以太网技术基础

1、编制 刘 俊审核 代谢寅版本 V2.0Page 2课程目标了解以太网的几个发展阶段熟悉二层交换的基本原理了解VLAN的定义及其结构和作用Page 3课程内容以太网的发展二层交换的基本原理VLAN(802.1Q)Page 4l“以太网”是Ethernet的中译名，是在二十世纪七十年代由施乐（Xerox）公司的Palo Alto研究中心（PARC）开发的,是一种广泛使用的局域网技术l以太网是由IEEE 802.3标准来规定的l传输介质l粗缆l细缆l双绞线(UTP5：直连/交叉）l光纤l无线以太网基本概念Page 5l 共享：共享总线型以太网，同一网段上的计算机共享一条通信总线。l 广播：网段上的某

2、一计算机发送的数据，会以广播方式发送出去，同一网段上的其它所有计算机都会接收到，但只有目的计算机才会处理这个数据。l 冲突：当两台计算机同时发送数据时，会产生冲突。因此，同一时刻只允许一台计算机发送数据，效率较低。传统以太网基本特征Page 6共享式以太网n 网络中所有主机的收发都依赖于同一套物理介质，即共享介质。n 同一时刻只能有一台主机在发送，各主机通过遵循CSMA/CD规则来保证网络的正常通讯。发送发送监听监听监听监听监听监听Page 7交换式以太网l 扩展了网络带宽。l 分割了网络冲突域，使得网络冲突被限制在最小的范围内。l 交换机作为更加智能的交换设备，能够提供更多用户所要求的功能：

3、优先级、虚拟网、远程检测交换矩阵交换矩阵发送发送发送发送接收接收接收接收Page 8以太网技术的进一步发展n 以太网速度的迅速提高l 从10Mbps向100Mbps、1000Mbps过渡，并进一步向10000Mbps过渡。n VLAN技术使得以太网的应用日趋灵活。l 优先级，组播，三层交换，P-VLAN，S-VLAN.n 传输技术的迅猛发展使得以太网技术从局域网走向广域网。l Ethernet Over SDH，QinQ.Page 9课程内容以太网的发展二层交换的基本原理VLAN(802.1Q)Page 10l相当于一个多口的中继器或一条共享的总线l集线器是物理层的设备，它对发来的信号不作任何

4、逻辑处理。l集线器的功能主要有两个： l将每个端口接收到的信号放大后发给其它所有的端口，以此来扩展网络的直径；l适应结构化布线的需要。冲突域冲突域集线器Page 11l 交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。l 交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。l 交换机可以检查每一个收到的数据包，并对数据包进行相应的处理，减少误包和错包的出现l 避免了冲突的发生冲突域冲突域冲突域冲突域交换机Page 12二层交换设备port1port2port3port4port5p

5、ort6MACMACMACMACMACMAC二层交换引擎L2FDBSwitchASICn ASIC-Application Specific Integrated Circuit n L2FDBLayer 2 Forwarding DatabasePage 13二层交换机工作模型应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层物理层物理层Sw i tch链路层链路层Page 14l检测从端口接收的数据包的源和目的地的MAC（介质访问层）地址l与系统内部的动态查找表进行搜索，将数据包发送给相应的目的端口，如果数据包的源地址不在地址表中，则自动学习；如果数据包的

6、目的地址不在地址表中，则作为Unknown数据包处理。二层以太网交换机的基本工作过程Page 15l存储转发：从接收端口接收数据包，将其存储在缓存中并进行CRC检查，对错误包进行处理后再从相应的端口发送出去。l直通方式：获取包的目的地址后即进行相应转发l地址学习：交换机自动的读取数据包的源MAC地址，然后将数据包的输入端口号和源MAC地址一起写入端口-地址对应表中。l包过滤：包过滤是交换机的重要功能之一，交换机接收到数据包后，检测数据包的长度、校验和等信息，将非法的和校验和错误的数据包丢弃，不再发送。以太网交换机的几个重要概念Page 16通过目的MAC进行数据转发MAC地址地址所在端口所在端

7、口MACA1MACB1MACC2MACD2MACD MACA.端口端口1MACD MACA.端口端口2二层交换机的操作：查MAC转发表处理转发对于表中不包含的地址，通过泛洪的方式转发一般不对帧格式进行修改Page 17基于源MAC进行地址学习ABCPORT1PORT2DL2 SwitchMAC地址地址端口号端口号MACA1MACB3MACC2MACD4使用MAC地址自动学习和老化机制对MAC地址表进行维护。PORT3PORT4Page 18二层交换机工作原理n 接收网段上的所有数据帧；n 利用接收数据帧中的源MAC地址来建立MAC地址表（源地址自学习），使用地址老化机制进行地址表维护；n 在M

8、AC地址表中查找数据帧中的目的MAC地址，如果找到就将该数据帧发送到相应的端口（不包括源端口）；如果找不到，就向所有的端口泛洪（不包括源端口 ）；n 向所有端口泛洪广播帧和组播帧（不包括源端口 ）。Page 19地址学习 Initial MAC address table is emptyMAC address table0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCDPage 20 Station A sends a frame to Station C Switch caches station A M

9、AC address to port E0 by learning the source address of data frames The frame from station A to station C is flooded out to all ports except port E0 (unknown unicasts are flooded)MAC address table0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8c01.1111E0E1E2E3DCBA地址学习（续）二元组（端口号，二元组

10、（端口号，MACMAC地址）地址）Page 21 Station D sends a frame to station C Switch caches station D MAC address to port E3 by learning the source Address of data frames The frame from station D to station C is flooded out to all ports except port E3 (unknown unicasts are flooded)MAC address table0260.8c01.1111026

11、0.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8c01.1111E3: 0260.8c01.4444E0E1E2E3DCAB地址学习（续）Page 22lStation A sends a frame to station ClDestination is known, frame is not flooded E0: 0260.8c01.1111E2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260

12、.8c01.4444E0E1E2E3XXDCABMAC address table目的地址在MAC地址表中Page 23地址学习与转发qMAC地址的学习与老化含某一源MAC地址的帧进入交换机的瞬间，交换机学习到该MAC地址，并开始进入老化周期；针对帧的源MAC地址MAC地址表深度/MAC地址表学习速度后续每一个含相同源MAC地址的帧进入交换机后都重新刷新MAC地址表，并重新开始老化周期；进入老化周期后，若在整个周期内都没有含相同源MAC地址的帧进入，则该MAC地址将从MAC地址表中删除，发往该地址的帧将被以泛洪（Flood）处理 泛洪（Flood）：如果在MAC地址表中没有相应的匹配项,则在本

13、广播域内向除接收端口外的所有端口广播该数据帧 ,泛洪操作广播的是普通数据帧而不是广播帧 Page 24地址学习与转发qMAC地址表与数据帧的转发将收到的广播帧，向广播域中除源端口外的其它所有端口转发根据帧的宿MAC地址查找MAC地址表不向源端口转发MAC表中找不到则向其它所有端口转发收到组播帧，向广播域中除源端口外的属于组成员的其它所有端口转发收到单播帧，若其目的MAC不在MAC地址表中，泛洪处理收到单播帧，若（在MAC表中）其目的MAC与源MAC不在同一冲突域，向指定端口转发收到单播帧，若（在MAC表中）其目的MAC与源MAC在同一冲突域，丢弃该帧Page 25地址学习与转发交换机ABCq一

14、个实例：PING过程C终端回应ICMP回应报文（单播） (交换机查找MAC表进行转发)123A终端发送ARP请求报文（广播） (交换机从端口1学习到终端A的MAC)C终端回应ARP应答报文（单播）(交换机从端口3学习到终端C的MAC并根据上一步的学习结果进行转发)A终端发送ICMP请求报文（单播） (交换机查找MAC表进行转发)10.21.24.4410.21.8.8（同一网段内）跨网段的PING过程?Page 26l 交换机的主要功能包括物理编址、监测网络拓扑结构、错误校验、数据转发等。l 目前交换机还具备了一些新的功能。l 流量控制能力 (IEEE 802.3x)l VLAN（ IEEE

15、802.1Q） l 端口汇聚Trunking（ IEEE 802.3ad） l 生成树STP(IEEE 802.1D) l 组播IGMP SNOOPINGl 端口镜像l 端口绑定以太网交换机的主要功能Page 27端口汇聚q端口汇聚（TRUNK）交换机A交换机B通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径，以增加在交换机和网络节点之间的带宽主要功能就是将多个物理端口绑定为一个逻辑的通道，使其工作起来就像一个通道一样具有链路冗余的作用，在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以工作端口汇聚的的机制，如基于MAC地址VLAN汇聚与业务汇聚条件：1.各

16、分离的链路速率相同；2.各分离的链路必须是全 双工链路；3.各分离的链路两端参数 一致，比如流量控制；Page 28流量控制与优先级在转发处理中(The Forwarding Process)，出端口对经入口规则过滤后的帧按优先级排成不同的队列，高优先级队列的帧将被优先转发；(优先级的映射、FCS的重计算) 数据接收端发现接收缓冲区快用 完，向对端发送PAUSE帧；对端接收到PAUSE帧后暂停发送，暂停时间由PAUSE帧指定如果在PAUSE指定的时间内数据处理完，则发送延迟为0的PAUSE帧，对方收到后马上恢复发送。q流量控制：(IEEE 802.3x )q优先级：(IEEE 802.1p)P

17、riority-Tagged Frame,3bit,8个等级SDH侧的流控PAUSE帧源MAC地址（6字节）填充校验信息（4字节）类型类型=X88-08操作码操作码= X00-01暂停时间（暂停时间（2字节）字节）X01-80-C2-00-00-01(只针对全双工只针对全双工)Page 29端口镜像与广播抑制q广播抑制：限制端口上允许通过的广播流量的大小当广播流量超过用户设置的值后系统将对广播流量作丢弃处理使广播所占的流量比例降低到合理的范围从而有效地抑制广播风暴避免网络拥塞保证网络业务的正常运行有效性：全局/不同广播域/端口类型：广播帧/不明地址帧流量统计：绝对值/百分比/时间片流量q交换机

18、的端口镜像功能，指可以将一个端口的流量自动复制到另一端口，供网络管理员在判断网络问题时对端口流量和内容进行实时分析。通过交换机的镜像端口，这些流量就可以被一个特殊的设备监控，对发现和修理故障有很大的帮助。交换机可以有专为镜像目的而设计的端口，许多交换机产品还提供了将任何一个端口配置成镜像端口的功能，某些交换机甚至支持同时有多对多的端口镜像。为了能使用网络分析仪或入侵检测系统IDS直接监控网络流量，所连接的交换机必须支持端口镜像Page 30课程内容以太网的发展二层交换的基本原理VLAN(802.1Q)Page 31VLAN的基本概念n VLAN（Virtual Local Area Netwo

19、rk），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。n VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。n 虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组。l 这些网段具有某些共同的需求。l 每一个 VL

20、AN 的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个 VLAN。n 虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。n VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。Page 32以太网以太网交换机交换机A4B1以太网以太网交换机交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网以太网交换机交换机以太网以太网交换机交换机三个虚拟局域网三个虚拟局域网 VLAN1, VLAN2和和 VLAN3 的构成的构成 Page 33以太网以太网交换机交换

21、机A4B1以太网以太网交换机交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网以太网交换机交换机以太网以太网交换机交换机当当 B1 向向 VLAN2 工作组内成员发送数据时，工作组内成员发送数据时，工作站工作站 B2 和和 B3 将会收到广播的信息。将会收到广播的信息。Page 34以太网以太网交换机交换机A4B1以太网以太网交换机交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网以太网交换机交换机以太网以太网交换机交换机B1 发送数据时，工作站发送数据时，工作站 A1, A2 和和 C1都不会收到都不会收到 B1 发出的广播信息。发出的广播信息

22、。 Page 35以太网以太网交换机交换机A4B1以太网以太网交换机交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网以太网交换机交换机以太网以太网交换机交换机虚拟局域网限制了接收广播信息的工作站数，使得网络虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息不会因传播过多的广播信息(即即“广播风暴广播风暴”)而引起性能恶化。而引起性能恶化。 Page 36Switch AGreenVLANBlackVLAN RedVLANSwitch BGreenVLANBlackVLANRedVLANl Each logical VLAN is like a s

23、eparate physical bridgel VLANs can span across multiple switchesVLAN的实现方法l VLAN允许在同一个交换机上有多个分离的LAN，也允许跨交换机形成VLANPage 37VLAN的基本作用 Virtual Local Area Network 相同VLAN内主机可以任意通信 二层交换 不同VLAN内主机二层流量完全隔离 阻断广播包，减小广播域 提供了网络安全性 相同VLAN跨交换机通信 实现虚拟工作组 减少用户移动带来的管理工作量Page 38VLAN的划分方法n 基于端口划分n 基于MAC地址划分n 基于协议划分n 基于IP

24、子网划分Page 39基于端口的VLANPage 40基于MAC地址的VLANPage 41基于协议的VLANPage 42基于子网的VLANPage 43n虚拟局域网协议允许在以太网的帧格式中插入一个 4 字节的标识符，称为 VLAN 标记(tag)，用来指明发送该帧的工作站属于哪一个虚拟局域网。 802.3MAC 帧帧字节字节66246 15004MAC 帧帧目地地址目地地址源地址源地址长度长度/类型类型数数 据据FCS长度长度/类型类型 = 802.1Q 标记类型标记类型 标记控制信息标记控制信息 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 VID 2 字节字节2 字

25、节字节插入插入 4 字节的字节的 VLAN 标记标记4用户优先级用户优先级CFIVLAN的标记Page 44VLAN的帧格式2字节字节3比特比特1比特比特12比特比特6字节字节6字节字节2字节字节461500字节字节4字节字节4字节字节图注：tag：VLAN标记，指明发送该帧的工作站属于哪一个VLANTPID：长度类型802.1Q标记类型，设置为0 x8100Priority：用户优先级CFI：规范格式指示符VID：VLAN标识符Page 45前同步码前同步码目的地址目的地址源地址源地址TAG数据数据FCS前同步码前同步码目的地址目的地址源地址源地址长度长度数据数据FCS长度长度0 x8100

26、priorityCFIVLAN IDVLAN(802.1Q)封装格式（续）l VLAN种类：种类：l基于基于port的的VLANl基于基于MAC地址的地址的VLANl基于标识基于标识Tag的的VLANl VLAN和和LAN之间的区别是数据帧的封装上的不同之间的区别是数据帧的封装上的不同l增加了增加了Tag Headerl 相关协议相关协议802.1QPage 46VLAN实现虚拟工作组Page 47Access Link和Trunk LinkPage 48Access和Trunk链路Access链路 连接Access链路的交换机端口称为Access端口 帧在Access链路上转发不带VLAN

27、Tag 交换机Access端口接收到以太网帧后，按照端口所在VLAN加上VLAN Tag，然后进行转发 帧从Access端口发送出去，帧中的VLAN Tag会被去掉Trunk链路 连接Trunk链路的交换机端口称为Trunk端口 帧在Trunk链路上转发带VLAN Tag，因此允许多个VLAN的帧在Trunk链路上转发 交换机Trunk端口接收到以太网帧后，需要判断该Trunk端口是否允许帧中VLAN ID对应的VLAN通过。若允许，则进行转发；否则要直接丢弃该帧。如果在Trunk接口上收到没有tag的帧，将会打上PVID 帧从Trunk端口发送出去，VLAN Tag一般不会被去掉Page 4

28、9帧在网络通信中的变化Page 50l链路聚合是一种将多个物理连接作为一个逻辑连接。其优点在于可以将多个低速的链路集中为一个高速的链路。l如果连接两台交换机，必须两台相应端口都设置Trunk，否则会形成回路lTrunk组在VLAN、STP功能中均当作一个端口TRUNKPage 51Trunk link和VLANPage 52支持VLAN二层交换机转发流程-IVL（独立式）l根据帧内Tag Header的VLAN ID查找L2FDB表，确定查找的范围；l根据目的MAC查找出端口，图中应该从端口2转发出去；l如果在L2FDB表中查找不到该目的MAC，则该报文将通过广播的方式在该VLAN内所有端口转

29、发；l同时该以太网帧的源MAC将被学习到接收到报文的端口上，即端口1（VLAN 2）；lL2FDB表中的MAC地址通过老化机制更新；l在转发的过程中，不会对帧的内容进行修改 VLAN I DM AC地址所在端口2M AC A13M AC B13M AC C22M AC D2端口1MACDMACA.VLAN 2端口2端口2MACDMACA.VLAN 2Page 53支持VLAN二层交换机转发流程-SVL（共享式）l根据帧的目的MAC查MAC转发表(即L2FDB)，查找相应的出端口。根据现有L2FDB表，报文应该从端口2发送出去；l判断出端口的VLAN ID和报文Tag Header内的VLAN

30、ID是否匹配，匹配则转发，不匹配则丢弃；l如果在L2FDB表中查找不到该目的MAC，则判断出端口的VLAN ID和报文Tag Header内的VLAN ID是否匹配，不匹配直接丢弃；匹配则在该VLAN内广播；lL2FDB表中MAC地址通过老化机制来更新；l在转发的过程中，不会对帧的内容进行修改端口1MACDMACA.VLAN 2端口2端口2MACDMACA.VLAN 2M AC地址所在端口M AC A1M AC B1M AC C2M AC D2Page 54支持VLAN的交换机的广播域/冲突域Page 55虚拟局域网q实例的讨论实例的讨论1隔离隔离局部的隔离划分思路局部的隔离划分思路:单一交换机内的隔离单一交换机内的隔离Page 56虚拟局域网q实例的讨论实例的讨论1隔离隔离全局的网络划分思路全局的网络划分思路:域的连续与边界的界定（推荐）域的连续与边界的界定（推荐）V