二层网络协议和关键技术.ppt

二层网络协议和关键技术,安腾网络2005.05,目录,一、L2基本概念和体系结构二、VLAN基本原理三、生成树协议基本原理四、IGMPSnooping基本原理五、参考资料,L2常用术语解释,PPP/SLIPATMLLCTokenRing/TokenBusEthernet802.3/MACL2交换：MACBridgingL2交换机：BridgeFrameRelay二层技术是数据网络的基础，我们重点需要掌握以太网相关的概念。,MAC子层的内部组织,桥接LAN示意图,基本Bridging工作原理,桥操作的主要过程,帧接收帧发送帧转发学习过程过滤数据库,桥端口状态,Enable和DisableListening：暂态下停止学习MAC地址，不转发帧，防止暂态下环路。Learning：暂态下可学习MAC地址，但是帧转发停止。Blocking：用户帧停止转发，禁止学习，BPDU可接收。Forwarding：用户帧和BPDU均可以转发，可以学习。一般比较好的二层交换机可以通过命令行和Web界面来查看端口的状态。高端交换机端口可以对广播报文进行抑制，防止广播风暴的发生。,桥端口状态转换关系,VLAN基本概念,VLAN：虚拟LAN，逻辑上隔离。VLAN好处：缩小广播域，减小广播风暴的发生提高安全性，不同VLAN之间必须通过3层设备通信减小网络管理员的负担，提高网络配置的灵活性VLAN分类：基于端口的vlan基于端口协议的vlan基于MAC的VLAN基于应用的VLANVLAN的划分和创建静态VLAN（手工创建）动态VLAN（GVRP自动生成）,VLAN实现方式,VLAN的实现的两种标记：ISL(InterlSwitchLink）是Cisco特有的标记，不能和其它公司产品兼容，这点需要注意。支持百兆和千兆以太网，不支持其它协议如FDDI和令牌环。IEEE802.1Q:标准VLAN协议，目前所有交换机厂家都提供了支持。支持机会所有的介质，包括以太网系列、FDDI、令牌环。IEEE802.1Q的实现：硬件隔离VLAN：各个端口互相隔离，但是可以和Uplink互相通信。基于端口VLAN：人工配置,IEEE802.1Q帧格式,SYN,源MAC,目的MAC,类型,TCI,DATA,FCS,用户优先级,CFI,vid,3bit,1bit,12bit,TCI:TagControlInformationCFI:规范格式标识符VID：VlanID,端口tag的传送,同一端口即可发送/接收tag帧，也可以发送和接收不带tag的帧。某端口接收不带tag的帧，另外端口发送带tag的帧。,从同一端口输出的帧不一样。,Tag情况下端口帧发送和接收,一般情况下Tag模式下每一个到达端口的帧做如下处理：当VLANID为非0的Tagged帧到达端口时，此帧的VID就是VLANfield中的VID，也称VLANID。当VLANID的0或是untagged帧时，此帧的VID就是端口缺省的VID，也称PVID。交换机内部报文交换都是带tag进行的，从交换机端口发出时的报文根据端口属性来处理。端口属性为untag时，所有从端口发出的报文都是untag的。端口属性是tag时，如果VID=PVID就发送untag报文，否则就发送tag为vid的报文。,典型的交换机vlan处理流程,SpanningtreeProtocol概述,Spanningtree：一个连通图，一个活动逻辑，其中每两个节点之间连通并且仅有唯一的路径。为什么要Spanningtree？预防消极情况：环路造成帧重复传送和广播风暴。积极用处：备份路径，提高网络生存能力。SPT在物理上如何体现？稳定状态下有个桥作为根。通过Blocking相关端口切断实际转发路径。SPT如何得到？通过桥接LAN上每个桥运行相同的STA，通过STP最后达到稳定状态。生成树是事先确定的：网络规划、桥优先级、端口优先级、端口路径代价的事先指配。,SPT应用示意图,STP原理静态描述,STP工作在LLC层，使用的LLC地址是01000010。BPDU：桥接协议数据单元保留的桥组地址：01-80-c2-00-00-00通过BPDU的PtocolID来进一步区分GARP协议。VLAN扩展：单SPT到多VLANSPT，快速收敛算法改进。,STP原理动态流程,各个桥之间比较BPDU信息，决定根桥是哪个桥。BPDU中相关的端口信息中，决定本桥的哪个端口是活动端口。,组播基本概念,什么是组播？1，单播：发送到一个特定的目的的主机2，广播：发送到网络内的所有的主机3，组播：源发送一份数据帧到网络上的一群特定的主机为什么使用组播1，如果用单播来实现向每个成员都发送一份单播数据，达到组播的效果缺点：耗费网络资源需要客户端的支持，客户端需要了解每一个成员的信息2，使用广播来实现向网络内所有成员发送数据，达到在本网内的组播效果缺点：同样耗费网络资源造成数据信息的泄露，安全性差,组播地址与分类,组播所用的地址TCP/IP为组播保留了D类IP地址224.0.0.0239.255.255.255映射到MAC组播地址，前3个字节为01-00-5E，后3个字节中的低23为IP组播地址的低23位，第24位为0。01-00-5E-00-00-0001-00-5E-7F-FF-FF组播的分类1、三层组播的实现对协议报文以及数据帧做IP层的分析，来识别组播组以及组成员2、二层组播的实现只限于二层数据链路层的分析，来识别组播组以及组成员,二层组播IGMPSnooping,1、二层交换机侦听成员与组播服务器之间的IGMP协议报文2、设置过滤表，将以一个组为目的的数据帧引导到通向组成员的那些端口3、侦听到某个成员发送到某个组播组的Report，则该成员所通过的端口被加入到对应组播地址的过滤表的输出清单中4、侦听到某个成员发送的包含某个组播组地址的Leave，则该成员所通过的端口从过滤表中被清除（如果该端口下只有这一个成员的话）,IGMPsnooping加入组,IGMPsnooping加入一个组主机1希望加入组播组224.1.2.3,主动发IGMP成员关系报告给该组，目的MAC地址为01005E010203,CAM表中没这个MAC地址表项，该报告从所有其他端口发出。CPU收到报告，建立CAM表项，以后MAC地址为01005E010203的组播帧都能被抑制在端口0、1、2，不向其他端口发送主机3想要加入该组，发送IGMP成员关系报告，因为CAM表有该组表项，就转发给端口0、1、2，CPU在CAM表项中增加一个端口4,IGMPsnooping离开组,IGMPsnooping离开一个组主机1离开组,会向所有路由器组播组（224.0.0.2）发IGMP离开组消息，此消息被CPU拦截，不会向其他端口转发CPU向端口2发IGMP常规查询，查看端口2是否有其他主机成员。如果有应答，就继续向端口2转发组播帧；如果没应答，就在CAM表中删除此端口，不会把离开组消息发给路由器。主机3如果也离开组，端口4没别的成员，CPU在CAM表项中删除端口4，这时此表项只有一个路由器端口，所以交换机删除该组的CAM表项，并向路由器转发离开组消息,IGMPSnooping维护组,IGMPsnooping维护组路由器周期性地发常规查询到所有主机组（224.0.0.1），CPU拦截此查询，再转发到交换机其他端口。每个该组成员的主机发IGMP报告来响应查询，因为CPU拦截所有IGMP消息，所以各个主机不会收到其他主机的IGMP报告。为了使路由器上保存IGMP组成员关系状态有效，交换机必须向路由器转发一个或多个（最好是一个）IGMP报告,IGMPSnooping的特点,IGMPSnooping缺点,1、在二层实行组播侦听时给交换机带来较大的开销符合，交换机需要检查每个组播帧，分析它的IP头以及ICMP的消息报文；除非使用专门的ASIC转发芯片2、仅支持IP协议3、当有某些不是组成员的网络监视设备出于故障排除目的而希望接收某些组播帧时，它无法将组播流量发送到这些非组成员,IGMPSn