1、局域網(wǎng)技術(shù)與局域網(wǎng)組建,第4章局域網(wǎng)技術(shù)及網(wǎng)絡(luò)組建,本章主要內(nèi)容： 虛擬局域網(wǎng) 三層交換技術(shù) 生成樹協(xié)議 鏈路聚合,4.1 虛擬局域網(wǎng) 4.1.1 虛擬局域網(wǎng)的產(chǎn)生,在交換機(jī)構(gòu)成的網(wǎng)絡(luò)中，所有的設(shè)備都會轉(zhuǎn)發(fā)廣播幀，因此任何一 個廣播幀或多播幀（Multicast Frame）都將被廣播到整個局域網(wǎng)中的每臺主機(jī)，如圖4-1所示。 在網(wǎng)絡(luò)通信中，廣播信息是普遍存在的，這些廣播幀將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通信效率下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。,圖4-1 ARP廣播擴(kuò)散,路由器能實現(xiàn)對廣播域的分割和隔離。但路由器所帶的以太網(wǎng)接口數(shù)量有限，一般是1-4個，遠(yuǎn)遠(yuǎn)不能滿足對

2、網(wǎng)絡(luò)分段的需要，而交換機(jī)上有較多的以太網(wǎng)端口，為在交換機(jī)上實現(xiàn)不同網(wǎng)段的廣播隔離，產(chǎn)生了VLAN交換技術(shù)。 一個VLAN就是一個網(wǎng)段，通過在交換機(jī)上劃分VLAN（同一交換機(jī)上可劃分不同的VLAN，不同的交換機(jī)上可屬于同一個VLAN），可將一個大的局域網(wǎng)劃分成若干個網(wǎng)段，每個網(wǎng)段內(nèi)所有主機(jī)間的通信和廣播僅限于該VLAN內(nèi)，廣播幀不會被轉(zhuǎn)發(fā)到其他網(wǎng)段。即一個VLAN就是一個廣播域，VLAN間不能直接通信，從而實現(xiàn)了對廣播域的分割和隔離。 虛擬局域網(wǎng)的特點(diǎn)： VLAN可以看成是一組客戶工作站的集合，這些工作站不必處于同一個物理網(wǎng)絡(luò)上（跨交換機(jī)），它們可以不受地理位置的限制而加入同一個邏輯子網(wǎng)中，就象

3、處于同一個局域網(wǎng)上一樣進(jìn)行通信和信息交換。,在同一個物理網(wǎng)絡(luò)中不同的工作組也可劃分不同的VLAN，通常，同一組織部門在同一廣播域，不同的組織部門即使連在同一個物理網(wǎng)絡(luò)中也可劃分不同的VLAN。 虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨(dú)立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。,圖4-2 VLAN的廣播域,在引入VLAN后，交換機(jī)的端口按用途分為訪問連接端口（Access Link）和匯聚鏈接端口（Trunk Link）。 基于端口的VLAN分為兩類: Port-VLAN Tag-VLAN 訪問連接端口通常用于連

4、接客戶的PC，以提供網(wǎng)絡(luò)接入服務(wù)。該端口只屬于某一個VLAN，并且向該VLAN發(fā)送或接收數(shù)據(jù)幀。端口所屬的VLAN通常稱作Port-VLAN。 Port-VLAN有以下特點(diǎn): VLAN是劃分出來的邏輯網(wǎng)絡(luò)，是第二層網(wǎng)絡(luò)； VLAN端口不受物理位置的限制； VLAN 隔離廣播域。 Port-VLAN的工作機(jī)制是：通過查找MAC地址表，交換機(jī)只對同一VLAN中的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，對發(fā)往不同VLAN的數(shù)據(jù)不轉(zhuǎn)發(fā)。,4.1.2 VLAN的工作機(jī)制,匯聚鏈接端口屬于所有VLAN共有，承載所有VLAN在交換機(jī)間的通信流量。此端口所屬的VLAN通常稱作Tag-VLAN。 Tag-VLAN有以下特點(diǎn)： 傳輸多個V

5、LAN的信息； 實現(xiàn)同一VLAN跨越不同的交換機(jī)； 要求Trunk至少要100M。 匯聚鏈路承載了所有VLAN的通信量，為了標(biāo)識各數(shù)據(jù)幀屬于 哪一個VLAN，需要對流經(jīng)匯聚鏈路的數(shù)據(jù)幀進(jìn)行打標(biāo)（tag） 封裝，以附加上VLAN信息，使交換機(jī)通過VLAN標(biāo)識，將數(shù)據(jù) 幀轉(zhuǎn)發(fā)到對應(yīng)的VLAN中。 目前交換機(jī)支持的打標(biāo)封裝協(xié)議有IEEE802.1Q和ISL。其中IEEE802.1Q是經(jīng)過IEEE認(rèn)證的對數(shù)據(jù)幀封裝附加VLAN識別信息的協(xié)議，屬于國際標(biāo)準(zhǔn)協(xié)議，適用于各個廠商生產(chǎn)的交換機(jī)，該協(xié)議簡稱dot 1 q。而ISL協(xié)議僅適用于Cisco。 IEEE802.1Q中附加的VLAN識別信息，是位于原數(shù)

6、據(jù)幀中“源MAC地址”和“類型（Type）”之間，添加了2字節(jié)的標(biāo)記協(xié)議標(biāo)識（TPID）和2字節(jié)的標(biāo)記控制信息（TCI），如圖4-3所示。,圖4-3 IEEE802.1Q,當(dāng)HOST B發(fā)送數(shù)據(jù)到HOST Y時，在進(jìn)入交換機(jī)端口前，數(shù)據(jù)幀的頭部并沒有被加上VLAN Tag 標(biāo)記，當(dāng)數(shù)據(jù)進(jìn)入交換機(jī)Switch A端口后，根據(jù)端口所屬的VLAN 2，在數(shù)據(jù)幀的頭部加上VLAN2的Tag標(biāo)記，在交換機(jī)中查找此VLAN 2的MAC地址表，沒有找到對應(yīng)的端口后，在VLAN 2中廣播，當(dāng)數(shù)據(jù)通過交換機(jī)Switch A的級聯(lián)端口24時，由于該端口為TRUNK口，數(shù)據(jù)從此端口轉(zhuǎn)出時仍帶有VLAN 2的Tag標(biāo)

7、記，到交換機(jī)Switch B的級聯(lián)端口24，根據(jù)VLAN 2的Tag標(biāo)記，在Switch B的VLAN 2中廣播，HOST Y響應(yīng)，得到對應(yīng)的目標(biāo)端口 2，Switch B剝?nèi)LAN 2的Tag標(biāo)記后，將數(shù)據(jù)幀從端口 2轉(zhuǎn)發(fā)給HOST Y。其工作原理如圖4-4所示。,圖4-4 VLAN的工作機(jī)制,在實際應(yīng)用中，通常需要跨越多臺交換機(jī)的多個端口劃分VLAN，比如，同一個部門的員工，可能會分布在不同的建筑物或不同的樓層中，此時的VLAN，將跨越多臺交換機(jī)，VLAN 的劃分不受網(wǎng)絡(luò)端口的實際物理位置的限制，如圖4-5所示。,4.1.3 虛擬局域網(wǎng)的劃分,圖4-5 跨交換機(jī)劃分VLAN,虛擬局域網(wǎng)的

8、實現(xiàn)有兩種：靜態(tài)和動態(tài)。 靜態(tài)實現(xiàn)方式中，網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一個VLAN。這種配置簡單、安全、易于實現(xiàn)和監(jiān)視。 動態(tài)實現(xiàn)方式中，管理員必須先建立一個較復(fù)雜的數(shù)據(jù)庫，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號，這樣，當(dāng)網(wǎng)絡(luò)設(shè)備接到交換機(jī)端口時交換機(jī)自動把這個網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實現(xiàn)動態(tài)VLAN時必須利用管理軟件來進(jìn)行管理。 在基于IP地址的動態(tài)配置中，交換機(jī)通過查閱網(wǎng)絡(luò)層的地址自動將用戶分配到不同的虛擬局域網(wǎng)。 劃分虛擬局域網(wǎng)有以下幾種方法： 基于端口的VLAN 基于協(xié)議

9、的VLAN 基于MAC地址的VLAN 基于IP子網(wǎng)的VLAN,基于端口的VLAN 針對交換機(jī)的端口進(jìn)行VLAN的劃分，它不受接在交換機(jī)端口上的主機(jī)的變化而變化，是目前最常用的一種VLAN劃分方法，此種方法比較簡單并且非常有效 。但僅靠端口分組而定義VLAN將無法使得同一個物理分段（或交換端口）同時參與到多個VLAN中，當(dāng)一個客戶站從一個端口移到另一個端口時，網(wǎng)管人員將不得不對VLAN成員進(jìn)行重新分配。 基于協(xié)議的VLAN 在一個多類型的協(xié)議環(huán)境中，通過區(qū)分傳輸數(shù)據(jù)所用的三層協(xié)議來劃分VLAN的成員。但在一個主要以IP協(xié)議為主的網(wǎng)絡(luò)環(huán)境中，這種方法不太實用。 按MAC地址 基于主機(jī)的MAC地址進(jìn)

10、行VLAN劃分，這種方式由管理人員指定屬于同一個VLAN中的各客戶機(jī)的MAC地址。優(yōu)點(diǎn)：無論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動，由于其MAC地址保持不變，因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。缺點(diǎn)：在站點(diǎn)入網(wǎng)時，所有的用戶都必須被配置（手工方式）到至少一個VLAN中，只有在此種手工配置之后方可實現(xiàn)對VLAN成員的自動跟蹤。因此在大型網(wǎng)絡(luò)中采用此方法，初始配置工作會很大。,按第三層協(xié)議 基于第三層協(xié)議的VLAN實現(xiàn)，在決定VLAN成員身份時主要是考慮協(xié)議類型或網(wǎng)絡(luò)層地址。根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型來劃分VLAN，此種類型的VLAN劃分需要將子網(wǎng)地址映射到VLAN，交換設(shè)備則根據(jù)子網(wǎng)地址而將各機(jī)器的M

11、AC地址和同一個VLAN聯(lián)系起來。優(yōu)點(diǎn)：新站點(diǎn)在入網(wǎng)時無需進(jìn)行太多配置，交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動將其劃分成不同的VLAN，并且在第三層上定義的VLAN將不再需要報文標(biāo)識，從而可以消除在交換機(jī)設(shè)備之間傳遞VLAN成員信息而花費(fèi)的開銷。 在3種VLAN實現(xiàn)技術(shù)中，基于網(wǎng)絡(luò)地址的VLAN智能化程度最高，實現(xiàn)起來也最復(fù)雜，一個客戶可以屬于多個VLAN。,基于多播的VLAN 基于多播應(yīng)用進(jìn)行用戶的劃分，即將同一個多播組劃分在同一VLAN中，這種劃分方法可以將VLAN擴(kuò)大到廣播網(wǎng)，能通過路由器進(jìn)行擴(kuò)展，但不適合于局域網(wǎng)，效率不高。,4.1.4 Native VLAN,所謂Native VLAN，也叫

12、默認(rèn)（缺省）VLAN，在這個接口上收發(fā)未標(biāo)記的報文，都被認(rèn)為是屬于這個VLAN的。 通常VLAN 1作為缺省的Native VLAN，一般不要刪除。 當(dāng)一個未標(biāo)記的幀經(jīng)過trunk口時，會打上Native VLAN的標(biāo)記；一個已標(biāo)記的幀經(jīng)過trunk口時，如果其標(biāo)記的VLAN與trunk口的Native VLAN相同，則會剝?nèi)?biāo)記。 一個交換機(jī)的端口若定義為Access Port，在未將此端口分給任何VLAN時，缺省情況下屬于VALN 1， 一個交換機(jī)的端口若定義為Trunk port，它能傳輸多個VLAN 的數(shù)據(jù)幀，在沒有特別指定的情況下，此Trunk port的Native VLAN為VL

13、AN 1。如果此Trunk port的Native VLAN不是VLAN 1，則必須用switchport trunk native vlan 10 來指定Native VLAN為vlan 10。在配置Trunk 鏈路時，必須保證連接鏈路的兩個端口的Trunk 口屬于相同的native VLAN。,配置Port VLAN的基本步驟 配置Tag VLAN-Trunk的常用命令 配置Native VLAN 其他VLAN配置命令,4.1.5 配置VLAN,交換機(jī)通過MAC地址表進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)，而引入VLAN后，交換機(jī)在MAC地址表中增加VLAN信息，也就是說交換機(jī)對每一個VLAN都維護(hù)一個本VLA

14、N的MAC地址表。 在數(shù)據(jù)轉(zhuǎn)發(fā)時，先在同一VLAN的MAC地址表中，根據(jù)數(shù)據(jù)幀中的目的MAC地址進(jìn)行查找，若找到的話，就進(jìn)行轉(zhuǎn)發(fā)；若找不到，就向此VLAN的網(wǎng)關(guān)發(fā)送，由此VLAN網(wǎng)關(guān)向其它網(wǎng)段（不同的VLAN）進(jìn)行路由表的查詢。 VLAN內(nèi)的主機(jī)彼此間可以自由通信，當(dāng)VLAN成員分布在多臺交換機(jī)的端口上時，使用TRUNK進(jìn)行通信。 用于實現(xiàn)各VLAN在交換機(jī)間通信的鏈路，稱為交換機(jī)的匯聚鏈路或主干鏈路（Trunk Link）。用于提供匯聚鏈路的端口，稱為匯聚端口。匯聚端口的速率應(yīng)在100Mbps以上。 引入VLAN后，交換機(jī)的端口按用途分為訪問連接端口（Access Link）和匯聚連接（Tr

15、unk Link）端口。 目前交換機(jī)支持的打標(biāo)封裝協(xié)議有IEEE802.1Q和ISL。,4.1.6 同一VLAN不同交換機(jī)之間的數(shù)據(jù)轉(zhuǎn)發(fā),4.1.7 不同的VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā),使用單臂路由實現(xiàn)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā) 對于沒有路由功能的二層交換機(jī)，若要實現(xiàn)VLAN間的相互通信，就要借助外部的路由器（單臂路由）來為VLAN指定默認(rèn)路由，此時路由器的快速以太網(wǎng)接口與交換機(jī)的快速以太網(wǎng)端口，應(yīng)以匯聚鏈路的方式相連，并在路由器的快速以太網(wǎng)接口上，為每一個VLAN創(chuàng)建一個對應(yīng)的虛擬子接口，并設(shè)置虛擬子接口的IP地址，該IP地址以后就成為該VLAN的默認(rèn)網(wǎng)關(guān)（路由）。由于這些虛擬子接口是直接連接在路

16、由器上的，一旦每個虛擬子接口設(shè)置了IP地址后，路由器就會自動在路由表中為各VLAN添加路由，從而實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)，如圖4-8所示。,使用三層交換機(jī)實現(xiàn)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā) 和物理網(wǎng)絡(luò)一樣，一個VLAN通常和一個IP子網(wǎng)聯(lián)系在一起。所有在同一個IP子網(wǎng)中的主機(jī)屬于同一個VLAN。VLAN間的通信可以通過三層設(shè)備（路由器或三層交換機(jī)）。使用三層交換機(jī)來配置VLAN和提供VLAN間的通信比使用路由器更好，配置和使用也更方便。三層交換機(jī)可以定義網(wǎng)絡(luò)接口，網(wǎng)絡(luò)接口為一個IP子網(wǎng)提供的網(wǎng)關(guān)接口。可以定義三種網(wǎng)絡(luò)接口：,圖4-8 同一交換機(jī)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā),路由口（routed po

17、rt）：它是一個物理端口，它把一個二層接口通過no switchport命令設(shè)置為三層端口。在三層交換機(jī)上，可以使用單個物理端口作為三層交換的網(wǎng)關(guān)接口。 虛擬交換接口（Switch Virtual Interface，SVI）：它是一個虛擬接口，一個通過全局配置命令interface vlan vlan_id創(chuàng)建的關(guān)聯(lián)VLAN的網(wǎng)絡(luò)接口地址。 銳捷的三層交換機(jī)可以通過SVI來進(jìn)行VLAN之間的IP路由。通過Interface VLAN接口配置命令來創(chuàng)建一個SVI接口，然后給這個SVI接口分配一個IP地址，此IP地址就是這個VLAN中所有主機(jī)的默認(rèn)網(wǎng)關(guān)，從而建立VLAN之間的路由。 三層模式下的

18、聚合鏈路（L3 Aggregate Link）：這是一個邏輯接口，它把幾個接口聚合成一個邏輯接口。,網(wǎng)橋可以減少網(wǎng)絡(luò)沖突發(fā)生的幾率，即減少沖突域，但網(wǎng)橋并不能阻止廣播，廣播信息的隔離要靠第三層連接設(shè)備。 二層交換機(jī)具有很寬的交換總線帶寬，可以同時為多個端口進(jìn)行高速數(shù)據(jù)轉(zhuǎn)換。二層交換機(jī)對廣播包不做任何限制，而是把廣播包復(fù)制到所有端口上。 路由器是使用專門的軟件從邏輯上對整個網(wǎng)絡(luò)進(jìn)行劃分。在網(wǎng)絡(luò)中使用路由器來轉(zhuǎn)發(fā)和過濾數(shù)據(jù)，其速度往往要比只查看數(shù)據(jù)包物理地址的交換機(jī)慢得多。如果在大型網(wǎng)絡(luò)核心中使用路由器來進(jìn)行VLAN間的數(shù)據(jù)交換，將降低整個網(wǎng)絡(luò)的效率。更重要的是，路由器的端口數(shù)有限，從而限制了子網(wǎng)

19、的連接個數(shù)，于是產(chǎn)生了將交換機(jī)的快速交換能力和路由器的路由尋址能力結(jié)合起來的三層交換技術(shù)。 三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。,4.2 三層交換技術(shù) 4.2.1 三層交換技術(shù)的引入,三層交換（也稱多層交換技術(shù)，或IP交換技術(shù)）是相對于傳統(tǒng)交換概念而提出來的。傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。 一個具有三層交換功能的交換機(jī)，是一個帶有第三層路由功能的交換機(jī)，是交換技術(shù)和路由技術(shù)

20、的有機(jī)結(jié)合，而不是簡單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機(jī)上。 硬件方面，三層交換機(jī)的接口模塊同二層交換機(jī)的接口模塊一樣，是通過高速背板/總線（速率在幾十Gbps以上）交換數(shù)據(jù)的，而第三層路由硬件模塊也是插接在高速背板/總線上。這就使得路由模塊可以與需要路由的其他模塊間高速地交換數(shù)據(jù)，從而突破了傳統(tǒng)路由器接口速率的限制，實現(xiàn)高速路由交換。對數(shù)據(jù)包的轉(zhuǎn)發(fā)，如IP/IPX的轉(zhuǎn)發(fā)，可通過硬件完成。 軟件方面，路由信息的更新、路由表的維護(hù)、路由的計算、路由的確定等，都是由軟件完成。,三層交換機(jī)可分為純硬件和純軟件兩大類。 純硬件的三層交換機(jī)相對來說技術(shù)復(fù)雜、成本高。但是速度快、性能好、負(fù)載能力

21、強(qiáng)。其原理是，采用ASIC芯片，通過硬件的方式進(jìn)行路由表的查找和刷新。 純軟件的三層交換機(jī)簡單，但速度較慢，不適合作主干交換機(jī)。主要通過軟件方式查找路由器。 二層交換機(jī)主要用于局域網(wǎng)的接入層中，機(jī)器數(shù)量在幾十臺左右，在這樣的網(wǎng)絡(luò)環(huán)境下，廣播包影響不大，二層交換機(jī)的快速交換功能、多個接入端口和低廉的價格為小型網(wǎng)絡(luò)用戶提供了很完善的解決方案。 三層交換機(jī)是為IP設(shè)計的，接口類型簡單，擁有很強(qiáng)的二層包處理能力，適用于大型局域網(wǎng)中的匯聚層或核心層，為了減小廣播風(fēng)暴的危害，必須把大型局域網(wǎng)按功能或地域等因素劃分成許多小的局域網(wǎng)，這樣使得各網(wǎng)絡(luò)之間存在大量的互訪，單純使用二層交換機(jī)沒辦法實現(xiàn)網(wǎng)間的互動；而

22、單純使用路由器，由于端口數(shù)量有限，路由速度較慢，將限制網(wǎng)絡(luò)的規(guī)模和訪問速度，因而選用三層交換機(jī)最合適。,路由器端口類型多，支持的三層協(xié)議多，路由能力強(qiáng)，適合于大型網(wǎng)絡(luò)之間的互連，或局域網(wǎng)外連互聯(lián)網(wǎng)。雖然不少三層交換機(jī)甚至二層交換機(jī)都有異質(zhì)網(wǎng)絡(luò)的互連端口，但一般大型網(wǎng)絡(luò)的互連端口不多，互連設(shè)備的主要功能不在于在端口之間進(jìn)行快速交換，而是選擇最佳路由，進(jìn)行負(fù)載分擔(dān)，鏈路備份，與其他網(wǎng)絡(luò)進(jìn)行路由信息交換。 三層交換機(jī)的路由功能最重要的目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，其路由選擇和更新能力沒有同一檔次的專業(yè)路由器強(qiáng)。 在網(wǎng)絡(luò)流量很大，但又要求響應(yīng)速度很高的情況下由三層交換機(jī)做網(wǎng)內(nèi)的交換，由路由器專門

23、負(fù)責(zé)外網(wǎng)間的路由工作，這樣就能充分發(fā)揮不同設(shè)備的優(yōu)勢。,4.2.2 第三層交換技術(shù)的分類,第一類是報文到報文交換 報文進(jìn)入系統(tǒng)中OSI參考模型的第一層，即物理接口，然后在第二層接受目的MAC地址檢查，若在第二層能交換則進(jìn)行第二層交換，否則進(jìn)入到第三層，即網(wǎng)絡(luò)層。在第三層，報文要經(jīng)過路徑確定、地址解析及某些特殊服務(wù)。處理完畢后報文已更新，確定合適的輸出端口后，報文要通過第一層傳送到物理介質(zhì)上。 報文到報文交換設(shè)備可動態(tài)地重新路由報文，繞過網(wǎng)絡(luò)故障點(diǎn)和擁塞點(diǎn)而無需等待高層的協(xié)議檢測報文丟失。 路由器和第三層交換機(jī)都能完成報文的轉(zhuǎn)發(fā)。但路由器的另一核心功能是創(chuàng)建和維護(hù)路由表，確定最佳路徑，它通過啟用

24、路由協(xié)議來完成（第三層交換機(jī)在這方面的功能較弱）。路由處理一旦完成，將報文發(fā)送至目的地就是報文轉(zhuǎn)發(fā)子功能的任務(wù)了。第三層交換機(jī)用于局域網(wǎng)中子網(wǎng)間或VLAN間轉(zhuǎn)發(fā)業(yè)務(wù)流，不執(zhí)行路由處理，只作第三層業(yè)務(wù)流轉(zhuǎn)發(fā)。,第二類是流交換 流交換不在第三層處理所有報文，而只分析流中的第一個報文，第一個報文被分析以確定其是否標(biāo)識一個“流”或者一組具有相同源地址或目的地址的報文，完成路由處理，并基于第三層地址轉(zhuǎn)發(fā)報文，同一流中的后續(xù)報文被交換到基于第二層目的地址。流交換節(jié)省了檢查每一個報文要花費(fèi)的處理時間。 但流交換需要兩個技巧，第一個技巧是要識別第一個報文的哪一個特征標(biāo)識一個流，這個流可以使其余報文走捷徑，即第

25、二層路徑。第二個技巧是一旦建立穿過網(wǎng)絡(luò)的路徑，就讓流足夠長以便利用捷徑的優(yōu)點(diǎn)。怎樣檢測流、識別屬于特定流的報文以及建立通過網(wǎng)絡(luò)的流通路隨實現(xiàn)機(jī)制的變化而不同。,兩個站點(diǎn)通過三層交換機(jī)實現(xiàn)跨網(wǎng)段通信是怎樣一個過程。,4.2.3 三層交換技術(shù)的基本原理,圖4-9 三層交換機(jī)通信過程,在一臺三層交換機(jī)上創(chuàng)建不同的VLAN，驗證不同的VLAN之間能相互PING通，如圖4-9所示。其配置步驟如下。,4.2.4 三層交換技術(shù)的基本配置,4.3 生成樹協(xié)議 4.3.1 生成樹協(xié)議的基本術(shù)語,生成樹協(xié)議（spanning-tree protocol，STP）起源于DEC公司的“網(wǎng)橋到網(wǎng)橋”協(xié)議，后來，IEEE

26、 802委員會制定了生成樹協(xié)議的規(guī)范802.1d。 生成樹協(xié)議作用是，在冗余鏈路中，解決網(wǎng)絡(luò)環(huán)路問題。生成樹協(xié)議通過生成樹算法（SPA）生成一個沒有環(huán)路的網(wǎng)絡(luò)，當(dāng)主要鏈路出現(xiàn)故障時，能夠自動切換到備份鏈路，保證網(wǎng)絡(luò)的正常通信。 生成樹協(xié)議通過從軟件層面修改網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)，構(gòu)建一個無環(huán)路的邏輯轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)，提高了網(wǎng)絡(luò)的穩(wěn)定性和減少網(wǎng)絡(luò)故障的發(fā)生率。 生成樹協(xié)議有以下基本術(shù)語： 網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU） 網(wǎng)橋號（Bridge ID） 根網(wǎng)橋（Root bridge）,指定網(wǎng)橋（Designated bridge） 根端口（Root port

27、） 指定端口（Designated port） 非指定端口（NonDesignated port） BPDU（網(wǎng)橋協(xié)議數(shù)據(jù)單元） 網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU），是生成樹協(xié)議中的“hello數(shù)據(jù)包”，每隔一定的時間間隔（2秒，可配置）發(fā)送，它在網(wǎng)橋之間交換信息。生成樹協(xié)議就是通過在交換機(jī)之間周期發(fā)送網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）來發(fā)現(xiàn)網(wǎng)絡(luò)上的環(huán)路，并通過阻塞相關(guān)端口來斷開環(huán)路的。 網(wǎng)橋協(xié)議數(shù)據(jù)單元包括主要以下字段：Protocol ID，Version，Message Type，F(xiàn)lag，Root ID（根網(wǎng)橋ID），Cost of Path（路徑開銷），Bridge ID（網(wǎng)橋ID），Port

28、ID（端口ID），計時器包括：Message Age、Maximum Time、Hello Time、Forward Delay（傳輸延遲）。,網(wǎng)橋號 網(wǎng)橋號（Bridge ID）用于標(biāo)識網(wǎng)絡(luò)中的每一臺交換機(jī)，它由兩部分組成，2字節(jié)優(yōu)先級和6字節(jié)MAC組成。 根網(wǎng)橋 具有最小網(wǎng)橋號的交換機(jī)將被選舉為根網(wǎng)橋，根網(wǎng)橋的所有端口都不會阻塞，并都處于轉(zhuǎn)發(fā)狀態(tài)。 指定網(wǎng)橋 對交換機(jī)連接的每一個網(wǎng)段，都要選出一個指定網(wǎng)橋，指定網(wǎng)橋到根網(wǎng)橋的累計路徑花費(fèi)最小，由指定網(wǎng)橋收發(fā)本網(wǎng)段的數(shù)據(jù)包。 根端口 整個網(wǎng)絡(luò)只有一個根網(wǎng)橋，其他的網(wǎng)橋為非根網(wǎng)橋，根網(wǎng)橋上的端口都是指定端口，而不是根端口，而在非根網(wǎng)橋上，需要選

29、擇一個根端口。根端口是指從交換機(jī)到根網(wǎng)橋累計路徑花費(fèi)最小的端口，交換機(jī)通過根端口與根網(wǎng)橋通信。根端口（RP）設(shè)為轉(zhuǎn)發(fā)狀態(tài)。,指定端口 每個非根網(wǎng)橋為每個連接的網(wǎng)段選出一個指定端口，一個網(wǎng)段的指定端口指該網(wǎng)段到根網(wǎng)橋累計路徑花費(fèi)最小的端口，根網(wǎng)橋上的端口都是指定端口。指定端口（DP）設(shè)為轉(zhuǎn)發(fā)狀態(tài)。 非指定端口 除了根端口和指定端口之外的其它端口稱為非指定端口，非指定端口將處于阻塞狀態(tài)，不轉(zhuǎn)發(fā)任何用戶數(shù)據(jù)。,4.3.2 生成樹協(xié)議中的選擇原則,根網(wǎng)橋的選舉原則 在全網(wǎng)范圍內(nèi)選舉網(wǎng)橋號（Bridge ID）最小的交換機(jī)為根網(wǎng)橋，網(wǎng)橋號由交換機(jī)優(yōu)先級和Mac地址組合而成，從而可通過改變交換機(jī)的優(yōu)先級別

30、來改變根網(wǎng)橋的選舉。 選舉步驟如下： 所有交換機(jī)首先都認(rèn)為自己是根； 從自己的所有可用端口發(fā)送“配置BPDU”，其中包含自己的網(wǎng)橋號，并作為根； 當(dāng)收到其它網(wǎng)橋發(fā)來的“配置BPDU”時，檢查對方交換機(jī)的網(wǎng)橋號，若比自己小，則不再聲稱自己是根了（不再發(fā)送BPDU了）； 當(dāng)所有交換機(jī)都這樣操作后，只有網(wǎng)絡(luò)中最小網(wǎng)橋號的交換機(jī)還在繼續(xù)發(fā)送BPDU，因此它就成為根網(wǎng)橋了。,最短路徑的選擇 首先，比較路徑開銷。比較本交換機(jī)到達(dá)根網(wǎng)橋的路徑開銷，選擇開銷最小的路徑。 其次，比較網(wǎng)橋號。如果路徑開銷相同，則比較發(fā)生BPDU交換機(jī)的網(wǎng)橋號（Bridge ID）。 第三，比較發(fā)送者端口號（Port ID）。 如

31、果發(fā)送者網(wǎng)橋號相同，即同一臺交換機(jī)，則比較發(fā)送者交換機(jī)的Port ID； Port ID：端口號由1字節(jié)端口優(yōu)先級和1字節(jié)端口ID組成； 端口默認(rèn)的優(yōu)先級為128。 最后，比較接收者的端口號（Port ID）。 如不同鏈路發(fā)送者的Bridge ID一致（即同一臺交換機(jī)），那比較接收者的Port ID。,選舉根端口和指定端口 如圖4-10所示，一旦選好了最短路徑，就選好了根端口和指定端口。,圖4-10 生成樹協(xié)議中的選舉,生成樹的工作過程 首先進(jìn)行根橋的選舉。每臺交換機(jī)通過向鄰居發(fā)送BPDU，選出網(wǎng)橋ID最小的網(wǎng)橋作為網(wǎng)絡(luò)中的根橋。 確定根端口和指定端口。計算出非根橋的交換機(jī)到根橋的最小路徑開銷

32、，找出根端口（最小的發(fā)送方網(wǎng)橋ID）和指定端口（最小的端口ID）。 阻塞非根網(wǎng)橋上非指定端口。阻塞非根橋上非指定端口以裁剪冗余的環(huán)路，構(gòu)造一個無環(huán)的拓?fù)浣Y(jié)構(gòu)。這個無環(huán)的拓?fù)浣Y(jié)構(gòu)是一棵樹，根橋作為樹干，沒裁剪的活動鏈路作為向外輻射的樹枝。在處于穩(wěn)定狀態(tài)的網(wǎng)絡(luò)中，BPDU從根橋沿著無環(huán)的樹枝傳送到網(wǎng)絡(luò)的各個網(wǎng)段。,4.3.3 生成樹協(xié)議端口的狀態(tài),生成樹經(jīng)過一段時間（默認(rèn)值是50秒左右）穩(wěn)定之后，所有端口要么進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，要么進(jìn)入阻塞狀態(tài)。 圖4-11顯示了生成樹端口狀態(tài)的轉(zhuǎn)換過程，它指出了網(wǎng)絡(luò)中的每臺交換機(jī)在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個狀態(tài)：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。,圖4-11 生

33、成樹端口狀態(tài)的轉(zhuǎn)換過程,阻塞狀態(tài)Blocking 剛開始，交換機(jī)的所有端口均處于阻塞狀態(tài)。在阻塞狀態(tài)，能接收和發(fā)送BPDU，不學(xué)習(xí)MAC地址，不轉(zhuǎn)發(fā)數(shù)據(jù)幀。此狀態(tài)最長時間為20秒。 偵聽狀態(tài)Listening 在偵聽狀態(tài)，能接收和發(fā)送BPDU，不學(xué)習(xí)MAC地址，不轉(zhuǎn)發(fā)數(shù)據(jù)幀，但交換機(jī)向其他交換機(jī)通告該端口，參與選舉根端口或指定端口。根端口和指定端口將轉(zhuǎn)入到學(xué)習(xí)狀態(tài)；,學(xué)習(xí)狀態(tài)Learning 在學(xué)習(xí)狀態(tài)，接收BPDU，接收數(shù)據(jù)幀，從中學(xué)習(xí)MAC地址， 轉(zhuǎn)發(fā)狀態(tài)Forwarding 在轉(zhuǎn)發(fā)狀態(tài)，正常轉(zhuǎn)發(fā)數(shù)據(jù)幀。 無效狀態(tài) 當(dāng)一個接口處于無外接鏈路、被管理性關(guān)閉時，暫時處于無效狀態(tài)，并向阻塞狀態(tài)過

34、渡。,4.3.4 生成樹的重新計算,在Switch A和Switch C之間的連線沒有斷開時， Switch A的f0/24 、f0/1端口為指定端口；Switch C的f0/1端口為根端口，f0/2端口為非指定端口，處于阻塞狀態(tài)。當(dāng)Switch A和Switch C之間的連線斷開后，拓?fù)浣Y(jié)構(gòu)發(fā)生改變，生成樹重新開始計算，如圖4-12所示，Switch C的f0/2端口從非指定端口改變?yōu)楦丝冢蓸錇镾witch ASwitch BSwitch C。,圖4-12 生成樹的重新計算,4.3.5 RSTP快速生成樹協(xié)議,生成樹協(xié)議IEEE 802.1D作為一種純二層協(xié)議，通過在交換網(wǎng)絡(luò)中建立一個

35、最佳的樹型拓?fù)浣Y(jié)構(gòu)，在冗余的基礎(chǔ)上避免了環(huán)路。由于它收斂慢，且浪費(fèi)了冗余鏈路的帶寬，使其在實際應(yīng)用中并不多見。作為STP的升級版本，IEEE 802.1W RSTP（Rapid Spannning Tree Protocol）快速生成樹協(xié)議解決了收斂慢的問題，使得收斂速度最快在1秒以內(nèi)，但是仍然不能有效利用冗余鏈路做負(fù)載均衡（總是要阻塞一條冗余鏈路）。 IEEE 802.1W RSTP除了從 IEEE 802.1D 沿襲下來的根端口、指定端口外，還定義了兩種新的端口：備份端口和替代端口。 備份端口：是指定端口Designated port的備份口，當(dāng)一個交換機(jī)有兩個端口都連接在一個LAN上，那

36、么高優(yōu)先級的端口為指定端口Designated port，低優(yōu)先級的端口為備份端口Backup port。 替代端口：根端口的替換口，一旦根端口失效，該口就立刻變?yōu)楦丝?。它為?dāng)前根端口所連接的根橋提供了替代路徑。,IEEE 802.1W RSTP 只定義了 3 種狀態(tài)：放棄、學(xué)習(xí)和轉(zhuǎn)發(fā)。 實際上，直接連接PC的交換機(jī)端口不需要阻塞和偵聽狀態(tài)，往往因為交換機(jī)的阻塞和偵聽時間，使PC不能正常工作，如自動獲得IP地址的DHCP客戶機(jī)，一旦啟動，就要發(fā)出DHCP請求，而此請求可能會在交換機(jī)50s的延時時間內(nèi)超時；同時微軟的客戶機(jī)在向域服務(wù)器請求登錄時也會因為交換機(jī)50s的延時時間而宣告登錄失敗。直接

37、與終端連接的交換機(jī)端口稱為邊緣端口，將其設(shè)置為快速端口，快速端口當(dāng)交換機(jī)加電啟動或有一臺終端PC接入時，將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不必經(jīng)歷阻塞、偵聽狀態(tài)。 根或指定端口在拓?fù)浣Y(jié)構(gòu)中發(fā)揮著積極作用，而替代或備份端口不參與主動拓?fù)浣Y(jié)構(gòu)。因此在收斂了的穩(wěn)定網(wǎng)絡(luò)中，根和指定端口處于轉(zhuǎn)發(fā)狀態(tài)，替代和備份端口處于放棄狀態(tài)。,綜上所述，快速生成樹協(xié)議對生成樹協(xié)議主要做了以下幾點(diǎn)改進(jìn)： 改進(jìn)1：更加優(yōu)化的BPDU結(jié)構(gòu)。 改進(jìn)2：在接入層交換機(jī)（非根交換機(jī)）中，為根端口和指定端口設(shè)置了快速切換用的替換端口（Alternate Port）和備份端口（Backup Port）兩種端口角色，當(dāng)根端口、指定端口失效的時候

38、，替換端口、備份端口就會無時延地進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。 改進(jìn)3：自動監(jiān)測鏈路狀態(tài)：對應(yīng)點(diǎn)到點(diǎn)鏈路為全雙工，共享式為半雙工。 改進(jìn)4：在只連接了兩個交換端口的點(diǎn)到點(diǎn)鏈路中（全雙工），指定端口只需與下游網(wǎng)橋進(jìn)行一次握手就可以無時延地進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。 改進(jìn)5：直接與終端相連而不是與其他網(wǎng)橋相連的端口為邊緣端口（Edge Port）。邊緣端口可以直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，不需要任何延時。邊緣端口必須是Access端口，在交換機(jī)的生成樹配置中，必須人工設(shè)置。,RSTP的工作過程： 當(dāng)交換機(jī)從鄰居交換機(jī)收到一個劣等BPDU（宣稱自己是根交換機(jī)的BPDU），意味著原有鏈路發(fā)生了故障。則此交換機(jī)通過其他可用鏈路向根交換機(jī)發(fā)送根

39、鏈路查詢BPDU，此時如果根交換機(jī)還可達(dá)，根交換機(jī)就會向網(wǎng)絡(luò)中的交換機(jī)宣告自己的存在。使首先接收到劣等BPDU的端口，很快就轉(zhuǎn)變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，之間省略了max age阻塞時間。 RSTP和STP都屬于單生成樹SST（SingleSpanning Tree）協(xié)議，同樣有一些局限性： 整個交換網(wǎng)絡(luò)只有一棵生成樹，當(dāng)網(wǎng)絡(luò)規(guī)模較大時，收斂時間較長，拓?fù)涓淖兊挠绊懨嬉草^大。 在網(wǎng)絡(luò)結(jié)構(gòu)不對稱的情況下，單生成樹就會影響網(wǎng)絡(luò)的連通性。 當(dāng)鏈路被阻塞后將不承載任何流量，造成了冗余鏈路帶寬的浪 費(fèi)，對環(huán)狀城域網(wǎng)更為明顯。,4.3.6 生成樹的配置命令匯總,對CISCO的系列交換機(jī)Spanning Tree 的缺省配置如下： VLAN1的STP是開啟的 STP模式為PVST STP Priority（交換機(jī)優(yōu)先級）是32768 STP Port Prior