ip source <source-ip> destination <destination-ip>
interface GigabitEthernet0/0/1
traffic-filter inbound acl <acl-number>

查看会话表和流量统计信息:

display firewall session table
display qos statistics interface GigabitEthernet0/0/1

03 故障排除技巧

应用性能下降:使用命令display qos statistics检查是否有QoS策略导致了瓶颈现象。调整队列权重或增加带宽资源可能有助于改善性能。

安全策略失效:确认ACL规则是否正确配置,并且没有冲突的规则覆盖了关键流量。使用命令display acl all查看当前所有ACL规则。

NAT配置错误:确保NAT地址池和ACL规则匹配正确。使用命令display nat session查看当前的NAT会话信息,确认内外网地址转换是否正常工作。

负载均衡不均:检查负载均衡算法是否适合当前应用场景,并验证服务器健康状况。使用命令display server-template查看服务器模板配置,确保所有服务器都在正常工作。

版权声明:
作者:SE_YJ
链接:https://www.cnesa.cn/2910.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
打赏
海报
二、三、四层交换机还傻傻搞不清?
01 二层交换机详解 二层交换机在网络中主要工作在数据链路层(OSI模型的第二层),其核心功能是基于MAC地址进行帧的转发和过滤。 与传统的集线器不同,二层交换机能够智能地学习每个端口连接设备的MAC地址,并根据这些信息将数据帧直接发送到目标设备,从而显著提高网络效率并减少不必要的广播流量。 MAC地址学习: 当一个设备首次向交换机发送数据帧时,交换机会记录该设备的MAC地址及其对应的接口编号。这样,在后续通信中,它就可以准确地知道如何将帧传递给正确的接收者。 帧转发与过滤: 一旦建立了MAC地址表,交换机就可以通过查找表来决定是否应该转发、丢弃或泛洪(即广播)接收到的数据帧。这种机制不仅提高了传输效率,还增强了网络安全。 VLAN(虚拟局域网)技术: VLAN允许逻辑上分离同一物理网络中的多个广播域,从而实现更灵活的网络分段和更好的资源管理。通过配置不同的VLAN,管理员可以限制特定组之间的直接通信,增加安全性并优化性能。 01 关键特性 MAC地址表 动态学习:交换机自动学习并更新MAC地址表,无需手动配置。每当一个新的MAC地址出现在某个端口上,它就会被添加到表中。 老化时间:为了防止MAC地址表无限增长,交换机会设置一个老化时间(通常为5分钟)。如果在此期间没有再次接收到来自该MAC地址的数据帧,则会将其从表中删除。 广播域与冲突域 广播域:所有属于同一VLAN的设备构成一个广播域。二层交换机通过VLAN隔离不同广播域,减少了不必要的广播流量对网络性能的影响。 冲突域:每个物理端口代表一个独立的冲突域。由于现代交换机采用全双工模式,因此理论上每个端口都是一个单独的冲突域,大大降低了冲突发生的可能性。 02 常见配置命令 创建和管理VLAN: system-view vlan <vlan-id> 配置Trunk端口和Access端口: interface <interface-type> &……
<<上一篇
下一篇>>