Chương 5 – Thực thi Inter-VLAN Routing

Khi định tuyến xảy ra với một switch Catalyst đa lớp, Cisco Express Forwarding CEF được triển khai để tạo điều kiện cho lớp 3 chuyển tiếp thông qua bảng dựa trên phần cứng, cung cấp một

Chương 5 - Thực thi Inter-VLAN Routing

Một Switch với nhiều VLAN đòi hỏi một phương pháp vận chuyển lưu lượng lớp 3 giữa các VLAN Module này mô tả quá trình và phương pháp định tuyến giao thông từ VLAN tới VLAN

í VLAN có thể cung cấp linter-VLAN routing Khi định tuyến xảy ra với một switch Catalyst đa lớp, Cisco Express Forwarding (CEF) được triển khai để tạo điều kiện cho lớp 3 chuyển tiếp thông qua bảng dựa trên phần cứng, cung cấp một quá trình chuyển tiếp gói dữ liệu tối ưu Trên một switch đa lớp, định tuyến được kích hoạt giữa các VLAN thông qua cấu hình của giao diện chuyển đổi ảo (SVIs) liên kết với các VLAN khác nhau trên switch đa lớp

5.1 Mô tả Routing giữa các VLAN

5.1.1 Inter VLAN Routing sử dụng Router ngoài

Nếu một switch hỗ trợ nhiều VLAN nhưng không có khả năng Layer 3 để định tuyến các gói tin giữa các VLAN đó, switch phải được kết nối với một router bên ngoài để chuyển đổi Cấu hình này được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa switch và router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó, các lưu lượng ấy lần lượt có thể được định tuyến bởi router Liên kết vật lý đơn này phải là Fast Ethernet hoặc cao hơn để hỗ trợ Inter-Switch Link (ISL), nhưng 802.1Q được hỗ trợ trên cổng 10-Mbps Ethernet router

Hình 5.1.1-1: Đường trunk giữa switch và router

Trong hình 5 1 1-1, những client cần thiết lập những phiên làm việc với một server thuộc VLAn 20, cần những lưu lượng được định tuyến giữa các VLAN Bảng bên dưới sẽ chỉ rõ những hành động cần thiết cho lưu lượng để được định tuyến giữa các VLAN sử dụng ở mạng bên trong Router

Bước Hành động

1 Router nhận những gói tin từ VLAN 10 trên subinterface thuộc

VLAN tương ứng của nó

2 Router thực hiện tiến trình Lớp 3 dựa trên địa chỉ mạng đích

3 Do mạng đích được kết hợp với VLAN được truy nhập qua đường

trunk, router đặt định danh VLAN tương ứng vào tiêu đề lớp 2

4 Sau đó router chuyển gói tin ra subinterface thuộc VLAN 20 tương

Hình 5 1 1-1, Router có thể nhận gói tin trên một VLAN và chuyển đến các VLAN khác Để thực hiện chức năng inter-VLAN routing, router phải biết làm thế nào để kết nối tới được tất cả các VLAN đang được kết nối Router phải có một kết nối logical riêng biệt (subinterface) cho mỗi VLAN và ISL hoặc 802.1Q trunking phải được kích hoạt trên giao diện vật lý giữa router và switch Bảng định tuyến liệt kê tất cả các mạng con liên kết với các VLAN được cấu hình trên subinterface của router là kết nối trực tiếp Router phải học các tuyến đường đến các mạng mà không phải là cấu hình trên giao diện kết nối trực tiếp thông qua các giao thức định tuyến động hoặc các đường định tuyến tĩnh

Có những ưu điểm và nhược điểm của inter-VLAN routing trên một router bên ngoài

Những lợi thế như sau:

Thực hiện rất đơn giản

Chức năng Layer 3 không cần thiết trên switch

Router cung cấp thông tin liên lạc giữa các VLAN

Những khó khăn như sau:

Router là một điểm duy nhất rất dễ xảy ra lỗi

Các đường lưu lượng giữa các switch và router có thể bị tắc nghẽn

Độ trễ cao hơn trên một switch Layer 3

5.1.2 Giải thích Multi ayer Switching

Theo cách truyền thống, một switch quyết định chuyển tiếp bằng cách nhìn vào header lớp 2, trong khi router quyết định chuyển tiếp bằng cách nhìn vào header lớp 3

Một multilayer switch kết hợp các chức năng của switch và router thành một thiết bị, mà khi đó cho phép thiết bị sẽ chuyển lưu lượng khi nguồn và đích đến là trong cùng một VLAN và định tuyến lưu lượng khi nguồn và đích đến nằm trong các VLAN khác nhau (có nghĩa là, khác nhau mạng con)

Hình 5.1.2-1: Mô hình mô tả Multilayer Switching

Hình trên cho thấy, dữ liệu giữa PC A và PC B được chuyển tiếp dựa trên Lớp 2, còn dữ liệu giữa PC B và PC C được chuyển tiếp dựa trên Lớp 3

Các thiết bị Multilayer switch chuyển tiếp các frame và các gói tin ở tốc độ dây bằng cách sử dụng phần cứng application-specific integrated circuit (ASIC)

Cụ thể là các thành phần lớp 2 và lớp 3 như bảng định tuyến hoặc Access control lists (ACL), được lưu trữ vào phần cứng Các bảng được lưu trong content-addressable memory (CAM) và ternary content-addressable memory (TCAM)

Hình 5.1.2-2: Hình mô tả cơ chế chuyển tiếp Lớp 2

Nhìn vào hình trên ta thấy,Lớp 2 chuyển tiếp trong phần cứng dựa trên địa chỉ MAC đích Các Layer 2 switch học và ghi lại địa chỉ MAC nguồn từ tất cả các frame mà nó nhận được Bảng địa chỉ MAC liệt kê các địa chỉ MAC kết hợp với các VLAN liên quan và các cổng giao diện Khi một frame được nhận vào một cổn giao diện, switch xác định các frame nguồn xuất phát từ VLAN nào, tìm kiếm tất

cả các cổng giao diện thuộc về VLAN mà gắn trong MAC đích, và sau đó chuyển tiếp frame ra cổng giao diện thích hợp

Bảng dưới đây sẽ giải thích rõ hơn Switch lớp 2 sẽ chuyển tiếp gói tin như thế nào

1 Cơ cấu lớp 2 nhận một frame

2 Cơ cấu lớp 2 thực hiện tra cứu ACL đầu vào

3 Cơ cấu tìm lớp 2 tìm địa chỉ MAC đích và quyết định frame được chuyển

tiếp ở lớp 2 hay lớp 3

4 Nếu frame được chuyển tiếp ở lớp 2, cơ cấu chuyển tiếp ở lớp 2 thực

hiện tra cứu ACL bảo vệ ở đầu ra

5 Cơ cấu chuyển tiếp lớp 2 thực hiện tra cứu QoS đầu ra

6 Cơ cấu chuyển tiếp lớp 2 chuyển tiếp gói tin ra ngoài

Bảng 5.1.2-1 : Giải thích rõ hơn Switch lớp 2 sẽ chuyển tiếp gói tin như thể nào

Hình 5.1.2-3: Hình mô tả cơ chế chuyển tiếp Lớp 3

Sau đây là cơ chế chuyển tiếp gói tin ở Lớp 3

Lớp 3 thực hiện chuyển tiếp là dựa trên địa chỉ IP đích Layer 3 chuyển tiếp

chỉ xảy ra khi một gói tin được chuyển từ một nguồn trong một mạng con đến một

đích đến trong mạng con khác Khi một multilayer switch (MLS) thấy địa chỉ của

MAC của chính nó trong tiêu đề 2 lớp, nó nhận ra rằng gói tin là gửi cho chính nó

hoặc là để được định tuyến Nếu gói dữ liệu không gửi cho MLS, địa chỉ IP đích

được so sánh với bảng định tuyến Layer 3 và sẽ định tuyến theo đường định

tuyến nào có số bit trùng dài nhất Ngoài ra, router ACL dùng để kiểm tra sẽ được

thực hiện Trong trường hợp này, tiêu đề frame cần phải được viết lại với địa chỉ

MAC nguồn và địa chỉ MAC đích mới

Và bảng sau đây sẽ giải thích rõ hơn cơ chế chuyển tiếp gói tin ở Lớp 3:

Bước Hành động

1 Cơ cấu lớp 2 nhận một frame

2 Cớ cấu lớp 2 thực hiện tra cứu ACL đầu vào

3 Cơ cấu tra cứu Lớp 2 nhận diện địa chỉ MAC của MLS và từ đó quyết

định frame sẽ được chuyển tiếp ở Lớp 3

4 Nếu cần, việc kiểm tra ACL đầu vào trên router được thực hiện

5 Địa chỉ IP đích được so sánh với bảng chuyển tiếp Lớp 3 để được trùng

khớp nhiều nhất

6 Nếu cần, việc kiểm tra ACL đầu ra thực hiện

7 Cơ cấu chuyển tiếp Lớp 2 thực hiện kiểm tra QoS đầu ra

8 Tiêu đề Lớp 2 và 3 được ghi lại

9 Cơ cấu chuyển tiếp Lớp 2 chuyển tiếp gói tin ra ngoài

Bảng 5.1.2-2 : giải thích rõ hơn cơ chế chuyển tiếp gói tin ở Lớp 3

5.1.3 Frame Rewrite

Hình 5.1.3-1: IP Unicast Frame and Packet rewrite

Hình trên cho thấy cách frame và tiêu đề gói tin sẽ được thay đổi nếu CEF được sử dụng để chuyển frame đi Khi frame được nhận về trên cổng giao diện, checksum trailer sẽ được tính toán đầu tiên để xác nhận frame được chuyển đến chính xác Frame bị loại bỏ nếu tính toán không chính xác Tiếp theo là nội dung frame (phần IP Packet) được lấy ra Trường Checksum trong IP header sẽ được kiểm tra để xác minh rằng nó chính xác Một khi gói tin được xử lý, các gói tin IP unicast được viết lại trên cổng giao diện đầu ra như sau:

Địa chỉ MAC nguồn thay đổi từ địa chỉ MAC gửi đến thành địa chỉ MAC của router

Địa chỉ MAC đích thay đổi từ địa chỉ MAC của router thành địa chỉ MAC của next-hop

TTL giảm đi một và kết quả là trường checksum trong tiêu đề IP được tính toán lại

Trường checksum trong frame được tính toán lại

Các bảng: Routing, Switching, ACL, và QoS được lưu trữ trong bảng bộ nhớ tốc độ cao vì thế các quyết định trong việc chuyển tiếp và những hạn chế có thể được thực hiện trong phần cứng với tốc độ cao Cisco Catalyst switch tạo ra

và sử dụng hai kiến trúc bảng chính sau đây:

CAM table: bảng chính được sử dụng để ra quyết định cho chuyển tiếp trong Layer 2 Bảng này được xây dựng bằng cách ghi địa chỉ nguồn và

cổng vào của tất cả các frame Khi một frame chuyển đến mà có một địa chỉ MAC đích trùng với 1 địa chỉ trong bảng CAM, frame chỉ chuyển tiếp ra cổng liên kết với địa chỉ MAC cụ thể đó

TCAM table: lưu trữ ACL, QoS, và các thông tin khác gắn liền với cơ chế

xử lý của lớp trên

Hình 5.1.3-2: Cơ chế tra cứu bảng CAM

Tra cứu trong bảng được thực hiện với thuật toán tìm kiếm hiệu quả Một

"khóa" được tạo ra để so sánh frame với nội dung bảng Ví dụ, địa chỉ đích MAC

và VLAN ID (VID) của một frame thiết lập một khóa cho việc tra cứu trong bảng Layer 2 Khóa này là dựa vào một thuật toán băm, khi đó sẽ tạo ra một con trỏ vào bảng Hệ thống sử dụng con trỏ đó để truy cập vào một khu vực cụ thể nhỏ hơn của bảng mà không cần tìm kiếm trên toàn bộ bảng

Trong một bảng 2 lớp, tất cả các bit của thông tin là quan trọng để chuyển tiếp frame (ví dụ, VLAN, địa chỉ MAC đích, và các loại giao thức điểm đến)

Ví dụ, một ACL có thể yêu cầu phải trùng trên 24 bit đầu tiên của một địa chỉ IP, nhưng có thể 8 bit cuối

là thông tin không đáng quan tâm

Cụ thể bên trong switch dòng cao, TCAM là một phần của bộ nhớ được thiết kế tốc độ cao, để tra cứu thông tin của lớp 3 và lớp 4 Trong TCAM, nó cung cấp tất cả thông tin chuyển tiếp của lớp 2 và lớp 3 cho frame, bao gồm cả CAM và các thông tin ACL

Hình 5.1.3-3: Hiển thị thông tin ACL lưu trữ trong bảng TCAM

Các mục trong bảng TCAM bao gồm các loại sau đây của khu vực:

Longest match region: Mỗi khu vực phù hợp nhất bao gồm các nhóm các

entry địa chỉ Lớp 3 ("buckets") tổ chức sắp xếp độ giảm dần theo chiều dài mặt nạ Tất cả các entry trong một bucket chia sẻ giá trị cùng một mặt nạ

và kích thước chính Các bucket có thể thay đổi kích thước của chúng tự động bằng cách mượn entry địa chỉ từ bucket lân cận Mặc dù kích thước của toàn bộ vùng giao thức là cố định, bạn có thể cấu hình lại nó Các cấu hình lại kích thước của vùng giao thức có hiệu lực chỉ sau khi khởi động lại

hệ thống

First-match region(vùn g phù hợp đầu tiên): Khu vực phù hợp đầu tiên

bao gồm các entry ACL Dừng tra cứu sau khi khớp với entry đầu tiên

Kiểm tra bit trung của bảng TCAM kết hợp dựa trên ba giá trị: 0, 1, hoặc X (trong đó X là bất kỳ trong hai số trên) Cấu trúc bộ nhớ được chia thành một loạt các mô hình và mặt nạ Mặt nạ được chia sẻ giữa một số lượng cụ thể của mô hình và được sử dụng như là các kí hiệu trong một số lĩnh vực nội dung

Hai mục sau đây ACL được tham chiếu trong hình, trong đó cho thấy làm thế nào giá trị của chúng được lưu trữ trong TCAM:

access-list 101 permit ip host 10 1 1 1 any

access-list 101 deny ip 10 1 1 0 0 0 0 255 any

5.2 Thiết ập Routing giữa các VLAN

5.2.1 Mô tả Layer 3 SVI

Hình 5.2.1-1: Các SVI

Một SVI (Switch Virtual Interface) là một cổng giao diện ảo thuộc Layer 3

có thể được cấu hình cho bất kỳ VLAN mà tồn tại trên một switch Layer 3 Khi mà không có giao diện vật lý cho các VLAN, nhưng nó có thể chấp nhận các thông số cấu hình được áp dụng cho các cổng giao diện lớp 3 của router SVI cho một VLAN cung cấp các xử lý thuộc lớp 3 cho các gói dữ liệu từ tất cả các cổng switch liên kết với VLAN đó Chỉ có một SVI được liên kết với một VLAN Cấu hình một SVI cho một VLAN vì những lý do sau đây:

Cung cấp một default gateway cho một VLAN sao cho lưu lượng có thể được định tuyến giữa các VLAN

Cung cấp dự phòng nếu bị yêu cầu non-routable protocols (Các giao thức không hỗ trợ cho routing)

Cung cấp kết nối đến switch thông qua Layer 3 IP

Hỗ trợ giao thức định tuyến và bridging configurations (kết nối 2 protocol lớp 2 khác nhau)

Theo mặc định, một SVI được tạo ra cho các VLAN mặc định (VLAN1) cho phép quản lý switch từ xa

Các SVI được tạo ra lần đầu tiên trong chế độ cấu hình interface VLAN được nhập vào cho một VLA SVI riêng VLAN tương ứng với tag VLAN kết hợp

với khung dữ liệu trên một đường trunk Ethernet hoặc VLAN ID (VID) được cấu hình cho một access port Một địa chỉ IP được phân công trong chế độ cấu hình interface cho mỗi SVI VLAN đó là đường đi của và trên là local VLAN

5.2.2 Mô tả Routed Ports trên một Multi ayer Switch

Hình 5.2.2-1: Hình cho thấy Route Port

Một routed switch port là một cổng vật lý trên một multilayer switch có khả năng xử lý các packet lớp 3 Một routed port không phải là liên kết với một VLAN

cụ thể, tương phản với một cổng truy cập hoặc SVI Các chức năng switch port bị loại bỏ khỏi cổng giao diện Một routed port hoạt động như một cổng giao diện của router thông thường, ngoại trừ việc nó không hỗ trợ subinterfaces VLAN Routed switch port có thể được cấu hình bằng cách sử dụng hầu hết các lệnh áp dụng cho một cổng giao diện vật lý trên router, bao gồm cả việc gán một địa chỉ IP

và cấu hình giao thức định tuyến của lớp 3

Một routed switch port là standalone port (port độc lập) mà không liên kết với bất kỳ một VLAN nào, trong khi đó một SVI là một cổng ảo được liên kết với một VLAN SVIs thường cung cấp các dịch vụ Layer 3 cho các thiết bị kết nối với các cổng của switch nơi SVI được cấu hình Routed switch port cung cấp một đường dẫn lớp 3 vào switch cho một số thiết bị trên một subnet cụ thể, tất cả đều được truy cập từ một cổng vật lý của switch

Số lượng các routed port và SVIs có thể được cấu hình trên switch là không giới hạn bởi phần mềm Tuy nhiên, mối tương quan giữa các cổng giao diện và tính năng khác cấu hình trên switch có thể quá tải CPU vì hạn chế về phần cứng

5.2.3 Cấu hình của Routed Ports trên một Multi ayer Switch

Routed port thường được cấu hình bằng cách loại bỏ khả năng Layer 2 switch của port switch Trên hầu hết các switch, mặc định các cổng là cổng hoạt động ở lớp 2 Trên một vài loại switch, thì mặc định các cổng là hoạt động ở lớp 3 Lớp hoạt động mà tại đó các chức năng cổng xác định bởi các lệnh được cấu hình trên cổng

Hình 5.2.3-1: Câu lệnh cấu hình routed port

Một routed port có những đặc điểm và chức năng sau đây:

Cổng vật lý của switch có khả năng hoạt động ở lớp 3

Không liên kết với bất kỳ VLAN

Phục vụ như là default gateway cho các thiết bị có đầu ra là switch port

Chức năng Layer 2 port phải được loại bỏ trước khi nó có thể được cấu hình

5.3 Triển khai CEF-Based Multi ayer Switching

5.3.1 Explaining Layer 3 Switch Proces ing

Switch Layer 3 là loại thiết bị định tuyến với hiệu suất hoạt động cao được tối ưu hóa cho mạng campus và mạng intranet, cung cấp cả hai dạng: wire-speed Ethernet routing và chuyển mạch

Một switch layer 3 switch thực hiện ba chức năng chính sau đây:

Chuyển gói tin

Xử lý định tuyến

Dịch vụ mạng thông minh