IEEE 802.1系列协议

IEEE 802.1系列协议

在本章前面的表6-1中列出了由IEEE组织颁发的主要OSI参考模型的物理层和数据链路层局域网标准或协议。从本节开始，就要向大家详细介绍各主要局域网标准。以便我们对各主要局域网技术有一个比较全面的了解。

IEEE 802.1系列标准提供了一个对整个IEEE 802系列协议的概述，描述了IEEE 802标准和开放系统基本参照模型之间的联系；解释这些标准如何和高层协议交互；定义了标准化的媒体接入控制层（MAC）地址格式，并且提供一个标准用于鉴别各种不同的协议。

IEEE 802.1是一组协议的集合，如生成树协议、VLAN协议等。为了将各个协议区别开来，IEEE在制定某一个协议时，就在IEEE 802.1后面加上不同的小写字母，如IEEE 802.1a定义局域网体系结构；IEEE 802.1b定义网际互联，网络管理及寻址；IEEE 802.1d定义生成树协议；IEEE 802.1p定义优先级队列；IEEE 802.1q定义VLAN标记协议；IEE 802.1s定义多生成树协议；IEEE 802.1w定义快速生成树协议；IEEE 802.1x定义局域网安全认证等。

6.4.1  IEEE 802.1d协议

本节从IEEE 802.1d协议谈起，介绍几个主要的IEEE 802.1系列协议。后面将要介绍的IEEE 802.1w协议，由IEEE 802.1d协议改进而来的，因此想搞懂IEEE 802.1w协议，也得先了解什么是IEEE 802.1d协议。

1．IEEE 802.1d协议简介

早期的以太网Bridge（网桥）采用了基于MAC地址在不同端口之间转发，而每一个端口对应的是一个以太网的网段，是也就是一个以太网的广播域。通过学习每个端口的MAC地址表的方式，以太网Bridge只转发不同端口间的通信。但是由于Bridge依赖的是运行网络中存在的MAC地址和端口的对应表，所以一旦收到目的地址未知的数据包，还得利用广播的形式来寻址，这种方法使得它天生不能隔离广播包和组播包的通信，其后果就是在一个环型网络中造成数据流量以指数形式的增长，从而导致网络的瘫痪，这种现象也称为“广播风暴”。“广播风暴”的现象只存在于两点之间存在冗余链路的网络之中，而冗余链路又正是网络设计中客观上大量存在的，这种设计的目的是当某一条链路失效时，另一条冗余的链路能够马上接管所有的工作。

为了解决“广播风暴”这一在二层数据网络中存在的弊端，IEEE（电机和电子工程师学会）制定了IEEE 802.1d的生成树（Spanning Tree）协议。生成树协议是一种链路管理协议，为网络提供路径冗余，同时防止产生环路。为使以太网更好地工作，两个工作站之间只能有一条活动路径。

STP（生成树协议）允许网桥之间相互通信以发现网络物理环路。该协议定义了一种算法，网桥能够使用它创建无环路（loop-free）的逻辑拓朴结构。换句话说，STP创建了一个由无环路树叶和树枝构成的树结构，其跨越了整个第二层网络。

生成树协议操作对终端站透明，也就是说，终端站点并不知道它们自己是否连接在单个局域网段或多网段中。当有两个网桥同时连接相同的计算机网段时，生成树协议可以允许两网桥之间相互交换信息，这样只需要其中一个网桥处理两台计算机之间发送的信息。网桥之间通过桥接协议数据单元（Bridge Protocol Data Unit，BPDU）交换各自状态信息。生成树协议通过发送BPDU信息选出网络中根交换机和根节点端口，并为每个网段（switched segment）选出根节点端口和指定端口。

生成树协议的本质就是消除网络拓扑中任意两点之间可能存在的重复路径，利用这种算法将两点之间存在的多条路经划分为“通信路径”和“备份链路”。数据的转发在“通信路径”上进行，而“备份链路”只用于链路的侦听，一旦发现“通信路径”失效时，将自动地将通信切换到“备份链路”上。

现在的二层以太网交换机和三层以太网交换机采用了硬件电路的设计，保证了每个端口的独享带宽，用户可以将它的每一个端口看做是一个的Bridge端口，其中二层交换机的工作原理同Bridge类似。为了实现在用户接入层、汇聚层甚至城域网络范围内的高可靠性，网络中关键的拓扑设计往往采用冗余链路的设计。虽然也有其他的技术可以实现高效的网络收敛，但是大多数网络设计者还是采用了IEEE 802.1d的方法，原因是Spanning Tree是一项简单而成熟的网络自愈技术。

2．生成树协议工作原理

STP协议的基本思想十分简单。大家知道，自然界中生长的树是不会出现环路的，如果网络也能够像一棵树一样生长就不会出现环路。于是，STP协议中定义了根桥（Root Bridge）、根端口（Root Port）、指定端口（Designated Port）、路径开销（Path Cost）等概念，目的就在于通过构造一棵自然树的方法达到裁剪冗余环路的目的，同时实现链路备份和路径最优化。用于构造这棵树的算法称为生成树算法STA（Spanning Tree Algorithm）。

要实现这些功能，网桥之间必须要进行一些信息的交流，这些信息交流单元就称为配置消息BPDU（Bridge Protocol Data Unit，网桥协议数据单元）。STP BPDU是一种二层报文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文。该报文的数据区里携带了用于生成树计算的所有有用信息。

解生成树协议的工作过程也不难，首先进行根桥的选举。选举的依据是网桥优先级和网桥MAC地址组合成的桥ID（Bridge ID），桥ID最小的网桥将成为网络中的根桥。在图6-6所示的网络中，网桥都以默认配置启动，在网桥优先级都一样（默认优先级是32768）的情况下，MAC地址最小的网桥成为根桥（如图中的交换机1），它的所有端口的角色都成为指定端口（Designated port），进入转发状态。接下来，其他网桥将各自选择一条“最粗壮”的树枝作为到根桥的路径，相应端口的角色就成为根端口。假设图6-15中交换机2和交换机1、交换机3之间的链路都是千兆GE链路，交换机1和交换机3之间的链路是百兆FE链路，交换机3从端口1到根桥的路径开销的默认值是19，而从端口2经过交换机2到根桥的路径开销是4+4=8（千兆位链路的默认开销为4，百兆位链路的默认开销为19），因为后者的开销要远小于前者，所以端口2就成为根端口（Root Port），进入转发状态。根据同样的计算道理可以得出，交换机2的端口2成为根端口，端口1成为指定端口，进入转发状态。

图6-15  STP协议工作原理

根桥和根端口都确定之后一棵树就生成了，如图6-15中的网桥就是从交换机1→交换机2的2号端口→交换机3的2号端口。下面的任务是裁剪冗余的环路。这个工作是通过阻塞非根桥上相应端口来实现的，例如交换机3的端口1的角色成为禁用端口，进入阻塞状态（图中用“×”表示）。生成树经过一段时间（默认值是30秒左右）稳定之后，所有端口要么进入转发状态，要么进入阻塞状态。STP BPDU仍然会定时从各个网桥的指定端口发出，以维护链路的状态。如果网络拓扑发生变化，生成树就会重新计算，端口状态也会随之改变。

STP协议给透明网桥带来了新生。但是，随着应用的深入和网络技术的发展，它的缺点在应用中也被暴露出来。STP协议的缺陷主要表现在收敛速度上。当拓扑发生变化，新的配置消息要经过一定的时延才能传播到整个网络，这个时延称为Forward Delay（转发延时），协议默认值是15秒。在所有网桥收到这个变化的消息之前，若旧拓扑结构中处于转发的端口还没有发现自己应该在新的拓扑中停止转发，则可能存在临时环路。为了解决临时环路的问题，生成树使用了一种定时器策略，即在端口从阻塞状态到转发状态中间加上一个只学习MAC地址，但不参与转发的中间状态，两次状态切换的时间长度都是Forward Delay，这样就可以保证在拓扑变化的时候不会产生临时环路。但是，这个看似良好的解决方案实际上带来的却是至少两倍Forward Delay的收敛时间！

3．STP的弊端和增强技术 

STP协议的算法广泛运用于二层以太网的收敛和自愈，但是由于它的出现是在局域网的初期所开发的技术，所以它也存在着一些弊端，主要有以下几个不足。

“收敛”是指如果网络上拓扑结构有了变化，从这个时刻开始到整个网络设备中的信息重新一致。这个时间间隔就是收敛时间。交换机有交换机的收敛时间，路由器有路由器的收敛时间。“自愈”是指当业务信道损坏导致业务中断时，网络会自动将业务切换到备用业务信道，使业务能在较短的时间（ITU-T规定为50ms以内）得以恢复正常传输。注意，这里仅是指业务得以恢复，而发生故障的设备和发生故障的信道则还是要人工去修复。

（1）二层数据网的收敛时间过长 

根据IEEE 802.1d协议的算法，每个叶节点的初始化时间约为30秒钟，整个拓扑的收敛将会在45秒左右，即使是一个以太网端口由于插入计算机也需要这个过程。而我们知道一旦在关键网络如主机核心机房的连接，用户期望的值往往要短得多。 

（2）网络拓扑容易引起全局波动 

由于IEEE 802.1d协议中没有域的概念，网络中用户增加或减少设备、设备配置的改变往往会引起全局不必要的波动。用户如果改变其设备参数甚至能引起Bridge Root的改变，出现通信网络的中断，这造成用户在大规模的数据网络中不敢轻易使用IEEE 802.1d协议的算法。 

（3）缺乏对现有多VLAN环境的支持 

IEEE 802.1d协议没有阐明在一个存在多个VLAN情况下如何处理Spanning Tree 的算法，造成一个以太网交换机只支持单个STP运算，从而使得双光纤链路的资源只能利用到一半。

针对以上这些IEEE 802.1d协议自身的不足，网络设备制造商开发了许多增强的技术，以使以太网用于现代高速的宽带网络，这些技术主要有： 

 修改Spanning Tree的算法，大大提高其收敛时间。 

 提出Spanning Tree划分域的概念，将核心网络与用户接入网络的 STP 域分开，保护核心网络的稳定性。这就是目前在VLAN中的VTP域的概念。

 针对以太网交换机开发的多STP协议，就是在每个VLAN上运行的STP算法，互不干扰。也就是后来开发的多生成树协议——IEEE 802.1s协议。

以上几种技术目前仍存在开放标准问题，还没有一个统一的标准被各网络设备商所接受，所以不同厂商的互连需要依情况不同而定。当然二层数据网络的自愈技术不仅是 IEEE 802.1d协议，针对STP的不足，尤其是收敛时间过长这一点，许多知名的网络厂商甚至开发出不需要STP的收敛技术，这种收敛有些是依赖于特殊的光纤端口上，也有一些是建立在光纤以太网技术上的。

6.4.2IEEE 802.1p协议

IEEE 802.1p是流量优先权控制标准，工作在媒体访问控制（MAC）子层。它使得二层交换机能够提供流量优先级和动态组播过滤服务。IEEE 802.1p标准也提供了组播流量过滤功能，以确保该流量不超出第二层交换网络范围。

IEEE 802.1p协议头包括一个3位优先级字段，该字段支持将数据包分组为各种流量种类。IEEE 极力推荐网络管理员实施这些流量种类，但它并不要求强制使用。流量种类也可以定义为第二层服务质量（QoS）或服务类（CoS），并且在网络适配器和交换机上实现，而不需要任何预留设置。IEEE 802.1p流量被简单分类并发送至目的地，而没有带宽预留机制。

IEEE 802.1p是IEEE 802.1q（VLAN标签协议）标准的扩充协议，它们协同工作。IEEE 802.1q标准定义了为以太网MAC帧添加的标签。VLAN 标签有两部分：VLAN ID（12比特）和优先级（3比特）。IEEE 802.1q VLAN标准中没有定义和使用优先级字段，而IEEE 802.1p中则定义了该字段。

IEEE 802.1p中定义的优先级有8种。最高优先级为7，应用于关键性网络流量，如路由选择信息协议（RIP）和开放最短路径优先（OSPF）协议的路由表更新；优先级6和5主要用于延迟敏感（delay-sensitive）应用程序，如交互式视频和语音；优先级4到1主要用于受控负载（controlled-load）应用程序，如流式多媒体（streaming multimedia）和关键性业务流量（business-critical traffic）；优先级0是默认值，并在没有设置其他优先级值的情况下自动启用。 

IEEE 802.1p协议还定义了GARP（Generic Attribute Registration Protocol，通用属性注册协议）。这里的Attribute是指组播MAC地址、端口过滤模式和VLAN等属性。GARP协议实际上可以定义很多交换机应该具有的特性，如GMRP（GARP Multicast Registration Protocol，组播注册协议）和GVRP（GARP VLAN Registration Protocol，虚拟局域网注册协议）两个协议，以后会根据网络发展的需要定义其他的特性。GARP定义了以太网交换机之间交换这些特性信息的方法，如何发送数据包，接收的数据包如何处理，等等。 

GMRP协议是一个动态二层组播注册协议，它的很多方面跟IGMP（Interent组管理协议，属三层组播协议）类似。对于IP地址来说，D类IP地址是组播地址。实际上，对于每一个IP组播地址，都有一个组播MAC地址跟它对应，IEEE 802.1p协议就是根据组播MAC地址来在以太网交换机上注册和取消组播成员身份的，而IGMP是根据组播IP来管理的。当然，如果以太网交换机没有实现GMRP协议，那么就只能通过静态配置来实现组播了。 

那么为什么需要二层组播协议呢？与IGMP协议一样，如果我们在自己的局域网内成立一个组播组，可能我们的局域网包含了很多交换机。如果这些交换机没有实现二层组播协议的话，那么某个组员给其他组员发送数据包时，交换机就会将该数据包向所有的端口广播。因为交换机不知道哪个端口有人加入了该组播组，唯一的解决办法就是管理员配置交换机，只有这样才能将这种广播转发数据包的发送方式住。而组播本身是动态的，所以通过这种靠管理员的配置来实现组播的方式是不现实的。因此，就需要有一个二层组播协议来动态管理组员。这就是为什么需要二层组播协议的原因，目前，许多高档的交换机都把实现IEEE 802.1p和IEEE 802.1q协议（本节后面将具体介绍）作为一个主要的性能指标。 

GVRP是VLAN协议，由于它与GMRP都是基于GARP之上的，所以它们之间的关系很紧密，它们都要对交换机的数据库进行操作，这个协议的具体定义在下面将要介绍的IEEE 802.1q协议中。

6.4.3  IEEE 802.1q协议

IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”（虚拟桥接局域网，简称“虚拟局域网”）协议，主要规定了VLAN的实现方法。下面先介绍有关VLAN的基本概念。 

1．VLAN简介

“Virtual LANs”（虚拟局域网）目前发展很快，世界上主要的大网络厂商在他们的交换机设备中都实现了VLAN协议。在一个支持VLAN技术的交换机中，可以将它的以太网口划分为几个组，比如生产组，工程组，市场组等。这样，组内的各个用户就像在同一个局域网内（可能各组的用户位于很多的交换机上，而非一个交换机）一样，同时，不是本组的用户就无法访问本组的成员，在一定程度上提高了各组的网络安全性。 

实际上，VLAN成员的定义可以分为4种： 

（1）根据端口划分VLAN 

这种划分VLAN的方法是根据以太网交换机的端口来划分的，比如将某交换机的的1~4端口为VLAN A，5~17为VLAN B，18~24为VLAN C……

以上这些属于同一VLAN组的端口可以不连续，如何配置，由管理员决定。另外，如果有多个交换机的话，例如，可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机。

根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1q协议规定的就是如何根据交换机的端口来划分VLAN。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。 

 

（2）根据MAC地址划分VLAN 

这种划分VLAN的方法是根据每个主机的MAC地址来划分的，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。所以可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。 

（3）根据网络层划分VLAN 

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的。虽然这种划分方法可能是根据网络地址，比如IP地址，子网掩码，但它不是路由，不要与网络层的路由混淆。它虽然查看每个数据包的IP地址，但由于不是路由，所以没有RIP（Routing information Protocol，路由信息协议），OSPF（Open Shortest Path First，开放最短路径优先）等路由协议，而是根据生成树算法进行桥交换。

这种方法的优点是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。其缺点是效率低，因为检查每一个数据包的网络层地址是很费时的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这也跟各个厂商的实现方法有关。 

（4）根据IP组播划分 

IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN组。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展。当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。 

通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以很多厂商的交换机都实现了不只一种方法，这样网络管理者可以根据自己的实际需要进行选择。另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。

以前各个厂商都声称他们的交换机实现了VLAN，但各个厂商实现的方法都不相同，所以彼此是无法互连，这样，用户一旦买了某个厂商的交换机，就没法买其他厂商的了。而现在，VLAN的标准是IEEE提出的802.1q协议，只有支持相同的开放标准才能保证网络的互连互通，以及保护网络设备投资。

2．IEEE 802.1q协议简介

IEEE 802.1q协议为标识带有VLAN成员信息的以太帧建立了一种标准方法。IEEE802.1q标准定义了VLAN网桥操作，从而允许在桥接局域网结构中实现定义、运行以及管理VLAN拓朴结构等操作。IEEE 802.1q标准主要用来解决如何将大型网络划分为多个小网络，如此广播和组播流量就不会占据更多带宽的问题。此外IEEE 802.1q标准还提供更高的网络段间安全性。IEEE802.1q完成这些功能的关键在于标签。支持IEEE 802.1q的交换端口可被配置来传输标签帧或无标签帧。一个包含VLAN信息的标签字段可以插入到以太帧中。如果端口有支持IEEE 802.1q的设备（如另一个交换机）相连，那么这些标签帧可以在交换机之间传送VLAN成员信息，这样VLAN就可以跨越多台交换机。但是，对于没有支持IEEE 802.1q设备相连的端口我们必须确保它们用于传输无标签帧，这一点非常重要。很多PC和打印机的NIC并不支持IEEE 802.1q，一旦它们收到一个标签帧，它们会因为读不懂标签而丢弃该帧。在IEEE 802.1q中，用于标签帧的最大合法以太帧大小已由1518字节增加到1522字节，这样就会使网卡和旧式交换机由于帧“尺寸过大”而丢弃标签帧。图6-16就是以太网中的IEEE 802.1q标签帧格式。

图6-16  IEEE 802.1q标签帧格式

6.4.3Preamble（Pre）：前导字段，7字节。Pre字段中1和0交互使用，接收站通过该字段知道导入帧，并且该字段提供了同步化接收物理层帧接收部分和导入比特流的方法。

Start-of-Frame Delimiter（SFD）：帧起始分隔符字段，1字节。字段中1和0交互使用，结尾是两个连续的1，表示下一位是利用目的地址的重复使用字节的重复使用位。 

Destination Address（DA）：目的地址字段，6字节。DA字段用于识别需要接收帧的站。 

Source Addresses（SA）：源地址字段，6字节。SA字段用于识别发送帧的站。 

TPID：标记协议标识字段，2个字节，值为8100（hex）。当帧中的EtherType（以太网类型）字段值也为8100时，该帧传送标签IEEE 802.1q/802.1p。 

TCI：标签控制信息字段，包括用户优先级（User Priority）、规范格式指示器（Canonical Format Indicator，CFI）和VLAN ID。 

说明：“User Priority”定义用户优先级，包括8个（2^3）优先级别。IEEE 802.1p为3比特的用户优先级位定义了操作。“CFI”，在以太网交换机中，规范格式指示器总被设置为0。由于兼容特性，CFI常用于以太网类网络和令牌环类网络之间，如果在以太网端口接收的帧具有CFI，那么设置为1，表示该帧不进行转发，这是因为以太网端口是一个无标签端口。“VID”（VLAN ID）是对VLAN的识别字段，在标准IEEE 802.1q中常被使用。该字段为12位。支持4096（2^12）VLAN的识别。在4096可能的VID中，VID＝0用于识别帧优先级。4095（FFF）作为预留值，所以VLAN配置的最大可能值为4094。

Length/Type：长度/类型字段，2字节。如果是采用可选格式组成帧结构时，该字段既表示包含在帧数据字段中的MAC客户机数据大小，也表示帧类型ID。 

Data：数据字段，是一组n（46≤n≤1500）字节的任意值序列。帧总值最小为字节。 

Frame Check Sequence（FCS）：帧校验序列字段，4字节。该序列包括32位的循环冗余校验（CRC）值，由发送MAC方生成，通过接收MAC方进行计算得出以校验被破坏的帧。

6.4.4  IEEE 802.1w协议

为了解决前面介绍的STP协议缺陷，在20世纪初IEEE推出了802.1w标准。它同样是属于生成树协议类型，称之为“快速生成树协议”（Rapid Spanning Tree Protocol，RSTP），作为对802.1D标准的补充。那么为什么在有了IEEE 802.1d协议后，还要要制定IEEE 802.1w协议呢？原来，IEEE 802.1d协议虽然解决了链路闭合引起的死循环问题，但是生成树的收敛（指重新设定网络中的交换机端口状态）过程仍需比较长的时间（通常约为1分钟）。对于以前的网络来说，1分钟的阻断是可以接受的，毕竟人们以前对网络的依赖性不强，但是现在情况不同了，人们对网络的依赖性越来越强，1分钟的网络故障足以带来巨大的损失，因此IEEE 802.1d协议已经不能适应现代网络的需求了。于是IEEE 802.1w协议协议问世了，它使得收敛过程由原来的1分钟减少为现在的1秒至10秒，因此IEEE 802.1w又称为“快速生成树协议”（RSTP）。对于现在的网络来说，这个速度足够快了。

1．IEEE 802.1w协议原理

IEEE 802.1w RSTP的特点是将许多思科增值生成树扩展特性融入原始IEEE 802.1d中，如Portfast（不需要生成树协议的快速建立连接方式）、Uplinkfast和Backbonefast（这两种都属于生成树协议中和属性）。IEEE 802.1w协议通过利用一种主动的网桥到网桥握手机制，取代IEEE 802.1d根网桥中定义的计时器功能，提供了交换机（网桥）、交换机端口（网桥端口）或整个LAN的快速故障恢复功能。通过将生成树“hello”作为本地链接保留的标志，RSTP改变了拓扑结构的保留方式。这种做法使原始IEEE 802.1d fwd-delay和max-age计时器主要成为冗余设备，目前主要用于备份，以保持协议的正常运营。 

RSTP 引入了新的BPDU处理和新的拓扑结构变更机制。每个网桥每次“hello time”都会生成BPDU，即使它不从根网桥接收时也是如此。BPDU起着网桥间保留信息的作用。如果一个网桥未能从相邻网桥收到BPDU，它就会认为已与该网桥失去连接，从而实现更快速的故障检测和融合。 

在 RSTP 中，拓扑结构变更只在非边缘端口转入转发状态时发生。丢失连接，例如端口转入阻塞状态，不会像IEEE 802.1d一样引起拓扑结构变更。IEEE 802.1w协议的拓扑结构变更通知（TCN）功能不同于IEEE 802.1d协议，它减少了数据的溢流。在IEEE 802.1d中，TCN被单播至根网桥，然后组播至所有网桥。IEEE 802.1d TCN的接收使网桥将转发表中的所有内容快速失效，而无论网桥转发拓扑结构是否受到影响。相形之下，RSTP则通过明确地告知网桥，溢出除了经由TCN接收端口了解到的内容外的所有内容，优化了该流程。TCN行为的这一改变极大地降低了拓扑结构变更过程中，MAC地址的溢出量。

2．IEEE 802.1w标准的改进

在IEEE 802.1w标准里定义了快速生成树协议RSTP。RSTP协议在STP协议基础上做了以下两个重要改进，使得收敛速度快多了（最快1秒以内）。

 根端口和指定端口

IEEE 802.1w设置了快速切换用的替代端口（Alternate Port）和备份端口（Backup Port）两种角色，当根端口/指定端口失效的情况下，替代端口/备份端口就会无时延地进入转发状态。图6-17中所有网桥都运行RSTP协议，交换机1是根桥，左图中设定交换机3的2号端口为端口1的备份端口，备份端口1中的路径信息，这样在端口1号的路径信息丢失后，就可以由端口2中得到。替代端口的作用是用在主端口出现故障时，快速接替主端口的工作。假设交换机3的端口1是根端口，端口2将能够识别这种拓扑结构，成为根端口的替换端口，进入阻塞状态。当端口1所在链路失效的情况下，端口2就能够立即进入转发状态，无需等待两倍Forward Delay时间。

图6-17  RSTP端口作用

6.4.4减少转发延时

使用了RSTP协议后，在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态。如果是连接了3个以上网桥的共享链路，下游网桥是不会响应上游指定端口发出的握手请求的，只能等待两倍Forward Delay时间进入转发状态。

3．IEEE 802.1w标准的缺陷

为了支持这些改进，BPDU的格式做了一些修改，但RSTP协议仍然向下兼容STP协议，可以混合组网。虽然如此，RSTP和STP一样同属于单生成树SST（Single Spanning Tree），仍有它自身的一些缺陷，主要表现在以下3个方面。

由于整个交换网络只有一棵生成树，在网络规模比较大的时候会导致较长的收敛时间，拓扑改变的影响面也较大。

在网络结构对称的情况下，RSTP协议的单生成树也没什么大碍。但是在网络结构不对称的时候，单生成树就会影响网络的连通性。

当链路被阻塞后将不承载任何流量，造成了带宽的极大浪费，这在环行城域网的情况下比较明显。

6.4.56.4.5  IEEE 802.1s协议

IEEE 802.1s标准中的多生成树（Multiple Spanning Tree ，MST）技术把IEEE 802.1w快速单生成树（RST）算法扩展到多生成树，这为虚拟局域网（VLANs）环境提供了快速收敛和负载均衡的功能，是IEEE 802.1 VLAN标记协议的扩展协议。

1．MST工作原理 

IEEE802.1s引入了IST（Single Spanning Tree，单生成树）概念和MST实例。IST是一种RSTP实例，它扩展了MST区域内的802.1D单一生成树。IST连接所有MST网桥，并从边界端口发出、作为贯穿整个网桥域的虚拟网桥。MST实例（MSTI）是一种仅存在于区域内部的RSTP实例。它可以默认运行RSTP，无须额外配置。不同于IST的是，MSTI在区域外既不与BPDU交互，也不发送BPDU。MST可以与传统的PVST+交换机互操作。思科实施定义了16种实例：一个IST（实例0）和15个MSTI，而IEEE 802.1s则支持一个IST和63个MSTI。

RSTP和MSTP都能够与传统生成树协议互操作。但是，当与传统网桥交互时，IEEE 802.1w的快速融合优势就会失去。为保留与基于IEEE 802.1d网桥的向后兼容性，IEEE 802.1s协议网桥在其端口上接听IEEE 802.1d格式的BPDU（网桥协议数据单元）。如果收到了IEEE 802.1d BPDU，端口会采用标准IEEE 802.1d行为，以确保兼容性。

采用MST技术后，可以通过干道（trunks）建立多个生成树，关联VLANs到相关的生成树进程，而且每个生成树进程具有于其他进程的拓扑结构。MST还提供了多个数据转发路径和负载均衡，提高了网络容错能力，因为一个进程（转发路径）的故障不会影响其他进程（转发路径）。

每台运行MST的交换机都拥有单一配置，包括一个字母数字式配置名、一个配置修订号和一个4096部件表，与潜在支持某个实例的各4096 VLAN相关联。作为公共MST区域的一部分，一组交换机必须共享相同的配置属性。重要的是要记住，配置属性不同的交换机会被视为位于不同的区域。

在大型网络的不同网络部分，通过MST来定位不同VLANs和生成树进程的分配可以更容易地管理网络和使用冗余路径；一个生成树进程只能存在于具有一致的VLAN进程分配的桥中，必须用同样的MST配置信息来配置一组桥，这使得这些桥能参与到一组生成树进程中，具有同样的MST配置信息的互连的桥构成多生成树（MST）区。

为确保一致的VLAN实例映射，协议需要识别区域的边界。因此，区域的特征都包括在BPDU中。交换机必须了解它们是否像邻居一样位于同一区域，因此会发送一份VLAN实例映射表摘要，以及修订号和名称。当交换机接收到BPDU后，它会提取摘要，并将其与自身的计算结果进行比较。为避免出现生成树环路，如果两台交换机在BPDU中所接收的参数不一致，负责接收BPDU的端口就会被宣布为边界端口。

2．MST的主要特性

多生成树（MST）使用修正的快速生成树协议（RSTP）——多生成树协议（MSTP）。MST具有下列特性。

（1）MST在MST区中运行IST常量

MST协议运行一个生成树常量叫做内部生成树（IST），IST用有关MST区的内部信息增加了通用生成树的信息，而MST区对于相邻的单生成树（SST）和MST区就像一个单独的桥。

（2）一个运行MST的桥提供与单生成树桥的互操作性

在MST协议中，内部生成树（IST）连接区中的所有MST桥，并且是通用生成树（CST）的一个子树。通用生成树包含整个的桥域，MST区对于相邻的单生成树（SST）桥和MST区就像一个虚桥。通用和内部生成树（CIST）是每个MST区的内部生成树（IST）、互连MST区的通用生成树和单生成树桥的一个集合，它与一个MST区内的一个IST和一个MST区外的CST都是一样的。STP、RSTP和MSTP共同建立一个单独的桥来作为通用和内部生成树（CIST）的根。

（3）MST在每个区内建立和维护额外的生成树

这些建立和维护额外的生成树就是MST进程（MSTIS）。IST的进程号为0，MSTIS的进程号为1、2、3等。即使MST区是互连的，任何MSTI也都是本地于MST区并且于另一个区的MSTI，MST进程和IST在MST区的边界组合在一起构成了CST。MSTI的生成树信息包含在MSTP的记录（M-record）中，M-record总是封装在MST的BPDUS中。由MSTP计算的原始生成树叫做M树（M-tree），M树只在MST区活跃，M树和IST在MST区的边界合并而形成CST

6.4.66.4.6  IEEE 802.1x协议

IEEE 802.1x也称为“基于端口的访问控制协议”（Port based network access control protocol）。它的体系结构包括3个重要的部分：Supplicant System（客户端系统）、Authenticator System（认证系统）、Authentication Server System（认证服务器系统）。

“客户端系统”一般为一个用户终端系统。该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL（Extensible Authentication Protocol Over LAN）协议。 

“认证系统”通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等），有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接收认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。 

“认证服务器系统”通常为RADIUS服务器。该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。

注意：在IEEE 802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解，设备内部并不存在这样的物理开关。对于每个用户而言，IEEE 802.1x协议均为其建立一条逻辑的认证通道，该逻辑通道其他用户无法使用，不存在端口打开后被其他用户利用问题。

IEEE 802.1x认证协议已经得到了很多软件厂商的重视，目前微软也在大力推广，并在Windows操作系统中的最新版Windows XP/Server 2003系统已经整合IEEE 802.1x客户端软件，无需要另外安装客户端软件。

1．IEEE 802.1x协议技术特点 

（1）协议实现简单 

IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。 

（2）认证和业务分离 

IEEE 802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式。 

2．与其他认证方式的比较 

IEEE 802.1x协议虽然源于IEEE 802.11无线以太网，但是它在以太网中的引入，解决了传统的PPPoE和Web/Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。 

众所周知，PPPoE是从基于ATM的窄带网引入到宽带以太网的。由此可以看出，PPPoE并不是为宽带以太网量身订做的认证技术，将其应用于宽带以太网，必然会有其局限性。虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是它的封装方式，也造成了宽带以太网的种种问题。在PPPoE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈。其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发。为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。 

Web/Portal认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于Web认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。再者，Web是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击而瘫痪，整个网络就没法认证了。为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。Web/Portal认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；用户在访问网络前，不管是 Telnet、FTP还是其他业务，必须使用浏览器进行Web认证，易用性不够好；而且认证前后业务流和数据流无法区分。所以，在以太网中，Web/Portal认证目前只是限于在酒店等特殊网络环境中使用。

3．IEEE 802.1x协议的优点

总结起来IEEE 802.1x有以下5大优点。 

 简洁高效：纯以太网技术内核，保持IP网络无连接特性，去除冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业务。 

 容易实现：可在普通L3、L2、IP DSLAM上实现，网络综合造价成本低。 

 安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户和密码等；绑定技术具有很高的安全性。 

 行业标准：IEEE标准，微软操作系统内置支持。 

 易于运营：控制流和业务流完全分离，易于实现多业务运营，少量改造传统包月制等单一收费制网络即可升级成运营级网络。

6.5  IEEE 802.2逻辑链路控制协议

逻辑链路控制（Logic Link Control，LLC）是一种IEEE 802.2 LAN协议，规定了局域网参考模型中数据链路层中LLC子层的实现。IEEE 802.2 LLC应用于IEEE802.3（以太网）和 IEEE802.5（令牌环）LAN，以实现如下功能：

管理数据链路通信； 

链接寻址； 

定义服务接入点Service Access Points（SAP）； 

排序。

LLC为上层提供了处理任何类型MAC层的方法，例如，以太网IEEE 802.3 CSMA/CD 或者令牌环IEEE 802.5令牌传递（Token Passing）方式。它是在高级数据链路控制（High-Level Data-Link Control，HDLC）的基础上发展起来的，并使用了HDLC规范的子集。LLC 定义了3种数据通信操作类型。

类型1：无连接。该方式不保证发送的信息一定可以收到。

类型2：面向连接。该方式提供了4种服务，连接的建立、确认和数据到达响应、差错恢复（通过请求重发接收到的错误数据实现）以及滑动窗口（系数：128）。滑动窗口用来提高数据传输速率。

类型3：无连接应答响应服务。

类型1的LLC无连接服务中规定了一种静态帧格式，并允许在其上运行网络协议。使用传输层协议的网络协议通常会使用服务类型1方式。类型2的 LLC 面向连接服务支持可靠数据传输，运用于不需要调用网络层和传输层协议的局域网环境 。 

逻辑链路控制层（LLC）头帧格式如图6-18所示。

图6-18 逻辑链路控制层（LLC）头帧格式

DSAP ：目标服务访问点（Destination Service Access Point），其结构如图6-19所示。I/G（个人/组地址）：0 表示个人DSAP；1表示组DSAP。

图6-19  DSAP字段结构

SSAP：源服务访问点（Source Service Access Point）字段结构如图6-20所示。

图6-20  SSAP字段结构

C/R（命令/响应）：0表示命令；1 表示响应。

Control ：控制（Control）字段结构如图6-21所示。

N（S）：发送方发送序列号（Transmitter send sequence number）。

N（R）：发送方接收序列号（Transmitter receive sequence number）。

P/F：Poll/final（命令LLC PDU传输/响应LLC PDU传输）位。

S：监督功能位。 

00：准备接收（RR）。 

01：拒绝（REJ）。 

10：未准备接收（RNR）。 

X：预留，值为0。

M：修正功能位。