以太网 Ethernet:IEEE 802.3 局域网协议
(Ethernet LAN protocols as defined in IEEE 802.3 suite)
IEEE 802.3u (100Base-T)是100兆比特每秒以太网的标准。100Base-T技术中可采用3类传输介质,即100Base-T4、100Base-TX和100Base-FX,它采用4B/5B编码方式
1000 Mbps:千兆位以太网 802.3z
10千兆位以太网:IEEE 802.3ae
IEEE 802.1X标准定义了基于端口的网络访问控制,可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败,使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的,但是其已经过改编以便在IEEE 802.11无线局域网上应用。Windows XP支持对所有基于局域网的网络适配器使用IEEE 802.1X身份验证,包括以太网络适配器和无线网络适配器。
802.1X定义了以下术语:
• 端口访问实体
• 身份验证者(Authenticator)
• 申请者(Supplicant)
• 身份验证服务器
端口访问实体
端口访问实体(port access entity,PAE)也称为局域网端口,是一个与某个端口相关联的支持IEEE 802.1X协议的逻辑实体。局域网端口可以充当身份验证者或申请者的角色,或者同时充当这两个角色。
身份验证者
身份验证者是一个局域网端口,用以在允许访问可那些通过该端口进行访问的服务之前强制身份验证。对于无线连接,身份验证者是无线访问点(AP)上的逻辑局域网端口,操作在基础结构模式下的客户端就通过该端口访问有线网络。
申请者
申请者是一个局域网端口,用以请求访问那些通过身份验证者来访问的服务。对于无线连接,申请者就是无线局域网网络适配器上请求访问有线网络的逻辑局域网端口。它是通过首先与一个身份验证者关联,然后再验证自己的身份来完成访问请求的。
不管它们是用于无线连接还是用于有线以太网连接,申请者和身份验证者都由一个逻辑或物理的点对点局域网网段连接起来。
身份验证服务器
为了检验申请者的凭证,身份验证者使用了一个身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭证,然后向身份验证者作出响应,指出申请者是否被授权访问身份验证者的服务。身份验证服务器可以是:
• AP的一个组件。
AP必须使用一组对应于正在尝试连接的客户端的用户凭证集来配置。这对于无线AP来说通常是无法实现的。
• 一个单独的实体。
AP把用于连接尝试的凭证转发到一台单独的身份验证服务器。通常,无线AP使用“远程身份验证拔入服务(RADIUS)”协议将连接尝试的参数发送到一台RADIUS服务器。
--------------------------------------------------------------------------------------------------
802.1Q:虚拟 LAN 桥接交换协议 (Virtual LAN Bridging Switching Protocol)
虚拟局域网(VLAN)是指位于一个或多个局域网的设备经过配置能够像连接到同一个信道一样进行通信,而实际上它们分布在不同的局域网段中。由于 VLAN 基于逻辑连接而不是物理连接,所以它可以提供灵活的用户/主机管理、带宽分配以及资源优化等服务。
从技术角度讲,VLAN 一般有以下四种划分方法:
基于端口的 VLAN:为每个物理交换端口配置一个访问列表标示其 VLAN 成员关系。
基于 MAC 地址的 VLAN:为交换机配置一个访问列表,将各个 MAC 地址映射到 VLAN 成员关系。
基于协议的 VLAN:为交换机配置一个访问列表,将第三层协议类型映射到 VLAN 成员关系,这样就可以过滤掉来自于像使用 IPX 的终端站的 IP 流量。
ATM VLAN:使用 LAN 仿真(LANE)协议将以太网数据包映射到 ATM 信元上,并通过以太网 MAC 地址映射到 ATM 地址的方式将数据包发送到目的地。
IEEE 802.1Q 规范为标识带有 VLAN 成员信息的以太帧建立了一种标准方法。IEEE 802.1Q 标准定义了 VLAN 网桥操作,从而允许在桥接局域网结构中实现定义、运行以及管理 VLAN 拓朴结构等操作。 802.1Q 标准主要用来解决如何将大型网络划分为多个小网络,如此广播和组播流量就不会占据更多带宽的问题。此外 802.1Q 标准还提供更高的网络段间安全性。
IEEE 802.1Q 完成以上各种功能的关键在于标签。支持 802.1Q 的交换端口可被配置来传输标签帧或无标签帧。一个包含 VLAN 信息的标签字段可以插入到以太帧中。如果端口有支持 802.1Q 的设备(如另一个交换机)相连,那么这些标签帧可以在交换机之间传送 VLAN 成员信息,这样 VLAN 就可以跨越多台交换机。但是,对于没有支持 802.1Q 设备相连的端口我们必须确保它们用于传输无标签帧,这一点非常重要。很多 PC 和打印机的 NIC 并不支持 802.1Q ,一旦它们收到一个标签帧,它们会因为读不懂标签而丢弃该帧。在 802.1Q 中,用于标签帧的最大合法以太帧大小已由 1,518 字节增加到 1,522 字节,这样就会使网卡和旧式交换机由于帧“尺寸过大”而丢弃标签帧。
-------------------------------------------------------------------------------------------------
IEEE 802.1p:(LAN Layer 2 QoS/CoS Protocol for Traffic Prioritization ) 有关流量优先级的 LAN 第二层 QoS/CoS 协议 IEEE 802.1P 规范使得第二层交换机能够提供流量优先级和动态组播过滤服务。优先级规范工作在媒体访问控制(MAC)帧层(OSI 参考模型第二层)。802.1P 标准也提供了组播流量过滤功能,以确保该流量不超出第二层交换网络范围。
802.1P 协议头包括一个3位优先级字段,该字段支持将数据包分组为各种流量种类。IEEE 极力推荐网络管理员实施这些流量种类,但它并不要求强制使用。流量种类也可以定义为第二层服务质量(QoS)或服务类(CoS),并且在网络适配器和交换机上实现,而不需要任何预留设置。802.1P 流量被简单分类并发送至目的地,而没有带宽预留机制。
802.1P 是 IEEE 802.1Q (VLAN 标签技术)标准的扩充协议,它们协同工作。IEEE 802.1Q 标准定义了为以太网 MAC 帧添加的标签。VLAN 标签有两部分:VLAN ID (12比特)和优先级(3比特)。 IEEE 802.1Q VLAN 标准中没有定义和使用优先级字段,而 802.1P 中则定义了该字段。
-----------------------------------------------------------------------------------------
STP:生成树协议 - IEEE 802.1D (Spanning Tree Protocol - IEEE 802.1D)
生成树协议(Spanning Tree)定义在 IEEE 802.1D 中,是一种链路管理协议,它为网络提供路径冗余同时防止产生环路。为使以太网更好地工作,两个工作站之间只能有一条活动路径。网络环路的发生有多种原因,最常见的一种是有意生成的冗余 - 万一一个链路或交换机失败,会有另一个链路或交换机替代。
STP 允许网桥之间相互通信以发现网络物理环路。该协议定义了一种算法,网桥能够使用它创建无环路(loop-free)的逻辑拓朴结构。换句话说,STP 创建了一个由无环路树叶和树枝构成的树结构,其跨越了整个第二层网络。
生成树协议操作对终端站透明,也就是说,终端站并不知道它们自己是否连接在单个局域网段或多网段中。当有两个网桥同时连接相同的计算机网段时,生成树协议可以允许两网桥之间相互交换信息,这样只需要其中一个网桥处理两台计算机之间发送的信息。
网桥之间通过桥接协议数据单元(Bridge Protocol Data Unit - BPDU)交换各自状态信息。生成树协议通过发送 BPDU 信息选出网络中根交换机和根节点端口,并为每个网段(switched segment)选出根节点端口和指定端口。
网桥中的程序能够决定如何使用生成树协议,这称为生成树算法,该算法能够避免网桥环路,并确保在多路径情形下网桥能够选择一条最有效的路径。如果最佳路径失败,可以使用该算法重新计算网络路径并找出下一条最佳路径。
利用生成树算法可以决定网络(哪台计算机主机在哪个区段),并通过 BPDU 信息交换以上数据。该过程主要分为以下两个步骤:
步骤1:通过评估它所接收到的所有配置信息和选择最优选项,来决定一个网桥可发送的最佳信息。
步骤2:一旦选定某网桥发送的信息,网桥将该信息与来自无根(non-root)连接的可能配置信息相比较。如果步骤1中选择的最佳选项并不优于可能配置信息,便删除该端口。
-----------------------------------------------------------------------------------------------------
IEEE 802.1w 快速生成树协议
IEEE 802.1s 中定义的多生成树协议
--------------------------------------------------------------------------------------------
每个交换机的技术说明中,都会说到自己的MAC地址是多少个,比方说4K个。
一个设备的IP地址占交换机MAC地址表的多少K?
4K表示条项,也就是能记录最多4096个MAC地址,交换机下面挂的每个设备的MAC地址占用其中的1条。
如果有三台交换机A与B和C,A为主交换机,B、C以级联的方式连接到A上的1、2口,那是不是说明在A交换机的1口与2口会记录下所有的B与C交换机中的设备的MAC地址?
是,只要它收到的数据帧里来自B/C下面的主机,它就会记下来。
如果是,那么交换机B会不会记录C交换机中设备的MAC地址呢?
会,只要它收到过来自C所连设备发来的数据帧。
如果在主交换机的MAC地址池中记录不下了怎么办?是不是会产生大量的广播?
一般情况下这是不会发生的。几千台耶!常用的交换机下面哪会挂这么多设备啊?
还有,广播不是这一层的概念。交换机如果不用VLAN是控制不了广播的。当不知道所收到的数据帧该往哪个端口转发时,交换机会把它转发到接收端口以外的所有端口(Flooding)。
如果交换机之间是堆叠或是菊花链式堆叠,而不是级联会怎么样?
对MAC列表的处置是一样的。
------------------------------------------------------------------------------------------------------
vlan 最主要的功能是2层环境中来实现对3层广播范围的控制
本文出自 “cisco network” 博客,转载请与作者联系!