2-module-底層網(wǎng)絡(luò)技術(shù)講解課件

1底層網(wǎng)絡(luò)技術(shù)2TCP/IP協(xié)議棧TCP/IP協(xié)議棧沒有定義底層協(xié)議3兩種類型底層網(wǎng)絡(luò)廣播網(wǎng)絡(luò):所有站點共享同一信道點到點網(wǎng)絡(luò):

主機(jī)對（或路由器）直接相連通常：LAN是廣播網(wǎng)絡(luò)，WAN是點到點網(wǎng)絡(luò)。4LocalAreaNetworks通常用于構(gòu)建企業(yè)網(wǎng)廣播網(wǎng)絡(luò)拓?fù)洌嚎偩€、環(huán)、星形應(yīng)用實例：Ethernet5MACandLLC在廣播網(wǎng)絡(luò)中，站點必須確保同一時刻只有一個站點傳送數(shù)據(jù)在廣播信道上決定站點是否可以傳送數(shù)據(jù)的協(xié)議稱作MediumAccessControl(MAC)

協(xié)議MAC協(xié)議在體系結(jié)構(gòu)中位于數(shù)據(jù)鏈路層的MAC子層MAC子層之上是LogicalLink

Control(LLC)子層6LAN標(biāo)準(zhǔn)－－IEEE802Standards7體系結(jié)構(gòu)應(yīng)用模式兩種應(yīng)用模式IEEE802標(biāo)準(zhǔn)模式Internet模式MACPHYMACPHYLLCInternet模式IEEE802標(biāo)準(zhǔn)模式8IEEE802標(biāo)準(zhǔn)模式完整的LAN層次結(jié)構(gòu)和LLC的PDU格式，上層實體使用LLC提供的服務(wù)IEEE標(biāo)準(zhǔn)模式意在提供一種通用的通信服務(wù)接口、如：X.25、NetBios、IP、IPX等。Internet模式無LLC層、不使用LLC的PDU格式，但MAC繼PHY采用IEEE802標(biāo)準(zhǔn)，上層實體直接使用MAC幀封裝PDU（對其中的Len有修改）。該模式不考慮提供CO服務(wù)，并以最簡化的方法提供CL服務(wù)。9Point-to-Point鏈路點到點鏈路舉例:撥號/DSL接入路由器之間的高速鏈路

這里，IP主機(jī)和路由器通過串行纜線連接

點到點鏈路的數(shù)據(jù)鏈路層協(xié)議很簡單:IP數(shù)據(jù)報的封裝不需要媒質(zhì)接入控制10點到點鏈路的數(shù)據(jù)鏈路層協(xié)議SLIP(SerialLineIP)第一個在撥號鏈路上傳送IP數(shù)據(jù)報的協(xié)議(from1988)封裝協(xié)議，沒有其他功能PPP(Point-to-PointProtocol):SLIP(1992)的升級版，帶有附加功能用于撥號接入和高速路由器互連HDLC(High-LevelDataLink):廣泛使用(1979)Cisco路由器串行鏈路的缺省協(xié)議實際上，PPP是HDLC的一個子集。11交換網(wǎng)絡(luò)一些數(shù)據(jù)鏈路層技術(shù)可以構(gòu)建完整的網(wǎng)絡(luò)，它們有自己的編址、路由和轉(zhuǎn)發(fā)機(jī)制，這些網(wǎng)絡(luò)通常稱作交換網(wǎng)絡(luò).從IP層看數(shù)據(jù)鏈路層交換網(wǎng)絡(luò)：12交換網(wǎng)絡(luò)底層交換網(wǎng)絡(luò)舉例:SwitchedEthernetATM(AsynchronousTransferMode)FrameRelayMultiprotocolLabelSwitching(MPLS)13Ethernet速率10Mbps-10Gbps標(biāo)準(zhǔn):802.3,EthernetII(DIX)

Ethernet:10Base5

10MbpsThickcoaxcable（淘汰）10Base2

10MbpsThincoaxcable（淘汰）10Base-T 10MbpsTwistedPair

100Base-TX

100MbpsoverCategory5twistedpair100Base-FX

100MbpsoverFiberOptics1000Base-FX 1GbpsoverFiberOptics10000Base-FX 10GbpsoverFiberOptics(forwidearealinks)14以太網(wǎng)的廣播方式發(fā)送總線上的每一個工作的計算機(jī)都能檢測到B發(fā)送的數(shù)據(jù)信號。由于只有計算機(jī)D的地址與數(shù)據(jù)幀首部寫入的地址一致，因此只有D才接收這個數(shù)據(jù)幀。其他所有的計算機(jī)（A,C和E）都檢測到不是發(fā)送給它們的數(shù)據(jù)幀，因此就丟棄這個數(shù)據(jù)幀而不能夠收下來。具有廣播特性的總線上實現(xiàn)了一對一的通信。B向

D發(fā)送數(shù)據(jù)

C

D

A

E匹配電阻（用來吸收總線上傳播的信號）匹配電阻不接受不接受不接受接受B只有D接受B發(fā)送的數(shù)據(jù)15以太網(wǎng)的廣播方式發(fā)送為了通信的簡便，以太網(wǎng)采取了兩種重要的措施采用較為靈活的無連接的工作方式，即不必先建立連接就可以直接發(fā)送數(shù)據(jù)。以太網(wǎng)對發(fā)送的數(shù)據(jù)幀不進(jìn)行編號，也不要求對方發(fā)回確這樣做的理由是局域網(wǎng)信道的質(zhì)量很好，因信道質(zhì)量產(chǎn)生差錯的概率是很小的。

16以太網(wǎng)提供的服務(wù)以太網(wǎng)提供的服務(wù)是不可靠的交付，即盡最大努力的交付。當(dāng)目的站收到有差錯的數(shù)據(jù)幀時就丟棄此幀，其他什么也不做。差錯的糾正由高層來決定。如果高層發(fā)現(xiàn)丟失了一些數(shù)據(jù)而進(jìn)行重傳，但以太網(wǎng)并不知道這是一個重傳的幀，而是當(dāng)作一個新的數(shù)據(jù)幀來發(fā)送。17以太的MAC--“多點接入”表示許多計算機(jī)以多點接入的方式連接在一根總線上“載波監(jiān)聽”是指每一個站在發(fā)送數(shù)據(jù)之前先要檢測一下總線上是否有其他計算機(jī)在發(fā)送數(shù)據(jù)，如果有，則暫時不要發(fā)送數(shù)據(jù)，以免發(fā)生碰撞?？偩€上并沒有什么“載波”。因此，“載波監(jiān)聽”就是用電子技術(shù)檢測總線上有沒有其他計算機(jī)發(fā)送的數(shù)據(jù)信號?！芭鲎矙z測”就是計算機(jī)邊發(fā)送數(shù)據(jù)邊檢測信道上的信號電壓大小。當(dāng)幾個站同時在總線上發(fā)送數(shù)據(jù)時，總線上的信號電壓擺動值將會增大（互相疊加）。當(dāng)一個站檢測到的信號電壓擺動值超過一定的門限值時，就認(rèn)為總線上至少有兩個站同時在發(fā)送數(shù)據(jù)，表明產(chǎn)生了碰撞所謂“碰撞”就是發(fā)生了沖突。因此“碰撞檢測”也稱為“沖突檢測”載波監(jiān)聽多點接入/碰撞檢測CSMA/CD18重要特性使用CSMA/CD協(xié)議的以太網(wǎng)不能進(jìn)行全雙工通信而只能進(jìn)行雙向交替通信（半雙工通信）。每個站在發(fā)送數(shù)據(jù)之后的一小段時間內(nèi)，存在著遭遇碰撞的可能性。這種發(fā)送的不確定性使整個以太網(wǎng)的平均通信量遠(yuǎn)小于以太網(wǎng)的最高數(shù)據(jù)率。19沖突域沖突域是CSMA/CD工作的范圍沖突域內(nèi)所有站點共同競爭共享信道，所有站點的通信容量總和不超過信道傳輸速率任何兩站點間同時發(fā)送數(shù)據(jù)就會產(chǎn)生沖突的范圍屬于同一個沖突域總線型以太網(wǎng)和HUB構(gòu)成的網(wǎng)絡(luò)是一個沖突域廣播域廣播幀到達(dá)的網(wǎng)絡(luò)范圍稱為廣播域每個廣播幀，廣播域內(nèi)所有站點都收到總線型以太網(wǎng)、HUB構(gòu)成的網(wǎng)絡(luò)屬于同一個廣播域，且廣播域與沖突域的范圍是相同的。重要特性20802.3MAC幀格式DASALLC-PDU介質(zhì)相關(guān)數(shù)據(jù)

DA(2or6)：目的地址，在幀的前面，便于硬件檢測。

SA(2or6)：發(fā)送站的MAC地址

Len（2）：LLC-PDU的長度規(guī)定幀的最小長度和最大長度。最小長度用于保證CSMA/CD的沖突檢測有效。最大長度限制站點占用信道的時間（如0.1us~1ms)如Ethernet幀：64~1518字節(jié)LenCRC21Internet模式的幀結(jié)構(gòu)DASADataL/TL/T:長度/類型L/T<=1500代表長度，data為LLC-PDU (稱為IEEE802.2幀或IEEE802.3幀）L/T>1500表示data的類型 （稱為Ethernet-II幀）注意：L/T實現(xiàn)了兩種幀格式的統(tǒng)一 例如：

L/T=800H表示data為IP分組

L/T=806H表示data為ARP分組

L/T=1FC9H表示data為IPX分組CRC22以太網(wǎng)的擴(kuò)展傳統(tǒng)LAN的傳播距離有限，為了實現(xiàn)LAN之間的通信，通常需要一些連接設(shè)備。23Ethernet集線器（Hub）用于主機(jī)到EthernetLAN的連接以及多個EthernetLANs之間的連接在物理層擴(kuò)展24優(yōu)點使原來屬于不同沖突域的局域網(wǎng)上的計算機(jī)能夠進(jìn)行跨沖突域的通信。擴(kuò)大了局域網(wǎng)覆蓋的地理范圍。缺點沖突域增大了，但總的吞吐量并未提高。如果不同的沖突域使用不同的數(shù)據(jù)率，那么就不能用集線器將它們互連起來。

用集線器擴(kuò)展局域網(wǎng)25網(wǎng)橋/LAN交換機(jī)

用于多個LAN（可以是不同類型）的互連網(wǎng)橋工作在數(shù)據(jù)鏈路層(Layer2)26網(wǎng)橋設(shè)計目標(biāo): 完全透明“即插即用（Plug-and-play）”無需手工配置不影響現(xiàn)有LAN的操作為了達(dá)到以上目標(biāo)，要實現(xiàn):(1)轉(zhuǎn)發(fā)幀(2)地址學(xué)習(xí)(3)生成樹算法27網(wǎng)橋的內(nèi)部結(jié)構(gòu)站表端口管理軟件網(wǎng)橋協(xié)議實體端口1端口2緩存①②③網(wǎng)段B網(wǎng)段A1112①③⑤2②④⑥2站地址端口網(wǎng)橋網(wǎng)橋④⑤⑥28(1)幀轉(zhuǎn)發(fā)每個網(wǎng)橋維護(hù)一個轉(zhuǎn)發(fā)數(shù)據(jù)庫，它包含<MACaddress,port,age>

MACaddress:

主機(jī)名或組地址

port:

網(wǎng)橋的端口號

age:

該條目的生存（有效）時間29收到幀用目的MAC查找MAC表找到表項否？表中端口是否與接收端口相同？是把幀送到與接收端口不同的端口上排隊把幀送到MAC表中的端口上排隊否否是用幀中源地址查找MAC地址表刷新表項的時間MAC表中添加新的一項結(jié)束目的地址為廣播、組播30算法:

每收到一個幀，在轉(zhuǎn)發(fā)數(shù)據(jù)庫中存儲源地址字段和相應(yīng)到達(dá)的端口號所有的條目經(jīng)過一定的時間后刪除(缺省是15秒)(2)地址學(xué)習(xí)Port1Port2Port3Port4Port5Port6Src=x,Dest=ySrc=x,Dest=ySrc=x,Dest=ySrc=x,Dest=ySrc=x,Dest=ySrc=x,Dest=yxisatPort3Src=y,Dest=xSrc=y,Dest=xSrc=x,Dest=yyisatPort4Src=x,Dest=y31（3）生成樹協(xié)議不小心形成了環(huán)狀，會產(chǎn)生什么問題？32（3）生成樹協(xié)議生成樹考慮允許網(wǎng)絡(luò)中出現(xiàn)環(huán)路自動檢測出環(huán)路的存在斷開環(huán)的某些線路，形成生成樹，斷開的線路作為備份線路一旦工作的線路發(fā)生故障，備份線路加入進(jìn)來，維持網(wǎng)絡(luò)的連通性自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞淖兓?，自動形成新的生成?3（3）生成樹協(xié)議

LAN2

ALAN3BC

LAN4

DLAN1

EFLAN5GA

LAN2

LAN3B

LAN1

LAN4

DLAN5E生成樹算法（IEEE802.1d)：以序列號最小的網(wǎng)橋為根，按照最短路徑，

動態(tài)求出生成樹，保證任意兩個LAN之間只有一條通路，無環(huán)路34優(yōu)點：過濾通信量。擴(kuò)大了物理范圍。提高了可靠性。可互連不同物理層、不同MAC子層和不同速率（如10Mb/s和100Mb/s以太網(wǎng)）的局域網(wǎng)。網(wǎng)橋的優(yōu)缺點缺點：存儲轉(zhuǎn)發(fā)增加了時延。在MAC子層并沒有流量控制功能。具有不同MAC子層的網(wǎng)段橋接在一起時時延更大。沖突域被分割，但廣播域不變，因此當(dāng)用戶數(shù)太多或通信量太大時，會因傳播過多的廣播信息而產(chǎn)生網(wǎng)絡(luò)擁塞。這就是所謂的廣播風(fēng)暴。35以太網(wǎng)交換機(jī)（二層交換機(jī)）用硬件實現(xiàn)的以太網(wǎng)橋物理層：硬件MAC層：硬件轉(zhuǎn)發(fā)：硬件生成樹協(xié)議：硬件特點密集端口，典型值8,16,24,32個端口每個端口均可全雙工/半雙工10/100/1000MAutoSense高性能，所有端口均無阻塞、可滿負(fù)荷工作36以太網(wǎng)交換機(jī)的每個端口都直接與主機(jī)相連，并且一般都工作在全雙工方式。交換機(jī)能同時連通許多對的端口，使每一對相互通信的主機(jī)都能像獨占通信媒體那樣，進(jìn)行無碰撞地傳輸數(shù)據(jù)。以太網(wǎng)交換機(jī)由于使用了專用的交換結(jié)構(gòu)芯片，其交換速率就較高。以太網(wǎng)交換機(jī)的特點37對于普通10Mb/s的共享式以太網(wǎng)，若共有N個用戶，則每個用戶占有的平均帶寬只有總帶寬(10Mb/s)的N分之一。使用以太網(wǎng)交換機(jī)時，雖然在每個端口到主機(jī)的帶寬還是10Mb/s，但由于一個用戶在通信時是獨占而不是和其他網(wǎng)絡(luò)用戶共享傳輸媒體的帶寬，因此對于擁有N對端口的交換機(jī)的總?cè)萘繛镹10Mb/s。這正是交換機(jī)的最大優(yōu)點。獨占傳輸媒體的帶寬38收發(fā)可同時進(jìn)行CSMA/CD失去效用不受Ethernet最大時延限制，線路可以很長線路上還可用中繼延長距離Ethernet的特征只剩下了幀結(jié)構(gòu)網(wǎng)橋網(wǎng)橋全雙工通信39引出的問題隨著網(wǎng)絡(luò)的不斷擴(kuò)大，性能不升反降原因：廣播風(fēng)暴解決方法：路由器（互聯(lián)網(wǎng)）支持VLAN的交換機(jī)（企業(yè)網(wǎng)）40廣播信息真是那么頻繁出現(xiàn)的嗎？答案是：是的！實際上廣播幀會非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時，除了前面出現(xiàn)的ARP外，還有可能需要發(fā)出DHCP、RIP等很多其他類型的廣播信息。41虛擬局域網(wǎng)VLAN是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無關(guān)的邏輯組。這些網(wǎng)段具有某些共同的需求。每一個VLAN的幀都有一個明確的標(biāo)識符，指明發(fā)送這個幀的工作站是屬于哪一個VLAN。虛擬局域網(wǎng)其實只是局域網(wǎng)給用戶提供的一種服務(wù)，而并不是一種新型局域網(wǎng)。解決方案：虛擬局域網(wǎng)42以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個虛擬局域網(wǎng)VLAN1,VLAN2和VLAN3

的構(gòu)成43以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個虛擬局域網(wǎng)VLAN1,VLAN2和VLAN3

的構(gòu)成當(dāng)B1

向VLAN2

工作組內(nèi)成員發(fā)送數(shù)據(jù)時，工作站B2和B3將會收到廣播的信息。44以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個虛擬局域網(wǎng)VLAN1,VLAN2和VLAN3

的構(gòu)成B1發(fā)送數(shù)據(jù)時，工作站A1,A2和C1都不會收到B1發(fā)出的廣播信息。45以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個虛擬局域網(wǎng)VLAN1,VLAN2和VLAN3

的構(gòu)成虛擬局域網(wǎng)限制了接收廣播信息的工作站數(shù)，使得網(wǎng)絡(luò)不會因傳播過多的廣播信息(即“廣播風(fēng)暴”)而引起性能惡化。46實現(xiàn)VLAN的機(jī)制1 2 3 4 交換機(jī) 廣播幀 交換機(jī)收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。 1 2 3 4 交換機(jī) 廣播幀 交換機(jī)收到廣播幀后，只轉(zhuǎn)發(fā)到屬于同一VLAN的其他端口。 廣播域 廣播幀 廣播域 以紅、藍(lán)兩色識別不同的VLAN，在實際使用中則是用“VLANID”來區(qū)分的47直觀地描述VLAN1 2 3 4 交換機(jī) 問題：VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。那么，需要VLAN間通信時怎么辦？（留待稍后解決）

48交換機(jī)的端口劃分交換機(jī)的端口訪問鏈接（AccessLink）匯聚鏈接（TrunkLink）49VLAN的訪問鏈接訪問鏈接：指的是“只屬于一個VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。在大多數(shù)情況下，訪問鏈接所連的是客戶機(jī)。通常設(shè)置VLAN的順序是：生成VLAN設(shè)定訪問鏈接（決定各端口屬于哪一個VLAN）設(shè)定訪問鏈接的手法，可以是事先固定的、也可以是根據(jù)所連的計算機(jī)而動態(tài)改變設(shè)定。前者被稱為“靜態(tài)VLAN”、后者自然就是“動態(tài)VLAN”了。50靜態(tài)VLAN靜態(tài)VLAN又被稱為基于端口的VLAN（PortBasedVLAN）。1 2 3 4 交換機(jī) 端口

VLAN 1 1 2 3 4 1 2 2 VLAN2 將交換機(jī)的每個端口靜態(tài)指派給VLAN VLAN1 由于需要一個個端口地指定，因此設(shè)定操作煩雜。并且，客戶機(jī)每次變更所連端口，都必須同時更改該端口所屬VLAN的設(shè)定——這顯然不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。51動態(tài)VLAN大致分為3類：基于MAC地址的VLAN（MACBasedVLAN）基于子網(wǎng)的VLAN（SubnetBasedVLAN）基于用戶的VLAN（UserBasedVLAN）其間的差異，主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN。

52基于MAC地址的VLANMAC VLAN

A 1 B C D 1 2 2 VLAN2 VLAN1 1 2 3 4 1 2 3 4 MAC:A

MAC:B

MAC:C

MAC:D

MAC:C MAC:B

MAC:A

MAC:D 即使計算機(jī)改變了所連接的端口，交換機(jī)仍會查出它的MAC地址，并正確指定端口所屬的VLAN。 53基于子網(wǎng)的VLAN網(wǎng)絡(luò)地址

VLAN 192.168.1.0/24 1192.168.2.0/24

2VLAN2 VLAN1 1 2 3 4 1 2 3 4 即使計算機(jī)改變了所連接的端口，交換機(jī)仍會通過IP地址正確指定端口所屬的VLAN。 IP地址192.168.1.1 IP地址192.168.1.2 IP地址192.168.2.1

IP地址192.168.2.2IP地址192.168.1.1 IP地址192.168.2.1

IP地址192.168.1.2 IP地址192.168.1.1

IP地址192.168.2.2 54基于用戶的VLAN基于用戶的VLAN，則是根據(jù)交換機(jī)各端口所連的計算機(jī)上當(dāng)前登錄的用戶，來決定該端口屬于哪個VLAN。這里的用戶識別信息，一般是計算機(jī)操作系統(tǒng)登錄的用戶，比如可以是Windows域中使用的用戶名。這些用戶名信息，屬于OSI第四層以上的信息。總的來說，決定端口所屬VLAN時利用的信息在OSI中的層面越高，就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。55VLAN的匯聚鏈接到此為止，我們學(xué)習(xí)的都是使用單臺交換機(jī)設(shè)置VLAN時的情況。那么，如果需要設(shè)置跨越多臺交換機(jī)的VLAN時又如何呢？交換機(jī)1 交換機(jī)2 A C B D 56VLAN的匯聚鏈接交換機(jī)1 交換機(jī)2 A C B D 每增加一個VLAN，都需要添加一條互聯(lián)網(wǎng)線，并且還需要額外的端口。 最簡單的方法，自然是在交換機(jī)1和交換機(jī)2上各設(shè)一個紅、藍(lán)VLAN專用的接口并互聯(lián)了。但是……57VLAN的匯聚鏈接匯聚鏈接（TrunkLink）指的是能夠轉(zhuǎn)發(fā)多個不同VLAN的通信的端口。匯聚鏈路上流通的數(shù)據(jù)幀，都被附加了用于識別分屬于哪個VLAN的特殊信息。

交換機(jī)1 交換機(jī)2 A C B D

數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) TrunkLink TrunkLink 通過匯聚鏈路時，自動附加VLAN識別信息 通過識別VLAN標(biāo)識，轉(zhuǎn)發(fā)給相應(yīng)的端口，同時去除VLAN標(biāo)識，恢復(fù)成原始數(shù)據(jù)幀。 58通過匯聚鏈路時附加的VLAN識別信息，最具有代表性的是“IEEE802.1Q”協(xié)議。如果交換機(jī)支持該這些協(xié)議，那么用戶就能夠高效率地構(gòu)筑橫跨多臺交換機(jī)的VLAN。匯聚鏈路上流通著多個VLAN的數(shù)據(jù)，自然負(fù)載較重。因此，在設(shè)定匯聚鏈接時，有一個前提就是必須支持100Mbps以上的傳輸速度。默認(rèn)條件下，匯聚鏈接會轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。換一個角度看，可以認(rèn)為匯聚鏈接（端口）同時屬于交換機(jī)上所有的VLAN。59虛擬局域網(wǎng)使用的太網(wǎng)幀格式（802.1Q）虛擬局域網(wǎng)協(xié)議允許在以太網(wǎng)的幀格式中插入一個4字節(jié)的標(biāo)識符，稱為VLAN標(biāo)記(tag)，用來指明發(fā)送該幀的工作站屬于哪一個虛擬局域網(wǎng)。

802.3MAC幀字節(jié)66246~15004MAC幀目地地址源地址長度/類型數(shù)據(jù)FCS長度/類型=802.1Q標(biāo)記類型標(biāo)記控制信息

1000000100000000VID2字節(jié)2字節(jié)插入4字節(jié)的VLAN標(biāo)記4用戶優(yōu)先級CFI60VLAN間路由為什么不同VLAN間不通過路由就無法通信。在LAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址。而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP。ARP解析MAC地址的方法，則是通過廣播。也就是說，如果廣播報文無法到達(dá)，那么就無從解析MAC地址，亦即無法直接通信。計算機(jī)分屬不同的VLAN，也就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機(jī)之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息（IP地址）來進(jìn)行路由。使用路由器進(jìn)行VLAN間路由使用三層交換機(jī)進(jìn)行VLAN間路由

61使用路由器進(jìn)行VLAN間路由具體實現(xiàn)過程為：首先將用于連接路由器的交換機(jī)端口設(shè)為匯聚鏈接，而路由器上的端口也必須支持匯聚鏈路。雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對應(yīng)各個VLAN的“子接口（SubInterface）”。盡管實際與交換機(jī)連接的物理端口只有一個，但在理論上我們可以把它分割為多個虛擬端口。VLAN將交換機(jī)從邏輯上分割成了多臺，因而用于VLAN間路由的路由器，也必須擁有分別對應(yīng)各個VLAN的虛擬接口。62交換機(jī) 路由器端口的MAC地址：R 連接藍(lán)色VLAN的子接口192.168.2.100/24 匯聚鏈接 連接紅色VLAN的子接口192.168.1.100/24 1 2 3 4 5 6 A192.168.1.1/24GW192.168.1.100B192.168.1.2/24GW192.168.1.100

C192.168.2.1/24GW192.168.2.100

D192.168.2.2/24GW192.168.2.100

端口MAC地址VLAN1A12B13C24D25－－6R匯聚63同一VLAN內(nèi)的通信交換機(jī) 路由器端口的MAC地址：R 連接藍(lán)色VLAN的子接口192.168.2.100/24 匯聚鏈接 連接紅色VLAN的子接口192.168.1.100/24 1 2 3 4 5 6 A192.168.1.1/24GW192.168.1.100 B192.168.1.2/24GW192.168.1.100 C192.168.2.1/24GW192.168.2.100

D192.168.2.2/24GW192.168.2.100

數(shù)據(jù)幀 源MAC：A；目標(biāo)MAC:B源IP：192.168.1.1/24目標(biāo)IP：192.168.1.2/24同一VLAN內(nèi)的通信，處理均在交換機(jī)內(nèi)部完成 64不同VLAN間通信時數(shù)據(jù)的流程交換機(jī) 路由器端口的MAC地址：R 連接藍(lán)色VLAN的子接口,192.168.2.100/24 連接紅色VLAN的子接口,192.168.1.100/24 1 2 3 4 5 6 A192.168.1.1/24GW192.168.1.100 B192.168.1.2/24GW192.168.1.100

C192.168.2.1/24GW192.168.2.100 D192.168.2.2/24GW192.168.2.100

數(shù)據(jù)幀 源MAC：A；目標(biāo)MAC:R源IP：192.168.1.1/24目標(biāo)IP：192.168.2.1/24①

數(shù)據(jù)幀 ②

數(shù)據(jù)幀 ③

數(shù)據(jù)幀 源MAC：R；目標(biāo)MAC:C源IP：192.168.1.1/24目標(biāo)IP：192.168.2.1/24④

65使用三層交換機(jī)進(jìn)行VLAN間路由使用路由器進(jìn)行VLAN間路由的話，隨著VLAN之間流量的不斷增加，很可能導(dǎo)致路由器成為整個網(wǎng)絡(luò)的瓶頸。交換機(jī)使用被稱為ASIC（ApplicationSpecifiedIntegratedCircuit）的專用硬件芯片處理數(shù)據(jù)幀的交換操作，在很多機(jī)型上都能實現(xiàn)以纜線速度（WiredSpeed）交換。而路由器，則基本上是基于軟件處理的。即使以纜線速度接收到數(shù)據(jù)包，也無法在不限速的條件下轉(zhuǎn)發(fā)出去，因此會成為速度瓶頸。就VLAN間路由而言，流量會集中到路由器和交換機(jī)互聯(lián)的匯聚鏈路部分，這一部分尤其特別容易成為速度瓶頸。并且從硬件上看，由于需要分別設(shè)置路由器和交換機(jī)，在一些空間狹小的環(huán)境里可能連設(shè)置的場所都成問題。為了解決上述問題，三層交換機(jī)應(yīng)運而生。66三層交換機(jī)（Layer3Switch）三層交換機(jī)，本質(zhì)上就是“帶有路由功能的（二層）交換機(jī)”。路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能，因此帶有第三層路由功能的交換機(jī)才被稱為“三層交換機(jī)”。三層交換機(jī)

路由模塊

交換模塊 內(nèi)部是匯聚鏈路 67使用三層交換機(jī)進(jìn)行VLAN間路由路由模塊 交換模塊 A（MAC）192.168.1.1/24GW192.168.1.100

B（MAC）192.168.1.2/24GW192.168.1.100

C（MAC）192.168.2.1/24GW192.168.2.100

D（MAC）192.168.2.2/24GW192.168.2.100

紅色VLAN接口192.168.1.100/24

藍(lán)色VLAN接口192.168.2.100/24 源MAC:A;目標(biāo)MAC:B源IP：192.168.1.1目標(biāo)IP：192.168.1.2 1 2 3 4 VLAN內(nèi)通信在交換模塊內(nèi)部完成 68使用三層交換機(jī)進(jìn)行VLAN間路由路由模塊 交換模塊 A（MAC）192.168.1.1/24GW192.168.1.100

B（MAC）192.168.1.2/24GW192.168.1.100

C（MAC）192.168.2.1/24GW192.168.2.100

D（MAC）192.168.2.2/24GW192.168.2.100

紅色VLAN接口192.168.1.100/24 藍(lán)色VLAN接口192.168.2.100/24 Frame1源MAC:A;目標(biāo)MAC:R源IP：192.168.1.1目標(biāo)IP：192.168.2.1 1 2 3 4 Frame2附加紅色VLAN識別信息源MAC:A;目標(biāo)MAC:R源IP：192.168.1.1目標(biāo)IP：192.168.2.1 Frame3附加藍(lán)色VLAN識別信息源MAC:R;目標(biāo)MAC:C源IP：192.168.1.1目標(biāo)IP：192.168.2.1 Frame4源MAC:R;目標(biāo)MAC:C源IP：192.168.1.1目標(biāo)IP：192.168.2.1 69VLAN總結(jié)（1）提高管理效率簡化網(wǎng)絡(luò)中站點的移動、增加和改變等工作在物理連接的基礎(chǔ)上多了一個虛擬連接，性能要有一定開銷（2）控制廣播數(shù)據(jù)支持VLAN的交換設(shè)備可以有效的抑制廣播數(shù)據(jù)，VLAN中的廣播數(shù)據(jù)將只被轉(zhuǎn)發(fā)到那些和該VLAN的某個成員存在連接的端口上與路由器相比：性能出色，配置與管理簡單廣播域的大小容易控制（3）增強(qiáng)網(wǎng)絡(luò)安全性：共享LAN易于受到入侵；廣播域越大，危險越大70路由器路由器工作在網(wǎng)絡(luò)層(Layer3)IP網(wǎng)絡(luò)的互連71網(wǎng)關(guān)“網(wǎng)關(guān)”用在不同的地方含義也不同“網(wǎng)關(guān)”是早期互聯(lián)網(wǎng)路由器的通用術(shù)語(Level3)“網(wǎng)關(guān)”也用于表示不同網(wǎng)絡(luò)互連設(shè)備，完成協(xié)議轉(zhuǎn)換工作(“Multi-protocolrouter”)72Hubs/Switches/RoutersHub/RepeaterBridge/SwitchRouterTrafficisolationnoyesyesPlugandPlayyesyesnoEfficientroutingnonoyesCutthroughyesyesno73底層網(wǎng)絡(luò)LAN和以太網(wǎng)點到點廣域連接PPP74在WAN技術(shù)中有一些只提供物理層承載服務(wù)的WAN訪問技術(shù)，如PSTN、ISDN的B通道上的電路交換服務(wù)、ADSL的遠(yuǎn)程接入服務(wù)和DDN等，這些服務(wù)的共同特點就是為用戶提供了點對點的專用物理信道。然而，沒有第二層協(xié)議的支持，WAN的物理鏈路是沒有辦法傳輸數(shù)據(jù)的，更不要說進(jìn)行鏈路控制了，于是在這些物理層承載服務(wù)的基礎(chǔ)上定義了點對點協(xié)議（PPP），其協(xié)議結(jié)構(gòu)如圖。IPPPPISDN(B)PSTNADSLDDNSDHPPP75PPP—point-to-pointprotocolInternet的標(biāo)準(zhǔn)RFC1661，1662，1663支持差錯檢測、多種協(xié)議、允許連接時協(xié)商IP地址、允許身份驗證PPP完成以下工作：成幀并進(jìn)行錯誤檢測鏈路控制協(xié)議LCP（Linkcontrolprotocol）：選擇線路、測試線路、釋放鏈路網(wǎng)絡(luò)控制協(xié)議NCP（Networkcontrolprotocol）：獨立于所使用的網(wǎng)絡(luò)層協(xié)議的方法來協(xié)商使用網(wǎng)絡(luò)層哪些選項。76PPP幀結(jié)構(gòu)F凈荷CAF校驗和1字節(jié)2/4

0--最大長度111協(xié)議1/2F：首尾標(biāo)志7Eh，透明傳輸采用字符填充A：地址字段，永遠(yuǎn)為FFh，表示所有站點都可以接收C：控制字段，默認(rèn)為03h，表示無編號幀協(xié)議：指明凈荷字段的包類型，支持LCP、NCP、IP、IPX、AppleTalk...LCP（鏈路控制協(xié)議），用于建立/拆除數(shù)據(jù)鏈路連接、測試連接質(zhì)量、協(xié)商參數(shù)...

NCP（網(wǎng)絡(luò)控制協(xié)議），用于協(xié)商網(wǎng)絡(luò)層選項，如動態(tài)分配IP地址物理層：支持MODEM撥號、HDLC位串行線、SONET... 77ESTABLISHAUTHENTICATEDEADTERMINATEOPENNETWORK檢測到載波協(xié)商失敗連接雙方達(dá)成一致通過身份驗證NCP配置數(shù)據(jù)傳輸結(jié)束失去載波驗證失敗PPP通信階段狀態(tài)轉(zhuǎn)換圖發(fā)LCP包來配置和測試數(shù)據(jù)鏈路，打開鏈路，協(xié)商參數(shù)鏈路質(zhì)量檢測LCP決定鏈路質(zhì)量是否滿足網(wǎng)絡(luò)層協(xié)議要求；進(jìn)行認(rèn)證網(wǎng)絡(luò)層協(xié)議通過適當(dāng)?shù)腘CP協(xié)議進(jìn)行單獨的配置。LCP能在任何時刻關(guān)閉鏈路，可以是應(yīng)用戶請求或因為物理故障78鏈路控制協(xié)議LCP鏈路控制協(xié)議負(fù)責(zé)建立、保持、配置和終結(jié)鏈路通信的發(fā)起方首先發(fā)送LCP幀來配置和(有選擇地)測試數(shù)據(jù)鏈路。在數(shù)據(jù)鏈路已經(jīng)建立、協(xié)調(diào)之后，LCP允許有一個可選的鏈路質(zhì)量檢測階段。（決定鏈路質(zhì)量是否滿足網(wǎng)絡(luò)層協(xié)議的要求）通信鏈路將一直保持直到LCP幀關(guān)閉鏈路，或者是其它的外部事件發(fā)生(比如超時或用戶干預(yù)等)之前。79PPP認(rèn)證在PPP會話中認(rèn)證階段是可選的，如果需要認(rèn)證，那么認(rèn)證將發(fā)生在網(wǎng)絡(luò)協(xié)議配置階段之前。在認(rèn)證階段要求鏈路的發(fā)起方在認(rèn)證選項中填寫認(rèn)證信息（例如，用戶名、主機(jī)名和密碼），以便確認(rèn)用戶得到了網(wǎng)絡(luò)管理員的許可能夠發(fā)起通信。PPP支持兩種認(rèn)證協(xié)議：PAP和CHAP。在一般情況下，CHAP是首選協(xié)議。80PAP-口令鑒別協(xié)議PAP利用雙向握手信號建立遠(yuǎn)端節(jié)點的認(rèn)證；在PPP