J基础篇_第3章交换技术概述hxh.docVIP

二层交换技术概述 VLAN的概念 首先我们来了解两个概念：冲突域（collision domain）和广播域（broadcast domain）。冲突域（collision domain）是主机发一个数据包（无论该数据包的类型（单播unicast,或者广播broadcast））,该数据包所占据的网络范围。而广播域（broadcast domain）是主机发一个广播数据包（Broadcast）,该广播数据包所占据的网络范围。 VLAN是一个逻辑的广播域（broadcast domain），可以跨越多个物理的LAN网段。VLAN的建立可以根据功能，项目组，或应用来划分，而不用考虑用户的物理位置。每个交换机的端口只能属于一个VLAN，一个VLAN的端口共享广播，而不同VLAN的端口不能共享广播。这可以改善网络的性能和安全性。 在交换网络中，VLAN提供了“区段化”和“灵活性”。利用VLAN技术，你可以通过将某些端口划归一组，来将相应的用户，如同部门的协作人员，或产品团队，归入一个小组，以便共享某些相同的网络应用程序。 VLAN可以存在在一个单独的交换机上，也可以存在在很多互联的交换机上。VLAN可以包括一个大楼内的站点，也可以包括多个大楼内站点，甚至还可以跨广域网（WAN）。 VLAN的操作 首先，交换机的运作很类似一个传统的“桥”。每个VLAN可以进行地址的“学习”，数据的“转发”和“过滤”。而交换机更先进的地方就是VLAN的功能，它将数据转发限制在和数据来源端口相同的VLAN内的端口。这种规定对所有的数据包都适用，无论是单播（unicast）,多播（multicast）,还是广播（broadcast）。 图3-1 VLAN的划分 建立VLAN的成员 通常划分VLAN成员的方法有以下几种： 静态VLAN：就是通过将端口分配到VLAN中，VLAN的成员是根据端口来划分。 动态VLAN：就是通过一定的网管软件，将一组MAC地址组成一个VLAN。当一台设备进入网络的时候，将根据它的MAC地址来决定它属于哪个VLAN。该方法通常也叫做“基于MAC地址”的划分。 VLAN的好处 图3-2 没有划分VLAN的网络 如上图所示，是一个没有划分VLAN的网络结构（我们称之为flat network,即平坦的网络结构），该结构将会存在一些问题： 如果使用的是HUB，则该结构处于同一个冲突域，网络中每个设备都可以看到网络上传送的数据。如果使用的是SWITCH，则该结构处于同一个广播域，网络中每个设备都可以互相传送数据。 安全性的问题：在layer2的环境中，没有一个方便的方法来提供安全的问题。每一台PC都可以访问其他的设备。 管理多条路径的问题：第二层的交换是无法提供去一个目的地的冗余路径的。从而无法提供负载均衡的功能。 而VLAN的引入，则可以解决大规模的二层网络的问题。 图3-3 划分VLAN的网络 VLAN具有以下一些特征： 同一个VLAN中的所有成员，处于同一个广播域（broadcast domain）中。当一个工作站发出一个广播包的时候，该VLAN的所有其他成员都能收到该广播包。但是，该广播包将会被那些不是属于同一个VLAN的端口和设备过滤掉。 一个VLAN是一个逻辑上的子网或网段，而网段中的成员由用户来定义。 VLAN的成员一般都是基于端口的，不过也可以通过MAC地址来划分VLAN。 最常见的VLAN的划分方法是根据地理位置来划分，我们称为local VLAN。 端端VLAN（End-to-End VLAN）是在整个交换区域进行VLAN的划分方法。这种划分方法可以让一个VLAN跨越几个交换机和大厦。该方法通常是与一个工作组相关（比如一个部门和一个项目小组）。 图3-4 VLAN划分广播域 由于一个VLAN就定义了一个广播域（broadcast domain），所以可以解决很多二层网络的问题： 有效的带宽利用。VLAN解决了一个大型flat network扩展局限性的问题。通过将整个网络分成几个小的广播域（broadcast domain）即子网，VLAN将所有的数据，包括广播和多播，限制在一个子网之内。当然，如果想实现VLAN间的互通，要通过三层路由。 安全性。通过使用三层路由所具备的安全功能，可以实现VLAN之间的访问控制。 负载均衡。VLAN也是通过三层路由所具备的负载均衡功能，来实现VLAN之间的负载均衡目的。 隔离故障。使用VLAN的一个重要原因，就是可以实现对故障的隔离。在一个大的flat network中，一个设备的故障，就可能会导致整个网络的瘫痪和故障。解决这个问题的一个好办法就是通过路由器将一个flat network分割成几个网段，而其中一个网段中发生的故障，将会被路由器隔离，从而不会影