【正文】 我們?cè)趧澐?VLAN 的時(shí)候，考慮到的是二層通信的隔離，而服務(wù)器對(duì)每臺(tái)設(shè)備也就是每個(gè)樓層的管理靠的是三層的路由，各個(gè)公司如果想臨時(shí)通信的話，可以臨時(shí)在對(duì)應(yīng)的 VLAN 之間建立三層路由來保證通信的暢通。 這個(gè)寫字樓 8層有三個(gè)公司， 網(wǎng)絡(luò)接入用戶較多 ， 所以 本 層的 設(shè)計(jì)采用了 S3050級(jí)聯(lián) 三個(gè) S3026，當(dāng)然也可以選擇 級(jí)聯(lián) S3050，只不過 S3050 的成本比較高 ， 用 S3026 節(jié)省成本 。 S6506 和 S3050 可以提供 48 個(gè)以上的固定電口， S3026擁有 24 個(gè)固定百兆電口，所以能夠滿足每層 24 個(gè)房間的基本需求，余下的端口可以為以后的擴(kuò)容打基礎(chǔ)。 從這個(gè)組網(wǎng)可以看出，每層樓各一臺(tái)交換機(jī)，整個(gè)網(wǎng)絡(luò)以 7 層的 S6506 為核心交換機(jī)，其它各 層的交換機(jī)都用光纖與其相連，而其它交換機(jī)之間的連接用電纜。系統(tǒng)設(shè)計(jì)時(shí)就考慮了各種可能攻擊情況，并作了相應(yīng)的優(yōu)先級(jí)調(diào)度和流控等手段，有效的 保證了可靠性；此外設(shè)計(jì)過程中針對(duì)防火墻的特點(diǎn)，采用了高速處理算法，例如 ACL 高速算法，可以保證無論多少條 ACL，經(jīng)過數(shù)次查找就可以命中。 S3050 和 S3026 均屬于 S3000 系列交換機(jī)，他們有著共同的特點(diǎn)： 支持通過 XModem 協(xié)議實(shí)現(xiàn)加載升級(jí)、 FTP（ File Transfer Protocol）、 TFTP（ Trivial File Transfer Protocol） ，廣播風(fēng)暴抑制，組播技術(shù)，端口匯聚，支持用戶分級(jí)管理（ 4 級(jí)）和口令保護(hù)、 認(rèn)證（基于端口、基于 MAC）。該交換機(jī)還有可選模塊（支持一個(gè)堆疊模塊）： 1 端口百兆以太網(wǎng)多模光接口模塊（ 1310nm,2km,SC)； 1 端口百兆以太網(wǎng)單模光接口模塊（ 1310nm,15km,SC)； 1 端口千兆以太網(wǎng)電接口模塊 (RJ45)； 1 端口千兆以太網(wǎng)多模光接口模塊 (850nm,550m,SC)； 1 端口千兆以太網(wǎng)單模光接口模塊 (1310nm,10km,SC)； 1 端口千兆以太網(wǎng)單模光接口模塊（ 1550nm,40km,LC） ； 1 端口千兆以太網(wǎng)單模光接口模塊（ 1550nm,70km,LC） ； 1 端口 LANSWITCH 堆疊模塊 。豐富的三層特性：支持 IP、 TCP、 UDP、 ICMP， OSPF、 ISIS、 RIP1/ BGP4， IGMP V1\V2，PIMSM\DM 組播協(xié)議， HGMP 集群管理，靜態(tài)路由，用戶分級(jí)管理和 口令保護(hù)，本地認(rèn)證、 Radius 認(rèn)證和擴(kuò)展 認(rèn)證，路由協(xié)議的 MD5 加密認(rèn)證，靈活的本地、遠(yuǎn)程診斷方式。 4 組網(wǎng)方案 組網(wǎng)設(shè)計(jì) 現(xiàn)有一棟 14 層的寫字樓， 每層 24 到 40 個(gè)房間， 其中若干樓層已經(jīng)出租給一些公司，還有兩層有特殊用途 （具體情況下文會(huì)詳細(xì)論述） ，根據(jù)這種情況來設(shè)計(jì)整棟樓的組網(wǎng)方案，首先我們需要以下設(shè)備： 1. S6506 路由交換機(jī) 如圖 41 所示 ： 圖 41 S6506 外觀 這種交換機(jī)定位為中型網(wǎng)絡(luò) LAN 骨干路由交換機(jī)、大型網(wǎng)絡(luò)的匯聚層交換機(jī)、高密度 LAN 的用戶接入交換機(jī)。 3. 線路級(jí)（代理 )防火墻 電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP 握手信息 ,這樣來決定該會(huì)話（ Session）是否合法 ,電路級(jí)網(wǎng)關(guān)是在 OSI 模型中會(huì)話層上來過濾 數(shù)據(jù)包 ,這樣比包過濾防火墻要高二層。 2. 應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)， 防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè) IP 包來自何方，去向何處。 網(wǎng)絡(luò)安全權(quán)限的兩種策略 1. 凡是沒有明確表示允許的就要被禁止； 2. 凡是沒有明確表示禁止的就要被允許。 3. 計(jì)算機(jī)系統(tǒng)使用的場(chǎng)所正在轉(zhuǎn)向工業(yè)、農(nóng)業(yè)、野外、天空、海上、宇宙空間、核輻射環(huán)境，??，這些環(huán)境都比機(jī)房惡劣，出錯(cuò)率和故障的增多必將導(dǎo)致可靠性和安全性的降低。 完成這些配置后，交換機(jī)就可以按照需要的方式工作了。這項(xiàng)工作可以通過許多種途徑實(shí)現(xiàn)，比如，我們上面講到的基于端口的靜態(tài) VLAN 和基于 MAC 地址的 VLAN 等。默認(rèn)情況下，交換機(jī)上只存在一個(gè) VLAN，即 VLAN1，所有端口都屬于該 VLAN。 我們把交換機(jī)的端口劃分為 TAG 端口，非 TAG 端口和混合端口，交換機(jī)在不同端口類型中轉(zhuǎn)發(fā)數(shù)據(jù)幀的時(shí)候，是這樣處理的 ： 1. 非 TAG 端口和非 TAG 端口之間：在這種方式下轉(zhuǎn)發(fā)方 式最簡(jiǎn)單，交換機(jī)只根據(jù)內(nèi)部的 CAM 表找到數(shù)據(jù)幀的出口，把該數(shù)據(jù)幀復(fù)制到出口的緩沖隊(duì)列中即可； 2. 非 TAG 端口和 TAG 端口之間：該方式下，交換機(jī)首先判斷接收到數(shù)據(jù)幀的端口所屬的 VLAN 號(hào)，然后根據(jù)該 VLAN 號(hào)和物理鏈路類型，以及數(shù)據(jù)幀的優(yōu)先級(jí)等形成一個(gè) 1Q 標(biāo)記，把該標(biāo)記插到接收到的數(shù)據(jù)幀的類型 /長(zhǎng)度字段前面，然后提交給 TAG端口即可； 3. TAG 端口和 TAG 端口之間：該情況跟非 TAG 端口和非 TAG 端口之間的轉(zhuǎn)發(fā)類似，交換機(jī)只把數(shù)據(jù)幀無改變的向另外一個(gè) TAG 端口轉(zhuǎn)發(fā)即可； 4. 非 TAG 端口和混合端口之 間：該情況跟非 TAG 端口和 TAG 端口之間的轉(zhuǎn)發(fā)過程類似； 5. 混合端口和 TAG 端口之間：該情況最為復(fù)雜，分兩種情況討論：如果接收的數(shù)據(jù)幀本身是個(gè)標(biāo)記幀，則僅僅把該標(biāo)記幀向 TAG 端口復(fù)制即可；如果接收到的數(shù)據(jù)幀不是標(biāo)記幀，而是一般的以太網(wǎng)數(shù)據(jù)幀，這時(shí)候，需要給該數(shù)據(jù)幀打上一個(gè) VLAN 標(biāo)記再向 TAG 鏈路轉(zhuǎn)發(fā)。 VLAN Identified( VLAN ID ): 這是一個(gè) 12 位的域，指明 VLAN 的 ID，一共 4096個(gè)，每個(gè)支持 協(xié)議的交換機(jī)發(fā)送出來的數(shù)據(jù)包都會(huì)包含這個(gè)域，以指明自己屬于哪一個(gè) VLAN。一共有 8 種優(yōu)先級(jí)， 0－ 7。 1Q 幀格式的結(jié)構(gòu) 如圖 35 所示 ： CRCDat aT y p eSADAT y p e CRCDat ata gSADAV L A N IDCFIP ri o ri tyT P IDT CI標(biāo)準(zhǔn)以太網(wǎng)帶有 IEEE8 0 2 . 1 Q 標(biāo)記的以太網(wǎng) 圖 35 IEEE 幀格式結(jié)構(gòu) 這四個(gè)字節(jié)的 標(biāo)簽頭包含了 2 個(gè)字 節(jié)的標(biāo)簽協(xié)議標(biāo)識(shí) （ TPID） 和 2 個(gè)字節(jié)的標(biāo)簽控制信息 （ TCI） 。在這種情況下，假如 SWITCHA 上 VLANA 的一個(gè)端口接收到了一個(gè)廣播數(shù)據(jù)幀， SWITCHA 除了往自己上面所有屬于 VLANA 的端口廣播該數(shù)據(jù)幀以外，還必須通過 SWITCHA 和 SWITCHB 之間的一條鏈路來傳播該廣播數(shù)據(jù)幀。 這種 VLAN 的定義方式十分靈活，但效率不是很高 ，因?yàn)榻粨Q機(jī)需要檢查每個(gè)接口，判斷該接口是否滿足配置的策略，對(duì)策略的匹配是一項(xiàng)很耗時(shí)的工作。 基于 子網(wǎng) 的 VLAN 這種方法 顧名思義，就是根據(jù)不同的子網(wǎng)網(wǎng)段來劃分 VLAN，這種劃分 VLAN 的方法，在整體思路上顯得很清晰 。 這個(gè)過程延續(xù)下來，交換機(jī)就會(huì)把所有接收到 IPX 包的端口加入 到 VLAN 5 里面去了 。這樣必然產(chǎn)生大量的廣播包，嚴(yán)重浪費(fèi)資源。這時(shí)候，我們可以手工建立終端系統(tǒng)的標(biāo)識(shí)跟 VLAN 之間的關(guān)系。 也就是說，一旦在交換機(jī)上創(chuàng)建一個(gè) VLAN，我們可以手工指定該 VLAN 包含哪些端口。 VLAN的劃分方式 按照上面的概念， VLAN 是交換機(jī)上的一個(gè)集合，該集合的元素就是端口。一個(gè) VLAN 形成一個(gè)小的廣播域，同一個(gè) VLAN 成員都在 由所屬 VLAN 確定的廣播域內(nèi)，那么，當(dāng)一個(gè)數(shù)據(jù)包沒有路由時(shí)，交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有的交換機(jī)的端口，這樣，就將數(shù)據(jù)包限制到了一個(gè) VLAN 內(nèi)，在一定程度上可以節(jié)省帶寬。 2. 虛擬工作組 模型 使用 VLAN 的最終目標(biāo)就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個(gè)部門的就好像在同一個(gè) LAN 上一樣，很容易的互相 訪問，交流信息，同時(shí)，所有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人。例如幾個(gè)部門都使用一個(gè)中心交換機(jī)，但是各個(gè)部門屬于不同的 VLAN，形成各自的廣播域，廣播報(bào)文不能跨越這些廣播域傳送。 IP 網(wǎng)絡(luò)的規(guī)則： 1. 相同網(wǎng)段內(nèi)部的通信，通過二層功能完成互通，當(dāng)主機(jī)與對(duì)端主機(jī)通信的時(shí)候，根據(jù)自身的 IP 地址和子網(wǎng)掩碼來確定對(duì)方是否在系統(tǒng)網(wǎng)段內(nèi)，如果判定在相同網(wǎng)段內(nèi)，則直接通過 ARP 查找對(duì)方的 MAC 地址，然后把對(duì)方的 MAC 地址填入以太網(wǎng)幀頭的目的 MAC 地址域； 2. 不同網(wǎng)段的 主機(jī)通信的時(shí)候，主機(jī)發(fā)現(xiàn)對(duì)方在不同的網(wǎng)段內(nèi)，則主機(jī)就會(huì)自動(dòng)借助網(wǎng)關(guān)來進(jìn)行通信，主機(jī)首先通過 ARP 來查找設(shè)定的網(wǎng)關(guān)的 MAC 地址，然后把網(wǎng)關(guān)的 MAC 地址（而不是對(duì)方主機(jī)的 MAC 地址，因?yàn)橹鳈C(jī)認(rèn)為通信對(duì)端不是本地主機(jī)）填入以太網(wǎng)幀頭的目的 MAC 地址域。 但是從路由器的角度理解的端口和從三層交換機(jī)的角度理解的端口是有所不同：三層交換機(jī)上，在不同的物理端口之間還提供二層交換的功能。 三層交換機(jī)原理 具體地說三層交換機(jī) 是這樣的： 1. 在邏輯上，三層交換和路由是等同的，三層交換的過程就是 IP 報(bào)文選路的過程 2. 三層交換機(jī)與路由器在轉(zhuǎn)發(fā)操作上的主要區(qū)別在于其實(shí)現(xiàn)的方式： （ 1） 三層交換機(jī)通過硬件實(shí)現(xiàn)查找和轉(zhuǎn)發(fā) ； （ 2） 傳統(tǒng)路由器通過微處理器上運(yùn)行的軟件實(shí)現(xiàn)查找和轉(zhuǎn)發(fā) ； （ 3） 三 層交換機(jī)的轉(zhuǎn)發(fā)路由表與路由器一樣， 需要軟件通過路由協(xié)議來建立和維護(hù)。 （ 3） 幀自由模式：交換機(jī)接收完數(shù)據(jù)包的前 64 字節(jié)（一個(gè)最短幀長(zhǎng)度），然后根據(jù)頭信息查表轉(zhuǎn)發(fā)。 6. 一般不對(duì)幀格式進(jìn)行修改 (VLAN 要對(duì)幀格式進(jìn)行修改 ,打上 TAG 標(biāo)簽 ) 交換機(jī)對(duì)接收來的數(shù)據(jù)幀會(huì)采 用 下述 的交換模式 ： 到目前為止，僅有三種交換模式： （ 1） 直通模式：交換機(jī)接收到目的地址即開始轉(zhuǎn)發(fā)過程。 3. 開始的時(shí)候，交換機(jī)的 CAM 表是空的，當(dāng)交換機(jī)接收到第一個(gè)數(shù)據(jù)幀的時(shí)候，查找 CAM 表失敗，于是向所有端口轉(zhuǎn)發(fā)該數(shù)據(jù)幀，在轉(zhuǎn)發(fā)數(shù)據(jù)幀的同時(shí)，交換機(jī)把接收到的數(shù)據(jù)幀的源 MAC 地址和接收端口進(jìn)行關(guān)聯(lián)，形成一項(xiàng)記錄，填寫到 CAM 表中，這個(gè)過程就是學(xué)習(xí)的過程。上面提到了一個(gè)重 要的數(shù)據(jù)結(jié)構(gòu) CAM 表，該表包含了交換機(jī)用來轉(zhuǎn)發(fā)數(shù)據(jù)幀所涉及到的一些信息，對(duì)于交換機(jī)怎樣依據(jù)這個(gè)表格進(jìn)行數(shù)據(jù)幀的交換，上面部分已經(jīng)講明白了。 交換機(jī)根據(jù)接收到的數(shù)據(jù)幀的目的 MAC 地址，來查找該表格，根據(jù)找到的端口號(hào)，把數(shù)據(jù)幀發(fā)送出去。比如接收到一個(gè)數(shù)據(jù)幀以后，交換機(jī)會(huì)根據(jù)數(shù)據(jù)幀頭中的目的 MAC 地址，發(fā)送到適當(dāng)?shù)亩丝?，?HUB 則不然，它把接收到的數(shù)據(jù)幀向所有端口轉(zhuǎn)發(fā)。比如，我們?yōu)槊總€(gè)接口設(shè)計(jì)不止一個(gè)發(fā)送隊(duì)列，假設(shè)設(shè)置三個(gè)，則可以對(duì)這三個(gè)隊(duì)列進(jìn)行優(yōu)先級(jí)劃分，分成低，中，高三個(gè)優(yōu)先級(jí)，然后根據(jù)數(shù)據(jù)幀的優(yōu)先級(jí)字段（在以后介紹 VLAN 的時(shí)候?qū)⒅v述），把數(shù)據(jù)幀放到相應(yīng)的優(yōu)先級(jí)隊(duì)列中。實(shí)際上，這個(gè)背板總線可能是一個(gè)高性能的數(shù)字交叉網(wǎng)絡(luò)。 以太網(wǎng)交換機(jī) 內(nèi)部結(jié)構(gòu) 從外觀上看，以太網(wǎng)交換機(jī)跟 HUB 差不多，也是一個(gè)多端口的深顏色盒子，但端口的數(shù)目可能比 HUB 要多（一般情況下是 24 個(gè)或更多）?，F(xiàn)在來討論一下當(dāng) Length/T 小于或等于 1500 的情況，這種類型就是所謂的ETHERNET_SNAP，是 委員會(huì)制定的標(biāo)準(zhǔn)，雖然目前應(yīng)用不是很廣泛，但是作為一種很有特色的標(biāo)準(zhǔn)，將來必會(huì)大行其道。這種結(jié)構(gòu)便是目前比較流行的ETHERNET_II，大部分計(jì)算 機(jī)都支持這種結(jié)構(gòu)。 如果上層應(yīng)用程序加入一個(gè)組播組，則該應(yīng)用程序會(huì)通知網(wǎng)絡(luò)層，然后網(wǎng)絡(luò)層通知數(shù)據(jù)鏈路層，數(shù)據(jù)鏈路層根據(jù)應(yīng)用程序加入的組播組形成一個(gè)組播 MAC 地址，并把該組播 MAC 地址加入接收地址列表，這樣當(dāng)有針對(duì)該組的數(shù)據(jù)幀的時(shí)候， MAC 子層就接收該數(shù)據(jù)幀并向上層發(fā)送。 DATA/PAD 則是具體的數(shù)據(jù)，因?yàn)橐蕴W(wǎng)數(shù)據(jù)幀的最小長(zhǎng)度必須大于 64 字節(jié)（根據(jù)半雙工模式下最大距離計(jì)算獲得的），所以如果數(shù)據(jù)長(zhǎng)度加上幀頭不足 64 字節(jié)，需要在數(shù)據(jù)部分增加填充內(nèi)容。MAC 地址是一個(gè) 48 比特的數(shù)字，分為下面 三 種類別： 1. 物理 MAC 地址：這種類型的 MAC 地址唯一的標(biāo)識(shí)了以太網(wǎng)上的一個(gè)終端（比如網(wǎng)卡等），實(shí)際上這樣的地址是固化在硬件里面的； 2. 廣播 MAC 地址：這是一個(gè)通用的 MAC 地址，用來表示網(wǎng)絡(luò)上的所有終端設(shè)備； 3. 組播 MAC 地址：這是一個(gè)邏輯的 MAC 地址，來代表網(wǎng)絡(luò)上的一 組終端。 除了完成物理鏈路的訪問以外， MAC 子層還負(fù)責(zé)完成下列任務(wù)： 鏈路級(jí)的站點(diǎn)標(biāo)識(shí)：在數(shù)據(jù)鏈路層識(shí)別網(wǎng)絡(luò)上的各個(gè)站點(diǎn)。需要注意的，這兩種 MAC 都是集成在網(wǎng)卡中的，網(wǎng)卡初始化的時(shí)候一般進(jìn)行自動(dòng)協(xié)商，根據(jù)自動(dòng)協(xié)商的結(jié)果決