以太网交换机基础培训教材

./专业技术资料分享以太网交换机基础培训教材Catalog目录1以太网概述62以太网的基础知识62.1MAC地址62.2以太网帧的帧格式7以太网Ⅱ8带有802.2逻辑链路控制的IEEE802.38IEEE802.3子网访问协议〔以太网SNAP8Novell以太网92.3CSMA/CD92.4冲突域和广播域102.5以太网的典型设备-HUB102.6全双工以太网113二层交换机的基本原理113.1二层交换机113.2支持VLAN的二层交换机14VLAN的概念15VLAN的划分16VLAN的标准17支持VLAN交换机的转发流程194三层交换机基本原理224.1三层交换机的提出224.2三层交换机基本特征234.3三层交换机的功能模型234.4三层交换机转发流程25IP网络规则25三层转发流程25选路过程274.5路由器和交换机29接口30特点对照305交换机相关协议和技术305.1物理层特性〔接口30自协商31智能MDI/MDIX自识别31流控机制32POE供电33端口镜像335.2二层协议和特性33STP/RSTP/MSTP协议34GARP/GVRP/GMRP355.2.3聚合特性36Isolate-user-vlan37二层多播38QinQ395.3三层特性39SuperVLAN395.4Qos/ACL405.5安全特性40802.1X40PORTAL425.6管理特性43集群管理44WEB网管455.7IRF455.8与路由器相同的一些特性476以太网交换机主要厂商476.1Cisco476.2Extreme486.3Foundry486.4港湾487参考资料48图索引TOC\t"图号"\c图1MAC地址7图2常用的以太网帧格式8图3由HUB组成的网络11图4全双工以太网11图5二层交换机结构示意图12图6二层交换机的转发流程13图7二层交换机工作在链路层13图8交换机的冲突域和广播域14图9由二层交换机构成的扁平网络14图10基于端口VLAN的划分16图11802.1QVLAN帧格式18图12Trunk链路实现虚拟工作组18图13支持VLAN交换机交换引擎19图14IVL和SVL地址学习方式20图15IVL地址学习方式转发流程21图16SVL地址学习方式转发流程21图17支持VLAN交换机冲突域和广播域22图18三层交换机功能模型24图19三层交换引擎24图20三层转发流程26图21路由器的最长匹配转发28图22三层交换机转发-精确匹配29图23三层交换机转发-最长匹配29图24以太网的自协商31图25STP阻塞网络环路34图26MSTP根据VLAN进行阻塞链路35图27GARP属性注册和注销35图28GARP基本原理36图29Isolate-user-vlan 37图30不支持多播功能交换机38图31QinQ实现vMAN 39图32802.1X认证体系结构41图33PORTAL认证四大要素43图34集群的组成45图35IRF的组成46图36IRF的典型应用47表索引TOC\t"表号"\c表1.LAN/MAN参考模型15表2.路由器和三层交换机的特点对比30表3.PORTAL、PPPoE/A、802.1X三种认证方式的特点对比43以太网交换机基础培训教材Keywords关键词：以太网,交换机,LAN,VLAN,IRFAbstract摘要：本文介绍以太网交换机的相关知识和基本原理。主要包括：1以太网交换机基础知识；2二、三层交换机的基本原理和转发流程；3以太网交换机常用特性和技术。Listofabbreviations缩略语清单：Abbreviations缩略语Fullspelling英文全名Chineseexplanation中文解释POEPowerOverEthernet以太网供电IVLIndependentVlanLearning独立vlan学习SVLSharingVlanLearning共享vlan学习VLANVirtualLocalAreaNetwork虚拟局域网GVRPGenericVlanRegistrationProtocol通用vlan注册协议RSTPRapidSpanningTreeProtocol快速生成树协议MSTPMultipleSpanningTreeProtocol多实例生成树协议LACPLinkAggregationControlProtocol链路聚合控制协议DHCPDynamicHostConfigurationProtocol动态主机配置协议NTPNetworkTimeProtocol网络时间协议VRRPVirtualRouterRedundancyProtocol虚拟路由冗余协议RIPRoutingInformationProtocol路由信息协议OSPFOpenShortestPathFirst开放最短路径优先IS-ISIntermediateSystem-to-IntermediateSystemintra-domainroutinginformationexchangeprotocolIS-IS路由协议BGPBorderGatewayProtocol边界网关协议IGMPInternetGroupManagementProtocolInternet组管理协议IGMPSnoopingInternetGroupManagementProtocolSnoopingIGMP侦听GMRPGenericMulticastRegistrationProtocol通用组播注册协议PIM-DMProtocolIndependentMulticast-DenseMode密集模式协议无关组播PIM-SMProtocolIndependentMulticast-SparseMode稀疏模式协议无关组播MSDPMulticastSourceDiscoveryProtocol组播源发现协议WREDWeightedRandomEarlyDetection加权随机早期检测CHAPChallengeHandshakeAuthenticationProtocol质询握手验证协议PAPPasswordAuthenticationProtocol密码验证协议EAPExtensibleAuthenticationProtocol可扩展认证协议SSHSecureShell安全外壳IDSIntrusionDetectionSystem入侵检测系统RMONRemoteMONitor远程监控HGMPHuaweiGroupManagementProtocol华为组管理协议NDPNeighborDiscoveryProtocol邻居发现协议IRFIntelligentResilientFramework智能弹性架构以太网概述以太网是在70年代初期由Xerox公司PaloAlto研究中心推出的。1979年Xerox、Intel和DEC公司正式发布了DIX版本的以太网规范,1983年IEEE802.3标准正式发布。初期的以太网是基于同轴电缆的,到八十年代末期基于双绞线的以太网完成了标准化工作,即我们常说的10BASE-T。随着市场的推动,以太网的发展越来越迅速,应用也越来越广泛。下面简单列一下以太网的发展历程：70年代初,以太网产生；1929年,DEC、Intel、Xerox成立联盟,推出DIX以太网规范；1980年,IEEE成立了802.3工作组；1983年,第一个IEEE802.3标准通过并正式发布通过80年代的应用,10Mb/s以太网基本发展成熟1990年,基于双绞线介质的10BASE-T标准和IEEE802.1D网桥标准发布90年代,LAN交换机出现,逐步淘汰共享式网桥1992年,出现了100Mb/s快速以太网通过100BASE-T标准<IEEE802.3u>全双工以太网<IEEE97>千兆以太网开始迅速发展<96>1000Mb/s千兆以太网标准问世<IEEE802.3z/ab>IEEE802.1Q和802.1P标准出现<98>10GE以太网工作组成立<IEEE802.3ae>以太网的基础知识以太网是一种能够使计算机进行相互传递信息的介质,它利用二进制位形成一个个的字节,这些字节然后组合成一帧帧的数据。帧有一个起点,我们称之为帧头；也有终点,我们称之为作帧尾。以太网由许多物理网段组合而成,每个网段包括一些导线和与导线相连的网络设备。以太网上有很多网络设备,每个设备都会接收到各种各样的帧信息。那么,设备怎样才能知道帧是否是直接对它进行访问呢？其实,在每个帧报头中,都包含有一个目地介质访问控制地址〔MAC和一个源MAC地址,目的MAC地址就可以告诉网络设备帧是否是对它进行直接访问。如果设备发现帧的目的MAC地址与自己的MAC不匹配,设备将对不处理该帧。MAC地址MAC地址有48位,它可以转换成12位的十六进制数,参见图1。这个数分成三组,每组有四个数字,中间以点分开。MAC地址有时也称为点分十六进制数。为了确保MAC地址的唯一性,IEEE对这些地址进行管理。每个地址由两部分组成,分别是供应商代码和序列号。供应商代码代表NIC〔网络接口卡制造商的名称,它占用MAC的前六位12进制数字,即24位二进制数字。序列号由供应商管理,它占用剩余的6位地址,或最后的24位二进制数字。MAC地址从实际使用的角度看,以太网的MAC地址可以分为三类,分别是单播地址、多播地址、广播地址：单播地址：第一字节最低位为0,00e0.fc00.0006。用于网段中两个特定设备之间的通信,可以作为以太网帧的源和目的MAC地址；多播地址：第一字节最低位为1,01e0.fc00.0006。用于网段中一个设备和其他多个设备通信,只能作为以太网帧的目的MAC；广播地址：48位全1,ffff.ffff.ffff。用于网段中一个设备和其他所有设备通信,只能作为以太网帧的目的MAC。以太网帧的帧格式对MAC地址有一个基本认识后,我们有必要进一步了解以太网帧的帧格式是怎么样的？有哪几种常用的帧格式？下图就是目前常用几种以太网帧格式。常用的以太网帧格式以太网Ⅱ帧头的作用是标识封装在帧中的第3层信息包的类型。以太网Ⅱ使用类型字段,其长度为2个字节。这种帧格式是目前最常用的以太网帧格式。带有802.2逻辑链路控制的IEEE802.3IEEE基于原始的以太网Ⅱ帧来设计自己的以太网帧类型。IEEE802.3的以太网帧报头和以太网Ⅱ的帧报头非常相似,不过其类型字段的长度有所变化,它增加了一个称作逻辑链路控制〔LLC的字段。LLC用来识别信息包中使用的第3层协议。LLC报头或IEEE报头都包含DSAP〔destinationserviceaccesspoint,目的服务访问点、SSAP〔sourceserviceaccesspoint,源服务访问点和控制字段。DSAP和SSAP合并后就可标识第3层协议的类型。IEEE802.3子网访问协议〔以太网SNAP80年代中期,以太网非常流行,IEEE担心它将使用完所有的DSAP和SSAP编码,所以就定义了一种新的帧格式。这种帧格式称为以太网子网访问协议,有时候也称为以太网SNAP。这种格式的帧报头以"AA"取代DSAP和SSAP。在DSAP和SSAP字段中出现"AA"时,帧是一个以太网SNAP帧。这时,第3层协议将在OUI〔Organizationaluniqueidentifier,组织唯一标识字段后的类型字段中表示。QUI是一个6位的十六进制数,它可以唯一地标识一个组织。IEEE对QUI进行赋值。Novell以太网Novell以太网帧类型只适用于IPX通信。Novell以前没有考虑IPX将附属于其他第3层协议。所以,也就没有必要用字段来识别第3层协议。如果你运行的是Novell网络,就可以使用IPX。Novell以太网帧格式以一个长度字段来取代类型字段,与前面的IEEE的做法一样。不过长字段后没有LLC字段。CSMA/CD以太网使用CSMA/CD〔CarrierSenseMultipleAccesswithCollisionDetection,带有冲突监测的载波侦听多址访问。我们可以将CSMA/CD比做一种文雅的交谈。在这种交谈方式中,如果有人想阐述观点,他应该先听听是否有其他人在说话〔即载波侦听。如果这时有人在说话,他应该耐心地等待,直到对方结束说话,然后他才可以开始发表意见。另外,有可能两个人在同一时间都想开始说话,那会出现什么样的情况呢？显然,如果两个人同时说话,这时很难辨别出每个人都在说什么。但是,在文雅的交谈方式中,当两个人同时开始说话时,双方都会发现他们在同一时间开始讲话〔即冲突检测,这时说话立即终止。随机地过了一段时间后〔回退,说话才开始。说话时,由第一个开始说话的人来对交谈进行控制,而第二个开始说话的人将不得不等待,直到第一个人说完,然后他才能开始说话。除计算机以外,以太网的工作方式与上面的方式相同。首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出"冲突"信号。这时,节点上所有的工作站都将检测到冲突信号,因为,这时导线上的电压超出了标准电压。冲突产生后,这两个节点都将立即发出拥塞信号,以确保每个工作站都检测到这时以太网上已产生冲突,导线上的带宽为0Mb/s。然后,网络进行恢复,在恢复的过程中,导线上将不传送数据。在这一过程中,不属于产生冲突的网段上的节点也要等到冲突结束后才能传送数据。当两个节点将拥塞信号传送完,并过了一段随机时间后,这两个节点便开始将信号恢复到零位。第一个达到零位的工作站将首先对导线进行监听,当它监听到没有任何信息在传输时,便开始传输数据。当第二个工作站恢复到零位后,也对导线进行监听,当监听到第一个工作站已经开始传输数据后,就只好等待了。注意实际上,随机的时间是通过一种算法产生的,这种算法在IEEE802.3标准CSMA/CD文档第55页可以找到。在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。如果其他节点想传送数据,必须等到正在传输的节点的数据传送结束后才能开始传输数据。以太网之所以称作共享介质就是因为节点共享同一根导线这一事实。冲突域和广播域我们知道,当以太网发生冲突的时候,网络要进行恢复〔即处于回退阶段,此时网络上将不能传送任何数据。因此,冲突的产生降低了以太网导线的带宽,而且这种情况是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。在以太网网段上放置的最大的节点数将取决于传输在导线上的信息类型。显而易见的解决方法是限制以太网导线上的节点。这个过程通常称为物理分段。物理网段实际上是连接在同一导线上的所有工作站的集合,也就是说,和另一个节点有可能产生冲突的所有工作站被看作是同一个物理网段。经常描述物理网段的另一个词是冲突域,这两种说法指的是同一个意思。由于各种各样的原因,网络操作系统〔NOS使用了广播。TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP协议进行宣告。因此,广播存在于所有的网络上,如果不对它们进行适当的维护和控制,它们便会充斥于整个网络,产生大量的网络通信。前面已经介绍过,广播的目标地址为ffff.ffff.ffff,这个地址将使所有工作站处理该帧。因此,广播不仅消耗了带宽,限制了用户获取实际数据的带宽,而且也降低了用户工作站的处理效率。在这种情况下,所有能够接收其他广播的节点被划分为同一个逻辑网段,也称为广播域。一般来说,逻辑网段定义了第三层网络,如IP子网等。以太网的典型设备-HUB在局域网〔LAN-LocalAreaNetwork中,每个工作站都通过某种传输介质连接到网络上。一般情况下,服务器不会有很多网络接口卡〔NIC。因此,不可能将所有的工作站都连接到服务器上。因此,局域网中会使用HUB,这是网络中很常用的设备。HUB是一种典型的采用以太网CSMA/CD机制的设备,其主要作用是：被用作网络设备的集中点放大信号无路径检测或交换从HUB的作用可以看出,HUB对所连接的LAN只做信号的中继,工作在网络的物理层,连接在HUB上的所有物理设备相当于连接在同一根导线上,都处于同一个冲突域和广播域,参见图3。因此,在网络设备很多的情况下,设备之间的冲突将会很严重,并且导致广播泛滥,严重影响网络地性能。由HUB组成的网络全双工以太网当两个以太网节点通过10baseT的电缆直接连接时,导线类似于图4。在这种情况下,数据可以通过两种独立的路径传输和接收。由于只存在两个节点,也就没有总线,所以就可以在同一时间对信息进行双向传输,而不会发生冲突。在这种情况下,以太网称为全双工以太网。为了实现全双工以太网,两个节点必须通过10baseT直接连接,而且NIC必须支持全双工。全双工以太网二层交换机的基本原理二层交换机顾名思义,所谓二层交换机,其进行转发的依据就是以太网帧的二层信息,即MAC地址且是帧的目的MAC地址。交换机接收到一个以太网帧后,然后根据该帧的目的MAC,把报文从正确的端口转发出去,该过程称为二层交换,对应的设备称为二层交换机。在这里稍微提一下,在二层交换机之前用于二层交换机的设备是透明网桥,它和二层交换机的最大区别就是：透明网桥只有两个端口,而交换机的端口数目远远超过两个。目前的交换机都采用硬件来实现其转发过程,该器件一般称为ASIC〔ApplicationSpecificIntegratedCircuit,也俗称为交换引擎。对于二层交换机来说,ASIC将维护一张二层转发表L2FDB〔Layer2forwardingdatabase。表项的主要内容是MAC地址和交换机端口的对应关系。图5即为二层交换机结构示意图。port1port1port2port3port4port5port6MACMACMACMACMACMAC二层交换引擎L2FDBSwitchASIC二层交换机结构示意图下面就详细了解一下二层交换机的转发过程,以图6为例进行说明。交换机从端口1接收到一个以太网帧,其转发流程如下：根据帧的目的MAC查MAC转发表<即L2FDB>,查找相应的出端口。根据现有L2FDB表,报文应该从端口2发送出去；如果在L2FDB表中查找不到该目的MAC,则该报文将通过广播的方式向交换机所有端口转发；同时该以太网帧的源MAC将被学习到接收到报文的端口上,即端口1；L2FDB表中MAC地址通过老化机制来更新；在转发的过程中,不会对帧的内容进行修改。二层交换机的转发流程现在我们来分析一下使用交换机构成的网络,其冲突域和广播域是怎样的？性能如何？由于以太网发生冲突是在网络的第一层,而交换机工作在网络的第二层即链路层,参见图7。二层交换机工作在链路层因此,二层交换机将网络的冲突域限制在了交换机的端口内〔参见图8,也就是给网络划分成了若干个物理网段,每个端口一个物理网段,大大地减少了冲突对网络带来的影响,改善了网络的性能。交换机的冲突域和广播域然后,我们也必须要看到,交换机虽然可以有效地的限制冲突的发生,但对于广播无能为力。对于大量的交换机构成的扁平网络〔参见图9而言,广播对网络性能的影响是显而易见的。广播消耗了大量的网络带宽；网络的安全性差,任何两台主机之间都可以相互访问。由二层交换机构成的扁平网络支持VLAN的二层交换机路由器基于第3层报头、目标IP寻址作出转发决定,不能对广播进行转发。所以通过路由器可以限制广播的转发,形成更多的广播域或逻辑网段。当然,路由器可以对网络进行物理分段,方式与交换机和网桥相同。虽然,路由器能达到限制以太网广播域的作用,但其有一定的限制：1路由器成本较高；2>路由器端口数目较少,一般不能满足二层网络的应用。为此,在二层交换机中引入了VLAN的概念。VLAN的概念我们知道,IEEE802.3给出了LAN/MAN参考模型〔表1所示,LAN〔LocalAreaNetwork协议包括了OSI七层模型的低三层：物理层、数据链路层和网络层。其中,数据链路层又分为逻辑链路控制层<LLC>和媒体接入控制层<MAC>。LAN/MAN参考模型OSI七层模型IEEE802LAN/MAN参考模型网络层网间互联数据链路层逻辑链路控制层<LLC>媒体接入控制层<MAC>物理层物理层那么什么是VLAN呢？VLAN-VirtualLocalAreaNetwork,称为虚拟局域网,是将一组位于不同物理网段上的工作站和服务器从逻辑上划分成不同的逻辑网段,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联和传输。那么,使用VLAN能带来什么优点？<1>限制了网络中的广播一般交换机不能过滤局域网广播报文,因此在大型交换局域网环境中造成广播量拥塞,对网络带宽造成了的极大浪费。用户不得已用路由器分割他们的网络,此时路由器的作用是广播的"防火墙"。VLAN的主要优点之一是：支持VLAN的LAN交换机可以有效地用于控制广播流量,广播流量仅仅在VLAN内被复制,而不是整个交换机,从而提供了类似路由器的广播"防火墙"功能。<2>虚拟工作组使用VLAN的另一个目的就是建立虚拟工作站模型。当企业级的VLAN建成之后,某一部门或分支机构的职员可以在虚拟工作组模式下共享同一个"局域网"。这样绝大多数的网络都限制在VLAN广播域内部了。当部门内的某一个成员移动的另一个网络位置时,他所使用的工作站不需要做任何改动。相反,一个用户改变不用移动他的工作站就可以调整到另一个部门去,网络管理者只需要在控制台上进行简单的操作就可以了。VLAN的这种功能使人们以前曾设想过的动态网络组织结构成了为可能,并在一定程度上大大推动了交叉工作组的形成。这就引出了虚拟工作组的定义。对一个公司而言,经常会针对某一个具体的开发项目临时组建一个由各部门的技术人员组成的工作组,他们可能分别来自经营部,网络部,技术服务等。有了VLAN,小组内的成员不用再集中到一个办公室了。他们只要坐在自己的计算机旁就可以了解到其它合作者的开放情况。另外,VLAN为我们带来了巨大的灵活性。当有实际需要时,一个虚拟工作组可以应运而生。当项目结束后,虚拟工作组又可以随之消失。这样,无论是对用户还是对网络管理者来说,VLAN都是十分吸引人了。〔3安全性由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,从而就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密〔4减少移动和改变的代价即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。当然,并不是所有的VLAN划分方法都能做到这一点。VLAN的划分<1>根据端口定义许多VLAN设备制造商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。如图10,交换机上的端口被划分成了"工程部"、"市场部"、"销售部"三个VLAN。这样可以允许VLAN内部各端口之间的通信。基于端口VLAN的划分按交换机端口来划分VLAN成员,其配置过程简单明了。因此迄今为止,这仍然是最常用的一种方式。但是,这种方式不允许多个VLAN共享一个物理网段或交换机端口,而且,如果某一个用户从一个端口所在的虚拟局域网移动到另一个端口所在的虚拟局域网,网络管理者需要重新进行配置,这对于拥有众多移动用户的网络来说是难以实现的。〔2根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。〔3根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型<如果支持多协议>划分的,虽然这种划分方法可能是根据网络地址,比如IP地址,但它不是路由,不要与网络层的路由混淆。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换, 这种方法的优点是用户的物理位置改变了,不需要重新配置他所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。 这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的<相对于前面两种方法>,一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这也跟各个厂商的实现方法有关。〔4IP组播作为VLAN IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,对于局域网的组播,有二层组播协议GMRP。〔5基于组合策略划分VLAN即上述各种VLAN划分方式的组合。应该说,目前很少采用这种VLAN划分方式。VLAN的标准目前已提出的VLAN标准有两种。一种是802.10VLAN标准,Cisco公司在1995年提出,另外就是802.1Q,是IEEE执行委员会于1996年下半年才开始制定的一种VLAN互操作性标准。本文仅对802.1Q标准进行介绍。DestDestSrcDataLen/Etypep/QLabelEtypeFCSVLAN-IDToken-RingEncapsulationFlagVLAN-IDandT-REncapsFlagare.1Q,not.1pVLANID:0-4095662224...DestSrcFCSDataLen/Etype802.1QVLAN帧格式802.1Q的VLAN帧格式参见图11,就是在原来以太网帧的源MAC地址之后加入了4个字节的VLANTAGHeader。其中,前两个字节Etype为固定值0x8100；后两个字节为802.1p/QLabel,即802.1P优先级和VLANID的定义。802.1P优先级为高3位,即优先级0-7；VLANID为后12位,即ID的范围为0-4095。通过设定连接交换机之间的链路为支持传送VLANTagHeader的Trunk链路,我们就可以很容易实现前面提到的虚拟工作组功能,如图12。交换机A、B上的端口分别属于工程部、市场部、销售部,通过Trunk链路可以使得分别接在交换机A、B上的工程部用户之间进行通信；市场部、销售部的用户也是如此。Trunk链路实现虚拟工作组一般来说,目前工作站和用户终端都是不支持识别VLAN的。因此,在由VLAN构建的二层交换网络中,存在两种类型的链路：Access链路……用于接入用户终端和工作站连接Access链路的交换机端口称为Access端口帧在Access链路上转发不带VLANTag交换机Access端口接收到以太网帧后,按照端口所在VLAN加上VLANTag,然后进行转发帧从Access端口发送出去,帧中的VLANTag会被去掉Trunk链路……用于交换机之间级联,允许不同设备间相同VLAN内用户通信。连接Trunk链路的交换机端口称为Trunk端口帧在Trunk链路上转发带VLANTag,因此允许多个VLAN的帧在Trunk链路上转发交换机Trunk端口接收到以太网帧后,需要判断该Trunk端口是否允许帧中VLANID对应的VLAN通过。若允许,则进行转发；否则要直接丢弃该帧帧从Trunk端口发送出去,VLANTag一般不会被去掉支持VLAN交换机的转发流程支持VLAN交换机转发流程与普通交换机转发流程最大的区别在于：报文在支持VLAN交换机内转发时都是带着VLANTag进行的。也就是说,转发过程中要根据MAC地址查找出端口外,还需要判断VLANID的信息。因此,支持VLAN交换机交换引擎与一般交换机有所不同,如下图所示。支持VLAN交换机交换引擎VLAN交换机的转发流程和ASIC选择的MAC地址学习方式有紧密的联系。目前,支持VLAN的交换机有两种地址学习方式,分别为IVL〔IndependentVLANLearning和SVL〔SharedVLANLearning。两种方式的区别如下,参见图14：MAC1VLAN1PORT1MAC1VLAN1PORT1MAC2VLAN1PORT2MAC2VLAN2PORT3MAC3VLAN3PORT3MAC1VLAN1PORT1MAC2VLAN2PORT2MAC3VLAN3PORT3IVLSVLIVL和SVL地址学习方式在IVL方式下：每个VLAN都有自己的对应的MAC地址表〔抽象的概念并不是物理的,相互之间没有影响。一个MAC地址可以被学习到不同的VLAN中,因此对一个用户来说如果属于多个VLAN,那么每个VLAN内的信息都需要重新学习。而SVL方式下,一个地址表项对所有的VLAN都通用,表中的MAC用户不能有重复。下面分别介绍两种地址学习方式下的转发流程。IVL地址学习方式〔参见图151根据帧内TagHeader的VLANID查找L2FDB表,确定查找的范围；2根据目的MAC查找出端口,图中应该从端口2转发出去；如果在L2FDB表中查找不到该目的MAC,则该报文将通过广播的方式在该VLAN内所有端口转发；同时该以太网帧的源MAC将被学习到接收到报文的端口上,即端口1〔VLAN2；L2FDB表中的MAC地址通过老化机制更新；在转发的过程中,不会对帧的内容进行修改。IVL地址学习方式转发流程SVL地址学习方式〔参见图161根据帧的目的MAC查MAC转发表<即L2FDB>,查找相应的出端口。根据现有L2FDB表,报文应该从端口2发送出去；2判断出端口的VLANID和报文TagHeader内的VLANID是否匹配,匹配则转发,不匹配则丢弃；3如果在L2FDB表中查找不到该目的MAC,则判断出端口的VLANID和报文TagHeader内的VLANID是否匹配,不匹配直接丢弃；匹配则在该VLAN内广播；4L2FDB表中MAC地址通过老化机制来更新；5在转发的过程中,不会对帧的内容进行修改SVL地址学习方式转发流程前文已经提到VLAN的优点之一就是限制了广播,下图就能很好地说明这个问题。从图中,可以很清楚地看到,广播报文被限制了每个VLAN内,大大地降低了广播对以太网带宽的消耗。支持VLAN交换机冲突域和广播域三层交换机基本原理三层交换机的提出传统的网络界有一个规则,即局域网内的业务流类型遵循"80/20规则"：80/20流量模式指用户数据流量的80%在本地网段,只有20%的数据流量通过路由器进入其它网段。采用80/20规则的网络,用户的网络资源都在同一个网段内。这些资源包括网络服务器、打印机、共享目录和文件等。因此在这种网络内,路由器完全可以胜任且其构建网络的成本完全可以被用户接受。但是,随着INTERNET/INTARNET应用的兴起和服务器集群的出现,使得传统的80/20流量模式发生了转变。网络中大部分数据流经主干,逻辑子网内部数据流量不大,用户经常需要访问本子网以外的资源,"80/20规则"对于多数企业网络已经不适用了。因此,现在局域网中的业务流有两个突出的特点,一是总的业务流在增加；二是子网络间的业务流在增加。为了解释这一概念,假设网络业务流的总量不变,且网络业务流比例由80/20变为20/80。这意味着需要在子网间进行路由的业务流增加到过去的4倍。这是否意味着网络中需要4倍的路由器呢？答案是否定的,实际上需要比4倍更多的路由器。因为当路由器数量增加时,路由器之间的联系与合作占路由器全部工作的比重就会增加。所以：随着子网络间业务流的增加,路由能力也相应地需要增加。举例来说,假设路由能力增加4倍需要6倍的路由器。现在如果业务流类型改变的同时业务流的总量翻了一番,那么网络中所需的路由器总数为原来的12倍。如果按照传统的路由产品的成本进行计算,这对于大多数用户来说无疑都是一个难以接受的预算。所以：局域网内子网络间业务流的适度增加伴随着总业务流的适度增加,都将使得采用传统的路由器来满足路由功能的需求在经济上不大可行。总结一下,三层交换技术和交换机的提出主要基于以下原因：二层交换技术极大的提升了以太网的性能,但仍然不能完全满足局域网的需要；为了将广播和本地流量限制在一定的范围内,交换式以太网采取划分逻辑子网〔VLAN的方式；VLAN间的互通传统上需要由路由器来完成,但路由器配置复杂,造价昂贵,而且转发速度容易成为网络的瓶颈；新20/80规则的兴起,80%的流量需要跨越VLAN,路由器不堪重负；三层交换机基本特征应该说,三层交换机与传统路由器具有相同的功能：根据IP地址进行选路进行三层的校验和使用生存时间〔TTL对路由表进行更新和维护二者最大的区别在于三层交换采用ASIC硬件进行包转发,而传统路由器采用CPU进行包转发。所以,相比于传统路由器三层交换具有以下优点：基于硬件的包转发,转发效率高低时延低花费三层交换机的功能模型为了便于大家对三层交换机有一个感性的了解,我们以下图来说明。三层交换机功能模型图中,右边是一个三层交换机,其实现的功能等同于左边一个VLAN二层交换机和路由器组成的网络。也就是说,三层交换机把支持VLAN的二层交换机和路由器的功能集成在一起了,既有二层交换功能,也有三层路由功能。因此,三层交换机也称为路由交换机。一般来说,三层交换机的功能分别通过二层VLAN转发引擎和三层转发引擎两个部分来实现：二层VLAN引擎与支持VLAN的二层交换机的二层转发引擎是相同的,是用硬件支持多个VLAN的二层转发；三层转发引擎使用硬件ASIC技术实现高速的IP转发。三层交换机对应到IP网络模型中,每个VLAN对应一个IP网段,三层交换机中的三层转发引擎在各个网段〔VLAN间转发报文,实现VLAN之间的互通,因此三层交换机的路由功能通常叫做VLAN间路由〔Inter-VLANRouting对应于二层交换引擎,三层交换机的如下图所示：三层交换引擎在二层上,VLAN之间是隔离的,VLAN内主机可以互通,这一点跟二层交换机中的交换引擎的功能一模一样。一般来说,三层交换机的每个VLAN对应一个网段,不同的IP网段之间的访问要跨越VLAN,要使用三层交换引擎提供的VLAN间路由功能〔相当于路由器。在使用二层交换机和路由器的组网中,每个需要与其它IP网段〔VLAN通信的IP网段〔VLAN都需要使用一个路由器接口做网关。三层交换机的应用也同样符合IP的组网模型,三层转发引擎就相当于传统组网中的路由器的功能,当需要与其他VLAN通信的时候也要为之在三层交换引擎上分配一个路由接口,用来做VLAN内主机的网关。三层交换机上的这个路由接口是通过配置转发芯片来实现的,与路由器的接口不同,这个接口不是直观可见的。给VLAN指定路由接口的操作,实际上就是为VLAN指定一个IP地址、子网掩码和MAC地址,MAC地址是由设备制造过程中分配的,在配置过程中由交换机自动配置。三层交换机转发流程IP网络规则我们多次提到二层交换、三层路由,那么究竟什么时候选择二层交换、什么时候选择三层路由呢？这就涉及到IP网络通信的基本规则。每个网络主机、工作站或者服务器都有自己的IP地址和子网掩码。当主机与服务器进行通信的时候,根据自身的IP地址和子网掩码、以及服务器的IP地址,来确定服务器是否和自己处于相同的网段：如果判定在相同网段内,则直接通过地址解析协议〔ARP查找对方的MAC地址,然后把对方的MAC地址填入以太网帧头的目的MAC地址域,将报文发送出去,通过二层交换实现通信；如果判定在不同的网段内,则主机就会自动借助网关来进行通信。主机首先通过ARP来查找设定的网关的MAC地址,然后把网关的MAC地址〔而不是对方主机的MAC地址,因为主机认为通信对端不是本地主机填入以太网帧头的目的MAC地址域,将报文发送给网关,通过三层路由实现通信。三层转发流程对于网络设备而言〔如三层交换机,接收到一个报文后选择二层转发还是三层转发,判断的依据主要是：报文的目的MAC地址。如果该目的MAC地址和设备内某个VLAN指定的路由接口MAC地址相同,则进行三层转发,否则在VLAN内部进行二层转发。当然,严格地说,设备对报文的目的IP也需要进行判断,因为报文有可能是直接发送给该VLAN接口的。下面我们来具体看一下三层交换机的转发流程,以下图为例。三层转发流程交换机上划分了两个VLAN,在VLAN1、VLAN2上配置了路由接口用来实现VLAN1和VLAN2之间的互通。A、B的网关是VLAN1虚接口地址,C的网关是VLAN2虚接口地址。二层交换过程〔以A向B发起ping请求为例：A检查报文的目的IP地址,发现和自己在同一个网段；A>BARP请求报文,该报文在VLAN1内广播；B>AARP回应报文；A>BICMPrequest;B>AICMPreply。三层转发过程〔以A向C发起ping请求为例：A检查要通信C的目的IP地址,发现和自己不在同一个网段,因此要借助于A的网关来和C通信；A向交换机的VLAN1虚接口发送ARP请求报文,请求A的网关MAC地址〔即VLAN1该报文在VLAN1内广播；网关向A回应ARP应答报文；A向交换机发送ICMPrequest〔目的MAC是VLAN1虚接口的MAC,源MAC是A的MAC,目的IP是C的IP,源IP是A的IP；交换机收到报文后根据目的MAC判断出是三层的报文。检查报文的目的IP地址,发现是在自己的直连网段〔VLAN2虚接口所在网段；交换机通过VLAN虚接口向C发送ARP请求报文,请求C的目的MAC,该报文在VLAN2内广播；C向交换机发送ARP回应报文；交换机通过VLAN2虚接口向C转发ICMPrequest〔目的MAC是C的MAC,源MAC是VLAN2虚接口的MAC,目的IP是C的IP,源IP是A的IP报文。同步骤4相比,报文的MAC头进行了重新的封装,而IP层以上的字段基本上不变；C向A回应ICMPreply,这以后的处理同icmprequest的前面过程基本相同。需要说明的是,以上的各步处理中,如果ARP表中已经有了相应的表项,则不会给对方发ARP请求报文。选路过程前面对三层转发过程进行了简单地阐述。实际上,三层交换机在接收到一个报文后,在需要进行三层转发时,其选路和转发的过程还是比较复杂的。为了便于理解和对比,我们先来了解一下路由器的选路过程。路由器对转发进行路由时,其步骤如下：根据报文的目的地址,与路由项进行匹配操作；匹配的动作是用报文目的地址与路由项的子网掩码进行"与"；如图目的IP8和各表项子网掩码"与"的结果如下：8&＝8&＝8&＝如果"与"的结果和路由项中网络地址相同,则认为路由匹配所有匹配项中子网掩码位数最长的为最佳匹配项,报文据此进行转发〔从该表项对应接口发送如果找不到匹配项,则根据缺省路由/0进行转发如果没有缺省路由则报文被丢弃上述这种路由选路过程称之为最长匹配〔longest-prefixmatch>。谈到这里,不能不提一下路由表和FIB。路由表是根据静态和动态路由协议生成的,选择最优路由表项后生成的是FIB。路由器实际转发报文是利用FIB进行的。路由器的最长匹配转发那么交换机的选路和路由器有什么异同？总的来说,交换机和路由器一样,也是由软件来维护路由表和FIB表,但在具体的报文转发过程中和路由器有很大的区别。其一：交换机的报文选路转发通过ASIC硬件进行,效率大大超过路由器；其二：交换机除了支持最长匹配转发外〔和路由器相同,还支持精确匹配转发。与二层交换类似,L3FDB表是三层交换机转发的基础。下面我们来具体看看交换机的精确匹配转发和最长匹配转发。交换机的精确匹配转发支持精确匹配转发的L3FDB是类似于二层交换机MAC地址表的Cache；交换机根据报文的目的IP在L3FDB表中进行查找；对于能够在此"Cache"命中的报文,则直接根据表项的端口信息进行转发；不能在"Cache"命中的报文将被送到CPU进行软件路由,路由的原理和路由器完全相同的最长地址匹配；软件路由后将把该目的IP添加到L3FDB表中；如果表项长期不被刷新则会被老化掉；因此,通过多次地址学习就可以把表项逐一加进来,这样后续的流量就可以直接Cache命中,不需要软件路由。这就是三层交换机所谓的"一次路由,多次交换"。从实际应用角度看,精确匹配转发是有一定的限制的。因为它对于每一个目的IP在L3FDB表中都会存在一个表项,对硬件的资源要求很高。所以,目前的三层交换机都逐步要求支持最长匹配转发。三层交换机转发-精确匹配交换机的最长匹配转发最长匹配转发也依赖于L3FDB；L3FDB转发项通过FIB表项下发建立起来；对于能够在此"Cache"命中的报文,则直接进行转发。"Cache"方式采用最长匹配算法；不能在"Cache"命中的报文将被转发到CPU进行软件路由,路由的原理和路由器完全相同的最长地址匹配。三层交换机转发-最长匹配路由器和交换机接口无论对路由器还是对三层交换机而言,接口都存在路由接口和物理接口的概念。路由接口是挂接在IP协议栈下的逻辑接口,每个接口都对应一个IP网段,通常称为Interface。物理接口是在机箱外面,看得见、摸得着、能插电缆的实际接口,通常称为Port。但是,从路由器的角度理解的端口和从三层交换机的角度理解的端口是有所不同。由于路由器一般不提供端口之间的二层转发的功能,因此路由接口和物理接口实际上是一一对应的关系,因此我们通常把两个接口在理解上做合一处理。在配置的时候,好像IP地址都是直接配置在物理端口上的。理解起来比较容易。三层交换机上,在不同的物理端口之间还提供二层交换的功能。VLAN内部通过二层交换通信,VLAN之间通过三层路由来通信。路由接口是与VLAN是对应的关系,而每个VLAN可能对应很多个物理端口,因此路由接口和物理端口没有一一对应的关系。特点对照下表给出了路由器和三层交换机的特点对比。路由器和三层交换机的特点对比项目路由器三层交换机端口类型非常丰富,几乎可以支持所有通信端口比较单一,主要支持以太网,在骨干级设备上才会支持POS和ATM转发实现途径主要以CPU加软件实现为主。GSR是实现硬件的路由由硬件ASIC实现转发路由算法最长匹配第一包路由,以后做精确匹配或者最长匹配包转发率低高成本高低二层交换不支持支持三层接口和物理接口对应关系一一对应一个VLAN三层接口可以包含多个物理接口交换机相关协议和技术应该说,交换机涉及到的协议和技术比较多,这里只对交换机特有的协议和特性进行简单地介绍。像路由协议等路由器也具有的特性,本文不再阐述。目的是让大家对交换机一些特色的东西有个感性的认识,做到知其然即可。物理层特性〔接口自协商以太网技术发展到100M速率以后,出现了一个如何与原10M以太网设备兼容的问题,自协商技术就是为了解决这个问题而制定的,如下图。以太网的自协商自协商功能允许一个网络设备将自己所支持的工作模式信息传达给网络上的对端,并接受对方可能传递过来的相应信息。自协商功能完全由物理层芯片设计实现,因此并不使用专用数据报文或带来任何高层协议开销。在链路初始化时,自协商协议向对端设备发送16bit的报文并从对端设备接收类似的报文。自协商的内容主要包括速度、双工、流控等等,一方面通知对端设备自身可工作的方式,另一方面,从对端发来的报文中获得对端设备可以工作的方式。如果对端设备不支持自协商,缺省的假设是：链路工作于半双工模式。所以,如果对端设备为强制10M全双工工作模式,和自协商的设备协商出的结果将是：对端工作在10M全双工工作模式,自协商的设备工作在10M半双工的工作模式,这种连接虽然可以通信,但是必将会产生大量的冲突存在,需要在组网中注意避免。采用光纤作为介质的以太网同样有着非常广泛的应用。通常光纤连接的速率为100Mb/s或者1000Mb/s。显然,自动协商配置如果能够同样适用于光纤,将是非常方便的。然而不幸的是,由于很难解决与原有系统的兼容问题,光纤上的以太网自协商宣告失败。目前,千兆以太网的自协商机制已经实现。智能MDI/MDIX自识别以太网交换机属于MDIX设备,输出的以太网口属于MDIX接口,连接MDI类设备〔如PC机时,需要使用普通〔平行网线,如果采用交叉网线,是不能正确连接通信的。以太网交换机的10/100M以太网口具备智能MDI/MDIX识别技术,可以自动识别连接的网线类型,用户不管采用普通网线或者交叉网线均可以正确连接设备,极大方便了用户的使用。用户也可以对端口进行配置,将其强制配置成MDIX或者MDI工作方式。MDI/MDIX识别技术的实现是通过物理层芯片和变压器技术实现了该功能。物理层芯片内部的电子开关可以进行MDI和MDIX之间的智能切换,具有中心抽头的、收发对称的变压器保证了发送与接收通道的切换。流控机制网络拥塞一般是由于速率不匹配〔如100M向10M端口发送数据和突发的集中传输而产生的,它可能导致这几种情况：延时增加、丢包、重传增加,网络资源不能有效利用。IEEE802.3x规定了一种64字节的"PAUSE"MAC控制帧的格式。当端口发生阻塞时,交换机向信息源发送"PAUSE"帧,告诉信息源暂停一段时间再发送信息。在实际的网络中,尤其是一般局域网,产生网络拥塞的情况极少,所以有的厂家的交换机并不支持流量控制。高性能的交换机应支持半双工方式下的反向压力和全双工的IEEE802.3x流控。有的交换机的流量控制将阻塞整个LAN的输入,降低整个LAN的性能；高性能的交换机采用的策略是仅仅阻塞向交换机拥塞端口输入帧的端口,保证其他端口用户的正常工作。后退压力算法<backpressure>桥接式或交换式半双工以太网利用CSMA/CD机制处理速度不同的站之间的传输问题,它采用一种所谓的"后退压力〔backpressure"概念。例如,如果一台高速100Mbps服务器通过交换机将数据发送给一个10Mbps的客户机,该交换机将尽可能多地缓冲其帧,一旦交换机的缓冲区即将装满,它就通知服务器暂停发送。有两种方法可以达到这一目的：交换机可以强行制造一次与服务器的冲突,使得服务器退避；或者,交换机通过插入一次"载波检测"使得服务器的端口保持繁忙,这样就能使服务器感觉到交换机要发送数据一样。利用这两种方法,服务器都会在一段时间内暂停发送,从而允许交换机去处理积聚在它的缓冲区中的数据IEEE802.3x-发送PAUSE帧在全双工环境中,服务器和交换机之间的连接是一个无碰撞的发送和接收通道。由于没有碰撞检测,且不允许交换机通过产生一次冲突而使得服务器停止发送,那么服务器将一直发送到交换机的帧缓冲器溢出。因此,IEEE制定了一个组合的全双工流量控制标准802.3x。IEEE802.3x标准定义了一种新方法,在全双工环境中去实现流量控制。交换机产生一个PAUSE帧,PAUSE帧使用一个保留的组播地址：01-80-C2-00-00-01,将它发送给正在发送的站,发送站接收到该帧后,就会暂停或停止发送。PAUSE帧利用了一个保留的组播地址,它不会被网桥和交换机所转发,这样,PAUSE帧不会产生附加信息量。POE供电POE〔PowerOverEthernet,其基本原理和作用就是通过10BASE-T、100BASE-TX、1000BASE-T以太网网络对设备或终端进行供电。其基本优点是：可靠,实现了集中式电源供电；方便,网络终端不需外接电源,只需要一根网线；标准,802.3af标准,2003.6正式批准,全球统一的电源接口。从应用角度看,POE技术应用前景广泛,像IP电话、无线AP、便携设备充电器、刷卡机、摄像头、数据采集的终端设备都可以通过POE来供电。POE供电系统的电压为-48V直流。802.3af标准定义了两种设备PSE和PD。PSEpower-sourcingequipment供电设备。PSE可以细分为两种：一种是Midspan：POE功能在交换机外。另外一种是Endpoint：POE功能集成到交换机内。PDPoweredDevice受电设备。另外,802.3af标准还定义了PI〔PowerInterface,即PSE/PD与网线的接口。目前支持两种方式：AlternativeA1,2,3,6〔即采用信号线供电和AlternativeB4,5,7,8〔采用空闲线供电。一般来说,标准的PD设备必须支持两种受电方式,但PSE设备只需支持其中一种,MONZA和F1的PSE交换机只支持信号线供电,而S3026C-PWR可以支持两种供电方式,这种优势使其可以轻松支持我司的一些傻瓜型PD设备〔这些设备基本上都是空闲线供电的。端口镜像端口镜像的主要作用就是查看网络中某个或某些端口流量,用于故障定位和分析。一般启动端口镜像功能的步骤是：先设置一个监控端口,用于接网络分析仪器等设备然后,在设定被监控或者镜像的端口。通过ASIC硬件将被镜像端口的流量原封不动地COPY到监控端口,进行分析。设定为监控的端口也具有普通业务口的所有功能,能支持所有的业务。一般情况下,交换机只允许设置一个监控端口,但被镜像端口可以是多个或者一个。二层协议和特性STP/RSTP/MSTP协议生成树协议主要是为了解决以下几个问题：消除桥接网络中可能存在的路径回环；对当前活动路径产生阻塞、断链等问题时提供冗余备份路径生成树算法的基本思想是：在网桥之间传递特殊的消息,使之能够据此来计算生成树。这种特殊的消息称为"配置消息〔ConfigurationBPDU"或者"配置BPDU"。通过BPDU信息的传送,首先在网络中选出根交换机〔也称根桥,然后计算各路径的优劣,打开〔处于forwaring状态或者阻塞〔discarding状态相应的链路。STP是一种二层管理协议,它通过有选择地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路备份的功能。STP掌管着端口的转发大权——"小树枝抖一抖,上层协议就得另谋生路"。如下图,BPDU在各交换机之间传播。根据计算结果,交换机A被选为网络的根桥,交换机B和C之间、交换机B和D之间的链路被阻塞。最终,网络形成了以交换机A为根的一棵拓扑树,没有环路。假设交换机A和C之间链路断开,则原来处于阻塞状态B和C之间链路将变成forwarding,使的交换机C可以通过B到达根桥。SwiSwitchASwitchBSwitchCSwitchDROOTBPDUSTP阻塞网络环路STP：IEEEStd802.1D-1998定义,不能快速迁移。即使是在点对点链路或边缘端口,也必须等待2倍的forwarddelay的时间延迟,网络才能收敛。RSTP：IEEEStd802.1w定义,在STP基础上做了三点改进,使收敛速度更快：1引入了Alternate端口和backup端口角色；2引入点对点链路概念；3引入了边缘端口概念。RSTP可以快速收敛,却存在以下缺陷：局域网内所有网桥共享一棵生成树,不能按vlan阻塞冗余链路。MSTP：IEEEStd802.1s定义,一种新型多实例化生成树协议。其精妙之处在于它把支持MSTP的交换机和不支持MSTP的交换机划分为不同的区域,分别成为MST域和SST域。在MST域内部运行多实例的生成树,在MST域的边缘运行RSTP兼容的内部生成树。MSTP具有VLAN认知能力,可以实现负载均衡,可以实现类似于RSTP的端口快速切换,可以捆绑多个VLAN到一个实例中以降低资源利用率。MSTP可以很好的向下兼容STP/RSTP协议。它允许不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。如下图,A是VLAN2的根桥,B是VLAN3的根桥。因此,B和C之间VLAN2Access链路、A和D之间VLAN3Access链路被阻塞掉。SwiSwitchASwitchBSwitchCSwitchDVLAN2ROOTBPDUVLAN3ROOTTrunkVLAN2,3VLAN2VLAN3VLAN3VLAN2MSTP根据VLAN进行阻塞链路GARP/GVRP/GMRPGARP是GenericAttributeRegistrationProtocol的缩写。该协议是为了建立一种属性传递扩散的机制,以保证采用该协议实体能够注册和注销该属性。如下图,GARP属性传递的过程主要是：采用发送声明〔Declaration、接收到声明进行属性注册；发送取消声明〔withdrawdeclaration、接收到取消声明进行属性注销。GARP属性注册和注销如图28,属性A通过GARP协议的信息传递机制,分别在交换机S1、S2、S3接收到注册报文的端口进行了注册〔a。显然,GARP协议的属性注册和注销仅仅是对于接收到GARPBPDU的端口而言的。这样,只有单个属性源的情况下,属性注册形成的都是单向通路。双向通路只有两个相同的属性源注册后才能形成,确保了与属性相关的流量限制在了该双向链路上。减少了网络的冗余。S1S1S2S3GARP基本原理需要强调的是,GARP本身不作为一个实体在Switch中存在。利用GARP机制来实现信息传递的具体应用实体称为GARP应用。目前主要的GARP应用为GVRP和GMRP,GVRP维护Switch中的VLAN动态注册信息,而GMRP维护Switch中的动态多播组注册信息。CISCO特性协议VTP<VLANTrunkProtocol>,其实现功能与GVRP类似。聚合特性聚合为交换机提供了端口捆绑的技术,允许两个交换机之间通过两个或多个端口并行连接同时传输数据以提供更高的带宽。聚合是目前许多交换机支持的一个高级特性。采用聚合有很多优点：增加网络带宽。聚合可以将多个端口捆绑成为一个逻辑连接,捆绑后的带宽是每个独立端口的带宽总和。当端口上的流量增加而成为限制网络性能的瓶颈时,采用支持该特性的交换机可以轻而易举地增加网络的带宽〔例如,可以将2-4个100Mbit/s端口连接在一起组成一个200—400Mbit/s的连接。该特性可适用于10M、100M、1000M以太网。提高网络连接的可靠性。当主干网络以很高的速率连接时,一旦出现网络连接故障,后果是不堪设想的。高速服务器以及主干网络连接必须保证绝对的可靠。采用聚合的一个良好的设计可以对这种故障进行保护,例如,将一根电缆错误地拔下来不会导致链路中断。也就是说,组成聚合的一个端口一旦连接失败,网络数据将自动重定向到那些好的连接上。这个过程非常快,可以保证网络无间断地继续正常工作。实现网络流量的负载分担。目前大部分交换机都可以根据以太网帧的源、目的MAC进行流量在各个聚合端口上的分担,而且根据源、目的IP地址进行流量分担也已经实现。聚合的方式主要有手工聚合和动态聚合,动态聚合需要LACP协议支撑,该协议定义在IEEE802.3ad中。Isolate-user-vlan在通常的组网中,边缘交换机会给每个用户分配一个VLAN,然后通过Trunk链路将所有用户汇聚到上行交换机。因此,边缘交换机配置了多少个VLAN,上行交换机也必须配置多少个VLAN。但某些汇聚交换机支持的VLAN数目是有一定限制的,从而导致组网受限。所以,提出了Isolate-user-vlan来解决这个问题。Isolate-user-vlanIsolate-user-vlan的基本原理如下：一个Isolate-user-vlan和多个SecondaryVLAN对应,Isolate-user-vlan包含所对应的所有SecondaryVLAN中包含的端口和连接上行交换机的端口。这样,对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate-user-vlan中包含的SecondaryVLAN,简化了网络配置,节省了VLAN资源〔如图29所示。当然,通过另外一种方式也可以避免汇聚交换机VLAN数目不足的问题,那就是VLAN透传。也就是说,汇聚交换机不对报文的Tag进行处理,直接根据MAC地址进行转发,相当于该汇聚交换机不支持VLAN功能。二层多播前文也提到了多播MAC地址,多播的作用就是将数据只传递给有接收者的那些链路。在二层提出多播的原因主要是：交换机对多播报文当广播处理。因此,在实际的网络应用中,会导致所有的用户都能接收到组播报文,即使该用户未请求该业务。从而导致网络带宽的浪费和影响安全性,如图30中"不支持多播功能的二层交换机"。不支持多播功能交换机从原理上将,在二层实现多播可以有如下四种方案方案1：VLAN定义多播的边界。由于VLAN可以隔离广播报文,因此当然可以隔离多播报文。但该方法的主要缺点是不灵活,会消耗很多的VLAN资源；方案2：GMRP。GARP可以用于属性的注册,当然包括多播MAC地址。但该方法面临的主要问题是当前没有第三方客户端支持来支持该协议的使用,基本没有采用。方案3：CGMP。该协议是Cisco的私有协议,在组网和互通方面有一定限制。方案4：IGMPSnooping,是目前应用最广泛的二层组播协议。其基本原理是二层交换机截获主机和路由器之间传送的IGMP报文,建立多播MAC和端口的对应表,从而控制多播报文在二层交换机上的转发。如图30中支持IGMP-Snooping的交换机。QinQQinQ即双Tag,在原来VLANTag的基础上再加上一层Tag。QinQ主要用于虚拟城域网〔vMAN-virtualMetropolitanAreaNetwork中,用于实现VLAN的VPN。如下图：QinQ实现vMAN在城域网核心交换网络中,运行商会给每个客户分配特定的VLANID。因此,当某客户在DomainA的报文〔一般都带有客户自己私有的VLANTag发送到城域网交换机上时,城域网交换机会根据指定的配置给该报文加上又一层VLANTag,即此时报文有双层Tag。该报文在城域网核心交换网络内转发,转发的依据是城域网交换机加上的VLANTag。当报文从vMAN另一个交换机进入客户的DomainB时,城域网交换机会把在vMAN中交换所使用的VlanTag去掉,还原原有的数据包。这样可以保证在vMAN内,数据包按照vMANtag进行交换,在DomainA,B内按照原来的VlanTag进行交换。从而把vMAN和用户端隔离开来。三层特性SuperVLAN接入交换机接入用户,用户之间用VLAN来进行隔离,汇聚交换机汇聚并实现各VLAN之间的互通,这是一种典型的城域网小区用户通过以太网实现宽带接入的方法。在这种应用中,VLAN被用来作为隔离、标识和管理用户所用,其在一定程度上实现了可运营可管理的经营方式。但目前这种组网模型中存在一个问题,那就是每个VLAN都需要占用一个独立的网段,各VLAN的网关各不相同。因此,一方面造成大量IP地址的浪费,另一方面是管理不便〔在DHCP服务器情况下,不同的用户都需要告知其网关IP地址。为解决这个问题,提出了SuperVLAN的概念,它实现了多个VLAN可共用一个网段,用户都用相同的网关IP地址SuperVLAN又称为VLAN聚合〔VLANAggregation-RFC3069,是一种优化IP地址的管理技术。其基本概念是在一个物理网络内,用VLAN隔离广播域,主机的IP地址分配在一个网段内,共用一个默认网关。VLAN聚合的基本构成为一个SuperVLAN和多个SubVLAN。SuperVLAN只建立三层接口,不包含物理端口；SubVLAN只包含物理端口,但不能建立三层接口；在SubVLAN内的主机其网关都只能设定为SuperVLAN配置的IP地址。因此,SuperVLAN内主机通信无法通过二层交换机来进行〔因为VLAN隔离了二层交换,需要通过ARPProxy技术来实现。ARPProxy,也称为ARP代理。VLAN隔离等因素会导致属于一个IP子网内主机无法直接通过二层交换来实现通信,源主机向子网中的目的主机发ARPrequest时,该IP子网的网关会用自己接口的MAC地址代替目的主机回ARPreply,这个过程称为ARP代理。也就是说,该IP子网内主机通信的报文都会交给子网网关来处理。当然,子网主机和子网外主机通信则和普通三层交换机完全一致。Qos/ACL关于Qos/ACL,这里只强调一下：对于交换机而言,其基本功能的实现完全依赖于ASIC支持程度。因此,交换机目前的Qos/ACL功能相比较而言远没有路由器灵活和强大。一般来说,交换机Qos支持如下功能：CAR〔CommittedAccessRate优先级标记流量统计报文重定向流镜像SP/WRR/WFQ队列调度方式安全特性802.1X在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,因此网络安全性较差。从安全性和运营管理上考虑,有必要对端口加以控制,以实现用户级的接入控制。IEEE802.1X标准就是为了解决以太网基于端口接入控制〔Port-BasedAccessControl的问题。802.1X协议起源于802.11协议,后者是标准的无线局域网协议。802.1X协议起初的主要目的是为了解决无线局域网用户的接入认证问题,现已经被应用于一般的有线LAN接入。总的来说,802.1X协议有如下特点：802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略；802.1X是基于端口的认证策略〔这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个"端口"就是一条信道；802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就"打开"这个端口,允许文所有的报文通过；如果认证不成功就使这个端口保持"关闭"。此时,只允许802.1X的认证报文EAPOL〔ExtensibleAuthenticationProtocoloverLAN通过〔参见图32。802.1X认证体系分为三部分结构：客户端〔SupplicantSystem——是—需要接入LAN,及享受Switch提供服务的设备〔如PC机。客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如：华为开发的802.1X客户端,MicrosoftWindowsXP自带客户端；认证系统〔AuthenticatorSystem——是根据客户的认证状态控制物理接入的设备,如交换机或无线接入设备。认证系统在客户和认证服务器间充当代理角色：认证系统与客户端间通过EAPOL协议进行通讯,认证系统与认证服务器间通过EAPoverRadius或EAP承载在其他高层协议上,以便穿越复杂的网络到达AuthenticationServer。认证系统要求客户端提供身份标识〔identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同。认证系统根据认证结果控制端口是否可用；认证服务器〔AuthenticationserverSystem——对客户进行实际认证,核实客户的identity,通知认证系统是否允许客户端访问LAN和交换机提供的服务。由于EAP协议较为灵活,除了IEEE802.1X定义的端口状态外,认证服务器实际上也可以用于认证和下发更多用户相关的信息,如VLAN、QOS、加密认证密钥、DHCP响应等。802.1X认证体系结构PORTALPORTAL认证的提出主要用于解决以下