【正文】 機中的執(zhí)行過程，同時我們也可以清楚的看出三層交換機是如何充分把傳統(tǒng)交換機和路由器的優(yōu)勢有機的結合在一起。需要說明的是，三層引擎中的路由表項大都是 通過軟件設置的。由于芯片內部的三層引擎中已經(jīng)保存站點 A、 B 的路由信息，以后站點 A、 B 之間進行通信或其它網(wǎng)段的站點想要與 A、 B 進行通信，交換芯片則會直接把包從三層硬件表項中指定的端口轉發(fā)出去，而不必再把包交給 CPU 處理。若查找網(wǎng)段路由表也沒有找到匹配表項，則交換芯片會把包送給 CPU 處理，進行軟路由。這個表存放網(wǎng)段地 址、下一跳 MAC 地址、端口號等信息。若找到一條匹配表項，就會在對報文進行一些操作（例如目的 MAC 與源 MAC 替換、 TTL 減 1 等）之后將報文從表中指定的端口轉發(fā)出去。交換機收到這個包以后，同樣首先進行源 MAC 地址學習，目的 MAC 地址查找，由于此時目的 MAC 地址為交換機的 MAC 地址，在這種情況下將會把該報文送到交換芯片的三層引擎處理。當發(fā)送站 A 對“缺省網(wǎng)關”的 IP 地址廣播出一個 ARP 請求時，交換機就向發(fā)送站 A 回一個 ARP 回復報文，告訴站點 A 交換機此 VLAN 的 MAC 地址，同時可以通過軟件把站點 A 的 IP 地址、MAC 地址、與交換機直接相連的端口號等信息設置到交換芯片的三層硬件表項局域網(wǎng)網(wǎng)絡優(yōu)化 11 中。 過程 如上例，站點 A、 B 通過三層交換機進行通信。還必須說明的一點是，當查找 MAC 地址表的時候發(fā)現(xiàn)找不到匹配表項，該報文又不是廣播或多播報文，此時此報文被稱為 DLF（ Destination Lookup Failure）報文 ,交換機對此類報文的處理就象對收到一個廣播報文處理一樣，將此報文從進入端口所屬的 VLAN 中擴散出去。通過以上一次 ARP 過程，交換芯片就把站點 A 和 B 的信息保存在其 MAC 地址表中。 B 站點收到這個 ARP 請求報文之后，會立刻發(fā)送一個 ARP回復報文，這個報文是一個單播報文，目的地址為站點 A 的 MAC 地址。該 ARP 請求報文進入交換機后，首先進行源 MAC 地址學習，芯片自動把站點 A 的 MAC 地址以及進入交換機的端口號等信息填入到芯片的 MAC 地址表中，然后在 MAC 地址表中進行目的地址查找。若目的站 B 與發(fā)送站 A 在同一子網(wǎng)內，則進行二層的轉發(fā)。目前，三層交換機在企業(yè)網(wǎng)/校園網(wǎng)建設、智能社區(qū)接入等等許多場合中得到了大量的應用，市場的需求和技術的更新推動這種應用向縱深發(fā)展。 在今天的網(wǎng)絡建設中，新出現(xiàn)的三層交換機已成為我們的首選。三層交換機采用硬件技術實現(xiàn)對報文的路由和轉發(fā) ,同時采用快速的背板交換技術 ,使得三層交換機所提供的報文路由轉發(fā)的效率要比傳統(tǒng)的路由器高出許多倍。 所謂第三層交換技術 ,簡單的理解就是利用交換技術實現(xiàn)了第三層的功能。經(jīng)過多年發(fā)展，第三層交換技術已經(jīng)成為構建多業(yè)務融合網(wǎng)絡的主要力量。采用這一技術，我們可以最多采用 4 條千兆線路，得到主干上的4Gbps（全雙工 8Gbps）高速通道。由于 Trunking 實時平衡各個交換機端口和服務器接口的流量，一旦某個端口出現(xiàn)故障，它會自動把故障端口從 Trunking 組中撤消，進而重新分配各個 Trunking 端口的流量，從而實現(xiàn)系統(tǒng)容錯。 (3),Trunking 可以捆綁任何相關的端口，也可以隨時取消設置，這樣提供了很高的靈活性。 局域網(wǎng)網(wǎng)絡優(yōu)化 9 Trunking 的優(yōu)點 (1),價格便宜，性能接近千兆以太網(wǎng)。 打比喻來說，鏈路聚合就如同超市設置多個收銀臺以防止收銀臺過少而出現(xiàn)消費者排隊等候過長的現(xiàn)象。 在 Cisco 的交換機上，還同時支持在 EtherChannel 方式下使用 Trunking。 當交換機支持 Trunking 的時候，事情就簡單了，只需要 2 個交換機之間有一條級聯(lián)線，并將對應的端口設置為 Trunk，這條線路就可以承載交換機上所有VLAN 的信息。 VLAN20 也是這樣。 與一般的交換機的級聯(lián)不同， Trunking 是基于 OSI 第二層的。其中交換機之間互聯(lián)用的端口就稱為 Trunk 端口。通過虛擬網(wǎng)設置的訪問控制，使在虛擬 網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內節(jié)點。 由以上運行機制帶來的網(wǎng)絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。 VLAN 技術小結 虛擬網(wǎng)技術 (VLAN)主要基于近年發(fā)展的局域網(wǎng)交換技術（ ATM 和以太網(wǎng)交局域網(wǎng)網(wǎng)絡優(yōu)化 8 換）。由于 VLAN 數(shù)量的增多、路由協(xié)議等技術的引入，此時的網(wǎng)絡會比二層平面交換網(wǎng)絡要復雜，對網(wǎng)絡技術人員的要求更高，管理維護成本會有所增加。 如果使匯聚層交換機的性能遠高于接入層的交換機，那么由 VLAN 的廣播(多由病毒引起 )所引起的整網(wǎng)癱瘓問題就基本解決了。要想避免核心交換機受到各個 VLAN 的影響、減小影響范圍、避免全網(wǎng)癱瘓的發(fā)生，很容易想到在核心交換機和劃有 VLAN 的交換機之間加上一層，以隔離核心交換機和各個 VLAN。用三層技術代替二層的功能有很多優(yōu)點，主要表現(xiàn)在 :結構更加清晰、控制更加豐富、擴展更加靈活、網(wǎng)絡更加穩(wěn)定、實現(xiàn)更加容易。這個問題正是本文涉及的核心問題，也是針對規(guī)劃、部署 VLAN 提出的新觀點 :在網(wǎng)絡中，特別是較大型網(wǎng)絡，不要企圖利用 VLAN 去實現(xiàn)不同物理位置上計算機的互聯(lián)互通，互通性要由路由策略去實現(xiàn)。盡管受單個 VLAN 影響的程度和范圍均變小，但共享鏈路的長度和強度并沒有本質的變化。 有人可能會說，把核心交換機從二層提到了三層，性能會下降。由于 VLAN1(VLAN2 也是這樣 )的范圍跨越了整個網(wǎng)絡，如果把所有 VLAN 的覆蓋面都限定在核心交換機的同一側，這些資源被共享的程度不就減輕了嗎 ? 由于在這種結構中不存在跨越核心交換機的虛網(wǎng)，因此各 VLAN 的廣播包就不會穿過核心交換機，但這些 廣播包卻均能到達核心交換機，同時核心交換機上還會有 ACL 允許的 VLAN 間的正常數(shù)據(jù)流通過。不同物理位置上的交換機上的端口盡量不要劃歸到同一個VLAN。我們所做的努力只能盡量減少相互影響的范 圍、降低相互影響的程度。這在各網(wǎng)絡拓撲層交換機的性能相差不多的情況下尤為嚴重。這時被感染 VLAN(如 VLAN1)中的大量數(shù)據(jù)幀將擠占該 VLAN 所及的所有交換機的 CPU 資源、背板帶寬，并長時間占用物理鏈路，其他 VLAN(如 VLAN2)中的設備盡管“看”不到出現(xiàn)異常 VLAN 中的數(shù)據(jù)幀，但其所依賴的網(wǎng)絡資源已被用盡，因此， VLAN1 所覆蓋的網(wǎng)絡區(qū)域就會出現(xiàn)異常。 VLAN 在“廣播共享”網(wǎng)絡資源時的相互影響要比“路由共享”時更大。 VLAN 對交換機和鏈路的共享可分為兩種類型 :一種是“廣播共享”，即 VLAN 劃定的廣播域貫局域網(wǎng)網(wǎng)絡優(yōu)化 6 穿共享設備和鏈路 (如圖 1 所示 )，換句話說廣播共享是二層的共享。網(wǎng)絡拓撲僅對由軟件所建立的 VLAN 有所限制。這種影響是如何產(chǎn)生的呢 ?VLAN 是通過將一個物理拓撲 中的兩個或多個節(jié)點通過邏輯組合而形成的，要想實現(xiàn)這種邏輯的組合就必須使用支持VLAN 的交換設備，但真正提供 VLAN 功能的是這些設備內部的軟件。本文就這個問題談一談自己的看法，供同行們參考。 另外， VLAN 具有靈活性和可擴張性等特點，方便于網(wǎng)絡維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術能夠提高網(wǎng)絡運行效率。不同的 VLAN 之間的數(shù)據(jù)傳輸是 通過第三層（網(wǎng)絡層）的路由來實現(xiàn)的，因此使用 VLAN 技術，結合數(shù)據(jù)鏈路層和網(wǎng)絡層的交換設備可搭建安全可靠的網(wǎng)絡。 傳統(tǒng)的共享介質的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域局域網(wǎng)網(wǎng)絡優(yōu)化 5 中，會引起網(wǎng)絡性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網(wǎng)絡安全只能在第三層的路由器上實現(xiàn)。 VLAN 可以根據(jù)網(wǎng)絡用戶的位 置、作用、部門或者根據(jù)網(wǎng)絡用戶所使用的應用程序和協(xié)議來進行分組。 2 網(wǎng)絡優(yōu)化新技術介紹 VLAN 技術 VLAN 技術簡介 VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡用戶的邏輯分段，不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡分段。我們通過在會聚三層交換機和客戶端軟件配合，如果發(fā)現(xiàn)有假冒的 DHCP SEVER，將立即封掉該賬戶，讓他不能享用網(wǎng)絡資源?，F(xiàn)在遇到的除了代理外還有假冒 DHCP SEVER 和假冒 IP、 MAC 給學校的運營管理帶來很大的麻煩。 (6),專業(yè)打假 。使用我們的三層交換機上的 客戶端，就能防止非認證的用戶借助代理軟件從已認證的端口使用服務或訪問網(wǎng)絡資源，需偵測出被代理用戶和代理服務器之間代理關系，已認證通過的客戶 端被當作代理服務器使用。 目前，在校園網(wǎng)網(wǎng)絡建設中，利用客戶端所在機器上安裝代理服務器軟件實現(xiàn)多人共用一個賬號上網(wǎng)的現(xiàn)象非常普遍，如 Wingate、 Sygate、Windows 提供的網(wǎng)絡共享功能或是使用 SOHO 路由器實現(xiàn)網(wǎng)絡共享。正確引導學生使用網(wǎng)絡，確保學生不受不良網(wǎng)絡的影響。包括：只有用戶持有 USB 密鑰和密碼才能在指定電腦上網(wǎng)，禁止使用指定的應用程式，禁止或只運行瀏覽指定的網(wǎng)站，鎖定工作站和登出、重啟或關閉工作站并對所監(jiān)控的數(shù)據(jù)進行分析歸類。 使用三層交換機的網(wǎng)絡監(jiān)控軟件，實現(xiàn)了對網(wǎng)絡的 即時監(jiān)控，這些監(jiān)控包括：實時記錄電腦工作臺的屏幕快照；通過重播器可隨時播放已記錄的歷史畫面；可自由選擇每次記熒幕快照的時間間隔；同時監(jiān)控一個或多個工作站等多種功能。是首家把寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機，能把以前防火墻想做的卻一直做不到的事做到了，即把出網(wǎng)訪問安全控制前移到用戶的接入點。 (4),安全監(jiān)控 。如果沒有殺掉繼續(xù)關閉，然后以 2 小時為時間段循環(huán)檢測，直到病毒被殺掉 。我們通過在交換機上設置相應的病毒策略，配合我們的認證客戶端軟件，能具體偵測到具體的計算機上有病毒。在整個網(wǎng)絡中一旦有一個計算機中了病毒，病毒就會在網(wǎng)絡中迅速傳播，導致整個網(wǎng)絡癱瘓 ，給校園網(wǎng)絡的維護帶來極大的麻煩。 (3),病毒防范 。各單位安全管理分級負責的組織體系建設仍然是必要的。目前普遍認為校園網(wǎng)安全管理工作應該由網(wǎng)絡 /信息/計算中心承擔，但是事實上，安全管理工作非常復雜，可能涉及各單位人員和業(yè)務， 因此必須由學校具有決策權的機構和領導組織和協(xié)調各單位的管理工作，局域網(wǎng)網(wǎng)絡優(yōu)化 3 比如，成立信息安全管理委員會和專門的辦公室。安全政策應該讓所有的校園網(wǎng)用戶知道，對校園網(wǎng)用戶，無論是內部單位還是學生個人，都可以以簽署入網(wǎng)協(xié)議的形式讓用戶知道學校的安全管理政策，一方面起到提高安全意識的作用，同時明確責任和義務，便于對安全事故的處理。目前很多學校以安全 管理規(guī)定、安全條例、安全管理辦法等形式發(fā)布。 防范對策 (1),加強校園網(wǎng)安全管理政策建設。在這樣的情況下， Inter 資源被嚴重浪費。 除此之外， Inter 非法內容也形成了對網(wǎng)絡的另一大威脅。 網(wǎng)絡面臨的威脅 與其它網(wǎng)絡一樣，校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡中數(shù)據(jù)信息的危害和對網(wǎng)絡設備的危害。目前，很多學校都建成了校園網(wǎng)，并通過各種方式聯(lián)入了互聯(lián)網(wǎng)。 商丘職業(yè) 校園網(wǎng)絡系統(tǒng)建于 2020年 5月，網(wǎng)絡內所有交換設備均使用 3COM公司的交換機，這些網(wǎng)絡設備都不算落后，可以支持目前的主流以太網(wǎng)技術，但是網(wǎng)絡缺乏合理規(guī)劃和有效管理，一方面造成硬件資源利用不充分，降低了網(wǎng)絡的性能，更重要的是網(wǎng)絡存在著嚴重的安全性和可靠性隱患。即要考慮最大限度地滿足學校目前教學及管理工作的需要，又要考慮學校事業(yè)發(fā)展所帶來的需求增長。據(jù)統(tǒng)計，目前有超過 70%的在使用網(wǎng)絡設備運行在設備出廠的默認配置中，也就是說，大部分客戶在網(wǎng)絡建設時只注重追求高性能的網(wǎng)絡設備，但在使用過程中卻缺乏了根據(jù)實際情況對網(wǎng)絡進行合理規(guī)劃和有效管理，導致網(wǎng)絡設備很多很有用的功能都無法在網(wǎng)絡系統(tǒng)中發(fā)揮作用。 關鍵詞 校園網(wǎng) /VLAN 技術 /網(wǎng)絡 優(yōu)化 局域網(wǎng)網(wǎng)絡優(yōu)化 II LAN NETWORK OPTIMIZATION ABSTRACT A high performance, high reliability of the work system, in addition to must want to have advanced work equipment, but also have systematic work planning a