《企业局域网技术》课件.pptVIP

*************************************第七章：虚拟局域网（VLAN）逻辑分段虚拟局域网（VLAN）是一种将物理局域网在逻辑上分割为多个独立的广播域的技术。通过VLAN，管理员可以根据功能、部门或安全需求而非物理位置来组织网络用户，提高网络的灵活性和安全性。标记机制IEEE802.1Q是实现VLAN的主要标准，它通过在以太网帧中插入一个4字节的VLAN标签来标识不同的虚拟局域网。这个标签包含优先级信息、规范格式指示符和VLANID（VID），VID范围从1到4094，能够支持大量的逻辑网段。交换机互联在多交换机环境中，VLAN信息需要在交换机之间传递。为此，交换机之间的链路通常配置为中继（Trunk）模式，允许多个VLAN的流量通过同一物理链接，同时保持VLAN隔离。这种机制实现了跨越多个物理交换机的虚拟网络。VLAN的概念和优势广播控制VLAN将网络分割成多个广播域，限制广播流量的范围。这减少了网络拥塞，提高了带宽利用效率，特别是在大型网络中，广播控制可以显著改善网络性能和响应时间。在同一VLAN内的设备才能接收到广播消息，有效隔离了广播风暴的影响范围。安全增强VLAN提供了网络隔离的第一道防线。不同VLAN之间的通信需要通过路由器或三层交换机，可以实施访问控制和安全策略。这种隔离机制可以防止未授权访问，减少敏感数据泄露的风险，特别适合需要严格信息安全管控的环境，如金融机构或医疗机构。灵活组织VLAN允许基于功能、项目、部门或应用来组织网络，而不受物理位置限制。一个员工的PC可以属于特定部门的VLAN，即使它物理上位于不同楼层或建筑物。这种灵活性简化了网络管理，适应组织结构变化，减少了因员工移动或重组导致的网络重新配置工作。成本节约通过VLAN合理规划，可以减少对物理设备的需求，更有效地利用现有基础设施。相比完全物理隔离的网络，VLAN降低了硬件成本、维护成本和能源消耗。此外，VLAN的逻辑配置减少了网络变更时的物理工作量，降低了人力和时间成本。VLAN的实现方式基于端口的VLAN基于端口的VLAN是最常见和最简单的VLAN实现方式。在这种配置中，交换机的每个物理端口被静态分配到特定的VLAN。无论连接到该端口的设备是什么，它都属于预先配置的VLAN。这种方法配置简单，管理直观，安全性较高，适合网络结构相对稳定的环境。例如，交换机端口1-8可能被分配给工程部门的VLAN10，端口9-16被分配给市场部门的VLAN20。任何连接到这些端口的设备自动成为相应VLAN的成员，无需额外配置。基于MAC地址的VLAN基于MAC地址的VLAN根据设备的MAC地址（物理地址）将其动态分配到特定VLAN。交换机维护MAC地址到VLAN的映射表，当设备连接到网络时，交换机检查其MAC地址并将其放入相应的VLAN。这种方法提供了更大的灵活性，允许设备在物理位置变化时保持在同一VLAN。然而，基于MAC的VLAN管理复杂度较高，需要维护MAC地址数据库，且当设备更换网卡时可能导致VLAN成员身份改变。在大型网络中，这种方法的可扩展性也受到限制。VLAN间路由路由原理VLAN间路由是指不同VLAN之间的流量转发过程。由于VLAN在逻辑上是独立的广播域，它们之间的通信需要经过第三层（网络层）路由。路由器或三层交换机检查数据包的目标IP地址，确定路由路径，并将数据包从源VLAN转发到目标VLAN。实现方法传统的VLAN间路由使用外部路由器，每个VLAN连接到路由器的一个物理接口。现代网络通常采用三层交换机的内部路由功能，使用单个物理链接和多个逻辑接口（SVI，交换虚拟接口）实现高效路由。此外，还可以使用路由器或三层交换机的单臂路由（Router-on-a-Stick）配置，通过一个中继链接处理多个VLAN的流量。安全考虑VLAN间路由提供了实施访问控制和安全策略的理想位置。通过路由器或三层交换机上的访问控制列表（ACL），可以精细控制哪些流量允许在VLAN之间传递。这种路由点成为网络分段的安全边界，可以集成防火墙规则、入侵防御和流量监控，提供多层次的安全防护。第八章：无线局域网技术标准无线局域网基于IEEE802.11系列标准，历经多代演进，从早期的802.11b、g，到现代的802.11n、ac和ax，不断提高传输速率、覆盖范围和连接稳定性。网络架构无线网络分为基础架构模式和对等（Ad-Hoc）模式。企业环境主要采用基础架构模式，包括无线接入点（AP）、无线控制器和管理平台，形成集中管理的无线覆盖系统。安全机制无线网络面临独特的安全挑战，需要通过WPA2/WPA3