VLAN技術(shù)在校園網(wǎng)中的設(shè)計(jì)與應(yīng)用(畢業(yè)論文)

1、江西現(xiàn)代職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）題 目：基于VLAN的小型校園網(wǎng)設(shè)計(jì)姓 名 學(xué) 院 專 業(yè) 班 級(jí) 指導(dǎo) 教師 提交 時(shí)間 論文題目:基于VLAN的小型校園網(wǎng)設(shè)計(jì)姓名：班級(jí)：指導(dǎo)老師：摘要:目前校園網(wǎng)正處于一種高速發(fā)展之中,在校園網(wǎng)絡(luò)中實(shí)施VLAN技術(shù)，可以提高網(wǎng)絡(luò)管理效率、性能、帶寬及靈活性, 同時(shí)還能控制廣播風(fēng)暴, 提高校園網(wǎng)安全性能。本文結(jié)合高校校園網(wǎng)的特點(diǎn)，從IP 規(guī)劃、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、協(xié)議選擇、網(wǎng)絡(luò)設(shè)備配置等方面對(duì)校園網(wǎng)進(jìn)行了規(guī)劃和設(shè)計(jì)，并對(duì)VLAN技術(shù)在校園網(wǎng)中的應(yīng)用作了較為詳細(xì)的描述。本文在設(shè)計(jì)中，采用了VLAN技術(shù)，通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)

2、現(xiàn)虛擬工作組, 在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意移動(dòng)工作站組成新的邏輯工作組或虛擬子網(wǎng)，從而提高了系統(tǒng)的運(yùn)作性能, 起到了均衡網(wǎng)絡(luò)數(shù)據(jù)流量, 合理利用網(wǎng)絡(luò)資源的作用。有效利用VLAN 技術(shù)，根據(jù)不同需要實(shí)施不同策略，統(tǒng)籌規(guī)劃，科學(xué)設(shè)計(jì)，完全可以建設(shè)穩(wěn)定性好、管理性強(qiáng)、安全性高的校園網(wǎng)絡(luò)。關(guān)鍵詞：校園網(wǎng) VLAN 端口目錄一、概述1（一）VLAN技術(shù)背景1（二）本課題的意義4二、VLAN技術(shù)的討論5（一）TRUNK鏈路技術(shù)5（二）VTP協(xié)議6（三）VLAN的幀標(biāo)識(shí)8（四）VLAN之間的通信10（五）VLAN的劃分方式12（六）VLAN間通信16三、VLAN技術(shù)在校園網(wǎng)中的設(shè)計(jì)18（一）網(wǎng)絡(luò)設(shè)

3、備的選擇18（二）校園網(wǎng)絡(luò)的設(shè)計(jì)19（三）校園網(wǎng)IP的規(guī)劃20（四）VLAN在網(wǎng)絡(luò)中的劃分20四、VLAN技術(shù)在校園網(wǎng)中的測(cè)試23（一）基于RIP協(xié)議的測(cè)試24（二）基于OSPF協(xié)議的測(cè)試26總結(jié)28參考文獻(xiàn)29致謝30一、概述（一）VLAN技術(shù)背景1. VLAN技術(shù)產(chǎn)生背景虛擬網(wǎng)技術(shù)(VLAN，Virtual Local Area Network)的誕生主要源于廣播。廣播在網(wǎng)絡(luò)中起著非常重要的作用，如發(fā)現(xiàn)新設(shè)備、調(diào)整網(wǎng)絡(luò)路徑、IP地址租賃等等，許多網(wǎng)絡(luò)協(xié)議都要用到廣播，局域網(wǎng)通常被定義為一個(gè)單獨(dú)的廣播域，主要使用集線器或交換機(jī)等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點(diǎn)。然而，隨著網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)量的增

4、多，廣播包的數(shù)量也會(huì)急劇增加，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。所以當(dāng)所有的網(wǎng)絡(luò)節(jié)點(diǎn)都處于同一個(gè)廣播域內(nèi)，這大大增加了網(wǎng)絡(luò)中所有設(shè)備之間的數(shù)據(jù)流量。隨著網(wǎng)絡(luò)的不斷擴(kuò)充，很有可能出現(xiàn)廣播風(fēng)暴，導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法使用。在網(wǎng)絡(luò)中的數(shù)據(jù)保密要求和網(wǎng)絡(luò)的組織結(jié)構(gòu)上的要求等這些問題都促使了虛擬局域網(wǎng)的誕生。2. VLAN技術(shù)的定義VLAN ( Virtual Local Area Network)即虛擬局域網(wǎng)， 是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。虛擬網(wǎng)絡(luò)是在整個(gè)網(wǎng)絡(luò)中通過(guò)網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI 模型的第三層的廣播域， 與具體的

5、物理網(wǎng)及地理位置無(wú)關(guān)， 虛擬工作組可以包含不同位置的部門和工作組， 不必在物理上重新配置任何端口， 真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶與它們的物理位置無(wú)關(guān)。它以其高速、靈活、管理簡(jiǎn)便和擴(kuò)充容易得到了廣泛應(yīng)用。一方面， VLAN 建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上;另一個(gè)方面， VLAN 是局域交換網(wǎng)的靈魂。VLAN 用戶能方便的在網(wǎng)絡(luò)中移動(dòng)和快捷的組建寬帶網(wǎng)絡(luò)， 而無(wú)需改變?nèi)魏斡布屯ㄐ啪€路。網(wǎng)絡(luò)管理員能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配， 而無(wú)需考慮物理連接方式。它與普通局域網(wǎng)從原理上講沒有什么不同， 但它與普通局域網(wǎng)最基本的差異體現(xiàn)在: VLAN 并不局限于某一網(wǎng)絡(luò)或物理范圍， VLAN 中的用戶可以位于一個(gè)園區(qū)

6、甚至國(guó)家的任意位置。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802. 1Q協(xié)議標(biāo)準(zhǔn)草案。 3.VLAN技術(shù)的特征VLAN的特性使局域網(wǎng)的通信流量控制和數(shù)據(jù)保密性方面有了很大的提高，VLAN具有以下一些特征：1 同一個(gè)VLAN中的所有成員共同擁有一個(gè)VLAN ID，在邏輯上組成一個(gè)虛擬局域網(wǎng)絡(luò)；2 同一個(gè)VLAN中的成員均能收到同一個(gè)VLAN中的其他成員發(fā)來(lái)的廣播包，但收不到其他VLAN中成員發(fā)來(lái)的廣播包。不同的VLAN處在不同的廣播域中；3 不同VLAN的成員之間不可相互直接通信，需要通過(guò)路由支持才能相互通信，而同一VLAN中的成員通過(guò)VLAN交換機(jī)可以直接通信，不需路由支持。4

7、.VLAN技術(shù)的發(fā)展隨著VLAN技術(shù)的逐漸發(fā)展，出現(xiàn)了VLAN中繼協(xié)議和動(dòng)態(tài)VLAN等技術(shù)，現(xiàn)在寬帶網(wǎng)絡(luò)中實(shí)現(xiàn)的VLAN基本上能滿足廣大網(wǎng)絡(luò)用戶的需求，但其網(wǎng)絡(luò)中的流量控制和數(shù)據(jù)保密性仍然存在很多問題?，F(xiàn)在已有的VTP技術(shù)、STP技術(shù)，基于三層交換的VLAN技術(shù)等在VLAN使用中存在網(wǎng)絡(luò)效率的問題， IEEE正在制定和完善IEEE802.1S和IEEE802.1W 來(lái)改善VLAN的各種技術(shù)。隨著各種技術(shù)的逐步完善，VLAN也將在未來(lái)的網(wǎng)絡(luò)中發(fā)揮出更多的功能。5.VLAN技術(shù)的應(yīng)用現(xiàn)在VLAN主要應(yīng)用在以太局域網(wǎng)中，也可以用在ATM網(wǎng)絡(luò)中。因?yàn)楝F(xiàn)在很多的局域網(wǎng)均采用以太網(wǎng)，所以它適用于現(xiàn)在大部分

8、企業(yè)、學(xué)校的局域網(wǎng)中，它能夠隔離不同工作組的數(shù)據(jù)，因?yàn)橐粋€(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，所以可以保護(hù)用戶的數(shù)據(jù)安全，減少網(wǎng)絡(luò)的擁堵情況，提高網(wǎng)絡(luò)的傳輸效率。而且同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)的構(gòu)建和維護(hù)更方便靈活，這些種種的優(yōu)點(diǎn)都使VLAN在局域網(wǎng)中廣泛應(yīng)用。6. VLAN技術(shù)的優(yōu)點(diǎn)1 增加了網(wǎng)絡(luò)連接的靈活性網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)工作站可以按業(yè)務(wù)功能, 而不必按地理位置分組。VLAN 可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用, 特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN 后, 這部分管理費(fèi)用大大降低。2 有效地控制網(wǎng)絡(luò)上的廣播風(fēng)暴VLAN 可以提

9、供建立防火墻的機(jī)制, 防止交換網(wǎng)絡(luò)的過(guò)量廣播風(fēng)暴。使用VLAN, 可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN 組。該VLAN 組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī), 在一個(gè)VLAN 中的廣播風(fēng)暴不會(huì)送到VLAN 之外。同樣, 相鄰的端口不會(huì)收到其他VLAN 產(chǎn)生的廣播風(fēng)暴。這樣, 可以減少?gòu)V播流量, 釋放帶寬給用戶應(yīng)用, 減少?gòu)V播風(fēng)暴的產(chǎn)生。3 增加網(wǎng)絡(luò)的安全性人們?cè)贚AN 上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組, 網(wǎng)絡(luò)管理員限制了VLAN 中用戶的數(shù)量, 禁止未經(jīng)允許而訪問VLAN 中的應(yīng)用。交換端

10、口可以基于應(yīng)用類型和訪問特權(quán)來(lái)進(jìn)行分組, 被限制的應(yīng)用程序和資源一般置于安全性VLAN 中。4 增加了集中化的管理控制通過(guò)集中化的VLAN 管理程序, 網(wǎng)絡(luò)管理員可以確定VLAN 組, 分配特定用戶和交換端口給這些VLAN組, 設(shè)置安全性等級(jí), 限制廣播域的大小, 通過(guò)冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量, 跨越交換機(jī)配置VLAN 通信, 監(jiān)控交通流量和VLAN 使用的網(wǎng)絡(luò)帶寬。這些能力有效地提高了網(wǎng)絡(luò)管理程序的可控性、靈活性和監(jiān)視功能,減少了管理的費(fèi)用。 7. VLAN技術(shù)的局限性隨著網(wǎng)絡(luò)的迅速發(fā)展，用戶對(duì)于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求，都要求保證網(wǎng)絡(luò)用戶通信的相對(duì)安全性,要求能防范各種病毒和攻

11、擊等，現(xiàn)在一般使用的做法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過(guò)使用VLAN，每個(gè)客戶被從第二層隔離開，可以防止任何惡意的獲取資料的行為和以太網(wǎng)數(shù)據(jù)的信息探聽。但是，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模式造成了巨大的可擴(kuò)展方面的局限。這些局限主要有以下幾個(gè)方面。1 VLAN數(shù)目的限制：交換機(jī)上固有的對(duì)VLAN數(shù)目的限制；2 復(fù)雜的STP：對(duì)于每個(gè)VLAN，每個(gè)相關(guān)的Spanning Tree的拓?fù)涠夹枰芾?，造成了交換機(jī)的巨大負(fù)載；3 IP地址的緊缺：IP子網(wǎng)的劃分一定會(huì)造成一些IP地址的浪費(fèi)，造成資源浪費(fèi)；4 路由的限制：每個(gè)VLAN在路由器或者三層交換機(jī)上都需要相應(yīng)的默認(rèn)的

12、網(wǎng)關(guān)的配置。（二）本課題的意義1.本課題的意義隨著高校信息化建設(shè)的不斷深入, 高校網(wǎng)絡(luò)建設(shè)的規(guī)模也在不斷擴(kuò)大, 同時(shí)校園網(wǎng)多媒體教學(xué)、數(shù)據(jù)安全保障以及高速網(wǎng)絡(luò)交換的大量應(yīng)用, 使網(wǎng)絡(luò)數(shù)據(jù)流量驟然增大, 各種問題和故障也層出不窮。因此,如何構(gòu)建高效、穩(wěn)定、易管理的校園網(wǎng), 增強(qiáng)校園網(wǎng)的安全性和可控性，已經(jīng)成為高等院校網(wǎng)絡(luò)管理人員面臨的重點(diǎn)課題, 也是提高學(xué)校信息化應(yīng)用水平和整體投資效益的關(guān)鍵。VLAN 技術(shù)在校園網(wǎng)內(nèi)的應(yīng)用，不但使得校園網(wǎng)絡(luò)更加的安全，快速，并且也減輕了網(wǎng)絡(luò)管理員的工作，保證了各個(gè)部門不同的要求和信息的安全，因此VLAN技術(shù)在校園局域網(wǎng)內(nèi)的應(yīng)用是明智之舉。在本文中主要使用基于端口

13、的VLAN 技術(shù)對(duì)校園網(wǎng)進(jìn)行設(shè)計(jì),具體實(shí)現(xiàn)了以下幾個(gè)方面的作用:1 通過(guò)VLAN 的劃分, 控制內(nèi)部各VLAN間的訪問范圍和權(quán)限, 從而保障子網(wǎng)通信安全。2 避免了IP 地址使用混亂的情況. 隨著校園網(wǎng)規(guī)模增大, 往往會(huì)出現(xiàn)IP 地址使用混亂和IP 地址盜用的狀況. 通過(guò)劃分VLAN, 各部門的IP 地址是固定的一個(gè)地址段, VLAN 之間不能互相盜用地址, 管理起來(lái)?xiàng)l理非常清楚。3 充分利用網(wǎng)絡(luò)帶寬, 防止了廣播風(fēng)暴的產(chǎn)生, 提高了網(wǎng)絡(luò)傳輸效率。當(dāng)然VLAN 在校園網(wǎng)的應(yīng)用有利也有弊, 由于它是根據(jù)端口邏輯地址進(jìn)行網(wǎng)絡(luò)劃分, 管理員無(wú)法很清楚地將網(wǎng)絡(luò)的物理布局與邏輯結(jié)構(gòu)相聯(lián)系, 這就要網(wǎng)絡(luò)管

14、理人員非常熟悉和了解網(wǎng)絡(luò)設(shè)備的物理連接和邏輯連接, 只有充分發(fā)揮它的長(zhǎng)處, 揚(yáng)長(zhǎng)避短, 才能使校園網(wǎng)暢通無(wú)阻, 充分發(fā)揮作用。二、VLAN技術(shù)的討論（一）TRUNK鏈路技術(shù)Trunk 技術(shù)是在兩臺(tái)交換機(jī)之間建立一條點(diǎn)到點(diǎn)的鏈路, 每臺(tái)交換機(jī)的相應(yīng)端口稱為中繼端口。一條中繼鏈路可以傳輸多個(gè)VLAN 的數(shù)據(jù)流, 并允許用戶將VLAN 的范圍從一臺(tái)交換機(jī)擴(kuò)展到另一臺(tái)交換機(jī)。Trunk是一種封裝技術(shù),它是在兩臺(tái)交換機(jī)之間的一條點(diǎn)到點(diǎn)鏈路,主要功能就是僅通過(guò)一條鏈路就可以連接多個(gè)交換機(jī),從而擴(kuò)展已配置的多個(gè)VLAN,傳輸多個(gè)VLAN 的數(shù)據(jù)流。還可以采用通過(guò)Trunk技術(shù)和上級(jí)交換機(jī)級(jí)連接的方式來(lái)擴(kuò)展端

15、口的數(shù)量,將VLAN的范圍從一臺(tái)交換機(jī)擴(kuò)展到另一臺(tái)交換機(jī),節(jié)省了網(wǎng)絡(luò)硬件的成本,從而擴(kuò)展整個(gè)網(wǎng)絡(luò)。TRUNK 可通過(guò)的VLAN 范圍缺省下是11005, 可以修改, 但必須激活Trunk協(xié)議。使用Trunk 的端口不在任何VLAN 中。在校園網(wǎng)建設(shè)時(shí), Trunk絕對(duì)是必需的. 在設(shè)置Trunk后, Trunk鏈路不屬于任何一個(gè)VLAN. Trunk鏈路在交換機(jī)之間起著VLAN管道的作用,交換機(jī)會(huì)將該Trunk以外及Trunk中的端口處于一個(gè)VLAN中的其他端口的負(fù)載自動(dòng)分配到該Trunk中的各個(gè)端口. 因?yàn)橥粋€(gè)VLAN中的端口之間會(huì)相互轉(zhuǎn)發(fā)數(shù)據(jù),而位于Trunk中的Trunk端口被當(dāng)作一個(gè)

16、端口來(lái)看待,因此在設(shè)置了Trunk后,該Trunk將自動(dòng)加入其成員端口所屬的VLAN中,而其成員端口則自動(dòng)從VLAN中刪除。對(duì)于Trunk端口來(lái)說(shuō),其上允許通過(guò)的VLAN范圍體現(xiàn)的是一種能力,與系統(tǒng)中是否存在對(duì)應(yīng)的VLAN實(shí)體沒有關(guān)系。Trunk技術(shù)具有以下優(yōu)點(diǎn):1 可以在不同的交換機(jī)之間連接多個(gè)VLAN,可以將VLAN擴(kuò)展到整個(gè)網(wǎng)絡(luò)中; 2 Trunk可以捆綁任何相關(guān)的端口,也可以隨時(shí)取消設(shè)置,提供了很高的靈活性; 3 Trunk可以提供負(fù)載均衡能力以及系統(tǒng)容錯(cuò). 由于Trunk實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量,若某個(gè)端口出現(xiàn)故障,它會(huì)自動(dòng)把故障端口從Trunk組中撤消,進(jìn)而重新分配

17、各個(gè)Trunk端口的流量,從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。（二）VTP協(xié)議VLAN中繼協(xié)議最早由思科公司提出的。作為思科VLAN技術(shù)的重要組成部分，VTP減少了跨越網(wǎng)絡(luò)設(shè)置VLAN的管理任務(wù)，減少了配置的不連續(xù)性。VLAN干道協(xié)議是VLAN動(dòng)態(tài)協(xié)議的一種，它能自動(dòng)的在網(wǎng)絡(luò)中傳播VLAN的各種配置信息，因此能保持VLAN在網(wǎng)絡(luò)中的連續(xù)性和統(tǒng)一性， VTP是一個(gè)交換機(jī)到交換機(jī)，交換機(jī)到路由器VLAN管理協(xié)議。VTP是一種消息協(xié)議，它通過(guò)一臺(tái)工作在服務(wù)器模式下的交換機(jī)，通過(guò)使用二層中繼Frame在整個(gè)網(wǎng)絡(luò)中負(fù)責(zé)管理VLAN的添加，刪除和重命名。從而保證VLAN在網(wǎng)絡(luò)中的傳播和統(tǒng)一，VTP負(fù)責(zé)在VLAN域內(nèi)同步VL

18、AN信息，能傳播到每一臺(tái)工作在客戶機(jī)模式下的交換機(jī)中，從而簡(jiǎn)化了網(wǎng)絡(luò)管理員的配置量，也減少了錯(cuò)誤率。圖2.1為VTP的報(bào)文格式。圖2.1 VTP報(bào)文格式VTP要從Trunk中傳輸，所以一般VTP報(bào)文會(huì)封裝在ISL或者dot1q中。2.2.1 VTP具有如下的優(yōu)點(diǎn)：1 VLAN配置在整個(gè)網(wǎng)絡(luò)中都不變，且都保持一致；2 在混合介質(zhì)的網(wǎng)絡(luò)中允許一個(gè)VLAN被中繼的映射機(jī)制，能跨多個(gè)交換機(jī)；3 能對(duì)VLAN進(jìn)行精確的跟蹤和控制；4 全網(wǎng)范圍內(nèi)增加VLAN的動(dòng)態(tài)報(bào)告。為了在網(wǎng)絡(luò)中管理和建立VLAN，所以必須建立一個(gè)VLAN管理域。在域中能有相同的VLAN信息，在交換網(wǎng)絡(luò)中，多個(gè)交換機(jī)構(gòu)成了一個(gè)域。VTP

19、管理域由一組共享VTP域名的互聯(lián)設(shè)備組成，同一VTP域中所有交換機(jī)共享它們的VLAN信息。而且信息均相同，每個(gè)設(shè)備只能工作在一個(gè)VTP域，不同域中的交換機(jī)不能共享一個(gè)域中的VTP消息。2.2.2 VTP共有三種操作模式，分為服務(wù)器模式、客戶機(jī)模式和透明模式。1 服務(wù)器模式Server當(dāng)一臺(tái)未經(jīng)配置的思科交換機(jī)第一次工作的時(shí)候，它的默認(rèn)配置模式是服務(wù)器模式。VLAN在VTP服務(wù)器上被創(chuàng)建的時(shí)候，和其他VLAN配置信息一起存儲(chǔ)在服務(wù)器的NVRAM并且當(dāng)交換機(jī)重啟的時(shí)候，配置信息還是被保留不會(huì)消失。服務(wù)器模式中維持著該VTP域中所有VLAN信息列表，可以增加、刪除或修改VLAN，VTP服務(wù)器周期性地

20、廣播VTP域名、VLAN配置，提供現(xiàn)行的配置修改號(hào)。修改號(hào)是VTP 域的一部分，它確保VTP 域內(nèi)的所有交換機(jī)有現(xiàn)行的、正確的VLAN 配置信息。2 客戶機(jī)模式Client客戶交換機(jī)在NVRAM存儲(chǔ)VLAN配置。當(dāng)客戶交換機(jī)重啟的時(shí)候，所有的VLAN 配置信息丟失。交換機(jī)啟動(dòng)完成后，需要發(fā)送一條VTP 請(qǐng)求消息給VTP服務(wù)器，來(lái)獲取現(xiàn)行的VLAN 配置?？蛻魴C(jī)只能從服務(wù)器模式下的交換機(jī)接收VLAN的各種信息，它也維護(hù)該VTP域中所有VLAN信息列表，但不能增加、刪除或修改VLAN，任何變化的信息必須從VTP Server發(fā)布的通告報(bào)文中接收。如果客戶交換機(jī)要加入一個(gè)新的VLAN，VLAN必須被

21、添加到VTP 服務(wù)器上面去。這樣新的VLAN 才能傳遞到所有的客戶交換機(jī)。當(dāng)新的VLAN 增加后，客戶交換機(jī)上的端口會(huì)關(guān)聯(lián)到新的VLAN。3 透明模式TransparentVTP透明模式和VTP客戶模式不同，可以在交換機(jī)上手工配置本地的VLAN。它如果是VTP 域的一部分，可以從VTP 服務(wù)器接收VLAN 配置信息。但是它不參與VTP工作，忽略所有接收到的VTP信息，但能夠?qū)⒔邮盏降腣TP報(bào)文轉(zhuǎn)發(fā)出去。它只擁有本設(shè)備上的VLAN信息，它不會(huì)通知VTP 域本地配置的VLAN。所以，客戶模式下的交換機(jī)也可以與透明模式下的交換機(jī)連接，交換各種VLAN信息。（三）VLAN的幀標(biāo)識(shí)1. IEEE 802

22、.1Q幀標(biāo)識(shí)IEEE802.1Q標(biāo)準(zhǔn)是由IEEE于1999年頒布的用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的草案,俗稱Dot One Q ， 這個(gè)協(xié)議在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，從而利用VLAN ID在邏輯上把不同的用戶劃分為不同的工作組，把不同工作組限制在了二層，使它們之間不能相互通信。802.1Q標(biāo)準(zhǔn)定義了基于端口的VLAN模型，即在標(biāo)準(zhǔn)的以太網(wǎng)幀中源地址后增加一個(gè)四字節(jié)的802.1Q幀頭。其中包括標(biāo)簽協(xié)議標(biāo)識(shí)和標(biāo)簽控制信息。標(biāo)簽協(xié)議標(biāo)識(shí)：TPID-Tag Protocol Identifier，它的值是8100，為兩個(gè)字節(jié)，它表示在幀中添加了VLAN的標(biāo)記。標(biāo)簽控制信息：TCI-Tag Con

23、trol Information，為兩個(gè)字節(jié)。TCI包含三個(gè)域，分別為三個(gè)比特的Priority域來(lái)表示表示幀的優(yōu)先級(jí)，一個(gè)比特的CFI-Canonical Format Indicator域，稱為規(guī)范格式指示符，以及12個(gè)比特的VLAN ID域表示一個(gè)VLAN的ID號(hào)。兩個(gè)字節(jié)的VLAN名用1-32個(gè)字符表示，可以是字母和數(shù)字。VLAN ID的數(shù)值范圍是1-4094。.2-1000用于Ethernet VLANs，1002-1005是預(yù)留給FDDI和Token Ring VLANs的，1025-4094是擴(kuò)展的VLAN ID，其他為保留號(hào)。 圖2.2 標(biāo)準(zhǔn)以太幀格式圖2.3 IEEE802.

24、1Q標(biāo)準(zhǔn)幀格式802.1Q協(xié)議加入的Tag字段可以根據(jù)其攜帶的VLAN信息，表明該數(shù)據(jù)幀屬于哪個(gè)VLAN，從而確定數(shù)據(jù)幀的屬性。2.ISL幀標(biāo)識(shí)ISL是Cisco設(shè)備獨(dú)有的協(xié)議，只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。 雖然它與802.1Q協(xié)議所采用的幀格式不同，但是可實(shí)現(xiàn)相同的功能。ISL 干道是 Cisco 私有，即指兩交換機(jī)或其它設(shè)備的一條點(diǎn)對(duì)點(diǎn)連接線路。ISL 幀標(biāo)簽采用一種低延遲機(jī)制為單個(gè)物理路徑上的多 VLAN 流量提供復(fù)用技術(shù)。它主要用于實(shí)現(xiàn)交換機(jī)、路由器以及各節(jié)點(diǎn)之間的連接操作。每臺(tái)連接設(shè)備都必須采用 ISL 配置。配置ISl的路由器支持 VLAN 內(nèi)通信服務(wù)。非 ISL 配置的

25、設(shè)備，則用于接收由 ISL 封裝的以太幀。ISL作用于 OSI 模型第2層的數(shù)據(jù)鏈路層。但是和802.1Q所不同的是，ISL通過(guò)協(xié)議頭和協(xié)議尾封裝了整個(gè)第2層的以太幀。ISL 是一種能在交換機(jī)間傳送第2層任何類型的幀或上層協(xié)議的獨(dú)立協(xié)議。ISL 所封裝的幀可以是令牌環(huán)或快速以太網(wǎng)或者其它，它們?cè)诎l(fā)送端和接收端之間維持不變地實(shí)現(xiàn)傳送。圖2.3是ISL的幀格式。圖2.4 ISL幀格式各字段含義如下：DA：40位，組播目標(biāo)地址。Type：4位，描述被封裝的幀類型，0000表示Ethernet，0001表示Token Ring，0010表示FDDI，0011表示ATM。User：4位，此字段是Type

26、字段的擴(kuò)展定義或以太網(wǎng)優(yōu)先級(jí)的4位描述符。SA：48位，傳送此幀的源交換機(jī)MAC地址。LEN：16位，出了DA、Type、User、SA、LEN字段之外的幀長(zhǎng)度。AAAA03：24位， IEEE802.2LLC頭部。HAS：24位，組織唯一標(biāo)識(shí)符OUI，即MAC地址的前三字節(jié)。VLAN：15位。VLAN號(hào)，只使用低10位來(lái)表示01023個(gè)VLAN。BPDU：1位，標(biāo)識(shí)是網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU，還是CDP幀。INDEX：16位，傳送此幀的端口ID描述符，用于診斷。RES：16位，保留字段。特征：(1)由ASIC專用集成電路執(zhí)行，它不干涉客戶機(jī)站，客戶機(jī)也不會(huì)看到 ISL協(xié)議頭，它能為路由器和路

27、由器之間、交換機(jī)與交換機(jī)之間提供很好的工作效率。(2)交換機(jī)間鏈路協(xié)議ISL用于實(shí)現(xiàn)兩臺(tái)交換機(jī)之間的VLAN中繼。它是一個(gè)信息包標(biāo)記協(xié)議，在支持ISL接口上發(fā)送的幀由一個(gè)標(biāo)準(zhǔn)以太網(wǎng)幀及相關(guān)的VLAN信息組成。（四）VLAN之間的通信1. 通過(guò)路由器實(shí)現(xiàn)VLAN間的通信一個(gè)VLAN處在一個(gè)廣播域中，VLAN之間在二層中是不能通信的，從而提高了網(wǎng)絡(luò)的安全性，也解決了網(wǎng)絡(luò)的廣播控制問題。如果想VLAN能通信，必須通過(guò)路由器或者三層交換機(jī)實(shí)現(xiàn)VLAN的通信。可以利用路由器的多個(gè)端口實(shí)現(xiàn)VLAN間的路由選擇。這是最簡(jiǎn)單的一種方法，但是也是最浪費(fèi)資源的一種方法，在現(xiàn)實(shí)生活中，路由器的造價(jià)往往很高，通過(guò)端口

28、來(lái)實(shí)現(xiàn)VLAN路由選擇的成本太高。所以這種方法在現(xiàn)實(shí)中應(yīng)用的很少，圖2.5顯示的是利用多個(gè)端口實(shí)現(xiàn)VLAN的路由選擇。 圖2.5 利用路由器實(shí)現(xiàn)VLAN通信2.通過(guò)三層交換實(shí)現(xiàn)VLAN通信三層交換技術(shù)使一臺(tái)交換機(jī)具有路由的功能。傳統(tǒng)的交換機(jī)工作在數(shù)據(jù)鏈路層，只能在第二層對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，但是三層交換機(jī)能工作在網(wǎng)絡(luò)層，并對(duì)數(shù)據(jù)進(jìn)行高速轉(zhuǎn)發(fā)，它解決了局域網(wǎng)中劃分網(wǎng)段后必須通過(guò)路由器實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，和路由器造價(jià)高以及存在的網(wǎng)絡(luò)瓶頸等問題。三層交換技術(shù)的出現(xiàn)為VLAN的發(fā)展提供了更好的空間。三層交換技術(shù)的原理是：假設(shè)A和B要通信，A首先向交換機(jī)發(fā)送一個(gè)ARP請(qǐng)求包，尋找自己的缺省路由的MAC，然后將數(shù)據(jù)發(fā)

29、送到交換機(jī)，若A和B在同一個(gè)子網(wǎng)中，直接通過(guò)二層轉(zhuǎn)發(fā)出去，不再經(jīng)過(guò)三層，若A和B不再同一個(gè)子網(wǎng)中，需要將數(shù)據(jù)轉(zhuǎn)發(fā)到三層，在路由表中尋找匹配的條目，找到MAC地址，若存在直接在二層建立連接，使二層芯片處理數(shù)據(jù)通過(guò)二層轉(zhuǎn)發(fā)可大大的節(jié)省時(shí)間，和提高效率。若在表中無(wú)法找到相關(guān)項(xiàng)，需三層交換機(jī)將目的ip地址和路由表項(xiàng)對(duì)比，發(fā)送ARP數(shù)據(jù)包到目的主機(jī)，得到該主機(jī)的MAC地址，然后再二層轉(zhuǎn)發(fā)。原理如圖2.6所示。 圖2.6 三層交換原理3. 通過(guò)設(shè)置單臂路由實(shí)現(xiàn)VLAN間的通信路由器與交換機(jī)之間是通過(guò)外部線路連接的, 這個(gè)外部線路只有一條, 但是它在邏輯上是分開的, 需要路由的數(shù)據(jù)包會(huì)通過(guò)這個(gè)線路到達(dá)路由器

30、, 經(jīng)過(guò)路由后再通過(guò)此線路返回交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。所以大家給這種拓?fù)浞绞狡鹆艘粋€(gè)形象的名字單臂路由。采用單臂路由技術(shù)可以在使用路由器時(shí)，節(jié)約物理端口的使用，通常在路由器與交換機(jī)連接的一個(gè)物理端口上定義多個(gè)邏輯子端口，一個(gè)子端口連接一個(gè)VLAN。 圖2.7通過(guò)設(shè)置單臂路由實(shí)現(xiàn)VLAN間的通信這種基于單臂路由的VLAN 通信模型不需要添加或更換路由器, 交換機(jī)等網(wǎng)絡(luò)設(shè)備; 基于原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu), 也不需要重新布線施工。但是, 作為中繼鏈路的路由器端口往往成為限制VALN 之間流量的主要瓶頸, 單臂路由作為一種廉價(jià)的網(wǎng)絡(luò)升級(jí)方案只適用于通信質(zhì)量要求不高的情況, 并不能完全取代路由器和三層交換機(jī)。（五）V

31、LAN的劃分方式VLAN 的劃分方式很重要， 在設(shè)計(jì)和建設(shè)VLAN， 實(shí)現(xiàn)VLAN 應(yīng)用時(shí)， 首先要決定如何劃分VLAN， 即依據(jù)什么標(biāo)準(zhǔn)來(lái)組織VLAN 成員。下面介紹5種常見的劃分方式， 不同的劃分方式代表不同的VLAN 實(shí)現(xiàn)類型。1.按端口劃分VLAN將交換機(jī)中的某些端口定義為一個(gè)單獨(dú)的區(qū)域， 從而形成一個(gè)VLAN。同一VLAN 中的計(jì)算機(jī)屬于同一個(gè)網(wǎng)段， 不同VLAN 之間進(jìn)行通信需要通過(guò)路由器?；诙丝诘腣LAN 的優(yōu)點(diǎn)是配置起來(lái)非常方便， 只要在交換機(jī)上進(jìn)行相關(guān)的設(shè)置就可以了，適用于網(wǎng)絡(luò)環(huán)境比較固定的情況。不足之處是不夠靈活， 當(dāng)一臺(tái)計(jì)算機(jī)需要從一個(gè)端口移動(dòng)到另一個(gè)新的端口， 而新端

32、口與舊端口不屬于同一個(gè)VLAN時(shí)， 要修改端口的VLAN 設(shè)置， 或在用戶計(jì)算機(jī)上重新配置網(wǎng)絡(luò)地址， 這樣才能加入到新的VLAN 中。否則， 這臺(tái)計(jì)算機(jī)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信?；诙丝诘膭澐址绞绞亲詈?jiǎn)單也是最常用的。采用這種方式， 將屬于不同交換機(jī)端口的物理網(wǎng)段分在一個(gè)VLAN 中， 通過(guò)網(wǎng)絡(luò)管理軟件， 根據(jù)VLAN_標(biāo)識(shí)符將不同的端口分到相應(yīng)的分組( VLAN )中。例如， 一個(gè)交換機(jī)的1、2、3端口被定義為VLAN 1， 同一交換機(jī)的4、5端口組成VLAN 2， 如圖2.8所示。圖2.8 按端口劃分VLAN示意圖這樣劃分， 允許各端口之間的通信， 并允許共享型網(wǎng)絡(luò)的升級(jí)。遺憾的是，這種劃分模式

33、將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN 技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN， 不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)VLAN。分配到同一個(gè)VLAN的各網(wǎng)段上的所有站點(diǎn)都在同一個(gè)廣播域中， 可以直接通信; 不同VLAN 地點(diǎn)間的通信則通過(guò)路由器或三層交換機(jī)。按交換機(jī)端口來(lái)劃分VLAN，迄今為止， 這仍然是最常用的一種方式， 但是這種方式不允許多個(gè)VLAN 共享一個(gè)物理網(wǎng)段或交換機(jī)端口。如果某一個(gè)用戶從一個(gè)端口所在的VLAN 移動(dòng)到另一個(gè)端口所在的VLAN， 網(wǎng)絡(luò)管理員需要重新進(jìn)行配置， 這對(duì)于擁有眾多移動(dòng)用戶的網(wǎng)絡(luò)來(lái)說(shuō)是不可想象的。2.按MAC地址劃分VLAN每塊網(wǎng)卡都有

34、一個(gè)唯一的硬件物理地址， 這個(gè)地址就是MAC 地址， 俗稱為 網(wǎng)卡號(hào)。MAC地址是連接在網(wǎng)絡(luò)中的每個(gè)設(shè)備網(wǎng)卡的物理地址，由IEEE 控制。全球找不到兩塊具有相同MAC 地址的網(wǎng)卡。MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分VLAN 的依據(jù)，能很好地獨(dú)立于網(wǎng)絡(luò)層上的各種應(yīng)用。用此種方式構(gòu)成的VLAN 就是一些MAC地址的集合， 它解決了網(wǎng)絡(luò)處理站點(diǎn)的移動(dòng)問題。對(duì)于連接于交換機(jī)端口的工作站來(lái)說(shuō)， 在它們初始化時(shí)， 相應(yīng)的交換機(jī)要在VLAN 的管理信息庫(kù)中檢查MAC 地址， 從而動(dòng)態(tài)地匹配該端口到相應(yīng)的VLAN 中。按MAC 地址劃分的VLAN 允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并且自動(dòng)

35、保留其所屬VLAN 網(wǎng)段的成員身份。同時(shí)，這種方式獨(dú)立于網(wǎng)絡(luò)的高層協(xié)議(如TCP / IP、IP 和IPX 等)。從某種意義上講， 利用MAC 地址定義VLAN 可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段。這種方法的一個(gè)缺點(diǎn)是所有的用戶必須被明確地分配給一個(gè)VLAN。在一個(gè)擁有大量節(jié)點(diǎn)的大型網(wǎng)絡(luò)中， 如果要求管理員將每個(gè)用戶都一一劃分到某一個(gè)VLAN， 實(shí)在是太困難了。3.基于網(wǎng)絡(luò)層劃分VLAN可以基于網(wǎng)絡(luò)層來(lái)劃分VLAN， 有2種方案， 一種按協(xié)議來(lái)劃分， 如圖2.9 圖2.9 按網(wǎng)絡(luò)協(xié)議劃分VLAN 示意圖另一種是按網(wǎng)絡(luò)層地址(最常見的是TCP / IP中的子網(wǎng)段地址)來(lái)劃分， 如圖2.10所示

36、。 圖2.10 按網(wǎng)絡(luò)層地址劃分VLAN示意圖建立VLAN 也可使用與管理路由相同的策略。根據(jù)IP 子網(wǎng)、IPX 網(wǎng)絡(luò)號(hào)及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個(gè)VLAN， 交換機(jī)檢查廣播幀的以太幀標(biāo)題域， 查看其協(xié)議類型， 若已存在該協(xié)議的VLAN， 則加入源端口， 否則， 創(chuàng)建一個(gè)新的VLAN。這種方式構(gòu)成的VLAN， 不但大大減少了人工配置VLAN 的工作量， 同時(shí)保證了用戶自由地增加、移動(dòng)和修改。不同VLAN 網(wǎng)段上的站點(diǎn)可屬于同一VLAN， 在不同VLAN 上的站點(diǎn)也可在同一物理網(wǎng)段上。利用網(wǎng)絡(luò)層定義VLAN 缺點(diǎn)也是有的。與利用MAC地址的形式相比， 基于網(wǎng)絡(luò)層的VLAN

37、需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來(lái)定義VLAN 的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上處于劣勢(shì)。4.基于IP廣播組劃分可將任何屬于同一IP 廣播組的計(jì)算機(jī)劃分到同一VLAN。當(dāng)IP包廣播到網(wǎng)絡(luò)上時(shí), 它將被傳送到一組IP地址的受托者那里。該組被明確定義了的廣播組是在網(wǎng)絡(luò)運(yùn)行中動(dòng)態(tài)生成的。任何一個(gè)工作站都有機(jī)會(huì)成為某一個(gè)廣播組的成員, 只要它對(duì)該廣播組的廣播確認(rèn)信息給予肯定的回答。所有加入同一個(gè)廣播組的工作站被視為同一個(gè)VLAN 的成員, 他們的這種成員身份可根據(jù)實(shí)際需求保留一定的時(shí)間。因此, 利用IP廣播域來(lái)劃分VLAN 的方法給用戶帶來(lái)了巨大的靈活性和

38、可延展性。在這種方式下, 整個(gè)網(wǎng)絡(luò)可以方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。5.基于規(guī)則的VLAN基于規(guī)則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN 劃分方法, 具有自動(dòng)配置的能力, 能夠把相關(guān)的用戶連成一體, 在邏輯劃分上稱為 關(guān)系網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN 的規(guī)則(或?qū)傩? , 那么當(dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí), 將會(huì)被感知, 并被自動(dòng)地包含進(jìn)正確的VLAN 中。同時(shí), 對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。采用這種方式, 整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN, 這在交換機(jī)與共享式Hub 共存的環(huán)境中顯得尤

39、為重要。自動(dòng)配置VLAN 時(shí), 交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址, 然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN。（六）VLAN間通信1.VLAN間通信介紹局域網(wǎng)內(nèi)的通信，是通過(guò)數(shù)據(jù)幀頭中指定通信目標(biāo)的來(lái)完成的。而為了獲取MAC地址，使用地址協(xié)議解析通過(guò)廣播報(bào)文的方法來(lái)實(shí)現(xiàn)獲取MAC地址的，如果廣播報(bào)文無(wú)法到達(dá)目的地，那么就無(wú)從解析MAC地址，亦即無(wú)法直接通信。當(dāng)計(jì)算機(jī)分屬不同的VLAN時(shí)，就意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文。因此，屬于不同VLAN的計(jì)算機(jī)之間無(wú)法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層網(wǎng)絡(luò)層

40、來(lái)進(jìn)行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成的設(shè)備主要有路由器和三層以上的交換機(jī)。2.利用路由器實(shí)現(xiàn)VLAN間通信使用路由器實(shí)現(xiàn)VLAN間通信時(shí)，路由器與交換機(jī)的連接方式有兩種。第一種通過(guò)路由器的不同物理接口與交換機(jī)上的每個(gè)VLAN分別連接。第二種通過(guò)路由器的邏輯子接口與交換機(jī)的各個(gè)VLAN連接。1 通過(guò)路由器的不同物理接口與交換機(jī)上的每個(gè)VLAN分別連接。這種方式的優(yōu)點(diǎn)是管理簡(jiǎn)單，缺點(diǎn)是網(wǎng)絡(luò)擴(kuò)展難度大。每增加一個(gè)新的VLAN，都需要消耗路由器的端口和交換機(jī)上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會(huì)帶有太多LAN接口的。新建VLAN時(shí)，為了對(duì)應(yīng)增加的VLAN所需的端口，就必須將成

41、帶有多個(gè)LAN接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來(lái)的開銷，都使得這種接線法成為一種不受歡迎的辦法。2 通過(guò)路由器的邏輯子接口與交換機(jī)的各個(gè)VLAN連接。這種連接方式要求路由器和交換機(jī)的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對(duì)應(yīng)各個(gè)VLAN的邏輯子接口E1.1和E1.2。由于這種方式是靠在一個(gè)物理端口上設(shè)置多個(gè)邏輯子接口的方式實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展，因此網(wǎng)絡(luò)擴(kuò)展比較容易且成本較低，只是對(duì)要復(fù)雜一些。3 路由器實(shí)現(xiàn)VLAN間通信的局限性路由器實(shí)現(xiàn)VLAN間通信的局限性是路由器的技術(shù)特性決定的，使其無(wú)法具有很高的信息吞吐量。對(duì)此分析如下：路由器在OSI七層網(wǎng)絡(luò)

42、模型的第三層網(wǎng)絡(luò)層操作，其對(duì)于任何一個(gè)運(yùn)行的數(shù)據(jù)包均須進(jìn)行“拆包”和“打包”的操作，同時(shí)路由器還要完成數(shù)據(jù)包過(guò)濾和壓縮、協(xié)議轉(zhuǎn)換、計(jì)算路由、甚至防火墻等許多工作，這占用于大量的CPU資源。且當(dāng)流經(jīng)路由器的流量超過(guò)其吞吐能力時(shí)，會(huì)引起路由器內(nèi)部擁塞，持續(xù)擁塞會(huì)使轉(zhuǎn)發(fā)的數(shù)據(jù)包延誤，甚至丟失。以上的原因限制了其吞吐量，且其價(jià)格昂貴，使其成為網(wǎng)絡(luò)瓶頸。因此，路由器存在：數(shù)據(jù)傳輸效率低；節(jié)點(diǎn)操作的復(fù)雜性無(wú)法降低；價(jià)格昂貴、結(jié)構(gòu)復(fù)雜等局限性。3.利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信三層交換機(jī)實(shí)現(xiàn)VLAN 互相訪問的原理是，利用三層交換機(jī)的路由功能，通過(guò)識(shí)別數(shù)據(jù)包的IP地址，查找路由表進(jìn)行轉(zhuǎn)發(fā)。三層交換機(jī)利用直

43、連路可以實(shí)現(xiàn)不同的VLAN 之間的訪問。三層交換機(jī)給接口配置IP地址采用SVI（交換虛擬接口）的方式實(shí)現(xiàn)VLAN 間互連。只需要為交換機(jī)中的VLAN 創(chuàng)建虛擬接口，并且配置IP地址。然后開啟三層交換機(jī)的IP route功能就可以容易的實(shí)現(xiàn)VLAN間的通信。這種方面有效地解決了利用路由器來(lái)實(shí)現(xiàn)VLAN間通信的一系列不足之處，而且配置和管理也十分的便捷。目前市場(chǎng)上有許多三層以上的交換機(jī)，在這些交換機(jī)中，廠家通過(guò)硬件或軟件的方式將路由功能集成到交換機(jī)中，交換機(jī)主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡(jiǎn)單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機(jī)代替路由器已是不爭(zhēng)的事實(shí)。用交換機(jī)代替路由器實(shí)現(xiàn)

44、VLAN間通信的方式也有兩種，其一，就是啟用交換機(jī)的路由功能，這種方式的實(shí)現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用多層交換機(jī)所支持的VLAN功能來(lái)實(shí)現(xiàn)VLAN間的通信。29三、VLAN技術(shù)在校園網(wǎng)中的設(shè)計(jì)目前校園網(wǎng)正處于一種高速發(fā)展之中,在校園網(wǎng)絡(luò)中實(shí)施VLAN技術(shù)，可以提高網(wǎng)絡(luò)管理效率、性能、帶寬及靈活性, 同時(shí)還能控制廣播風(fēng)暴, 提高校園網(wǎng)安全性能。本章結(jié)合高校校園網(wǎng)的特點(diǎn)，從IP 規(guī)劃、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、協(xié)議選擇、網(wǎng)絡(luò)設(shè)備配置等方面對(duì)校園網(wǎng)進(jìn)行了規(guī)劃和設(shè)計(jì)。（一）網(wǎng)絡(luò)設(shè)備的選擇本次設(shè)計(jì)采用cisco2960、3560交換機(jī)和2811路由器。在出口的路由器選用Cisco Cata

45、lyst 2811，它是一款高端企業(yè)級(jí)路由器擁有強(qiáng)悍的性能，能很好的為網(wǎng)絡(luò)提供可靠的服務(wù)，并提供了安全、可擴(kuò)展的網(wǎng)絡(luò)連接，容納了多種流量類型，如VPN、動(dòng)態(tài)多點(diǎn) VPN (DMVPN)等，以及安全話音，滿足用戶的使用需求。本次設(shè)計(jì)的網(wǎng)絡(luò)核心層主要應(yīng)用Cisco Catalyst 3560系列的交換機(jī)，它是三層交換機(jī)，Cisco Catalyst 3560系列交換機(jī)是一個(gè)固定配置、企業(yè)級(jí)、IEEE 802.3af和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE)交換機(jī)系列，性能完全能滿足校園網(wǎng)核心層的工作需要。在匯聚層和接入層主要用Cisco Catalyst 2960系列智能以太網(wǎng)交換機(jī)，它是一個(gè)全新、獨(dú)立的固

46、定配置設(shè)備系列，主要為小型企業(yè)和網(wǎng)絡(luò)分支而生產(chǎn)的，它也能提供很好的服務(wù)，能進(jìn)行桌面10/100快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，有助于實(shí)現(xiàn)增強(qiáng)LAN服務(wù)。（二）校園網(wǎng)絡(luò)的設(shè)計(jì)由于本次設(shè)計(jì)VLAN主要在局域網(wǎng)中，為便于進(jìn)行實(shí)驗(yàn)且網(wǎng)絡(luò)的規(guī)模要適中，所以選擇了規(guī)模適中的校園網(wǎng)作為基礎(chǔ)，在這個(gè)網(wǎng)絡(luò)中大量采用cisco交換機(jī)作為二層交換設(shè)備，由于在網(wǎng)絡(luò)中大量使用交換設(shè)備會(huì)出現(xiàn)廣播風(fēng)暴以及存在的數(shù)據(jù)安全性問題，所以要進(jìn)行合適的VLAN劃分，減少網(wǎng)絡(luò)流量的擁堵次數(shù)和數(shù)據(jù)泄漏的問題，保障網(wǎng)絡(luò)的正常運(yùn)行，保護(hù)數(shù)據(jù)的安全。如圖3.1所示。 圖3.1 校園網(wǎng)拓?fù)鋱D（三）校園網(wǎng)IP的規(guī)劃本次設(shè)計(jì)共有圖

47、書館、辦公樓、理工大樓、教學(xué)樓和宿舍樓組成，由于存在大量的主機(jī)，所以采用10.0.0.010.255.255.255網(wǎng)段，其地址能夠滿足校園環(huán)境對(duì)ip地址的需求。宿舍樓：10.2.0.0/16其中宿舍樓一為：10.2.8.0/21，即10.2.8.110.2.15.254子網(wǎng)掩碼為255.255.255.0宿舍樓二為：10.2.24.0/21，即10.2.24.110.2.31.254子網(wǎng)掩碼為255.255.255.0圖書館：10.4.0.0/16服務(wù)器：10.5.0.0/16教學(xué)樓：10.7.0.0/16（四）VLAN在網(wǎng)絡(luò)中的劃分1. VLAN ID的規(guī)劃表格3.1顯示的是基于端口的對(duì)網(wǎng)

48、絡(luò)的VLAN劃分。在每個(gè)VLAN中，都要進(jìn)行合適的規(guī)劃，適應(yīng)網(wǎng)絡(luò)中各種變化的需要。表3.1 VLAN 配置表位置VLAN ID網(wǎng)絡(luò)地址子網(wǎng)掩碼VLAN接口地址宿舍樓1VLAN 1010.2.8.0255.255.255.010.2.8.1宿舍樓2VLAN 3010.2.24.0255.255.255.010.2.24.1辦公樓VLAN 2010.3.0.0255.255.0.010.3.0.1圖書館VLAN 4010.4.0.0255.255.0.010.4.0.1服務(wù)器VLAN 5010.5.0.0255.255.0.010.5.0.1理工大樓VLAN 6010.6.0.0255.255.0

49、.010.6.0.1教學(xué)樓VLAN 7010.7.0.0255.255.0.010.7.0.12. 基于端口的劃分1 在匯聚層交換機(jī)上配置VLAN1)創(chuàng)建VLAN進(jìn)入全局模式Switch#config terminal創(chuàng)建VLAN 10Switch(config)#vlan 10Switch(config-vlan)#exit2)將端口加入到vlan 10中Switch(config-if)#switchport access vlan 10或者將一組連續(xù)的端口加入到vlan中Switch(config)# interface range f0/1 5 Switch(config-if-ran

50、ge)#switchport mode access Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exit3) 指定端口成為trunkSwitch(config)#interface f0/24Switch(config-if)#switchport mode trunk4）檢查VLAN端口分配情況Switch#show vlan brief 圖3.2 VLAN端口分配情況通過(guò)命令顯示可以看出 f0/1 5已經(jīng)在VLAN10中了，其它的端口全默認(rèn)在VLAN1 中。以此類推，逐步創(chuàng)建VLAN 2

51、0、VLAN 30、VLAN 40、VLAN 50、VLAN 60、VLAN 70。并逐步把端口劃分到各個(gè)VLAN中,配置trunk口。2 在核心交換機(jī)Cisco Catalyst 3650上配置VLAN虛擬接口實(shí)現(xiàn)通信在Cisco Catalyst 3650上創(chuàng)建各個(gè)VLAN的虛擬接口，并配置IP地址。1)配置vlan 10的虛擬接口ip地址。Switch(config)#vlan 10 Switch(config-vlan)#exitSwitch(config)#interface vlan 10 Switch(config-if)#%LINK-5-CHANGED: Interface V

52、lan10, changed state to upSwitch(config-if)#ip address 10.2.8.1 255.255.255.0Switch(config-if)#2)配置vlan 20虛擬接口ip地址Switch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#interface vlan 20Switch(config-if)#%LINK-5-CHANGED: Interface Vlan20, changed state to upSwitch(config-if)#ip address 10.3.0.

53、1 255.255.0.0Switch(config-if)#然后按照表1依次配置valn 30 、vlan 40、 vlan 50、vlan 60、 vlan 70。3 在三層交換機(jī)上啟用路由功能Switch(config)#ip routing或者配置RIP動(dòng)態(tài)路由 Switch(config)#router ripSwitch(config-router)# version 2Switch(config-router)# network 10.0.0.0 如上命令即可實(shí)現(xiàn)VLAN通信。4 配置訪問控制表在核心交換機(jī)上配置訪問控制列表可以控制各個(gè)VLAN之間的通信。 1)創(chuàng)建10列表，只同

54、意10.1.0.0和10.2.0.0網(wǎng)段的數(shù)據(jù)，拒絕其他的網(wǎng)段的Switch(config)#ip access-list standard 10 Switch(config-std-nacl)#permit ip 10.1.0.0 0.0.255.255 Switch(config-std-nacl)#permit ip 10.2.0.0 0.0.255.255Switch(config-std-nacl)#deny ip any any Switch(config-std-nacl)#exit2)在VLAN 10中引用列表10.Switch(config)#interface vlan 1

55、0 Switch(config-if)#ip access-group 10 in 四、VLAN技術(shù)在校園網(wǎng)中的測(cè)試Cisco Packet Trace是由思科公司發(fā)布的一款模擬思科系列的各種交換機(jī)和路由器的軟件，它能很好模擬現(xiàn)實(shí)的各種環(huán)境，通過(guò)它可以進(jìn)行各種網(wǎng)絡(luò)知識(shí)的學(xué)習(xí)，并了解路由器和交換機(jī)的工作原理，也能對(duì)思科的命令和設(shè)備進(jìn)行了解，是初步學(xué)習(xí)路由交換的很好的工具。本章是在Cisco Packet Trace中進(jìn)行測(cè)試，由于軟件本身的限制，以及其他方法的實(shí)現(xiàn)有不同的復(fù)雜性，因此此次測(cè)試主要針對(duì)利用端口進(jìn)行劃分的方法進(jìn)行，并分為利用RIP和OSPF的路由協(xié)議的兩種方法，基于端口的劃分方法有易

56、于實(shí)現(xiàn)、成本很低的優(yōu)點(diǎn)，所以在很多網(wǎng)絡(luò)中都有使用，而且其技術(shù)已經(jīng)成熟，在不同廠家的設(shè)備中實(shí)現(xiàn)的原理都一樣，所以在測(cè)試中可以很好的利用Cisco Packet Trace進(jìn)行測(cè)試。根據(jù)以上設(shè)計(jì)的網(wǎng)絡(luò)，和不同部分之間的功能，所以制定了一下的訪問規(guī)則，其中在測(cè)試中的要求如表格4.1。表格4.1 訪問要求在下面得測(cè)試中的網(wǎng)絡(luò)只是簡(jiǎn)單的模擬了校園網(wǎng)，每個(gè)樓層的主機(jī)也只用一臺(tái)或兩臺(tái)主機(jī)進(jìn)行代替。通過(guò)測(cè)試可以查看網(wǎng)絡(luò)的各種狀況，所以挑出一些代表性的主機(jī)進(jìn)行測(cè)試。（一）基于RIP協(xié)議的測(cè)試根據(jù)以上表格，在Cisco Packet Trace模擬器中進(jìn)行模擬，模擬圖如圖4.1所示的是根據(jù)RIP動(dòng)態(tài)路由協(xié)議的一種方式。 圖4.1 測(cè)試圖4.1 VLAN 20 與VLAN 50、VLAN 10之間的連通性測(cè)試 圖4.1VLAN 20 pingVLAN 50和VLAN 104.2 VLAN 10 與VLAN 70、VLAN 40之間的連通性測(cè)試 圖4.2 VLAN 10 ping VLAN 70和VLAN 404.3 VLAN 60 與VLAN 61之間的連通性測(cè)試 圖4.3 VLAN 60內(nèi)部與VLAN 61 ping（二）基于OSPF協(xié)議的測(cè)試通過(guò)RIP路由協(xié)議所進(jìn)行的測(cè)試較好