【文章內(nèi)容簡(jiǎn)介】 口沒(méi)有一一對(duì)應(yīng)的關(guān)系。（有關(guān)VLAN技術(shù)將在后面詳細(xì)介紹）具體一臺(tái)具有三層功能的交換機(jī)對(duì)幀是二層還是三層交換應(yīng)遵循以下規(guī)則。IP網(wǎng)絡(luò)的規(guī)則：1. 相同網(wǎng)段內(nèi)部的通信，通過(guò)二層功能完成互通，當(dāng)主機(jī)與對(duì)端主機(jī)通信的時(shí)候，根據(jù)自身的IP地址和子網(wǎng)掩碼來(lái)確定對(duì)方是否在系統(tǒng)網(wǎng)段內(nèi)，如果判定在相同網(wǎng)段內(nèi)，則直接通過(guò)ARP查找對(duì)方的MAC地址，然后把對(duì)方的MAC地址填入以太網(wǎng)幀頭的目的MAC地址域；2. 不同網(wǎng)段的主機(jī)通信的時(shí)候，主機(jī)發(fā)現(xiàn)對(duì)方在不同的網(wǎng)段內(nèi)，則主機(jī)就會(huì)自動(dòng)借助網(wǎng)關(guān)來(lái)進(jìn)行通信，主機(jī)首先通過(guò)ARP來(lái)查找設(shè)定的網(wǎng)關(guān)的MAC地址，然后把網(wǎng)關(guān)的MAC地址（而不是對(duì)方主機(jī)的MAC地址，因?yàn)橹鳈C(jī)認(rèn)為通信對(duì)端不是本地主機(jī)）填入以太網(wǎng)幀頭的目的MAC地址域。根據(jù)以上規(guī)則，三層交換機(jī)根據(jù)以太網(wǎng)幀的目的MAC地址域的地址來(lái)判斷是進(jìn)行二層轉(zhuǎn)發(fā)還是三層轉(zhuǎn)發(fā)，如果是給某個(gè)VLAN指定的路由接口的MAC地址，則進(jìn)行三層轉(zhuǎn)發(fā)，否則在VLAN內(nèi)部進(jìn)行二層轉(zhuǎn)發(fā)。3 VLAN技術(shù)和網(wǎng)絡(luò)安全 VLAN技術(shù)概述虛擬局域網(wǎng)（VLAN——Virtual Local Area Network）邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個(gè)物理上實(shí)際的網(wǎng)絡(luò)劃分成多個(gè)小的邏輯的網(wǎng)絡(luò)。這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)VLAN。例如幾個(gè)部門(mén)都使用一個(gè)中心交換機(jī)，但是各個(gè)部門(mén)屬于不同的VLAN，形成各自的廣播域，廣播報(bào)文不能跨越這些廣播域傳送。虛擬局域網(wǎng)將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成一個(gè)局域網(wǎng)內(nèi)，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。VLAN與傳統(tǒng)的LAN相比，具有以下優(yōu)勢(shì)：1. 減少移動(dòng)和改變的代價(jià)即所說(shuō)的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)的完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來(lái)了極大的好處，一個(gè)用戶，無(wú)論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 當(dāng)然，并不是所有的VLAN定義方法都能做到這一點(diǎn)。2. 虛擬工作組模型使用VLAN的最終目標(biāo)就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個(gè)部門(mén)的就好像在同一個(gè)LAN上一樣，很容易的互相訪問(wèn)，交流信息，同時(shí)，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個(gè)人如果從一個(gè)辦公地點(diǎn)換到另外一個(gè)地點(diǎn)，而他仍然在該部門(mén)，那么，該用戶的配置無(wú)須改變；同時(shí)，如果一個(gè)人雖然辦公地點(diǎn)沒(méi)有變，但他更換了部門(mén)，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境，當(dāng)然，這只是一個(gè)理想的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他方面的支持。3. 限制廣播包，提高帶寬的利用率：有效地解決了廣播風(fēng)暴帶來(lái)的性能下降問(wèn)題。一個(gè)VLAN形成一個(gè)小的廣播域，同一個(gè)VLAN成員都在由所屬VLAN確定的廣播域內(nèi)，那么，當(dāng)一個(gè)數(shù)據(jù)包沒(méi)有路由時(shí)，交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機(jī)的端口，這樣，就將數(shù)據(jù)包限制到了一個(gè)VLAN內(nèi)，在一定程度上可以節(jié)省帶寬。4. 增強(qiáng)通訊的安全性：一個(gè)VLAN的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè)VLAN，這樣，其他VLAN的用戶的網(wǎng)絡(luò)上是收不到任何該VLAN的數(shù)據(jù)包，這樣就確保了該VLAN的信息不會(huì)被其他VLAN的人竊聽(tīng)，從而實(shí)現(xiàn)了信息的保密。5. 增強(qiáng)網(wǎng)絡(luò)的健壯性：當(dāng)網(wǎng)絡(luò)規(guī)模增大時(shí)，部分網(wǎng)絡(luò)出現(xiàn)問(wèn)題往往會(huì)影響整個(gè)網(wǎng)絡(luò)，引入VLAN之后，可以將一些網(wǎng)絡(luò)故障限制在一個(gè)VLAN之內(nèi)。由于VLAN是邏輯上對(duì)網(wǎng)絡(luò)進(jìn)行劃分，組網(wǎng)方案靈活，配置管理簡(jiǎn)單，降低了管理維護(hù)的成本。 VLAN的劃分方式按照上面的概念，VLAN是交換機(jī)上的一個(gè)集合，該集合的元素就是端口。我們用一個(gè)VLAN標(biāo)識(shí)來(lái)表示該集合，這樣當(dāng)在交換機(jī)上創(chuàng)建一個(gè)集合后，就開(kāi)始確定其中的元素（端口）。下面是確定元素的最重要的幾種方式： 基于端口的VLAN最簡(jiǎn)單，也是最直接的方式就是手工指定，這種方式也是最容易理解的。這也是最常用的方法，因?yàn)檫@種方法特別的靈活，新增用戶只要連接到屬于某個(gè)VLAN的端口，就可以在這個(gè)VLAN中進(jìn)行內(nèi)部通信，該用戶若是想離開(kāi)這個(gè)VLAN，只要斷開(kāi)與這個(gè)端口的連接就可以了。也就是說(shuō)，一旦在交換機(jī)上創(chuàng)建一個(gè)VLAN，我們可以手工指定該VLAN包含哪些端口。在該方式下，我們只要在交換機(jī)上進(jìn)行一些簡(jiǎn)單的配置就可以了。具體如圖31和表31所示： 圖31 基于端口劃分VLAN表31 端口與VLAN對(duì)應(yīng)關(guān)系端口所屬VLANE1VLAN 5E2VLAN 10．．．．．．．．．．．．E7VLAN 5．．．．．．．．．．．．E10VLAN 10 基于MAC地址的VLAN在基于端口的VLAN方式下，我們?cè)诮粨Q機(jī)上進(jìn)行了設(shè)置，來(lái)決定VLAN包含那些端口。但有些情況下，我們希望把終端系統(tǒng)進(jìn)行分類(lèi)，使它們屬于指定的VLAN。這時(shí)候，我們可以手工建立終端系統(tǒng)的標(biāo)識(shí)跟VLAN之間的關(guān)系。在以太網(wǎng)上，MAC地址可以唯一的標(biāo)識(shí)一個(gè)終端系統(tǒng)，于是，就建立MAC地址跟VLAN之間的對(duì)應(yīng)關(guān)系,如圖32和表32所示:圖32 基于MAC地址劃分VLAN交換機(jī)僅僅根據(jù)這個(gè)MAC地址跟VLAN之間的對(duì)應(yīng)關(guān)系，不能創(chuàng)建VLAN跟端口的對(duì)應(yīng)關(guān)系，我們于是聯(lián)想到交換機(jī)內(nèi)部的另外一個(gè)關(guān)系：MAC地址跟端口之間的關(guān)系（也就是CAM表，交換機(jī)根據(jù)該表格進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)）。根據(jù)這樣兩個(gè)關(guān)系，交換機(jī)可以創(chuàng)建VLAN跟端口號(hào)之間的對(duì)應(yīng)關(guān)系了，具體過(guò)程如下：表32 MAC地址與VLAN對(duì)應(yīng)關(guān)系MAC地址所屬VLANMAC AVLAN 5MAC BVLAN 10MAC CVLAN 5MAC DVLAN 101. 交換機(jī)把手工創(chuàng)建的MAC地址跟VLAN號(hào)之間的對(duì)應(yīng)關(guān)系下載到本地；2. 從該對(duì)應(yīng)關(guān)系中讀出一行，如果該行對(duì)應(yīng)的VLAN不存在，則創(chuàng)建該VLAN，然后以MAC地址為索引依據(jù)，到CAM表中查找對(duì)應(yīng)的端口號(hào)，把找到的端口號(hào)加入剛剛創(chuàng)建的VLAN；3. 若讀出的該行所包含的 VLAN已經(jīng)存在，則僅僅依據(jù)MAC地址查詢CAM表，把找到的端口號(hào)加入已經(jīng)存在的VLAN里面；4. 重復(fù)這個(gè)過(guò)程，直到該對(duì)應(yīng)關(guān)系掃描完畢。 基于第三層協(xié)議的VLAN有些情況下，人們往往對(duì)網(wǎng)絡(luò)做一些限制，讓網(wǎng)絡(luò)上的終端系統(tǒng)只運(yùn)行一種網(wǎng)絡(luò)協(xié)議，比如，在一個(gè)有大量NOVELL服務(wù)器的網(wǎng)絡(luò)上，可能只存在IPX協(xié)議，這樣做的目的主要是節(jié)省資源，因?yàn)槿绻\(yùn)行其他的路由協(xié)議，一些服務(wù)進(jìn)程會(huì)跟所有運(yùn)行的協(xié)議綁定，這樣該服務(wù)就會(huì)通過(guò)該協(xié)議對(duì)應(yīng)的廣播地址（比如，）發(fā)送通告消息，以表明自己的存在。這樣必然產(chǎn)生大量的廣播包，嚴(yán)重浪費(fèi)資源。在這些情況下，人們可以根據(jù)運(yùn)行的協(xié)議不同來(lái)劃分VLAN，如下面圖33和表33所示。在該種方式下，只要告訴交換機(jī)，上層協(xié)議跟VLAN之間的對(duì)應(yīng)關(guān)系即可，比如，我們把所有運(yùn)行IPX的計(jì)算機(jī)都劃分到VLAN 5里面，只要告訴交換機(jī)（通過(guò)命令行的方式）IPX和VLAN 5的對(duì)應(yīng)關(guān)系即可。完成這樣的配置之后，交換機(jī)就進(jìn)行下列工作：1. 交換機(jī)檢查每個(gè)端口上接收到的數(shù)據(jù)幀，判斷該數(shù)據(jù)幀的類(lèi)型字段，如果該類(lèi)型字段是IPX，則馬上把接收到該數(shù)據(jù)幀的端口加入VLAN 5中；2. 如果從端口上接收到的數(shù)據(jù)幀的協(xié)議類(lèi)型字段不是IPX，則根據(jù)通常的步驟進(jìn)行轉(zhuǎn)發(fā)。這個(gè)過(guò)程延續(xù)下來(lái)，交換機(jī)就會(huì)把所有接收到IPX包的端口加入到VLAN 5里面去了。圖33 基于協(xié)議類(lèi)型劃分VLAN表33　協(xié)議類(lèi)型與VLAN對(duì)應(yīng)關(guān)系協(xié)議類(lèi)型所屬VLANIPX協(xié)議VLAN 5IP協(xié)議VLAN 10．．．．．．．．．．．． 基于組播組的VLAN在前面介紹交換機(jī)的時(shí)候，曾經(jīng)介紹了交換機(jī)對(duì)組播數(shù)據(jù)幀的轉(zhuǎn)發(fā)方式，交換機(jī)內(nèi)部維護(hù)一個(gè)組播轉(zhuǎn)發(fā)表，該表的內(nèi)容是一個(gè)組播地址和一個(gè)接口列表，該表是根據(jù)一些二層組播協(xié)議建立的，比如IGMP窺探，CGMP，GMRP等。實(shí)際上，可以把某個(gè)組播地址對(duì)應(yīng)的接口列表劃分到一個(gè)VLAN里面。在該種模式下，我們需要做的就是在交換機(jī)上給出組播MAC地址和VLAN的對(duì)應(yīng)關(guān)系，比如，我們給出組播MAC地址01010E1E8E98對(duì)應(yīng)VLAN100，于是交換機(jī)馬上創(chuàng)建VLAN100，根據(jù)給出的組播地址查詢組播CAM表，把找到的接口列表中的所有接口都劃分到VLAN100里面。 基于子網(wǎng)的VLAN 這種方法顧名思義，就是根據(jù)不同的子網(wǎng)網(wǎng)段來(lái)劃分VLAN，這種劃分VLAN的方法，在整體思路上顯得很清晰。此方法適合子網(wǎng)較多且掩碼位數(shù)相同的組網(wǎng)設(shè)計(jì)拓?fù)浣Y(jié)構(gòu)。圖34 基于子網(wǎng)劃分VLAN 表34 子網(wǎng)與VLAN對(duì)應(yīng)關(guān)系IP網(wǎng)絡(luò)所屬VLANIP VLAN 5IP VLAN 10．．．．．．．．．．．． 基于策略的VLAN這是最復(fù)雜的一種VLAN劃分方式，也是最靈活的劃分方式。在該種方式下，可以定義一定的策略（所謂策略，就是一些限制條件），交換機(jī)對(duì)每個(gè)接口進(jìn)行檢查，凡是滿足策略的接口都會(huì)添加到該組策略對(duì)應(yīng)的VLAN中。這種VLAN的定義方式十分靈活，但效率不是很高，因?yàn)榻粨Q機(jī)需要檢查每個(gè)接口，判斷該接口是否滿足配置的策略，對(duì)策略的匹配是一項(xiàng)很耗時(shí)的工作。在上面的介紹中，可以看出，所有創(chuàng)建的VLAN都是集中在一個(gè)交換機(jī)上的，但實(shí)際中往往有這樣的情況，就是一個(gè)物理的VLAN，可能跨越了多個(gè)交換機(jī)。在一個(gè)交換機(jī)的情況下，一個(gè)VLAN端口接收到的數(shù)據(jù)可以根據(jù)交換機(jī)內(nèi)部的一張VLAN和端口對(duì)應(yīng)表來(lái)確定該VLAN所有的端口，因而一個(gè)VLAN的數(shù)據(jù)在同一個(gè)交換機(jī)上不可能被錯(cuò)誤轉(zhuǎn)發(fā)到另外一個(gè)VLAN當(dāng)中。但是跨越交換機(jī)的時(shí)候就不是這樣了，假設(shè)有兩個(gè)VLAN和兩個(gè)交換機(jī)，分別記做VLANA和VLANB，SWITCHA和SWITCHB，其中VLANA和VLANB分別跨越了兩個(gè)交換機(jī)，即SWITCHA和SWITCHB上既有VLANA的端口，也有VLANB的端口。在這種情況下，假如SWITCHA上VLANA的一個(gè)端口接收到了一個(gè)廣播數(shù)據(jù)幀，SWITCHA除了往自己上面所有屬于VLANA的端口廣播該數(shù)據(jù)幀以外，還必須通過(guò)SWITCHA和SWITCHB之間的一條鏈路來(lái)傳播該廣播數(shù)據(jù)幀。如果SWITCHB接收到了該廣播數(shù)據(jù)幀，SWITCHB就不知道把該數(shù)據(jù)幀發(fā)往哪個(gè)VLAN的端口，因?yàn)樵搹V播數(shù)據(jù)幀中不包含任何VLAN有關(guān)信息。在這種情況下，可以在發(fā)給另外一個(gè)交換機(jī)的數(shù)據(jù)幀上附加VLAN信息來(lái)區(qū)分?jǐn)?shù)據(jù)幀所屬的VLAN，（簡(jiǎn)稱1Q）幀格式。傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀格式是不包含VLAN信息的，無(wú)法用這種傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀來(lái)傳送VLAN信息，我們要想讓跨越交換機(jī)的VLAN能正常工作，必須重新提出一種幀格式，該幀格式與傳統(tǒng)以太網(wǎng)幀格式不同的是，包含了VLAN信息。 1Q幀格式的結(jié)構(gòu)如圖35所示：圖35 IEEE （TPID）和2個(gè)字節(jié)的標(biāo)簽控制信息（TCI）。TPID（Tag Protocol Identifier）是IEEE定義的新的類(lèi)型。TPID包含了一個(gè)固定的值0x8100。TCI是包含的是幀的控制信息，它包含了下面的一些元素：Priority：這3 位指明幀的優(yōu)先級(jí)。一共有8種優(yōu)先級(jí)，0－7。IEEE 。Canonical Format Indicator( CFI )：CFI值為0說(shuō)明是規(guī)范格式，1為非規(guī)范格式。它被用在令牌環(huán)/源路由FDDI介質(zhì)訪問(wèn)方法中來(lái)指示封裝幀中所帶地址的比特次序信息。VLAN Identified( VLAN ID ): 這是一個(gè)12位的域，指明VLAN的ID，一共4096個(gè)，以指明自己屬于哪一個(gè)VLAN。在一個(gè)交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒(méi)有加上這四個(gè)字節(jié)標(biāo)志的，稱為未標(biāo)記的幀（untagged frame），有些幀加上了這四個(gè)字節(jié)的標(biāo)志，稱為帶有標(biāo)記的幀（tagged frame）。當(dāng)引入這種帶VLAN標(biāo)記的數(shù)據(jù)幀以后，交換機(jī)的端口就有了類(lèi)別了：有些端口能夠且僅僅能夠識(shí)別這種帶VLAN標(biāo)記的數(shù)據(jù)幀，我們把這種端口稱為T(mén)AG端口（標(biāo)記端口），有的端口不能識(shí)別這種帶標(biāo)記的數(shù)據(jù)幀，我們稱為非TAG端口，還有一些端口，不僅能識(shí)別帶標(biāo)記的數(shù)據(jù)幀，而且能識(shí)別不帶標(biāo)記的數(shù)據(jù)幀，這樣的端口我們稱為混合端口。連接兩個(gè)交換機(jī)的端口一般是TAG端口或混合端口。我們把交換機(jī)的端口劃分為T(mén)AG端口，非TAG端口和混合端口，交換機(jī)在不同端口類(lèi)型中轉(zhuǎn)發(fā)數(shù)據(jù)幀的時(shí)候，是這樣處理的：1. 非TAG端口和非TAG端口之間：在這種方式下轉(zhuǎn)發(fā)方式最簡(jiǎn)單，交換機(jī)只根據(jù)內(nèi)部的CAM表找到數(shù)據(jù)幀的出口，把該數(shù)據(jù)幀復(fù)制到出口的緩沖隊(duì)列中即可；2. 非TAG端口和TAG端口之間：該方式下，交換機(jī)首先判斷接收到數(shù)據(jù)幀的端口所屬的VLAN號(hào)，然后根據(jù)該VLAN號(hào)和物理鏈路類(lèi)型，以及數(shù)據(jù)幀的優(yōu)先級(jí)等形成一個(gè)1Q 標(biāo)記，把該標(biāo)記插到接收到的數(shù)據(jù)幀的類(lèi)型/長(zhǎng)度字段前面，然后提交給TAG端口即可；3. TAG端口和TAG端口之間：該情況跟非TAG端口和非TAG端口之間的轉(zhuǎn)發(fā)類(lèi)似，交換機(jī)只把數(shù)據(jù)幀無(wú)改變的向另外一個(gè)TAG端口轉(zhuǎn)發(fā)即可；4. 非TAG端口和混合端口之間：該情況跟非TAG端口和TAG端口之間的轉(zhuǎn)發(fā)過(guò)程類(lèi)似；5. 混合端口和TAG端口之間：該情況最為復(fù)雜，分兩種情況討論：如果接收的數(shù)據(jù)幀本身是個(gè)標(biāo)記幀，則僅僅把該標(biāo)記幀向TAG端口復(fù)制即可；如果接收到的數(shù)據(jù)幀不是標(biāo)記幀，而是一般的以太網(wǎng)數(shù)據(jù)幀，這時(shí)候，需要給該數(shù)據(jù)幀打上一個(gè)VLAN標(biāo)記再向TAG鏈路轉(zhuǎn)發(fā)。交換機(jī)是這樣確定這個(gè)VLAN標(biāo)記的，混合端口有一個(gè)默認(rèn)的VLAN，如果接收到的數(shù)據(jù)幀不包含TAG，則交換機(jī)根據(jù)該端口的默認(rèn)VLAN形成一個(gè)標(biāo)記，并插入到