2008年贵州省电信VIP培训资料-交换网络

日期：2008/04/252008年贵州省电信公司技术培训

——数据网络基础目录数据网概述数据网络的产生和发展OSI协议模型和TCP/IP协议模型网络中的一些基本概念以太网标准和帧格式局域网和交换机广播风暴和转发表混乱隔离网络——vlan业务带宽控制交换机安全多样化的管理组播QoS、优先级和队列调度数据网概述01什么是网络？网络能为我们做什么？单机环境：一台没有连入网络的电脑，可以用来做文字处理、电子表格、图形处理、生成数据等。但为了将信息与他人共享，则必须将其打印下来，或保存到软盘上，以便他人使用。在这种情况下，我们是自己移动信息，而不是让电脑代劳。什么是网络？网络能为我们做什么？网络是为信息服务的：一组电脑和其它设备连接到一起后，便构成了一个“网络”，而将各种电脑与设备连接起来，从而共享资源的概念则叫做“网络化”。电脑通过一个网络连接起来后，可使信息交换变得更加方便和快捷，信息从一台电脑直接移至另一台电脑，毋需人在中间横加干预。人们可将自己的精力集中在完成自己的工作上面，而不需在公司内费神地四处移动信息。信息资源共享：在一个单位里，信息除需要到处移动和传播外，还有相当一部分需要进行集中控制与共享。可选择一台特殊的电脑保存共享信息，并利用网络让其它电脑访问这台电脑的信息，同时利用电脑对信息进行集中管理与控制。通常，我们将这种电脑叫“服务器”，在服务器电脑里，通常运行特殊的软件和操作系统。网管人员可以坐在机房内，通过网络向各工作站集中分发和安装软件，从而极大减少在单位内安装与配置程序的工作量。在大量单机电脑里，很难维持数据的有秩序备份。但是，在网络里，可以将数据集中备份到一个重要位置，一旦数据丢失，便能方便地找回信息。这种中央位置通常是与网络服务器连接的一台磁带备份设备。什么是网络？网络能为我们做什么？硬件资源共享：输入设备（扫描仪、绘图仪等）输出设备（打印机等）存储介质（光驱、软驱、硬盘、磁带机等）网络出口（MODEM等）数据网络的产生和发展02数据网络——分组交换的产生20世纪60年代美苏冷战时期，为了防止一个结点遭到破坏，而导致整个网络失效产生的。“结点”或者“节点”的英文名词是node。传统的电路交换(circuitswitching)的电信网有一个缺点：正在通信的电路中有一个交换机或有一条链路被炸毁，则整个通信电路就要中断。如要改用其他迂回电路，必须重新拨号建立连接。这将要延误一些时间。60年代初，美国国防部领导的远景研究规划局ARPA(AdvancedResearchProjectAgency)提出要研制一种生存性(survivability)很强的网络。网络的基本特点网络用于计算机之间的数据传送，而不是为了打电话。网络能够连接不同类型的计算机，不局限于单一类型的计算机。所有的网络结点都同等重要，因而大大提高网络的生存性。计算机在进行通信时，必须有冗余的路由。网络的结构应当尽可能地简单，同时还能够非常可靠地传送数据。回顾一下电路交换的特点两部电话机只需要用一对电线就能够互相连接起来。

更多的电话机互相连通5部电话机两两相连，需10对电线。N部电话机两两相连，需N(N–1)/2对电线。当电话机的数量很大时，这种连接方法需要的电线对的数量与电话机数的平方成正比。

使用交换机当电话机的数量增多时，就要使用交换机来完成全网的交换任务。…

交换机“交换”的含义在这里，“交换”(switching)的含义是：转接——把一条电话线转接到另一条电话线，使它们连通起来。从通信资源的分配角度来看，“交换”就是按照某种方式动态地分配传输线路的资源。电路交换的特点电路交换必定是面向连接的。电路交换的三个阶段：建立连接通信释放连接电路交换举例A和B通话经过四个交换机通话在A到B的连接上进行((((交换机交换机交换机交换机用户线用户线中继线中继线BDCA电路交换举例C和D通话只经过一个本地交换机通话在C到D的连接上进行((((交换机交换机交换机交换机用户线用户线中继线中继线BDCA电路交换传送计算机数据效率低计算机数据具有突发性。这导致通信线路的利用率很低。报文分组交换的原理（一）在发送端，先把较长的报文划分成较短的、固定长度的数据段。1101000110101010110101011100010011010010假定这个报文较长不便于传输数据数据数据报文分组交换的原理（二）每一个数据段前面添加上首部构成分组。首部首部首部分组

1分组

2分组

3请注意：现在左边是“前面”分组交换的原理（三）分组交换网以“分组”作为数据传输单元。依次把各分组发送到接收端（假定接收端在左边）。数据首部分组

1数据首部分组

2数据首部分组

3分组首部的重要性每一个分组的首部都含有地址等控制信息。分组交换网中的结点交换机根据收到的分组的首部中的地址信息，把分组转发到下一个结点交换机。用这样的存储转发方式，最后分组就能到达最终目的地。分组交换的原理（四）接收端收到分组后剥去首部还原成报文。数据首部分组

1数据首部分组

2数据首部分组

3收到的数据数据数据数据分组交换的原理（五）最后，在接收端把收到的数据恢复成为原来的报文。这里我们假定分组在传输过程中没有出现差错，在转发时也没有被丢弃。报文1101000110101010110101011100010011010010分组交换网的示意图H1A分组交换网BDECH5H6H4H2H3H1向H5

发送分组H2向H6

发送分组注意分组路径的变化！结点交换机主机注意分组的存储转发过程H1A分组交换网BDECH5H6H4H2H3H1

向

H5

发送分组结点交换机主机在结点交换机A

暂存查找转发表找到转发的端口在结点交换机C

暂存查找转发表找到转发的端口最后到达目的主机H5在结点交换机E

暂存查找转发表找到转发的端口注意结点交换机有多个端口ABCDEH1H5H2H4H3H6高速链路结点交换机123412341

2

3

412

3

41

2

3

4结点交换机在结点交换机中的输入和输出端口之间没有直接连线。结点交换机处理分组的过程是：把收到的分组先放入缓存（暂时存储）；查找转发表，找出到某个目的地址应从哪个端口转发；把分组送到适当的端口转发出去。

主机和结点交换机的作用不同主机是为用户进行信息处理的，并向网络发送分组，从网络接收分组。结点交换机对分组进行存储转发，最后把分组交付给目的主机。分组交换的优点高效动态分配传输带宽，对通信链路是逐段占用。灵活以分组为传送单位和查找路由。迅速不必先建立连接就能向其他主机发送分组；充分使用链路的带宽。可靠完善的网络协议；自适应的路由选择协议使网络有很好的生存性。分组交换带来的问题分组在各结点存储转发时需要排队，这就会造成一定的时延。分组必须携带的首部（里面有必不可少的控制信息）也造成了一定的开销。存储转发原理——并非完全新的概念在20世纪40年代，电报通信也采用了基于存储转发原理的报文交换(messageswitching)。报文交换的时延较长，从几分钟到几小时不等。现在报文交换已经很少有人使用了。三种交换的比较P1P2P3P4P1P2P3P4P3P4报文报文报文ABCDABCDABCD报文交换电路交换分组交换t连接建立数据传送报文P2P1连接释放ARPANET的成功使数据网络的概念发生根本变化早期的面向终端的计算机网络是以单个主机为中心的星形网各终端通过通信线路共享昂贵的中心主机的硬件和软件资源。

分组交换网则是以网络为中心，主机都处在网络的外围。用户通过分组交换网可共享连接在网络上的许多硬件和各种丰富的软件资源。现在已经成为因特网时代从主机为中心到以网络为中心主机终端以主机为中心以分组交换网为中心主机分组交换网因特网时代因特网的基础结构大体上经历了三个阶段的演进。但这三个阶段在时间划分上并非截然分开而是有部分重叠的，这是因为网络的演进是逐渐的而不是突然的。因特网发展的第一阶段第一个分组交换网

ARPANET

最初只是一个单个的分组交换网。ARPA

研究多种网络互连的技术。1983年TCP/IP协议成为标准协议。同年，ARPANET分解成两个网络：ARPANET——进行实验研究用的科研网MILNET——军用计算机网络1983~1984年，形成了因特网

Internet。1990年

ARPANET

正式宣布关闭。因特网发展的第二阶段1986年，NSF建立了国家科学基金网。NSFNET。它是一个三级计算机网络：

主干网地区网校园网1991

年，美国政府决定将因特网的主干网转交给私人公司来经营，并开始对接入因特网的单位收费。1993年因特网主干网的速率提高到45Mb/s（T3速率）。

三级结构的因特网各网络之间需要使用路由器来连接。有时在结构图中可不画出路由器。校园网校园网校园网校园网校园网校园网国家主干网地区网地区网地区网路由器三级结构的因特网主机到主机的通信可能要经过多种网络。校园网校园网校园网校园网校园网校园网国家主干网地区网地区网地区网因特网发展的第三阶段从1993年开始，由美国政府资助的NSFNET逐渐被若干个商用的ISP网络所代替。

1994年开始创建了4个网络接入点NAP(NetworkAccessPoint)，分别由4个电信公司经营。NAP就是用来交换因特网上流量的结点。在NAP中安装有性能很好的交换设施。到本世纪初，美国的NAP的数量已达到十几个。从1994年到现在，因特网逐渐演变成多级结构网络。

多级结构的因特网大公司地区ISP网络接入点NAP（对等点）公司校园网主干服务提供者校园网校园网校园网校园网本地ISP地区ISP地区ISP地区ISP本地ISP本地ISP大公司大公司网络接入点NAP（对等点）主机到主机的通信可能经过多种

ISP。今日的多级结构的因特网大致上可将因特网分为以下五个接入级网络接入点

NAP国家主干网（主干

ISP）地区

ISP本地

ISP校园网、企业网或PC机上网用户关于因特网的标准化工作因特网协会ISOC因特网研究指导小组IRSG因特网研究部IRTF因特网工程部IETF因特网工程指导小组IESG…RGWG……RG…领域领域因特网体系结构研究委员会IABWGWGWG制订因特网的正式标准要经过以下的四个阶段因特网草案(InternetDraft)——在这个阶段还不是

RFC文档。建议标准(ProposedStandard)——从这个阶段开始就成为RFC文档。草案标准(DraftStandard)因特网标准(InternetStandard)OSI协议模型和TCP/IP协议模型03ISO/OSI参考模型OSI参考模型的由来:1974年IBM公司的SNA(SystemNetworkArchitecture)1975年DEC公司的DNA(digitalNetworkArchitecture)HP公司的DSN(DistrubutedSystemNetwork)、SperryUnivac公司的DDA、Borroughts公司的DNS、Honeywell公司的DSA、日本富士通公司的FNA等。这些种类繁多的网络体系结构,由于各自所定义的层数、每层所采用的协议常常不一样,造成彼此之间不兼容,这些系统常被称为“封闭”系统。1978年,国际标准化组织ISO(InternationalOrganizationforStandardization)的技术委员会TC97建立了一个分委员会SC16专门研究“开放系统互联OSI(OpenSystemInterconnection)”，并于1983年春季,使“开放系统互联基本参考模型”成为正式的国际标准(ISO7498)——开放系统互联参考模型(OSIReferenceModel:简称OSI/RM).在OSI标准中，采用的是三级抽象：体系结构（architecture）服务定义（servicedefinition)协议规格说明（protocolspecification)OSI参考模型的层次结构OSI参考模型中各层的功能层次数据单位功能物理层比特主要功能是利用物理传输介质为数据链路层提供物理连接，以便透明地传送比特流。数据链路层帧在物理层提供比特流传输服务的基础上，在通信的实体之间建立数据链路连接，传送以帧为单位的数据，采用差错控制、流量控制方法，使有差错的物理线路变成无差错的数据链路。网络层分组（包）网络层主要任务是通过路由算法，为分组通过通信子网选择最适当的路径。网络层要实现路由选择、拥塞控制与网络互连等功能。传输层（运输层）报文传输层的主要任务是负责主机中两个进程之间的通信。它向高层屏蔽了下层数据通信的细节，因而是计算机通信体系结构中最关键的一层。会话层报文会话层的主要任务是组织两个远程系统建立通信会话，并管理数据的交换。表示层报文表示层主要用于处理在两个通信系统中交换信息的表示方式。它包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。应用层报文应用层确定进程之间通信的性质，以满足用户的需要（反映在用户的服务请求上）。应用层不仅要提供应用进程所需要的信息交换和远程操作，而且还要作为应用进程的用户代理来完成一些为进行信息交换所必需的功能。TCP/IP体系结构应用层表示层会话层运输层网络层数据链路层物理层运输层网际层应用层（各种应用层协议如FTP,TELNET,SMTP等）网络接口层(a)OSI体系结构(b)TCP/IP体系结构TCP/IP协议族是Internet的事实上的国际标准数据在各层之间的传递过程主机A主机B应用进程A应用层运输层网际层数据链路层物理层应用进程B应用层运输层网际层数据链路层物理层物理传输媒体01100010…比特流…10011100数据部分首部尾部数据部分首部数据部分首部数据部分首部应用程序数据数据传输过程主机H1向主机H2发送数据局域网广域网主机

H1主机

H2路由器

R1路由器

R2路由器

R3电话网局域网链路层应用层运输层网络层物理层链路层应用层运输层网络层物理层链路层网络层物理层链路层网络层物理层链路层网络层物理层R1R2R3H1H2从层次上来看数据的流动网络中的一些基本概念04网络作用范围的层次分类从网络的作用范围进行分类广域网WAN(WideAreaNetwork)局域网LAN(LocalAreaNetwork)城域网MAN(MetropolitanAreaNetwork)接入网AN(AccessNetwork)城域网城域网接入网接入网接入网接入网接入网接入网广域网局域网局域网校园网企业网……带宽“带宽”(bandwidth)本来是指信号具有的频带宽度，单位是赫（或千赫、兆赫、吉赫等）。现在“带宽”是数字信道所能传送的“最高数据率”的同义语，单位是“比特每秒”，或b/s(bit/s)。更常用的带宽单位是千比每秒，即kb/s（103b/s）兆比每秒，即Mb/s（106b/s）吉比每秒，即Gb/s（109b/s）太比每秒，即Tb/s（1012b/s）请注意：在计算机界，K=210=1024，M=220，G=230，T=240。信道带宽数据在信道上的速率，又常称为数据在信道上的传输速率。时延(delay或latency)发送时延（传输时延）发送数据时，数据块从结点进入到传输媒体所需要的时间。传播时延电磁波在信道中需要传播一定的距离而花费的时间。发送时延=数据块长度（比特）信道带宽（比特/秒）传播时延=信道长度（米）信号在信道上的传播速率（米/秒）时延(delay或latency)处理时延交换结点为存储转发而进行一些必要的处理所花费的时间。结点缓存队列中分组排队所经历的时延是处理时延中的重要组成部分。处理时延的长短往往取决于网络中当时的通信量。有时可用排队时延作为处理时延。数据经历的总时延就是发送时延、传播时延和处理时延之和：注意：对于高速网络链路，我们提高的仅仅是数据的发送速率而不是比特在链路上的传播速率。提高链路带宽减小了数据的发送时延。总时延=发送时延+传播时延+处理时延三种时延所产生的地方1011001…发送器队列在链路上产生传播时延结点

B结点

A在发送器产生发送时延(即传输时延)在队列中产生处理时延数据从结点A向结点B发送数据链路以太网标准和帧格式05以太网标准在以太网诞生之初，它的速率仅为10Mbps，随着时代发展，以太网速率迅速提升，现在以太网已经发展到100Mbps、1Gbps、10Gbps的速率，40Gbps的以太网标准也已经建立。以太网标准以太网诞生于1975年，美国Xerox公司，2.94Mbps，无源电缆。1980年9月DEC公司、Intel公司、Xerox公司联合推出10Mbps以太网规约的第一版DIXV1。1982年修改推出第二版DIXEthernetV2。成为世界上局域网产品的第一个规约。1983年IEEE802委员会制订局域网标准：IEEE802.3，两个标准差别很小。IEEE802网络参考模型对共享介质的局域网要解决介质访问控制问题，其重点在数据链路层将数据链路层分为两个子层,即介质访问控制MAC(MediumAccessControl)子层和逻辑链路控制LLC(LogicallinkControl)子层。MAC子层的主要功能是:帧的封装和拆封、物理介质传输差错的检测、寻址、实现介质访问控制协议。LLC子层的主要功能是:连接管理(建立和释放连接)、与高层的接口、帧的可靠性、按序传输及流量控制。与接入到传输媒体有关的内容都放在MAC子层，而LLC子层则与传输媒体无关，不管采用何种协议的局域网对LLC子层来说都是透明的MAC帧字节6624IP层物理层目的地址源地址长度/类型FCSMAC层1010101010101010101010101010101011前同步码帧开始定界符7字节1字节…8字节插入数据MAC子层IP层LLC子层802.2LLC帧当长度/类型字段表示长度时

802.3MAC帧以太网V2MAC帧这种802.3+802.2帧已经较少使用目的地址源地址类型数据FCS6624字节46~150043~1497111DSAPSSAP111控制数据字节DSAPSSAP控制IP数据报IP数据报MAC帧物理层MAC层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式目的地址字段6字节MAC帧物理层MAC层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式源地址字段6字节MAC帧物理层MAC层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式类型字段2字节类型字段用来标志上一层使用的是什么协议，以便把收到的MAC帧的数据上交给上一层的这个协议。MAC帧物理层MAC层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式数据字段46~1500

字节数据字段的正式名称是MAC

客户数据字段最小长度64字节

18字节的首部和尾部=数据字段的最小长度

MAC帧物理层MAC层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式FCS字段4

字节当传输媒体的误码率为1108

时，MAC子层可使未检测到的差错小于11014。当数据字段的长度小于46字节时，应在数据字段的后面加入整数字节的填充字段，以保证以太网的MAC帧长不小于64字节。MAC帧物理层MAC层IP层以太网V2MAC帧目的地址源地址类型数据FCS6624字节46~1500IP数据报以太网V2的MAC帧格式1010101010101010101010101010101011前同步码帧开始定界符7字节1字节…8字节插入在帧的前面插入的8字节中的第一个字段共7个字节，是前同步码，用来迅速实现MAC帧的比特同步。第二个字段是帧开始定界符，表示后面的信息就是MAC帧。为了达到比特同步，在传输媒体上实际传送的要比MAC帧还多8个字节无效的MAC帧数据字段的长度与长度字段的值不一致；帧的长度不是整数个字节；用收到的帧检验序列FCS查出有差错；数据字段的长度不在46~1500字节之间。有效的MAC帧长度为64~1518字节之间。对于检查出的无效MAC帧就简单地丢弃。以太网不负责重传丢弃的帧。局域网和交换机06局域网的概念局域网(LocalAreaNetwork,简称LAN)是计算机网络的一种。局域网是在一个较小的范围(一个办公室、一幢楼、一家工厂等)，利用通信线路将众多计算机(一般为微机)及外围设备连接起来，达到数据通信和资源共享的目的。局域网最主要的特点是：网络通常为一个单位所拥有，地理范围几米到几公里。局域网具有较高的数据率、较低的时延和较小的误码率。决定局域网特性的主要技术：设备互联的拓扑结构用于传输数据的媒体由于信道共享而采用的媒体接入控制方法局域网的拓扑结构最常见的局域网拓朴结构有星型、环型、总线型和树型。集线器(a)星型网*(b)环型网(c)总线网(d)树型网干线耦合器常用的局域网传输媒体双绞线价格便宜、安装方便，在局域网中使用最多。但抗干扰能力较差，传输距离较短。适用于建筑物内部的布线系统。同轴电缆分为粗缆和细缆，价格中等、安装较方便，有较高的数据传输率，在早期的局域网中使用较多。抗干扰能力较好，传输距离较远。光缆损耗低、抗干扰能力强，传输率高，传输距离远，是环型网或主干网的主要传输媒体。但价格贵，技术复杂。无线传输采用无线电波、红外线、微波等作为媒体，传输距离远，不受空间限制。但设备价格昂贵，技术复杂。局域网的媒体共享技术网络媒体的共享技术静态划分信道：如频分复用、时分复用、波分复用、码分复用等。用户只要得到了信道就不会和别的用户发生冲突。但这种划分信道的方法代价较高，不适合于局域网。动态媒体接入控制：又称为多点接入（multipleaccess），其特点是信道并非在用户通信时固定分配给用户。又分为两类：随机接入：其特点是所有的用户可随机地发送信息。但如果有两个或更多的用户在同一时刻发送信息，那么就会在共享媒体上产生碰撞（发生了冲突），使得这些用户的发送都失败。因此必须有解决碰撞的网络协议。受控接入：其特点是用户不能随机地发送信息而必须服从一定的控制。最常用的局域网——以太网的媒体接入控制方法是：CSMA/CD（CarrierSenseMultipleAccess/CollisionDetection载波监听多点接入/冲突检测）。CSMA/CDCSMA/CD表示CarrierSenseMultipleAccesswithCollisionDetection。“多点接入”表示许多计算机以多点接入的方式连接在一根总线上。“载波监听”是指每一个站在发送数据之前先要检测一下总线上是否有其他计算机在发送数据，如果有，则暂时不要发送数据，以免发生碰撞。总线上并没有什么“载波”。因此，“载波监听”就是用电子技术检测总线上有没有其他计算机发送的数据信号。“碰撞检测”就是计算机边发送数据边检测信道上的信号电压大小。当几个站同时在总线上发送数据时，总线上的信号电压摆动值将会增大（互相叠加）。当一个站检测到的信号电压摆动值超过一定的门限值时，就认为总线上至少有两个站同时在发送数据，表明产生了碰撞。所谓“碰撞”就是发生了冲突。因此“碰撞检测”也称为“冲突检测”。在发生碰撞时，总线上传输的信号产生了严重的失真，无法从中恢复出有用的信息来。每一个正在发送数据的站，一旦发现总线上出现了碰撞，就要立即停止发送，免得继续浪费网络资源，然后等待一段随机时间后再次发送。碰撞的结果是两个帧都变得无用。使用CSMA/CD协议的以太网不能进行全双工通信而只能进行双向交替通信（半双工通信）。每个站在发送数据之后的一小段时间内，存在着遭遇碰撞的可能性。这种发送的不确定性使整个以太网的平均通信量远小于以太网的最高数据率。总线形式的网络结构最初的以太网是将许多计算机都连接到一根总线上。当初认为这样的连接方法既简单又可靠，因为总线上没有有源器件B向

D发送数据

C

D

A

E匹配电阻（用来吸收总线上传播的信号）匹配电阻不接受不接受不接受接受B只有D接受B发送的数据集线器集线器是使用电子器件来模拟实际电缆线的工作，因此整个系统仍然像一个传统的以太网那样运行。使用集线器的以太网在逻辑上仍是一个总线网，各工作站使用的还是CSMA/CD协议，并共享逻辑上的总线。集线器网卡工作站网卡工作站网卡工作站双绞线使用集线器扩展局域网多个集线器进行级联碰撞域（冲突域）扩大所有冲突域速率必须一致一系二系三系集线器集线器集线器集线器主干集线器桥接方式扩展局域网采用网桥连接两个局域网过滤通信量可互连不同物理层、不同MAC子层和不同速率（如10Mb/s和100Mb/s以太网）的局域网站表端口管理软件网桥协议实体端口1端口2缓存①②③网段B网段A1112①③⑤2②④⑥2站地址端口网桥网桥④⑤⑥集线器和网桥工作方式不同集线器在转发帧时，不对传输媒体进行检测。网桥在转发帧之前必须执行媒体检测。若在发送过程中出现碰撞，就必须停止发送和进行退避。工作层次不同集线器工作在物理层网桥工作在数据链路层工作效率不同集线器可以有较低的转发时延交换机的带宽利用率更高多端口网桥——以太网交换机1990年问世的交换式集线器(switchinghub)，可明显地提高局域网的性能。交换式集线器常称为以太网交换机(switch)或第二层交换机（表明此交换机工作在数据链路层）。交换机能同时连通许多对的端口，使每一对相互通信的主机都能像独占通信媒体那样，进行无碰撞地传输数据。大幅度增加了设备带宽的利用率对于普通10Mb/s的共享式以太网，若共有N个用户，则每个用户占有的平均带宽只有总带宽(10Mb/s)的N分之一。使用以太网交换机时，虽然在每个端口到主机的带宽还是10Mb/s，但由于一个用户在通信时是独占而不是和其他网络用户共享传输媒体的带宽，因此对于拥有N对端口的交换机的总容量为N*10Mb/s。这正是交换机的最大优点。今天的交换机（外观）今天的交换机（功能）网管型、支持集群网管、全光口、百兆交换机、可千兆光口上联网管型、支持集群网管，支持ACL模块化、全千兆光口交换机S2200MF系列S2200G系列S2200F系列网管型、支持集群网管、支持ACL、双千兆光电口上联、端口限速网管型、支持集群网管、支持ACL全百兆电口、百兆交换机、可千兆光口上联S2100MF系列今天的交换机（介质和接口）广播风暴和转发表混乱07交换机的工作原理(1)从端口x收到无差错的帧（如有差错即丢弃），在转发表中查找目的站MAC地址。(2)如这个地址为广播地址则转到(8)；如果是组播地址，则转到(9)，如果是单播地址，查找出到此MAC地址应当走的端口d，然后进行(3)，否则转到(4)。(3)如到这个MAC地址去的端口d=x，则丢弃此帧（因为这表示不需要经过交换机进行转发）。否则从端口d转发此帧，并转到(5)。(4)向交换机除x以外的所有端口转发此帧。(5)如源站不在转发表中，则将源站MAC地址加入到转发表，登记该帧进入交换机的端口号，设置计时器。然后转到(8)。如源站在转发表中，则执行(7)。(6)更新计时器。(7)等待新的数据帧。转到(1)。(8)向交换机除x以外的所有端口转发此帧，并转到(1)。(9)交换机是否启用组播功能，如果有则转到(10)，如果没有，则向交换机除x以外的所有端口转发此帧，转到(1)。(10)查找交换机转发表，如到这个MAC地址去的端口d=x，则丢弃此帧，否则从端口d转发此帧，转到(1)。交换机的转发表在交换机的转发表中，有三个关键数据站地址：登记收到的帧的源MAC地址。端口：登记收到的帧进入该交换机的端口号。时间：登记收到的帧进入该交换机的时间。注意：转发表中的MAC地址是根据源MAC地址写入的，但在进行转发时是将此MAC地址当作目的地址。如果交换机现在能够从端口x收到从源地址A发来的帧，那么以后就可以从端口x将帧转发到目的地址A。转发表中地址会自动老化。多链路冗余冗余链路（环路）避免了单点失败冗余链路也带来了广播风暴、多帧复制和MAC地址表不稳定等问题广播风暴广播帧帧头中的目的MAC地址是“FF-FF-FF-FF-FF-FF”，代表网络上所有主机网卡的MAC地址交换机收到该目的地址的帧时，将向除源端口外所有端口转发组播帧帧头中的目的MAC地址是第一个字节的最低位为1，如“01-00-5E-00-00-02”等在交换机上未启用igmp侦听功能时，将向除源端口外所有端口转发未知地址单播帧（DLF）虽然是单播帧结构，但目的MAC地址在交换机转发表中没有记录交换机收到该帧时，将向除源端口外所有端口转发广播风暴广播数据帧大量广播帧占用网络资源多帧复制如果在冗余链路中传输的单播数据帧的目的MAC地址在交换机的地址表中，不会产生广播风暴，但有可能出现多帧复制和地址表数据振荡单播数据帧收到多个同样帧地址表振荡如果在冗余链路中传输的单播数据帧的目的MAC地址在交换机的地址表中，不会产生广播风暴，但有可能出现多帧复制和地址表数据振荡单播数据帧更新地址表，丢弃该帧STP和RSTP采用STP生成树协议，可以有效的管理冗余链路：阻断环路链路备份协议标准IEEE802.1D数据帧端口阻塞802.1DSTP（生成树协议）是一个二层管理协议。功能通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前活动路径发生故障时激活冗余备份链路恢复网络连通性实现方式基本思想：在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元bpdu（bridgeprotocoldataunit）传递特殊的消息（配置消息）：为稳定的生成树拓扑结构选择一个根桥计算本网桥到根网桥的最短路径对每个LAN，选出离根桥最近的那个网桥作为指定网桥，负责所在LAN上的数据转发网桥选择一个根端口，该端口给出的路径是此网桥到根桥的最佳路径选择除根端口之外的包含于生成树上的端口（指定端口）将冗余路径上的交换机置为blocking，消除网络中的环路BPDUDMA:目的MAC地址，配置消息的目的地址是一个固定的桥的组播地址（0x0180c2000000）SMA:源MAC地址，即发送该配置消息的桥MAC地址 L/T:帧长LLCHeader:配置消息固定的链路头Payload:BPDU数据DMALLCHeaderSMAL/TPayload值域占用字节协议ID2协议版本BPDU类型标志位根桥ID根路径开销指定桥ID指定端口IDMessageAge11184822MaxAgeHelloTimeForwardDelay222处理BPDU将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置消息更新本身的配置消息，主要工作有：选择根网桥RootID：最优配置消息的RootID计算到根桥的最短路径开销RootPathCost：如果自己是根桥，则最短路径开销为0，否则为它所收到的最优配置消息的RootPathCost与收到该配置消息的端口开销之和选择根端口RootPort：如果自己是根桥，则根端口为0，否则根端口为收到最优配置消息的那个端口选择指定端口：包括在生成树上处于转发状态的其它端口从指定端口发送新的配置消息配置消息的优先级比较原则假定有两条配置消息C1和C2，则：如果C1的RootID小于C2的RootID，则C1优于C2如果C1和C2的RootID相同，但C1的RootPathCost小于C2，则C1优于C2如果C1和C2的RootID和RootPathCost相同，但C1的TransmitID小于C2，则C1优于C2如果C1和C2的RootID、RootPathCost和TransimitId相同，但C1的PortID小于C2，则C1优于C2端口状态DisabledListeningBlockingForwardingLearning1、端口enabled2、端口disabled3、端口被选为根端口或指定端口4、端口被选为备用端口（阻塞）5、ForwardDelay延时（1）（2）（1，2）（1，2）（1，2）（1）（2）（4）（4）（5）（4）（5）（3）定时器HelloTime网桥从指定端口以HelloTime为周期定时发送配置消息MessageAge和MaxAge端口保存的配置消息有一个生存期MessageAge字段,并按时间递增.每当收到一个生存期更小的配置消息,则更新自己的配置消息.当一段时间未收到任何配置消息,生存期达到MaxAge时,网桥则认为该端口连接的链路发生故障,进行故障的处理当拓扑结构发生变化，新的配置消息要经过一定的时延才能传播到整个网络，在所有网桥收到这个变化的消息之前，若旧拓扑结构中处于转发的端口还没有发现自己应该在新的拓扑中停止转发，则可能存在临时的回环；若旧的拓扑结构中阻塞的端口还没有发现自己应该在新的拓扑结构中开始转发，则可能造成网络暂时失去连通性。端口由阻塞状态进入转发状态时，要经过一定时间的延时，这个时间起码是配置消息传播到整个网络所需最大时间的两倍ForwardDelay：配置消息传播到整个网络的最大时延设计中间状态：处于中间状态的端口只是学习站点的地址信息，但不转发数据；端口从阻塞状态经过ForwardDelay的延时后进入中间状态；再经过ForwardDelay的延时后才能进入转发状态。生成树的配置使能禁止生成树协议Fengine#configFengine(config)#stpFengine(config-stp)#stpenable使能交换机的stp端口S2100MF(config-eth-1)#stpenable显示交换机生成树协议的相关配置信息Fengine#show

stp显示交换机各端口的生成树配置信息Fengine#show

stpinterface建议：在一个STP网络中，全部设备定时器应该对应一致，建议如无特殊需要，不要修改缺省值网络直径最好不要超过7快速生成树生成树的收敛时间比较长，可以使用快速生成树协议，它是生成树协议的一个改进版本，在协议报文上与生成树协议完全兼容，实现的基本思想一致，具备生成树的所有功能，但也一定区别：端口状态转换方式不同配置消息报文格式不同拓扑改变消息的传播方式不同单端口环回在网络中，常常会碰到另外一种问题，就是从一个端口发出的数据，经过网络传输后，又回到这个端口进入，这样的情况会带来怎样的后果呢？转发表混乱假设端口B出现了这种情况，主机a（连接在交换机端口A上）与主机c（连接在端口C上）相互通信，那么在交换机的转发表中是：如果，此时c发送了一个广播，将经过B口，交换机记录c的MAC地址，转发表变为这时从a发向c的数据将到达B口，并被记录下MAC地址MAC地址aa-aa-aa-aa-aa-aacc-cc-cc-cc-cc-cc端口号ACMAC地址cc-cc-cc-cc-cc-ccaa-aa-aa-aa-aa-aa端口号B（更新）AMAC地址aa-aa-aa-aa-aa-aacc-cc-cc-cc-cc-cc端口号B（更新）B交换机端口环回检测配置为杜绝这种情况，在交换机上可使用专用命令检测端口的环回状态开启/关闭端口环回检测功能S2000M(config-eth-1)#loop-checkenableS2000M(config-eth-1)#loop-checkdisable设置检测vlanS2000M(config-eth-1)#loop-checkvlan1【环回检测协议包中带有vlanid信息，缺省是检测vlan1是否存在环路。如果一个端口属于多个vlan而希望检测的不是vlan1，或者这个端口不在vlan1中，那么需要设定环回检测的vlan值】设置检测动作S2000M(config)#loop-checkactionshutdownS2000M(config)#loop-checkactionisolation查看端口环回状态显示当前每个端口的环路检测情况，第一列是端口号，第二列显示是否使能了环路检测功能，第三列显示检测的vlan号，第四列显示环路检测的状态，如果端口链路状态没有link，那么显示的是“linkdown”；如果端口链路状态是up的、并且没有环路存在，那么显示的是“ok”；如果端口上发现了环路，那么显示的是“topo-loop”S2000M#showinterfaceloop-checkIfLoop-checkVlanStatus1disable1linkdown2disable1linkdown3disable1linkdown4disable1linkdown5disable1linkdown6disable1linkdown7disable1ok8disable1linkdown已知冗余的快速切换——ESRESR技术通过ESR域的masternode控制其第二端口的阻塞与否来实现保护倒换功能(如下图所示)ESR中有LINK_DOWN告警机制与Polling机制。在正常的工作时，masternode（Master）的第二端口设置为blocking状态，以避免不受控制的以太网帧在环中不断环回，形成广播风暴。如果主节点通过以上两种机制检测到环的某一部位出了毛病，便将其第二端口解阻塞，允许以太网帧从第二端口通过，以保证环的连通性。隔离网络——vlan08虚拟局域网（VLAN）虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组。这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。虚拟局域网的标准为802.1Q以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3

的构成以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3

的构成当B1

向VLAN2

工作组内成员发送数据时，工作站B2和B3将会收到广播的信息。以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3

的构成B1发送数据时，工作站A1,A2和C1都不会收到B1发出的广播信息。以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3

的构成虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。虚拟局域网使用的以太网帧格式

802.3MAC帧字节66246~15004MAC帧目地地址源地址长度/类型数据FCS长度/类型=802.1Q标记类型标记控制信息

1000000100000000VID2字节2字节插入4字节的VLAN标记4用户优先级CFI虚拟局域网协议允许在以太网的帧格式中插入一个4字节的标识符，称为VLAN标记(tag)，用来指明发送该帧的工作站属于哪一个虚拟局域网。组建虚拟局域网的交换机对帧处理规则对整个交换机来说：认为数据帧在交换机内部转发过程是带有标记的如果进入交换机数据帧不带有标记信息，则根据端口上的pvid决定进入交换机的数据帧数据离开交换机时，根据端口上tagged和untagged决定这个数据帧是否仍然保留内部的vlan标记对于交换机端口来说：VLAN端口成员：一个端口可以属于多个VLAN，只有在该VLAN中的数据可以从这个端口出；tagged：从该端口转发出去的报文必须带上TAG标记；untagged：从该端口转发出去的报文不带TAG标记；PVID：决定从这个端口进入交换机数据的缺省vlan，当交换机收到一个untagged帧时，这个帧在交换机内就认为是属于这个PVID的相同VLAN。VLANVLAN60包括：Port1（Untagged）

Port2（tagged）

Port5（tagged）VLAN61包括：Port3（Untagged）Port4（tagged）

Port5（tagged）

Port12345缺省VLAN6060616160Port1Port2Port3Port4Port5VLAN60VLAN61S2000MF-B交换机产品VLAN配置简介创建或进入VLANS2000M(config)#interfacevlan2S2000M(config-vlan-2)#删除VLANS2000M(config)#novlan2在VLAN中设置成员端口S2000M(config-vlan-5)#member1-3untagged

在VLAN中删除成员端口S2000M(config-vlan-5)#nomember1-3设置端口的PVIDS2000M(config-eth-1)#pvid100把端口加入（退出）VLANS2000M(config-eth-1)#joinvlan5-10taggedS2000M(config-eth-1)#quitvlan5-10设置端口的帧接收类型S2000M(config-eth-1)#dot1qacceptall【all表示该端口接受所有类型的数据帧：vlan标记帧、优先级帧、非标记帧；参数tagged-only表示该端口只接受vlan标记帧】设置端口的入过滤S2000M(config-eth-1)#dot1qaccepttagged-only【上面的命令将设置端口1的入过滤使能，当这个端口接收到自己并不属于的vlan的数据时，将把该数据丢弃】QinQ以太帧头净荷以太帧

CustVLANTag净荷以太帧头802.1Q帧以太帧头

CustVLANTag净荷

SPVLANTagDouble-tagged帧QinQ最初主要是为拓展VLAN的数量空间而产生的，它是在原有的802.1Q报文的基础上又增加一层802.1Q标签实现，使VLAN数量增加到4K*4K，随着城域以太网的发展以及运营商精细化运作的要求，QinQ的双层标签又有了进一步的使用场景，它的内外层标签可以代表不同的信息，如内层标签代表用户，外层标签代表业务。S2100MF/S2200MF的QinQ功能简介13.S2100MF/S2200MF具有更加强大的QinQ功能QinQ是指将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，这样，不仅对数据流进行了区分，而且由于私网VLAN标签被透明传送，不同的用户VLAN标签可以重复使用，只需要外层VLAN标签的在公网上唯一即可，实际上也扩大了可利用的VLAN标签数量。封装外层VLAN标签有两种方法，一种是标准QinQ封装，即基于端口打外层标签的，该端口下所有的用户数据统一封装一个共同的VLAN标签，另外一种是灵活QINQ封装方法，既可以根据一些特性对用户数据进行流分类，然后不同的类别封装不同的外层VLAN标签。在S2100MF/S2200MF中，只支持标准的QinQ封装功能S2100MF/S2200MF的QinQ配置案例配置举例1： 家庭上网用户pc1,私有Vlan：100，公网Vlan：1000。

(switchB接用户家庭上网的端口为1，上联口为2）ABeth2eth1eth2PC1eth1S2100MF/S2200MF的QinQ配置案例SwitchB:S2100MF(config)#interface

vlan

100

S2100MF(config-vlan-100)#qS2100MF(config)#interface

vlan

1000S2100MF(config-vlan-1000)#qS2100MF(config)#dtag

protocol

33024S2100MF(config)#interfaceethernet1S2100MF(config-eth-1)#joinvlan100taggedS2100MF(config-eth-1)#joinvlan1000taggedS2100MF(config-eth-1)#pvid1000S2100MF(config-eth-1)#dtagdot1qdisableS2100MF(config-eth-1)#qS2100MF/S2200MF的QinQ配置案例S2100MF(config)#interfaceethernet2S2100MF(config-eth-2)#joinvlan100taggedS2100MF(config-eth-2)#joinvlan1000taggedS2100MF(config-eth-2)#dtagenableS2100MF(config-eth-2)#dtagdot1qenableS2100MF/S2200MF的QinQ配置案例配置举例2：家庭上网用户pc1,私有Vlan：100，公网Vlan：1000。(switchB接用户家庭上网的端口为1，上联口为2)Pc2通过telnet管理

switchB.ABCeth2eth1eth2eth2PC1PC2eth1eth1ip:ip:ip:ip:S2100MF/S2200MF的QinQ配置案例因为switchB启动了qinq,从它的上联口eth2出来的包都会打上vlantag.所以需要再加上一台交换机C去掉这层vlantag.这样pc2才能telnet到switchB.如果switchB的管理vlan为5，则它收到pc2发送的telnet请求包时，回应包会带上vlantag,其vlanid即为5。Tpid为switchB上所配置的tpid.建议将tpid设置为0x8100,这样switchC才能识别，并在eth1上将该vlan

Tag去掉。SwitchC：S2100MF(config)#interface

vlan

5S2100MF(config)#interfaceethernet2S2100MF(config-eth-2)#joinvlan5taggedS2100MF/S2200MF的QinQ配置案例S2100MF(config-eth-2)#pvid5S2100MF(config-eth-2)#qS2100MF(config)#interfaceethernet1S2100MF(config-eth-1)#joinvlan5untaggedS2100MF(config-eth-1)#pvid5此时pc2可以telnet到switchB上,但是无法telnet到switchA上。直接在switchB上也无法telnet到switchA.如果要pc2访问switchA,可以再加一根网线将SwitchA和switchB互连。拓扑如下：S2100MF/S2200MF的QinQ配置案例配置举例3：ABCeth2eth1eth2eth2PC1eth1eth1ip:ip:ip:eth3eth3在switchB中将eth3加入管理vlan5，并使能dtagdot1q.PC2S2100MF/S2200MF的QinQ配置案例switchB:S2100MF(config)#interfaceethernet3S2100MF(config-eth-3)#joinvlan5untaggedS2100MF(config-eth-3)#pvid5S2100MF(config-eth-3)#dtagdot1qenable同时switchA也要设置管理vlan为5。并将端口3加入到vlan5中switchA:S2100MF(config)#interfaceethernet3S2100MF(config-eth-3)#joinvlan5untaggedS2100MF(config-eth-3)#pvid5则此时pc2就可以访问switchA,switchB了。S2100MF/S2200MF的QinQ配置注意事项一定要在接入端口上(即没有使能dtag、但是有数据需要从dtag端口转发出去的接入端口)失效dot1q功能.dtagforward-tag(first|second)命令去掉了。接口使能了dtag后，如果收到的dtag包第一个vlan标记的TPID值匹配，全部按第一个vlan标记的vlanID转发.如果全局下配置dtagprotocol为0x9100,当dtag接口收到双标记包，其第一个vlan标记的TPID值不是0x9100,而是0x8100时，交换机还是会认为协议匹配，认为该包为双标记包。从而按第一个vlan标记的vlanid转发，而不是按dtag接口的pvid转发。也就是说，交换机收到的dtag包，如果第一个vlan标记的TPID值是0x8100,则不管配置的dtagprotocol是什么，交换机都认为是匹配的。业务带宽控制09链路聚合1234512345PC1PC6通信量的分布是基于源和目的端口MAC地址的一对主机之间的通信量会通过trunk组中的一个连接传输。同一个链路聚合组的所有端口必须是相同的媒体介质，双工模式和流控设置。LinkAggregationPortsPC2PC3PC5PC4链路聚合的配置创建或进入聚合接口S2000M(config)#interfacetrunk1S2000M(config-trunk-1)#在聚合接口中添加成员端口S2000M(config-trunk-1)#member1-3

在聚合接口中删除成员端口S2000M(config-trunk-1)#nomember1-3把成员端口加入（退出）聚合S2000M(config-eth-1)#jointrunk1S2000M(config-eth-1)#quittrunk1注意：成员端口加入聚合口后，各属性均由聚合口决定，单独配置无效交换机端口可用带宽控制配置端口限速（对交换机用户端口进行带宽控制）设置交换机端口的传输速率控制

Fengine(config-eth-4)#rate-limitrx<0-100000>

Fengine(config-eth-4)#rate-limittx<0-100000>速率范围（单位：kbps）0表示没有限制交换机端口广播、组播、DLF速率控制配置设置交换机各端口的数据包的速率限制

Fengine(config-eth-1)#packet-limitbroadcast0-100000>

Fengine(config-eth-1)#packet-limitdlf<0-100000>

Fengine(config-eth-1)#packet-limitmulticast<0-100000>

Fengine(config-eth-1)#packet-limitb-m<0-100000>

Fengine(config-eth-1)#packet-limitb-m-dlf<0-100000>

备注:b-m为广播＋组播的速率控制，b-m-dlf为广播+组播+DLF的速率控制．

<0-100000>：速率限制的范围，单位是kbps，取值只能是以下数值之一:128/256/512/1000/2000/4000/8000/16000/32000/64000

参数的含义在不同的交换机上可能意义不一样，在配置前可以查看交换机的实时提示，以避免配置出错交换机安全10安全概述安全的几个层次设备物理安全设备数据安全准入控制安全……ACL概述ACL介绍

访问控制列表（AccessControlList，ACL）是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

ACL的作用

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。S2100MF/S2200MF交换机ACL配置简介12.ACL S2100MFACL条目总数1000条，可配置10个list。每端口可配置的条目从1000条总条目中取，如果1000条全部用完