【正文】 寬，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對它進(jìn)行處理。ARP廣播，是在需要與其他主機(jī)通信時(shí)發(fā)出的。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協(xié)議也經(jīng)常需要用到廣播。l RIP：一種路由協(xié)議。l Apple Talk：蘋果公司的Macintosh計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議。使用路由器后，可以以路由器上的網(wǎng)絡(luò)接口（LAN Interface）為單位分割廣播域。與路由器相比，二層交換機(jī)一般帶有多個(gè)網(wǎng)絡(luò)接口。3 局域網(wǎng)實(shí)現(xiàn)VLAN VLAN的兩種類型虛擬局域網(wǎng)VLAN(Virtual Local Area Network)可以不考慮用戶的物理位置，而根據(jù)功能、應(yīng)用等因素將用戶從邏輯上劃分為一個(gè)個(gè)功能相對獨(dú)立的工作組，每個(gè)用戶主機(jī)都連接在一個(gè)支持VLAN的交換機(jī)端口上并屬于一個(gè)VLAN。Cisco的VLAN實(shí)現(xiàn)通常是以端口為中心的，與節(jié)點(diǎn)相連的端口將確定它所駐留的VLAN。這也是創(chuàng)建VLAN最常用的方法。 VLAN的直觀描述如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機(jī)在邏輯上分割成了數(shù)臺交換機(jī)。因此，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。因此，VLAN間的通信也需要路由器提供中繼服務(wù)，稱作“VLAN間路由”?！号渲铆h(huán)境參數(shù)』計(jì)算機(jī)的IP地址：計(jì)算機(jī)的網(wǎng)關(guān)地址：MA5200F的上行口地址：MA5200F對端路由器地址： [MA5200F]ip pool huawei local [MA5200Fippoolhuawei]gateway [MA5200Fippoolhuawei]section 0 [MA5200F]portvlan ethernet 2 vlan 1 1 [MA5200Fethernet2vlan11]accesstype layer2subscriberPortID Staticuserstate Total 4 item(s) [MA5200F]localaaaserver [MA5200Flocalaaaserver]batchuser ethernet 2 1 1 domain isp [MA5200F]portvlan ethernet 24 vlan 0 1動態(tài)VLAN可以大致分為3類：l 基于MAC地址的VLAN（MAC Based VLAN）l 基于子網(wǎng)的VLAN（Subnet Based VLAN）l 基于用戶的VLAN（User Based VLAN）其間的差異，主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN。假定有一個(gè)MAC地址“A”被交換機(jī)設(shè)定為屬于VLAN“10”，那么不論MAC地址為“A”的這臺計(jì)算機(jī)連在交換機(jī)哪個(gè)端口，該端口都會被劃分到VLAN10中去。而且如果計(jì)算機(jī)交換了網(wǎng)卡，還是需要更改設(shè)定。IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層設(shè)定訪問鏈接的方法?？偟膩碚f，決定端口所屬VLAN時(shí)利用的信息在OSI中的層面越高，就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。接下來就是如何在不同的VLAN間進(jìn)行路由，使分屬不同VLAN的主機(jī)能夠互相通信。ARP解析MAC地址的方法，則是通過廣播。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息（IP地址）來進(jìn)行路由。 使用路由器進(jìn)行VLAN間路由在使用路由器進(jìn)行VLAN間路由時(shí)，與構(gòu)建橫跨多臺交換機(jī)的VLAN時(shí)的情況類似，我們還是會遇到“該如何連接路由器與交換機(jī)”這個(gè)問題。圖41 VLAN間路由如果采用這個(gè)辦法，應(yīng)該不難想象它的擴(kuò)展性很成問題。那么，第二種辦法“不論VLAN數(shù)目多少，都只用一條網(wǎng)線連接路由器與交換機(jī)”呢？當(dāng)使用一條網(wǎng)線連接路由器與交換機(jī)、進(jìn)行VLAN間路由時(shí)，需要用到匯聚鏈接。盡管實(shí)際與交換機(jī)連接的物理端口只有一個(gè)，但在理論上我們可以把它分割為多個(gè)虛擬端口。與前面的方法相比，擴(kuò)展性要強(qiáng)得多，也不用擔(dān)心需要升級LAN接口數(shù)不足的路由器或是重新布線。各計(jì)算機(jī)的MAC地址分別為A/B/C/D，路由器匯聚鏈接端口的MAC地址為R。交換機(jī)收到數(shù)據(jù)幀后，檢索MAC地址列表中與收信端口同屬一個(gè)VLAN的表項(xiàng)。讓我們來看一下計(jì)算機(jī)A與計(jì)算機(jī)C之間通信時(shí)的情況。得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀。這樣交換機(jī)就知道往MAC地址R發(fā)送數(shù)據(jù)幀，需要經(jīng)過端口6轉(zhuǎn)發(fā)。接著，根據(jù)路由器內(nèi)部的路由表，判斷該向哪里中繼。交換機(jī)收到③的數(shù)據(jù)幀后，根據(jù)VLAN標(biāo)識信息從MAC地址列表中檢索屬于藍(lán)色VLAN的表項(xiàng)。實(shí)驗(yàn)拓?fù)鋱D：COLOR: 000000實(shí)驗(yàn)環(huán)境說明：、R2模擬PC，關(guān)閉其路由功能；：，默認(rèn)網(wǎng)關(guān)設(shè)為：；：，默認(rèn)網(wǎng)關(guān)設(shè)為：；，作為二層交換機(jī)使用，并劃分VLAN1VLAN15兩個(gè)VLAN；，將Fa1/15端口加入到VLAN15中；（ip設(shè)為：）、Fa0/（ip設(shè)為：）并封裝相應(yīng)的VLAN號；實(shí)驗(yàn)結(jié)果要求RR2能夠互相ping通對方。而路由器，則基本上是基于軟件處理的。 三層交換機(jī)為了解決上述問題，三層交換機(jī)應(yīng)運(yùn)而生。圖46 三層交換機(jī)路由模塊在一臺三層交換機(jī)體內(nèi)，分別設(shè)置了交換機(jī)模塊和路由器模塊；而內(nèi)置的路由模塊與交換模塊相同，使用ASIC硬件處理路由。S enable 進(jìn)入特權(quán)模式 S configure terminal 進(jìn)入全局配置模式 S(config) hostname name 改變交換機(jī)名稱 S(config) enable password level level_ password 設(shè)置用戶口令（level_=1)或特權(quán)口令（level_=15) S(config) line console 0 進(jìn)入控制臺接口 S(configline) password console_password 接上一條命令，設(shè)置控制臺口令 S(config) line vty 0 15 進(jìn)入虛擬終端 S(configline) password telnet_password 接上一條命令，設(shè)置Telnet口令 S(configline) login 允許Telnet登錄 S(config) enable password|secret privilege_password 配置特權(quán)口令（加密或不加密） S(config) interface ethernet|fastethernet|gigabitethernet slot_/port_ 進(jìn)入接口子配置模式 S(configif) [no] shutdown 關(guān)閉或啟用該接口（默認(rèn)啟用） S(config) ip address IP_address sunbet_mask 指定IP地址 S(config) ip defaultgateway router39。并且，路由與交換模塊是匯聚鏈接的，由于是內(nèi)部連接，可以確保相當(dāng)大的帶寬。路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能，因此帶有第三層路由功能的交換機(jī)才被稱為“三層交換機(jī)”。就VLAN間路由而言，流量會集中到路由器和交換機(jī)互聯(lián)的匯聚鏈路部分，這一部分尤其特別容易成為速度瓶頸。但是，如果使用路由器進(jìn)行VLAN間路由的話，隨著VLAN之間流量的不斷增加，很可能導(dǎo)致路由器成為整個(gè)網(wǎng)絡(luò)的瓶頸。進(jìn)行VLAN間通信時(shí)，即使通信雙方都連接在同一臺交換機(jī)上，也必須經(jīng)過：發(fā)送方——交換機(jī)——路由器——交換機(jī)——接收方，這樣一個(gè)流程[9]。這時(shí)，數(shù)據(jù)幀的目標(biāo)MAC地址被改寫成計(jì)算機(jī)C的目標(biāo)地址；并且由于需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)，因此被附加了屬于藍(lán)色VLAN的識別信息。由于原先是來自紅色VLAN的數(shù)據(jù)幀，因此如圖中②所示，會被加上紅色VLAN的識別信息后進(jìn)入?yún)R聚鏈路。交換機(jī)在端口1上收到①的數(shù)據(jù)幀后，檢索MAC地址列表中與端口1同屬一個(gè)VLAN的表項(xiàng)。因此會向設(shè)定的默認(rèn)網(wǎng)關(guān)（Default Gateway，GW）轉(zhuǎn)發(fā)數(shù)據(jù)幀。收發(fā)信雙方同屬一個(gè)VLAN之內(nèi)的通信，一切處理均在交換機(jī)內(nèi)完成。端口MAC地址VLAN1A12B13C24D25－－6R匯聚首先考慮計(jì)算機(jī)A與同一VLAN內(nèi)的計(jì)算機(jī)B之間通信時(shí)的情形。如下圖所示，為各臺計(jì)算機(jī)以及路由器的子接口設(shè)定IP地址。圖42 支持匯聚鏈路采用這種方法的話，即使之后在交換機(jī)上新建VLAN，仍只需要一條網(wǎng)線連接交換機(jī)和路由器。雙方用于匯聚鏈路的協(xié)議自然也必須相同。而路由器，通常不會帶有太多LAN接口的。將交換機(jī)上用于和路由器互聯(lián)的每個(gè)端口設(shè)為訪問鏈接，然后分別用網(wǎng)線與路由器上的獨(dú)立端口互聯(lián)。但在今天的局域網(wǎng)里，我們也經(jīng)常利用帶有路由功能的交換機(jī)——三層交換機(jī)（Layer 3 Switch）來實(shí)現(xiàn)[8]。計(jì)算機(jī)分屬不同的VLAN，也就意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文。在LAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址。其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題；因此在選擇交換機(jī)時(shí)，一定要注意事先確認(rèn)。這里的用戶識別信息，一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶，比如可以是Windows域中使用的用戶名。不像基于MAC地址的VLAN，即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變，就仍可以加入原先設(shè)定的VLAN。圖35 基于MAC的VLAN由于是基于MAC地址決定所屬VLAN的，因此可以理解為這是一種在OSI的第二層設(shè)定訪問鏈接的辦法。 then list all ports you want included in the port group. A port is identified by the IP address of the switch and the module/port number of the port in the form mod_num/port_num. Ranges are not allowed for the port numbers. Use the allports keyword to specify all the ports in the specified switch. The example at the end of this section has two port groups:WiringCloset1 consists of the two ports: port 3/2 on the VMPS client and port 2/8 on the VMPS client Executive Row consists of three ports: port 1/2 and 1/3 on the VMPS client , and all ports on the VMPS client Section 4, VLAN groups, lists groups of VLANs you want to associate together. You use these VLAN groups when defining VLAN port policies.Define the VLAN group name。 [MA5200F]interface Ethernet []ip address [MA5200F]ip routestatic 配置動態(tài)VLAN動態(tài)VLAN則是根據(jù)每個(gè)端口所連的計(jì)算機(jī)，隨時(shí)改變端口所屬的VLAN[5]。 Updated Ethernet [MA5200Fethernet2vlan11]authenticationmethod bind [MA5200Fethernet2vlan11]staticuser detectMA5200Fippoolhuawei]excludedipaddress [MA5200F]aaa [MA5200Faaa]authenticationscheme Auth1 [MA5200Faaaauthenauth1]authenticationmode local [MA5200F]aaa [MA5200Faaa]accountingscheme Acct1 [MA5200Faaaaccountingacct1]accountingmode local [MA5200F]aaa [MA5200Faaa]domain isp 靜態(tài)VLAN靜態(tài)VLAN又被稱為基于端口的VLAN（Port Based VLAN）。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。圖33 VLAN直觀描述在紅、藍(lán)兩個(gè)VLAN之外生成新的VLAN時(shí)，可以想象成又添加了新的交換機(jī)。即先建立一個(gè)VLAN管理策略服務(wù)器VMPS(VLAN Membership Policy Server)，里面包含一個(gè)文本文件，文件中存有VLAN映射的MAC地址表，交換機(jī)根據(jù)這個(gè)映射表決定將端口分配給何種VLAN?！　⌒纬伸o態(tài)VLAN的過程就是將端口強(qiáng)制性地分配給VLAN的過程。這樣，整個(gè)網(wǎng)絡(luò)可以被分割成多個(gè)不同的廣播域。用于在二層交換機(jī)上分割廣播域的技術(shù)，就是VLAN。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個(gè)（一般為4個(gè)左右）連接LAN一側(cè)的網(wǎng)絡(luò)接口，但那實(shí)際上是路由