擴展的以太網
1.在物理層擴展以太網
- 主機使用光纖和一對光纖調制解調器連接到集線器,使以太網的距離擴大。
- 用多個集線器可連成更大的局域網,在數量上擴展。
假設某大學有三個系,各自有一個局域網。
用集線器組成更大的局域網,都在一個碰撞域中,
優點:
- 使原來屬於不同碰撞域的局域網上的計算機能夠進行跨碰撞域的通信。
- 擴大了局域網覆蓋的地理范圍。
缺點
- 碰撞域增大了,每一台計算機與另一台計算機通信都要通過主干集線器給所有計算機發送數據,但總的吞吐量並未提高。計算機數量越多效率越低,所以計算機數量不宜超過30台。
- 如果不同的碰撞域使用不同的數據率,那么就不能用集線器將它們互連起來。
2.在數據鏈路層擴展以太網
- 在數據鏈路層擴展局域網是使用網橋。
- 網橋工作在數據鏈路層,它根據 MAC 幀的目的地址對收到的幀進行轉發。
- 網橋具有過濾幀的功能。當網橋收到一個幀時,並不是向所有的接口轉發此幀,而是先檢查此幀的目的 MAC 地址,然后再確定將該幀轉發到哪一個接口
網橋的內部結構
- 假設①~⑥表示的MAC地址分別為 MA~MF;
- 通訊前,網橋並不知道接口1和2分別對應哪些MAC地址,當通過一次信之后,網橋就學習到了,接口1對應MAC地址MA、MB、MC;接口2對應MAC地址MD、ME、MF;
- 之后的通訊中,如果是同一接口所對應MAC地址間的通訊,比如MA 與 MB通信,網橋就不會把數據通過接口2傳給接口2對應的MAC地址,即把數據傳輸線路一分為二,接口1對應地址間通信時不影響接口2對應地址間的通信,不會出現占線問題,提高了信道的利用率。
網橋使各網段成為隔離開的碰撞域
- 假設計算機AF對應MAC地址MAMF;
- 圖中網橋B1左接口對應MAC地址MA、MB;右接口對應MC、MD、ME、MF;
- 網橋B2做借口對應MAC地址MA、MB、MC、MD;右接口對應ME、MF;
**使用網橋帶來的好處 **
- 過濾通信量。
- 擴大了物理范圍。
- 提高了可靠性。
- 可互連不同物理層、不同 MAC 子層和不同速率(如10 Mb/s 和 100 Mb/s 以太網)的局域網。
使用網橋帶來的缺點
- 存儲轉發增加了時延。
- 在MAC 子層並沒有流量控制功能。
- 具有不同 MAC 子層的網段橋接在一起時時延更大。
- 網橋只適合於用戶數不太多(不超過幾百個)和通信量不太大的局域網,否則有時還會因傳播過多的廣播信息而產生網絡擁塞。這就是所謂的廣播風暴。
透明網橋
- 目前使用得最多的網橋是透明網橋(transparent bridge)。
- “透明”是指局域網上的站點並不知道所發送的幀將經過哪幾個網橋,因為網橋對各站來說是看不見的。
- 透明網橋是一種即插即用設備,其標准是 IEEE 802.1D。
自學習算法
網橋應當按照以下自學習算法處理收到的幀和建立轉發表
- 若從 A 發出的幀從接口 x 進入了某網橋,那么從這個接口出發沿相反方向一定可把一個幀傳送到 A。
- 網橋每收到一個幀,就記下其源地址和進入網橋的接口,作為轉發表中的一個項目。
- 在建立轉發表時是把幀首部中的源地址寫在“地址”這一欄的下面。
- 在轉發幀時,則是根據收到的幀首部中的目的地址來轉發的。這時就把在“地址”欄下面已經記下的源地址當作目的地址,而把記下的進入接口當作轉發接口。
轉發表的建立過程如下所示:
多接口網橋:以太網交換機
由來
之前,網橋通常連接多個集線器,每一個集線器連接多台計算機,是一個沖突域;如果網橋接口很多,不連集線器直接與計算機相連就減少了沖突域,這就是成為了交換機。
特點
- 連接同一台交換機的多台計算機,比如A~F,若A與B通信交換機直接將A的數據轉給B,不會向其他計算機發送通訊數據;如果計算機F為黑客,由於A與B的通訊數據沒有傳輸給F,即使使用抓包工具也無法竊聽數據。
- 如果A與B通信的同時C也與B通信也不會造成沖突,因為交換機的接口有緩存功能,請求通訊的數據會在相應接口處排隊等候,從而避免沖突。
- 如果說某一交換機是10M交換機,指的是每個接口的帶寬是10M,如果交換機有24口,那么整體的交換能力就是240M;接口的帶寬是獨享的。
- 如果計算機接的是交換機,可以把網卡設置為全雙工,即可以同時收發數據。
- 所以使用交換機進行通訊較為安全,並且沒有沖突效率高
用以太網交換機擴展局域網
使用Cisco Packet Tracer仿真驗證
圖中為一個交換機連接一個集線器和幾台計算機,接線器也連接幾台計算機。
未通訊前交換機的MAC地址表是空的。
通過命令行通信之后,再輸入命令show mac查看MAC地址表,可見已生成MAC地址表。從圖中可以看出 口Fa0/4 對應兩個MAC地址,即該口為集線器(Hub)連接兩台計算機的同一個接口。
如果在集線器中再添加一台計算機。
在命令行中再次查看MAC地址表:可見口 Fa0/4 對應三個MAC地址,與集線器(Hub)加上新增的一台計算機,同一個接口一共連接三台計算機一致。
**透明網橋使用了生成樹算法 **
- 這是為了避免產生轉發的幀在網絡中不斷地兜圈子。
生成樹算法
虛擬局域網
LAN和VLAN
- LAN 即局域網,即一個集線器接多台計算機組成一個LAN。一個路由器連接兩個LAN,則每個LAN表示一個網段。
- VLAN 即虛擬局域網,這是使用交換機才有的概念。
交換機的使用使得VLAN的創建成為了可能。
- 虛擬局域網 VLAN 是由一些局域網網段構成的與物理位置無關的邏輯組。
- 這些網段具有某些共同的需求。
- 每一個 VLAN 的幀都有一個明確的標識符,指明發送這個幀的工作站是屬於哪一個 VLAN。
- 虛擬局域網其實只是局域網給用戶提供的一種服務,而並不是一種新型局域網。
如圖所示如果我們想把不同部門划分為不同網段,不使用物理層划分,這時就可以創建虛擬局域網。可以看到銷售部的計算機在一到三層都有,但是卻是放在一個網段的;人力資源部與工程部的計算機同理。這些計算機沒有接在同一個交換機上,卻可以實現僅在銷售部內的計算機中發送廣播,不影響其他部門。即一個VLAN就是一個廣播域就是一個網段,這就是虛擬局域網,更加安全和靈活。
如果不采用VLAN,各個部門的計算機都接在同一個交換機,都是一個網段,那么工程部門就可以看到銷售部和人力資源部的共享資源,這是不安全的。
舉例說明
簡單情況
如果一個單位有一個交換機,有兩個部門,打算把兩個部門分成兩個網段。這時就可以把交換機的接口分成兩部分,左邊一半接口分給VLAN1,右邊一半接口分給VLAN2,即一個部門一個VLAN,就等價於把交換機切成兩半,兩半彼此之間互不影響各自計算機的通信,即VLAN1內的通信絕不會傳到VLAN2中。所以VLAN1中的計算機到VLAN2中計算機在數據鏈路層上就不通了,這就是VLAN所能達到的安全級別。
- 這是同一個交換器兩個網段,即使IP地址相同,不同網段也不能互相通信,通過路由器連接才能進行通信。
復雜情況
由於有兩台交換機,每台交換機分為VLAN1與VLAN2兩個網段,所以上述情況相當於有四個交換機。每個部門分別由兩個交換機,同一個部門需要通信所以需要用一根線把兩個交換機連起來,形成一個網段。所以上圖一共有兩個網段,每個部門一個網段。
若有多個部門,則再將每個交換機分為多份,不同交換機的每份再通過線路連成一個網段。這些線路可以合並為以下的干道鏈路:
- 該干道鏈路可以傳輸不同VLAN(網段)的數據。
- 當VLAN1中的計算機A發出廣播時可以通過SwitchA直接傳給計算機B;想要傳給同一個同是VLAN1網段的計算機C則需要借助干道鏈路的傳輸。
- 干道鏈路為了判斷傳輸的數據是VLAN1還是VLAN2的,需要對傳進來的數據加上相應的標記,從而從SwiitchA傳輸到SwitchB之后僅給計算機C發送數據,而不給G和H發送。
- 干道鏈路的這種數據幀傳輸方式屬於統計時分復用(貼上標簽,隨便排序)。
- 所以數據幀在進干道鏈路時會加上標簽,出干道鏈路時會去掉標簽。這個過程計算機A與C都是不知道的,即這個過程是透明(看不見)的。
- VLAN是可以跨交換機的網段,在沒有交換機之前,用集線器連的網就沒有這個技術。
回頭看
再看該圖,可發現交換機左端的線都是能傳輸不同網段的數據的,因此這些線路都是干道鏈路,連接的交換機左端口應配置為干道端口(中繼端口);接計算機的右端口叫接入端口(access端口),該端口接屬於不同網段的計算機。
- 不同VLAN之間的通信可以通過外置路由器連接各交換機實現;也可通過另一個交換機實現。
再如下圖:
如圖,新增一個市場部,里面的計算機都接在同一個交換機上,為同一個網段VLAN4,則Switch4左端線路傳輸的只有VLAN4的數據為非干道鏈路,則該交換機左端口可配置成非中繼端口。
- 規律:一個交換機上傳輸多個VLAN,就要配置成干道鏈路。
虛擬局域網幀格式
- 虛擬局域網協議允許在以太網的幀格式中插入一個 4 字節的標識符,稱為 VLAN 標記(tag),用來指明發送該幀的工作站屬於哪一個虛擬局域網。
