网络工程师备考资料.doc

网络工程师全面备考资料系列3 copyright reserved by Ryan Hawk数值数据在计算机内用二进制编码表示，常用的原码、反码和补码。 1机器数与真值通常，称表示一个数值数的机内编码为机器数，而它所代表的实际值称为机器数的真值。对于带符号数，在机器中通常用最高位代表符号位，0表示正，1表示负 补码，并设机器字长为8位。2原码 正数的符号位为0，负数的符号为1，其它位按一般的方法表示数的绝对值，用这样的表示方法得到的就是数的原码。3反码正数的反码与其原码相同，负数的反码为其原码除符号位外的各位按位取反（即是0的改为1，是1的改为0） 4补码正数的补码与其原码相同，负数的补码为其反码在最低位加1。 二.计算机指令系统 1.寻址方式：指CPU指令中规定的寻找操作数所在的地址的方式。操作数: MOV AL , 05H 操作码 目的操作数 ， 源操作数 操作数引用时的字节顺序：若存放的信息是字节，则按顺序存放若存放的信息是字，则将字的低位字节存放在低地址，高位字节存放在高地址注：如果 没有特别说明，寻址方式是指源操作数的寻址方式。 2.寻址方式之一：立即寻址操作数作为立即数直接存在指令中，可为字节或字。 3.寻址方式之二：寄存器（直接）寻址操作数包含在指令规定的8位、16位寄存器中。寄存器寻址由于无需从存储器中取操作数，故执行速度快。 4.寻址方式之三：直接寻址在指令的操作码后面直接给出操作数的16位偏移地址。这个偏移地址也称为有效地址EA。操作数默认在DS段中。如果操作数在DS以外的其他段（CS,SS,ES）中，指令中必须指明段寄存器（段超越）。 5.寻址方式之四：寄存器间接寻址操作数地址的偏移量（有效地址EA）存放在寄存器中。以SI,DI, BX间接寻址，默认操作数在DS段中；以BP间接寻址，默认操作数在SS段中。 6.寻址方式之五：基址寻址基址寻址将规定的基址寄存器的内容加上指令中给出的偏移量，即可得到操作数的有效地址。基址寄存器包括基址寄存器BX和基址指针寄存器BP。 7.寻址方式之六：变址寻址变址寻址将规定的变址寄存器的内容加上指令中给出的偏移量，即可得到操作数的有效地址。变址寄存器包括源变址寄存器SI和目的变址寄存器DI。 8.寻址方式之七：基址变址寻址指令中规定一个基址寄存器和一个变址寄存器，同时还给出一个8位或16位偏移量，将三者的内容相加得到操作数的有效地址。三.存储器的基本组成及其读写操作（1）存储器的基本组成主存储器由存储体、地址译码电路、驱动电路、读写电路和控制电路等组成。主存储器主要功能是:存储体:是信息存储的集合体，由某种存储介质按一定结构组成的存储单元的集合。通常是二维阵列组织，是可供CPU和计算机其他部件访问的地址空间。 地址寄存器、译码电路与驱动器:即寻址系统，将CPU确定的地址先送至地址寄存器中，然后根据译码电路找到应访问的存储单元。在存储体与译码器之间的驱动器的功能是减轻译码线驱动负载能力。由于一条译码线需要与它控制的所有存储单元相联，其负载很大。需要增加驱动器，以译码线连接驱动器的输入端，由驱动器的输出端控制连接在译码线上的所有存储单元。读写电路与数据寄存器:根据CPU的命令，将数据从数据寄存器中写入存储体中特定的存储单元或将存储体中指定单元的内容读到数据寄存器中。 控制电路:接收CPU传来的控制命令，经过控制电路一系列的处理，产生一组时序信号控制存储器的操作。在存储器的组成中，存储体是核心，其余部分是存储体的外围线路。不同的存储器都是由这几部分组成，只是在选用不同的存储介质和不同的存取方式时，各部分的结构与工作方式略有变化。 （2）存储体阵列计算机存储器中存储的是“0”和“1”的信息，每一个能存储一位二进制并能保持两种状态的元件称为记忆元件。若干记忆元件组成存储单元，一个存储单元能够存储一个或几个字节的二进制信息。每个存储单元都有一个地址编号，用以唯一标识存储单元的位置。信息按地址存入指定的存储单元中，按地址从指定的存储单元中取出。存储单元的集合称为存储体。由于存储体中存储单元的每个二进制位必须并行工作，因此将存储单元按其地址的顺序组成存储阵列。 （3）存储器的地址译码系统 CPU要访问存储单元的地址由地址总线输入到地址寄存器中。地址译码器将地址转换为对应地址线（字线）上的控制信号，以表示选中某一单元，并驱动相应的读写电路，完成对存储单元的读写操作。地址译码为两种方式:一种是单译码方式，仅有一个译码器。译码器输出的每条译码线对应一个存储单元。如地址位数N=10，即译码器可以有2 10 =1024种状态，对应有1024条译码线（字线）即1024个存储单元。另外一种是双译码方式，将译码器分成X向和Y向两个译码器，通过双译码器的相互作用确定存储单元的地址。设地址长度n仍为10，将其中的前5位输入到X地址译码器中，译出X 0 到X 31 译码线，分别选择031行。将后5位输入到Y地址译码器中译出Y 0 到Y 31 译码线，分别选择031列。X向译码器和Y向译码器引出的地址线都是2 5 =32条。若采用X向和Y向交叉选择，可以选择从存储单元（0，0）至（31，31）共2 5 2 5 =1024个存储单元地址。即同样可以提供1024种状态，而地址线只需要64条，比单译码器节省93.75%的地址线。 （4）存储器的读写操作在CPU向存储体发生读操作命令时，首先由CPU将相应存储单元的地址码送至地址寄存器中;地址译码器将地址寄存器中的地址编码译成相应地址线（字线）的高电位，标志指定的存储单元;然后在CPU的统一控制下，由控制电路将读命令转换成读写电路的操作，执行将指定存储单元的内容传送到数据寄存器的操作，完成了整个存储器读的操作。存储器写的操作与读的操作相类似。二.计算机指令系统 1.寻址方式：指CPU指令中规定的寻找操作数所在的地址的方式。操作数: MOV AL , 05H 操作码 目的操作数 ， 源操作数 操作数引用时的字节顺序：若存放的信息是字节，则按顺序存放若存放的信息是字，则将字的低位字节存放在低地址，高位字节存放在高地址注：如果 没有特别说明，寻址方式是指源操作数的寻址方式。 2.寻址方式之一：立即寻址操作数作为立即数直接存在指令中，可为字节或字。 3.寻址方式之二：寄存器（直接）寻址操作数包含在指令规定的8位、16位寄存器中。寄存器寻址由于无需从存储器中取操作数，故执行速度快。 4.寻址方式之三：直接寻址在指令的操作码后面直接给出操作数的16位偏移地址。这个偏移地址也称为有效地址EA。操作数默认在DS段中。如果操作数在DS以外的其他段（CS,SS,ES）中，指令中必须指明段寄存器（段超越）。 5.寻址方式之四：寄存器间接寻址操作数地址的偏移量（有效地址EA）存放在寄存器中。以SI,DI, BX间接寻址，默认操作数在DS段中；以BP间接寻址，默认操作数在SS段中。 6.寻址方式之五：基址寻址基址寻址将规定的基址寄存器的内容加上指令中给出的偏移量，即可得到操作数的有效地址。基址寄存器包括基址寄存器BX和基址指针寄存器BP。 7.寻址方式之六：变址寻址变址寻址将规定的变址寄存器的内容加上指令中给出的偏移量，即可得到操作数的有效地址。变址寄存器包括源变址寄存器SI和目的变址寄存器DI。 8.寻址方式之七：基址变址寻址指令中规定一个基址寄存器和一个变址寄存器，同时还给出一个8位或16位偏移量，将三者的内容相加得到操作数的有效地址。三.存储器的基本组成及其读写操作（1）存储器的基本组成主存储器由存储体、地址译码电路、驱动电路、读写电路和控制电路等组成。主存储器主要功能是:存储体:是信息存储的集合体，由某种存储介质按一定结构组成的存储单元的集合。通常是二维阵列组织，是可供CPU和计算机其他部件访问的地址空间。 地址寄存器、译码电路与驱动器:即寻址系统，将CPU确定的地址先送至地址寄存器中，然后根据译码电路找到应访问的存储单元。在存储体与译码器之间的驱动器的功能是减轻译码线驱动负载能力。由于一条译码线需要与它控制的所有存储单元相联，其负载很大。需要增加驱动器，以译码线连接驱动器的输入端，由驱动器的输出端控制连接在译码线上的所有存储单元。读写电路与数据寄存器:根据CPU的命令，将数据从数据寄存器中写入存储体中特定的存储单元或将存储体中指定单元的内容读到数据寄存器中。 控制电路:接收CPU传来的控制命令，经过控制电路一系列的处理，产生一组时序信号控制存储器的操作。在存储器的组成中，存储体是核心，其余部分是存储体的外围线路。不同的存储器都是由这几部分组成，只是在选用不同的存储介质和不同的存取方式时，各部分的结构与工作方式略有变化。 （2）存储体阵列计算机存储器中存储的是“0”和“1”的信息，每一个能存储一位二进制并能保持两种状态的元件称为记忆元件。若干记忆元件组成存储单元，一个存储单元能够存储一个或几个字节的二进制信息。每个存储单元都有一个地址编号，用以唯一标识存储单元的位置。信息按地址存入指定的存储单元中，按地址从指定的存储单元中取出。存储单元的集合称为存储体。由于存储体中存储单元的每个二进制位必须并行工作，因此将存储单元按其地址的顺序组成存储阵列。 （3）存储器的地址译码系统 CPU要访问存储单元的地址由地址总线输入到地址寄存器中。地址译码器将地址转换为对应地址线（字线）上的控制信号，以表示选中某一单元，并驱动相应的读写电路，完成对存储单元的读写操作。地址译码为两种方式:一种是单译码方式，仅有一个译码器。译码器输出的每条译码线对应一个存储单元。如地址位数N=10，即译码器可以有2 10 =1024种状态，对应有1024条译码线（字线）即1024个存储单元。另外一种是双译码方式，将译码器分成X向和Y向两个译码器，通过双译码器的相互作用确定存储单元的地址。设地址长度n仍为10，将其中的前5位输入到X地址译码器中，译出X 0 到X 31 译码线，分别选择031行。将后5位输入到Y地址译码器中译出Y 0 到Y 31 译码线，分别选择031列。X向译码器和Y向译码器引出的地址线都是2 5 =32条。若采用X向和Y向交叉选择，可以选择从存储单元（0，0）至（31，31）共2 5 2 5 =1024个存储单元地址。即同样可以提供1024种状态，而地址线只需要64条，比单译码器节省93.75%的地址线。 （4）存储器的读写操作在CPU向存储体发生读操作命令时，首先由CPU将相应存储单元的地址码送至地址寄存器中;地址译码器将地址寄存器中的地址编码译成相应地址线（字线）的高电位，标志指定的存储单元;然后在CPU的统一控制下，由控制电路将读命令转换成读写电路的操作，执行将指定存储单元的内容传送到数据寄存器的操作，完成了整个存储器读的操作。存储器写的操作与读的操作相类似。一. 网络常见的攻击类型1 后门攻击BO、SATANZ、Portal of DOOM、Silencer、NetBus、Netspy、GirlFriend、冰河等。2 拒绝服务攻击SYN Flood、UDP Flood、winnuke、Kiss of Death、Wingate DoS、Land、concon、ARP Spool等。3 分布式拒绝服务攻击Tfn2k、trinoo、stachel、mstream等。4 扫描攻击ISS扫描、Nessus扫描、nmap扫描、Superscan扫描、whisker扫描、Webtrends扫描、L3retriever扫描、ipe-syn-scan扫描等。5 Web-cgi攻击Test-cgi、handler、count.cgi、phf、PHP、Webgais、Websendmail、Webdist等。6 Web-IIS攻击：NewDSN等。7 Web-FrontPage攻击：Fpcount等。8 Web-ColdFusion攻击：Openfile等。9 缓冲区溢出攻击包括IMAP、Named、Qpop、FTP、mountd、Telnet等服务程序的缓冲区溢出攻击。10 RPC攻击包括对sadmind、ttdbserver、nisd、amd等RPC攻击。11 ICMP攻击主要包括利用大量ICMP Redirect包修改系统路由表的攻击和使用ICMP协议实施的拒绝服务攻击。12 SMTP攻击（邮件攻击）E-mail Debug等，以及利用SMTP协议实现HELO、RCPT TO、VRFY等缓冲区漏洞实施攻击。13 前奏攻击：SourceRoute等。14 病毒攻击：Happy 99、爱虫病毒、WinimDa等。15 口令攻击：telnet口令攻击、FTP口令攻击。VLAN从入门到精通一、什么是三层交换和VLAN要回答这个问题我们还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据（其实是一些电脉冲）在导线中进行传播。 首先，以太网网段上需要进行数据传送的节点对导线进行监听，这个过程称为CSMA/CD（Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问）的载波侦听。如果，这时有另外的节点正在传送数据，监听节点将不得不等待，直到传送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据，以太网网段将发出“冲突”信号。这时，节点上所有的工作站都将检测到冲突信号，因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下，在一个时间段，只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备，传输效率比较低。冲突的产生降低了以太网的带宽，而且这种情况又是不可避免的。所以，当导线上的节点越来越多后，冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点，需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以，如果所有的信息都只发往本地的物理网段，那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC（介质访问控制）地址做出转发决定的，它们是二层设备。 我们已经知道了以太网的缺点及物理网段中冲突的影响，现在，我们来看看另外一种导致网络降低运行速度的原因：广播。广播存在于所有的网络上，如果不对它们进行适当的控制，它们便会充斥于整个网络，产生大量的网络通信。广播不仅消耗了带宽，而且也降低了用户工作站的处理效率。由于各种各样的原因，网络操作系统（NOS）使用了广播，TCP/IP使用广播从IP地址中解析MAC地址，还使用广播通过RIP和IGRP协议进行宣告，所以，广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发，而路由器不会。所以，为了对广播进行控制，就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。 在这里，我们就容易理解三层交换技术了，通俗地讲，就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后，将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此映射表直接从二层进行交换而不是再次路由，提供线速性能，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。采用此技术的交换机我们常称为三层交换机。 那么，什么是VLAN呢？VLAN（Virtual Local Area Network）就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域（VLAN）。一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。 二、如何配置三层交换机创建VLAN 以下的介绍都是基于Cisco交换机的VLAN。Cisco的VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN的方式有两种，分别是静态的和动态的. 形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。即我们先在VTP （VLAN Trunking Protocol）Server上建立VLAN，然后将每个端口分配给相应的VLAN的过程。这是我们创建VLAN最常用的方法。 动态VLAN形成很简单，由具体的机器决定自己属于哪个VLAN。即我们先建立一个VMPS（VLAN Membership Policy Server）VLAN管理策略服务器，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方法有很大的优势，但创建数据库是一项非常艰苦而且非常繁琐的工作。 下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。 所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机（不一定具备三层交换能力）。我们假设核心交换机名称为：COM；分支交换机分别为：PAR1、PAR2、PAR3，分别通过Port 1的光线模块与核心交换机相连；并且假设VLAN名称分别为COUNTER、MARKET、MANAGING 需要做的工作： 1、设置VTP DOMAIN（核心、分支交换机上都设置） 2、配置中继（核心、分支交换机上都设置） 3、创建VLAN（在server上设置） 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意：这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。 Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL（InterSwitch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下： COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下： PAR1(config)#interface gigabitEthernet 0/1 PAR1(config-if)#switchport mode trunk PAR2(config)#interface gigabitEthernet 0/1 PAR2(config-if)#switchport mode trunk PAR3(config)#interface gigabitEthernet 0/1 PAR3(config-if)#switchport mode trunk 此时，管理域算是设置完毕了。 3、创建VLAN一旦建立了管理域，就可以创建VLAN了。 COM(vlan)#Vlan 10 name COUNTER 创建了一个编号为10 名字为COUNTER的 VLAN COM(vlan)#Vlan 11 name MARKET 创建了一个编号为11 名字为MARKET的 VLAN COM(vlan)#Vlan 12 name MANAGING 创建了一个编号为12 名字为MANAGING的 VLAN 注意，这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP 属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。 4、将交换机端口划入VLAN 例如，要将PAR1、PAR2、PAR3分支交换机的端口1划入COUNTER VLAN，端口2划入MARKET VLAN，端口3划入MANAGING VLAN PAR1(config)#interface fastEthernet 0/1 配置端口1 PAR1(config-if)#switchport access vlan 10 归属COUNTER VLAN PAR1(config)#interface fastEthernet 0/2 配置端口2 PAR1(config-if)#switchport access vlan 11 归属MARKET VLAN PAR1(config)#interface fastEthernet 0/3 配置端口3 PAR1(config-if)#switchport access vlan 12 归属MANAGING VLAN PAR2(config)#interface fastEthernet 0/1 配置端口1 PAR2(config-if)#switchport access vlan 10 归属COUNTER VLAN PAR2(config)#interface fastEthernet 0/2 配置端口2 PAR2(config-if)#switchport access vlan 11 归属MARKET VLAN PAR2(config)#interface fastEthernet 0/3 配置端口3 PAR2(config-if)#switchport access vlan 12 归属MANAGING VLAN PAR3(config)#interface fastEthernet 0/1 配置端口1 PAR3(config-if)#switchport access vlan 10 归属COUNTER VLAN PAR3(config)#interface fastEthernet 0/2 配置端口2 PAR3(config-if)#switchport access vlan 11 归属MARKET VLAN PAR3(config)#interface fastEthernet 0/3 配置端口3 PAR3(config-if)#switchport access vlan 12 归属MANAGING VLAN 5、配置三层交换 到这里，VLAN已经基本划分完毕。但是，VLAN间如何实现三层（网络层）交换呢？这时就要给各VLAN分配网络（IP）地址了。给VLAN分配IP地址分两种情况，其一，给VLAN所有的节点分配静态IP地址；其二，给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。 假设给VLAN COUNTER分配的接口Ip地址为/24，网络地址为：， VLAN MARKET 分配的接口Ip地址为/24，网络地址为：， VLAN MANAGING分配接口Ip地址为/24， 网络地址为 如果动态分配IP地址，则设网络上的DHCP服务器IP地址为1。 (1)给VLAN所有的节点分配静态IP地址。 首先在核心交换机上分别设置各VLAN的接口IP地址。核心交换机将vlan做为一种接口对待，就象路由器上的一样，如下所示： COM(config)#interface vlan 10 COM(config-if)#ip address VLAN10接口IP COM(config)#interface vlan 11 COM(config-if)#ip address VLAN11接口IP COM(config)#interface vlan 12 COM(config-if)#ip address VLAN12接口IP 再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN也可以互访了。 (2)给VLAN所有的节点分配动态IP地址。 首先在核心交换机上分别设置各VLAN的接口IP地址和同样的DHCP服务器的IP地址，如下所示： COM(config)#interface vlan 10 COM(config-if)#ip address VLAN10接口IP COM(config-if)#ip helper-address 1 DHCP Server IP COM(config)#interface vlan 11 COM(config-if)#ip address VLAN11接口IP COM(config-if)#ip helper-address 1 DHCP Server IP COM(config)#interface vlan 12 COM(config-if)#ip address VLAN12接口IP COM(config-if)#ip helper-address 1 DHCP Server IP 再在DHCP服务器上设置网络地址分别为，，的作用域，并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样，可以保证所有的VLAN也可以互访了。 最后在各接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获得IP地址即可。 三、总结 本文是笔者在实际工作中的一些总结。笔者力图用通俗易懂的文字来阐述创建VLAN的全过程。并且给出了详细的设置步骤，只要你对Cisco交换机的IOS有所了解，看懂本文并不难。按照本文所示的步骤一步一步地做，你完全可以给一个典型的快速以太网络建立多个VLAN。附VLAN（Virtual Local Area Network）的中文名为虚拟局域网，注意不是VPN（虚拟专用网）。VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。 VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN在交换机上的实现方法，可以大致划分为六类:1. 基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。2. 基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。3. 基于网络层协议划分VLAN VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。4. 根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。 5. 按策略划分VLAN基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。6. 按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。VLAN的优越性1. 增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。2. 控制网络上的广播VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。3. 增加网络的安全性因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组， 网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基 于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。海明码专题数据经过传送、存取等环节，就会发生误码1变成0或0变成1，这就引出如何发现及纠正误码的问题，称为检错与纠错。为了检错与纠错必须在原始数据位的基础上增加几位校验（冗余）位。 一、码距 一个编码系统中任意两个合法编码之间不同的二进制位数叫这两个码字的码距，而整个编码系统中任意两个码字的最小码距就是该编码系统的码距。 如图1所示的一个编码系统，用三位二进制来表示八个不同信息。在这个系统中，两个码字之间不同的位数从1到3不等，但最小值为1，故这个系统的码距为1。如果任何码字中一位或多位出了差错，结果这个码字就不能与其它码字区分。例如，如果传送信息001，而被误收为011，因011仍是表中的合法码字，接收方仍将认为011是正确的信息。 但是，如果用四个二进数字来编8个码字，那么在码字间的最小距离可以增加到2，如图2的表中所示。 25信息序号 二进码字 a2 a1 a00 0 0 01 0 0 12 0 1 03 0 1 14 1 0 05 1 0 16 1 1 07 1 1 1 图 1 信息序号 二进码字 a3 a2 a1 a00 0 0 0 01 1 0 0 12 1 0 1 03 0 0 1 14 1 1 0 05 0 1 0 16 0 1 1 07 1 1 1 1 图 2注意，图2的8个码字相互间最少有两位的差异。因此，如果任何码字的一个数位出差错，就成为一个不用的码字，就能检查出来。例如信息是1001，误收为1011，接收方知道发生了一个差错，因为1011表中没有，不是一个码字。然而，差错不能被纠正。因为，正确码字可以是1001，1111， 0011或1010。接收方不能确定原来到底是这4个码字中的哪一个。同时， 在这个系统中，偶数个（2位或4位）差错也无法发现。 为了使一个系统能纠正一位差错，码距最小是3。最小距离为3时，或能纠正一位错，或