实验十预习资料.doc

背景知识 虚拟局域网 VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。通过将企业网络划分成不同的VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。 在共享网络中，一个物理的网络段就是一个广播域，在该网络段中的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。在交换网络中，广播域可以是由一组任意指定的MAC地址组成的虚拟网络段。网络中网络段的划分可以突破共享网络中的地理位置限制，根据管理的需求来进行划分。同一个VLAN中的工作站，可以跨交换机访问；同一个VLAN中的广播只有VLAN成员才能收到。VLAN的使用有效得控制了网络风暴的产生。通过设置路由，还可使实现VLAN间的相互通信。 虚拟局域网的使用能够方便地进行用户的增加、删除、移动等工作，提高网络管理的效率。 （1）灵活的、软定义的、边界独立于物理介质的设备群。VLAN的使用使交换机承担了网络分段工作，而无需使用路由器。通过使用VLAN，能够把原来的一个物理局域网划分成很若干个逻辑子网，而不必考虑设备的具体物理位置，每一个VLAN都可以对应于一个逻辑单元，如部门、车间和项目组等。 （2）广播流量被限制在软定义的边界内，提高了网络安全性。同一个VLAN中的广播只有VLAN成员才能收到，因此减少了数据窃听的可能性，极大地增强了网络的安全性。 （3）VLAN通过把网络分成逻辑上的不同广播域，使网络上传送的包只在与位于同一个VLAN的端口之间交换。这样就限制了某个局域网只与同一个VLAN的其它局域网互连，避免浪费带宽。这也改善了网络配置规模的灵活性，尤其是在支持广播/多播协议和应用程序的局域网环境中，也会因为VLAN结构的介入，而大大减少网络流量。 1 虚拟局域网的分类 目前，常用的虚拟局域网分类有三种：基于端口划分、基于硬件MAC地址划分和基于网络层划分。其余还有根据IP组播划分、按策略划分以及按用户定义、非用户授权划分等方式。本章对前三种做主要介绍。 （1）基于端口划分 基于端口的虚拟局域网划分是比较流行和最早的划分方式，其特点是将交换机按照端口进行分组，每一组定义为一个虚拟局域网。这些交换机端口分组可以在一台交换机上也可以跨越几个交换机。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 例如，如图4-1，同一台交换机的1～4号端口分别挂接工作站PC1～PC4，交换机的1和2号端口上的工作站PC1和PC2组成了VLAN10，3和4号端口上的PC3和PC4组成了VLAN20；如图4-2，交换机1的端口1和交换机2的端口4上的工作站PC1和PC4组成了VLAN10，交换机1的端口2和交换机2的端口3上的工作站PC2和PC3组成了VLAN20。 图1 基于端口的虚拟局域网A 图2 基于端口的虚拟局域网B 端口分组目前是定义虚拟局域网成员最常用的方法，可以通过交换机的端口分组来定义，其特点是一个虚拟局域网的各个端口上的所有终端都在一个广播域中，它们相互可以通信，不同的虚拟局域网之间进行通信需经过路由来进行。这种虚拟局域网划分方式的优点在于简单，容易实现，从一个端口发出的广播，直接发送到虚拟局域网内的其他端口，也便于直接监控。但是，用端口定义虚拟局域网的主要局限性是：使用不够灵活，当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。不过这一点可以通过灵活的网络管理软件来弥补。 （2）基于硬件MAC地址划分 硬件MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 基于硬件MAC地址层地址的虚拟局域网具有不同的优点和缺点。由于硬件地址层的地址是硬连接到工作站的网卡上的，所以基于硬件地址层地址的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置，而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。按照这种方式，由硬件地址层地址定义的虚拟局域网可以被视为基于用户的虚拟局域网。 基于硬件MAC地址层地址的虚拟局域网，交换机对终端的MAC地址和交换机端口进行跟踪，在新终端入网时根据已经定义的虚拟局域网——MAC对应表将其划归至某一个虚拟局域网，而无论该终端在网络中怎样移动，由于其MAC地址保持不变，故不需进行虚拟局域网的重新配置。这种划分方式减少了网络管