一、IP報文轉發舉例

注：PC1和PC2的默認網關是192.168.5.1

       PC3和PC4的默認網關是192.168.3.1

       PC5和PC6的默認網關是192.168.4.1

1.同一子網內PC間的IP報文轉發過程

a.如圖PC1和PC2同屬于192.168.5.0/24網段，PC1發送IP報文到PC2，則報文的DIP是PC2的IP地址，SIP是PC1的IP地址。

b.PC1解析DIP的MAC地址；

c.將DIP對應的MAC地址，填入以太網報文的“MAC DA”域，將PC1的MAC地址填入“MAC SA”域；

d.PC1將封裝好的報文發送到二層交換機1；

e.二層交換機1收到報文，根據報文中的MAC DA查找交換機上的MAC地址表，如果查找失敗，則報文轉發到所有端口，自然包括與PC2連接的端口；如果查找成功，則根據MAC地址表項中的端口號輸出；由于MAC地址是全球唯一的，所以只要PC1和PC2在二層交換機1上的端口同屬于一個vlan，PC2就能MAC DA等于PC2的MAC地址的報文；

f.PC2收到報文，檢查DIP是PC2的IP地址，則接受該報文，并根據報文的含義，做回應；

g.同樣PC2到PC1的IP報文也是類似上述的過程。

2. 不同子網的PC間IP報文轉發過程

a.如圖PC1和PC3分別屬于192.168.5.0/24網段和192.168.3.0/24網段，PC1發送IP報文到PC3，則報文的DIP是PC3IP地址，SIP是PC1的IP地址。

b.PC1解析網關的MAC地址，每個網絡接口都有全球唯一的MAC地址；

c.將網關對應的MAC地址，填入以太網報文的“MAC DA”域，將PC1的MAC地址填入“MAC SA”域；

d.PC1將封裝好的報文發送到二層交換機1；

e.二層交換機1收到報文，根據報文中的MAC DA查找交換機上的MAC地址表，如果查找失敗，則報文轉發到同vlan所有端口；如果查找成功，則根據MAC地址表項中的端口號輸出；由于MAC地址是全球唯一的，所以二層交換機會將MAC DA等于192.168.5.1對應的MAC地址的報文轉發到三層交換機；

f.三層交換機收到報文，先查MAC DA,若對應的FDB表項要求送路由，則再根據DIP查找路由表，如果查找成功，則根據路由表的下一跳信息，修改報文中的MAC DA為下一跳設備的MAC地址，修改報文中的MAC SA為輸出網絡接口的MAC地址，并將報文輸出，如果查找失敗，則丟棄報文；

g.二層交換機2收到報文后，通過查找MAC地址表后，也必會將報文轉發到PC3；

h.同樣PC3到PC1的IP報文也是類似上述的過程。

二、三層交換概述

1.三層交換機是什么?

三層交換機是一種具有基本路由功能的交換機。三層交換機接口類型簡單，擁有很強數據包轉發效率 ，所以更適用于數據量大的局域網。

路由器端口類型多，支持的三層協議多，路由能力豐富而強大，所以更適合于不同接口類型的網絡之間的互連。

一臺網絡設備稱為交換機還是路由器，主要看其功能側重點，和適用環境的設定。

2.路由是什么？

路由就是信息通過一條路徑從源地址轉移到目的地址的過程。在TCP/IP網絡上，源方和目的方都叫做主機，信息被分成小包在主機之間傳送。

三、三層交換機對IP報文處理過程

三層交換機內部有一個路由表（建立在芯片上），這表標明了如果要去某個地方，下一步應該往哪走。三層交換機從某個端口收到一個IP報文，它首先讀取目的IP地址，然后查找路由表，若能確定下一步往哪送，則再修改鏈路層的包頭（打包），把該數據包轉發出去；如果不能確定下一步的地址，則向源地址返回一個信息，并把這個數據包丟掉。當下一臺三層設備（三層交換機或路由器）接收到該IP報文，也會根據DIP查找路由表，確定下一步往哪送，并將數據轉發出。依次類推，直到數據包到達最終目的地。

1.三層交換機的軟硬件分工

路由技術其實是由兩項最基本的活動組成，即決定最優路徑和傳輸數據包。

其中，數據包的傳輸相對較為簡單，而路由的確定則更加復雜一些。

三層交換機的軟件負責最優路由的決定，硬件負責傳輸數據包。

三層交換機的軟件通過RIP，OSPF等協議確定最優的路徑，并將最優的路徑寫入芯片上的路由表。

硬件根據芯片上的路由表線速傳輸數據。

2.最優路由的決定

三層交換機通過和三層交換機，或和路由器進行相互通訊，傳送不同類型的信息維護各自的路由表。

其中路由更新信息一般是由部分或全部路由表組成。通過分析其它三層設備發出的路由更新信息，三層交換機可以掌握整個網絡的拓撲結構。

這樣在掌握足夠信息的情況下，三層交換機就能分析出最優路由，并將其寫入硬件路由表。

3.三層交換機的網絡接口介紹

(1)Router Port

路由口不屬于任何VLAN，不能與其它端口進行二層報文交換。

(2)SVI

全稱Switched Virtual Interface，一個SVI對應一個VLAN，它包含了對應VLAN的所有物理端口，這些物理端口間可以進行二層的數據交換，與其它VLAN的交互的IP報文則提交給路由模塊處理。等價于一個路由口下接一臺二層交換機。

(3)L3 AP（aggregate port）

可將多個Router Port聚合成一個邏輯端口，達到帶寬擴大的目的，它的成員端口必須是Router Port，成員口間使用負載均衡算法，達到負載平衡，當一個成員口實效時，實效端口上的負載會轉移到其它有效端口上。與L2 AP不同在于，L3 AP不屬于任何VLAN，不能于其它端口進行二層報文交換。

4. 路由類型介紹

路由表項的組成:

網絡號+掩碼+下一跳IP地址

如：192.168.4.0 255.255.255.0 192.168.6.2

(1)主機路由

掩碼是32位的路由，如：192.168.4.118 255.255.255.255 192.168.6.2

(2)網絡路由

指掩碼長度小于32大于0的路由；

(3)缺省路由

指掩碼長度等于0的路由，如：0.0.0.0 0.0.0.0 192.168.6.4；

5.LPM介紹

LPM 全稱是Longest Prefix Match，簡單的講就是從多個Prefix中，獲取與當前待查找的Prefix匹配最長的一個，如已有3條路由如下：

192.168.4.0 255.255.255.128 192.168.6.2192.168.8.112 255.255.255.255 192.168.6.20.0.0.0 0.0.0.0 192.168.6.4

三層交換機收到的IP報文的DIP是192.168.4.119，則查找與192.168.4.119匹配最長的是第1條，如果DIP是192.168.8.112，則匹配最長的是第2條，如果DIP是192.168.8.111，則匹配最長的是第3條。

6.路由表項來源

(1)交換機根據網絡接口配置自動生成直連網絡路由；

用戶配置一個網絡接口，則交換機認為該接口直連著一個網絡，所謂直連是指主機和網絡接口間沒有隔著另一個三層設備或另一個網路。因此同一臺三層設備上的不同網絡接口直連的網絡必須能夠進行IP通信，這就需要自動生成對應的網絡路由，因為這臺設備已經知道到達雙方網絡的輸出接口，下一跳就是目標主機本身。如：三層交換機配置了網絡接口1是192.168.5.1 255.255.255.0，網絡接口2是192.168.3.1 255.255.255.0；則PC1發送到PC3的IP報文，能夠從網絡接口2轉發出。

知道了輸出接口后，還要重新封裝二層報文頭，才能使報文到達目標主機。

由于到達直連網絡的報文的下一跳就是目標主機，而一個網絡的主機有多個，一條路由只能有一個下一跳，所以還要為每個直連主機創建主機路由，才能使轉發出的IP報文的MAC DA是目標主機的MAC地址。

所以自動生成的直連網絡路由的輸出接口不可以是直連網絡的網絡接口，而是CPU接口，這樣直連主機路由查找失敗后（參見LPM介紹），IP報文能夠送到CPU，由軟件解析DIP，并創建直連主機路由，則后續的報文可以由硬件轉發。

(2)根據IP報文生成直連主機路由；

要創建任何路由，都要明確其下一跳，直連主機路由也一樣，首先要知道直連主機的MAC地址及與交換機連接的具體物理端口。交換機軟件通過發送ARP Request報文，獲取ARP Reply報文，而得到直連主機的信息。交換機軟件在收到一個IP報文后，根據DIP先查詢軟件上的ARP表，如果沒有對應ARP表項，則通過ARP機制獲取。所以要設置直連網絡路由，并且其下一跳是CPU。

(3)根據用戶配置生成靜態路由；

用戶配置的靜態路由，只告知軟件目標網絡和下一跳IP地址，軟件需要獲取下一跳的MAC地址和對應的輸出端口，才能生成路由。解析下一跳IP也是先查詢軟件上的ARP表，如果沒有對應ARP表項，則通過ARP機制獲取。如果獲取失敗，則將下一跳改為CPU，這樣后續該下一跳恢復可達后，可通過IP報文激活路由生成的機制。缺省路由也是靜態路由的一種。

(4)根據協議生成動態路由；

與靜態路由類似，所不同的是路由表項是由協議算法計算出最優的部分寫入硬件。

7. CPU收到的幀類型

(1)ARP幀

ARP幀分為ARP Request和ARP Reply。ARP Request是Ether Type等于0x0806并且MAC DA是FF-FF-FF-FF-FF-FF的報文，ARP Reply是Ether Type等于0x0806并且MAC DA是輸入網絡接口的MAC地址；

這樣的ARP報文CPU必須要收到。

(2)IP幀

CPU只需要收到路由查找成功，但下一跳是CPU的IP幀。有符合直連網絡路由的但直連主機路由未創建的，符合動態或靜態網絡路由的但下一跳IP解析失敗的路由。符合缺省路由但用戶未指定缺省路由的IP幀應該丟棄，這是為CPU減輕負擔的考慮。

四、IP組播路由

“注：組播服務器和三層交換機2都接入三層交換機1的同一個SVI”

在上圖中：

1.什么是IP組播及IP組播的作用

在Internet上，諸如視頻會議和視頻點播等單點發送多點接收的多媒體業務正在成為信息傳送的重要組成部分。點對點的單播傳輸方式不能適應這一類業務傳輸特性，因為服務器必須為每一個接收者提供一個相同內容的IP報文拷貝，同時網絡上也重復地傳輸相同內容的報文，占用了大量資源，如下圖所示。IP廣播同樣不能滿足該要求，雖然IP廣播允許一個主機把一個IP報文發送給同一個網絡的所有主機，但是由于不是所有的主機都需要這些報文，因而浪費了網絡資源。在這種情況下組播（multicast）應運而生，它的出現解決了一個主機向特定的多個接收者發送消息的方法。

IP組播是指一個IP報文向一個“主機組”的傳送，這個包含零個或多個主機的主機組由一個單獨的IP地址標識。

主機組地址也稱為“組播地址”，或者D類地址，即從224.0.0.0 ~ 239.255.255.255。224.0.0.0~224.0.0.255屬于保留地址，其中：

224.0.0.1 － 網段中所有支持組播的主機

224.0.0.2 － 網段中所有支持組播的路由器

2.單播，廣播和組播比較

2. 組播MAC地址和IP組播地址的關系

第2層的組播地址（組播MAC地址）是從IP組播地址映射來的。

把組播IP的后23位同01-00-5e-00-00-00進行或運算得到的結果便是組播MAC地址。

如：組播IP地址為224.255.1.1，其十六進制表示為e0-ff-01-01，后23位為7f-01-01，與01-00-5e-00-00-00進行或操作的結果為：01-00-5e-7f-01-01。01-00-5e-7f-01-01即為組224.255.1.1的MAC組播地址。

五、IGMP

1. IGMP簡介

IGMP(Internet Group Management Protocol)

IP主機通過IGMP協議向臨近的路由器申請加入（或離開）組播組。

目前有三個版本的IGMP：IGMPv1在rfc 1112中說明，IGMPv2在rfc 2236中說明，IGMPv3在rfc3376中說明。

下面我們將分別簡要介紹在IGMPv1、IGMPv2主機是如何加入或離開某一組播的（假設加入224.1.1.1）。

IGMPv1中，主機向路由器發224.1.1.1的IGMP report報文要求加入該組中。路由器收到該請求后，把該主機加為組224.1.1.1的成員。

路由器定時發送224.0.0.1（所有主機）的IGMP Query報文，若主機要繼續接收該組報文，則應回應IGMP Report報文，若路由器收不到任何主機的IGMP Report報文，將把該組注銷。

2.IGMPv2

IGMPv2向下兼容v1，它對報文進行擴展——增加了IGMP Leave報文，以使主機可以主動要求離開組播組。

在IGMPv2中，主機加入組中的過程同v1一致，主機發一個IGMP Report報文請求加入到某一組中。

路由器定時發送224.0.0.1的IGMP Query報文，若主機要接收該組報文，則應回應IGMP Report報文，若路由器收不到任何主機的IGMP Report報文，將把該組注銷。在IGMPv2中，主機還可以主動離開某一組。當主機不在需要某一組播流時，它主動朝路由器發送IGMP Leave報文主動從該組中注銷。路由器收到該報文后，發出該組的IGMP Query報文，若其它主機需要該組播，則將回應IGMP Report報文，若路由器收不到任何主機的回應，將把該組注銷。

3. IGMPV3

在IGMP V1/V2的基礎上，IGMPV3提供了額外的源過濾多播功能。在IGMP V1/V2中，主機只根據組地址來決定加入某個組并從任何一個源接收發給該組地址的組播流。

而使用IGMP V3的主機通告該主機所希望加入的多播組，同時還通告該主機所希望接收的多播源的地址。

主機可以通過一個包括列表或一個排除列表來指明希望從哪些源能接收多播流。

同時IGMP v3帶來的另外一個好處是節省帶寬，避免不需要的、非法的組播數據流占用網絡帶寬，這尤其在多個多播源共用一個多播地址的網絡環境中表現明顯。

同IGMPv2對比，IGMPv3的規定了以下兩種報文類型：

Membership QueryVersion 3 Membership Report

Membership Query 其中分為三種：

General Query：用于查詢接口下所有多播成員信息；Group-Specific Query：用于查詢接口下指定組的成員信息；Group-and-Source-Specific Query：該類型為IGMPv3中新增加的，用于查詢接口下是否有成員需要接收指定源列表中的源所發出的特定組的多播流。

IGMP Version3 IGMP Version2 IGMP Version3 IGMP Version1 IGMP 的過程同類似。能夠向下兼容和Version2。

要了解更多IP組播的相關知識，請查閱RFC 1112 、RFC 2236 與 RFC 3376。

4.組播路由協議的作用

(1)是發現上游接口，離源最近的接口。因為組播路由協議只關心到源的最短路徑。

(2)通過（S，G）對來決定真正的下游接口，當所有的路由器都知道了他們的上下游接口，那么一顆多播樹就已經建立完成。根是源主機直連的路由器，而樹枝是通過IGMP發現有組員的子網直連的路由器。

（S，G）指（Source，Group）通過源IP和組IP結對區分每個組播源。（*，G）表示只以組IP區別不同的組播源。

(3)管理多播樹

單播路由只需要知道下一跳的地址，就可以進行報文得轉發。

而組播，是把從一個由源產生得報文發送給一組目的。在一個特定的路由器上，一個包得多個備份可能從 多個接口上發出。

如果有環路得存在，那么一個或多個包會返回到其輸入的接口，而且這個包也會經復制發到其他的端口上。

這一結果可能導致多播風暴，這個包不 斷在路由器與交換機間復制，直到TTL減為0。

由于這是個復制過程，它的危害會比單播環路嚴重的多，所以所有的多播路由器必須知道多播包的源，并且需要保證多播包不能從源接口發出。

所以他必須知道哪些是上游接口和下游接口，可以分辨出數據包的流向。如果在不是在源的上游接口收到數據包，就會把它丟棄掉。

而多播路由協議必須關心到源的最短路徑，或者說它關心到源的上游接口。

5.三層交換機的組播路由管理

三層交換機上的任何一個開啟PIM協議的網絡接口，接收到組播包，都會觸發軟件創建一條組播路由，但這個組播路由沒有下游端口。將靜態配置的下游端口加入剛創建的組播路由。非上游口所在的端口收到IGMP Report報文，會使該輸入端口加入已存在對應的組播組；非上游口所在的端口收到IGMP Leave報文，會使該輸入端口從已存在對應的組播組中刪除；做到上面幾點，需要將下列報文送到CPU：IGMP幀，PIM協議只有能收到IGMP幀才能管理下游端口；IP組播幀，PIM協議只有收到IP組播幀才能創建組播路由；DIP等于224.0.0.x的報文。在三層交換機中，組播包必須在上游端口所在的VLAN內廣播，目的是讓其它的路由器或三層交換機能知道該組播流。

六、IPv6路由

1.配置

不同鏈路的情況如上圖，PC1和PC3需要通過三層交換機才能通信，并且PC1和PC3的IP地址的前綴不一致。

這里除了對PC1和PC3配置節點的IP地之外，還要給它們配置類似IPv4的默認網關，在IPv6中，則是配置路由，這里我們給PC1和PC3分別配置默認路由如下：

PC1：::/0 2001::1；PC3：::/0 2002::1。

配置交換機的2個網絡接口，并使之與PC1和PC3連接，網絡接口的IP地址分別如下：2001::1/64和2002::1/64。

對交換機配置了網絡接口后，交換機軟件，會自動生成對應的之連網絡路由，分別如下：2001::0/64 ::和2002::0/64 ::，其下一跳都是0，表示匹配到這些路由的IPv6報文都會被送給交換機的CPU。

下面是PC1和PC2間的通信過程：

2.通信過程

PC1的應用軟件請求發送DIP是2002::2的IP報文；

PC1的IPv6協議棧，判斷2002::2是否與本節點屬于同一鏈路的，判斷方法是通過查詢本節點的路由表，若查詢后匹配到的路由的前綴與本節點相同，則判斷為同鏈路的節點，即鄰節點；若查詢后沒有匹配到路由，則也認為是同鏈路的；由于我們之前給PC1配置缺省路由，因此可知道PC3與PC1不屬于同一鏈路；

PC1從匹配到的路由中，得到了下一跳為2001::1，因此PC1在鄰居緩存中查詢IP地址等于2001::1的鄰居信息，若查找成功，則將根據鄰居信息封裝報文，并轉發給三層交換機；若查找失敗，則按ND機制解析地址，并維護鄰居信息，交換機收到PC1的NS報文后，就會從NS報文中得到PC1的鏈路信息，并維護交換機的鄰居表和路由表，即創建到達PC1的直連主機路由，在這里會創建一條主機路由為：2001::1/128 2001::1；

交換機收到來自的PC1的IPv6報文，一樣要查找路由表，不過先是硬件查詢路由表，若匹配到的路由表項的下一跳可達，則硬件完成報文的封裝，并線速轉發，否則會送到交換機的CPU，由交換機的IPv6協議棧通過ND機制解析地址，在這里是解析PC2的IP地址，并維護更新硬件上的路由表；交換機成解析后，會自動創建對應的直連主機路由，這里會創建一條直連主機路由為：2002::1/128 2002::1；交換機向PC2請求鏈路層信息的過程，PC2也會從接收到的NS報文，獲取交換機與PC2連接的網絡接口的鏈路層信息，并維護PC2的鄰居表和路由表；

PC2收到由交換機轉發的IP報文，該IP報文的SIP是PC1的IP地址，DIP是PC2的IP地址，MAC SA是交換機網絡接口的MAC地址，MAC DA是PC2的MAC地址；PC2回復給PC1的IP報文的DIP是PC1的IP地址，SIP是PC2的IP地址，MAC SA是PC2的MAC地址，MAC DA是交換機網絡接口的MAC地址；

交換機收到PC2的回復IP報文，則先進行硬件的路由表查詢，由于有了前面的過程作為基礎，這次將會匹配到主機路由2001::1/128 2001::1，并硬件線速轉發到PC1。

七、隧道

1.Tunnel 路由簡介

2. ipv6-over-ipv4報文樣本

3.簡單試驗拓撲

4. 配置信息

V6主機A的Ipv6地址是2001::2;

V6主機B的Ipv6地址是2000::2;

雙棧交換機A配置2個網關，

一個是ipv6網關2001::1/64，另一個是ipv4網關192.168.6.1/24;

配置一條tunnel路由是prefix等于2000::/64，DIP等于192.168.5.1，SIP等于192.168.6.1;

配置解封裝表是DIP等于192.168.6.1，SIP等于192.168.5.1；

通過鄰居發現協議，創建了prefix等于2001::2/128的ipv6主機路由;通過arp協議，創建了prefix等于192.168.6.2/32的ipv4主機路由；雙棧交換機B配置2個網關，

一個是ipv6網關2000::1/64，另一個是ipv4網關192.168.5.1/24,;

配置一條tunnel路由是prefix等于2001::/64，DIP等于192.168.6.1，SIP等于192.168.5.1;

配置解封裝表是DIP等于192.168.5.1，SIP等于192.168.6.1；

通過鄰居發現協議，創建了prefix等于2000::2/128的ipv6主機路由;通過arp協議，創建了prefix等于192.168.5.2/32的ipv4主機路由；Ipv4三層交換機配置了2個網關，分別是192.168.6.2/24和192.168.5.2/24，通過arp協議，創建了prefix等于192.168.6.1/32和192.168.5.1/32等2條主機路由。