网络连接设备与技术

第六章网络连接设备与技术【计划课时】6课时（要求预习教材第二章2426节与第四章，）61网络连接设备网络连接设备用于将一个网络的几个网段（SEGMENTS）连接起来，或将几个网络（LANLAN，WANWAN，LANWAN）连接起来形成一个互联网络（INTERWORKORINTERNET）。习惯上，将它们分成五类中继器、网桥、交换机、路由器和网关。OSI层次网络连接设备作用寻址功能物理层数据链路层网络层传输层及以上中继器网桥路由器网关在电缆段间复制比特在LAN之间存储转发帧在不同的网络间存储转发分组提供不同体系间互联接口MAC地址IP地址611中继器（REPEATER）P133中继器只工作在在OSI模型的物理层，是局域网中最简单、所以也是成本最低的网络连接设备。中继器实际上是一个信号再生器，其主要作用是检测由某个端口接收的输入信号，将其恢复为原始的波形和振幅，然后以最小的延迟将这些经过重整（重定时和恢复）的信号重新发送到接收端口之外的其他各个端口。中继器的工作对与其连接的工作站是“透明”，因为两个站点彼此通信时不必知道他们是直接相连还是要通过一个或几个中继器相连。换言之，中继器的作用是放大电信号，提供电流以驱动长距离电缆。它工作在OSI模型的最低层（物理层），因此只能用来连接具有相同物理层协议的LAN。对数据链路层以上的协议来讲，用中继器互联起来的若干段电缆与单根电缆之间并没有差别（除了有一定时延）。值得注意的是中继器不具备错误检查和纠正功能，因此错误的数据经中继器后仍被复制到另一电缆段。【注意】用中继器连接的各网段属于同一个网络。中继器可以分为普通中继器（REPEATER或REGENERATOR）用于总线型拓扑扩展网段长度，其功能是对弱信号进行再生和转发，但不具备检错和纠错功能。集线器（HUB）网络连接设备CONNECTINGDEVICES联网设备NETWORKINGDEVICES网际互连设备INTERNETWORKINGDEVICES中继器网桥交换机路由器网关用于星型拓扑，实际上是一种多端口的普通中继器。612网桥（BRIDGE）P133网桥也称桥接器，工作在OSI模型数据链路层，用它可以在两个网络之间对数据链路层的帧进行接收、存储和转发，从而将两个或更多独立的的物理网段连接起来，以形成一个逻辑网络，使这个逻辑网络的行为看起来就像一个单独的物理网络一样。一般情况下，被连接的网络系统都具有相同的逻辑链路控制规程LLC，但媒体访问控制协议MAC可以不同。所以网桥可以将两个采用802X协议的LAN（如以太网和令牌环网）连接起来。网桥维护硬件地址表，并根据这个表将帧传送给特定的子网。与中继器不同网桥属于第二层网络互联设备，可以实现同协议组（如IEEE803）但不同协议的LAN间互联（如ETHERNETLAN与TOKENRINGLAN），即物理层和MAC层不同但LLC层相同的LAN间互联；中继器是物理层互联设备，只能连接具有相同物理层协议的LAN。网桥分为内部网桥（由服务器兼任）和外部网桥（由专门的计算机承担）。网桥的特点网桥基于MAC地址实现LAN之间的互连和信息的传送，其优点是网络操作简单、速度快且与OSI其它层的协议无关，另外，由于没有路由功能，网桥属简单的网络设备，易于维护且价格低廉。与中继器相比，网桥可以隔离错误帧和需要保密的网段，而且用网络进行网络连接时，连接的网络跨度（距离）几乎是无限制的。网桥无法实现流量控制，尤其对一个规模较大的网络而言，广播包从一个LAN传送到另一个LAN，常会引起大量的多路广播，造成网络效率下降，最严重的会导致广播风暴。使整个网络瘫痪。IEEE802委员会为网桥规定了两种桥接技术（算法）透明网桥（TRANSPARENTBRIDGE）主要用于以太网环境（标准IEEE8021）源路由选择网桥（SRB，SOURCEROUTINGBRIDGE）主要用于令牌环环境（标准IEEE8025）【透明网桥】DEC公司首先开发，后纳入IEEE8021标准中。其路由选择功能只设在网桥上。网桥具有通过分析来自所有连接网络的输入封包的源地址来“学习”网络的拓扑结构并建立起一张自己的路径选择表（站表）的功能。它的表现和操作对网络主机而言是透明的。其最大缺点是不能选择最佳路由。网桥处理帧的过程可以归纳为“学习源地址，过滤本网段帧，转发异网段帧，广播未知帧”。它的工作过程可分为下述几种情况如果帧具有一组目的MAC地址，网桥将该帧传送至它连接的所有数据链路（接收该帧的数据链路除外），换句话说，这实际上是向“扩展的LAN”发了一次多路广播，其所有链路上的站点都能见到这个帧；当帧有一个单独的目的MAC地址，网桥则要查阅其MAC地址表，如果地址表中有该地址，且目的站点和源站点同处一个LAN上时，则网桥不起桥接功能，而是将该帧丢弃（过滤掉），不让它向其它链路转发；如果网桥在自己的地址表内查到了这个目的MAC地址，且目的站点和源站点不在相同的LAN上时，则确定到达该目的站点的数据链路后，将此帧传送到其选择的数据链路上；若该帧的地址不在网桥的地址表中，则网桥对该帧的处理与前述的第一种相同，即向所有链路上的站点发广播。使用透明网桥必须注意不可出现“桥接循环”，即连接的任何两个LAN间不可存在多条网桥路径。否则要么出现网络通信失败，要么导致网络阻塞（CONGESTING）。解决桥接循环问题采用的方法是“生成树算法”（STA，SPANNINGTREEALGORITHM）。它将冗余的路径设置成阻塞状态，提高了网络循环连接的可用性，同时消除了桥接循环带来的问题。【源路由网桥】P135IBM公司开发，后纳入IEEE8025标准中。其特点是由发送帧的源工作站负责路由选择，每个源工作站都配置一张“路由选择表”。源站以广播方式向目的站发送一个路由选择帧，沿所有可能的路径传送。在传送中，每个路由选择帧都记下所经过的路径。当路由选择帧到达目的站后，就沿原路径返回源站，带回路由信息，源站从所有可能的路径中按一定规则（如最先发回路由选择帧的路由或最小的网络节点数等）选择一条最佳路由，记入本站的路由选择表中。此后凡从这个源站向这个目的站发送的帧，其首部都封装有源站所确定的路由信息。除了上述两种桥接技术，还有所谓“源路由透明网桥”（SRT）技术，适合在以太网和令牌环网的混合环境下的通信。613路由器（ROUTER）P136路由器被设计用于连接不同的LAN或LAN与WAN。它的基本作用是将数据包转发给由一个或若干个网络互联的特定的网络。它是通过使用称为“网络协议”或“路由协议”（通常工作在协议栈的第三层）的一些程序来实现这一功能的。路由器其实就是根据主机所在网络的网络ID，在不同网络的主机之间传递信息的计算机。因为使用了网络标识号，路由器在TCP/IP协议组的网际层上工作。一般地，主机并不配置路由协议，因为这会占用主机的内存和处理资源。CISCO公司是世界上最著名的路由器制造商。初略一看，路由器和网桥似乎具有相同的功能。不过，网桥被设计用于同一LAN不同网段的互联，而且网桥和路由器在不知道下一个跳转地址时的表现也完全不同如果网桥不知道下一个合适的目标地址，它们就将帧送到除接收端口之外的所有活动端口（这个过程叫做所谓“FLOODING”泛滥）如果路由器不知道通往某个目标地址的路由，它们就丢弃数据包并向源站点发回一个出错信息。网桥在一个以太网内转发MAC帧。路由器由于涉及协议栈的更高层，转发的是IP数据包。路由器还提供安全防火墙功能，以防止未经授权者访问公司网站，它还可过滤由较高层协议头寻址的目标，以防止数据包被不正确地发送到某个WAN（由于对电信链路的访问发生改变）。由于功能扩展，路由器要求更复杂的软件（决定和控制数据包路由的协议）以及比讨论网桥时所考虑的更广泛的过滤数据库。614交换机（SWITCH）第二层交换机其实质是一个多端口网桥。处理广播包不太有效，可能产生广播风暴。解决方法VLAN技术。但要根据物理端口或MAC地址设置，极不方便。第三层交换机基于硬件实现路由功能（路由转发速度和带宽于比路由器可高出数十倍甚至更多）；支持IP（VLAN管理方便）。所谓“二层交换机”，简言之，就是它能识别MAC层的信息（能够剥离并处理包含MAC地址的帧信息）；所谓“三层交换机”，简言之，就是它不仅能识别MAC层的信息（能够剥离并处理包含MAC地址的帧信息），而且能识别IP层的信息（能将剥离并处理包含IP地址的数据报信息）。还有所谓“四层交换机”，其含义由此类推。我校校园网使用的核心交换机是具有交换机和路由器双重功能的三层千兆位以太网交换机。它们象传统的交换机一样在第2层工作，只根据MAC地址转发或丢弃数据包。它们也象传统的路由器一样工作在第3层，使用网络层的信息将数据包路由到其他路由器、交换式网络或最终站点上。不过，与传统的路由器不同的是，常规的路由器将路由表保存在软件中，使用CPU查找和保持这些地址。而三层交换机往往通过使用ASIC技术，将路由表保存在硬件中，从而获得“线速”路由（所谓“线速”，指电信号能达到的最大传输速度），其速率几乎10倍于常规的路由器。615网关（GATEWAY）P138网关用于连接“异构型网络”，理论上可以工作在OSI模型的所有七层。一个“网关”实际上是一个协议转换器。路由器本身只能使用相同的协议实现网际的数据包的传送、接收和中继。而网关可以接收符合某个协议（如APPLETALK）格式的数据包，把它转换成符合另一种协议（如TCP/IP）格式的数据包，然后再转发。62路由选择原理621路由协议和路由表路由器在因特网界也被称为“网关”（GATEWAY）。其任务是管理子网之间或子网到因特网之间所进行的网络通信。客户机上一般须设置一个默认网关的IP地址，这样当一台主机准备向另一台主机发送消息时，源主机在IP数据包中加入了其自身的地址以及目标主机的地址。当主机准备向不在本地网上的另一台主机（根据目标网络和子网地址确定）发送数据报时主机将检查目标主机的网络ID，并把它与本地路由表相比较主机就把数据报转发给它的默认路由器（默认网关），然后由该路由器负责将数据报发送到不同的网络或另一台路由器，直到该数据报到达最终目的地。如果没指明默认网关，通信将被限制在该台主机所在的本地网络上。传输路径从一个逻辑网络到另一个逻辑网络的行动叫做跳跃（HOP）。网络协议是这样一种协议它含有使数据包路由用的寻址和控制信息（故又称为“路由协议”）。网络协议是根据路由协议实现互联网络之间的路由。IP是网络协议的一个例子。其他一些类似的网络协议还有APPLETALK，DECNET和NOVELLNETWARE。路由协议是这样一种协议它通过执行某个路由算法实现路由功能。路由算法用于初始化和定期更新“路由表”（ROUTERTABLE）中的信息，并进行实际的路径选择。路由表则用于存储在选择网络路由时有用的有关网络的各种信息。【路由表】路由器中一张存储了网络拓扑信息内容的表，它包含一组条目，指定可以到达其他网络的路由器端口的IP地址。路由表中的条目可以是静态的，也可以是动态的。静态路由表中的条目由网络管理员设置和维护。它们通常包含预定的到目标子网的路由，并且只能由网络管理员通过特定的行为才能修改。与此相反，动态路由表中的条目是由基于网络拓扑的路由协议以及当前的各种状态（如链路长度、传输速率、流量等）建立的。动态路由表中的条目由相关的协议定期更新，而无须人工干预。所以建立路由表有两种常用方法静态IP路由每台路由器的静态路由表使用本地文件，该文件含有到所有已知网络的路由。静态路由要求手工配置的固定路由表，为特定主机或整个网络指定目标地址和网关地址。使用静态路由，默认路由器必须传递所有非本地帧，即使通信量实际上是通过另一个本地附加的路由器传送。对于简单的网络，或者配置变动不频繁的网络，通常使用ROUTE命令创建一个静态路由表。动态IP路由动态路由使用一个或多个路由协议来实现路由的动态生成，适用于较复杂的网络。动态路由协议允许路由器同其相邻路由器交换路由信息。当某一路由器感知到网络布局发生变化，它就向相邻的路由器广播这个信息。路由器也将定期将含有已知的路由信息广播到其他路由器。622内部路由和外部路由今天，一个互联网络可能很大，以致一个路由协议无法完成为所有路由器更新路由表的任务。为此，需要将一个互联网络分为若干“自治系统”（AUTONOMOUSSYSTEMS，AS）。一个“自治系统”是指由同一个管理员管理的一组网络和路由器。自治系统内部的路由称为“内部路由”，自治系统之间的路由称为“外部路由”。每个自治系统都可以选择一个内部路由协议来处理该自治系统内部的路由。但是，自治系统之间的路由通常只能使用一个外部路由协议来处理。所以路由协议分为内部网关协议（IGP，INTERIORGATEWAYPROTOCOL）和外部网关协议（EGP，EXTERIORGATEWAYPROTOCOL）。前者用来交换同一自治系统中所有路由器间的所有路由信息，适用于某一大型网络中的路由器组使用。后者以可控制的方式在不同自治系统中传送路由信息，适合于在因特网之类网关经常变化的系统间进行路由信息交换。在每个自治系统中，所有路由器都运行一个内部网关协议以自由地交换路由信息。不同自治系统之间则使用外部网关协议，它限制在这些互连的自治系统之间交换的路由信息总量，并允许按不同方式管理它们。与INTRANET建设有关的常用内部网关协议又可进一步分为距离矢量协议和链路状态协议两种。距离矢量协议（如RIP、IGRP等）周期性地通过广播进行路由更新，并只与直接相连的相邻路由器交换信息。而且在每次路由更新中都发送所有的路由表表项。每个路由器只认识相邻的路由器和到目标的路离。链路状态协议（如OSPF等）使每个路由器在其区域内维护相同的数据库，在网络里的每个路由器能看见整个网络，链路状态更新通告所有其他路由器的只是有关其邻接和链接链路的信息，而非整个路由表。而且它无须周期性地更新，只有改变后才传播出去。RIP协议RIP（ROUTINGINFORMATIONPROTOCOL，路由信息协议）简单实用，是目前最常用的协议。RIP每30秒发送一次路由信息，而且规定如果180秒内没有听到其他网关发来路由信息，它就不再是可用的，路由器便将发送一个特殊的信息将不可用的路由通知给相邻的路由器。RIP选择具有最少“跳数（HOPCOUNT）”（度量）的路由作为最佳路径。RIP的跳数表示数据在到达其目的地之前必须通过的网关数量（直接相连的度量值为0）。RIP认为最佳路径就是使用网关最少的路由。即网关越少就意味着路径越短，最短的路径就是最佳路径。利用这种方法去选择最佳路由，有时就称为“距离矢量算法”。RIP接受的最长距离是15跳。如果一条路由的度量大于15跳，它就认为其目的地是达不到的（RIP协议中16“无限”），并舍弃该路由。为此，RIP不适合于其路由可能超过15个网关以上的超大型自治系统。而且路由器组保持同步时可能产生大量通信量（广播风暴），适用于小网络（1015个子网或更少）或不使用冗余路由的网络环境中RIP是为小型同类网络设计的。目前最常用的路由协议是RIP1（第1版）。但不少新型路由器支持RIP2。RIP2最大的特点是支持认证功能和多播功能。前者是为了阻止未经许可的路由发布，在RIP数据包中加入认证功能。后者则针对RIP1采用广播形式向每一个网络邻居发布RIP报文的缺点（这种情况下，不仅网络上所有的路由器接收到数据包，而且所有主机也接收到数据包），使用多播地址224009，使RIP报文仅向网络中的路由器发布。RIP报文被封装在UDP用户数据报中。分配给UDP中RIP使用的公认端口号是520。IGRP（INTERIORGATEWAYROUTINGPROTOCOL，内部网关路由协议）IGRP是CISCO公司开发的路由协议，在优化网络间的数据包路由方面具有良好的性能。它的度量值可以超过160万。IGRP是目前CISCO路由器常用的高级距离向量协议。其增强型为EIGRP协议，但定制更为复杂。OSPF（OPENSHORTESTPATHFIRST,开放式最短路径优先协议）OSPF把一个大型网络分成多个小子域，称为区域（AREA），并使单个区域内的每个路由器都维护同一个数据库，它运行最短路径优先算法，用此数据库的信息来构建路由选择表，通过优先分析到目标的最少开销（COST）路由，把路由添加到表中，使整个网络通信开销降到最低，适合于超大型网络。开销是基于一定的公式计算出来的，OSPF使用该接口开销来选择到目标的最优路径；最优路径是由接口开销总和决定的。OSPF是按IGP设计的，但它能够从不同的自治系统接收路由，并且向不同的系统发送路由。OSPF要求路由器有更多的RAM和更快速的处理器，定制也较为复杂。【注意】WINDOWSNT40支持RIP路由协议，但不支持OSPF（WINDOWS2000支持）。623常用路由操作命令ROUTE命令显示路由表ROUTEPRINT【例】CROUTEPRINTINTERFACELIST0X1MSTCPLOOPBACKINTERFACE0X200D0F800D42APCIBUSMASTERADAPTER（网卡MAC地址）ACTIVEROUTES（活动路由）NETWORKDESTINATIONNETMASKGATEWAYINTERFACEMETRIC目标网络IP地址网络掩码网关地址接口度量0000000017216128117216128581默认路由1270002550001270011270011回传地址1721612802552552550172161285817216128581本地子网地址17216128582552552552551270011270011网卡地址17216255255255255255255172161285817216128581子网广播地址224000224000172161285817216128581组播地址255255255255255255255255172161285817216128581广播地址DEFAULTGATEWAY172161281默认网关PERSISTENTROUTESNONE固定路由说明网络地址目标网络的IP地址（或网络名称）网络掩码限定网络地址的哪一部分必须匹配，才能使用该路由。网关地址如果在路由表中发现了匹配的网络地址，数据就从该处发送。接口从网卡的哪个IP地址发送数据包。度量路由级别的优先性（通常反映到达目标所必须经过的路由器台数），在给定目标有不只一条路径时起作用（路由器将选择具有最低度时的路由表条目）。标准路由表中通常有默认路由（0000）路由表中无其他匹配时用之（通常用于指定默认网关）回传地址（127000）用于测试IP配置本地子网地址（172161280）本地主机地址（1721612858），即网卡地址（使用本地回传地址）子网广播地址用于发送子网广播组播地址（224000）用于将组播信息发送到预定的主机组有限的广播地址（255255255255）广播到本地网络所用地址（IP广播不通过路由器宣传）设置静态路由表条目ROUTEADD目标网络或主机MASK子网掩码通往目标的网关【例】ROUTEADD10330MASK2552552550102505向系统路由表中增加一个条目，表示当与子网10330中的任何主机通信时，将所有包都通过位于102505的路由器转发。该命令假定102505的路由器处于本地子网，且知道如何到达网络10330。ROUTE命令的一般格式ROUTEFP命令短语目的网络或主机MASK子网掩码通往目的地的网关METRIC度量值【例】ROUTEF清除路由表ROUTEFADD先清除路由表，再添加路由ROUTEPADD使增加的路由永久有效（默认情况重启后会丢失）命令短语ADD增加一条路由PRINT显示路由表内容DELETE删除一条路由CHANGE更改已有路由TRACERT命令跟踪本地主机和目标主机之间的连接。其原理是向目标主机发送带有不断变化TTL值（第一个为1，然后每次增1）的ICMP回应数据包，直到目标作出响应或者TTL达到最大值（30个中断段）为止，以确定到目标主机的路由。【例】TRACERT1721614423TRACINGROUTETOLAIENZE1721614423OVERAMAXIMUMOF30HOPS1REQUESTTIMEDOUT2用户级状态PTGZENABLE（转入特权级命令）PTGZ（特权状态即EXEC状态）进去后打“”可列出有关命令。退出EXIT或LOGOUT63VLAN技术原理631什么是VLAN（VIRTUALLOCALAREANETWORKS，虚拟局域网）众说纷纭，大致可认为是若干站点（也许是在多个物理网段上）的组合。它们不受各自物理位置的限制，可以互相通信，似乎是在同一个普通的LAN中。一个VLAN基本上是位于一个物理网络之上的一个逻辑广播域（BROADCASTDOMAIN），即在一个VLAN中的所有成员可以接收到同一VLAN中各成员发送的每一个广播包（BROADCASTPOCKET），但不能接收其他VLAN成员发送的广播包。以“基于端口”的VLAN为例，在一个桥接网络的某一特定VLAN中向广播地址发送的流量（DA全为1），只会向连接有相同VLAN成员的其他网桥端口进行转发，而一个不支持VLAN的网桥会把某一端口上接收到的广播流量向所有其他端口进行转发。所有VLAN的成员通过使用VLAN标记（VLANTAG）进行指定和区分，在逻辑上组合到同一个广播域中，与其物理位置无关。VLAN内部的添加、移动和改变通过软件实现。VLAN成员间无需通过路由技术进行通信。VLAN的概念使得网络管理员在配置和维护一个大型网络时，可为用户提供原来通过多个独立网络才可获得的连接能力和安全性。大部分交换器的VLAN性能都遵循IEEE8021Q标准，以太网交换机的VLAN还须参照IEEE8023AC，有些交换器则遵循CGMP（CISCOGROUPMANAGEMENTPROTOCOL）专用标准。632为什么要使用VLAN1、增加了网络连接的灵活性网络管理员对网络上工作站可以按业务功能，而不必按地理位置分组。2、控制网络上的广播风暴随着网络向交换结构转变，网络内部路由器（其作用之一是阻隔广播）的使用越来越少。这样，广播风暴将发送到每一个交换端口，这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量，缺点是增加了整个交换网络的广播风暴。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播风暴不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播风暴。这样，可以减少广播流量，释放带宽给用户应用，减少广播风暴的产生。3、增加网络的安全性人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的资源。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。4、实现网络集中化管理控制通过集中化的VLAN管理程序，网络管理员可以确定VLAN组，分配特定用户和交换端口给这些VLAN组，设置安全性等级，限制广播域的大小，通过冗余链路负载分担网络流量，跨越交换机配置VLAN通信，监控交通流量和VLAN使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能，减少了管理的费用633VLAN的类型VLAN的划分方式通常有如下几种最早的VLAN划分是基于端口（PORTBASED）的，即通过端口来划分VLAN；现在的交换器还支持通过MAC地址（MACBASED）和IP地址（PROTOCOLBASED）来划分VLAN；一些较新的交换器，还可以通过策略服务（POLICYSERVIE）来管理VLAN，进一步简化了VLAN的划分和管理。基于端口（PORTBASED）的VLAN许多早期的VLAN方案定义VLAN成员是通过交换机的端口组（如将某交换机的第1、3、5和7号端口划分为VLANA，而将其第2、4和6号端口划分为VLANB）。在这些早期的方案中，VLAN只能支持一个交换机。第二代的方案则支持跨交换机的VLAN（如将交换机X的第1和2号端口及交换机Y的第3、4、6号端口划分为VLANA，而将将交换机X的3、4、5、6、7和8号端口及交换机Y的第1、2、5号端口划分为VLANB）。这种基于端口的方案仍是当前最常用的定义VLAN成员的方法，因为所有的厂商都支持它，而且设置相当方便。在VLAN中，经常需要在设置的简便性和管理的简便性二者之间进行平衡。基于端口的方案具有良好的设置简便性，VLAN建立很简单，但管理是相当麻烦的（除非使用优秀的管理软件）。其一个明显的缺陷是每个端口只能支持一个VLAN，不能支持多个VLAN使用同一个物理网段（即交换机端口）的要求。此外如果某个用户所接的端口改变了，网络管理员必须重新设置VLAN成员。而且各个设备按其物理连接的端口分配给各个VLAN，VLAN的端口分配是静态的，只能由网络管理员改变。所以对那些往往需要访问不止一个VLAN的大型服务器的支持就十分有限。这种VLAN也可称为所谓“基于管理员”的，设计它们的目的只是为了提高网络的运行效率主要是用于防止拥塞（FLOOD）而非为了满足工作需要。由于需要人工设置，所以管理员们工作量增大，但带来的一个优点则是其安全性很好，因为只有网络管理员能修改设置。它是VLAN中最简单的一种，却也能提供最大程度的控制和安全性。基于MAC地址（MACBASED）的VLAN在基于MAC地址的VLAN中，所有的地址解析是在OSI协议的第二层进行，即根据MAC地址。由于MAC地址是固化在用户的NIC中，基于MAC的VLAN使得网络管理员可以将一个工作站移动到网络的其他物理位置，且保证其VLAN成员的身份不变自动实现。这种VLAN特别适用于各种便携式电脑，它们可以随便接入到网络的任何一处而保持其VLAN成员的身份不变。所以这种VLAN被认为是“基于用户”的VLAN。但是这一性能不适用于工作于第三层网络的那些真正的远程用户（许多便携式电脑用户属于这种情况），因为MAC地址不能跨越网络层。这种VLAN的另一特点是可以形成“交迭的”VLAN即一个站点可以同时属于多个VLAN。其优点是便于实现若干个业务群间的跨接通信（如销售主管和经理们需要同时在销售和市场两个VLAN中）。允许将技术支持站点列入所有VLAN成员名单中。其缺点是VLAN设置时必须由人工完成，相当麻烦。有些厂商提供了某些工具，可以按网络的当前状态建立VLAN。这样就可按建立时的现有子网状态建立一个基于MAC的VLAN，那些无法识别的MAC地址（如VLAN管理工具不能使用的）则被归入一个未设置的VLAN，留待人工设置。在纯基于MAC地址的VLAN中，通常所有的站点都具有相同的网络地址（IP或IPX），并采用路由器互联不同的VLAN。基于协议（PROTOCOLBASED）的VLAN另一种简单的VLAN类型是根据协议来划分VLAN，如将所有基于MAC地址的用户划分到一个VLAN中，其他的可以通过IP地址或IPX等协议进行划分。管理员可以决定在帧里使用某一字段来标明协议类型，并由该字段来决定VLA成员资格，然后将这个策略下载到网络中的所有交换机中。例如可以将所有使用ETBIOS和IP的用户归入各自的VLAN。其优点是许多用户可以同时处于多个VLAN中，但所有认真的厂商都不会允许用这种方法将VLAN加入到网络中。它的另一个优点是适用于这类网络管理员在一个大型网络中运行不同的协议，而不同的用户组则已经是不同通信类型的成员了。这种情况下，它可以用来分隔不同的通信类型。和基于端口的VLAN一样，这种VLAN也是“基于管理员”的，因为它们的用途只是用来提高网络的效率。其最大的优点则是允许IPX网络加入以简单的方式将IPX产生的SAP（服务广告协议）广播置于有效的控制中。其一个明显的缺点是，它可以让其他站点随意加入，除非它们与基于IP的VLAN一起使用。基于协议的VLAN是在OSI协议第三层工作的最简单的VLAN类型；在IP网络上，则意味着它能识别IP地址。三层性能的加入使交换机能在数据包中识别相应地址字段，选购时交换机必须必须谨慎，因为它必须能支持LAN中所用的所有协议，。基于IP的VLAN更复杂的三层交换是基于IP地址（也有基于IPX网络号的）。基于IP的VLAN是以第三层的信息为基础，使用网络（如IP子网）地址。在确定VLAN成员资格时，它们也考虑到协议的类型（如果支持多协议的话）。虽然这些VLAN是以所发送的包中的第三层信息为基础，即交换机检查数据包中的IP地址以确定VLAN的成员资格，但没有进行路由计算，也没有使用RIP或OSPF等路由协议，所以并未构成路由，勿与路由功能相混淆。不管交换机有多么复杂，它不会是一个路由器，后者是一个称职的“交通警察”，它具有寻址的智能并起着隔离WAN的防火墙作用而大多数的三层交换机并不具备这些功能。可以建立一个全部由交换机实现的安全网络，但需要一些独立的安全设备。在第三层定义VLAN有以下几个优点它可实现通过协议划分VLAN。这对那些专注于基于服务或应用VLAN策略的网络管理员可能是很有吸引力的。用户可以物理移动其工作站而不必重新设置每个工作站的网络地址这只适用于纯TCP/IP网络。在三层定义VLAN可以不需要使用帧标识（TAGGING）在交换机间的VLAN进行通信，降低了传输开销。网络管理员可以在VLAN管理软件中通过简单的拖放式操作规定哪个子网在哪个VLAN中，并将所有的用户与其子网一起分配。如果通过IP子网定义，新用户加入可以是由VLAN自动调整，因为交换机会发现它们位于哪个子网。在三层定义的VLAN用于TCP/IP协议特别有效，但对那些无需在桌面人工设置的协议（如IPX、DECNET、或APPLETALK协议）效果就差些。不过自从INTER架构的PC和IP在新机安装领域逐渐占据主导地位，TCP/IP的使用将越来越普遍。基于策略的VLAN策略用于网络管理已逾二十年了，但除了大公司，仍未获广泛使用。在关系到多个用户对资源的访问权限的时候，需要一种通用的策略框架来控制网络内不同对象的行为用户、管理员、应用软件及硬件的下部构造。策略的思想是容易理解的它们是各种可能行为的控制准则。它们按IFTHEN结构工作。策略可以对网络中的人员、软件及硬件的行为进行禁止、许可或强制。策略管理迄今为止一直被用于某些类型的管理软件上故障、性能、安全、配置及帐户。但也开始应用于其他类型的软件。这是最强大的VLAN方案。它使网络管理员可以使用任何VLAN策略的组合来建立适合自己需要的VLAN。一旦一个策略被下载到一台交换机中，它在整个网络中就得到全面应用，有关设备就将被加入到各VLAN中。基于策略的VLAN可以使用各种划分方法，包括上述所列的各种VLAN类型MAC源地址，IP地址，及协议字段。也可以将不同的策略结合起来，形成一个策略，以满足网络管理员的特殊要求。634VLAN标记帧格式VLAN通过在原始以太网帧的源地址和类型/长度字段间插入一个4字节的字段（VLAN标记）来提供交换机间的关联。以“基于端口的”VLAN为例，当广播帧在交换机间端口传输时，它被插入标明VLAN标记，另一个交换机接收到它之后，将除去VLAN标记，并观察其要求，然后向VLAN成员所连接的其他端口转发。由于VLAN标记是插入的，不是简单的封装，所以插入或除去时都必须重新计算CRC，且在它存在时帧的长度也应加上4字节（此时最大为1522字节）。【复习】以太网帧格式DATAPADPA10101010前导11同步DA目标地址SA源地址类型/长度MAC控制操作码（2字节）控制码参数（60字节，不足填0）FCS帧校验62位2位6字节6字节2字节461500字节4字节PAPREAMBLESFDSTARTOFFRAMEDELIMITERDADESTINATIONADDRESSSASOURCEADDRESSFCSFRAMECHECKSEQUENCE【比较】以太网VLAN帧格式前导同步DASA标记类型标记控制类型/长度DATAPADFCS8字节662224615004【注】标记类型8100（十六进制）标记控制优先级CFIVLAN标识（VID）优先级（3位）8级（0最高，7最低）CFI（规范格式指示器，1位）以太网不用（置为0），令牌环网可用64千兆位以太网（GIGABITETHERNETNETWORKING）当前宽带局域网的主流，仍保留10BASET的帧格式，具有相同的媒体访问控制方法（CSMA/CD）和组网方法，只是把每个比特的发送时间由100NS（毫微秒，等于1秒的10亿分之一）降低到1NS。为了适应高速传输，传输媒体采用光纤或短距离双绞线，并定义了一种千兆位媒体专用接口GMII（GIGABITMEDIAINDEPENDENTINTERFACE），用以将MAC子层和物理层分隔开，使物理层在实现1000MBPS速率时所使用的传输媒体和信号编码方式的变化不影响MAC子层。千兆位以太网的技术标准是IEEE8023Z，相关标准有IEEE8023AB（1000BASET）等。IEEE8023委员会制定了4种传输媒体的标准1000BASESX基带短波光纤使用波长为850NM的多模光纤最大网段长度275M（625M）/550M（50M）；1000BASELX基带长波光纤使用波长为1300NM的单/多模光纤最大网段长度550M（625M和50M多模）/5000M（10M单模）；1000BASECX基带铜缆使用屏蔽双绞线，长度可达25M；1000B