以太网技术基础

以太网技术基础,课程目标,了解以太网的几个发展阶段熟悉二层交换的基本原理了解VLAN的定义及其结构和作用,课程内容,以太网的发展,二层交换的基本原理,VLAN(802.1Q),“以太网”是Ethernet的中译名，是在二十世纪七十年代由施乐（Xerox）公司的PaloAlto研究中心（PARC）开发的,是一种广泛使用的局域网技术以太网是由IEEE802.3标准来规定的传输介质粗缆细缆双绞线(UTP5：直连/交叉）光纤无线,以太网基本概念,共享：共享总线型以太网，同一网段上的计算机共享一条通信总线。广播：网段上的某一计算机发送的数据，会以广播方式发送出去，同一网段上的其它所有计算机都会接收到，但只有目的计算机才会处理这个数据。冲突：当两台计算机同时发送数据时，会产生冲突。因此，同一时刻只允许一台计算机发送数据，效率较低。,传统以太网基本特征,共享式以太网,网络中所有主机的收发都依赖于同一套物理介质，即共享介质。同一时刻只能有一台主机在发送，各主机通过遵循CSMA/CD规则来保证网络的正常通讯。,发送,监听,监听,监听,交换式以太网,扩展了网络带宽。分割了网络冲突域，使得网络冲突被限制在最小的范围内。交换机作为更加智能的交换设备，能够提供更多用户所要求的功能：优先级、虚拟网、远程检测,以太网技术的进一步发展,以太网速度的迅速提高从10Mbps向100Mbps、1000Mbps过渡，并进一步向10000Mbps过渡。VLAN技术使得以太网的应用日趋灵活。优先级，组播，三层交换，P-VLAN，S-VLAN.传输技术的迅猛发展使得以太网技术从局域网走向广域网。EthernetOverSDH，QinQ.,课程内容,以太网的发展,二层交换的基本原理,VLAN(802.1Q),相当于一个多口的中继器或一条共享的总线集线器是物理层的设备，它对发来的信号不作任何逻辑处理。集线器的功能主要有两个：,将每个端口接收到的信号放大后发给其它所有的端口，以此来扩展网络的直径；适应结构化布线的需要。,集线器,交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。交换机可以检查每一个收到的数据包，并对数据包进行相应的处理，减少误包和错包的出现避免了冲突的发生,冲突域,冲突域,交换机,二层交换设备,ASIC-ApplicationSpecificIntegratedCircuitL2FDBLayer2ForwardingDatabase,二层交换机工作模型,检测从端口接收的数据包的源和目的地的MAC（介质访问层）地址与系统内部的动态查找表进行搜索，将数据包发送给相应的目的端口，如果数据包的源地址不在地址表中，则自动学习；如果数据包的目的地址不在地址表中，则作为Unknown数据包处理。,二层以太网交换机的基本工作过程,存储转发：从接收端口接收数据包，将其存储在缓存中并进行CRC检查，对错误包进行处理后再从相应的端口发送出去。直通方式：获取包的目的地址后即进行相应转发,地址学习：交换机自动的读取数据包的源MAC地址，然后将数据包的输入端口号和源MAC地址一起写入端口-地址对应表中。,包过滤：包过滤是交换机的重要功能之一，交换机接收到数据包后，检测数据包的长度、校验和等信息，将非法的和校验和错误的数据包丢弃，不再发送。,以太网交换机的几个重要概念,通过目的MAC进行数据转发,MAC地址,所在端口,MACA,1,MACB,1,MACC,2,MACD,2,MACD,MACA,.,端口1,MACD,MACA,.,端口2,二层交换机的操作：,查MAC转发表处理转发,对于表中不包含的地址，通过泛洪的方式转发,一般不对帧格式进行修改,基于源MAC进行地址学习,A,B,C,PORT1,PORT2,D,L2Switch,MAC地址,端口号,MACA,1,MACB,3,MACC,2,MACD,4,使用MAC地址自动学习和老化机制对MAC地址表进行维护。,PORT3,PORT4,二层交换机工作原理,接收网段上的所有数据帧；利用接收数据帧中的源MAC地址来建立MAC地址表（源地址自学习），使用地址老化机制进行地址表维护；在MAC地址表中查找数据帧中的目的MAC地址，如果找到就将该数据帧发送到相应的端口（不包括源端口）；如果找不到，就向所有的端口泛洪（不包括源端口）；向所有端口泛洪广播帧和组播帧（不包括源端口）。,地址学习,InitialMACaddresstableisempty,MACaddresstable,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,A,B,C,D,StationAsendsaframetoStationCSwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframesTheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded),MACaddresstable,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0:0260.8c01.1111,E0,E1,E2,E3,D,C,B,A,地址学习（续）,二元组（端口号，MAC地址）,StationDsendsaframetostationCSwitchcachesstationDMACaddresstoportE3bylearningthesourceAddressofdataframesTheframefromstationDtostationCisfloodedouttoallportsexceptportE3(unknownunicastsareflooded),MACaddresstable,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0:0260.8c01.1111,E3:0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,地址学习（续）,StationAsendsaframetostationCDestinationisknown,frameisnotflooded,E0:0260.8c01.1111,E2:0260.8c01.2222,E1:0260.8c01.3333,E3:0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,X,X,D,C,A,B,MACaddresstable,目的地址在MAC地址表中,地址学习与转发,MAC地址的学习与老化,含某一源MAC地址的帧进入交换机的瞬间，交换机学习到该MAC地址，并开始进入老化周期；,针对帧的源MAC地址MAC地址表深度/MAC地址表学习速度,后续每一个含相同源MAC地址的帧进入交换机后都重新刷新MAC地址表，并重新开始老化周期；,进入老化周期后，若在整个周期内都没有含相同源MAC地址的帧进入，则该MAC地址将从MAC地址表中删除，发往该地址的帧将被以泛洪（Flood）处理,泛洪（Flood）：如果在MAC地址表中没有相应的匹配项,则在本广播域内向除接收端口外的所有端口广播该数据帧,泛洪操作广播的是普通数据帧而不是广播帧,地址学习与转发,MAC地址表与数据帧的转发,将收到的广播帧，向广播域中除源端口外的其它所有端口转发,根据帧的宿MAC地址查找MAC地址表不向源端口转发MAC表中找不到则向其它所有端口转发,收到组播帧，向广播域中除源端口外的属于组成员的其它所有端口转发,收到单播帧，若其目的MAC不在MAC地址表中，泛洪处理,收到单播帧，若（在MAC表中）其目的MAC与源MAC不在同一冲突域，向指定端口转发,收到单播帧，若（在MAC表中）其目的MAC与源MAC在同一冲突域，丢弃该帧,地址学习与转发,交换机,A,B,C,一个实例：PING过程,C终端回应ICMP回应报文（单播）(交换机查找MAC表进行转发),1,2,3,A终端发送ARP请求报文（广播）(交换机从端口1学习到终端A的MAC),C终端回应ARP应答报文（单播）(交换机从端口3学习到终端C的MAC并根据上一步的学习结果进行转发),A终端发送ICMP请求报文（单播）(交换机查找MAC表进行转发),10.21.24.44,10.21.8.8,（同一网段内）,跨网段的PING过程?,交换机的主要功能包括物理编址、监测网络拓扑结构、错误校验、数据转发等。目前交换机还具备了一些新的功能。,流量控制能力(IEEE802.3x)VLAN（IEEE802.1Q）端口汇聚Trunking（IEEE802.3ad）生成树STP(IEEE802.1D)组播IGMPSNOOPING端口镜像端口绑定,以太网交换机的主要功能,端口汇聚,端口汇聚（TRUNK）,交换机A,交换机B,通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径，以增加在交换机和网络节点之间的带宽主要功能就是将多个物理端口绑定为一个逻辑的通道，使其工作起来就像一个通道一样具有链路冗余的作用，在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以工作,端口汇聚的的机制，如基于MAC地址VLAN汇聚与业务汇聚,条件：1.各分离的链路速率相同；2.各分离的链路必须是全双工链路；3.各分离的链路两端参数一致，比如流量控制；,流量控制与优先级,在转发处理中(TheForwardingProcess)，出端口对经入口规则过滤后的帧按优先级排成不同的队列，高优先级队列的帧将被优先转发；(优先级的映射、FCS的重计算),数据接收端发现接收缓冲区快用完，向对端发送PAUSE帧；对端接收到PAUSE帧后暂停发送，暂停时间由PAUSE帧指定如果在PAUSE指定的时间内数据处理完，则发送延迟为0的PAUSE帧，对方收到后马上恢复发送。,流量控制：(IEEE802.3x),优先级：(IEEE802.1p),Priority-TaggedFrame,3bit,8个等级,SDH侧的流控,端口镜像与广播抑制,广播抑制：限制端口上允许通过的广播流量的大小当广播流量超过用户设置的值后系统将对广播流量作丢弃处理使广播所占的流量比例降低到合理的范围从而有效地抑制广播风暴避免网络拥塞保证网络业务的正常运行,有效性：全局/不同广播域/端口类型：广播帧/不明地址帧流量统计：绝对值/百分比/时间片流量,交换机的端口镜像功能，指可以将一个端口的流量自动复制到另一端口，供网络管理员在判断网络问题时对端口流量和内容进行实时分析。通过交换机的镜像端口，这些流量就可以被一个特殊的设备监控，对发现和修理故障有很大的帮助。交换机可以有专为镜像目的而设计的端口，许多交换机产品还提供了将任何一个端口配置成镜像端口的功能，某些交换机甚至支持同时有多对多的端口镜像。为了能使用网络分析仪或入侵检测系统IDS直接监控网络流量，所连接的交换机必须支持端口镜像,课程内容,以太网的发展,二层交换的基本原理,VLAN(802.1Q),VLAN的基本概念,VLAN（VirtualLocalAreaNetwork），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组。这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网VLAN1,VLAN2和VLAN3的构成,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,当B1向VLAN2工作组内成员发送数据时，工作站B2和B3将会收到广播的信息。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,B1发送数据时，工作站A1,A2和C1都不会收到B1发出的广播信息。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。,SwitchA,GreenVLAN,BlackVLAN,RedVLAN,SwitchB,GreenVLAN,BlackVLAN,RedVLAN,EachlogicalVLANislikeaseparatephysicalbridgeVLANscanspanacrossmultipleswitches,VLAN的实现方法,VLAN允许在同一个交换机上有多个分离的LAN，也允许跨交换机形成VLAN,VLAN的基本作用,VirtualLocalAreaNetwork相同VLAN内主机可以任意通信二层交换不同VLAN内主机二层流量完全隔离阻断广播包，减小广播域提供了网络安全性相同VLAN跨交换机通信实现虚拟工作组减少用户移动带来的管理工作量,VLAN的划分方法,基于端口划分基于MAC地址划分基于协议划分基于IP子网划分,基于端口的VLAN,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port1,VLAN5,Port2,VLAN10,Port7,VLAN5,Port10,VLAN10,Port1,Port2,Port7,Port10,基于MAC地址的VLAN,VLAN表,MAC地址,所属VLAN,MACD,VLAN10,VLAN5,VLAN10,VLAN5,MACA,MACB,MACC,MACD,主机A,主机B,主机C,主机D,以太网交换机,Port1,Port2,Port7,Port10,基于协议的VLAN,VLAN表,协议类型,所属VLAN,IPX协议,IP协议,VLAN5,VLAN10,使用IPX协议,运行IP协议,使用IPX协议,运行IP协议,主机A,主机B,主机C,主机D,以太网交换机,Port1,Port2,Port7,Port10,基于子网的VLAN,VLAN表,所属VLAN,VLAN5,VLAN10,1.1.1.5,1.1.2.88,1.1.1.8,1.1.2.99,主机A,主机B,主机C,主机D,以太网交换机,Port1,Port2,Port7,Port10,虚拟局域网协议允许在以太网的帧格式中插入一个4字节的标识符，称为VLAN标记(tag)，用来指明发送该帧的工作站属于哪一个虚拟局域网。,VLAN的标记,VLAN的帧格式,标准以太网帧,TPID,Priority,CFI,VLANID,TCI（标记控制信息）,带有IEEE802.1Q标记的以太网帧,标记协议标识,2字节,3比特,1比特,12比特,6字节,6字节,2字节,461500字节,4字节,4字节,图注：tag：VLAN标记，指明发送该帧的工作站属于哪一个VLANTPID：长度类型802.1Q标记类型，设置为0 x8100Priority：用户优先级CFI：规范格式指示符VID：VLAN标识符,前同步码,目的地址,源地址,TAG,数据,FCS,前同步码,目的地址,源地址,长度,数据,FCS,长度,0 x8100,priority,CFI,VLANID,VLAN(802.1Q)封装格式（续）,VLAN种类：基于port的VLAN基于MAC地址的VLAN基于标识Tag的VLANVLAN和LAN之间的区别是数据帧的封装上的不同增加了TagHeader相关协议802.1Q,VLAN实现虚拟工作组,AccessLink和TrunkLink,接入链路,干道链路,Access和Trunk链路,Access链路连接Access链路的交换机端口称为Access端口帧在Access链路上转发不带VLANTag交换机Access端口接收到以太网帧后，按照端口所在VLAN加上VLANTag，然后进行转发帧从Access端口发送出去，帧中的VLANTag会被去掉Trunk链路连接Trunk链路的交换机端口称为Trunk端口帧在Trunk链路上转发带VLANTag，因此允许多个VLAN的帧在Trunk链路上转发交换机Trunk端口接收到以太网帧后，需要判断该Trunk端口是否允许帧中VLANID对应的VLAN通过。若允许，则进行转发；否则要直接丢弃该帧。如果在Trunk接口上收到没有tag的帧，将会打上PVID帧从Trunk端口发送出去，VLANTag一般不会被去掉,帧在网络通信中的变化,VLAN2,VLAN1,VLAN1,VLAN2,带有VLAN1标签的以太网帧,带有VLAN2标签的以太网帧,不带VLAN标签的以太网帧,链路聚合是一种将多个物理连接作为一个逻辑连接。其优点在于可以将多个低速的链路集中为一个高速的链路。如果连接两台交换机，必须两台相应端口都设置Trunk，否则会形成回路Trunk组在VLAN、STP功能中均当作一个端口,TRUNK,Trunklink和VLAN,VLAN1,VLAN2,VLAN1,VLAN3,VLAN2,VLAN1,VLAN5,VLAN5,VLAN2,VLAN5,广播报文发送,TrunkLink,支持VLAN二层交换机转发流程-IVL（独立式）,根据帧内TagHeader的VLANID查找L2FDB表，确定查找的范围；根据目的MAC查找出端口，图中应该从端口2转发出去；如果在L2FDB表中查找不到该目的MAC，则该报文将通过广播的方式在该VLAN内所有端口转发；同时该以太网帧的源MAC将被学习到接收到报文的端口上，即端口1（VLAN2）；L2FDB表中的MAC地址通过老化机制更新；在转发的过程中，不会对帧的内容进行修改,支持VLAN二层交换机转发流程-SVL（共享式）,根据帧的目的MAC查MAC转发表(即L2FDB)，查找相应的出端口。根据现有L2FDB表，报文应该从端口2发送出去；判断出端口的VLANID和报文TagHeader内的VLANID是否匹配，匹配则转发，不匹配则丢弃；如果在L2FDB表中查找不到该目的MAC，则判断出端口的VLANID和报文TagHeader内的VLANI