2層是數(shù)據(jù)鏈路層，是以太網(wǎng)所在的層。在這一層我們將討論網(wǎng)橋、交換和虛擬局域網(wǎng)，要讓一個(gè)網(wǎng)絡(luò)運(yùn)行起來(lái)，你實(shí)際上不需要學(xué)習(xí)以太網(wǎng)內(nèi)部的工作原理，當(dāng)然，如果你愿意學(xué)習(xí)的話，你可以利用其它的時(shí)間學(xué)習(xí)這方面的知識(shí)。

　　以太網(wǎng)交換機(jī)是一種“網(wǎng)橋”設(shè)備。傳統(tǒng)的網(wǎng)橋是這樣工作的，一開(kāi)始它接收以太網(wǎng)幀，然后，把它們發(fā)送到除接收端口之外的全部其它端口。以太網(wǎng)交換機(jī)具允許允許雙絞線連接的能力。它漸學(xué)習(xí)哪一個(gè)端口連接了哪 些MAC地址。這時(shí)候，網(wǎng)橋就變成了一臺(tái)學(xué)習(xí)設(shè)備，能夠存儲(chǔ)在一個(gè)端口上看到的全部的MAC地址表。當(dāng)一個(gè)幀需要發(fā)出時(shí)，網(wǎng)橋?qū)⒉榭丛诰W(wǎng)橋表中的目標(biāo)MAC地址，并且知道應(yīng)該在哪一個(gè)端口發(fā)送這個(gè)幀。這種僅向正確的主機(jī)發(fā)送數(shù)據(jù)的能力是交換技術(shù)中的一個(gè)巨大的進(jìn)步，因?yàn)檫@可能顯著減少通信沖突。如果在網(wǎng)橋表中沒(méi)有目標(biāo)MAC地址，交換機(jī)就簡(jiǎn)單地把數(shù)據(jù)發(fā)送到全部端口。這是首次發(fā)現(xiàn)主機(jī)到底在什么地方的惟一方法，因此，正如你看到的那樣，把數(shù)據(jù)發(fā)送到全部端口是交換技術(shù)中的一個(gè)重要原則。這個(gè)原則在路由中也非常必要。

　　2層相關(guān)的重要詞匯包括：

　　單播分段（Unicast segmentation）：網(wǎng)橋能夠限制哪些主機(jī)能夠收到單播幀（僅發(fā)送給一個(gè)MAC地址的幀）。集線器只是簡(jiǎn)單地把一切數(shù)據(jù)發(fā)送給所有的端口，因此，單播分段本身可以節(jié)省大量的帶寬。

　　沖突域（Collision Domain）：沖突域是能夠發(fā)生沖突的網(wǎng)段。由于交換機(jī)采用了直通發(fā)送技術(shù)以及網(wǎng)卡全部采用雙工技術(shù)，沖突已經(jīng)不再發(fā)生了。如果你在一個(gè)端口看到?jīng)_突，這就意味著有人意外地使用半雙工的設(shè)備，或者是出現(xiàn)了其它的故障。

　　廣播域：發(fā)送和接收廣播幀的網(wǎng)段。

　　在交換機(jī)產(chǎn)品幾年后，網(wǎng)橋運(yùn)行所采用的老式的存儲(chǔ)和發(fā)送方式改變了。新的交換機(jī)僅查看幀的目標(biāo)MAC地址，然后立即把這個(gè)幀發(fā)送出去。這種技術(shù)稱作“直通發(fā)送”可以幀更快地直接通過(guò)交換機(jī)，因?yàn)檫@種方式對(duì)幀很少進(jìn)行處理。這種方式也暗示了一件重要的事情：一臺(tái)交換機(jī)不再檢查CRC（循環(huán)冗余校驗(yàn)）以便查看數(shù)據(jù)包是否損壞。這還暗示著不可能發(fā)生沖突。

　　另外，為了解決廣播網(wǎng)段的問(wèn)題，我們引入了虛擬局域網(wǎng)技術(shù)。如果你不能向另一臺(tái)機(jī)器發(fā)送廣播幀，那些機(jī)器就不在你的本地網(wǎng)絡(luò)中，你要把全部數(shù)據(jù)包發(fā)送給一臺(tái)路由器，接著由路由器發(fā)送這些數(shù)據(jù)包。實(shí)際上，這就是虛擬局域網(wǎng)做的事情：虛擬局域網(wǎng)將網(wǎng)絡(luò)劃分為更多的子網(wǎng)。

　　你可以在一臺(tái)交換機(jī)上設(shè)置虛擬局域網(wǎng)，然后向一個(gè)虛擬局域網(wǎng)分配端口。如果主機(jī)A是虛擬局域網(wǎng)1，這臺(tái)主機(jī)就不能與虛擬局域網(wǎng)2中的任何人通話，就像它們生活在完全沒(méi)有網(wǎng)絡(luò)連接的設(shè)備中一樣。不過(guò)需要注意，這畢竟只是虛擬的，如果交換機(jī)的MAC地址表空間已經(jīng)被數(shù)據(jù)填滿從而無(wú)法繼續(xù)維護(hù)這個(gè)交換MAC地址表，為了繼續(xù)維持通訊交換機(jī)將會(huì)把收到的所有數(shù)據(jù)轉(zhuǎn)發(fā)到所有端口。很多人將VLAN視為一種很好的安全措施，實(shí)際上任何一個(gè)半吊子黑客使用合適的工具都可以很快的攻克交換機(jī)的VLAN限制，事實(shí)上，當(dāng)交換機(jī)出現(xiàn)MAC地址表溢出的情況時(shí)，它會(huì)變成一臺(tái)單純的HUB.

　　正如我們已經(jīng)知道的那樣，如果你無(wú)法使用ARP協(xié)議獲得目標(biāo)的MAC地址，那你必須要使用一臺(tái)路由器。這是不是意味著你必須在每個(gè)VLAN之間物理的連入一臺(tái)路由器呢？不需要，因?yàn)槲覀儸F(xiàn)在擁有3層交換機(jī)！設(shè)想一個(gè)例子，如果你愿意，一臺(tái)交換機(jī)可以配置48個(gè)端口。這臺(tái)交換機(jī)有兩個(gè)虛擬局域網(wǎng)，虛擬局域網(wǎng)1采用1至24端口，虛擬局域網(wǎng)2采用25至48端口。要把這兩個(gè)虛擬局域網(wǎng)連接起來(lái)，你基本上有三種選擇。第一，使用一臺(tái)路由器分別連接這兩個(gè)虛擬局域網(wǎng)中的一個(gè)端口，并且分為VLAN中的主機(jī)配置正確的默認(rèn)路由。第二種方法是你還可以簡(jiǎn)單地在每個(gè)虛擬局域網(wǎng)中各自建立一個(gè)虛擬路由器接口（virtual interfaces）。在思科的設(shè)備，這種虛擬路由器接口可能稱作“vlan1”和“vlan2”。它們擁有自己的IP地址，而VLAN中的主機(jī)使用這些虛擬路由器接口作為自己的路由器。

　　在第三種方法使我們回到了2層概述的最終話題。如果你擁有多臺(tái)需要包含同樣的虛擬局域網(wǎng)的交換機(jī)，你可以通過(guò)端口匯聚（trunk）的方式它們都連接起來(lái)。這樣，交換機(jī)A中的虛擬局域網(wǎng)1和交換機(jī)B中的虛擬局域網(wǎng)1就完全是一樣的了。這是采用802.1q標(biāo)準(zhǔn)完成的。802.1q標(biāo)準(zhǔn)為將離開(kāi)第一臺(tái)交換機(jī)的數(shù)據(jù)包打上一個(gè)虛擬局域網(wǎng)的標(biāo)識(shí)符。思科把這些交換機(jī)間的鏈路稱作“主干端口（trunk ports）”，你可以擁有交換機(jī)允許的最多數(shù)量的虛擬局域網(wǎng)（目前大多數(shù)硬件允許4096個(gè)虛擬局域網(wǎng)）。因此，在虛擬局域網(wǎng)之間建立聯(lián)系的第三種方法（也是最后一種方法）是把以trunk方式連接一臺(tái)路由器，并且為每一個(gè)虛擬局域網(wǎng)建立一個(gè)虛擬路由器接口。虛擬局域網(wǎng)1上的主機(jī)（無(wú)論是在交換機(jī)A和交換機(jī)B上）都能夠訪問(wèn)這個(gè)路由器接口（這個(gè)接口可以在另一臺(tái)設(shè)備上），因?yàn)樗麄內(nèi)慷歼B接在了一起，并且共享一個(gè)廣播域。關(guān)于trunk與802.1q的更多信息請(qǐng)參見(jiàn)這篇文章。

　　在這里我們沒(méi)有采用“這是2層協(xié)議，記住以太網(wǎng)數(shù)據(jù)包頭”這種標(biāo)準(zhǔn)的教學(xué)模式。要成為一個(gè)真正的專家，你必須要知道這些知識(shí)。但是，要成為一個(gè)有用的操作人員，簡(jiǎn)單地知道2層是如何工作的就可以了。下一講我們將介紹網(wǎng)絡(luò)領(lǐng)域最有趣的協(xié)議生成樹(shù)協(xié)議。

　　小結(jié)：

　　●網(wǎng)橋（又名交換機(jī)）存儲(chǔ)MAC地址表以實(shí)現(xiàn)單播網(wǎng)段功能。也就是說(shuō)它們僅向需要這個(gè)數(shù)據(jù)的主機(jī)發(fā)送單播數(shù)據(jù)。

　　●虛擬局域網(wǎng)并不能提供可靠的安全。

　　●一臺(tái)3層交換機(jī)能夠通過(guò)trunk提供多個(gè)虛擬局域網(wǎng)，并且為這些虛擬局域網(wǎng)提供路由。這可以完全在同一條線路上實(shí)現(xiàn)。

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論