计算机网络原理.docx

1、计算机网络原理第四部分 网络设备4.1 网络设备概述一台计算机作为端系统联网，需要解决两方面的问题：首先，它要加入一个局域网；其次，为了能与远方的端系统通信，还必须解决它所在的局域网与别的网络互联的问题。局域网只有物理层和数据链路层，不需要网络层。局域网（尤其是已经占据统治地位的以太网）使用共享介质，网上所有端系统之间是全连通的。这就使局域网的通信子网节点只需要物理层和数据链路层，通常使这个节点与端系统结合在一起，这个节点就是端系统联网所必需的网络接口卡NIC（Network Interface Card），简称网卡，也叫网络适配器。当端系统与局域网的共享介质距离比较远时，可能需要采用别的介质

2、，如专用线、电话信道、光纤、无线信道等来连接端系统和局域网。随端系统发送的二进制位变化的电流要么能在专用线或电话信道上传输足够远（因为信号电流的衰减），要么根本不能直接在光纤上或以电磁波发送。这就需要将随端系统二进制位变化的电信号转变为适合在所采用的介质上传输的信号，这个过程称为调制（Modulation），调制信号到了对方，再从接收到的信号中提取出原来的二进制位，这个过程称为解调（Demodulation）。为了支持全双工通信，每一方需要一个调制器用于发送数据，还需要一个解调器用于接收数据。为降低成本以及更易于安装和操作，一般将两者结合在单个设备中，称其为调制解调器，其英文缩写为Modem。

3、互联的计算机网络中的计算机能够互相通信，它们已经组成了一个更大的计算机网，称为互联网（Internet）。互联在一起的网络要进行通信，需要解决很多问题，如不同的寻址方案，不同的最大分组长度，不同的网络访问（或接入）机制，不同的超时控制，不同的差错控制，不同的路由选择技术，不同的拥塞和流量控制方法，不同的报告状态的方法，不同的服务，不同的管理与控制机制以及不同的安全机制等。为了解决互联的网络间的上述差别，通用的方法是用一些转换设备在互联的网络之间进行协议转换，从而达到网络间的互联互通。ISO称上述转换设备为中继系统（Relay System，RS）。根据中继系统所在的层次，可以有以下几种中继系统

4、。物理层中继系统，即转发器或重发器（Repeater），在介质段上逐个复制二进制位；数据链路层中继系统，桥接器或网桥（Bridge），在局域网间存储转发帧；网络层中继系统，路由器（Router），在网络间存储转发分组；网络层以上的中继系统，称为网关（Gateway），用网关连接两个不兼容的网络，需要在高层进行协议转换。用于物理层的中继系统成为重发器，具有多个端口的重发器则则称为集线器（Hub）；用于数据链路层的中继系统称为网桥，具有多个端口的网桥称为二层交换机，或者简称交换机；具有路由功能的交换机称为三层交换机。三层交换机与路由器的主要区别在于：路由器主要用软件来实现路由能力，三层交换机则主要

5、用硬件实现，因而迅速的多。基于CSMA/CD的以太网已经成为最广泛使用的以太网技术，而且在未来几十年中可能仍然如此。可以说，Internet对于广域网意味着什么，以太网对局域网就意味着什么，因此，我们在文中对于局域网的讨论仅限于以太网。4.2物理层设备中继器是在网络中用于延伸计算机之间距离的设备。中继器也用于不同缆线类型之间的转换。集线器是一个多端口的中继器，为网络设备提供集中连接和物理介质扩展。这一节介绍中继器和集线器的主要特性。 它们都是物理层的设备。4.2.1中继器中继器对比特操作并拓展物理媒介的长度。中继器运行在OSI模型的物理层上，如图4.1所示。因为物理层与比特有关，中继器的工作就

6、是要重发比特。如果在一个中继器的输入端口上收到一个较弱的“1”比特，中继器的输出上就再生一个较强的“1”比特。类似的，如果在一个中继器的输入端口上收到一个较弱的“0”比特，中继器的输出上就再生一个较强的“0”比特。传统的中继器只有两个端口，一收一发。 中继器是最简单的网络互联设备，主要完成物理层的功能，负责在两个节点的物理层上按位传递信息，完成信号的复制、调整和放大功能，以此来延长网络的长度。它在OSI参考模型中的物理层。一般情况下，中继器的两端连接的是相同的媒体，但有的中继器也可以完成不同媒体的转接工作。从理论上讲中继器的使用是无限的，网络也因此可以无限延长。事实上这是不可能的， 因为网络标

7、准中都对信号的延迟范围作了具体的规定，中继器只能在此规定范围内进行有效的工作，否则会引起网络故障。4.2.2集线器 集线器为网络设备互连提供中心连接点。中继器可以放置在线路的中间，起信号放大作用。也可以使用中继器连接两台设备，因为中继器具有两个端口，在后来的应用中，我们需要把更多的设备连接到一起，而中继器最多只能连接两台设备。而集线器就可以连接更多的设备，集线器可以称为是多端口的中继器。集线器采用了专门的芯片，进行自适应串音回波抵消。这样就可以使端口转发出去的较强信号的回波不致对该端口接收到的较弱信号产生干扰。数据在转发之前还要进行再生整形并重新定时。集线器有许多的端口，每个端口通过RJ-45

8、插座用两对双绞线与一个工作站上的网卡相连。因此说，集线器是多端口的中继器。集线器的每个端口都具有发送和接收数据的能力。当集线器的某个端口接收到工作站发来的有效数据帧时，就将数据帧转送到所有其他端口，然后发送给其他各个工作站。若两个端口同时有信号输入，集线器就向所有的端口发送干扰信号。冲突域所谓冲突，就是在总线上同时有多个机器在传送数据，从而造成数据包的碰撞。一个冲突域由所有能够看到同一个冲突或者被该冲突涉及到的设备组成。以太网使用C S M A / C D（Carrier Sense Multiple Access with Collision Detection，带有冲突监测的载波侦听多址访

9、问）技术来保证同一时刻，只有一个节点能够在冲突域内传送数据。根据前面的描述，我们知道使用集线器作为中心节点连接网络中的多个节点时，当任何节点开始发送数据的同时，由于集线器将无差别的将数据转发给所有其他的节点，因此如果此时有设备发送了数据，将在集线器连接的整个区域形成冲突，并且集线器连接的所有设备也将看到这一冲突并且受到此冲突的影响而延迟一段时间再发送数据。因此我们把由物理层设备连接到一起的所有设备所构成的范围称为一个冲突域，即集线器和中继器的所有端口在同一个冲突域中。4.3 数据链路层设备4.3.1网桥网桥用于分割数据流以提高网络的整体性能。网桥也用来提供跨广域的连接。虽然网桥的流行性正因为交

10、换技术的广泛使用而在不断下降，仍然是当今计算机网络中常见的设备。 网桥工作在OSI模型的数据链路层，有时称为“第二层设备”或“链路层设备”。网桥对网络和高层来说是完全透明的。网桥使用帧地址做出桥接决策。网桥比中继器复杂的多。网桥判断入帧的目标设备是否位于产生这个帧的网段中。如果是，网桥就不把帧前向转发到其它的网桥端口,这是一个过滤的例子。如果帧的目标地址位于另一个网段，网桥就将帧发往正确的网段。这就是所谓的转发。网桥有多种形状和大小。最简单的网桥就是在个人计算机（PC）上与小型LAN网段相连的适配卡（NIC）。最复杂的网桥将一种类型的帧转换成另一种类型的帧，并且/或者将帧以很高的速度发送到很长

11、的距离之外。如果一个LAN分为两个网段，每个网段的利用率将近似为原来的一半。网桥可以用来连接这两个部分，如图4.2所示，需要流经网桥的数据流相对比例较小。网络分割的效果称为“数据流分割”，是控制网络利用率的一种工具。4.3.2交换机网桥和交换机的好处在于其可以隔离冲突域，每个端口就是一个冲突域，因此在一个端口单独接计算机的时候，该计算机是不会与其它计算机产生冲突的，也就是带宽是独享的，交换机能做到这一点关键在于其内部的总线带宽是足够大的，可以满足所有端口的全双工状态下的带宽需求，并且通过类似电话交换机的机制保护不同的数据包能够到达目的地，可以把集线器和交换机比喻成单排街道与高速公路。交换机通过

12、有选择的转发二层数据帧来提高网络利用率。当一个交换机如图4.3所示的那样连接几个LAN网段时，就是一个网段交换设备。当一个帧从节点A发送到节点E时，交换机把帧从端口1发送到端口3。在这里，端口2和端口4仍是空闲的，可以以全速率10Mbps发送帧。如果节点A向节点B发送一个帧，交换机将该帧限制在一个单独的网段，这个网段包含节点A和节点B。这就是交换机的帧转发和过滤功能。交换机通过分析帧中的目标MAC地址、并将各个帧交换到正确的端口上来实现这些操作。因为交换机工作在数据链路层，所以将其视为第二层交换设备。当一个交换机第一次开机时，它像一个标准的被动集线器那样广播各个帧。交换机查看各个帧有没有新的源

13、地址，如果有的话，就将这些地址加入到交换机的内存表中，这样，过了一段时间，交换机就建立起一张帧地址和端口号的关联表，如图4.4所示。如果一个目标MAC地址为A的帧进入交换机（如图4.4中MAC A），交换机就把该帧发送到端口1。如果一个目标MAC地址为E的帧进入交换机，交换机就把该帧发送到端口3。交换机可能会同时在多个网段之间交换帧。例如，如果在图4.5中的交换机收到一个来自节点E发往节点G的帧，同时还收到一个来自节点A发往节点D的帧时，可以同时交换这两个帧。这样对于相关拓扑结构的LAN就得到了两倍于常规LAN带宽的网络效应。当一个交换机接收到一个帧时，如果帧中的目标地址不在交换机的内存中，交

14、换机就像集线器一样把这个帧发送给所有的端口。如果交换机接收到一个带有广播（或多播）地址的帧时，也会把帧发送给所有端口（或所有属于这个帧对应的多播组的端口）。广播域一个广播域由所有能够看到一个广播数据包的设备组成。一个路由器，构成一个广播域的边界。网桥能够延伸到的最大范围就是一个广播域。缺省的情况下，一个网桥或交换机的所有端口在同一个广播域中。一般情况下，一个广播域代表一个逻辑网段。4.3.2.1交换机的基本功能在企业和校园网环境中，交换机除了是汇接各种网络终端的集结点之外，针对各种网络数据帧，其操作和功能都将有所区别。本节将对交换机在局域网环境中的基本功能进行讨论。地址学习（address l

15、earning）前面我们曾经提到交换机的工作原理，其实质是保存有一份供交换机随时查询的“查询表”，即我们说的“端口地址表”，本小节将详细说明交换机如何在没有人工干预的情况下形成动态的“端口地址表”。简单的说，交换机可以记住在一个接口上所收到的数据帧的源MAC地址，并将此MAC地址与接收端口的对应关系存储到MAC地址表中。交换机采用的算法是逆向学习法（backward learning）。交换机按混杂的方式工作，故它能看见所连接的任一物理网段上传送的帧。查看源地址即可知道在哪个物理网段上可访问哪台机器，于是在MAC地址表中添上一项。在交换机加电启动之初，MAC地址表为空。由于交换机不知道任何目的

16、地的位置，因而采用扩散算法（flooding algorithm）：把每个到来的目的地不明的帧输出到此交换机的所有其它端口并通过这些端口发送到其所连接的每一个物理网段中（除了发送该帧的物理网段）。随着发送数据帧的站点的逐渐增多，一段时间之后，交换机将了解每个站点与交换机端口的对应关系。这样当交换机收到一个到达某一个站点的数据帧之后，就可以根据这个对应关系找到相应的端口进行定向的发送了。当计算机和交换机加电、断电或迁移时，网络的拓扑结构会随之改变。为了处理动态拓扑问题，每当增加MAC地址表项时，均在该项中注明帧的到达时间。每当目的地已在表中的帧到达时，将以当前时间更新该项。这样，从表中每项的时间

17、即可知道该机器最后帧到来的时间。交换机中有一个进程定期地扫描MAC地址表，清除时间早于当前时间若干分钟的全部表项。这样，从物理网段上取下一台计算机，并在别处重新连到物理网段上，在几分钟内，它即可重新开始正常工作而无需人工干预。这个算法同时也意味着，如果机器在几分钟内无动作，那么发给它的帧将不得不被发送到各个端口，一直到它自己发送出一帧为止。当交换机加电自检成功后，交换机开始侦测各端口下连接的设备，如图4.6所示，当交换机启动成功后，一旦A、B、C互相访问，以及A、B、C访问F，期间的数据流必然会以广播的形式被交换机接收到，当交换机接收到数据后，首先把数据帧的源MAC地址给拆下来，如果在交换机内

18、部的存储器中没有A、B、C、F的MAC地址，交换机会自动把这些地址记录并存储下来，同时，把这些MAC地址所表示的设备和交换机的端口对照起来。保存下来的这些信息被称为MAC地址表。转发/过滤决定（forward/filter decisions）到达帧的出口选择过程取决于源所在的物理网段（源物理网段）和目的地所在的物理网段（目的物理网段），如下所示：（交换机的一个端口即连接一个物理网段）1) 如果源物理网段和目的物理网段相同，则丢弃该帧；2) 如果源物理网段和目的物理网段不同，则转发该帧；3) 如果目的物理网段未知，则进行扩散。当交换机某个接口上收到数据帧，就会查看目的MAC，并检查MAC地址表

19、，从指定的端口转发数据帧。对于端口过滤（port filtering）而言，交换机上的每个端口都对应一个冲突域。交换机将过滤（即丢弃）那些目的地址与源地址相同的数据帧，以避免本地数据帧影响网络上的正常通信。控制非法数据帧的侵入是指交换机将丢弃任何一个发往或者来自某个被保护的MAC地址（由用户指定）的数据帧。这些过滤机制将包括：1) 动态过滤（dynamic filtering）：自动学习并更新MAC地址表。用以将本地的数据流限定在所属的网段内。2) MAC地址过滤（MAC address filtering）：手动设定需过滤的MAC地址。3) VLAN过滤：从一个VLAN（如VLAN 2）中的

20、某个成员发往另外一个VLAN（VLAN 3）的数据帧将被过滤掉。交换机具有学习网络的构成情况，并根据学习到的信息进行转发数据帧的能力。由于交换机仅将数据帧发送给目的地址，而不是发送给网段内的所有地址，所以可以有效地减少网段内的拥塞。例如，如果端口1收到一个欲发送给连接在端口2上的某个站点的数据帧，那么，交换机只会将此数据帧发送给端口2，而不会发给任何其他端口。考察一下流进交换机的数据帧在交换机的内部是如何被处理的。如图4.7所示，两台交换机分别连接了计算机A、B、C、E、F、G、U、V、W。正如前面所介绍的，当交换机启动成功以后且网线连接正常的情况下，交换机M 、N首先会在内部形成自己的MAC

21、地址表。假如计算机A想和计算机B通信，在交换机端口4的一侧，计算机A发出去的数据会在端口4的一侧以广播的形式发送，这样，计算机B和计算机C以及端口4都能收到该广播包，但只有计算机B响应这一通信请求。由于计算机A和B同在端口4的一侧，该广播包不会被蔓延到端口4以外的其他端口。所以说，一个交换机的端口的一侧划分一个冲突域的边界。正是由于交换机具有这种特性，使得端口之间的广播流量被降到了最小的限度。也就是说，端口一侧的冲突不会影响另外一个端口的工作。如果计算机A想和计算机U和计算机F通信的情况。首先，由计算机A发出的数据先在端口4的一侧查找目的地址，如果没有找到，它才会把数据扩散到其他能够到达的通往

22、目的地的潜在端口，比如，一个级联端口或同一VLAN中的其他端口。这样，由计算机A发出的数据帧最终会被扩散到端口3，找到计算机U，然后，数据被传到端口2、端口1，找到计算机F。避免环路（loop avoidance）如果为了提供冗余而创建了多个连接，网络中可能产生回路，交换机使用STP（spanning tree protocol，生成树协议）避免环路。在局域网中，为了提供可靠的网络连接，就得需要网络提供冗余链路。所谓“冗余链路”，道理和走路一样，这条路不通，走另一条路就可以了。冗余就是准备两条以上的通路，如果哪一条不通了，就从另外的路走。“冗余链路”的危害交换机之间具有冗余链路本来是一件很好的

23、事情，但是它有可能引起的问题比它能够解决的问题还要多。如果你真的准备两条以上的路，就必然形成了一个环路，交换机并不知道如何处理环路，只是周而复始地转发帧，形成一个“死循环”，如图4.8所示。最终这个死循环会造成整个网络处于阻塞状态，导致网络瘫痪。1、广播风暴如下图所示的网络中在工作站和服务器之间为了提供冗余链路形成了两条路径，我们分析从工作站到服务器的数据帧发送过程。1、 工作站发送的数据帧到达交换机A和B。2、 当A、B刚刚加电，查询表还没有形成的时候，A、B收到此帧的第一个动作是在查询表中添加一项，将工作站的物理地址分别与A的E1和B的E3 对应起来。第二个动作则是将此数据帧原封不同的发送

24、到所有其它的端口。3、 此数据帧从A的E2和B的E4发送到服务器所在网络，服务器可以收到这个数据帧，但同时B的E4 和A的E2也均会收到另一台交换机发送过来的同一个数据帧。4、 如果此时在两台交换机上还没有学习到服务器的物理地址与各自端口的对应关系，则当两台交换机分别在另一个端口收到同样一个数据帧的时候，它们又将重复前一个动作，即先把帧中源地址和接收端口对应，然后发送数据帧给所有其它端口。5、 这样我们发现在工作站和服务器之间的冗余链路中，由于存在了第二条互通的物理线路，从而造成了同一个数据帧在两点之间的环路内不停的被交换机转发的状况，这就是广播风暴的形成过程。6、 2、MAC系统失效7、 第

25、2层的交换机和网桥作为交换设备都具有一个相当重要的功能，他们能够记住在一个接口上所收到的每个数据帧的源设备的硬件地址，也就是源MAC地址，而且他们会把这个硬件地址信息写到转发/过滤表的MAC数据库中，这个数据库我们一般称之为MAC地址表。当在某个接口收到数据帧的时候，交换机就查看其目的硬件地址，并在MAC地址表中找到其外出的接口，这个数据帧只会被转发到指定的目的端口。8、 整个网络开始启动的时候，交换机初次加电，还没有建立MAC地址表。如图4.9所示，当工作站发送数据帧到网络的时候，交换机要将数据帧的源MAC地址写进MAC地址表，然后只能将这个帧扩散到网络中，因为它并不知道目的设备在什么地方。

26、于是交换机A的E1接口和交换机B的E3接口都会把工作站发来的数据帧的源MAC地址写进各自的MAC地址表，交换机A用E1接口对应工作站的源MAC，而交换机B用E3接口对应工作站的源MAC；同时将数据帧广播到所有的端口。E2收到该数据帧，也进行扩散，会扩散到E4上，交换机B收到这个数据帧，也会将数据帧的源MAC地址写到自己的MAC地址表，发现MAC地址表中已经具有了这个源MAC地址，但是它会认为值得信赖的是最新发来的消息，它会改写MAC地址表，用E4对应工作站的源MAC地址；同理交换机A也在E2接口收到该数据帧，会用E2对应工作站的MAC地址，改写MAC地址数据帧继续上行，交换机B的E3接口又会从

27、交换机A的E1接口收到该帧，因此又会用E3对应源MAC。同时，交换机A的E1接口又会从交换机B的E3接口收到该帧，因此又会用E1对应源MAC；周而复始，交换机完全被设备的源地址搞糊涂了，它不断用源MAC地址更新MAC地址表，根本没有时间来转发数据帧了，这种现象我们称之为MAC地址系统失效。解决办法生成树协议为了解决冗余链路引起的问题，IEEE通过了IEEE802.1d协议，即生成树协议。生成树协议的根本目的是将一个存在物理环路的交换网络变成一个没有环路的逻辑树形网络。IEEE802.1d协议通过在交换机上运行一套复杂的算法STA（spanning-tree algorithm），使冗余端口置于

28、“阻断状态”，使得接入网络的计算机在与其他计算机通讯时，只有一条链路生效，而当这个链路出现故障无法使用时，IEEE802.1d协议会重新计算网络链路，将处于“阻断状态”的端口重新打开，从而既保障了网络正常运转，又保证了冗余能力。对于一个存在环路的物理网络而言，若想消除环路，形成一个树形结构的逻辑网络即可。一个树形网络首要解决的问题就是：哪台交换机可以作为“根”。STP协议中，首先推举一个Bridge ID（桥ID）最低的交换机作为生成树的根节点，交换机之间通过交换BPDU（桥协议数据单元），获取各个交换机的参数信息，得出从根节点到其他所有节点的最佳的路径。Bridge ID是8个字节长，包含了

29、2个字节的优先级和6个字节的设备MAC地址，STP默认情况下，优先级都是32768，BPDU每2秒发送一次，桥ID最低的将被选举为根桥。对于其它交换机到根交换机的冗余的链路，根据各个端口的开销，决定端口开销最低的链路加到生成树中，如图4.10所示。IEEE802.1w为什么要制定IEEE802.1w协议呢？原来，IEEE802.1d协议虽然解决了链路闭合引起的死循环问题，但是生成树的收敛（指重新设定网络中的交换机端口状态）过程需要50秒左右的时间。对于以前的网络来说，50秒的阻断是可以接受的，毕竟人们以前对网络的依赖性不强，但是现在情况不同了，人们对网络的依赖性越来越强，50秒的网络故障足以带

30、来巨大的损失，因此IEEE802.1d协议已经不能适应现代网络的需求了。于是新的协议问世了，IEEE802.1w协议使收敛过程由原来的50秒减少为现在的4秒左右，因此IEEE802.1w又称为“快速生成树协议”。对于现在的网络来说，这个速度足够快了。4.3.2.2 VLAN技术原理与应用VLAN（virtual local area network，虚拟局域网）是一组逻辑上的设备或用户，可根据功能、部门、应用等因素将这些设备或用户组成群体而无需考虑它们所处的物理段位置，可以通过软件在交换机上对VLAN进行配置。VLAN没有形成一个标准，需要交换机厂商的相应软件来支持。如图4.11所示，如果在一

31、个多媒体教学楼中存在两个机房位于不同层，而且又在安排机房时与外语系的语音室处于同一个楼层内，这样为了保证计算机房与语音室的相对独立，又能够使不同楼层的语音室和计算机房处于同一个网络内，就需要划分对应的VLAN，使计算机房连接的不论在哪个楼层的端口都处在同一个VLAN内，而语音室连接的不论在哪个楼层的端口都处在另一个VLAN内，这样就能保证它们之间的数据互不干扰，也不影响各自的通信效率了。为什么要划分VLAN： 基于网络性能考虑：大型网络中有大量的广播信息，如果不加以控制，会使网络性能急剧下降，甚至产生广播风暴，使网络阻塞。因此需要采用VLAN将网络分割成多个广播域，将广播信息限制在每个广播域内

32、，从而降低了整个网络的广播流量，提高了性能。 基于安全性的考虑：在规模较大的网络系统内，各网络节点的数据需要相对保密。譬如公司的网络中，财务部门的数据不应该被其他部门的人员采集到，可以通过划分VLAN进行部门隔离，不同的部门使用不同的VLAN，可以实现一定的安全性。 基于组织结构考虑：同一部门的人员分布在不同的地域，需要数据的共享，则可以跨地域（跨交换机）将其设置在同一个VLAN中。VLAN的优点： 能减少在解决移动、添加和修改等问题时的管理开销。 提供控制广播活动的功能。 支持工作组和网络的安全性。 利用现有的集线器以节省开支。基于端口的VLAN基于端口的VLAN就是以交换机上的端口为划分VLAN的操作对象，将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的站点同一个子网里，不同的VLAN之间进行通信需要通过路由器。采用这种方式的VLAN其不足之处是灵活性不好。例如，当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个VLAN，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。如图4