交換機原理

交換機是根據網橋的原理髮展起來的，學習交換機先認識兩個概念：

衝突域是數據必然傳送到的區域。

HUB是無智慧型的信號驅動器，有入必出，整個由HUB組成的網路是一個衝突域。

交換機的一個接口下的網路是一個衝突域，所以交換機可以隔離衝突域。

廣播數據時可以傳送到的區域是一個廣播域。

交換機和集線器對廣播幀是透明的，所以用交換機和HUB組成的網路是一個廣播域。

路由器的一個接口下的網路是一個廣播域。所以路由器可以隔離廣播域。

常見的標準有：

10BASE-2 細纜乙太網

10BASE-5 粗纜乙太網

10BASE-T星型乙太網

100BASE-T 快速乙太網

星型乙太網採用雙絞線連線，雙絞線是8芯，分四組，兩芯一組絞在一起，故稱雙絞線。

8芯雙絞線只用其中4芯：1、2、3、6。

常見接線方式有兩種：

568B接線規範： 白橙 橙 白綠 藍 白藍 綠 白棕 棕

1 2 3 4 5 6 7 8

568A接線規範： 白綠 綠 白橙 藍 白藍 橙 白棕 棕

3 6 14 5 2 7 8

將568B的1和3對調，2和6對調，就得到568A。

兩邊採用相同的接線方式叫做平接，兩邊採用不同的接線方式叫扭接。

不同的設備之間連線，使用平接線；相同的設備連線使用扭接線。

電腦、路由器與集線器、交換機連線時使用平接線。

這是因為網線中的4條線，一對是輸入，一對是輸出，輸入應該與輸出對應。

如果將1和3連線，2和6連線，相當於自己的輸出送給自己的輸入。

這樣可以使網卡進入工作狀態，阻止空接口關閉，而影響有些程式的運行。

連線埠地址表記錄了連線埠下包含主機的MAC地址。連線埠地址表是交換機上電後自動建立的，

保存在RAM中，並且自動維護。

交換機隔離衝突域的原理是根據其連線埠地址表和轉發決策決定的。

交換機的轉發決策有三種操作：丟棄、轉發和擴散。

丟棄：當本連線埠下的主機訪問已知本連線埠下的主機時丟棄。

轉發：當某連線埠下的主機訪問已知某連線埠下的主機時轉發。

擴散：當某連線埠下的主機訪問未知連線埠下的主機時要擴散。

每個操作都要記錄下發包端的MAC地址，以備其它主機的訪問。

生存期是連線埠地址列表中表項的壽命。每個表項在建立後開始進行倒記時，每次傳送

數據都要刷新記時。對於長期不傳送數據的主機，其MAC地址的表項在生存期結束時刪除。

所以連線埠地址表記錄的總是最活躍的主機的MAC地址。

(4)應該說交換機有很多值得學習的地方，這裡我們主要介紹交換機結構及組網方式，21世紀10年代以來網路套用越來越廣泛，交換機作為網路中的紐帶發揮了越來越大的作用。簡單的說，交換機就是將它與用戶計算機相連就行了，完成各個計算機之間的數據交換。複雜來說，交換機針對在整個網路中的位置而言，一些高層交換機如三層交換、網管型的產品，在交換機結構方面就沒這么簡單了。

通常，普通的交換機只工作在數據鏈路層上，路由器則工作在網路層。而功能強大的三層交換機可同時工作在數據鏈路層和網路層，並根據 MAC地址或IP位址轉發數據包。但是要注意到三層交換機並不能完全取代路由器，因為它主要是為了實現處於兩個不同子網的Vlan進行通訊，而不是用來作數據傳輸的複雜路徑選擇。

一台交換機所支持的管理程度反映了該設備的可管理性與可操作性。帶網管功能的交換機可對每個連線埠的流量進行監測，設定每個連線埠的速率，關閉/打開連線埠連線。通過對交換機連線埠進行監測，便於對網路業務流量的區分和迅速進行網路故障定義，提高了網路的可管理性。

這是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。基於連線埠匯聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個連線埠並行連線同時傳輸以提供更高頻寬、更大吞吐量， 大幅度提供整個網路能力。

這是最常用的一種組網方式，它通過交換機上的級聯口（UpLink）進行連線。需要注意的是交換機不能無限制級聯，超過一定數量的交換機進行級聯，最終會引起廣播風暴，導致網路性能嚴重下降。

前面我們已接觸到連線埠聚合的特點，此種方式相當於用多個連線埠同時進行級聯，它提供了更高的互聯頻寬和線路冗餘，使網路具有一定的可靠性。

交換機的堆疊是擴展連線埠最快捷、最便利的方式，同時堆疊後的頻寬是單一交換機連線埠速率的幾十倍。但是，並不是所有的交換機都支持堆疊的，這取決於交換機的品牌、型號是否支持堆疊；並且還需要使用專門的堆疊電纜和堆疊模組；最後還要注意同一疊堆中的交換機必須是同一品牌。

這種方式一般套用於比較複雜的交換機結構中，按照功能可劃分為：接入層、匯聚層、核心層。

作為網路的重要連線設備，交換機在實際使用中相當頻繁。對於一般家庭用戶而言，比較複雜的套用就是交換機的級聯結構了；而三層路由、堆疊等高級套用一般在企業中套用較多。

(1)網橋協定數據單元：BPDU(Bridge Protocol Data Unit)

BPDU是生成樹協定交換機間通訊的數據單元，用於確定角色。

(2)網橋號：Bridge ID

交換機的標識號，它由優先權和MAC地址組成，優先權16位，MAC地址48位。

(3)根網橋：Root bridge

根網橋定義為網橋號最小的交換機，根網橋所有的連線埠都不會阻塞。

(4)根連線埠：Root port

非根網橋到根網橋累計路徑花費最小的連線埠，負責本網橋與根網橋通訊的接口。

(5)指定網橋：Designated bridge

網路中到根網橋累計路徑花費最小交換機，負責收發本網段數據。

(6)指定連線埠：Designated port

網路中到根網橋累計路徑花費最小的交換機連線埠，根網橋每個連線埠都是指定連線埠。

(7)非指定連線埠：NonDesignated port

餘下的連線埠是非指定連線埠，它們不參與數據的轉發，也就是被阻塞的連線埠。

(根連線埠是從非根網橋選出，指定連線埠是網段中選出)。

生成樹協定的狀態：

生成樹協定工作時，所有連線埠都要經過一個連線埠狀態的建立過程。

生成樹協定通過BPDU廣播，確定各交換機及其連線埠的工作狀態和角色，

交換機上的連線埠狀態分別為：關閉、阻塞、偵聽、學習和轉髮狀態。

(1)關閉狀態：Disabled 不收發任何報文，當接口空連線或人為關閉時處於關閉狀態。

(2)阻塞狀態：Blocking 在機器剛啟動時，連線埠是阻塞狀態(20秒)，但接收BPDU信息。

(3)偵聽狀態：listening 不接收用戶數據(15秒)，收發BPDU，確定網橋及接口角色。

(4)學習狀態：learning 不接收用戶數據(15秒)，收發BPDU，進行地址學習。

(5)轉髮狀態：Forwarding 開始收發用戶數據，繼續收發BPDU和地址學習,維護STP。

乙太網是匯流排或星型結構，不能構成環路，否則會產兩個嚴重後果：

(1)產生廣播風暴，造成網路堵塞。

(2)克隆幀會在各個口出現，造成地址學習(記錄幀源地址)混亂。

解決環路問題方案:

(1)網路在設計時，人為的避免產生環路。

(2)使用生成樹STP(Spanning Tree Protocol)功能，將有環的網路剪成無環網路。

STP被IEEE802規範為802.1d標準。

Virtual Lan是虛擬邏輯網路，交換機通過VLAN設定，可以劃分為多個邏輯網路，

從而隔離廣播域。具有三層模組的交換機可以實現VLAN間的路由。

(1)連線埠模式

交換機連線埠有兩種模式，access和trunk。access口用於與計算機相連，而交換機之間

的連線，應該是trunk。

交換機連線埠默認VLAN是VLAN1，工作在access模式。

Access口收發數據時，不含VLAN標識。具有相同VLAN號的連線埠在同一個廣播域中。

Trunk口收發數據時，包含VLAN標識。Trunk又稱為幹線，可以設定允許多個VLAN通過。

(2)VLAN中繼協定：

VLAN中繼協定有兩種：

ISL(Inter-Switch Link)： ISL是Cisco專用的VLAN中繼協定。

802.1q(dot1q)：802.1q是標準化的，套用較為普遍。

(3)VTP

VTP(Vlan Trunking Protocol)是VLAN傳輸協定，在含有多個交換機的網路中，可以

將中心交換機的VLAN信息傳送到下級的交換機中。

中心交換機設定為VTP Server，下級交換機設定為VTP Client。

VTP Client要能學習到VTP Server的VLAN信息，要求在同一個VTP域，並要口令相同。

(4)VLAN共享

如果要求某個VLAN與其他VLAN訪問，可以設定VLAN共享或主附VLAN。

共享模式的VLAN連線埠，可以成為多個VLAN的成員或同時屬於多個VLAN。

在主附VLAN結構中，子VLAN與主VLAN可以相互訪問，子VLAN間的連線埠不能互相訪問。

一般的VLAN間使用不同網路地址；主附VLAN中主VLAN和子VLAN使用同一個網路地址。

交換機的口令恢復的操作是先啟動超級終端，在交換機上電時按住的mode鍵，幾秒後鬆手，進入ROM狀態，將nvram中的配置檔案config.txt改名或刪除，再重啟。

參考命令為：

switch:rename flash:config.text flash:config.bak

switch:erase flash:config.text

路由器的口令恢復操作先啟動超級終端，在路由器上電時按計算機的Ctrl+Break鍵，

進入ROM監控狀態rommon>，用配置暫存器命令confreg設定參數值0x2142，跳過配置檔案

設定口令後再還原為0x2102。

參考命令為：

rommon>confreg 0x2142

router(config)#config-register 0x2102

沒有特權口令無法進入特權狀態，只能進入ROM監控狀態，使用confreg 0x2142命令。

當口令修改完後，可以在特權模式下恢復為使用配置檔案狀態。

使用MAC地址，完成對幀的操作。

交換機的IP位址做管理用，交換機的IP位址實際是VLAN的IP。

一個VLAN一個廣播域，不同VLAN的主機間訪問，相當於網路間的訪問，要通過路由實現。

不同VLAN間主機的訪問有以下幾種情況：

(1)兩個VLAN分別接入路由器的兩個物理接口。這是路由器的基本套用。

(2)兩個VLAN通過trunk接入路由器的一個物理接口，這是套用於子接口的單臂路由。

(3)使用具有三層交換模組的交換機。Cisco的3550和華為的3526都是基本的三層交換機。

1)通過VLAN的IP位址做網關，實現三層交換，要求設定VLAN的IP位址。

2)將連線埠設定在三層工作，要求連線埠設定no switchport，再設定連線埠的IP位址。

交換機通道技術是將交換機的幾個連線埠捆綁使用，即連線埠的聚合。

使用通道技術一個方面提高了頻寬，同時提高了線路的可靠性。

但是如果設定不當，有可能產生環路，造成廣播風暴堵塞網路。

要聚合的連線埠要劃分到指定的VLAN或trunk。

配置三層通道時，先要進入通道，再用no switchport命令關閉二層，設定通道IP位址。

一個通道一般小於8個接口，接口參數應該一致，如工作模式、封裝的協定、連線埠類型。

連線埠的聚合有兩種方式，一種是手動的方式，一個是自動協商的方式。

手動的方式很簡單，設定連線埠成員鏈路兩端的模式為“on”。命令格式為：

channel-group <number> mode on

自動方式有兩種類型：

PAgP(Port Aggregation Protocol)和LACP(Link aggregation Control Protocol)。

PAgP：Cisco設備的連線埠聚合協定，有auto和desirable兩種模式。

auto模式在協商中只收不發，desirable模式的連線埠收發協商的數據包。

LACP：標準的連線埠聚合協定802.3ad，有active和passive兩種模式。

active相當於PAgP的auto，而passive相當於PAgP的desirable。

通道連線埠間的負載平衡有兩種方式，基於源MAC的轉發和基於目的MAC的轉發。

scr-mac：源MAC地址相同的數據幀使用同一個連線埠轉發。

dst-mac：目的MAC地址相同的數據幀使用同一個連線埠轉發。

網路系統中的音頻、視頻、數據等信息的傳輸量充斥著占用頻寬，我們不得不為這些數據流量提供差別化的服務，讓時延敏感性的和重要的數據優先通過，這就不得不考慮第四層交換，以滿足基於策略調度、QoS（Quality of Service：服務質量）以及安全服務的需求。

第四層交換機不僅可以完成端到端交換，還能根據連線埠主機的套用特點，確定或限制它的交換流量。簡單地說，第四層交換機是基於傳輸層數據包的交換過程的，是一類基於TCP/IP協定套用層的用戶套用交換需求的新型區域網路交換機。第四層交換機支持TCP/UDP第四層以下的所有協定，可根據TCP/UDP連線埠號來區分數據包的套用類型，從而實現套用層的訪問控制和服務質量保證。可以查看第三層數據包頭源地址和目的地址的內容，可以通過基於觀察到的信息採取相應的動作，實現頻寬分配、故障診斷和對TCP/IP應用程式數據流進行訪問控制的關鍵功能。第四層交換機通過任務分配和負載均衡最佳化網路，並提供詳細的流量統計信息和記帳信息，從而在套用的層級上解決網路擁塞、網路安全和網路管理等問題，使網路具有智慧型和可管理。

OSI網路參考模型的第四層是傳輸層。傳輸層負責端到端通信，即在網路源和目標系統之間協調通信。在IP協定棧中這是TCP（傳輸控制協定）和UDP（用戶數據報協定）所在的協定層。TCP和UDP包含連線埠號，它可以唯一區分每個數據包包含哪些套用協定（例如HTTP、FTP、telnet等等）。TCP/UDP連線埠號提供的附加信息可以為網路交換機所利用，四層交換機利用這種信息來區分包中的數據，這是第四層交換的基礎

1．數據包過濾：在傳統路由器上，採用第四層信息連線埠號去定義訪問控制列表過濾規則。四層交換也借用了控制列表的概念，但和基於軟體的路由器不一樣，第四層交換是在ASIC專用高速晶片中實現的，從而使過濾控制可以線速進行。

2．服務質量：TCP/UDP第四層信息還可以用於建立套用通信的優先權。第四層交換允許用基於連線埠號（套用）來區分優先權，設定優先權佇列，確保重要的流量（如：VOIP、視頻）在得到最快的處理，使緊急套用獲得網路的高級別服務。

3．負載均衡：第四層交換負載均衡的原理，就是按照IP位址和TCP連線埠進行虛擬連線的交換，直接將數據包傳送到目的計算機的相應連線埠中。具備第四層交換能力的交換機，能作為一個硬體負載均衡器，完成伺服器的負載均衡。由於第四層交換基於硬體晶片，因此性能非常優秀，尤其是對於網路傳輸的速度，交換的速度遠遠超過普通的數據包轉發。採用第四層交換機設備，所有的集群主機通過第四層交換機與外部Internet相連，外部客戶防問伺服器時通過第四層交換機動態分配伺服器，實現動態負載均衡，當其中一台伺服器出現故障時，由交換機動態將所有流量分配到集群中的其他主機上,這類只適合在大型流量大的伺服器。

4．主機備用連線：主機備用連線為連線埠設備提供了冗餘連線，從而在交換機發生故障時有效保護系統，這種服務允許定義主備交換機，同虛擬伺服器定義一樣，它們有相同的配置參數。由於第四層交換機共享相同的MAC地址，備份交換機接收和主單元全部一樣的數據。這使得備份交換機能夠監視主交換機服務的通信內容。主交換機持續地通知備份交換機第四層的有關數據、MAC數據以及它的電源狀況。主交換機失敗時，備份交換機就會自動接管，不會中斷對話或連線。

5．統計與報告：通過查詢第四層數據包，第四層交換機能夠提供更詳細的統計記錄。因為管理員可以收集到更詳細的哪一個IP位址在進行通信的信息，甚至可根據通信中涉及到哪一個套用層服務來收集通信信息。當伺服器支持多個服務時，這些統計對於考察伺服器上每個套用的負載尤其有效。增加的統計服務對於使用交換機的伺服器負載均衡服務連線同樣十分有用。包含詳盡的實時報告和歷史紀錄報告，全面的報告功能為管理員提供了對頻寬資源的充分掌握，從而使企業可以作出更合適的業務決策。

第四層交換機在業界有一通用的名字叫做“套用交換機”，比較有名的有如下幾款：

美國的F5公司的BIG-IP 2400系列鏈路套用交換機可實定製負載平衡，流量優先權安排，基於政策的流量引導，來源、目的地和套用交換。

Radware公司的Web Server Director套用交換機可保障伺服器群的完全可用性、最佳化運行以及完備的安全性，從而保證網路和數據中心範圍內的套用能獲得高度可靠性和性能。

美國Foundry公司 ServerIronGT-C2404F套用交換機可實現全局伺服器負載均衡,高性能 VPN/防火牆負載均衡，透明快取交換，鏈路負載均衡，防DoS攻擊保護伺服器。

隨著網路信息系統由小型到中型到大型的發展趨勢，交換技術也由原來最初的基於MAC地址的交換，發展到基於IP位址的交換，進一步發展到基於IP+連線埠的交換，本文對第四層交換技術作了一個比較全面的介紹，如今也有產品更提出了第七層交換。可見，網路交換技術的不斷發展使得原來由基於數據的交換變成了基於套用的交換，不僅提高了網路的訪問速度，而且不斷地最佳化了網路的整體性能。