数据链路层设备的主要功能是完成局域网之间的互联或计算机与局域网的互联。但连接后形成的网络仍然是局域网。

（一）数据链路层

1.数据链路层协议的目标

OSI协议中数据层的第二层是数据链路层，其网络设备的目标是通过打开数据包中的第二层MAC地址，进行判断处理，以实现在各个端口能同时相互传递数据。利用第二层数据链路层进行交换方式传递的网络设备有网桥和二层交换机两种。

网桥外观结构类似于第一层设备中的中继器，只有两个端口，它用于转换不同MAC地址格式的数据。其处理过程中，一般要先临时存储接收的一个完整的数据包，然后再转发（经常会需要将原数据做重新封装）。网桥与第一层的中继器（只是直接将数据帧照原样转发）不同。这种设备在目前100Mbit/s的以太网不常见，它一般用于与不同网络结构转换，如令牌环网、以太网或无线网络之间的连接情况。

二层交换机外观也类似于集线器，只是工作过程采用了上述网桥的操作过程，要对MAC地址处理后再向不同端口转发。

2.第二层设备的工作过程

交换式通信方式（不同于电路方式），每个数据帧都包含了第二层设备的物理地址。为此，第二层交换设备对各端口输入的数据的处理过程如下：

（1）预先记录好网络设备中每个端口的源MAC地址，构成与“端口与MAC地址”的对应关系。根据此表就可以判断哪个端门接有哪些设备（MAC地址），这一步操作称为二层交换机的自学习过程。

（2）当有数据从某端口输入时，交换机则打开数据帧，查看其中的目标MAC地址。

（3）从“端口与MAC地址”表中找出该设备的相应端口，将数据从该端口发送出去。

（4）由于各端口独立处理各自的数据包，因此可以同时建立不同的数据交换传输通道。

（5）在第（2）步中，对于表中找不到的目标MAC地址，交换机会采取向所有端口发送的广播方式。

3.二层设备的特点

二层交换机就像是在一个网络中架设了立交桥，各个方向的数据可以同时运行。它的效率非常高，可以保证每条线路都满负荷运行，如1Gbit的二层交换机可实现每台主机都独立地以1Gbit/s速率传输数据。

交换机是用来提高LAN性能的设备。在许多网络中，交换机已经替代集线器来提高终端用户的性能。组成交换局域网络，可以进行地址间转发数据。各端口有高的带宽。

（二）网桥

1.网桥的工作原理

以太网是共享介质的物理层接收帧，如果目的地址和自己的地址一致（或者是广播消息），就留下；反之则转发。因此当主机的数量增加时，网络就会变得十分嘈杂，传送效率明显降低。当局域网上的用户日益增多，工作站数量日益增加时，局域网上的信息量也将随着增加，可能会引起局域网性能的下降。这是所有局域网共存的一个问题。在这种情况下，必须将网络进行分段，以减少每段网络上的用户量和信息量。将网络进行分段的设备就是网桥。网桥（Bridge）也称桥接器，是连接两个局域网的存储转发设备，用它可以完成具有相同或相似体系结构网络系统的连接。网桥的第二个适应场合就是用于互联两个相互独立而又有联系的局域网。网桥是在数据链路层上连接两个网络，即网络的数据链路层（MAC）不同而网络层相同时要用网桥连接。

网桥将一个大型的以太网分为几个小网段，可以取得减少通信量的作用。试将100台主机分为4段，如图5-2所示。从左到右、从上到下分别是网段1、网段2、网段3和网段4。

刚开始的时候，网桥不知道网络上的主机在什么地方，因此它只有把收到的帧向所有网段广播。这里要注意，当网桥接收到第一个帧时，它就知道了发送此帧的主机的地址，因为这个地址就包括在帧中。只有一个地址，网桥只有向其他网段广播这个帧（当然不向包括源主机的网段广播了）。假设计算机1向计算机76发送一个帧，网桥在接收到这个帧之后就知道计算机1在网段1了，网桥现在还不知道计算机76在什么地方，于是向网段2～4发送此帧。如果计算机76又向计算机1发送消息时，网桥就知道计算机1在网段1，于是不再向网段2和网段3发送消息。而且此时因为计算机76发送的帧中也包括计算机76所在的网段，所以网桥已经知道了计算机76在网段4，最终网桥就知道了所有的计算机所处的位置。

那么如果一台计算机换位置了怎么办呢？如果计算机2从网段1到了网段3，在计算机2没有发送消息之前，谁也不可能和它通信，因为网桥觉得它还在网段1呢，于是消息都发到网段1，计算机2当然什么也收不到，但是当计算机2发送消息后，网桥查询自己的学习表，知道有台计算机出了问题，于是它更新学习表的相应表项，这时计算机2就可以和其他计算机通信了。

图5-2　网桥连接示意图

网桥是在数据链路层实现网络的互联。适合于类型或结构相似的网络，特别是局域网之间的互联。在数据链路层，可实现Repeater的功能，将负载过重的网络分开成两个网段，提高网络利用率。可连接不同的线缆（如双绞线和同轴电缆）和不同的网段间的数据传输（如Ethernet和Token Ring）。网桥具备过滤功能，它检查帧的目的地址、协议等信息，将需要传送的帧送出去，把属于本地网络的帧留下，从而减少网络层的信息流量。一般情况下，被连接的网络系统都具有相同的逻辑链路控制规程（LLC），但媒体访问控制协议（MAC）可以不同。网桥是数据链路层的连接设备。准确地说，网桥工作在MAC子层上。网桥在两个局域网的数据链路层（DDL）间接收帧传送信息，在OSI/RM中的位置如图5-3所示。

图5-3　OSI/RM中的网桥

网桥是在数据链路层上实现不同网络的互联的设备，它的基本特征是：

（1）网桥能够互联两个采用不同数据链路层协议、不同传输介质与传输速率的网络。

（2）网桥以接收、存储、地址过滤与转发的方式实现互联的网络之间的通信。

（3）网桥需要互联的网络在数据链路层以上采用相同的协议。

（4）网桥可以分隔两个网络之间的广播通信量，有利于改善互联网络的性能与安全性。

网桥在局域网中经常被用来将一个大型局域网分成既独立又能相互通信的多个子网的互联结构，从而可以改善各个子网的性能与安全性。

2.网桥的功能

网桥的功能主要有3点：

（1）源地址跟踪。网桥具有一定的路径选择功能，它在任何时候收到一个帧以后，都要确定其正确的传输路径，将帧送到相应的目的站点。网桥将帧中的源地址记录到它的转发数据库（或者地址查找表）中，该转发库就存放在网桥的内存中，其中包括了网桥所能见到的所有连接站点的地址。这个地址数据库是互联网所独有的，它指出了被接收帧的方向，或者仅说明网桥的哪一边接收到了帧。能够自动建立这种数据库的网桥称为自适应网桥。在一个扩展网络中，所有网桥均应采用自适应方法，以便获得与它有关的所有站点的地址。网桥在工作中不断更新其转发数据库，使其渐趋完备，有些厂商提供的网桥允许用户编辑地址查找表，这样有助于网络的管理。

（2）帧的转发和过滤。在相互连接的两个局域网之间，网桥起到了转发帧的作用，它允许每个局域网上的站点与其他站点进行通信，看起来就像在一个扩展网络上一样。为了有效地转发数据帧，网桥提供了存储和转发功能，他自动存储接收进来的帧，通过地址查询表完成寻址；然后把它转发到源地址另一边的目的站点上，而源地址同一边的帧就被从存储区中删除。

过滤（Filter）是阻止帧通过网桥的处理过程，有3种基本类型。第一种是目的地址过滤。当网桥从网络上接收到一个帧后，首先确定其源地址和目的地址，如果源地址和目的地址处于同一局域网中，就简单地将其丢弃，否则就转发到另一局域网上，这就是所谓的目的地址过滤。第二种是源地址过滤。根据需要，网桥拒绝某一特定地址帧的转发，这个特定的地址是无法从地址查找表中取得的，但是可以由网络管理模块提供。事实上，并非所有网桥都进行源地址的过滤。第三种是协议过滤。目前，有些网桥还能提供协议过滤功能，它类似于源地址过滤，由网络管理模块指示网桥过滤指定的协议帧。在这种情况下，网桥根据帧的协议信息来决定是转发还是过滤该帧，这样的过滤通常只用于控制流量、隔离系统以及为网络系统提供安全保护。

（3）状态监督。网桥的另一项重要功能是对扩展网络的状态进行监督，其目的就是为了更好地调整拓扑逻辑结构，有些网桥还可对转发和丢失的帧进行统计，以便进行系统维护。网桥管理还可以间接地监视和修改转发地址数据库，允许网络管理模块确定网络用户站点的位置，以此来管理更大的扩展网络。

3.网桥的分类

网桥的一种分类是按照协议划分的，分别由IEEE的802.1和802.5两个分委员会来制定，它们的区别在于路由选择的策略是不同的。基于这两种标准的网桥分别是透明网桥与源路由选择网桥。

（1）透明网桥。IEEE 802.1标准的网桥是由各网桥自己来决定路由选择，而局域网上的各站不负责路由选择，因此这类网桥又称为透明网桥。所谓“透明网桥”，是指它对任何数据站都完全透明，用户感觉不到它的存在，也无法对网桥寻址。所有的路由判决全部由网桥自己确定。当网桥联入网络时，它能自动初始化并对自身进行配置。

图5-4　网桥的原理示意图

图5-4是网桥的原理示意图，图5-5是网桥连接局域网时转发数据的内容。局域网网段与网桥相连的口称为网桥端口。基本网桥只有两个口，而多口网桥可有多个连接局域网的端口。每个网桥端口都是由与特定局域网类型相应的MAC集成电路芯片以及相关端口管理软件组成。端口管理软件在加电时负责对该芯片进行初始化，并对缓冲器进行管理。一般情况下，可供使用的存储器在逻辑上分成若干固定尺寸和单位，称为缓冲器。缓冲管理涉及将空闲缓冲器指针传递到集成电路芯片，以便准备好接收帧。同样，也将帧缓冲器指针传递给芯片，以便转发帧。所有网桥都以不加选择的方式来操作，这意味着网桥在其每个端口都将外入的帧接收下来，并进行缓冲。当帧由MAC芯片在一个端口接收并置入分配的缓冲器时，端口管理软件便使芯片准备好接收新帧，随后便将包括接收帧的缓冲器的指针传递给网桥协议实体进行处理。如果网桥在其端口同时到达两个或多个帧，并需要将这些帧从同一端口转发，端口管理软件和网桥协议实体软件间的缓冲器指针的传递则通过一组队列实现。

网桥的转发和滤除可通过图5-5来说明。图5-5中连接LAN1和LAN2的网桥1具有两个端口，连接LAN2和LAN3的网桥2也有两个端口。两个网桥内的地址数据库标明了从哪个端口转发可达到的站。当网桥收到一个帧时，便可通过查找地址数据库来确定是将帧滤除还是转发。由于网桥操作在数据链路层的MAC子层，通过对MAC帧中站地址的检查便可建立起这种地址数据库。根据MAC帧地址建立地址数据库的过程称“自学习”过程。

透明网桥的最大优点是容易安装。(www.daowen.com)

图5-5　网桥连接LAN的数据转发过程

（2）源路由选择网桥。IEEE802.5标准的网桥是由发送帧的源节点负责路由选择，即源节点路由选择网桥假定了每一个节点在发送帧时都已经清楚地知道发往各个目的节点的路由，源节点发送帧时需要将详细的路由信息放在帧的首部，因此这类网桥又称为源路由选择网桥。源路由选择网桥主要用于互联令牌环网，但在理论上可用于连接任何类型的LAN。源路由选择网桥与其他网桥的一个基本区别是，源路由选择网桥要求信息源（不是网桥本身）提供传递帧到终点所需的路由信息。使用源路由选择网桥时，网桥不需要保存地址数据库，它对帧实施转发和滤除的依据是帧信封内包括的数据。信源要想在发送数据时写入到达终点的路由，必须先通过“路由探询过程”来获得。路由探询可用几个方法来实现，如图5-6所示的结构，5个令牌环网由3个源路由选择网桥连接。假定LAN1站有报文向LAN5上的站发送。LAN1上的站通过发送探询包来启动路径发现过程。探询包使用独一无二的信封，只有源路由选择网桥才能识别。每个源路由选择网桥一旦收到探询包，便打入接收该探询包的连接和自身的名字到路由选择信息字段。随后网桥便将探询包四处扩散到接收包的连接之外的所有连接上。因此，同一探询报文的多个拷贝可能出现在LAN上，探询帧接收者也将收到多个拷贝，从源点到终点每一可能的通路便有一个拷贝。每个接收到的帧都包括由连接/网桥名字构成的系列表，该系列表列出了从源到终点的可能路径。LAN5的接收者可能收到多个探询报文，于是根据最快最直接的原则选择一个路径，并向LAN1的发信者发回一个响应。该响应列出源和终点间的由中间桥和LAN连接组成的特定路径。

图5-6　源路由网桥的示意图

LAN1的信源发现此路径后，将其存储在存储器中，供其随后使用。这些报文包括在由源路由选择网桥可以识别的不同类型的信封中。网桥接收到这种信封，只需对连接和网桥组成的表进行扫描即可获得转发信息。

网桥的另一种分类是按照功能进行划分的。

（3）内桥。内桥是通过文件服务器中的不同网卡连接起来的局域网，如图5-7所示。

图5-7　内桥网络结构

（4）外桥。外桥不同于内桥，外桥安装在工作站上，它实现连接两个相似的局域网络，如图5-8所示。外桥可以是专用的，也可以是非专用的。专用外桥不能作为工作站使用，它只能用来建立两个网络之间的连接，管理网络之间的通信。非专用外桥既起网桥的作用，又能作为工作站使用。

（5）远程桥。远程桥是实现远程网之间连接的设备，通常远程桥使用调制解调器与传输介质，例如用电话线实现两个局域网的连接。远程桥如图5-9所示。

图5-8　外桥网络结构

图5-9　远程桥网络结构

（三）局域网的应用环境

在很多实际应用中，需要将多个局域网互联起来。这些应用环境主要是：

（1）一个单位的很多部门都需要将各自的服务器、工作站与微型机互联成网，不同的部门根据各自的需要选用了不同的局域网，而各个部门之间又需要交换信息、共享资源，这样就需要把多个局域网互联起来。

（2）一个单位有多幢办公楼，每幢办公楼内部建立了局域网，这些局域网需要互联起来，构成支持整个单位管理信息系统的局域网环境。

（3）在一个大型的企业或校园内，有数千台计算机需要联网。如果将它们用一个局域网连接，局域网的负荷增加，性能下降。可行的办法是将数千台计算机按地理位置或组织关系划分为多个子网，每个子网是一个局域网，多个局域网互联起来构成一个大型的企业网或校园网。

（4）如果联网计算机之间的距离超过了单个局域网的最大覆盖范围，可以将它们分成几个局域网来组建，再把这几个局域网互联起来。

（5）如果一个企业中某一部门的信息对安全、保密方面要求较高，可以将这一部门的计算机单独联在一个局域网内，再把这个局域网与企业的其他局域网互联起来。

（四）虚拟局域网技术

通信的局域网网段所组成的一个广播域，这个域中的广播能到达这一虚拟局域网中的任何一个站点。VLAN是建立在局域网基础上的一种特殊的局域网，VLAN并没有改变原有网络的结构，它是按一定的方法将不同局域网和不同网段中的工作站在逻辑上进行重组。

与普通局域网相似，虚拟局域网中的所有成员都只能接收到其中其他成员发送的数据，而不同虚拟局域网之间不能相互交换数据。如需要在不同虚拟局域网之间进行通信则需要进行重新设置“规则”，甚至增加设备。

虚拟局域网（VLAN）技术主要可以解决以下4个问题：

（1）虚拟局域网之间的通信问题。

（2）分组规划问题。

（3）不同标准虚拟局域网之间的互操作问题。

（4）虚拟局域网的标准化问题。

简单地讲，虚拟局域网（VLAN）是指那些看起来好像在同一个物理局域网中能够相互通信的设备的集合。对于以端口划分的VLAN而言，任何一个端口的集合（甚至交换机上的所有端口）都可以被看作是一个VLAN。VLAN的划分不受硬件设备物理连接的限制，用户可以通过命令灵活地划分端口，创建定义VLAN。使用VLAN的优点如下：

（1）VLAN能帮助控制流量。在传统网络中，不管是否必要，大量广播数据被直接送往所有网络设备，从而导致网络堵塞。而VLAN的设置能够使每个VLAN只包含那些必须相互通信的设备，从而减少广播，提高网络效率。

（2）VLAN提供更高的安全性。每个VLAN中的设备只能与本VLAN中的设备通信。例如，如果VLAN Market的设备要和VLAN Sales的设备通信，则只有通过路由器才能进行，在没有三层路由设备的情况下两个部门不能直接通信，从而提高了网络安全性能。

（3）VLAN使网络设备的变更和移动更加方便。在传统网络中，网络管理员不得不在网络设备的变更和移动上花费大量的时间和精力。如果用户移动到另一个不同的子网，那么每个终端的地址都得重新设置。而使用VLAN则不需要这些复杂繁琐的设置，见图5-10。

图5-10　VLAN示意图

在采用VLAN技术前，如果两楼间用路由器连接，则无法为某些同一个部门又分设在不同楼内的计算机建立一个相同的网域，只能各自分在不同网域。建立VLAN后，局域网的设置不受物理分布的限制，任意划分逻辑子网。

VLAN的技术标准为IEEE 802.1q。建立VLAN可以支持IEEE 802.1q的二层交换机上，根据主机的MAC地址、交换机的端口、IP地址或用户使用的协议不同，来实现多种划分VLAN的方法。最简单和常用的方法是根据交换机的端口划分VLAN，而且为了安全起见，还可以规定每个端口允许哪些MAC地址通过。