CCNA 認證/交換機

一種用於連線不同網路型別或相同型別網路的第二層裝置。它對映每個網段上駐留的節點的乙太網地址，並只允許必要的流量透過網橋。發往同一個網段的資料包會被丟棄。這種“儲存轉發”機制會在做出決策之前檢查整個乙太網資料包。不幸的是，它無法過濾廣播流量。此外，它在處理幀時引入了 20% 到 30% 的延遲。網橋只能連線兩個網路。網橋是交換機中必不可少的裝置。

交換機是第二層裝置（*它可以是第三層及以上*），可以連線四個、六個、八個甚至更多網路。交換機是唯一允許微分段的裝置。直通式交換機執行速度更快，因為當一個數據包進來時，它會在檢視目標地址後立即轉發它。儲存轉發交換機在轉發之前會檢查整個資料包。大多數交換機無法阻止廣播流量。交換機被認為是專用的資料鏈路裝置，因為它們接近 100% 的頻寬。雖然網橋的大部分工作都是由軟體完成的，但交換機使用 ASIC 硬體來處理大部分工作。交換機可以看作是多埠網橋。

在進行任何轉發之前，整個幀都會被接收。目標和/或源地址會被讀取，並且過濾器會在幀被轉發之前應用。在幀被接收時會發生延遲；對於較大的幀來說，延遲更大，因為整個幀需要更長的時間才能讀取。錯誤檢測很高，因為交換機在等待整個幀被接收時有時間檢查錯誤。這種方法會丟棄小於 64 位元組的幀（短幀）和大於 1518 位元組的幀（長幀）。

交換機在接收整個幀之前會讀取目標地址。然後，幀會在整個幀到達之前被轉發。這種模式會減少傳輸的延遲，並且錯誤檢測能力較差。這種方法有兩種形式，快速轉發和無碎片。

快速轉發交換透過在接收到目標地址後立即轉發幀來提供最低級別的延遲。由於快速轉發交換不會檢查錯誤，因此有時幀可能會在有錯誤的情況下被轉發。雖然這種情況很少發生，並且目標網路介面卡在接收到故障幀時會丟棄它。在衝突率高的網路中，這可能會對可用頻寬產生負面影響。

使用無碎片選項來減少帶有錯誤的轉發幀中的衝突數量。在快速轉發模式下，延遲是從接收到的第一個位元到傳送的第一個位元測量，或者先入先出 (FIFO)。無碎片交換會在轉發開始之前過濾掉衝突碎片，這些碎片是大多數資料包錯誤。在正常工作的網路中，衝突碎片必須小於 64 位元組。大於 64 位元組的任何內容都是有效資料包，通常可以無錯誤地接收。無碎片交換會在接收到的幀被確定為非衝突碎片後才轉發幀。在無碎片中，延遲被測量為 FIFO。

虛擬區域網，通常稱為 vLAN 或 VLAN，是一種在物理網路中建立獨立邏輯網路的方法。多個 VLAN 可以共存於這樣的網路中。這有助於減少廣播域，並透過分離不應使用 LAN 交換資料的 LAN 的邏輯段（如公司部門）來幫助網路管理（它們仍然可以透過 VLAN 間路由交換資料）。

VLAN 由一個計算機網路組成，這些計算機的行為就好像連線在同一條線上一樣，即使它們實際上可能連線在 LAN 的不同網段上。網路管理員透過軟體而不是硬體配置 VLAN，這使得它們非常靈活。VLAN 最大的優勢之一齣現在將計算機物理移動到另一個位置時：它可以保留在同一個 VLAN 上，而無需任何硬體重新配置。

• 增加廣播域的數量，但減少每個廣播域的大小，這反過來減少了網路流量並提高了網路安全性（在單個大型廣播域的情況下，這兩種情況都會受到阻礙）。
• 減少建立子網的管理工作量。
• 減少硬體需求，因為網路可以邏輯地而不是物理地分離。
• 增強對多種流量型別的控制。

當前用於配置虛擬區域網的主要協議是 IEEE 802.1Q，它描述瞭如何在單個物理網路上透過在每個幀或資料包中新增額外的位元組來標記資料包屬於哪個虛擬網路，從而將流量劃分為虛擬區域網。

在 802.1Q 標準推出之前，存在一些專有協議，例如思科的 ISL（交換機間鏈路，IEEE 802.10 的變體）和 3Com 的 VLT（虛擬區域網中繼）。思科不再支援 ISL。

早期的網路設計人員通常配置 VLAN，目的是減小大型單個乙太網段中的衝突域大小，從而提高效能。當乙太網交換機使這不再成為問題（因為它們沒有衝突域）時，人們將注意力轉向減小 MAC 層的廣播域大小。虛擬網路還可以用於限制對網路資源的訪問，而無需考慮網路的物理拓撲，儘管這種方法的有效性仍然存在爭議，因為 VLAN 跳躍是繞過此類安全措施的常用方法。

虛擬區域網在 OSI 模型的第二層（資料鏈路層）工作。但是，管理員通常將 VLAN 配置為直接對映到 IP 網路或子網，這給人的感覺是涉及第三層（網路層）。

在 VLAN 的背景下，術語“中繼”表示承載多個 VLAN 的網路鏈路，這些 VLAN 透過插入其資料包中的標籤（或“標記”）來標識。這種中繼必須在支援 VLAN 的裝置的“標記埠”之間執行，因此它們通常是交換機到交換機或交換機到路由器的鏈路，而不是到主機的鏈路。（令人困惑的是，術語“中繼”也用於思科稱為“通道”的東西：鏈路聚合或埠中繼）。路由器（第三層交換機）充當跨不同 VLAN 的網路流量的骨幹。

在思科裝置上，VTP（VLAN 中繼協議）允許 VLAN 域，這有助於管理任務。VTP 還允許“修剪”，它涉及僅將特定 VLAN 流量定向到具有目標 VLAN 上的埠的交換機。

正在使用的分配 VLAN 成員資格的四種方法是

• 基於埠：手動將交換機埠配置為 VLAN 的成員。為了將埠連線到多個 VLAN（例如，跨越多個交換機的 VLAN 鏈路），埠必須是中繼的成員。一個埠上只能設定一個 VLAN 為未標記；交換機會將此 VLAN 的標記新增到接收到的未標記幀中，並從傳輸的幀中刪除此 VLAN 的標記。
• 基於 MAC：VLAN 成員資格基於工作站的 MAC 地址。交換機有一個表，其中列出了每臺機器的 MAC 地址以及它所屬的 VLAN。
• 基於協議：幀中的第三層資料用於確定 VLAN 成員資格。例如，IP 機器可以分類為第一個 VLAN，AppleTalk 機器可以分類為第二個 VLAN。這種方法的主要缺點是它違反了層的獨立性，因此，例如，從 IPv4 升級到 IPv6 將導致交換機出現故障。
• 基於身份驗證：可以使用 802.1x 協議根據使用者或裝置的身份驗證憑據將裝置自動置於 VLAN 中。

基於埠的 VLAN 交換機透過檢查接收傳輸的埠的配置或讀取資料幀標記頭的部分內容來確定資料幀的成員資格。頭中的一個四位元組欄位用於標識 VLAN。此 VLAN 標識指示幀屬於哪個 VLAN。如果幀沒有標記頭，交換機將檢查接收幀的埠的 VLAN 設定。如果交換機已配置為支援基於埠的 VLAN，它將為新幀分配埠的 VLAN 標識。

生成樹網路協議為任何橋接的 LAN 提供無環拓撲。生成樹協議，也稱為STP，在 IEEE 標準 802.1D 中定義。生成樹基於 Radia Perlman 在數字裝置公司工作時發明的演算法。STP 用於交換網路以防止迴圈，並已由 IEEE 802.1D 標準化。顧名思義，它在安裝人員形成的網狀網路中找到一個生成樹，無論是有意建立還是無意建立，並停用該樹中不屬於該樹的連結。STP 有兩種不同的標準：IEEE 和 DEC。IEEE 最常見，建議在網路中使用。在同時實施了兩種 STP 標準的網路中可能會出現問題。兩種標準都可能選舉自己的根橋並導致拓撲迴圈。兩種標準處理橋協議資料單元（見下文）的方式也不同。

如果多個開放路徑同時處於活動狀態，則會出現一些問題。首先，由廣播資料包在交換機之間迴圈引起的廣播風暴會減少可用的 CPU 資源和頻寬（許多現代網橋可以檢測和限制這種影響，儘管它通常仍然會導致連線中斷）。其次，交換機使用的傳統基於源的定位系統（過濾資料庫）將無法正常工作。但是，良好的網路設計應包括備用（冗餘）連結，以在一條連結發生故障時提供備用路徑。因此，交換網路中需要生成樹。

• 選舉根橋。
• 找到到根橋的路徑。
• 確定到根橋的最低成本（以所有遍歷埠成本的總和衡量）路徑。
• 停用所有其他根路徑。

每個交換機都有一個唯一的識別符號（ID）和一個可配置的優先順序編號；這兩個編號共同構成橋接標識或 BID。BID 用於根據最低優先順序編號選舉根橋；如果出現平局，則數值最低的 ID 獲勝。因為兩個 ID 幾乎不可能相同（它們是唯一分配的），所以應該始終成功選舉一個交換機作為根橋，優先順序/成本排名第二的交換機將作為次級（備份）根橋。使用生成樹的網路中的其他交換機會使用相同的演算法過程來計算到根橋的最短路徑，從而生成無環樹拓撲，其中存在多個到根橋的路徑。優先順序編號通常保留在預設值，但可以重新配置為更低的編號，如果網路管理員希望選舉特定的交換機；否則，整個過程將完全自動化。橋接 ID 是橋接優先順序編號和交換機 MAC 地址的串聯。橋接優先順序編號範圍從 0 到 65535。管理成本最低的交換機將被選為根橋。

BID 和其他生成樹協議資訊包含在稱為橋協議資料單元 (BPDU) 的特殊資料幀中。BPDU 定期交換（預設情況下每 2 秒交換一次），使交換機能夠跟蹤網路變化並根據需要啟用或停用埠。當裝置首次連線到交換機埠時，它不會立即開始轉發資料。相反，它將在處理 BPDU 並確定網路拓撲結構時經歷多個狀態。當主機連線到交換機時（例如計算機、印表機或伺服器），埠將始終進入轉發狀態，儘管它會在經過監聽和學習狀態（見下文）大約 30 秒的延遲後進入轉發狀態。在監聽和學習狀態中花費的時間由一個稱為轉發延遲的值決定（預設值為 15 秒，由根橋設定）。但是，如果連線的是另一個交換機，則如果確定埠會導致網路迴圈，則埠可能會保留在阻塞模式。拓撲變化通知 (TCN) BPDU 用於通知其他交換機埠更改。TCN 由非根交換機注入到網路中，並傳播到根。收到 TCN 後，根交換機將在其正常 BPDU 中設定拓撲變化標誌。此標誌將傳播到所有其他交換機，以指示它們快速清除其轉發表條目。

STP 交換機埠狀態

• 監聽 - 交換機處理 BPDU 並等待可能導致它返回到阻塞狀態的新資訊。
• 學習 - 雖然埠尚未轉發幀（資料包），但它確實從接收到的幀中學習源地址並將其新增到過濾資料庫（交換資料庫）中
• 阻塞 - 會導致交換機迴圈的埠，不會發送或接收使用者資料，但如果使用的其他連結發生故障，並且生成樹演算法確定埠可以過渡到轉發狀態，則它可能會進入轉發模式。在阻塞狀態下，BPDU 資料仍被接收。
• 轉發 - 接收和傳送資料的埠，正常執行。STP 仍然監控傳入的 BPDU，這些 BPDU 會表明它應該返回到阻塞狀態以防止迴圈。
• 停用 - 嚴格來說不屬於 STP，網路管理員可以手動停用埠

為了防止在將主機連線到交換機和某些拓撲更改期間的延遲，快速生成樹協議 (RSTP) 由 IEEE 802.1w 開發並標準化，允許交換機埠在這些情況下快速過渡到轉發狀態。

在存在多個虛擬區域網 (VLAN) 的乙太網交換環境中，生成樹可以針對每個虛擬區域網進行部署。思科對該技術的名稱是*每個 VLAN 的生成樹* (PVST 和 PVST+，這是思科交換機使用的預設協議)。PVST 和 PVST+ 協議都是思科專有協議，不能在第三方交換機上使用。PVST 僅與 ISL 協同工作，因為其嵌入式生成樹 ID。由於 IEEE 802.1Q] 中繼標準的普及以及 PVST 與 802.1Q 的不相容，思科重新定義了其 PVST 標準並將其稱為 PVST+。

1998 年，IEEE 推出了生成樹協議的演變版本：快速生成樹協議 (RSTP) 或 802.1w。在 2004 版的 802.1D 中，STP 被 RSTP 取代。

RSTP 是生成樹協議的演變版本；它是在擴充套件 IEEE 802.1w 中引入的，並且在拓撲更改後提供更快的生成樹收斂。標準 IEEE 802.1D-2004 現在包含 RSTP 並棄用 STP。

RSTP 網橋埠角色

• 根 - 一個已為生成樹拓撲選擇的轉發埠
• 指定 - 每個 LAN 段的轉發埠
• 備用 - 到根網橋的備用路徑。此路徑不同於使用根埠。
• 備份 - 到一個段的備份/冗餘路徑，另一個網橋埠已經連線到該段。
• 停用 - 嚴格來說不屬於 STP，網路管理員可以手動停用埠

RSTP 是 STP 的改進版本，因此共享其大多數基本操作特性。但是，有一些顯著的區別，如下總結

• 根交換機故障的檢測是在 3 個 hello 時間內完成的，如果預設 hello 時間沒有更改，則為 6 秒。
• 如果埠連線到沒有其他網橋連線的 LAN，則可以將其配置為邊緣埠。這些邊緣埠直接過渡到轉發狀態。RSTP 繼續監視埠以檢視 BPDUs，以防連線網橋。RSTP 也可以配置為自動檢測邊緣埠。一旦網橋檢測到 BPDU 傳輸到邊緣埠，該埠就會成為非邊緣埠。
• 與 STP 不同，RSTP 將響應從根網橋方向傳送的 BPDU。RSTP 網橋將向其指定埠“提議”其生成樹資訊。如果另一個 RSTP 網橋收到此資訊，確定這是更高級別的根資訊，並將所有其他埠設定為丟棄。網橋可能會發送“確認”到第一個網橋，確認其更高級別的生成樹資訊。第一個網橋在收到此確認後，知道可以快速將該埠過渡到轉發狀態，繞過傳統的偵聽/學習狀態過渡。這實質上建立了從根網橋開始的級聯效應，其中每個指定網橋向其鄰居提議，以確定它是否可以快速過渡。這是 RSTP 能夠比 STP 實現更快收斂時間的主要因素之一。
• 如上所述的埠角色詳細資訊中所討論的，RSTP 保持有關埠丟棄狀態的備份詳細資訊。如果當前轉發埠發生故障或在某個時間間隔內沒有在根埠上收到 BPDU，這將避免超時。

多生成樹協議 (MSTP)，最初在 IEEE 802.1s 中定義，後來合併到 IEEE 802.1Q-2003 中，定義了 RSTP 協議的擴充套件，以進一步提高虛擬區域網 (VLAN) 的實用性。這個“每個 VLAN”的多生成樹協議為每個 VLAN 組配置一個單獨的生成樹，並阻止每個生成樹中冗餘的鏈路。

如果網路中只有一個虛擬區域網 (VLAN)，則單個（傳統）STP 能夠正常工作。如果網路包含多個 VLAN，則由單個 STP 配置的邏輯網路能夠正常工作，但可以透過為不同的（組）VLAN 使用備用生成樹來更好地利用可用的冗餘鏈路。

MSTP 允許形成 MST 區域，這些區域可以執行多個 MST 例項 (MSTI)。多個區域和其他 STP 網橋透過一個單一的公共生成樹 (CST) 相互連線。

MSTP 的靈感來自思科系統的多例項生成樹協議 (MISTP)，是生成樹協議和快速生成樹協議的演變版本。它在 IEEE 802.1s 中作為 1998 版 802.1Q 的修訂版被引入。標準 IEEE 802.1Q-2003 現在包含 MSTP。

與某些專有的每個 VLAN 的生成樹實現不同，MSTP 將其所有生成樹資訊包含在一個單獨的 BPDU 格式中。這不僅減少了 LAN 上用於為每個 VLAN 傳達生成樹資訊所需的 BPDU 數量，而且還確保與 RSTP（實際上也與經典 STP）的向後相容性。MSTP 透過在標準 RSTP BPDU 之後編碼附加的區域資訊以及多個 MSTI 訊息（從 0 到 64 個例項，儘管在實踐中許多網橋支援更少）來實現這一點。這些 MSTI 配置訊息中的每一個都傳達每個例項的生成樹資訊。每個例項都可以分配多個配置的 VLAN，並且當幀（資料包）分配給這些 VLAN 時，無論何時它們在 MST 區域內，它們都在此生成樹例項中執行。為了避免在每個 BPDU 中傳達其完整的 VLAN 到生成樹對映，網橋在其 MSTP BPDU 中編碼其 VLAN 到例項表 MD5 雜湊。然後，其他 MSTP 網橋使用此雜湊以及其他管理配置值來確定相鄰網橋是否與其位於同一個 MST 區域。

MSTP 與 RSTP 網橋完全相容，因為 MSTP BPDU 可以被 RSTP 網橋解釋為 RSTP BPDU。這不僅允許與 RSTP 網橋相容而無需進行配置更改，而且還導致任何 MSTP 區域之外的 RSTP 網橋將該區域視為一個單獨的 RSTP 網橋，無論區域本身內部有多少個 MSTP 網橋。為了進一步促進將 MST 區域視為單個 RSTP 網橋的這種觀點，MSTP 協議使用一個稱為剩餘跳數的變數作為生存時間計數器，而不是 RSTP 使用的訊息年齡計時器。訊息年齡時間僅在生成樹資訊進入 MST 區域時增加一次，因此 RSTP 網橋將該區域視為生成樹中的一個“跳數”。連線到 RSTP 或 STP 網橋或端點的 MST 區域邊緣的埠被稱為邊界埠。與 RSTP 一樣，可以將這些埠配置為邊緣埠，以促進連線到端點時轉發狀態的快速更改。

維基百科 在 區域網交換 中包含相關資訊

維基百科 在 VLAN 中包含相關資訊

維基百科 在 生成樹協議 中包含相關資訊