语源科技BlogJava-我的专业是网络工程

深入了解基于标记的802.1Q的交换机处理数据帧的转发机制

Johnica — Sun, 24 Sep 2006 16:18:00 GMT

请教一个问题
一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC
数据包发生了怎么样的变化,很是迷惑,赐教！

郑璐老师:

Tag 为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；
ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；

这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下 几个IEEE802.1Q协议的定理 ；
1 、下面是定义的各种端口类型对各种数据帧的处理方法 ；

              Tagged 数据帧   Tagged数据帧     Untagged数据帧         Untagged数据帧
                 in     out in out
Tagged端口     原样接收     原样发送按端口PVID打TAG标记    按照PVID打TAG标记
Untagged端口    丢弃    去掉TAG标记按端口PVID打TAG标记    原样发送

2 、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；

3 、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；

4 、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；

5 、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；

6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；

以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：

1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；

2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；

在了解了以上的基础理论之后，我们在来看一下楼主的问题：

一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？

我们先把上述的描述变换为IEEE802.1Q的标准描述：

一个数据包从PC机发出经过（Untagged 数据帧）

ACCESS端口（PVID定义为100，VID=100=Untagged Port）->

TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->

另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->

另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->

PC数据包发生了怎么样的变化？（Untagged 数据帧）

首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；

由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；

由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；

到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；

另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；

另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；

这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；

另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；

这样PC机就收到了这个数据；

Johnica 2006-09-25 00:18 发表评论

对交换机端口模式的理解

Johnica — Wed, 20 Sep 2006 19:48:00 GMT

接触了一些cisco和3com的交换机,我想说说我对交换机端口模式的理解

思科cisco的multivlan和trunk是可以令一个端口同时属于多个vlan,但multivlan只是在很少交换机(3750)或早期交换机有得配.新版本ios交换机几乎都没有此模式配端口了.
配了trunk就只能是用于交换机之间或者交换机与路由器之间相连.用于交换机与路由器相连时,一般是作Vlan间路由用.而用于交换机之间相连是作交换机间共享VLAN信息用.

华为3com有些交换机就有端口的hybrid属性和trunk属性.也可以令一个端口同时属于多个vlan,但hybrid属性灵活,可以连主机.甚至在实现VLAN间访问控制时挺特别.有关知识请参考华为3com的资料.

multi
Set the port to multi-VLAN port mode. The port operates as a nontrunking VLAN interface that transmits and receives nonencapsulated frames. A multi-VLAN port can be assigned to one or more VLANs.
(multivlan是不加tag的
仅部分交换机支持switchport multi vlan {add vlan-list | remove vlan-list} 也就是表明CISCO不怎么推荐用此模式)

trunk
Set the port to a trunking VLAN Layer-2 interface. The port transmits and receives encapsulated (tagged) frames that identify the VLAN of origination. A trunk is a point-to-point link between two switches or between a switch and a router.

到此对交换机端口的模式(或属性)作了简单介绍.希望对你有些帮助.

Johnica 2006-09-21 03:48 发表评论

ip包,ip数据包,数据包或者包的理解

Johnica — Wed, 20 Sep 2006 04:52:00 GMT

首先看看以下这段话:
路由器把需到达的网络的网络号保存在路由表中，当一个IP数据报被路由器接收到时，路由器先从该IP数据报中取出目的站点的IP地址，根据IP地址计算出目的站点所在网络的网络号，然后用网络号去查找路由表以决定通过哪一个接口（线路）转发该IP数据报。

　　根据TCP/IP协议，路由器的数据包转发具体过程是：网络接口接收数据包，这一步由网络物理层处理，即把经编码调制后的数据信号还原为数据。根据网络物理接口，路由器调用相应的链路层功能模块，以解释处理此数据包的链路协议报头。这一步处理比较简单，主要是对完整性的验证，如CRC校验、帧长度检查。在链路导层完成对数据帧的完整性验证后，路由器开始处理此数据帧的IP层。这一过程是路由器功能的核心。根据数据帧IP包头的目的的IP地址，路由器在路由表中查找下一跳的IP地址，IP数据包头的TTL域开始减数，并计算新校验和（Check-sum）。根据路由表中所查到的下一跳IP地址，将IP数据包送往相应的输出链路层，封装上相应的链路层包头，最后经输出网络物理接口发送出去。

现在来理解:
ip包----网络层的包,有自己的格式
ip数据包-------即ip包
包-------即数据包.通常我们说什么包转发率,掉包等概念,也就是网络设备(如路由器,网卡等)就是针对它来说,也以说是数据包(包含了MAC地址等帧有的信息)
数据包--------这个概念就有时挺模糊了,所以一般不说.即不能说它一定就是ip数据包或帧。

以下结合两个命令例子来说明上面的概念理解：
（1）win2003server里的网络监视器是对网络数据进行分析，可以从网络中获取帧，这些网络数据就可以叫包（包含帧信息），而非ip数据包。

（2）ping命令中参数l英文意思是send buffer size(默认是32即32bytes)，也就是改变发送的数据分组的字节数。例如ping -l 24 www.163.com ，其中24就是发送的ip数据包的长度，而非帧长度。这条命令用于测试与MTU相关的网络故障。（大多数设备为1500，单位是byte，本机MTU小于等于网关的MTU，数据才不会分拆。）

Johnica 2006-09-20 12:52 发表评论

由XP与VMware互联,看虚拟网卡地址分配问题

Johnica — Tue, 12 Sep 2006 06:31:00 GMT

问题:
主机采用XP系统，在该系统中安装VMWARE，之后在VMWARE中安装了2KSERVER。现需要让主机与虚拟机实现互联（即在主机的网上邻居中能看见虚拟机2KSERVER）。我的方法是将主机XP系统中的网卡属性中的TCP/IP中的IP ADRESS 设置为192。168。0。1。再将虚拟网卡中的VMNET8的IP ADRESS 192。168。0。2另一块虚拟网卡被禁用。2。在虚拟2KSERVER中将网卡的IP ADRESS设为192。168。0。3网络采用NAT方式连接。以上方法不能实现主机与虚拟机的互联。请敬分析原因。

分析解决:
主机网卡不能配制成使用192.168.0.1。因为网络采用NAT方式连接时，虚拟机里的网卡与vmnet8接到同一个交换机上，而主机网卡并没有接到该交换机上。（为了更好地理解网络，请参考联机用户手册，host virtual network mapping）。当主机网卡、vmnet8、虚拟机网卡采用同一ip地址段时，由于ms-windows的路由选择策略（涉及到tcp/ip技术），xp会将发往虚拟机的ip数据发送到主机网卡出口，由于主机网卡并没有和虚拟机网卡连接，所以虚拟机就收不到主机的数据，造成通信失败。为了证明我的观点，你可以在主机上执行命令：route add 192.168.0.3 mask 255.255.255.255 192.168.0.2，就能恢复主机和虚拟机的通信。该命令的意思是，将发送到192.168.0.3（虚拟机）的数据从192.168.0.2接口vmnet8）上发送出去。

VMware虚拟网卡地址分配问题:
我们常说的桥接指的是虚拟机里的网卡和主机的真实网卡（或说非vmware虚拟的网卡）相连接。对虚拟机里只配置了一块网卡的情形来说，桥接方式就是要将主机真实网卡和虚拟机里的网卡配置到一个ip段里面。仅主机方式就是将vmnet1和虚拟机里的网卡配置到一个ip段里面，nat方式就是将vmnet8和虚拟机里的网卡配置到一个ip段里面。因为默认情况下vmware的虚拟网卡所在的虚拟网络上存在dhcp服务，主机的真实网卡所在网络上通常没有dhcp服务，所以如果你选用桥接方式的话，虚拟的linux里网络配置要选择指定ip。其他方式可以选择使用dhcp。

要区分虚拟机里面的网卡----vmnet1,vmnet8网卡-----以及真实主机的网卡三者的关系。

以下是引用网上的一篇挺好的文章：
http://www.chinaunix.net/jh/4/376768.html

vmware 网络设置三：理解虚拟网络的类型

bridge：

这种方式最简单，直接将虚拟网卡桥接到一个物理网卡上面，和linux下一个网卡绑定两个不同地址类似，实际上是将网卡设置为混杂模式，从而达到侦听多个IP的能力。

在此种模式下，虚拟机内部的网卡（例如linux下的eth0)直接连到了物理网卡所在的网络上，可以想象为虚拟机和host机处于对等的地位，在网络关系上是平等的，没有谁在谁后面的问题。

使用这种方式很简单，前提是你可以得到1个以上的地址。对于想进行种种网络实验的朋友不太适合，因为你无法对虚拟机的网络进行控制，它直接出去了。

nat方式：

这种方式下host内部出现了一个虚拟的网卡vmnet8（默认情况下），如果你有过做nat服务器的经验，这里的vmnet8就相当于连接到内网的网卡，而虚拟机本身则相当于运行在内网上的机器，虚拟机内的网卡（eth0）则独立于vmnet8。

你会发现在这种方式下，vmware自带的dhcp会默认地加载到vmnet8界面上，这样虚拟机就可以使用dhcp服务。更为重要的是，vmware自带了nat服务，提供了从vmnet8到外网的地址转换，所以这种情况是一个实实在在的nat服务器在运行，只不过是供虚拟机用的。

很显然，如果你只有一个外网地址，此种方式很合适。

hostonly:

这应该是最为灵活的方式，有兴趣的话可以进行各种网络实验。和nat唯一的不同的是，此种方式下，没有地址转换服务，因此，模认情况下，虚拟机只能到主机访问，这也是hostonly的名字的意义。

默认情况下，也会有一个dhcp服务加载到vmnet1上。这样连接到vmnet1上的虚拟机仍然可以设置成dhcp，方便系统的配置.

是不是这种方式就没有办法连接到外网呢，当然不是，事实上，这种方式更为灵活，你可以使用自己的方式，从而达到最理想的配置，例如：
a。使用自己dhcp服务：首先停掉vmware自带的dhcp服务，使dhcp服务更为统一。
b。使用自己的nat,方便加入防火墙。windows host可以做nat的方法很多，简单的如windows xp的internet共享，复杂的如windows server里的nat服务。
c. 使用自己的防火墙。因为你可以完全控制vmnet1,你可以加入（或试验）防火墙在vmnet1和外网的网卡间。

从以上可以看出，hostonly这种模式和普通的nat server带整个内网上网的情形类似，因此你可以方便的进行与之有关的实验，比如防火强的设置等。

Johnica 2006-09-12 14:31 发表评论

找arp攻击源

Johnica — Mon, 11 Sep 2006 15:16:00 GMT

对于已经中了arp攻击的内网，要找到攻击源。方法：在PC上不了网或者ping丢包的时候，在DOS下打 arp –a命令，看显示的网关的MAC地址是否和路由器真实的MAC相同。如果不是，则查找这个MAC地址所对应的PC，这台PC就是攻击源。

Johnica 2006-09-11 23:16 发表评论