一 ARP
1 ARP代理
Proxy ARP:ARP代理,用來解決網絡互通問題。分爲路由式Proxy ARP、VLAN內Proxy ARP、VLAN間Proxy ARP。
路由式Proxy ARP,路由式Proxy ARP就是使那些IP地址在同一網段卻連接到不同物理網絡上的設備能夠相互通信的一種功能。
VLAN內Proxy ARP,如果兩個用戶屬於相同的VLAN,但VLAN內配置了用戶隔離。此時用戶間要互通,需要在關聯了該VLAN的路由接口上啓動VLAN內Proxy ARP功能。
VLAN間Proxy ARP,如果兩個用戶屬於不同的VLAN,用戶間要進行三層互通,可以在關聯了這些VLAN的路由接口上啓動VLAN間Proxy ARP功能,主要適用於VLAN聚合(又叫Super vlan)。
2 免費ARP
主機主動使用自己的IP地址作爲目標地址發送ARP請求,主要作用如下:
(1)用於檢查重複的IP地址,正常情況下不會收到ARP迴應,否則表明網絡中存在重複IP地址
(2)用於通告一個新的MAC地址
(3)在VRRP備份中用來通告主備發生變換
3 ARP Proxy配置
(1)配置VLAN內ARP代理:如下圖所示,PC1和PC2對應上聯口已經實現二層端口隔離,配置PC1與PC2間三層互通。
vlan 2
int vlan2
ip addresss 1.1.1.254 24
arp-proxy inner-sub-vlan-proxy enable //啓動VLAN內ARP代理功能
inte e0/0/1
port link-type access
port default vlan 2
port-isolate enable group 1 //配置加入端口隔離組
inte e0/0/2
port link-type access
port default vlan 2
port-isolate enable group 1
(2)配置VLAN間ARP代理:
實例分析:
LSW1:
vlan batch 2 to 4
vlan 4
aggregate-vlan
access-vlan 2 to 3
int vlanif4
ip add 192.168.1.254 255.255.255.0
quit
int e0/0/1
port link-type access
port default vlan 2
int e0/0/2
port link-type access
port default vlan 3
int e0/0/10
port link-type trunk
port trunk allow-pass vlan 2 3
LSW2:
vlan batch 2 3
int e0/0/1
port link-type access
port default vlan 2
int e0/0/2
port link-type access
port default vlan 3
int e0/0/10
port link-type trunk
port trunk allow-pass vlan 2 3
此時4臺PC都能ping通192.168.1.254,PC1和PC3正常互通,PC2和PC4正常互通, VLAN 2和VLAN 3之間二層隔離不能互通,通過使能VLAN間的ARP代理實現VLAN間互通:
LSW1:
int vlanif4
arp-proxy inter-sub-vlan-proxy enable
quit
(3)配置路由式ARP代理
上圖中,PC10與PC11處於同一個網段,PC10發送ARP請求時,請求的PC11的IP地址,AR1收到後 ,發現不是自己的端口IP地址,就會直接丟棄ARP請求報文。
在AR1兩個接口下開啓ARP代理後即可使得PC互通,此時在P10的ARP表裏,1.1.2.11和1.1.1.254對應同一個MAC地址。
int g0/0/0
arp-proxy enable
int g0/0/1
arp-proxy enable
當主機上沒有配置缺省網關時,通過ARP Proxy,交換機收到ARP請求後,會使用自己的MAC地址作爲ARP請求的迴應,使得處於不同物理網絡,但網絡位相同的主機直接互通。
二 MAC地址表
1 MAC地址表分類
動態表項:通過接口學習源MAC地址,生成MAC地址表項,表項自動老化(300秒);
靜態表項:由用戶手工配置,並下發到各接口板,表項不老化;
黑洞表項:用於丟棄特定源MAC地址或目的MAC地址的數據幀,由用戶手工配置,並下發到各接口板,表項不老化;
2 安全MAC地址
將交換機學習到的MAC地址轉變爲安全MAC地址,以阻止安全MAC和靜態MAC之外的主機通過本接口和交換機通信,端口安全學習MAC地址方式:安全動態MAC地址、Sticky MAC地址。
安全動態MAC地址:使能端口安全而未使能Sticky MAC功能時學習到的MAC地址。使能端口安全後,端口上之前學習到的動態MAC地址表項會被刪除,然後端口再學習得到的安全動態MAC地址不會被老化,設備重啓後安全動態MAC地址會丟失,需要重新學習。
Sticky MAC地址:使能端口安全後又使能Sticky MAC功能後學習到的MAC地址。Sticky MAC地址不會被老化,保存配置後重啓設備,Sticky MAC地址不會丟失,無需重新學習。
3 MAC地址漂移
MAC地址漂移:一個接口學習到的MAC地址在另一個接口上也學習到,後學習到的MAC地址表項覆蓋原來的表項。
MAC地址漂移避免機制:提高接口MAC地址學習優先級;不允許相同優先級的接口發生MAC地址表項覆蓋。
MAC地址漂移檢測:利用MAC地址學習時端口跳變實現MAC地址漂移檢測,跳變端口即爲有可能出現環路端口。
dis mac-address flapping record //查看MAC地址漂移記錄
三 鏈路聚合
鏈路聚合:將多條物理鏈路捆綁在一起成爲一條邏輯鏈路,能夠增加寬帶、提高可靠性和實現負載分擔;兩端的物理接口的數量、速率、雙工方式、流控方式必須一致。
Eth-Trunk:鏈路聚合組LAG(LinkAggregation Group),在華爲設備中簡寫爲Eth-trunk。組成Eth-Trunk接口的各個物理接口稱爲成員接口,轉發數據的接口稱爲活動接口,不轉發數據的接口稱爲非活動接口。
鏈路聚合模式:
(1)手工模式,需要手工創建Eth-trunk、加入成員端口,無法檢測鏈路層故障和鏈路錯鏈。
(2)LACP模式聚合,通過LACP協議自動實現鏈路聚合,LACP協議可以維護鏈路狀態。
鏈路聚合配置:
interface Eth-trunk 12 //創建鏈路聚合口
mode lacp-static //指定靜態LACP模式,缺省爲手工模式
quit
interface g0/0/1
eth-trunk 12 //將端口加入指定聚合組,注意端口加入聚合組前必須爲缺省配置
四 GVRP
GVRP:基於GARP機制,用於維護設備動態VLAN屬性,實現動態分發、註冊和傳播VLAN屬性。GVRP協議通過聲明和回收實現VLAN屬性的註冊和註銷。GVRP只能配置在Trunk接口下。目前極少在生產中使用。
(1)註冊模式
Normal:交換機端口默認爲Normal模式,允許靜態和動態VLAN註冊,同時會發送靜態VLAN和動態VLAN的聲明信息。
Fixed:不允許VLAN在端口上註冊或者註銷,且只發送靜態VLAN的聲明消息。
Forbidden:不允許VLAN在端口上註冊,同時刪除端口上除VLAN1外的所有VLAN。
(2)配置GVRP
相關命令
gvrp //開啓全局GVRP
int g0/0/1
port link-type trunk //配置端口trunk類型
port trunk allow-pass vlan all //允許所有VLAN通過
gvrp //端口開啓GVRP
gvrp registration fixed //配置註冊模式
dis gvrp status
配置實例
拓撲圖:
第一步,配置LSW1、LSW2、LSW3,開啓全局gvrp,配置相應端口,相關命令:
gvrp
int e0/0/2
port link-type trunk
port trunk allow-pass vlan all
gvrp
第二步,在LSW1創建VLAN,查看LSW2、LSW3學習情況,相關命令:
vlan bath 10 to 13
dis vlan
LSW1的vlan情況,看到e0/0/2端口已經自動將10-13加入端口,端口類型爲common
而LSW2、LSW3的VLAN情況分別如下,看到LSW2因爲單向註冊的原因,只有e0/0/2加入了新建VLAN10-13,VLAN類型爲dynamic,此時LSW1和LSW3是不通的,因爲LSW2的e0/0/3接口沒有學習。
第三步,配置LSW1的e0/0/1和LSW3的e0/0/1接口,配置PC1、PC2的IP地址,配置LSW3時,會提示VLAN屬於動態學習,需要重新創建VLAN,創建新的VLAN後,再次觸發單向註冊,此時LSW2的e0/0/3端口自動學習了新VLAN,PC1和PC2可以互相PING通。相關命令:
int e0/0/1
port link-type access
port default vlan 10
此時LSW2的VLAN信息變更如下,可以看到,e0/0/3端口已經正確學習了
兩臺PC已經可以正常通信。
根據單向註冊/註銷原則,當LSW1或LSW2取消相應的VLAN時,相應單向生成的動態VLAN也會自動消失。