Server产品家族建立于强大的Windows

1、目 录TOC h z t 标题 3,3,title 1,1,title 2,2 HYPERLINK l _Toc36459357 第一章Windows 2000 server PAGEREF _Toc36459357 h 2 HYPERLINK l _Toc36459358 第一节层次结构 PAGEREF _Toc36459358 h 2 HYPERLINK l _Toc36459359 第二节AActiive Dirrecttoryy PAGEREF _Toc36459359 h 2 HYPERLINK l _Toc36459360 第三节组组策略 PAGEREF _Toc36459360

2、h 3 HYPERLINK l _Toc36459361 第四节证证书服务务 PAGEREF _Toc36459361 h 3 HYPERLINK l _Toc36459362 第五节身身份验证证 PAGEREF _Toc36459362 h 4 HYPERLINK l _Toc36459363 第二章网网络基础础知识 PAGEREF _Toc36459363 h 5 HYPERLINK l _Toc36459364 第一节OOSI模模型和TTCP/IP模模型 PAGEREF _Toc36459364 h 5 HYPERLINK l _Toc36459365 第二节IIP、TCPP与UTPP

3、PAGEREF _Toc36459365 h 6 HYPERLINK l _Toc3644593366 第三节节IP地址址分配和和子网划划分 PAGEREF _Toc36459366 h 7 HYPERLINK l _Toc36459367 第四节广广域网 PAGEREF _Toc36459367 h 8 HYPERLINK l _Toc36459368 第五节路路由器（Router） PAGEREF _Toc36459368 h 9 HYPERLINK l _Toc36459369 第三章从从局域网网到三层层交换 PAGEREF _Toc36459369 h 10 HYPERLINK l _

4、Toc36459370 第一节共共享技术术 PAGEREF _Toc36459370 h 10 HYPERLINK l _Toc36459371 第二节交交换技术术 PAGEREF _Toc36459371 h 10 HYPERLINK l _Toc36459372 第三节第第二层交交换技术术 PAGEREF _Toc36459372 h 11 HYPERLINK l _Toc36459373 第四节第第三层交交换技术术 PAGEREF _Toc36459373 h 15 HYPERLINK l _Toc36459374 第五节相相关网络络术语 PAGEREF _Toc36459374 h 2

5、2 HYPERLINK l _Toc36459375 第四章广广域网 PAGEREF _Toc36459375 h 26 HYPERLINK l _Toc36459376 第一节节什么是是广域网网(WAAN) PAGEREF _Toc36459376 h 26 HYPERLINK l _Toc36459377 第二节公公用电话话交换网网PSTTN PAGEREF _Toc36459377 h 26 HYPERLINK l _Toc36459378 第三节分分组交换换网X.25 PAGEREF _Toc36459378 h 27 HYPERLINK l _Toc36459379 第四节综综合业务

6、务数字网网ISDDN PAGEREF _Toc36459379 h 28 HYPERLINK l _Toc36459380 第五节数数字数据据网DDDN（专专线） PAGEREF _Toc36459380 h 29 HYPERLINK l _Toc36459381 第六节帧帧中继FFramme-RRelaay PAGEREF _Toc36459381 h 30 HYPERLINK l _Toc36459382 第七节xxDSLL PAGEREF _Toc36459382 h 31 HYPERLINK l _Toc36459383 第八节防防火墙技技术 PAGEREF _Toc36459383

7、h 33 HYPERLINK l _Toc36459384 第九节虚虚拟专用用网VPPN技术术 PAGEREF _Toc36459384 h 34 HYPERLINK l _Toc36459385 第十节CCTI技技术 PAGEREF _Toc36459385 h 37 HYPERLINK l _Toc36459386 第十一节三网合合一 PAGEREF _Toc36459386 h 39 HYPERLINK l _Toc36459387 第五章故故障检测测与排除除 PAGEREF _Toc36459387 h 40 HYPERLINK l _Toc36459388 第一节命命令行检检测工具具

8、 PAGEREF _Toc36459388 h 40 HYPERLINK l _Toc36459389 第二二节事件查查看器 PAGEREF _Toc36459389 h 43 HYPERLINK l _Toc36459390 第三节网网络监视视器 PAGEREF _Toc36459390 h 44 HYPERLINK l _Toc36459391 第六章工工商行政政管理网网 PAGEREF _Toc36459391 h 45 HYPERLINK l _Toc36459392 第一节概概况 PAGEREF _Toc36459392 h 45 HYPERLINK l _Toc36459393 第

9、二节网网络结构构 PAGEREF _Toc36459393 h 45 HYPERLINK l _Toc36459394 第三节设设备命名名方案 PAGEREF _Toc36459394 h 49 HYPERLINK l _Toc36459395 第四节IIP地址址规划 PAGEREF _Toc36459395 h 53 HYPERLINK l _Tooc36645993966 第五节节安全策策略 PAGEREF _Toc36459396 h 57 HYPERLINK l _Toc36459397 第七章日日常管理理和维护护 PAGEREF _Toc36459397 h 60 HYPERLINK

10、 l _Toc36459398 第一节机机房管理理制度（样样本） PAGEREF _Toc36459398 h 60Windoows 20000 sservverWindoows 20000 SServver产产品家族族建立于于强大的的Winndowws NNT 技技术之上上，集成成了基于于标准的的目录、WWeb、应应用程序序、通信信、文件件和打印印服务。这这些服务务具备高高可靠性性和高效效的管理理，并且且支持最最新的网网络硬件件技术，从从而提供供了实现现商务应应用和与与Intternnet集集成的最最佳基础础。Windoows 20000 AAdvaanceed SServver操操作系统统

11、包含WWinddowss 20000 Serrverr标准版版本所具具备的全全部功能能及可靠靠性，此此外，它它还提供供了针对对那些需需要更高高伸缩性性与可用用性的应应用程序序所创建建的更多多额外特特性。正正因为如如此，WWinddowss 20000 Advvancced Serrverr已成为为那些需需要承担担繁重工工作负载载与高优优先级处处理过程程的关键键性商业业及电子子商务应应用程序序的首选选操作系系统。通通过杜绝绝计划内内与计划划外的网网络及服服务器停停机现象象，Wiindoows 20000 AAdvaanceed SServver有有效的帮帮助您确确保了系系统可用用性。同同时，它它

12、还提供供了允许许您的应应用程序序随用户户及数据据量的增增长而不不断扩大大规模的的相关特特性。层次结构WinSock应用程序WinSock应用程序NetBIOS应用程序WinSock接口NetBIOS接口其他应用程序和服务程序传输驱动程序接口（TDI）NetBEUITCP/IPIPX/SPXAppleTalk网络驱动程序接口规范（NDIS）网卡驱动程序网络接口网卡驱动程序网络接口Windows2000网络层次示意图Activve DDireectoory是一种超级级目录服服务，便便于集中中管理网网络资源源，能够够减轻网网络管理理负担，提提高管理理效率。这这里的知知识点非非常多，本本着够用用的原则

13、则，介绍绍一些基基本知识识和基本本操作，能能够组建建Acttivee Diirecctorry的网网络，能能够应用用组策略略和证书书服务。主主要内容容点如下下：Activve DDireectoory目目录服务务Activve DDireectoory配配置组策略及应应用建立winndowws 220000证书服服务申请和管理理证书windoows 20000的身身份验证证基本概念：域，组织单单位，域域树，域域树林域控制器，成成员服务务器，独独立服务务器基本管理： 用用户帐户户，计算算机帐户户，组，组组织单位位，对象象Activve DDireectoory站站点： 可以看看作是一一个或多多个

14、IPP子网中中的一组组计算机机的定义义。Activve DDireectoory站站点的主主要作用用是使AActiive Dirrecttoryy适应复复杂的网网络连接接环境，一一般只有有在多种种网络连连接存在在的环境境（如广广域网）中中才规划划站点。Activve DDireectoory允允许单个个站点中中有多个个域，单单个域中中有多个个站点。组策略组策略既可可以应用用于用户户，也可可以应用用于计算算机。用用户和计计算机是是接收策策略的唯唯一Acctivve DDireectoory对对象类型型。组策策略可以以针对用用户和计计算机的的配置，相相应地称称为用户户策略和和计算机机策略。证书服务

15、公钥基础结结构（简简称PKKI）涉涉及到一一对密钥钥，即公公钥和私私钥，私私钥由用用户独立立掌握，无无须在网网上传输输；而公公钥是公公开的，需需要在网网上传送送，PKKI的密密钥管理理主要是是针对仅仅钥的管管理问题题，目前前较好的的解决方方案是数数字证书书机制，通通过证书书服务来来交换公公钥。数字证书也也称为数数字IDD，是公公钥基础础结构的的上种管管理媒介介。数字证书采采用公钥钥密码机机制，即即采用一一对互相相匹配的的密钥进进行加密密和解密密。每个个用户拥拥有一把把仅为自自己掌握握的私钥钥，用它它进行解解密和签签名；同同时拥有有一把可可以对外外公开的的公钥，用用于加密密和验证证签名。当当发送

16、一一份机密密文件时时，发送送方使用用接收方方的公钥钥对数据据进行数数据加密密，而接接收方则则使用自自己的私私钥解密密，这样样，信息息就可以以安全地地到达目目的地了了，即使使被第三三方截获获，由于于没有相相应的私私钥，也也无法进进行解密密。通过过数字的的手段保保证加密密过程是是一个不不可逆过过程，即即只有私私钥才可可解密。数字证书是是由权威威公正的的第三方方机构（即即CA中中心）签签发的；可使用wiindoows 20000的证证书来创创建自己己的证书书颁发机机构，接接受证书书申请、验验证申请请中的信信息和申申请者的的身份、颁颁发证书书、吊销销证书、发发布证书书吊销列列表。身份验证分两个过程程：

17、交互互式登录录和网络络身份验验证。用用户身份份验证的的成功与与否，同同时取决决于这两两个过程程。着重介绍基基于证书书的身份份验证。一般情况下下，计算算机系统统使用集集中式帐帐户数据据库管理理用户、用用户特权权及其访访问控制制。当用用户越来来越多且且颁范围围越来越越广时，采采用这种种集中控控制方式式将越来来越难。如如果采用用公钥证证书，有有助于解解决这个个问题，因因为证书书可以由由众多合合作伙伴伴广泛颁颁发，并并通过简简单检查查证书即即可进行行验证。问问题是：现有操操作系统统和管理理工具只只能处理理帐户，而而不能处处理证书书。折衷衷方案是是：在证证书和用用户帐户户之间创创建映射射，使得得系统可可

18、使用公公钥加密密技术来来验证使使用相应应证书的的用户身身份，最最终结果果与用户户提供了了用户帐帐和密码码一样，而而且庐过过程易于于管理。网络基础知知识OSI模型型和TCCP/IIP模型型与OSI参参考模型型不同，TTCP/IP模模型更侧侧面重于于互联设设备间的的数据传传送，而而不是严严格的功功能层次次划分。它它通过解解释功能能层次分分布的重重要性不不做到这这一点，但但它仍为为设计者者实现协协议留下下很大的的余地。因因此，OOSI参参考模型型在解释释互联网网络通信信机制上上比较合合适，但但TCPP/IPP成为了了互联网网络协议议的市场场标准。见见下图。从图中可以以看出，TTCP/IP模模型由四四

19、层组成成，这与与OSII模型由由七层组组成不同同。应用层应用层主机A会话层表示层链路层传输层物理层网络层应用层会话层表示层链路层传输层物理层网络层主机B相应的排查措施链路层传输层物理层网络层应用层TCP/IP应用程序测试协议分析IP地址指派、路由、连通性ARP检测(ip和mac动态映射检测连接线路OSI七层模型、TCP/IP模型、各层的基本排查措施在实际应用用中，往往往从网网络层开开始排查查。首先先测试网网络连通通性，如如果网络络不能连连通，再再从物理理层（测测试线路路）开始始排查；如果网网络能够够连通，再再从应用用层（测测试应用用程序本本身）开开始排查查。在TCP/IP网网络中，排排查网络络

20、的第一一步从ppingg开始。示示例如下下：故障：主机机A无法法与主机机B连通通；ping 路由11；ping 环回地地址1227.00.0.1；ping 路由22；ping 主机BB；应用程序测测试；主机A主机A0主机B0网络示意图IP、TCCP与UUTPIP是网络络层协议议，TCCP和UUTP是是传输层层协议，这这三个协协议在TTCP/IP协协议集中中占有相相当重要要的位置置。IP协议网际协议（IIP）工工作于OOSI参参考模型型的网络络层中。IIP可以以被认为为是将数数据包从从一个主主机转发发到另一一个主机机的传递递机制。IIP协议议提供寻寻址，并并处理传传递。IIP提供供3种主主要的功

21、功能：无连接，不不可靠的的传递服服务；数据包分段段和重组组；路由功能。TCPTCP工作作于TCCP/IIP的传传输层，它它为用户户进程定定义了一一个可靠靠的、面面向连接接的、全全双工字字节流。它它在一个个连续的的、非结结构化字字节流中中移动数数据。TCP协议议提供下下列主要要服务：可靠的数据据传输；面向连接的的虚电路路；缓冲的传输输；重新排序；多路复用技技术；高效的全双双工传输输；浪量控制。UTPUTP也工工作在传传输层，它它比TCCP简单单的多，用用于TCCP的可可行性机机制不再再必要的的情况下下。UDDP提供供了无连连接、“不可靠靠”的数据据报服务务，它没没有连接接的概念念，适用用于无须须

22、应答并并且一次次只传少少量数据据的应用用软件。UTP对于于数据包包的顺序序错误不不重发，因因此，UUDP不不被应用用于那些些使用虚虚电路的的面向连连接的服服务，而而主要用用于那些些面向查查询-应应答的服服务。IP地址分分配和子子网划分分IP的原始始版本为为IPvv4，使使用322位二进进制地址址，每个个地址组组织成由由点分隔隔的8位位数，每每个8位位数称为为8位位位组，11个IPP地址即即为4个个8位位位组，每每个8位位位组转转化为11 个十十进制数数，1个个IP地地址即可可表示为为用点号号隔开的的4个十十进制数数，这就就是我们们日常用用的方式式。用十进制数数表示的的IP地地址被分分成了五五个

23、大类类，以适适应不同同规模的的网络系系统。一一个IPP地址由由网络地地址+主主机地址址组成。不不同类别别的地址址对所支支持的网网络数和和主机数数有不同同的组合合，其不不同在于于用于表表示网络络的位数数与用于于表示主主机的位位数的差差别。起止保留为内部部网络使使用A类地址1.0.00.0126.00.0.010.0.0.00-100.2555.2255.2555B类地址128.11.0.0191.2254.0.00172.116.00.0-1722.311.2555.2255C类地址192.00.1.0223.2255.2544.0192.1168.0.00-1992.1168.2555.255

24、5D类地址224.00.0.0239.2255.2555.2554用于IP网网络中的的组播。E类地址240.00.0.0255.2255.2555.2555被定义用作作网络研研究的IIP地址址空间。地址类网络主机网络地址范范围标准二进制制掩码A类N.H.HH.H1-12661111 11111 000000 00000 00000 000000 00000 00000B类N.N.HH.H128-11911111 11111 111111 11111 00000 000000 00000 00000 C类N.N.NN.H192-22231111 11111 111111 11111 11111

25、111111 00000 00000A类和B类类的空缺缺，即网网络号为为1277的网络络1277.0.0.00，这一一地址专专门用于于标志本本地环路路的地址址，用于于测试设设备本地地IP协协议栈是是否正常常工作。现在看来，IIP地址址的分类类划分未未见得很很科学，因因为浪费费了大量量的地址址空间。为为了更合合理地使使用有限限的IPP地址空空间，出出现了IIP子网网的概念念和子网网的划分分技术。所谓“子网网”，就是是把一个个有类（AA、B、CC类）的的网络地地址，再再划分成成若干个个小的网网段，这这些网段段称为子子网。划划分子网网的方法法是通过过设定子子网掩码码不确定定网络位位、子网网位和主主机

26、位的的多少，从从而确定定子网的的数量和和每个子子网中可可以容纳纳的主机机数量。划划分子网网是解决决IP地地址空间间不足的的一个有有效措施施，同时时把较大大的网络络划分成成小的网网段，以以便管理理和提高高性能。一个被子网网化的IIP地址址由三部部分构成成：网络络号、子子网号、主主机号。子网和主机机地址是是由原先先IP地地址的主主机地址址部分分分割顾两两部分得得到。因因此，划划分子网网的能力力依赖于于被子网网化的IIP地址址类型。子网由子网网掩码标标识。子子网掩码码是可用用十进制制数格式式表示的的32位位二进制制数，掩掩码告诉诉网络中中的端系系统（包包括路由由器和主主机）IIP地址址的多少少位用于

27、于识别网网络和子子网。这这些位被被称为扩扩展的网网络前缀缀。余下下的位用用于标识识子网内内的主机机，掩码码中用于于标识网网络号的的位置为为1，主主机位置置为0。例：掩码（11111111111.11111111111.11111111111.11100000000）（2255.2555.2555.1192）能能在子网网中产生生64个个可能的的地址，实实际有662个地地址可用用，另两两个保留留，第一一个主机机号总是是保留为为识别子子网自身身，另一一个主机机号保留留作为子子网的广广播地址址。因此此当得到到子网内内最大可可用主机机数时总总要减去去2，才才是实际际可用的的主机数数。下表列出一一个B类类

28、IP地地址子网网和子网网内主机机数的情情况。表：B类IIP地址址子网和和子网内内主机数数网络前缀位位数子网掩码可用子网地地址数子网内主机机数2255.2255.1922.021638223255.2255.2244.0681904255.2255.2400.01440945255.2255.2488.03020466255.2255.2522.06210227255.2255.2544.01265108255.2255.2555.02542549255.2255.2555.122851012610255.2255.2555.199210226211255.2255.2555.222420463

29、012255.2255.2555.244040941413255.2255.2555.24488190614255.2255.2555.25521638222注意上表中中没有出出现前缀缀为1和和15、116的情情况。这这是因为为，如果果前缀为为1，即即只有11位可发发表示子子网，也也即可以以划分为为2个子子网，其其子网号号为0和和1，这这样全00和全11的子网网在规划划中是不不允许的的；而前前缀为115和116时，将将不会有有可用的的主机地地址空间间供分配配。IP地址分分配是IIP协议议相关设设计的一一个出发发点。在在可以随随意分配配IP地地址的情情况下，我我们总是是要按规规范来规规划和分分配

30、地址址，而不不是真的的随意分分配。在局域网中中，IPP子网与与VLAAN一一一对应。给给每一个个VLAAN分配配一个相相对应的的IP子子网网段段。尽管管一个IIP子网网对应两两个VLLAN或或一个VVLANN对应两两个IPP子网也也可以实实施，但但这样配配置会给给三层交交换的设设计带来来很大不不便。因因此，如如果需要要VLAAN之间间的路由由设置，一一定要使使IP子子网和VVLANN一一对对应。VLAN和和子网划划分后，VVLANN（IPP子网）之之间逻辑辑上是不不连接的的，这就就需要VVLANN之间的的路由。VVLANN之间路路由的实实现通常常是通过过对三层层交换机机进行设设置完成成的。在三

31、层交换换机上设设置VLLAN之之间路由由功能的的具体方方法是：为每一个VVLANN上的IIP网段段指定一一个网关关地址；设定上述网网关地址址到交换换机的对对应此VVLANN的逻辑辑接口上上；设定相应路路由协议议或静态态路由；设定必要的的过滤功功能；把每个VLLAN的的每台端端设备的的缺省网网关地址址，设成成第三层层交换机机上的相相应IPP网关地地址。 通通过配置置，作为为端节点点的用户户工作站站就可以以访问其其所在VVLANN之外的的节点了了。广域网广域网（WWAN，WWidee Arrea Nettworrk）是是指地理理位置相相对较广广的数据据数据通通信网络络，它通通常是利利用公共共载波（

32、如如电信营营运商）提提供的便便利条件件进行传传输，在在OSII模型的的下三层层发挥作作用，即即物理层层、数据据链路层层、网络络层。三种通信方方式：点到点连接接，也称称为租用用线，是是由电信信运营商商为两个个用户节节点提供供专用的的连接通通道，此此通道是是永久的的、常通通的，是是被用户户长期占占用的物物理通道道。典型例子：DDNN。电路交换：网络通通过介质质电路上上的载波波为每个个通信会会话临时时性建立立一条专专用物理理链路，并并维持此此电路直直到通信信结束后后终止这这一连接接。典型例子：PSTTN、IISDNN。分组交换：通过使使用多路路复用技技术使多多路传输输共享相相应的电电路，从从而实现现

33、一点对对多点的的同时信信息传输输。典型例子：帧中继继、X.25和和ATMM。 几种典典型的广广域网技技术：数字数据网网（DDDN）X.25网网帧中继网（FFRAMME）综合业务数数字网（IISDNN）数字用户线线路（双双芯电话话线）路由器（RRoutter）路由器，可可以实现现不同类类型的网网络互联联、进行行最佳路路径选择择和转发发数据包包，是典典型的网网络层调调和，即即第三层层设备。最常见的用用途是广广域网的的接入。通通常配置置两个以以上网络络接口。所谓实现不不同类型型网络的的互联，就就是指实实现以太太网、令令牌环、AATM、FFDDII、DDDN、FFR、XX25、IISDNN等不同同局域

34、网网和广域域网网络络类型之之间的互互联。路路由器充充当一个个桥梁，把把各种物物理层、数数据链路路层协议议不同的的网络连连接起来来，也称称为介质质转换。这这种连接接的实质质是：路路由器把把来自不不同类型型网络的的数据帧帧解为数数据包，再再把数据据包封装装成为相相应介质质的数据据帧从对对应接口口传送出出去。最佳路径（路路由）的的计算是是路由器器的重要要功能，路路由形式式有静态态路由、动动态路由由、缺省省路由，其其中 前前两者是是由人工工设置完完成的，而而动态路路由是通通过在路路由上启启用相应应的路由由选择进进程，实实现路由由器之间间自动学学习彼此此之间的的路由信信息，通通过计算算在每台台路由上上构

35、造出出路由表表而实现现的。动动态路由由可以随随网络拓拓扑和链链路状态态而变化化，用时时反应网网络的变变化，是是路由器器智能能能力的表表现。按功能分类类：通用用路由器器、专用用路由器器（访问问服务器器、VPPN路由由器、语语音网关关路由器器）按性能分类类： 高高端；775000、76600、1120000 中中端；336000-72200 低低端：226000、17700、116000、8000、7700系系列相关技术：路由技术；接口技术；包转发技术术；服务质量（QQoS）：是一个个反映传传输系统统性能的的概念，反反映了其其传输质质量和服服务的可可获得性性。针对对路由设设备，主主要包括括拥塞管管

36、理技术术、拥塞塞避免技技术、数数据流整整型和策策略技术术、带宽宽预留技技术等。从局域网到到三层交交换共享技术所谓共享技技术即在在一个逻逻辑网络络上的每每一个工工作站都都处于一一个相同同的网段段上。以太网采用用CSMMA/CCD机制制，这种种冲突检检测方法法保证了了只能有有一个站站点在总总线上传传输。如如果有两两个站点点试图同同时访问问总线并并传输数数据，这这就意味味着“冲突”发生了了，两站站点都将将被告知知出错。然然后它们们都被拒拒发，并并等待一一段时间间以备重重发。这种机制就就如同许许多汽车车抢过一一座窄桥桥，当两两辆车同同时试图图上桥时时，就发发生了“冲突”，两辆辆车都必必须退出出，然后后

37、再重新新开始抢抢行。当当汽车较较多时，这这种无序序的争抢抢会极大大地降低低效率，造造成交通通拥堵。网络也是一一样，当当网络上上的用户户量较少少时，网网络上的的交通流流量较轻轻，冲突突也就较较少发生生，在这这种情况况下冲突突检测法法效果较较好。当当网络上上的交通通流量增增大时，冲冲突也增增多，同同进网络络的吞吐吐量也将将显著下下降。在在交通流流量很大大时，工工作站可可能会被被一而再再再而三三地拒发发。交换技术局域网交换换技术是是作为对对共享式式局域网网提供有有效的网网段划分分的解决决方案而而出现的的，它可可以使每每个用户户尽可能能地分享享到最大大带宽。交交换技术术是在OOSI七七层网络络模型中中

38、的第二二层，即即数据链链路层进进行操作作的，因因此交换换机对数数据包的的转发是是建立在在MACC（Meediaa Acccesss CConttroll）地址址-物物理地址址基础之之上的，对对于IPP网络协协议来说说，它是是透明的的，即交交换机在在转发数数据包时时，不知知道也无无须知道道信源机机和信宿宿机的IIP地址址，只需需知其物物理地址址即MAAC地址址。交换换机在操操作过程程当中会会不断的的收集资资料去建建立它本本身的一一个地址址表，这这个表相相当简单单，它说说明了某某个MAAC地址址是在哪哪个端口口上被发发现的，所所以当交交换机收收到一个个TCPPIPP封包时时，它便便会看一一下该数数

39、据包的的目的MMAC地地址，核核对一下下自己的的地址表表以确认认应该从从哪个端端口把数数据包发发出去。由于这个过程比较简单，加上这功能由一崭新硬件进行-ASIC(Application Specific Integrated Circuit)，因此速度相当快，一般只需几十微秒，交换机便可决定一个IP封包该往那里送。值得一提的的是：万万一交换换机收到到一个不不认识的的封包，就就是说如如果目的的地MAAC地址址不能在在地址表表中找到到时，交交换机会会把IPP封包扩散出去，即即把它从从每一个个端口中中送出去去，就如如交换机机在处理理一个收收到的广广播封包包时一样样。二层层交换机机的弱点点正是它它处理

40、广广播封包包的手法法不太有有效，比比方说，当当一个交交换机收收到一个个从TCCP/IIP工作作站上发发出来的的广播封封包时，他他便会把把该封包包传到所所有其他他端口去去，哪怕怕有些端端口上连连的是IIPX或或DECCnett工作站站。这样样一来，非非TCPP/IPP节点的的带宽便便会受到到负面的的影响，就就算同样样的TCCP/IIP节点点，如果果他们的的子网跟跟发送那那个广播播封包的的工作站站的子网网相同，那那么他们们也会无无原无故故地收到到一些与与他们毫毫不相干干的网络络广播，整整个网络络的效率率因此会会大打折折扣。从90年代代开始，出出现了局局域网交交换设备备。从网网络交换换产品的的形态来

41、来看，交交换产品品大致有有三种：端口交交换、帧帧交换和和信元交交换。端口交换端口交换技技术最早早出现于于插槽式式集线器器中。这这类集线线器的背背板通常常划分有有多个以以太网段段（每个个网段为为一个广广播域）、各各网段通通过网桥桥或路由由器相连连。以太太网模块块插入后后通常被被分配到到某个背背板网段段上，端端口交换换适用于于将以太太模块的的端口在在背板的的多个网网段之间间进行分分配。这这样网管管人员可可根据网网络的负负载情况况，将用用户在不不同网段段之间进进行分配配。这种种交换技技术是基基于OSSI第一一层（物物理层）上上完成的的，它并并没有改改变共享享传输介介质的特特点，因因此并不不是真正正意

42、义上上的交换换。帧交换帧交换是目目前应用用的最广广的局域域网交换换技术，它它通过对对传统传传输媒介介进行分分段，提提供并行行传送的的机制，减减少了网网络的碰碰撞冲突突域，从从而获得得较高的的带宽。不不同厂商商产品实实现帧交交换的技技术均有有差异，但但对网络络帧的处处理方式式一般有有：存储储转发式式和直通通式两种种。 存储转发式式（Sttoree-annd-FForwwardd）： 当一个个数据包包以这种种技术进进入一个个交换机机时，交交换机将将读取足足够的信信息，以以便不仅仅能决定定哪个端端口将被被用来发发送该数数据包，而而且还能能决定是是否发送送该数据据包。这这样就能能有效地地排除了了那些有

43、有缺陷的的网络段段。虽然然这种方方式不及及使用直直通式产产品的交交换速度度，但是是它们却却能排除除由破坏坏的数据据包所引引起的经经常性的的有害后后果。直通式（CCut-Thrrouggh）： 当一一个数据据包使用用这种技技术进入入一个交交换机时时，它的的地址将将被读取取。然后后不管该该数据包包是否为为错误的的格式，它它都将被被发送。由由于数据据包只有有开头几几个字节节被读取取，所以以这种方方法提供供了较多多的交换换次数。然然而所有有的数据据包即使使是那些些可能已已被破坏坏的都将将被发送送。直到到接收站站才能测测出这些些被破坏坏的包，并并要求发发送方重重发。但但是如果果网络接接口卡失失效，或或电

44、缆存存在缺陷陷；或有有一个能能引起数数据包遭遭破坏的的外部信信号源，则则出错将将十分频频繁。 随着技技术的发发展，直直通式交交换将逐逐步被淘淘汰。在“直通式式”交换方方式中，交交换机只只读出网网络帧的的前几个个字节，便便将网络络帧传到到相应的的端口上上，虽然然交换速速度很快快，但缺缺乏对网网络帧的的高级控控制，无无智能性性和安全全性可言言，同时时也无法法支持具具有不同同速率端端口的交交换；而而“存储转转发”交换方方式则通通过对网网络帧的的读取进进行验错错和控制制。信元交换信元交换的的基本思思想是采采用固定定长度的的信元进进行交换换，这样样就可以以用硬件件实现交交换，从从而大大大提高交交换速度度

45、，尤其其适合语语音、视视频等多多媒体信信号的有有效传输输。目前前，信元元交换的的实际应应用标准准是ATTM（异异步传输输模式），但但是ATTM设备备的造价价较为昂昂贵，在在局域网网中的应应用已经经逐步被被以太网网的帧交交换技术术所取代代。第二层交换换技术第二层的网网络交换换机依据据第二层层的地址址传送网网络帧。第二层的地地址又称称硬件地地址（MMAC地地址），第第二层交交换机通通常提供供很高的的吞吐量量（线速速）、低低延时（110微秒秒左右），每每端口的的价格比比较经济济。第二层的交交换机对对于路由由器和主主机是“透明的的”，主要要遵从8802.1d标标准。该该标准规规定交换换机通过过观察每每

46、个端口口的数据据帧获得得源MAAC地址址，交换换机在内内部的高高速缓存存中建立立MACC地址与与端口的的映射表表。当交交换机接接受的数数据帧的的目的地地址在该该映射表表中被查查到，交交换机便便将该数数据帧送送往对应应的端口口。如果果它查不不到，便便将该数数据帧广广播到该该端口所所属虚拟拟局域网网（VLLAN）的的所有端端口，如如果有回回应数据据包，交交换机便便将在映映射表中中增加新新的对应应关系。当当交换机机初次加加入网络络中时，由由于映射射表是空空的，所所以，所所有的数数据帧将将发往虚虚拟局域域网内的的全部端端口直到到交换机机“学习”到各个个MACC地址为为止。这这样看来来，交换换机刚刚刚启

47、动时时与传统统的共享享式集线线器作用用相似的的，直到到映射表表建立起起来后，才才能真正正发挥它它的性能能。这种方式改改变了共共享式以以太网抢抢行的方方式，如如同在不不同的行行驶方向向上铺架架了立交交桥，去去往不同同方向的的车可以以同时通通行，因因此大大大提高了了流量。从从虚拟局局域网（VVLANN）角度度来看，由由于只有有子网内内部的节节点竞争争带宽，所所以性能能得到提提高。主主机1访访问主机机2同时时，主机机3可以以访问主主机4。当当各个部部门具有有自己独独立的服服务器时时，这一一优势更更加明显显。但是这种环环境正发发生巨大大的变化化，因为为服务器器趋向于于集中管管理，另另外，这这一模式式也

48、不适适合Innterrnett的应用用。不同虚拟局局域网（VVLANN）之间间的通讯讯需要通通过路由由器来完完成，另另外为了了实现不不同的网网段之间间通讯也也需要路路由器进进行互连连。路由由器处理理能力是是有限的的，相对对于局域域网的交交换速度度来说路路由器的的数据路路由速度度也是较较缓慢的的。路由由器的低低效率和和长时延延使之成成为整个个网络的的瓶颈。虚拟局域网网（VLLAN）之之间的访访问速度度是加快快整个网网络速度度的关键键，某些些情况下下（特别别是Inntraanett），划划定虚拟拟局域网网本身是是一件困困难的事事情。第第三层交交换机的的目的正正在于此此，它可可以完成成Inttran

49、net中中虚拟局局域网（VVLANN）之间间的数据据包以高高速率进进行转发发。VLAN技技术在传统的局局域网中中，各站站点共享享传输信信道所造造成的信信道冲突突和广播播风暴是是影响网网络性能能的重要要因素。通通常一个个IP子子网或者者IPXX子网属属于一个个广播域域，因此此网络中中的广播播域是根根据物理理网络来来划分的的。这样样的网络络结构无无论从效效率和安安全性角角度来考考虑都有有所欠缺缺。同时时，由于于网络中中的站点点被束缚缚在所处处的物理理网络中中，而不不能够根根据需要要将其划划分至相相应的逻逻辑子网网，因此此网络的的结构缺缺乏灵活活性。为解决这一一问题，从从而引发发了虚拟拟局域网网（V

50、LLAN）的的概念，所所谓VLLAN是是指网络络中的站站点不拘拘泥于所所处的物物理位置置，而可可以根据据需要灵灵活地加加入不同同的逻辑辑子网中中的一种种网络技技术。VLAN技技术的基基础 基基于交换换式以太太网的VVLANN在交换式以以太网中中，利用用VLAAN技术术，可以以将由交交换机连连接成的的物理网网络划分分成多个个逻辑子子网。也也就是说说，一个个VLAAN中的的站点所所发送的的广播数数据包将将仅转发发至属于于同一VVLANN的站点点。而在在传统局局域网中中，由于于物理网网络和逻逻辑子网网的对应应关系，因因此任何何一个站站点所发发送的广广播数据据包都将将被转发发至网络络中的所所有站点点。

51、在交换式以以太网中中，各站站点可以以分别属属于不同同的VLLAN。构构成VLLAN的的站点不不拘泥于于所处的的物理位位置，它它们既可可以挂接接在同一一个交换换机中，也也可以挂挂接在不不同的交交换机中中。VLLAN技技术使得得网络的的拓扑结结构变得得非常灵灵活，例例如位于于不同楼楼层的用用户或者者不同部部门的用用户可以以根据需需要加入入不同的的VLAAN。 到目前前为止，基基于交换换式以太太网实现现VLAAN主要要有三种种途径：基于端端口的VVLANN、基于于MACC地址的的VLAAN和基基于IPP地址的的VLAAN。（1）基于于端口的的VLAAN基于端口的的VLAAN就是是将交换换机中的的若干

52、个个端口定定义为一一个VLLAN，同同一个VVLANN中的站站点具有有相同的的网络地地址，不不同的VVLANN之间进进行通信信需要通通过路由由器。采采用这种种方式的的VLAAN其不不足之处处是灵活活性不好好，例如如当一个个网络站站点从一一个端口口移动到到另外一一个新的的端口时时，如果果新端口口与旧端端口不属属于同一一个VLLAN，则则用户必必须对该该站点重重新进行行网络地地址配置置，否则则，该站站点将无无法进行行网络通通信。（2）基于于MACC地址的的VLAAN在基于MAAC地址址的VLLAN中中，交换换机对站站点的MMAC地地址和交交换机端端口进行行跟踪，在在新站点点入网时时根据需需要将其其

53、划归至至某一个个VLAAN，而而无论该该站点在在网络中中怎样移移动，由由于其MMAC地地址保持持不变，因因此用户户不需要要进行网网络地址址的重新新配置。这这种VLLAN技技术的不不足之处处是在站站点入网网时，需需要对交交换机进进行比较较复杂的的手工配配置，以以确定该该站点属属于哪一一个VLLAN。（3）基于于IP地地址的VVLANN在基于IPP地址的的VLAAN中，新新站点在在入网时时无需进进行太多多配置，交交换机则则根据各各站点网网络地址址自动将将其划分分成不同同的VLLAN。在在三种VVLANN的实现现技术中中，基于于IP地地址的VVLANN智能化化程度最最高，实实现起来来也最复复杂。VL

54、AN作作为一种种新一代代的网络络技术，它它的出现现为解决决网络站站点的灵灵活配置置和网络络安全性性等问题题提供了了良好的的手段。虽虽然VLLAN技技术目前前还有许许多问题题有待解解决，例例如技术术标准的的统一问问题、VVLANN管理的的开销问问题和VVALNN配置的的自动化化问题等等等。然然而，随随着技术术的不断断进步，上上述问题题将逐步步加以解解决，VVLANN技术也也将在网网络建设设中得到到更加广广泛的应应用，从从而为提提高网络络的工作作效率发发挥更大大的作用用。事实上一个个VLAAN(虚虚拟局域域网)就就是一个个广播域域。为了了避免在在大型交交换机上上进行的的广播所所引起的的广播风风暴，

55、可可将连接接到大型型交换机机上的网网络划分分为多个个VLAAN(虚虚拟局域域网)。在在一个VVLANN(虚拟拟局域网网)内，由由一个工工作站发发出的信信息只能能发送到到具有相相同VLLAN(虚拟局局域网)号的其其他站点点。其它它VLAAN(虚虚拟局域域网)的的成员收收不到这这些信息息或广播播帧。采用VLAAN有如如下优势势：抑制网络上上的广播播风暴； 增加网络的的安全性性； 集中化的管管理控制制。 这就是在局局域网交交换机上上采用VVLANN(虚拟拟局域网网)技术术的初衷衷，也确确实解决决了一些些问题。但这种技术也引发出一些新的问题：随着应用的升级，网络规划/实施者可根据情况在交换式局域网环境

56、下将用户划分在不同VLAN(虚拟局域网)上。但是VLAN(虚拟局域网)之间通信是不允许的，这也包括地址解析(ARP)封包。要想通信就需要用路由器桥接这些VLAN(虚拟局域网)。这就是VLAN(虚拟局域网)的问题：不用路由器是嫌它慢，用交换机速度快但不能解决广播风暴问题，在交换机中采用VLAN(虚拟局域网)技术可以解决广播风暴问题，但又必须放置路由器来实现VLAN(虚拟局域网)之间的互通。形成了一个不可逾越的怪圈。这就是网络的核心和枢纽路由器的问题。在这种网络系统集成模式中，路由器是核心。路由器所起起的作用用是：网段微化（网网段之间间通过路路由器进进行连接接）；网络的安全全控制； VLAN(虚拟

57、局局域网)间互连连； 异构网间的的互连。 局域网瓶颈颈（1）采用用路由器器作为网网络的核核心将产产生的问问题：路由器增加加了3层层路由选选择的时时间，数数据的传传输效率率低； 增加、移动动和改变变节点的的复杂性性有增无无减； 路由器价格格昂贵、结结构复杂杂； 增加子网/VLAAN(虚虚拟局域域网)的的互连意意味着要要增加路路由器端端口，投投资也增增大。 相比之下，路路由器是是在OSSI七层层网络模模型中的的第三层层-网网络层操操作的，它它在网络络中，收收到任何何一个数数据包(包括广广播包在在内)，都都要将该该数据包包第二层层(数据据链路层层)的信信息去掉掉(称为为拆包包)，查查看第三三层信息息

58、（IPP地址）。然然后，根根据路由由表确定定数据包包的路由由，再检检查安全全访问表表；若被被通过，则则再进行行第二层层信息的的封装(称为打包)，最最后将该该数据包包转发。如如果在路路由表中中查不到到对应MMAC地地址的网网络地址址，则路路由器将将向源地地址的站站点返回回一个信信息，并并把这个个数据包包丢掉。与与交换机机相比，路路由器显显然能够够提供构构成企业业网安全全控制策策略的一一系列存存取控制制机制。由由于路由由器对任任何数据据包都要要有一个个拆打打过程程，即使使是同一一源地址址向同一一目的地地址发出出的所有有数据包包，也要要重复相相同的过过程。这这导致路路由器不不可能具具有很高高的吞吐吐

59、量，也也是路由由器成为为网络瓶瓶颈的原原因之一一。如果果路由器器的工作作仅仅是是在子网网与子网网间、网网络与网网络间交交换数据据包的话话，我们们可能会会买到比比今天便便宜得多多的路由由器。实实际上路路由器的的工作远远不止这这些，它它还要完完成数据据包过滤滤、数据据包压缩缩、协议议转换、维维护路由由表、计计算路由由、甚至至防火墙墙等许多多工作。而而所有这这些都需需要大量量CPUU资源，因因此使得得路由器器一方面面价格昂昂贵，另另一方面面越来越越成为网网络瓶颈颈。（2）提高高路由器器的硬件件性能，无无法解决决路由器器瓶颈问问题：提高路由器器的硬件件性能(采用更更高速，更更大容量量的内存存)并不不足

60、以改改善它的的性能。因因为路由由器除了了硬件支支撑外，其其复杂杂的处理理与强大大的功能能主要要是通过过软件来来实现的的，这必必然使得得它成为为网络瓶瓶颈。另另外，当当流经路路由器的的流量超超过其吞吞吐能力力时，将将引起路路由器内内部的拥拥塞。持持续拥塞塞不仅会会使转发发的数据据包被延延误，更更严重的的是使流流经路由由器的数数据包丢丢失。这这些都给给网络应应用带来来极大的的麻烦。路路由器的的复杂性性还对网网络的维维护工作作造成了了沉重的的负担。例例如，要要对网络络上的用用户进行行增加、移移动或改改变时，配配置路由由器的工工作将显显得十分分复杂。（3）交交换机结结合路由由器存在在不足：将交换机和和