企业网络组建与互联.doc

第二章企业网络组建与互联在第一章中，我们通过几个简单的小型局域网的组建，已经初步了解了计算机网络的概念、作用和基本使用方法。然后，实际网络应用环境，例如在比较大型企业的网络，情况要比前面的例子复杂的多，由于环境对网络提出了更高的使用要求，我们需要动用更多的网络设备、 更多的服务配置和更多的管理工具，因此，我们需要进一步学习如何组建和管理企业网络。真实的企业网络自然也是千差万别的，随着规模和管理要求的不同，复杂程度也有着极大的差异，但不管具体情况如何变化，企业级计算机网络的组建原理还是相同的，对核心设备的调试方法、常用服务的配置和管理工具的使用也是大同小异的，因此只要掌握了一个典型的企业网络的组建方法，就不难推广到更复杂的情况。本篇所有的章节就是以一个假想企业的网络组建步骤为例，讨论详细的组网、配置和管理方法，并在此过程中自然也穿插介绍相应的理论知识。在动手组建网络网络之前，首先必须明确组建网络的具体需求状况，有了这个目标，才能针对性地选择合适的设备和技术，逐步地进行配置，最后达到要求。摸清网络需求状况的方法是进行需求调查，这里就假设有一家建筑公司A公司准备组建自己的企业网络，对它的调查结果如下：l A公司为房屋建筑工程总承包一级资质施工企业，主要经营建筑科研、新技术开发、勘察设计、工程施工、地基处理、道路桥梁、建筑装潢、建筑材料的生产与销售等；l 已知整个公司划分为设计部和后勤部，设计部分为道路桥梁设计与建筑装潢设计两大类；l 已知整个设计部总共有120台计算机，后勤部总共有30台计算机；l 要求设计部和后勤部要求不用同一网段；l 要求设计部局域网按业务不同再隔离成两部分；l 要求整个企业网必须能实现全网络互通连接；l 已知公司中心机房可以通过专线接入Internet；l 要求组建的企业网能够提供WWW、E-mail、FTP等常用网络服务；l 要求有足够的手段保证网络安全（防病毒、木马和网络攻击等）。根据需要调查结果，可以绘制出该公司网络的简要拓扑结构示意图，如图1所示，网络组建的集体方法和步骤将在后面各章节阐释。图一 A公司网络拓扑图不同：集线器工作在物理层，只相当于一个简单得多端口信号中继器；交换机则工作于链路层，能根据数据帧的源和目的地址进行有针对性的端口对发，所以其联网性能要高于集线器。企业所用的专业交换机除了基本的局域网的另一个明显特性：后勤部、设计部子网1和设计部子网2分别单独连接到多台交换机上，亦即同一个网段上的计算机在物理上也连接到另一个交换机上，而不同网段的交换机则肯定接连接在物理上不同的交换机上，这个特征在传统组网技术看来是理所当然的。但现在却未必如此，因为在真实应用环境中，由于历史遗留资产、人员和设备变动、资产等方面的原因，往往也会出现需要在一个交换机上部署不同的网段的计算机，或让同一个网段上的计算机要求跨越交换机分布的情况，从未借助在现代网络组建工作中已经被经常使用的虚拟局域网（VLAN）技术。现在假设我们希望在A公司局域网中也采用VLAN技术提高网络组建灵活度和管理水平，工作任务就是通过对交换机作相应设置，将公司设计部的两个子网划分到不同的虚拟局域网VLAN中。为此下面先介绍交换机的概念和工作原理，然后介绍虚拟局域网VLAN的概念和实现，最后最后给出设计部VLAN划分的具体操作步骤。7.2交换机配置相关知识准备7.21交换机基本概念交换机是一种具有简化、低价、高性能和高接口密集特点的交换机产品。从硬件角度看，交换机类似于一台专用的特殊的计算机，它包括中央处理器（CPU）、随机存储器（RAM）和操作系统。交换机工作在OSI模型中的第二层，用于连接终端、服务器、路由器、集线器和其他交换机。交换机一般都采用星形拓扑结构的以太网标准技术，为所连接的两台联网设备提供同一条独享的点到点得虚线路，因此避免了冲突，能够比集线器更有效地进行数据传输。以太网交换机实现的功能有：地址的学习、帧的转发及过滤和环路避免。l 地址学习（Address learning）:以太网交换机能够学习到所有连接到其他接口的设备的MAC地址。地址学习的过程是通过监听多有流入的数据帧，对其源MAC地址进行检验，形成一个MAC地址到其相应接口号的映射，并且将这一映射关系存储在其MAC地址表中。l 帧的转发和过滤（Frame forward/Filter Decision）:当一个帧到达交换机后，交换机通过查找MAC地址表来决定如何转发数据帧。如果目的MAC地址存在，则将数据帧向其对应的接口转发。如果在表中找不到目的地址的相应项，则将数据帧向所有接口（除了源接口）转发。l 环路避免（Loop Avoidance）：以太网交换机通过使用生成树（Spanning-tree协议，来管理局域网内的环路，避免数据帧在网络中不断兜圈子的现象产生。2.交换机分类交换机按照传输数据带宽可分为：以太网交换机、快速以太网交换机、千兆以太网交换机、万兆以太网交换机；按照惯例则可划分为：非网管交换机、可网管交换机；按照实现功能可划分为：两层交换机、三层交换机。一般情况下，没有特别说明类别的交换机指都是两层交换机，它属于数据链路层设备，用于网络节点设备，传输数据，可以识别数据包中MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的接口记录在自己内部的一个地址表中。三层交换技术（也成多层交换技术，或IP交换技术）是在网络模型中的第三层实现了数据包的高速转发。三层交换技术就是：两层交换技术+三层交换技术。三层交换机不是简单的两层交换机和路由器的叠加，他的三层路由模块直接叠加在交换的告诉背板总线上，突破了传统路由器的接口速率限制，速率可达几十Gbit/s。7.2.2两层交换机的工作原理1.数据帧转发原理交换机内有一张MAC地址表，里面存放着所有连接到交换机接口上的设备的MAC地址及其相应接口号的映射关系。 当交换机被初始化时，其MAC地址表是空的，如图7-2所示。此时如果有数据帧到来，交换机就向除了源接口之外的所有接口转发。假设主机A给主机C发送数据，如图7-3所示。交换机从F0/1接口收到这个数据帧之后，就来查找其MAC地址表。由于MAC地址表为空，则向除了F0/1口以外的所有接口转发该帧。再转发的过程中，交换机得知，如果交换机现在能够从接口F0/1收到主机A发来的帧，那么以后就可以从接口F0/1将一个帧转发到目的地址A。因此，交换机将源主机A的MAC地址0260.8c02.1111及其相应接口F0/1记录到MAC地址表中。现在假设主机D给主机C发送数据，如图7-4所示。同理，交换机收到数据帧后，查找其MAC地址表。由于在此之前，主机C未发送多人和数据，所以交换机的MAC地址表中无主机C的信息。此时，交换机将此数据帧向所有接口转发（除源接口F0/4），同时将主机D的MAC地址0260.8c02.4444及其接口F0/4的映射放入MAC地址表中。直到连接交换机的所有站都发送过数据之后，交换机的MAC地址表最终建立完整。此时如果有数据帧到来，交换机根据MAC地址表中相应的条目进行转发和过滤。如图7-5所示，当交换机收到来自主机A的数据帧之后，查找MAC地址表，找到目的地址0260.8c02.2222（C站得MAC地址）对应的接口为F0/2。此时，交换机将数据帧只交给接口F0/2，不再向其他接口转发，实现了数据帧的过滤。图7-3 MAC地址表的建立：主机之间互相发送数据，交换机会学习数据帧的源MAC地址图7-4 数据帧的过滤机制：未知单播帧，广播帧：执行广播操作图7-5 已知单播帧：过滤操作2.转发方式交换机数据转发具体方式分直通式、存储转发试、无碎片直通式（更高级的直通式转发）三种。直通（Cut Through）方式在输入接口检测到一个数据包后，只检查其包头，取出目的地址，通过内部地址表确定相应的输出接口，然后把数据包转发到输出接口。这样就完成了交换，因为它只检查数据包的包头（通常只检查14个字节）。存储转发（Store and Forward）是计算机网络领域使用得最为广泛的技术之一。在这种工作方式下，交换机的控制器先缓存输入到接口的数据包然后进行CRC校验，滤掉不正确的帧，确认正确的包后，取出目的地址，通过内部的地址表确定相应的输出接口，然后把数据包转发到输出接口。无碎片直通（Fragment Free Cut Through）是介于直通式和存储转发式之间的一种解决方案，它检查数据包的长度是否够64B（512bit）。如果小于64B，说明该包是碎片（即在信息发送过程中由于冲突而产生的残缺不全的帧），则丢弃该包；如果大于64B，则发送该包。该方式的数据处理速度比存储转发方式快，但比直通式慢。7.2.3 交换机物理结构和性能 1.交换机接口类型 目前，交换机接口（有时也被称为端口）类型有四种：双绞线RJ-45接口、光纤接口、AUI接口和BNC接口。（1）双绞线RJ-45接口 这是我们见的最多、应用最广的一种接口类型，它属于双绞线以太网接口类型。它不仅在最基本的10Base-T以太网网络中使用，还在目前主流的100Base-TX快速以太网和1000Base-TX千兆以太网中使用。虽然它们所使用的传输介质都是双绞线类型，但是它们却各自采用了不同版本的双绞线类型，如最初10Base-T使用的三类线到支持1000Base-TX千兆速率的六类线，中间的100Base-TX则中使用所谓的五类、超五类线，当然也可以是六类线。这些RJ-45接口的外观是完全一样的，如图7-6所示，像一个扁“T”字，容纳与网线相连的RJ-45水晶头。图7-6 RJ-45接口（2）光纤接口 对于光纤这种传输介质早在100Base时代就已开始采用，当时这种百兆网络为了与普遍使用的百兆双绞线以太网100Base-TX区别，就称之为“100Base-FX”,其中的“F”就是光纤“Fiber”的第一个字母。不过由于在当时的百兆速率下，与采用传统双绞线相比，优势并不明显，况且价格比双绞线贵许多，所以光纤在100Mbit/s时代没有得到广泛应用，它主要是从1000Base技术正式实施以来才得以全面应用，因为在这种速率下，虽然也有双绞线介质方案，但性能远不如光纤好，且在连接距离等方面具有非常明显的优势你，非常适合城域网和广域网使用。目前，光纤传输介质发展相当迅速，各种光纤接口也是层出不穷，不过在局域网交换机中，光纤接口主要是SC类型，无论是在100Base-FX还是在1000Base-FX网络中。SC接口的芯在插头里面。图7-7所示为一款100Base-FX网络的SC光纤接口模块。（3）AUI接口 AUI接口是专门用于连接粗同轴电缆的，虽然目前这种网络在局域网中并不多见，但在一些大型企业网络中，仍可能有一些遗留下来的粗同轴电缆令牌网络设备，所以有些交换机也保留了少数AUI接口，以更大限度地满足用户需求。AUI接口是一个15针“D”形接口，类似于显示器接口。这种接口同样也在许多网络设备中见到，如路由器，甚至服务器中。图7-8所示为路由器上得AUI接口示意图。图7-7 SC 光纤接口 图7-8 AUI接口（4）BNC接口则是专门用于与细同轴电缆连线的接口，目前提供这种接口的交换机比较少见。但在一些RJ-45以太网交换机和集线器中还提供少数BNC接口，专门用于与细同轴电缆作为传输介质的令牌网络连接。为了向大家出示BNC的真实外观，下面以BNC接口网卡向大家展示，如图7-9所示。2.交换机连接连接线缆交换机通常会有若干个接口用于连接主机，以锐捷STAR-S1926F+为例（见图7-10），共有24个10Base-T/100Base-TX RJ-45接口和两个百兆扩展接口。还有一个Console接口称为控制台接口，通过连接到交换机的控制台接口，可对交换机进行管理，并且可以查看和变更交换机的配置。图7-9 BNC接口 图7-10 锐捷交换机RG-S1926F+前面板图交换机的控制台接口（Console Port）与计算机的串口(Com Port)之间可使用一根九芯串口线进行连接，通过计算机中的“超级终端程序”就可以对交换机进行配置和管理的操作，如图7-11所示。图7-11 常见的设备配置线缆3.多个交换机的互联由于交换机的接口有限，实际使用过程中往往需要把多个交换机相互连接起来，这在逻辑上相当于获得了一个更多接口的交换机，具体互联方式有以下两种：级联：通过交换机的普通接口通过普通线缆简单连接起来。堆叠：通过堆叠线缆将交换机的背板连接起来，扩大级联带宽，如图7-12所示。堆叠菊花链 堆叠主从式图7-12 交换机堆叠互联方式4.交换机的性能指标以太网交换机的几个主要性能指标决定了交换机的整体性能，下面分别介绍。（1） 包转发速率包转发速率又称吞吐量，以太网包转发速率的最大理论值被称为线速，以太网交换机达到线速才能有足够的能力以全速处理各种尺寸的数据封包转发。（2） 背板带宽背板带宽标志着一个交换机总的吞吐能力。背板带宽越高，交换机负载数据转发能力就越强。在以背板总线为交换通道的交换机上，任何接口接受的数据，首先被放到总线上，再由总线传递给目标接口，这种情况下背板带宽就是总线的带宽。而模块下的交换机一般采用交换矩阵，所以交换机能力更强，而此时背板带宽实际上指的是交换矩阵的总吞吐量。（3） 延时采用直通转发技术的交换机有固定的延时，因为直通式交换机不管数据包的整体大小，而只根据目的地址来决定转发方向。所以，它的延时是固定的。采用存储技术的交换机由于必须要接收完完整的数据包才开始转发，所以数据包大，则延时大：数据包小，则延时小。（4） 全双工全双工接口可以同时发送和接收数据， 具有全双工功能的交换机可以获得两倍于单工模式的通信的吞吐量，并且避免了数据发送和接收之间的碰撞。目前，市场上的以太网交换机产品均支持全/半双工模式的自动转换。（5） 能否支持VLAN通过将局域网划分成多个VLAN（虚拟局域网），可以控制不必要的数据广播。使用VLAN划分技术还可以灵活将网络按照管理功能划分成多个虚拟的网络，从而突破了地理位置的限制，增强了网络的灵活性和安全性。（6） 能否支持生成树协议生成树协议可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一 但出现故障，再启用备份链路，增强了网络的健壮性。（7） 是否可管理管理功能通过灌流软件远程管理交换机。一般的交换机满足SNMP MIB I/MIB II统计管理功能，而一些千兆交换机会通过内置RMON组（mini-RMON）来支持RMON主动监视功能，从而进行网络管理。（8）安全性安全性越来越为人们所重视，交换机可以在底层把非法的客户隔离在网络之外。多数以太网交换机都支持MAC地址过滤的功能，还可以将MAC地址与固定的接口或者和VLAN绑定在一起，而某些以太网交换机还可以通过ACL（访问控制列表）灵活的控制通过交换机接口的流量，从而提高网络的安全性。7.2.4交换机的型号选择交换机是有线局域网中最关键的网络设备之一，它用来集中连接所有网络设备，包括服务器、工作站及网络打印机等，所以它的选择对于整个网络来说都是非常重要的。在一定意义上说，企业局域网就是由交换机组成的局域网，它不仅起着整个网络连接的作用，而且还是整个网络的一个神经中枢。交换机的选型所要考虑的方面非常多，既有交换机接口方面的考虑，也有交换机结构、智能化水平及工作在OSI层次等方面的考虑。接口方面的考虑比较容易想到，因为交换机是用来连接网络设备的，所以减缓级与目前已基本淘汰的集线器一样，都具有多个网络接口，少则45个，多则可达48个，有的还可以通过扩展模块实现百个以上接口的配置。主流交换机都是模块化交换机，并且基本上是全模块化的，所有交换接口都是通过一个个模块提供的。具体选择多少个接口的交换机，取决于网络用户数，但也不完全决定于网络用户数，还要充分考虑交换机价格、整个网络用户结构和分布等因素。如一个网络有50个左右用户，则不建议选择单台交换机来实现，因为具有这么多接口的交换机，特别是模块化交换机价格非常贵，而且单一交换机连接的距离范围也就200m（双绞线时），如果网络工作站分布较广，则很难满足。除了接口数选型外，还要对交换机接口的类型及相应数量进行确定，其实这也是根据支持的不同以太网标准，或者传输介质类型进行确定。普通的以太网交换机都是采用RJ-45接口的双绞线，而有些高档的交换机为了获得高性能，采取了光纤作为传输介质，这样也就必须提供适合相应类型光纤的网络接口，就像网卡一样。是否需要同时具备两类接口，以及各类接口数量是多少都要根据具体网络环境而定。一般中小企业中，只有核心交换机才需要提供支持光纤传输介质的千兆接口，而且这类接口数也是少数几个，供各类服务器、高性能网络存储设备，以及下级交换机级联作用。绝大多数仍是普通的RJ-45接口，当然接口速度仍可能是10/100/1000Mbit/s等。而在大中型企业中，核心层、汇聚层都可能需要采用光纤及其它设备连接，这时两层的交换机就都可能需要具备一定数量的光纤接口。除了以上两个比较表面的选择之外，交换机特别是核心层交换机的选型还涉及许多复杂的技术问题，如交换机类型、所采用的以太网技术、数据交换技术、是否支持网管以及是否支持堆栈等。是否采用这些技术，不仅要根据交换机所处的网络位置，还要根据实际的企业网络规模和应用需求而定。交换机的网管功能是交换机复杂性的一个主要表现，因为它不像普通的两层交换机那样接上去就可以用，而要根据实际应用来进行较复杂的配置。识别一个交换机是否具有提供网管配置的串行接口（有的是插孔式母头，有的是插针式公头），如图7-13所示。 除了网管功能外，在一些三层交换机中(有些两层交换机也有此功能)还具有堆栈功能，就是把几个具有堆栈功能的交换机堆在一起连接，作为一个交换机使用，以提高每个交换机的实际有效宽带。从综合方面考虑，还要注意交换机档次选型。交换机档次划分是基于综合性能进行的，从低到高依次为：桌面级交换机、工作组交换机、部门级交换机、企业级交换机。桌面级交换机通常只是作为网络中最底层的交换机，直接连接终端用户。因为性能比较低、所提供的接口数也非常少，所以一般也只适用于小型办公室、SOHO（Small Office Home Office）网络选择使用。在一般的小企业中，担当核心交换机的也为工作组交换机，仅具有一般的两层交换机性能，只有最多两个层次；两级交换机采用的多数是桌面级交换机，不具有网管功能。交换机的级联也是通过普通的交换接口进行的，无专门的级联接口。在中型或以上企业网络中，或者在有复杂应用的网络中。担当核心交换机的通常为部门级或者企业交换机。这类交换机通常是三层或以上交换机，具有网管、堆栈、VLAN、路由功能和模块结构，其交换性能也得到了极大的加强，方便用户使用、管理和扩展。在三层交换机中通常对千兆以太网技术提供支持，至少提供一个1000Mbit/s双绞线RJ-45或者光钎接口，以便与域控制器或其他应用服务器（如数据库服务器、邮件服务器、视频点播服务器等）进行高带宽连接。如果需要组建VLAN网络，则在选购交换机时建议选择三层交换机，虽然有些两层交换机也具有VLAN功能，但所支持的配置方式仅限于基本的接口方式，很难满足应用需求。交换机品牌也非常多，国外著名品牌有3Com、Cisco等，国内的华为、锐捷、神州数码、D-LINK、TP-LINK等。不同品牌的交换机产品，不仅性能可能有较大的差距，价格也相差甚远。如何选择一定要结合企业网络规模、网络应用，以及企业经济承受能力综合考虑，而不应只认名牌。7.3 VLAN划分相关知识设备7.3.1 VLAN概述VLAN（Virtual LAN）翻译成中文是“虚拟局域网”。LAN可以是有少数几台计算机构成的网络，也可以是数以百计的计算机构成的企业网络，使用VLAN技术的最主要原因是为了限制广播域。1 广播域 广播域指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦既能直接通信的范围。严格地说。并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。本来，两层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。那么，为什么需要分割广播域呢？因为如果仅有一个广播域，有可能会影响到网络整体的传输性能。具体原因可参看图7-15以加深理解。图7-14所示，为一个有五台两层交换机（交换机15）连接了大量客户机构的网络。假设这时计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARP Request）信息”，来尝试获取计算机B的MAC地址。交换机1收到广播帧（ARP请求）后，会将它转发给除接收接口外的其他所有接口。接着，交换机2收到广播帧后也会转发。交换机3、4、5也还会转发。最终ARP请求会被转发到同一网络中的所有计算机上。特别是，这个ARP请求原本是为了获得计算机B的MAC地址而发出。也就是说，只要计算机B能收到就可以。可是事实上，数据帧却传遍整个网络，导致所有的睡觉觉都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU及时间来对它进行处理，造成了网络带宽和CPU运算能力的大量无谓消耗。广播信息会频繁出现，实际上广播帧会非常频繁地出现。利用TCP/IP族通信时，除了前面出现的ARP外，还有可能需要发出DHCP、RIP等很多其他类型的广播信息。ARP广播是在需要与其他主机通信时发出的。当客户机请求DHCP 服务器分配IP地址时，就必须发出DHCP的广播。而使用RIP作为路由协议时，每隔30s路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息，这也会倍交换机转发。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如，在Windows下双击打开“网络计算机”时就会发出广播（多播）信息。下面是一些常见的广播通信：l ARP请求：建立IP地址和MAC地址的映射关系。l RIP：一种路由协议。l DHCP：用于自动设置IP地址的协议。l NetBEUI：Windows下使用的网络协议。l IPX：Novell NetWare 使用的网络协议。l Apple Talk：苹果公司的Macintosh计算机使用的网络协议。如果整个网络只有一个广播域，那么一旦发出广播信息，就会传遍整个网络，并且对网络中主机带来额外的负担。因此，在设计LAN时，需要考虑怎样有效地分割广播域。2.广播域的分割与VLAN的必要性分割广播域时，一般都必须使用到路由器。使用路由器后，可以以路由器上的网络接口（LAN Interface）为单位分割广播域。但是，通常情况下路由器上不会有太多的网络接口，其数目多为14.随着宽带连接的普及，宽带路由器变得较为常见，但是需要注意的是，它们上面虽然带着多个连接LAN的网络接口，但那实际上路由器内置的交换机，并不能分割广播域。使用路由器分割广播域，所能分割的个数完全取决于路由器的网络接口个数，使用用户无法自由地根据实际需要分割广播域。与路由器相比，两层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么运用上的灵活性将大大提高。用于两层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以自由设计广播域的构成，提高网络设计的自由度。3 交换机的接口与链接交换机的接口可以分为一下两种：防蚊链接（Access Link）和汇聚链接（Trunk Link）。访问间接是指“只属于一个VLAN，且仅向该VLAN转发数据帧”的接口。在大多数情况下，访问连接所连的是客户机。通常设置VLAN的顺序是：生成VLAN；设置访问连接（决定各接口属于哪一个VLAN）。设置访问连接的方法可以是事先固定的，也可以是根据所连的计算机而动态改变设置。前者被称为“静态VLAN”，后者自然就是“动态VLAN”。（1） 静态VLAN静态VLAN又被称为基于接口的VLAN（Port Based VLAN）。顾名思义，静态VLAN就是明确指定各接口属于哪个VLAN的设置方法，如图7-16所示。图7-16 静态VLAN由于需要一个个的指定接口，因此当网络中的计算机数目超过一定数字（比如数百台）后，设置操作就会变的繁杂无比。并且，客户机每次变更所连接口，都必须同时更改该接口所属VLAN的设置，这显然不合适那些需要频繁更改拓扑结构的网络。（2）动态VLAN与静态VLAN相比，动态VLAN则是根据每个接口所连的计算机，随时改变接口所属的VLAN。这就可以避免上述更改设置之类的操作。动态VLAN可以大致分为三类：基于MAC地址的VLAN（MAC based VLAN）、基于子网的VLAN（Subnet Based VLAN）和基于用户的VLAN（User Based VLAN）。其间的差异，主要在于根据OSI参考模型的信息决定接口所属的VLAN。基于MAC地址的VLAN，就是通过查询并记录接口所连接计算机上网卡的MAC地址来决定接口的所属。假设有一台MAC地址为“A”的这台计算机，被交换机设置为属于VLAN1，那么不论MAC地址为“A”的这台计算机连在交换机哪个接口，该接口都会被划分到VLAN1中。计算机连在接口1时，接口1属于VLAN1；而计算机连在接口2时，则在接口2属于VLAN1，如图7-17所示。由于是基于MAC地址决定所属VLAN,因此可以理解为这是一种在OSI的第二层设置访问链接的办法。但是，基于MAC地址的VLAN在设置时必须调查所连接的所有计算机的MAC地址并加以登录，而且计算机更换了网卡，还是需要更改设置。基于子网的VLAN则是通过所连计算机的IP地址，来决定接口所属VLAN。不像基于MAC地址的VLAN，即使计算机更换了网卡或是其他原因导致MAC地址改变，只要他的IP地址不变，就仍可以加入原先设置的VLAN，如图7-18所示。图7-17 基于MAC地址的VLAN 图7-18 基于子网的VLAN因此，与基于MAC地址的VLAN相比，基于子网的VLAN能够更为简便的更改网络结构。IP地址是OSI参照模型中第三层的信息，所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设置访问链接的方法。基于用户的VLAN则是根据交换机各接口所连的计算机上当前登录的用户，来决定该接口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。总的来说，决定接口所属VLAN时利用的信息在OSI中的层面越高，就越适用于构建灵活多变的网络。4.访问连接的总结综上所述，设置访问连接的方法有静态VLAN和动态VLAN两种，其中动态VLAN又可以继续分为几个小类。其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商独有的协议实现的，不通厂商的设备之间互联有可能出现兼容性问题，因此在选择交换机时，一定要注意先确认。表7-1总结了静态vlan和动态vlan的相关信息。表7-1 静态vlan和动态vlan的相关信息7.3.2 实现vlan的机制 在一台未设置任何vlan的两层交换机上，任何广播帧都会被转发给除接收接口外的所有其他接口。例如，计算机A发送广播信息后，会被转发给接口2、3、4.交换机收到广播帧后，转发到除接收接口外的其他所有接口。这时，如果在交换机上生成如图7-19所示的两组vlan，同时设置接口1、2属于一个vlan，接口3、4属于另外一个vlan。再从A发出广播帧的话，交换机就只会把它转发给同属于一个vlan的其他接口，也就是同属于第一个vlan的接口2，不会再转发个属于第二个vlan的接口。同样，C发送广播信息时，只会被转发给其他属于第二个vlan的接口，不会被转发给属于第一个vlan的接口。图7-19 vlan分割广播域就这样，vlan通过限制广播帧转发的范围分割了广播域。上图中两个不同的vlan，在实际使用中则是用“vlan ID”来区分。如果要更直观地描述vlan的话，我们可以把它理解为将一台交换机在逻辑上分割了数台交换机。在一天交换机上生成两个vlan，也可以看做是将交换机做两台虚拟的交换机。在两个vlan之外生成新的vlan时，可以想象成又添加了新的交换机，如图7-20所示。但是，vlan生成的逻辑上的交换机试互不相通的。因此，在交换机上设置vlan后，如果未做其他处理，则vlan间无法通信。明明接在同一台交换机上，但是偏偏无法通信，这个事实也许让人难受接受。这既是vlan方便易用的特征，有是vlan令人难以理解的原因。上述都是使用单台交换机设置vlan时的情况。那么，如果需要设置跨越多台交换机。图7-20 vlan等效虚拟交换机在规划企业级网络时，很有可能会遇到隶属于同一个部门的用户分散在同一座建筑物中的不同楼层的情况，这时就需要考虑到如何跨越多台交换机设置vlan的问题。假设有如图7-21所示的网络，且需要将不同楼层的A、C和B、D设置为同一个vlan。最简单的方法，自然是在交换机1和交换机2上各设两组vlan专用的接口并互连，如图7-22所示。图7-21跨交换机设置vlan但是，这个方法从扩展性和管理效率来看都不好。例如，在现有网络基础上再建vlan时，为了让这个vlan能够互通，就是在交换机间连接新的网线。建筑楼层间的纵向布线是比较烦得，一般不能由基层管理人员随意进行。并且，vlan越多，楼层间（严格地说是交换机间）互连所需的接口也越多，交换机接口的利用率低是对资源的一种浪费，也是限制了网络的扩展。图7-22 接口互连实现vlan为了避免这种低效率的连接方式，人们想办法让交换机间互连的网线集中到以跟上，这时使用的就是汇聚连接（Trunk Link）。汇聚链接指的是能够转发多个不同VLAN的通信的接口，汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。通过图7-23，我们具体的了解汇聚链接是如何让实现跨越交换机间的VLAN的。A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于第一个VLAN，因此去除标记后根据需要将复原的数据帧只转发给其他属于第一个VLAN的接口。这时的转送是指经过确认目标MAC地址并与MAC地址列表比对后，只转发给目标MAC地址所连的接口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于第一个VLAN的接口。第二个VLAN发送数据帧时的情形也与此相同。图7-23汇聚连接实现跨交换机VLAN另外，汇聚链路上流通着多个VLAN的数据，自然负载较重。因此，在设计汇聚链接时，有一个前提就是必须支持100Mbit/s以上的传输速率。默认条件下，汇聚链接会转发交换机上存在的所有VLAN的数据。换一个角度看，可以认为汇聚链接（接口）同时属于交换机上所有的vlan。由于实际应用中很有可能并不需要转发所有vlan的数据，因此为了减轻交换机的负载，也为了减少对带宽的浪费，通过设置我们可以限制能够经过有汇聚链路互连的vlan。7.4 工作实施准备7.4.1 工具准备 设计部120台计算机，安装windows操作系统； 交换机； 连接用网线。7.4.2 任务计划 根据设计部vlan划分方案将计算机连成网络； 配置电缆连接到交换机，使用超级终端准备配置交换机； 配置超级终端输入交换机配置命令，实现vlan。7.5 设计部vlan划分实施过程 理论知识准备好了之后，我们现在可以开始动手完成本章开头要求的工作任务；将设计部网络划分两个vlan。7.5.1 网络物理拓补连接 利用交换机的vlan技术可以对公司开发部的网络重新进行更灵活的规划。图7-24所示一个比较简单的跨越交换机部署vlan的方案。 可以看到，设计部的网络被划分为个子网。子网的具体划分和第6章所述并没有变化，包括子网掩码、子网ip地址范围等；不同的是子网的物理部署，这里把三台交换机A、B和C划分了两个vlan：vlan10和vlan20，子网1所属的计算机都连接到属于vlan10的交换机接口上，而属于子网2的计算机都连接到属于vlan20的交换机接口上，这样就实现了同一个交换机上可以划分出两个子网，同一个子网也可以分布到不同的交换机上，提高了组网的灵活度和适应性。说明：由于这里需要组网的计算机比较多图标的交换机A和交换机B 实际上应该是多个交换机的级联或堆叠，不过这个影响不是本质上的，所以这里为叙述方便作了简化。图7-24 设计部网络拓扑7.5.2 通过超级终端管理交换机前面说过，交换机类似于一台专用的特殊计算机，也有中央处理器、随机存储器和操作系统等，但它没有类似键盘和屏幕的输入输出设备，所以要配置交换机的参数，必须借用别的输入/输出设备，用特别方式进行控制。具体的操作步骤如下：1. 将一字符终端或者微机的串口通过控制电缆和交换机的Console口（也称配置）连接，如图7-25所示。图7-25 微机通过电缆连接交换机2. 为终端的通信设置参数。如果采用微机，则需要运行终端仿真程序，如Windows操作系统提供的HyperTerminal（超级终端）等。以下以超级终端为例，说明具体操作过程。在微机操作系统桌面上选择“开始”|“所有程序”|“附件”|“通讯”|“超级终端”命令，如图7-26所示。为连接任意选择一个图标和名称，如图7-27所示。图7-26 打开超级终端选择根据实际情况选择COM口，如图7-28所示，单击“确定”按钮。图7-27 给超级终端命名 图7-28选择连接端口3. 超级终端连上交换机。打开超级终端的窗口后，为交换机插上电源，打开交换机的开关，按Enter键，超级终端窗口内显示自检信息，自检结束后提示用户按Enter键，知道出现交换机的名字跟一个命令提示符，如“Switch”，后跟闪烁的光标，准备接受输入的命令。4. 在提示符后输入各种命令。出现命令提示符以后，即可输入各种符合语法的命令，以配置以太网交换机的各种参数或查看交换机的运行状态。这里命令的具体格式和使用方法随机交换的生产厂家和型号的不同可能会有一些细微的差别，以此想方法交换机的详细配置方法，最好查阅交换机生产商提供的技术手册和使用说明书。图7-24 设计部网络拓扑7.5.2 通过超级终端管理交换机前面说过，交换机类似于一台专用的特殊计算机，也有中央处理器、随机存储器和操作系统等，但它没有类似键盘和屏幕的输入输出设备，所以要配置交换机的参数，必须借用别的输入/输出设备，用特别方式进行控制。具体的操作步骤如下：5. 将一字符终端或者微机的串口通过控制电缆和交换机的Console口（也称配置）连接，如图7-25所示。图7-25 微机通过电缆连接交换机6. 为终端的通信设置参数。如果采用微机，则需要运行终端仿真程序，如Windows操作系统提供的HyperTerminal（超级终端）等。以下以超级终端为例，说明具体操作过程。在微机操作系统桌面上选择“开始”|“所有程序”|“附件”|“通讯”|“超级终端”命令，如图7-26所示。为连接任意选择一个图标和名称，如图7-27所示。图7-26 打开超级终端选择根据实际情况选择COM口，如图7-28所示，单击“确定”按钮。图7-27 给超级终端命名 图7-28选择连接端口7. 超级终端连上交换机。打开超级终端的窗口后，为交换机插上电源，打开交换机的开关，按Enter键，超级终端窗口内显示自检信息，自检结束后提示用户按Enter键，知道出现交换机的名字跟一个命令提示符，如“Switch”，后跟闪烁的光标，准备接受输入的命令。8. 在提示符后输入各种命令。出现命令提示符以后，即可输入各种符合语法的命令，以配置以太网交换机的各种参数或查看交换机的运行状态。这里命令的具体格式和使用方法随机交换的生产厂家和型号的不同可能会有一些细微的差别，以此想方法交换机的详细配置方法，最好查阅交换机生产商提供的技术手册和使用说明书。图7-29设置接口属性 图7-30超级终端窗口7.5.3 VLAN的划分实现 下面以锐捷交换机为例说明VLAN划分的具体配置命令，因个厂家的命令格式大同小异，即使实际使用的是思科、华为等其他常见的产品，也可以参考下面的具体操作步骤。 在交换机A上创建Vlan 10，并将相应接口划分到Vlan 10：SwitchA enable 进入特权模式SwitchA# configure terminal 进入全局配置模式SwitchA(config)# vlan 10 创建Vlan 10SwitchA(config-vlan)# exit SwitchA(config)# interface fastethernet 0/1 进入接口配置模式SwitchA(config-if)# switchport access vlan 10 将F0/1接口划分到Vlan 10用同样方法，可以将交换机其他与子网1计算机连接的接口划分到Vlan 10。在交换机A创建Vlan 20，并将相应接口划分到Vlan 20：SwitchA(config)# vlan 20 创建Vlan 20SwitchA(config-vlan)# exitSwitchA(config)# interface fastethernet 0/15 进入接口配置模式SwitchA(config-if)# switchport access vlan 20 将F0/15接口划分到Vlan 20用同样方法，可以将交换机其他与子网2计算机连接的接口划分到Vlan 20。在交换机B创建Vlan 10，并将相应接口划分到Vlan 10：SwitchB enable 进入特权模式SwitchB# configure terminal 进入全局配置模式SwitchB(config)# vlan 10 创建Vlan 10SwitchB(config-vlan)# exit SwitchB(config)# interface fastethernet 0/1 进入接口配置模式SwitchB(config-if)# switchport access vlan 10 将F0/1接口划分到Vlan 10用同样方法，可以将交换机其他与子网1计算机连接的接口划分到Vlan 10。在交换机B创建Vlan 20，并将相应接口划分到Vlan 20：SwitchB(config)# vlan 20 创建Vlan 20SwitchB(config-vla