二層和三層轉(zhuǎn)發(fā)

1、二層和三層轉(zhuǎn)發(fā)二層轉(zhuǎn)發(fā)的機制是什么？學習線程和報文轉(zhuǎn)發(fā)線程。二層只跟MAC地址有關(guān)與IP無關(guān)所以在二層做IPMAC綁定是無效的。三層以太網(wǎng)交換機的轉(zhuǎn)發(fā)機制主要分為兩個部分：二層轉(zhuǎn)發(fā)和三層交換。先講二層轉(zhuǎn)發(fā)流程。1、MAC地址介紹MAC地址是48bit二進制的地址，如：00-e0-fc-00-00-06?？梢苑譃閱尾サ刂?、多播地址和廣播地址。單播地址：第一字節(jié)最低位為0,如：00-e0-fc-00-00-06多播地址：第一字節(jié)最低位為1,如：01-e0-fc-00-00-06廣播地址：48位全1,如：ff-ff-ff-ff-ff-ff注意：1)普通設(shè)備網(wǎng)卡或者路由器設(shè)備路由接口的MAC地址一定是

2、單播的MAC地址才能保證其與其它設(shè)備的互通。2)MAC地址是一個以太網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)上運行的基礎(chǔ)，也是鏈路層功能實現(xiàn)的立足2、二層轉(zhuǎn)發(fā)介紹交換機二層的轉(zhuǎn)發(fā)特性，符合802.1D網(wǎng)橋協(xié)議標準。交換機的二層轉(zhuǎn)發(fā)涉及到兩個關(guān)鍵的線程：地址學習線程和報文轉(zhuǎn)發(fā)線程。學習線程如下：1）交換機接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源MAC地址來建立MAC地址表；2）端口移動機制：交換機如果發(fā)現(xiàn)一個包文的入端口和報文中源MAC地址的所在端口不同，就產(chǎn)生端口移動，將MAC地址重新學習到新的端口；3）地址老化機制：如果交換機在很長一段時間之內(nèi)沒有收到某臺主機發(fā)出的報文，在該主機對應(yīng)的MAC地址就會被刪除，等下次

3、報文來的時候會重新學習。注意：老化也是根據(jù)源MAC地址進行老化。報文轉(zhuǎn)發(fā)線程：1）交換機在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向所有的端口發(fā)送；2）如果交換機收到的報文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報文；3）交換機向入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報文。3、VLAN二層轉(zhuǎn)發(fā)介紹報文轉(zhuǎn)發(fā)線程：引入了VLAN以后對二層交換機的報文轉(zhuǎn)發(fā)線程產(chǎn)生了如下的影響：1）交換機在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到（同時還要確保報文的入VLAN和出VLAN是一致的），就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，

4、就向（VLAN內(nèi)）所有的端口發(fā)送；2）如果交換機收到的報文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報文；3）交換機向（VLAN內(nèi)）入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報文。以太網(wǎng)交換機上通過引入VLAN,帶來了如下的好處：1）限制了局部的網(wǎng)絡(luò)流量，在一定程度上可以提高整個網(wǎng)絡(luò)的處理能力。2）虛擬的工作組，通過靈活的VLAN設(shè)置，把不同的用戶劃分到工作組內(nèi)；3）安全性，一個VLAN內(nèi)的用戶和其它VLAN內(nèi)的用戶不能互訪，提高了安全性。另外，還有常見的兩個概念VLAN的終結(jié)和透傳，從字面意思上就可以很好的了解這兩個概念。所謂VLAN的透傳就是某個VLAN不僅在一臺交換機上有效，它還要通過

5、某種方法延伸到別的以太網(wǎng)交換機上，在別的設(shè)備上照樣有效；終結(jié)的意思及相對，某個VLAN的有效域不能再延伸到別的設(shè)備，或者不能通過某條鏈路延伸到別的設(shè)備。VLAN透傳可以使用802.1Q技術(shù)，VLAN終結(jié)可以使用PVLAN技術(shù)。IEEE802.1Q協(xié)議是VLAN的技術(shù)標準，主要是修改了標準的幀頭，添加了一個tag字段，其中包含了VLANID等VLAN信息，具體實現(xiàn)這里不談，如果有興趣可以看相關(guān)的標準和資料。注意：在Trunk端口轉(zhuǎn)發(fā)報文的時候，如果報文的VLANTag等于端口上配置的默認VLANID,則該報文的Tag應(yīng)該去掉，對端收到這個不帶Tag信息的報文后，從端口的PVID獲得報文的所屬VL

6、AN信息，因此配置的時候必須保證連接兩臺交換機之間的一條Trunk鏈路兩端的PVID設(shè)置相同。為什么要去Tag呢？這樣做是為了保證一般的用戶插到Trunk上以后，仍舊可以正常通信，因為普通用戶無法識別帶有802.1QVlan信息的報文。使用802.1Q技術(shù)可以很好的實現(xiàn)VLAN的透傳，可是有的時候需要把VLAN終結(jié)掉，也就是說這個VLAN的邊界在哪里終止，PVLAN技術(shù)可以很好的實現(xiàn)這個功能，同時達到節(jié)省VLAN的目的。cisco的PVLAN意思是privatevlan，而我們的PVLAN意思是primaryvlan。這里的VLAN有兩類：Primaryvlan和secondaryvlan（子

7、VLAN）。實現(xiàn)了接入用戶二層報文的隔離，同時上層交換機下發(fā)的報文可以被每一個用戶接收到，簡化了配置，節(jié)省了VLAN資源。具體實現(xiàn)這里不談，如果有興趣可以相關(guān)資料。卜面談?wù)勅龑咏粨Q流程。用VLAN分段，隔離了VLAN間的通信，用支持VLAN的路由器（三層設(shè)備）可以建立VLAN間通信。但使用路由器來互聯(lián)企業(yè)園區(qū)網(wǎng)中不同的VLAN顯然不合時代的潮流。因為我們可以使用三層交換來實現(xiàn)。差別1（性能）：傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報文，靠軟件處理，而三層交換機通過ASIC硬件來進行報文轉(zhuǎn)發(fā)，性能差別很大；差別2（接口類型）：三層交換機的接口基本都是以太網(wǎng)接口，沒有路由器接口類型豐富；差別3:三層交換機，

8、還可以工作在二層模式，對某些不需路由的包文直接交換，而路由器不具有二層的功能。首先讓我們看一下設(shè)備互通的過程：LLL1vlan1vlan22,2,2,2、人255.255.0.0255.255.0,0255.255.0.02.2.Z1255.255.0.0如圖所示：交換機上劃分了兩個VLAN,在VLAN1,VLAN2上配置了路由接口用來實現(xiàn)vlanl和vlan2之間的互通。A和B之間的互通（以A向B發(fā)起ping請求為例）：1) A檢查報文的目的IP地址，發(fā)現(xiàn)和自己在同一個網(wǎng)段；2) A->BARP請求報文，該報文在VLAN1內(nèi)廣播；3) B->AARP回應(yīng)報文;4) A->B

9、icmprequest;5) b->Aicmpreply;A和C之間的互通(以A向C發(fā)起ping請求為例)：1) A檢查報文的目的IP地址，發(fā)現(xiàn)和自己不在同一個網(wǎng)段；2) A->switch(intvlan1)ARP請求報文，該報文在VLAN1內(nèi)廣播；3) 網(wǎng)關(guān)->AARP回應(yīng)報文；4) A->switchicmprequest(目的MAC是intvlan1的MAC,源MAC是A的MAC,目的IP是C,源IP是A);5) switch收到報文后判斷出是三層的報文。檢查報文的目的IP地址，發(fā)現(xiàn)是在自己的直連網(wǎng)段；6) switch(intvlan2)->CARP請求

10、報文，該報文在VLAN2內(nèi)廣播；7) C->switch(intvlan2)ARP回應(yīng)報文；8) switch(intvlan2)->Cicmprequest(目的MAC是C的MAC,源MAC是intvlan2的MAC,目的IP是C,源IP是A)同步驟4)相比報文的MAC頭進行了重新的封裝，而IP層以上的字段基本上不變；9) C->Aicmpreply,這以后的處理同前面icmprequest的過程基本相同。以上的各步處理中，如果ARP表中已經(jīng)有了相應(yīng)的表項，則不會給對方發(fā)ARP請求報文。怎么樣來區(qū)分二和三層的數(shù)據(jù)流？3526產(chǎn)品是三層以太網(wǎng)交換機，在其處理流程中既包括了二層的處理功能，又包括了三層的處理功能。區(qū)別二三層轉(zhuǎn)發(fā)的基本模型：1. L1.1vlan1vlan22.2.2.2人255.255.0.0255.255.0.0255,255.0.02. 22.1255.255.0.0如圖所示：三層交換機劃分了2個VLAN,A和B之間的通信是在一個VLAN內(nèi)完成，對與交換機而言是二層數(shù)據(jù)流，A和C之間的通信需要跨越VLAN,是三層的數(shù)據(jù)流。上面提到的是宏觀的方法，具體到微觀的角度，一個報文從端口進入后，Swtich設(shè)備是怎么來區(qū)分二層包文，還是三層報文的呢？從A至ijB的報文由于在同一個VLAN內(nèi)部，報文的目的MAC地址將是主機B的MA