【畢業(yè)設(shè)計】智能樓宇網(wǎng)絡(luò)設(shè)計

1、智能樓宇網(wǎng)絡(luò)設(shè)計目錄1 概述11.1 樓宇智能化技術(shù)概況11.2 樓宇智能化技術(shù)中網(wǎng)絡(luò)技術(shù)的概況11.3 研究目標22 局域網(wǎng)技術(shù)32.1 局域網(wǎng)的定義32.2 以太網(wǎng)技術(shù)33 vlan技術(shù)和網(wǎng)絡(luò)安全153.1 vlan技術(shù)概述153.2 vlan的劃分方式163.3 vlan在交換機上的配置223.4 網(wǎng)絡(luò)安全234 組網(wǎng)方案264.1 組網(wǎng)設(shè)計264.2 設(shè)計總結(jié)與展望35參考文獻36謝 辭371 概 述1.1 樓宇智能化技術(shù)概況隨著經(jīng)濟的發(fā)展，人們對生活環(huán)境的安全、高效、舒適提出了要求，應(yīng)運而生的樓宇智能化技術(shù)目前在我國各類建筑中得到了廣泛應(yīng)用，它是集建筑技術(shù)、計算機技術(shù)、自動化技術(shù)、通

2、信技術(shù)以及系統(tǒng)集成技術(shù)為一體的一個新興但發(fā)展又十分迅猛的技術(shù)領(lǐng)域。網(wǎng)絡(luò)技術(shù)發(fā)展更是突飛猛進，計算機網(wǎng)絡(luò)技術(shù)已廣泛應(yīng)用于工業(yè)、商業(yè)、金融、科研、教育、農(nóng)業(yè)及日常生活等方面，已經(jīng)在影響并逐步改變?nèi)藗兊墓ぷ魃罘绞?。智能建筑在國際上又稱為3a建筑，它包括以下幾個部分：bas (building automation system)為樓宇自動化系統(tǒng)、cas (communication automation system) 為通信自動化系統(tǒng)、oas (office automation system)為辦公自動化系統(tǒng)，通過scs (structured cabling system)結(jié)構(gòu)化綜合布線系統(tǒng)

3、把上述三個系統(tǒng)有機結(jié)合起來。中國國家標準智能建筑設(shè)計標準(gb /t50314-2000) 中智能建筑(ib) 的定義是：它是以建筑為平臺，兼?zhèn)浣ㄖO(shè)備、辦公自動化及通訊網(wǎng)絡(luò)系統(tǒng)，集結(jié)構(gòu)、系統(tǒng)、服務(wù)、管理及它們之間的最優(yōu)化組合，給人們提供一個安全、高效、舒適、便利的建筑環(huán)境。樓宇自動化系統(tǒng)是智能建筑中最基本和最重要的組成部分，它利用計算機及其網(wǎng)絡(luò)技術(shù)、自動控制技術(shù)和通信技術(shù)構(gòu)建的高度自動化的綜合管理和控制系統(tǒng)，將大樓內(nèi)部各種設(shè)備連接到一個控制網(wǎng)絡(luò)上，通過網(wǎng)絡(luò)對其進行綜合的控制，這些設(shè)備包括空調(diào)、照明設(shè)備、電梯、消防設(shè)備、安防設(shè)備等等。它確保建筑物 內(nèi)的舒適和安全的辦公環(huán)境，同時實現(xiàn)高效節(jié)能的要

4、求。1.2 樓宇智能化技術(shù)中網(wǎng)絡(luò)技術(shù)的概況智能建筑系統(tǒng)是將大樓內(nèi)的若干個既相對獨立又相互關(guān)聯(lián)的系統(tǒng)組成具有一定規(guī)模的大系統(tǒng)。這其中計算機通信網(wǎng)絡(luò)是智能建筑系統(tǒng)的神經(jīng)系統(tǒng)，它把現(xiàn)有的分離設(shè)備、功能、信息組合到一個相互關(guān)聯(lián)的、統(tǒng)一的、協(xié)調(diào)的系統(tǒng)之中，實現(xiàn)語音、數(shù)據(jù)、圖像的綜合傳輸、交換、處理和應(yīng)用。由于局域網(wǎng)具有全開放、成本低、帶寬高、穩(wěn)定性和可靠性高、應(yīng)用廣泛、共享資源豐富等優(yōu)點，將其應(yīng)用到工業(yè)網(wǎng)絡(luò)己經(jīng)成為國內(nèi)外工業(yè)控制領(lǐng)域研究的熱點。工業(yè)局域網(wǎng)可以利用互聯(lián)網(wǎng)技術(shù)，給工業(yè)自動化領(lǐng)域中的每臺設(shè)備賦予一個ip地址，將現(xiàn)場設(shè)備通過各種途徑連接在互聯(lián)網(wǎng)上。這些設(shè)備可以通過網(wǎng)絡(luò)互相傳遞信息和數(shù)據(jù)，因而具有

5、了遠程維護功能并能從internet獲取信息。近年，企業(yè)、科研機構(gòu)都在研究開發(fā)各種帶局域網(wǎng)絡(luò)接口的現(xiàn)場設(shè)備，并且這些網(wǎng)絡(luò)接口已應(yīng)用于生產(chǎn)現(xiàn)場。很自然，局域網(wǎng)絡(luò)技術(shù)也同樣進入了樓宇自動化系統(tǒng)的研究領(lǐng)域。目前，局域網(wǎng)多用于基于現(xiàn)場總線的樓宇自控網(wǎng)絡(luò)集成到智能建筑信息管理網(wǎng)絡(luò)這一環(huán)節(jié)，即ethernet總線技術(shù)。在一些新開發(fā)的樓宇自控系統(tǒng)中，局域網(wǎng)直接進入了控制層，如北京樓宇自動化中心開發(fā)的基于局域網(wǎng)的enc-20011p智能建筑測控系統(tǒng)。在樓宇自動化系統(tǒng)中采用局域網(wǎng)的優(yōu)點是實現(xiàn)了從管理層到現(xiàn)場設(shè)備控制層通信協(xié)議的兼容和統(tǒng)一，這樣，系統(tǒng)擴展起來也比較方便，與智能建筑中其它系統(tǒng)(通信自動化系統(tǒng)和辦公自

6、動化系統(tǒng))集成起來也更加容易。但它也存在缺點：首先，目前開發(fā)基于局域網(wǎng)的控制系統(tǒng)產(chǎn)品的難度較大，開發(fā)費用和成本相對較高，用戶可以選擇的廠商也很有限，壟斷利潤較高，研發(fā)成本還沒有被消化，這些都導(dǎo)致產(chǎn)品價格過高；其次，局域網(wǎng)的實時性、可靠性等方面還有待進一步完善。1.3 研究目標為了實現(xiàn)我們的研究目標，在此將采用理論和實際相結(jié)合的原則。在理論方面，我們需要掌握和分析局域網(wǎng)的核心技術(shù)vlan技術(shù)，例如為什么要采用該項技術(shù)，它存在哪些優(yōu)缺點，以及整個智能樓宇通信系統(tǒng)在實際當中是如何規(guī)劃和實現(xiàn)的；在實際應(yīng)用中，需要將技術(shù)理論同實際情況相結(jié)合，根據(jù)具體的實際需求合理的分配有限的資源，力爭達到最優(yōu)的組網(wǎng)效果

7、。最后，還要運用現(xiàn)已掌握的技術(shù)手段，對硬件系統(tǒng)進行合理的優(yōu)化配置，盡最大努力使之實際運行效果接近理論值，也就是利用華為公司所提供的數(shù)據(jù)通信設(shè)備實現(xiàn)最佳的系統(tǒng)性能。除此之外，還需要在研究過程中不斷的發(fā)現(xiàn)問題，解決問題，在具體的實踐當中尋找“捷徑”，提高我們的工作效率，尋找更有效的研究方法。在此將采用華為技術(shù)有限公司提供的數(shù)據(jù)通信設(shè)備，如二層、三層交換機，路由器，進行智能樓宇的組網(wǎng)設(shè)計，通過對數(shù)據(jù)通信技術(shù)原理和設(shè)備硬件知識的研究，根據(jù)實際的用戶需求，合理的對硬件系統(tǒng)進行配置，提供最優(yōu)的方案來解決實際的組網(wǎng)設(shè)計問題。2 局域網(wǎng)技術(shù)2.1 局域網(wǎng)的定義由于連接介質(zhì)的不同，通信協(xié)議的不同，計算機網(wǎng)絡(luò)的種

8、類劃分方法名目繁多。但一般來講，計算機網(wǎng)絡(luò)可以按照它覆蓋的地理范圍，劃分成局域網(wǎng)和廣域網(wǎng)，以及介于局域網(wǎng)和廣域網(wǎng)之間的城域網(wǎng)（man，metropolitan area network）。本部分重點介紹局域網(wǎng)。局域網(wǎng)-lan（local area network） 是將小區(qū)域內(nèi)的各種通信設(shè)備互連在一起所形成的網(wǎng)絡(luò)，覆蓋范圍一般局限在房間、大樓或園區(qū)內(nèi)。局域網(wǎng)一般指分布于幾公里范圍內(nèi)的網(wǎng)絡(luò)，局域網(wǎng)的特點是：距離短、延遲小、數(shù)據(jù)速率高、傳輸可靠。標準（standard）是廣泛使用的、或者由官方規(guī)定的一套規(guī)則和程序。標準描述了協(xié)議的規(guī)定，設(shè)定了保障網(wǎng)絡(luò)通信的最簡性能集。ieee 802.x標準是當今

9、居于主導(dǎo)地位的lan標準。 目前我國常見的局域網(wǎng)類型包括：以太網(wǎng)（ethernet）、異步傳輸模式（atm，asynchronous transfer mode）等，它們在拓撲結(jié)構(gòu)、傳輸介質(zhì)、傳輸速率、數(shù)據(jù)格式等多方面都有許多不同。其中應(yīng)用最廣泛的當屬以太網(wǎng) 一種總線結(jié)構(gòu)的lan，是目前發(fā)展最迅速、也最經(jīng)濟的局域網(wǎng)。2.2 以太網(wǎng)技術(shù)2.2.1 以太網(wǎng)的應(yīng)用以太網(wǎng)設(shè)計的初衷，就是把一些計算機聯(lián)系起來進行文件共享和數(shù)據(jù)庫記錄的傳輸。到目前為止，在計算機互連這個領(lǐng)域，以太網(wǎng)仍然是最活躍的技術(shù)，但已經(jīng)不再局限于這個領(lǐng)域，在其他一些領(lǐng)域，以太網(wǎng)也大顯身手，表現(xiàn)不俗。下面是以太網(wǎng)的主要應(yīng)用領(lǐng)域：計算機互

10、連：這是以太網(wǎng)技術(shù)的主要目標，也是最成熟的應(yīng)用范圍。最開始的時候，許多計算機通過同軸電纜連接起來，互相訪問共享的目錄，或訪問在同一個物理網(wǎng)段上的文件服務(wù)器，各個計算機（不論是服務(wù)器還是客戶機）在網(wǎng)絡(luò)上的地位相同。隨著應(yīng)用的發(fā)展，這種平等的結(jié)構(gòu)逐漸不適應(yīng)實際的需要，因為網(wǎng)絡(luò)上的大部分流量都是客戶機跟服務(wù)器之間的，這種流量模型必然在服務(wù)器上形成瓶徑。當全雙工以太網(wǎng)和以太網(wǎng)交換機引入以太網(wǎng)之后，這種情況有所改變，取代的是把服務(wù)器連接到以太網(wǎng)交換機的一個告訴端口（100m）上，把其他客戶機連接到以太網(wǎng)交換機的低速端口上，這樣就暫緩了瓶頸的形成?，F(xiàn)代的操作系統(tǒng)提供分布式服務(wù)和數(shù)據(jù)倉庫服務(wù)，基于這些操作系

11、統(tǒng)的服務(wù)器除了跟客戶機通信之外，還要跟其他服務(wù)器交換大量的信息進行數(shù)據(jù)的同步，這樣傳統(tǒng)的100m快速以太網(wǎng)就不能滿足要求了，于是1000m以太網(wǎng)應(yīng)運而生。高速網(wǎng)絡(luò)設(shè)備之間互連：隨著internet的不斷發(fā)展，一些傳統(tǒng)的網(wǎng)絡(luò)設(shè)備，比如路由器，之間的帶寬已經(jīng)不能滿足要求，需要更高更有效率的互連技術(shù)來連接這些網(wǎng)絡(luò)設(shè)備構(gòu)成internet的骨干，1000m以太網(wǎng)成了首選的技術(shù)。傳統(tǒng)的100m也可以應(yīng)用在這些場合，因為這些100m的快速以太網(wǎng)鏈路可以經(jīng)過聚合，形成快速以太網(wǎng)通道，速度可以達到100m1000m的范圍。城域網(wǎng)中用戶接入的手段：用戶通過以太網(wǎng)技術(shù)接入城域網(wǎng)，實現(xiàn)上網(wǎng)，文件下載，視頻點播等業(yè)務(wù)

12、，已經(jīng)變得越來越流行。之所以用以太網(wǎng)作為城域網(wǎng)的接入手段，是因為現(xiàn)在的計算機都支持以太網(wǎng)卡，這樣對用戶來說，不用更改任何軟件和硬件配置就可以正常上網(wǎng)?？梢钥闯觯蕴W(wǎng)技術(shù)已經(jīng)覆蓋了網(wǎng)絡(luò)的方方面面，從骨干網(wǎng)到接入網(wǎng)，從計算機網(wǎng)絡(luò)到工業(yè)應(yīng)用，無處不見以太網(wǎng)的影子。2.2.2 以太網(wǎng)物理層根據(jù)iso的osi七層參考模型，物理層規(guī)定了兩個設(shè)之間的物理接口，以及該接口的電氣特性，規(guī)程特性，機械特性等內(nèi)容，以太網(wǎng)的物理層也不外乎這些內(nèi)容，它主要的功能是提供一種物理層面的標準，各個廠家只要按照這個標準生產(chǎn)網(wǎng)絡(luò)設(shè)備就可以進行互通。下面從介紹這些物理層標準開始，來分析一下以太網(wǎng)的物理層基礎(chǔ)結(jié)構(gòu)。從以太網(wǎng)誕生到目

13、前為止，成熟應(yīng)用的以太網(wǎng)物理層標準主要有以下幾種：10base2、10base5、100base-tx、100base-t2、100base-t4、100base-fx、1000base-sx、1000base-lx、1000base-cx、1000base-tx，在這些標準中，前面的10，100，1000分別代表運行速率；中間的base指傳輸?shù)男盘柺腔鶐Х绞?；后邊?，5分別代表最大距離，比如，5代表50米，2代表200米等；tx，t2，t4，fx，sx，lx，cx等應(yīng)用于雙絞線以太網(wǎng)和光纖以太網(wǎng)，含義如下：100base-tx：運行在兩對五類雙絞線上的快速以太網(wǎng)；100base-t4：運行

14、在四對三類雙絞線上的快速以太網(wǎng)；100base-t2：運行在2對三類雙絞線上的快速以太網(wǎng)；100base-fx：運行在光纖上的快速以太網(wǎng)，光纖類型可以是單模也可以是多模；1000base-sx：運行在多模光纖上的1000m以太網(wǎng)，s指發(fā)出的光信號是長波長的形式；1000base-lx：運行在單模光纖上的1000m以太網(wǎng)，l指發(fā)出的光信號是短波長的形式；在這些標準中，10base2，10base5是同軸電纜的物理標準，現(xiàn)在已經(jīng)基本被淘汰，10base-t和100base-tx都是運行在五類雙絞線上的以太網(wǎng)標準，所不同的是線路上信號的傳輸速率不同，10base-t只能以10m的速度工作，而100b

15、ase-tx則以100m的速度工作，其他方面沒有什么兩樣。100base-t2，100base-t4現(xiàn)在很少用，所以我們這里只選擇比較有代表性的100base-tx進行敘述。 100base-tx是運行在兩對五類雙絞線上的快速以太網(wǎng)物理層技術(shù)，它除了規(guī)定運行的介質(zhì)是五類或更高類雙絞線外，還規(guī)定了設(shè)備之間的接口以及電平信號等。該標準規(guī)定設(shè)備和鏈路之間的接口采用rj-45水晶頭，電瓶采用+5v和-5v交替的形式。五類雙絞線的8跟線壓入水晶頭的8個線槽中，這樣可以很容易的插入網(wǎng)絡(luò)設(shè)備的網(wǎng)卡。實際上，在進行數(shù)據(jù)的傳輸時僅僅用了五類雙絞線的兩對（四根）線，其中一對作為數(shù)據(jù)接收線，一對作為數(shù)據(jù)發(fā)送線，在進

16、行數(shù)據(jù)接收和發(fā)送的時候，在一對線上傳輸極性相反的信號，這樣可以避免互相干擾。需要注意的是，在連接兩個相同的網(wǎng)絡(luò)設(shè)備時（比如網(wǎng)卡），需要把線序進行交叉，因為線路兩端的設(shè)備（比如網(wǎng)卡）的收發(fā)順序是相同的，而兩端設(shè)備要進行直接連接，其收發(fā)必須進行交叉，于是，必須在線路上進行交叉才能達到目的，如圖2-1所示： 圖2-1 rj45交叉線示意圖但在跟不同類型的網(wǎng)絡(luò)設(shè)備互連，比如終端計算機跟hub或以太網(wǎng)交換機連接時，卻不需要這樣，因為這些網(wǎng)絡(luò)設(shè)備的接口上已經(jīng)做了交叉，也就是說，這些設(shè)備的網(wǎng)絡(luò)接口跟普通計算機的收發(fā)順序是不一致的，因而只要把五類雙絞線直接按照原來順序壓入水晶頭，就可以把兩端的設(shè)備正常連接。跟

17、傳統(tǒng)的同軸電纜不同的是，100bast-tx（10base-t）的數(shù)據(jù)發(fā)送和數(shù)據(jù)接收使用了不同的線對，做到了分離，這樣就隱含著一種全新的運做方式：全雙工方式。在這種方式下，數(shù)據(jù)可以同時接收和發(fā)送而互不干擾，這樣可以大大提高效率，不過這需要中間設(shè)備的支持，現(xiàn)在的以太網(wǎng)交換機就是這樣一種設(shè)備。在基于雙絞線的以太網(wǎng)上，可以存在許多種不同的運做模式，在速度上有10m，100m不等，在雙工模式上有全雙工和半雙工等，如果對每個接入網(wǎng)絡(luò)的設(shè)備進行配置，則必然是一項很繁重的工作，而且不容易維護。于是，人們提出了自動協(xié)商技術(shù)來解決這種矛盾。需要注意的是，自動協(xié)商只運行在基于雙絞線的以太網(wǎng)上，是一種物理層的概念。

18、自動協(xié)商建立在一種低層的以太網(wǎng)機制上。在雙絞線鏈路上，如果沒有數(shù)據(jù)傳輸，鏈路并不是一直在空閑，而是不斷的互相發(fā)送一種頻率相對較低的脈沖信號（稱為普通鏈路脈沖，nlp）如圖2-2所示：圖2-2 普通鏈路脈沖任何具有雙絞線接口的以太網(wǎng)卡都應(yīng)該能識別這種信號。需要注意的是，如果在這些nlp之間在插入一些（一般是16個）更小的脈沖（這些脈沖稱為快速鏈路脈沖，flp），兩端設(shè)備應(yīng)該也能識別。于是，我們可以使用這些快速鏈路脈沖來進行少量的數(shù)據(jù)傳輸，來達到自動協(xié)商的目的。在設(shè)備的網(wǎng)卡中有一個配置寄存器，該寄存器內(nèi)部保留了該網(wǎng)卡能夠支持的工作模式，比如該網(wǎng)卡可以支持100m和10m模式下運行，則把相應(yīng)的寄存器

19、內(nèi)容置位。在網(wǎng)卡加電后，如果允許自動協(xié)商，則網(wǎng)卡就把自己的配置寄存器內(nèi)容讀出來，編碼后通過flp發(fā)送出去，如圖2-3所示：圖2-3 flp發(fā)送編碼發(fā)送的同時，可以接收對端發(fā)送過來的自動協(xié)商數(shù)據(jù)。接收到對方發(fā)送的自動協(xié)商數(shù)據(jù)后，跟自己的配置寄存器比較，選擇自己支持的且一般情況下最優(yōu)的組合投入運行。比如自己支持全雙工模式和100m的速率，對端也支持該配置，則選擇的運行模式就是100m全雙工，如果對端只支持全雙工模式和10m的能力，則運行模式就定為全雙工10m模式。如果兩端支持的能力集合不相交，則協(xié)商不通過，兩端設(shè)備不能通信。一旦協(xié)商通過，網(wǎng)卡就把該鏈路置為激活狀態(tài)，可以傳輸數(shù)據(jù)了，如果不能協(xié)商通過

20、，則該鏈路不能使用，不能再進行數(shù)據(jù)傳輸。如果兩端的設(shè)備有一端不支持自動協(xié)商，則支持自動協(xié)商的一端選擇選擇一種默認的方式工作，一般情況下是10m半雙工模式。2.2.3 以太網(wǎng)數(shù)據(jù)鏈路層按照iso的osi七層參考模型，互連的各個系統(tǒng)把各個網(wǎng)絡(luò)功能分七個層次實現(xiàn)，各個層次之間相互獨立，互不干擾。這樣就可以實現(xiàn)最大限度的開放和靈活性，設(shè)備廠家只要按照層次之間的接口生產(chǎn)設(shè)備，就可以做到互通。因此，這個七層模型是高效權(quán)威的，而且目前大多數(shù)網(wǎng)絡(luò)技術(shù)都是參照這個模型進行設(shè)計和開發(fā)的。但在以太網(wǎng)體系結(jié)構(gòu)中，七層模型中層次之間互相獨立的規(guī)則就不適用了，因為開始的時候，以太網(wǎng)采用了一種共享介質(zhì)的方式來進行數(shù)據(jù)通信，

21、而不是傳統(tǒng)的全雙工通信，隨著設(shè)備的發(fā)展，以太網(wǎng)中又引入了全雙工模式的通信，在這樣兩種通信模式并存的情況下，在進行層次間的嚴格劃分就不容易了。這里需要注意的是，在以太網(wǎng)中，全雙工是物理層的概念，而針對物理層的雙工模式提供不同訪問方式則是數(shù)據(jù)鏈路層的概念，這樣就形成了以太網(wǎng)的一個重要特點：數(shù)據(jù)鏈路層和物理層是相關(guān)的。針對物理層的不同工作模式（全雙工和半雙工），需要提供特定的數(shù)據(jù)鏈路層來訪問。這樣導(dǎo)致了數(shù)據(jù)鏈路層和物理層有很大的相關(guān)性，給設(shè)計和應(yīng)用帶來了一些不便。為了避免這種不便，一些組織和廠家提出了另外一種方式，就是把數(shù)據(jù)鏈路層再進行分層，分為邏輯鏈路控制子層（llc）和媒體訪問控制子層（mac）

22、。圖2-4 數(shù)據(jù)鏈路層分層結(jié)構(gòu)數(shù)據(jù)鏈路層分層結(jié)構(gòu)如圖2-4所示。這樣不同的物理層對應(yīng)不同的mac子層，llc子層則可以完全獨立。這樣從一定程度上提高了獨立性，方便了實現(xiàn)。 面對mac子層和llc子層做一個詳細的解釋。mac子層是物理層相關(guān)的，也就是說，不同的物理層有不同的mac子層來進行訪問，比如物理層是工作在半雙工模式的雙絞線，則相應(yīng)的mac子層為半雙工mac，如果物理層是令牌環(huán)，則有令牌環(huán)mac來進行訪問。在以太網(wǎng)中，主要存在兩種mac：半雙工mac和全雙工mac，分別針對物理層運行模式是半雙工和全雙工時提供訪問。需要注意的，這兩種mac都是集成在網(wǎng)卡中的，網(wǎng)卡初始化的時候一般進行自動協(xié)商

23、，根據(jù)自動協(xié)商的結(jié)果決定運行模式，然后根據(jù)運行模式選擇相應(yīng)的訪問mac。全雙工mac子層相對半雙工mac子層簡單，因為它不需要檢測鏈路的空閑與忙的狀態(tài)，所以就去除了上面的鏈路空閑信號和沖突檢測信號。其工作過程如下：當mac子層有數(shù)據(jù)要發(fā)送的時候，通過數(shù)據(jù)發(fā)送指示告訴物理層，然后把數(shù)據(jù)一個字節(jié)一個字節(jié)的通過數(shù)據(jù)發(fā)送線發(fā)送出去。如果物理層檢測到了數(shù)據(jù)到達，則通過接收指示信號告訴鏈路層，自己接收到了數(shù)據(jù)，然后通過接收數(shù)據(jù)線把數(shù)據(jù)傳到mac子層。除了完成物理鏈路的訪問以外，mac子層還負責完成下列任務(wù)：v鏈路級的站點標識：在數(shù)據(jù)鏈路層識別網(wǎng)絡(luò)上的各個站點。也就是說，在該層次保留了一個站點地址（就是所謂

24、的mac地址），來標識網(wǎng)絡(luò)上的唯一一個站點；v鏈路級的數(shù)據(jù)傳輸：從上層（llc子層）接收數(shù)據(jù)，附加上mac地址和控制信息后把數(shù)據(jù)發(fā)送到物理鏈路上。在這個過程中攙雜了校驗等功能。為了進行站點標識，在mac子層保留了一個唯一的站點mac地址，來區(qū)分該站點。mac地址是一個48比特的數(shù)字，分為下面三種類別：1. 物理mac地址：這種類型的mac地址唯一的標識了以太網(wǎng)上的一個終端（比如網(wǎng)卡等），實際上這樣的地址是固化在硬件里面的；2. 廣播mac地址：這是一個通用的mac地址，用來表示網(wǎng)絡(luò)上的所有終端設(shè)備；3. 組播mac地址：這是一個邏輯的mac地址，來代表網(wǎng)絡(luò)上的一組終端。它的特點是最左邊一個字節(jié)

25、的第一比特為1。上層要發(fā)送數(shù)據(jù)的時候，把數(shù)據(jù)提交給mac子層，mac子層有自己的緩沖區(qū)，把上層提交給自己的數(shù)據(jù)進行緩存，然后增加上目的mac地址和自己的mac地址（源mac地址），計算出數(shù)據(jù)幀的長度，形成的數(shù)據(jù)包格式如圖2-5所示。在這個圖中，dmac代表目的終端的mac地址，smac代表源mac地址，而length/t字段則根據(jù)值的不同有不同的含義：dmacsmaclengthdatapadfcs圖2-5 數(shù)據(jù)幀格式當length/t 1500時，代表該數(shù)據(jù)幀的類型（比如上層協(xié)議類型），當length/t 1500時，代表該數(shù)據(jù)幀的長度。data/pad則是具體的數(shù)據(jù)，因為以太網(wǎng)數(shù)據(jù)幀的最小

26、長度必須大于64字節(jié)（根據(jù)半雙工模式下最大距離計算獲得的），所以如果數(shù)據(jù)長度加上幀頭不足64字節(jié)，需要在數(shù)據(jù)部分增加填充內(nèi)容。fcs則是幀校驗字段，來判斷該數(shù)據(jù)幀是否出錯。上面介紹了數(shù)據(jù)的發(fā)送過程，下面說一下數(shù)據(jù)接收過程：在計算機的網(wǎng)卡中維護一張接收地址列表，每當計算機網(wǎng)卡接收到一個數(shù)據(jù)幀之后，就把數(shù)據(jù)幀的目的mac地址提取出來，跟列表中的條目進行比較，只要有一項匹配，則接收該數(shù)據(jù)幀，若無任何匹配的項目，則丟棄該數(shù)據(jù)幀。在這張接收地址列表中至少有下面兩項：1. 計算機網(wǎng)卡的mac地址：該地址固化在網(wǎng)卡的rom里面；2. 廣播mac地址：該地址代表網(wǎng)絡(luò)上的所有主機。如果上層應(yīng)用程序加入一個組播組

27、，則該應(yīng)用程序會通知網(wǎng)絡(luò)層，然后網(wǎng)絡(luò)層通知數(shù)據(jù)鏈路層，數(shù)據(jù)鏈路層根據(jù)應(yīng)用程序加入的組播組形成一個組播mac地址，并把該組播mac地址加入接收地址列表，這樣當有針對該組的數(shù)據(jù)幀的時候，mac子層就接收該數(shù)據(jù)幀并向上層發(fā)送。在上面的介紹中提到了mac子層形成的一個幀結(jié)構(gòu)，其中有一個字段是length/t。這個字段的長度是2字節(jié)，根據(jù)取值的范圍有不同的含義，在小于或等于1500的情況下，該值代表數(shù)據(jù)幀數(shù)據(jù)部分的長度，但當大于1500的時候，則代表該幀的數(shù)據(jù)部分的類型，比如該數(shù)據(jù)幀是哪個上層協(xié)議（比如ip，ipx，decnet，netbeui等）的數(shù)據(jù)單元等。當length/t取值大于1500的時候，

28、mac子層可以根據(jù)length/t的值直接把數(shù)據(jù)幀提交給上層協(xié)議，這時候就沒有必要實現(xiàn)llc子層。這種結(jié)構(gòu)便是目前比較流行的ethernet_ii，大部分計算機都支持這種結(jié)構(gòu)。注意，這種結(jié)構(gòu)下數(shù)據(jù)鏈路層可以不實現(xiàn)llc子層，而僅僅包含一個mac子層。根據(jù)length/t字段的取值，來把接收到的數(shù)據(jù)幀提交給上層協(xié)議模塊，是這樣進行的：每個上層協(xié)議都提供了一個回調(diào)函數(shù)，這個回調(diào)函數(shù)在數(shù)據(jù)鏈路層是可見的而且可以調(diào)用的，這樣當數(shù)據(jù)鏈路層接收到一個數(shù)據(jù)幀之后，根據(jù)數(shù)據(jù)幀里的length/t字段的取值來判斷相應(yīng)的協(xié)議模塊，然后調(diào)用相應(yīng)協(xié)議的回調(diào)函數(shù)（把數(shù)據(jù)幀的數(shù)據(jù)部分作為參數(shù)），該回調(diào)函數(shù)執(zhí)行的結(jié)果就是把

29、數(shù)據(jù)幀的數(shù)據(jù)部分掛到上層協(xié)議的接收隊列中，然后給上層協(xié)議發(fā)送一個消息，告訴上層協(xié)議有一個數(shù)據(jù)包到來，然后返回，其他的事情就由上層協(xié)議來做了。上面介紹的都是ethernet_ii的內(nèi)容，就是當length/t字段大于1500的時候的情況?，F(xiàn)在來討論一下當length/t小于或等于1500的情況，這種類型就是所謂的ethernet_snap，是802.3委員會制定的標準，雖然目前應(yīng)用不是很廣泛，但是作為一種很有特色的標準，將來必會大行其道。ethernet_snap除了定義傳統(tǒng)的鏈路層服務(wù)之外，還增加了一些其他有用的特性，比如定義了下面三種類型的點到點傳輸服務(wù)：1. 無連接的數(shù)據(jù)包傳輸服務(wù)：目前的

30、以太網(wǎng)實現(xiàn)就是這種服務(wù)；2. 面向連接的可靠的數(shù)據(jù)傳輸服務(wù)：預(yù)先建立連接再傳輸數(shù)據(jù)，數(shù)據(jù)在傳輸過程中可靠性得到保證；v 3. 無連接的帶確認的數(shù)據(jù)傳輸服務(wù)：該類型的數(shù)據(jù)傳輸服務(wù)不需要建立連接，但它在數(shù)據(jù)的傳輸中增加了確認機制，使可靠性大大增加。這些服務(wù)都是在llc子層中實現(xiàn)的， llc子層的幀格式如圖2-6所示： 圖2-6 llc子層的幀格式可以看出，該數(shù)據(jù)幀的結(jié)構(gòu)在mac子層上是保持統(tǒng)一的，但mac子層數(shù)據(jù)幀的length/t字段現(xiàn)在已經(jīng)完全成了length，指示mac數(shù)據(jù)幀數(shù)據(jù)部分的長度，然后在數(shù)據(jù)部分增加了一個llc頭，這個頭由dsap（目的服務(wù)訪問點），ssap（源服務(wù)訪問點）和控制字

31、段組成。上面講述的三種服務(wù)就是通過這三個字段完成的。2.2.4 以太網(wǎng)交換機2.2.4.1 內(nèi)部結(jié)構(gòu)從外觀上看，以太網(wǎng)交換機跟hub差不多，也是一個多端口的深顏色盒子，但端口的數(shù)目可能比hub要多（一般情況下是24個或更多）。但在內(nèi)部結(jié)構(gòu)上卻比hub復(fù)雜得多，hub內(nèi)部實際上是一條共享的總線，各個端口共享該總線進行csma/cd方式的通信，但以太網(wǎng)交換機內(nèi)部可能也是一條總線，但該總線帶寬要比hub內(nèi)部的總線高得多，足以讓全部端口互相同時通信而沒有阻塞。性能更高的交換機內(nèi)部可能是一個交換網(wǎng)絡(luò)，該網(wǎng)絡(luò)完成任意端口之間的兩兩交換。以太網(wǎng)交換機內(nèi)部結(jié)構(gòu)如圖2-7所示：圖2-7 以太網(wǎng)交換機的內(nèi)部結(jié)構(gòu)示

32、意圖由圖可以看出以太網(wǎng)交換機使用一條高速背板總線把各個端口連接起來。實際上，這個背板總線可能是一個高性能的數(shù)字交叉網(wǎng)絡(luò)。注意的是，各個端口針對接收線路和發(fā)送線路，各有一個緩沖隊列，當數(shù)據(jù)從終端設(shè)備發(fā)往交換機的時候，發(fā)出的數(shù)據(jù)暫存在交換機的接收隊列中，然后進行下一步處理。如果交換機要把接收的數(shù)據(jù)發(fā)送給某一終端，這時候，交換機把要發(fā)送的數(shù)據(jù)發(fā)往該接收終端所在端口的發(fā)送隊列，然后再發(fā)送到接收終端，如果終端忙，則一直存儲在發(fā)送隊列中。其實，對每個接口的發(fā)送隊列結(jié)構(gòu)進行更改可以實現(xiàn)服務(wù)質(zhì)量功能。比如，我們?yōu)槊總€接口設(shè)計不止一個發(fā)送隊列，假設(shè)設(shè)置三個，則可以對這三個隊列進行優(yōu)先級劃分，分成低，中，高三個優(yōu)

33、先級，然后根據(jù)數(shù)據(jù)幀的優(yōu)先級字段（在以后介紹vlan的時候?qū)⒅v述），把數(shù)據(jù)幀放到相應(yīng)的優(yōu)先級隊列中。在傳輸?shù)臅r候，可以優(yōu)先傳輸優(yōu)先級高的隊列，等高優(yōu)先級隊列內(nèi)沒有數(shù)據(jù)了，再傳送優(yōu)先級低的隊列，依次類推。也可以實現(xiàn)一些其他的調(diào)度策略，比如wfq（基于優(yōu)先級的加權(quán)公平隊列）等調(diào)度技術(shù)。交換機跟hub的最大區(qū)別就是能做到接口到接口的轉(zhuǎn)發(fā)。比如接收到一個數(shù)據(jù)幀以后，交換機會根據(jù)數(shù)據(jù)幀頭中的目的mac地址，發(fā)送到適當?shù)亩丝?，而hub則不然，它把接收到的數(shù)據(jù)幀向所有端口轉(zhuǎn)發(fā)。交換機之所以能做到根據(jù)mac地址進行選擇端口，完全依賴內(nèi)部的一個重要的數(shù)據(jù)結(jié)構(gòu)：cam表。交換機接收到一個數(shù)據(jù)幀，依靠該數(shù)據(jù)幀的目的

34、mac地址來查找cam表，查找的結(jié)果是一個或一組端口，根據(jù)查找的結(jié)構(gòu)，把數(shù)據(jù)包送到相應(yīng)端口的發(fā)送隊列。cam表包含下面幾項內(nèi)容：mac地址；一個或一組端口號；如果交換機上劃分了vlan，還包括vlan id。交換機根據(jù)接收到的數(shù)據(jù)幀的目的mac地址，來查找該表格，根據(jù)找到的端口號，把數(shù)據(jù)幀發(fā)送出去。注意，上面一個mac地址可能對應(yīng)多個端口，這樣的mac地址一般是組播mac地址，其中每個端口上連接一個組播組的成員。 2.2.4.2 二層交換機工作過程交換機根據(jù)功能的不同，分為兩類：二層交換機和三層交換機。這里先介紹一下二層交換機的相關(guān)知識。上面提到了一個重要的數(shù)據(jù)結(jié)構(gòu)cam表，該表包含了交換機用

35、來轉(zhuǎn)發(fā)數(shù)據(jù)幀所涉及到的一些信息，對于交換機怎樣依據(jù)這個表格進行數(shù)據(jù)幀的交換，上面部分已經(jīng)講明白了。但這又產(chǎn)生一個問題：這個cam表是怎樣生成的呢？其實，這個表格可以通過兩種途徑生成：1. 手工加入通過配置命令的形式告訴交換機mac地址和端口的對應(yīng)；2. 交換機動態(tài)學習獲得交換機通過查看接收的每個數(shù)據(jù)幀來學習該表。手工生成該表很簡單，不過配置麻煩，所以通常情況下是交換機自動獲得的。2.2.4.3 二層交換機原理交換機轉(zhuǎn)發(fā)數(shù)據(jù)幀的基本規(guī)則：1. 交換機查cam表，如果查找到結(jié)構(gòu)，根據(jù)查找結(jié)果進行轉(zhuǎn)發(fā)；2. 如果交換機在cam表中查找不到結(jié)果，則根據(jù)配置進行處理，通常情況下是向所有的端口發(fā)送該數(shù)據(jù)幀

36、，在發(fā)送數(shù)據(jù)幀的同時，學習到一條cam表項。3. 開始的時候，交換機的cam表是空的，當交換機接收到第一個數(shù)據(jù)幀的時候，查找cam表失敗，于是向所有端口轉(zhuǎn)發(fā)該數(shù)據(jù)幀，在轉(zhuǎn)發(fā)數(shù)據(jù)幀的同時，交換機把接收到的數(shù)據(jù)幀的源mac地址和接收端口進行關(guān)聯(lián)，形成一項記錄，填寫到cam表中，這個過程就是學習的過程。4. 學習過程持續(xù)一段時間之后，交換機基本上把所有端口跟相應(yīng)端口下終端設(shè)備的mac地址都學習到了，于是進入穩(wěn)定的轉(zhuǎn)發(fā)狀態(tài)，這時候，對于接收到的數(shù)據(jù)幀，總能在cam表中查找到一個結(jié)果，于是數(shù)據(jù)幀的發(fā)送是點對點的，達到了理性的境界。5. 交換機還為每個cam表項提供了一個定時器，該定時器從一個初始值開始遞

37、減，每當使用了一次該表項（接收到了一個數(shù)據(jù)幀，查找cam表后用該項轉(zhuǎn)發(fā)），定時器被重新設(shè)置。如果長時間沒有使用該cam表的轉(zhuǎn)發(fā)項，則定時器遞減到零，于是該cam表項被刪除。6. 一般不對幀格式進行修改(vlan要對幀格式進行修改,打上tag標簽)交換機對接收來的數(shù)據(jù)幀會采用下述的交換模式：到目前為止，僅有三種交換模式：（1）直通模式：交換機接收到目的地址即開始轉(zhuǎn)發(fā)過程。優(yōu)點：延遲??；缺點：交換機不能檢查出數(shù)據(jù)幀的錯誤。（2）儲存轉(zhuǎn)發(fā)模式：交換機將全部內(nèi)容接收才開始轉(zhuǎn)發(fā)過程。優(yōu)點：交換機檢查出數(shù)據(jù)幀的錯誤，不會有錯幀；缺點：延遲大。（3）幀自由模式：交換機接收完數(shù)據(jù)包的前64字節(jié)（一個最短幀長度

38、），然后根據(jù)頭信息查表轉(zhuǎn)發(fā)。優(yōu)點：結(jié)合了直通模式和儲存轉(zhuǎn)發(fā)模式的優(yōu)點；缺點：延遲介于直通模式和儲存轉(zhuǎn)發(fā)模式之間。全雙工和二層交換機組建的以太網(wǎng)存在如下缺點：廣播泛濫；安全性仍舊無法得到有效的保證。其中廣播泛濫嚴重是l2以太網(wǎng)的主要缺點。2.2.4.4 三層交換機原理具體地說三層交換機是這樣的：1. 在邏輯上，三層交換和路由是等同的，三層交換的過程就是ip報文選路的過程2. 三層交換機與路由器在轉(zhuǎn)發(fā)操作上的主要區(qū)別在于其實現(xiàn)的方式：（1）三層交換機通過硬件實現(xiàn)查找和轉(zhuǎn)發(fā)；（2）傳統(tǒng)路由器通過微處理器上運行的軟件實現(xiàn)查找和轉(zhuǎn)發(fā)；（3） 三層交換機的轉(zhuǎn)發(fā)路由表與路由器一樣，需要軟件通過路由協(xié)議來建立

39、和維護。3在局域網(wǎng)中引入三層交換能夠更加經(jīng)濟的替代傳統(tǒng)路由器。注：三層交換機實質(zhì)就是一種特殊的路由器，有很強交換能力而價格低廉的路由器。無論對路由器還是對三層交換機而言，接口都存在路由接口和物理接口的概念：路由接口是掛接在ip協(xié)議棧下的邏輯接口，每個接口都對應(yīng)一個ip網(wǎng)段，通常稱為interface；物理接口是在機箱外面，看得見、摸得著、能插電纜的實際接口，通常稱為port。但是從路由器的角度理解的端口和從三層交換機的角度理解的端口是有所不同：三層交換機上，在不同的物理端口之間還提供二層交換的功能。vlan內(nèi)部通過二層交換通信，vlan之間通過三層路由來通信。路由接口是與vlan是對應(yīng)的關(guān)系，

40、而每個vlan可能對應(yīng)很多個物理端口，因此路由接口和物理端口沒有一一對應(yīng)的關(guān)系。（有關(guān)vlan技術(shù)將在后面詳細介紹）具體一臺具有三層功能的交換機對幀是二層還是三層交換應(yīng)遵循以下規(guī)則。ip網(wǎng)絡(luò)的規(guī)則：1. 相同網(wǎng)段內(nèi)部的通信，通過二層功能完成互通，當主機與對端主機通信的時候，根據(jù)自身的ip地址和子網(wǎng)掩碼來確定對方是否在系統(tǒng)網(wǎng)段內(nèi)，如果判定在相同網(wǎng)段內(nèi)，則直接通過arp查找對方的mac地址，然后把對方的mac地址填入以太網(wǎng)幀頭的目的mac地址域；2. 不同網(wǎng)段的主機通信的時候，主機發(fā)現(xiàn)對方在不同的網(wǎng)段內(nèi)，則主機就會自動借助網(wǎng)關(guān)來進行通信，主機首先通過arp來查找設(shè)定的網(wǎng)關(guān)的mac地址，然后把網(wǎng)關(guān)的

41、mac地址（而不是對方主機的mac地址，因為主機認為通信對端不是本地主機）填入以太網(wǎng)幀頭的目的mac地址域。根據(jù)以上規(guī)則，三層交換機根據(jù)以太網(wǎng)幀的目的mac地址域的地址來判斷是進行二層轉(zhuǎn)發(fā)還是三層轉(zhuǎn)發(fā)，如果是給某個vlan指定的路由接口的mac地址，則進行三層轉(zhuǎn)發(fā)，否則在vlan內(nèi)部進行二層轉(zhuǎn)發(fā)。3 vlan技術(shù)和網(wǎng)絡(luò)安全3.1 vlan技術(shù)概述虛擬局域網(wǎng)（vlanvirtual local area network）邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進行劃分，把一個物理上實際的網(wǎng)絡(luò)劃分成多個小的邏輯的網(wǎng)絡(luò)。這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)vlan。例如幾個部門都使用

42、一個中心交換機，但是各個部門屬于不同的vlan，形成各自的廣播域，廣播報文不能跨越這些廣播域傳送。虛擬局域網(wǎng)將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成一個局域網(wǎng)內(nèi)，在功能和操作上與傳統(tǒng)lan基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。vlan與傳統(tǒng)的lan相比，具有以下優(yōu)勢：1. 減少移動和改變的代價即所說的動態(tài)管理網(wǎng)絡(luò)，也就是當一個用戶從一個位置移動到另一個位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 當然，并不是所有的vlan定義方法都能做到這一點。

43、2. 虛擬工作組模型使用vlan的最終目標就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個部門的就好像在同一個lan上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬lan上，而不影響其他vlan的人。一個人如果從一個辦公地點換到另外一個地點，而他仍然在該部門，那么，該用戶的配置無須改變；同時，如果一個人雖然辦公地點沒有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態(tài)的組織環(huán)境，當然，這只是一個理想的目標，要實現(xiàn)它，還需要一些其他方面的支持。3. 限制廣播包，提高帶寬的利用率：有效地解決了廣播風暴帶來的性能下降問題。一個vla

44、n形成一個小的廣播域，同一個vlan成員都在由所屬vlan確定的廣播域內(nèi)，那么，當一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該vlan的其他端口，而不是所有的交換機的端口，這樣，就將數(shù)據(jù)包限制到了一個vlan內(nèi)，在一定程度上可以節(jié)省帶寬。4. 增強通訊的安全性：一個vlan的數(shù)據(jù)包不會發(fā)送到另一個vlan，這樣，其他vlan的用戶的網(wǎng)絡(luò)上是收不到任何該vlan的數(shù)據(jù)包，這樣就確保了該vlan的信息不會被其他vlan的人竊聽，從而實現(xiàn)了信息的保密。5. 增強網(wǎng)絡(luò)的健壯性：當網(wǎng)絡(luò)規(guī)模增大時，部分網(wǎng)絡(luò)出現(xiàn)問題往往會影響整個網(wǎng)絡(luò)，引入vlan之后，可以將一些網(wǎng)絡(luò)故障限制在一個vlan之內(nèi)

45、。由于vlan是邏輯上對網(wǎng)絡(luò)進行劃分，組網(wǎng)方案靈活，配置管理簡單，降低了管理維護的成本。3.2 vlan的劃分方式按照上面的概念，vlan是交換機上的一個集合，該集合的元素就是端口。我們用一個vlan標識來表示該集合，這樣當在交換機上創(chuàng)建一個集合后，就開始確定其中的元素（端口）。下面是確定元素的最重要的幾種方式：3.2.1 基于端口的vlan最簡單，也是最直接的方式就是手工指定，這種方式也是最容易理解的。這也是最常用的方法，因為這種方法特別的靈活，新增用戶只要連接到屬于某個vlan的端口，就可以在這個vlan中進行內(nèi)部通信，該用戶若是想離開這個vlan，只要斷開與這個端口的連接就可以了。也就是

46、說，一旦在交換機上創(chuàng)建一個vlan，我們可以手工指定該vlan包含哪些端口。在該方式下，我們只要在交換機上進行一些簡單的配置就可以了。具體如圖3-1和表3-1所示： 圖3-1 基于端口劃分vlan表3-1 端口與vlan對應(yīng)關(guān)系端口所屬vlane1vlan 5e2vlan 10e7vlan 5e10vlan 10 3.2.2 基于mac地址的vlan在基于端口的vlan方式下，我們在交換機上進行了設(shè)置，來決定vlan包含那些端口。但有些情況下，我們希望把終端系統(tǒng)進行分類，使它們屬于指定的vlan。這時候，我們可以手工建立終端系統(tǒng)的標識跟vlan之間的關(guān)系。在以太網(wǎng)上，mac地址可以唯一的標識一

47、個終端系統(tǒng)，于是，就建立mac地址跟vlan之間的對應(yīng)關(guān)系,如圖3-2和表3-2所示:圖3-2 基于mac地址劃分vlan交換機僅僅根據(jù)這個mac地址跟vlan之間的對應(yīng)關(guān)系，不能創(chuàng)建vlan跟端口的對應(yīng)關(guān)系，我們于是聯(lián)想到交換機內(nèi)部的另外一個關(guān)系：mac地址跟端口之間的關(guān)系（也就是cam表，交換機根據(jù)該表格進行數(shù)據(jù)幀的轉(zhuǎn)發(fā)）。根據(jù)這樣兩個關(guān)系，交換機可以創(chuàng)建vlan跟端口號之間的對應(yīng)關(guān)系了，具體過程如下：表3-2 mac地址與vlan對應(yīng)關(guān)系mac地址所屬vlanmac avlan 5mac bvlan 10mac cvlan 5mac dvlan 101. 交換機把手工創(chuàng)建的mac地址跟v

48、lan號之間的對應(yīng)關(guān)系下載到本地；2. 從該對應(yīng)關(guān)系中讀出一行，如果該行對應(yīng)的vlan不存在，則創(chuàng)建該vlan，然后以mac地址為索引依據(jù)，到cam表中查找對應(yīng)的端口號，把找到的端口號加入剛剛創(chuàng)建的vlan；3. 若讀出的該行所包含的 vlan已經(jīng)存在，則僅僅依據(jù)mac地址查詢cam表，把找到的端口號加入已經(jīng)存在的vlan里面；4. 重復(fù)這個過程，直到該對應(yīng)關(guān)系掃描完畢。3.2.3 基于第三層協(xié)議的vlan有些情況下，人們往往對網(wǎng)絡(luò)做一些限制，讓網(wǎng)絡(luò)上的終端系統(tǒng)只運行一種網(wǎng)絡(luò)協(xié)議，比如，在一個有大量novell服務(wù)器的網(wǎng)絡(luò)上，可能只存在ipx協(xié)議，這樣做的目的主要是節(jié)省資源，因為如果運行其他的

49、路由協(xié)議，一些服務(wù)進程會跟所有運行的協(xié)議綁定，這樣該服務(wù)就會通過該協(xié)議對應(yīng)的廣播地址（比如，ip協(xié)議的廣播地址是255.255.255.255）發(fā)送通告消息，以表明自己的存在。這樣必然產(chǎn)生大量的廣播包，嚴重浪費資源。在這些情況下，人們可以根據(jù)運行的協(xié)議不同來劃分vlan，如下面圖3-3和表3-3所示。在該種方式下，只要告訴交換機，上層協(xié)議跟vlan之間的對應(yīng)關(guān)系即可，比如，我們把所有運行ipx的計算機都劃分到vlan 5里面，只要告訴交換機（通過命令行的方式）ipx和vlan 5的對應(yīng)關(guān)系即可。完成這樣的配置之后，交換機就進行下列工作：1. 交換機檢查每個端口上接收到的數(shù)據(jù)幀，判斷該數(shù)據(jù)幀的類

50、型字段，如果該類型字段是ipx，則馬上把接收到該數(shù)據(jù)幀的端口加入vlan 5中；2. 如果從端口上接收到的數(shù)據(jù)幀的協(xié)議類型字段不是ipx，則根據(jù)通常的步驟進行轉(zhuǎn)發(fā)。這個過程延續(xù)下來，交換機就會把所有接收到ipx包的端口加入到vlan 5里面去了。圖3-3 基于協(xié)議類型劃分vlan表3-3協(xié)議類型與vlan對應(yīng)關(guān)系協(xié)議類型所屬vlanipx協(xié)議vlan 5ip協(xié)議vlan 103.2.4 基于組播組的vlan在前面介紹交換機的時候，曾經(jīng)介紹了交換機對組播數(shù)據(jù)幀的轉(zhuǎn)發(fā)方式，交換機內(nèi)部維護一個組播轉(zhuǎn)發(fā)表，該表的內(nèi)容是一個組播地址和一個接口列表，該表是根據(jù)一些二層組播協(xié)議建立的，比如igmp窺探，cg

51、mp，gmrp等。實際上，可以把某個組播地址對應(yīng)的接口列表劃分到一個vlan里面。在該種模式下，我們需要做的就是在交換機上給出組播mac地址和vlan的對應(yīng)關(guān)系，比如，我們給出組播mac地址01010e1e8e98對應(yīng)vlan100，于是交換機馬上創(chuàng)建vlan100，根據(jù)給出的組播地址查詢組播cam表，把找到的接口列表中的所有接口都劃分到vlan100里面。3.2.5 基于子網(wǎng)的vlan 這種方法顧名思義，就是根據(jù)不同的子網(wǎng)網(wǎng)段來劃分vlan，這種劃分vlan的方法，在整體思路上顯得很清晰。此方法適合子網(wǎng)較多且掩碼位數(shù)相同的組網(wǎng)設(shè)計拓撲結(jié)構(gòu)。圖3-4 基于子網(wǎng)劃分vlan 表3-4 子網(wǎng)與vl

52、an對應(yīng)關(guān)系ip網(wǎng)絡(luò)所屬vlanip 1.1.1.1/24vlan 5ip 1.1.2.1/24vlan 103.2.6 基于策略的vlan這是最復(fù)雜的一種vlan劃分方式，也是最靈活的劃分方式。在該種方式下，可以定義一定的策略（所謂策略，就是一些限制條件），交換機對每個接口進行檢查，凡是滿足策略的接口都會添加到該組策略對應(yīng)的vlan中。這種vlan的定義方式十分靈活，但效率不是很高，因為交換機需要檢查每個接口，判斷該接口是否滿足配置的策略，對策略的匹配是一項很耗時的工作。在上面的介紹中，可以看出，所有創(chuàng)建的vlan都是集中在一個交換機上的，但實際中往往有這樣的情況，就是一個物理的vlan，可

53、能跨越了多個交換機。在一個交換機的情況下，一個vlan端口接收到的數(shù)據(jù)可以根據(jù)交換機內(nèi)部的一張vlan和端口對應(yīng)表來確定該vlan所有的端口，因而一個vlan的數(shù)據(jù)在同一個交換機上不可能被錯誤轉(zhuǎn)發(fā)到另外一個vlan當中。但是跨越交換機的時候就不是這樣了，假設(shè)有兩個vlan和兩個交換機，分別記做vlana和vlanb，switcha和switchb，其中vlana和vlanb分別跨越了兩個交換機，即switcha和switchb上既有vlana的端口，也有vlanb的端口。在這種情況下，假如switcha上vlana的一個端口接收到了一個廣播數(shù)據(jù)幀，switcha除了往自己上面所有屬于vlana

54、的端口廣播該數(shù)據(jù)幀以外，還必須通過switcha和switchb之間的一條鏈路來傳播該廣播數(shù)據(jù)幀。如果switchb接收到了該廣播數(shù)據(jù)幀，switchb就不知道把該數(shù)據(jù)幀發(fā)往哪個vlan的端口，因為該廣播數(shù)據(jù)幀中不包含任何vlan有關(guān)信息。在這種情況下，可以在發(fā)給另外一個交換機的數(shù)據(jù)幀上附加vlan信息來區(qū)分數(shù)據(jù)幀所屬的vlan，這便是802.1q（簡稱1q）幀格式。傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀格式是不包含vlan信息的，無法用這種傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀來傳送vlan信息，我們要想讓跨越交換機的vlan能正常工作，必須重新提出一種幀格式，該幀格式與傳統(tǒng)以太網(wǎng)幀格式不同的是，包含了vlan信息。 1q幀格式的

55、結(jié)構(gòu)如圖3-5所示：圖3-5 ieee 802.1q幀格式結(jié)構(gòu)這四個字節(jié)的802.1q標簽頭包含了2個字節(jié)的標簽協(xié)議標識（tpid）和2個字節(jié)的標簽控制信息（tci）。tpid（tag protocol identifier）是ieee定義的新的類型，表明這是一個加了802.1q標簽的幀。tpid包含了一個固定的值0x8100。tci是包含的是幀的控制信息，它包含了下面的一些元素：priority：這3 位指明幀的優(yōu)先級。一共有8種優(yōu)先級，07。ieee 802.1q標準使用這三位信息。canonical format indicator( cfi )：cfi值為0說明是規(guī)范格式，1為非規(guī)范格

56、式。它被用在令牌環(huán)/源路由fddi介質(zhì)訪問方法中來指示封裝幀中所帶地址的比特次序信息。vlan identified( vlan id ): 這是一個12位的域，指明vlan的id，一共4096個，每個支持802.1q協(xié)議的交換機發(fā)送出來的數(shù)據(jù)包都會包含這個域，以指明自己屬于哪一個vlan。在一個交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒有加上這四個字節(jié)標志的，稱為未標記的幀（untagged frame），有些幀加上了這四個字節(jié)的標志，稱為帶有標記的幀（tagged frame）。當引入這種帶vlan標記的數(shù)據(jù)幀以后，交換機的端口就有了類別了：有些端口能夠且僅僅能夠識別這種帶vlan標

57、記的數(shù)據(jù)幀，我們把這種端口稱為tag端口（標記端口），有的端口不能識別這種帶標記的數(shù)據(jù)幀，我們稱為非tag端口，還有一些端口，不僅能識別帶標記的數(shù)據(jù)幀，而且能識別不帶標記的數(shù)據(jù)幀，這樣的端口我們稱為混合端口。連接兩個交換機的端口一般是tag端口或混合端口。我們把交換機的端口劃分為tag端口，非tag端口和混合端口，交換機在不同端口類型中轉(zhuǎn)發(fā)數(shù)據(jù)幀的時候，是這樣處理的：1. 非tag端口和非tag端口之間：在這種方式下轉(zhuǎn)發(fā)方式最簡單，交換機只根據(jù)內(nèi)部的cam表找到數(shù)據(jù)幀的出口，把該數(shù)據(jù)幀復(fù)制到出口的緩沖隊列中即可；2. 非tag端口和tag端口之間：該方式下，交換機首先判斷接收到數(shù)據(jù)幀的端口所屬的vlan號，然后根據(jù)該vlan號和物理鏈路類型，以及數(shù)據(jù)幀的優(yōu)先級等形成一個1q 標記，把該標記插到接收到的數(shù)據(jù)幀的類型/長度字段前面，然后提交