控制園區(qū)網(wǎng)中的廣播流量網(wǎng)橋和交換機(jī)的根本功能是通過(guò)將網(wǎng)絡(luò)分割成多個(gè)沖突域，減少碰撞次數(shù)。但無(wú)法隔離廣播幀。所有用戶同在一個(gè)廣播域中會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)網(wǎng)絡(luò)帶寬，因此控制網(wǎng)絡(luò)內(nèi)的廣播傳輸變得非常重要。假設(shè)計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計(jì)算機(jī)A必須先廣播“ARP請(qǐng)求（ARPRequest）信息”，來(lái)嘗試獲取計(jì)算機(jī)B的MAC地址。交換機(jī)1收到廣播幀（ARP請(qǐng)求）后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機(jī)2收到廣播幀后也會(huì)Flooding。交換機(jī)3、4、5也還會(huì)Flooding。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。AB廣播帶來(lái)的負(fù)面作用這個(gè)ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的。也就是說(shuō)：只要計(jì)算機(jī)B能收到就萬(wàn)事大吉了?？墒鞘聦?shí)上，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)，導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來(lái)，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來(lái)對(duì)它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無(wú)謂消耗。

廣播的隔離方法傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能用工作在第三層的設(shè)備——路由器來(lái)實(shí)現(xiàn)，因?yàn)槟J(rèn)情況下路由器不會(huì)轉(zhuǎn)發(fā)廣播信息?！瓘V播普通交換機(jī)無(wú)法隔離廣播域路由器可以隔離廣播域……廣播路由器而現(xiàn)在的局域網(wǎng)一般可以通過(guò)交換機(jī)來(lái)隔離廣播，即VLAN技術(shù)。財(cái)務(wù)處財(cái)務(wù)處員工人事處財(cái)務(wù)處員工同一廣播域同一廣播域財(cái)務(wù)處財(cái)務(wù)處員工人事處財(cái)務(wù)處員工同一廣播域同一廣播域財(cái)務(wù)處財(cái)務(wù)處員工人事處財(cái)務(wù)處員工同一廣播域財(cái)務(wù)處財(cái)務(wù)處員工人事處財(cái)務(wù)處員工同一廣播域同一廣播域虛擬局域網(wǎng)VLAN1虛擬局域網(wǎng)VLAN2VLAN簡(jiǎn)介VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而組建虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站。由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。是否具有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來(lái)網(wǎng)絡(luò)發(fā)展的潮流。交換機(jī)上劃分VLAN隔離廣播風(fēng)暴如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN；同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。A發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。A如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)。使用VLAN的目的VLAN的三大優(yōu)點(diǎn)：控制廣播風(fēng)暴：一個(gè)VLAN就是一個(gè)邏輯廣播域，通過(guò)對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。提高網(wǎng)絡(luò)的整體安全性：可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性方便網(wǎng)絡(luò)的管理：對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō)，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用VLAN標(biāo)準(zhǔn)——IEEE802.1Q數(shù)據(jù)幀IEEE802.1Q是虛擬局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個(gè)物理鏈路上承載多個(gè)局域網(wǎng)的數(shù)據(jù)流的方法。IEEE802.1Q定義了VLAN幀格式，為識(shí)別幀屬于哪個(gè)VLAN提供了一個(gè)標(biāo)準(zhǔn)的方法。這個(gè)格式統(tǒng)一了標(biāo)識(shí)VLAN的方法，有利于保證不同廠家設(shè)備配置的VLAN可以互通。目的MAC源MAC類型數(shù)據(jù)FCS目的MAC源MACTPID數(shù)據(jù)重新計(jì)算的FCS類型TCI0x81002個(gè)字節(jié)Priority3bitCFI12bitVID1bit標(biāo)記協(xié)議標(biāo)識(shí)（TPID）:固定值0x8100，表示該幀載有802.1Q標(biāo)記信息標(biāo)記控制信息（TCI）:Priority：3比特，表示優(yōu)先級(jí)，決定了數(shù)據(jù)幀的重要緊急程度，優(yōu)先級(jí)越高，就越優(yōu)先得到交換機(jī)的處理。在QoS中有應(yīng)用。CFI（CanonicalFormatIndicator）：1比特，規(guī)范格式指示符，當(dāng)其值為0時(shí)，表示該數(shù)據(jù)幀采用規(guī)范幀格式，如果該位是1則表示該幀為非規(guī)范幀格式。VID（VlanID）：12比特，指明VLAN的ID，可用范圍1－4094，每個(gè)支持802.1Q協(xié)議的交換機(jī)發(fā)送出來(lái)的數(shù)據(jù)包都會(huì)包含這個(gè)域，以指明該幀屬于哪一個(gè)VLAN。在一個(gè)交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒有加上這四個(gè)字節(jié)標(biāo)志的，稱為未標(biāo)記的幀（untagedframe），有些幀加上了這四個(gè)字節(jié)的標(biāo)志，稱為帶有標(biāo)記的幀（tagedframe）。0x81002個(gè)字節(jié)Priority3bitCFI12bitVID1bitAccessLink和TrunkLink接入鏈路干道鏈路主機(jī)和交換機(jī)之間的鏈路是接入鏈路；交換機(jī)之間通過(guò)干道鏈路互相連接。Access端口只屬于1個(gè)vlanTrunk端口可以屬于多個(gè)vlanVLAN幀在網(wǎng)絡(luò)中的通信對(duì)于主機(jī)來(lái)說(shuō)，它是不需要知道VLAN的存在的。主機(jī)發(fā)出的幀都是untaged的幀；交換機(jī)接收到這樣的幀之后，根據(jù)配置規(guī)則（如端口信息）判斷出幀所屬VLAN進(jìn)行處理。如果幀需要通過(guò)另外一臺(tái)交換機(jī)發(fā)送，則該幀必須通過(guò)干道鏈路傳輸?shù)搅硗庖慌_(tái)交換機(jī)上。為了保證其它交換機(jī)正確處理幀的VLAN信息，在干道鏈路上發(fā)送的幀大多數(shù)（不是全部）都帶上了VLAN標(biāo)記。當(dāng)交換機(jī)最終確定幀轉(zhuǎn)發(fā)端口后，將幀發(fā)送給主機(jī)之前，將VLAN的標(biāo)記從以太網(wǎng)幀中刪除，這樣主機(jī)接收到的幀都是不帶VLAN的標(biāo)記的以太網(wǎng)幀。一般情況下，干道鏈路上傳送的都是TagedFrame，接入鏈路上傳送的都是UntagedFrame。這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的VLAN可以被所有的交換機(jī)正確處理，而主機(jī)不需要了解VLAN信息。廣播幀如何到達(dá)同一VLAN的各個(gè)節(jié)點(diǎn)因?yàn)閂LAN可能跨越多個(gè)交換機(jī)，當(dāng)一個(gè)交換機(jī)從某VLAN的一個(gè)端口收到廣播幀之后，為了保證同屬一個(gè)VLAN的所有主機(jī)都接收到這個(gè)廣播幀，交換機(jī)必須按照如下原則將幀進(jìn)行轉(zhuǎn)發(fā)：

1、發(fā)送給本交換機(jī)中同一個(gè)VLAN中的其它端口；

2、將這個(gè)幀發(fā)送給本交換機(jī)的包含這個(gè)VLAN的所有干道鏈路，以便讓其它交換機(jī)上的同一個(gè)VLAN的端口能接收到該幀。VLAN的種類基于端口的VLAN針對(duì)交換機(jī)的端口進(jìn)行VLAN的劃分，不受主機(jī)的變化影響。基于協(xié)議的VLAN在一個(gè)物理網(wǎng)絡(luò)中針對(duì)不同的網(wǎng)絡(luò)層協(xié)議進(jìn)行安全劃分基于MAC地址的VLAN基于主機(jī)的MAC地址進(jìn)行VLAN劃分，主機(jī)可以任意在網(wǎng)絡(luò)移動(dòng)而不需要重新劃分基于組播的VLAN基于組播應(yīng)用進(jìn)行用戶的劃分基于IP子網(wǎng)的VLAN針對(duì)不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機(jī)，一般情況下結(jié)合基于端口的VLAN進(jìn)行應(yīng)用基于端口的VLAN主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)VLAN表端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port10基于MAC地址的VLANVLAN表MAC地址所屬VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)MACAMACBMACCMACD基于協(xié)議的VLANVLAN表協(xié)議類型所屬VLANIPX協(xié)議IP協(xié)議……VLAN5VLAN10……主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)使用IPX協(xié)議運(yùn)行IP協(xié)議使用IPX協(xié)議運(yùn)行IP協(xié)議基于子網(wǎng)的VLANVLAN表IP網(wǎng)絡(luò)所屬VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)1.1.1.51.1.2.881.1.1.81.1.2.99ABCDVLAN的類型:PortVLAN利用交換機(jī)的端口進(jìn)行vlan劃分，一個(gè)端口只屬于一個(gè)VLAN，PortVLAN設(shè)置在連接主機(jī)的端口（即接口的模式為Access）F0/1F0/2F0/3Port-VLAN原理通過(guò)查找MAC地址表，交換機(jī)對(duì)發(fā)往不同VLAN的數(shù)據(jù)不轉(zhuǎn)發(fā)F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACX交換機(jī)端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10配置PortVLAN創(chuàng)建VLAN10，將它命名為test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#end

把接口0/10加入VLAN10

Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#end默認(rèn)名字是vlanXXXX，用noname命令可以恢復(fù)為默認(rèn)名字如果把一個(gè)接口分配到一個(gè)不存在的vlan中，則交換機(jī)會(huì)自動(dòng)創(chuàng)建該vlanPortVLAN的配置將一組接口加入某一個(gè)VLANSwitch(config)#interfacerange

fastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20注：交換機(jī)端口類型默認(rèn)為Access。連續(xù)接口0/1-8，不連續(xù)接口用逗號(hào)隔開，但一定要寫明模塊編號(hào)配置TagVLAN-Trunk把Fa0/1配成Trunk口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk把端口Fa0/20配置為Trunk端口，但是不包含VLAN2（默認(rèn)trunk鏈路能夠在兩條交換機(jī)之間傳遞所有vlan的幀）：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#endNativeVLAN并非所有的幀通過(guò)trunk口都打上tag標(biāo)簽。NativeVLAN的作用:在Trunk鏈路使用802.1Q封裝時(shí),用NativeVLAN指定哪個(gè)VLAN的數(shù)據(jù)不用做802.1Q標(biāo)記,NativeVLAN外的其它VLAN數(shù)據(jù)都會(huì)做802.1Q封裝的標(biāo)記.為什么要使用NativeVLAN:交換的管理流量以及未指定VLAN的流量,默認(rèn)使用NativeVLAN(默認(rèn)為VLAN1)來(lái)傳送,這些流量不需要做802.1Q封裝.配置命令：Switch(config-if)#switchporttrunknativevlan2Switch(config-if)#end注意：每個(gè)Trunk口的缺