HUAWEI非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或HUAwe和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約定，華為公司對本文檔內(nèi)容不做文檔版本01(2016-03-28)文檔版本01(2016-03-28)華為專有和保密信息攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅引言如今，在互聯(lián)網(wǎng)的各種級別的網(wǎng)絡(luò)中都隨處可見路由器繁多，所具備的功能和內(nèi)部實(shí)現(xiàn)不完全一樣。為此，本文檔將魚兒吃進(jìn)去的食物，有的會被吸收了，進(jìn)入血液，最終魚兒吞進(jìn)去的大部分是水，這些水基本都吐出來了，并由器的數(shù)據(jù)，大部分從一個接口進(jìn)去，從另一個接口出來，它們只報文，也有人稱之為“過路”報文。有一小部分?jǐn)?shù)據(jù)被“吸收”了說明華為高端路由器采用的是“硬轉(zhuǎn)發(fā)”，業(yè)務(wù)報文不經(jīng)過CPU處理。文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅為了方便理解，讓讀者知其然，并知其所以然，后續(xù)章節(jié)文檔版本01(2016-03-28) 目錄 2.1報文的接收和發(fā)送（接口卡的處理） 3.3流量監(jiān)管（CAR） 4.5擁塞管理（隊(duì)列機(jī)制） 4.6流量限速（CAR和流量整形） 39 41 文檔版本01(2016-03-28)6.5策略路由（重定向） 49 56 58 70 81 84 92 1交換和尋址轉(zhuǎn)發(fā)文檔版本01(2016-03-28)數(shù)據(jù)是通過接口板接收和發(fā)送，通信線纜都要插接到接口板個接口來的數(shù)據(jù)包送到另一個接口發(fā)出去，這兩個接口需要連包可能從任意接口進(jìn)來，從任意接口出去，都這么點(diǎn)到點(diǎn)連接的話，則需為了解決這種大量連接的問題，接口板和接說明有的設(shè)備如NE40E-X1/X2，沒有交換網(wǎng)板，但其接口板上有交換模塊（Swit交換網(wǎng)屬于“三無”部件，即與設(shè)備配置無關(guān)、與協(xié)文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#可能有人會問，報文從一個接口進(jìn)來，經(jīng)過“交換”，從另機(jī)也會做啊，何必用路由器？是的，交換機(jī)也有交換功能。但是個節(jié)點(diǎn)到另一個節(jié)點(diǎn)，有許許多多的路徑，路由器可以選擇通暢提高通信速度，減輕網(wǎng)絡(luò)負(fù)荷，節(jié)約網(wǎng)絡(luò)資源，這是交換機(jī)所不包選擇一條合適的（通常指最短的）傳輸路徑，然后從對應(yīng)的接路由器所在的網(wǎng)絡(luò)幾乎都是遵循TCP/IP體系的，路由器是工文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#所以，剛才提到的“尋址”的”址“是指根據(jù)數(shù)據(jù)包的網(wǎng)絡(luò)層地實(shí)際的路由表跟上圖有些相似。路由表的索引是目的I有了這張表，路由器接在收到數(shù)據(jù)包時就能做到心中有數(shù)了這個路由表怎么得來的呢？一種辦法是手工制作，對路由改設(shè)置。還有一種辦法就是運(yùn)行動態(tài)路由協(xié)議，讓路由器之用收集到的路由信息進(jìn)行計算，生成路由表，這樣就可以讓的變化。在實(shí)際應(yīng)用中，這兩個辦法都用上了，當(dāng)動態(tài)路由以靜態(tài)路由為準(zhǔn)。當(dāng)然，路由表還有一類路由，不是人工配文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#前面說過，數(shù)據(jù)包是從某個接口進(jìn)來，經(jīng)過交換網(wǎng)，再能不能放交換網(wǎng)？答案是不行，因?yàn)榻粨Q網(wǎng)要那路由表能不能放下行接口板？答案也是不行，交換網(wǎng)做交換的送往哪塊目的單板，所以尋址轉(zhuǎn)發(fā)需要在上行完成。然而，如果把板，由于報文可能從任意接口板進(jìn)來，那么所有的接口板實(shí)，還有更好的辦法，就是將路由表放在一個公共華為高端路由器采用的是“硬轉(zhuǎn)發(fā)”，業(yè)務(wù)報文不經(jīng)過主控板主控板上的路由表，接口板上也需要有供尋址轉(zhuǎn)發(fā)的信息。所在各個接口板的轉(zhuǎn)發(fā)信息表FIB（ForwardingInformatio實(shí)際上，現(xiàn)代高性能路由器在架構(gòu)上都是轉(zhuǎn)發(fā)和控制配在不同的組件，控制層面運(yùn)行路由協(xié)議，維護(hù)路由表，并下發(fā)面，由轉(zhuǎn)發(fā)層面負(fù)責(zé)數(shù)據(jù)包轉(zhuǎn)發(fā)。這樣做的最基本的好處就是量很高導(dǎo)致轉(zhuǎn)發(fā)層面高負(fù)荷，但是其不會影響控制層面進(jìn)行正UU出接口這三個信息。實(shí)際上，轉(zhuǎn)發(fā)表是根據(jù)路由表生成的。的地址的多條路由，但是轉(zhuǎn)發(fā)表里面只取其中的最優(yōu)路由。原始的下一跳，不一定是直接可達(dá)的，F(xiàn)IB是用于指導(dǎo)轉(zhuǎn)發(fā)的路由器上電啟動之后，就會運(yùn)行路由協(xié)議學(xué)習(xí)網(wǎng)絡(luò)拓?fù)?，生冊成功，主控板就可以根?jù)路由表生成轉(zhuǎn)發(fā)表項(xiàng)并下發(fā)給接口根據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)數(shù)據(jù)包了。執(zhí)行數(shù)據(jù)包轉(zhuǎn)發(fā)的部件是位于接口文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#上述這種在轉(zhuǎn)發(fā)報文前，提前準(zhǔn)備好轉(zhuǎn)發(fā)表，待收到報文“預(yù)路由”，“先鋪路，后通車”。現(xiàn)在路由器都采用這種方式進(jìn)行IP單播轉(zhuǎn)發(fā)。在這種方式中，查表轉(zhuǎn)發(fā)時，如果沒有匹配上（如果有默認(rèn)路由，由，默認(rèn)路由不存在“不匹配”的情況意味著這臺路由器沒有路由（或者還沒有學(xué)習(xí)到這個路由也就是找不到路，迷路了。辦，原路返回？想象下，如果迷路了就被原路返回給源端，那源目的地址，那這個報文還是會在同一個地方迷路，再原路返回，據(jù)包迷路了只能被丟棄。出于可維護(hù)方面的考慮，包轉(zhuǎn)發(fā)引擎PFE路”的方式，被稱為“流觸發(fā)”。流觸發(fā)方式中，設(shè)備收到發(fā)表中不存在對應(yīng)的表項(xiàng)，就根據(jù)這個報文生成一個轉(zhuǎn)發(fā)表從安全性角度上，流觸發(fā)顯然容易造成流量攻擊，為攻擊擊路徑。攻擊者可以使用各種未知目的報文對系統(tǒng)進(jìn)行遍歷掃描的流量攻擊。所以，華為高端路由器上，除了有MAC學(xué)習(xí)方式機(jī)攻擊，還提供了限制MAC地址學(xué)習(xí)的功能，即限制最多允許學(xué)習(xí)多限制每次學(xué)習(xí)的時間間隔；而且還允許去使能MAC地址學(xué)習(xí)，允文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅2報文的收發(fā)、解析和封裝報文在通信線路上只是一些光/電信號，從光/電信號的接收到轉(zhuǎn)發(fā) 文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅數(shù)據(jù)在通信線纜上傳輸時還只是光/電信號（對應(yīng)于物理層的讀懂這些信號，以便獲取數(shù)據(jù)包的目的地址用于尋址轉(zhuǎn)發(fā)，在路里邊有一塊物理接口卡——PIC（PhysicalInterfaceController）卡，發(fā)；另一個重要功能，就是進(jìn)行數(shù)據(jù)幀的“合法性”檢后，有可能發(fā)生畸變，變成錯包，無法被包轉(zhuǎn)發(fā)引擎PFE正確解析，對于檢查出的無效幀就簡單的丟棄，以太網(wǎng)不負(fù)責(zé)重傳丟棄的幀一個報文的路由器之旅文檔版本01(2016-03-28)說明每個以太幀之間都要有幀間隙（InterframeGap即每發(fā)完一個幀后要等待一段時間才能再發(fā)另外一個幀，以便讓幀接收者對接收的幀作必要的處理（如調(diào)整緩存的指針、更新計數(shù)、通在以太網(wǎng)標(biāo)準(zhǔn)中規(guī)定最小幀間隙是12個字節(jié)，其數(shù)據(jù)為全1。對于個別的接口，可減少到6那么，如果PIC卡實(shí)際收到的幀間隙、前導(dǎo)碼、幀開始界定符，如果跟協(xié)議是這個數(shù)據(jù)幀也會被丟棄？答案是，PIC卡在處理幀間隙時，幀間隙一般可以容忍跟不一樣（比如不是全1）；但前導(dǎo)碼、幀開始界定符必須符PIC卡把光/電信號轉(zhuǎn)換成數(shù)據(jù)幀，并檢查“合法性”之后，把數(shù)據(jù)幀的內(nèi)說明PIC卡的類型決定了接口板的業(yè)務(wù)類型，比如把4*2.5GPoSPIC卡集成在某接口板上就支持4*2.5G的PoS業(yè)務(wù)，把10*GEPIC卡集業(yè)務(wù)。將某PIC卡集成在接口板上，對應(yīng)的PFE便可得知該P(yáng)IC卡的類型，因此按數(shù)據(jù)包經(jīng)過PFE轉(zhuǎn)發(fā)，經(jīng)過交換網(wǎng)板交換，從下行接口發(fā)送時裝幀間隙、前導(dǎo)碼、幀開始界定符和FCS，并將數(shù)據(jù)幀轉(zhuǎn)換成光/路由器支持豐富多彩的功能特性，以滿足各種業(yè)務(wù)需求。其其實(shí)，所有的配置命令行都是通過主控板解讀，再下發(fā)到接多的表項(xiàng)，除了轉(zhuǎn)發(fā)所使用的轉(zhuǎn)發(fā)信息表之外，還有各種入接口表、ACL表、流分類表等等。接口板上電或重啟時會觸發(fā)主控板是根據(jù)配置設(shè)置接口板上的各種表項(xiàng)的值。之后，接口板上的各根據(jù)對應(yīng)的值進(jìn)行對應(yīng)的處理。當(dāng)然，如果有配置的增刪改，大舉個例子，路由器某個以太接口上接入VLAN10～20范圍內(nèi)的用上配置允許VLAN10～20的報文通過，如果不在VLAN10～2么，人們需要在該接口上配置portswitch命令使得該Trunk類型，允許通過（allow-pass）的VL該接口的屬性表對應(yīng)的二層橋接轉(zhuǎn)發(fā)狀態(tài)為“使能”，端口范圍是10～20。當(dāng)報文到來時，PFE首先對照報文的入類型，于是檢查報文的二層幀頭是否攜帶V之后，PFE根據(jù)入端口屬性表對應(yīng)的轉(zhuǎn)發(fā)動作做后續(xù)的查表例，PFE檢查MAC地址，如果不是本機(jī)MAC意的是，如果入接口屬性表對應(yīng)的轉(zhuǎn)發(fā)狀態(tài)與報文解析后的協(xié)議不丟棄。比如某接口并未使能IPv6，則屬性表的IPv6轉(zhuǎn)發(fā)能力為”未使一個報文的路由器之旅說明有些報文是不需要進(jìn)行查表轉(zhuǎn)發(fā)的。比如，PFE解析二層幀頭時，從二層幀頭的協(xié)議字PPP控制報文等等；還有一些協(xié)議報文，其目的地址為特定的保留組播IP地址（標(biāo)準(zhǔn)中），不同報文，需要做的封裝不同。以大家熟悉的以太幀為程，看看IP轉(zhuǎn)發(fā)過程中要封裝哪些信息。下圖是個最簡單的IP轉(zhuǎn)發(fā)機(jī)A發(fā)送報文給另一局域網(wǎng)的主機(jī)B，中間經(jīng)過一臺路由器，那么這臺IP地址就是主機(jī)PC-A的IP地址，目標(biāo)MAC地址就是其網(wǎng)關(guān)路由器Port1的MA1.路由器收到這個報文，發(fā)現(xiàn)其目的MAC進(jìn)一步解析（如果目的MAC不是本機(jī)，表明直接進(jìn)行二層轉(zhuǎn)發(fā)2.路由器進(jìn)一步解析報文，得知幀所承載的協(xié)議類型為I），4.路由器將目的MAC更換成PC-B的MAC，將源MAC更換成出接口Po在上述過程中，將報文原來的源/目的MAC更換成新值的過程，稱里添加新的字段，也稱為“封裝”。需要被封裝到待發(fā)器的下行接口板也對應(yīng)有包轉(zhuǎn)發(fā)引擎PFE，里面存有2張重要的表項(xiàng)，一張是MAC地址的映射表（即ARP表），另一張是出接口屬性表（該表有出接口對一個報文的路由器之旅數(shù)據(jù)包經(jīng)過上行PFE的查FIB表后，得到了報文的出接口。到了這兩個封裝信息外，還需要獲取其他的封裝信息，例如，對于QinQ場景，需要VLANTag；再如，對于MPLS場景，需封裝MP和處理。例如，檢查報文長度是否超出接口的MTU值，如果攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅一個報文的路由器之旅 3流量控制前兩貼介紹了報文的接收、解析、轉(zhuǎn)發(fā)、交換、封裝、一個報文的路由器之旅報文經(jīng)過上行接口板的處理之后，送往交換網(wǎng)板進(jìn)行交換。所有報的交換，所以交換網(wǎng)是決定路由器性能的最核心單元，交換網(wǎng)其轉(zhuǎn)發(fā)容量是所有接口板的轉(zhuǎn)發(fā)容量之和，很強(qiáng)大。然而，下大，萬一扛不住怎么辦？為了避免這種現(xiàn)象，路由器上有“反扛不住，會發(fā)生反壓，這樣交換網(wǎng)板知道了，會通知上行接口TM再按一定的規(guī)則把數(shù)據(jù)包調(diào)度出隊(duì)，送往交換網(wǎng)。如果裝不下，一個報文的路由器之旅此在下行接口板上也需要有TM芯片進(jìn)行緩存和隊(duì)列管理。在擁塞的隊(duì)列的形式暫存在緩存里，下行TM再按一定的規(guī)則把數(shù)據(jù)包調(diào)度出流量控制除了上述處理機(jī)制外，還有一種機(jī)制——流量監(jiān)管，口允許的帶寬，超出限制的那部分?jǐn)?shù)據(jù)包會被直接丟棄。目前流CAR（CommittedAccessRate）。CAR是由包轉(zhuǎn)發(fā)引擎PFE完成的，執(zhí)行，限制流量不超過入接口帶寬；也可以在下行PFE上執(zhí)行，限一個報文的路由器之旅注意：上送CPU以及CPU下發(fā)的協(xié)議報文不經(jīng)過CAR處理，這時協(xié)議報文在因CAR被丟棄（不過，為了避免對CPU的攻擊，機(jī)制時提到了丟棄策略，隊(duì)列機(jī)制里有什么特殊措施避免協(xié)議報協(xié)議報文在隊(duì)列中被丟棄，協(xié)議報文一般都設(shè)置為高服務(wù)等級，說明上述的隊(duì)列機(jī)制、CAR、流分類和服務(wù)等級的概念及詳細(xì)介紹，請參攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅4QoS基礎(chǔ)路由器的轉(zhuǎn)發(fā)層面，涉及到簡單流分類、復(fù)雜流分類、流量監(jiān)這些都是QoS（QualityofService，服務(wù)一個報文的路由器之旅用戶就開始挑了，于是，商品就和質(zhì)量掛鉤了。IP網(wǎng)絡(luò)也不例候，是“盡力而為”的，沒有服務(wù)質(zhì)量保證。你只知道報但隨著技術(shù)的進(jìn)步、競爭的加劇，客戶的要求越來越高，IP網(wǎng)絡(luò)提務(wù)是大勢所趨。為此，出現(xiàn)了許多IPQoS服務(wù)模型，其中比較集成服務(wù)模型，要求用戶要事先申請，聲明想要什么樣的服務(wù)況下，預(yù)留資源以滿足該請求。就像旅游巴士一樣，能保證所以，集成服務(wù)模型從上世紀(jì)90年代中葉提出至今，沒有在IP網(wǎng)絡(luò)一個報文的路由器之旅文檔版本01(2016-03-28)差分服務(wù)，其實(shí)就是將網(wǎng)絡(luò)中的流量分成多個類，不同的說，先對流量分類，然后把類別標(biāo)記在報文頭中，通過報文點(diǎn)只需要簡單地識別報文中的這些標(biāo)記，進(jìn)行相應(yīng)的處理。就是用來標(biāo)記你所要享受的服務(wù)，是軟臥、硬臥、硬座還帶，上車時你根據(jù)火車票進(jìn)入對應(yīng)的車廂，享受相應(yīng)的舒服的躺著，進(jìn)入硬座車廂，表示要坐著或站著。報文頭里前面說過，報文頭里的那些標(biāo)記就相當(dāng)于“火車票”。幀頭、2.5層的MPLS頭、3層的IP頭，那些標(biāo)記到底是標(biāo)在哪層一個報文的路由器之旅文檔版本01(2016-03-28)為啥每個層都要有這個標(biāo)記呢？因?yàn)閳笪脑诰W(wǎng)絡(luò)中傳輸坎坷，最初，標(biāo)準(zhǔn)定義的IPv4報文頭，并沒再后來，標(biāo)準(zhǔn)又重新定義了這個8比特，把一個報文的路由器之旅文檔版本01(2016-03-28)PHB是PerHopBehavior的縮寫，即每跳行為，即設(shè)備對報文的處理?？赡躊HB就是調(diào)度、丟包、監(jiān)管、整形、重標(biāo)記等動作，實(shí)際上不完全是，這備具體的行為，而PHB只定義了一些外部可見的轉(zhuǎn)發(fā)行為，并沒有指定特面不做任何要求。IP網(wǎng)絡(luò)中，缺省的PHB就是BE。任容，標(biāo)準(zhǔn)預(yù)留了所有格式為XXX000的DSCP值，這類個DSCP值，CS和AF有多個DSCP值與之對應(yīng)。例如AF，被細(xì)分如果某個小區(qū)發(fā)送了大量的FTP數(shù)據(jù)，可能導(dǎo)致?lián)砣?，干擾公平，約定每個小區(qū)FTP總速率不能超過1Gbps。怎么辦呢？可以在每個入接口上（用CAR）監(jiān)測DSCP。如果速率小于等于500M，標(biāo)記為AF11，如果速率在500M記為AF12，如果速率超過1Gbps，標(biāo)記為AF13。當(dāng)擁塞發(fā)生時，PHB體現(xiàn)的是等級的高低，而不是服務(wù)質(zhì)量(QoS)的好壞，不能說CS的等級質(zhì)量最好；BE等級最低，質(zhì)量最差。PHB只是逐跳行為，而文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅車廂是硬座車廂，一開始被稱為“硬座”車廂，如果把該車改裝，例如將BE隊(duì)列配置為SP調(diào)度（當(dāng)然一），這么要跟PHB取相似的名字呢？其實(shí)，這是為了更方便、更可能有人會有疑問，802.1P和EXP都是3比特，剛好8個值，對應(yīng)8相對于“復(fù)雜流分類”而言更簡單而已。簡單流分類，是采用簡），文進(jìn)行粗略的分類。而復(fù)雜流分類，采用的分類規(guī)則稍微“），前面說過，差分服務(wù)是先分類，打標(biāo)記，然后再進(jìn)行各種流分類，都是根據(jù)報文頭的字段進(jìn)行的分類，而報文頭的這些Service-Class和Color，對應(yīng)服務(wù)等報文頭的時候，根據(jù)報文頭的優(yōu)先級來設(shè)置這兩個內(nèi)部標(biāo)記。這樣QoS動作時，讀取這兩個標(biāo)記就行了。也就是說，設(shè)備的各種QoSIP網(wǎng)絡(luò)中，缺省的PHB就是BE，所以這兩個內(nèi)部標(biāo)記初始值設(shè)為<B之后，如果入接口配置了trustupstream命令，則設(shè)備上行單板時，會根據(jù)報文優(yōu)先級，對照入映射表來重新設(shè)置<Service一個報文的路由器之旅文檔版本01(2016-03-28)如果對報文配置重標(biāo)記（remark或者car后rem都會去修改<Service-Class,color>。之后，設(shè)備根據(jù)<Service-Class,c隊(duì)列調(diào)度等一系列QoS動作。這些QoS動作做完之后，設(shè)備下行復(fù)雜流分類，可以采用復(fù)雜的規(guī)則，如由五元組后，要和動作關(guān)聯(lián)起來才有意義。將流分類和對應(yīng)的流動作略在配置上采用“模板化”方式，“模板化”的最大優(yōu)點(diǎn)是可l流策略（Policy將流分類Classifi就是進(jìn)來的報文太多，設(shè)備處理不過來，就讓報文排隊(duì)。日常基本也用“排隊(duì)”解決的。不過差分服務(wù)的隊(duì)列技術(shù)比現(xiàn)實(shí)生一個報文的路由器之旅文檔版本01(2016-03-28)對于同一個窗口，先來先服務(wù)，也就是先進(jìn)先出FIFO（Fir設(shè)備的一個接口，同一時間只能處理一個隊(duì)列，不像醫(yī)院每個窗口都坐著一個人。也就是說，對于8個窗口，同一時間只有一人，那么哪些窗口的先處理呢？可以有很多），設(shè)一些VIP窗口，讓一些腿腳不便的人能盡快辦完，只有V窗口。如果哪天來一堆腿腳不便的，其他窗口就辦不了其實(shí)，比較公平的做法是每個隊(duì)列輪著來，即輪詢調(diào)些人一次掛幾十個號，所以最好是每人每次限掛一個號。但是的非常不方便了，輪一圈才掛一個號，那要掛幾個號就得輪幾太長了。所以科學(xué)家又發(fā)明了一種算法，給隊(duì)列設(shè)立權(quán)重。假設(shè)有重分別設(shè)為5:3:1，你多交點(diǎn)錢，到權(quán)重為5的隊(duì)列去，一次給你），在醫(yī)院，為了預(yù)防醫(yī)生處理不完，就限定數(shù)量和時間，比如每天的掛定早上7點(diǎn)~11點(diǎn)，下午2點(diǎn)~4點(diǎn)，其他時間路由器無時不刻地勞作，但網(wǎng)絡(luò)突發(fā)性很強(qiáng)，經(jīng)常擁塞，眼一個報文的路由器之旅文檔版本01(2016-03-28)把新到的報文丟棄。這么做有個問題，如果這些被丟的報文屬于些TCP連接會同時減少發(fā)包，這樣發(fā)往隊(duì)列的報文將同時減少增加發(fā)包數(shù)，于是又會在某個時間同時出現(xiàn)流量高峰……如“TCP全局同步”現(xiàn)象。這可如何是好？TCP/IP兩大傳輸協(xié)議（TCP和UD沒事，路由器拿出了飛機(jī)中的戰(zhàn)斗機(jī)，另一種丟包策略—（WeightedRandomEarlyDetec對于需要提供最大限度的帶寬保證的業(yè)務(wù)，一般進(jìn)入SP隊(duì)里，建滿了再丟，這樣可以最大限度的保證其帶寬。而WFQ隊(duì)列，是但是這樣做，你可能還是感覺不是很公平。比如咱題了，科學(xué)家們又造出了一個詞——丟棄優(yōu)先級。IETF標(biāo)準(zhǔn)值，為了方便記憶，用紅、黃、綠三種顏色來表示報文已經(jīng)入沒超過，全是綠的，不會被丟棄，而我發(fā)的超過100M后，就將超一個報文的路由器之旅文檔版本01(2016-03-28)流量限速也是QoS中的一個重要的概念。對于一臺路由器而流量限速有兩種技術(shù)：一種是CAR（CommittedAccessRate另一種技術(shù)就是流量整一個報文的路由器之旅文檔版本01(2016-03-28)一個報文的路由器之旅文檔版本01(2016-03-28)接著，規(guī)定報文要從令牌桶領(lǐng)到令牌才能轉(zhuǎn)發(fā)。就像車要進(jìn)入高想象一下：在高速入口沒有收費(fèi)員，而是設(shè)臺自動出卡機(jī)一個報文的路由器之旅文檔版本01(2016-03-28)為了保持100米車距（《道路交通安全法》規(guī)定，高速公路時100公里時，應(yīng)與同車道前車保持100米以上距離。），間隔3如果平均每3.6秒來了不止1輛車，通行卡很快就耗光，觸一個報文的路由器之旅文檔版本01(2016-03-28)如果平均每3.6秒來了不到1輛車，桶里就可以累積一些通要規(guī)定，有幾百米就拿幾個通行卡。因?yàn)橥ǔＣ?00米最多一輛車相當(dāng)于一下子來了幾輛車（高速路上每100米最多一輛車,那一輛300那么，能通行的長車，長度最多是幾百米呢？取決于C桶里最多但是，如果一直沒有來車，桶滿了，但出卡機(jī)一直在出卡，豈不浪這么浪費(fèi)。其實(shí)可以拿個大桶來接溢出來的卡，單速雙桶就是設(shè)想，有個高速路系統(tǒng)，設(shè)置了2個桶（C桶和E桶）接通一個報文的路由器之旅文檔版本01(2016-03-28)來了之后，司機(jī)先拿C桶的；如果不夠，就全放下，重新拿E桶那E桶多大，跟C桶一樣，容量也是CBS嗎？不是。E桶容量叫EBS（ExtenE桶不能無限大。E桶太大的話，允許通過的車太長、太重，慣性就會太大??！CBS也不能太大，否則允許通過的車太長，同樣也會追尾。不CBS設(shè)置為3600MBytes，某個時間點(diǎn)，令牌桶已充滿令牌。這時突這1小時的報文速率為1MByte/s=8000000bit/s，而不是100bit/sCBS也不能設(shè)置太小。例如，本想限速為100bit/s。一個報文的路由器之旅CBS不能太小，又不能太大，到底怎么設(shè)呢？首先，CBS不能小于M不能小于網(wǎng)絡(luò)的正常突發(fā)量。但網(wǎng)絡(luò)正常突發(fā)量不好確那么，CIR的設(shè)置有什么講究嗎？用戶購買多大帶寬，CIR就設(shè)說明SLA（ServiceLevelAgreements服務(wù)水雙速雙桶就好比是高速入口的那臺出卡機(jī)有兩個出卡口，分別以CIR和InformationRate，峰值信息速率）的速率出卡，在每個出卡口下都放可能有讀者會覺得令牌桶算法太復(fù)雜，且雙速雙桶和單速雙一個報文的路由器之旅文檔版本01(2016-03-28)雙速雙桶不僅可以測量出是否超速，而且還可以測出超速的程速。就像高速路，通常在入口設(shè)收費(fèi)站，起到限速作用。長假用，用于限制某個或某些隊(duì)列的輸出速率，超速了就暫停輸緩存里，等空閑了還是會輸出，不被丟棄；而CAR與隊(duì)列無說明上述的流分類（簡單流分類和復(fù)雜流分類）、流量限速（CAR和流量整形）、擁一個報文的路由器之旅5QoS處理流程QoS涉及四大組件：流分類和標(biāo)記（簡單流分類、復(fù)雜流分類）、流量整形）、擁塞管理（隊(duì)列調(diào)度）、擁塞避免（丟棄策單板的接口卡沒有eTM子卡。帶有eTM子卡和沒有eTM子卡，對于下行的隊(duì)列調(diào)度：帶有eTM子卡時，下行隊(duì)列調(diào)度在eTM一個報文的路由器之旅其中，流分類和標(biāo)記是實(shí)現(xiàn)QoS差分服務(wù)的前提和基礎(chǔ)；流量介紹過，華為路由器為每個報文設(shè)置了兩個內(nèi)部標(biāo)記：Serv等級（即調(diào)度優(yōu)先級）和丟棄優(yōu)先級，設(shè)備的后續(xù)各種QoS動作都DSCP或MPLSExp）進(jìn)行流分類，重新設(shè)置報文的內(nèi)部流標(biāo)記（Service-class&一個報文的路由器之旅文檔版本01(2016-03-28)3.根據(jù)入接口配置進(jìn)行上行復(fù)雜流分類處理，即提取報文的多個信息字類。根據(jù)分類結(jié)果執(zhí)行包過濾、重標(biāo)記、重定向等），5.根據(jù)報文入接口下配置的CAR，或者是上行復(fù)雜流分類中配置的CCAR處理（如果同時配置了接口CAR與復(fù)雜流分類CAR，最終按復(fù)處理）。在CAR處理中，可以根據(jù)輸入流量的情況執(zhí)行Pass或者以支持Pass+Remark的處理。如果是Pass+Remark處理，則再6.之后，報文根據(jù)Service-class進(jìn)入上行TM的隊(duì)列，進(jìn)行隊(duì)列調(diào)度，根據(jù)C8.（下行PIC存在eTM的情況下，將跳過此步驟）報文根據(jù)Service-cl10.下行PFE根據(jù)出接口配置進(jìn)行下行行流分類。根據(jù)分類結(jié)果執(zhí)行包過濾、重標(biāo)記、），11.根據(jù)報文出接口下配置的CAR，CAR處理（如果同時配置了接口CAR與復(fù)雜流分類CAR，最終按復(fù)處理）。在CAR處理中，可以根據(jù)輸入流量的情況執(zhí)行Pass或者以支持Pass+Remark的處理。如果是Pass+Remark處理，則再-對于無eTM的接口卡，添加鏈路層幀間隙、前導(dǎo)碼、幀開始界定符和FCS，將一個報文的路由器之旅-對于有eTM的接口卡，添加完鏈路層幀間隙、前導(dǎo)碼、幀開始界定符和FCS后，將報文轉(zhuǎn)發(fā)到物理鏈路之前，將進(jìn)行一輪隊(duì)列調(diào)度：報文根據(jù)class進(jìn)入下行eTM的隊(duì)列，進(jìn)行隊(duì)列調(diào)度，根據(jù)Color做WR也許有人有這樣的困擾：有時不想讓報文優(yōu)先級改變答：前面提到過，下行簡單流分類的反映射操作會根據(jù)<service-class,c的優(yōu)先級字段或修改報文攜帶的優(yōu)先級字段，而這個<service-class,co理流程中許多環(huán)節(jié)都會對其進(jìn)行更改。所以，判斷報文的優(yōu)2.在入映射規(guī)則和反映射規(guī)則是否一致，比如，DSCP=12，入映射為<service-特別注意，大部分類型的單板的上、下行復(fù)雜流分類的重標(biāo)記（直接去修改報文優(yōu)先級字段，只有LPUF-21/40這類Remark命令不會直接修改報文優(yōu)先級字段，不過它的下行Remark命令答：設(shè)備給每個接口設(shè)置了兩個“開關(guān)”來控制對該接口只有兩個開關(guān)同時打開，才會做反映射動作（PHB開關(guān)打開，不管BA開關(guān)是什么狀態(tài)，都做反映射）。默認(rèn)情況下，BA狀態(tài)，PHB開關(guān)在V600R002及之前版本默認(rèn)為打開狀態(tài)，V600R003及后續(xù)“service-class”、“diffserv-modepipe”或“diffserv-mode其中“diffserv-modepipe”和“diffserv-modeshort-pipe”命l關(guān)閉"BA"開關(guān)的方法：接口入方向配置service-l關(guān)閉"PHB"開關(guān)的方法：接口出方向配一個報文的路由器之旅文檔版本01(2016-03-28)l入接口同時配置trustupstreaml入接口只配置trustupstream命令，按DSCP映射；其他的，如果是設(shè)備認(rèn)識的協(xié)802.1p命令，則MPLS報文修改802.1p和EXP，非M一個報文的路由器之旅文檔版本01(2016-03-28) 6轉(zhuǎn)發(fā)平面其他處理路由器的轉(zhuǎn)發(fā)層面，除了前面幾貼介紹的報文收發(fā)、解析、轉(zhuǎn)發(fā)理，還有其他一些處理，本章將介紹其中的幾個重要的處一個報文的路由器之旅文檔版本01(2016-03-28)華為高端路由器上通常有多塊交換網(wǎng)進(jìn)行M+N備份。為了實(shí)換網(wǎng)采用基于定長信元交換技術(shù)：在把報文送往交換網(wǎng)之前，固定信元長度進(jìn)行交換。流量到了下行再進(jìn)行重組。數(shù)據(jù)包的說明根據(jù)送往交換網(wǎng)的數(shù)據(jù)類型，可將交換網(wǎng)分為基于信元交換和基于包交換。基于包交換不需文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#一個報文的路由器之旅組播：“一對一組”的通訊模式，也就是加入了同一個組所有數(shù)據(jù)，網(wǎng)絡(luò)只向有需求者復(fù)制并轉(zhuǎn)發(fā)其所需數(shù)據(jù)。需要相廣播：“一對所有”的通訊模式，網(wǎng)絡(luò)對數(shù)據(jù)進(jìn)行無條件復(fù)制對于組播和廣播報文，路由器收到的是一份，但可能需要從多個接口還可能位于多個接口板上。因此對于組播/廣播報文，除了查這些復(fù)制操作是在TM上進(jìn)行的，上行TM進(jìn)行板間的復(fù)制，下一個報文的路由器之旅文檔版本01(2016-03-28)本章只是簡單介紹執(zhí)行組播和廣播復(fù)制的硬件部件。關(guān)于組NAT（NetworkAddressTransla），樣，一個局域網(wǎng)使用少量公有IP地址（甚至是1個）即可實(shí)現(xiàn)NAT有多種實(shí)現(xiàn)方式，華為高端路由器上實(shí)現(xiàn)的是NAPTranslation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換可同時映射IP地址數(shù)據(jù)報文的源地址可以映射到同一外部地址，但它們的端口端口號。這樣，可以更加充分地利用IP地址資源，實(shí)現(xiàn)更多一個報文的路由器之旅文檔版本01(2016-03-28)一個內(nèi)部地址但有不同的源端口號，F(xiàn)low-1和Flow-3來自不同的內(nèi)源端口號。通過NAPT映射，3個數(shù)據(jù)流的源IP地址都被轉(zhuǎn)換到同個數(shù)據(jù)報都被賦予了不同的源端口號，因而仍保留了報文之間的NAPT是基于地址池的，事先定義一個N一個IP地址，然后將其映射到這個私有IP，隨后進(jìn)行地址用戶訪問外網(wǎng)時，回程（從外網(wǎng)發(fā)往內(nèi)網(wǎng)）的數(shù)據(jù)流的目的IP外網(wǎng)中的設(shè)備轉(zhuǎn)發(fā)這些回程流量時，需要根據(jù)這些公有IP地址D一個報文的路由器之旅文檔版本01(2016-03-28)a.在上行接口板的包轉(zhuǎn)發(fā)引擎PFE（NP芯片）處理時，需要通過流策略（復(fù)雜c.NAT業(yè)務(wù)板首先進(jìn)行地址轉(zhuǎn)換），e.交換網(wǎng)將報文交換到下行接a.在上行接口板的包轉(zhuǎn)發(fā)引擎PFE（NP芯片）查公網(wǎng)路由表轉(zhuǎn)發(fā)時，匹配的是一個報文的路由器之旅文檔版本01(2016-03-28)e.交換網(wǎng)將報文交換到下行接路由器上的包過濾是基于ACL的，先獲取數(shù)據(jù)包的包頭信息，如頭信息、IP頭信息、TCP/IP端口號等等，然后和設(shè)定的A那么，如何將ACL規(guī)則和數(shù)據(jù)包的處理行為（轉(zhuǎn)發(fā)或者丟棄）在本文的4QoS基礎(chǔ)中介紹過，流策略在配置上采用“模）：l流策略（Policy將流分類Classifi說明策略路由（Policy-basedRouting也稱為路由重定向（Re于策略的路由機(jī)制。通常，路由器根據(jù)報文目的地址查找路路由是一種依據(jù)用戶制定的策略進(jìn)行路由選擇的機(jī)制，可應(yīng)的。策略路由不僅能夠根據(jù)報文的目的地址，而且能夠根據(jù)文檔版本01(2016-03-28)策略路由與路由策略（RoutingPolicy）據(jù)包，在路由表已經(jīng)產(chǎn)生的情況下，不按照先行路由表進(jìn)行轉(zhuǎn)發(fā)照某種策略改變其轉(zhuǎn)發(fā)路徑的方法。而路由策略的操作對象是路由協(xié)議之上，根據(jù)某種規(guī)則、通過改變某些參數(shù)或者設(shè)置某種控策略路由有強(qiáng)策略和弱策略之分（流行為視圖下，r口UP（當(dāng)然，如果若是以太接口時，還要求有A），報文的目的IP地址查轉(zhuǎn)發(fā)表。注意這里的“查到”的含義，匹配上默認(rèn)路由也算一個報文的路由器之旅文檔版本01(2016-03-28)7協(xié)議報文之旅進(jìn)入路由器的報文，大部分是業(yè)務(wù)報文，只經(jīng)過業(yè)務(wù)板和交換網(wǎng)板一小部分特殊的報文，例如路由協(xié)議報文、用戶上下線報文、板需要把這些報文上送到主控板CPU進(jìn)行處理。本章介紹這一個報文的路由器之旅路由器收到的需上送CPU處理的報文，其處理流程和業(yè)務(wù)報）：）：）：）：在轉(zhuǎn)發(fā)引擎PFE（NP或ASIC芯片）上做報文解析時，如果從二層），前面章節(jié)介紹過，報文通過上行查表轉(zhuǎn)發(fā)后，獲得報文發(fā)，其目的接口板和出接口信息填什么呢？答案是填成在路由器上，如下幾類路由的下一跳地址為127.0一個報文的路由器之旅每一個配置有IP地址且鏈路層和IP層協(xié)議狀態(tài)為UP的直連PreCostFlagsNeDestination/MaskNeU第2條是主機(jī)路由，目的地址是GE1/0/0的IP地址。自己某個接口的IP地址時，認(rèn)為這是發(fā)送給自己的報文議棧。在華為路由器上，這類路由的轉(zhuǎn)發(fā)表出第3條是/24子網(wǎng)段的廣播地址，IP協(xié)議規(guī)定所有的要接收該地址的報文，所以廣播路由的出接口也FlagTimeStampInterfaIP地址為55/32為全網(wǎng)廣播，通常在配置主機(jī)的啟動時，主機(jī)可能還不知道它所在網(wǎng)網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼，甚至連它例如到主機(jī)從DHCP或BOOTP服務(wù)器獲取IP地55/32的DHCPRequest消息報文。這種報文僅允許出001器）/BNG（BroadbandNetworkGatewaPPPoE撥號接入BRAS/BNG，起初用戶并RADIUS服務(wù)器申請）給用戶分配地址。假設(shè)分配給用一個報文的路由器之旅用戶的報文時，這個報文應(yīng)該匹配到這條路由，并上送CDestination/MaskDestination/MaskP0D這種路由比較特殊，不是路由協(xié)議學(xué)習(xí)到的，也不是另外，為了讓網(wǎng)絡(luò)返回報文給用戶，BRAS/BN網(wǎng)絡(luò)其他設(shè)備有到用戶的路由，然而，BRAS/BNG可能BRAS/BNG會根據(jù)地址池生成一條UNR路由，其下一跳Null0。0上送CPU的報文在不做上、下行的CAR限速，這是為了避免將進(jìn)行CP-CAR的過濾，之后再上送。CP-CAR全稱是ControlPlaneCAR（CoAccessRate是用來限制轉(zhuǎn)發(fā)引擎向接口板CPU發(fā)送報文的速度，具體做法跟流的CAR機(jī)制類似（詳細(xì)請參見本文第4章“QoS基礎(chǔ)”）。CP型，報文的VLAN或者所屬的用戶，分成很多個管限制，當(dāng)上送的流量寬值超過設(shè)置的速率時，上送的報文將被從CPU發(fā)送的協(xié)議報文，在上行不經(jīng)過接口卡的處理，直接送到報文，大部分都帶有目的單板和出接口信息，CPU已經(jīng)告訴轉(zhuǎn)發(fā)平面單板的哪個出接口，因此無需在轉(zhuǎn)發(fā)平面查轉(zhuǎn)發(fā)表，報文直接入隊(duì)列特殊的報文需要再查轉(zhuǎn)發(fā)表，例如指定源接口的ping報文（命令行：pingdestinat-siinterface-name），由于只指定了源接口，CPU并不清楚源接口對少，因此需要由轉(zhuǎn)發(fā)平面查表獲得。這些查表轉(zhuǎn)發(fā)后的報文也之后，協(xié)議報文的后續(xù)處理與業(yè)務(wù)報文相同，最后跟業(yè)務(wù)去。只是在下行不做CAR和流分類等處理，理由和入方一個報文的路由器之旅認(rèn)鏈路的連通性。ICMP請求報文通常是上送到CPU進(jìn)行解析，接著CP回應(yīng)報文給源端，而且上送前還要做CP-CAR檢測，如果有大量的I易造成CPU過載，同時導(dǎo)致Ping流程時延加大。為此，華為高端路由器回機(jī)制，接收到ICMP請求報文后不上送CPU處理，直接由接口板的不過，當(dāng)ping快回的報文大于MTU時，ping快回的報文被文，需要把ping快回功能關(guān)閉（slot視圖下/系統(tǒng)視圖下的命令行u一個報文的路由器之旅一個報文的路由器之旅 8IP單播轉(zhuǎn)發(fā)流程本文第1~6章介紹了一個報文在轉(zhuǎn)發(fā)層面的處理流程，該流程一個報文的路由器之旅IP地址就是主機(jī)PC-A的IP地址，目標(biāo)MAC地址就是其網(wǎng)關(guān)路由器Port1的MA1.路由器收到這個報文，發(fā)現(xiàn)其目的MAC進(jìn)一步解析（如果目的MAC不是本機(jī)，表明直接進(jìn)行二層轉(zhuǎn)發(fā)2.路由器進(jìn)一步解析報文，得知幀所承載的協(xié)議類型為I3.查IP轉(zhuǎn)發(fā)表（FIB表），得知該報文并不是發(fā)給自己的，而是需要4.路由器將目的MAC更換成PC-B的MAC，將源MAC更換成出接口PoIPv4轉(zhuǎn)發(fā)全流程如下圖所示。需要關(guān)注的地方在于“查表轉(zhuǎn)發(fā)”和“獲取封裝信息”一個報文的路由器之旅1.判斷報文的目的MAC是否等于本機(jī)M），4.判斷目的IP地址是否為單播地址，如果不是單播則其他轉(zhuǎn)發(fā)處理，是則進(jìn)入繼續(xù)5.用目的IP地址查FIB表得到的下一跳IPUGigabitEthernet1/0/0-如果是負(fù)載分擔(dān)，會查到多份這樣的信息，于是根據(jù)負(fù)載分擔(dān)哈希算法選取-如果是FRR（FastReroute）狀態(tài)，則會根據(jù)出接口狀態(tài)做主備路由選擇，如-如果出接口為Trunk接口，會再根據(jù)Trunk負(fù)載分擔(dān)哈希算法，選擇Trunk成員6.如果使能了URPF檢查，則用源IP地址查FIB表，如果命中，對于松散的U接口、IPv4Tunnel接口則松散的URPF檢查不）；報文的入端口信息與源IP地址查FIB表得到的出口信息進(jìn)行比較等則丟棄（對于入接口為VLAN子接口，出接口為入端口說明URPF（UnicastReversePathForwarding是一種單播逆向路由查找技術(shù)，用來預(yù)防偽造源地址攻擊的手段。之所以稱為逆向，是針對正常的路由查找而言的。一般情況下路由器接收文，獲取報文的目的地址，針對目的地址查找路由。如果找到了進(jìn)行正常的轉(zhuǎn)發(fā)，否則丟URPF的實(shí)現(xiàn)原理：通過獲取報文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查地址對應(yīng)的接口是否與入接口匹配。如果不匹配認(rèn)為源地址是偽裝的，丟棄該然而，有的場景（例如負(fù)載分擔(dān)）同一目的地址在路由表URPF出現(xiàn)了嚴(yán)格模式和松散模式。嚴(yán)格模式要求接口匹配；而松散模式，不檢查接口是一個報文的路由器之旅7.如果目的IP為非本機(jī)IP，則報文頭的TTL減1，并重新計算并修改Checksu續(xù)執(zhí)行后續(xù)的CAR等公共處理。如果目的IP到了下行，下行包轉(zhuǎn)發(fā)引擎PFE用下一跳IP或目的IP和VL目的MAC更換成下一跳設(shè)備的MAC，將源MAC更換成自己出接口IPIPADDRESSMACADDRESSEXPIRE(M)TYPEINTERF------------------------------------------------------------------------100.2.11.發(fā)送ARP請求報文，此報文的目的MA2.由于是MAC廣播報文，在局域網(wǎng)內(nèi)的設(shè)備或主機(jī)都能收到，因此下一跳設(shè)備也能收到。于是下一跳設(shè)備解析報文發(fā)現(xiàn)目的IP為自己，便發(fā)送3.路由器收到回應(yīng)報文，得到下一跳的MAC地址，添加到對于目的IP為本機(jī)的，在出口處理模塊處上送到接口板CPU，再上對于目的地址非本機(jī)的，則在出接口處理模塊時，根據(jù)需要進(jìn)行M長度不超過MTU，則將報文發(fā)送給接口卡。序列FCS，然后對數(shù)據(jù)幀加封裝幀間隙、前導(dǎo)碼卡；若DF置1，表示報文源端不允許該報文分片，所以將報文做l所查的表項(xiàng)不同，IPv4查FIBv4表，而IP一個報文的路由器之旅CEVLAN:-CEVLAN:-一個報文的路由器之旅 9二層橋接轉(zhuǎn)發(fā)流程二層所指的是數(shù)據(jù)鏈路層。二層橋接轉(zhuǎn)發(fā)，是指數(shù)據(jù)MAC地址是48bit二進(jìn)制的地址，如：00-一個報文的路由器之旅文檔版本01(2016-03-28)二層交換機(jī)轉(zhuǎn)發(fā)過程：交換機(jī)收到這個以太幀MAC表，發(fā)現(xiàn)對應(yīng)的出端口為Port2，于是將這個以太幀從Port2發(fā)送出去。這如果上圖中，PC-A初始的時候并不知道PC-B的MAC，怎ARP請求，這個ARP請求的目的MAC為廣播地址這個廣播幀，會發(fā)給除了Port1以外的所有端口。這樣，局域網(wǎng)PC-B發(fā)現(xiàn)請求的是咨詢自己MAC，于是返回ARP響應(yīng)報文，交換機(jī)對ARP上圖中，二層交換機(jī)上的MAC地址表是MAC地址和端口的映仍然以上圖為例，當(dāng)二層交換機(jī)剛上電啟動時，其MAC地址表1.交換機(jī)首先是讀取該數(shù)據(jù)幀的源2.接著，交換機(jī)讀取數(shù)據(jù)幀中的目的MAC地址，并且在MAC地址表中查詢該MAC地址對應(yīng)的端口，因?yàn)榇藭r交換機(jī)的MAC假設(shè)上圖的PC-D被搬走，或者交換機(jī)連接PC-D和鏈接PC-C的端正過來，交換機(jī)可能會把數(shù)據(jù)幀發(fā)錯地方怎么辦呢MAC地址都設(shè)置一個計時器，如果一臺主機(jī)在指定的老化時間之內(nèi)沒有發(fā)一個報文的路由器之旅交換機(jī)，交換機(jī)就會認(rèn)為它超時，把它的MAC地址從M上面過程中可知，交換機(jī)對廣播幀、未知單播都進(jìn)行廣播泛在很多廣播幀，消耗很多鏈路資源，還會占用主機(jī)處理廣播幀的幀是經(jīng)常出現(xiàn)的，比如上面的未知單播的泛洪、還有ARP請求；此為了減少廣播幀，VLAN（VirtualArea局域網(wǎng)在邏輯上劃分成多個廣播域，所有同一個VLANVLAN。如下圖，交換機(jī)收到VLAN10的PC-A發(fā)的廣播幀，只轉(zhuǎn)發(fā)給含有VLAN1口，這樣，同一個VLAN的廣播幀只有VLAN的成員才能收到，不會傳輸?shù)狡渌粋€報文的路由器之旅文檔版本01(2016-03-28)交換機(jī)收到報文時，根據(jù)入接口給報文加上對應(yīng)VLAN，對端交換機(jī)收到報文后，剝除其攜帶的VLAN，上述例子中，有的交換機(jī)端口只允許一個VLAN通過，有的允許lAccess端口：只屬于一個VLAN，用于連一個報文的路由器之旅文檔版本01(2016-03-28)lHybrid端口：可以屬于多個VLA為了快速高效的處理，交換機(jī)內(nèi)部，報文都是帶VLAN轉(zhuǎn)VLAN報文時，在報文入方向和出方向是分別處理的，不同類型的接口處理方式一個報文的路由器之旅廣播風(fēng)暴如何產(chǎn)生的？舉個例子，假設(shè)A要與D通訊，但A不知道SW3和SW2也都收到了該廣播幀，也進(jìn)行泛洪，于是SW為了檢測和消除二層環(huán)路，誕生了STP（Spa進(jìn)的技術(shù)RSTP（RapidSpanning-TreeProtocol，快速生成樹協(xié)議并對交換機(jī)的鏈路層轉(zhuǎn)發(fā)行為進(jìn)行控制。如果發(fā)現(xiàn)網(wǎng)絡(luò)中存在環(huán)路一個恰當(dāng)?shù)奈恢米枞溌飞系亩丝凇柚苟丝谵D(zhuǎn)發(fā)或接收以太網(wǎng)本章關(guān)注的是數(shù)據(jù)幀的轉(zhuǎn)發(fā)，因此不討論這三種生成樹協(xié)議一個報文的路由器之旅綜上可知，只有Forwarding狀態(tài)的端口才轉(zhuǎn)發(fā)用戶流量。下華為高端路由器上，如果以太類型的接口配置了portswitch命口便支持二層橋接轉(zhuǎn)發(fā)。其二層橋接轉(zhuǎn)發(fā)全流程如下圖所示。需2.判斷報文的目的MAC是否為本機(jī)MAC，如果是，則做IP或MPLS轉(zhuǎn)發(fā)；不是則繼3.進(jìn)行入接口生成樹狀態(tài)檢查，如果接口未使能生成樹，或者生-對于單播：使用Port+VLAN查找對應(yīng)的MAC表，匹配目的MAC，獲取對應(yīng)的一個報文的路由器之旅-對于組播：使用Port+VLAN查找對應(yīng)的L2組播轉(zhuǎn)發(fā)表中獲取出接口信息和出-對于廣播，則繼續(xù)后續(xù)處理。5.在上行TM芯片處理時，如果是未知單播、未知組播、廣播報文，則有目的單板；對于已知組播，復(fù)制到組播成員口所在的9.在出口處理時，會再檢查出接口的生成樹狀態(tài)，如果生成樹狀態(tài)為Forward10IP組播轉(zhuǎn)發(fā)流程文檔版本01(2016-03-28)攻城獅論壇(技術(shù)+生活)群2258097攻城獅論壇bbs.vlan5.com#^_^#l第一種是單播（unicast是在一臺源絕大部分的數(shù)據(jù)都是以單播的形式傳輸?shù)?，例如，電子郵方式，同時只有一個發(fā)送者和一個接收者，中間的交換機(jī)l第二種是廣播（broadcast在一臺源I行。廣播屬于一對所有的通訊方式，無路由過程，中間的交換機(jī)和路進(jìn)行無條件的復(fù)制和轉(zhuǎn)發(fā)，所有主機(jī)都可以接收到（不管是否需要）會將信息發(fā)送給不需要的主機(jī)而浪費(fèi)帶寬，也可能由于路由回環(huán)引起風(fēng)暴，所以廣播數(shù)據(jù)被限制在二層交換的局域網(wǎng)范圍內(nèi)，禁止其穿過止廣播數(shù)據(jù)影響大面積的主機(jī)。但I(xiàn)P網(wǎng)絡(luò)中，廣播也是不可少的，如DHCP自動獲得IP地址的過程，通過ARP請求獲得某IP地址對應(yīng)的MAl第三種是組播（Multicast在一臺源IP可能有讀者會有疑問，網(wǎng)頁瀏覽和網(wǎng)絡(luò)視頻點(diǎn)播，雖然不是那是因?yàn)?，不是所有客戶都是同一時間想看同一內(nèi)容，單播能組播對于網(wǎng)絡(luò)而言還是很有魅力的，比如下圖所示場景，文檔版本01(2016-03-28)上圖右側(cè)所示的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)路徑，像不像一棵倒長的樹樹”，樹根是服務(wù)器（稱為組播源樹葉是客戶端（稱為組播播分發(fā)樹有個特別之處，從根到葉子都是一樣粗，也就是說，網(wǎng)那么，IP網(wǎng)絡(luò)是如何將報文從組播源沿著組播分發(fā)樹發(fā)送給眾按照傳統(tǒng)IP的尋址轉(zhuǎn)發(fā)機(jī)制，首先Router-X要到轉(zhuǎn)出接口是接口A、接口B。那么，Router-X在轉(zhuǎn)發(fā)組播數(shù)播接收者的數(shù)量非常巨大，尤其是越靠近組播源的節(jié)點(diǎn)，其組播量的組播接收者，如果都在組播轉(zhuǎn)發(fā)表項(xiàng)中都列出來，轉(zhuǎn)發(fā)時逐“組播組”用來表示一群組播接收者，即組播接收者的集合。組播組并不代表網(wǎng)絡(luò)上的具體主機(jī)，僅僅代表相應(yīng)的接收者組成的集合，只用于組播報方向發(fā)送，是單向的。“組播組”如同電視頻道，組播源如同電為了讓組播數(shù)據(jù)在網(wǎng)絡(luò)中能被正確的尋址轉(zhuǎn)發(fā)，需要給“文在三層（IP）層轉(zhuǎn)發(fā)時，使用的是D類IP地址，即至239.255.255IP地址。協(xié)議規(guī)定，其中的至55為保留的組播地址，使用，比如和這兩個是OSPF協(xié)議使用的組播地址，IEEE802.3規(guī)定，MAC的第0字節(jié)的第0位bit（Thefirstbit）用于表示這個地廣播地址還是單播地址，如果這一位是0，表示此MAC地址是單播地址，F(xiàn)F-FF-FF。到目前為止，大部分組播MAC地址都是以0x01-00-5E開頭，即01-00-如下圖，按照傳統(tǒng)IP的尋址轉(zhuǎn)發(fā)機(jī)制，Router-X收者的地址，找到對應(yīng)的出接口。根據(jù)前面描述，組播轉(zhuǎn)發(fā)表的目的接收者的地址是“組播組地址”，出接口列表為{出接口A、出接口B}。如其實(shí)不然。組播報文是發(fā)送給一組接收者的，如果轉(zhuǎn)發(fā)了不），文檔版本01(2016-03-28)為了能確保正確發(fā)送組播數(shù)據(jù)，組播必須嚴(yán)格沿著組播分播源的方向進(jìn)行轉(zhuǎn)發(fā)。為了做到這點(diǎn)，組播技術(shù)引入了RPF（ReForwarding，逆向路徑轉(zhuǎn)發(fā)）檢查機(jī)制，路由器轉(zhuǎn)發(fā)組播數(shù)據(jù)時，執(zhí)行RPF組播數(shù)據(jù)流能夠沿組播轉(zhuǎn)發(fā)樹正確的傳輸，同時可以避免轉(zhuǎn)發(fā)路徑檢查的過程是：在接收到報文后，在單播轉(zhuǎn)發(fā)表中，查找到組該路由的出接口就是報文的入接口，則檢查通過，否則不通過但在實(shí)際組播數(shù)據(jù)轉(zhuǎn)發(fā)過程中，如果對每一份接收到的組播數(shù)據(jù)報路由表進(jìn)行RPF檢查，會給路由器帶來很大負(fù)擔(dān)。因此，URPF檢生成之前進(jìn)行，也就是路由器在生成路由表的過程中進(jìn)行URPF檢查，得到“組播源”及“到組播源的接口”，并將這兩個信息也放入轉(zhuǎn)發(fā)表項(xiàng)。這表的“組播組地址”，如果匹配上，則判斷接收報文的入接口是接口”，如果是，表面數(shù)據(jù)是安全無誤的，可以轉(zhuǎn)發(fā)，如果接所以，組播轉(zhuǎn)發(fā)表有四要素：“組播源”、“組播組”、“到接口列表”，其中組播源和組播組作為匹配對象中，S是Source首字母，表示組播源；G是Group的首字母，表文檔版本01(2016-03-28)MulticastMulticastForwardingTableofVPN-Instance:publicnetIncominginterface:GigMatched18696packets(523488Forwarded18696packets(5234布過程：在接口上配置IP地址或者由RADIUS服務(wù)器動態(tài)分配IP路由協(xié)議等將這些IP地址發(fā)布到網(wǎng)絡(luò)中，網(wǎng)絡(luò)中的路由器通過網(wǎng)拓?fù)?，然后進(jìn)行路由選擇，生成到這些IP地址的路由表和對然而，組播報文的“目的地址”是組播組地址，僅代表一個代表具體主機(jī)，所以組播組地址不可能分配給主機(jī)，也不可能配實(shí)際上，組播組是組播源和組播接收者之間的約定文檔版本01(2016-03-28)組播組包含哪些接收者？組播組成員是通過互連網(wǎng)組管理協(xié)議IGMP（IntManagementProtocol）來管理的。IGMP是運(yùn)行在主機(jī)-路由器之間的協(xié)議，通常，為了提高可靠性，同一個局域網(wǎng)通常使用兩臺或多臺現(xiàn)在，組播組地址有了，組播組的成員有了，剩下的問題是組播路由協(xié)議有很多種，最普遍使用的是PIM（ProtocolInde如下圖，觀眾（接收者A）打開電視機(jī)選擇收看某頻道的節(jié)協(xié)議向接收者DR（Router-1）報告它需要接收組播組了組播組G的地址，但Router-1這文檔版本01(2016-03-28)Router-1把報文發(fā)送給接收者A；接收者B和接收者C沒有接收組播數(shù)據(jù)在網(wǎng)絡(luò)傳遞過程中，組播路由器可獲得組播源的可以生成組播轉(zhuǎn)發(fā)表項(xiàng)（S,G）。而接收者DR路由器可以得此更新出接口列表，把沒有接收者的出接口刪除，這樣就得上述過程中，Router-2和Router-3并沒有把連接自己的接口從出接口列表刪除，不要再發(fā)組播數(shù)據(jù)給自文檔版本01(2016-03-28)此外，組播源可能通過多臺路由器接入網(wǎng)絡(luò)，所以PIM-DM會選上面過程有個問題：雖然進(jìn)行了剪枝，但是有的路由器即使仍然有（S,G）表項(xiàng)，只是出接口列表為空。于是，更優(yōu)秀的PIM協(xié)議出現(xiàn)l選“中介”于“中介”。網(wǎng)絡(luò)中所有路由器都知道RP在哪。此外，組器接入網(wǎng)絡(luò)，所以PIM-SM會選舉其中一臺路由器作為源DRl建“共享樹”接著，接收者DR向RP發(fā)送加入（Join）消息，于是，從接收者路由器便可得到（*,G）表項(xiàng)，這樣就形成了一棵以RP為根的樹，這棵樹被稱為文檔版本01(2016-03-28)l組播源“注冊報到”收到的播數(shù)據(jù)包封裝在注冊（Register）消息中發(fā)RP收到Register消息，解封裝，并將封裝在其中的組播報文沿著共享樹l建“源樹”如果有相當(dāng)多的組播流量要發(fā)給RP，源DR要不斷的把組播數(shù)息里再發(fā)送，RP還得解封裝，效率很低。因此，RP準(zhǔn)備一棵最短路徑樹SPT（ShortestPathTree源DR發(fā)送Join消息，這樣，RP上游所有源DR收到RP的Join消息后，且得到了正確的（S,G）表項(xiàng)，此過（S,G）表項(xiàng)轉(zhuǎn)發(fā)組播數(shù)據(jù)。在（S,G）表項(xiàng)形成之前，源播包的接口（之前為收到Register消息的接口，這兩個接口不一定是相在，再從Register消息接收被封裝的組播數(shù)據(jù)就沒有意義了，因此RP向RegisterStop消息，告訴它停止在Register消息中發(fā)送組播包。之后，源說明為什么SPT建立后，源DR要繼續(xù)發(fā)Register消息，同時通過S那是因?yàn)椋琂oin消息是以組播形式發(fā)送的，其源IP地址為本地接不是RP了，源DR無法識別Register消息是RP始發(fā)的還是接收者DR始發(fā)的（見下文，接DR也會發(fā)Join消息逐跳轉(zhuǎn)發(fā)到源DR所以源DR無法確定它發(fā)的組播報文能否正確被RP那源DR為什么需要確認(rèn)它發(fā)的組播報文能正確被RP接收呢？因?yàn)?，之前源DR發(fā)文到達(dá)RP的接口不一定和Register消息的接口一致，如果不一RegisterStop消息PF檢查失敗，組播報文會被丟棄。所以，源DR需要確認(rèn)它發(fā)上述過程中，組播數(shù)據(jù)都要通過RP中轉(zhuǎn)，當(dāng)組播報文速率DR收到組播數(shù)據(jù)時，沿著源DR的最短路徑發(fā)送Join消息，生成從接收DR的最短路徑樹SPT（ShortestPathTree接著，接收者息，剪掉原來的共享樹，接著，RP再向源DR現(xiàn)在，全網(wǎng)的轉(zhuǎn)發(fā)表項(xiàng)已經(jīng)有了，下文將描述一臺路IP組播轉(zhuǎn)發(fā)流程如下圖所示。需要關(guān)注的地方在于查表轉(zhuǎn)發(fā)