網(wǎng)絡互連與二層交換專題

1、資料編碼產(chǎn)品名稱使用對象產(chǎn)品版本編寫部門資料版本網(wǎng)絡互連與二層交換專題擬 制：日 期：審 核：日 期：審 核：日 期：批 準：日 期：華 為 技 術 有 限 公 司版權所有 侵權必究修 訂 記 錄日 期修訂版本作 者描 述目錄1網(wǎng)絡互聯(lián)與二層交換概述52二層交換62.1VLAN62.2VLAN的優(yōu)點：72.3VLAN成員的定義72.4VLAN技術原理9關鍵詞：網(wǎng)絡互聯(lián) 交換 VLAN 摘 要：本文闡述了網(wǎng)絡互聯(lián)和二層交換的基本概念，詳細介紹了VLAN的定義、原理以及其優(yōu)點?？s略語清單：無。參考資料清單無。網(wǎng)絡互聯(lián)與二層交換專題1 網(wǎng)絡互聯(lián)與二層交換概述網(wǎng)絡互聯(lián)中，可以采用集線器、二層交換機和路

2、由器等設備。從互聯(lián)的層次上看，集線器屬于物理層互聯(lián)設備，網(wǎng)橋和二層交換機屬于鏈路層互聯(lián)設備，而路由器屬于網(wǎng)絡層互聯(lián)設備。在高層，可以采用協(xié)議轉(zhuǎn)換器進行網(wǎng)絡互聯(lián)。對于在同一物理網(wǎng)段上的計算機，由于采用Ethernet（以太網(wǎng)）的CSMA/CD（帶有沖突檢測的載波監(jiān)聽多路訪問）機制，導致網(wǎng)段中出現(xiàn)沖突，是網(wǎng)絡的可用帶寬減小。在網(wǎng)絡互聯(lián)中，是不希望這種沖突在網(wǎng)絡中傳播的。如果采用集線器，由于集線器完成的只是物理信號的放大、轉(zhuǎn)發(fā)，因此不可能隔離沖突。而采用網(wǎng)橋等設備是可以隔離沖突的。1. 網(wǎng)橋和分段網(wǎng)橋用于對網(wǎng)絡進行物理分段。在網(wǎng)絡上布置網(wǎng)橋后，同一個物理網(wǎng)段上的節(jié)點數(shù)將減少。在這種情況下，沖突出現(xiàn)的

3、機會減少，通過的信息量也就增加。在默認情況下，網(wǎng)橋可以發(fā)送廣播，這說明網(wǎng)橋不能將網(wǎng)絡進行邏輯分段。 所以，網(wǎng)橋可以增加帶寬，減少沖突，但是不能阻止廣播并對網(wǎng)絡進行邏輯分段。2. LAN Switch 和分段由于交換機進行物理分段的方式和網(wǎng)橋相同，所以使用交換機可以更進一步增加通信量。交換機從一個端口向另一個端口發(fā)送幀時有更多的端口和更少的等待時間。交換機還支持全雙工技術，在那些直接連接到節(jié)點的端口上，從理論上可以使帶寬增加一倍。 交換機的每個端口是它自己的物理網(wǎng)段。在網(wǎng)絡中，交換機對邏輯分段不起作用，廣播信息可以傳送到由交換機連成的每個物理網(wǎng)段，這將降低網(wǎng)絡的實際通信量。和網(wǎng)橋一樣，交換機能夠

4、增加帶寬減少沖突，而且采用VLAN（虛擬局域網(wǎng)）可以形成邏輯分段，對廣播進行過濾。3. 路由器和分段路由器對網(wǎng)絡進行物理分段的方式與交換機和網(wǎng)橋相同，但它還可以生成邏輯網(wǎng)段。路由器基于第3層報頭、目標I P尋址、目標I P X尋址或目標A p p l e t a l k尋址作出轉(zhuǎn)發(fā)決定。路由器不能對廣播進行轉(zhuǎn)發(fā)。所以通過路由器可以形成更多的廣播域或邏輯網(wǎng)段。Ethernet over SDH實現(xiàn)中，二層交換的主要技術內(nèi)容包括源地址自學習和基于目的地址的過濾兩個功能，其原理與一般的以太網(wǎng)交換機相同；二層交換設備應該提供轉(zhuǎn)發(fā)表項自動老化刪除機制，老化時間缺省值為5分鐘；二層交換的同時，應該能夠提供

5、靜態(tài)轉(zhuǎn)發(fā)表項設置；靜態(tài)轉(zhuǎn)發(fā)表項不應該老化。2 二層交換二層交換這樣命名的原因是對網(wǎng)絡主機來說二層交換的數(shù)據(jù)表示和對數(shù)據(jù)的操作都是透明的。當開啟二層交換的電源時，它通過分析來自所有相連網(wǎng)絡的輸入封包的源地址來學習網(wǎng)絡的拓撲結(jié)構。例如，二層交換接收到通過線路1來自主機A的數(shù)據(jù)包，它就認為通過連接到線路1上的網(wǎng)絡可以達到主機A，通過這樣的學習過程，二層交換就能建立起一張路由表，如下表所示：主機地址端口號1111.1111.111112222.2222.222213333.3333.333324444.4444.444431bcd.1234.cdfa1二層交換采用這種路由表作為數(shù)據(jù)包傳輸轉(zhuǎn)發(fā)的基礎。當

6、二層交換從其中的一個端口接收到一個數(shù)據(jù)包時，它根據(jù)數(shù)據(jù)包的目的地址查找路由表，如果路由表中存在有目的地址和網(wǎng)橋中某個端口的對應關系，數(shù)據(jù)包將通過相應的端口被轉(zhuǎn)發(fā)出去，否則，數(shù)據(jù)包將通過除接收端口外的所有其它端口被轉(zhuǎn)發(fā)出去。二層交換成功地分隔了網(wǎng)段內(nèi)部的數(shù)據(jù)傳輸，從而相應地減少了每一個網(wǎng)段上可見的數(shù)據(jù)傳輸量，這樣就可以提高用戶可見的網(wǎng)絡響應時間。2.1 VLANVLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它將連接在同一個物理網(wǎng)絡上面的主機分組，使他們它們看起來就象連接在不同的網(wǎng)絡上一樣。VLAN出現(xiàn)之前，人們通過劃分網(wǎng)段來提高局域網(wǎng)性能或者限制網(wǎng)上的計

7、算機互訪問權限等等。當時每一個網(wǎng)段都必須單獨擁有一套網(wǎng)絡硬件，各個網(wǎng)段之間不能共享同一套連網(wǎng)設備，而且當計算機從一個網(wǎng)段遷移到另外一個網(wǎng)段的時候，所做的變動相對是比較大的，尤其是計算機的連接必須更換到另外一個網(wǎng)絡上面。VLAN出現(xiàn)之后，人們可以通過VLAN為網(wǎng)絡分段，各個網(wǎng)段可以共用同一套網(wǎng)絡設備，節(jié)約了網(wǎng)絡硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。2.2 VLAN的優(yōu)點：1. 減少移動和改變的代價減少移動和改變的代價，即所說的動態(tài)管理網(wǎng)絡，也就是當一個用戶從一個位置移動到另一個位置時，他的網(wǎng)絡屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡給網(wǎng)絡管理者和使用

8、者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡，這種前景是非常美好的。 當然，并不是所有的VLAN定義方法都能做到這一點。2. 虛擬工作組虛擬工作組，VLAN的最具雄心的目標就是建立虛擬工作組模型，例如，在校園網(wǎng)中，同一個系的就好象在同一個LAN上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個人如果從一個辦公地點換到另外一個地點，而他仍然在該系，那么，他的配置無須改變，同時，如果一個人雖然辦公地點沒有變，但他換了一個系，那么，只需網(wǎng)絡管理者那配置一下就行了。這個功能的目標就是建立一個動態(tài)的組織環(huán)境，當然，

9、這只是一個遠大的目標，要實現(xiàn)它，還需要一些其他包括管理等方面的支持。3. 限制廣播包限制廣播包，按照802.1D透明網(wǎng)橋的算法，如果一個數(shù)據(jù)包找不到路由，那么交換機就會將該數(shù)據(jù)包向所有的其他端口發(fā)送，這就是橋的廣播方式的轉(zhuǎn)發(fā)，這樣的結(jié)果，毫無疑問極大的浪費了帶寬，如果配置了VLAN，那么，當一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機的端口，這樣，就將數(shù)據(jù)包限制到了一個VLAN內(nèi)。在一定程度上可以節(jié)省帶寬。4. 安全性安全性，由于配置了VLAN后，一個VLAN的數(shù)據(jù)包不會發(fā)送到另一個VLAN，這樣，其他VLAN的用戶的網(wǎng)絡上是收不到任何該VL

10、AN的數(shù)據(jù)包，從而就確保了該VLAN的信息不會被其他VLAN的人竊聽，從而實現(xiàn)了信息的保密。2.3 VLAN成員的定義1. VLAN成員的定義可以分為4種:根據(jù)端口劃分VLAN這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的端口來劃分，比如24端口的交換機14端口為VLAN A，517為VLAN B，1824為VLAN C，當然，這些屬于同一VLAN的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個交換機的話，例如，可以指定交換機 1 的16端口和交換機 2 的14端口為同一VLAN，即同一VLAN可以跨越數(shù)個以太網(wǎng)交換機，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE 802.1Q協(xié)議規(guī)

11、定的就是如何根據(jù)交換機的端口來劃分VLAN。這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置。所以，可以認為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個

12、甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停的配置。根據(jù)網(wǎng)絡層劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法可能是根據(jù)網(wǎng)絡地址，比如IP地址，但它不是路由，不要與網(wǎng)絡層的路由混淆。它雖然查看每個數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協(xié)議，而是根據(jù)生成樹算法進行橋交換。這種方法的優(yōu)點是用戶的物理位置改

13、變了，不需要重新配置他所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡管理者來說很重要，還有，這種方法不需要附加的楨標簽來識別VLAN，這樣可以減少網(wǎng)絡的通信量。但采用這種方法需要考慮效率問題，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡層地址是很費時的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡上數(shù)據(jù)包的以太網(wǎng)楨頭，但要讓芯片能檢查IP楨頭，需要更高的技術，同時也更費時。當然，這也跟各個廠商的實現(xiàn)方法有關。IP組播作為VLANIP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過

14、路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高，對于局域網(wǎng)的組播，有二層組播協(xié)議GMRP。2.4 VLAN技術原理VLAN在以太網(wǎng)幀中插入的位置如圖所示：目標地址（6字節(jié)）源地址（6字節(jié)）802.1q標簽（4字節(jié)）長度/類型（2字節(jié)）數(shù)據(jù)FCS（CRC-32）4字節(jié)TPIDTCI圖 1 帶有802.1Q標簽頭的以太網(wǎng)幀這4個字節(jié)的802.1Q標簽頭包含：（1）2個字節(jié)的標簽協(xié)議標識（TPID-Tag Protocol Identifier，它的值是8100）（2）兩個字節(jié)的標簽控制信息（TCI-Tag Control Information），TPID是IEEE定義的新的類型，表明這

15、是一個加了802.1Q標簽的本文，圖5顯示了802.1Q標簽頭的詳細內(nèi)容。字節(jié)1字節(jié)2字節(jié)3字節(jié)4TPID（標簽協(xié)議指示）TCI（標簽控制信息）1000000100000000優(yōu)先級CFIVLAN ID7654321076543210765432107654321圖 2 802.1Q標簽頭該標簽頭中的信息解釋如下：VLAN Identified( VLAN ID ): 這是一個12位的域，指明VLAN的ID，一共4096個，每個支持802.1Q協(xié)議的主機發(fā)送出來的數(shù)據(jù)包都會包含這個域，以指明自己屬于哪一個VLAN。Canonical Format Indicator( cfi )：這一位主要用

16、于總線型的以太網(wǎng)與FDDI、令牌環(huán)網(wǎng)交換數(shù)據(jù)時的楨格式；對以太網(wǎng)為0；Priority：這3 位指明幀的優(yōu)先級。一共有8種優(yōu)先級，主要用于當交換機阻塞時，優(yōu)先發(fā)送哪個數(shù)據(jù)包。不難看出，802.1Q標簽頭的4 個字節(jié)是新增加的，目前我們使用的計算機并不支持802.1Q，即我們計算機發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這4個字節(jié)，同時也無法識別這4個字節(jié)，將來會有軟件和硬件支持802.1Q協(xié)議的。 對于交換機來說，如果它所連接的以太網(wǎng)段的所有主機都能識別和發(fā)送這種帶802.1Q標簽頭的數(shù)據(jù)包，那么我們把這種端口稱為Tag Aware 端口；相反，如果該交換機端口說連接的以太網(wǎng)段有只要有一臺主機不支

17、持這種以太網(wǎng)幀頭，那么交換機的這個端口我們稱為Access端口，從目前的情況可以看出，所有的交換機的端口都屬于后一種。那么，在現(xiàn)在的情況下，交換機是如何支持VLAN的呢？比如交換機的14端口屬于同一個VLAN，那么當 1 端口進來一個數(shù)據(jù)包是，交換機看到該數(shù)據(jù)包沒有802.1Q標簽頭，那么，它會根據(jù)1號端口所屬的VLAN組，自動給該數(shù)據(jù)包添加一個該VLAN的標簽頭，然后再將數(shù)據(jù)包交給數(shù)據(jù)庫查詢模塊，數(shù)據(jù)庫查詢模塊會根據(jù)數(shù)據(jù)包的目的地址和所屬的VLAN進行路由，之后交給轉(zhuǎn)發(fā)模塊，轉(zhuǎn)發(fā)模塊看到這是一個包含標簽頭的數(shù)據(jù)包，而實際上發(fā)送的端口所連的以太網(wǎng)段的計算機不能識別這種數(shù)據(jù)包，所以，它會再將數(shù)據(jù)包進來是交換機給添加的標簽頭再去掉。如果計算機支持這種標簽頭，那么就不需要交換機添加或刪除標簽頭了，至于到底是添加還是刪除要看交換機所連的以太網(wǎng)段的主機是否識別這種數(shù)據(jù)包，即該交換機的端口是哪種類型的端口。當然，對于兩個交換機互連的端口一般都是Tag Aware端口，這樣，交換機和交換機之間交換數(shù)據(jù)包時是無須去掉標簽頭的。一般交換機的連接方式如下圖所示。 圖 3 2個交換