以太網(wǎng)交換機基礎培訓教材.doc

精品華為三康技術有限公司Huawei-3Com Technologies Co., Ltd.文檔編號 Document ID密級 Confidentiality level內部公開 Confidential文檔狀態(tài) Document Status共64頁Total 64pages 以太網(wǎng)交換機基礎培訓教材Prepared by 擬制程永椿 00742Date日期2005-3-13Reviewed by 評審人李博 00404Date日期2005-3-14Approved by批準Date日期yyyy-mm-ddAuthorized by簽發(fā)Date日期yyyy-mm-ddHuawei-3Com Technologies Co., Ltd. 華為3Com技術有限公司All rights reserved版權所有 侵權必究Revision record 修訂記錄Date日期Revision Version修訂版本CR ID / Defect IDCR號Section Number修改章節(jié)Change Description修改描述Author作者2005-3-131.00Initial 初稿完成Jimmy Cheung程永椿2005-3-141.01ALL1. 增加縮略語2. 修改原文中的部分錯誤李博yyyy-mm-dd1.02xxxx.x.x; y.y.yrevised xxx 修改XXX1. Xxx1. Xxx1. .Name作者名Catalog目 錄1以太網(wǎng)概述82以太網(wǎng)的基礎知識82.1MAC地址82.2以太網(wǎng)幀的幀格式92.2.1以太網(wǎng)102.2.2帶有802.2邏輯鏈路控制的IEEE 802.3102.2.3IEEE 802.3子網(wǎng)訪問協(xié)議（以太網(wǎng)SNAP）102.2.4Novell以太網(wǎng)112.3CSMA/CD112.4沖突域和廣播域122.5以太網(wǎng)的典型設備-HUB122.6全雙工以太網(wǎng)133二層交換機的基本原理133.1二層交換機133.2支持VLAN的二層交換機163.2.1VLAN的概念173.2.2VLAN的劃分183.2.3VLAN的標準193.2.4支持VLAN交換機的轉發(fā)流程214三層交換機基本原理244.1三層交換機的提出244.2三層交換機基本特征254.3三層交換機的功能模型254.4三層交換機轉發(fā)流程274.4.1IP網(wǎng)絡規(guī)則274.4.2三層轉發(fā)流程274.4.3選路過程294.5路由器和交換機314.5.1接口324.5.2特點對照325交換機相關協(xié)議和技術325.1物理層特性（接口）325.1.1自協(xié)商335.1.2智能MDI/MDIX自識別335.1.3流控機制345.1.4POE供電355.1.5端口鏡像355.2二層協(xié)議和特性355.2.1STP/RSTP/MSTP協(xié)議365.2.2GARP/GVRP/GMRP375.2.3聚合特性385.2.4Isolate-user-vlan395.2.5二層多播405.2.6QinQ405.3三層特性415.3.1SuperVLAN415.4Qos/ACL425.5安全特性425.5.1802.1X425.5.2PORTAL435.6管理特性455.6.1集群管理465.6.2WEB網(wǎng)管475.7IRF475.8與路由器相同的一些特性496以太網(wǎng)交換機主要廠商496.1Cisco496.2Extreme496.3Foundry506.4港灣507參考資料50圖索引圖 1MAC地址9圖 2常用的以太網(wǎng)幀格式10圖 3由HUB組成的網(wǎng)絡13圖 4全雙工以太網(wǎng)13圖 5二層交換機結構示意圖14圖 6二層交換機的轉發(fā)流程15圖 7二層交換機工作在鏈路層15圖 8交換機的沖突域和廣播域16圖 9由二層交換機構成的扁平網(wǎng)絡16圖 10基于端口VLAN的劃分18圖 11802.1Q VLAN幀格式20圖 12Trunk鏈路實現(xiàn)虛擬工作組20圖 13支持VLAN交換機交換引擎21圖 14IVL和SVL地址學習方式22圖 15IVL地址學習方式轉發(fā)流程23圖 16SVL地址學習方式轉發(fā)流程23圖 17支持VLAN交換機沖突域和廣播域24圖 18三層交換機功能模型26圖 19三層交換引擎26圖 20三層轉發(fā)流程28圖 21路由器的最長匹配轉發(fā)30圖 22三層交換機轉發(fā)-精確匹配31圖 23三層交換機轉發(fā)-最長匹配31圖 24以太網(wǎng)的自協(xié)商33圖 25STP阻塞網(wǎng)絡環(huán)路36圖 26MSTP根據(jù)VLAN進行阻塞鏈路37圖 27GARP屬性注冊和注銷37圖 28GARP基本原理38圖 29Isolate-user-vlan39圖 30不支持多播功能交換機40圖 31QinQ實現(xiàn)vMAN41圖 32802.1X認證體系結構43圖 33PORTAL認證四大要素45圖 34集群的組成47圖 35IRF的組成48圖 36IRF的典型應用49表索引表 1.LAN/MAN參考模型17表 2.路由器和三層交換機的特點對比32表 3.PORTAL、PPPoE/A、802.1X三種認證方式的特點對比45以太網(wǎng)交換機基礎培訓教材Keywords 關鍵詞：以太網(wǎng)，交換機，LAN，VLAN，IRFAbstract 摘 要：本文介紹以太網(wǎng)交換機的相關知識和基本原理。主要包括：1）以太網(wǎng)交換機基礎知識；2）二、三層交換機的基本原理和轉發(fā)流程；3）以太網(wǎng)交換機常用特性和技術。List of abbreviations 縮略語清單： Abbreviations 縮略語Full spelling 英文全名Chinese explanation 中文解釋POEPower Over Ethernet以太網(wǎng)供電IVLIndependent Vlan Learning獨立vlan學習SVLSharing Vlan Learning共享vlan學習VLANVirtual Local Area Network虛擬局域網(wǎng)GVRPGeneric Vlan Registration Protocol通用vlan注冊協(xié)議RSTPRapid Spanning Tree Protocol快速生成樹協(xié)議MSTPMultiple Spanning Tree Protocol多實例生成樹協(xié)議LACPLink Aggregation Control Protocol鏈路聚合控制協(xié)議DHCPDynamic Host Configuration Protocol動態(tài)主機配置協(xié)議NTPNetwork Time Protocol網(wǎng)絡時間協(xié)議VRRPVirtual Router Redundancy Protocol虛擬路由冗余協(xié)議RIPRouting Information Protocol路由信息協(xié)議OSPFOpen Shortest Path First開放最短路徑優(yōu)先IS-ISIntermediate System-to-Intermediate System intra-domain routing information exchange protocolIS-IS路由協(xié)議BGPBorder Gateway Protocol邊界網(wǎng)關協(xié)議IGMPInternet Group Management ProtocolInternet組管理協(xié)議IGMP SnoopingInternet Group Management Protocol SnoopingIGMP偵聽GMRPGeneric Multicast Registration Protocol通用組播注冊協(xié)議PIM-DMProtocol Independent Multicast-Dense Mode密集模式協(xié)議無關組播PIM-SMProtocol Independent Multicast-Sparse Mode稀疏模式協(xié)議無關組播MSDPMulticast Source Discovery Protocol組播源發(fā)現(xiàn)協(xié)議WREDWeighted Random Early Detection加權隨機早期檢測CHAPChallenge Handshake Authentication Protocol質詢握手驗證協(xié)議PAPPassword Authentication Protocol密碼驗證協(xié)議EAPExtensible Authentication Protocol可擴展認證協(xié)議SSHSecure Shell安全外殼IDSIntrusion Detection System入侵檢測系統(tǒng)RMONRemote MONitor遠程監(jiān)控HGMPHuawei Group Management Protocol華為組管理協(xié)議NDPNeighbor Discovery Protocol鄰居發(fā)現(xiàn)協(xié)議IRFIntelligent Resilient Framework智能彈性架構1 以太網(wǎng)概述以太網(wǎng)是在70年代初期由Xerox公司Palo Alto研究中心推出的。1979年Xerox、Intel和DEC公司正式發(fā)布了DIX版本的以太網(wǎng)規(guī)范，1983年IEEE 802.3標準正式發(fā)布。初期的以太網(wǎng)是基于同軸電纜的，到八十年代末期基于雙絞線的以太網(wǎng)完成了標準化工作，即我們常說的10BASE-T。隨著市場的推動，以太網(wǎng)的發(fā)展越來越迅速，應用也越來越廣泛。下面簡單列一下以太網(wǎng)的發(fā)展歷程： 70年代初，以太網(wǎng)產(chǎn)生； 1929年，DEC、Intel、Xerox成立聯(lián)盟，推出DIX以太網(wǎng)規(guī)范； 1980年，IEEE成立了802.3工作組； 1983年，第一個IEEE802.3標準通過并正式發(fā)布 通過80年代的應用，10Mb/s以太網(wǎng)基本發(fā)展成熟 1990年，基于雙絞線介質的10BASE-T標準和IEEE 802.1D網(wǎng)橋標準發(fā)布 90年代，LAN交換機出現(xiàn)，逐步淘汰共享式網(wǎng)橋 1992年，出現(xiàn)了100Mb/s快速以太網(wǎng) 通過100BASE-T標準(IEEE802.3u) 全雙工以太網(wǎng)(IEEE97) 千兆以太網(wǎng)開始迅速發(fā)展(96) 1000Mb/s千兆以太網(wǎng)標準問世(IEEE802.3z/ab) IEEE 802.1Q和802.1P標準出現(xiàn)(98) 10GE以太網(wǎng)工作組成立(IEEE802.3ae)2 以太網(wǎng)的基礎知識以太網(wǎng)是一種能夠使計算機進行相互傳遞信息的介質，它利用二進制位形成一個個的字節(jié)，這些字節(jié)然后組合成一幀幀的數(shù)據(jù)。幀有一個起點，我們稱之為幀頭；也有終點，我們稱之為作幀尾。以太網(wǎng)由許多物理網(wǎng)段組合而成，每個網(wǎng)段包括一些導線和與導線相連的網(wǎng)絡設備。以太網(wǎng)上有很多網(wǎng)絡設備，每個設備都會接收到各種各樣的幀信息。那么，設備怎樣才能知道幀是否是直接對它進行訪問呢？其實，在每個幀報頭中，都包含有一個目地介質訪問控制地址（MAC）和一個源MAC地址，目的MAC地址就可以告訴網(wǎng)絡設備幀是否是對它進行直接訪問。如果設備發(fā)現(xiàn)幀的目的MAC地址與自己的MAC不匹配，設備將對不處理該幀。2.1 MAC地址MAC地址有48位，它可以轉換成12位的十六進制數(shù)，參見圖1。這個數(shù)分成三組，每組有四個數(shù)字，中間以點分開。MAC地址有時也稱為點分十六進制數(shù)。為了確保MAC地址的唯一性，IEEE對這些地址進行管理。每個地址由兩部分組成，分別是供應商代碼和序列號。供應商代碼代表NIC（網(wǎng)絡接口卡）制造商的名稱，它占用MAC的前六位12進制數(shù)字，即24位二進制數(shù)字。序列號由供應商管理，它占用剩余的6位地址，或最后的24位二進制數(shù)字。圖 1 MAC地址從實際使用的角度看，以太網(wǎng)的MAC地址可以分為三類，分別是單播地址、多播地址、廣播地址： 單播地址：第一字節(jié)最低位為0，00e0.fc00.0006。用于網(wǎng)段中兩個特定設備之間的通信，可以作為以太網(wǎng)幀的源和目的MAC地址； 多播地址：第一字節(jié)最低位為1，01e0.fc00.0006。用于網(wǎng)段中一個設備和其他多個設備通信，只能作為以太網(wǎng)幀的目的MAC； 廣播地址：48位全1，ffff.ffff.ffff。用于網(wǎng)段中一個設備和其他所有設備通信，只能作為以太網(wǎng)幀的目的MAC。2.2 以太網(wǎng)幀的幀格式對MAC地址有一個基本認識后，我們有必要進一步了解以太網(wǎng)幀的幀格式是怎么樣的？有哪幾種常用的幀格式？下圖就是目前常用幾種以太網(wǎng)幀格式。圖 2 常用的以太網(wǎng)幀格式2.2.1 以太網(wǎng)幀頭的作用是標識封裝在幀中的第3層信息包的類型。以太網(wǎng)使用類型字段，其長度為2個字節(jié)。這種幀格式是目前最常用的以太網(wǎng)幀格式。2.2.2 帶有802.2邏輯鏈路控制的IEEE 802.3IEEE基于原始的以太網(wǎng)幀來設計自己的以太網(wǎng)幀類型。IEEE 802.3的以太網(wǎng)幀報頭和以太網(wǎng)的幀報頭非常相似，不過其類型字段的長度有所變化，它增加了一個稱作邏輯鏈路控制（LLC）的字段。LLC用來識別信息包中使用的第3層協(xié)議。LLC報頭或IEEE報頭都包含DSAP（destination service access point，目的服務訪問點）、SSAP（source service access point，源服務訪問點）和控制字段。DSAP和SSAP合并后就可標識第3層協(xié)議的類型。2.2.3 IEEE 802.3子網(wǎng)訪問協(xié)議（以太網(wǎng)SNAP）80年代中期，以太網(wǎng)非常流行，IEEE擔心它將使用完所有的DSAP和SSAP編碼，所以就定義了一種新的幀格式。這種幀格式稱為以太網(wǎng)子網(wǎng)訪問協(xié)議，有時候也稱為以太網(wǎng)SNAP。這種格式的幀報頭以“AA”取代DSAP和SSAP。在DSAP和SSAP字段中出現(xiàn)“AA”時，幀是一個以太網(wǎng)SNAP幀。這時，第3層協(xié)議將在OUI（Organizational unique identifier，組織唯一標識）字段后的類型字段中表示。QUI是一個6位的十六進制數(shù)，它可以唯一地標識一個組織。IEEE對QUI進行賦值。2.2.4 Novell以太網(wǎng)Novell以太網(wǎng)幀類型只適用于IPX通信。Novell以前沒有考慮IPX將附屬于其他第3層協(xié)議。所以，也就沒有必要用字段來識別第3層協(xié)議。如果你運行的是Novell網(wǎng)絡，就可以使用IPX。Novell以太網(wǎng)幀格式以一個長度字段來取代類型字段，與前面的IEEE的做法一樣。不過長字段后沒有LLC字段。2.3 CSMA/CD以太網(wǎng)使用CSMA/CD（Carrier Sense Multiple Access with Collision Detection，帶有沖突監(jiān)測的載波偵聽多址訪問）。我們可以將CSMA /CD比做一種文雅的交談。在這種交談方式中，如果有人想闡述觀點，他應該先聽聽是否有其他人在說話（即載波偵聽）。如果這時有人在說話，他應該耐心地等待，直到對方結束說話，然后他才可以開始發(fā)表意見。另外，有可能兩個人在同一時間都想開始說話，那會出現(xiàn)什么樣的情況呢？顯然，如果兩個人同時說話，這時很難辨別出每個人都在說什么。但是，在文雅的交談方式中，當兩個人同時開始說話時，雙方都會發(fā)現(xiàn)他們在同一時間開始講話（即沖突檢測），這時說話立即終止。隨機地過了一段時間后（回退），說話才開始。說話時，由第一個開始說話的人來對交談進行控制，而第二個開始說話的人將不得不等待，直到第一個人說完，然后他才能開始說話。除計算機以外，以太網(wǎng)的工作方式與上面的方式相同。首先，以太網(wǎng)網(wǎng)段上需要進行數(shù)據(jù)傳送的節(jié)點對導線進行監(jiān)聽，這個過程稱為CSMA/CD的載波偵聽。如果，這時有另外的節(jié)點正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點將不得不等待，直到傳送節(jié)點的傳送任務結束。如果某時恰好有兩個工作站同時準備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號。這時，節(jié)點上所有的工作站都將檢測到?jīng)_突信號，因為，這時導線上的電壓超出了標準電壓。沖突產(chǎn)生后，這兩個節(jié)點都將立即發(fā)出擁塞信號，以確保每個工作站都檢測到這時以太網(wǎng)上已產(chǎn)生沖突，導線上的帶寬為0 Mb/s。然后，網(wǎng)絡進行恢復，在恢復的過程中，導線上將不傳送數(shù)據(jù)。在這一過程中，不屬于產(chǎn)生沖突的網(wǎng)段上的節(jié)點也要等到?jīng)_突結束后才能傳送數(shù)據(jù)。當兩個節(jié)點將擁塞信號傳送完，并過了一段隨機時間后，這兩個節(jié)點便開始將信號恢復到零位。第一個達到零位的工作站將首先對導線進行監(jiān)聽，當它監(jiān)聽到?jīng)]有任何信息在傳輸時，便開始傳輸數(shù)據(jù)。當?shù)诙€工作站恢復到零位后，也對導線進行監(jiān)聽，當監(jiān)聽到第一個工作站已經(jīng)開始傳輸數(shù)據(jù)后，就只好等待了。注意實際上，隨機的時間是通過一種算法產(chǎn)生的，這種算法在IEEE 802.3標準CSMA/CD文檔第55頁可以找到。在CSMA/CD方式下，在一個時間段，只有一個節(jié)點能夠在導線上傳送數(shù)據(jù)。如果其他節(jié)點想傳送數(shù)據(jù)，必須等到正在傳輸?shù)墓?jié)點的數(shù)據(jù)傳送結束后才能開始傳輸數(shù)據(jù)。以太網(wǎng)之所以稱作共享介質就是因為節(jié)點共享同一根導線這一事實。2.4 沖突域和廣播域我們知道，當以太網(wǎng)發(fā)生沖突的時候，網(wǎng)絡要進行恢復（即處于回退階段），此時網(wǎng)絡上將不能傳送任何數(shù)據(jù)。因此，沖突的產(chǎn)生降低了以太網(wǎng)導線的帶寬，而且這種情況是不可避免的。所以，當導線上的節(jié)點越來越多后，沖突的數(shù)量將會增加。在以太網(wǎng)網(wǎng)段上放置的最大的節(jié)點數(shù)將取決于傳輸在導線上的信息類型。顯而易見的解決方法是限制以太網(wǎng)導線上的節(jié)點。這個過程通常稱為物理分段。物理網(wǎng)段實際上是連接在同一導線上的所有工作站的集合，也就是說，和另一個節(jié)點有可能產(chǎn)生沖突的所有工作站被看作是同一個物理網(wǎng)段。經(jīng)常描述物理網(wǎng)段的另一個詞是沖突域，這兩種說法指的是同一個意思。由于各種各樣的原因，網(wǎng)絡操作系統(tǒng)（NOS）使用了廣播。TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP協(xié)議進行宣告。因此，廣播存在于所有的網(wǎng)絡上，如果不對它們進行適當?shù)木S護和控制，它們便會充斥于整個網(wǎng)絡，產(chǎn)生大量的網(wǎng)絡通信。前面已經(jīng)介紹過，廣播的目標地址為ffff.ffff.ffff，這個地址將使所有工作站處理該幀。因此，廣播不僅消耗了帶寬，限制了用戶獲取實際數(shù)據(jù)的帶寬，而且也降低了用戶工作站的處理效率。在這種情況下，所有能夠接收其他廣播的節(jié)點被劃分為同一個邏輯網(wǎng)段，也稱為廣播域。一般來說，邏輯網(wǎng)段定義了第三層網(wǎng)絡，如IP子網(wǎng)等。2.5 以太網(wǎng)的典型設備-HUB在局域網(wǎng)（LAN-Local Area Network）中，每個工作站都通過某種傳輸介質連接到網(wǎng)絡上。一般情況下，服務器不會有很多網(wǎng)絡接口卡（NIC）。因此，不可能將所有的工作站都連接到服務器上。因此，局域網(wǎng)中會使用HUB，這是網(wǎng)絡中很常用的設備。HUB是一種典型的采用以太網(wǎng)CSMA/CD機制的設備，其主要作用是： 被用作網(wǎng)絡設備的集中點 放大信號 無路徑檢測或交換從HUB的作用可以看出，HUB對所連接的LAN只做信號的中繼，工作在網(wǎng)絡的物理層，連接在HUB上的所有物理設備相當于連接在同一根導線上，都處于同一個沖突域和廣播域，參見圖3。因此，在網(wǎng)絡設備很多的情況下，設備之間的沖突將會很嚴重，并且導致廣播泛濫，嚴重影響網(wǎng)絡地性能。圖 3 由HUB組成的網(wǎng)絡2.6 全雙工以太網(wǎng)當兩個以太網(wǎng)節(jié)點通過10baseT的電纜直接連接時，導線類似于圖4。在這種情況下，數(shù)據(jù)可以通過兩種獨立的路徑傳輸和接收。由于只存在兩個節(jié)點，也就沒有總線，所以就可以在同一時間對信息進行雙向傳輸，而不會發(fā)生沖突。在這種情況下，以太網(wǎng)稱為全雙工以太網(wǎng)。為了實現(xiàn)全雙工以太網(wǎng)，兩個節(jié)點必須通過10baseT直接連接，而且NIC必須支持全雙工。圖 4 全雙工以太網(wǎng)3 二層交換機的基本原理3.1 二層交換機顧名思義，所謂二層交換機，其進行轉發(fā)的依據(jù)就是以太網(wǎng)幀的二層信息，即MAC地址且是幀的目的MAC地址。交換機接收到一個以太網(wǎng)幀后，然后根據(jù)該幀的目的MAC，把報文從正確的端口轉發(fā)出去，該過程稱為二層交換，對應的設備稱為二層交換機。在這里稍微提一下，在二層交換機之前用于二層交換機的設備是透明網(wǎng)橋，它和二層交換機的最大區(qū)別就是：透明網(wǎng)橋只有兩個端口，而交換機的端口數(shù)目遠遠超過兩個。目前的交換機都采用硬件來實現(xiàn)其轉發(fā)過程，該器件一般稱為ASIC（Application Specific Integrated Circuit ），也俗稱為交換引擎。對于二層交換機來說，ASIC將維護一張二層轉發(fā)表L2FDB（Layer 2 forwarding database）。表項的主要內容是MAC地址和交換機端口的對應關系。圖5即為二層交換機結構示意圖。port1port2port3port4port5port6MACMACMACMACMACMAC二層交換引擎L2FDBSwitchASIC圖 5 二層交換機結構示意圖下面就詳細了解一下二層交換機的轉發(fā)過程，以圖6為例進行說明。交換機從端口1接收到一個以太網(wǎng)幀，其轉發(fā)流程如下： 根據(jù)幀的目的MAC查MAC轉發(fā)表(即L2FDB)，查找相應的出端口。根據(jù)現(xiàn)有L2FDB表，報文應該從端口2發(fā)送出去； 如果在L2FDB表中查找不到該目的MAC，則該報文將通過廣播的方式向交換機所有端口轉發(fā)； 同時該以太網(wǎng)幀的源MAC將被學習到接收到報文的端口上，即端口1； L2FDB表中MAC地址通過老化機制來更新； 在轉發(fā)的過程中，不會對幀的內容進行修改。圖 6 二層交換機的轉發(fā)流程現(xiàn)在我們來分析一下使用交換機構成的網(wǎng)絡，其沖突域和廣播域是怎樣的？性能如何？由于以太網(wǎng)發(fā)生沖突是在網(wǎng)絡的第一層，而交換機工作在網(wǎng)絡的第二層即鏈路層，參見圖7。圖 7 二層交換機工作在鏈路層因此，二層交換機將網(wǎng)絡的沖突域限制在了交換機的端口內（參見圖8），也就是給網(wǎng)絡劃分成了若干個物理網(wǎng)段，每個端口一個物理網(wǎng)段，大大地減少了沖突對網(wǎng)絡帶來的影響，改善了網(wǎng)絡的性能。圖 8 交換機的沖突域和廣播域然后，我們也必須要看到，交換機雖然可以有效地的限制沖突的發(fā)生，但對于廣播無能為力。對于大量的交換機構成的扁平網(wǎng)絡（參見圖9）而言，廣播對網(wǎng)絡性能的影響是顯而易見的。廣播消耗了大量的網(wǎng)絡帶寬；網(wǎng)絡的安全性差，任何兩臺主機之間都可以相互訪問。圖 9 由二層交換機構成的扁平網(wǎng)絡3.2 支持VLAN的二層交換機路由器基于第3層報頭、目標IP尋址作出轉發(fā)決定，不能對廣播進行轉發(fā)。所以通過路由器可以限制廣播的轉發(fā)，形成更多的廣播域或邏輯網(wǎng)段。當然，路由器可以對網(wǎng)絡進行物理分段，方式與交換機和網(wǎng)橋相同。雖然，路由器能達到限制以太網(wǎng)廣播域的作用，但其有一定的限制：1）路由器成本較高；2)路由器端口數(shù)目較少，一般不能滿足二層網(wǎng)絡的應用。為此，在二層交換機中引入了VLAN的概念。3.2.1 VLAN的概念我們知道，IEEE802.3給出了LAN/MAN參考模型（表1所示），LAN（Local Area Network）協(xié)議包括了OSI七層模型的低三層：物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層。其中，數(shù)據(jù)鏈路層又分為邏輯鏈路控制層(LLC)和媒體接入控制層(MAC)。表 1. LAN/MAN參考模型OSI七層模型IEEE802LAN/MAN參考模型網(wǎng)絡層網(wǎng)間互聯(lián)數(shù)據(jù)鏈路層邏輯鏈路控制層(LLC)媒體接入控制層(MAC)物理層物理層那么什么是VLAN呢？VLAN-Virtual Local Area Network，稱為虛擬局域網(wǎng)，是將一組位于不同物理網(wǎng)段上的工作站和服務器從邏輯上劃分成不同的邏輯網(wǎng)段，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內終端系統(tǒng)的互聯(lián)和傳輸。那么，使用VLAN能帶來什么優(yōu)點？(1) 限制了網(wǎng)絡中的廣播一般交換機不能過濾局域網(wǎng)廣播報文，因此在大型交換局域網(wǎng)環(huán)境中造成廣播量擁塞，對網(wǎng)絡帶寬造成了的極大浪費。用戶不得已用路由器分割他們的網(wǎng)絡，此時路由器的作用是廣播的“防火墻”。VLAN的主要優(yōu)點之一是：支持VLAN的LAN交換機可以有效地用于控制廣播流量，廣播流量僅僅在VLAN內被復制，而不是整個交換機，從而提供了類似路由器的廣播“防火墻”功能。(2) 虛擬工作組使用VLAN的另一個目的就是建立虛擬工作站模型。當企業(yè)級的VLAN建成之后，某一部門或分支機構的職員可以在虛擬工作組模式下共享同一個“局域網(wǎng)”。這樣絕大多數(shù)的網(wǎng)絡都限制在VLAN廣播域內部了。當部門內的某一個成員移動的另一個網(wǎng)絡位置時，他所使用的工作站不需要做任何改動。相反，一個用戶改變不用移動他的工作站就可以調整到另一個部門去，網(wǎng)絡管理者只需要在控制臺上進行簡單的操作就可以了。VLAN的這種功能使人們以前曾設想過的動態(tài)網(wǎng)絡組織結構成了為可能，并在一定程度上大大推動了交叉工作組的形成。這就引出了虛擬工作組的定義。對一個公司而言，經(jīng)常會針對某一個具體的開發(fā)項目臨時組建一個由各部門的技術人員組成的工作組，他們可能分別來自經(jīng)營部，網(wǎng)絡部，技術服務等。有了VLAN，小組內的成員不用再集中到一個辦公室了。他們只要坐在自己的計算機旁就可以了解到其它合作者的開放情況。另外，VLAN為我們帶來了巨大的靈活性。當有實際需要時，一個虛擬工作組可以應運而生。當項目結束后，虛擬工作組又可以隨之消失。這樣，無論是對用戶還是對網(wǎng)絡管理者來說，VLAN都是十分吸引人了。（3）安全性由于配置了VLAN后，一個VLAN的數(shù)據(jù)包不會發(fā)送到另一個VLAN，這樣，其他VLAN的用戶的網(wǎng)絡上是收不到任何該VLAN的數(shù)據(jù)包，從而就確保了該VLAN的信息不會被其他VLAN的人竊聽，從而實現(xiàn)了信息的保密（4）減少移動和改變的代價即所說的動態(tài)管理網(wǎng)絡，也就是當一個用戶從一個位置移動到另一個位置是，他的網(wǎng)絡屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡給網(wǎng)絡管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡，這種前景是非常美好的。當然，并不是所有的VLAN劃分方法都能做到這一點。3.2.2 VLAN的劃分(1) 根據(jù)端口定義許多VLAN設備制造商都利用交換機的端口來劃分VLAN成員，被設定的端口都在同一個廣播域中。如圖10，交換機上的端口被劃分成了“工程部”、“市場部”、“銷售部”三個VLAN。這樣可以允許VLAN內部各端口之間的通信。圖 10 基于端口VLAN的劃分按交換機端口來劃分VLAN成員，其配置過程簡單明了。因此迄今為止，這仍然是最常用的一種方式。但是，這種方式不允許多個VLAN共享一個物理網(wǎng)段或交換機端口，而且，如果某一個用戶從一個端口所在的虛擬局域網(wǎng)移動到另一個端口所在的虛擬局域網(wǎng)，網(wǎng)絡管理者需要重新進行配置，這對于擁有眾多移動用戶的網(wǎng)絡來說是難以實現(xiàn)的。（2）根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停的配置。（3） 根據(jù)網(wǎng)絡層劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法可能是根據(jù)網(wǎng)絡地址，比如IP地址，但它不是路由，不要與網(wǎng)絡層的路由混淆。它雖然查看每個數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協(xié)議，而是根據(jù)生成樹算法進行橋交換，這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置他所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網(wǎng)絡的通信量。這種方法的缺點是效率，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡層地址是很費時的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這也跟各個廠商的實現(xiàn)方法有關。（4）IP組播作為VLANIP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高，對于局域網(wǎng)的組播，有二層組播協(xié)議GMRP。（5）基于組合策略劃分VLAN即上述各種VLAN劃分方式的組合。應該說，目前很少采用這種VLAN劃分方式。3.2.3 VLAN的標準目前已提出的VLAN標準有兩種。一種是802.10 VLAN標準，Cisco公司在1995年提出，另外就是802.1Q，是IEEE執(zhí)行委員會于1996年下半年才開始制定的一種VLAN互操作性標準。本文僅對802.1Q標準進行介紹。DestSrcDataLen/Etypep/Q LabelEtypeFCSVLAN-IDToken-Ring Encapsulation FlagVLAN-ID and T-REncaps Flag are.1Q, not .1pVLAN ID:0-4095662224.DestSrcFCSDataLen/Etype圖 11 802.1Q VLAN幀格式802.1Q的VLAN幀格式參見圖11，就是在原來以太網(wǎng)幀的源MAC地址之后加入了4個字節(jié)的VLAN TAG Header。其中，前兩個字節(jié)Etype為固定值0x8100；后兩個字節(jié)為802.1p/Q Label，即802.1P優(yōu)先級和VLAN ID的定義。802.1P優(yōu)先級為高3位，即優(yōu)先級0-7；VLAN ID為后12位，即ID的范圍為0-4095。通過設定連接交換機之間的鏈路為支持傳送VLAN Tag Header的Trunk鏈路，我們就可以很容易實現(xiàn)前面提到的虛擬工作組功能，如圖12。交換機A、B上的端口分別屬于工程部、市場部、銷售部，通過Trunk鏈路可以使得分別接在交換機A、B上的工程部用戶之間進行通信；市場部、銷售部的用戶也是如此。圖 12 Trunk鏈路實現(xiàn)虛擬工作組一般來說，目前工作站和用戶終端都是不支持識別VLAN的。因此，在由VLAN構建的二層交換網(wǎng)絡中，存在兩種類型的鏈路： Access鏈路用于接入用戶終端和工作站 連接Access鏈路的交換機端口稱為Access端口 幀在Access鏈路上轉發(fā)不帶VLAN Tag 交換機Access端口接收到以太網(wǎng)幀后，按照端口所在VLAN加上VLAN Tag，然后進行轉發(fā) 幀從Access端口發(fā)送出去，幀中的VLAN Tag會被去掉 Trunk鏈路用于交換機之間級聯(lián)，允許不同設備間相同VLAN內用戶通信。 連接Trunk鏈路的交換機端口稱為Trunk端口 幀在Trunk鏈路上轉發(fā)帶VLAN Tag，因此允許多個VLAN的幀在Trunk鏈路上轉發(fā) 交換機Trunk端口接收到以太網(wǎng)幀后，需要判斷該Trunk端口是否允許幀中VLAN ID對應的VLAN通過。若允許，則進行轉發(fā)；否則要直接丟棄該幀 幀從Trunk端口發(fā)送出去，VLAN Tag一般不會被去掉3.2.4 支持VLAN交換機的轉發(fā)流程支持VLAN交換機轉發(fā)流程與普通交換機轉發(fā)流程最大的區(qū)別在于：報文在支持VLAN交換機內轉發(fā)時都是帶著VLAN Tag進行的。也就是說，轉發(fā)過程中要根據(jù)MAC地址查找出端口外，還需要判斷VLAN ID的信息。因此，支持VLAN交換機交換引擎與一般交換機有所不同，如下圖所示。圖 13 支持VLAN交換機交換引擎VLAN交換機的轉發(fā)流程和ASIC 選擇的MAC地址學習方式有緊密的聯(lián)系。目前，支持VLAN的交換機有兩種地址學習方式，分別為IVL（Independent VLAN Learning）和SVL（Shared VLAN Learning）。兩種方式的區(qū)別如下，參見圖14：MAC1 VLAN1 PORT1MAC2 VLAN1 PORT2MAC2 VLAN2 PORT3MAC3 VLAN3 PORT3MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVL圖 14 IVL和SVL地址學習方式 在IVL方式下： 每個VLAN都有自己的對應的MAC地址表（抽象的概念并不是物理的），相互之間沒有影響。一個MAC地址可以被學習到不同的VLAN中，因此對一個用戶來說如果屬于多個VLAN，那么每個VLAN內的信息都需要重新學習。 而SVL方式下，一個地址表項對所有的VLAN都通用，表中的MAC用戶不能有重復。下面分別介紹兩種地址學習方式下的轉發(fā)流程。 IVL地址學習方式（參見圖15）1）根據(jù)幀內Tag Header的VLAN ID查找L2FDB表，確定查找的范圍；2）根據(jù)目的MAC查找出端口，圖中應該從端口2轉發(fā)出去；如果在L2FDB表中查找不到該目的MAC，則該報文將通過廣播的方式在該VLAN內所有端口轉發(fā)；同時該以太網(wǎng)幀的源MAC將被學習到接收到報文的端口上，即端口1（VLAN 2）；L2FDB表中的MAC地址通過老化機制更新；3） 在轉發(fā)的過程中，不會對幀的內容進行修改。圖 15 IVL地址學習方式轉發(fā)流程 SVL地址學習方式（參見圖16）1）根據(jù)幀的目的MAC查MAC轉發(fā)表(即L2FDB)，查找相應的出端口。根據(jù)現(xiàn)有L2FDB表，報文應該從端口2發(fā)送出去；2）判斷出端口的VLAN ID和報文Tag Header內的VLAN ID是否匹配，匹配則轉發(fā)，不匹配則丟棄；3）如果在L2FDB表中查找不到該目的MAC，則判斷出端口的VLAN ID和報文Tag Header內的VLAN ID是否匹配，不匹配直接丟棄；匹配則在該VLAN內廣播；4）L2FDB表中MAC地址通過老化機制來更新；5）在轉發(fā)的過程中，不會對幀的內容進行修改圖 16 SVL地址學習方式轉發(fā)流程前文已經(jīng)提到VLAN的優(yōu)點之一就是限制了廣播，下圖就能很好地說明這個問題。從圖中，可以很清楚地看到，廣播報文被限制了每個VLAN內，大大地降低了廣播對以太網(wǎng)帶寬的消耗。圖 17 支持VLAN交換機沖突域和廣播域4 三層交換機基本原理4.1 三層交換機的提出傳統(tǒng)的網(wǎng)絡界有一個規(guī)則，即局域網(wǎng)內的業(yè)務流類型遵循“80/20規(guī)則”：80/20 流量模式指用戶數(shù)據(jù)流量的80% 在本地網(wǎng)段，只有20%的數(shù)據(jù)流量通過路由器進入其它網(wǎng)段。采用80/20規(guī)則的網(wǎng)絡，用戶的網(wǎng)絡資源都在同一個網(wǎng)段內。這些資源包括網(wǎng)絡服務器、打印機、共享目錄和文件等。因此在這種網(wǎng)絡內，路由器完全可以勝任且其構建網(wǎng)絡的成本完全可以被用戶接受。但是，隨著INTERNET/INTARNET應用的興起和服務器集群的出現(xiàn)，使得傳統(tǒng)的80/20流量模式發(fā)生了轉變。網(wǎng)絡中大部分數(shù)據(jù)流經(jīng)主干，邏輯子網(wǎng)內部數(shù)據(jù)流量不大，用戶經(jīng)常需要訪問本子網(wǎng)以外的資源，“80/20規(guī)則”對于多數(shù)企業(yè)網(wǎng)絡已經(jīng)不適用了。因此，現(xiàn)在局域網(wǎng)中的業(yè)務流有兩個突出的特點，一是總的業(yè)務流在增加；二是子網(wǎng)絡間的業(yè)務流在增加。為了解釋這一概念，假設網(wǎng)絡業(yè)務流的總量不變，且網(wǎng)絡業(yè)務流比例由80/20變?yōu)?0/80。這意味著需要在子網(wǎng)間進行路由的業(yè)務流增加到過去的4倍。這是否意味著網(wǎng)絡中需要4倍的路由器呢？答案是否定的，實際上需要比4倍更多的路由器。因為當路由器數(shù)量增加時，路由器之間的聯(lián)系與合作占路由器全部工作的比重就會增加。所以：隨著子網(wǎng)絡間業(yè)務流的增加，路由能力也相應地需要增加。舉例來說，假設路由能力增加4倍需要6倍的路由器。現(xiàn)在如果業(yè)務流類型改變的同時業(yè)務流的總量翻了一番，那么網(wǎng)絡中所需的路由器總數(shù)為原來的12倍。如果按照傳統(tǒng)的路由產(chǎn)品的成本進行計算，這對于大多數(shù)用戶來說無疑都是一個難以接受的預算。所以：局域網(wǎng)內子網(wǎng)絡間業(yè)務流的適度增加伴隨著總業(yè)務流的適度增加，都將使得采用傳統(tǒng)的路由器來滿足路由功能的需求在經(jīng)濟上不大可行。總結一下，三層交換技術和交換機的提出主要基于以下原因： 二層交換技術極大的提升了以太網(wǎng)的性能，但仍然不能完全滿足局域網(wǎng)的需要； 為了將廣播和本地流量限制在一定的范圍內，交換式以太網(wǎng)采取劃分邏輯子網(wǎng)（VLAN）的方式； VLAN間的互通傳統(tǒng)上需要由路由器來完成，但路由器配置復雜，造價昂貴，而且轉發(fā)速度容易成為網(wǎng)絡的瓶頸； 新20/80規(guī)則的興起，80%的流量需要跨越VLAN，路由器不堪重負；4.2 三層交換機基本特征應該說，三層交換機與傳統(tǒng)路由器具有相同的功能： 根據(jù)IP地址進行選路 進行三層的校驗和 使用生存時間（TTL） 對路由表進行更新和維護二者最大的區(qū)別在于三層交換采用ASIC硬件進行包轉發(fā)，而傳統(tǒng)路由器采用CPU進行包轉發(fā)。所以，相比于傳統(tǒng)路由器三層交換具有以下優(yōu)點： 基于硬件的包轉發(fā)，轉發(fā)效率高 低時延 低花費4.3 三層交換機的功能模型為了便于大家對三層交換機有一個感性的了解，我們以下圖來說明。圖 18 三層交換機功能模型圖中，右邊是一個三層交換機，其實現(xiàn)的功能等同于左邊一個VLAN二層交換機和路由器組成的網(wǎng)絡。也就是說，三層交換機把支持VLAN的二層交換機和路由器的功能集成在一起了，既有二層交換功能，也有三層路由功能。因此，三層交換機也稱為路由交換機。一般來說，三層交換機的功能分別通過二層VLAN轉發(fā)引擎和三層轉發(fā)引擎兩個部分來實現(xiàn)：二層VLAN引擎與支持VLAN的二層交換機的二層轉發(fā)引擎是相同的，是用硬件支持多個VLAN的二層轉發(fā)；三層轉發(fā)引擎使用硬件ASIC技術實現(xiàn)高速的IP轉發(fā)。三層交換機對應到IP網(wǎng)絡模型中，每個VLAN對應一個IP網(wǎng)段，三層交換機中的三層轉發(fā)引擎在各個網(wǎng)段（VLAN）間轉發(fā)報文，實現(xiàn)VLAN之間的互通，因此三層交換機的路由功能通常叫做VLAN間路由（Inter-VLAN Routing）對應于二層交換引擎，三層交換機的如下圖所示：圖 19 三層交換引擎在二層上，VLAN之間是隔離的，VLAN內主機可以互通，這一點跟二層交換機中的交換引擎的功能一模一樣。一般來說，三層交換機的每個VLAN對應一個網(wǎng)段，不同的IP網(wǎng)段之間的訪問要跨越VLAN，要使用三層交換引擎提供的VLAN間路由功能（相當于路由器）。 在使用二層交換機和路由器的組網(wǎng)中，每個需要與其它IP網(wǎng)段（VLAN）通信的IP網(wǎng)段（VLAN）都需要使用一個路由器接口做網(wǎng)關。三層交換機的應用也同樣符合IP的組網(wǎng)模型，三層轉發(fā)引擎就相當于傳統(tǒng)組網(wǎng)中的路由器的功能，當需要與其他VLAN通信的時候也要為之在三層交換引擎上分配一個路由接口，用來做VLAN內主機的網(wǎng)關。三層交換機上的這個路由接口是通過配置轉發(fā)芯片來實現(xiàn)的，與路由器的接口不同，這個接口不是直觀可見的。給VLAN指定路由接口的操作，實際上就是為VLAN指定一個IP地址、子網(wǎng)掩碼和MAC地址，MAC地址是由設備制造過程中分配的，在配置過程中由交換機自動配置。4.4 三層交換機轉發(fā)流程4.4.1 IP網(wǎng)絡規(guī)則我們多次提到二層交換、三層路由，那么究竟什么時候選擇二層交換、什么時候選擇三層路由呢？這就涉及到IP網(wǎng)絡通信的基本規(guī)則。每個網(wǎng)絡主機、工作站或者服務器都有自己的IP地址和子網(wǎng)掩碼。當主機與服務器進行通信的時候，根據(jù)自身的IP地址和子網(wǎng)掩碼、以及服務器的IP地址，來確定服務器是否和自己處于相同的網(wǎng)段： 如果判定在相同網(wǎng)段內，則直接通過地址解析協(xié)議（ARP）查找對方的MAC地址，然后把對方的MAC地址填入以太網(wǎng)幀頭的目的MAC地址域，將報文發(fā)送出去，通過二層交換實現(xiàn)通信； 如果判定在不同的網(wǎng)段內，則主機就會自動借助網(wǎng)關來進行通信。主機首先通過ARP來查找設定的網(wǎng)關的MAC地址，然后把網(wǎng)關的MAC地址（而不是對方主機的MAC地址，因為主機認為通信對端不是本地主機）填入以太網(wǎng)幀頭的目的MAC地址域，將報文發(fā)送給網(wǎng)關，通過三層路由實現(xiàn)通信。4.4.2 三層轉發(fā)流程對于網(wǎng)絡設備而言（如三層交換機），接收到一個報文后選擇二層轉發(fā)還是三層轉發(fā)，判斷的依據(jù)主要是：報文的目的MAC地址。如果該目的MAC地址和設備內某個VLAN指定的路由接口MAC地址相同，則進行三層轉發(fā)，否則在VLAN內部進行二層