以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)教材.doc

精品華為三康技術(shù)有限公司Huawei-3Com Technologies Co., Ltd.文檔編號(hào) Document ID密級(jí) Confidentiality level內(nèi)部公開(kāi) Confidential文檔狀態(tài) Document Status共64頁(yè)Total 64pages 以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)教材Prepared by 擬制程永椿 00742Date日期2005-3-13Reviewed by 評(píng)審人李博 00404Date日期2005-3-14Approved by批準(zhǔn)Date日期yyyy-mm-ddAuthorized by簽發(fā)Date日期yyyy-mm-ddHuawei-3Com Technologies Co., Ltd. 華為3Com技術(shù)有限公司All rights reserved版權(quán)所有 侵權(quán)必究Revision record 修訂記錄Date日期Revision Version修訂版本CR ID / Defect IDCR號(hào)Section Number修改章節(jié)Change Description修改描述Author作者2005-3-131.00Initial 初稿完成Jimmy Cheung程永椿2005-3-141.01ALL1. 增加縮略語(yǔ)2. 修改原文中的部分錯(cuò)誤李博yyyy-mm-dd1.02xxxx.x.x; y.y.yrevised xxx 修改XXX1. Xxx1. Xxx1. .Name作者名Catalog目 錄1以太網(wǎng)概述82以太網(wǎng)的基礎(chǔ)知識(shí)82.1MAC地址82.2以太網(wǎng)幀的幀格式92.2.1以太網(wǎng)102.2.2帶有802.2邏輯鏈路控制的IEEE 802.3102.2.3IEEE 802.3子網(wǎng)訪問(wèn)協(xié)議（以太網(wǎng)SNAP）102.2.4Novell以太網(wǎng)112.3CSMA/CD112.4沖突域和廣播域122.5以太網(wǎng)的典型設(shè)備-HUB122.6全雙工以太網(wǎng)133二層交換機(jī)的基本原理133.1二層交換機(jī)133.2支持VLAN的二層交換機(jī)163.2.1VLAN的概念173.2.2VLAN的劃分183.2.3VLAN的標(biāo)準(zhǔn)193.2.4支持VLAN交換機(jī)的轉(zhuǎn)發(fā)流程214三層交換機(jī)基本原理244.1三層交換機(jī)的提出244.2三層交換機(jī)基本特征254.3三層交換機(jī)的功能模型254.4三層交換機(jī)轉(zhuǎn)發(fā)流程274.4.1IP網(wǎng)絡(luò)規(guī)則274.4.2三層轉(zhuǎn)發(fā)流程274.4.3選路過(guò)程294.5路由器和交換機(jī)314.5.1接口324.5.2特點(diǎn)對(duì)照325交換機(jī)相關(guān)協(xié)議和技術(shù)325.1物理層特性（接口）325.1.1自協(xié)商335.1.2智能MDI/MDIX自識(shí)別335.1.3流控機(jī)制345.1.4POE供電355.1.5端口鏡像355.2二層協(xié)議和特性355.2.1STP/RSTP/MSTP協(xié)議365.2.2GARP/GVRP/GMRP375.2.3聚合特性385.2.4Isolate-user-vlan395.2.5二層多播405.2.6QinQ405.3三層特性415.3.1SuperVLAN415.4Qos/ACL425.5安全特性425.5.1802.1X425.5.2PORTAL435.6管理特性455.6.1集群管理465.6.2WEB網(wǎng)管475.7IRF475.8與路由器相同的一些特性496以太網(wǎng)交換機(jī)主要廠商496.1Cisco496.2Extreme496.3Foundry506.4港灣507參考資料50圖索引圖 1MAC地址9圖 2常用的以太網(wǎng)幀格式10圖 3由HUB組成的網(wǎng)絡(luò)13圖 4全雙工以太網(wǎng)13圖 5二層交換機(jī)結(jié)構(gòu)示意圖14圖 6二層交換機(jī)的轉(zhuǎn)發(fā)流程15圖 7二層交換機(jī)工作在鏈路層15圖 8交換機(jī)的沖突域和廣播域16圖 9由二層交換機(jī)構(gòu)成的扁平網(wǎng)絡(luò)16圖 10基于端口VLAN的劃分18圖 11802.1Q VLAN幀格式20圖 12Trunk鏈路實(shí)現(xiàn)虛擬工作組20圖 13支持VLAN交換機(jī)交換引擎21圖 14IVL和SVL地址學(xué)習(xí)方式22圖 15IVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程23圖 16SVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程23圖 17支持VLAN交換機(jī)沖突域和廣播域24圖 18三層交換機(jī)功能模型26圖 19三層交換引擎26圖 20三層轉(zhuǎn)發(fā)流程28圖 21路由器的最長(zhǎng)匹配轉(zhuǎn)發(fā)30圖 22三層交換機(jī)轉(zhuǎn)發(fā)-精確匹配31圖 23三層交換機(jī)轉(zhuǎn)發(fā)-最長(zhǎng)匹配31圖 24以太網(wǎng)的自協(xié)商33圖 25STP阻塞網(wǎng)絡(luò)環(huán)路36圖 26MSTP根據(jù)VLAN進(jìn)行阻塞鏈路37圖 27GARP屬性注冊(cè)和注銷(xiāo)37圖 28GARP基本原理38圖 29Isolate-user-vlan39圖 30不支持多播功能交換機(jī)40圖 31QinQ實(shí)現(xiàn)vMAN41圖 32802.1X認(rèn)證體系結(jié)構(gòu)43圖 33PORTAL認(rèn)證四大要素45圖 34集群的組成47圖 35IRF的組成48圖 36IRF的典型應(yīng)用49表索引表 1.LAN/MAN參考模型17表 2.路由器和三層交換機(jī)的特點(diǎn)對(duì)比32表 3.PORTAL、PPPoE/A、802.1X三種認(rèn)證方式的特點(diǎn)對(duì)比45以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)教材Keywords 關(guān)鍵詞：以太網(wǎng)，交換機(jī)，LAN，VLAN，IRFAbstract 摘 要：本文介紹以太網(wǎng)交換機(jī)的相關(guān)知識(shí)和基本原理。主要包括：1）以太網(wǎng)交換機(jī)基礎(chǔ)知識(shí)；2）二、三層交換機(jī)的基本原理和轉(zhuǎn)發(fā)流程；3）以太網(wǎng)交換機(jī)常用特性和技術(shù)。List of abbreviations 縮略語(yǔ)清單： Abbreviations 縮略語(yǔ)Full spelling 英文全名Chinese explanation 中文解釋POEPower Over Ethernet以太網(wǎng)供電IVLIndependent Vlan Learning獨(dú)立vlan學(xué)習(xí)SVLSharing Vlan Learning共享vlan學(xué)習(xí)VLANVirtual Local Area Network虛擬局域網(wǎng)GVRPGeneric Vlan Registration Protocol通用vlan注冊(cè)協(xié)議RSTPRapid Spanning Tree Protocol快速生成樹(shù)協(xié)議MSTPMultiple Spanning Tree Protocol多實(shí)例生成樹(shù)協(xié)議LACPLink Aggregation Control Protocol鏈路聚合控制協(xié)議DHCPDynamic Host Configuration Protocol動(dòng)態(tài)主機(jī)配置協(xié)議NTPNetwork Time Protocol網(wǎng)絡(luò)時(shí)間協(xié)議VRRPVirtual Router Redundancy Protocol虛擬路由冗余協(xié)議RIPRouting Information Protocol路由信息協(xié)議OSPFOpen Shortest Path First開(kāi)放最短路徑優(yōu)先IS-ISIntermediate System-to-Intermediate System intra-domain routing information exchange protocolIS-IS路由協(xié)議BGPBorder Gateway Protocol邊界網(wǎng)關(guān)協(xié)議IGMPInternet Group Management ProtocolInternet組管理協(xié)議IGMP SnoopingInternet Group Management Protocol SnoopingIGMP偵聽(tīng)GMRPGeneric Multicast Registration Protocol通用組播注冊(cè)協(xié)議PIM-DMProtocol Independent Multicast-Dense Mode密集模式協(xié)議無(wú)關(guān)組播PIM-SMProtocol Independent Multicast-Sparse Mode稀疏模式協(xié)議無(wú)關(guān)組播MSDPMulticast Source Discovery Protocol組播源發(fā)現(xiàn)協(xié)議WREDWeighted Random Early Detection加權(quán)隨機(jī)早期檢測(cè)CHAPChallenge Handshake Authentication Protocol質(zhì)詢握手驗(yàn)證協(xié)議PAPPassword Authentication Protocol密碼驗(yàn)證協(xié)議EAPExtensible Authentication Protocol可擴(kuò)展認(rèn)證協(xié)議SSHSecure Shell安全外殼IDSIntrusion Detection System入侵檢測(cè)系統(tǒng)RMONRemote MONitor遠(yuǎn)程監(jiān)控HGMPHuawei Group Management Protocol華為組管理協(xié)議NDPNeighbor Discovery Protocol鄰居發(fā)現(xiàn)協(xié)議IRFIntelligent Resilient Framework智能彈性架構(gòu)1 以太網(wǎng)概述以太網(wǎng)是在70年代初期由Xerox公司Palo Alto研究中心推出的。1979年Xerox、Intel和DEC公司正式發(fā)布了DIX版本的以太網(wǎng)規(guī)范，1983年IEEE 802.3標(biāo)準(zhǔn)正式發(fā)布。初期的以太網(wǎng)是基于同軸電纜的，到八十年代末期基于雙絞線的以太網(wǎng)完成了標(biāo)準(zhǔn)化工作，即我們常說(shuō)的10BASE-T。隨著市場(chǎng)的推動(dòng)，以太網(wǎng)的發(fā)展越來(lái)越迅速，應(yīng)用也越來(lái)越廣泛。下面簡(jiǎn)單列一下以太網(wǎng)的發(fā)展歷程： 70年代初，以太網(wǎng)產(chǎn)生； 1929年，DEC、Intel、Xerox成立聯(lián)盟，推出DIX以太網(wǎng)規(guī)范； 1980年，IEEE成立了802.3工作組； 1983年，第一個(gè)IEEE802.3標(biāo)準(zhǔn)通過(guò)并正式發(fā)布 通過(guò)80年代的應(yīng)用，10Mb/s以太網(wǎng)基本發(fā)展成熟 1990年，基于雙絞線介質(zhì)的10BASE-T標(biāo)準(zhǔn)和IEEE 802.1D網(wǎng)橋標(biāo)準(zhǔn)發(fā)布 90年代，LAN交換機(jī)出現(xiàn)，逐步淘汰共享式網(wǎng)橋 1992年，出現(xiàn)了100Mb/s快速以太網(wǎng) 通過(guò)100BASE-T標(biāo)準(zhǔn)(IEEE802.3u) 全雙工以太網(wǎng)(IEEE97) 千兆以太網(wǎng)開(kāi)始迅速發(fā)展(96) 1000Mb/s千兆以太網(wǎng)標(biāo)準(zhǔn)問(wèn)世(IEEE802.3z/ab) IEEE 802.1Q和802.1P標(biāo)準(zhǔn)出現(xiàn)(98) 10GE以太網(wǎng)工作組成立(IEEE802.3ae)2 以太網(wǎng)的基礎(chǔ)知識(shí)以太網(wǎng)是一種能夠使計(jì)算機(jī)進(jìn)行相互傳遞信息的介質(zhì)，它利用二進(jìn)制位形成一個(gè)個(gè)的字節(jié)，這些字節(jié)然后組合成一幀幀的數(shù)據(jù)。幀有一個(gè)起點(diǎn)，我們稱之為幀頭；也有終點(diǎn)，我們稱之為作幀尾。以太網(wǎng)由許多物理網(wǎng)段組合而成，每個(gè)網(wǎng)段包括一些導(dǎo)線和與導(dǎo)線相連的網(wǎng)絡(luò)設(shè)備。以太網(wǎng)上有很多網(wǎng)絡(luò)設(shè)備，每個(gè)設(shè)備都會(huì)接收到各種各樣的幀信息。那么，設(shè)備怎樣才能知道幀是否是直接對(duì)它進(jìn)行訪問(wèn)呢？其實(shí)，在每個(gè)幀報(bào)頭中，都包含有一個(gè)目地介質(zhì)訪問(wèn)控制地址（MAC）和一個(gè)源MAC地址，目的MAC地址就可以告訴網(wǎng)絡(luò)設(shè)備幀是否是對(duì)它進(jìn)行直接訪問(wèn)。如果設(shè)備發(fā)現(xiàn)幀的目的MAC地址與自己的MAC不匹配，設(shè)備將對(duì)不處理該幀。2.1 MAC地址MAC地址有48位，它可以轉(zhuǎn)換成12位的十六進(jìn)制數(shù)，參見(jiàn)圖1。這個(gè)數(shù)分成三組，每組有四個(gè)數(shù)字，中間以點(diǎn)分開(kāi)。MAC地址有時(shí)也稱為點(diǎn)分十六進(jìn)制數(shù)。為了確保MAC地址的唯一性，IEEE對(duì)這些地址進(jìn)行管理。每個(gè)地址由兩部分組成，分別是供應(yīng)商代碼和序列號(hào)。供應(yīng)商代碼代表NIC（網(wǎng)絡(luò)接口卡）制造商的名稱，它占用MAC的前六位12進(jìn)制數(shù)字，即24位二進(jìn)制數(shù)字。序列號(hào)由供應(yīng)商管理，它占用剩余的6位地址，或最后的24位二進(jìn)制數(shù)字。圖 1 MAC地址從實(shí)際使用的角度看，以太網(wǎng)的MAC地址可以分為三類，分別是單播地址、多播地址、廣播地址： 單播地址：第一字節(jié)最低位為0，00e0.fc00.0006。用于網(wǎng)段中兩個(gè)特定設(shè)備之間的通信，可以作為以太網(wǎng)幀的源和目的MAC地址； 多播地址：第一字節(jié)最低位為1，01e0.fc00.0006。用于網(wǎng)段中一個(gè)設(shè)備和其他多個(gè)設(shè)備通信，只能作為以太網(wǎng)幀的目的MAC； 廣播地址：48位全1，ffff.ffff.ffff。用于網(wǎng)段中一個(gè)設(shè)備和其他所有設(shè)備通信，只能作為以太網(wǎng)幀的目的MAC。2.2 以太網(wǎng)幀的幀格式對(duì)MAC地址有一個(gè)基本認(rèn)識(shí)后，我們有必要進(jìn)一步了解以太網(wǎng)幀的幀格式是怎么樣的？有哪幾種常用的幀格式？下圖就是目前常用幾種以太網(wǎng)幀格式。圖 2 常用的以太網(wǎng)幀格式2.2.1 以太網(wǎng)幀頭的作用是標(biāo)識(shí)封裝在幀中的第3層信息包的類型。以太網(wǎng)使用類型字段，其長(zhǎng)度為2個(gè)字節(jié)。這種幀格式是目前最常用的以太網(wǎng)幀格式。2.2.2 帶有802.2邏輯鏈路控制的IEEE 802.3IEEE基于原始的以太網(wǎng)幀來(lái)設(shè)計(jì)自己的以太網(wǎng)幀類型。IEEE 802.3的以太網(wǎng)幀報(bào)頭和以太網(wǎng)的幀報(bào)頭非常相似，不過(guò)其類型字段的長(zhǎng)度有所變化，它增加了一個(gè)稱作邏輯鏈路控制（LLC）的字段。LLC用來(lái)識(shí)別信息包中使用的第3層協(xié)議。LLC報(bào)頭或IEEE報(bào)頭都包含DSAP（destination service access point，目的服務(wù)訪問(wèn)點(diǎn)）、SSAP（source service access point，源服務(wù)訪問(wèn)點(diǎn)）和控制字段。DSAP和SSAP合并后就可標(biāo)識(shí)第3層協(xié)議的類型。2.2.3 IEEE 802.3子網(wǎng)訪問(wèn)協(xié)議（以太網(wǎng)SNAP）80年代中期，以太網(wǎng)非常流行，IEEE擔(dān)心它將使用完所有的DSAP和SSAP編碼，所以就定義了一種新的幀格式。這種幀格式稱為以太網(wǎng)子網(wǎng)訪問(wèn)協(xié)議，有時(shí)候也稱為以太網(wǎng)SNAP。這種格式的幀報(bào)頭以“AA”取代DSAP和SSAP。在DSAP和SSAP字段中出現(xiàn)“AA”時(shí)，幀是一個(gè)以太網(wǎng)SNAP幀。這時(shí)，第3層協(xié)議將在OUI（Organizational unique identifier，組織唯一標(biāo)識(shí)）字段后的類型字段中表示。QUI是一個(gè)6位的十六進(jìn)制數(shù)，它可以唯一地標(biāo)識(shí)一個(gè)組織。IEEE對(duì)QUI進(jìn)行賦值。2.2.4 Novell以太網(wǎng)Novell以太網(wǎng)幀類型只適用于IPX通信。Novell以前沒(méi)有考慮IPX將附屬于其他第3層協(xié)議。所以，也就沒(méi)有必要用字段來(lái)識(shí)別第3層協(xié)議。如果你運(yùn)行的是Novell網(wǎng)絡(luò)，就可以使用IPX。Novell以太網(wǎng)幀格式以一個(gè)長(zhǎng)度字段來(lái)取代類型字段，與前面的IEEE的做法一樣。不過(guò)長(zhǎng)字段后沒(méi)有LLC字段。2.3 CSMA/CD以太網(wǎng)使用CSMA/CD（Carrier Sense Multiple Access with Collision Detection，帶有沖突監(jiān)測(cè)的載波偵聽(tīng)多址訪問(wèn)）。我們可以將CSMA /CD比做一種文雅的交談。在這種交談方式中，如果有人想闡述觀點(diǎn)，他應(yīng)該先聽(tīng)聽(tīng)是否有其他人在說(shuō)話（即載波偵聽(tīng)）。如果這時(shí)有人在說(shuō)話，他應(yīng)該耐心地等待，直到對(duì)方結(jié)束說(shuō)話，然后他才可以開(kāi)始發(fā)表意見(jiàn)。另外，有可能兩個(gè)人在同一時(shí)間都想開(kāi)始說(shuō)話，那會(huì)出現(xiàn)什么樣的情況呢？顯然，如果兩個(gè)人同時(shí)說(shuō)話，這時(shí)很難辨別出每個(gè)人都在說(shuō)什么。但是，在文雅的交談方式中，當(dāng)兩個(gè)人同時(shí)開(kāi)始說(shuō)話時(shí)，雙方都會(huì)發(fā)現(xiàn)他們?cè)谕粫r(shí)間開(kāi)始講話（即沖突檢測(cè)），這時(shí)說(shuō)話立即終止。隨機(jī)地過(guò)了一段時(shí)間后（回退），說(shuō)話才開(kāi)始。說(shuō)話時(shí)，由第一個(gè)開(kāi)始說(shuō)話的人來(lái)對(duì)交談進(jìn)行控制，而第二個(gè)開(kāi)始說(shuō)話的人將不得不等待，直到第一個(gè)人說(shuō)完，然后他才能開(kāi)始說(shuō)話。除計(jì)算機(jī)以外，以太網(wǎng)的工作方式與上面的方式相同。首先，以太網(wǎng)網(wǎng)段上需要進(jìn)行數(shù)據(jù)傳送的節(jié)點(diǎn)對(duì)導(dǎo)線進(jìn)行監(jiān)聽(tīng)，這個(gè)過(guò)程稱為CSMA/CD的載波偵聽(tīng)。如果，這時(shí)有另外的節(jié)點(diǎn)正在傳送數(shù)據(jù)，監(jiān)聽(tīng)節(jié)點(diǎn)將不得不等待，直到傳送節(jié)點(diǎn)的傳送任務(wù)結(jié)束。如果某時(shí)恰好有兩個(gè)工作站同時(shí)準(zhǔn)備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號(hào)。這時(shí)，節(jié)點(diǎn)上所有的工作站都將檢測(cè)到?jīng)_突信號(hào)，因?yàn)?，這時(shí)導(dǎo)線上的電壓超出了標(biāo)準(zhǔn)電壓。沖突產(chǎn)生后，這兩個(gè)節(jié)點(diǎn)都將立即發(fā)出擁塞信號(hào)，以確保每個(gè)工作站都檢測(cè)到這時(shí)以太網(wǎng)上已產(chǎn)生沖突，導(dǎo)線上的帶寬為0 Mb/s。然后，網(wǎng)絡(luò)進(jìn)行恢復(fù)，在恢復(fù)的過(guò)程中，導(dǎo)線上將不傳送數(shù)據(jù)。在這一過(guò)程中，不屬于產(chǎn)生沖突的網(wǎng)段上的節(jié)點(diǎn)也要等到?jīng)_突結(jié)束后才能傳送數(shù)據(jù)。當(dāng)兩個(gè)節(jié)點(diǎn)將擁塞信號(hào)傳送完，并過(guò)了一段隨機(jī)時(shí)間后，這兩個(gè)節(jié)點(diǎn)便開(kāi)始將信號(hào)恢復(fù)到零位。第一個(gè)達(dá)到零位的工作站將首先對(duì)導(dǎo)線進(jìn)行監(jiān)聽(tīng)，當(dāng)它監(jiān)聽(tīng)到?jīng)]有任何信息在傳輸時(shí)，便開(kāi)始傳輸數(shù)據(jù)。當(dāng)?shù)诙€(gè)工作站恢復(fù)到零位后，也對(duì)導(dǎo)線進(jìn)行監(jiān)聽(tīng)，當(dāng)監(jiān)聽(tīng)到第一個(gè)工作站已經(jīng)開(kāi)始傳輸數(shù)據(jù)后，就只好等待了。注意實(shí)際上，隨機(jī)的時(shí)間是通過(guò)一種算法產(chǎn)生的，這種算法在IEEE 802.3標(biāo)準(zhǔn)CSMA/CD文檔第55頁(yè)可以找到。在CSMA/CD方式下，在一個(gè)時(shí)間段，只有一個(gè)節(jié)點(diǎn)能夠在導(dǎo)線上傳送數(shù)據(jù)。如果其他節(jié)點(diǎn)想傳送數(shù)據(jù)，必須等到正在傳輸?shù)墓?jié)點(diǎn)的數(shù)據(jù)傳送結(jié)束后才能開(kāi)始傳輸數(shù)據(jù)。以太網(wǎng)之所以稱作共享介質(zhì)就是因?yàn)楣?jié)點(diǎn)共享同一根導(dǎo)線這一事實(shí)。2.4 沖突域和廣播域我們知道，當(dāng)以太網(wǎng)發(fā)生沖突的時(shí)候，網(wǎng)絡(luò)要進(jìn)行恢復(fù)（即處于回退階段），此時(shí)網(wǎng)絡(luò)上將不能傳送任何數(shù)據(jù)。因此，沖突的產(chǎn)生降低了以太網(wǎng)導(dǎo)線的帶寬，而且這種情況是不可避免的。所以，當(dāng)導(dǎo)線上的節(jié)點(diǎn)越來(lái)越多后，沖突的數(shù)量將會(huì)增加。在以太網(wǎng)網(wǎng)段上放置的最大的節(jié)點(diǎn)數(shù)將取決于傳輸在導(dǎo)線上的信息類型。顯而易見(jiàn)的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點(diǎn)。這個(gè)過(guò)程通常稱為物理分段。物理網(wǎng)段實(shí)際上是連接在同一導(dǎo)線上的所有工作站的集合，也就是說(shuō)，和另一個(gè)節(jié)點(diǎn)有可能產(chǎn)生沖突的所有工作站被看作是同一個(gè)物理網(wǎng)段。經(jīng)常描述物理網(wǎng)段的另一個(gè)詞是沖突域，這兩種說(shuō)法指的是同一個(gè)意思。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)（NOS）使用了廣播。TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過(guò)RIP協(xié)議進(jìn)行宣告。因此，廣播存在于所有的網(wǎng)絡(luò)上，如果不對(duì)它們進(jìn)行適當(dāng)?shù)木S護(hù)和控制，它們便會(huì)充斥于整個(gè)網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。前面已經(jīng)介紹過(guò)，廣播的目標(biāo)地址為ffff.ffff.ffff，這個(gè)地址將使所有工作站處理該幀。因此，廣播不僅消耗了帶寬，限制了用戶獲取實(shí)際數(shù)據(jù)的帶寬，而且也降低了用戶工作站的處理效率。在這種情況下，所有能夠接收其他廣播的節(jié)點(diǎn)被劃分為同一個(gè)邏輯網(wǎng)段，也稱為廣播域。一般來(lái)說(shuō)，邏輯網(wǎng)段定義了第三層網(wǎng)絡(luò)，如IP子網(wǎng)等。2.5 以太網(wǎng)的典型設(shè)備-HUB在局域網(wǎng)（LAN-Local Area Network）中，每個(gè)工作站都通過(guò)某種傳輸介質(zhì)連接到網(wǎng)絡(luò)上。一般情況下，服務(wù)器不會(huì)有很多網(wǎng)絡(luò)接口卡（NIC）。因此，不可能將所有的工作站都連接到服務(wù)器上。因此，局域網(wǎng)中會(huì)使用HUB，這是網(wǎng)絡(luò)中很常用的設(shè)備。HUB是一種典型的采用以太網(wǎng)CSMA/CD機(jī)制的設(shè)備，其主要作用是： 被用作網(wǎng)絡(luò)設(shè)備的集中點(diǎn) 放大信號(hào) 無(wú)路徑檢測(cè)或交換從HUB的作用可以看出，HUB對(duì)所連接的LAN只做信號(hào)的中繼，工作在網(wǎng)絡(luò)的物理層，連接在HUB上的所有物理設(shè)備相當(dāng)于連接在同一根導(dǎo)線上，都處于同一個(gè)沖突域和廣播域，參見(jiàn)圖3。因此，在網(wǎng)絡(luò)設(shè)備很多的情況下，設(shè)備之間的沖突將會(huì)很?chē)?yán)重，并且導(dǎo)致廣播泛濫，嚴(yán)重影響網(wǎng)絡(luò)地性能。圖 3 由HUB組成的網(wǎng)絡(luò)2.6 全雙工以太網(wǎng)當(dāng)兩個(gè)以太網(wǎng)節(jié)點(diǎn)通過(guò)10baseT的電纜直接連接時(shí)，導(dǎo)線類似于圖4。在這種情況下，數(shù)據(jù)可以通過(guò)兩種獨(dú)立的路徑傳輸和接收。由于只存在兩個(gè)節(jié)點(diǎn)，也就沒(méi)有總線，所以就可以在同一時(shí)間對(duì)信息進(jìn)行雙向傳輸，而不會(huì)發(fā)生沖突。在這種情況下，以太網(wǎng)稱為全雙工以太網(wǎng)。為了實(shí)現(xiàn)全雙工以太網(wǎng)，兩個(gè)節(jié)點(diǎn)必須通過(guò)10baseT直接連接，而且NIC必須支持全雙工。圖 4 全雙工以太網(wǎng)3 二層交換機(jī)的基本原理3.1 二層交換機(jī)顧名思義，所謂二層交換機(jī)，其進(jìn)行轉(zhuǎn)發(fā)的依據(jù)就是以太網(wǎng)幀的二層信息，即MAC地址且是幀的目的MAC地址。交換機(jī)接收到一個(gè)以太網(wǎng)幀后，然后根據(jù)該幀的目的MAC，把報(bào)文從正確的端口轉(zhuǎn)發(fā)出去，該過(guò)程稱為二層交換，對(duì)應(yīng)的設(shè)備稱為二層交換機(jī)。在這里稍微提一下，在二層交換機(jī)之前用于二層交換機(jī)的設(shè)備是透明網(wǎng)橋，它和二層交換機(jī)的最大區(qū)別就是：透明網(wǎng)橋只有兩個(gè)端口，而交換機(jī)的端口數(shù)目遠(yuǎn)遠(yuǎn)超過(guò)兩個(gè)。目前的交換機(jī)都采用硬件來(lái)實(shí)現(xiàn)其轉(zhuǎn)發(fā)過(guò)程，該器件一般稱為ASIC（Application Specific Integrated Circuit ），也俗稱為交換引擎。對(duì)于二層交換機(jī)來(lái)說(shuō)，ASIC將維護(hù)一張二層轉(zhuǎn)發(fā)表L2FDB（Layer 2 forwarding database）。表項(xiàng)的主要內(nèi)容是MAC地址和交換機(jī)端口的對(duì)應(yīng)關(guān)系。圖5即為二層交換機(jī)結(jié)構(gòu)示意圖。port1port2port3port4port5port6MACMACMACMACMACMAC二層交換引擎L2FDBSwitchASIC圖 5 二層交換機(jī)結(jié)構(gòu)示意圖下面就詳細(xì)了解一下二層交換機(jī)的轉(zhuǎn)發(fā)過(guò)程，以圖6為例進(jìn)行說(shuō)明。交換機(jī)從端口1接收到一個(gè)以太網(wǎng)幀，其轉(zhuǎn)發(fā)流程如下： 根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表(即L2FDB)，查找相應(yīng)的出端口。根據(jù)現(xiàn)有L2FDB表，報(bào)文應(yīng)該從端口2發(fā)送出去； 如果在L2FDB表中查找不到該目的MAC，則該報(bào)文將通過(guò)廣播的方式向交換機(jī)所有端口轉(zhuǎn)發(fā)； 同時(shí)該以太網(wǎng)幀的源MAC將被學(xué)習(xí)到接收到報(bào)文的端口上，即端口1； L2FDB表中MAC地址通過(guò)老化機(jī)制來(lái)更新； 在轉(zhuǎn)發(fā)的過(guò)程中，不會(huì)對(duì)幀的內(nèi)容進(jìn)行修改。圖 6 二層交換機(jī)的轉(zhuǎn)發(fā)流程現(xiàn)在我們來(lái)分析一下使用交換機(jī)構(gòu)成的網(wǎng)絡(luò)，其沖突域和廣播域是怎樣的？性能如何？由于以太網(wǎng)發(fā)生沖突是在網(wǎng)絡(luò)的第一層，而交換機(jī)工作在網(wǎng)絡(luò)的第二層即鏈路層，參見(jiàn)圖7。圖 7 二層交換機(jī)工作在鏈路層因此，二層交換機(jī)將網(wǎng)絡(luò)的沖突域限制在了交換機(jī)的端口內(nèi)（參見(jiàn)圖8），也就是給網(wǎng)絡(luò)劃分成了若干個(gè)物理網(wǎng)段，每個(gè)端口一個(gè)物理網(wǎng)段，大大地減少了沖突對(duì)網(wǎng)絡(luò)帶來(lái)的影響，改善了網(wǎng)絡(luò)的性能。圖 8 交換機(jī)的沖突域和廣播域然后，我們也必須要看到，交換機(jī)雖然可以有效地的限制沖突的發(fā)生，但對(duì)于廣播無(wú)能為力。對(duì)于大量的交換機(jī)構(gòu)成的扁平網(wǎng)絡(luò)（參見(jiàn)圖9）而言，廣播對(duì)網(wǎng)絡(luò)性能的影響是顯而易見(jiàn)的。廣播消耗了大量的網(wǎng)絡(luò)帶寬；網(wǎng)絡(luò)的安全性差，任何兩臺(tái)主機(jī)之間都可以相互訪問(wèn)。圖 9 由二層交換機(jī)構(gòu)成的扁平網(wǎng)絡(luò)3.2 支持VLAN的二層交換機(jī)路由器基于第3層報(bào)頭、目標(biāo)IP尋址作出轉(zhuǎn)發(fā)決定，不能對(duì)廣播進(jìn)行轉(zhuǎn)發(fā)。所以通過(guò)路由器可以限制廣播的轉(zhuǎn)發(fā)，形成更多的廣播域或邏輯網(wǎng)段。當(dāng)然，路由器可以對(duì)網(wǎng)絡(luò)進(jìn)行物理分段，方式與交換機(jī)和網(wǎng)橋相同。雖然，路由器能達(dá)到限制以太網(wǎng)廣播域的作用，但其有一定的限制：1）路由器成本較高；2)路由器端口數(shù)目較少，一般不能滿足二層網(wǎng)絡(luò)的應(yīng)用。為此，在二層交換機(jī)中引入了VLAN的概念。3.2.1 VLAN的概念我們知道，IEEE802.3給出了LAN/MAN參考模型（表1所示），LAN（Local Area Network）協(xié)議包括了OSI七層模型的低三層：物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。其中，數(shù)據(jù)鏈路層又分為邏輯鏈路控制層(LLC)和媒體接入控制層(MAC)。表 1. LAN/MAN參考模型OSI七層模型IEEE802LAN/MAN參考模型網(wǎng)絡(luò)層網(wǎng)間互聯(lián)數(shù)據(jù)鏈路層邏輯鏈路控制層(LLC)媒體接入控制層(MAC)物理層物理層那么什么是VLAN呢？VLAN-Virtual Local Area Network，稱為虛擬局域網(wǎng)，是將一組位于不同物理網(wǎng)段上的工作站和服務(wù)器從邏輯上劃分成不同的邏輯網(wǎng)段，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)和傳輸。那么，使用VLAN能帶來(lái)什么優(yōu)點(diǎn)？(1) 限制了網(wǎng)絡(luò)中的廣播一般交換機(jī)不能過(guò)濾局域網(wǎng)廣播報(bào)文，因此在大型交換局域網(wǎng)環(huán)境中造成廣播量擁塞，對(duì)網(wǎng)絡(luò)帶寬造成了的極大浪費(fèi)。用戶不得已用路由器分割他們的網(wǎng)絡(luò)，此時(shí)路由器的作用是廣播的“防火墻”。VLAN的主要優(yōu)點(diǎn)之一是：支持VLAN的LAN交換機(jī)可以有效地用于控制廣播流量，廣播流量?jī)H僅在VLAN內(nèi)被復(fù)制，而不是整個(gè)交換機(jī)，從而提供了類似路由器的廣播“防火墻”功能。(2) 虛擬工作組使用VLAN的另一個(gè)目的就是建立虛擬工作站模型。當(dāng)企業(yè)級(jí)的VLAN建成之后，某一部門(mén)或分支機(jī)構(gòu)的職員可以在虛擬工作組模式下共享同一個(gè)“局域網(wǎng)”。這樣絕大多數(shù)的網(wǎng)絡(luò)都限制在VLAN廣播域內(nèi)部了。當(dāng)部門(mén)內(nèi)的某一個(gè)成員移動(dòng)的另一個(gè)網(wǎng)絡(luò)位置時(shí)，他所使用的工作站不需要做任何改動(dòng)。相反，一個(gè)用戶改變不用移動(dòng)他的工作站就可以調(diào)整到另一個(gè)部門(mén)去，網(wǎng)絡(luò)管理者只需要在控制臺(tái)上進(jìn)行簡(jiǎn)單的操作就可以了。VLAN的這種功能使人們以前曾設(shè)想過(guò)的動(dòng)態(tài)網(wǎng)絡(luò)組織結(jié)構(gòu)成了為可能，并在一定程度上大大推動(dòng)了交叉工作組的形成。這就引出了虛擬工作組的定義。對(duì)一個(gè)公司而言，經(jīng)常會(huì)針對(duì)某一個(gè)具體的開(kāi)發(fā)項(xiàng)目臨時(shí)組建一個(gè)由各部門(mén)的技術(shù)人員組成的工作組，他們可能分別來(lái)自經(jīng)營(yíng)部，網(wǎng)絡(luò)部，技術(shù)服務(wù)等。有了VLAN，小組內(nèi)的成員不用再集中到一個(gè)辦公室了。他們只要坐在自己的計(jì)算機(jī)旁就可以了解到其它合作者的開(kāi)放情況。另外，VLAN為我們帶來(lái)了巨大的靈活性。當(dāng)有實(shí)際需要時(shí)，一個(gè)虛擬工作組可以應(yīng)運(yùn)而生。當(dāng)項(xiàng)目結(jié)束后，虛擬工作組又可以隨之消失。這樣，無(wú)論是對(duì)用戶還是對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)，VLAN都是十分吸引人了。（3）安全性由于配置了VLAN后，一個(gè)VLAN的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè)VLAN，這樣，其他VLAN的用戶的網(wǎng)絡(luò)上是收不到任何該VLAN的數(shù)據(jù)包，從而就確保了該VLAN的信息不會(huì)被其他VLAN的人竊聽(tīng)，從而實(shí)現(xiàn)了信息的保密（4）減少移動(dòng)和改變的代價(jià)即所說(shuō)的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)的完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來(lái)了極大的好處，一個(gè)用戶，無(wú)論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。當(dāng)然，并不是所有的VLAN劃分方法都能做到這一點(diǎn)。3.2.2 VLAN的劃分(1) 根據(jù)端口定義許多VLAN設(shè)備制造商都利用交換機(jī)的端口來(lái)劃分VLAN成員，被設(shè)定的端口都在同一個(gè)廣播域中。如圖10，交換機(jī)上的端口被劃分成了“工程部”、“市場(chǎng)部”、“銷(xiāo)售部”三個(gè)VLAN。這樣可以允許VLAN內(nèi)部各端口之間的通信。圖 10 基于端口VLAN的劃分按交換機(jī)端口來(lái)劃分VLAN成員，其配置過(guò)程簡(jiǎn)單明了。因此迄今為止，這仍然是最常用的一種方式。但是，這種方式不允許多個(gè)VLAN共享一個(gè)物理網(wǎng)段或交換機(jī)端口，而且，如果某一個(gè)用戶從一個(gè)端口所在的虛擬局域網(wǎng)移動(dòng)到另一個(gè)端口所在的虛擬局域網(wǎng)，網(wǎng)絡(luò)管理者需要重新進(jìn)行配置，這對(duì)于擁有眾多移動(dòng)用戶的網(wǎng)絡(luò)來(lái)說(shuō)是難以實(shí)現(xiàn)的。（2）根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組。這種劃分VLAN的方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停的配置。（3） 根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法可能是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，不要與網(wǎng)絡(luò)層的路由混淆。它雖然查看每個(gè)數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒(méi)有RIP，OSPF等路由協(xié)議，而是根據(jù)生成樹(shù)算法進(jìn)行橋交換，這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置他所屬的VLAN，而且可以根據(jù)協(xié)議類型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是很費(fèi)時(shí)的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這也跟各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。（4）IP組播作為VLANIP 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高，對(duì)于局域網(wǎng)的組播，有二層組播協(xié)議GMRP。（5）基于組合策略劃分VLAN即上述各種VLAN劃分方式的組合。應(yīng)該說(shuō)，目前很少采用這種VLAN劃分方式。3.2.3 VLAN的標(biāo)準(zhǔn)目前已提出的VLAN標(biāo)準(zhǔn)有兩種。一種是802.10 VLAN標(biāo)準(zhǔn)，Cisco公司在1995年提出，另外就是802.1Q，是IEEE執(zhí)行委員會(huì)于1996年下半年才開(kāi)始制定的一種VLAN互操作性標(biāo)準(zhǔn)。本文僅對(duì)802.1Q標(biāo)準(zhǔn)進(jìn)行介紹。DestSrcDataLen/Etypep/Q LabelEtypeFCSVLAN-IDToken-Ring Encapsulation FlagVLAN-ID and T-REncaps Flag are.1Q, not .1pVLAN ID:0-4095662224.DestSrcFCSDataLen/Etype圖 11 802.1Q VLAN幀格式802.1Q的VLAN幀格式參見(jiàn)圖11，就是在原來(lái)以太網(wǎng)幀的源MAC地址之后加入了4個(gè)字節(jié)的VLAN TAG Header。其中，前兩個(gè)字節(jié)Etype為固定值0x8100；后兩個(gè)字節(jié)為802.1p/Q Label，即802.1P優(yōu)先級(jí)和VLAN ID的定義。802.1P優(yōu)先級(jí)為高3位，即優(yōu)先級(jí)0-7；VLAN ID為后12位，即ID的范圍為0-4095。通過(guò)設(shè)定連接交換機(jī)之間的鏈路為支持傳送VLAN Tag Header的Trunk鏈路，我們就可以很容易實(shí)現(xiàn)前面提到的虛擬工作組功能，如圖12。交換機(jī)A、B上的端口分別屬于工程部、市場(chǎng)部、銷(xiāo)售部，通過(guò)Trunk鏈路可以使得分別接在交換機(jī)A、B上的工程部用戶之間進(jìn)行通信；市場(chǎng)部、銷(xiāo)售部的用戶也是如此。圖 12 Trunk鏈路實(shí)現(xiàn)虛擬工作組一般來(lái)說(shuō)，目前工作站和用戶終端都是不支持識(shí)別VLAN的。因此，在由VLAN構(gòu)建的二層交換網(wǎng)絡(luò)中，存在兩種類型的鏈路： Access鏈路用于接入用戶終端和工作站 連接Access鏈路的交換機(jī)端口稱為Access端口 幀在Access鏈路上轉(zhuǎn)發(fā)不帶VLAN Tag 交換機(jī)Access端口接收到以太網(wǎng)幀后，按照端口所在VLAN加上VLAN Tag，然后進(jìn)行轉(zhuǎn)發(fā) 幀從Access端口發(fā)送出去，幀中的VLAN Tag會(huì)被去掉 Trunk鏈路用于交換機(jī)之間級(jí)聯(lián)，允許不同設(shè)備間相同VLAN內(nèi)用戶通信。 連接Trunk鏈路的交換機(jī)端口稱為T(mén)runk端口 幀在Trunk鏈路上轉(zhuǎn)發(fā)帶VLAN Tag，因此允許多個(gè)VLAN的幀在Trunk鏈路上轉(zhuǎn)發(fā) 交換機(jī)Trunk端口接收到以太網(wǎng)幀后，需要判斷該Trunk端口是否允許幀中VLAN ID對(duì)應(yīng)的VLAN通過(guò)。若允許，則進(jìn)行轉(zhuǎn)發(fā)；否則要直接丟棄該幀 幀從Trunk端口發(fā)送出去，VLAN Tag一般不會(huì)被去掉3.2.4 支持VLAN交換機(jī)的轉(zhuǎn)發(fā)流程支持VLAN交換機(jī)轉(zhuǎn)發(fā)流程與普通交換機(jī)轉(zhuǎn)發(fā)流程最大的區(qū)別在于：報(bào)文在支持VLAN交換機(jī)內(nèi)轉(zhuǎn)發(fā)時(shí)都是帶著VLAN Tag進(jìn)行的。也就是說(shuō)，轉(zhuǎn)發(fā)過(guò)程中要根據(jù)MAC地址查找出端口外，還需要判斷VLAN ID的信息。因此，支持VLAN交換機(jī)交換引擎與一般交換機(jī)有所不同，如下圖所示。圖 13 支持VLAN交換機(jī)交換引擎VLAN交換機(jī)的轉(zhuǎn)發(fā)流程和ASIC 選擇的MAC地址學(xué)習(xí)方式有緊密的聯(lián)系。目前，支持VLAN的交換機(jī)有兩種地址學(xué)習(xí)方式，分別為IVL（Independent VLAN Learning）和SVL（Shared VLAN Learning）。兩種方式的區(qū)別如下，參見(jiàn)圖14：MAC1 VLAN1 PORT1MAC2 VLAN1 PORT2MAC2 VLAN2 PORT3MAC3 VLAN3 PORT3MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVL圖 14 IVL和SVL地址學(xué)習(xí)方式 在IVL方式下： 每個(gè)VLAN都有自己的對(duì)應(yīng)的MAC地址表（抽象的概念并不是物理的），相互之間沒(méi)有影響。一個(gè)MAC地址可以被學(xué)習(xí)到不同的VLAN中，因此對(duì)一個(gè)用戶來(lái)說(shuō)如果屬于多個(gè)VLAN，那么每個(gè)VLAN內(nèi)的信息都需要重新學(xué)習(xí)。 而SVL方式下，一個(gè)地址表項(xiàng)對(duì)所有的VLAN都通用，表中的MAC用戶不能有重復(fù)。下面分別介紹兩種地址學(xué)習(xí)方式下的轉(zhuǎn)發(fā)流程。 IVL地址學(xué)習(xí)方式（參見(jiàn)圖15）1）根據(jù)幀內(nèi)Tag Header的VLAN ID查找L2FDB表，確定查找的范圍；2）根據(jù)目的MAC查找出端口，圖中應(yīng)該從端口2轉(zhuǎn)發(fā)出去；如果在L2FDB表中查找不到該目的MAC，則該報(bào)文將通過(guò)廣播的方式在該VLAN內(nèi)所有端口轉(zhuǎn)發(fā)；同時(shí)該以太網(wǎng)幀的源MAC將被學(xué)習(xí)到接收到報(bào)文的端口上，即端口1（VLAN 2）；L2FDB表中的MAC地址通過(guò)老化機(jī)制更新；3） 在轉(zhuǎn)發(fā)的過(guò)程中，不會(huì)對(duì)幀的內(nèi)容進(jìn)行修改。圖 15 IVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程 SVL地址學(xué)習(xí)方式（參見(jiàn)圖16）1）根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表(即L2FDB)，查找相應(yīng)的出端口。根據(jù)現(xiàn)有L2FDB表，報(bào)文應(yīng)該從端口2發(fā)送出去；2）判斷出端口的VLAN ID和報(bào)文Tag Header內(nèi)的VLAN ID是否匹配，匹配則轉(zhuǎn)發(fā)，不匹配則丟棄；3）如果在L2FDB表中查找不到該目的MAC，則判斷出端口的VLAN ID和報(bào)文Tag Header內(nèi)的VLAN ID是否匹配，不匹配直接丟棄；匹配則在該VLAN內(nèi)廣播；4）L2FDB表中MAC地址通過(guò)老化機(jī)制來(lái)更新；5）在轉(zhuǎn)發(fā)的過(guò)程中，不會(huì)對(duì)幀的內(nèi)容進(jìn)行修改圖 16 SVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程前文已經(jīng)提到VLAN的優(yōu)點(diǎn)之一就是限制了廣播，下圖就能很好地說(shuō)明這個(gè)問(wèn)題。從圖中，可以很清楚地看到，廣播報(bào)文被限制了每個(gè)VLAN內(nèi)，大大地降低了廣播對(duì)以太網(wǎng)帶寬的消耗。圖 17 支持VLAN交換機(jī)沖突域和廣播域4 三層交換機(jī)基本原理4.1 三層交換機(jī)的提出傳統(tǒng)的網(wǎng)絡(luò)界有一個(gè)規(guī)則，即局域網(wǎng)內(nèi)的業(yè)務(wù)流類型遵循“80/20規(guī)則”：80/20 流量模式指用戶數(shù)據(jù)流量的80% 在本地網(wǎng)段，只有20%的數(shù)據(jù)流量通過(guò)路由器進(jìn)入其它網(wǎng)段。采用80/20規(guī)則的網(wǎng)絡(luò)，用戶的網(wǎng)絡(luò)資源都在同一個(gè)網(wǎng)段內(nèi)。這些資源包括網(wǎng)絡(luò)服務(wù)器、打印機(jī)、共享目錄和文件等。因此在這種網(wǎng)絡(luò)內(nèi)，路由器完全可以勝任且其構(gòu)建網(wǎng)絡(luò)的成本完全可以被用戶接受。但是，隨著INTERNET/INTARNET應(yīng)用的興起和服務(wù)器集群的出現(xiàn)，使得傳統(tǒng)的80/20流量模式發(fā)生了轉(zhuǎn)變。網(wǎng)絡(luò)中大部分?jǐn)?shù)據(jù)流經(jīng)主干，邏輯子網(wǎng)內(nèi)部數(shù)據(jù)流量不大，用戶經(jīng)常需要訪問(wèn)本子網(wǎng)以外的資源，“80/20規(guī)則”對(duì)于多數(shù)企業(yè)網(wǎng)絡(luò)已經(jīng)不適用了。因此，現(xiàn)在局域網(wǎng)中的業(yè)務(wù)流有兩個(gè)突出的特點(diǎn)，一是總的業(yè)務(wù)流在增加；二是子網(wǎng)絡(luò)間的業(yè)務(wù)流在增加。為了解釋這一概念，假設(shè)網(wǎng)絡(luò)業(yè)務(wù)流的總量不變，且網(wǎng)絡(luò)業(yè)務(wù)流比例由80/20變?yōu)?0/80。這意味著需要在子網(wǎng)間進(jìn)行路由的業(yè)務(wù)流增加到過(guò)去的4倍。這是否意味著網(wǎng)絡(luò)中需要4倍的路由器呢？答案是否定的，實(shí)際上需要比4倍更多的路由器。因?yàn)楫?dāng)路由器數(shù)量增加時(shí)，路由器之間的聯(lián)系與合作占路由器全部工作的比重就會(huì)增加。所以：隨著子網(wǎng)絡(luò)間業(yè)務(wù)流的增加，路由能力也相應(yīng)地需要增加。舉例來(lái)說(shuō)，假設(shè)路由能力增加4倍需要6倍的路由器。現(xiàn)在如果業(yè)務(wù)流類型改變的同時(shí)業(yè)務(wù)流的總量翻了一番，那么網(wǎng)絡(luò)中所需的路由器總數(shù)為原來(lái)的12倍。如果按照傳統(tǒng)的路由產(chǎn)品的成本進(jìn)行計(jì)算，這對(duì)于大多數(shù)用戶來(lái)說(shuō)無(wú)疑都是一個(gè)難以接受的預(yù)算。所以：局域網(wǎng)內(nèi)子網(wǎng)絡(luò)間業(yè)務(wù)流的適度增加伴隨著總業(yè)務(wù)流的適度增加，都將使得采用傳統(tǒng)的路由器來(lái)滿足路由功能的需求在經(jīng)濟(jì)上不大可行?？偨Y(jié)一下，三層交換技術(shù)和交換機(jī)的提出主要基于以下原因： 二層交換技術(shù)極大的提升了以太網(wǎng)的性能，但仍然不能完全滿足局域網(wǎng)的需要； 為了將廣播和本地流量限制在一定的范圍內(nèi)，交換式以太網(wǎng)采取劃分邏輯子網(wǎng)（VLAN）的方式； VLAN間的互通傳統(tǒng)上需要由路由器來(lái)完成，但路由器配置復(fù)雜，造價(jià)昂貴，而且轉(zhuǎn)發(fā)速度容易成為網(wǎng)絡(luò)的瓶頸； 新20/80規(guī)則的興起，80%的流量需要跨越VLAN，路由器不堪重負(fù)；4.2 三層交換機(jī)基本特征應(yīng)該說(shuō)，三層交換機(jī)與傳統(tǒng)路由器具有相同的功能： 根據(jù)IP地址進(jìn)行選路 進(jìn)行三層的校驗(yàn)和 使用生存時(shí)間（TTL） 對(duì)路由表進(jìn)行更新和維護(hù)二者最大的區(qū)別在于三層交換采用ASIC硬件進(jìn)行包轉(zhuǎn)發(fā)，而傳統(tǒng)路由器采用CPU進(jìn)行包轉(zhuǎn)發(fā)。所以，相比于傳統(tǒng)路由器三層交換具有以下優(yōu)點(diǎn)： 基于硬件的包轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)效率高 低時(shí)延 低花費(fèi)4.3 三層交換機(jī)的功能模型為了便于大家對(duì)三層交換機(jī)有一個(gè)感性的了解，我們以下圖來(lái)說(shuō)明。圖 18 三層交換機(jī)功能模型圖中，右邊是一個(gè)三層交換機(jī)，其實(shí)現(xiàn)的功能等同于左邊一個(gè)VLAN二層交換機(jī)和路由器組成的網(wǎng)絡(luò)。也就是說(shuō)，三層交換機(jī)把支持VLAN的二層交換機(jī)和路由器的功能集成在一起了，既有二層交換功能，也有三層路由功能。因此，三層交換機(jī)也稱為路由交換機(jī)。一般來(lái)說(shuō)，三層交換機(jī)的功能分別通過(guò)二層VLAN轉(zhuǎn)發(fā)引擎和三層轉(zhuǎn)發(fā)引擎兩個(gè)部分來(lái)實(shí)現(xiàn)：二層VLAN引擎與支持VLAN的二層交換機(jī)的二層轉(zhuǎn)發(fā)引擎是相同的，是用硬件支持多個(gè)VLAN的二層轉(zhuǎn)發(fā)；三層轉(zhuǎn)發(fā)引擎使用硬件ASIC技術(shù)實(shí)現(xiàn)高速的IP轉(zhuǎn)發(fā)。三層交換機(jī)對(duì)應(yīng)到IP網(wǎng)絡(luò)模型中，每個(gè)VLAN對(duì)應(yīng)一個(gè)IP網(wǎng)段，三層交換機(jī)中的三層轉(zhuǎn)發(fā)引擎在各個(gè)網(wǎng)段（VLAN）間轉(zhuǎn)發(fā)報(bào)文，實(shí)現(xiàn)VLAN之間的互通，因此三層交換機(jī)的路由功能通常叫做VLAN間路由（Inter-VLAN Routing）對(duì)應(yīng)于二層交換引擎，三層交換機(jī)的如下圖所示：圖 19 三層交換引擎在二層上，VLAN之間是隔離的，VLAN內(nèi)主機(jī)可以互通，這一點(diǎn)跟二層交換機(jī)中的交換引擎的功能一模一樣。一般來(lái)說(shuō)，三層交換機(jī)的每個(gè)VLAN對(duì)應(yīng)一個(gè)網(wǎng)段，不同的IP網(wǎng)段之間的訪問(wèn)要跨越VLAN，要使用三層交換引擎提供的VLAN間路由功能（相當(dāng)于路由器）。 在使用二層交換機(jī)和路由器的組網(wǎng)中，每個(gè)需要與其它IP網(wǎng)段（VLAN）通信的IP網(wǎng)段（VLAN）都需要使用一個(gè)路由器接口做網(wǎng)關(guān)。三層交換機(jī)的應(yīng)用也同樣符合IP的組網(wǎng)模型，三層轉(zhuǎn)發(fā)引擎就相當(dāng)于傳統(tǒng)組網(wǎng)中的路由器的功能，當(dāng)需要與其他VLAN通信的時(shí)候也要為之在三層交換引擎上分配一個(gè)路由接口，用來(lái)做VLAN內(nèi)主機(jī)的網(wǎng)關(guān)。三層交換機(jī)上的這個(gè)路由接口是通過(guò)配置轉(zhuǎn)發(fā)芯片來(lái)實(shí)現(xiàn)的，與路由器的接口不同，這個(gè)接口不是直觀可見(jiàn)的。給VLAN指定路由接口的操作，實(shí)際上就是為VLAN指定一個(gè)IP地址、子網(wǎng)掩碼和MAC地址，MAC地址是由設(shè)備制造過(guò)程中分配的，在配置過(guò)程中由交換機(jī)自動(dòng)配置。4.4 三層交換機(jī)轉(zhuǎn)發(fā)流程4.4.1 IP網(wǎng)絡(luò)規(guī)則我們多次提到二層交換、三層路由，那么究竟什么時(shí)候選擇二層交換、什么時(shí)候選擇三層路由呢？這就涉及到IP網(wǎng)絡(luò)通信的基本規(guī)則。每個(gè)網(wǎng)絡(luò)主機(jī)、工作站或者服務(wù)器都有自己的IP地址和子網(wǎng)掩碼。當(dāng)主機(jī)與服務(wù)器進(jìn)行通信的時(shí)候，根據(jù)自身的IP地址和子網(wǎng)掩碼、以及服務(wù)器的IP地址，來(lái)確定服務(wù)器是否和自己處于相同的網(wǎng)段： 如果判定在相同網(wǎng)段內(nèi)，則直接通過(guò)地址解析協(xié)議（ARP）查找對(duì)方的MAC地址，然后把對(duì)方的MAC地址填入以太網(wǎng)幀頭的目的MAC地址域，將報(bào)文發(fā)送出去，通過(guò)二層交換實(shí)現(xiàn)通信； 如果判定在不同的網(wǎng)段內(nèi)，則主機(jī)就會(huì)自動(dòng)借助網(wǎng)關(guān)來(lái)進(jìn)行通信。主機(jī)首先通過(guò)ARP來(lái)查找設(shè)定的網(wǎng)關(guān)的MAC地址，然后把網(wǎng)關(guān)的MAC地址（而不是對(duì)方主機(jī)的MAC地址，因?yàn)橹鳈C(jī)認(rèn)為通信對(duì)端不是本地主機(jī)）填入以太網(wǎng)幀頭的目的MAC地址域，將報(bào)文發(fā)送給網(wǎng)關(guān)，通過(guò)三層路由實(shí)現(xiàn)通信。4.4.2 三層轉(zhuǎn)發(fā)流程對(duì)于網(wǎng)絡(luò)設(shè)備而言（如三層交換機(jī)），接收到一個(gè)報(bào)文后選擇二層轉(zhuǎn)發(fā)還是三層轉(zhuǎn)發(fā)，判斷的依據(jù)主要是：報(bào)文的目的MAC地址。如果該目的MAC地址和設(shè)備內(nèi)某個(gè)VLAN指定的路由接口MAC地址相同，則進(jìn)行三層轉(zhuǎn)發(fā)，否則在VLAN內(nèi)部進(jìn)行二層