中继器、集线器、网桥、二层交换机的工作原理

第三章理解网络设备工作原理第三章本章关键价值：在拥有上一章的网络基础前提条件下，本章以描述网络中常见的设备为重点，其中包括中继器、集线器、网桥、二层交换机、路由器、三层交换机的工作原理，并分析了在CCNA（200-120）考试中对应的试题。学员们应该将传统的记忆型学习方式转化为理解型学习方式，为后面学习网络设备的配置打下坚实的基础。在网络世界中，有许多不同类型的网络设备，而本书的篇幅有限，不能逐一地对其进行描述，所以笔者根据思科CCNA的考试大纲，描述中继器、集线器、网桥、二层交换机、路由器、三层交换机的工作原理。任务3.1中继器工作原理中继器（Repeater）又叫作“放大器”，是一种传统的网络设备，作用是放大信号，解决物理线路不够长，而引起的信号衰减问题。中继器本身有不可避免的缺点：中继器在放大正常通信信号的同时，也放大了噪声信号；它是一个处于OSI七层模型中的物理层设备，无法读懂和修改OSI的上层数据帧，无法完成更多的选路及优化转发的特性，只起到放大信号与延长线路的作用，而且端口少，不是一种密集型端口的网络设备。中继器工作原理示意图如图3.1所示。中继器现已被淘汰。但是为了让大家了解网络设备的一个发展史，在本书中还是对该设备做个简单描述。图3.1中继器工作原理示意图任务3.2集线器工作原理

集线器又称Hub，是一种用于“星型”网络组织的中心设备（如图3.2所示），它具备中继器的信号放大功能，所以它有延长物理线路距离的特性。但是集线器在放大正常信号的同时也放大了噪声信号，噪声信号是网络上的干扰信号，它将对正常的网络通信造成影响。集线器的接口数量比中继器的接口数量密集，而它们的特性又相似，所以在某种情况下把集线器叫做“有更多接口的中继器”。集线器工作原理示意图如图3.3所示，当计算机A要给计算机Ｄ发送数据时，计算机A会把数据广播到除源接口（图3.3中1号接口为源接口）以外的所有接口上。此时计算机B解开广播包，看到目标的IP地址不是自己网卡上的IP地址，所以将数据帧丢弃。计算机C解开广播包，看到目标的IP地址不是自己网卡上的IP地址，所以也将数据帧丢弃。计算机Ｄ解开广播包，看到目标的IP地址是自己网卡上的IP地址，它会将数据帧从网卡复制到内存中，然后内存再将其交给CPU进行处理。图3.2使用集线器连接计算机图3.3集线器工作原理示意图任务3.2集线器的特性集线器是一个半双工、冲突型网络设备。怎么去理解半双工与冲突呢？如图3.4所示，集线器所有接口连接的计算机全部处于一个冲突域内，在这个冲突域内不能有多台计算机同时发送数据。比如当计算机A给计算机D发送数据时，计算机A发送的数据会被广播到集线器的2、3、4号接口上，如果此时计算机B再发送数据，就会发生冲突，因为计算机B现在正在“无辜”地接收数据。这也是单工特性的一个体现，在接收数据的同时不能发送数据，那么该网络设备的使用率就很低，属于共享带宽式网络设备，意思是如果集线器的总体带宽是10MB，共有4个接口，那么每个接口的理论带宽是2.5MB。集线器不能隔离广播，所以集线器不能连接成封闭的环路，否则广播会在环路上一直循环，形成广播风暴，严重影响正常数据通信。另外，集线器的安全性极差，因为集线器的数据发送是使用广播数据包到所有接口的方式，这个广播是带上真实负荷（用户数据）的广播，容易被居心叵测的用户监听，所以安全性得不到保障，如图3.5所示。图3.4集线器不能同时发送数据图3.5集线器的安全威胁任务3.2

注意：集线器安全威胁的重要提示：只要在集线器的任意接口接入协议分析器，安装了协议分析软件的计算机就都可以成功地监听集线器上其他接口的所有流进和流出的数据，当然这些数据中也包括比较重要和敏感的机密信息，如密码、账号等。任务3.3网桥工作原理

网桥（Bridge）处于OSI模型的第二层（数据链路层），作用是减少集线器因为共享和半双工特性引发的网络冲突问题。网桥的性能比集线器更好，因为网桥能够基于MAC地址进行数据链路层选路，能够基于自学习构造MAC地址表，对MAC地址进行控制与过滤，但是它不能隔离广播，所以不能让网桥形成闭合的环路。网桥为什么可以基于MAC地址进行选路，为什么比集线器的性能更优良？网桥工作原理示意图如图3.6所示，如果主机A发送数据给主机D，当数据从网桥的1号接口进入时，网桥不会像集线器那样将数据广播到所有接口。因为在网桥内部有一张MAC表，该表记录着网桥物理接口所连接的主机MAC地址。当数据进入网桥时，网桥通过查询MAC地址表得知主机D对应的物理接口是4号接口，所以网桥就将数据直接转发到4号接口，而不再需要将数据广播到所有接口。此时网桥的2号和3号接口就没有受到冲突的影响，而主机A在发送数据给主机D时，主机B可以同时发送数据给主机C。这样得出一个结论：网桥将冲突域划分得更小，转发性能比集线器更好。可以形象地理解网桥的每个接口就是一个冲突域，而集线器是4个接口在一个冲突域。集线器与网桥的性能对照如图3.7所示。图3.7集线器与网桥的性能对照图3.6网桥基于MAC地址选路的工作原理示意图任务3.3网桥能够基于自学习构造MAC地址表网桥的转发性能比集线器更好，是因为网桥内部的MAC地址表可以进行MAC地址的第二层选路。但是在网桥刚刚被部署到网络中使用时，一定不知道网桥的某个接口记录的是网络中某台主机的MAC地址，如图3.8所示，此时它就需要通过一种叫作“MAC地址自学习”的方式来完成MAC地址表的构造。网桥“MAC地址自学习”技术的原则是在网桥的接口上记录“数据报文的源MAC地址，来完成整个MAC地址表的构造”，如图3.9所示。图3.8初始化的网桥MAC地址表图3.9MAC地址自学习，记录“数据报文的源MAC地址”当网桥的MAC地址表不完整时，网桥不能利用MAC地址表进行选路转发，所以网桥只能效仿集线器将数据帧广播到所有的接口（除源接口外）。任务3.3

注意：网桥的广播与集线器的广播有很大区别，网桥的广播只是一个单纯的ARP广播（将在第4章中详细讲述），它没带真实的数据，所以很小，而且在某种情况下，这种广播报文的大小可以被忽略不计。它只广播一次，这次广播的目的是为了构造MAC地址表，利用网桥的MAC地址表自学习功能记录计算机的源MAC地址对应的网桥接口。如图3.10所示，当MAC地址表被成功构造后，网桥将不再进行广播，而是利用MAC地址表进行快速选路并转发。而集线器每次传输数据都需要依靠广播，而且该广播带有真实数据负载。图3.10分析通过ARP构建网桥MAC地址表的过程任务3.3网桥不能成环主要有两个原因：第一，由于网桥不隔离广播，所以广播不能在桥接环路中发散，从而形成广播风暴，将整个网络的正常通信资源占据，如图3.11所示；第二，由于网桥不能隔离广播，所以会导致MAC地址表自学习错误，如图3.12所示。如果主机B要发送数据给主机A，此时网桥A与网桥B的MAC地址表都没有构造完整，那么网桥就必须使用“MAC地址自学习”技术来完善MAC地址表的构造。假设主机B的ARP请求先到达网桥B，此时网桥B会记录数据进入接口的源MAC地址，所以网桥B记录MAC_B对应的是网桥B的2号接口。现在看上去完全正常，但是请不要忘了一个很重要的理论，网桥是不隔离广播的设备，所以对于ARP请求广播，网桥B就是一个透明的设备，其桥接环路如图3.13所示。如果网桥B对于广播来说是透明发送，现在可设想根本没有网桥B的存在，那么ARP请求广播会穿过网桥B到达网桥A，由于网桥“MAC地址自学习”技术的原则，记录网桥A的1号接口是主机B的MAC地址MAC_B。此时，地址自学习的错误就产生了，因为网桥A的1号接口事实上接的是主机A，而网桥成环后会将网桥A的1号接口记录为连接的是主机B。任务3.3图3.11广播不能在桥接环路中发散，从而形成广播风暴图3.12网桥B记录MAC_B对应的是网桥B的2号接口图3.13记录网桥A的1号接口是主机B的MAC地址MAC_B

注意：在实际工程中，网桥通常需要将物理链路成环，以提供冗余的路径，但是这又违背网桥不能成环的原则。所以需要一种特殊的技术来解决网桥成环引发的问题，这种特殊的技术叫作STP（生成树）。STP技术将在本书的第7章“理解并实施交换技术”中详细讲解。任务3.4二层交换机工作原理

二层交换机工作原理：二层交换机是一种代替网桥的新型产物，也是现在流行的网络组建设备。其实，二层交换机的工作原理与网桥是一样的，都能基于MAC地址表进行转发、划分冲突域，都能基于MAC地址自学习构造MAC表，对MAC地址实现过滤等功能。但是，网桥的整个工作过程是利用网桥内自身的软件来完成的，所以会出现瓶颈现象；而二层交换机是基于专用的集成电路（ASIC）来决定交换逻辑的算法的，如MAC地址表的构造及背板流量交换，所以没有瓶颈现象，转发速度比网桥更优良，而且二层交换机的端口比网桥更密集，所以二层交换机代替了网桥。

注意：在很多情况下，可以把二层交换机理解成一个有更多端口和利用专业硬件来进行转发数据的网桥。任务3.4理解二层交换机的转发技术二层交换机的工作原理虽然与网桥基本上一样，但是其转发技术确有其特色，二层交换机的转发技术大概分为三种方式：存储转发式、直通转发式和碎片切头式。下面分别描述这三种转发方式的特点，在描述其转发方式前先来认识一下交换机要转发的数据帧结构，如图3.14所示。图3.14数据帧结构存储转发式（Store-and-Forward）：交换机首先将收到如图3.14所示的数据帧（注意是整个数据帧）进行缓存，然后检查数据帧的正确性，最后从数据帧中读取出目的MAC地址，通过查找MAC地址表找到要发送的交换机接口，再将数据帧发送出去。所以，存储转发方式在转发数据时处理延时大，但是错误率低。传统的网桥和一些早期的二层交换机都使用这种数据转发方式。任务3.4直通转发式（Cut-through）：直通转发的最大特点是转发速度快，因为使用这种转发方式的交换机只需要读取如图3.14所示的数据帧中的目标MAC地址字段，就可以将数据帧进行转发，而不再需要缓存整个数据帧，但由于数据帧内容并没有被交换机缓存，所以无法很好地检查所传输的数据帧是否有误，不能更好地提供错误检测能力。碎片切头式（FragmentFree）：碎片切头式可以说是集成了存储转发方式和直通转发方式的优点，比存储转发的速度更快，比直通转发的容错率更高。它为什么具备这样的特性？因为它不需要读完并缓存整个数据帧，但也不是只读到目标MAC地址就转发数据帧，而是在转发前先检查数据帧的长度是否够64个字节，如果小于64个字节，则说明是“残帧”。所谓“残帧”实际上就是因为以太网访问介质争用性所产生的冲突分段或者是出错的数据帧，一般都小于64个字节。碎片切头式转发将丢弃小于64个字节的数据帧，提高了容错率，但又不像存储转发式那样将整个数据帧进行缓存后再检查，所以碎片切头式的数据处理速度比存储转发方式快，但比直通转发方式慢，由于它在转发速度与容错两者之间的适中性，所以被广泛应用到许多厂商的交换设备上。任务3.4.1

通过区别集线器、二层交换机理解冲突域

前面介绍了关于集线器、网桥、二层交换机的工作原理，本小节主要讨论这些设备与网络性能的关系。要理解这些设备与网络性能的关系，核心在于理解网络设备对以太网“冲突域”的划分，以太网“冲突域”遵循以太网介质访问协议的基础。关于以太网介质访问协议的基础，请参看本书的2.1.5节“理解以太网的介质访问协议（CSMA/CD）”。下面通一个网络组织结构的实例来理解冲突域。如图3.15所示，在这个环境中有计算机直接连接到二层交换机，也有计算机连接到集线器，然后集线器再连接到二层交换机的情况，那么现在的问题是识别出在这个网络环境中“冲突域”的数量。在识别网络环境中“冲突域”的数量时，只需要记住两个原则