基于VLAN的二三层转发

MAC地址

MAC(Media Access Control，介质访问控制)地址是网络设备的硬件标识，具有唯一性。MAC地址也称为物理地址或硬件地址，由网络设备制造商生产时烧入NIC(网络接 口控制器)中。MAC地址长48比特，分成块ID和设备ID两部分，前24位是OUI(Organizationally unique identifier，机构唯一标识符)，后24位由厂商自行分配。MAC地址采用点分十六进制表示，如图1所示。

 MAC地址格式

MAC地址通常分为：

单播MAC地址：单播MAC地址唯一标识以太网上的一个终端，该地址固化在硬件(如网卡)内部。

组播MAC地址：首字节最后一位为1(通常以0x01开头)的MAC地址，标志一组设备。

广播MAC地址：48位全1的MAC地址，标志本网段内所有设备。

网络中按照大字节序传输报文(即先传输高字节)，而字节内先传输低位比特。因此，若发送的首位比特为0就是单播，否则为组播或广播。

MAC地址按生存期也可分为：

动态MAC地址：交换机在网络中通过数据帧学习到，有老化时间，MAC地址和端口的对应关系会随着设备所连的交换机的端口的变化而变化。交换机关电重启后会消失，需重新学习。

静态MAC地址：通过配置产生，不会被老化，MAC地址和端口的对应关系始终不变，但交换机关电重启后也会消失，需重新配置。

永久MAC地址：通过配置产生，不会被老化，MAC地址和端口的对应关系始终不变，且交换机关电重启后也不会消失。

冲突域和广播域

冲突域(物理层)：不同主机或设备同时发出的帧可能会互相冲突的网络区域。一条导线上所有工作站的集合，或一个物理网段上所有节点的集合，或以太网 上竞争同一带宽的节点的集合都是一个冲突域。当冲突发生时，传送的帧可能遭到破坏或干扰，发生冲突的主机将根据802.3以太网的CSMA/CD规则在一 段随机的时间内停止发送后续帧。其缺点是每台主机得到的可用带宽很低，当冲突域内主机设备数量增加时，网络冲突将成倍增加，信息传输安全得不到保证。集线 器连接的各设备就是一个典型冲突域，如图2所示。

典型的HUB构成的冲突域

广播域(数据链路层)：网络中能接收任一设备发出的广播帧的所有设备集合。所有需要接收其他广播的节点被划分为同一广播域或逻辑网段。连接在HUB 和传统交换机端口上的所有节点构成一个广播域。当交换机收到广播帧时，它将该帧转发到自己除接收该帧的端口外的每一个端口，每个连接设备都会接收并处理该 帧。

随着网络规模的扩大，广播域中广播报文相遇的次数也随之增加。所有这些广播报文会严重影响网络性能，若管理不当，甚至会导致整个网络的崩溃。

集线器、交换机、路由器

* 集线器

以太网集线器(HUB)从任一端口收到以太网数据帧后，都会将该帧广播到其它所有端口。集线器对应物理层，不同端口所连接的设备同时传数据时会引起 冲突，故其冲突域和广播域是所有端口，既不能隔离冲突域也不能隔离广播域。非交换式HUB不能划分物理网段，因为它没有划分冲突域。

* 网桥和交换机

网桥和交换机位于数据链路层，基于MAC地址进行数据转发。网桥和交换机的每个物理端口属于一个冲突域，所有端口在一个广播域。两者均能隔离冲突域，但不能隔离广播域，不能阻止广播并对网络进行逻辑分段。

网桥与交换机有以下不同之处：

网桥只有少数几个端口;交换机却可有上百个端口。

网桥速度比交换机慢，交换机采用硬件ASIC芯片进行线速转发交换，比网桥速度快。

网桥采取存储转发的机制，等收到全部数据后再进行转发;而交换机除存储机制外还有直接转发机制，只需帧头到达处理后就可转发，不必等到所有数据都到达，故交换机处理速度比网桥快些。

鉴于网桥的局限性，现代交换LAN中已很少使用网桥。

* 路由器

路由器位于网络层，可以隔离冲突域和广播域。每个子网(subnet)属于一个广播域，不同子网间不能发送广播。因此，对广播进行控制就必须使用路 由器(或具有路由功能的三层交换机)。使用路由器后，可以路由器上的网络接口(LAN Interface)为单位分割广播域。

一般使用路由器和交换机把LAN分段为大量更小的冲突域和广播域。传统交换机对LAN分段的方法如图3所示。

传统LAN的分割

虽然交换机可缩小冲突域的规模(每个端口就是一个冲突域)，但连接到交换机的所有端口的主机仍然处于一个广播域中。传统交换机相连构成的一个广播域内广播帧的转发过程如图4所示。

传统交换机上的广播

图中是一个由5台二层交换机(SW1～5)连接了大量客户主机构成的网络。假设主机PC1要与主机PC2通信。以太网通信中必须在数据帧中指定目标 MAC地址才能正常通信，故PC1必须先广播ARP请求信息，来尝试获取PC2的MAC地址。交换机SW1收到ARP广播帧后，将其转发到除入帧端口外的 其他所有端口，于是SW2和SW3收到广播帧，它们也将帧转发到各自的所有端口……最终同一网络中与交换机相连的所有主机(PC2-PC8)都接收到该 ARP请求。可见，本应发往PC2的ARP请求扩散至整个网络，不仅消耗了网络整体带宽，而且收到广播帧的主机还要消耗一部分CPU时间对其进行处理。在 网络规模较大时，大量广播帧将严重影响网络性能，造成广播风暴问题。此外，由于整个网络在一个广播域，所有用户都能不受控制地直接访问和影响网络所有部 分，进而威胁到网络安全性。

默认情况下，路由器不转发广播流量，因此可用于分割广播域。用路由器创建广播域将减少广播流量，并为单播通讯提供更多的带宽，每个路由器端口都连接 到单独的网络，广播流量仅限于发出该广播的LAN网段内。但通常路由器网络接口较少(1～4个左右)，所能分割的广播域个数有限，且路由器相对交换机成本 也较高。而二层交换机一般带有多个网络接口，若能用其分割广播域，则会大大提高网络设计的自由度。

VLAN

VLAN(Vitual Local Area Network，虚拟局域网)是将物理网络划分成多个逻辑局域网的技术。一个VLAN就是一个广播域，亦即一个逻辑子网，在其内的站点可位于不同物理 LAN上，但站点间像在同一个普通局域网上那样自由通信而不受物理位置的限制。利用VLAN技术，网络管理者可根据实际应用需要，在二层交换机上把同一物 理局域网中的用户逻辑划分成不同广播域，使具有相同需求或业务的用户处于同一广播域，不同需求或业务的用户处于不同的广播域。

在未设置任何Vlan的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口。配置Vlan后，当交换机属于某Vlan的一个端口收到广播帧后，为保证同属一个Vlan的所有主机都收到该广播帧，交换机必须按照如下原则转发：

1) 发送给本交换机中同一个Vlan中的其它端口;

2) 发送给本交换机的包含该Vlan的所有汇聚链路，以便其它交换机上同一Vlan的端口也发送该帧。

图5给出交换机上创建两个Vlan后，主机发出的广播帧被转发的示例。为便于说明，以红、蓝两色识别不同Vlan(实际使用中以Vlan ID来区分)。其中端口1、2属于红色Vlan，端口3、4属于蓝色Vlan。

Vlan分割广播域

可见，从PC1发出的广播帧仅被转发给同一Vlan内的其他端口，即同属于红色Vlan的端口2，而不会再转发给属于蓝色Vlan的端口。就这样，Vlan通过限制广播帧转发的范围分割广播域，进而改善网络效率和安全性。

Vlan可理解为在逻辑上将一台交换机分割成数台虚拟交换机，且这些虚拟交换机互不相通。Vlan是广播域，而通常两个广播域间由路由器连接，广播 域间来往的数据帧由路由器中继。因此，Vlan间的通信也需要路由器(或三层交换机)提供中继服务，即“Vlan间路由”。在Vlan之间配置路由器，使 Vlan内部流量仍通过原来Vlan的内部二层网络进行，从一个Vlan到另一Vlan的通信流量通过路由进行三层转发，转发到目的网络后再通过二层交换 网络把数据帧最终发送给目的主机。路由器不转发以太网广播帧，故Vlan间配置的路由器不会改变划分Vlan所达到的隔离广播的目的。

VLAN帧格式

* 以太网V2 MAC帧格式

以太网MAC帧格式有两种标准，即DIX(DEC,Intel,Xerox) Ethernet V2标准(RFC894)和IEEE 802.3标准。图6所示的是常用的以太网V2的MAC帧格式(事实标准)：

以太网V2的MAC帧格式

以太网帧在链路层传输，故源和目的MAC地址又称链路层地址(link layer address)，也称L2地址、二层地址或硬件地址。

类型(Type)字段表明上层使用什么协议。常用协议类型值如表1所示：

表1 常用协议类型值