|
MAC地址
MAC(Media Access Control�,介質(zhì)訪問控制)地址是網(wǎng)絡(luò)設(shè)備的硬件標(biāo)識�����,具有唯一性。MAC地址也稱為物理地址或硬件地址����,由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時燒入NIC(網(wǎng)絡(luò)接口控制器)中。MAC地址長48比特���,分成塊ID和設(shè)備ID兩部分��,前24位是OUI(Organizationally unique identifier���,機(jī)構(gòu)唯一標(biāo)識符),后24位由廠商自行分配��。MAC地址采用點(diǎn)分十六進(jìn)制表示���,如圖1所示�����。
MAC地址格式
MAC地址通常分為:
單播MAC地址:單播MAC地址唯一標(biāo)識以太網(wǎng)上的一個終端�����,該地址固化在硬件(如網(wǎng)卡)內(nèi)部�����。
組播MAC地址:首字節(jié)最后一位為1(通常以0x01開頭)的MAC地址�,標(biāo)志一組設(shè)備。
廣播MAC地址:48位全1的MAC地址���,標(biāo)志本網(wǎng)段內(nèi)所有設(shè)備���。
網(wǎng)絡(luò)中按照大字節(jié)序傳輸報文(即先傳輸高字節(jié)),而字節(jié)內(nèi)先傳輸?shù)臀槐忍?����。因此�����,若發(fā)送的首位比特為0就是單播����,否則為組播或廣播�����。
MAC地址按生存期也可分為:
動態(tài)MAC地址:交換機(jī)在網(wǎng)絡(luò)中通過數(shù)據(jù)幀學(xué)習(xí)到,有老化時間����,MAC地址和端口的對應(yīng)關(guān)系會隨著設(shè)備所連的交換機(jī)的端口的變化而變化。交換機(jī)關(guān)電重啟后會消失��,需重新學(xué)習(xí)����。
靜態(tài)MAC地址:通過配置產(chǎn)生,不會被老化�����,MAC地址和端口的對應(yīng)關(guān)系始終不變����,但交換機(jī)關(guān)電重啟后也會消失,需重新配置����。
永久MAC地址:通過配置產(chǎn)生,不會被老化����,MAC地址和端口的對應(yīng)關(guān)系始終不變��,且交換機(jī)關(guān)電重啟后也不會消失���。
沖突域和廣播域
沖突域(物理層):不同主機(jī)或設(shè)備同時發(fā)出的幀可能會互相沖突的網(wǎng)絡(luò)區(qū)域。一條導(dǎo)線上所有工作站的集合���,或一個物理網(wǎng)段上所有節(jié)點(diǎn)的集合�,或以太網(wǎng)上競爭同一帶寬的節(jié)點(diǎn)的集合都是一個沖突域�����。當(dāng)沖突發(fā)生時���,傳送的幀可能遭到破壞或干擾,發(fā)生沖突的主機(jī)將根據(jù)802.3以太網(wǎng)的CSMA/CD規(guī)則在一段隨機(jī)的時間內(nèi)停止發(fā)送后續(xù)幀���。其缺點(diǎn)是每臺主機(jī)得到的可用帶寬很低����,當(dāng)沖突域內(nèi)主機(jī)設(shè)備數(shù)量增加時�����,網(wǎng)絡(luò)沖突將成倍增加,信息傳輸安全得不到保證�����。集線器連接的各設(shè)備就是一個典型沖突域�����,如圖2所示���。
典型的HUB構(gòu)成的沖突域
廣播域(數(shù)據(jù)鏈路層):網(wǎng)絡(luò)中能接收任一設(shè)備發(fā)出的廣播幀的所有設(shè)備集合��。所有需要接收其他廣播的節(jié)點(diǎn)被劃分為同一廣播域或邏輯網(wǎng)段����。連接在HUB和傳統(tǒng)交換機(jī)端口上的所有節(jié)點(diǎn)構(gòu)成一個廣播域�。當(dāng)交換機(jī)收到廣播幀時,它將該幀轉(zhuǎn)發(fā)到自己除接收該幀的端口外的每一個端口���,每個連接設(shè)備都會接收并處理該幀��。
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大�����,廣播域中廣播報文相遇的次數(shù)也隨之增加�。所有這些廣播報文會嚴(yán)重影響網(wǎng)絡(luò)性能,若管理不當(dāng)����,甚至?xí)?dǎo)致整個網(wǎng)絡(luò)的崩潰。
集線器����、交換機(jī)、路由器
* 集線器
以太網(wǎng)集線器(HUB)從任一端口收到以太網(wǎng)數(shù)據(jù)幀后���,都會將該幀廣播到其它所有端口���。集線器對應(yīng)物理層,不同端口所連接的設(shè)備同時傳數(shù)據(jù)時會引起沖突��,故其沖突域和廣播域是所有端口���,既不能隔離沖突域也不能隔離廣播域。非交換式HUB不能劃分物理網(wǎng)段,因?yàn)樗鼪]有劃分沖突域�����。
* 網(wǎng)橋和交換機(jī)
網(wǎng)橋和交換機(jī)位于數(shù)據(jù)鏈路層����,基于MAC地址進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。網(wǎng)橋和交換機(jī)的每個物理端口屬于一個沖突域���,所有端口在一個廣播域���。兩者均能隔離沖突域,但不能隔離廣播域�,不能阻止廣播并對網(wǎng)絡(luò)進(jìn)行邏輯分段。
網(wǎng)橋與交換機(jī)有以下不同之處:
網(wǎng)橋只有少數(shù)幾個端口;交換機(jī)卻可有上百個端口��。
網(wǎng)橋速度比交換機(jī)慢����,交換機(jī)采用硬件ASIC芯片進(jìn)行線速轉(zhuǎn)發(fā)交換,比網(wǎng)橋速度快���。
網(wǎng)橋采取存儲轉(zhuǎn)發(fā)的機(jī)制����,等收到全部數(shù)據(jù)后再進(jìn)行轉(zhuǎn)發(fā);而交換機(jī)除存儲機(jī)制外還有直接轉(zhuǎn)發(fā)機(jī)制,只需幀頭到達(dá)處理后就可轉(zhuǎn)發(fā)�,不必等到所有數(shù)據(jù)都到達(dá),故交換機(jī)處理速度比網(wǎng)橋快些�����。
鑒于網(wǎng)橋的局限性���,現(xiàn)代交換LAN中已很少使用網(wǎng)橋��。
* 路由器
路由器位于網(wǎng)絡(luò)層�����,可以隔離沖突域和廣播域�。每個子網(wǎng)(subnet)屬于一個廣播域�����,不同子網(wǎng)間不能發(fā)送廣播�����。因此,對廣播進(jìn)行控制就必須使用路由器(或具有路由功能的三層交換機(jī))��。使用路由器后���,可以路由器上的網(wǎng)絡(luò)接口(LAN Interface)為單位分割廣播域。
一般使用路由器和交換機(jī)把LAN分段為大量更小的沖突域和廣播域���。傳統(tǒng)交換機(jī)對LAN分段的方法如圖3所示��。
傳統(tǒng)LAN的分割
雖然交換機(jī)可縮小沖突域的規(guī)模(每個端口就是一個沖突域)�����,但連接到交換機(jī)的所有端口的主機(jī)仍然處于一個廣播域中���。傳統(tǒng)交換機(jī)相連構(gòu)成的一個廣播域內(nèi)廣播幀的轉(zhuǎn)發(fā)過程如圖4所示。
傳統(tǒng)交換機(jī)上的廣播
圖中是一個由5臺二層交換機(jī)(SW1~5)連接了大量客戶主機(jī)構(gòu)成的網(wǎng)絡(luò)��。假設(shè)主機(jī)PC1要與主機(jī)PC2通信����。以太網(wǎng)通信中必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信,故PC1必須先廣播ARP請求信息����,來嘗試獲取PC2的MAC地址���。交換機(jī)SW1收到ARP廣播幀后,將其轉(zhuǎn)發(fā)到除入幀端口外的其他所有端口�,于是SW2和SW3收到廣播幀,它們也將幀轉(zhuǎn)發(fā)到各自的所有端口……最終同一網(wǎng)絡(luò)中與交換機(jī)相連的所有主機(jī)(PC2-PC8)都接收到該ARP請求���?���?梢?����,本應(yīng)發(fā)往PC2的ARP請求擴(kuò)散至整個網(wǎng)絡(luò)����,不僅消耗了網(wǎng)絡(luò)整體帶寬,而且收到廣播幀的主機(jī)還要消耗一部分CPU時間對其進(jìn)行處理��。在網(wǎng)絡(luò)規(guī)模較大時���,大量廣播幀將嚴(yán)重影響網(wǎng)絡(luò)性能���,造成廣播風(fēng)暴問題�����。此外,由于整個網(wǎng)絡(luò)在一個廣播域����,所有用戶都能不受控制地直接訪問和影響網(wǎng)絡(luò)所有部分,進(jìn)而威脅到網(wǎng)絡(luò)安全性�����。
默認(rèn)情況下�����,路由器不轉(zhuǎn)發(fā)廣播流量����,因此可用于分割廣播域。用路由器創(chuàng)建廣播域?qū)p少廣播流量�,并為單播通訊提供更多的帶寬,每個路由器端口都連接到單獨(dú)的網(wǎng)絡(luò)��,廣播流量僅限于發(fā)出該廣播的LAN網(wǎng)段內(nèi)。但通常路由器網(wǎng)絡(luò)接口較少(1~4個左右)�����,所能分割的廣播域個數(shù)有限��,且路由器相對交換機(jī)成本也較高��。而二層交換機(jī)一般帶有多個網(wǎng)絡(luò)接口����,若能用其分割廣播域,則會大大提高網(wǎng)絡(luò)設(shè)計(jì)的自由度����。
VLAN
VLAN(Vitual Local Area Network,虛擬局域網(wǎng))是將物理網(wǎng)絡(luò)劃分成多個邏輯局域網(wǎng)的技術(shù)�����。一個VLAN就是一個廣播域�����,亦即一個邏輯子網(wǎng)����,在其內(nèi)的站點(diǎn)可位于不同物理LAN上�,但站點(diǎn)間像在同一個普通局域網(wǎng)上那樣自由通信而不受物理位置的限制�����。利用VLAN技術(shù)����,網(wǎng)絡(luò)管理者可根據(jù)實(shí)際應(yīng)用需要���,在二層交換機(jī)上把同一物理局域網(wǎng)中的用戶邏輯劃分成不同廣播域�,使具有相同需求或業(yè)務(wù)的用戶處于同一廣播域�����,不同需求或業(yè)務(wù)的用戶處于不同的廣播域�����。
在未設(shè)置任何Vlan的二層交換機(jī)上����,任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口���。配置Vlan后,當(dāng)交換機(jī)屬于某Vlan的一個端口收到廣播幀后��,為保證同屬一個Vlan的所有主機(jī)都收到該廣播幀��,交換機(jī)必須按照如下原則轉(zhuǎn)發(fā):
1) 發(fā)送給本交換機(jī)中同一個Vlan中的其它端口;
2) 發(fā)送給本交換機(jī)的包含該Vlan的所有匯聚鏈路����,以便其它交換機(jī)上同一Vlan的端口也發(fā)送該幀。
圖5給出交換機(jī)上創(chuàng)建兩個Vlan后��,主機(jī)發(fā)出的廣播幀被轉(zhuǎn)發(fā)的示例�����。為便于說明���,以紅�、藍(lán)兩色識別不同Vlan(實(shí)際使用中以Vlan ID來區(qū)分)����。其中端口1、2屬于紅色Vlan,端口3�����、4屬于藍(lán)色Vlan����。
Vlan分割廣播域
可見,從PC1發(fā)出的廣播幀僅被轉(zhuǎn)發(fā)給同一Vlan內(nèi)的其他端口���,即同屬于紅色Vlan的端口2����,而不會再轉(zhuǎn)發(fā)給屬于藍(lán)色Vlan的端口����。就這樣�,Vlan通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割廣播域,進(jìn)而改善網(wǎng)絡(luò)效率和安全性�����。
Vlan可理解為在邏輯上將一臺交換機(jī)分割成數(shù)臺虛擬交換機(jī)�����,且這些虛擬交換機(jī)互不相通。Vlan是廣播域�����,而通常兩個廣播域間由路由器連接�����,廣播域間來往的數(shù)據(jù)幀由路由器中繼�����。因此���,Vlan間的通信也需要路由器(或三層交換機(jī))提供中繼服務(wù)��,即“Vlan間路由”�����。在Vlan之間配置路由器��,使Vlan內(nèi)部流量仍通過原來Vlan的內(nèi)部二層網(wǎng)絡(luò)進(jìn)行�����,從一個Vlan到另一Vlan的通信流量通過路由進(jìn)行三層轉(zhuǎn)發(fā)�,轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)后再通過二層交換網(wǎng)絡(luò)把數(shù)據(jù)幀最終發(fā)送給目的主機(jī)。路由器不轉(zhuǎn)發(fā)以太網(wǎng)廣播幀�,故Vlan間配置的路由器不會改變劃分Vlan所達(dá)到的隔離廣播的目的。
VLAN幀格式
* 以太網(wǎng)V2 MAC幀格式
以太網(wǎng)MAC幀格式有兩種標(biāo)準(zhǔn)�����,即DIX(DEC,Intel,Xerox) Ethernet V2標(biāo)準(zhǔn)(RFC894)和IEEE 802.3標(biāo)準(zhǔn)�。圖6所示的是常用的以太網(wǎng)V2的MAC幀格式(事實(shí)標(biāo)準(zhǔn)):
以太網(wǎng)V2的MAC幀格式
以太網(wǎng)幀在鏈路層傳輸,故源和目的MAC地址又稱鏈路層地址(link layer address)����,也稱L2地址、二層地址或硬件地址��。
類型(Type)字段表明上層使用什么協(xié)議���。常用協(xié)議類型值如表1所示:
表1 常用協(xié)議類型值
|
