作為一個合格的運維人員,一定要熟悉掌握OSI七層網(wǎng)絡和TCP/IP五層網(wǎng)絡結構知識。
廢話不多說猖任!下面就逐一展開對這兩個網(wǎng)絡架構知識的說明:
一知举、OSI七層網(wǎng)絡協(xié)議
OSI是Open System Interconnect的縮寫补履,意為開放式系統(tǒng)互聯(lián)添坊。
OSI參考模型各個層次的劃分遵循下列原則:
1.根據(jù)不同層次的抽象分層
2.每層應當有一個定義明確的功能
3.每層功能的選擇應該有助于制定網(wǎng)絡協(xié)議的國際標準。
4.各層邊界的選擇應盡量節(jié)省跨過接口的通信量箫锤。
5.層數(shù)應足夠多贬蛙,以避免不同的功能混雜在同一層中,但也不能太多麻汰,否則體系結構會過于龐大
6.同一層中的各網(wǎng)絡節(jié)點都有相同的層次結構速客,具有同樣的功能戚篙。
7.同一節(jié)點內(nèi)相鄰層之間通過接口(可以是邏輯接口)進行通信五鲫。
8.七層結構中的每一層使用下一層提供的服務,并且向其上層提供服務岔擂。
9.不同節(jié)點的同等層按照協(xié)議實現(xiàn)對等層之間的通信位喂。
根據(jù)以上標準,OSI參考模型分為(從上到下):
物理層->數(shù)據(jù)鏈路層->網(wǎng)絡層->傳輸層->會話層->表示層->應用層乱灵。
各層功能見下表:
七層模型的每一層都具有清晰的特征塑崖。基本來說:
1)第七至第四層(應用層->表示層->會話層->傳輸層)處理數(shù)據(jù)源和數(shù)據(jù)目的地之間的端到端通信痛倚,
2)第三至第一層(網(wǎng)絡層->數(shù)據(jù)鏈路層->物理層)處理網(wǎng)絡設備間的通信规婆。
另外:
OSI模型的七層也可以劃分為兩組:
1)上層(層7、層6和層5蝉稳,即應用層->表示層->會話層)抒蚜。上層處理應用程序問題,并且通常只應用在軟件上耘戚。最高層嗡髓,即應用層是與終端用戶最接近的。
2)下層(層4收津、層3饿这、層2和層1,即傳輸層->網(wǎng)絡層->數(shù)據(jù)鏈路層->物理層)撞秋。下層是處理數(shù)據(jù)傳輸?shù)某づ酢N锢韺雍蛿?shù)據(jù)鏈路層應用在硬件和軟件上。最底層吻贿,即物理層是與物理網(wǎng)絡媒介(比如說唆姐,電線)最接近的,并且負責在媒介上發(fā)送
第7層-應用層
定義了用于在網(wǎng)絡中進行通信和數(shù)據(jù)傳輸?shù)慕涌?- 用戶程式;
提供標準服務奉芦,比如虛擬終端赵抢、文件以及任務的傳輸和處 理;
應用層為操作系統(tǒng)或網(wǎng)絡應用程序提供訪問網(wǎng)絡服務的接口声功。應用層協(xié)議的代表包括:Telnet烦却、FTP、HTTP先巴、SNMP等其爵。
第6層-表示層
掩蓋不同系統(tǒng)間的數(shù)據(jù)格式的不同性;
指定獨立結構的數(shù)據(jù)傳輸格式伸蚯;
數(shù)據(jù)的編碼和解碼摩渺;加密和解密; 壓縮和解壓縮
這一層主要解決擁護信息的語法表示問題剂邮。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法摇幻,轉換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉換數(shù)據(jù)服務挥萌。數(shù)據(jù)的壓縮和解壓縮绰姻, 加密和解密等工作都由表示層負責。
第5層-會話層
管理用戶會話和對話引瀑;
控制用戶間邏輯連接的建立和掛斷狂芋;
報告上一層發(fā)生的錯誤
這一層也可以稱為會晤層或?qū)υ拰樱跁拰蛹耙陨系母邔哟沃泻┰裕瑪?shù)據(jù)傳送的單位不再另外命名帜矾,而是統(tǒng)稱為報文。會話層不參與具體的傳輸屑柔,它提供包括訪問驗證和會話管理在內(nèi)的建立和維護應用之間通信的機制屡萤。如服務器驗證用戶登錄便是由會話層完成的。
第4層-處理信息的傳輸層
管理網(wǎng)絡中端到端的信息傳送锯蛀;
通過錯誤糾正和流控制機制提供可靠且有序的數(shù)據(jù)包傳送灭衷;
提供面向無連 接的數(shù)據(jù)包的傳送;
第4層的數(shù)據(jù)單元也稱作數(shù)據(jù)包(packets)旁涤。但是翔曲,當你談論TCP等具體的協(xié)議時又有特殊的叫法,TCP的數(shù)據(jù)單元稱為段 (segments)而UDP協(xié)議的數(shù)據(jù)單元稱為“數(shù)據(jù)報(datagrams)劈愚。這個層負責獲取全部信息瞳遍,因此,它必須跟蹤數(shù)據(jù)單元碎片菌羽、亂序到達的 數(shù)據(jù)包和其它在傳輸過程中可能發(fā)生的危險掠械。第4層為上層提供端到端(最終用戶到最終用戶)的透明的、可靠的數(shù)據(jù)傳輸服務。所為透明的傳輸是指在通信過程中 傳輸層對上層屏蔽了通信傳輸系統(tǒng)的具體細節(jié)猾蒂。傳輸層協(xié)議的代表包括:TCP均唉、UDP、SPX等肚菠。
第3層-網(wǎng)絡層
定義網(wǎng)絡設備間如何傳輸數(shù)據(jù)舔箭;
根據(jù)唯一的網(wǎng)絡設備地址路由數(shù)據(jù)包;
提供流和擁塞控制以防止網(wǎng)絡資源 的損耗
在 計算機網(wǎng)絡中進行通信的兩個計算機之間可能會經(jīng)過很多個數(shù)據(jù)鏈路蚊逢,也可能還要經(jīng)過很多通信子網(wǎng)层扶。網(wǎng)絡層的任務就是選擇合適的網(wǎng)間路由和交換結點, 確保數(shù)據(jù)及時傳送烙荷。網(wǎng)絡層將數(shù)據(jù)鏈路層提供的幀組成數(shù)據(jù)包镜会,包中封裝有網(wǎng)絡層包頭,其中含有邏輯地址信息- -源站點和目的站點地址的網(wǎng)絡地址终抽。如 果你在談論一個IP地址戳表,那么你是在處理第3層的問題,這是“數(shù)據(jù)包”問題拿诸,而不是第2層的“幀”扒袖。IP是第3層問題的一部分塞茅,此外還有一些路由協(xié)議和地 址解析協(xié)議(ARP)亩码。有關路由的一切事情都在這第3層處理。地址解析和路由是3層的重要目的野瘦。網(wǎng)絡層還可以實現(xiàn)擁塞控制描沟、網(wǎng)際互連等功能。在這一層鞭光,數(shù)據(jù)的單位稱為數(shù)據(jù)包(packet)吏廉。網(wǎng)絡層協(xié)議的代表包括:IP、IPX惰许、RIP席覆、OSPF等。
第2層-數(shù)據(jù)鏈路層(DataLinkLayer):
定義操作通信連接的程序汹买;
封裝數(shù)據(jù)包為數(shù)據(jù)幀佩伤;
監(jiān)測和糾正數(shù)據(jù)包傳輸錯誤
在物理層提供比特流服務的基礎上,建立相鄰結點之間的數(shù)據(jù)鏈路晦毙,通過差錯控制提供數(shù)據(jù)幀(Frame)在信道上無差錯的傳輸生巡,并進行各電路上的動作系列。數(shù)據(jù)鏈路層在不可靠的物理介質(zhì)上提供可靠的傳輸见妒。該層的作用包括:物理地址尋址孤荣、數(shù)據(jù)的成幀、流量控制、數(shù)據(jù)的檢錯盐股、重發(fā)等钱豁。在這一層,數(shù)據(jù)的單位稱為幀(frame)疯汁。數(shù)據(jù)鏈路層協(xié)議的代表包括:SDLC寥院、HDLC、PPP涛目、STP秸谢、幀中繼等。
第1層-物理層(PhysicalLayer)
定義通過網(wǎng)絡設備發(fā)送數(shù)據(jù)的物理方式霹肝;
作為網(wǎng)絡媒介和設備間的接口估蹄;
定義光學、電氣以及機械特性沫换。
規(guī)定通信設備的機械的臭蚁、電氣的、功能的和過程的特性讯赏,用以建立垮兑、維護和拆除物理鏈路連接。具體地講漱挎,機械 特性規(guī)定了網(wǎng)絡連接時所需接插件的規(guī)格尺寸系枪、引腳數(shù)量和排列情況等;電氣特性規(guī)定了在物理連接上傳輸bit流時線路上信號電平的大小、阻抗匹配磕谅、傳輸速率 距離限制等;功能特性是指對各個信號先分配確切的信號含義私爷,即定義了DTE和DCE之間各個線路的功能;規(guī)程特性定義了利用信號線進行bit流傳輸?shù)囊唤M 操作規(guī)程,是指在物理連接的建立膊夹、維護衬浑、交換信息是,DTE和DCE雙放在各電路上的動作系列放刨。在這一層工秩,數(shù)據(jù)的單位稱為比特(bit)。屬于物理層定義的典型規(guī)范代表包括:EIA/TIA RS-232进统、EIA/TIA RS-449助币、V.35、RJ-45等麻昼。
二奠支、TCP/IP
TCP/IP(傳輸控制協(xié)議/網(wǎng)間網(wǎng)協(xié)議)是目前世界上應用最為廣泛的協(xié)議,它的流行與Internet的迅猛發(fā)展密切相關抚芦。
TCP/IP最初是為互聯(lián)網(wǎng)的原型ARPANET所設計的倍谜,目的是提供一整套方便實用迈螟、能應用于多種網(wǎng)絡上的協(xié)議,事實證明TCP/IP做到了這一點尔崔,它使網(wǎng)絡互聯(lián)變得容易起來答毫,并且使越來越多的網(wǎng)絡加入其中,成為Internet的事實標準季春。
TCP/IP協(xié)議族包含了很多功能各異的子協(xié)議洗搂。為此我們也利用上文所述的分層的方式來剖析它的結構。
TCP/IP層次模型共分為四層:應用層->傳輸層->網(wǎng)絡層->數(shù)據(jù)鏈路層载弄。
各層功能見下表
TCP(Transmission Control Protocol:傳輸控制協(xié)議)和UDP(User Datagram Protocol:用戶數(shù)據(jù)報協(xié)議)協(xié)議屬于傳輸層協(xié)議耘拇。其中:
1)TCP提供IP環(huán)境下的數(shù)據(jù)可靠傳輸,它提供的服務包括數(shù)據(jù)流傳送宇攻、可靠性惫叛、有效流控、全雙工操作和多路復用逞刷。通過面向連接嘉涌、端到端和可靠的數(shù)據(jù)包發(fā)送。通俗說夸浅,它是事先為所發(fā)送的數(shù)據(jù)開辟出連接好的通道仑最,然后再進行數(shù)據(jù)發(fā)送;
2)UDP則不為IP提供可靠性、流控或差錯恢復功能帆喇。一般來說警医,TCP對應的是可靠性要求高的應用,而UDP對應的則是可靠性要求低番枚、傳輸經(jīng)濟的應用法严。
應用層
應用層是所有用戶所面向的應用程序的統(tǒng)稱损敷。TCP/IP協(xié)議族在這一層面有著很多協(xié)議來支持不同的應用葫笼,許多大家所熟悉的基于Internet的應用的實現(xiàn)就離不開這些協(xié)議。如我們進行萬維網(wǎng)(WWW)訪問用到了HTTP協(xié)議拗馒、文件傳輸用FTP協(xié)議路星、電子郵件發(fā)送用SMTP、域名的解析用DNS協(xié)議诱桂、遠程登錄用Telnet協(xié)議等等洋丐,都是屬于TCP/IP應用層的;就用戶而言挥等,看到的是由一個個軟件所構筑的大多為圖形化的操作界面友绝,而實際后臺運行的便是上述協(xié)議。
傳輸層
這一層的的功能主要是提供應用程序間的通信肝劲,TCP/IP協(xié)議族
在這一層的協(xié)議有TCP和UDP迁客。
網(wǎng)絡層
TCP/IP協(xié)議族中非常關鍵的一層郭宝,主要定義了IP地址格式,從而能夠使得不同應用類型的數(shù)據(jù)在Internet上通暢地傳輸掷漱,IP協(xié)議就是一個網(wǎng)絡層協(xié)議粘室。
網(wǎng)絡接口層
這是TCP/IP軟件的最低層,負責接收IP數(shù)據(jù)包并通過網(wǎng)絡發(fā)送之卜范,或者從網(wǎng)絡上接收物理幀衔统,抽出IP數(shù)據(jù)報,交給IP層海雪。
TCP支持的應用協(xié)議主要有:Telnet锦爵、FTP、SMTP等;
UDP支持的應用層協(xié)議主要有:NFS(網(wǎng)絡文件系統(tǒng))奥裸、SNMP(簡單網(wǎng)絡管理協(xié)議)棉浸、DNS(主域名稱系統(tǒng))、TFTP(通用文件傳輸協(xié)議)等刺彩。
TCP/IP協(xié)議與低層的數(shù)據(jù)鏈路層和物理層無關迷郑,這也是TCP/IP的重要特點。
TCP連接建立-斷開的過程說明(可以參考:高效運維-三次握手和四次揮手)
TCP連接的端點叫做套接字(socket)或插口创倔,即(IP地址:端口號)嗡害,每一條TCP連接唯一地被通信兩端的兩個端點(即兩個套接字)所確定。
TCP的運輸連接有三個階段畦攘,即連接建立霸妹、數(shù)據(jù)傳送、連接釋放知押。
TCP連接建立的過程要使每一方能夠確定對方的存在:主動發(fā)起連接建立的應用進行叫做客戶(client)叹螟,被動等待連接建立的應用進程叫做服務器(server),連接建立的過程叫做三次握手台盯。
假設A為客戶趁窃,B為服務器跑芳,A發(fā)送一個報文給B,B發(fā)回確認,然后A再加以確認呻征,來回共三次动知,成為“三次握手”芬探。三次握手建立連接~
所謂三次握手(Three-Way Handshake)即建立TCP連接券册,就是指建立一個TCP連接時,需要客戶端和服務端總共發(fā)送3個包以確認連接的建立市咽。在socket編程中痊银,這一過程由客戶端執(zhí)行connect來觸發(fā),整個流程如下圖所示:
1)第一次握手:
Client將標志位SYN置為1施绎,隨機產(chǎn)生一個值seq=J溯革,并將該數(shù)據(jù)包發(fā)送給Server泌射,Client進入SYN_SENT狀態(tài),等待Server確認鬓照。2)第二次握手:
Server收到數(shù)據(jù)包后由標志位SYN=1知道Client請求建立連接熔酷,Server將標志位SYN和ACK都置為1,ack=J+1豺裆,隨機產(chǎn)生一個值seq=K拒秘,并將該數(shù)據(jù)包發(fā)送給Client以確認連接請求,Server進入SYN_RCVD狀態(tài)臭猜。3)第三次握手:
Client收到確認后躺酒,檢查ack是否為J+1,ACK是否為1蔑歌,如果正確則將標志位ACK置為1羹应,ack=K+1,并將該數(shù)據(jù)包發(fā)送給Server次屠,Server檢查ack是否為K+1园匹,ACK是否為1,如果正確則連接建立成功劫灶,Client和Server進入ESTABLISHED狀態(tài)裸违,完成三次握手,隨后Client與Server之間可以開始傳輸數(shù)據(jù)了本昏。
SYN攻擊解釋:
三次握手過程中供汛,Server發(fā)送SYN-ACK之后,收到Client的ACK之前的TCP連接稱為半連接(half-open connect)涌穆,此時Server處于SYN_RCVD狀態(tài)怔昨,當收到ACK后,Server轉入ESTABLISHED狀態(tài)宿稀。SYN攻擊就是Client在短時間內(nèi)偽造大量不存在的IP地址趁舀,并向Server不斷地發(fā)送SYN包,Server回復確認包原叮,并等待Client的確認赫编,由于源地址是不存在的,因此奋隶,Server需要不斷重發(fā)直至超時,這些偽造的SYN包將產(chǎn)時間占用未連接隊列悦荒,導致正常的SYN請求因為隊列滿而被丟棄唯欣,從而引起網(wǎng)絡堵塞甚至系統(tǒng)癱瘓。SYN攻擊時一種典型的DDOS攻擊搬味,檢測SYN攻擊的方式非常簡單境氢,即當Server上有大量半連接狀態(tài)且源IP地址是隨機的蟀拷,則可以斷定遭到SYN攻擊了,使用如下命令可以讓之現(xiàn)行:#netstat -nap | grep SYN_RECV
連接的釋放需要發(fā)送四個包萍聊,因此稱為“四次揮手”问芬,四次揮手斷開連接∈俳埃客戶端或服務器都可以主動發(fā)起揮手動作此衅。
所謂四次揮手(Four-Way Wavehand)即終止TCP連接,就是指斷開一個TCP連接時亭螟,需要客戶端和服務端總共發(fā)送4個包以確認連接的斷開挡鞍。在socket編程中,這一過程由客戶端或服務端任一方執(zhí)行close來觸發(fā)预烙,整個流程如下圖所示:
由于TCP連接時全雙工的墨微,因此,每個方向都必須要單獨進行關閉扁掸,這一原則是當一方完成數(shù)據(jù)發(fā)送任務后翘县,發(fā)送一個FIN來終止這一方向的連接,收到一個FIN只是意味著這一方向上沒有數(shù)據(jù)流動了谴分,即不會再收到數(shù)據(jù)了炼蹦,但是在這個TCP連接上仍然能夠發(fā)送數(shù)據(jù),直到這一方向也發(fā)送了FIN狸剃。首先進行關閉的一方將執(zhí)行主動關閉掐隐,而另一方則執(zhí)行被動關閉,上圖描述的即是如此钞馁。
1)第一次揮手:
Client發(fā)送一個FIN虑省,用來關閉Client到Server的數(shù)據(jù)傳送,Client進入FIN_WAIT_1狀態(tài)僧凰。2)第二次揮手:
Server收到FIN后探颈,發(fā)送一個ACK給Client,確認序號為收到序號+1(與SYN相同训措,一個FIN占用一個序號)伪节,Server進入CLOSE_WAIT狀態(tài)。3)第三次揮手:
Server發(fā)送一個FIN绩鸣,用來關閉Server到Client的數(shù)據(jù)傳送怀大,Server進入LAST_ACK狀態(tài)。4)第四次揮手:
Client收到FIN后呀闻,Client進入TIME_WAIT狀態(tài)化借,接著發(fā)送一個ACK給Server,確認序號為收到序號+1捡多,Server進入CLOSED狀態(tài)蓖康,完成四次揮手铐炫。
上面是一方主動關閉,另一方被動關閉的情況(由一方發(fā)起揮手)蒜焊,實際中還會出現(xiàn)同時發(fā)起主動關閉的情況倒信,具體流程如下圖(同時揮手):
為什么連接的時候是三次握手,關閉的時候卻是四次握手泳梆?
這是因為當Server端收到Client端的SYN連接請求報文后鳖悠,可以直接發(fā)送SYN+ACK報文。其中ACK報文是用來應答的鸭丛,SYN報文是用來同步的竞穷。
但是關閉連接時,當Client端發(fā)送FIN報文僅僅表示它不再發(fā)送數(shù)據(jù)了但是還能接收數(shù)據(jù)鳞溉,Server端收到FIN報文時瘾带,很可能并不會立即關閉SOCKET,所以只能先回復一個ACK報文熟菲,告訴Client端看政,"你發(fā)的FIN報文我收到了"。只有等到我Server端所有的報文都發(fā)送完了抄罕,我才能發(fā)送FIN報文允蚣,因此不能一起發(fā)送。故需要四步握手呆贿。
三嚷兔、OSI七層網(wǎng)絡與TCP/IP五層網(wǎng)絡的區(qū)別與聯(lián)系
除了層的數(shù)量之外,開放式系統(tǒng)互聯(lián)(OSI)模型與TCP/IP協(xié)議有什么區(qū)別?
開放式系統(tǒng)互聯(lián)模型是一個參考標準做入,解釋協(xié)議相互之間應該如何相互作用冒晰。TCP/IP協(xié)議是美國國防部發(fā)明的,是讓互聯(lián)網(wǎng)成為了目前這個樣子的標準之一竟块。
開放式系統(tǒng)互聯(lián)模型中沒有清楚地描繪TCP/IP協(xié)議壶运,但是在解釋TCP/IP協(xié)議時很容易想到開放式系統(tǒng)互聯(lián)模型。
兩者的主要區(qū)別如下:
1.TCP/IP協(xié)議中的應用層處理OSI模型中的第五層浪秘、第六層和第七層的功能蒋情。
2.TCP/IP協(xié)議中的傳輸層并不能總是保證在傳輸層可靠地傳輸數(shù)據(jù)包,而OSI模型可以做到耸携。
3.TCP/IP協(xié)議還提供一項名為UDP(用戶數(shù)據(jù)報協(xié)議)的選擇棵癣。UDP不能保證可靠的數(shù)據(jù)包傳輸。
先簡單對比下二層網(wǎng)絡和三層網(wǎng)絡的區(qū)別:
1)不同網(wǎng)段的ip通信违帆,需要經(jīng)過三層網(wǎng)絡浙巫。相同網(wǎng)段的ip通信,經(jīng)過二層網(wǎng)絡刷后;
2)二層網(wǎng)絡僅僅通過MAC尋址即可實現(xiàn)通訊的畴,但僅僅是同一個沖突域內(nèi);三層網(wǎng)絡需要通過IP路由實現(xiàn)跨網(wǎng)段的通訊尝胆,可以跨多個沖突域丧裁;
3)二層網(wǎng)絡的組網(wǎng)能力非常有限,一般只是小局域網(wǎng)含衔;三層網(wǎng)絡則可以組大型的網(wǎng)絡煎娇。
4)二層網(wǎng)絡基本上是一個安全域,也就是說在同一個二層網(wǎng)絡內(nèi)贪染,終端的安全性從網(wǎng)絡上講基本上是一樣的缓呛,除非有其它特殊的安全措施;
三層網(wǎng)絡則可以劃分出相對獨立的多個安全域杭隙。
5)很多技術相對是在二層局域網(wǎng)中用得多哟绊,比如DHCP、Windows提供的共享連接等痰憎,如需在三層網(wǎng)絡上使用票髓,則需要考慮其它設備的支持
(比如通過DHCP中繼代理等)或通過其它的方式來實現(xiàn)。
二層網(wǎng)絡與三層網(wǎng)絡的詳細對比
網(wǎng)絡結構的變化過程:
a)按照物理拓撲結構分類铣耘,網(wǎng)絡結構經(jīng)歷了總線型洽沟、環(huán)型、星型蜗细、樹型裆操、混合型等結構。
b)按照邏輯拓撲結構分類炉媒,網(wǎng)絡結構經(jīng)歷了二層網(wǎng)絡架構踪区、三層網(wǎng)絡架構以及最近興起的大二層網(wǎng)絡架構。
傳統(tǒng)的數(shù)據(jù)交換都是在OSI 參考模型的數(shù)據(jù)鏈路層發(fā)生的橱野,也就是按照MAC 地址進行尋址并進行數(shù)據(jù)轉發(fā)朽缴,并建立和維護一個MAC 地址表,
用來記錄接收到的數(shù)據(jù)包中的MAC 地址及其所對應的端口水援。此種類型的網(wǎng)絡均為小范圍的二層網(wǎng)絡密强。
一、二層網(wǎng)絡的工作流程:
1)數(shù)據(jù)包接收:首先交換機接收某端口中傳輸過來的數(shù)據(jù)包蜗元,并對該數(shù)據(jù)包的源文件進行解析或渤,獲取其源MAC 地址,確定發(fā)放源數(shù)據(jù)包主機
2)傳輸數(shù)據(jù)包到目的MAC 地址:首先判斷目的MAC 地址是否存在奕扣,如果交換機所存儲的MAC 地址表中有此MAC 地址所對應的端口薪鹦,那么直接將數(shù)據(jù)包發(fā)送給這個端口;如果在交換機存儲列表中找不到對應的目的MAC 地址,交換機則會對數(shù)據(jù)包進行全端口廣播,直至收到目的設備的回應池磁,交換機通過此次廣播學習奔害、記憶并建立目的MAC 地址和目的端口的對應關系,以備以后快速建立與該目的設備的聯(lián)系;
3)如果交換機所存儲的MAC 地址表中沒有此地址地熄,就會將數(shù)據(jù)包廣播發(fā)送到所有端口上华临,當目的終端給出回應時,交換機又學習到了一個新的MAC 地址與端口的對應關系端考,并存儲在自身的MAC 地址表中雅潭。當下次發(fā)送數(shù)據(jù)的時候就可以直接發(fā)送到這個端口而非廣播發(fā)送了。
以上就是交換機將一個MAC 地址添加到列表的流程却特,該過程循環(huán)往復扶供,交換機就能夠?qū)φ麄€網(wǎng)絡中存在的MAC 地址進行記憶并添加到地址列表,這就是二層(OSI 二層)交換機對MAC 地址進行建立裂明、維護的全過程椿浓。
從上述過程不難看出,傳統(tǒng)的二層網(wǎng)絡結構模式雖然運行簡便但在很大程度上限制了網(wǎng)絡規(guī)模的擴大漾岳,由于傳統(tǒng)網(wǎng)絡結構中采用的是廣播的方式來實現(xiàn)數(shù)據(jù)的傳輸轰绵,極易形成廣播風暴,進而造成網(wǎng)絡的癱瘓尼荆。這就是各個計算機研究機構所面臨的“二層網(wǎng)絡存在的天然瓶頸”左腔,由于該瓶頸的存在,使得大規(guī)模的數(shù)據(jù)傳輸和資源共享難以實現(xiàn)捅儒,基于傳統(tǒng)的二層網(wǎng)絡結構也很難實現(xiàn)局域網(wǎng)絡規(guī)囊貉化。
為了適應大規(guī)模網(wǎng)絡的產(chǎn)生于發(fā)展巧还,基于分層鞭莽、簡化的思想,三層網(wǎng)絡模式被成功設計推出麸祷。三層網(wǎng)絡架構的基本思想就是將大規(guī)模澎怒、較復雜的
網(wǎng)絡進行分層次分模塊處理,為每個模塊指定對應的功能阶牍,各司其職喷面,互不干擾,大大提高了數(shù)據(jù)傳輸?shù)乃俾省?/p>
二走孽、三層網(wǎng)絡結構的設計
顧名思義惧辈,具有三個層次:核心層、匯聚層磕瓷、接入層盒齿。下面將對三個層次的作用分別進行說明念逞。
1)核心層:在互聯(lián)網(wǎng)中承載著網(wǎng)絡服務器與各應用端口間的傳輸功能,是整個網(wǎng)絡的支撐脊梁和數(shù)據(jù)傳輸通道边翁,重要性不言而喻翎承。因此,網(wǎng)絡對于核心層要求極高倒彰,核心層必須具備數(shù)據(jù)存儲的高安全性审洞,數(shù)據(jù)傳輸?shù)母咝院涂煽啃岳痴觯瑢?shù)據(jù)錯誤的高容錯性待讳,以及數(shù)據(jù)管理方面的便捷性和高適應性等性能。在核心層搭建中仰剿,設備的采購必須嚴格按需采購创淡,滿足上述功能需求,這就對交換機的帶寬以及數(shù)據(jù)承載能力提出了更高的要求南吮,因為核心層一旦堵塞將造成大面積網(wǎng)絡癱瘓琳彩,因此必須配備高性能的數(shù)據(jù)冗余轉接設備和防止負載過剩的均衡過剩負載的設備,以降低各核心層交換機所需承載的數(shù)據(jù)量部凑,以保障網(wǎng)絡高速露乏、安全的運轉。
2)匯聚層:連接網(wǎng)絡的核心層和各個接入的應用層涂邀,在兩層之間承擔“媒介傳輸”的作用瘟仿。每個應用接入都經(jīng)過匯聚層進行數(shù)據(jù)處理,再與核心層進行有效的連接比勉,通過匯聚層的有效整合對核心層的荷載量進行降低劳较。根據(jù)匯聚層的作用要求,匯聚層應該具備以下功能:實施安全功能浩聋、工作組整體接入功能观蜗、虛擬網(wǎng)絡過濾功能等。因此衣洁,匯聚層中設備的采購必須具備三層網(wǎng)絡的接入交換功能墓捻,同時支持虛擬網(wǎng)絡的創(chuàng)建功能,從而實現(xiàn)不同網(wǎng)絡間的數(shù)據(jù)隔離安全坊夫,能夠?qū)⒋笮途W(wǎng)絡進行分段劃分砖第,化繁為簡。
3)接入層:接入層的面向?qū)ο笾饕墙K端客戶践樱,為終端客戶提供接入功能厂画,區(qū)別于核心層和匯聚層提供各種策略的功能。接入層的主要功能是規(guī)劃同一網(wǎng)段中的工作站個數(shù)拷邢,提高各接入終端的帶寬袱院。在搭建網(wǎng)絡架構時,既要考慮網(wǎng)絡的綜合實用性,也要考慮經(jīng)濟效益忽洛,因此在接入層設備采購時可以選擇數(shù)據(jù)鏈路層中較低端的交換機腻惠,而不是越高端越昂貴越好。
隨著近年來互聯(lián)網(wǎng)的應用規(guī)模急劇擴張欲虚,對數(shù)據(jù)傳輸?shù)囊笠苍絹碓礁呒啵跀?shù)據(jù)整合的云計算技術逐漸受到人們的關注。計算機網(wǎng)絡作為當今社會各種信息的傳輸媒介复哆,其組成架構也即將發(fā)生重大變革欣喧。鑒于傳統(tǒng)三層網(wǎng)絡VLan 隔離以及STP 收斂上的缺陷,傳統(tǒng)網(wǎng)絡結構急需打破√菡遥現(xiàn)有研究機構開始致力于新型高效網(wǎng)絡架構的研發(fā)與探索唆阿,結合早期的扁平化架構的原有二層網(wǎng)絡與現(xiàn)有三層網(wǎng)絡的優(yōu)缺點提出了大二層網(wǎng)絡架構。
大二層網(wǎng)絡
1)為什么需要大二層網(wǎng)絡
傳統(tǒng)的三層數(shù)據(jù)中心架構結構的設計是為了應付服務客戶端-服務器應用程序的縱貫式大流量锈锤,同時使網(wǎng)絡管理員能夠?qū)α髁苛鬟M行管理驯鳖。工程師在這些架構中采用生成樹協(xié)議(STP)來優(yōu)化客戶端到服務器的路徑和支持連接冗余,通常將二層網(wǎng)絡的范圍限制在網(wǎng)絡接入層以下久免,避免出現(xiàn)大范圍的二層廣播域浅辙;
虛擬化從根本上改變了數(shù)據(jù)中心網(wǎng)絡架構的需求,既虛擬化引入了虛擬機動態(tài)遷移技術阎姥。從而要求網(wǎng)絡支持大范圍的二層域记舆。從根本上改變了傳統(tǒng)三層網(wǎng)絡統(tǒng)治數(shù)據(jù)中心網(wǎng)絡的局面。具體的來說丁寄,虛擬化技術的一項伴生技術—虛擬機動態(tài)遷移(如VMware的VMotion)在數(shù)據(jù)中心得到了廣泛的應用氨淌,虛擬機遷移要求虛擬機遷移前后的IP和MAC地址不變,這就需要虛擬機遷移前后的網(wǎng)絡處于同一個二層域內(nèi)部伊磺。由于客戶要求虛擬機遷移的范圍越來越大社付,甚至是跨越不同地域废麻、不同機房之間的遷移荒叶,所以使得數(shù)據(jù)中心二層網(wǎng)絡的范圍越來越大惋嚎,甚至出現(xiàn)了專業(yè)的大二層網(wǎng)絡這一新領域?qū)n}。
思考兩個問題:
a)IP及MAC不變的理由摘能?
對業(yè)務透明续崖、業(yè)務不中斷
b)IP及MAC不變,那么為什么必須是二層域內(nèi)团搞?
IP不變严望,那么就不能夠?qū)崿F(xiàn)基于IP的尋址(三層),那么只能實現(xiàn)基于MAC的尋址逻恐,既二層尋址像吻,大二層峻黍,顧名思義,此是二層網(wǎng)絡拨匆,根據(jù)MAC地址進行尋址
2)傳統(tǒng)的二層網(wǎng)絡大不起來的原因
在數(shù)據(jù)中心網(wǎng)絡中姆涩,“區(qū)域”對應VLAN的劃分。相同VLAN內(nèi)的終端屬于同一廣播域惭每,具有一致的VLAN-ID骨饿,二層連通;不同VLAN內(nèi)的終端需要通過網(wǎng)關互相訪問台腥,二層隔離宏赘,三層連通。傳統(tǒng)的數(shù)據(jù)中心設計览爵,區(qū)域和VLAN的劃分粒度是比較細的置鼻,這主要取決于“需求”和“網(wǎng)絡規(guī)模”蜓竹。
傳統(tǒng)的數(shù)據(jù)中心主要是依據(jù)功能進行區(qū)域劃分,例如WEB储藐、APP俱济、DB,辦公區(qū)钙勃、業(yè)務區(qū)蛛碌、內(nèi)聯(lián)區(qū)、外聯(lián)區(qū)等等辖源。不同區(qū)域之間通過網(wǎng)關和安全設備互訪蔚携,保證不同區(qū)域的可靠性、安全性克饶。同時酝蜒,不同區(qū)域由于具有不同的功能,因此需要相互訪問數(shù)據(jù)時矾湃,只要終端之間能夠通信即可亡脑,并不一定要求通信雙方處于同一VLAN或二層網(wǎng)絡。
傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡技術邀跃, STP是二層網(wǎng)絡中非常重要的一種協(xié)議霉咨。用戶構建網(wǎng)絡時,為了保證可靠性拍屑,通常會采用冗余設備和冗余鏈路途戒,這樣就不可避免的形成環(huán)路。而二層網(wǎng)絡處于同一個廣播域下僵驰,廣播報文在環(huán)路中會反復持續(xù)傳送喷斋,形成廣播風暴裁蚁,瞬間即可導致端口阻塞和設備癱瘓。因此继准,為了防止廣播風暴枉证,就必須防止形成環(huán)路。這樣移必,既要防止形成環(huán)路室谚,又要保證可靠性,就只能將冗余設備和冗余鏈路變成備份設備和備份鏈路崔泵。即冗余的設備端口和鏈路在正常情況下被阻塞掉秒赤,不參與數(shù)據(jù)報文的轉發(fā)。只有當前轉發(fā)的設備憎瘸、端口入篮、鏈路出現(xiàn)故障,導致網(wǎng)絡不通的時候幌甘,冗余的設備端口和鏈路才會被打開潮售,使得網(wǎng)絡能夠恢復正常。實現(xiàn)這些自動控制功能的就是STP(Spanning Tree Protocol锅风,生成樹協(xié)議)酥诽。 由于STP的收斂性能等原因,一般情況下STP的網(wǎng)絡規(guī)模不會超過100臺交換機皱埠。同時由于STP需要阻塞掉冗余設備和鏈路肮帐,也降低了網(wǎng)絡資源的帶寬利用率。因此在實際網(wǎng)絡規(guī)劃時边器,從轉發(fā)性能训枢、利用率、可靠性等方面考慮忘巧,會盡可能控制STP網(wǎng)絡范圍恒界。
隨著數(shù)據(jù)大集中的發(fā)展和虛擬化技術的應用,數(shù)據(jù)中心的規(guī)模與日俱增袋坑,不僅對二層網(wǎng)絡的區(qū)域范圍要求也越來越大仗处,在需求和管理水平上也提出了新的挑戰(zhàn)。
數(shù)據(jù)中心區(qū)域規(guī)模和業(yè)務處理需求的增加枣宫,對于集群處理的應用越來越多婆誓,集群內(nèi)的服務器需要在一個二層VLAN下。同時也颤,虛擬化技術的應用洋幻,在帶來業(yè)務部署的便利性和靈活性基礎上,虛擬機的遷移問題也成為必須要考慮的問題翅娶。為了保證虛擬機承載業(yè)務的連續(xù)性文留,虛擬機遷移前后的IP地址不變好唯,因此虛擬機的遷移范圍需要在同一個二層VLAN下。反過來即燥翅,二層網(wǎng)絡規(guī)模有多大骑篙,虛擬機才能遷移有多遠。
傳統(tǒng)的基于STP備份設備和鏈路方案已經(jīng)不能滿足數(shù)據(jù)中心規(guī)模森书、帶寬的需求靶端,并且STP協(xié)議幾秒至幾分鐘的故障收斂時間,也不能滿足數(shù)據(jù)中心的可靠性要求凛膏。因此杨名,需要能夠有新的技術,在滿足二層網(wǎng)絡規(guī)模的同時猖毫,也能夠充分利用冗余設備和鏈路台谍,提升鏈路利用率,而且數(shù)據(jù)中心的故障收斂時間能夠降低到亞秒甚至毫秒級吁断。
3)實現(xiàn)大二層網(wǎng)絡的技術
大二層網(wǎng)絡是針對當前最火熱的虛擬化數(shù)據(jù)中心的虛擬機動態(tài)遷移這一特定需求而提出的概念趁蕊,對于其他類型的網(wǎng)絡并無特殊的價值和意義。
在虛擬化數(shù)據(jù)中心里胯府,一臺物理服務器被虛擬化為多臺邏輯服務器介衔,被稱為虛擬機VM,每個VM都可以獨立運行骂因,有自己的OS、APP赃泡,在網(wǎng)絡層面有自己獨立的MAC地址和IP地址寒波。而VM動態(tài)遷移是指將VM從一個物理服務器遷移到另一個物理服務器,并且要保證在遷移過程中升熊,VM的業(yè)務不能中斷俄烁。
為了實現(xiàn)VM動態(tài)遷移時,在網(wǎng)絡層面要求遷移時不僅VM的IP地址不變级野、而且運行狀態(tài)也必須保持(例如TCP會話狀態(tài))页屠,這就要求遷移的起始和目標位置必須在同一個二層網(wǎng)絡域之中。
所以蓖柔,為了實現(xiàn)VM的大范圍甚至跨地域的動態(tài)遷移辰企,就要求把VM遷移可能涉及的所有服務器都納入同一個二層網(wǎng)絡域,這樣才能實現(xiàn)VM的大范圍無障礙遷移况鸣。這就是大二層網(wǎng)絡的需求由來牢贸,一個真正意義的大二層網(wǎng)絡至少要能容納1萬以上的主機,才能稱之為大二層網(wǎng)絡镐捧。而傳統(tǒng)的基于VLAN+xSTP的二層網(wǎng)絡潜索,由于環(huán)路和廣播風暴臭增、以及xSTP協(xié)議的性能限制等原因,通常能容納的主機數(shù)量不會超過1K竹习,無法實現(xiàn)大二層網(wǎng)絡誊抛。當前,實現(xiàn)大二層網(wǎng)絡的主要技術有以下幾種:
a)網(wǎng)絡設備虛擬化技術
網(wǎng)絡設備虛擬化是將相互冗余的兩臺或多臺物理網(wǎng)絡設備組合在一起整陌,虛擬化成一臺邏輯網(wǎng)絡設備拗窃,在整個網(wǎng)絡中只呈現(xiàn)為一個節(jié)點。例如華為的CSS框式堆疊蔓榄、iStack盒式堆疊并炮、SVF框盒堆疊技術等。
網(wǎng)絡設備虛擬化再配合鏈路聚合技術甥郑,就可以把原來網(wǎng)絡的多節(jié)點逃魄、多鏈路的結構變成邏輯上單節(jié)點、單鏈路的結構澜搅,解決了二層網(wǎng)絡中的環(huán)路問題伍俘。沒有了環(huán)路問題,就不需要xSTP勉躺,二層網(wǎng)絡就可以范圍無限(只要虛擬網(wǎng)絡設備的接入能力允許)癌瘾,從而實現(xiàn)大二層網(wǎng)絡。
b)大二層轉發(fā)技術
大二層轉發(fā)技術是通過定義新的轉發(fā)協(xié)議饵溅,改變傳統(tǒng)二層網(wǎng)絡的轉發(fā)模式妨退,將三層網(wǎng)絡的路由轉發(fā)模式引入到二層網(wǎng)絡中。例如TRILL蜕企、SPB等咬荷。
以TRILL為例,TRILL協(xié)議在原始以太幀外封裝一個TRILL幀頭轻掩,再封裝一個新的以太幀來實現(xiàn)對原始以太幀的透明傳輸幸乒,支持TRILL的交換機可通過TRILL幀頭里的Nickname標識來進行轉發(fā),而Nickname就像路由一樣唇牧,可通過IS-IS路由協(xié)議進行收集罕扎、同步和更新。
c)Overlay技術
Overlay技術是通過用隧道封裝的方式丐重,將源主機發(fā)出的原始二層報文封裝后在現(xiàn)有網(wǎng)絡中進行透明傳輸腔召,從而實現(xiàn)主機之間的二層通信。通過封裝和解封裝弥臼,相當于一個大二層網(wǎng)絡疊加在現(xiàn)有的基礎網(wǎng)絡之上宴咧,所以稱為Overlay技術。
Overlay技術通過隧道封裝的方式径缅,忽略承載網(wǎng)絡的結構和細節(jié)掺栅,可以把整個承載網(wǎng)絡當作一臺“巨大無比的二層交換機”烙肺, 每一臺主機都是直連在“交換機”的一個端口上。而承載網(wǎng)絡之內(nèi)如何轉發(fā)都是 “交換機”內(nèi)部的事情氧卧,主機完全不可見桃笙。Overlay技術主要有VXLAN、NVGRE沙绝、STT等搏明。
4)大二層網(wǎng)絡需要有多大、及技術選型
1. 數(shù)據(jù)中心內(nèi)
大二層首先需要解決的是數(shù)據(jù)中心內(nèi)部的網(wǎng)絡擴展問題闪檬,通過大規(guī)模二層網(wǎng)絡和VLAN延伸星著,實現(xiàn)虛擬機在數(shù)據(jù)中心內(nèi)部的大范圍遷移。由于數(shù)據(jù)中心內(nèi)的大二層網(wǎng)絡都要覆蓋多個接入交換機和核心交換機粗悯,主要有以下兩類技術虚循。
a) 虛擬交換機技術
虛擬交換機技術的出發(fā)點很簡單,屬于工程派样傍。既然二層網(wǎng)絡的核心是環(huán)路問題横缔,而環(huán)路問題是隨著冗余設備和鏈路產(chǎn)生的,那么如果將相互冗余的兩臺或多臺設備衫哥、兩條或多條鏈路合并成一臺設備和一條鏈路茎刚,就可以回到之前的單設備、單鏈路情況撤逢,環(huán)路自然也就不存在了膛锭。尤其是交換機技術的發(fā)展,虛擬交換機從低端盒式設備到高端框式設備都已經(jīng)廣泛應用蚊荣,具備了相當?shù)某墒於群头€(wěn)定度泉沾。因此,虛擬交換機技術成為目前應用最廣的大二層解決方案妇押。 虛擬交換機技術的代表是H3C公司的IRF、Cisco公司的VSS姓迅,其特點是只需要交換機軟件升級即可支持敲霍,應用成本低,部署簡單丁存。目前這些技術都是各廠商獨立實現(xiàn)和完成的肩杈,只能同一廠商的相同系列產(chǎn)品之間才能實施虛擬化。同時解寝,由于高端框式交換機的性能扩然、密度越來越高,對虛擬交換機的技術要求也越來越高聋伦,目前框式交換機的虛擬化密度最高為4:1夫偶。虛擬交換機的密度限制了二層網(wǎng)絡的規(guī)模大約在1萬~2萬臺服務器左右界睁。
b) 隧道技術
隧道技術屬于技術派,出發(fā)點是借船出海兵拢。二層網(wǎng)絡不能有環(huán)路翻斟,冗余鏈路必須要阻塞掉,但三層網(wǎng)絡顯然不存在這個問題说铃,而且還可以做ECMP(等價鏈路)访惜,能否借用過來呢?通過在二層報文前插入額外的幀頭腻扇,并且采用路由計算的方式控制整網(wǎng)數(shù)據(jù)的轉發(fā)债热,不僅可以在冗余鏈路下防止廣播風暴,而且可以做ECMP幼苛。這樣可以將二層網(wǎng)絡的規(guī)模擴展到整張網(wǎng)絡窒篱,而不會受核心交換機數(shù)量的限制。
隧道技術的代表是TRILL蚓峦、SPB舌剂,都是通過借用IS-IS路由協(xié)議的計算和轉發(fā)模式,實現(xiàn)二層網(wǎng)絡的大規(guī)模擴展暑椰。這些技術的特點是可以構建比虛擬交換機技術更大的超大規(guī)模二層網(wǎng)絡(應用于大規(guī)模集群計算)霍转,但尚未完全成熟,目前正在標準化過程中一汽。同時傳統(tǒng)交換機不僅需要軟件升級避消,還需要硬件支持。
2. 跨數(shù)據(jù)中心
隨著數(shù)據(jù)中心多中心的部署召夹,虛擬機的跨數(shù)據(jù)中心遷移岩喷、災備,跨數(shù)據(jù)中心業(yè)務負載分擔等需求监憎,使得二層網(wǎng)絡的擴展不僅是在數(shù)據(jù)中心的邊界為止纱意,還需要考慮跨越數(shù)據(jù)中心機房的區(qū)域,延伸到同城備份中心鲸阔、遠程災備中心偷霉。
一般情況下,多數(shù)據(jù)中心之間的連接是通過路由連通的褐筛,天然是一個三層網(wǎng)絡类少。而要實現(xiàn)通過三層網(wǎng)絡連接的兩個二層網(wǎng)絡互通,就必須實現(xiàn)“L2 over L3”渔扎。
L2oL3技術也有許多種硫狞,例如傳統(tǒng)的VPLS(MPLS L2VPN)技術,以及新興的Cisco OTV、H3C EVI技術残吩,都是借助隧道的方式财忽,將二層數(shù)據(jù)報文封裝在三層報文中,跨越中間的三層網(wǎng)絡世剖,實現(xiàn)兩地二層數(shù)據(jù)的互通定罢。這種隧道就像一個虛擬的橋,將多個數(shù)據(jù)中心的二層網(wǎng)絡貫穿在一起旁瘫。
也有部分虛擬化和軟件廠商提出了軟件的L2 over L3技術解決方案祖凫。例如VMware的VXLAN、微軟的NVGRE酬凳,在虛擬化層的vSwitch中將二層數(shù)據(jù)封裝在UDP惠况、GRE報文中,在物理網(wǎng)絡拓撲上構建一層虛擬化網(wǎng)絡層宁仔,從而擺脫對網(wǎng)絡設備層的二層稠屠、三層限制。這些技術由于性能翎苫、擴展性等問題权埠,也沒有得到廣泛的使用。
常見數(shù)據(jù)中心架構
full layer3網(wǎng)絡屬于傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡煎谍。服務器網(wǎng)關部署在接入交換機上攘蔽,整網(wǎng)通過路由協(xié)議控制拓撲和轉發(fā)路徑。這樣的網(wǎng)絡架構的主要優(yōu)勢在于技術成熟呐粘、有大量的運維經(jīng)驗满俗。網(wǎng)絡系統(tǒng)穩(wěn)定且便于維護。但是Full layer3網(wǎng)絡的不足之處在于不能支持虛擬化數(shù)據(jù)中心虛擬機的自由遷移作岖,所以在進入云計算時代后唆垃,F(xiàn)ull layer3網(wǎng)絡逐漸被淘汰。Full layer2網(wǎng)絡是下一代數(shù)據(jù)中心的網(wǎng)絡模型痘儡。服務器網(wǎng)關在核心層辕万,整網(wǎng)通過TRILL或是SPB協(xié)議控制拓撲和轉發(fā)路徑。這樣的網(wǎng)絡架構主要優(yōu)勢在于能夠支持大規(guī)模的二層網(wǎng)絡沉删,能夠支持足夠規(guī)模的虛擬機資源池蓄坏。但是,這個網(wǎng)絡模型的缺點也是非常明顯的丑念。TRILL協(xié)議雖然已經(jīng)標準化(SPB協(xié)議正在標準化),但是大規(guī)模的二層網(wǎng)絡缺乏運維經(jīng)驗结蟋。沒有運維經(jīng)驗脯倚,也就意味著運維成本的大幅度提升,同時也會給業(yè)務系統(tǒng)帶來巨大的風險。
在匯聚層上部署EVI特性推正,通過核心與匯聚之間的IP網(wǎng)絡建立Vlink實現(xiàn)二層互通恍涂。通過EVI特性將指定的多個二層域連接起來,形成一個完整的大規(guī)模二層網(wǎng)絡植榕。這樣就可以實現(xiàn)虛擬機大規(guī)模池化功能再沧。同時,可以避免使用TRILL或是SPB協(xié)議帶來的運維風險尊残。
注意:常規(guī)IP包轉發(fā)過程中炒瘸,源IP及目的IP保持不變,源MAC與目的MAC不斷發(fā)生變化寝衫,既源MAC是自己的mac顷扩,目的mac是下一跳(主機或者路由器)的mac;路由器將數(shù)據(jù)轉發(fā)出去的階段慰毅,需要知道下一跳的mac地址隘截,通過arp協(xié)議獲取,并存儲在路由器的arp表內(nèi)汹胃,供下次查詢使用婶芭。
本文轉載自博客園:網(wǎng)絡知識梳理--OSI七層網(wǎng)絡與TCP/IP五層網(wǎng)絡架構及二層/三層網(wǎng)絡
