第十讲局域网互连课件.ppt

《第十讲局域网互连课件.ppt》由会员分享，可在线阅读，更多相关《第十讲局域网互连课件.ppt（96页珍藏版）》请在三一办公上搜索。

1、4.6 局域网互连,转发器和集线器:物理层的设备通过集线器连接起来的局域网属于同一个冲突域，这也意味着所有的节点都共享带宽所能连接的站点数是有限制的，比如10BaseT局域网的站点最多有1024个它所覆盖的范围仍然是有限的，要求遵循5-4-3原则网桥：第二层（数据链路层）的设备提供网段间的隔离功能,4.6.1 网桥,网桥（bridge）最早是设计为把那些具有相同的物理层和媒体访问子层的局域网（比如都符合IEEE 802.3）互连起来而设计的桥适合于不是非常复杂的局域网之间的互连，它工作在OSI模型中的第二层桥提供一种对LAN的扩展，实现MAC子层的连接。桥对遵循IEEE 802标准的局域网是完

2、全透明的：不需要对连接在这些LAN上的站点的通信软件进行修改对于在两个或多个LAN中的所有站点来说，就好象存在一个单一的LAN,为什么要采用网桥？,为什么不是简单的采用一个大的LAN而是通过网桥连接多个LAN？无序性：可能已经有多个LAN存在可靠性：故障可能导致整个LAN陷于瘫痪性能：LAN中所有站点共享带宽，同时其性能随着连在其上的设备的数量或媒体长度的增加而降低站点数：受电气特性和MAC的制约，LAN连接的站点数目是有限的 地理考虑：局域网覆盖的范围是有限的，考虑要连接的站点在地理位置上较分散且相距较远的情况 安全：网卡可以工作在混杂方式，可以监听LAN上发送的所有帧,网桥的功能,网桥的作

3、用是通过其“过滤和转发”功能来实现的，当网桥收到一个MAC帧时，它检查该帧的源地址和目的地址如果目的站点和源站点是在同一网络之上，则不对其进行转发，这起到了相应的“过滤”作用。否则根据它所保持的路由表选择正确的网络来进行“转发”。网桥可能具有“学习”功能，应该能够动态地了解别的局域网或网桥的状态，帮助其进行自我配置工作。,网桥的设计要考虑的问题,网桥必须考虑连接的各种局域网的物理特性和帧格式：不同的帧格式：格式的转换，检验和的计算等不同的数据速率：缓冲功能以及拥塞控制不同的超时时间：不同网络的延迟时间各不相同不同的最大帧长度：这可能是一个最为重要的问题，IEEE 802 LAN标准不提供分段功

4、能让高层应用了解要经过的LAN的最大帧长度，这样可以避免发送太大的帧网桥来分解帧，需要额外的逻辑单元来分解帧和对帧的每个部分提供适当的应答，即要求网桥能够识别网络层的协议单元,透明网桥的主要特性,透明：引入网桥对于现有LAN的运行是完全透明的可以连接同种MAC协议或者不同MAC协议的LANLAN上的站点不用作任何改动，完全透明网桥也不用做特殊的设置，连接好之后就可以运行 对于环路的拓扑结构，网桥还采用的是一种叫做生成树算法的技术，来防止路由回路,透明网桥,透明网桥的每个端口以混杂方式工作，接收连接到该网桥的局域网上传送的所有帧。每个桥维护了一个基于MAC地址的过滤数据库，网桥根据这个数据库，把

5、收到的帧往相应的局域网进行转发或者过滤：过滤数据库中列出了每个可能的目的地（目的MAC地址），以及它属于哪一条输出线路（一个端口号，即表示转发给哪个LAN），同时每个表项还有一个超时。 网桥初始化时，过滤数据库为空如果收到的帧的目的地址不在过滤数据库中，则进行扩散，即把帧转发到除了收到该帧的端口外的所有端口中逆向学习：当一个帧到达一个端口时，桥显然知道它是来自于到来LAN的哪一边。帧的源地址字段表示了源站点。因而桥可以更新那个MAC地址对应的过滤数据库中有关信息 每个表项有一个超时，如果一段时间没有看到来自于该站点的帧，则从表中移走,透明网桥（续）,桥在端口x上接收到一个MAC帧，有如下规则：

6、查询过滤数据库，决定该目的MAC地址是否列在除端口x外的其它端口中。如果目的MAC地址没有找到，把该帧往除了它所到来的端口外的所有端口发送，即进行扩散。如果目的地址列在过滤数据库中的某个端口y中，其中y不等于x，此外还要看端口y是否处在阻塞还是在转发状态。如果端口y是非阻塞（转发状态）的，把该帧通过端口y转发到它所连接的LAN中。,透明网桥（续）,如果收到一个广播帧，网桥会把广播帧向该帧的到来端口外的所有其它端口转发广播帧的目的地址代表所连接的局域网的所有目的主机网桥实现MAC子层的连接，通过网桥连接的LAN相当于一个大的LAN通过网桥连接的站点位于同一个广播域（broadcast domai

7、n），即这些节点能相互接收彼此的广播帧。,网桥与交换机,1、网桥 网桥是将一个LAN段与另一LAN段连接起来的网络设备。 网桥执行三种重要的功能：学习、过滤和转发。 2、交换机 交换机提供了桥接能力以及在现存网络上增加带宽的功能。交换机保持一张有关地址的信息表(称为MAC地址表-内容可寻址寄存器)，并用该信息来决定如何过滤并转发LAN流量。 与网桥不同，交换机采用交换技术来增加数据的输入输出总和与介质的带宽。,交换机的功能,地址学习 交换数据帧 环路避免,交换机地址表学习,初始MAC地址表是空的,MAC address table,0260.8c01.1111,0260.8c01.2222,0

8、260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,A,B,C,D,交换机地址表学习,计算机 A 发一个数据帧 到计算机 C交换机通过接收从端口E0来的数据帧的源地址学习到了计算机 A 的MAC地址从计算机A到计算机C的数据帧被泛洪（flood）到 除了E0 以外的所有其他端口 (不知道地址的单播帧被泛洪),MAC address table,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E0,E1,E2,E3,D,C,B,A,交换机地址表学习,计算机

9、D 发一个数据帧 到计算机 C交换机通过接收从端口E3来的数据帧的源地址学习到了计算机 D 的MAC地址从计算机D到计算机C的数据帧被泛洪（flood）到 除了E3 以外的所有其他端口 (不知道地址的单播帧被泛洪),MAC address table,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E3: 0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,交换机如何过滤数据帧,计算机 A 第二次发一个数据帧 到计算机 C 目标地址在MAC地址表中可以查到，帧不被fl

10、ood,E0: 0260.8c01.1111,E2: 0260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,X,X,D,C,A,B,MAC address table,广播和组播帧,计算机D 发送一个广播或组播帧。广播和组播帧被 flooded 到除了初始接收端口以外的所有其他端口,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,

11、E0,E1,E2,E3,D,C,A,B,E0: 0260.8c01.1111,E2: 0260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,MAC address table,交换数据帧（续）,如果计算机A发数据帧到计算机B，因为A和B在同一个端口连接的网段内，则交换机不进行转发。,冗余拓扑结构,冗余拓扑结构消除了单点故障。冗余拓扑结构也会造成广播风暴, 多帧拷贝, 和MAC地址表不稳定等问题。,Segment 1,Segment 2,Server/host X,Router Y,Broadcast Storms,Segment 1,Segm

12、ent 2,Server/host X,Router Y,Broadcast,Switch A,Switch B,计算机 X 发了一个广播帧,广播风暴,交换机B从网段2收到交换机A发出的广播帧后又扩散到网段1,Segment 1,Segment 2,Server/host X,Router Y,Broadcast,Switch A,Switch B,广播风暴,交换机不断循环扩散广播导致风暴形成,Segment 1,Segment 2,Server/host X,Router Y,Broadcast,Switch A,Switch B,Multiple Frame Copies（多帧拷贝）,Se

13、gment 1,Segment 2,Server/host X,Router Y,Unicast,Switch A,Switch B,主机 X 发一个单播帧（ unicast frame ）到路由器 Y路由器 Y 的MAC 地址 switch A和switch B都不知道,Multiple Frame Copies （多帧拷贝）,Segment 1,Segment 2,Server/host X,Router Y,Switch A,Switch B,主机X 发一个单播帧到 Router Y，交换机A与B都不知道Router Y的MAC 地址，因此单播帧以广播的方式发送。Router Y 将收到

14、两个相同的帧。,MAC 地址表不稳定,Segment 1,Segment 2,Server/host X,Router Y,Unicast,Unicast,Switch A,Switch B,Port 0,Port 1,Port 0,Port 1,主机X 发一个单播帧到 Router Y，交换机A与B都不知道Router Y的MAC 地址。因此单播帧以广播的方式发送。Switch A and B 通过各自的 port 0 学习到主机X 的MAC 地址。,MAC 地址表不稳定,Segment 1,Segment 2,Server/host X,Router Y,Unicast,Unicast,S

15、witch A,Switch B,Port 0,Port 1,Port 0,Port 1,主机X 发一个单播帧到 Router Y，交换机A与B都不知道Router Y的MAC 地址。因此单播帧以广播的方式发送。Switch A 和B 又通过各自的 port 1 学习到主机X 的MAC 地址。这样就造成Switch A 和B MAC 地址表的不稳定。,复杂的拓扑结构可能造成 多重环路（multiple loops ）数据链路层没有阻止环路产生的机制。,Server/host,Workstations,Loop,Loop,Loop,Multiple Loop Problems,阻塞（Block）

16、,通过阻塞一个或多个冗余端口，维护一个无回路的网络IEEE 802.1d,解决的方法：生成树协议（STP）,STP的算法,STP将一个环形网络生成无环拓朴的步骤：选择根网桥（Root Bridge）选择根端口（Root Ports）选择指定端口（Designated Ports）,网桥是交换机的前身，由于STP是在网桥基础上开发的，因此现在在交换机的网络中仍然沿用网桥这一术语,第一步：选择根网桥,选择根网桥的依据,网桥ID（BID）网桥ID是唯一的，交换机之间选择BID值最小的交换机作为网络中的根网桥,网桥优先级,网桥的MAC地址,2字节,6字节,取值范围：0 65535缺省值：32768,选

17、择根网桥的目的是为了给将生成的树形结构确定一个树根,STP选择根网桥举例,根据网桥ID选择根网桥,A,B,C,优先级：4096MAC地址： 000d.2800.b100,优先级：32768MAC地址： 000d.2800.b101,优先级：32768MAC地址： 000d.2800.b102,Root Bridge,下一步：选择根端口,以本拓朴为例，介绍STP的计算过程,选择根端口的依据,在非根网桥上选择一个到根网桥最近的端口作为根端口选择根端口的依据是：根路径成本最低 直连的网桥ID最小端口ID最小,根路径成本,根路径成本是网桥到根网桥的路径上所有链路的成本之和,Root Bridge,路径

18、成本：19,路径成本：100,C,B,A,Port 1,C的Port 1根路径成本19100119,路径成本,路径成本根据链路带宽的高低规定,端口ID,端口ID的组成,端口优先级,端口编号,8位,8位,取值范围：0 255缺省值：128,100M,STP选择根端口举例,在非根桥上， 选择一个根端口（RP）,A,B,C,优先级：4096MAC地址： 000d.2800.b100,优先级：32768MAC地址： 000d.2800.b101,优先级：32768MAC地址： 000d.2800.b102,Root Bridge,下一步：选择指定端口,100M,100M,Root Port,Root

19、Port,在B和C上，到达A最近的端口是B和C的根端口,选择指定端口的依据,在每个网段上，选择1个指定端口根桥上的端口全是指定端口非根桥上的指定端口：根路径成本最低端口所在的网桥的ID值较小端口ID值较小,STP选择指定端口举例,在每个网段选择1个指定端口（DP）,100M,A,B,C,优先级：4096MAC地址： 000d.2800.b100,优先级：32768MAC地址： 000d.2800.b101,优先级：32768MAC地址： 000d.2800.b102,Root Bridge,100M,100M,Root Port,这个端口既不是根端口，也不是指定端口，STP将这个端口阻塞（Bl

20、ock）,在这个网段上，B的网桥ID较小，所以B上的端口为指定端口,DP,DP,DP,根网桥上的端口都是指定端口,STP计算结果,经过STP计算，最终的逻辑结构为无环拓朴,100M,A,B,C,优先级：32768MAC地址： 000d.2800.b101,优先级：32768MAC地址： 000d.2800.b102,100M,优先级：4096MAC地址： 000d.2800.b100,备份线路,STP举例,D,C,A,B,BID：32768000d.2800.b100,BID：32768000d.2805.c100,BID：32768000d.2810.d100,BID：32768000d.2

21、811.e100,100M,100M,100M,100M,100M,Root Bridge,RP,RP,RP,DP,DP,DP,Block,经过STP计算后的逻辑拓朴,D,C,A,B,BID：32768000d.2800.b100,BID：32768000d.2805.c100,BID：32768000d.2810.d100,BID：32768000d.2811.e100,100M,100M,100M,Root Bridge,STP(生成树 ）协议的运行,使得每一个网络只有一个根桥（ Root bridge）使得每一个非根桥（nonroot）上只有一个根端口（ root port ）使得每一个

22、网段（segment ）只有一个指定端口 （designated port ）,x,Designated port (F),Root port (F),Designated port (F),Nondesignated port (B),Root bridge,Nonroot bridge,SW X,SW Y,100baseT,10baseT,Switch YDefault priority 32768 (8000 hex)MAC 0c0022222222,Switch XDefault priority 32768 (8000 hex) MAC 0c0011111111,STP协议中根桥的选

23、择,BPDU,BPDU = Bridge protocol data unit (默认每隔2秒发一个BPDU包)根桥 = 具有最小 桥 ID值的网桥（交换机）桥 ID = 网桥优先级 + 网桥 MAC 地址思考：在上面的拓扑图中, 那一台交换机具有最小的桥ID?,Switch YDefault priority 32768MAC 0c0022222222,Switch XDefault priority 32768 MAC 0c0011111111,STP协议中交换机端口状态,Root bridge,x,Port 0,Port 1,Port 0,Port 1,100baseT,10baseT,

24、指定端口 (F),根端口 (F),非指定端口 (B),指定端口 (F),Switch YMAC 0c0022222222Default priority 32768,Switch XMAC 0c0011111111Default priority 32768,Port 0,Port 1,Port 0,Port 1,Switch ZMac 0c0011110000Default priority 32768,Port 0,请指出:那一台交换机是根桥?那些端口是 指定端口, 非指定端口, 和根端口?那些端口处于 转发状态 ，那些处于阻塞状态?,100baseT,100baseT,Spanning-

25、Tree示例,Switch YMAC 0c0022222222Default priority 32768,Switch XMAC 0c0011111111Default priority 32768,Port 0,Port 1,Port 0,Port 1,Switch ZMac 0c0011110000Default priority 32768,Port 0,请指出:那一台交换机是根桥?那些端口是 指定端口, 非指定端口, 和根端口?那些端口处于 转发状态 ，那些处于阻塞状态?,100baseT,100baseT,Spanning-Tree:,指定端口 (F),根端口 (F),非指定端口

26、(BLK),指定端口 (F),根端口 (F),根桥,BPDU（桥协议数据单元）,交换机之间使用BPDU来交换STP信息BPDUBridge Protocol Data Unit 桥协议数据单元使用组播发送BPDU，组播地址为：01-80-c2-00-00-00BPDU分为2种类型：配置BPDU 用于生成树计算拓朴变更通告（TCN）BPDU 用于通告网络拓朴的变化,有没有想过，交换机怎么知道其他交换机的网桥ID？怎么知道哪个端口的根路径成本最小？,BPDU包含的关键字段,100M,STP使用BPDU选择根网桥2-1,100M,A,C,网桥ID： 32768.000d.2800.b101,网桥ID

27、：32768.000d.2800.b102,网桥ID： 4096.000d.2800.b100,B,交换机启动时，假定自己是根网桥，在向外发送的BPDU中，根网桥ID字段填写自己的网桥ID,100M,100M,100M,STP使用BPDU选择根网桥2-2,100M,A,C,当接收到其他交换机发出的BPDU后，比较网桥ID，选择较小的添加到根网桥ID中,100M,A,B,100M,网桥ID： 32768.000d.2800.b101,网桥ID：32768.000d.2800.b102,网桥ID： 4096.000d.2800.b100,当全网所有的交换机接收到全部的BPDU并作比较后，就可以选择

28、出唯一的一个根网桥,STP使用BPDU计算根路径成本2-1,100M,100M,100M,A,C,A,B,根网桥发送根路径成本为0的BPDU,100M,Root Bridge,网桥ID： 32768.000d.2800.b101,网桥ID：32768.000d.2800.b102,网桥ID： 4096.000d.2800.b100,Root Bridge,A,STP使用BPDU计算根路径成本2-2,其他交换机接收到根网桥的BPDU后，在根路径成本上添加接收接口的路径成本，然后转发,100M,100M,100M,A,C,100M,B,交换机保存接口的根路径成本到内存中,网桥ID： 32768.0

29、00d.2800.b101,网桥ID：32768.000d.2800.b102,网桥ID： 4096.000d.2800.b100,生成树端口的状态,交换机端口的5种STP状态,Spanning-Tree Port States,Spanning-tree transitions each port through several different state:,STP端口的状态二,Blocking (阻断) 状态（20秒）所有端口初始都是阻断状态。2. Listening（倾听）状态（15秒）交换机用这段时间来判断到根桥是否还有其他路径，并确定打开某个端口不会在网络中造成环路；3. Lea

30、rning（学习）状态（15秒）交换机会在学习状态过程中了解各端口MAC地址信息，然后记录在交换机内的MAC地址表里。在这两个过程中交换机不会转发用户数据。 因此端口状态从Blocking到Forwarding需要大约50秒的时间叫做收敛时间（Convergence Time），在这段时间内用户数据将无法正常传递。,STP的默认计时,Time,Blocking,20 Sec,Listening,Learning,15 Sec,Forwarding,15 Sec,Forward Delay,Forward Delay,Max-Age,Spanning-Tree Recalculation,Spa

31、nning-Tree Recalculation,Key Issue: Time to Convergence,Convergence occurs when all the switches and bridge ports have transitioned to either the forwarding or blocking state,When network topology changes, switches and bridges must recompute the Spanning-Tree Protocol, which disrupts user traffic,数据

32、转发方式,1：直接交换:2：改进的直接交换:(碎片隔离、无残帧）3：存储转发交换:,数据转发方式,1：Cut-through(直接交换)Switch checks destination address and immediately begins forwarding frame,检测到目的地址字段，立即转发,2： Fragment free (碎片隔离、无残帧） (modified cut-through)Cat1900 Default (改进的直接交换） Switch checks the first 64 bytes then immediately begins forwarding

33、 frame,接收数据头部，判断头部字段是否正确,数据转发方式,3：Store and forward（存储转发交换）Complete frame is received and checked before forwarding,完整地接收整个数据，对数据进行差错检测,Duplex Overview,Half duplex (CSMA/CD)Unidirectional data flowHigher potential for collisonHubs connectivity,Switch,Hub,Duplex Overview,Half duplex (CSMA/CD)Unidirec

34、tional data flowHigher potential for collisonHubs connectivity,Switch,Hub,Full duplex Point-to-point onlyAttached to dedicated switched portRequires full-duplex support on both endsCollision free Collision detect circuit disabled,现有的共享局域网配置LAN和VLAN的区别跨越主干网络的VLAN在VLAN中的路由器的角色在VLAN中的数据帧的使用状况帧标记，端口、VLA

35、N和广播VLAN 类型、TRUNK 、VTP协议静态VLAN，动态VLAN,虚拟局域网技术,VLAN虚拟局域网的设计,1.什么是虚拟局域网？ 将局域网上的用户或节点划分成若干“逻辑工作组”，逻辑组的用户或节点可以根据功能、部门、应用等因素划分而无须考虑它们所处的物理位置。2.利用以太网交换机就可以配置VLAN 。3.利用VLAN 可以分割广播域。,虚拟局域网概念,在此让我们先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unic

36、ast Frame）也能在同一个广播域中畅行无阻。本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。用路由器和划分VLAN都能分割广播域。,广播域概念,什么是广播域？,在传统的共享LAN环境中.用户根据他们所接入的交换机物理地进行了分组路由器将LAN进行了分段，并起到了LAN中的广播防火墙的作用在VLAN环境中.可以按照功能、部门或使用的应用等因素来进行逻辑地分组通过软件完成配置,现有的共享局域网配置,传统LAN的管理方法,一个逻辑工作组的站点需要移到另一个逻辑工作组（如站点从LAN1移动到LAN3）一个逻辑工作组的站点需要物理位置的移动（如LAN1中

37、的站点从1楼移动到3楼）移动站点的物理位置或逻辑工作组有时需要重新布线,VLAN中逻辑工作组的管理,一个逻辑工作组的站点需要移到另一个逻辑工作组（如站点从LAN1移动到LAN3）不需要移动计算机，只须把它划入相应VLAN中以软件方式实现逻辑工作组的划分与管理,VLAN可以对不同子网中的用户进行逻辑分段处理 (将他们置于一个广播域中)广播帧将被而且仅被交换到具有相同VLAN ID的交换机或交换机端口用户通过软件可以按照如下的因素（或参数）被逻辑地分组端口号MAC地址使用的协议使用的应用（或应用程序）,用户分组,VLANs.工作在数据链路层和网络层控制网络广播可以由网络管理员对用户进行网络分配提供

38、相对严谨的网络安全。请思考其原因？,LAN和VLAN的区别,VLAN支持通过主干网络的数据传输，这些主干网络由路由器和交换机连接主干网络是用来进行VLAN间通讯的区域主干网络是高速的连接，一般大于等于100Mbps,跨越主干网络的VLAN,路由器提供不同VLAN间的互联例如，VLAN1和VLAN2在交换机中，用户被分隔在不同的网段中无法相互通讯(VLAN的特点)因此，需要一个路由器来连接着两个网段,在VLAN中的路由器的角色,Cisco 2621,VLAN1,VLAN2,交换机利用数据帧中的地址数据进行过滤和转发的计算这里使用了两种技术帧过滤检查每个数据帧的详细信息(MAC地址或网络层协议类型

39、) 帧标记(Frame Tagging)在向网络主干转发的每个数据帧的头部放入一个唯一的标示,在VLAN中的数据帧的使用状况,帧标记,在IEEE 802.1q中定义，是最佳的VLAN实现方式在数据帧转发到主干网络之前，每个数据帧将被分配一个唯一的VLAN ID由交换机在广播和转发数据到其他交换机和路由器之前设定在数据帧中放置一个标记.所以叫做帧标记，请考虑是在网络那一层？当该数据帧将被转发到目的节点而离开主干网络时，由交换机将该标记从数据帧中去除,VLAN的划分方式通常有如下几种：最早的VLAN划分是基于端口（Port Based）的，即通过端口来划分VLAN；现在的交换器还支持通过MAC地址

40、（MAC Based）和 IP地址（Protocol Based）来划分VLAN；一些较新的交换器，还可以通过策略服务（Policy Servie）来管理VLAN，进一步简化了VLAN的划分和管理。,VLAN的类型,特点：VLAN成员是通过交换机的端口组进行划分（如将某交换机的第1、3、5和7号端口划分为VLAN A，而将其第2、4和6号端口划分为VLAN B），包括支持跨交换机的VLAN（如将交换机X的第1和2号端口及交换机Y的第3、4、6号端口划分为VLAN A，而将交换机X的3、4、5、6、7和8号端口及交换机Y的第1、2、5号端口划分为VLAN B）。这种基于端口的方案仍是当前最常用的

41、定义VLAN成员的方法。优点：所有的厂商都支持，而且设置相当方便基于管理员（由管理员人工设置）安全性很好（只有网络管理员能修改设置）缺点：每个端口只能支持一个VLAN，不能支持多个VLAN使用同一个物理网段（即交换机端口）的要求。不支持按业务分组。应用：主要用于为了提高网络的运行效率的网络用于防止拥塞（flood）而非为了满足工作需要。它是VLAN中最简单的一种，却也能提供最大程度的控制和安全性。,基于端口（port-based）的VLAN,特点：根据MAC地址划分VLAN。优点：工作站移动到网络的其他物理位置时其VLAN成员的身份不变（特别适用于各种便携式电脑）。 “基于用户”可实现按业务分

42、组可以形成“交迭的”VLAN即一个站点可以同时属于多个VLAN。便于实现若干个业务群间的跨接通信（如销售主管和经理们需要同时在销售和市场两个VLAN中）。缺点： 不适用于工作于第三层网络的那些真正的远程用户（许多便携式电脑用户属于这种情况），因为MAC地址不能跨越网络层。 VLAN设置时必须由人工完成，相当麻烦。应用：需要按业务分组的企业和主机位置需要经常移动网络。,基于MAC地址（MAC-based）的VLAN,特点：根据协议来划分VLAN，如将所有基于MAC地址的用户划分到一个VLAN中，其他的可以通过IP地址或IPX等协议进行划分。优点：用户可以同时处于多个VLAN中。“基于管理员”如果

43、他所管理一个大型网络运行有不同的协议，而不同的用户组则已经是不同通信类型的成员了。这种情况下，它可以用来分隔不同的通信类型。缺点：其他站点可以随意加入某个VLAN，只要配备相应的协议。应用：只是用来提高网络的效率。最大的优点则是允许IPX网络加入以简单的方式将IPX产生的SAP（服务广告协议）广播置于有效的控制中。,基于协议（protocol-based）的VLAN,特点：使用网络（如IP子网）地址确定VLAN成员资格。优点：可实现通过协议划分VLAN用户可以物理移动其工作站而不必重新设置每个工作站的网络地址（适用于纯TCP/IP网络）可以不需要使用帧标识（tagging）在交换机间的VLAN

44、进行通信，降低了传输开销。网络管理员可以在VLAN管理软件中通过简单的拖放式操作规定哪个子网在哪个VLAN中，并将所有的用户与其子网一起分配。新用户加入可以由VLAN自动调整（因为交换机会发现它们位于哪个子网）缺点：需要解决IP地址盗用问题应用：用于TCP/IP协议特别有效，但对那些无需在桌面人工设置的协议（如IPX、DECnet、或AppleTalk协议）效果就差些。,基于IP（IP-based）的VLAN,所谓“策略实际上就是各种可能行为的控制准则。它们按 if-then 结构工作，可以对网络中的不同对象（用户、管理员、应用软件及硬件的下部构造）的行为进行禁止、许可或强制。策略管理迄今为止

45、一直被用于某些类型的管理软件上：故障、性能、安全、配置及帐户。但也开始应用于其他类型的软件。基于策略是最强大的VLAN方案。它使网络管理员可以使用任何VLAN策略的组合来建立适合自己需要的VLAN。一旦一个策略被下载到一台交换机中，它在整个网络中就得到全面应用，有关设备就将被加入到各VLAN中。基于策略的VLAN可以使用各种划分方法，包括上述所列的各种VLAN类型：MAC源地址，IP地址，及协议字段。也可以将不同的策略结合起来，形成一个策略，以满足网络管理员的特殊要求。但使用这种VLAN技术的设备和控制软件相当复杂，目前只有极少网络使用。,基于策略（policy-based）的VLAN,定义静

46、态VLAN是指交换机上的端口被人工的设定为VLAN的成员的优点可以利用端口、地址和协议类型进行分配安全、容易被配置和监控适合用在网络成员较少移动的情况下,静态VLAN,定义交换机的端口自动的决定用户所属的VLAN，使用如下参数的一个或多个：MAC地址逻辑地址协议类型当一个工作站连接到一个未分配的端口时，交换机检查自身的信息表，并动态的将该端口分配到正确的VLAN中优点当用户增加和移动时，管理性的工作较少(预先做好了)集中控制网络和管理未经许可的用户,动态VLAN,移动的用户在一个网络中每年大约有20%到40%的节点由于工作原因需要变动占用网络管理员相当的工作量（重复性工作）管理网络工作中的耗资

47、最大的部分，因为移动需要.重新布线重新分配地址和配置网络VLAN提供了控制这些费用的方法；只要一个用户一直属于一个VLAN.简单地将新的交换机端口配置到该VLAN中路由器的配置无需改变,VLAN使得网络改变更加容易,路由器在控制广播方面非常有效VLAN将扩展路由器控制广播方面的功能越小的VLAN，越少的用户被广播所影响,VLAN控制广播,共享LAN是易于被入侵的.只需要简单的接入任何一个共享的集线器VLAN增加了安全性.严格控制了VLAN中的用户数量将防止未经认证的用户访问网络可以将所有未用的端口配置为“Disabled”状态控制存取的方法还有地址应用类型协议类型,VLAN增加安全性,代替Hu

48、b和网络分段非智能集线器上所有端口分配为一个VLAN.交换机的性能价格比远远优于集线器右图中，在扩展星形网络拓扑中，使用具备VLAN的交换机代替中心节点的集线器后，整个网络从一个共享网段被划分成6个网段,VLAN节省费用,在二层交换机的性能参数中，常常提到一个重要的指标：TRUNK(链路聚合)，许多的二层交换机产品在介绍其性能时，都会提到能够支持TRUNK功能，从而可以为互连的交换机之间提供更好的传输性能。TRUNK功能比较适合于以下方面具体应用：TRUNK功能用于与服务器相联，给服务器提供独享的高带宽。TRUNK功能用于交换机之间的级联，通过牺牲端口数来给交换机之间的数据交换提供捆绑的高带宽

49、，提高网络速度，突破网络瓶颈，进而大幅提高网络性能。Trunk可以提供负载均衡能力以及系统容错。由于Trunk实时平衡各个交换机端口和服务器接口的流量，一旦某个端口出现故障，它会自动把故障端口从Trunk组中撤消，进而重新分配各个Trunk端口的流量，从而实现系统容错。,VLAN新技术：Trunk,TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之

50、间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。一般情况下，在没有使用TRUNK时，百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10/100交换机的带宽仅为100M，如果是采用的全双工模式的话，则传输的最大带宽可以达到最大200M，这样就形成了网络主干和服务器瓶颈。要达到更高的数据传输率，则需要更换传输媒介，使用千兆光纤或升级成为千兆以太网，这样虽能在带宽上能够达到千兆，但成本却非常昂贵（可能连交换机也需要一块换掉），根本不适合低成本的中小企业和学校使用。如果使用TRUNK技术，把四个端口通过捆绑在一起来达到800M带宽，这样可较好的解决了