网络基础 第二章 局域网技术.ppt

《网络基础 第二章 局域网技术.ppt》由会员分享，可在线阅读，更多相关《网络基础 第二章 局域网技术.ppt（47页珍藏版）》请在三一办公上搜索。

1、网络设计与维护,主 讲 计算机系 刘 洋,局 域 网,一、局域网简介二、局域网协议三、网络设备四、以太网五、虚拟局域网六、交换网络中的冗余链路七、无线局域网八、局域网管理与维护,一、局域网简介,目前常见的局域网类型包括：1.1 以太网（Ethernet）1.2 令牌网（Token Passing）1.3 光纤分布式数据接口（FDDI）1.4 异步传输模式（ATM）,Ethernet是Xerox、DigitalEquipment和Intel三家公司开发的局域网组网规范，并于80年代初首次出版，称为 DIX1.0。1982年修改后的版本为DIX2.0。这三家公司将此规范提交给IEEE(电气电子工程

2、师协会)802委员会，经过IEEE成员的修改并通过，变成了IEEE的正式标准，并编号为IEEE802.3。Ethernet和IEEE802.3虽然有很多规定不同，但术语Ethernet通常 认为与802.3是兼容的。IEEE将802.3标准提交国际标准化组织(ISO)第一联合技术委员会(JTC1),再次经过修订变成了国际标ISO8802.3。早期局域网技术的关键是如何解决连接在同一总线上的多个网络节点有秩序的共享一个信道的问题，而以太网络正是利用载波监听多路访问/碰撞检测(CSMA/CD)技术成功的提高了局域网络共享信道的传输利用率，从而得以发展和流行的。交换式快速以太网及千兆以太网是近几年发

3、展起来的先进的网络技术，使以太网络成为当今局域网应用较为广泛的主流技术之一。它基于现有的标准和技术（IEEE802.3标准，CSMA/CD介质存取协议，总线性或星型拓扑结构，支持细缆、UTP、光纤介质，支持全双工传输），可以使用现有的电缆和软件，因此它是一种简单、经济、安全的选择。然而，以太网络在发展早期所提出的共享带宽、信道争用机制极大地限制了网络后来的发展，即使是近几年发展起来的链路层交换技术（即交换式以太网技术）和提高收发时钟频率（即快速以太网技术）也不能从根本上解决这一问题，具体表现在：1、以太网提供是一种所谓“无连接”的网络服务，网络本身对所传输的信息包无法进行诸如交付时间、包间延迟

4、、占用带宽等等关于服务质量的控制。因此没有服务质量保证QoS(QualityofService)。2、对信道的共享及争用机制导致信道的实际利用带宽远低于物理提供的带宽，因此带宽利用率低。,1.1 以太网（Ethernet）,令牌环是IBM公司于80年代初开发成功的一种网络技术。将其称为环（ring）,是因为这种网络的物理结构具有环的形状。环上有多个主机逐个与环相连，相邻主机之间是一种点对点的链路，因此令牌环与广播方式的Ethernet不同，它是一种顺序向下一节点广播的局域网。与Ethernet不同的另一个诱人的特点是，即使负载很重，仍具有确定的响应时间。令牌环所遵循的标准是IEEE802.5，

5、它规定了三种操作速率：1Mb/s、4Mb/s和16Mb/s。开始时，UTP电缆只能在1Mb/s的速率下操作，STP电缆可操作在4Mb/s和16Mb/s，现已有多家厂商的产品突破了这种限制。令牌总线网络类似于令牌环网络，主机在网络上进行发送数据之前，必须拥有一个令牌。但是，它们的拓扑结构却是总线型的。电气电子工程师协会(IEEE)802.4委员会已经定义了令牌总线标准是宽带网络标准，以与以太网的基带传输技术区别。令牌总线网络通过总线拓扑结构，使用75欧姆 CATV同轴电缆构造。802.4标准的宽带特性，支持在不同的信道上同时进行传输。宽带电缆有较长的传输能力，传输率可达10Mbps。令牌按照主机

6、地址的序列号，从一台主机传送到另外一台主机。这样，这个令牌实际上是按照逻辑环而不是物理环进行传递。在数字序列的最后一台主机将令牌返回到第一台主机。这个令牌并不遵照连接到这条电缆的工作站的物理顺序进行传递。可能主机在一条电缆的一端，而主机2在这条电缆的另外一端，主机3却在这条电缆的中间。物理拓扑结构可以是若干主机从一种星形配置的集线器中分支出来，所以这个网络既是一个总线拓扑又是一个星形拓扑的网络。,1.2 令牌网,光纤分布式数据接口（FDDI）是一种使用光纤作为传输介质的、高速的、通用的环形网络。它能以100Mbps的速率跨越长达100km的距离，连接多达 500个设备，既可用于城域网络也可用于

7、大范围局域网。FDDI采用令牌传递的方式解决共享信道冲突问题，与共享式以太网的CSMA/CD的效率相比在理论上要稍高一点（但仍远比不上交换式以太网），采用双环结构的FDDI还具有链路连接的冗余能力，因而非常适于做多个局域网络的主干网。然而FDDI与以太网一样，其本质仍是介质共享、无连接的网络，这就意味着它仍然不能提供服务质量保证和更高的带宽利用率。在有少量主机通讯的网络环境中，它可达到比共享以太网稍高的通讯效率，但随着主机的增多，效率会急剧下降，这时候无论从性能和价格都无法与交换式以太网、ATM网相比。交换式FDDI会提高介质共享效率，但同交换式以太网一样，这一提高也是有限的，不能解决本质问题

8、。另外，FDDI有两个突出的问题极大地影响了这一技术的进一步推广，一个是其居高不下的建设成本，特别是交换式FDDI的价格甚至会高出某些ATM交换机；另一个是其停滞不前的组网技术，由于网络半径和令牌长度的制约，现有条件下FDDI将不可能出现高出100M的带宽。面对不断降低成本同时在技术上不断发展创新的ATM和快速交换式以太网技术的激烈竞争，FDDI的市场占有率逐年缩减。据相关部门统计，现在各大型院校、教学院所、政府职能机关建立局域网或城域网的设计倾向较为集中的在ATM和快速以太网这两种技术上，原先建立较早的FDDI网 络，也在向星型、交换式的其他网络技术过渡。,1.3 光纤分布式数据接口（FDD

9、I）,随着人们对集语音、图像和数据为一体的多媒体通信需求的日益增加，特别是为了适应今后信息高速公路建设的需要，人们又提出了的宽带综合业务数字网（B-ISDN）这种全新的通信网络，而B-ISDN的实现需要一种全新的传输模式，即异步传输模式（ATM）。在1990年，国际电报电话咨询委员会（CCITT）正式建议将ATM作为实现BISDN的一项技术基础，这样，以ATM为机制的信息传输和交换模式也就成为电信和计算机网络操作的基础和 2l世纪通信的主体之一。尽管目前世界各国，都在积极开展ATM技术研究和B-ISDN的建设，但以ATM为基础的B-ISDN的完善和普及却还要等到下一世纪，所以称ATM为一项跨世

10、纪的新兴通信技术。不过，ATM技术仍然是当前国际网络界所注意的焦点，其相关产品的开发也是各厂商想要抢占的网络市场的一个制高点。ATM是目前网络发展的最新技术，它采用基于信元的异步传输模式和虚电路结构，根本上解决了多媒体传输要求的实时性及带宽问题。实现面向虚链路的点到点传输，它通常提供155Mbps的带宽。它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证，又保持了以太网、FDDI等传统网络中带宽可变、适于突发性传输的灵活性，从而成为迄今为止适用范围最广、技术最先进、传输效果最理想的网络互联手段。ATM技术具有如下特点：1、实现网络传输有连接服 务，实现服务质量保证(QoS)。2、交换吞

11、吐量大、带宽利用率高。3、具有灵活的组网拓扑结构和负载平衡能力，可靠性极高。4、ATM是现今唯 一可同时应用于局域网、广域网两种网络应用领域的网络技术，它将局域网与广域网技术统一。,1.4 异步传输模式（ATM）,二、局域网协议,为了出尽局域网的标准化，便于组网，美国点滴电子工程师学会IEEE 802 委员会为局域网制定了一系列标准，且提交国际标准化组织作为国际标准的参考并得到认可。IEEE 802标准着重描述了局域网的低两层物理层、数据链路层。下图给出了802标准的结构。,物理层,MAC,LLC,802.3,802.4,802.5,802.6,802.9,802.11,CSMA/CD,令牌总

12、线,令牌环,城域网,语音数据综合城域网,无线局域网,802.1,802.2,数据链路层,IEEE 802.1：综述和体系结构，它除了定义IEEE 802标准和OSI参考模型 高层接口外，还解决寻址、网际互连和网络管理等方面的 问题。IEEE 802.2：逻辑链路控制，定义了LLC子层为网络层提供服务。对于 所有的MAC规范，LLC是共同的。IEEE 802.3：载波监听多路访问/冲突检测（CSMA/CD），是一种总线型 局域网的介质访问控制方法和物理规范。IEEE 802.4：令牌总线（Token Bus），是另一种总线型局域网的介质访 问控制方法和物理规范。IEEE 802.5：令牌环（To

13、ken Ring），是另一种总线型局域网的介质访问 控制方法和物理规范。IEEE 802.6：城域网，它可以实现一个城市范围内的计算机联网。IEEE 802.9：LANISDN接口。IEEE 802.10：互操作LAN安全标准。IEEE 802.11：无线局域网。IEEE 802.12：100VG AnyLAN的MAC标准及物理规范。IEEE 802.14：交互式电视网，包括Cable Modem的技术规范。IEEE 802标准对局域网的标准化起了重要作用，目前，尽管高层软件和网络操作系统不同，但由于底层采用了标准化协议，几乎所有局域网均可实现互联。,802.3协议CSMA/CD,CSMA/C

14、D（Carrier Sense Multiple Access with Collision Detection 带有冲突检测的载波监听多路访问）主要采用总线型、使用Hub的星形拓扑结构，通常为基带传输。其基本通信过程为：载波监听：想发送信息包的节点要确保目前没有其他节点在使用共享介质，所以 节点要首先监听传输介质上是否有信号。冲突检测：如果两个以上节点都在监听和等待发送，然后在传输介质没有信号时 同时决定发送信号，就会产生冲突。这将导致双方所发送的信息包受 损（信号干扰）。当发生冲突时，就立即停止该次传输，并向传输介 质发送一个“拥挤”信号，以确保其它节点也发现该冲突。多路访问：在等待一段时

15、间后，试图发送的主机要进行重新发送，为了避免再次 冲突，产生冲突的各主机要根据后退算法决定发送主机的发送时间。CSMA/CD方式原理简单，技术上易实现，网络中工作站处于同等地位。但这种方式不能提供优先级控制，无法满足远程控制所需的确定延时和绝对可靠性的要求。,802.4/802.5 令牌访问控制法,令牌法（Token Passing）。用于环形结构局域网的令牌法称为令牌环访问控制法（Token Ring，802.5）；用于总线型结构局域网的令牌法称为令牌总线访问控制法（Token Bus，802.4）。令牌法的基本思想是：一个独特的称为令牌的标志信息从一个节点发送到另一个节点。当一个节点准备发

16、送信息时，首先要等待令牌的到来，当检测到一个经过它的令牌为空令牌时，就可以发送信息，并将令牌置为“忙”向下传送到下一个节点。下一节点用按位转发的方式转发经过该节点但不属于由本节点的信息。由于令牌处于“忙”状态，其他节点就必须等待。接收过程：每一节点随时检测经过本站的信号，当检测到信息包中的目的地址与本节点地址相同时，则一方面接收信息，另一方面继续转发该信息包，信息包经过其他的节点，有源节点予以收回。令牌环访问控制方法为环形基带传输。环网的主要特点是只有一条环路，信息单项沿环流动，无路径选择问题，令牌隐式地传输到环上每一节点。环路是一个含有有源部件的信道，环中每一个节点都具有放大整形作用，负载能

17、力强，对信道的访问控制技术比较简单。令牌总线访问控制法综合了令牌传递和总线结构网络的优点，在物理总线结构中采用显式令牌实现令牌传递控制方法，从而在总线布局中产生节点的排序，这种排序称为逻辑环。,三、网络设备,3.1 传输介质3.2 网 卡（NIC）3.3 中继器（Repeater）3.4 集线器（Hub）3.5 网 桥（Bridge）3.6 交换机（Switch）3.7 路由器（Router）3.8 Modem3.9 安全设备,网络接口卡（NIC）是第二层网络设备，世界上每一块网络接口卡都带有介质访问（MAC）地址。MAC地址控制了主机对局域网内其他设备的访问。左图为一块PCI网卡。,中继器是

18、工作在第一层的网络设备。中继器的作用的是在物理层上对信号进行获取、放大、整形、滤波、发出。本质上就是实现信号的再生。因此它具有夸大网络覆盖面积、增加介质传输距离的作用。中继器分为双口和多口。多端口中继器有时被称为集线器。,3.2 网 卡（NIC）,3.3 中继器（Repeater）,集线器（Hub）的作用是对网络信号进行再生。集线器具有多个端口，每个端口用于连接网络主机或网络分段。当数据报到达端口是，都会被复制到其他所有端口上，以便网络中的所有设备都能看是该数据包。由于其在功能上和中继器相似，又将其称为多端口中继器（Multiport Repeater）。,集线器的主要特点如下：放大信号 整理

19、信号 在整个网络上传播 网络的汇集点 无需过虑、无需数据交换、地址判断,名词解释：冲突（Coliision）两个信号同时 出现在同一网络介质上的 现 象。冲突域（Coliision Domain）网 络中产生数据分组且发生冲 突的区域。,3.4 集线器（Hub）,网桥是工作在第二层的网络设备。它的目的是用于创建LAN分段，每个分段为一个单独的冲突域。从而起到了限制通讯流量的作用。网桥通过MAC地址表来实现数据流的过虑。它通过查看数据包中的源地址来建立MAC地址表，通过比对目的地址和MAC地址表中的信息实现数据包的转发。但数据包的目的地址没有包含在MAC地址表中时，进行 泛洪。一个广播（broa

20、dcast）就是一个发送到网络中所有节点的数据分组。一个广播域（broadcast domian）由连接到同一个网络的所有设备组成，它们都 会接收由某个节点向同一网络的所有其他节点 发送的数据分组广播。MAC的广播地址为。网桥无法识别MAC广播地址，因此网桥总是转发广播。所以，网桥可以划分冲突域却无法实现广播域的划分。,3.5 网 桥（Bridge）,二层交换机又称为LAN交换机或工作组交换机。交换机和网桥一样，也可以连接LAN分段，同样根据MAC地址表转发数据包。所以交换机也是工作在第二层的设备。可以将交换机的每一个端口看成一个独立的网桥，所以交换机可以通过端口划分冲突域。同样交换机也把广播

21、信息转发到所有端口上。但是交换机对数据包处理的速度要远远大于网桥。交换机也被称为多端口网桥。微分段（Microsegmentation）允许创建私有的或专用的分段，一个分段可以享受完全的带宽。,3.6 交换机（Switch）,路由器是基于第三层的网络设备。它根据IP数据分组中IP地址进行转发。由于其工作在第三层，它可以屏蔽底部两层的差异，它可以连接底部异构的网络，如FDDI、ATM、以太网、令牌网，实现低两层异构网络的互联互通。路由器通过建立路由表、依据路由选择协议实现链路的建立，并为数据包建立最优路径。路由器是组成广域网的主要网络设备。但是随着LAN的发展和LAN中日趋复杂需要，含有路由功能

22、的三层交换机被大量的使用在了LAN中和Intranet中，实现全换式LAN。,3.7 路由器（Router）,3.8 Modem,Modem（调制解调器）是Modulator/DEModulator（调制器/解调器）的缩写。它是在发送端通过调制将数字信号转换为模拟信号，而在接收端通过解调再将模拟信号转换为数字信号的一种装置。计算机内的信息是由“0”和“1”组成数字信号，而在电话线上传递的却只能是模拟电信号。于是，当两台计算机要通过电话线进行数据传输时（比如我们拨号上网），就需要一个设备负责数模的转换。这个数模转换器就是Modem。,计算机在发送数据时，先由Modem把数字信号转换为相应的模拟信

23、号，这个过程称为“调制”。经过调制的信号通过电话载波传送到另一台计算机 之前，也要经由接收方的Modem负责把模拟信号还原为计算机能识别的数字信号，这个过程称为“解调”。正是通过这样一个“调制”与“解调”的数模转换过 程，从而实现了两台计算机之间的远程通讯。,3.9 安全设备,由于Internet和LAN的连接日益增多，从远端接入LAN内部的用户也越来越多，这给网络安全带来了巨大的挑战。涉及到网络安全的设备包括防火墙和VPN集中器。防火墙（firewall）既可以指运行在路由器或服务器上的程序，也可以指特定的、独立的网络硬件。防火墙保护某私有网络的资源不被其他网络的用户访问。防火墙可以与路由器

24、结合起来，对每一个网络分组都进行检查以决定是否将该数据包转发。防火墙如果从实现方式上来分，分为硬件防火墙和软件防火墙。我们通常所讲的防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的。效果较好、价格昂贵。软件防火墙则有应用程序实现。硬件防火墙从技术上划分，又分为：标准防火墙和堡垒主机。标准防火墙包括一个UNIX工作站，该工作站连接一个路由器进行缓冲，路由器两端分别连接内外网；堡垒主机，它是一个单独的系统，却能够完成标准防火墙的所有功能。VPN(Virtual Private Network)虚拟专用网，是指利用公用电信网络为用户提供专用网的所有各种功能。由于采用了“虚拟专

25、用网”技术，即用户实际上并不存在一个独立专用的网络，用户既不需要建设或租用专线，也不需要装备专用的设备，就能组成一个属于用户自己专用的电信网络。通过这种方式可以提高远程网络的安全性。VPN集中器提供了强大的远程接入和端到端VPN的能力，易于使用的管理接口以及VPN客户程序。通过与高可靠性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。,四、以太网,IEEE802.3标准及以太网IEEE802.3标准适用于CSMA/CD局域网。其工作原理是：当站点希望传送时，它就等到线路空闲为止，否则就立即传输。如果两个或多个站点同时在空闲的电缆上开始传输，它们就会冲突。于是所有冲突站

26、点终止传送，等待一个随机的时间后，再重复上述过程。已出版的802.3标准与以太网的细微差别是：它描述了运行在各种介质上的从1Mb/s10Mb/s的1-持续CSMA/CD系统的整个家族。另外，二者的一个头部字段也有所不同（802.3的长度字段用作以太网的分组类型）。许多人（错误地）把“以太网”作为CSMA/CD协议的总称，尽管这一名词只表示了实现802.3的某个特定产品。802.3的电缆此处按历史顺序介绍。第一种是10Base5电缆，它通常被称为“粗以太网（thick ethernet）”电缆，802.3标准建议为黄色，每隔2.5m一个标志，标明分接头插入处，连接处通常采用插入式分接头（vamp

27、ire tap），将其触针小心地插入到同轴电缆的内芯。名称10Base5表示的意思是：工作速率为10Mb/s，采用基带信号，最大支持段长为500m。第二种电缆是10Base2，或称为“细以太网（thin ethernet）”电缆,与“粗以太网”相对，并且很容易弯曲。其接头处采用工业标准的BNC连接器组成T型插座，它使用灵活，可靠性高。“细以太网”电缆价格低廉，安装方便，但是使用范围只有200m，并且每个电缆段内只能使用30台机器。,由于寻找电缆故障的麻烦，导致一种新的接线方式的产生，即所有站点均连接到一个中心集线器（hub）上。通常，这些连线是电话公司的双绞线。这种方式被称 为10Base-T

28、。这种结构使增添或移去站点变得十分简单，并且很容易检测到电缆故障。10Base-T的缺点是，其电缆的最大有效长度为距集线器 100m，即使是高质量的双绞线（5类线），最大长度可能也只有150m。另外，大集线器的价格也较高。尽管如此，由于其易于维护，10Base-T还是 应用得越来越广泛。802.3中可用的第四种电缆连接方式是10Base-F，它采用了光纤。这种方式由于其连接器和终止器的费用而十分昂贵，但是它却有极好的抗干扰性，常用于办公大楼或相距较远的集线器间的连接。,交换式以太网 以太网交换机，英文为SWITCH，也有人翻译为开关，交换器或称交换式集线器。以太网交换技术是在多端口网桥的基础上

29、与九十年代初发展起来的，实现OSI模型的下两层协议，与传统的网桥相比，它能提供更多的端口（488）、更好的性能、更强的管理功能以及更便宜的价格。现在某些局域网交换机也实现了OSI 参考模型的第三层协议，实现简单的路由选择功能，目前很热的第三层交换就是指此。以太网交换机又与电话交换机相似，除了提供存储转发方式外还提供了其它的桥接技术，如：直通方式。交换式以太网的工作原理 以太网交换机的原理很简单，它检测从以太端口来的数据包的源和目的地的MAC（介质访问层）地址，然后与系统内部MAC表进行比较，若数据包的MAC层地址不在查找表中，则将该地址加入查找表中，并将数据包发送到所有端口；如果地址在表中则发

30、送到相应的端口，如果目的地址与该端口相对应则不进行转发。具体包含两种转发方式：存储转发、直接转发。存储转发方式是计算机网络领域应用最为广泛的方式，它把输入端口的数据包先存储起来，然后进行CRC检查，在对错误包处理后才取出数据包的目的地址，通过查找表将包从输出端口送出。正因如此，存储转发方式在数据处理时延时大，这是它的不足，但是它可以对进入交换机的数据包进行错误检测，尤其重要的是它可以支持不同速度的输入输出端口间的转换，保持高速端口与低速端口间的协同工作。,直通方式的以太网络交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时，检查该包的包头，获取包的目的地址

31、，启动内部的动态查找表转换成相应的输出端口，在输入与输出交叉处接通，把数据包直接发送到相应的端口，实现交换功能。由于不需要存储，延迟非 常小、交换非常快，这是它的优点。它的缺点是：因为数据包的内容并没有被以太网交换机保存下来，所以无法检查所传送的数据包是否有误，不能提供错误检测能 力，由于没有缓存，不能将具有不同速率的输入/输出端口直接接通，而且，当以太网络交换机的端口增加时，交换矩阵变的越来越复杂，实现起来相当困难。,交换式以太网技术的优点 交换式以太网不需要改变网络其它硬件，包括电缆和用户的网卡，仅需要用交换式交换机改变共享式HUB，节省用户网络升级的费用。它同时提供多个通道，比传统的共享

32、式集线器提供更多的带宽，传统的共享式10Mbps/100Mbps以太网采用广播式通信方式，每次只能在一对用户间进行通信，如果发生碰撞还得重试，而交换式以太网允许不同用户间进行传送。特别是在时间响应方面的优点，使的局域网交换机倍受青睐。它比路由器的成本要低却提供了比路由器宽的带宽、高的速度，除非有上广域网的要求，否则，就允许使用交换机替代路由器。,五、虚拟局域网,局域网作为当今网络重要的组成部分，在网络中扮演着重要的角色，随着局域网规模的不断扩大，局域网内的主机数日益增加，加剧了冲突、带宽浪费、安全等局域网中普遍存在的问题。解决这类问题，有两种方法：一种是在物理上划分子网，这是一种在第三层解决的

33、方法；另一种是利用VLAN实现划分虚拟子网，这种方法是在第二层上实现的。VLAN(Virtual Local Area Network)即虚拟局域网，是一种将局域网结构逻辑地划分为一个个网段而不是物理地划分为一个个网段。由于VLAN是逻辑上的局域网，因此它具有着局域网的共同特点，譬如每个VLAN本身拥有自己的广播域，广播不能跨越不同的VLAN进行传播，因而有效的控制了冲突、节约了带宽；由于每个VLAN就是一个独立的局域网，所以要想实现VLAN间通讯，必须使用三层的路由器来实现。另外VLAN不受地理位置和物理范围的影响，VLAN的成员可以位于同一物理网络上的任意位置。由于VLAN是在逻辑上实现的

34、，因此不需要改变设备的物理位置和连接就可以将网络中的主机根据需要划分到不同的网络中，从而提高局域网的安全性。,局域网出现的客观要求：1、网络性能。在共享介质的以太网和交换式的以太网中，所有的设备处于同一广播域中，随着设备数量的增多，数据帧冲突加剧，对于丢失的数据帧要重发，因而浪费了大量的带宽。同时，对于广播风暴和安全性问题只能在第三层加以控制。虚拟局域网可以很好地控制广播的范围，形成虚拟工作站，动态管理网络。基于交换机端口的虚拟局域网能够很好地解决冲突域、广播域、带宽问题，提高网络性能。2、提高安全性。在企业网中，由于各部门要求不同，对网络中的数据和资源就有不同的权限要求，例如财务和人事部门的

35、数据就不允许被其他人访问或者监听到。只有通过网络设备有效控制广播范围才可以实现帧不被监听，但是这提高了成本和布线的难度。但是通过在二层交换机上构建VLAN，在实现控制广播域的同时避免了因物理位置不同而造成的成本问题和布线难度。3、实现物理位置上的灵活性。根据实际要求设计具有不同网段的局域网络在实现上是很困难的。因为不同的工作组成员可能分布在不同的地理位置上，他们并不集中。而VLAN在部署上依赖于逻辑划分，因此它可以在物理网络上抽象地划分小局域网，将处在不同地理位置上的工作组成员组织在一起。,虚拟局域网的实现VLAN标准 在1996年，IEEE 802.1Internet Working委员会结

36、束了对VLAN初期标准的修订工作。新标准进一步完善了VLAN的体系结构，统一了Frame-Tagging方式中不同厂商的标签格式，并制定802.1QVLAN标准。802.1Q在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，每个工作组构成一个虚拟局域网。,前导码：同步码（用来使局域网中的所有节点同步，7字节长）和侦标志（帧的起始标志10101011，1字节）两部分；目的地址：接收端的MAC地址，6字节长；源地址：发送端的MAC地址，6字节长；长度：数据包的类型（即上层协议的类型），2字节长；数据：被封装的数据包，461500字节长；校验码：错误检验，4字节长。,802

37、.1Q的帧格式如上图，它是在以太网帧的基础上加上4Byte的标记头而形成的。其中四个字节的具体含义如下：TPID：标记协议标识字段，2个字节，值为0X8100。TCI：标签控制信息字段，包括三部分3bit的优先级、CFI、VLAN ID。优先级：可以规定8个优先级。CFI：规范格式指示器默认值为0。VLAN ID：12bit的VID是VLAN的标识符。VLAN ID的最大取值范围为14094，因为VID0用于识别帧优先级、4095（FFF）作为预留值。,VLAN的种类根据定义VLAN成员方法的不同，VLAN可以分为6种，它们是：1、基于交换机端口的VLAN；2、基于协议的VLAN；3、基于MA

38、C层帧的VLAN；4、基于网络分组的VLAN；5、基于IP组播分组的VLAN；6、基于策略的VLAN。1、基于端口的VLAN 基于端口的VLAN是最简便的VLAN划分方法。它实际上是端口的集合，管理员只要对交换机端口进行管理和配置就可以完成对VLAN的设置。802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。它的缺点是如果某VLAN的用户离开了原来的端口，到了一个新的交换机上，就必须重新定义端口所属的VLAN。2、基于协议的VLAN 基于协议的VLAN，是依据第三层所使用的协议来区分该成员属于哪儿个VLAN。然而这仅适用于一个多类型协议的网络环境中，在一个以IP协议为主的局域网中

39、，这种方法不太适用。,3、基于MAC层分组的VLAN 按MAC地址来划分VLAN实际上是将设备依据其MAC地址进行分类，此时VLAN是MAC地址的集合。这种划分方法最大的优点是当用户的位置发生变化时，不需要对VLAN进行重新配置；缺点是在VLAN的创建过程中需要对所有用户进行配置，对于园区网或者企业网等拥有上百台设备的网络来说，其初始配置工作量是非常大的并且这种方法也导致了交换机执行效率的降低，因为交换机的每个端口都可能有大量的VLAN成员，因此在实现交换上就无法很好地控制广播。4、基于网络层分组的VLAN 这种方法根据IP地址进行划分。这种方法的优点是不需要在网络设备或终端发生物理位置变化时

40、对VLAN进行重新设置，但是由于需要查看IP地址，因此消耗了更多的处理时间。5、基于IP组播的VLAN IP组播实际上也是一种VLAN的定义，即一个组播组就是一个VLAN，这种方法将VLAN的范围由局域网扩大到了广域网，很容易通过路由器进行扩展，当然这种方法不局限于于局域网。6、基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。,VLAN通讯（以基于端口的VLAN为例）VLAN通讯分为VLAN内通讯和VLAN间通讯。VLAN内通讯。在二层交换机上对端口进行划分，将端口划分到不同的VLAN中。划分后只有处于同一VLAN内的成员才能

41、进行通讯，它们好像被连接在一个独立的二层交换上。不是同一组的成员间无法直接跨VLAN通讯，必须通过三层设备进行通讯（路由器或三层交换机）。因此每个VLAN都是一个广播域，这样就将原有的一个广播域划分为多个广播域，从而有效地提高了带宽和安全性。802.1Q协议使跨交换机的同一VLAN的端口之间通信成为可能。基于802.1Q的VLAN用VID来划分不同的VLAN。当数据帧进入交换机端口的时候，数据帧中被加入表示VLAN的VID，只有在数据帧在进入目标端口后，标示才会被取掉。交换机根据帧中TAG头中的VID信息来识别它们所在的VLAN从而进行交换，这使得属于统一VLAN的各种数据帧都限制在该逻辑VL

42、AN中，而属于不同VLAN的数据帧不能被属于其他的VLAN成员接收到。因而每个VLAN好似独立的局域网。在数据帧广播时一方面覆盖了其VLAN中的所有端口，同时它也会通过设置为Trunk模式的端口传播，因为模式为Trunk模式的端口属于该交换机上任何一个VLAN。注：数据帧并不是在所有情况下都在从端口进入交换机时加入TAG，但是可以根据它所最初通过的端口的VID来进行转发，而数据帧在通过Trunk模式的端口时一定会被加入TAG（除UNTAG帧），用于在另一台交换机上识别该帧的所属VLAN。,VLAN间通讯。每一个VLAN相当于一个独立局域网，因此要想实现跨VLAN通讯实际上就是实现跨网络通讯。我

43、们可以使用两种方式实现跨网络通讯，这两种方式同样适用于VLAN间通讯。一种是利用路由器来实现；另一种是利用三层交换机实现，但是无论哪儿中方式本质上都是通过第三层的路由功能实现的。（1）利用路由器实现VLAN间通讯。在利用路由器实现VLAN间通讯时，可以将属于不同VLAN的端口连接在路由器上实现VLAN间通讯，但是每个VLAN都要求有一个端口连接在路由器上，虽然在组建上很简单，却造成了大量的端口浪费，提高了网络扩展的成本，因为路由器的端口是很有限的，并且多端口路由器价格昂贵；也可以通过将交换机的一个端口连接到路由器上，在将这个接口设置为干道模式（Trunk模式）的情况下，在这个端口上设置子接口（

44、Sub-interface）并为每个子接口，配置IP地址并将其作为相应VLAN中主机的网关，这样就可以利用SVI实现路由功能。（2）利用三层交换机实现VLAN间通讯。三层交换机是具有路有功能的交换机，在其上实现二层VLAN的同时，可以开启三层路由功能，在同一台设备上通过路由功能实现跨VLAN数据通讯。在配置时，只要在三层交换机上开启路由功能，设置虚接口并为其配置相应网络的IP地址，对应的VLAN内主机的网关地址要设置为虚接口的地址。就可以实现跨VLAN通信。但是需要注意的是有时需要手动配置静态路由。,六、交换网络中的冗余链路,6.1 链路聚合6.2 生成树协议6.3 快速生成树协议,局域网的交

45、换机间、交换机与服务器间进行通讯时要求很高的带宽，同时也需要更高的容错能力。链路聚合技术在设备间通过把多条链路集中到一起形成一个逻辑的聚合接口（Aggregate Port）简称AP，在提高了关键链路带宽的同时，也为设备间提供了冗余链路。当某个链路无法工作时其它链路不受影响，只是带宽有所降低并不会导致设备间无法通讯。用于局域网交换机端口和高端服务器网卡的基于标准的链路聚合技术将帮助用户减少这种压力。制订于1999年年中的802.3ad 标准定义了如何将两个以上的千兆以太网连接组合起来为高带宽网络连接实现负载共享、负载平衡。首先，这项标准适用于10M、100M和1000Mbps 以太网。聚合在一

46、起的链路可以在一条单一逻辑链路上组合使用上述传输速度，这就使用户在交换机之间有一个千兆端口以及3或4个100Mbps端口时有更多的选择，可以以负担得起的方式逐渐增加带宽。由于网络传输流被动态地分布到各个端口，因此在聚合链路中自动地完成了对实际流经某个端口的数据的管理。802.3ad的另一个主要优点是可靠性。在链路速度可以达到8Gbps的情况下，链路故障将是一场灾难。关键任务交换机链路和服务器连接必须既具有强大的功能又值得信赖。即使一条电缆被误切断的情况下，它们也不会瘫痪，这正是802.3ad所具有的一个有趣的 附带的好处。这项链路聚合标准在点到点链路上提供了固有的、自动的冗余性。换句话说，如果

47、链路中所使用的多个端口中的一个端口出现故障的话，网络传输流可以动态地改向链路中余下的正常状态的端口进行传输。这种改向速度很快，当交换机得知媒体访问控制地址已经被自动地从一个链路端口重新分配到同一链路中的另一个端口时，改向就被触发。然后这台交换机将数据发送到新端口位置，并且在服务几乎不中断的情况 下，网络继续运行。,6.1 链路聚合,网络中非人为原因构成的环路不仅带来了网络风暴这类困扰网络性能的问题，它也是阻碍通过链路冗余提高网络可靠性的障碍。生成树协议是一种二层管理协议，不仅解决了网络中环路的问题，同时能够实现网络中的冗余链路。这不仅保证了网络中的带宽可以被有效的利用，而且进一步地加强了网络的

48、可靠性。简单地说，生成树协议将网络环路中的一条拿出来做备份链路，同一时刻只有一条链路工作，这样就在逻辑上拆除了原来的环路；当正在工作的链路发生故障而无法完成网络通讯时，处在非工作状态下的链路将自动地转为工作状态。通过这种方法就可以实现链路冗余，也可以消灭由于网络中未知环路所带来的性能问题。生成树协议是IEEE 802.1d所定义的。它的发展经历了三代，而每一代都有相对应的协议，我们通常所讲的生成树协议是指802.1d所定义的第一代生成树协议。那么这三代分别是：第一代生成树协议：STP/RSTP；第二代生成树协议：PVST/PVST+；第三代生成树协议：MISTP/MSTP。,6.2 生成树协议

49、,生成树协议 STP（Spanning Tree Protocol）大家都知道树形结构不具有环路，如果在保持节点间相对关系的前提下，将网络的网状结构转变为具有相同数目节点的树形结构，这样既可以去掉网状结构中的环路，也能保证所有节点间的通讯。除此之外，通过合理地利用被裁剪下来的链路，使转换后的结构具有冗余链路，当故障发生时冗余链路替换掉故障链路使网络保持正常通讯。而构造这棵树的算法叫做生成树算法SPA（Spanning tree Algorithm）。要实现这些功能交换机间必须进行一些信息交流，通过这些信息来构造树形结构，当网络拓扑结构发生变化时，也是通过这些信息开启备份链路，重新建立新的树形结

50、构。这些信息单元被称为桥接协议数据单元（Bridge Protocol Data Unit）。这里就其中的重要信息加以说明，其完整结构见下页图例：Root Bridge ID：本交换机所认为的根交换机ID；Root Path Cost：本交换机到它所认为的根交换机的路径花费；Bridge ID：本交换机桥ID，由交换机优先级和MAC地址组合而成；Port ID：发送该报文端口的ID；Message age:报文已存活的时间；,桥接协议数据单元BPDU结构,当交换机的一个端口收到高优先级的BPDU的时候，就在该端口保存这些信息，同时向所有端口更新并传播信息。如果收到比自己优先级低的BPDU，交换