第三层交换机技术白皮书（3）

在第三层，自动发现有如下过程：

●通过侦察ARP，RARP或者DHCP响应包的原IP地址，在几秒终之内发现IP子网的拓扑结构。

●在同一网络的不同网段之间建立一个逻辑连接，即在网段间进行路由，实现网段间信息通讯。

●学习地址，根据IP子网、网络协议或组播地址来配置VLAN，使用IGMP（InternetGroupManagementProtocol）来动态更新VLAN成员。

●支持ICMP（InternetControlMessageProtocol）路由发现选项。

●存储学习到的路由到硬件中，用线速转发这些地址的数据包。

●把目的地址不在路由表中的包送到网络上的其他路由器。

●通过侦听ARP请求来学习每一台工作站的地址。

●在子网之内实现IP包的交换。

在第二层，自动发现有如下过程：

●通过硬件地址（MAC）的学习，发现基于硬件地址（MAC）的网络结构。

●根据ARP请求，建立路由表。

●交换各种非IP包。

●查看收到的数据包的目的地址，如果目的地址是已知的，将包转发到已知端口，否则将包广播到它所在的VLAN的所有成员。

6、过滤服务功能：

过滤服务功能用来设定界限，以限制不同的VLAN的成员之间和使用单个MAC地址和组MAC地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则，交换机根据这些规则来决定是转发还是丢弃相应的帧。早期的802.1d标准（1993），定义的基本过滤服务规定，交换机必须广播所有的组MAC地址的包到所有的端口。新的802.1d标准（1998）定义的扩展过滤服务规定，对组MAC地址的包也可以进行过滤，对于交换机的外连端口要过滤掉所有的组播地址包。如果没有设置静态的或者动态的过滤条件，交换机将采用缺省的过滤条件。扩展过滤服务功能使用GMRP(GroupMulticastRegistrationProtocol),通过产生、删除一个组或者组成员，来控制交换机的动态组转发和组过滤。交换机和工作站使用GMRP来申明他们是否愿意接收一个组MAC地址的帧。GMRP协议在网上的交换机之间传波这样的组信息，使得交换机能够更新它们的过滤信息以实现扩展服务功能。交换机在不做任何配置的情况下，就具有过滤服务和扩展过滤服务功能。对旧的交换机、集线器、路由器，由于它不支持动态的组播地址过滤，因而在与它们连接的相应端口要进行扩展过滤配置。交换机根据过滤数据库来进行帧的过滤，交换机可以通过动态学习和手工配置两种方式来维护过滤数据库。交换机检查过滤数据库，根据以下条件来决定某个MAC地址或者某个VLAN标识的包是否应该转发到某一个端口：

●默认地址

●由管理员键入的静态过滤信息

●通过查看数据包源地址而动态需学习到的单目地址

●动态或者静态的VLAN

●通过GMRP管理的动态组播过滤信息或VLAN成员信息

7、二层（链路层）VLAN：

在第二层，可以支持基于端口的VLAN和基于MAC地址的VLAN。基于端口的VLAN可以快速的划分单个交换机上的冲突域，基于MAC地址的VLAN可以支持笔记本电脑的移动应用。

8、三层（网络层）VLAN:

三层VLAN可以按照如下方式划分：

●IP子网地址

●网络协议

●组播地址

第三层交换机的第三层VLAN，不仅可以手工配置，也可以由交换机自动产生。交换机通过对数据包的分析后，自动配置VLAN，自动更新VLAN的成员。第三层交换机能够工作在以DHCP(DynamicHostControlProtocol)分配IP地址的网络环境中。交换机能自动发现IP地址，动态产生基于IP子网的VLAN，当通过DHCP分配一个新的IP地址时，第三层交换机能很快的定位这个地址。第三层交换机通过IGMP、GMRP、ARP和包探测技术来更新其三层的VLAN成员组。通过基于Web的网络管理界面，可以对自动学习的范围进行设定：自动学习可以是完全不受限、部分受限或者完全禁止。

9、第三层交换机是如何处理VLAN的：

VLAN通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新VLAN成员表，根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理VLAN的几个过程。

数据帧入站：

交换机根据入站数据帧的VLAN标识号（VID）将它们分类，无标号的为一类，标号相同的为一类。交换机根据VID来决定转发或者丢弃一个数据包，同时交换机也可以分配一个VID给一个无标记帧或者贴了优先级标记的帧。

VLAN标记：

如果一个数据帧没有标记VID，交换机将会分配一个VID给它，并把这个VID插到它的帧头中，这个过程叫做贴VLAN标签。交换机通过这个过程来处理包的转发，来填写数据帧的VLAN或者优先级信息的标记字段。管理员可以设置优先级别来选择VLAN类型，选择VID值。交换机的缺省设置，首先选择的是贴IP子网信息，然后是网络协议，然后是MAC地址，然后是数据帧入站的端口。

过滤：

该过程验证目的地址和源地址是否在同一个VLAN中。

转发：

根据VLAN数据库的信息，交换机处理一个数据帧是要么转发，要么丢弃。

学习：

交换机检查数据帧的源地址和VLAN分类信息，并且把它们记录在转发库里。

10、VLAN应用举例:

下面是一些不同形式的VLAN应用举例：

●工程部有些机密文件需要保密

解决方法：通过把工程部的用户放到他（或她）自己的基于MAC地址的VLAN中。这个VLAN所唯一允许的访问，只有该用户自己。任何其它用户都不能监听到该用户的内容，因为该用户的内容不会转发到其它的网段上去。另外，还有一种更加安全的方式，分配一个专用的端口给这个用户，为他产生一个基于端口的VLAN。

●销售部门的笔记本用户经常需要从外地进行拨号访问

解决方法：产生一个基于IP子网的VLAN，使用IP地址来表示用户。这样无论用户处在何处都能进行网络访问。

●公司安装了视频培训服务器，要防止用户做视频访问时占用太多的带宽

解决方法：产生一个组播地址的VLAN。

●公司总裁需要能访问财务，销售等其它部门的VLAN

解决方法：使公司总裁成为其它各部门的VLAN的成员。

相关网络术语

Broadcast(广播)

递送报文分组的一种方式，按这种方式送出的报文分组将送到与发送系统连通的广播地址所覆盖的所有计算机系统。

BroadcastAddress(广播地址)

专门用于同时向网络中所有工作站进行发送的一个地址。在使用TCP/IP协议的网络中，主机标识段hostid为全1的IP地址为广播地址，广播的分组传送给hostid段所涉及的所有计算机。例如，对于10.1.120.0（255.255.255.0）网段，其广播地址为10.1.1.255（255即为2进制的11111111），当发出一个目的地址为10.1.1.255的分组（封包）时，它将被分发给该网段上的所有计算机。

Collision(冲突）

多个事件同时请求一个服务，而这个服务又不能区分和应付多个请求所出现的现象。以太网使用CSMA/CD处理冲突和协调重新传输。

FlowControl(流量控制)

为防止计算机网络中信息传输出现拥挤而采取的一种措施。流量控制可在网络的多个层次上实现。例如在TCP/IP网络环境中，可在第三层即网络层上用ICMP协议采用抑制信源的办法实现流量控制。该机制是在点到点链路上的两个站之间建立的。如果接收站端拥塞，那么它可以将一个叫做“暂停帧”的帧发回连接另一端的始发站点，指示始发站点在某一具体时段停止发送数据包。在发送更多的数据之前，发送站要等待这种请求时间。接收站还能够以零等待时间将一个帧发回始发站点，指示始发站点再次开始发送数据。更复杂的办法可以连续改变发送频率，例如在网络第四层即传输层上采用的窗口机制就属于这种流量控制方法。