局域网监控技术局域网管理之网桥概念、网桥分类、网桥功能、网桥优点缺点、网桥原理.

一、什么是网桥？

网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧， 可以看作一个低层的路由器（路由器工作在网络层，根据网络地址如IP地址进行转发）。 网桥（Bridge）像一个聪明的中继器。中继器从一个网络电缆里接收信号，放大它们，将其送入下一个电缆。它们毫无目的的这么做，对它们所转发消息的内容毫不在意。相比较而言，网桥对从关卡上传下来的信息更敏锐一些。

网桥将两个相似的网络连接起来，并对网络数据的流通进行管理。它工作于数据链路层，不但能扩展网络的距离或范围，而且可提高网络的性能、可靠性和安全性。网络1和网络2通过网桥连接后，网桥接收网络1发送的数据包，检查数据包中的地址，如果地址属于网络1，它就将其放弃，相反，如果是网络2的地址，它就继续发送给网络2。这样可利用网桥隔离信息，将网络划分成多个网段，隔离出安全网段，防止其他网段内的用户非法访问。由于网络的分段，各网段相对独立，一个网段的故障不会影响到另一个网段的运行。网桥可以是专门硬件设备，也可以由计算机加装的网桥软件来实现，这时计算机上会安装多个网络适配器（网卡）。

二、网桥功能和优缺点

网桥的功能在延长网络跨度上类似于中继器，然而它能提供智能化连接服务，即根据帧的终点地址处于哪一网段来进行转发和滤除。网桥对站点所处网段的了解是靠“自学习”实现的。当使用网桥连接两段LAN时，网桥对来自网段1的MAC帧，首先要检查其终点地址。如果该帧是发往网段1上某一站的，网桥则不将帧转发到网段2，而将其滤除；如果该帧是发往网段2上某一站的，网桥则将它转发到网段2。这表明，如果LAN1和LAN2上各有一对用户在本网段上同时进行通信，显然是可以实现的。因为网桥起到了隔离作用。可以看出，网桥在一定条件下具有增加网络带宽的作用。

网桥的存储和转发功能与中继器相比有优点也有缺点，其优点是：使用网桥进行互连克服了物理限制，这意味着构成LAN的数据站总数和网段数很容易扩充。网桥纳入存储和转发功能可使其适应于连接使用不同MAC协议的两个LAN。;因而构成一个不同LAN混连在一起的混合网络环境。网桥的中继功能仅仅依赖于MAC帧的地址，因而对高层协议完全透明。网桥将一个较大的LAN分成段，有利于改善可靠性、可用性和安全性。

网桥的主要缺点是：由于网桥在执行转发前先接收帧并进行缓冲， 与中继器相比会引入更多时延。由于网桥不提供流控功能，因此在流量较大时有可能使其过载，从而造成帧的丢失。网桥的优点多于缺点正是其广泛使用的原因。远程网桥通过一个通常较慢的链路（如电话线）连接两个远程LAN，对本地网桥而言，性能比较重要， 而对远程网桥而言，在长距离上可正常运行是更重要的。

三、网桥与路由器的比较

网桥并不了解其转发帧中高层协议的信息，这使它可以同时以同种凡是处理IP、IPX等协议， 它还提供了将无路由协议的网络（如NetBEUI）分段的功能。由于路由器处理网络层的数据，因此它们更容易互连不同的数据链路层，如令牌环网段和以太网段。 网桥通常比路由器难控制。象IP等协议有复杂的路由协议，使网管易于管理路由； IP等协议还提供了较多的网络如何分段的信息（即使其地址也提供了此类信息）。 而网桥则只用MAC地址和物理拓扑进行工作。因此网桥一般适于小型较简单的网络

四、使用网桥的原因

许多单位都有多个局域网，并且希望能够将它们连接起来。之所以一个单位有多个局域网，有以下6个原因：
（1）许多大学的系或公司的部门都有各自的局域网，主要用于连接他们自己的个人计算机、工作站以及服务器。 由于各系（或部门）的工作性质不同，因此选用了不同的局域网，这些系（或部门）之间早晚需相互交往，因而需要网桥。
（2）一个单位在地理位置上较分散，并且相距较远，与其安装一个遍布所有地点的同轴电缆网， 不如在各个地点建立一个局域网，并用网桥和红外链路连接起来，这样费用可能会低一些。
（3）可能有必要将一个逻辑上单一的LAN分成多个局域网，以调节载荷。例如采用由网桥连接的多个局域网， 每个局域网有一组工作站，并且有自己的文件服务器，因此大部分通信限于单个局域网内，减轻了主干网的负担。
（4）在有些情况下，从载荷上看单个局域网是毫无问题的，
但是相距最远的机器之间的物理距离太远（比如超过802.3所规定的2.5km）。即使电缆铺设不成问题， 但由于来回时延过长，网络仍将不能正常工作。唯一的办法是将局域网分段，在各段之间放置网桥。 通过使用网桥，可以增加工作的总物理距离。
（5）可靠性问题。在一个单独的局域网中，一个有缺陷的节点不断地输出无用的信息流会严重地破坏局域网的运行。 网桥可以设置在局域网中的关键部位，就像建筑物内的放火门一样，防止因单个节点失常而破坏整个系统。
（6）网桥有助于安全保密。大多数LAN接口都有一种混杂工作方式(promiscuous mode)，在这种方式下，
计算机接收所有的帧，包括那些并不是编址发送给它的帧。如果网中多处设置网桥并谨慎地拦截无须转发的重要信息， 那么就可以把网络分隔以防止信息被窃。

五、网桥兼容性问题

有人可能会天真地认为从一个802局域网到另一个802局域网的网桥非常简单，但实际上并非如此。 在802.x到802.y的九种组合中， 每一种都有它自己的特殊问题要解决。在讨论这些特殊问题之前，先来看一看这些网桥共同面临的一般性问题。

（1）首先，各种局域网采用了不同的帧格式。这种不兼容性并不是由技术上的原因造成的， 而仅仅是由于支持三种标准的公司(Xerox, GM和IBM)，没有一家愿意改变自己所支持的标准。其结果是： 在不同的局域网间复制帧要重排格式，这需要占用CPU时间，重新计算校验和， 而且还有可能产生因网桥存储错误而造成的无法检测的错误。

（2）第二个问题是互联的局域网并非必须按相同的数据传输速率运行。当快速的局域网向慢速的局域网发送一长串连续帧时， 网桥处理帧的速度要比帧进入的速度慢。网桥必须用缓冲区存储来不及处理的帧，同时还得提防耗尽存储器。 即使是10Mb/s的802.4到10Mb/s的802.3的网桥，在某种程度上也存在这样的问题。因为802.3的部分带宽耗费于冲突。 802.3实际上并不是真的10Mb/s，而802.4(几乎)确实为10Mb/s。与网桥瓶颈问题相关的一个细微而重要的问题是其上各层的计时器值。假如802.4局域网上的网络层想发送一段很长的报文(帧序列)。 在发出最后一帧之后，它开启一个计时器，等待确认。如果此报文必须通过网桥转到慢速的802.5网络， 那么在最后一帧被转发到低速局域网之前，计时器就有可能时间到。网络层可能会以为帧丢失而重新发送整个报文。 几次传送失败后，网络层就会放弃传输并告诉传输层目的站点已经关机。

（3）第三，在所有的问题中，可能最为严重的问题是三种802 LAN有不同的最大帧长度。对于802.3，最大帧长度取决于配置参数， 但对标准的10M/bs系统最大有效载荷为1500字节。
802.4的最大帧长度固定为8191字节。802.5没有上限，只要站点的传输时间不超过令牌持有时间。如果令牌时间缺省为10ms， 则最大帧长度为5000字节。一个显而易见的问题出现了：当必须把一个长帧转发给不能接收长帧的局域网时，将会怎么样？ 在本层中不考虑把帧分成小段。所有的协议都假定帧要么到达要么没有到达，没有条款规定把更小的单位重组成帧。 这并不是说不能设计这样的协议，可以设计并已有这种协议，只是802不提供这种功能。这个问题基本上无法解决， 必须丢弃因太长而无法转发的帧。其透明程度也就这样了。由于各种802 LAN的特殊性，如：802.4帧带有优先权位、802.5帧字节中有A和C位等，九种网桥都有其特殊的问题，见下表： 

           目的LAN
           802.3(CSMA/CD  802.4(令牌总线)     802.5(令牌环)
源LAN      802.3          1,4                 1,2,4,8 
           802.4          1,5,8,9,10 9        1,2,3,8,9,10 
           802.5          1,2,5,6,7,10        1,2,3,6,7 6,7 

1、重新格式化帧，并计算新的校验和。2、反转比特顺序。3、复制优先权值，不管有无意义。4、产生一个假想的优先权。5、丢弃优先权。6、流向环（某种程度上）。7、设置A位和C位。8、担心拥塞（快速LAN至慢速LAN）。9、担心令牌因为交换ACK延迟或不可能而脱手。10、如果帧对目的LAN太长，则将其丢弃。

设定的参数：　802.3：1500字节帧 10Mb/s(减去碰撞次数)；　802.4：8191字节帧 10Mb/s；　802.5：5000字节帧 4Mb/s ；

当IEEE802委员会开始制订LAN标准时，未能商定一个统一的标准，却产生了3个互不兼容的标准，这一失策已受到了严厉的抨击。 后来，在制定互联这3种LAN的网桥的标准时，该委员会决心干得好一些。这一次确实较为成功，他们提出了2种互不兼容的网桥方案。 直到目前为止，还无人要求该委员会制订连接它的2个不兼容网桥的网关标准。

六、两种网桥对比

1、透明网桥

第一种802网桥是透明网桥(transparent bridge)或生成树网桥(spanning tree bridge)。支持这种设计的人首要关心的是完全透明。 按照他们的观点，装有多个LAN的单位在买回IEEE标准网桥之后，只需把连接插头插入网桥，就万事大吉。不需要改动硬件和软件， 无需设置地址开关，无需装入路由表或参数。总之什么也不干，只须插入电缆就完事，现有LAN的运行完全不受网桥的任何影响。 这真是不可思议，他们最终成功了。

透明网桥以混杂方式工作，它接收与之连接的所有LAN传送的每一帧。当一帧到达时，网桥必须决定将其丢弃还是转发。 如果要转发，则必须决定发往哪个LAN。这需要通过查询网桥中一张大型散列表里的目的地址而作出决定。该表可列出每个可能的目的地， 以及它属于哪一条输出线路(LAN)。在插入网桥之初，所有的散列表均为空。由于网桥不知道任何目的地的位置， 因而采用扩散算法(flooding algorithm)：把每个到来的、目的地不明的帧输出到连在此网桥的所有LAN中（除了发送该帧的LAN）。 随着时间的推移，网桥将了解每个目的地的位置。一旦知道了目的地位置，发往该处的帧就只放到适当的LAN上，而不再散发。

透明网桥采用的算法是逆向学习法(backward learning)。网桥按混杂的方式工作，故它能看见所连接的任一LAN上传送的帧。 查看源地址即可知道在哪个LAN上可访问哪台机器，于是在散列表中添上一项。

当计算机和网桥加电、断电或迁移时，网络的拓扑结构会随之改变。为了处理动态拓扑问题，每当增加散列表项时， 均在该项中注明帧的到达时间。每当目的地已在表中的帧到达时，将以当前时间更新该项。这样， 从表中每项的时间即可知道该机器最后帧到来的时间。网桥中有一个进程定期地扫描散列表，清除时间早于当前时间若干分钟的全部表项。 于是，如果从LAN上取下一台计算机，并在别处重新连到LAN上的话，那么在几分钟内，它即可重新开始正常工作而无须人工干预。 这个算法同时也意味着，如果机器在几分钟内无动作，那么发给它的帧将不得不散发，一直到它自己发送出一帧为止。

到达帧的路由选择过程取决于发送的LAN(源LAN)和目的地所在的LAN(目的LAN)，如下所示：1、如果源LAN和目的LAN相同，则丢弃该帧。2、如果源LAN和目的LAN不同，则转发该帧。3、如果目的LAN未知，则进行扩散。 为了提高可靠性，有人在LAN之间设置了并行的两个或多个网桥，但是，这种配置引起了另外一些问题，因为在拓扑结构中产生了回路， 可能引发无限循环。其解决方法就是下面要讲的生成树(spanning tree)算法。生成树网桥：

解决上面所说的无限循环问题的方法是让网桥相互通信，并用一棵到达每个LAN的生成树覆盖实际的拓扑结构。 使用生成树，可以确保任两个LAN之间只有唯一一条路径。一旦网桥商定好生成树，LAN间的所有传送都遵从此生成树。 由于从每个源到每个目的地只有唯一的路径，故不可能再有循环。

1)为了建造生成树，首先必须选出一个网桥作为生成树的根。 实现的方法是每个网桥广播其序列号（该序列号由厂家设置并保证全球唯一）， 选序列号最小的网桥作为根。接着，按根到每个网桥的最短路径来构造生成树。如果某个网桥或LAN故障，则重新计算。 网桥通过BPDU(Bridge Protocol Data Unit)互相通信，在网桥做出配置自己的决定前，每个网桥和每个端口需要下列配置数据：（1）网桥：网桥;（2）ID(唯一的标识);（3）端口：端口ID(唯一的标识);（4）端口相对优先权;（5）各端口的花费(高带宽 = 低花费);

配置好各个网桥后，网桥将根据配置参数自动确定生成树，这一过程有三个阶段：1、选择根网桥：具有最小网桥ID的网桥被选作根网桥。网桥ID应为唯一的，但若两个网桥具有相同的最小ID，则MAC地址小的网桥被选作根。

2)、在其它所有网桥上选择根端口：除根网桥外的各个网桥需要选一个根端口，这应该是最适合与根网桥通信的端口。通过计算各个端口到根网桥的花费， 取最小者作为根端口。

3)、选择每个LAN的指定(designated)网桥和指定端口：如果只有一个网桥连到某LAN，它必然是该LAN的指定网桥，如果多于一个，则到根网桥花费最小的被选为该LAN的指定网桥。 指定端口连接指定网桥和相应的LAN(如果这样的端口多于一个，则低优先权的被选)。

一个端口必须为下列之一：1、根端口；2、某LAN的指定端口；3、阻塞端口 ;　当一个网桥加电后，它假定自己是根网桥，发送出一个CBPDU(Configuration Bridge Protocol Data Unit)， 告知它认为的根网桥ID。一个网桥收到一个根网桥ID小于其所知ID的CBPDU，它将更新自己的表，如果该帧从根端口(上传)到达， 则向所有指定端口(下传)分发。 当一个网桥收到一个根网桥ID大于其所知ID的CBPDU，该信息被丢弃，如果该帧从指定端口到达， 则回送一个帧告知真实根网桥的较低ID。 当有意地或由于线路故障引起网络重新配置，上述过程将重复，产生一个新的生成树。

2、源路由选择网桥

透明网桥的优点是易于安装，只需插进电缆即大功告成。但是从另一方面来说，这种网桥并没有最佳地利用带宽， 因为它们仅仅用到了拓扑结构的一个子集(生成树)。这两个（或其他）因素的相对重要性导致了802委员会内部的分裂。 支持CSMA/CD和令牌总线的人选择了透明网桥， 而令牌环的支持者则偏爱一种称为源路由选择(source routing)的网桥（受到IBM的鼓励）。

源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一LAN上。当发送一帧到另外的LAN时， 源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。源路由选择网桥只关心那些目的地址高位为1的帧，当见到这样的帧时，它扫描帧头中的路由， 寻找发来此帧的那个LAN的编号。

如果发来此帧的那个LAN编号后跟的是本网桥的编号，则将此帧转发到路由表中自己后面的那个LAN。 如果该LAN编号后跟的不是本网桥， 则不转发此帧。这一算法有3种可能的具体实现：软件、硬件、混合。这三种具体实现的价格和性能各不相同。 第一种没有接口硬件开销，
但需要速度很快的CPU处理所有到来的帧。最后一种实现需要特殊的VLSI芯片，该芯片分担了网桥的许多工作，因此， 网桥可以采用速度较慢的CPU，或者可以连接更多的LAN。

源路由选择的前提是互联网中的每台机器都知道所有其他机器的最佳路径。如何得到这些路由是源路由选择算法的重要部分。 获取路由算法的基本思想是：如果不知道目的地地址的位置，源机器就发布一广播帧，询问它在哪里。 每个网桥都转发该查找帧(discovery frame)，这样该帧就可到达互联网中的每一个LAN。当答复回来时，途经的网桥将它们自己的标识记录在答复帧中，于是，广播帧的发送者就可以得到确切的路由，并可从中选取最佳路由。

虽然此算法可以找到最佳路由（它找到了所有的路由），但同时也面临着帧爆炸的问题。透明网桥也会发生有点类似的状况， 但是没有这么严重。其扩散是按生成树进行，所以传送的总帧数是网络大小的线性函数，而不象源路由选择是指数函数。 一旦主机找到至某目的地的一条路由，它就将其存入到高速缓冲器之中，无需再作查找。虽然这种方法大大遏制了帧爆炸， 但它给所有的主机增加了事务性负担，而且整个算法肯定是不透明的。

3、两种网桥的比较：透明网桥一般用于连接以太网段，而源路由选择网桥则一般用于连接令牌环网段。

七、远程网桥

网桥有时也被用来连接两个或多个相距较远的LAN。比如，某个公司分布在多个城市中， 该公司在每个城市中均有一个本地的LAN， 最理想的情况就是所有的LAN均连接起来，整个系统就像一个大型的LAN一样。

该目标可通过下述方法实现：每个LAN中均设置一个网桥， 并且用点到点的连接（比如租用电话公司的电话线）将它们两个两个地连接起来。 点到点连线可采用各种不同的协议。办法之一就是选用某种标准的点到点数据链路协议，将完整的MAC帧加到有效载荷中。 如果所有的LAN均相同，这种办法的效果最好，它的唯一问题就是必须将帧送到正确的LAN中。 另一种办法是在源网桥中去掉MAC的头部和尾部，并把剩下的部分加到点到点协议的有效载荷中， 然后在目的网桥中产生新的头部和尾部。 它的缺点是到达目的主机的校验和并非是源主机所计算的校验和，因此网桥存储器中某位损坏所产生的错误可能不会被检测到。 

虽然此算法可以找到最佳路由（它找到了所有的路由），但同时也面临着帧爆炸的问题。透明网桥也会发生有点类似的状况，但是没有这么严重。其扩散是按生成树进行，所以传送的总帧数是网络大小的线性函数，而不象源路由选择是指数函数。一旦主机找到至某目的地的一条路由，它就将其存入到高速缓冲器之中，无需再作查找。虽然这种方法大大遏制了帧爆炸，但它给所有的主机增加了事务性负担，而且整个算法肯定是不透明的。透明网桥一般用于连接以太网段，而源路由选择网桥则一般用于连接令牌环网段。

八、网桥功能简介

类似于中继器，连接两个局域网络段，但它是在数据链路层连接两个网。网间通信从网桥传送，而网络内部的通信被网桥隔离。网桥检查帧的源地址和目的地址，如果目的地址和源地址不在同一个网络段上，就把帧转发到另一个网络段上；若两个地址在同一个网络段上，则不转发，所以网桥能起到过滤帧的作用。网桥的帧过滤特性很有用，当一个网络由于负载很重而性能下降时可以用网桥把它分成两个网络段并使得段间的通信量保持最小。例如，把分布在两层楼上的网络分成每层一个网络段，段间用网桥连接。这样的配置可最大限度地缓解网络通信繁忙的程度，提高通信效率。同时，由于网桥的隔离作用，一个网络段上的故障不会影响另一个网络段，从而提高了网络的可靠性。

以太网是共享介质的，物理层接收帧，如果地址和自己的地址一致（或者是广播消息），就留下；反之则转发。因此当主机的数量增加时，网络就会变得十分嘈杂，传送效率明显降低。而网桥是工作在数据链路层的设备，它将一个大型的以太网分为几个小网段，可以取得减少通信量的作用。我们可以把100台主机分为四段，如下图所示：从左到右，从上到下分别是网段1，网段2，网段3和网段4

刚开始的时候，网桥不知道网络上的主机在什么地方，因此它只有把收到的帧向所有网段广播。这里我们要注意，当网桥接收到第一个帧时它就知道了发送此帧的主机的地址，因为这个地址就包括在帧中。只有一个地址，网桥只有向其它网段广播这个帧（当然不向包括源主机的网段广播了）。我们假设计算机1向计算机76发送一个帧，网桥在接收到这个帧之后就知道计算机1在第1段了，网桥现在还不知道计算机76在什么地方，于是向网段2-4发送此帧。如果计算机76又向计算机1发送消息时，网桥就知道计算机1在第1段，于是不再向网段2和3发送消息。而且此时因为计算机76发送的帧中也包括计算机76所在的网段，所以网桥已经知道了计算机76在网段4，最终网桥就知道了所有的计算机所处的位置。

那么如果一台计算机换位置了怎么办呢？如计算机2从网段1到了网段3，在计算机2没有发送消息之前，谁也不可能和它通信，因为网桥觉得它还在网段1呢，于是消息都发到网段1，计算机2当然什么也收不到，但是当计算机2发送消息后，网桥查询自己的学习表，知道有台计算机出了问题，于是它更新它学习表的相应表项，这时计算机2就可以和其它计算机通信了。

九、中继器

什么是中继器？中继器（Repeater）工作于OSI的物理层，是局域网上所有节点的中心，它的作用是放大信号，补偿信号衰减，支持远距离的通信。中继器是一个小发明，它设计的目的是给你的网络信号以推动，以使它们传输得更远。它就像马拉松比赛中的饮料站。当信号通过中继器时，网络信号拿起一杯饮料，喝一口，将剩下的泼到自己头上，抛掉杯子，如果确信没人看见它们，就跳上一辆车。中继器(REPEATER)中继器是网络物理层上面的连接设备。适用于完全相同的两类网络的互连，主要功能是通过对数据信号的重新发送或者转发，来扩大网络传输的距离。

由于传输线路噪声的影响，承载信息的数字信号或模拟信号只能传输有限的距离，中继器的功能是对接收信号进行再生和发送，从而增加信号传输的距离。它是最简单的网络互连设备，连接同一个网络的两个或多个网段。如以太网常常利用中继器扩展总线的电缆长度，标准细缆以太网的每段长度最大185米，最多可有5段，因此增加中继器后，最大网络电缆长度则可提高到925米。一般来说，中继器两端的网络部分是网段，而不是子网。中继器可以连接两局域网的电缆，重新定时并再生电缆上的数字信号，然后发送出去，这些功能是ISO模型中第一层--物理层的典型功能。

中继器的作用是增加局域网的覆盖区域，例如，以太网标准规定单段信号传输电缆的最大长度为500米，但利用中继器连接4段电缆后，以太网中信号传输电缆最长可达2000米。有些品牌的中继器可以连接不同物理介质的电缆段，如细同轴电缆和光缆。中继器只将任何电缆段上的数据发送到另一段电缆上，并不管数据中是否有错误数据或不适于网段的数据。 

十、中继器的功能及工作原理？
  
 中继器(Repeater)又称重发器，是一种最为简单但也是用得最多的互连设备.中继器仅适用于以太网，可将两段或两段以上以太网互连起来。中继器只对电缆上传输的数据信号再生放大，再重发到其它电缆段上。对链路层以上的协议来说，用中继器互连起来的 若干段电缆与单根电缆并无区别(除了中断器本身会引起一定的时间延迟外).