以太網(wǎng)交換機基礎(chǔ)培訓教材

..華為三康技術(shù)有限公司Huawei-3ComTechnologiesCo.,Ltd.文檔編號DocumentID密級Confidentialitylevel內(nèi)部公開Confidential文檔狀態(tài)DocumentStatus共NUMpages以太網(wǎng)交換機基礎(chǔ)培訓教材Preparedby擬制程永椿00742Date日期2005-3-13Reviewedby評審人李博00404Date日期2005-3-14Approvedby批準Date日期yyyy-mm-ddAuthorizedby簽發(fā)Date日期yyyy-mm-ddHuawei-3ComTechnologiesCo.,Ltd.華為3Com技術(shù)有限公司Allrightsreserved版權(quán)所有侵權(quán)必究Revisionrecord修訂記錄Date日期RevisionVersion修訂版本CRID/DefectIDCR號SectionNumber修改章節(jié)ChangeDescription修改描述Author作者2005-3-131.00Initial初稿完成JimmyCheung程永椿2005-3-141.01ALL增加縮略語修改原文中的部分錯誤李博yyyy-mm-dd1.02xxxrevisedxxx修改XXXXxxXxx...Name

作者名Catalog目錄1以太網(wǎng)概述82以太網(wǎng)的基礎(chǔ)知識82.1MAC地址82.2以太網(wǎng)幀的幀格式9以太網(wǎng)Ⅱ10帶有802.2邏輯鏈路控制的IEEE802.310IEEE802.3子網(wǎng)訪問協(xié)議〔以太網(wǎng)SNAP10Novell以太網(wǎng)112.3CSMA/CD112.4沖突域和廣播域122.5以太網(wǎng)的典型設(shè)備-HUB122.6全雙工以太網(wǎng)133二層交換機的基本原理133.1二層交換機133.2支持VLAN的二層交換機16VLAN的概念17VLAN的劃分18VLAN的標準19支持VLAN交換機的轉(zhuǎn)發(fā)流程214三層交換機基本原理244.1三層交換機的提出244.2三層交換機基本特征254.3三層交換機的功能模型254.4三層交換機轉(zhuǎn)發(fā)流程27IP網(wǎng)絡(luò)規(guī)則27三層轉(zhuǎn)發(fā)流程27選路過程294.5路由器和交換機31接口32特點對照325交換機相關(guān)協(xié)議和技術(shù)325.1物理層特性〔接口32自協(xié)商33智能MDI/MDIX自識別33流控機制34POE供電35端口鏡像355.2二層協(xié)議和特性35STP/RSTP/MSTP協(xié)議36GARP/GVRP/GMRP37聚合特性38Isolate-user-vlan39二層多播40QinQ405.3三層特性41SuperVLAN415.4Qos/ACL425.5安全特性42802.1X42PORTAL435.6管理特性45集群管理46WEB網(wǎng)管475.7IRF475.8與路由器相同的一些特性496以太網(wǎng)交換機主要廠商496.1Cisco496.2Extreme496.3Foundry506.4港灣507參考資料50圖索引TOC\t"圖號"\c圖1MAC地址9圖2常用的以太網(wǎng)幀格式10圖3由HUB組成的網(wǎng)絡(luò)13圖4全雙工以太網(wǎng)13圖5二層交換機結(jié)構(gòu)示意圖14圖6二層交換機的轉(zhuǎn)發(fā)流程15圖7二層交換機工作在鏈路層15圖8交換機的沖突域和廣播域16圖9由二層交換機構(gòu)成的扁平網(wǎng)絡(luò)16圖10基于端口VLAN的劃分18圖11802.1QVLAN幀格式20圖12Trunk鏈路實現(xiàn)虛擬工作組20圖13支持VLAN交換機交換引擎21圖14IVL和SVL地址學習方式22圖15IVL地址學習方式轉(zhuǎn)發(fā)流程23圖16SVL地址學習方式轉(zhuǎn)發(fā)流程23圖17支持VLAN交換機沖突域和廣播域24圖18三層交換機功能模型26圖19三層交換引擎26圖20三層轉(zhuǎn)發(fā)流程28圖21路由器的最長匹配轉(zhuǎn)發(fā)30圖22三層交換機轉(zhuǎn)發(fā)-精確匹配31圖23三層交換機轉(zhuǎn)發(fā)-最長匹配31圖24以太網(wǎng)的自協(xié)商33圖25STP阻塞網(wǎng)絡(luò)環(huán)路36圖26MSTP根據(jù)VLAN進行阻塞鏈路37圖27GARP屬性注冊和注銷37圖28GARP基本原理38圖29Isolate-user-vlan 39圖30不支持多播功能交換機40圖31QinQ實現(xiàn)vMAN 41圖32802.1X認證體系結(jié)構(gòu)43圖33PORTAL認證四大要素45圖34集群的組成47圖35IRF的組成48圖36IRF的典型應用49表索引TOC\t"表號"\c表1.LAN/MAN參考模型17表2.路由器和三層交換機的特點對比32表3.PORTAL、PPPoE/A、802.1X三種認證方式的特點對比45以太網(wǎng)交換機基礎(chǔ)培訓教材Keywords關(guān)鍵詞：以太網(wǎng),交換機,LAN,VLAN,IRFAbstract摘要：本文介紹以太網(wǎng)交換機的相關(guān)知識和基本原理。主要包括：1以太網(wǎng)交換機基礎(chǔ)知識；2二、三層交換機的基本原理和轉(zhuǎn)發(fā)流程；3以太網(wǎng)交換機常用特性和技術(shù)。Listofabbreviations縮略語清單：Abbreviations縮略語Fullspelling英文全名Chineseexplanation中文解釋POEPowerOverEthernet以太網(wǎng)供電IVLIndependentVlanLearning獨立vlan學習SVLSharingVlanLearning共享vlan學習VLANVirtualLocalAreaNetwork虛擬局域網(wǎng)GVRPGenericVlanRegistrationProtocol通用vlan注冊協(xié)議RSTPRapidSpanningTreeProtocol快速生成樹協(xié)議MSTPMultipleSpanningTreeProtocol多實例生成樹協(xié)議LACPLinkAggregationControlProtocol鏈路聚合控制協(xié)議DHCPDynamicHostConfigurationProtocol動態(tài)主機配置協(xié)議NTPNetworkTimeProtocol網(wǎng)絡(luò)時間協(xié)議VRRPVirtualRouterRedundancyProtocol虛擬路由冗余協(xié)議RIPRoutingInformationProtocol路由信息協(xié)議OSPFOpenShortestPathFirst開放最短路徑優(yōu)先IS-ISIntermediateSystem-to-IntermediateSystemintra-domainroutinginformationexchangeprotocolIS-IS路由協(xié)議BGPBorderGatewayProtocol邊界網(wǎng)關(guān)協(xié)議IGMPInternetGroupManagementProtocolInternet組管理協(xié)議IGMPSnoopingInternetGroupManagementProtocolSnoopingIGMP偵聽GMRPGenericMulticastRegistrationProtocol通用組播注冊協(xié)議PIM-DMProtocolIndependentMulticast-DenseMode密集模式協(xié)議無關(guān)組播PIM-SMProtocolIndependentMulticast-SparseMode稀疏模式協(xié)議無關(guān)組播MSDPMulticastSourceDiscoveryProtocol組播源發(fā)現(xiàn)協(xié)議WREDWeightedRandomEarlyDetection加權(quán)隨機早期檢測CHAPChallengeHandshakeAuthenticationProtocol質(zhì)詢握手驗證協(xié)議PAPPasswordAuthenticationProtocol密碼驗證協(xié)議EAPExtensibleAuthenticationProtocol可擴展認證協(xié)議SSHSecureShell安全外殼IDSIntrusionDetectionSystem入侵檢測系統(tǒng)RMONRemoteMONitor遠程監(jiān)控HGMPHuaweiGroupManagementProtocol華為組管理協(xié)議NDPNeighborDiscoveryProtocol鄰居發(fā)現(xiàn)協(xié)議IRFIntelligentResilientFramework智能彈性架構(gòu)以太網(wǎng)概述以太網(wǎng)是在70年代初期由Xerox公司PaloAlto研究中心推出的。1979年Xerox、Intel和DEC公司正式發(fā)布了DIX版本的以太網(wǎng)規(guī)范,1983年IEEE802.3標準正式發(fā)布。初期的以太網(wǎng)是基于同軸電纜的,到八十年代末期基于雙絞線的以太網(wǎng)完成了標準化工作,即我們常說的10BASE-T。隨著市場的推動,以太網(wǎng)的發(fā)展越來越迅速,應用也越來越廣泛。下面簡單列一下以太網(wǎng)的發(fā)展歷程：70年代初,以太網(wǎng)產(chǎn)生；1929年,DEC、Intel、Xerox成立聯(lián)盟,推出DIX以太網(wǎng)規(guī)范；1980年,IEEE成立了802.3工作組；1983年,第一個IEEE802.3標準通過并正式發(fā)布通過80年代的應用,10Mb/s以太網(wǎng)基本發(fā)展成熟1990年,基于雙絞線介質(zhì)的10BASE-T標準和IEEE802.1D網(wǎng)橋標準發(fā)布90年代,LAN交換機出現(xiàn),逐步淘汰共享式網(wǎng)橋1992年,出現(xiàn)了100Mb/s快速以太網(wǎng)通過100BASE-T標準<IEEE802.3u>全雙工以太網(wǎng)<IEEE97>千兆以太網(wǎng)開始迅速發(fā)展<96>1000Mb/s千兆以太網(wǎng)標準問世<IEEE802.3z/ab>IEEE802.1Q和802.1P標準出現(xiàn)<98>10GE以太網(wǎng)工作組成立<IEEE802.3ae>以太網(wǎng)的基礎(chǔ)知識以太網(wǎng)是一種能夠使計算機進行相互傳遞信息的介質(zhì),它利用二進制位形成一個個的字節(jié),這些字節(jié)然后組合成一幀幀的數(shù)據(jù)。幀有一個起點,我們稱之為幀頭；也有終點,我們稱之為作幀尾。以太網(wǎng)由許多物理網(wǎng)段組合而成,每個網(wǎng)段包括一些導線和與導線相連的網(wǎng)絡(luò)設(shè)備。以太網(wǎng)上有很多網(wǎng)絡(luò)設(shè)備,每個設(shè)備都會接收到各種各樣的幀信息。那么,設(shè)備怎樣才能知道幀是否是直接對它進行訪問呢？其實,在每個幀報頭中,都包含有一個目地介質(zhì)訪問控制地址〔MAC和一個源MAC地址,目的MAC地址就可以告訴網(wǎng)絡(luò)設(shè)備幀是否是對它進行直接訪問。如果設(shè)備發(fā)現(xiàn)幀的目的MAC地址與自己的MAC不匹配,設(shè)備將對不處理該幀。MAC地址MAC地址有48位,它可以轉(zhuǎn)換成12位的十六進制數(shù),參見圖1。這個數(shù)分成三組,每組有四個數(shù)字,中間以點分開。MAC地址有時也稱為點分十六進制數(shù)。為了確保MAC地址的唯一性,IEEE對這些地址進行管理。每個地址由兩部分組成,分別是供應商代碼和序列號。供應商代碼代表NIC〔網(wǎng)絡(luò)接口卡制造商的名稱,它占用MAC的前六位12進制數(shù)字,即24位二進制數(shù)字。序列號由供應商管理,它占用剩余的6位地址,或最后的24位二進制數(shù)字。MAC地址從實際使用的角度看,以太網(wǎng)的MAC地址可以分為三類,分別是單播地址、多播地址、廣播地址：單播地址：第一字節(jié)最低位為0,00e0.fc00.0006。用于網(wǎng)段中兩個特定設(shè)備之間的通信,可以作為以太網(wǎng)幀的源和目的MAC地址；多播地址：第一字節(jié)最低位為1,01e0.fc00.0006。用于網(wǎng)段中一個設(shè)備和其他多個設(shè)備通信,只能作為以太網(wǎng)幀的目的MAC；廣播地址：48位全1,ffff.ffff.ffff。用于網(wǎng)段中一個設(shè)備和其他所有設(shè)備通信,只能作為以太網(wǎng)幀的目的MAC。以太網(wǎng)幀的幀格式對MAC地址有一個基本認識后,我們有必要進一步了解以太網(wǎng)幀的幀格式是怎么樣的？有哪幾種常用的幀格式？下圖就是目前常用幾種以太網(wǎng)幀格式。常用的以太網(wǎng)幀格式以太網(wǎng)Ⅱ幀頭的作用是標識封裝在幀中的第3層信息包的類型。以太網(wǎng)Ⅱ使用類型字段,其長度為2個字節(jié)。這種幀格式是目前最常用的以太網(wǎng)幀格式。帶有802.2邏輯鏈路控制的IEEE802.3IEEE基于原始的以太網(wǎng)Ⅱ幀來設(shè)計自己的以太網(wǎng)幀類型。IEEE802.3的以太網(wǎng)幀報頭和以太網(wǎng)Ⅱ的幀報頭非常相似,不過其類型字段的長度有所變化,它增加了一個稱作邏輯鏈路控制〔LLC的字段。LLC用來識別信息包中使用的第3層協(xié)議。LLC報頭或IEEE報頭都包含DSAP〔destinationserviceaccesspoint,目的服務(wù)訪問點、SSAP〔sourceserviceaccesspoint,源服務(wù)訪問點和控制字段。DSAP和SSAP合并后就可標識第3層協(xié)議的類型。IEEE802.3子網(wǎng)訪問協(xié)議〔以太網(wǎng)SNAP80年代中期,以太網(wǎng)非常流行,IEEE擔心它將使用完所有的DSAP和SSAP編碼,所以就定義了一種新的幀格式。這種幀格式稱為以太網(wǎng)子網(wǎng)訪問協(xié)議,有時候也稱為以太網(wǎng)SNAP。這種格式的幀報頭以"AA"取代DSAP和SSAP。在DSAP和SSAP字段中出現(xiàn)"AA"時,幀是一個以太網(wǎng)SNAP幀。這時,第3層協(xié)議將在OUI〔Organizationaluniqueidentifier,組織唯一標識字段后的類型字段中表示。QUI是一個6位的十六進制數(shù),它可以唯一地標識一個組織。IEEE對QUI進行賦值。Novell以太網(wǎng)Novell以太網(wǎng)幀類型只適用于IPX通信。Novell以前沒有考慮IPX將附屬于其他第3層協(xié)議。所以,也就沒有必要用字段來識別第3層協(xié)議。如果你運行的是Novell網(wǎng)絡(luò),就可以使用IPX。Novell以太網(wǎng)幀格式以一個長度字段來取代類型字段,與前面的IEEE的做法一樣。不過長字段后沒有LLC字段。CSMA/CD以太網(wǎng)使用CSMA/CD〔CarrierSenseMultipleAccesswithCollisionDetection,帶有沖突監(jiān)測的載波偵聽多址訪問。我們可以將CSMA/CD比做一種文雅的交談。在這種交談方式中,如果有人想闡述觀點,他應該先聽聽是否有其他人在說話〔即載波偵聽。如果這時有人在說話,他應該耐心地等待,直到對方結(jié)束說話,然后他才可以開始發(fā)表意見。另外,有可能兩個人在同一時間都想開始說話,那會出現(xiàn)什么樣的情況呢？顯然,如果兩個人同時說話,這時很難辨別出每個人都在說什么。但是,在文雅的交談方式中,當兩個人同時開始說話時,雙方都會發(fā)現(xiàn)他們在同一時間開始講話〔即沖突檢測,這時說話立即終止。隨機地過了一段時間后〔回退,說話才開始。說話時,由第一個開始說話的人來對交談進行控制,而第二個開始說話的人將不得不等待,直到第一個人說完,然后他才能開始說話。除計算機以外,以太網(wǎng)的工作方式與上面的方式相同。首先,以太網(wǎng)網(wǎng)段上需要進行數(shù)據(jù)傳送的節(jié)點對導線進行監(jiān)聽,這個過程稱為CSMA/CD的載波偵聽。如果,這時有另外的節(jié)點正在傳送數(shù)據(jù),監(jiān)聽節(jié)點將不得不等待,直到傳送節(jié)點的傳送任務(wù)結(jié)束。如果某時恰好有兩個工作站同時準備傳送數(shù)據(jù),以太網(wǎng)網(wǎng)段將發(fā)出"沖突"信號。這時,節(jié)點上所有的工作站都將檢測到?jīng)_突信號,因為,這時導線上的電壓超出了標準電壓。沖突產(chǎn)生后,這兩個節(jié)點都將立即發(fā)出擁塞信號,以確保每個工作站都檢測到這時以太網(wǎng)上已產(chǎn)生沖突,導線上的帶寬為0Mb/s。然后,網(wǎng)絡(luò)進行恢復,在恢復的過程中,導線上將不傳送數(shù)據(jù)。在這一過程中,不屬于產(chǎn)生沖突的網(wǎng)段上的節(jié)點也要等到?jīng)_突結(jié)束后才能傳送數(shù)據(jù)。當兩個節(jié)點將擁塞信號傳送完,并過了一段隨機時間后,這兩個節(jié)點便開始將信號恢復到零位。第一個達到零位的工作站將首先對導線進行監(jiān)聽,當它監(jiān)聽到?jīng)]有任何信息在傳輸時,便開始傳輸數(shù)據(jù)。當?shù)诙€工作站恢復到零位后,也對導線進行監(jiān)聽,當監(jiān)聽到第一個工作站已經(jīng)開始傳輸數(shù)據(jù)后,就只好等待了。注意實際上,隨機的時間是通過一種算法產(chǎn)生的,這種算法在IEEE802.3標準CSMA/CD文檔第55頁可以找到。在CSMA/CD方式下,在一個時間段,只有一個節(jié)點能夠在導線上傳送數(shù)據(jù)。如果其他節(jié)點想傳送數(shù)據(jù),必須等到正在傳輸?shù)墓?jié)點的數(shù)據(jù)傳送結(jié)束后才能開始傳輸數(shù)據(jù)。以太網(wǎng)之所以稱作共享介質(zhì)就是因為節(jié)點共享同一根導線這一事實。沖突域和廣播域我們知道,當以太網(wǎng)發(fā)生沖突的時候,網(wǎng)絡(luò)要進行恢復〔即處于回退階段,此時網(wǎng)絡(luò)上將不能傳送任何數(shù)據(jù)。因此,沖突的產(chǎn)生降低了以太網(wǎng)導線的帶寬,而且這種情況是不可避免的。所以,當導線上的節(jié)點越來越多后,沖突的數(shù)量將會增加。在以太網(wǎng)網(wǎng)段上放置的最大的節(jié)點數(shù)將取決于傳輸在導線上的信息類型。顯而易見的解決方法是限制以太網(wǎng)導線上的節(jié)點。這個過程通常稱為物理分段。物理網(wǎng)段實際上是連接在同一導線上的所有工作站的集合,也就是說,和另一個節(jié)點有可能產(chǎn)生沖突的所有工作站被看作是同一個物理網(wǎng)段。經(jīng)常描述物理網(wǎng)段的另一個詞是沖突域,這兩種說法指的是同一個意思。由于各種各樣的原因,網(wǎng)絡(luò)操作系統(tǒng)〔NOS使用了廣播。TCP/IP使用廣播從IP地址中解析MAC地址,還使用廣播通過RIP協(xié)議進行宣告。因此,廣播存在于所有的網(wǎng)絡(luò)上,如果不對它們進行適當?shù)木S護和控制,它們便會充斥于整個網(wǎng)絡(luò),產(chǎn)生大量的網(wǎng)絡(luò)通信。前面已經(jīng)介紹過,廣播的目標地址為ffff.ffff.ffff,這個地址將使所有工作站處理該幀。因此,廣播不僅消耗了帶寬,限制了用戶獲取實際數(shù)據(jù)的帶寬,而且也降低了用戶工作站的處理效率。在這種情況下,所有能夠接收其他廣播的節(jié)點被劃分為同一個邏輯網(wǎng)段,也稱為廣播域。一般來說,邏輯網(wǎng)段定義了第三層網(wǎng)絡(luò),如IP子網(wǎng)等。以太網(wǎng)的典型設(shè)備-HUB在局域網(wǎng)〔LAN-LocalAreaNetwork中,每個工作站都通過某種傳輸介質(zhì)連接到網(wǎng)絡(luò)上。一般情況下,服務(wù)器不會有很多網(wǎng)絡(luò)接口卡〔NIC。因此,不可能將所有的工作站都連接到服務(wù)器上。因此,局域網(wǎng)中會使用HUB,這是網(wǎng)絡(luò)中很常用的設(shè)備。HUB是一種典型的采用以太網(wǎng)CSMA/CD機制的設(shè)備,其主要作用是：被用作網(wǎng)絡(luò)設(shè)備的集中點放大信號無路徑檢測或交換從HUB的作用可以看出,HUB對所連接的LAN只做信號的中繼,工作在網(wǎng)絡(luò)的物理層,連接在HUB上的所有物理設(shè)備相當于連接在同一根導線上,都處于同一個沖突域和廣播域,參見圖3。因此,在網(wǎng)絡(luò)設(shè)備很多的情況下,設(shè)備之間的沖突將會很嚴重,并且導致廣播泛濫,嚴重影響網(wǎng)絡(luò)地性能。由HUB組成的網(wǎng)絡(luò)全雙工以太網(wǎng)當兩個以太網(wǎng)節(jié)點通過10baseT的電纜直接連接時,導線類似于圖4。在這種情況下,數(shù)據(jù)可以通過兩種獨立的路徑傳輸和接收。由于只存在兩個節(jié)點,也就沒有總線,所以就可以在同一時間對信息進行雙向傳輸,而不會發(fā)生沖突。在這種情況下,以太網(wǎng)稱為全雙工以太網(wǎng)。為了實現(xiàn)全雙工以太網(wǎng),兩個節(jié)點必須通過10baseT直接連接,而且NIC必須支持全雙工。全雙工以太網(wǎng)二層交換機的基本原理二層交換機顧名思義,所謂二層交換機,其進行轉(zhuǎn)發(fā)的依據(jù)就是以太網(wǎng)幀的二層信息,即MAC地址且是幀的目的MAC地址。交換機接收到一個以太網(wǎng)幀后,然后根據(jù)該幀的目的MAC,把報文從正確的端口轉(zhuǎn)發(fā)出去,該過程稱為二層交換,對應的設(shè)備稱為二層交換機。在這里稍微提一下,在二層交換機之前用于二層交換機的設(shè)備是透明網(wǎng)橋,它和二層交換機的最大區(qū)別就是：透明網(wǎng)橋只有兩個端口,而交換機的端口數(shù)目遠遠超過兩個。目前的交換機都采用硬件來實現(xiàn)其轉(zhuǎn)發(fā)過程,該器件一般稱為ASIC〔ApplicationSpecificIntegratedCircuit,也俗稱為交換引擎。對于二層交換機來說,ASIC將維護一張二層轉(zhuǎn)發(fā)表L2FDB〔Layer2forwardingdatabase。表項的主要內(nèi)容是MAC地址和交換機端口的對應關(guān)系。圖5即為二層交換機結(jié)構(gòu)示意圖。port1port1port2port3port4port5port6MACMACMACMACMACMAC二層交換引擎L2FDBSwitchASIC二層交換機結(jié)構(gòu)示意圖下面就詳細了解一下二層交換機的轉(zhuǎn)發(fā)過程,以圖6為例進行說明。交換機從端口1接收到一個以太網(wǎng)幀,其轉(zhuǎn)發(fā)流程如下：根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表<即L2FDB>,查找相應的出端口。根據(jù)現(xiàn)有L2FDB表,報文應該從端口2發(fā)送出去；如果在L2FDB表中查找不到該目的MAC,則該報文將通過廣播的方式向交換機所有端口轉(zhuǎn)發(fā)；同時該以太網(wǎng)幀的源MAC將被學習到接收到報文的端口上,即端口1；L2FDB表中MAC地址通過老化機制來更新；在轉(zhuǎn)發(fā)的過程中,不會對幀的內(nèi)容進行修改。二層交換機的轉(zhuǎn)發(fā)流程現(xiàn)在我們來分析一下使用交換機構(gòu)成的網(wǎng)絡(luò),其沖突域和廣播域是怎樣的？性能如何？由于以太網(wǎng)發(fā)生沖突是在網(wǎng)絡(luò)的第一層,而交換機工作在網(wǎng)絡(luò)的第二層即鏈路層,參見圖7。二層交換機工作在鏈路層因此,二層交換機將網(wǎng)絡(luò)的沖突域限制在了交換機的端口內(nèi)〔參見圖8,也就是給網(wǎng)絡(luò)劃分成了若干個物理網(wǎng)段,每個端口一個物理網(wǎng)段,大大地減少了沖突對網(wǎng)絡(luò)帶來的影響,改善了網(wǎng)絡(luò)的性能。交換機的沖突域和廣播域然后,我們也必須要看到,交換機雖然可以有效地的限制沖突的發(fā)生,但對于廣播無能為力。對于大量的交換機構(gòu)成的扁平網(wǎng)絡(luò)〔參見圖9而言,廣播對網(wǎng)絡(luò)性能的影響是顯而易見的。廣播消耗了大量的網(wǎng)絡(luò)帶寬；網(wǎng)絡(luò)的安全性差,任何兩臺主機之間都可以相互訪問。由二層交換機構(gòu)成的扁平網(wǎng)絡(luò)支持VLAN的二層交換機路由器基于第3層報頭、目標IP尋址作出轉(zhuǎn)發(fā)決定,不能對廣播進行轉(zhuǎn)發(fā)。所以通過路由器可以限制廣播的轉(zhuǎn)發(fā),形成更多的廣播域或邏輯網(wǎng)段。當然,路由器可以對網(wǎng)絡(luò)進行物理分段,方式與交換機和網(wǎng)橋相同。雖然,路由器能達到限制以太網(wǎng)廣播域的作用,但其有一定的限制：1路由器成本較高；2>路由器端口數(shù)目較少,一般不能滿足二層網(wǎng)絡(luò)的應用。為此,在二層交換機中引入了VLAN的概念。VLAN的概念我們知道,IEEE802.3給出了LAN/MAN參考模型〔表1所示,LAN〔LocalAreaNetwork協(xié)議包括了OSI七層模型的低三層：物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。其中,數(shù)據(jù)鏈路層又分為邏輯鏈路控制層<LLC>和媒體接入控制層<MAC>。LAN/MAN參考模型OSI七層模型IEEE802LAN/MAN參考模型網(wǎng)絡(luò)層網(wǎng)間互聯(lián)數(shù)據(jù)鏈路層邏輯鏈路控制層<LLC>媒體接入控制層<MAC>物理層物理層那么什么是VLAN呢？VLAN-VirtualLocalAreaNetwork,稱為虛擬局域網(wǎng),是將一組位于不同物理網(wǎng)段上的工作站和服務(wù)器從邏輯上劃分成不同的邏輯網(wǎng)段,在功能和操作上與傳統(tǒng)LAN基本相同,可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)和傳輸。那么,使用VLAN能帶來什么優(yōu)點？<1>限制了網(wǎng)絡(luò)中的廣播一般交換機不能過濾局域網(wǎng)廣播報文,因此在大型交換局域網(wǎng)環(huán)境中造成廣播量擁塞,對網(wǎng)絡(luò)帶寬造成了的極大浪費。用戶不得已用路由器分割他們的網(wǎng)絡(luò),此時路由器的作用是廣播的"防火墻"。VLAN的主要優(yōu)點之一是：支持VLAN的LAN交換機可以有效地用于控制廣播流量,廣播流量僅僅在VLAN內(nèi)被復制,而不是整個交換機,從而提供了類似路由器的廣播"防火墻"功能。<2>虛擬工作組使用VLAN的另一個目的就是建立虛擬工作站模型。當企業(yè)級的VLAN建成之后,某一部門或分支機構(gòu)的職員可以在虛擬工作組模式下共享同一個"局域網(wǎng)"。這樣絕大多數(shù)的網(wǎng)絡(luò)都限制在VLAN廣播域內(nèi)部了。當部門內(nèi)的某一個成員移動的另一個網(wǎng)絡(luò)位置時,他所使用的工作站不需要做任何改動。相反,一個用戶改變不用移動他的工作站就可以調(diào)整到另一個部門去,網(wǎng)絡(luò)管理者只需要在控制臺上進行簡單的操作就可以了。VLAN的這種功能使人們以前曾設(shè)想過的動態(tài)網(wǎng)絡(luò)組織結(jié)構(gòu)成了為可能,并在一定程度上大大推動了交叉工作組的形成。這就引出了虛擬工作組的定義。對一個公司而言,經(jīng)常會針對某一個具體的開發(fā)項目臨時組建一個由各部門的技術(shù)人員組成的工作組,他們可能分別來自經(jīng)營部,網(wǎng)絡(luò)部,技術(shù)服務(wù)等。有了VLAN,小組內(nèi)的成員不用再集中到一個辦公室了。他們只要坐在自己的計算機旁就可以了解到其它合作者的開放情況。另外,VLAN為我們帶來了巨大的靈活性。當有實際需要時,一個虛擬工作組可以應運而生。當項目結(jié)束后,虛擬工作組又可以隨之消失。這樣,無論是對用戶還是對網(wǎng)絡(luò)管理者來說,VLAN都是十分吸引人了?！?安全性由于配置了VLAN后,一個VLAN的數(shù)據(jù)包不會發(fā)送到另一個VLAN,這樣,其他VLAN的用戶的網(wǎng)絡(luò)上是收不到任何該VLAN的數(shù)據(jù)包,從而就確保了該VLAN的信息不會被其他VLAN的人竊聽,從而實現(xiàn)了信息的保密〔4減少移動和改變的代價即所說的動態(tài)管理網(wǎng)絡(luò),也就是當一個用戶從一個位置移動到另一個位置是,他的網(wǎng)絡(luò)屬性不需要重新配置,而是動態(tài)的完成,這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處,一個用戶,無論他到哪里,他都能不做任何修改地接入網(wǎng)絡(luò),這種前景是非常美好的。當然,并不是所有的VLAN劃分方法都能做到這一點。VLAN的劃分<1>根據(jù)端口定義許多VLAN設(shè)備制造商都利用交換機的端口來劃分VLAN成員,被設(shè)定的端口都在同一個廣播域中。如圖10,交換機上的端口被劃分成了"工程部"、"市場部"、"銷售部"三個VLAN。這樣可以允許VLAN內(nèi)部各端口之間的通信。基于端口VLAN的劃分按交換機端口來劃分VLAN成員,其配置過程簡單明了。因此迄今為止,這仍然是最常用的一種方式。但是,這種方式不允許多個VLAN共享一個物理網(wǎng)段或交換機端口,而且,如果某一個用戶從一個端口所在的虛擬局域網(wǎng)移動到另一個端口所在的虛擬局域網(wǎng),網(wǎng)絡(luò)管理者需要重新進行配置,這對于擁有眾多移動用戶的網(wǎng)絡(luò)來說是難以實現(xiàn)的?！?根據(jù)MAC地址劃分VLAN 這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優(yōu)點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對于使用筆記本電腦的用戶來說,他們的網(wǎng)卡可能經(jīng)常更換,這樣,VLAN就必須不停的配置?！?根據(jù)網(wǎng)絡(luò)層劃分VLAN 這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型<如果支持多協(xié)議>劃分的,雖然這種劃分方法可能是根據(jù)網(wǎng)絡(luò)地址,比如IP地址,但它不是路由,不要與網(wǎng)絡(luò)層的路由混淆。它雖然查看每個數(shù)據(jù)包的IP地址,但由于不是路由,所以,沒有RIP,OSPF等路由協(xié)議,而是根據(jù)生成樹算法進行橋交換, 這種方法的優(yōu)點是用戶的物理位置改變了,不需要重新配置他所屬的VLAN,而且可以根據(jù)協(xié)議類型來劃分VLAN,這對網(wǎng)絡(luò)管理者來說很重要,還有,這種方法不需要附加的幀標簽來識別VLAN,這樣可以減少網(wǎng)絡(luò)的通信量。 這種方法的缺點是效率,因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是很費時的<相對于前面兩種方法>,一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術(shù),同時也更費時。當然,這也跟各個廠商的實現(xiàn)方法有關(guān)?！?IP組播作為VLAN IP組播實際上也是一種VLAN的定義,即認為一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網(wǎng),因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網(wǎng),主要是效率不高,對于局域網(wǎng)的組播,有二層組播協(xié)議GMRP。〔5基于組合策略劃分VLAN即上述各種VLAN劃分方式的組合。應該說,目前很少采用這種VLAN劃分方式。VLAN的標準目前已提出的VLAN標準有兩種。一種是802.10VLAN標準,Cisco公司在1995年提出,另外就是802.1Q,是IEEE執(zhí)行委員會于1996年下半年才開始制定的一種VLAN互操作性標準。本文僅對802.1Q標準進行介紹。DestDestSrcDataLen/Etypep/QLabelEtypeFCSVLAN-IDToken-RingEncapsulationFlagVLAN-IDandT-REncapsFlagare.1Q,not.1pVLANID:0-4095662224...DestSrcFCSDataLen/Etype802.1QVLAN幀格式802.1Q的VLAN幀格式參見圖11,就是在原來以太網(wǎng)幀的源MAC地址之后加入了4個字節(jié)的VLANTAGHeader。其中,前兩個字節(jié)Etype為固定值0x8100；后兩個字節(jié)為802.1p/QLabel,即802.1P優(yōu)先級和VLANID的定義。802.1P優(yōu)先級為高3位,即優(yōu)先級0-7；VLANID為后12位,即ID的范圍為0-4095。通過設(shè)定連接交換機之間的鏈路為支持傳送VLANTagHeader的Trunk鏈路,我們就可以很容易實現(xiàn)前面提到的虛擬工作組功能,如圖12。交換機A、B上的端口分別屬于工程部、市場部、銷售部,通過Trunk鏈路可以使得分別接在交換機A、B上的工程部用戶之間進行通信；市場部、銷售部的用戶也是如此。Trunk鏈路實現(xiàn)虛擬工作組一般來說,目前工作站和用戶終端都是不支持識別VLAN的。因此,在由VLAN構(gòu)建的二層交換網(wǎng)絡(luò)中,存在兩種類型的鏈路：Access鏈路……用于接入用戶終端和工作站連接Access鏈路的交換機端口稱為Access端口幀在Access鏈路上轉(zhuǎn)發(fā)不帶VLANTag交換機Access端口接收到以太網(wǎng)幀后,按照端口所在VLAN加上VLANTag,然后進行轉(zhuǎn)發(fā)幀從Access端口發(fā)送出去,幀中的VLANTag會被去掉Trunk鏈路……用于交換機之間級聯(lián),允許不同設(shè)備間相同VLAN內(nèi)用戶通信。連接Trunk鏈路的交換機端口稱為Trunk端口幀在Trunk鏈路上轉(zhuǎn)發(fā)帶VLANTag,因此允許多個VLAN的幀在Trunk鏈路上轉(zhuǎn)發(fā)交換機Trunk端口接收到以太網(wǎng)幀后,需要判斷該Trunk端口是否允許幀中VLANID對應的VLAN通過。若允許,則進行轉(zhuǎn)發(fā)；否則要直接丟棄該幀幀從Trunk端口發(fā)送出去,VLANTag一般不會被去掉支持VLAN交換機的轉(zhuǎn)發(fā)流程支持VLAN交換機轉(zhuǎn)發(fā)流程與普通交換機轉(zhuǎn)發(fā)流程最大的區(qū)別在于：報文在支持VLAN交換機內(nèi)轉(zhuǎn)發(fā)時都是帶著VLANTag進行的。也就是說,轉(zhuǎn)發(fā)過程中要根據(jù)MAC地址查找出端口外,還需要判斷VLANID的信息。因此,支持VLAN交換機交換引擎與一般交換機有所不同,如下圖所示。支持VLAN交換機交換引擎VLAN交換機的轉(zhuǎn)發(fā)流程和ASIC選擇的MAC地址學習方式有緊密的聯(lián)系。目前,支持VLAN的交換機有兩種地址學習方式,分別為IVL〔IndependentVLANLearning和SVL〔SharedVLANLearning。兩種方式的區(qū)別如下,參見圖14：MAC1VLAN1PORT1MAC1VLAN1PORT1MAC2VLAN1PORT2MAC2VLAN2PORT3MAC3VLAN3PORT3MAC1VLAN1PORT1MAC2VLAN2PORT2MAC3VLAN3PORT3IVLSVLIVL和SVL地址學習方式在IVL方式下：每個VLAN都有自己的對應的MAC地址表〔抽象的概念并不是物理的,相互之間沒有影響。一個MAC地址可以被學習到不同的VLAN中,因此對一個用戶來說如果屬于多個VLAN,那么每個VLAN內(nèi)的信息都需要重新學習。而SVL方式下,一個地址表項對所有的VLAN都通用,表中的MAC用戶不能有重復。下面分別介紹兩種地址學習方式下的轉(zhuǎn)發(fā)流程。IVL地址學習方式〔參見圖151根據(jù)幀內(nèi)TagHeader的VLANID查找L2FDB表,確定查找的范圍；2根據(jù)目的MAC查找出端口,圖中應該從端口2轉(zhuǎn)發(fā)出去；如果在L2FDB表中查找不到該目的MAC,則該報文將通過廣播的方式在該VLAN內(nèi)所有端口轉(zhuǎn)發(fā)；同時該以太網(wǎng)幀的源MAC將被學習到接收到報文的端口上,即端口1〔VLAN2；L2FDB表中的MAC地址通過老化機制更新；在轉(zhuǎn)發(fā)的過程中,不會對幀的內(nèi)容進行修改。IVL地址學習方式轉(zhuǎn)發(fā)流程SVL地址學習方式〔參見圖161根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表<即L2FDB>,查找相應的出端口。根據(jù)現(xiàn)有L2FDB表,報文應該從端口2發(fā)送出去；2判斷出端口的VLANID和報文TagHeader內(nèi)的VLANID是否匹配,匹配則轉(zhuǎn)發(fā),不匹配則丟棄；3如果在L2FDB表中查找不到該目的MAC,則判斷出端口的VLANID和報文TagHeader內(nèi)的VLANID是否匹配,不匹配直接丟棄；匹配則在該VLAN內(nèi)廣播；4L2FDB表中MAC地址通過老化機制來更新；5在轉(zhuǎn)發(fā)的過程中,不會對幀的內(nèi)容進行修改SVL地址學習方式轉(zhuǎn)發(fā)流程前文已經(jīng)提到VLAN的優(yōu)點之一就是限制了廣播,下圖就能很好地說明這個問題。從圖中,可以很清楚地看到,廣播報文被限制了每個VLAN內(nèi),大大地降低了廣播對以太網(wǎng)帶寬的消耗。支持VLAN交換機沖突域和廣播域三層交換機基本原理三層交換機的提出傳統(tǒng)的網(wǎng)絡(luò)界有一個規(guī)則,即局域網(wǎng)內(nèi)的業(yè)務(wù)流類型遵循"80/20規(guī)則"：80/20流量模式指用戶數(shù)據(jù)流量的80%在本地網(wǎng)段,只有20%的數(shù)據(jù)流量通過路由器進入其它網(wǎng)段。采用80/20規(guī)則的網(wǎng)絡(luò),用戶的網(wǎng)絡(luò)資源都在同一個網(wǎng)段內(nèi)。這些資源包括網(wǎng)絡(luò)服務(wù)器、打印機、共享目錄和文件等。因此在這種網(wǎng)絡(luò)內(nèi),路由器完全可以勝任且其構(gòu)建網(wǎng)絡(luò)的成本完全可以被用戶接受。但是,隨著INTERNET/INTARNET應用的興起和服務(wù)器集群的出現(xiàn),使得傳統(tǒng)的80/20流量模式發(fā)生了轉(zhuǎn)變。網(wǎng)絡(luò)中大部分數(shù)據(jù)流經(jīng)主干,邏輯子網(wǎng)內(nèi)部數(shù)據(jù)流量不大,用戶經(jīng)常需要訪問本子網(wǎng)以外的資源,"80/20規(guī)則"對于多數(shù)企業(yè)網(wǎng)絡(luò)已經(jīng)不適用了。因此,現(xiàn)在局域網(wǎng)中的業(yè)務(wù)流有兩個突出的特點,一是總的業(yè)務(wù)流在增加；二是子網(wǎng)絡(luò)間的業(yè)務(wù)流在增加。為了解釋這一概念,假設(shè)網(wǎng)絡(luò)業(yè)務(wù)流的總量不變,且網(wǎng)絡(luò)業(yè)務(wù)流比例由80/20變?yōu)?0/80。這意味著需要在子網(wǎng)間進行路由的業(yè)務(wù)流增加到過去的4倍。這是否意味著網(wǎng)絡(luò)中需要4倍的路由器呢？答案是否定的,實際上需要比4倍更多的路由器。因為當路由器數(shù)量增加時,路由器之間的聯(lián)系與合作占路由器全部工作的比重就會增加。所以：隨著子網(wǎng)絡(luò)間業(yè)務(wù)流的增加,路由能力也相應地需要增加。舉例來說,假設(shè)路由能力增加4倍需要6倍的路由器?，F(xiàn)在如果業(yè)務(wù)流類型改變的同時業(yè)務(wù)流的總量翻了一番,那么網(wǎng)絡(luò)中所需的路由器總數(shù)為原來的12倍。如果按照傳統(tǒng)的路由產(chǎn)品的成本進行計算,這對于大多數(shù)用戶來說無疑都是一個難以接受的預算。所以：局域網(wǎng)內(nèi)子網(wǎng)絡(luò)間業(yè)務(wù)流的適度增加伴隨著總業(yè)務(wù)流的適度增加,都將使得采用傳統(tǒng)的路由器來滿足路由功能的需求在經(jīng)濟上不大可行?？偨Y(jié)一下,三層交換技術(shù)和交換機的提出主要基于以下原因：二層交換技術(shù)極大的提升了以太網(wǎng)的性能,但仍然不能完全滿足局域網(wǎng)的需要；為了將廣播和本地流量限制在一定的范圍內(nèi),交換式以太網(wǎng)采取劃分邏輯子網(wǎng)〔VLAN的方式；VLAN間的互通傳統(tǒng)上需要由路由器來完成,但路由器配置復雜,造價昂貴,而且轉(zhuǎn)發(fā)速度容易成為網(wǎng)絡(luò)的瓶頸；新20/80規(guī)則的興起,80%的流量需要跨越VLAN,路由器不堪重負；三層交換機基本特征應該說,三層交換機與傳統(tǒng)路由器具有相同的功能：根據(jù)IP地址進行選路進行三層的校驗和使用生存時間〔TTL對路由表進行更新和維護二者最大的區(qū)別在于三層交換采用ASIC硬件進行包轉(zhuǎn)發(fā),而傳統(tǒng)路由器采用CPU進行包轉(zhuǎn)發(fā)。所以,相比于傳統(tǒng)路由器三層交換具有以下優(yōu)點：基于硬件的包轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)效率高低時延低花費三層交換機的功能模型為了便于大家對三層交換機有一個感性的了解,我們以下圖來說明。三層交換機功能模型圖中,右邊是一個三層交換機,其實現(xiàn)的功能等同于左邊一個VLAN二層交換機和路由器組成的網(wǎng)絡(luò)。也就是說,三層交換機把支持VLAN的二層交換機和路由器的功能集成在一起了,既有二層交換功能,也有三層路由功能。因此,三層交換機也稱為路由交換機。一般來說,三層交換機的功能分別通過二層VLAN轉(zhuǎn)發(fā)引擎和三層轉(zhuǎn)發(fā)引擎兩個部分來實現(xiàn)：二層VLAN引擎與支持VLAN的二層交換機的二層轉(zhuǎn)發(fā)引擎是相同的,是用硬件支持多個VLAN的二層轉(zhuǎn)發(fā)；三層轉(zhuǎn)發(fā)引擎使用硬件ASIC技術(shù)實現(xiàn)高速的IP轉(zhuǎn)發(fā)。三層交換機對應到IP網(wǎng)絡(luò)模型中,每個VLAN對應一個IP網(wǎng)段,三層交換機中的三層轉(zhuǎn)發(fā)引擎在各個網(wǎng)段〔VLAN間轉(zhuǎn)發(fā)報文,實現(xiàn)VLAN之間的互通,因此三層交換機的路由功能通常叫做VLAN間路由〔Inter-VLANRouting對應于二層交換引擎,三層交換機的如下圖所示：三層交換引擎在二層上,VLAN之間是隔離的,VLAN內(nèi)主機可以互通,這一點跟二層交換機中的交換引擎的功能一模一樣。一般來說,三層交換機的每個VLAN對應一個網(wǎng)段,不同的IP網(wǎng)段之間的訪問要跨越VLAN,要使用三層交換引擎提供的VLAN間路由功能〔相當于路由器。在使用二層交換機和路由器的組網(wǎng)中,每個需要與其它IP網(wǎng)段〔VLAN通信的IP網(wǎng)段〔VLAN都需要使用一個路由器接口做網(wǎng)關(guān)。三層交換機的應用也同樣符合IP的組網(wǎng)模型,三層轉(zhuǎn)發(fā)引擎就相當于傳統(tǒng)組網(wǎng)中的路由器的功能,當需要與其他VLAN通信的時候也要為之在三層交換引擎上分配一個路由接口,用來做VLAN內(nèi)主機的網(wǎng)關(guān)。三層交換機上的這個路由接口是通過配置轉(zhuǎn)發(fā)芯片來實現(xiàn)的,與路由器的接口不同,這個接口不是直觀可見的。給VLAN指定路由接口的操作,實際上就是為VLAN指定一個IP地址、子網(wǎng)掩碼和MAC地址,MAC地址是由設(shè)備制造過程中分配的,在配置過程中由交換機自動配置。三層交換機轉(zhuǎn)發(fā)流程IP網(wǎng)絡(luò)規(guī)則我們多次提到二層交換、三層路由,那么究竟什么時候選擇二層交換、什么時候選擇三層路由呢？這就涉及到IP網(wǎng)絡(luò)通信的基本規(guī)則。每個網(wǎng)絡(luò)主機、工作站或者服務(wù)器都有自己的IP地址和子網(wǎng)掩碼。當主機與服務(wù)器進行通信的時候,根據(jù)自身的IP地址和子網(wǎng)掩碼、以及服務(wù)器的IP地址,來確定服務(wù)器是否和自己處于相同的網(wǎng)段：如果判定在相同網(wǎng)段內(nèi),則直接通過地址解析協(xié)議〔ARP查找對方的MAC地址,然后把對方的MAC地址填入以太網(wǎng)幀頭的目的MAC地址域,將報文發(fā)送出去,通過二層交換實現(xiàn)通信；如果判定在不同的網(wǎng)段內(nèi),則主機就會自動借助網(wǎng)關(guān)來進行通信。主機首先通過ARP來查找設(shè)定的網(wǎng)關(guān)的MAC地址,然后把網(wǎng)關(guān)的MAC地址〔而不是對方主機的MAC地址,因為主機認為通信對端不是本地主機填入以太網(wǎng)幀頭的目的MAC地址域,將報文發(fā)送給網(wǎng)關(guān),通過三層路由實現(xiàn)通信。三層轉(zhuǎn)發(fā)流程對于網(wǎng)絡(luò)設(shè)備而言〔如三層交換機,接收到一個報文后選擇二層轉(zhuǎn)發(fā)還是三層轉(zhuǎn)發(fā),判斷的依據(jù)主要是：報文的目的MAC地址。如果該目的MAC地址和設(shè)備內(nèi)某個VLAN指定的路由接口MAC地址相同,則進行三層轉(zhuǎn)發(fā),否則在VLAN內(nèi)部進行二層轉(zhuǎn)發(fā)。當然,嚴格地說,設(shè)備對報文的目的IP也需要進行判斷,因為報文有可能是直接發(fā)送給該VLAN接口的。下面我們來具體看一下三層交換機的轉(zhuǎn)發(fā)流程,以下圖為例。三層轉(zhuǎn)發(fā)流程交換機上劃分了兩個VLAN,在VLAN1、VLAN2上配置了路由接口用來實現(xiàn)VLAN1和VLAN2之間的互通。A、B的網(wǎng)關(guān)是VLAN1虛接口地址,C的網(wǎng)關(guān)是VLAN2虛接口地址。二層交換過程〔以A向B發(fā)起ping請求為例：A檢查報文的目的IP地址,發(fā)現(xiàn)和自己在同一個網(wǎng)段；A>BARP請求報文,該報文在VLAN1內(nèi)廣播；B>AARP回應報文；A>BICMPrequest;B>AICMPreply。三層轉(zhuǎn)發(fā)過程〔以A向C發(fā)起ping請求為例：A檢查要通信C的目的IP地址,發(fā)現(xiàn)和自己不在同一個網(wǎng)段,因此要借助于A的網(wǎng)關(guān)來和C通信；A向交換機的VLAN1虛接口發(fā)送ARP請求報文,請求A的網(wǎng)關(guān)MAC地址〔即VLAN1該報文在VLAN1內(nèi)廣播；網(wǎng)關(guān)向A回應ARP應答報文；A向交換機發(fā)送ICMPrequest〔目的MAC是VLAN1虛接口的MAC,源MAC是A的MAC,目的IP是C的IP,源IP是A的IP；交換機收到報文后根據(jù)目的MAC判斷出是三層的報文。檢查報文的目的IP地址,發(fā)現(xiàn)是在自己的直連網(wǎng)段〔VLAN2虛接口所在網(wǎng)段；交換機通過VLAN虛接口向C發(fā)送ARP請求報文,請求C的目的MAC,該報文在VLAN2內(nèi)廣播；C向交換機發(fā)送ARP回應報文；交換機通過VLAN2虛接口向C轉(zhuǎn)發(fā)ICMPrequest〔目的MAC是C的MAC,源MAC是VLAN2虛接口的MAC,目的IP是C的IP,源IP是A的IP報文。同步驟4相比,報文的MAC頭進行了重新的封裝,而IP層以上的字段基本上不變；C向A回應ICMPreply,這以后的處理同icmprequest的前面過程基本相同。需要說明的是,以上的各步處理中,如果ARP表中已經(jīng)有了相應的表項,則不會給對方發(fā)ARP請求報文。選路過程前面對三層轉(zhuǎn)發(fā)過程進行了簡單地闡述。實際上,三層交換機在接收到一個報文后,在需要進行三層轉(zhuǎn)發(fā)時,其選路和轉(zhuǎn)發(fā)的過程還是比較復雜的。為了便于理解和對比,我們先來了解一下路由器的選路過程。路由器對轉(zhuǎn)發(fā)進行路由時,其步驟如下：根據(jù)報文的目的地址,與路由項進行匹配操作；匹配的動作是用報文目的地址與路由項的子網(wǎng)掩碼進行"與"；如圖目的IP8和各表項子網(wǎng)掩碼"與"的結(jié)果如下：8&＝8&＝8&＝如果"與"的結(jié)果和路由項中網(wǎng)絡(luò)地址相同,則認為路由匹配所有匹配項中子網(wǎng)掩碼位數(shù)最長的為最佳匹配項,報文據(jù)此進行轉(zhuǎn)發(fā)〔從該表項對應接口發(fā)送如果找不到匹配項,則根據(jù)缺省路由/0進行轉(zhuǎn)發(fā)如果沒有缺省路由則報文被丟棄上述這種路由選路過程稱之為最長匹配〔longest-prefixmatch>。談到這里,不能不提一下路由表和FIB。路由表是根據(jù)靜態(tài)和動態(tài)路由協(xié)議生成的,選擇最優(yōu)路由表項后生成的是FIB。路由器實際轉(zhuǎn)發(fā)報文是利用FIB進行的。路由器的最長匹配轉(zhuǎn)發(fā)那么交換機的選路和路由器有什么異同？總的來說,交換機和路由器一樣,也是由軟件來維護路由表和FIB表,但在具體的報文轉(zhuǎn)發(fā)過程中和路由器有很大的區(qū)別。其一：交換機的報文選路轉(zhuǎn)發(fā)通過ASIC硬件進行,效率大大超過路由器；其二：交換機除了支持最長匹配轉(zhuǎn)發(fā)外〔和路由器相同,還支持精確匹配轉(zhuǎn)發(fā)。與二層交換類似,L3FDB表是三層交換機轉(zhuǎn)發(fā)的基礎(chǔ)。下面我們來具體看看交換機的精確匹配轉(zhuǎn)發(fā)和最長匹配轉(zhuǎn)發(fā)。交換機的精確匹配轉(zhuǎn)發(fā)支持精確匹配轉(zhuǎn)發(fā)的L3FDB是類似于二層交換機MAC地址表的Cache；交換機根據(jù)報文的目的IP在L3FDB表中進行查找；對于能夠在此"Cache"命中的報文,則直接根據(jù)表項的端口信息進行轉(zhuǎn)發(fā)；不能在"Cache"命中的報文將被送到CPU進行軟件路由,路由的原理和路由器完全相同的最長地址匹配；軟件路由后將把該目的IP添加到L3FDB表中；如果表項長期不被刷新則會被老化掉；因此,通過多次地址學習就可以把表項逐一加進來,這樣后續(xù)的流量就可以直接Cache命中,不需要軟件路由。這就是三層交換機所謂的"一次路由,多次交換"。從實際應用角度看,精確匹配轉(zhuǎn)發(fā)是有一定的限制的。因為它對于每一個目的IP在L3FDB表中都會存在一個表項,對硬件的資源要求很高。所以,目前的三層交換機都逐步要求支持最長匹配轉(zhuǎn)發(fā)。三層交換機轉(zhuǎn)發(fā)-精確匹配交換機的最長匹配轉(zhuǎn)發(fā)最長匹配轉(zhuǎn)發(fā)也依賴于L3FDB；L3FDB轉(zhuǎn)發(fā)項通過FIB表項下發(fā)建立起來；對于能夠在此"Cache"命中的報文,則直接進行轉(zhuǎn)發(fā)。"Cache"方式采用最長匹配算法；不能在"Cache"命中的報文將被轉(zhuǎn)發(fā)到CPU進行軟件路由,路由的原理和路由器完全相同的最長地址匹配。三層交換機轉(zhuǎn)發(fā)-最長匹配路由器和交換機接口無論對路由器還是對三層交換機而言,接口都存在路由接口和物理接口的概念。路由接口是掛接在IP協(xié)議棧下的邏輯接口,每個接口都對應一個IP網(wǎng)段,通常稱為Interface。物理接口是在機箱外面,看得見、摸得著、能插電纜的實際接口,通常稱為Port。但是,從路由器的角度理解的端口和從三層交換機的角度理解的端口是有所不同。由于路由器一般不提供端口之間的二層轉(zhuǎn)發(fā)的功能,因此路由接口和物理接口實際上是一一對應的關(guān)系,因此我們通常把兩個接口在理解上做合一處理。在配置的時候,好像IP地址都是直接配置在物理端口上的。理解起來比較容易。三層交換機上,在不同的物理端口之間還提供二層交換的功能。VLAN內(nèi)部通過二層交換通信,VLAN之間通過三層路由來通信。路由接口是與VLAN是對應的關(guān)系,而每個VLAN可能對應很多個物理端口,因此路由接口和物理端口沒有一一對應的關(guān)系。特點對照下表給出了路由器和三層交換機的特點對比。路由器和三層交換機的特點對比項目路由器三層交換機端口類型非常豐富,幾乎可以支持所有通信端口比較單一,主要支持以太網(wǎng),在骨干級設(shè)備上才會支持POS和ATM轉(zhuǎn)發(fā)實現(xiàn)途徑主要以CPU加軟件實現(xiàn)為主。GSR是實現(xiàn)硬件的路由由硬件ASIC實現(xiàn)轉(zhuǎn)發(fā)路由算法最長匹配第一包路由,以后做精確匹配或者最長匹配包轉(zhuǎn)發(fā)率低高成本高低二層交換不支持支持三層接口和物理接口對應關(guān)系一一對應一個VLAN三層接口可以包含多個物理接口交換機相關(guān)協(xié)議和技術(shù)應該說,交換機涉及到的協(xié)議和技術(shù)比較多,這里只對交換機特有的協(xié)議和特性進行簡單地介紹。像路由協(xié)議等路由器也具有的特性,本文不再闡述。目的是讓大家對交換機一些特色的東西有個感性的認識,做到知其然即可。物理層特性〔接口自協(xié)商以太網(wǎng)技術(shù)發(fā)展到100M速率以后,出現(xiàn)了一個如何與原10M以太網(wǎng)設(shè)備兼容的問題,自協(xié)商技術(shù)就是為了解決這個問題而制定的,如下圖。以太網(wǎng)的自協(xié)商自協(xié)商功能允許一個網(wǎng)絡(luò)設(shè)備將自己所支持的工作模式信息傳達給網(wǎng)絡(luò)上的對端,并接受對方可能傳遞過來的相應信息。自協(xié)商功能完全由物理層芯片設(shè)計實現(xiàn),因此并不使用專用數(shù)據(jù)報文或帶來任何高層協(xié)議開銷。在鏈路初始化時,自協(xié)商協(xié)議向?qū)Χ嗽O(shè)備發(fā)送16bit的報文并從對端設(shè)備接收類似的報文。自協(xié)商的內(nèi)容主要包括速度、雙工、流控等等,一方面通知對端設(shè)備自身可工作的方式,另一方面,從對端發(fā)來的報文中獲得對端設(shè)備可以工作的方式。如果對端設(shè)備不支持自協(xié)商,缺省的假設(shè)是：鏈路工作于半雙工模式。所以,如果對端設(shè)備為強制10M全雙工工作模式,和自協(xié)商的設(shè)備協(xié)商出的結(jié)果將是：對端工作在10M全雙工工作模式,自協(xié)商的設(shè)備工作在10M半雙工的工作模式,這種連接雖然可以通信,但是必將會產(chǎn)生大量的沖突存在,需要在組網(wǎng)中注意避免。采用光纖作為介質(zhì)的以太網(wǎng)同樣有著非常廣泛的應用。通常光纖連接的速率為100Mb/s或者1000Mb/s。顯然,自動協(xié)商配置如果能夠同樣適用于光纖,將是非常方便的。然而不幸的是,由于很難解決與原有系統(tǒng)的兼容問題,光纖上的以太網(wǎng)自協(xié)商宣告失敗。目前,千兆以太網(wǎng)的自協(xié)商機制已經(jīng)實現(xiàn)。智能MDI/MDIX自識別以太網(wǎng)交換機屬于MDIX設(shè)備,輸出的以太網(wǎng)口屬于MDIX接口,連接MDI類設(shè)備〔如PC機時,需要使用普通〔平行網(wǎng)線,如果采用交叉網(wǎng)線,是不能正確連接通信的。以太網(wǎng)交換機的10/100M以太網(wǎng)口具備智能MDI/MDIX識別技術(shù),可以自動識別連接的網(wǎng)線類型,用戶不管采用普通網(wǎng)線或者交叉網(wǎng)線均可以正確連接設(shè)備,極大方便了用戶的使用。用戶也可以對端口進行配置,將其強制配置成MDIX或者MDI工作方式。MDI/MDIX識別技術(shù)的實現(xiàn)是通過物理層芯片和變壓器技術(shù)實現(xiàn)了該功能。物理層芯片內(nèi)部的電子開關(guān)可以進行MDI和MDIX之間的智能切換,具有中心抽頭的、收發(fā)對稱的變壓器保證了發(fā)送與接收通道的切換。流控機制網(wǎng)絡(luò)擁塞一般是由于速率不匹配〔如100M向10M端口發(fā)送數(shù)據(jù)和突發(fā)的集中傳輸而產(chǎn)生的,它可能導致這幾種情況：延時增加、丟包、重傳增加,網(wǎng)絡(luò)資源不能有效利用。IEEE802.3x規(guī)定了一種64字節(jié)的"PAUSE"MAC控制幀的格式。當端口發(fā)生阻塞時,交換機向信息源發(fā)送"PAUSE"幀,告訴信息源暫停一段時間再發(fā)送信息。在實際的網(wǎng)絡(luò)中,尤其是一般局域網(wǎng),產(chǎn)生網(wǎng)絡(luò)擁塞的情況極少,所以有的廠家的交換機并不支持流量控制。高性能的交換機應支持半雙工方式下的反向壓力和全雙工的IEEE802.3x流控。有的交換機的流量控制將阻塞整個LAN的輸入,降低整個LAN的性能；高性能的交換機采用的策略是僅僅阻塞向交換機擁塞端口輸入幀的端口,保證其他端口用戶的正常工作。后退壓力算法<backpressure>橋接式或交換式半雙工以太網(wǎng)利用CSMA/CD機制處理速度不同的站之間的傳輸問題,它采用一種所謂的"后退壓力〔backpressure"概念。例如,如果一臺高速100Mbps服務(wù)器通過交換機將數(shù)據(jù)發(fā)送給一個10Mbps的客戶機,該交換機將盡可能多地緩沖其幀,一旦交換機的緩沖區(qū)即將裝滿,它就通知服務(wù)器暫停發(fā)送。有兩種方法可以達到這一目的：交換機可以強行制造一次與服務(wù)器的沖突,使得服務(wù)器退避；或者,交換機通過插入一次"載波檢測"使得服務(wù)器的端口保持繁忙,這樣就能使服務(wù)器感覺到交換機要發(fā)送數(shù)據(jù)一樣。利用這兩種方法,服務(wù)器都會在一段時間內(nèi)暫停發(fā)送,從而允許交換機去處理積聚在它的緩沖區(qū)中的數(shù)據(jù)IEEE802.3x-發(fā)送PAUSE幀在全雙工環(huán)境中,服務(wù)器和交換機之間的連接是一個無碰撞的發(fā)送和接收通道。由于沒有碰撞檢測,且不允許交換機通過產(chǎn)生一次沖突而使得服務(wù)器停止發(fā)送,那么服務(wù)器將一直發(fā)送到交換機的幀緩沖器溢出。因此,IEEE制定了一個組合的全雙工流量控制標準802.3x。IEEE802.3x標準定義了一種新方法,在全雙工環(huán)境中去實現(xiàn)流量控制。交換機產(chǎn)生一個PAUSE幀,PAUSE幀使用一個保留的組播地址：01-80-C2-00-00-01,將它發(fā)送給正在發(fā)送的站,發(fā)送站接收到該幀后,就會暫?；蛲Ｖ拱l(fā)送。PAUSE幀利用了一個保留的組播地址,它不會被網(wǎng)橋和交換機所轉(zhuǎn)發(fā),這樣,PAUSE幀不會產(chǎn)生附加信息量。POE供電POE〔PowerOverEthernet,其基本原理和作用就是通過10BASE-T、100BASE-TX、1000BASE-T以太網(wǎng)網(wǎng)絡(luò)對設(shè)備或終端進行供電。其基本優(yōu)點是：可靠,實現(xiàn)了集中式電源供電；方便,網(wǎng)絡(luò)終端不需外接電源,只需要一根網(wǎng)線；標準,802.3af標準,2003.6正式批準,全球統(tǒng)一的電源接口。從應用角度看,POE技術(shù)應用前景廣泛,像IP電話、無線AP、便攜設(shè)備充電器、刷卡機、攝像頭、數(shù)據(jù)采集的終端設(shè)備都可以通過POE來供電。POE供電系統(tǒng)的電壓為-48V直流。802.3af標準定義了兩種設(shè)備PSE和PD。PSEpower-sourcingequipment供電設(shè)備。PSE可以細分為兩種：一種是Midspan：POE功能在交換機外。另外一種是Endpoint：POE功能集成到交換機內(nèi)。PDPoweredDevice受電設(shè)備。另外,802.3af標準還定義了PI〔PowerInterface,即PSE/PD與網(wǎng)線的接口。目前支持兩種方式：AlternativeA1,2,3,6〔即采用信號線供電和AlternativeB4,5,7,8〔采用空閑線供電。一般來說,標準的PD設(shè)備必須支持兩種受電方式,但PSE設(shè)備只需支持其中一種,MONZA和F1的PSE交換機只支持信號線供電,而S3026C-PWR可以支持兩種供電方式,這種優(yōu)勢使其可以輕松支持我司的一些傻瓜型PD設(shè)備〔這些設(shè)備基本上都是空閑線供電的。端口鏡像端口鏡像的主要作用就是查看網(wǎng)絡(luò)中某個或某些端口流量,用于故障定位和分析。一般啟動端口鏡像功能的步驟是：先設(shè)置一個監(jiān)控端口,用于接網(wǎng)絡(luò)分析儀器等設(shè)備然后,在設(shè)定被監(jiān)控或者鏡像的端口。通過ASIC硬件將被鏡像端口的流量原封不動地COPY到監(jiān)控端口,進行分析。設(shè)定為監(jiān)控的端口也具有普通業(yè)務(wù)口的所有功能,能支持所有的業(yè)務(wù)。一般情況下,交換機只允許設(shè)置一個監(jiān)控端口,但被鏡像端口可以是多個或者一個。二層協(xié)議和特性STP/RSTP/MSTP協(xié)議生成樹協(xié)議主要是為了解決以下幾個問題：消除橋接網(wǎng)絡(luò)中可能存在的路徑回環(huán)；對當前活動路徑產(chǎn)生阻塞、斷鏈等問題時提供冗余備份路徑生成樹算法的基本思想是：在網(wǎng)橋之間傳遞特殊的消息,使之能夠據(jù)此來計算生成樹。這種特殊的消息稱為"配置消息〔ConfigurationBPDU"或者"配置BPDU"。通過BPDU信息的傳送,首先在網(wǎng)絡(luò)中選出根交換機〔也稱根橋,然后計算各路徑的優(yōu)劣,打開〔處于forwaring狀態(tài)或者阻塞〔discarding狀態(tài)相應的鏈路。STP是一種二層管理協(xié)議,它通過有選擇地阻塞網(wǎng)絡(luò)冗余鏈路來達到消除網(wǎng)絡(luò)二層環(huán)路的目的,同時具備鏈路備份的功能。STP掌管著端口的轉(zhuǎn)發(fā)大權(quán)——"小樹枝抖一抖,上層協(xié)議就得另謀生路"。如下圖,BPDU在各交換機之間傳播。根據(jù)計算結(jié)果,交換機A被選為網(wǎng)絡(luò)的根橋,交換機B和C之間、交換機B和D之間的鏈路被阻塞。最終,網(wǎng)絡(luò)形成了以交換機A為根的一棵拓撲樹,沒有環(huán)路。假設(shè)交換機A和C之間鏈路斷開,則原來處于阻塞狀態(tài)B和C之間鏈路將變成forwarding,使的交換機C可以通過B到達根橋。SwiSwitchASwitchBSwitchCSwitchDROOTBPDUSTP阻塞網(wǎng)絡(luò)環(huán)路STP：IEEEStd802.1D-1998定義,不能快速遷移。即使是在點對點鏈路或邊緣端口,也必須等待2倍的forwarddelay的時間延遲,網(wǎng)絡(luò)才能收斂。RSTP：IEEEStd802.1w定義,在STP基礎(chǔ)上做了三點改進,使收斂速度更快：1引入了Alternate端口和backup端口角色；2引入點對點鏈路概念；3引入了邊緣端口概念。RSTP可以快速收斂,卻存在以下缺陷：局域網(wǎng)內(nèi)所有網(wǎng)橋共享一棵生成樹,不能按vlan阻塞冗余鏈路。MSTP：IEEEStd802.1s定義,一種新型多實例化生成樹協(xié)議。其精妙之處在于它把支持MSTP的交換機和不支持MSTP的交換機劃分為不同的區(qū)域,分別成為MST域和SST域。在MST域內(nèi)部運行多實例的生成樹,在MST域的邊緣運行RSTP兼容的內(nèi)部生成樹。MSTP具有VLAN認知能力,可以實現(xiàn)負載均衡,可以實現(xiàn)類似于RSTP的端口快速切換,可以捆綁多個VLAN到一個實例中以降低資源利用率。MSTP可以很好的向下兼容STP/RSTP協(xié)議。它允許不同VLAN的流量沿各自的路徑分發(fā),從而為冗余鏈路提供了更好的負載分擔機制。如下圖,A是VLAN2的根橋,B是VLAN3的根橋。因此,B和C之間VLAN2Access鏈路、A和D之間VLAN3Access鏈路被阻塞掉。SwiSwitchASwitchBSwitchCSwitchDVLAN2ROOTBPDUVLAN3ROOTTrunkVLAN2,3VLAN2VLAN3VLAN3VLAN2MSTP根據(jù)VLAN進行阻塞鏈路GARP/GVRP/GMRPGARP是GenericAttributeRegistrationProtocol的縮寫。該協(xié)議是為了建立一種屬性傳遞擴散的機制,以保證采用該協(xié)議