技术盛宴丨机框式核心交换机硬件架构演进

交换机配置教程目录一、基础概念 (2)1.1 什么是交换机 (2)1.2 交换机的功能 (3)二、交换机基本操作 (4)2.1 连接电源 (5)2.2 登录交换机 (6)2.3 查看和修改配置 (7)三、交换机基本配置 (8)四、交换机高级配置 (9)五、交换机故障排查与维护 (10)5.1 常见故障排查方法 (11)5.2 系统升级与备份 (12)六、交换机配置实例 (14)6.1 企业办公网络配置示例 (15)6.2 校园网配置示例 (16)6.3 企业数据中心配置示例 (17)七、交换机命令行界面 (18)八、交换机配置文件管理 (19)8.1 配置文件的作用 (21)8.2 配置文件的创建与导入 (22)8.3 配置文件的备份与恢复 (24)九、交换机与网络操作系统的集成 (24)十、交换机安全性配置 (26)10.1 交换机安全管理 (27)10.2 交换机端口安全 (28)10.3 交换机访问控制列表 (29)十一、交换机性能优化 (31)11.1 交换机端口流量控制 (33)11.2 交换机背压控制 (34)11.3 交换机缓存优化 (35)十二、交换机应用场景 (37)12.1 企业办公网络 (38)12.2 企业数据中心 (40)12.3 无线网络 (42)十三、总结与展望 (43)13.1 交换机配置教程总结 (44)13.2 未来交换机技术发展趋势 (44)一、基础概念交换机是一种网络设备，主要用于在局域网(LAN)中实现数据的转发和通信。

它的主要功能是接收来自一个端口的数据包，然后根据目标MAC地址将数据包转发到另一个端口，从而实现不同设备之间的通信。

交换机的工作原理类似于电话交换机，通过识别源MAC地址和目标MAC地址来决定数据包的转发路径。

交换机通常有两种工作模式：访问控制列表(ACL)模式和广播模式。

在ACL模式下，交换机会根据预先设定的规则对数据包进行过滤，只有符合规则的数据包才会被转发。

为了满足数据中心虚拟机（Vm）、容器（Docker）之间大二层通信的需求，数据中心网络发展历程中出现了众多依托网络设备硬件实现的互联组网技术——例如借鉴路由协议实现的大二层组网技术：多链接透明互联（TRILL）、最短路径桥接（SPB）；虚实结合的Overlay技术：可扩展虚拟局域网（VXLAN）、使用通用路由封装的网络虚拟化（NVGRE）等等。

但由于技术的复杂性、设备能力的参差不齐，这些技术均没有在网络设备上得到大规模应用。

到今天，我们看到数据中心（IDC）网络返璞归真，与业务解耦，简单、可靠成为核心诉求，数据中心只需要提供简单、可靠的三层Underlay组网，二层Overlay网络更多依赖主机侧软件或智能网卡实现。

那么问题来了，如何为数据中心三层组网选择合适的路由协议？本文聚焦于大型数据中心场景，力图给出确切的答案。

IDC网络架构演进经济基础决定上层建筑。

同样的，数据中心（物理）网络架构很大程度上决定了路由协议的规划。

关于架构的设计，推荐阅读《技术盛宴| 互联网数据中心网络25G组网架构设计》。

本文对IDC网络架构仅做简要介绍，目的在于理清基础架构与路由协议选择的关系。

传统数据中心网络架构图1：传统数据中心网络架构（内部，不含网关区）图1展示的是传统数据中心的网络架构：传统IDC承载的大多是数据中心提供对外访问的业务；流量分布符合80/20模型，且以南北向为主，东西向流量小；网络架构设计采用核心-汇聚-接入三级结构，汇聚往下采用大二层组网，汇聚及核心横向采用厂商私有虚拟化技术，保证可靠性；流量瓶颈在出口，IDC内部可以维持高收敛比（10:1甚至更大）。

近年来，随着云计算、大数据等业务的兴起，分布式计算、分布式存储等技术开始在IDC内部大规模部署。

从网络视角看，IDC内部的东西向流量急剧上升，流量的80/20模型转变成以东西向流量为主。

此时，传统网络架构开始力所不逮，显现出诸多弊端：扩展能力差：网络规模受限于核心交换机端口数量，无法平滑Scale-out(横向扩展)；收敛比过高：为南北向流量设计的流量模型，收敛模型呈三角型，越往上性能越低，东西向带宽严重不足；单控制面运维复杂：汇聚及核心的可靠性依赖于厂商的横向虚拟化技术，虚拟化技术的单控制面存在明显弊端，很难做到不中断业务升级版本（ISSU ，In-Service Software Upgrade）。

运维可视化之INT功能详解随着数据中心架构的发展和Vxlan、RDMA等新技术的应用，传统的SNMP等运维手段已经无法满足当前IDC运维需求。

更大规模、更复杂的云数据中心和高性能计算集群都对运维提出了更高的要求，如何找到更加精细化、智能化的运维手段，实现对网络更高效、及时地监控和运维，成为数据中心网络运维面临的一大挑战。

在前几期的《技术盛宴》栏目中，我们介绍了基于交换机硬件芯片的INT〔In-band Network Telemetry，带内网络遥测技术〕技术实现运维可视化的方案，本文将在前文基础上详细介绍INT技术具体如何实现运维可视化。

INT技术背景及可视化方案Telemetry是一项远程的从物理设备或虚拟设备上高速采集数据的技术。

设备通过推模式〔Push Mode〕主动向采集器推送设备数据信息，提供更实时更高效的数据采集能力。

Telemetry模型Telemetry技术采取推送方式，由设备主动向后台监控服务器推送自身信息，从而防止了查询模式下查询请求造成的在网络中的额外延时，以及大量查询请求给网络和设备带来的压力。

与传统的SNMP、CLI、SYSLOG等方式相比，Telemetry可以实现亚秒级监控精度。

理论上，通过Telemetry技术可以获取设备所有信息。

INT技术是由Barefoot、Arista、Dell、Intel和VMware在Telemetry的基础上共同提出的一种新的Telemetry模型。

INT技术是通过在数据层面收集和报告网络的状态来实现对网络状态的监控，这个过程不需要控制层面的参与。

INT架构模型中的术语：INT header：任何包含INT信息的packet header；INT Source：在报文中嵌入INT header的设备；INT Instruction：收集数据信息的定义；INT Metadata：监控对象信息，即在每台设备上收集的数据信息；INT Transit Hop：加入本设备节点INT Metadata信息的设备；INT Sink：拆除INT header报文头，并收集上送INT Metadata信息的设备。

近几年来，互联网行业处于一个快速发展的快车道，一个又一个风口不断地涌向周边行业。

共享单车的出现解决了人们出行最后一公里的问题；新零售概念的提出，无人货柜的出现，更是将线上和线下的数据打通，优化了人们的购物体验；以抖音为首的短视频应用，在一夜间爆红，成为当下社交与宣传的重要载体。

而数据中心作为支撑这些业务的基础设施，其规模也随着业务的激增逐渐扩大，单集群内超过数万台服务器的情况已不再罕见。

面对如此庞大的服务器数量，在网络建设之初的交换机网络开局已成为网工的梦魇。

数据中心开局现状聚焦于数据中心场景，我们先来回顾一下传统的交换机网络开局流程。

▲传统网络设备开局流程Step 1:提前准备交换机的版本文件；Step 2:根据部署的架构场景选择对应的配置模板；Step 3:开始“搬砖”，到达现场，设备拆箱集中堆放，加电启动；Step 4:使用U盘插到交换机，串口线连接设备，逐台进行版本升级（若需要）；Step 5:根据配置模板结合实际设备的情况进行VLAN、IP、路由以及其他基本信息的修订，然后开始刷配置（另外按照各公司要求，还会协助收集设备的SN用于资产管理）；Step 6:协调弱电同学帮忙搬到机房上架；Step 7:基于Checklist完成连通性的测试工作。

整套流程下来，既耗人力，又耗时间。

据实际项目经验来看，在不堆叠的前提下完成一台设备的升级和配置大约在10分钟，堆叠情况下由于设备需要重启，需要30分钟才能完成。

总结来看，对于支撑数万台服务器集群的数据中心网络场景，如果按照这种传统的开局模式来部署，会存在以下几点不足：• 效率低下：靠手工方式进行设备的版本升级、刷脚本，效率非常低；• 出错率高：重复性的工作会导致网工疲于思考，稍有不慎出现失误，需要额外的时间用于排查错误更正，产生一定的时间损耗。

对此，各厂家做了许多的探索，比如零配置上线技术。

数据中心自动化开局随着数据中心规模的不断增大，标准化的建设方式已经成为主流。

分段路由（SR，Segment Routing）是一种源路由技术，具有集中控制、中间网络无状态、可扩展性好等优点，SR更是面向软件定义网络（SDN，Software Defined Network）架构设计的协议，融合了设备自主转发和集中编程控制的优势，能够更好地实现应用驱动的网络。

关于SR技术的优势、技术演进等在上一篇技术文章《一文读懂网络界新贵Segment Routing技术化繁为简的奥秘》里有详细介绍，本文将接着SR技术演进的话题，介绍SR 的另一种标签寻址技术IPv6分段路由（SRv6，Segment Routing IPv6）。

一、从“大道至简”到“极简”——SRv6“大道至简”的控制平面SRv6控制层面与SR-MPLS一样，控制面基于传统支持IPv6的路由协议（OSPFv3/ISISv6/BGP4+）进行能力扩展，取代独立的LDP、RSVP实现整体架构的简化。

同时，SRv6相比SR-MPLS更加简化，无需通告IPv6前缀外的其他信息，因为前缀本身就是分段标识符（SID，Segment Identifier）。

当SRv6的控制面配合集中的SDN控制器，SRv6 SID的分配和相关指令下发均交给控制器下发，面向业务和应用进一步实现简化，只需要在边缘设备为应用指定路径，中间设备无需维护路径和应用的状态，使得网络边缘更智能、核心更简单，极大地简化了网络设计和管理。

“极简”的数据平面SR技术为数据平面设计了两种实现方式，一种是复用MPLS数据平面的SR-MPLS，另一种是SRv6。

SRv6使用IPv6数据平面，基于IPv6路由扩展头进行扩展，这部分扩展没有破坏标准的IPv6报头，而且，只有SRv6节点需要针对扩展头进行额外的处理，对于其他普通IPv6节点没有任何影响，这让SRv6可与现有IPv6网络无缝兼容，更让转发层面达到纯IPv6的极简转发。

为方便大家更直观地了解到SRv6数据面的“极简”，我们拿SRv6与SR-MPLS的帧结构做下对比，看看在帧结构上做了哪些改变。

园区网技术发展了这么多年，想必大家对于IPv4场景下的接入安全问题已经烂熟于心。

随着IPv6技术的发展和推广，未来园区网架构向IPv6演进已经成为不可阻挡的趋势，而我们对于IPv6架构下的接入安全问题了解多少？比如，终端可以获取到正确的IPv6地址吗？拿到地址就可以正确封装报文信息吗？报文封装正确就可以转发正常吗？等等。

在IPv6环境下接入层还有哪些安全问题？我们又该如何解决？上一篇文章（IPv6系列安全篇——SAVI技术解析）为大家介绍了SAVI(Source Address Validation Improvements，源址合法性检验) 的技术原理，本文将聚焦IPv6在园区网有线部署的场景，阐述如何应用SAVI技术解决接入安全问题。

IPv6园区网接入安全问题众所周知，终端正常访问资源的前提是需要有一个可用的IP地址，那么如何获取正确的地址是我们要讨论的一个问题。

其次，为了正常访问网络资源进行流量转发，还需要正确解析对端的MAC地址或者网关的MAC地址（跨网段时），这样才能进行一个报文的完整封装。

在IPv4的场景中是通过ARP协议来解析地址，对应到IPv6场景是通过ND协议中的NS/NA报文交互来解析。

除此之外，为了给所有终端分配地址资源，地址源可谓是“尽心竭力”，因此它的资源是有限的，也需要额外关注。

看似平淡无奇的过程中暗藏着很多安全问题，下面我们来详细分析一下这些问题是如何发生，以及有何威胁。

地址获取欺骗在IPv6的场景中，地址获取的方式有多种：1、DHCPv6：通过DHCPv6协议实现地址的获取，整个流程和IPv4下的DHCP协议类似，但协议报文有部分差异，具体可以参考DHCPv6的报文详解。

2、SLAAC（Stateless Address Auto Configuration，无状态地址自动配置）：根据网关设备通告RA （Router Advertisement，路由器通告）报文中携带的网络前缀生成网络ID，根据EUI-64算法生成接口ID，通过两者结合生成一个IPv6地址。