第十讲-局域网互连课件

4.6局域网互连转发器和集线器:物理层的设备通过集线器连接起来的局域网属于同一个冲突域，这也意味着所有的节点都共享带宽所能连接的站点数是有限制的，比如10BaseT局域网的站点最多有1024个它所覆盖的范围仍然是有限的，要求遵循5-4-3原则网桥：第二层（数据链路层）的设备提供网段间的隔离功能4.6.1网桥网桥（bridge）最早是设计为把那些具有相同的物理层和媒体访问子层的局域网（比如都符合IEEE802.3）互连起来而设计的桥适合于不是非常复杂的局域网之间的互连，它工作在OSI模型中的第二层桥提供一种对LAN的扩展，实现MAC子层的连接。桥对遵循IEEE802标准的局域网是完全透明的：不需要对连接在这些LAN上的站点的通信软件进行修改对于在两个或多个LAN中的所有站点来说，就好象存在一个单一的LAN为什么要采用网桥？为什么不是简单的采用一个大的LAN而是通过网桥连接多个LAN？无序性：可能已经有多个LAN存在可靠性：故障可能导致整个LAN陷于瘫痪性能：LAN中所有站点共享带宽，同时其性能随着连在其上的设备的数量或媒体长度的增加而降低站点数：受电气特性和MAC的制约，LAN连接的站点数目是有限的地理考虑：局域网覆盖的范围是有限的，考虑要连接的站点在地理位置上较分散且相距较远的情况

安全：网卡可以工作在混杂方式，可以监听LAN上发送的所有帧网桥的功能网桥的作用是通过其“过滤和转发”功能来实现的，当网桥收到一个MAC帧时，它检查该帧的源地址和目的地址如果目的站点和源站点是在同一网络之上，则不对其进行转发，这起到了相应的“过滤”作用。否则根据它所保持的路由表选择正确的网络来进行“转发”。网桥可能具有“学习”功能，应该能够动态地了解别的局域网或网桥的状态，帮助其进行自我配置工作。网桥的设计要考虑的问题网桥必须考虑连接的各种局域网的物理特性和帧格式：不同的帧格式：格式的转换，检验和的计算等不同的数据速率：缓冲功能以及拥塞控制不同的超时时间：不同网络的延迟时间各不相同不同的最大帧长度：这可能是一个最为重要的问题，IEEE802LAN标准不提供分段功能让高层应用了解要经过的LAN的最大帧长度，这样可以避免发送太大的帧网桥来分解帧，需要额外的逻辑单元来分解帧和对帧的每个部分提供适当的应答，即要求网桥能够识别网络层的协议单元透明网桥的主要特性透明：引入网桥对于现有LAN的运行是完全透明的可以连接同种MAC协议或者不同MAC协议的LANLAN上的站点不用作任何改动，完全透明网桥也不用做特殊的设置，连接好之后就可以运行对于环路的拓扑结构，网桥还采用的是一种叫做生成树算法的技术，来防止路由回路

透明网桥透明网桥的每个端口以混杂方式工作，接收连接到该网桥的局域网上传送的所有帧。每个桥维护了一个基于MAC地址的过滤数据库，网桥根据这个数据库，把收到的帧往相应的局域网进行转发或者过滤：过滤数据库中列出了每个可能的目的地（目的MAC地址），以及它属于哪一条输出线路（一个端口号，即表示转发给哪个LAN），同时每个表项还有一个超时。网桥初始化时，过滤数据库为空如果收到的帧的目的地址不在过滤数据库中，则进行扩散，即把帧转发到除了收到该帧的端口外的所有端口中逆向学习：当一个帧到达一个端口时，桥显然知道它是来自于到来LAN的哪一边。帧的源地址字段表示了源站点。因而桥可以更新那个MAC地址对应的过滤数据库中有关信息每个表项有一个超时，如果一段时间没有看到来自于该站点的帧，则从表中移走透明网桥（续）桥在端口x上接收到一个MAC帧，有如下规则：查询过滤数据库，决定该目的MAC地址是否列在除端口x外的其它端口中。如果目的MAC地址没有找到，把该帧往除了它所到来的端口外的所有端口发送，即进行扩散。如果目的地址列在过滤数据库中的某个端口y中，其中y不等于x，此外还要看端口y是否处在阻塞还是在转发状态。如果端口y是非阻塞（转发状态）的，把该帧通过端口y转发到它所连接的LAN中。透明网桥（续）如果收到一个广播帧，网桥会把广播帧向该帧的到来端口外的所有其它端口转发广播帧的目的地址代表所连接的局域网的所有目的主机网桥实现MAC子层的连接，通过网桥连接的LAN相当于一个大的LAN通过网桥连接的站点位于同一个广播域（broadcastdomain），即这些节点能相互接收彼此的广播帧。网桥与交换机1、网桥

网桥是将一个LAN段与另一LAN段连接起来的网络设备。

网桥执行三种重要的功能：学习、过滤和转发。

2、交换机

交换机提供了桥接能力以及在现存网络上增加带宽的功能。交换机保持一张有关地址的信息表(称为MAC地址表-内容可寻址寄存器)，并用该信息来决定如何过滤并转发LAN流量。与网桥不同，交换机采用交换技术来增加数据的输入输出总和与介质的带宽。

交换机的功能地址学习交换数据帧环路避免交换机地址表学习初始MAC地址表是空的MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD交换机地址表学习计算机A发一个数据帧到计算机C交换机通过接收从端口E0来的数据帧的源地址学习到了计算机A

的MAC地址从计算机A到计算机C的数据帧被泛洪（flood）到除了E0以外的所有其他端口(不知道地址的单播帧被泛洪)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBA交换机地址表学习计算机D发一个数据帧到计算机C交换机通过接收从端口E3来的数据帧的源地址学习到了计算机D的MAC地址从计算机D到计算机C的数据帧被泛洪（flood）到除了E3以外的所有其他端口(不知道地址的单播帧被泛洪)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3DCAB交换机如何过滤数据帧计算机A第二次发一个数据帧到计算机C目标地址在MAC地址表中可以查到，帧不被floodE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMACaddresstable广播和组播帧计算机D发送一个广播或组播帧。广播和组播帧被flooded到除了初始接收端口以外的所有其他端口0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MACaddresstable交换数据帧（续）如果计算机A发数据帧到计算机B，因为A和B在同一个端口连接的网段内，则交换机不进行转发。冗余拓扑结构冗余拓扑结构消除了单点故障。冗余拓扑结构也会造成广播风暴,多帧拷贝,和MAC地址表不稳定等问题。Segment1Segment2Server/hostXRouterYBroadcastStormsSegment1Segment2Server/hostXRouterY

BroadcastSwitchASwitchB计算机X发了一个广播帧广播风暴交换机B从网段2收到交换机A发出的广播帧后又扩散到网段1Segment1Segment2Server/hostXRouterY

BroadcastSwitchASwitchB广播风暴交换机不断循环扩散广播导致风暴形成Segment1Segment2Server/hostXRouterY

BroadcastSwitchASwitchBMultipleFrameCopies（多帧拷贝）Segment1Segment2Server/hostXRouterY

UnicastSwitchASwitchB主机X发一个单播帧（unicastframe）到路由器Y路由器Y的MAC地址switchA和switchB都不知道MultipleFrameCopies（多帧拷贝）Segment1Segment2Server/hostXRouterY

UnicastSwitchASwitchB主机X发一个单播帧到RouterY，交换机A与B都不知道RouterY的MAC地址，因此单播帧以广播的方式发送。RouterY将收到两个相同的帧。

Unicast

UnicastMAC地址表不稳定Segment1Segment2Server/hostXRouterY

Unicast

UnicastSwitchA

SwitchBPort0Port1Port0Port1主机X发一个单播帧到RouterY，交换机A与B都不知道RouterY的MAC地址。因此单播帧以广播的方式发送。SwitchAandB通过各自的port0学习到主机X的MAC地址。MAC地址表不稳定Segment1Segment2Server/hostXRouterY

Unicast

UnicastSwitchASwitchBPort0Port1Port0Port1主机X发一个单播帧到RouterY，交换机A与B都不知道RouterY的MAC地址。因此单播帧以广播的方式发送。SwitchA和B又通过各自的port1学习到主机X的MAC地址。这样就造成SwitchA和BMAC地址表的不稳定。复杂的拓扑结构可能造成多重环路（multipleloops）数据链路层没有阻止环路产生的机制。Server/hostWorkstationsLoopLoopLoopMultipleLoopProblems

Broadcast阻塞（Block）通过阻塞一个或多个冗余端口，维护一个无回路的网络IEEE802.1dx解决的方法：生成树协议（STP）STP的算法STP将一个环形网络生成无环拓朴的步骤：选择根网桥（RootBridge）选择根端口（RootPorts）选择指定端口（DesignatedPorts）网桥是交换机的前身，由于STP是在网桥基础上开发的，因此现在在交换机的网络中仍然沿用网桥这一术语第一步：选择根网桥选择根网桥的依据网桥ID（BID）网桥ID是唯一的，交换机之间选择BID值最小的交换机作为网络中的根网桥网桥优先级网桥的MAC地址2字节6字节取值范围：0～65535缺省值：32768选择根网桥的目的是为了给将生成的树形结构确定一个树根STP选择根网桥举例根据网桥ID选择根网桥ABC优先级：4096

MAC地址：000d.2800.b100优先级：32768

MAC地址：000d.2800.b101优先级：32768

MAC地址：000d.2800.b102RootBridge下一步：选择根端口以本拓朴为例，介绍STP的计算过程选择根端口的依据在非根网桥上选择一个到根网桥最近的端口作为根端口选择根端口的依据是：根路径成本最低直连的网桥ID最小端口ID最小根路径成本根路径成本－是网桥到根网桥的路径上所有链路的成本之和RootBridge路径成本：19路径成本：100CBAPort1C的Port1根路径成本＝19＋100＝119路径成本路径成本根据链路带宽的高低规定链路带宽（Mb/s）路径成本10100166245391001915514622610004100002端口ID端口ID的组成

端口优先级

端口编号

8位8位取值范围：0～255缺省值：128100MSTP选择根端口举例在非根桥上，选择一个根端口（RP）ABC优先级：4096

MAC地址：000d.2800.b100优先级：32768

MAC地址：000d.2800.b101优先级：32768

MAC地址：000d.2800.b102RootBridge下一步：选择指定端口100M100MRootPortRootPort在B和C上，到达A最近的端口是B和C的根端口选择指定端口的依据在每个网段上，选择1个指定端口根桥上的端口全是指定端口非根桥上的指定端口：根路径成本最低端口所在的网桥的ID值较小端口ID值较小STP选择指定端口举例在每个网段选择1个指定端口（DP）100MABC优先级：4096

MAC地址：000d.2800.b100优先级：32768

MAC地址：000d.2800.b101优先级：32768

MAC地址：000d.2800.b102RootBridge100M100MRootPort这个端口既不是根端口，也不是指定端口，STP将这个端口阻塞（Block）在这个网段上，B的网桥ID较小，所以B上的端口为指定端口DPDPDP根网桥上的端口都是指定端口STP计算结果经过STP计算，最终的逻辑结构为无环拓朴100MABC优先级：32768

MAC地址：000d.2800.b101优先级：32768

MAC地址：000d.2800.b102100M优先级：4096

MAC地址：000d.2800.b100备份线路STP举例DCABBID：32768000d.2800.b100BID：32768000d.2805.c100BID：32768000d.2810.d100BID：32768000d.2811.e100100M100M100M100M100MRootBridgeRPRPRPDPDPDPBlock经过STP计算后的逻辑拓朴DCABBID：32768000d.2800.b100BID：32768000d.2805.c100BID：32768000d.2810.d100BID：32768000d.2811.e100100M100M100MRootBridgeSTP(生成树）协议的运行使得每一个网络只有一个根桥（Rootbridge）使得每一个非根桥（nonroot）上只有一个根端口（rootport）使得每一个网段（segment）只有一个指定端口（designatedport）xDesignatedport(F)Rootport(F)Designatedport(F)Nondesignatedport(B)RootbridgeNonrootbridgeSWXSWY100baseT

10baseTSwitchYDefaultpriority32768

(8000hex)MAC0c0022222222SwitchXDefaultpriority32768

(8000hex)MAC0c0011111111

STP协议中根桥的选择BPDUBPDU=Bridgeprotocoldataunit

(默认每隔2秒发一个BPDU包)根桥=具有最小桥ID值的网桥（交换机）桥ID=网桥优先级+网桥MAC地址思考：在上面的拓扑图中,

那一台交换机具有最小的桥ID?SwitchYDefaultpriority32768MAC0c0022222222SwitchXDefaultpriority32768MAC0c0011111111STP协议中交换机端口状态RootbridgexPort0Port1Port0Port1100baseT10baseT

指定端口(F)根端口(F)非指定端口(B)指定端口(F)SwitchYMAC0c0022222222Defaultpriority32768SwitchXMAC0c0011111111Defaultpriority32768Port0Port1Port0Port1SwitchZMac0c0011110000Defaultpriority32768Port0请指出:那一台交换机是根桥?那些端口是指定端口,

非指定端口,

和根端口?那些端口处于转发状态，那些处于阻塞状态?

100baseT100baseTSpanning-Tree示例SwitchYMAC0c0022222222Defaultpriority32768SwitchXMAC0c0011111111Defaultpriority32768Port0Port1Port0Port1SwitchZMac0c0011110000Defaultpriority32768Port0请指出:那一台交换机是根桥?那些端口是指定端口,非指定端口,和根端口?那些端口处于转发状态，那些处于阻塞状态?

100baseT100baseTSpanning-Tree:指定端口(F)根端口(F)非指定端口(BLK)指定端口(F)根端口(F)根桥BPDU（桥协议数据单元）交换机之间使用BPDU来交换STP信息BPDUBridgeProtocolDataUnit－桥协议数据单元使用组播发送BPDU，组播地址为：01-80-c2-00-00-00BPDU分为2种类型：配置BPDU－用于生成树计算拓朴变更通告（TCN）BPDU－用于通告网络拓朴的变化有没有想过，交换机怎么知道其他交换机的网桥ID？怎么知道哪个端口的根路径成本最小？BPDU包含的关键字段字段字节作用协议ID2版本号1报文类型1标识是配置BPDU还是TCNBPDU标记域1根网桥ID8用于通告根网桥的ID根路径成本4说明这个BPDU从根传输了多远发送网桥ID8发送这个BPDU网桥的ID端口ID2发送报文的端口的ID报文老化时间2计时器值，用于说明生成树用多长时间完称它的每项功能最大老化时间2访问时间2转发延迟2100MSTP使用BPDU选择根网桥2-1100MAC网桥ID：

32768.000d.2800.b101网桥ID：32768.000d.2800.b102网桥ID：

4096.000d.2800.b100字段值根网桥ID32768.000d.2800.b101根路径成本0发送网桥ID32768.000d.2800.b101端口IDxxxxB交换机启动时，假定自己是根网桥，在向外发送的BPDU中，根网桥ID字段填写自己的网桥ID100M100M100MSTP使用BPDU选择根网桥2-2100MAC字段值根网桥ID4096.000d.2800.b100根路径成本0发送网桥ID

4096.000d.2800.b100端口IDxxxx当接收到其他交换机发出的BPDU后，比较网桥ID，选择较小的添加到根网桥ID中100MA字段值根网桥ID4096.000d.2800.b100根路径成本0发送网桥ID32768.000d.2800.b101端口IDxxxxB100M网桥ID：

32768.000d.2800.b101网桥ID：32768.000d.2800.b102网桥ID：

4096.000d.2800.b100当全网所有的交换机接收到全部的BPDU并作比较后，就可以选择出唯一的一个根网桥STP使用BPDU计算根路径成本2-1100M100M100MAC字段值根网桥ID4096.000d.2800.b100根路径成本0发送网桥ID

4096.000d.2800.b100端口IDxxxxAB根网桥发送根路径成本为0的BPDU100MRootBridge网桥ID：

32768.000d.2800.b101网桥ID：32768.000d.2800.b102网桥ID：

4096.000d.2800.b100RootBridgeASTP使用BPDU计算根路径成本2-2其他交换机接收到根网桥的BPDU后，在根路径成本上添加接收接口的路径成本，然后转发100M100M100MAC字段值根网桥ID4096.000d.2800.b100根路径成本19发送网桥ID32768.000d.2800.b101端口IDxxxx100MB交换机保存接口的根路径成本到内存中网桥ID：

32768.000d.2800.b101网桥ID：32768.000d.2800.b102网桥ID：

4096.000d.2800.b100生成树端口的状态状态用途转发（Forwarding）发送和接收用户数据学习（Learning）构建网桥表侦听（Listening）构建“活动”拓朴阻塞（Blocking）只接收BPDU禁用（Disable）强制关闭交换机端口的5种STP状态BlockingListeningLearningForwardingSpanning-TreePortStatesSpanning-treetransitionseachportthroughseveraldifferentstate:STP端口的状态二Blocking(阻断)状态（20秒）—所有端口初始都是阻断状态。2.Listening（倾听）状态（15秒）—交换机用这段时间来判断到根桥是否还有其他路径，并确定打开某个端口不会在网络中造成环路；3.Learning（学习）状态（15秒）—交换机会在学习状态过程中了解各端口MAC地址信息，然后记录在交换机内的MAC地址表里。在这两个过程中交换机不会转发用户数据。因此端口状态从Blocking到Forwarding需要大约50秒的时间叫做收敛时间（ConvergenceTime），在这段时间内用户数据将无法正常传递。STP的默认计时TimeBlocking20SecListeningLearning15SecForwarding15SecForwardDelayForwardDelayMax-AgeSpanning-TreeRecalculationSwitchYMAC0c0022222222Defaultpriority32768SwitchXMAC0c0011111111Defaultpriority32768Port0Port1Port0Port110baseTx100baseTRootBridgeDesignatedportRootport(F)Nondesignatedport(BLK)DesignatedportSwitchYMAC0c0022222222Defaultpriority32768SwitchXMAC0c0011111111Defaultpriority32768Port0Port1Port0Port110baseTx100baseTRootBridgeDesignatedportRootport(F)Nondesignatedport(BLK)DesignatedportBPDUxMAXAGExSpanning-TreeRecalculationKeyIssue:TimetoConvergenceConvergenceoccurswhenalltheswitchesandbridgeportshavetransitionedtoeithertheforwardingorblockingstateWhennetworktopologychanges,switchesandbridgesmustrecomputetheSpanning-TreeProtocol,whichdisruptsusertraffic数据转发方式1：直接交换:2：改进的直接交换:(碎片隔离、无残帧）3：存储转发交换:数据转发方式1：Cut-through(直接交换)SwitchchecksdestinationaddressandimmediatelybeginsforwardingframeFrame检测到目的地址字段，立即转发2：Fragmentfree(碎片隔离、无残帧）

(modifiedcut-through)—Cat1900Default(改进的直接交换）

Switchchecksthefirst64bytesthenimmediately

beginsforwardingframeFrame接收数据头部，判断头部字段是否正确数据转发方式3：Storeandforward（存储转发交换）CompleteframeisreceivedandcheckedbeforeforwardingFrameFrameFrame完整地接收整个数据，对数据进行差错检测DuplexOverviewHalfduplex(CSMA/CD)UnidirectionaldataflowHigherpotentialforcollisonHubsconnectivitySwitchHubDuplexOverviewHalfduplex(CSMA/CD)UnidirectionaldataflowHigherpotentialforcollisonHubsconnectivitySwitchHubFullduplexPoint-to-pointonlyAttachedtodedicatedswitchedportRequiresfull-duplexsupportonbothendsCollisionfreeCollisiondetectcircuitdisabled现有的共享局域网配置LAN和VLAN的区别跨越主干网络的VLAN在VLAN中的路由器的角色在VLAN中的数据帧的使用状况帧标记，端口、VLAN和广播VLAN类型、TRUNK、VTP协议静态VLAN，动态VLAN虚拟局域网技术

VLAN虚拟局域网的设计1.什么是虚拟局域网？

将局域网上的用户或节点划分成若干“逻辑工作组”，逻辑组的用户或节点可以根据功能、部门、应用等因素划分而无须考虑它们所处的物理位置。2.利用以太网交换机就可以配置VLAN。3.利用VLAN可以分割广播域。虚拟局域网概念在此让我们先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（MulticastFrame）和目标不明的单播帧（UnknownUnicastFrame）也能在同一个广播域中畅行无阻。本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。用路由器和划分VLAN都能分割广播域。广播域概念什么是广播域？

在传统的共享LAN环境中...用户根据他们所接入的交换机物理地进行了分组路由器将LAN进行了分段，并起到了LAN中的广播防火墙的作用在VLAN环境中...可以按照功能、部门或使用的应用等因素来进行逻辑地分组通过软件完成配置现有的共享局域网配置传统LAN的管理方法一个逻辑工作组的站点需要移到另一个逻辑工作组（如站点从LAN1移动到LAN3）一个逻辑工作组的站点需要物理位置的移动（如LAN1中的站点从1楼移动到3楼）移动站点的物理位置或逻辑工作组有时需要重新布线VLAN中逻辑工作组的管理一个逻辑工作组的站点需要移到另一个逻辑工作组（如站点从LAN1移动到LAN3）不需要移动计算机，只须把它划入相应VLAN中以软件方式实现逻辑工作组的划分与管理VLAN可以对不同子网中的用户进行逻辑分段处理

(将他们置于一个广播域中)广播帧将被而且仅被交换到具有相同VLANID的交换机或交换机端口用户通过软件可以按照如下的因素（或参数）被逻辑地分组端口号MAC地址使用的协议使用的应用（或应用程序）用户分组VLANs...工作在数据链路层和网络层控制网络广播可以由网络管理员对用户进行网络分配提供相对严谨的网络安全。请思考其原因？LAN和VLAN的区别VLAN支持通过主干网络的数据传输，这些主干网络由路由器和交换机连接主干网络是用来进行VLAN间通讯的区域主干网络是高速的连接，一般大于等于100Mbps跨越主干网络的VLAN路由器提供不同VLAN间的互联例如，VLAN1和VLAN2在交换机中，用户被分隔在不同的网段中无法相互通讯(VLAN的特点)因此，需要一个路由器来连接着两个网段在VLAN中的路由器的角色Cisco2621VLAN1VLAN2交换机利用数据帧中的地址数据进行过滤和转发的计算这里使用了两种技术帧过滤—检查每个数据帧的详细信息(MAC地址或网络层协议类型)帧标记(FrameTagging)—在向网络主干转发的每个数据帧的头部放入一个唯一的标示在VLAN中的数据帧的使用状况帧标记在IEEE802.1q中定义，是最佳的VLAN实现方式在数据帧转发到主干网络之前，每个数据帧将被分配一个唯一的VLANID由交换机在广播和转发数据到其他交换机和路由器之前设定在数据帧中放置一个标记...所以叫做帧标记，请考虑是在网络那一层？当该数据帧将被转发到目的节点而离开主干网络时，由交换机将该标记从数据帧中去除VLAN的划分方式通常有如下几种：最早的VLAN划分是基于端口（PortBased）的，即通过端口来划分VLAN；现在的交换器还支持通过MAC地址（MACBased）和IP地址（ProtocolBased）来划分VLAN；一些较新的交换器，还可以通过策略服务（PolicyServie）来管理VLAN，进一步简化了VLAN的划分和管理。VLAN的类型特点：VLAN成员是通过交换机的端口组进行划分（如将某交换机的第1、3、5和7号端口划分为VLANA，而将其第2、4和6号端口划分为VLANB），包括支持跨交换机的VLAN（如将交换机X的第1和2号端口及交换机Y的第3、4、6号端口划分为VLANA，而将交换机X的3、4、5、6、7和8号端口及交换机Y的第1、2、5号端口划分为VLANB）。这种基于端口的方案仍是当前最常用的定义VLAN成员的方法。优点：所有的厂商都支持，而且设置相当方便基于管理员（由管理员人工设置）安全性很好（只有网络管理员能修改设置）缺点：·每个端口只能支持一个VLAN，不能支持多个VLAN使用同一个物理网段（即交换机端口）的要求。不支持按业务分组。应用：主要用于为了提高网络的运行效率的网络——用于防止拥塞（flood）——而非为了满足工作需要。它是VLAN中最简单的一种，却也能提供最大程度的控制和安全性。①基于端口（port-based）的VLAN特点：根据MAC地址划分VLAN。优点：工作站移动到网络的其他物理位置时其VLAN成员的身份不变（特别适用于各种便携式电脑）。——“基于用户”可实现按业务分组可以形成“交迭的”VLAN——即一个站点可以同时属于多个VLAN。便于实现若干个业务群间的跨接通信（如销售主管和经理们需要同时在销售和市场两个VLAN中）。缺点：不适用于工作于第三层网络的那些真正的远程用户（许多便携式电脑用户属于这种情况），因为MAC地址不能跨越网络层。

VLAN设置时必须由人工完成，相当麻烦。应用：需要按业务分组的企业和主机位置需要经常移动网络。②基于MAC地址（MAC-based）的VLAN特点：根据协议来划分VLAN，如将所有基于MAC地址的用户划分到一个VLAN中，其他的可以通过IP地址或IPX等协议进行划分。优点：用户可以同时处于多个VLAN中。“基于管理员”——如果他所管理一个大型网络运行有不同的协议，而不同的用户组则已经是不同通信类型的成员了。这种情况下，它可以用来分隔不同的通信类型。缺点：其他站点可以随意加入某个VLAN，只要配备相应的协议。应用：只是用来提高网络的效率。最大的优点则是允许IPX网络加入——以简单的方式将IPX产生的SAP（服务广告协议）广播置于有效的控制中。

③基于协议（protocol-based）的VLAN特点：使用网络（如IP子网）地址确定VLAN成员资格。优点：可实现通过协议划分VLAN用户可以物理移动其工作站而不必重新设置每个工作站的网络地址（适用于纯TCP/IP网络）可以不需要使用帧标识（tagging）在交换机间的VLAN进行通信，降低了传输开销。网络管理员可以在VLAN管理软件中通过简单的拖放式操作规定哪个子网在哪个VLAN中，并将所有的用户与其子网一起分配。新用户加入可以由VLAN自动调整（因为交换机会发现它们位于哪个子网）缺点：需要解决IP地址盗用问题应用：用于TCP/IP协议特别有效，但对那些无需在桌面人工设置的协议（如IPX、DECnet、或AppleTalk协议）效果就差些。④基于IP（IP-based）的VLAN所谓“策略实际上就是各种可能行为的控制准则。它们按if-then结构工作，可以对网络中的不同对象（用户、管理员、应用软件及硬件的下部构造）的行为进行禁止、许可或强制。策略管理迄今为止一直被用于某些类型的管理软件上：故障、性能、安全、配置及帐户。但也开始应用于其他类型的软件。基于策略是最强大的VLAN方案。它使网络管理员可以使用任何VLAN策略的组合来建立适合自己需要的VLAN。一旦一个策略被下载到一台交换机中，它在整个网络中就得到全面应用，有关设备就将被加入到各VLAN中。基于策略的VLAN可以使用各种划分方法，包括上述所列的各种VLAN类型：MAC源地址，IP地址，及协议字段。也可以将不同的策略结合起来，形成一个策略，以满足网络管理员的特殊要求。但使用这种VLAN技术的设备和控制软件相当复杂，目前只有极少网络使用。⑤基于策略（policy-based）的VLAN定义静态VLAN是指交换机上的端口被人工的设定为VLAN的成员的优点可以利用端口、地址和协议类型进行分配安全、容易被配置和监控适合用在网络成员较少移动的情况下静态VLAN定义交换机的端口自动的决定用户所属的VLAN，使用如下参数的一个或多个：MAC地址逻辑地址协议类型当一个工作站连接到一个未分配的端口时，交换机检查自身的信息表，并动态的将该端口分配到正确的VLAN中优点当用户增加和移动时，管理性的工作较少(预先做好了)集中控制网络和管理未经许可的用户动态VLAN移动的用户在一个网络中每年大约有20%到40%的节点由于工作原因需要变动占用网络管理员相当的工作量（重复性工作）管理网络工作中的耗资最大的部分，因为移动需要...重新布线重新分配地址和配置网络VLAN提供了控制这些费用的方法；只要一个用户一直属于一个VLAN...简单地将新的交换机端口配置到该VLAN中路由器的配置无需改变VLAN使得网络改变更加容易路由器在控制广播方面非常有效VLAN将扩展路由器控制广播方面的功能越小的VLAN，越少的用户被广播所影响VLAN控制广播共享LAN是易于被入侵的...只需要简单的接入任何一个共享的集线器VLAN增加了安全性...严格控制了VLAN中的用户数量将防止未经认证的用户访问网络可以将所有未用的端口配置为“Disabled”状态控制存取的方法还有地址应用类型协议类型VLAN增加安全性代替Hub和网络分段非智能集线器上所有端口分配为一个VLAN.交换机的性能价格比远远优于集线器右图中，在扩展星形网络拓扑中，使用具备VLAN的交换机代替中心节点的集线器后，整个网络从一个共享网段被划分成6个网段VLAN节省费用在二层交换机的性能参数中，常常提到一个重要的指标：TRUNK(链路聚合)，许多的二层交换机产品在介绍其性能时，都会提到能够支持TRUNK功能，从而可以为互连的交换机之间提供更好的传输性能。TRUNK功能比较适合于以下方面具体应用：TRUNK功能用于与服务器相联，给服务器提供独享的高带宽。TRUNK功能用于交换机之间的级联，通过牺牲端口数来给交换机之间的数据交换提供捆绑的高带宽，提高网络速度，突破网络瓶颈，进而大幅提高网络性能。Trunk