開門見山,含有vlan的二層轉發原理文字描述和流程圖如下:
基於Vlan的二層轉發流程主要包括:確定和查找Vlan、查找和學習源MAC、查找目的MAC並轉發數據幀。
1) 確定和查找Vlan:交換機端口接收到一個數據幀時,首先通過TPID值判斷該幀是否帶標籤[1]。
若是tagged幀,且Vid≠0,則在端口所屬的Vlan表中查找該幀標籤中的Vid是否存在,若存在,則進入下一步,否則丟棄該幀(或提交CPU處理);
若是tagged幀,且Vid=0(即priority幀[2]),則對該幀附加端口PVid使之成爲tagged幀;
若是untagged幀,則對該幀附加端口PVid並指定優先級使之成爲tagged幀。
注:①爲提高處理效率,交換機內部所有數據幀均攜帶Vlan標籤,以統一方式處理。故需對輸入交換機的數據幀進行標籤檢查並按需加上標籤。
②802.1Q Vlan環境下,幀可分爲tagged、untagged和priority-tagged三種。Tagged幀根據其攜帶的標籤Vid進行MAC學習轉發。Untagged和Priority-tagged幀進入交換機端口後根據PVid進行MAC學習轉發。
2) 查找和學習源MAC:交換機在MAC轉發表(Mac+Vid+Port)中查找收幀Vid對應的源MAC表項,未找到則學習收幀源MAC (將“源MAC+Vid+Port”添加到MAC表中);若找到則更新該表項的老化時間。
注:MAC地址學習只學習單播地址,對於廣播和組播地址不進行學習。組播MAC表項通過CPU配置建立。
3) 查找目的MAC:若目的MAC是廣播或組播,則在所屬的Vlan中廣播或組播;否則在MAC表中查找是否存在Vid對應的目的MAC表項。
4) 轉發數據幀:若在MAC表中查找到完全匹配的DMAC+Vid表項,則將該幀轉發到表項中的相應端口(若相應端口爲收幀端口,則應丟棄該幀);否則向所屬Vlan內除收包端口外的其他所有端口洪泛該幀(洪泛廣播的是未知單播幀而不是廣播幀)。
圖所示爲二層轉發的一般流程。
二層轉發流程
【例】數據幀從PC1經過一臺交換機轉發到與另一臺交換機相連的PC2並得到響應,如下圖所示。
PC1向PC2發送信息
假設兩臺交換機剛剛開機(此時MAC地址表爲空),其具體的轉發過程如下:
①PC1發出的數據幀進入交換機SW1的Access端口後,按照端口PVid加上Vid=100的標籤。交換機將該幀源MAC地址存入MAC地址表(學習),並將該幀洪泛到Vid=100的所有端口(除入端口外);
②SW1的Trunk端口屬於Vid=100的Vlan,故接受這個標記爲100的Tagged數據幀;而該端口在Vid=100上爲Tagged port,因此在發送數據幀出交換機SW1時,不改變Tagged幀的結構;
③Tagged幀到達交換機SW2的Trunk端口,由於Trunk端口擁有VID=100的Vlan,故接受該幀;該Trunk端口不改變Tagged幀的結構,而是學習源MAC地址後把該數據幀洪泛給所有Vid=100的端口(除入端口外);
④SW2的Access端口接收到該幀,剝除該幀的Tag標籤後發送給PC2。
⑤PC2收到PC1發送的數據幀,併發送響應幀給PC1。
⑥經過與前述過程類似的轉發,響應幀到達交換機SW1。交換機發現該幀的目的MAC地址已在MAC地址表中,則僅轉發給PC1。
可見,收發雙方同屬一個Vlan的通信,一切處理均在二層網絡內完成。
含有vlan的三層轉發原理文字描述和流程圖如下
* 路由器路由
使用路由器進行Vlan間路由時,大致有以下兩種:
1) 用多個路由器端口分別與每個Vlan相連接。
2) 單個路由器接口與交換機的Trunk端口相連(稱爲dot1Q連接),使多個Vlan共享同一條物理連接到路由器。
方式1將交換機上用於和路由器互聯的每個端口設爲接入鏈路,再分別用網線與路由器上的獨立端口互聯。如下圖所示,交換機上有兩個Vlan,需在交換機上預留兩個端口用於與路由器互聯;路由器上同樣需要有兩個端口;兩者之間用兩條網線分別連接。
每個Vlan一個物理連接
如圖,每個Vlan都要獨佔一個交換機端口和一個路由器端口,並需重新佈設一條網線。而路由器上通常LAN接口有限,這無疑帶來擴展性問題。
方式2將用於連接路由器的交換機端口設爲匯聚端口,而路由器上的端口也必須支持匯聚鏈路。雙方用於匯聚鏈路的協議也必須相同。接着在路由器上定義對應各Vlan的“子接口(Sub Interface)”。儘管實際與交換機連接的物理端口只有一個,但在理論上可將其分割爲多個虛擬端口。如下圖所示。
Vlan Trunking
使用這種Vlan Trunking技術,可使多個Vlan的業務流共享相同的物理連接,通過在匯聚鏈路上傳遞帶標籤的幀來區分各Vlan的流量。通常情況下,Vlan間路由的流量不足以達到鏈路的線速度,使用Vlan Trunking的配置,可提高鏈路的帶寬利用率,節省端口資源以及簡化管理(網絡新增Vlan時只需在路由器上新設一個對應新Vlan的子接口,無需重新佈線)
【例】不同Vlan間通信時數據的流程,如下圖所示。
不同Vlan間通信流程
主機PC1通過通信目標IP地址(192.168.2.1) 與子網掩碼計算比較發現PC2與本機不屬於同一網段,不能直接訪問。根據IP通信規則,PC1查找本機路由表尋找相應的網關。在實際網絡中,主機通常只配置默認網關(Default Gateway,GW),故PC1找到默認網關。然後,PC1在本機ARP高速緩存中查找默認網關(即路由器)的MAC地址,若沒有則向外廣播發送一個ARP請求幀,其目的MAC地址爲全1,源MAC地址爲本機MAC地址,請求的IP地址爲網關192.168.1.100。從路由器返回的ARP單播應答幀中得到路由器MAC地址R後,接下來就按圖中所示的步驟向PC2發送數據幀①,其目的MAC地址是路由器地址R、但目的IP地址仍是最終要通信的對象PC2的地址。
交換機在端口1上收到數據幀①後,檢索MAC地址表中與端口1同屬一個Vlan的表項。匯聚鏈路被視爲屬於所有的Vlan,因此端口6也屬於檢索對象。檢索後交換機得知往MAC地址R發送數據幀時,需經過端口6轉發。
從匯聚端口6發送數據幀時,會附加Vlan識別信息。圖中數據幀②被加上原屬的紅色Vlan標籤後,進入匯聚鏈路。路由器收到數據幀②後,確認其Vlan標籤,交由負責紅色Vlan的子接口接收。
接着,根據路由器內部的路由表,判斷該向哪裏轉發。由於目標網絡192.168.2.0/24屬於藍色Vlan,且該網絡通過子接口與路由器直連,因此只需從負責藍色Vlan的子接口轉發即可。此時數據幀的目的MAC地址被改成PC2的MAC地址;由於需要經過匯聚鏈路轉發,故附加屬於藍色Vlan的識別信息(數據幀③)。
交換機收到數據幀③後,根據Vlan標籤從MAC地址表中檢索屬於藍色Vlan的表項。由於通信目標PC2連接在端口3上且該端口爲接入端口,因此交換機剝除數據幀的Vlan標籤後(數據幀④)轉發給端口3,最終PC2成功收到PC1發來的數據幀。
可見,Vlan間通信時,即使雙方都連接在同一臺交換機上,也必須經過“發送方→交換機→路由器→交換機→接收方”這樣一個流程。在進行三層路由轉發時,數據包IP地址保持不變,MAC地址則在每個節點都會改變。
* 三層交換機路由
使用VLAN Trunking後,用傳統路由器進行Vlan間路由在性能上存在一定的不足:由於路由器採用通用CPU,轉發完全依靠軟件處理,同時支持各種通信接口,給軟件帶來較大負擔。軟件要處理包括報文接收、校驗、查找路由、選項處理、報文分片等,導致性能不可能很高。就Vlan間路由而言,流量會集中到路由器和交換機互聯的匯聚鏈路部分,該部分容易成爲速度瓶頸。
由於Vlan間通信比較簡單,只需查下路由表,所以可將交換機集成查路由表的專用芯片(ASIC),實現二層交換和三層路由的功能集成,即三層交換機(Layer 3 Switch)。
三層交換機的設計基於對IP路由的仔細分析,提取出IP路由中每個報文都必經的簡化過程:
IP路由中絕大多數報文不包含IP選項,因此多數情況下無需處理報文IP選項;
不同的網絡報文長度不同,爲支持各種異構網絡的互連,IP實現了報文分片功能,但在全以太網環境中,數據幀(報文)長度固定,因此可裁減報文分片功能;
三層交換機採用與路由器最長地址掩碼匹配不同的方法,使用精確地址匹配的方式處理,有利於硬件實現快速查找;
三層交換機採用Cache方法,將最近經常使用的主機路由放入硬件查找表。只有在該Cache中無法匹配到的條項才通過軟件轉發。這樣,只有每個流的第一個報文通過軟件轉發,其後的大量數據流則在硬件中得以完成,極大提升轉發性能。
三層交換機的內部結構可參照下面的簡圖。
三層交換機內部結構簡圖
如圖,內置的路由模塊與交換模塊相同,使用ASIC硬件處理路由。因此,與傳統的路由器相比,可實現高速路由。並且,路由與交換模塊由內部匯聚鏈路連接,可確保相當大的帶寬。
對應到IP網絡模型中,每個Vlan對應一個IP網段,三層交換機中的三層轉發引擎在各網段(Vlan)間轉發報文,實現Vlan之間的互通,因此三層交換機的路由功能通常叫做Vlan間路由(Inter-VLAN Routing)。
使用路由器連接時,一般需要在LAN接口上設置對應各Vlan的子接口;三層交換機則是在內部生成“VLAN接口(VLAN Interface)”,用於各Vlan收發數據。在Cisco的Catalyst系列交換機上,VLAN接口被稱爲SVI(Switched Virtual Interface,交換虛擬接口)。三層交換機每創建一個Vlan就會自動生成一個SVI。在SVI接口設置默認網關後,並將主機網關配置成與交換機SVI相同,即可實現不同Vlan間的路由。
使用三層交換機進行Vlan間路由與使用匯聚鏈路連接路由器與交換機相似,即需經過“發送方→交換模塊→路由模塊→交換模塊→接收方”的流程。
【例】假設網絡按圖19連接好後,所有設備均爲初始狀態,也未向外發送過任何報文。若PC1已知PC2的IP地址,則可通過ping命令發送ICMP報文來獲知PC1能否到達PC2。以下分析該過程。
ping流程網絡拓撲
⑴ PC1將自身IP和子網掩碼255.255.255.0相與得到網絡號1.1.1.0,將PC2的IP與子網掩碼相與得到網絡號2.2.2.0,得知PC2與自己不在同一網段。於是PC1檢索路由表得到默認網關。PC1欲向網關傳遞信息,但此時PC1中ARP表爲空,所以向默認網關(交換機三層接口)發出ARP請求幀,請求網關MAC地址。該幀目的MAC地址爲全1,源MAC地址爲本機MAC地址,請求的IP地址爲網關1.1.1.1;
⑵ SW收到ARP請求幀,對其附加端口PVid(10)的標籤;
⑶ SW用ARP請求幀的Mac1和Vid10查找MAC轉發表,發現沒有該項,則進行學習,即在表中添加“Mac1—Vid10—Port1”的記錄;並將源IP和MAC的對應關係(“1.1.1.2—Mac1”)記錄到ARP表,表明目的IP爲1.1.1.2的數據幀轉發時目的MAC爲Mac1,同時需路由到端口Port1;
⑷ ARP請求的目的地址是廣播地址,SW將其洪泛到該Vlan的每個端口(除入端口);同時SW自身截獲一份上送CPU(網關),發現是詢問自己的MAC,於是回覆ARP單播應答幀,目的MAC爲PC1的Mac1,源MAC爲網關的MAC地址GwMac1,源IP爲1.1.1.1,目的IP爲PC1的1.1.1.2;
⑸ PC1收到SW發來的ARP應答幀,得到SW三層網關MAC地址,將“1.1.1.1—GwMac1”記錄到ARP表。PC1向SW發送ICMP請求幀,目的IP爲PC2的IP(2.2.2.2),目的MAC爲網關MAC,源IP和源MAC爲PC1的;
⑹ SW收到ICMP請求幀,對其附加端口PVid(10)的標籤,然後進行源MAC地址學習,發現二層轉發表有該條目,更新老化時間。因該幀目的MAC地址是網關,SW送交三層路由處理。
⑺ 在三層首先檢查IP報文的版本、IP首部檢驗和TTL是否正確,若不正確則標記丟棄並交由CPU處理;正確則在三層主機路由表(又稱L3表)中查找目的IP(即PC2的IP 2.2.2.2)。此時L3表中只包含與自己直連的32位地址(包括自身接口)及步驟⑶中ARP表學習後下發的PC1信息,而找不到PC2的信息。進而按最長前綴匹配算法查找子網路由表(又稱Longest Prefix Match即LPM表)得到2.2.2.1目的網段的條目,下一跳的IP地址爲 2.2.2.1;
⑻ 索引回L3表查找2.2.2.1,得到該條目,發現要提交CPU處理(CPU也需要看作是一個端口);
⑼ CPU沒有到PC2的路由,但PC2的目的IP屬於自己接口地址2.2.2.1的網段,故向接口Vlan20所包含的所有物理端口廣播一個ARP請求幀,源MAC地址爲交換機接口的三層MAC地址GwMac2,源IP地址爲2.2.2.1,請求IP地址2.2.2.2的MAC地址;
⑽ PC2收到ARP請求,學習“2.2.2.1—GwMac2”加入ARP表;並回復ARP應答幀,目的IP爲交換機接口Vlan20的IP地址2.2.2.1,目的MAC爲交換機接口Vlan20的MAC地址GwMac2;
⑾ SW收到PC2發送的ARP應答幀,附加端口PVid(20)後在MAC表中查找“Mac2+Vid20”,沒找到則學習源地址,在MAC轉發表中添加PC2相關記錄。因該幀目的MAC爲網關地址,故提交三層處理;
⑿ 三層首先檢查報文正確性,無誤則在L3表中查找目的IP。由於目的IP爲本機,故上送CPU處理。CPU對報文處理後得到“2.2.2.2—Mac2”將相關信息加入ARP表(CPU下發給L3表進行記錄)。
⒀ PC1向SW發送的第一個ICMP請求幀存儲在內存中,此時交由CPU進行IP報文頭部修改(TTL減1,FCS重新計算封裝)和MAC封裝(目的MAC地址改爲PC2的MAC地址,源MAC地址改爲SW三層MAC地址)併發送給PC2,如果超時則丟棄,CPU發送ICMP超時給PC1;
⒁ PC2收到PC1發來的ICMP請求後,回覆ICMP應答幀,目的IP爲PC1的IP 1.1.1.2,同樣PC2發現該地址和自己不在同一子網,需要網關進行轉發。之前PC2已學習到交換機接口Vlan20的ARP,此時根據該ARP將ICMP應答幀目的MAC地址填爲網關MAC地址GwMac2發送出去。交換機收到幀後,發現目的MAC地址是網關地址,取出幀中的目的IP地址1.1.1.1查找路由。之前交換機已學習到該IP的路由,所以會查找到主機路由表中相應的路由並將幀目的MAC地址換成Mac1,源MAC地址換成網關MAC地址GwMac2,發送到端口Port1上。最終,PC1就收到PC2的ICMP應答。
⒂ 經過以上流程後,PC1和PC2分別學到各自網關接口的ARP,交換機也有了分別到達PC1和PC2的路由。後續的報文不再通過路由,而直接由L3表中對應的表項進行硬件轉發。
注意,此例步驟說明相比“路由器路由”一節稍爲詳細,所補充的部分並非差異。
* VLAN間通信加速
Vlan間路由時,並非所有數據都需要經過外部路由器或三層交換機的內置路由模塊。例如,使用FTP(File Transfer Protocol,文件傳輸協議)傳輸容量爲數兆字節以上的較大文件時,由於MTU(Maximum Transfer Unit,最大傳輸單元)的限制,IP協議會將數據分割成小塊後傳輸並在接收方重新組合。這些被分割的數據具有相同的源/目的IP地址和(TCP/UDP)端口號。這樣一連串數據流被稱爲“流(Flow)”。只要將流最初的數據正確地路由以後,後繼數據理應也會被同樣地路由,實際上無需路由器處理。
三層交換機進行高速Vlan間路由時,整個流的第一塊數據仍舊由交換模塊轉發→路由模塊路由→交換模塊轉發到目標所連端口。這時,將第一塊數據路由結果記錄到緩存裏保存下來。需記錄的信息有源/目的IP地址和(TCP/UDP)端口號、交換機收發端口號及轉發目標MAC地址等。
同一個流的第二塊及後續的數據到達交換機後,直接通過查詢先前保存在緩存中的信息查出轉發端口號後即可轉發給目標所連端口。這樣,就無需反覆經由內部路由模塊中繼,而僅憑交換機內部的緩存信息就足以判斷應該轉發的端口。這時,交換機對數據幀進行由路由器中繼時相似的處理,如改寫MAC地址、IP包頭中的TTL和Check Sum校驗碼信息等。
若Vlan間路由信息變化,路由模塊會發送控制信息給交換模塊,交換機重新建立轉發路徑,按照常規方式轉發。
通過在交換機上緩存路由結果,可實現以纜線速度(Wired Speed)接收發送方傳輸來的數據、並且能夠全速路由、轉發給接收方。
* 路由器和交換機配合構建LAN
雖然三層交換機能提供比傳統型路由器更爲高速的路由處理,但網絡中仍有使用路由器的必要性。其必要性主要表現在以下幾個方面:
用於與WAN連接。絕大多數三層交換機只配有LAN(以太網)接口。少數高端交換機上也有用於連接WAN的串行接口或ATM接口,但大多數情況下連接WAN需要用到路由器。
保證網絡安全。在三層交換機上,通過數據包過濾也能確保一定程度的網絡安全。但使用路由器所提供的各種網絡安全功能(數據包過濾、基於IPSec構建VPN、利用RADIUS進行用戶認證等),用戶可構建更爲安全可靠的網絡。
支持TCP/IP以外的網絡架構。儘管TCP/IP已成爲當前主流的網絡協議架構,但還有不少網絡利用Novell Netware下的IPX/SPX或Macintosh下的Appletalk等網絡協議。三層交換機中,除部分高端機型外基本上只支持TCP/IP。路由器對於需要其他網絡協議的環境必不可少。
注:少數高端交換機也能支持上述路由器的功能。例如Cisco的Catalyst6500系列就可選擇與WAN連接的接口模塊;還有可選的基於IPSec實現VPN的模塊;並且也能支持TCP/IP以外的其他網絡協議。
下圖是一個路由器和交換機搭配構建LAN的實例。
路由器和交換機搭配構建局域網
利用在各樓層配置的二層交換機定義Vlan,連接TCP/IP客戶主機。各樓層間的Vlan間通信利用三層交換機的高速路由加以實現。若網絡環境要求高可靠性,還可考慮冗餘配置三層交換機。與WAN的連接,則通過帶有各種網絡接口的路由器進行,並通過路由器的數據包過濾和VPN等功能實現網絡安全。此外,使用路由器還能支持Novell Netware等TCP/IP之外的網絡。
通過使用Vlan構建局域網,用戶能夠不受物理鏈路的限制而自由地分割廣播域。通過路由器與三層交換機提供的Vlan間路由,能夠適應靈活多變的網絡結構。但由於利用Vlan容易導致網絡複雜化,因此也會造成整個網絡的組成難以把握。特別是由於數據流縱橫交錯,一旦發生故障時,準確定位並排除故障會比較困難。
以下是關於以上二、三層轉發的一些基礎知識的詳解,關於vlan、Mac地址、路由器、IP地址等一些網絡知識的介紹。
首先介紹一下vlan
VLAN是爲解決以太網的廣播問題和安全性而提出的一種協議,它在以太網幀的基礎上增加了VLAN頭,用VLAN ID把用戶劃分爲更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播範圍,並能夠形成虛擬工作組,動態管理網絡。
vlan是原先解決廣播域內的風暴控制而設計的,這裏介紹一下物理層的衝突域和數據鏈路層的廣播域:
衝突域和廣播域
衝突域(物理層):不同主機或設備同時發出的幀可能會互相沖突的網絡區域。一條導線上所有工作站的集合,或一個物理網段上所有節點的集合,或以太網上競爭同一帶寬的節點的集合都是一個衝突域。當衝突發生時,傳送的幀可能遭到破壞或干擾,發生衝突的主機將根據802.3以太網的CSMA/CD規則在一段隨機的時間內停止發送後續幀。其缺點是每臺主機得到的可用帶寬很低,當衝突域內主機設備數量增加時,網絡衝突將成倍增加,信息傳輸安全得不到保證。集線器連接的各設備就是一個典型衝突域,如圖2所示。
典型的HUB構成的衝突域
廣播域(數據鏈路層):網絡中能接收任一設備發出的廣播幀的所有設備集合。所有需要接收其他廣播的節點被劃分爲同一廣播域或邏輯網段。連接在HUB和傳統交換機端口上的所有節點構成一個廣播域。當交換機收到廣播幀時,它將該幀轉發到自己除接收該幀的端口外的每一個端口,每個連接設備都會接收並處理該幀。
隨着網絡規模的擴大,廣播域中廣播報文相遇的次數也隨之增加。所有這些廣播報文會嚴重影響網絡性能,若管理不當,甚至會導致整個網絡的崩潰。
關於物理層、數據鏈路層、網絡層的交換設備介紹一下,因爲根據這些理解這些設備的功能基本上就能理解這些網絡層之間的數據交換了。
集線器、交換機、路由器
* 集線器
以太網集線器(HUB)從任一端口收到以太網數據幀後,都會將該幀廣播到其它所有端口。集線器對應物理層,不同端口所連接的設備同時傳數據時會引起衝突,故其衝突域和廣播域是所有端口,既不能隔離衝突域也不能隔離廣播域。非交換式HUB不能劃分物理網段,因爲它沒有劃分衝突域。
* 網橋和交換機
網橋和交換機位於數據鏈路層,基於MAC地址進行數據轉發。網橋和交換機的每個物理端口屬於一個衝突域,所有端口在一個廣播域。兩者均能隔離衝突域,但不能隔離廣播域,不能阻止廣播並對網絡進行邏輯分段。
網橋與交換機有以下不同之處:
網橋只有少數幾個端口;交換機卻可有上百個端口。
網橋速度比交換機慢,交換機採用硬件ASIC芯片進行線速轉發交換,比網橋速度快。
網橋採取存儲轉發的機制,等收到全部數據後再進行轉發;而交換機除存儲機制外還有直接轉發機制,只需幀頭到達處理後就可轉發,不必等到所有數據都到達,故交換機處理速度比網橋快些。
鑑於網橋的侷限性,現代交換LAN中已很少使用網橋。
* 路由器
路由器位於網絡層,可以隔離衝突域和廣播域。每個子網(subnet)屬於一個廣播域,不同子網間不能發送廣播。因此,對廣播進行控制就必須使用路由器(或具有路由功能的三層交換機)。使用路由器後,可以路由器上的網絡接口(LAN Interface)爲單位分割廣播域。
一般使用路由器和交換機把LAN分段爲大量更小的衝突域和廣播域。傳統交換機對LAN分段的方法如圖3所示。
傳統LAN的分割
雖然交換機可縮小衝突域的規模(每個端口就是一個衝突域),但連接到交換機的所有端口的主機仍然處於一個廣播域中。傳統交換機相連構成的一個廣播域內廣播幀的轉發過程如圖4所示。
傳統交換機上的廣播
圖中是一個由5臺二層交換機(SW1~5)連接了大量客戶主機構成的網絡。假設主機PC1要與主機PC2通信。以太網通信中必須在數據幀中指定目標MAC地址才能正常通信,故PC1必須先廣播ARP請求信息,來嘗試獲取PC2的MAC地址。交換機SW1收到ARP廣播幀後,將其轉發到除入幀端口外的其他所有端口,於是SW2和SW3收到廣播幀,它們也將幀轉發到各自的所有端口……最終同一網絡中與交換機相連的所有主機(PC2-PC8)都接收到該ARP請求。可見,本應發往PC2的ARP請求擴散至整個網絡,不僅消耗了網絡整體帶寬,而且收到廣播幀的主機還要消耗一部分CPU時間對其進行處理。在網絡規模較大時,大量廣播幀將嚴重影響網絡性能,造成廣播風暴問題。此外,由於整個網絡在一個廣播域,所有用戶都能不受控制地直接訪問和影響網絡所有部分,進而威脅到網絡安全性。
默認情況下,路由器不轉發廣播流量,因此可用於分割廣播域。用路由器創建廣播域將減少廣播流量,併爲單播通訊提供更多的帶寬,每個路由器端口都連接到單獨的網絡,廣播流量僅限於發出該廣播的LAN網段內。但通常路由器網絡接口較少(1~4個左右),所能分割的廣播域個數有限,且路由器相對交換機成本也較高。而二層交換機一般帶有多個網絡接口,若能用其分割廣播域,則會大大提高網絡設計的自由度。
MAC地址介紹
MAC(Media Access Control,介質訪問控制)地址是網絡設備的硬件標識,具有唯一性。MAC地址也稱爲物理地址或硬件地址,由網絡設備製造商生產時燒入NIC(網絡接口控制器)中。MAC地址長48比特,分成塊ID和設備ID兩部分,前24位是OUI(Organizationally unique identifier,機構唯一標識符),後24位由廠商自行分配。MAC地址採用點分十六進制表示,如圖1所示。
MAC地址格式
MAC地址通常分爲:
單播MAC地址:單播MAC地址唯一標識以太網上的一個終端,該地址固化在硬件(如網卡)內部。
組播MAC地址:首字節最後一位爲1(通常以0x01開頭)的MAC地址,標誌一組設備。
廣播MAC地址:48位全1的MAC地址,標誌本網段內所有設備。
網絡中按照大字節序傳輸報文(即先傳輸高字節),而字節內先傳輸低位比特。因此,若發送的首位比特爲0就是單播,否則爲組播或廣播。
MAC地址按生存期也可分爲:
動態MAC地址:交換機在網絡中通過數據幀學習到,有老化時間,MAC地址和端口的對應關係會隨着設備所連的交換機的端口的變化而變化。交換機關電重啓後會消失,需重新學習。
靜態MAC地址:通過配置產生,不會被老化,MAC地址和端口的對應關係始終不變,但交換機關電重啓後也會消失,需重新配置。
永久MAC地址:通過配置產生,不會被老化,MAC地址和端口的對應關係始終不變,且交換機關電重啓後也不會消失。