网络基础知识2讲课文档.pptVIP

*******VLAN是VirtualLAN，即虚拟局域网的缩写，是一种不需额外增加网络设备，就可实现网络分层的技术，被现在大型网络广泛使用。在前面的课程中，我们已经知道交换机不能过滤广播帧，各个端口处于同一个广播域内，因此构成的大而平的网络结构中的每个端口设备都暴露在整个广播域中，网络广播风暴极易产生。同时，重要站点的安全性也是个问题，广播帧会将我们不希望被其它节点看到的信息携带到整个网络中。而且，传统的网络分段依赖于网络的物理划分，不利于根据企业频繁的业务变化调整节点的位置。VLAN就是为了解决早期网络中在二层交换机上所有连接设备都共属于一个广播域，而造成的网络的安全性和稳定性问题而产生的一种在二层网络设备上从逻辑上给网络划分子网的做法。如果把早期的网络比喻成一间空旷的大房子,那么VLAN技术就是一种能够将大房子划分成多个小房子的技术。VLAN将传统的广播域按需要分割成各个独立的广播域，因广播域缩小，可以提高网络性能。VLAN用在现在网络中，还经常用于增加网络的安全性和稳定性，并给网络管理者带来管理上的便利：不必再拘泥于网络的地理位置来分割网络的子网，更有利于网络随着业务的调整而变动。

*划分VLAN的方法有基于端口划分VLAN和基于协议地址划分VLAN两大类，其中基于端口划分VLAN的方法又有背板转发分组和IEEE802.1q两种实现方式，基于协议地址划分VLAN又有基于MAC地址和基于IP地址两种实现方式，目前，最常用的是基于802.1q的实现方式。IEEE802.1Q，可以让各不同厂家的交换机基于端口划分的VLAN互相兼容、互相承认。*IEEE802.1Q标准使不同厂家的交换机之间传递VLAN信息成为可能。IEEE802.1Q在媒介访问控制子层（MAC）帧中插入一个12bit长度的VLAN标识符。该标识符是802.1Q的16bit报头信息的一部分，余下的4bit信息，3bit用于优先级队列（IEEE802.1p)的标识，1bit为0。IEEE802.1q使用ID号来标识VLAN，每一个VLAN都有一个唯一的ID号，因为VLAN的标识符长度为12bits，所以ID号有从0到4095共212种可能，实际可以使用的ID值从1到4094。使用IEEE802.1Q的交换机，其端口有两种状态：Tagging：将802.1QVLAN的信息加入数据包的包头。具有加标记能力的端口将会将VID、优先级和其它VLAN信息加入到所有进出该端口的数据包内。如果数据包已经被标记过，那么，端口将不对该数据包改动，保持原有的VLAN信息。Untagging：进行将802.1QVLAN的信息从数据包的包头去掉的操作。具有去标记能力的端口会将VID、优先级和其它VLAN信息从所有进出该端口的数据包头中去掉。如果数据包没有被标记过，端口将不对该数据包改动。*三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。****1.基于端口的LBD-端口关闭，不允许通信2.基于VLANLBD阻止发生环路的VLAN通信，但是不关闭trunking端口V1V1PC1PC2V2V2环路D-Link解决方案：环路检测(LBDv4.0)不依赖于生成树协议（STP）非网管交换机通常没有生成树协议功能即使没有开启STP功能，D-Link的交换机也能检测到端口环路灵活的设置可以阻止环路发生基于端口基于VLAN环路端口环路第60页，共69页。IP-MAC-Port绑定有三种绑定模式：基于ARP模式、基于ACL模式、基于自动模式绑定只有IP、MAC和端口匹配正确了，数据才能通过相应的端口传输1、解决了IP地址冲突问题2、解决了审计难的问题（现有系统日志都是基于IP地址的，如果用户自行改变了IP地址，这些日志就没有意义了）192.168.1.100E0-0211-1111端口1192.168.1.200E0-0211-2222端口2启用IMP绑定v3地址学习白色列表由DHCP分配192.168.1.100E0-0211-1111192.168.1.2

00E0-0211-2222192.168.1.1

00E0-0211-3333ABC(IP