以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)教材.doc

精品華為三康技術(shù)有限公司Huawei-3Com Technologies Co., Ltd.文檔編號(hào) Document ID密級(jí) Confidentiality level內(nèi)部公開 Confidential文檔狀態(tài) Document Status共64頁Total 64pages 以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)教材Prepared by 擬制程永椿 00742Date日期2005-3-13Reviewed by 評(píng)審人李博 00404Date日期2005-3-14Approved by批準(zhǔn)Date日期yyyy-mm-ddAuthorized by簽發(fā)Date日期yyyy-mm-ddHuawei-3Com Technologies Co., Ltd. 華為3Com技術(shù)有限公司All rights reserved版權(quán)所有 侵權(quán)必究Revision record 修訂記錄Date日期Revision Version修訂版本CR ID / Defect IDCR號(hào)Section Number修改章節(jié)Change Description修改描述Author作者2005-3-131.00Initial 初稿完成Jimmy Cheung程永椿2005-3-141.01ALL1. 增加縮略語2. 修改原文中的部分錯(cuò)誤李博yyyy-mm-dd1.02xxxx.x.x; y.y.yrevised xxx 修改XXX1. Xxx1. Xxx1. .Name作者名Catalog目 錄1以太網(wǎng)概述82以太網(wǎng)的基礎(chǔ)知識(shí)82.1MAC地址82.2以太網(wǎng)幀的幀格式92.2.1以太網(wǎng)102.2.2帶有802.2邏輯鏈路控制的IEEE 802.3102.2.3IEEE 802.3子網(wǎng)訪問協(xié)議（以太網(wǎng)SNAP）102.2.4Novell以太網(wǎng)112.3CSMA/CD112.4沖突域和廣播域122.5以太網(wǎng)的典型設(shè)備-HUB122.6全雙工以太網(wǎng)133二層交換機(jī)的基本原理133.1二層交換機(jī)133.2支持VLAN的二層交換機(jī)163.2.1VLAN的概念173.2.2VLAN的劃分183.2.3VLAN的標(biāo)準(zhǔn)193.2.4支持VLAN交換機(jī)的轉(zhuǎn)發(fā)流程214三層交換機(jī)基本原理244.1三層交換機(jī)的提出244.2三層交換機(jī)基本特征254.3三層交換機(jī)的功能模型254.4三層交換機(jī)轉(zhuǎn)發(fā)流程274.4.1IP網(wǎng)絡(luò)規(guī)則274.4.2三層轉(zhuǎn)發(fā)流程274.4.3選路過程294.5路由器和交換機(jī)314.5.1接口324.5.2特點(diǎn)對照325交換機(jī)相關(guān)協(xié)議和技術(shù)325.1物理層特性（接口）325.1.1自協(xié)商335.1.2智能MDI/MDIX自識(shí)別335.1.3流控機(jī)制345.1.4POE供電355.1.5端口鏡像355.2二層協(xié)議和特性355.2.1STP/RSTP/MSTP協(xié)議365.2.2GARP/GVRP/GMRP375.2.3聚合特性385.2.4Isolate-user-vlan395.2.5二層多播405.2.6QinQ405.3三層特性415.3.1SuperVLAN415.4Qos/ACL425.5安全特性425.5.1802.1X425.5.2PORTAL435.6管理特性455.6.1集群管理465.6.2WEB網(wǎng)管475.7IRF475.8與路由器相同的一些特性496以太網(wǎng)交換機(jī)主要廠商496.1Cisco496.2Extreme496.3Foundry506.4港灣507參考資料50圖索引圖 1MAC地址9圖 2常用的以太網(wǎng)幀格式10圖 3由HUB組成的網(wǎng)絡(luò)13圖 4全雙工以太網(wǎng)13圖 5二層交換機(jī)結(jié)構(gòu)示意圖14圖 6二層交換機(jī)的轉(zhuǎn)發(fā)流程15圖 7二層交換機(jī)工作在鏈路層15圖 8交換機(jī)的沖突域和廣播域16圖 9由二層交換機(jī)構(gòu)成的扁平網(wǎng)絡(luò)16圖 10基于端口VLAN的劃分18圖 11802.1Q VLAN幀格式20圖 12Trunk鏈路實(shí)現(xiàn)虛擬工作組20圖 13支持VLAN交換機(jī)交換引擎21圖 14IVL和SVL地址學(xué)習(xí)方式22圖 15IVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程23圖 16SVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程23圖 17支持VLAN交換機(jī)沖突域和廣播域24圖 18三層交換機(jī)功能模型26圖 19三層交換引擎26圖 20三層轉(zhuǎn)發(fā)流程28圖 21路由器的最長匹配轉(zhuǎn)發(fā)30圖 22三層交換機(jī)轉(zhuǎn)發(fā)-精確匹配31圖 23三層交換機(jī)轉(zhuǎn)發(fā)-最長匹配31圖 24以太網(wǎng)的自協(xié)商33圖 25STP阻塞網(wǎng)絡(luò)環(huán)路36圖 26MSTP根據(jù)VLAN進(jìn)行阻塞鏈路37圖 27GARP屬性注冊和注銷37圖 28GARP基本原理38圖 29Isolate-user-vlan39圖 30不支持多播功能交換機(jī)40圖 31QinQ實(shí)現(xiàn)vMAN41圖 32802.1X認(rèn)證體系結(jié)構(gòu)43圖 33PORTAL認(rèn)證四大要素45圖 34集群的組成47圖 35IRF的組成48圖 36IRF的典型應(yīng)用49表索引表 1.LAN/MAN參考模型17表 2.路由器和三層交換機(jī)的特點(diǎn)對比32表 3.PORTAL、PPPoE/A、802.1X三種認(rèn)證方式的特點(diǎn)對比45以太網(wǎng)交換機(jī)基礎(chǔ)培訓(xùn)教材Keywords 關(guān)鍵詞：以太網(wǎng)，交換機(jī)，LAN，VLAN，IRFAbstract 摘 要：本文介紹以太網(wǎng)交換機(jī)的相關(guān)知識(shí)和基本原理。主要包括：1）以太網(wǎng)交換機(jī)基礎(chǔ)知識(shí)；2）二、三層交換機(jī)的基本原理和轉(zhuǎn)發(fā)流程；3）以太網(wǎng)交換機(jī)常用特性和技術(shù)。List of abbreviations 縮略語清單： Abbreviations 縮略語Full spelling 英文全名Chinese explanation 中文解釋POEPower Over Ethernet以太網(wǎng)供電IVLIndependent Vlan Learning獨(dú)立vlan學(xué)習(xí)SVLSharing Vlan Learning共享vlan學(xué)習(xí)VLANVirtual Local Area Network虛擬局域網(wǎng)GVRPGeneric Vlan Registration Protocol通用vlan注冊協(xié)議RSTPRapid Spanning Tree Protocol快速生成樹協(xié)議MSTPMultiple Spanning Tree Protocol多實(shí)例生成樹協(xié)議LACPLink Aggregation Control Protocol鏈路聚合控制協(xié)議DHCPDynamic Host Configuration Protocol動(dòng)態(tài)主機(jī)配置協(xié)議NTPNetwork Time Protocol網(wǎng)絡(luò)時(shí)間協(xié)議VRRPVirtual Router Redundancy Protocol虛擬路由冗余協(xié)議RIPRouting Information Protocol路由信息協(xié)議OSPFOpen Shortest Path First開放最短路徑優(yōu)先IS-ISIntermediate System-to-Intermediate System intra-domain routing information exchange protocolIS-IS路由協(xié)議BGPBorder Gateway Protocol邊界網(wǎng)關(guān)協(xié)議IGMPInternet Group Management ProtocolInternet組管理協(xié)議IGMP SnoopingInternet Group Management Protocol SnoopingIGMP偵聽GMRPGeneric Multicast Registration Protocol通用組播注冊協(xié)議PIM-DMProtocol Independent Multicast-Dense Mode密集模式協(xié)議無關(guān)組播PIM-SMProtocol Independent Multicast-Sparse Mode稀疏模式協(xié)議無關(guān)組播MSDPMulticast Source Discovery Protocol組播源發(fā)現(xiàn)協(xié)議WREDWeighted Random Early Detection加權(quán)隨機(jī)早期檢測CHAPChallenge Handshake Authentication Protocol質(zhì)詢握手驗(yàn)證協(xié)議PAPPassword Authentication Protocol密碼驗(yàn)證協(xié)議EAPExtensible Authentication Protocol可擴(kuò)展認(rèn)證協(xié)議SSHSecure Shell安全外殼IDSIntrusion Detection System入侵檢測系統(tǒng)RMONRemote MONitor遠(yuǎn)程監(jiān)控HGMPHuawei Group Management Protocol華為組管理協(xié)議NDPNeighbor Discovery Protocol鄰居發(fā)現(xiàn)協(xié)議IRFIntelligent Resilient Framework智能彈性架構(gòu)1 以太網(wǎng)概述以太網(wǎng)是在70年代初期由Xerox公司Palo Alto研究中心推出的。1979年Xerox、Intel和DEC公司正式發(fā)布了DIX版本的以太網(wǎng)規(guī)范，1983年IEEE 802.3標(biāo)準(zhǔn)正式發(fā)布。初期的以太網(wǎng)是基于同軸電纜的，到八十年代末期基于雙絞線的以太網(wǎng)完成了標(biāo)準(zhǔn)化工作，即我們常說的10BASE-T。隨著市場的推動(dòng)，以太網(wǎng)的發(fā)展越來越迅速，應(yīng)用也越來越廣泛。下面簡單列一下以太網(wǎng)的發(fā)展歷程： 70年代初，以太網(wǎng)產(chǎn)生； 1929年，DEC、Intel、Xerox成立聯(lián)盟，推出DIX以太網(wǎng)規(guī)范； 1980年，IEEE成立了802.3工作組； 1983年，第一個(gè)IEEE802.3標(biāo)準(zhǔn)通過并正式發(fā)布 通過80年代的應(yīng)用，10Mb/s以太網(wǎng)基本發(fā)展成熟 1990年，基于雙絞線介質(zhì)的10BASE-T標(biāo)準(zhǔn)和IEEE 802.1D網(wǎng)橋標(biāo)準(zhǔn)發(fā)布 90年代，LAN交換機(jī)出現(xiàn)，逐步淘汰共享式網(wǎng)橋 1992年，出現(xiàn)了100Mb/s快速以太網(wǎng) 通過100BASE-T標(biāo)準(zhǔn)(IEEE802.3u) 全雙工以太網(wǎng)(IEEE97) 千兆以太網(wǎng)開始迅速發(fā)展(96) 1000Mb/s千兆以太網(wǎng)標(biāo)準(zhǔn)問世(IEEE802.3z/ab) IEEE 802.1Q和802.1P標(biāo)準(zhǔn)出現(xiàn)(98) 10GE以太網(wǎng)工作組成立(IEEE802.3ae)2 以太網(wǎng)的基礎(chǔ)知識(shí)以太網(wǎng)是一種能夠使計(jì)算機(jī)進(jìn)行相互傳遞信息的介質(zhì)，它利用二進(jìn)制位形成一個(gè)個(gè)的字節(jié)，這些字節(jié)然后組合成一幀幀的數(shù)據(jù)。幀有一個(gè)起點(diǎn)，我們稱之為幀頭；也有終點(diǎn)，我們稱之為作幀尾。以太網(wǎng)由許多物理網(wǎng)段組合而成，每個(gè)網(wǎng)段包括一些導(dǎo)線和與導(dǎo)線相連的網(wǎng)絡(luò)設(shè)備。以太網(wǎng)上有很多網(wǎng)絡(luò)設(shè)備，每個(gè)設(shè)備都會(huì)接收到各種各樣的幀信息。那么，設(shè)備怎樣才能知道幀是否是直接對它進(jìn)行訪問呢？其實(shí)，在每個(gè)幀報(bào)頭中，都包含有一個(gè)目地介質(zhì)訪問控制地址（MAC）和一個(gè)源MAC地址，目的MAC地址就可以告訴網(wǎng)絡(luò)設(shè)備幀是否是對它進(jìn)行直接訪問。如果設(shè)備發(fā)現(xiàn)幀的目的MAC地址與自己的MAC不匹配，設(shè)備將對不處理該幀。2.1 MAC地址MAC地址有48位，它可以轉(zhuǎn)換成12位的十六進(jìn)制數(shù)，參見圖1。這個(gè)數(shù)分成三組，每組有四個(gè)數(shù)字，中間以點(diǎn)分開。MAC地址有時(shí)也稱為點(diǎn)分十六進(jìn)制數(shù)。為了確保MAC地址的唯一性，IEEE對這些地址進(jìn)行管理。每個(gè)地址由兩部分組成，分別是供應(yīng)商代碼和序列號(hào)。供應(yīng)商代碼代表NIC（網(wǎng)絡(luò)接口卡）制造商的名稱，它占用MAC的前六位12進(jìn)制數(shù)字，即24位二進(jìn)制數(shù)字。序列號(hào)由供應(yīng)商管理，它占用剩余的6位地址，或最后的24位二進(jìn)制數(shù)字。圖 1 MAC地址從實(shí)際使用的角度看，以太網(wǎng)的MAC地址可以分為三類，分別是單播地址、多播地址、廣播地址： 單播地址：第一字節(jié)最低位為0，00e0.fc00.0006。用于網(wǎng)段中兩個(gè)特定設(shè)備之間的通信，可以作為以太網(wǎng)幀的源和目的MAC地址； 多播地址：第一字節(jié)最低位為1，01e0.fc00.0006。用于網(wǎng)段中一個(gè)設(shè)備和其他多個(gè)設(shè)備通信，只能作為以太網(wǎng)幀的目的MAC； 廣播地址：48位全1，ffff.ffff.ffff。用于網(wǎng)段中一個(gè)設(shè)備和其他所有設(shè)備通信，只能作為以太網(wǎng)幀的目的MAC。2.2 以太網(wǎng)幀的幀格式對MAC地址有一個(gè)基本認(rèn)識(shí)后，我們有必要進(jìn)一步了解以太網(wǎng)幀的幀格式是怎么樣的？有哪幾種常用的幀格式？下圖就是目前常用幾種以太網(wǎng)幀格式。圖 2 常用的以太網(wǎng)幀格式2.2.1 以太網(wǎng)幀頭的作用是標(biāo)識(shí)封裝在幀中的第3層信息包的類型。以太網(wǎng)使用類型字段，其長度為2個(gè)字節(jié)。這種幀格式是目前最常用的以太網(wǎng)幀格式。2.2.2 帶有802.2邏輯鏈路控制的IEEE 802.3IEEE基于原始的以太網(wǎng)幀來設(shè)計(jì)自己的以太網(wǎng)幀類型。IEEE 802.3的以太網(wǎng)幀報(bào)頭和以太網(wǎng)的幀報(bào)頭非常相似，不過其類型字段的長度有所變化，它增加了一個(gè)稱作邏輯鏈路控制（LLC）的字段。LLC用來識(shí)別信息包中使用的第3層協(xié)議。LLC報(bào)頭或IEEE報(bào)頭都包含DSAP（destination service access point，目的服務(wù)訪問點(diǎn)）、SSAP（source service access point，源服務(wù)訪問點(diǎn)）和控制字段。DSAP和SSAP合并后就可標(biāo)識(shí)第3層協(xié)議的類型。2.2.3 IEEE 802.3子網(wǎng)訪問協(xié)議（以太網(wǎng)SNAP）80年代中期，以太網(wǎng)非常流行，IEEE擔(dān)心它將使用完所有的DSAP和SSAP編碼，所以就定義了一種新的幀格式。這種幀格式稱為以太網(wǎng)子網(wǎng)訪問協(xié)議，有時(shí)候也稱為以太網(wǎng)SNAP。這種格式的幀報(bào)頭以“AA”取代DSAP和SSAP。在DSAP和SSAP字段中出現(xiàn)“AA”時(shí)，幀是一個(gè)以太網(wǎng)SNAP幀。這時(shí)，第3層協(xié)議將在OUI（Organizational unique identifier，組織唯一標(biāo)識(shí)）字段后的類型字段中表示。QUI是一個(gè)6位的十六進(jìn)制數(shù)，它可以唯一地標(biāo)識(shí)一個(gè)組織。IEEE對QUI進(jìn)行賦值。2.2.4 Novell以太網(wǎng)Novell以太網(wǎng)幀類型只適用于IPX通信。Novell以前沒有考慮IPX將附屬于其他第3層協(xié)議。所以，也就沒有必要用字段來識(shí)別第3層協(xié)議。如果你運(yùn)行的是Novell網(wǎng)絡(luò)，就可以使用IPX。Novell以太網(wǎng)幀格式以一個(gè)長度字段來取代類型字段，與前面的IEEE的做法一樣。不過長字段后沒有LLC字段。2.3 CSMA/CD以太網(wǎng)使用CSMA/CD（Carrier Sense Multiple Access with Collision Detection，帶有沖突監(jiān)測的載波偵聽多址訪問）。我們可以將CSMA /CD比做一種文雅的交談。在這種交談方式中，如果有人想闡述觀點(diǎn)，他應(yīng)該先聽聽是否有其他人在說話（即載波偵聽）。如果這時(shí)有人在說話，他應(yīng)該耐心地等待，直到對方結(jié)束說話，然后他才可以開始發(fā)表意見。另外，有可能兩個(gè)人在同一時(shí)間都想開始說話，那會(huì)出現(xiàn)什么樣的情況呢？顯然，如果兩個(gè)人同時(shí)說話，這時(shí)很難辨別出每個(gè)人都在說什么。但是，在文雅的交談方式中，當(dāng)兩個(gè)人同時(shí)開始說話時(shí)，雙方都會(huì)發(fā)現(xiàn)他們在同一時(shí)間開始講話（即沖突檢測），這時(shí)說話立即終止。隨機(jī)地過了一段時(shí)間后（回退），說話才開始。說話時(shí)，由第一個(gè)開始說話的人來對交談進(jìn)行控制，而第二個(gè)開始說話的人將不得不等待，直到第一個(gè)人說完，然后他才能開始說話。除計(jì)算機(jī)以外，以太網(wǎng)的工作方式與上面的方式相同。首先，以太網(wǎng)網(wǎng)段上需要進(jìn)行數(shù)據(jù)傳送的節(jié)點(diǎn)對導(dǎo)線進(jìn)行監(jiān)聽，這個(gè)過程稱為CSMA/CD的載波偵聽。如果，這時(shí)有另外的節(jié)點(diǎn)正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點(diǎn)將不得不等待，直到傳送節(jié)點(diǎn)的傳送任務(wù)結(jié)束。如果某時(shí)恰好有兩個(gè)工作站同時(shí)準(zhǔn)備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號(hào)。這時(shí)，節(jié)點(diǎn)上所有的工作站都將檢測到?jīng)_突信號(hào)，因?yàn)椋@時(shí)導(dǎo)線上的電壓超出了標(biāo)準(zhǔn)電壓。沖突產(chǎn)生后，這兩個(gè)節(jié)點(diǎn)都將立即發(fā)出擁塞信號(hào)，以確保每個(gè)工作站都檢測到這時(shí)以太網(wǎng)上已產(chǎn)生沖突，導(dǎo)線上的帶寬為0 Mb/s。然后，網(wǎng)絡(luò)進(jìn)行恢復(fù)，在恢復(fù)的過程中，導(dǎo)線上將不傳送數(shù)據(jù)。在這一過程中，不屬于產(chǎn)生沖突的網(wǎng)段上的節(jié)點(diǎn)也要等到?jīng)_突結(jié)束后才能傳送數(shù)據(jù)。當(dāng)兩個(gè)節(jié)點(diǎn)將擁塞信號(hào)傳送完，并過了一段隨機(jī)時(shí)間后，這兩個(gè)節(jié)點(diǎn)便開始將信號(hào)恢復(fù)到零位。第一個(gè)達(dá)到零位的工作站將首先對導(dǎo)線進(jìn)行監(jiān)聽，當(dāng)它監(jiān)聽到?jīng)]有任何信息在傳輸時(shí)，便開始傳輸數(shù)據(jù)。當(dāng)?shù)诙€(gè)工作站恢復(fù)到零位后，也對導(dǎo)線進(jìn)行監(jiān)聽，當(dāng)監(jiān)聽到第一個(gè)工作站已經(jīng)開始傳輸數(shù)據(jù)后，就只好等待了。注意實(shí)際上，隨機(jī)的時(shí)間是通過一種算法產(chǎn)生的，這種算法在IEEE 802.3標(biāo)準(zhǔn)CSMA/CD文檔第55頁可以找到。在CSMA/CD方式下，在一個(gè)時(shí)間段，只有一個(gè)節(jié)點(diǎn)能夠在導(dǎo)線上傳送數(shù)據(jù)。如果其他節(jié)點(diǎn)想傳送數(shù)據(jù)，必須等到正在傳輸?shù)墓?jié)點(diǎn)的數(shù)據(jù)傳送結(jié)束后才能開始傳輸數(shù)據(jù)。以太網(wǎng)之所以稱作共享介質(zhì)就是因?yàn)楣?jié)點(diǎn)共享同一根導(dǎo)線這一事實(shí)。2.4 沖突域和廣播域我們知道，當(dāng)以太網(wǎng)發(fā)生沖突的時(shí)候，網(wǎng)絡(luò)要進(jìn)行恢復(fù)（即處于回退階段），此時(shí)網(wǎng)絡(luò)上將不能傳送任何數(shù)據(jù)。因此，沖突的產(chǎn)生降低了以太網(wǎng)導(dǎo)線的帶寬，而且這種情況是不可避免的。所以，當(dāng)導(dǎo)線上的節(jié)點(diǎn)越來越多后，沖突的數(shù)量將會(huì)增加。在以太網(wǎng)網(wǎng)段上放置的最大的節(jié)點(diǎn)數(shù)將取決于傳輸在導(dǎo)線上的信息類型。顯而易見的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點(diǎn)。這個(gè)過程通常稱為物理分段。物理網(wǎng)段實(shí)際上是連接在同一導(dǎo)線上的所有工作站的集合，也就是說，和另一個(gè)節(jié)點(diǎn)有可能產(chǎn)生沖突的所有工作站被看作是同一個(gè)物理網(wǎng)段。經(jīng)常描述物理網(wǎng)段的另一個(gè)詞是沖突域，這兩種說法指的是同一個(gè)意思。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)（NOS）使用了廣播。TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP協(xié)議進(jìn)行宣告。因此，廣播存在于所有的網(wǎng)絡(luò)上，如果不對它們進(jìn)行適當(dāng)?shù)木S護(hù)和控制，它們便會(huì)充斥于整個(gè)網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。前面已經(jīng)介紹過，廣播的目標(biāo)地址為ffff.ffff.ffff，這個(gè)地址將使所有工作站處理該幀。因此，廣播不僅消耗了帶寬，限制了用戶獲取實(shí)際數(shù)據(jù)的帶寬，而且也降低了用戶工作站的處理效率。在這種情況下，所有能夠接收其他廣播的節(jié)點(diǎn)被劃分為同一個(gè)邏輯網(wǎng)段，也稱為廣播域。一般來說，邏輯網(wǎng)段定義了第三層網(wǎng)絡(luò)，如IP子網(wǎng)等。2.5 以太網(wǎng)的典型設(shè)備-HUB在局域網(wǎng)（LAN-Local Area Network）中，每個(gè)工作站都通過某種傳輸介質(zhì)連接到網(wǎng)絡(luò)上。一般情況下，服務(wù)器不會(huì)有很多網(wǎng)絡(luò)接口卡（NIC）。因此，不可能將所有的工作站都連接到服務(wù)器上。因此，局域網(wǎng)中會(huì)使用HUB，這是網(wǎng)絡(luò)中很常用的設(shè)備。HUB是一種典型的采用以太網(wǎng)CSMA/CD機(jī)制的設(shè)備，其主要作用是： 被用作網(wǎng)絡(luò)設(shè)備的集中點(diǎn) 放大信號(hào) 無路徑檢測或交換從HUB的作用可以看出，HUB對所連接的LAN只做信號(hào)的中繼，工作在網(wǎng)絡(luò)的物理層，連接在HUB上的所有物理設(shè)備相當(dāng)于連接在同一根導(dǎo)線上，都處于同一個(gè)沖突域和廣播域，參見圖3。因此，在網(wǎng)絡(luò)設(shè)備很多的情況下，設(shè)備之間的沖突將會(huì)很嚴(yán)重，并且導(dǎo)致廣播泛濫，嚴(yán)重影響網(wǎng)絡(luò)地性能。圖 3 由HUB組成的網(wǎng)絡(luò)2.6 全雙工以太網(wǎng)當(dāng)兩個(gè)以太網(wǎng)節(jié)點(diǎn)通過10baseT的電纜直接連接時(shí)，導(dǎo)線類似于圖4。在這種情況下，數(shù)據(jù)可以通過兩種獨(dú)立的路徑傳輸和接收。由于只存在兩個(gè)節(jié)點(diǎn)，也就沒有總線，所以就可以在同一時(shí)間對信息進(jìn)行雙向傳輸，而不會(huì)發(fā)生沖突。在這種情況下，以太網(wǎng)稱為全雙工以太網(wǎng)。為了實(shí)現(xiàn)全雙工以太網(wǎng)，兩個(gè)節(jié)點(diǎn)必須通過10baseT直接連接，而且NIC必須支持全雙工。圖 4 全雙工以太網(wǎng)3 二層交換機(jī)的基本原理3.1 二層交換機(jī)顧名思義，所謂二層交換機(jī)，其進(jìn)行轉(zhuǎn)發(fā)的依據(jù)就是以太網(wǎng)幀的二層信息，即MAC地址且是幀的目的MAC地址。交換機(jī)接收到一個(gè)以太網(wǎng)幀后，然后根據(jù)該幀的目的MAC，把報(bào)文從正確的端口轉(zhuǎn)發(fā)出去，該過程稱為二層交換，對應(yīng)的設(shè)備稱為二層交換機(jī)。在這里稍微提一下，在二層交換機(jī)之前用于二層交換機(jī)的設(shè)備是透明網(wǎng)橋，它和二層交換機(jī)的最大區(qū)別就是：透明網(wǎng)橋只有兩個(gè)端口，而交換機(jī)的端口數(shù)目遠(yuǎn)遠(yuǎn)超過兩個(gè)。目前的交換機(jī)都采用硬件來實(shí)現(xiàn)其轉(zhuǎn)發(fā)過程，該器件一般稱為ASIC（Application Specific Integrated Circuit ），也俗稱為交換引擎。對于二層交換機(jī)來說，ASIC將維護(hù)一張二層轉(zhuǎn)發(fā)表L2FDB（Layer 2 forwarding database）。表項(xiàng)的主要內(nèi)容是MAC地址和交換機(jī)端口的對應(yīng)關(guān)系。圖5即為二層交換機(jī)結(jié)構(gòu)示意圖。port1port2port3port4port5port6MACMACMACMACMACMAC二層交換引擎L2FDBSwitchASIC圖 5 二層交換機(jī)結(jié)構(gòu)示意圖下面就詳細(xì)了解一下二層交換機(jī)的轉(zhuǎn)發(fā)過程，以圖6為例進(jìn)行說明。交換機(jī)從端口1接收到一個(gè)以太網(wǎng)幀，其轉(zhuǎn)發(fā)流程如下： 根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表(即L2FDB)，查找相應(yīng)的出端口。根據(jù)現(xiàn)有L2FDB表，報(bào)文應(yīng)該從端口2發(fā)送出去； 如果在L2FDB表中查找不到該目的MAC，則該報(bào)文將通過廣播的方式向交換機(jī)所有端口轉(zhuǎn)發(fā)； 同時(shí)該以太網(wǎng)幀的源MAC將被學(xué)習(xí)到接收到報(bào)文的端口上，即端口1； L2FDB表中MAC地址通過老化機(jī)制來更新； 在轉(zhuǎn)發(fā)的過程中，不會(huì)對幀的內(nèi)容進(jìn)行修改。圖 6 二層交換機(jī)的轉(zhuǎn)發(fā)流程現(xiàn)在我們來分析一下使用交換機(jī)構(gòu)成的網(wǎng)絡(luò)，其沖突域和廣播域是怎樣的？性能如何？由于以太網(wǎng)發(fā)生沖突是在網(wǎng)絡(luò)的第一層，而交換機(jī)工作在網(wǎng)絡(luò)的第二層即鏈路層，參見圖7。圖 7 二層交換機(jī)工作在鏈路層因此，二層交換機(jī)將網(wǎng)絡(luò)的沖突域限制在了交換機(jī)的端口內(nèi)（參見圖8），也就是給網(wǎng)絡(luò)劃分成了若干個(gè)物理網(wǎng)段，每個(gè)端口一個(gè)物理網(wǎng)段，大大地減少了沖突對網(wǎng)絡(luò)帶來的影響，改善了網(wǎng)絡(luò)的性能。圖 8 交換機(jī)的沖突域和廣播域然后，我們也必須要看到，交換機(jī)雖然可以有效地的限制沖突的發(fā)生，但對于廣播無能為力。對于大量的交換機(jī)構(gòu)成的扁平網(wǎng)絡(luò)（參見圖9）而言，廣播對網(wǎng)絡(luò)性能的影響是顯而易見的。廣播消耗了大量的網(wǎng)絡(luò)帶寬；網(wǎng)絡(luò)的安全性差，任何兩臺(tái)主機(jī)之間都可以相互訪問。圖 9 由二層交換機(jī)構(gòu)成的扁平網(wǎng)絡(luò)3.2 支持VLAN的二層交換機(jī)路由器基于第3層報(bào)頭、目標(biāo)IP尋址作出轉(zhuǎn)發(fā)決定，不能對廣播進(jìn)行轉(zhuǎn)發(fā)。所以通過路由器可以限制廣播的轉(zhuǎn)發(fā)，形成更多的廣播域或邏輯網(wǎng)段。當(dāng)然，路由器可以對網(wǎng)絡(luò)進(jìn)行物理分段，方式與交換機(jī)和網(wǎng)橋相同。雖然，路由器能達(dá)到限制以太網(wǎng)廣播域的作用，但其有一定的限制：1）路由器成本較高；2)路由器端口數(shù)目較少，一般不能滿足二層網(wǎng)絡(luò)的應(yīng)用。為此，在二層交換機(jī)中引入了VLAN的概念。3.2.1 VLAN的概念我們知道，IEEE802.3給出了LAN/MAN參考模型（表1所示），LAN（Local Area Network）協(xié)議包括了OSI七層模型的低三層：物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。其中，數(shù)據(jù)鏈路層又分為邏輯鏈路控制層(LLC)和媒體接入控制層(MAC)。表 1. LAN/MAN參考模型OSI七層模型IEEE802LAN/MAN參考模型網(wǎng)絡(luò)層網(wǎng)間互聯(lián)數(shù)據(jù)鏈路層邏輯鏈路控制層(LLC)媒體接入控制層(MAC)物理層物理層那么什么是VLAN呢？VLAN-Virtual Local Area Network，稱為虛擬局域網(wǎng)，是將一組位于不同物理網(wǎng)段上的工作站和服務(wù)器從邏輯上劃分成不同的邏輯網(wǎng)段，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)和傳輸。那么，使用VLAN能帶來什么優(yōu)點(diǎn)？(1) 限制了網(wǎng)絡(luò)中的廣播一般交換機(jī)不能過濾局域網(wǎng)廣播報(bào)文，因此在大型交換局域網(wǎng)環(huán)境中造成廣播量擁塞，對網(wǎng)絡(luò)帶寬造成了的極大浪費(fèi)。用戶不得已用路由器分割他們的網(wǎng)絡(luò)，此時(shí)路由器的作用是廣播的“防火墻”。VLAN的主要優(yōu)點(diǎn)之一是：支持VLAN的LAN交換機(jī)可以有效地用于控制廣播流量，廣播流量僅僅在VLAN內(nèi)被復(fù)制，而不是整個(gè)交換機(jī)，從而提供了類似路由器的廣播“防火墻”功能。(2) 虛擬工作組使用VLAN的另一個(gè)目的就是建立虛擬工作站模型。當(dāng)企業(yè)級(jí)的VLAN建成之后，某一部門或分支機(jī)構(gòu)的職員可以在虛擬工作組模式下共享同一個(gè)“局域網(wǎng)”。這樣絕大多數(shù)的網(wǎng)絡(luò)都限制在VLAN廣播域內(nèi)部了。當(dāng)部門內(nèi)的某一個(gè)成員移動(dòng)的另一個(gè)網(wǎng)絡(luò)位置時(shí)，他所使用的工作站不需要做任何改動(dòng)。相反，一個(gè)用戶改變不用移動(dòng)他的工作站就可以調(diào)整到另一個(gè)部門去，網(wǎng)絡(luò)管理者只需要在控制臺(tái)上進(jìn)行簡單的操作就可以了。VLAN的這種功能使人們以前曾設(shè)想過的動(dòng)態(tài)網(wǎng)絡(luò)組織結(jié)構(gòu)成了為可能，并在一定程度上大大推動(dòng)了交叉工作組的形成。這就引出了虛擬工作組的定義。對一個(gè)公司而言，經(jīng)常會(huì)針對某一個(gè)具體的開發(fā)項(xiàng)目臨時(shí)組建一個(gè)由各部門的技術(shù)人員組成的工作組，他們可能分別來自經(jīng)營部，網(wǎng)絡(luò)部，技術(shù)服務(wù)等。有了VLAN，小組內(nèi)的成員不用再集中到一個(gè)辦公室了。他們只要坐在自己的計(jì)算機(jī)旁就可以了解到其它合作者的開放情況。另外，VLAN為我們帶來了巨大的靈活性。當(dāng)有實(shí)際需要時(shí)，一個(gè)虛擬工作組可以應(yīng)運(yùn)而生。當(dāng)項(xiàng)目結(jié)束后，虛擬工作組又可以隨之消失。這樣，無論是對用戶還是對網(wǎng)絡(luò)管理者來說，VLAN都是十分吸引人了。（3）安全性由于配置了VLAN后，一個(gè)VLAN的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè)VLAN，這樣，其他VLAN的用戶的網(wǎng)絡(luò)上是收不到任何該VLAN的數(shù)據(jù)包，從而就確保了該VLAN的信息不會(huì)被其他VLAN的人竊聽，從而實(shí)現(xiàn)了信息的保密（4）減少移動(dòng)和改變的代價(jià)即所說的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)的完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個(gè)用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。當(dāng)然，并不是所有的VLAN劃分方法都能做到這一點(diǎn)。3.2.2 VLAN的劃分(1) 根據(jù)端口定義許多VLAN設(shè)備制造商都利用交換機(jī)的端口來劃分VLAN成員，被設(shè)定的端口都在同一個(gè)廣播域中。如圖10，交換機(jī)上的端口被劃分成了“工程部”、“市場部”、“銷售部”三個(gè)VLAN。這樣可以允許VLAN內(nèi)部各端口之間的通信。圖 10 基于端口VLAN的劃分按交換機(jī)端口來劃分VLAN成員，其配置過程簡單明了。因此迄今為止，這仍然是最常用的一種方式。但是，這種方式不允許多個(gè)VLAN共享一個(gè)物理網(wǎng)段或交換機(jī)端口，而且，如果某一個(gè)用戶從一個(gè)端口所在的虛擬局域網(wǎng)移動(dòng)到另一個(gè)端口所在的虛擬局域網(wǎng)，網(wǎng)絡(luò)管理者需要重新進(jìn)行配置，這對于擁有眾多移動(dòng)用戶的網(wǎng)絡(luò)來說是難以實(shí)現(xiàn)的。（2）根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組。這種劃分VLAN的方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停的配置。（3） 根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法可能是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，不要與網(wǎng)絡(luò)層的路由混淆。它雖然查看每個(gè)數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協(xié)議，而是根據(jù)生成樹算法進(jìn)行橋交換，這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置他所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是很費(fèi)時(shí)的(相對于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這也跟各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。（4）IP組播作為VLANIP 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高，對于局域網(wǎng)的組播，有二層組播協(xié)議GMRP。（5）基于組合策略劃分VLAN即上述各種VLAN劃分方式的組合。應(yīng)該說，目前很少采用這種VLAN劃分方式。3.2.3 VLAN的標(biāo)準(zhǔn)目前已提出的VLAN標(biāo)準(zhǔn)有兩種。一種是802.10 VLAN標(biāo)準(zhǔn)，Cisco公司在1995年提出，另外就是802.1Q，是IEEE執(zhí)行委員會(huì)于1996年下半年才開始制定的一種VLAN互操作性標(biāo)準(zhǔn)。本文僅對802.1Q標(biāo)準(zhǔn)進(jìn)行介紹。DestSrcDataLen/Etypep/Q LabelEtypeFCSVLAN-IDToken-Ring Encapsulation FlagVLAN-ID and T-REncaps Flag are.1Q, not .1pVLAN ID:0-4095662224.DestSrcFCSDataLen/Etype圖 11 802.1Q VLAN幀格式802.1Q的VLAN幀格式參見圖11，就是在原來以太網(wǎng)幀的源MAC地址之后加入了4個(gè)字節(jié)的VLAN TAG Header。其中，前兩個(gè)字節(jié)Etype為固定值0x8100；后兩個(gè)字節(jié)為802.1p/Q Label，即802.1P優(yōu)先級(jí)和VLAN ID的定義。802.1P優(yōu)先級(jí)為高3位，即優(yōu)先級(jí)0-7；VLAN ID為后12位，即ID的范圍為0-4095。通過設(shè)定連接交換機(jī)之間的鏈路為支持傳送VLAN Tag Header的Trunk鏈路，我們就可以很容易實(shí)現(xiàn)前面提到的虛擬工作組功能，如圖12。交換機(jī)A、B上的端口分別屬于工程部、市場部、銷售部，通過Trunk鏈路可以使得分別接在交換機(jī)A、B上的工程部用戶之間進(jìn)行通信；市場部、銷售部的用戶也是如此。圖 12 Trunk鏈路實(shí)現(xiàn)虛擬工作組一般來說，目前工作站和用戶終端都是不支持識(shí)別VLAN的。因此，在由VLAN構(gòu)建的二層交換網(wǎng)絡(luò)中，存在兩種類型的鏈路： Access鏈路用于接入用戶終端和工作站 連接Access鏈路的交換機(jī)端口稱為Access端口 幀在Access鏈路上轉(zhuǎn)發(fā)不帶VLAN Tag 交換機(jī)Access端口接收到以太網(wǎng)幀后，按照端口所在VLAN加上VLAN Tag，然后進(jìn)行轉(zhuǎn)發(fā) 幀從Access端口發(fā)送出去，幀中的VLAN Tag會(huì)被去掉 Trunk鏈路用于交換機(jī)之間級(jí)聯(lián)，允許不同設(shè)備間相同VLAN內(nèi)用戶通信。 連接Trunk鏈路的交換機(jī)端口稱為Trunk端口 幀在Trunk鏈路上轉(zhuǎn)發(fā)帶VLAN Tag，因此允許多個(gè)VLAN的幀在Trunk鏈路上轉(zhuǎn)發(fā) 交換機(jī)Trunk端口接收到以太網(wǎng)幀后，需要判斷該Trunk端口是否允許幀中VLAN ID對應(yīng)的VLAN通過。若允許，則進(jìn)行轉(zhuǎn)發(fā)；否則要直接丟棄該幀 幀從Trunk端口發(fā)送出去，VLAN Tag一般不會(huì)被去掉3.2.4 支持VLAN交換機(jī)的轉(zhuǎn)發(fā)流程支持VLAN交換機(jī)轉(zhuǎn)發(fā)流程與普通交換機(jī)轉(zhuǎn)發(fā)流程最大的區(qū)別在于：報(bào)文在支持VLAN交換機(jī)內(nèi)轉(zhuǎn)發(fā)時(shí)都是帶著VLAN Tag進(jìn)行的。也就是說，轉(zhuǎn)發(fā)過程中要根據(jù)MAC地址查找出端口外，還需要判斷VLAN ID的信息。因此，支持VLAN交換機(jī)交換引擎與一般交換機(jī)有所不同，如下圖所示。圖 13 支持VLAN交換機(jī)交換引擎VLAN交換機(jī)的轉(zhuǎn)發(fā)流程和ASIC 選擇的MAC地址學(xué)習(xí)方式有緊密的聯(lián)系。目前，支持VLAN的交換機(jī)有兩種地址學(xué)習(xí)方式，分別為IVL（Independent VLAN Learning）和SVL（Shared VLAN Learning）。兩種方式的區(qū)別如下，參見圖14：MAC1 VLAN1 PORT1MAC2 VLAN1 PORT2MAC2 VLAN2 PORT3MAC3 VLAN3 PORT3MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVL圖 14 IVL和SVL地址學(xué)習(xí)方式 在IVL方式下： 每個(gè)VLAN都有自己的對應(yīng)的MAC地址表（抽象的概念并不是物理的），相互之間沒有影響。一個(gè)MAC地址可以被學(xué)習(xí)到不同的VLAN中，因此對一個(gè)用戶來說如果屬于多個(gè)VLAN，那么每個(gè)VLAN內(nèi)的信息都需要重新學(xué)習(xí)。 而SVL方式下，一個(gè)地址表項(xiàng)對所有的VLAN都通用，表中的MAC用戶不能有重復(fù)。下面分別介紹兩種地址學(xué)習(xí)方式下的轉(zhuǎn)發(fā)流程。 IVL地址學(xué)習(xí)方式（參見圖15）1）根據(jù)幀內(nèi)Tag Header的VLAN ID查找L2FDB表，確定查找的范圍；2）根據(jù)目的MAC查找出端口，圖中應(yīng)該從端口2轉(zhuǎn)發(fā)出去；如果在L2FDB表中查找不到該目的MAC，則該報(bào)文將通過廣播的方式在該VLAN內(nèi)所有端口轉(zhuǎn)發(fā)；同時(shí)該以太網(wǎng)幀的源MAC將被學(xué)習(xí)到接收到報(bào)文的端口上，即端口1（VLAN 2）；L2FDB表中的MAC地址通過老化機(jī)制更新；3） 在轉(zhuǎn)發(fā)的過程中，不會(huì)對幀的內(nèi)容進(jìn)行修改。圖 15 IVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程 SVL地址學(xué)習(xí)方式（參見圖16）1）根據(jù)幀的目的MAC查MAC轉(zhuǎn)發(fā)表(即L2FDB)，查找相應(yīng)的出端口。根據(jù)現(xiàn)有L2FDB表，報(bào)文應(yīng)該從端口2發(fā)送出去；2）判斷出端口的VLAN ID和報(bào)文Tag Header內(nèi)的VLAN ID是否匹配，匹配則轉(zhuǎn)發(fā)，不匹配則丟棄；3）如果在L2FDB表中查找不到該目的MAC，則判斷出端口的VLAN ID和報(bào)文Tag Header內(nèi)的VLAN ID是否匹配，不匹配直接丟棄；匹配則在該VLAN內(nèi)廣播；4）L2FDB表中MAC地址通過老化機(jī)制來更新；5）在轉(zhuǎn)發(fā)的過程中，不會(huì)對幀的內(nèi)容進(jìn)行修改圖 16 SVL地址學(xué)習(xí)方式轉(zhuǎn)發(fā)流程前文已經(jīng)提到VLAN的優(yōu)點(diǎn)之一就是限制了廣播，下圖就能很好地說明這個(gè)問題。從圖中，可以很清楚地看到，廣播報(bào)文被限制了每個(gè)VLAN內(nèi)，大大地降低了廣播對以太網(wǎng)帶寬的消耗。圖 17 支持VLAN交換機(jī)沖突域和廣播域4 三層交換機(jī)基本原理4.1 三層交換機(jī)的提出傳統(tǒng)的網(wǎng)絡(luò)界有一個(gè)規(guī)則，即局域網(wǎng)內(nèi)的業(yè)務(wù)流類型遵循“80/20規(guī)則”：80/20 流量模式指用戶數(shù)據(jù)流量的80% 在本地網(wǎng)段，只有20%的數(shù)據(jù)流量通過路由器進(jìn)入其它網(wǎng)段。采用80/20規(guī)則的網(wǎng)絡(luò)，用戶的網(wǎng)絡(luò)資源都在同一個(gè)網(wǎng)段內(nèi)。這些資源包括網(wǎng)絡(luò)服務(wù)器、打印機(jī)、共享目錄和文件等。因此在這種網(wǎng)絡(luò)內(nèi)，路由器完全可以勝任且其構(gòu)建網(wǎng)絡(luò)的成本完全可以被用戶接受。但是，隨著INTERNET/INTARNET應(yīng)用的興起和服務(wù)器集群的出現(xiàn)，使得傳統(tǒng)的80/20流量模式發(fā)生了轉(zhuǎn)變。網(wǎng)絡(luò)中大部分?jǐn)?shù)據(jù)流經(jīng)主干，邏輯子網(wǎng)內(nèi)部數(shù)據(jù)流量不大，用戶經(jīng)常需要訪問本子網(wǎng)以外的資源，“80/20規(guī)則”對于多數(shù)企業(yè)網(wǎng)絡(luò)已經(jīng)不適用了。因此，現(xiàn)在局域網(wǎng)中的業(yè)務(wù)流有兩個(gè)突出的特點(diǎn)，一是總的業(yè)務(wù)流在增加；二是子網(wǎng)絡(luò)間的業(yè)務(wù)流在增加。為了解釋這一概念，假設(shè)網(wǎng)絡(luò)業(yè)務(wù)流的總量不變，且網(wǎng)絡(luò)業(yè)務(wù)流比例由80/20變?yōu)?0/80。這意味著需要在子網(wǎng)間進(jìn)行路由的業(yè)務(wù)流增加到過去的4倍。這是否意味著網(wǎng)絡(luò)中需要4倍的路由器呢？答案是否定的，實(shí)際上需要比4倍更多的路由器。因?yàn)楫?dāng)路由器數(shù)量增加時(shí)，路由器之間的聯(lián)系與合作占路由器全部工作的比重就會(huì)增加。所以：隨著子網(wǎng)絡(luò)間業(yè)務(wù)流的增加，路由能力也相應(yīng)地需要增加。舉例來說，假設(shè)路由能力增加4倍需要6倍的路由器。現(xiàn)在如果業(yè)務(wù)流類型改變的同時(shí)業(yè)務(wù)流的總量翻了一番，那么網(wǎng)絡(luò)中所需的路由器總數(shù)為原來的12倍。如果按照傳統(tǒng)的路由產(chǎn)品的成本進(jìn)行計(jì)算，這對于大多數(shù)用戶來說無疑都是一個(gè)難以接受的預(yù)算。所以：局域網(wǎng)內(nèi)子網(wǎng)絡(luò)間業(yè)務(wù)流的適度增加伴隨著總業(yè)務(wù)流的適度增加，都將使得采用傳統(tǒng)的路由器來滿足路由功能的需求在經(jīng)濟(jì)上不大可行?？偨Y(jié)一下，三層交換技術(shù)和交換機(jī)的提出主要基于以下原因： 二層交換技術(shù)極大的提升了以太網(wǎng)的性能，但仍然不能完全滿足局域網(wǎng)的需要； 為了將廣播和本地流量限制在一定的范圍內(nèi)，交換式以太網(wǎng)采取劃分邏輯子網(wǎng)（VLAN）的方式； VLAN間的互通傳統(tǒng)上需要由路由器來完成，但路由器配置復(fù)雜，造價(jià)昂貴，而且轉(zhuǎn)發(fā)速度容易成為網(wǎng)絡(luò)的瓶頸； 新20/80規(guī)則的興起，80%的流量需要跨越VLAN，路由器不堪重負(fù)；4.2 三層交換機(jī)基本特征應(yīng)該說，三層交換機(jī)與傳統(tǒng)路由器具有相同的功能： 根據(jù)IP地址進(jìn)行選路 進(jìn)行三層的校驗(yàn)和 使用生存時(shí)間（TTL） 對路由表進(jìn)行更新和維護(hù)二者最大的區(qū)別在于三層交換采用ASIC硬件進(jìn)行包轉(zhuǎn)發(fā)，而傳統(tǒng)路由器采用CPU進(jìn)行包轉(zhuǎn)發(fā)。所以，相比于傳統(tǒng)路由器三層交換具有以下優(yōu)點(diǎn)： 基于硬件的包轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)效率高 低時(shí)延 低花費(fèi)4.3 三層交換機(jī)的功能模型為了便于大家對三層交換機(jī)有一個(gè)感性的了解，我們以下圖來說明。圖 18 三層交換機(jī)功能模型圖中，右邊是一個(gè)三層交換機(jī)，其實(shí)現(xiàn)的功能等同于左邊一個(gè)VLAN二層交換機(jī)和路由器組成的網(wǎng)絡(luò)。也就是說，三層交換機(jī)把支持VLAN的二層交換機(jī)和路由器的功能集成在一起了，既有二層交換功能，也有三層路由功能。因此，三層交換機(jī)也稱為路由交換機(jī)。一般來說，三層交換機(jī)的功能分別通過二層VLAN轉(zhuǎn)發(fā)引擎和三層轉(zhuǎn)發(fā)引擎兩個(gè)部分來實(shí)現(xiàn)：二層VLAN引擎與支持VLAN的二層交換機(jī)的二層轉(zhuǎn)發(fā)引擎是相同的，是用硬件支持多個(gè)VLAN的二層轉(zhuǎn)發(fā)；三層轉(zhuǎn)發(fā)引擎使用硬件ASIC技術(shù)實(shí)現(xiàn)高速的IP轉(zhuǎn)發(fā)。三層交換機(jī)對應(yīng)到IP網(wǎng)絡(luò)模型中，每個(gè)VLAN對應(yīng)一個(gè)IP網(wǎng)段，三層交換機(jī)中的三層轉(zhuǎn)發(fā)引擎在各個(gè)網(wǎng)段（VLAN）間轉(zhuǎn)發(fā)報(bào)文，實(shí)現(xiàn)VLAN之間的互通，因此三層交換機(jī)的路由功能通常叫做VLAN間路由（Inter-VLAN Routing）對應(yīng)于二層交換引擎，三層交換機(jī)的如下圖所示：圖 19 三層交換引擎在二層上，VLAN之間是隔離的，VLAN內(nèi)主機(jī)可以互通，這一點(diǎn)跟二層交換機(jī)中的交換引擎的功能一模一樣。一般來說，三層交換機(jī)的每個(gè)VLAN對應(yīng)一個(gè)網(wǎng)段，不同的IP網(wǎng)段之間的訪問要跨越VLAN，要使用三層交換引擎提供的VLAN間路由功能（相當(dāng)于路由器）。 在使用二層交換機(jī)和路由器的組網(wǎng)中，每個(gè)需要與其它IP網(wǎng)段（VLAN）通信的IP網(wǎng)段（VLAN）都需要使用一個(gè)路由器接口做網(wǎng)關(guān)。三層交換機(jī)的應(yīng)用也同樣符合IP的組網(wǎng)模型，三層轉(zhuǎn)發(fā)引擎就相當(dāng)于傳統(tǒng)組網(wǎng)中的路由器的功能，當(dāng)需要與其他VLAN通信的時(shí)候也要為之在三層交換引擎上分配一個(gè)路由接口，用來做VLAN內(nèi)主機(jī)的網(wǎng)關(guān)。三層交換機(jī)上的這個(gè)路由接口是通過配置轉(zhuǎn)發(fā)芯片來實(shí)現(xiàn)的，與路由器的接口不同，這個(gè)接口不是直觀可見的。給VLAN指定路由接口的操作，實(shí)際上就是為VLAN指定一個(gè)IP地址、子網(wǎng)掩碼和MAC地址，MAC地址是由設(shè)備制造過程中分配的，在配置過程中由交換機(jī)自動(dòng)配置。4.4 三層交換機(jī)轉(zhuǎn)發(fā)流程4.4.1 IP網(wǎng)絡(luò)規(guī)則我們多次提到二層交換、三層路由，那么究竟什么時(shí)候選擇二層交換、什么時(shí)候選擇三層路由呢？這就涉及到IP網(wǎng)絡(luò)通信的基本規(guī)則。每個(gè)網(wǎng)絡(luò)主機(jī)、工作站或者服務(wù)器都有自己的IP地址和子網(wǎng)掩碼。當(dāng)主機(jī)與服務(wù)器進(jìn)行通信的時(shí)候，根據(jù)自身的IP地址和子網(wǎng)掩碼、以及服務(wù)器的IP地址，來確定服務(wù)器是否和自己處于相同的網(wǎng)段： 如果判定在相同網(wǎng)段內(nèi)，則直接通過地址解析協(xié)議（ARP）查找對方的MAC地址，然后把對方的MAC地址填入以太網(wǎng)幀頭的目的MAC地址域，將報(bào)文發(fā)送出去，通過二層交換實(shí)現(xiàn)通信； 如果判定在不同的網(wǎng)段內(nèi)，則主機(jī)就會(huì)自動(dòng)借助網(wǎng)關(guān)來進(jìn)行通信。主機(jī)首先通過ARP來查找設(shè)定的網(wǎng)關(guān)的MAC地址，然后把網(wǎng)關(guān)的MAC地址（而不是對方主機(jī)的MAC地址，因?yàn)橹鳈C(jī)認(rèn)為通信對端不是本地主機(jī)）填入以太網(wǎng)幀頭的目的MAC地址域，將報(bào)文發(fā)送給網(wǎng)關(guān)，通過三層路由實(shí)現(xiàn)通信。4.4.2 三層轉(zhuǎn)發(fā)流程對于網(wǎng)絡(luò)設(shè)備而言（如三層交換機(jī)），接收到一個(gè)報(bào)文后選擇二層轉(zhuǎn)發(fā)還是三層轉(zhuǎn)發(fā)，判斷的依據(jù)主要是：報(bào)文的目的MAC地址。如果該目的MAC地址和設(shè)備內(nèi)某個(gè)VLAN指定的路由接口MAC地址相同，則進(jìn)行三層轉(zhuǎn)發(fā)，否則在VLAN內(nèi)部進(jìn)行二層