乙太網路交換器是一種“橋接器”裝置。傳統的橋接器是這樣工作的,一開始它接收乙太網路幀,然後,把它們發送到除接收埠之外的全部其它連接埠。乙太網路交換器具允許允許雙絞線串連的能力。它漸學習哪一個連接埠串連了哪 些MAC地址。這時候,橋接器就變成了一台學習裝置,能夠儲存在一個連接埠上看到的全部的MAC地址表。當一個幀需要發出時,橋接器將查看在橋接器表中的目標MAC地址,並且知道應該在哪一個連接埠發送這個幀。這種僅向正確的主機發送資料的能力是交換技術中的一個巨大的進步,因為這可能顯著減少通訊衝突。如果在橋接器表中沒有目標MAC地址,交換器就簡單地把資料發送到全部連接埠。這是首次發現主機到底在什麼地方的惟一方法,因此,正如你看到的那樣,把資料發送到全部連接埠是交換技術中的一個重要原則。這個原則在路由中也非常必要。
2層相關的重要詞彙包括:
單播分段(Unicast segmentation):橋接器能夠限制哪些主機能夠收到單播幀(僅發送給一個MAC地址的幀)。集線器只是簡單地把一切資料發送給所有的連接埠,因此,單播分段本身可以節省大量的頻寬。
衝突域(Collision Domain):衝突域是能夠發生衝突的網段。由於交換器採用了直通發送技術以及網卡全部採用雙工技術,衝突已經不再發生了。如果你在一個連接埠看到衝突,這就意味著有人意外地使用半雙工的裝置,或者是出現了其它的故障。
廣播域:發送和接收廣播幀的網段。
在交換器產品幾年後,橋接器運行所採用的老式的儲存和發送方式改變了。新的交換器僅查看幀的目標MAC地址,然後立即把這個幀發送出去。這種技術稱作“直通發送”可以幀更快地直接通過交換器,因為這種方式對幀很少進行處理。這種方式也暗示了一件重要的事情:一台交換器不再檢查CRC(迴圈冗餘校正)以便查看資料包是否損壞。這還暗示著不可能發生衝突。
另外,為瞭解決廣播網段的問題,我們引入了虛擬區域網路技術。如果你不能向另一台機器發送廣播幀,那些機器就不在你的本網中,你要把全部資料包發送給一台路由器,接著由路由器發送這些資料包。實際上,這就是虛擬區域網路做的事情:虛擬區域網路將網路劃分為更多的子網。
你可以在一台交換器上設定虛擬區域網路,然後向一個虛擬區域網路分配連接埠。如果主機A是虛擬區域網路1,這台主機就不能與虛擬區域網路2中的任何人通話,就像它們生活在完全沒有網路連接的裝置中一樣。不過需要注意,這畢竟只是虛擬,如果交換器的MAC地址資料表空間已經被資料填滿從而無法繼續維護這個交換MAC地址表,為了繼續維持通訊交換器將會把收到的所有資料轉寄到所有連接埠。很多人將VLAN視為一種很好的安全措施,實際上任何一個半吊子駭客使用合適的工具都可以很快的攻克交換器的VLAN限制,事實上,當交換器出現MAC地址表溢出的情況時,它會變成一台單純的HUB.
正如我們已經知道的那樣,如果你無法使用ARP協議獲得目標的MAC地址,那你必須要使用一台路由器。這是不是意味著你必須在每個VLAN之間物理的連入一台路由器呢?不需要,因為我們現在擁有3層交換器!設想一個例子,如果你願意,一台交換器可以配置48個連接埠。這台交換器有兩個虛擬區域網路,虛擬區域網路1採用1至24連接埠,虛擬區域網路2採用25至48連接埠。要把這兩個虛擬區域網路串連起來,你基本上有三種選擇。第一,使用一台路由器分別串連這兩個虛擬區域網路中的一個連接埠,並且分為VLAN中的主機配置正確的預設路由。第二種方法是你還可以簡單地在每個虛擬區域網路中各自建立一個虛擬路由器介面(virtual interfaces)。在思科的裝置,這種虛擬路由器介面可能稱作“vlan1”和“vlan2”。它們擁有自己的IP地址,而VLAN中的主機使用這些虛擬路由器介面作為自己的路由器。
在第三種方法使我們回到了2層概述的最終話題。如果你擁有多台需要包含同樣的虛擬區域網路的交換器,你可以通過連接埠匯聚(trunk)的方式它們都串連起來。這樣,交換器A中的虛擬區域網路1和交換器B中的虛擬區域網路1就完全是一樣的了。這是採用802.1q標準完成的。802.1q標準為將離開第一台交換器的資料包打上一個虛擬區域網路的標識符。思科把這些交換器間的鏈路稱作“主幹連接埠(trunk ports)”,你可以擁有交換器允許的最多數量的虛擬區域網路(目前大多數硬體允許4096個虛擬區域網路)。因此,在虛擬區域網路之間建立聯絡的第三種方法(也是最後一種方法)是把以trunk方式串連一台路由器,並且為每一個虛擬區域網路建立一個虛擬路由器介面。虛擬區域網路1上的主機(無論是在交換器A和交換器B上)都能夠訪問這個路由器介面(這個介面可以在另一台裝置上),因為他們全部都串連在了一起,並且共用一個廣播域。關於trunk與802.1q的更多資訊請參見這篇文章。
在這裡我們沒有採用“這是2層協議,記住乙太網路資料包頭”這種標準的教學模式。要成為一個真正的專家,你必須要知道這些知識。但是,要成為一個有用的操作人員,簡單地知道2層是如何工作的就可以了。下一講我們將介紹網路領域最有趣的協議產生樹協議。
小結:
●橋接器(又名交換器)儲存MAC地址表以實現單播網段功能。也就是說它們僅向需要這個資料的主機發送單播資料。
●虛擬區域網路並不能提供可靠的安全。
●一台3層交換器能夠通過trunk提供多個虛擬區域網路,並且為這些虛擬區域網路提供路由。這可以完全在同一條線路上實現。
文章錄入:csh 責任編輯:csh
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
