【正文】 MAC 地址與 IP 地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時，將根據(jù)此映射表直接從二層進(jìn)行交換而不是西南林學(xué)院 2020 屆本科畢業(yè)論文 5 再次路由，提供線速性能，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。 另一方面， VLAN是局域交換網(wǎng)的靈魂。是否具有 VLAN 功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。在一個有大量廣播和多播報(bào)文的網(wǎng)絡(luò)中，應(yīng)用 VLAN 技術(shù)可以把這些報(bào)文限制在各個 VLAN 里，從而可以大大減少整個網(wǎng)絡(luò)中不必要的信息流量，提高網(wǎng)絡(luò)性能。 組建虛擬組織 如前所述， VLAN 技術(shù)是隨著人們生產(chǎn)活動中越來越多的跨部門跨職能開發(fā)團(tuán)隊(duì)的出現(xiàn)而提出的。 簡化網(wǎng)絡(luò)管理 根據(jù) David J. Buerger 的分析計(jì)算，傳統(tǒng)的 LAN 中約有 70%的網(wǎng)絡(luò)花銷是因?yàn)樘砑?、刪除、移動、更改網(wǎng)絡(luò)用戶而導(dǎo)致的。這種動態(tài)管理網(wǎng)絡(luò)的方式給網(wǎng)絡(luò)管理者和使用者都帶來了極大的便利 。 VLAN 還可被用來設(shè)立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡(luò)入侵事件通知給網(wǎng)絡(luò)管理者等，這些都可以提高網(wǎng)絡(luò)的安全系數(shù)。則與這些端口相連的設(shè)備、這些設(shè)備收發(fā)的數(shù)據(jù)幀相應(yīng)地也分別屬于 VLAN VLAN2。如果屬于某個 VLAN 的用戶離開了原來的端口，到了一個新的網(wǎng)絡(luò)設(shè)備的某個端口，那么網(wǎng)絡(luò)管理者就必須重新定義 VLAN。另外，對于使用筆記本電腦的用戶來說，他們的 網(wǎng)卡可能經(jīng)常更換， VLAN 就必須不停的配置。雖然這種劃分方法根據(jù)的是第 3 層信息即網(wǎng)絡(luò)地址（比如 IP 地址），但它與網(wǎng)絡(luò)層的路由功能一點(diǎn)關(guān)系也沒有。一般的交換機(jī)芯片都優(yōu)點(diǎn)是具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展。 基于網(wǎng)絡(luò)層組播地址劃分 VLAN 網(wǎng)絡(luò)層組播實(shí)際上是一種 VLAN。這些方法的缺點(diǎn)在于它們都很費(fèi)時，都要求更高的處理技術(shù)和更快的處理速 度，目前的實(shí)現(xiàn)尚無法令人們滿意。為了能夠使用任意一種方法給數(shù)據(jù)幀加標(biāo)簽，網(wǎng)橋必須有一個不斷升級更新的數(shù)據(jù)庫。 基于 IEEE 協(xié)議時， 4 個字節(jié)的 VLAN 標(biāo)簽加到傳統(tǒng)的以太網(wǎng)幀的目的 MAC地址字段和協(xié)議類型字段（在符合 IEEE 協(xié) 議的幀中是長度字段）之間。對于每一個到來的 VLAN 幀，網(wǎng)橋或交換機(jī)將根據(jù)查找過濾數(shù)據(jù)庫的結(jié)果決定該幀歸屬于哪一個 VLAN、將從哪個接口被轉(zhuǎn)發(fā)出去。 (2)查找 /路由過程：根據(jù)數(shù)據(jù)包的目的 MAC 地址、 VLAN 標(biāo)識，查找過濾數(shù)據(jù)庫中注冊的信息，以決定把數(shù)據(jù)包發(fā)送到哪個端口。校園網(wǎng)目前的電腦數(shù)目已經(jīng)上千臺了。每一個部分建設(shè)一個網(wǎng)絡(luò)中心，三個中心之間采用 GE 骨干互聯(lián)。Hammer24E 交換機(jī)組成堆疊組。 VLAN 的配置實(shí)例 隨著校園網(wǎng)的建成，對于校園網(wǎng)的管理的要求也越來越高了。目前，校園網(wǎng)的計(jì)算機(jī)已經(jīng)有上千臺，因此更應(yīng)將這個大的廣播域劃分成若干個小的廣播域，劃分廣播域的方式主要是將校園網(wǎng)劃分為若干個虛擬子網(wǎng)，也就是 VLAN。Hammer24E 交換機(jī)根據(jù)網(wǎng)絡(luò)管理的要求和網(wǎng)絡(luò)的安全需要進(jìn)行 VLAN 劃分。 下面是學(xué)生宿舍 1 棟的組網(wǎng)圖 : 圖 3 學(xué)生宿舍 1棟的組網(wǎng)圖 如果有很多臺電腦同時相互之間傳送文件或下載東西，那樣就會影 響上網(wǎng)和玩游戲的速度，從而有可能產(chǎn)生廣播風(fēng)暴。路由器的 IP 地址為 ，二 /三層交換機(jī)通過 VLAN2 接口與路由器相連， VLAN2 接口的 IP 地址為 。 (1) 配置 isolateuservlan 配置 isolateuservlan。 基于華為 Quidway S8016 的 VLAN 配置 (1) VLAN 配置 8016 1 棟VLAN 5 2 棟 VLAN 6 西南林學(xué)院 2020 屆本科畢業(yè)論文 15 創(chuàng)建 VLAN VLAN6 [S8016] vlan 5 [S8016vlan5] vlan 6 配置 g3/0/1 端口允許 VLAN5 通過 [S8016] interface gigabitether 3/0/1 [S8106GigabitEther4/0/0] port trunk permit vlan 5 配置 g3/0/2 端口允許 VLAN6 通過 [S8016] interface gigabitether 3/0/2 [S8106GigabitEther4/0/0] port trunk permit vlan 6 (2) VLAN 接口配置 VLAN5 接口 IP 地址 ，掩碼 24 位； VLAN6 接口 IP 地址 ，掩碼 24 位 [S8016] interface vlanif 5 [S8106Vlanif5] ip address [S8016] interface vlanif 6 [S8106Vlanif6] ip address (3) Dhcp relay 配置 增加一個 DHCP server 組， IP 地址是 和 [S8016C] dhcp relay servergroup 1 server 把 VLAN VLAN6 加入 DHCP server 組 1。在校園網(wǎng)絡(luò)發(fā)展的初期，網(wǎng)絡(luò)中只有 10%~20%的信息在 VLAN 之間傳播，但隨著多媒體技術(shù)在校園網(wǎng)絡(luò)中應(yīng)用的迅速普及， VLAN 之間校園網(wǎng)中 VLAN 的劃分與配置 16 信息的傳輸量增加了許多倍，如果 VLAN 之間的通信問題解決得不好，將嚴(yán)重影響網(wǎng)絡(luò)的使用和安全。因此，屬于不同 VLAN 的計(jì)算機(jī)之間無法直接互相通信。第一種通過路由器的不同物理接口與交換機(jī)上的每個 VLAN 分別連接。而路由器，通常不會帶有太多 LAN 接口的。由于這種方式是靠在一個物理端口上設(shè)置多個邏輯子接口的方式實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展，因此網(wǎng)絡(luò)擴(kuò)展比較容易且成本較低，只是對路由器的配置要復(fù)雜一些。 5 VALN 的新用途 雖然 VLAN 并非最好的網(wǎng) 絡(luò)技術(shù)，但這種用于網(wǎng)絡(luò)結(jié)點(diǎn)邏輯分段的方法正為許多企業(yè)所使用。 當(dāng)初引進(jìn) VLAN 時，它被看作是一個簡化地址管理的方法，可以使 IT 人員在網(wǎng)絡(luò)的任意點(diǎn)對服務(wù)器和 PC 機(jī)進(jìn) 行物理配置，并將 PC 機(jī)加入到組中。但在無線網(wǎng)絡(luò)中，用戶根本沒有與任何物理端口連接。 VLAN 和靜態(tài) IP 地址也可用于安全機(jī)制。接入網(wǎng)絡(luò)的唯一方法就是必須擁有一個 IP 地址，而且這些 PC 機(jī)都連接在其中的一個 VLAN 上。而實(shí)際上當(dāng)整個校園中配置的 Enterasys 接入點(diǎn)只有 150 英尺的范圍時，這種情況很容易發(fā)生。 有人利用 Enterasys 公司的 SmartSwitch 可堆疊交換器和 SmartSwitch Router主干網(wǎng)交換器來在整個子網(wǎng)上建立 VLAN，這些子網(wǎng)是運(yùn)行多種協(xié)議的。它只為 Novell 服務(wù)器及用戶創(chuàng)建獨(dú)立的 IPX VLAN，這使多數(shù)基于 IP 和 Windows NT/2020 服務(wù)器的網(wǎng)絡(luò)不會陷入 IPX 和 DEC 流量的海洋中。如果有大流量的廣播或大的文件下載，它也能確保語音質(zhì)量不會下降。如果要對網(wǎng)絡(luò)進(jìn)行重新配置，并使用戶在整個公司里的每個接入點(diǎn)都能訪問 VLAN 的話，整個重新配置的過程將變得非常繁雜，當(dāng)然也不可能成為有競爭力的解決方案?；诮巧? VLAN 關(guān)聯(lián)具有很大的吸引力，因?yàn)樗梢蕴峁┖侠淼墓ぷ鹘M流量分割，并且更容易與有線網(wǎng)絡(luò)上配置的安全和流量工程策略集成在一起。這種做法無疑需要巨大的資金投入和高昂的運(yùn)營費(fèi)用。在 驗(yàn)證中，客戶機(jī)通過一個無線局域網(wǎng)交換機(jī)驗(yàn)證至 RADIUS 服務(wù)器。無線局域網(wǎng)交換機(jī)發(fā)送一條 EAP RequestID，即用戶身份請求信息給 客戶機(jī)。這條信息可以識別不同的用戶屬性，如角色和訪問權(quán)限。在收到 EAP Success 信息后，客戶機(jī)將啟動動態(tài)主機(jī)配置協(xié)議，并從基于角色的 VLAN上獲得一個 IP 地址。在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)中，一定要依據(jù)地址分配和 VLAN 劃分原理 來進(jìn)行網(wǎng)絡(luò)規(guī)劃，還需要認(rèn)真研究實(shí)際情況，考慮網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)運(yùn)行、管理、安全和升級等諸方面因素，形成一套合理、適當(dāng)?shù)牡刂贩峙浜?VLAN 規(guī)劃方案，這將會大大提高網(wǎng)絡(luò)的整體性能，給網(wǎng)絡(luò)管理帶來許多方便。對于網(wǎng)絡(luò)建設(shè)中 VLAN 規(guī)劃有著進(jìn)一步的認(rèn)識，讓我了解到理論聯(lián)系實(shí)際的重要性。 使用該信息，無線局域網(wǎng)交換機(jī)便將客戶機(jī)分置于授權(quán)狀態(tài)下，并發(fā)送一條 EAP Success 信息。此后，無線局域網(wǎng)交換機(jī)將 EAP ResponseID封包為一條 RADIUS 訪問請求信息，并將其轉(zhuǎn)發(fā)給 RADIUS 服務(wù)器。 一旦與接入點(diǎn)之間的關(guān)聯(lián)建立完成，無線局域網(wǎng)交換機(jī)將客戶機(jī)置于未授權(quán)狀態(tài)下。它還可以支持多種類型的服務(wù)器規(guī)則，并從中引申出用戶角色，如 RADIUS 服校園網(wǎng)中 VLAN 的劃分與配置 20 務(wù)器 發(fā)出的訪問接受信息中的 RADIUS 屬性。這樣，當(dāng)用戶進(jìn)入無線局域網(wǎng)時，系統(tǒng)可根據(jù)驗(yàn)證服務(wù)器上已經(jīng)配置好的屬性，將用戶分配至不同 VLAN 內(nèi)的不同工作組中。 使用可擴(kuò)展驗(yàn)證協(xié)議（ EAP)來中繼局域網(wǎng)基站（請求者）、以太網(wǎng)交換機(jī)或無線接入點(diǎn)（驗(yàn)證者）與 RADIUS 服務(wù)器（驗(yàn)證服務(wù)器）之間的端口訪問請求。一位財(cái)務(wù)部的無線用戶可能要安全地連接至財(cái)務(wù) VLAN，使用的是一種安全鏈接加密方法，如 WiFi 受保護(hù)訪問。所有這些廠商的交換器和 IP PBX設(shè)備都支持 ，這就隔離了 IP 語音流進(jìn)入其自己的 VLAN。 DEC 的確使用了大量的廣播流量，可將這些流量置于其自己的 VLAN 上，因而 DEC 數(shù)據(jù)流只能夠到達(dá)一定的網(wǎng)段?？朔艘恍┙徊鎻S商的 VLAN 配置問題之后，現(xiàn)在可以在校園的任意地方漫游，無論是連接到 Cisco 還是 Enterasys 交換器上，都可以保持連接 在同一VLAN 上。 如果沒有對無線流量進(jìn)入自己的 VLAN 進(jìn)行隔離，那么對于希望在校園范圍內(nèi)保持網(wǎng)絡(luò)連接的移動用戶來說，它將成為一場噩夢。 這種配置方式使法官和律師在不同的法庭中都可以進(jìn)行工作。這種方法可以利用一系列標(biāo)準(zhǔn)的驗(yàn)證方法，如基于 HTTP 捕獲端口和 等可選驗(yàn)證機(jī)制來判斷出正確的 VLAN 用戶身份。 （ 1） VLAN 的無線接入 隨著越來越多的公司推出其無線網(wǎng)絡(luò)，人們最關(guān)心的問題恐怕就是如何將無線用戶接入適當(dāng)?shù)挠芯€ VLAN。 六年前引進(jìn) VLAN 的時候，多數(shù) VLAN 都是基于 IEEE 和 標(biāo)準(zhǔn)的。用交換機(jī)代替路由器實(shí)現(xiàn) VLAN 間通信的方式也有兩種，其一，就是啟用交換機(jī)的路由功能，這種方式的實(shí)現(xiàn)方法可采用以上介紹的路由器方式的任一種。 通過路由器的邏輯子接口與交換機(jī)的各個 VLAN 連接 這種連接方式要求路由器和交換機(jī)的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。 通過路由器的不同物理接口與交換機(jī)上的每個 VLAN 分別連接 這種方式的優(yōu)點(diǎn)是管理簡單，缺點(diǎn)是網(wǎng)絡(luò)擴(kuò)展難度大。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成路由功能的設(shè)備主要有路由器和三層以上的交換機(jī)。而為了獲取 MAC 地址， TCP/IP 協(xié)議下使用 ARP 地址協(xié)議解析 MAC 地址的方法是通過廣播報(bào)文來實(shí)現(xiàn)的，如果廣播報(bào)文無法到達(dá)目的地，那么就無從解析 MAC 地址，亦即無法