零、IEEE 802.1簡介
IEEE 802.1是一組協定的集合,如生成樹協定、VLAN協定等。為了將各個協定區別開來,IEEE在制定某一個協定時,就在IEEE 802.1後面加上不同的小寫字母,如IEEE 802.1a定義區域網路體系結構;IEEE 802.1b定義網際互連,網路管理及定址;IEEE 802.1d定義生成樹協定;IEEE 802.1p定義優先權佇列;IEEE 802.1q定義VLAN標記協定;IEE 802.1s定義多生成樹協定;IEEE 802.1w定義快速生成樹協定;IEEE 802.1x定義區域網路安全認證等。一、IEEE 802.1D
1、IEEE 802.1D簡介
為了解決“廣播風暴”這一在二層數據網路中存在弊端,IEEE(電機和電子工程師學會)制定了IEEE 802.1d的生成樹(Spanning Tree)協定。生成樹協定是一種鏈路管理協定,為網路提供路徑冗餘,同時防止產生環路。為使乙太網更好地工作,兩個工作站之間只能有一條活動路徑。STP(生成樹協定)允許網橋之間相互通信以發現網路物理環路。該協定定義了一種算法,網橋能夠使用它創建無環路(loop-free)的邏輯拓樸結構。換句話說,STP創建了一個由無環路樹葉和樹枝構成的樹結構,其跨越了整個第二層網路。
2、工作原理
STP協定中定義了根橋(Root Bridge)、根連線埠(Root Port)、指定連線埠(Designated Port)、路徑開銷(Path Cost)等概念,目的就在於通過構造一棵自然樹的方法達到裁剪冗餘環路的目的,同時實現鏈路備份和路徑最最佳化。用於構造這棵樹的算法稱為生成樹算法 SPA。 要實現這些功能,網橋之間必須要進行一些信息的交流,這些信息交流單元就稱為配置訊息BPDU。STP BPDU是一種二層報文,目的MAC是多播地址01-80-C2-00-00-00,所有支持STP協定的網橋都會接收並處理收到的BPDU報文。該報文的數據區里攜帶了用於生成樹計算的所有有用信息。STP的主要不足表現在:二層數據網的收斂時間過長;網路拓撲容易引起全局波動;缺乏對現有多 VLAN 環境的支持。具體不足和所採用的增強技術參見局介紹。
二、IEEE 802.1p協定
IEEE 802.1P是流量優先權控制標準,工作在媒體訪問控制(MAC)子層,使得二層交換機能夠提供流量優先權和動態組播過濾服務。IEEE 802.1p標準也提供了組播流量過濾功能,以確保該流量不超出第二層交換網路範圍。IEEE 802.1p協定頭包括一個3位優先權欄位,該欄位支持將數據包分組為各種流量種類。它是IEEE 802.1q(VLAN標籤協定)標準的擴充協定,它們協同工作。IEEE 802.1q標準定義了為乙太網MAC幀添加的標籤。VLAN 標籤有兩部分:VLAN ID(12比特)和優先權(3比特)。IEEE 802.1q VLAN標準中沒有定義和使用優先權欄位,而IEEE 802.1p中則定義了該欄位。
IEEE 802.1p中定義的優先權有8種。最高優先權為7,套用於關鍵性網路流量;優先權6和5主要用於延遲敏感(delay-sensitive)應用程式;優先權4到1主要用於受控負載(controlled-load)應用程式;優先權0是預設值,在沒有設定其它優先權值的情況下自動啟用。
三、IEEE 802.1q協定
IEEE 802.1q協定也就是“Virtual Bridged Local Area Networks”(虛擬橋接區域網路,簡稱“虛擬區域網路”)協定,主要規定了VLAN的實現方法。1、VLAN簡介
“Virtual LANs”(虛擬區域網路)目前發展很快,世界上主要的大網路廠商在他們的交換機設備中都實現了VLAN協定。在一個支持VLAN技術的交換機中,可以將它的乙太網口劃分為幾個組,比如生產組、工程組、市場組等。這樣,組內的各個用戶就像在同一個區域網路內(可能各組的用戶位於很多的交換機上,而非一個交換機)一樣,同時,不是本組的用戶就無法訪問本組的成員,在一定程度上提高了各組的網路安全性。VLAN成員的定義可以分為4種,即根據連線埠劃分VLAN;根據MAC地址劃分VLAN;根據網路層劃分VLAN;根據IP組播劃分。
2、協定簡介
IEEE 802.1q協定為標識帶有VLAN成員信息的以太幀建立了一種標準方法。IEEE802.1q標準定義了VLAN網橋操作,從而允許在橋接區域網路結構中實現定義、運行以及管理VLAN拓撲結構等操作。IEEE 802.1q標準主要用來解決如何將大型網路劃分為多個小網路,如此廣播和組播流量就不會占據更多頻寬的問題。此外IEEE 802.1q標準還提供更高的網路段間安全性。IEEE802.1q完成這些功能的關鍵在於標籤。支持IEEE 802.1q的交換連線埠可被配置來傳輸標籤幀或無標籤幀。一個包含VLAN信息的標籤欄位可以插入到以太幀中。如果連線埠有支持IEEE 802.1q的設備(如另一個交換機)相連,那么這些標籤幀可以在交換機之間傳送VLAN成員信息,這樣VLAN就可以跨越多台交換機。但是,對於沒有支持IEEE 802.1q設備相連的連線埠我們必須確保它們用於傳輸無標籤幀。在IEEE 802.1q中,用於標籤幀的最大合法以太幀大小已由1518位元組增加到1522位元組,這樣就會使網卡和舊式交換機由於幀“尺寸過大”而丟棄標籤幀。具體幀格式參見書中介紹。
四、IEEE 802.1w協定
為了解決前面介紹的STP協定缺陷,在20世紀初IEEE推出了802.1w標準。它同樣是屬於生成樹協定類型,稱之為“快速生成樹協定”,作為對802.1D標準的補充。之所以要制定IEEE 802.1w協定的原因是IEEE 802.1d協定雖然解決了鏈路閉合引起的死循環問題,但是生成樹的收斂(過程仍需比較長的時間。1、協定原理
IEEE 802.1w RSTP的特點是將許多思科增值生成樹擴展特性融入原始IEEE 802.1d中,如Portfast、Uplinkfast和Backbonefast。IEEE 802.1w協定通過利用一種主動的網橋到網橋握手機制,取代 IEEE 802.1d根網橋中定義的計時器功能,提供了交換機(網橋)、交換機連線埠(網橋連線埠)或整個LAN的快速故障恢復功能。RSTP協定在STP協定基礎上做了以下兩個重要改進,使得收斂速度快得多(最快1秒以內) 。
IEEE 802.1w設定了快速切換用的替代連線埠(Alternate Port)和備份連線埠(Backup Port)兩種角色,當根連線埠/指定連線埠失效的情況下,替代連線埠/備份連線埠就會無時延地進入轉髮狀態。
減少轉發延時
使用了RSTP協定後,在只連線了兩個交換連線埠的點對點鏈路中,指定連線埠只需與下游網橋進行一次握手就可以無時延地進入轉髮狀態。
2、IEEE 802.1w標準的缺陷
RSTP的主要缺陷表現在以下三個方面:由於整個交換網路只有一棵生成樹,在網路規模比較大的時候會導致較長的收斂時間,拓撲改變的影響面也較大。
在網路結構不對稱的時候, RSTP協定的單生成樹就會影響網路的連通性。
當鏈路被阻塞後將不承載任何流量,造成了頻寬的極大浪費,這在環行城域網的情況下比較明顯。
五、IEEE 802.1s協定
IEEE 802.1s標準中的多生成樹(MSTP)技術把IEEE 802.1w快速單生成樹(RSTP)算法擴展到多生成樹,這為虛擬區域網路(VLANs)環境提供了快速收斂和負載均衡的功能,是IEEE 802.1 VLAN標記協定的擴展協定。1、MSTP工作原理
IEEE802.1s引入了IST(Single Spanning Tree,單生成樹)概念和MST實例。IST是一種RSTP實例,它擴展了MST區域內的802.1D單一生成樹。IST連線所有MST網橋,並從邊界連線埠發出、作為貫穿整個網橋域的虛擬網橋。MST實例(MSTI)是一種僅存在於區域內部的RSTP實例。它可以預設運行RSTP,無須額外配置。不同於IST的是,MSTI在區域外既不與BPDU互動,也不傳送BPDU。MSTP可以與傳統和PVST+交換機互操作。採用MSTP技術,可以通過幹道(trunks)建立多個生成樹,關聯VLANs到相關的生成樹進程,而且每個生成樹進程具有獨立於其它進程的拓撲結構。MSTP還提供了多個數據轉發路徑和負載均衡,提高了網路容錯能力,因為一個進程(轉發路徑)的故障不會影響其它進程(轉發路徑)。
每台運行MST的交換機都擁有單一配置,包括一個字母數字式配置名、一個配置修訂號和一個4096部件表,與潛在支持某個實例的各4096 VLAN相關聯。作為公共MSTP區域的一部分,一組交換機必須共享相同的配置屬性。重要的是要記住,配置屬性不同的交換機會被視為位於不同的區域。
2、MSTP的主要特性
MSTP具有下列特性:MSTP在MSTP區中運行IST常量;
一個運行MSTP的橋提供與單生成樹橋的互操作性;
MSTP在每個區內建立和維護額外的生成樹。
六、IEEE 802.1x協定
IEEE 802.1x也稱為“基於連線埠的訪問控制協定”(Port based network access control protocol)。它的體系結構包括三個重要的部分:Supplicant System(客戶端系統)、Authenticator System(認證系統)、Authentication Server System(認證伺服器系統)。“客戶端系統”一般為一個用戶終端系統。該終端系統通常要安裝一個客戶端軟體,用戶通過啟動這個客戶端軟體發起IEEE 802.1x協定的認證過程。
“認證系統”通常為支持IEEE 802.1x協定的網路設備。該設備對應於不同用戶的連線埠有兩個邏輯連線埠:受控(controlled Port)連線埠和不受控連線埠(uncontrolled Port)。
“認證伺服器系統”通常為RADIUS伺服器,該伺服器可以存儲有關用戶的信息,比如用戶所屬的VLAN、CAR參數、優先權、用戶的訪問控制列表等等