三网融合.二层交换技术

DL_SP01_C1 二层交换技术
课程目标：
z了解交换机工作原理
z掌握VLAN基本原理
z了解STP协议及应用
z了解端口聚合
z了解端口镜像
参考资料：
z CCNA培训教材
目录
第1章以太网交换原理 (1)
1.1 交换机工作原理介绍 (1)
1.2 VLAN (3)
1.2.1 什么是VLAN (3)
1.2.2 创建VLAN的技术 (4)
1.2.3 802.1Q协议 (4)
1.3 STP生成树协议 (5)
1.3.1 生成树的作用 (5)
1.3.2 生成树协议的一些重要概念 (5)
1.4 Trunk端口聚合 (7)
1.5 Mirror端口镜像 (9)
i
第1章以太网交换原理
知识点
z交换机工作原理。

z常用二层交换协议。

1.1 交换机工作原理介绍
以太网交换机作用于7层网络模型的第2层，数据链路层，它的基本原理是以数
据链路层的地址作为数据帧在多个端口之间交换的判据，比如，对于以太网，采
用以太网的数据链路层地址MAC地址为交换判据，构成了2层以太网交换机。

图1.1-1 二层数据传输流程
当一帧数据包从某个以太网交换机的端口输入时，以太网交换机会根据数据包中
的目标MAC地址来检查地址数据库中的地址。

如果目标地址与输入数据端口的
地址相同，那么数据包就会被丢掉或者“过滤”掉；如果目标地址属于其它端口，
以太网交换机就会将数据包发送到那个端口的传输数据队列中等待传输；但是，
如果目标地址不在地址数据库中，那么数据包将会根据VLAN的设置或者预先定
义的规则被发送到一个或者多个端口。

1
DL_SP01_C1 二层交换技术
2
如果数据包的源地址不在以太网交换机的地址数据库中，那么这个地址将被记录到输入数据端口，以便以后数据包的发送。

数据交换过程包括以下步骤：
1． 虚拟网段的区分；
2． 自动识别地址；
3． 过滤数据包；
4． 发送延迟。

在以太网交换机中，数据包如何根据VLAN 的设置进行转发是由数据包中所包含的VLANID 来决定的。

下面就打Tag 的数据帧和不打Tag 的数据帧两种情况来说明包转发的情况。

以太网交换机(1)
以太网交换机(2)
图1.1-2 以太网交换机组网图 如图1.1-2，以太网交换机1和2通过端口1相连，设两个以太网交换机中的端口1、2、3、4在同一个VLAN 里，VLANID 为1，端口1、7、8、9在另一个VLAN 里，VLANID 为2，以太网交换机（1）的端口1的PVID 为2，以太网交换机（2）的端口1的PVID 为1，以太网交换机（2）的第四端口连接PC 机。

1． 接受到打Tag 的数据帧的包转发情况
如果以太网交换机（2）中的端口1是Tagged 的，那么从以太网交换机（2）
中发出的数据帧中的VLAN 信息就是以太网交换机（2）中端口4的VLAN 信息，即VLANID 为1，那么以太网交换机（1）中的端口1接收到的数据包中的VLANID 为1，因此端口1接到包后就向同属于VLAN1的端口2、3、4转发。

第1章 以太网交换原理
3
2． 接受到不打Tag 的数据帧的包转发情况
如果以太网交换机（2）中的端口1是Untagged 的，那么从以太网交换机
（2）中发出的数据帧中就不包括VLAN 信息，以太网交换机（1）中的端口1接收到的数据帧中无VLAN 信息，这时端口1就以自身的PVID 号来标识接收到的数据帧的VLAN 信息，此时端口1就自动在它接收到的数据帧里加入VLANID 为2的VLAN 信息，因此端口1接到包后就向同属于VLAN2的端口7、8、9转发。

1.2 VLAN
1.2.1 什么是VLAN
与第3层（路由）相比，通过第2层（交换）平整LAN 的结构能够明显改善整个网的性能。

传统的第2层LAN 交换提倡平整网络结构，充分利用线速交换功能传输数据，不是通过传统的路由器降低网络的速度。

同时，在结构平整的大型网络中，经常会受到大量广播和偶然发生的广播风暴的困扰，它将使网络性能降低。

过去，你只能将网络分为更小的网段，各网段之间通过路由器连接。

因为路由器通常不传输广播数据。

现在，VLAN 提供了另一种解决方案。

本章稍后将介绍新的VLAN 标准802.1Q 。

需要注意的是，并不是所有的VLAN 都是标准的。

VLAN 已经出现了几年，而标准是1998年才出台的。

这意味着许多VLAN 本质上是专有的，通常只能与同一厂商生产的设备共同使用。

专有解决方案的一个例子是802.帧头部定义的安全选项。

某些厂商（例如Cisco ）将该选项头用作VLAN 标记。

802.1Q 定义了帧标记的标准。

规范制定者希望802.1Q 能够消除VLAN 中专有性，之能与不支持VLAN 的许多厂商和网络设备集成。

标准简化了构建VLAN 的方案，使得一个企业之间能够实现互操作。

通过VLAN ，你可以跨越多个LAN ，创建网络设备的逻辑组。

这些逻辑组可能要跨越一个或多个第2层交换机，或者是建立在交换机到交换机基础之上的。

逻辑组中可以传输广播数据。

一个VLAN 就定义一个广播域；情况就这么简单。

你也许记得形成广播域的传统方法是构建一个IP 子网。

VLAN 与IP 子网之间的最大差异在于：IP 子网仅仅是以IP 地址为基础的；VLAN 是基于多种属性的逻辑
DL_SP01_C1 二层交换技术
4
组。

另外，“子网”中的所有主机都必须位于同一广播域中，否则ARP 无法正常工作——相信你不会建一个不能运转的网络。

冲突域：指在这么一个以太网区域，这个区域可能有一个或者多个工作站，但是这个区域内的工作站同时只能有一个工作站发送数据帧。

广播域：指在这么一个以太网区域，这个区域可能有一个或者多个工作站，如果这个区域内的某个工作站发送了一个广播帧（MAC 地址为全F ），区域内的其他工作站都应该能够接收到这个广播帧。

1.2.2 创建VLAN 的技术
你可以通过以下几种技术将通过桥接的网络物理拓扑结构变为一组VLAN ：
根据协议分组：该技术是指根据协议类型（IP 、IPX 或Apple Talk ）或网络地址（特定的IP 子网）分组。

根据MAC 地址分组：该技术是指依据网络设备的MAC 地址确定VLAN 的成员关系。

根据端口分组：该技术是指将一台或多台交换机上的若干端口划分互助 。

网络设备根据所连接的端口确定成员关系。

1.2.3 802.1Q 协议
802.1Q 协议，即Virtual Bridged Local Area Networks 协议，通过在原来的以太网帧头中的源地址后增加了一个4字节的802.1Q 帧头来标记VLAN 。

在帧中，标记头位于目的MAC 地址和源MAC 地址之后（如果采用路由机制，则位于路由地址之后），它是实现数据流过滤的基础。

标记头由标记协议标识符（Tag Protocol Identifier ，TPID ）和标记控制信息（Tag Control Information ，TCI ）两部分组成，其中TPID 表示本帧是个标记帧。

图1.2-1显示了标记头的组成。

图1.2-1 标记头的组成
第1章 以太网交换原理
5
其中TCI 由以下部分组成：
用户优先权（user priority ）（用3位表示，取值范围从0至7）表明帧的优先权。

一位令牌环封装标记（Token Ring encapsulation flag ）用于指明该帧是否采用IEEE 802.5令牌的帧格式。

（该标记在帧转换过程中非常重要。

）
VLAN 标识符（VLAN identifier ）（VLAN Id 用12位表示）在帧与VLAN 成员关系之间建立的关联。

网桥可以根据以上信息将帧仅转发到与特定VLAN ID 相关的端口，能够依据优先权决定转发帧的顺序。

更重要的是，交换机会保留该标记；即使桥接仍然是点到点的，该标记中的信息仍然能够帮助帧在非路由网络中“路由”。

1.3 STP 生成树协议
1.3.1 生成树的作用
在桥接网络中经常存在闭合环路，有些环路是网络错误配置造成的，是消极的，有些是为了链路的冗余备份特意配置的。

由于MAC 帧没有生存时间位，一个MAC 帧一旦进入闭合环路将会导致MAC 帧在这个闭合环路内无限循环转发，为了防止这种情况的发生，需要应用桥的生成树协议（STP ），检测L2交换机之间的环路状况，通过阻塞掉某些端口以消除环路。

当网络中某些部分出现故障时，生成树算法还可以自动重配整个网络拓扑。

启用原先作为冗余备份的链路。

STP 遵循802.1D 协议，STP 协议封装在MAC 帧中，目的MAC 地址是一个组地址01：80：C2：00：00。

1.3.2 生成树协议的一些重要概念
1.3.
2.1 重要参数
在生成树算法中，有三个重要的参数：
z 桥标识：每个桥对应的标识，在网络中是唯一的。

每个桥的标识由桥地址
和一个可自由设置的优先级数构成。

由于每个桥的地址不一样，因此桥的标识在网络中是唯一的，桥的优先级比较由桥标识的数值比较得来，数值小表示的优先级高。

z 桥端口标识：每个桥中每个端口的标识。

端口的标识由一个固定端口序号
和一个可自由设置的优先级数构成。

桥端口标识在每个桥内是唯一的，桥端口的优先级比较由桥端口标识的数值比较得来，数值小表示的优先级高。

DL_SP01_C1 二层交换技术
6 z 端口路径代价(path cost)：表示这个端口在接收帧时所需要的花费的代价，
路径代价的缺省值是每种网络特定的MAC 类型和速度，有推荐值。

1.3.
2.2 端口和桥的几个角色
z 根桥（Root Bridge ）：网络中有且只有一个桥被认为是根桥，根桥的是网络
中桥标识的优先级最高（桥标识值最小）的桥。

z 根路径代价(root path cost)：一个帧从根桥沿着最小路径价值的路转发到该
桥，所经过的所有接收该帧的桥端口的路径代价的和。

z 根端口（Root Port ）：桥中到根桥的路径代价最小的端口，如果存在两个或
多个端口有相同的价值，那么采用端口标识来仲裁。

z 指定桥：每个网段通过到根桥代价最低的桥与根桥相连，这个桥称为指定
桥。

z 指定端口：某个网段通过某个端口连接到根桥，如果根路径代价最小的话，
则这个端口称为这个网段的指定端口。

每个网段只有一个指定端口，如果存在两个或多个端口有相同的价值，那么先是桥标识然后是端口标识用来仲裁。

指定端口和根端口处于转发状态。

z 预备端口：桥中除了根端口和指定端口外的端口都是预备端口，预备端口
处于Block 状态。

1.3.
2.3 桥的端口状态
端口的状态迁移图如图1.3-1。

第1章 以太网交换原理
7
图1.3-1 端口状态迁移图
从端口的状态图中可以看到端口的状态分为：阻塞（blocking ），侦听（listening ），学习（learning ），转发（forwarding ），屏蔽（disable ）。

一个端口从blocking 进入forwarding 的过程：首先进入listening ，如果没有收到进入blocking 的消息，在协议时间后，进入learning ，在learning 状态下不转发数据，只学习位置信息。

在没有收到转为blocking 的信息，经过协议时间进入forwarding 。

1.4 Trunk 端口聚合
简言之，链路聚合技术就是把两个交换机之间的多个点到点连接绑定在一起，组成一个逻辑连接的技术，如图1.4-1。

这个逻辑连接在OSI 的层次模型中是属于数据链路层，对上层网络层来说，链路聚合逻辑端口与普通MAC 层端口没什么两样，它们的属性一样，提供的功能也一样。

DL_SP01_C1 二层交换技术
8
交换机1交换机2
图1.4-1 两交换机之间链路聚合示意图
组网时，核心交换机之间的连接、核心交换机与数据服务器的连接以及核心交换机与边缘交换机的连接是整个网络最重要的连接，叫主干连接（Trunk ），如图
1.4-2。

主干连接具有高带宽和高可靠性等要求，显然，单一物理链路未必能提供足够的带宽和可靠性，而采用聚合技术，把多个物理链路捆绑成一条逻辑链路可以满足主干连接的要求。

图1.4-2 链路聚合应用示意图
链路聚合具有如下特点：
1． 高带宽。

在没有故障的情况下，链路聚合的带宽等于聚合的物理链路带宽
的总和。

2． 高可靠性。

当其中某条物理链路发生故障时，交换机自动失效该链路并停
止从这条链路传送信息，同时选择其他链路继续进行传送。

主干中一条或
第1章 以太网交换原理
9 多条物理链路失效，不会影响两台交换机的连通性，只是链路带宽随着失效链路数的增加而下降，因此链路聚合技术可以提高主干的可靠性。

3． 负载均衡。

链路聚合技术有一个帧分发算法，可以根据各物理链路的流量
有选择地进行数据包发送，使各链路的负载均衡。

实现链路聚合还有一些限制条件：链路聚合只能在两点（交换机）之间实现；并且能够聚合在一起的链路都是同种链路，如它们的MAC 属性、速率都相同等，一般一个聚合组最多只能包括8个端口，许多芯片在实现时还有其他的限制条件。

1.5 Mirror 端口镜像
端口镜像即端口监控，可将一个或多个端口（源端口）的传输数据按一定要求复制到指定端口（监控端口）分析和保存，管理员对网络的使用情况了如指掌，不仅可用于即时监控，还能为事后追查提供可靠证据，是信息监控、网络管理的重要手段。