計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)名校名師精品系列教材FoundationsofComputerNetworkTechnology交換式以太網(wǎng)與虛擬局域網(wǎng)——第六章名校名師精品系列教材學(xué)習(xí)及素養(yǎng)目標(biāo)學(xué)習(xí)及素養(yǎng)目標(biāo)交換式以太網(wǎng)是以交換式集線器或交換機(jī)為中心構(gòu)成的一種星形拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。虛擬局域網(wǎng)是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，其相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）。 了解交換式以太網(wǎng)的特點(diǎn)。 掌握以太網(wǎng)交換機(jī)的工作過程和數(shù)據(jù)交換與轉(zhuǎn)發(fā)方式。 了解以太網(wǎng)交換機(jī)的地址學(xué)習(xí)、通信過濾和生成樹協(xié)議（SpanningTreeProtocal，STP）。掌握虛擬局域網(wǎng)的組網(wǎng)方法和優(yōu)點(diǎn)。培養(yǎng)遵守職業(yè)倫理、具備系統(tǒng)思維及安全責(zé)任意識(shí)的專業(yè)素養(yǎng)。CONTENTSCONTENTS01交換式以太網(wǎng)的提出02以太網(wǎng)交換機(jī)的工作原理03以太網(wǎng)交換機(jī)的工作過程04VLAN05組建VLAN一、交換式以太網(wǎng)的提出1．共享式以太網(wǎng)存在的主要問題（1）覆蓋的地理范圍有限。（2）網(wǎng)絡(luò)總帶寬容量固定。（3）不能支持多種功率。一、交換式以太網(wǎng)的提出2．交換式以太網(wǎng)的提出

人們利用“分段”的方法解決共享式以太網(wǎng)存在的問題，通過分段，既可以保證部門內(nèi)部信息不會(huì)流至其他部門，又可以保證部門之間的信息交互。以太網(wǎng)節(jié)點(diǎn)的減少使沖突和碰撞的幾率更小，網(wǎng)絡(luò)的效率更高。不僅如此，分段之后，各段可按需要選擇自己的網(wǎng)絡(luò)速率，組成性能價(jià)格更高的網(wǎng)絡(luò)。二、以太網(wǎng)交換機(jī)的工作原理

局域網(wǎng)交換機(jī)又分為兩層交換機(jī)和三層交換機(jī)，這里主要討論兩層交換機(jī)，對(duì)三層交換機(jī)只作一般介紹。處理互連網(wǎng)絡(luò)的幀、分組、報(bào)文和協(xié)議的差異問題。交換機(jī)的功能

交換機(jī)工作在物理層和MAC子層。交換機(jī)遵循著網(wǎng)橋的工作原理。交換機(jī)可以把一個(gè)網(wǎng)段分為多個(gè)網(wǎng)段，把沖突限制在一些細(xì)分的網(wǎng)段之內(nèi)，這就無(wú)形中增加了網(wǎng)絡(luò)的帶寬，使得每個(gè)網(wǎng)段之內(nèi)都可獲得一個(gè)碰撞域，細(xì)分網(wǎng)段之后就可以得到多個(gè)碰撞域。同時(shí)交換機(jī)又可以在不同的網(wǎng)段之間進(jìn)行MAC幀的轉(zhuǎn)發(fā)，即連接了各個(gè)網(wǎng)段，使各個(gè)網(wǎng)段之間可以進(jìn)行訪問。由此看來：交換機(jī)通過細(xì)分網(wǎng)段，提高了網(wǎng)絡(luò)的帶寬；通過在網(wǎng)段間發(fā)幀，又可以擴(kuò)大以太網(wǎng)的范圍。有時(shí)稱交換機(jī)（或網(wǎng)橋）為數(shù)據(jù)鏈路層設(shè)備。所以說，交換機(jī)是一種真正意義上的以太網(wǎng)連接設(shè)備。通過交換機(jī)，可以把一些工作站連接起來，還可以把一些網(wǎng)段連接起來，同時(shí)又增加了網(wǎng)絡(luò)的整個(gè)帶寬。二、以太網(wǎng)交換機(jī)的工作原理

交換機(jī)的基本原理。交換機(jī)可以看作是一個(gè)多端口網(wǎng)橋，有的端口連接著一臺(tái)工作站，有的端口連接著多個(gè)工作站組成的網(wǎng)段。在各端口之間當(dāng)需要通信時(shí)，可以形成一個(gè)臨時(shí)的獨(dú)立通道，同一時(shí)刻可以有多條通信同時(shí)通信，當(dāng)同心結(jié)束時(shí)再斷開形成的通道。端口上可以連著工作站，也可以連接著一個(gè)網(wǎng)段。通道是通過查找MAC地址表在源和目的端口間形成的。地址表是在站點(diǎn)與交換機(jī)通過自學(xué)習(xí)的過程逐漸形成的。交換機(jī)的工作原理二、以太網(wǎng)交換機(jī)的工作原理（1）按照交換機(jī)的速率分類，基本上可以分為10Mbit/s、10/100Mbit/s自適應(yīng)和lGbit/s交換機(jī)。（2）按照可擴(kuò)性分類，可以分為單體交換機(jī)和可堆疊交換機(jī)。（3）按照端口可擴(kuò)展性分，可以分為固定端口交換機(jī)、可擴(kuò)展端口交換機(jī)和廂體模塊式交換機(jī)。（4）按照交換機(jī)所處的地位可以分為企業(yè)級(jí)交換機(jī)、部門級(jí)交換機(jī)和工作組交換機(jī)。交換機(jī)分類二、以太網(wǎng)交換機(jī)的工作原理三層交換的基本思想是使交換機(jī)具有路由功能，這樣的交換機(jī)稱為路由交換機(jī)。實(shí)現(xiàn)三層交換有多種方式，包括標(biāo)記交換、IP交換、IP導(dǎo)航等，但基本思想都是相似的，人們把用三層交換技術(shù)實(shí)現(xiàn)交換功能的交換機(jī)稱為三層交換機(jī)。三層交換機(jī)把路由模塊與交換模塊放在同一個(gè)交換總線上，使之結(jié)合的更加緊密，同時(shí)對(duì)實(shí)現(xiàn)路由功能的軟件進(jìn)行優(yōu)化，通過第2層交換實(shí)現(xiàn)了第3層的路由功能。三層交換機(jī)三、以太網(wǎng)交換機(jī)的工作過程

典型的交換機(jī)結(jié)構(gòu)與工作過程如圖6-2所示。圖中的交換機(jī)有6個(gè)端口，其中端口1、5、6分別連接了節(jié)點(diǎn)A、節(jié)點(diǎn)D和節(jié)點(diǎn)E。節(jié)點(diǎn)B和節(jié)點(diǎn)C通過共享式以太網(wǎng)連入交換機(jī)的端口4。于是，交換機(jī)“端口/MAC地址映射表”就可以根據(jù)以上端口與節(jié)點(diǎn)MAC地址的對(duì)應(yīng)關(guān)系建立起來。三、以太網(wǎng)交換機(jī)的工作過程

當(dāng)節(jié)點(diǎn)A需要向節(jié)點(diǎn)D發(fā)送信息時(shí)，節(jié)點(diǎn)A首先將目的MAC地址指向節(jié)點(diǎn)D的幀發(fā)往交換機(jī)端口1。交換機(jī)接收該幀，并在檢測(cè)到其目的MAC地址后，在交換機(jī)的“端口/MAC地址映射表”中查找節(jié)點(diǎn)D所連接的端口號(hào)。一旦查到節(jié)點(diǎn)D所連接的端口號(hào)5，交換機(jī)在端口l與端口5之間建立連接，將信息轉(zhuǎn)發(fā)到端口5。與此同時(shí)，節(jié)點(diǎn)E需要向節(jié)點(diǎn)B發(fā)送信息。于是，交換機(jī)的端口6與端口4也建立一條連接，并將端口6接收到的信息轉(zhuǎn)發(fā)至端口4。

這樣，交換機(jī)在端口1至端口5和端口6至端口4之間建立了兩條并發(fā)的連接。節(jié)點(diǎn)A和節(jié)點(diǎn)E可以同時(shí)發(fā)送消息，節(jié)點(diǎn)D和接入交換機(jī)端口4的以太網(wǎng)可以同時(shí)接收信息。根據(jù)需要，交換機(jī)的各端口之間可以建立多條并發(fā)連接。交換機(jī)利用這些并發(fā)連接，對(duì)通過交換機(jī)的數(shù)據(jù)信息進(jìn)行轉(zhuǎn)發(fā)和交換。三、以太網(wǎng)交換機(jī)的工作過程以太網(wǎng)交換機(jī)的數(shù)據(jù)交換與轉(zhuǎn)發(fā)方式可以分為直接交換、存儲(chǔ)轉(zhuǎn)發(fā)交換和改進(jìn)的直接交換3類。1．直接交換

在直接交換方式中，交換機(jī)邊接收邊檢測(cè)。一旦檢測(cè)到目的地址字段，就立即將該數(shù)據(jù)轉(zhuǎn)發(fā)出去，而不管數(shù)據(jù)是否出錯(cuò)，出錯(cuò)檢測(cè)任務(wù)由節(jié)點(diǎn)主機(jī)完成。2．存儲(chǔ)轉(zhuǎn)發(fā)交換

在存儲(chǔ)轉(zhuǎn)發(fā)方式，交換機(jī)首先要完整的接收站點(diǎn)發(fā)送的數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行差錯(cuò)檢測(cè)。如接收數(shù)據(jù)是正確的，再根據(jù)目的地址確定輸出端口號(hào)，將數(shù)據(jù)轉(zhuǎn)發(fā)出去。3．改進(jìn)的直接交換

改進(jìn)的直接交換方式將直接交換與存儲(chǔ)轉(zhuǎn)發(fā)交換結(jié)合起來，在接收到數(shù)據(jù)的前64字節(jié)之后，判斷數(shù)據(jù)的頭部字段是否正確，如果正確則轉(zhuǎn)發(fā)出去。數(shù)據(jù)轉(zhuǎn)發(fā)方式三、以太網(wǎng)交換機(jī)的工作過程

以太網(wǎng)交換機(jī)的地址學(xué)習(xí)是通過讀取幀的源地址并記錄幀進(jìn)入交換機(jī)的端口進(jìn)行的。當(dāng)?shù)玫組AC：地址與端口的對(duì)應(yīng)關(guān)系后，交換機(jī)就將該對(duì)應(yīng)關(guān)系添加到地址映射表，如果已經(jīng)存在，交換機(jī)將更新該表項(xiàng)。因此，在以太網(wǎng)交換機(jī)中，地址是動(dòng)態(tài)學(xué)習(xí)的。只要這個(gè)節(jié)點(diǎn)發(fā)送信息交換機(jī)就能捕獲到它的MAC地址與其所在端口的對(duì)應(yīng)關(guān)系。

在每次加入或更新端口號(hào)MAC地址映射表的表項(xiàng)時(shí)，加入或更改的表項(xiàng)被賦予一個(gè)計(jì)時(shí)器，這使該端口與MAC地址的對(duì)應(yīng)關(guān)系能存儲(chǔ)一段時(shí)間。如果在計(jì)時(shí)器溢出前沒有再次捕獲到該端口與MAC地址的對(duì)應(yīng)關(guān)系，該表項(xiàng)將被交換機(jī)刪除。通過刪除過時(shí)、已經(jīng)不使用的表項(xiàng)，交換機(jī)能維護(hù)一個(gè)精確、有用的端口號(hào)/MAC地址映射表。地址學(xué)習(xí)三、以太網(wǎng)交換機(jī)的工作過程

兩個(gè)以太網(wǎng)和兩臺(tái)計(jì)算機(jī)通過以太網(wǎng)交換機(jī)相互連接的示意圖。通過一段時(shí)間的地址學(xué)習(xí)，交換機(jī)形成了圖所示的端口/MAC地址映射表。通信過濾

假設(shè)站點(diǎn)A需要向站點(diǎn)F發(fā)送數(shù)據(jù)，因?yàn)檎军c(diǎn)A通過集線器連接到交換機(jī)的端口1，所以，交換機(jī)從端口1讀入數(shù)據(jù)，并通過地址映射表決定將該數(shù)據(jù)轉(zhuǎn)發(fā)到哪個(gè)端口。通過搜索地址映射表，交換機(jī)發(fā)現(xiàn)站點(diǎn)C與端口l相連，與發(fā)送的源站點(diǎn)處于同一端口。遇到這種情況，交換機(jī)不再轉(zhuǎn)發(fā)，簡(jiǎn)單的將數(shù)據(jù)拋棄，數(shù)據(jù)信息被限制在本地流動(dòng)。三、以太網(wǎng)交換機(jī)的工作過程集線器可以按照水平或樹形結(jié)構(gòu)進(jìn)行級(jí)聯(lián)，但是集線器的級(jí)聯(lián)絕不能出現(xiàn)環(huán)路，否則發(fā)送的數(shù)據(jù)將在網(wǎng)絡(luò)中無(wú)休止地循環(huán)，造成整個(gè)網(wǎng)絡(luò)癱瘓。那么具有環(huán)路的交換機(jī)級(jí)聯(lián)網(wǎng)絡(luò)是否可以正常工作呢？答案是肯定的。實(shí)際上，以太網(wǎng)交換機(jī)除了按照上面描述的轉(zhuǎn)發(fā)機(jī)制對(duì)信息進(jìn)行轉(zhuǎn)發(fā)外，還將執(zhí)行生成樹協(xié)議（SpanningTreeProtocol，STP）。STP會(huì)計(jì)算無(wú)環(huán)路的最佳路徑，當(dāng)發(fā)現(xiàn)環(huán)路時(shí)，可以相互交換信息，并利用這些信息將網(wǎng)絡(luò)中的某些環(huán)路斷開，從而維護(hù)一個(gè)無(wú)環(huán)路的網(wǎng)絡(luò)，以保證整個(gè)LAN在邏輯上形成一種樹形結(jié)構(gòu)，產(chǎn)生一棵生成樹。交換機(jī)按照這種邏輯結(jié)構(gòu)轉(zhuǎn)發(fā)信息，保證網(wǎng)絡(luò)中發(fā)送的信息不會(huì)繞環(huán)旋轉(zhuǎn)。生成樹協(xié)議三、以太網(wǎng)交換機(jī)的工作過程1.STP工作原理網(wǎng)絡(luò)環(huán)路會(huì)引發(fā)廣播風(fēng)暴和MAC地址表振蕩等問題，導(dǎo)致用戶通信質(zhì)量差，甚至通信中斷。為了解決環(huán)路問題，而提出了三種生成樹協(xié)議：STP普通生成樹，RSTP快速生成樹，MSTP多生成樹。生成樹協(xié)議是以太網(wǎng)中的破環(huán)協(xié)議，運(yùn)行該協(xié)議的設(shè)備通過彼此交互信息來發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇地對(duì)某些端口進(jìn)行阻塞，最終將環(huán)形網(wǎng)絡(luò)修剪成無(wú)環(huán)路的樹形網(wǎng)絡(luò)，達(dá)到破除環(huán)路的目的。另外，如果當(dāng)前活動(dòng)的鏈路發(fā)生故障，生成樹協(xié)議還可以激活冗余備份鏈路，恢復(fù)網(wǎng)絡(luò)連通性?？偨Y(jié)其原理：設(shè)置一個(gè)根核心交換機(jī)和備用核心交換機(jī)，其它交換機(jī)與他進(jìn)行連接，組成樹狀的邏輯通路。生成樹協(xié)議三、以太網(wǎng)交換機(jī)的工作過程2.STP端口概念（1）根端口（Rootport）：根端口就是去往根橋路徑開銷最小的端口，根端口負(fù)責(zé)向根橋方向轉(zhuǎn)發(fā)數(shù)據(jù)。在一個(gè)運(yùn)行STP/RSTP協(xié)議的設(shè)備上根端口有且只有一個(gè)，根橋上沒有根端口。（2）指定端口（Designatedport）：連接本設(shè)備或局域網(wǎng)的上級(jí)設(shè)備的端口。（3）Alternate端口：是根端口的備份端口，提供了從指定橋到根橋的另一條可切換路徑。（4）Backup端口：作為指定端口的備份，提供了另一條從根橋到相應(yīng)網(wǎng)段的備份通路。（5）邊緣端口：設(shè)備上與終端設(shè)備直連的端口為邊緣端口。生成樹協(xié)議三、以太網(wǎng)交換機(jī)的工作過程3.STP五種端口狀態(tài)（1）Disabled：端口狀態(tài)為Down，不處理BPDU報(bào)文，也不轉(zhuǎn)發(fā)用戶流量。（2）Blocking：端口僅接收并處理BPDU報(bào)文，不轉(zhuǎn)發(fā)用戶流量。（3）Listening：過渡狀態(tài)，開始生成樹計(jì)算，端口可以接收和發(fā)送BPDU報(bào)文，但不轉(zhuǎn)發(fā)用戶流量。（4）Learning：過渡狀態(tài)，設(shè)備根據(jù)收到的用戶流量構(gòu)建MAC地址表。端口可以接收和發(fā)送BPDU報(bào)文，但不轉(zhuǎn)發(fā)用戶流量。（5）Forwarding：端口可以接收和發(fā)送BPDU報(bào)文，也轉(zhuǎn)發(fā)用戶流量。只有根端口或指定端口才能進(jìn)入Forwarding狀態(tài)。生成樹協(xié)議三、以太網(wǎng)交換機(jī)的工作過程4.STP生成樹中的角色STP開始工作后，會(huì)在交換網(wǎng)絡(luò)中選舉一個(gè)根橋，根橋是生成樹進(jìn)行拓?fù)溆?jì)算的重要“參考點(diǎn)”，是STP計(jì)算得出無(wú)環(huán)拓?fù)涞摹皹涓?。在STP網(wǎng)絡(luò)中，橋ID最小的設(shè)備會(huì)被選舉為根橋。（1）根橋：也稱為根交換機(jī)，生成樹里的優(yōu)先級(jí)最高的交換機(jī)，在參與生成樹選舉的網(wǎng)絡(luò)里面，橋id肯定是最小的。（2）備份根橋：生成樹里面的優(yōu)先級(jí)第二的交換機(jī)，根橋出現(xiàn)故障的時(shí)候，備份根橋充當(dāng)根橋。生成樹協(xié)議三、以太網(wǎng)交換機(jī)的工作過程（3）非根交換機(jī)：每個(gè)非根交換機(jī)都有一個(gè)根端口。（4）根端口：非根交換機(jī)連接到根橋的最近端口，一定是連接根橋最近的交換機(jī)接口。（5）指定端口：傳輸數(shù)據(jù)的端口，根橋身上的端口一定是指定端口。（6）非根非指定端口：被阻塞的端口（備用鏈路的端口）。（7）橋ID：優(yōu)先級(jí)和MAC地址的組合。生成樹協(xié)議四、VLANIEEE802.1Q標(biāo)準(zhǔn)對(duì)VLAN是這樣定義的：VLAN是由一些LAN網(wǎng)段構(gòu)成的與物理位置無(wú)關(guān)的邏輯組，而這些網(wǎng)段具有某些共同的需求。每個(gè)VLAN的幀都有一個(gè)明確的標(biāo)識(shí)符，指明了發(fā)送這個(gè)幀的工作站屬于哪一個(gè)VLAN。利用以太網(wǎng)交換機(jī)可以很方便地實(shí)現(xiàn)VLAN。這里需要指出，VLAN其實(shí)只是LAN給用戶提供的一種服務(wù)，而并不是一種新型LAN。圖中給出的是使用了3臺(tái)交換機(jī)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。從圖中可以看出，每個(gè)VLAN的工作站可以處在不同的LAN中，也可以不在同一樓層中。四、VLAN利用交換機(jī)可以很方便地將這9個(gè)工作站劃分為3個(gè)VLAN：VLAN1、VLAN2和VLAN3。VLAN中的每個(gè)工作站都可以接收到同一VLAN中其他成員發(fā)出的廣播信息，而接收不到不同VLAN中其他成員的廣播信息。這樣，VLAN限制了接收廣播信息的工作站數(shù)，使得網(wǎng)絡(luò)不會(huì)因傳播過多的廣播信息（即所謂的廣播風(fēng)暴）而降低性能。在共享傳輸介質(zhì)的LAN中，網(wǎng)絡(luò)總帶寬的絕大部分是由廣播幀消耗的。四、VLAN在傳統(tǒng)的

LAN

中，通常一個(gè)工作組是在同一個(gè)網(wǎng)段中的，每個(gè)網(wǎng)段可以是一個(gè)邏輯工作組。多個(gè)邏輯工作組之間通過交換機(jī)（或路由器）等互連設(shè)備交換數(shù)據(jù)，如圖所示。如果一個(gè)邏輯工作組的站點(diǎn)需要轉(zhuǎn)移到另一個(gè)邏輯工作組（如從LAN1移動(dòng)到LAN

3），則需要將對(duì)應(yīng)站點(diǎn)從一個(gè)集線器（如1樓的集線器）撤出，連接到另一個(gè)集線器（如3樓的集線器LAN

3中的站點(diǎn)）。如果僅需要物理位置上的移動(dòng)（如從1樓移動(dòng)到3樓），則為了保證該站點(diǎn)仍然隸屬于原來的邏輯工作組LAN1，必須連接至1樓的集線器，即使它接入3樓的集線器更加方便。在某些情況下，移動(dòng)站點(diǎn)的物理位置或邏輯工作組甚至需要重新布線。因此，邏輯工作組的組成受到站點(diǎn)所在網(wǎng)段物理位置的限制。廣播風(fēng)暴的解決方案四、VLAN

VLAN建立在LAN交換機(jī)之上，它以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理。因此，VLAN邏輯工作組的站點(diǎn)組成不受物理位置的限制，如圖所示。同一邏輯工作組的成員可以不必連接在同一個(gè)物理網(wǎng)段上。只要以太網(wǎng)交換機(jī)是互連的，它們就既可以連接在同一個(gè)LAN交換機(jī)上，又可以連接在不同LAN交換機(jī)上。當(dāng)一個(gè)站點(diǎn)從一個(gè)邏輯工作組轉(zhuǎn)移到另一個(gè)邏輯工作組時(shí)，只需要通過軟件設(shè)定，而不需要改變它在網(wǎng)絡(luò)中的物理位置。當(dāng)一個(gè)站點(diǎn)需要從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置（如3樓的計(jì)算機(jī)需要移動(dòng)到1樓）時(shí)，只需要將該計(jì)算機(jī)接入另一臺(tái)交換機(jī)（如1樓的交換機(jī)）即可。通過交換機(jī)軟件設(shè)置，這臺(tái)計(jì)算機(jī)還可以成為原工作組的一員。同一個(gè)邏輯工作組的站點(diǎn)可以分布在不同的物理網(wǎng)段上，但它們之間的通信就像在同一個(gè)物理網(wǎng)段上一樣。廣播風(fēng)暴的解決方案四、VLANVLAN的種類可以根據(jù)功能、部門或應(yīng)用進(jìn)行劃分，而無(wú)須考慮用戶的物理位置。以太網(wǎng)交換機(jī)的每個(gè)端口都可以分配給一個(gè)VLAN。分配給同一個(gè)VLAN的端口共享廣播域（一個(gè)站點(diǎn)發(fā)送希望所有站點(diǎn)接收的廣播信息時(shí)，同一VLAN中的所有站點(diǎn)都可以接收到），分配給不同VLAN的端口不共享廣播域，這將全面提升網(wǎng)絡(luò)的性能。VLAN的組網(wǎng)方法包括靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種。VLAN的使用目的和價(jià)值四、VLAN靜態(tài)VLAN就是靜態(tài)地將以太網(wǎng)交換機(jī)上的一些端口劃分給一個(gè)VLAN。這些端口一直保持這種配置關(guān)系，直到人為改變它們。在圖所示的靜態(tài)VLAN中，以太網(wǎng)交換機(jī)的端口1、端口2、端口6、端口7組成VLAN1，端口3～端口5組成VLAN2。1．靜態(tài)VLAN盡管靜態(tài)VLAN需要網(wǎng)絡(luò)管理員通過配置交換機(jī)軟件來改變其成員的隸屬關(guān)系，但它們有良好的安全性，配置簡(jiǎn)單并可以直接監(jiān)控，因此很受網(wǎng)絡(luò)管理員的歡迎。特別是當(dāng)站點(diǎn)設(shè)備位置相對(duì)穩(wěn)定時(shí)，應(yīng)用靜態(tài)VLAN是一種非常好的選擇。四、VLAN

動(dòng)態(tài)VLAN是指交換機(jī)的VLAN端口是動(dòng)態(tài)分配的。通常，動(dòng)態(tài)分配的原則以物理地址、邏輯地址或數(shù)據(jù)包的協(xié)議類型為基礎(chǔ)。VLAN既可以在單臺(tái)交換機(jī)中實(shí)現(xiàn)，又可以跨越多臺(tái)交換機(jī)。在圖中，VLAN跨越了兩臺(tái)交換機(jī)：以太網(wǎng)交換機(jī)1的端口2、端口4、端口6和以太網(wǎng)交換機(jī)2的端口1、端口2、端口4、端口6組成VLAN1，以太網(wǎng)交換機(jī)1的端口1、端口3、端口5、端口7和以太網(wǎng)交換機(jī)2的端口3、端口5、端口7組成VLAN2。2．動(dòng)態(tài)VLAN四、VLAN如果以物理地址為基礎(chǔ)分配VLAN，則網(wǎng)絡(luò)管理員可以通過指定具有哪些物理地址的計(jì)算機(jī)屬于哪一個(gè)VLAN進(jìn)行配置（如物理地址為00-03-0D-60-1B-5E的計(jì)算機(jī)屬于VLAN1），不管這些計(jì)算機(jī)連接到哪臺(tái)交換機(jī)的端口。這樣，如果計(jì)算機(jī)從一個(gè)位置移動(dòng)到另一個(gè)位置，連接的端口從一個(gè)換到另一個(gè)，只要計(jì)算機(jī)的物理地址不變（計(jì)算機(jī)使用的網(wǎng)卡不變），它就仍將為原VLAN的成員，無(wú)須重新配置。2．動(dòng)態(tài)VLAN四、VLAN1．減少網(wǎng)絡(luò)管理開銷在某些情況下，部門重組和人員流動(dòng)不僅需要重新布線，還需要重新配置網(wǎng)絡(luò)設(shè)備。VLAN為控制這些改變和減少網(wǎng)絡(luò)設(shè)備的重新配置提供了一種有效的方法。當(dāng)VLAN的站點(diǎn)從一個(gè)位置移到另一個(gè)位置時(shí)，只要它們還在同一個(gè)VLAN中，并且仍可以連接到交換機(jī)端口，這些站點(diǎn)本身就不用改變。改變位置只需要簡(jiǎn)單地將站點(diǎn)插到另一個(gè)交換機(jī)端口中，并對(duì)該端口進(jìn)行配置即可。VLAN的優(yōu)點(diǎn)四、VLAN2．控制廣播活動(dòng)廣播在每個(gè)網(wǎng)絡(luò)中都存在。廣播的頻率取決于網(wǎng)絡(luò)應(yīng)用類型、服務(wù)器類型、邏輯段數(shù)目及網(wǎng)絡(luò)資源的使用方法。大量的廣播可以形成廣播風(fēng)暴，致使整個(gè)網(wǎng)絡(luò)癱瘓，因此必須采取一些措施來預(yù)防廣播帶來的問題。盡管以太網(wǎng)交換機(jī)可以利用地址映射表來降低網(wǎng)絡(luò)流量，但不能控制廣播數(shù)據(jù)包在所有端口的傳播。VLAN的使用在保持交換機(jī)良好性能的同時(shí)，還可以保護(hù)網(wǎng)絡(luò)免受潛在廣播風(fēng)暴的危害。一個(gè)VLAN中的廣播流量不會(huì)傳輸?shù)皆揤LAN之外，鄰近的端口和VLAN也不會(huì)收到其他VLAN產(chǎn)生的任何廣播信息。VLAN越小，VLAN中受廣播活動(dòng)影響的用戶就越少。這種配置方式大大降低了廣播流量，在一定程度上解決了LAN（局域網(wǎng)）受廣播風(fēng)暴影響的問題。VLAN的優(yōu)點(diǎn)四、VLAN3．提供較好的網(wǎng)絡(luò)安全性傳統(tǒng)的共享式以太網(wǎng)有一個(gè)非常嚴(yán)重的安全問題，即它很容易被穿透。因?yàn)榫W(wǎng)絡(luò)中任一節(jié)點(diǎn)都需要監(jiān)聽共享信道上的所有信息，所以通過插接到集線器的活動(dòng)端口，用戶就可以獲得該段內(nèi)所有流動(dòng)的信息。網(wǎng)絡(luò)規(guī)模越大，其安全性就越差。提高安全性的一種經(jīng)濟(jì)實(shí)惠和易于管理的技術(shù)就是利用VLAN將LAN分成多個(gè)廣播域，因?yàn)橐粋€(gè)VLAN中的信息流（不論是單播信息流還是廣播信息流）不會(huì)流入另一個(gè)VLAN，從而可以提高網(wǎng)絡(luò)的安全性。VLAN的優(yōu)點(diǎn)五、VLAN協(xié)議的應(yīng)用交換式以太網(wǎng)的組網(wǎng)需要使用以太網(wǎng)交換機(jī)，盡管它們內(nèi)部的工作原理相差甚遠(yuǎn)，但它們都具有RJ-45接口。計(jì)算機(jī)與集線器的這些共同點(diǎn)使交換式以太網(wǎng)的組建變得更加容易。因?yàn)榻粨Q機(jī)的端口速率可以不同，所以10/100

Mbit/s/1

000

Mbit/s自適應(yīng)交換機(jī)有更好的靈活性。它既可以連接裝有10

Mbit/s網(wǎng)卡的計(jì)算機(jī)，又可以連接裝有100

Mbit/s網(wǎng)卡的計(jì)算機(jī)，還可以連接裝有1

000

Mbit/s網(wǎng)卡的計(jì)算機(jī)。交換式以太網(wǎng)組網(wǎng)五、VLAN協(xié)議的應(yīng)用因?yàn)橛?jì)算機(jī)通過UTP直接接入以太網(wǎng)交換機(jī)的端口，所以將前面組裝的共享式以太網(wǎng)中的集線器都換成交換機(jī)，UTP、計(jì)算機(jī)、網(wǎng)卡等的組建方式不變，就可以簡(jiǎn)單地組成一個(gè)實(shí)驗(yàn)性的交換式網(wǎng)絡(luò)。又因?yàn)榻粨Q機(jī)的一個(gè)端口可以連接一個(gè)網(wǎng)段，所以可以將以前組裝的共享式以太網(wǎng)作為一個(gè)整體接入交換機(jī)的一個(gè)端口，組成交換式以太網(wǎng)。與集線器的級(jí)聯(lián)相同，在集線器與交換機(jī)的級(jí)聯(lián)中，同樣需要考慮使用什么樣的端口級(jí)聯(lián)，是使用直通UTP還是交叉UTP等問題。交換式以太網(wǎng)組網(wǎng)五、組建虛擬局域網(wǎng)在華為交換機(jī)上劃分VLAN是一個(gè)常見的網(wǎng)絡(luò)配置任務(wù)，它可以幫助網(wǎng)絡(luò)管理員根據(jù)功能、部門或應(yīng)用等因素將網(wǎng)絡(luò)中的設(shè)備和用戶組織起來，實(shí)現(xiàn)更有效的網(wǎng)絡(luò)管理和優(yōu)化。1．創(chuàng)建VLAN除了默認(rèn)VLAN1，其余VLAN需要通過命令來手工創(chuàng)建。創(chuàng)建VLAN有兩種方法。方法一：在交換機(jī)的系統(tǒng)視圖下，使用vlan命令可以創(chuàng)建單個(gè)VLAN并進(jìn)入該VLAN的配置視圖。如果該VLAN已存在，則直接進(jìn)入其配置視圖。具體命令格式如下。[Huawei]vlan2[Huawei-vlan2]vlan3在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)其中，vlan-id代表要?jiǎng)?chuàng)建的VLAN的序號(hào)，vlan-id的范圍是0～4095，可配置的值為1-4094，0和4095為保留值。默認(rèn)情況下，交換機(jī)會(huì)自動(dòng)創(chuàng)建和管理VLAN1，所有交換機(jī)端口默認(rèn)均屬于VLAN1，用戶不能刪除VLAN1。方法二：在系統(tǒng)視圖下，可通過vlanbatch命令批量創(chuàng)建多個(gè)VLAN。其具體用法如下。vlan

batch

vlan-id1

vlan-id2…

vlan-idn

在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)2．劃分VLAN端口要將一個(gè)（組）端口設(shè)置為某個(gè)VLAN的成員，首先應(yīng)選擇該（組）端口，然后將端口加入VLAN。（1）選擇接口①

選擇單個(gè)接口在系統(tǒng)視圖下，執(zhí)行interface命令，即可選擇接口（端口）進(jìn)入接口配置模式（在該模式下，可對(duì)選定的接口進(jìn)行配置，并且只能執(zhí)行配置交換機(jī)接口的命令）。該命令行提示符如下。[Huawei]interfacetypemod_num/port_num[Huawei-typemodnum/portnum]在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)其中，type代表端口類型，通常有以太網(wǎng)端口（Ethernet，通信速度為10

Mbit/s）、GigabitEthernet（1

000

Mbit/s）、匯聚鏈路接口（Eth-Trunk）、回環(huán)接口（LoopBack）、管理接口（Meth）、空接口（NULL）、隧道接口（Tunnel）和虛擬局域網(wǎng)接口（Vlanif）。這些端口類型通常可簡(jiǎn)約表達(dá)為e、gi、lo、me、nu、tu和vi。mod_num/port_num代表端口所在的模塊和在該模塊中的編號(hào)。例如，選擇交換機(jī)的0號(hào)模塊的第3個(gè)以太網(wǎng)端口。[Huawei]interfaceEthernet0/0/3[Huawei-Ethernet0/0/3]在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)②

選擇多個(gè)接口若選擇多個(gè)端口，則對(duì)于S5700、S3700和CE6800交換機(jī)，支持使用port-group關(guān)鍵字來指定端口范圍，并對(duì)這些端口進(jìn)行統(tǒng)一配置。同時(shí)選擇多個(gè)交換機(jī)端口的配置命令為[Huawei]port-groupstartport-endport[Huawei-port-group-startport-endport]group-membertypemodestartporttoendport[Huawei-port-group-startport-endport]startport代表要選擇的起始端口號(hào)，endport代表結(jié)尾的端口號(hào)，用于代表起始范圍的連字符to的兩端。在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)例如，選擇交換機(jī)S1的第2～第10的以太網(wǎng)端口，配置命令為<Huawei>system-view[Huawei]port-group2-10[Huawei-port-group-2-10]group-memberEthernet0/0/2toEthernet0/0/10[Huawei-port-group-2-10]在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)（2）將接口加入VLANportlink-type{access|hybrid|trunk}命令：用來配置接口的鏈路類型。可以配置接口的類型為Access、Trunk或Hybrid。portdefaultvlanvlan-id命令：用來配置接口的默認(rèn)VLAN并同時(shí)加入這個(gè)VLAN。（3）將接口設(shè)置為trunk模式portlink-typetrunk命令：將接口設(shè)置為trunk模式。porttrunkallow-passvlan命令：用來配置trunk類型接口允許通過的VLAN。undoporttrunkallow-passvlan命令：用來刪除trunk類型接口加入的VLAN。VLAN1默認(rèn)就在允許通過列表中，若無(wú)實(shí)際業(yè)務(wù)用途，則出于安全考慮，一般將它刪除。在華為交換機(jī)上劃分VLAN五、組建虛擬局域網(wǎng)下面介紹單交換機(jī)VLAN的劃分和跨交換機(jī)VLAN的劃分實(shí)例。實(shí)例1單交換機(jī)VLAN的配置實(shí)例【例6-3】現(xiàn)有1臺(tái)HuaweiS3700-26C-HI交換機(jī)，兩臺(tái)PC。PC1（192.168.1.1）和PC2（192.168.1.2）連接在同一臺(tái)交換機(jī)上，但是處在不同的VLAN中。測(cè)試兩臺(tái)計(jì)算機(jī)的連通性，并加以顯示和驗(yàn)證，同時(shí)說明其中的道理。實(shí)訓(xùn)拓?fù)鋱D如圖所示。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)1．基本配置按照拓?fù)鋱D將兩臺(tái)PC連接到?jīng)]有劃分VLAN的交換機(jī)的相應(yīng)端口上，并且確保兩臺(tái)PC是互相可以ping通的。（1）配置PC的IP地址和子網(wǎng)掩碼PC1的IP地址：192.168.1.1，子網(wǎng)掩碼：255.255.255.0；PC2的IP地址：192.168.1.2，子網(wǎng)掩碼：255.255.255.0。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)（2）測(cè)試兩臺(tái)計(jì)算機(jī)的連通性PC1pingPC2：PC>ping192.168.1.2 //測(cè)試PC1能否ping通PC2結(jié)論：PC1可以ping通PC2。同樣，PC2也可以ping通PC1。因目前PC1與PC2的IP地址同在一個(gè)網(wǎng)段，且兩臺(tái)機(jī)器又同在VLAN1中。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)2．創(chuàng)建VLAN在交換機(jī)上創(chuàng)建VLAN10和VLAN20。<Huawei>system-view //進(jìn)入系統(tǒng)視圖[Huawei]sysnameS1 //將交換機(jī)重命名為S1[S1]vlan10 //創(chuàng)建一個(gè)VLAN，10為序號(hào)，并且進(jìn)入VLAN配置模式[S1-vlan10]quit //返回系統(tǒng)視圖[S1]vlan20[S1-vlan20]quit劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)3．查看當(dāng)前VLAN配置信息[S1]displayvlan //查看加入端口前VLAN的配置情況（結(jié)果見圖）劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)4．將端口分配給指定的VLAN為E0/0/1和E0/0/2設(shè)置指定的端口模式，并分配到指定的VLAN中。<S1>system-view[S1]interfaceEthernet0/0/1 //選定E0/0/1端口[S1-Ethernet0/0/1]portlink-typeaccess //設(shè)置端口模式為access[S1-Ethernet0/0/1]portdefaultvlan10 //將端口加入VLAN10[S1-Ethernet0/0/1]quit[S1]interfaceEthernet0/0/2[S1-Ethernet0/0/2]portlink-typeaccess[S1-Ethernet0/0/2]portdefaultvlan20[S1-Ethernet0/0/2]quit劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)5．查看當(dāng)前VLAN配置信息[S1]displayvlan//查看加入端口后VLAN的配置情況（結(jié)果見圖）劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)6．測(cè)試連通性測(cè)試兩臺(tái)計(jì)算機(jī)是否能相互ping通。PC>ping192.168.1.2//測(cè)試PC1能否ping通PC2（結(jié)果見圖）劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)結(jié)論：PC1不可以ping通PC2。分析：起初兩臺(tái)PC連接到?jīng)]有劃分VLAN的交換機(jī)的相應(yīng)端口上，兩端口默認(rèn)均屬于VLAN1，VLAN1內(nèi)的主機(jī)彼此間是可以自由通信的；最后將兩臺(tái)PC分配到不同的VLAN中，不同VLAN中的主機(jī)是不能直接通信的。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)實(shí)例2跨交換機(jī)的VLAN的配置實(shí)例【例6-4】現(xiàn)有2臺(tái)HuaweiS3700-26C-HI交換機(jī)，3臺(tái)PC。PC1（192.168.1.1）和PC2（192.168.1.2）連接到同一臺(tái)交換機(jī)機(jī)上，但是處在不同的VLAN中。PC3（192.168.1.3）連接到另一臺(tái)交換機(jī)上。要求PC1能與PC3互相通信，PC2不能與PC3互相通信，并加以顯示和驗(yàn)證，同時(shí)說明其中的道理。拓?fù)溥B接如圖所示。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)1．基本配置按照拓?fù)鋱D連接計(jì)算機(jī)和交換機(jī)，并為各PC配置IP地址。（1）配置PC的IP地址和子網(wǎng)掩碼PC1的IP地址：192.168.1.1，子網(wǎng)掩碼：255.255.255.0；PC2的IP地址：192.168.1.2，子網(wǎng)掩碼：255.255.255.0；PC3的IP地址：192.168.1.3，子網(wǎng)掩碼：255.255.255.0。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)（2）測(cè)試計(jì)算機(jī)的連通性PC3pingPC1：PC>ping192.168.1.1 //測(cè)試PC3能否ping通PC1結(jié)論：PC3可以ping通PC1。原因：PC3與PC1目前IP地址同在一網(wǎng)段，二者又在同一VLAN中。PC3pingPC2：PC>ping192.168.1.2 //測(cè)試PC3能否ping通PC2結(jié)論：PC3可以ping通PC2。原因：PC3與PC2目前IP地址同在一網(wǎng)段，二者又在同一VLAN中。劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)2．S1上的配置（1）VLAN配置把LS1重命名為S1，在S1上創(chuàng)建VLAN10和VLAN20，并將端口E0/0/1加入VLAN10中，端口E0/0/2加入VLAN20中。<Huawei>system-view<Huawei>sysnameS1[S1]vlan10[S1-vlan10]quit[S1]vlan20[S1-vlan20]quit劃分VLAN的配置實(shí)例五、組建虛擬局域網(wǎng)[S1]interfaceEthernet0/0/1[S1-Ethernet0/0/1]portlink-typeaccess[S1-Ethernet0/0/1]portdefaultvlan10[S1-Ethernet0/0/1]quit[S1]interfaceEthernet0/0/2[S1-Ethernet0/0/2]portlink-ty