畢業(yè)論文-虛擬局域網(wǎng)技術(shù)

1、<p><b>　　畢 業(yè) 論 文</b></p><p>　　論文題目： 虛擬局域網(wǎng)技術(shù) </p><p><b>　　內(nèi) 容 摘 要</b></p><p>　　虛擬局域網(wǎng)（VLAN）是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)，在功能和操作上和傳統(tǒng)

2、的LAN基本相同。虛擬局域網(wǎng)技術(shù)是目前網(wǎng)絡(luò)界最熱門(mén)的技術(shù)之一，也是交換網(wǎng)絡(luò)中最重要的技術(shù)之一，它的出現(xiàn)是和局域網(wǎng)的交換技術(shù)的發(fā)展分不開(kāi)的。VLAN的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)的許多固有觀念，使網(wǎng)絡(luò)結(jié)構(gòu)變得靈活、方便。</p><p>　　隨著網(wǎng)絡(luò)技術(shù)日新月異的發(fā)展，現(xiàn)代局域網(wǎng)已進(jìn)入高速交換時(shí)代。以交換技術(shù)為基礎(chǔ)產(chǎn)生的VLAN技術(shù)是一種新的熱門(mén)技術(shù)，目前正在得到越來(lái)越廣泛的應(yīng)用從某種角度講，VLAN技術(shù)己經(jīng)成為現(xiàn)代大型局域

3、網(wǎng)建設(shè)、管理和應(yīng)用不可缺少的技術(shù)。研究VLAN技術(shù)的應(yīng)用，對(duì)于網(wǎng)絡(luò)的建設(shè)、管理和應(yīng)用具有十分重要的意義。</p><p>　　[關(guān)鍵詞]：虛擬局域網(wǎng) 技術(shù) 劃分 應(yīng)用</p><p><b>　　Abstract</b></p><p>　　The virtual local area network (VLAN), is one kind t

4、hrough is not physics divides local area network in equipment logic each one webpage to realize the hypothesized work team's emerging technology, in function and operation and traditional LAN basic same.The virtual l

5、ocal area network technology is one of present network most popular technologies, also is exchanges in the network one of most important technical, its appearance is and the local area network exchange technology develop

6、ment cannot </p><p>　　With the rapid development of network technology, modern high-speed local area network has entered the era of exchange. In exchange for technology-based VLAN generated by the new techno

7、logy is a hot technology, is being increasingly wide range of applications from a certain point say, VLAN technology has been become a modern large-scale local area network construction, management and application of ess

8、ential technologies. VLAN technology research for the campus network construction, management a</p><p>　　Keywords：Virtual local area network, Technology, Divided, Applyszz</p><p><b>　　目

9、 錄</b></p><p>　　1、局域網(wǎng)（VLAN）基礎(chǔ)1</p><p>　　1.1、虛擬局域網(wǎng)概述1</p><p>　　1.1.1虛擬局域網(wǎng)的定義1</p><p>　　1.1.2 VLAN的由來(lái)1</p><p>　　1.2、虛擬局域網(wǎng)的特點(diǎn)3</p><p>

10、　　1.2.1 VLAN的特性3</p><p>　　1.2.2 VLAN與傳統(tǒng)的LAN相比較的優(yōu)勢(shì)3</p><p>　　2 、虛擬局域網(wǎng)的劃分4</p><p>　　2.1、基于端口的VLAN劃分4</p><p>　　2.2、基于MAC地址的VLAN劃分4</p><p>　　2.3、基于網(wǎng)絡(luò)層的劃分

11、5</p><p>　　2.4、基于策略的VLAN劃分5</p><p>　　3、 虛擬局域網(wǎng)協(xié)議5</p><p>　　3.1、IEEE802.1Q協(xié)議5</p><p>　　3.2、VLAN 鏈路6</p><p>　　3.2.1 vlan鏈路類(lèi)型6</p><p>　　

12、3.2.2 VLAN幀在網(wǎng)絡(luò)中的通信7</p><p>　　3.2.3 Trunk和VLAN7</p><p>　　4、VLAN間路由8</p><p>　　4.1、VLAN間路由的需求8</p><p>　　4.1.1 VLAN隔離二層廣播域8</p><p>　　4.1.2連接不同的VLAN9</

13、p><p>　　4.2、三層交換機(jī)做VLAN間路由9</p><p>　　4.2.1 VLAN間路由的解決方案9</p><p>　　4.2.2使用VLAN Trunkint10</p><p>　　4.2.3基于內(nèi)部硬件路由引擎的三層交換機(jī)11</p><p>　　5、虛擬局域網(wǎng)應(yīng)用實(shí)例12</p>

14、<p>　　5.1、思科單臂路由配置12</p><p>　　5.2、利用VLAN進(jìn)行學(xué)校配置13</p><p><b>　　注釋18</b></p><p><b>　　參考文獻(xiàn)19</b></p><p><b>　　致謝20</b></p&

15、gt;<p>　　1 局域網(wǎng)（VLAN）基礎(chǔ)</p><p>　　1.1 虛擬局域網(wǎng)概述</p><p>　　1.1.1虛擬局域網(wǎng)的定義</p><p>　　VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)[1]。它允許網(wǎng)絡(luò)管理者將一個(gè)

16、物理的LAN邏輯地劃分成不同的廣播域（或稱(chēng)虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性[2]。</p

17、><p>　　1.1.2 VLAN的由來(lái)</p><p><b>　　圖1-1廣播風(fēng)暴</b></p><p>　　傳統(tǒng)的局域網(wǎng)使用的是HUB，HUB只有一根總路線(xiàn)，一根總路線(xiàn)就是一個(gè)沖突域。所以傳統(tǒng)的局域網(wǎng)是一個(gè)扁平的網(wǎng)絡(luò)，一個(gè)局域網(wǎng)屬于同一個(gè)沖突域，任何一臺(tái)主機(jī)發(fā)出的報(bào)文都會(huì)被同一沖突域的所有其它機(jī)器接收到。后來(lái)，組網(wǎng)的時(shí)使用網(wǎng)橋（二層交換機(jī)）

18、代替集線(xiàn)器（HUB），每個(gè)端口可以看成是一根單獨(dú)的總線(xiàn)，沖突域縮小到每個(gè)端口，使得網(wǎng)絡(luò)發(fā)送單播報(bào)文的效率大大提高，極大地提高了二層網(wǎng)絡(luò)的性能。但是網(wǎng)絡(luò)中所有端口仍然處于同一個(gè)廣播域，網(wǎng)橋在傳遞廣播報(bào)文的時(shí)候依然要將廣播報(bào)文復(fù)制多份，發(fā)送到網(wǎng)絡(luò)的各個(gè)角落。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)中的廣播報(bào)文越來(lái)越多，廣播報(bào)文占用的網(wǎng)絡(luò)資源越來(lái)越多，嚴(yán)重影響網(wǎng)絡(luò)性能，這是所謂的廣播風(fēng)暴的問(wèn)題。如圖1-1所示。</p><p>　　由

19、于網(wǎng)橋二層網(wǎng)絡(luò)工作原理的限制，網(wǎng)橋?qū)V播風(fēng)暴的問(wèn)題無(wú)能為力。為了提高網(wǎng)絡(luò)的效率，一般需要將網(wǎng)絡(luò)進(jìn)行分段：把一個(gè)大的廣播域劃分成幾個(gè)小的廣播域。</p><p><b>　　圖1-2網(wǎng)絡(luò)分段</b></p><p>　　過(guò)去往往通過(guò)路由器對(duì)LAN進(jìn)行分段。圖1-2中用路由器替換圖1-1中的中心節(jié)點(diǎn)交換機(jī)，使得廣播報(bào)文的發(fā)送范圍大大減小。這種方案解決了廣播風(fēng)暴的問(wèn)題，但是

20、用路由器是在網(wǎng)絡(luò)層上分段將網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)復(fù)雜，組網(wǎng)方式不靈活，并且大大增加了管理維護(hù)的難度。做為替代的LAN分段的方法，虛擬局域網(wǎng)被引入到網(wǎng)絡(luò)解決方案中來(lái)，用于解決大型的二層網(wǎng)絡(luò)環(huán)境面臨的問(wèn)題。</p><p><b>　　圖1-3劃分廣播域</b></p><p>　　虛擬局域網(wǎng)VLAN邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶(hù)按照一定的原則進(jìn)行劃分，把一個(gè)物理上實(shí)際的網(wǎng)絡(luò)劃分成多

21、個(gè)小的邏輯的網(wǎng)絡(luò)，這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)[3]。圖1-3中幾個(gè)部門(mén)都使用一個(gè)中心交換機(jī)，但是各個(gè)部門(mén)屬于不同的VLAN，形成各自的的廣播域，廣播報(bào)文不能跨越這些廣播域傳送。虛擬局域網(wǎng)將一組位于不同物理網(wǎng)段上的用戶(hù)在邏輯上劃分成一個(gè)局域網(wǎng)內(nèi)，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。</p><p>　　1.2 虛擬局域網(wǎng)的特點(diǎn)</p><

22、;p>　　1.2.1 VLAN的特性</p><p>　　VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶(hù)劃分為更小的工作組，同一個(gè)VLAN中的所有成員共同擁有一個(gè)VLANID，組成一個(gè)虛擬局域網(wǎng)絡(luò)；同一個(gè)VLAN中的成員均能收到本VLAN內(nèi)其他成員發(fā)來(lái)的廣播包，但收不到其他VLAN成員的廣播包；不同VLAN成員之間不可進(jìn)行二層互訪直接通信

23、，需要通過(guò)三層交換或者路由支持才能通信，而同一VLAN中的成員通過(guò)VLAN交換機(jī)可以直接通信，不需路由支持[4]。</p><p>　　1.2.2 VLAN與傳統(tǒng)的LAN相比較的優(yōu)勢(shì)</p><p>　　(1)增加、移動(dòng)、更改工作站靈活方便。在網(wǎng)絡(luò)中，工作站在一個(gè)建筑物內(nèi)或校園網(wǎng)內(nèi)增加、移動(dòng)、更改是很常見(jiàn)的事情。劃分了VLAN后，當(dāng)一個(gè)工作站需要變動(dòng)物理位置時(shí)，只要通過(guò)網(wǎng)管工作站就可以重新

24、配置其屬性。當(dāng)一個(gè)工作站在相同的VLAN內(nèi)移動(dòng)位置時(shí)，它在新的位置仍然保留其原有的屬性:當(dāng)一個(gè)工作站在不同VLAN之間移動(dòng)時(shí)，就把新的VLAN的屬性應(yīng)用于這個(gè)站。若因作需要，部的一個(gè)人員需調(diào)到另一個(gè)部門(mén)，或因開(kāi)發(fā)某個(gè)項(xiàng)目需要臨時(shí)組建一個(gè)由不同部門(mén)的技術(shù)人員組成的工作小組時(shí)，有了VLAN，小組的成員就不必真正集中到一起，他們只需坐在自己的計(jì)算機(jī)旁就可參與另一部門(mén)的工作或了解其他合作伙伴的工作情況。工作結(jié)束后，這個(gè)工作組可以隨之消失。<

25、;/p><p>　　(2)隔離廣播風(fēng)暴，提高網(wǎng)絡(luò)性能。網(wǎng)絡(luò)中大量的廣播信息所帶來(lái)的帶寬消耗和網(wǎng)絡(luò)延遲甚至造成網(wǎng)絡(luò)堵塞，對(duì)用戶(hù)來(lái)講是不容忽視的。VLAN具有隔離廣播風(fēng)暴的特點(diǎn)，可以把一個(gè)大的局域網(wǎng)劃分成幾個(gè)小的VLAN，使每個(gè)VLAN中的廣播信息大大減少，從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，提高網(wǎng)絡(luò)傳輸效率。除此之外，在劃分VLAN時(shí)，若將工作性質(zhì)相同的用戶(hù)集中在同一個(gè)VLAN，減少跨VLAN的訪問(wèn)，可減少路由器經(jīng)網(wǎng)絡(luò)

26、傳輸帶來(lái)的延遲，也能進(jìn)一步提高網(wǎng)絡(luò)的性能。</p><p>　　(3)增強(qiáng)網(wǎng)絡(luò)的安全性。各個(gè)VLAN之間不能進(jìn)行直接通信，而必須通過(guò)路由器轉(zhuǎn)發(fā)。如果VLAN之間沒(méi)有路由器，那么VLAN就是與外界隔離的，相當(dāng)于一個(gè)獨(dú)立的局域網(wǎng)，可防止大部分以網(wǎng)絡(luò)監(jiān)聽(tīng)為手段的入侵。當(dāng)使用路由器轉(zhuǎn)發(fā)時(shí)，可以在路由器上進(jìn)行相應(yīng)的設(shè)置，實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問(wèn)控制。另外，在每個(gè)交換機(jī)端口只有一個(gè)工作站的結(jié)構(gòu)中，可以形成特別有效的限制非授權(quán)訪問(wèn)的

27、屏障。</p><p>　　(4)提高網(wǎng)絡(luò)的可靠性。在VLAN中利用STP可以在兩條毛鏈路上進(jìn)行負(fù)載分擔(dān)和冗余備份。也就是說(shuō)，當(dāng)兩條Trunk鏈路都工作的時(shí)候，可以使一部分VLAN通過(guò)一條毛田鏈路傳遞信息，另一部分VLAN通過(guò)另一條工m吐鏈路傳遞信息，使得兩條毛鏈路共同分擔(dān)信息傳遞，提高傳送速度;當(dāng)兩條Trunk鏈路中有一條不能傳遞信息時(shí)，另一條自動(dòng)承擔(dān)全部VLAN的信息傳遞，保證了網(wǎng)絡(luò)傳遞信息的可靠性。<

28、/p><p>　　2 虛擬局域網(wǎng)的劃分</p><p>　　2.1 基于端口的VLAN劃分</p><p>　　這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口

29、分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。</p><p>　　對(duì)于不同部門(mén)需要互訪時(shí)，可通過(guò)路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過(guò)濾。對(duì)某站點(diǎn)的訪問(wèn)路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。</p><p>　　從這種劃分方法本身我們可以看出，這種劃

30、分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的VLAN組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，必須重新定義。</p><p>　　2.2 基于MAC地址的VLAN劃分</p><p>　　這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是

31、每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份。</p><p>　　由這種劃分的機(jī)制可以看出，這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶(hù)物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，因?yàn)樗腔谟脩?hù)，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是初始化時(shí)，所有

32、的用戶(hù)都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà)，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶(hù)的MAC地址，查詢(xún)起來(lái)相當(dāng)不容易。另外，對(duì)于使用筆記本電腦的用戶(hù)來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須經(jīng)常配置。</p><p>　　2.3 基于網(wǎng)絡(luò)層的劃分</p>

33、;<p>　　VLAN按網(wǎng)絡(luò)層協(xié)議來(lái)劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)[5]。這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)組織用戶(hù)的網(wǎng)絡(luò)管理員來(lái)說(shuō)是非常具有吸引力的。而且，用戶(hù)可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其VLAN成員身份仍然保留不變。</p><p>　　這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了，不

34、需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)[5]。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。</p>

35、<p>　　2.4 基于策略的VLAN劃分</p><p>　　這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能實(shí)現(xiàn)多種分配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等，把相關(guān)的用戶(hù)連成一體，在邏輯劃分上稱(chēng)為“關(guān)系網(wǎng)絡(luò)”[6]。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自己地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的

36、移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。</p><p><b>　　3 虛擬局域網(wǎng)協(xié)議</b></p><p>　　3.1 IEEE802.1Q協(xié)議</p><p>　　IEEE802.1Q是虛擬橋接局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個(gè)物理鏈路上承載多個(gè)子網(wǎng)的數(shù)據(jù)流的方法。IEEE802.1Q定義了VLAN幀格式，為識(shí)別幀屬于哪個(gè)VLAN提供了一個(gè)標(biāo)準(zhǔn)的方

37、法。 這個(gè)格式統(tǒng)一了標(biāo)識(shí)VLAN的方法，有利于保證不同廠家設(shè)備配置的VLAN問(wèn)題。</p><p>　　IEEE802.1Q定義了以下內(nèi)容：VLAN的架構(gòu)、VLAN中所提供的服務(wù)、VLAN實(shí)施中涉及的協(xié)議和算法；IEEE802.1Q協(xié)議不僅規(guī)定VLAN中的MAC幀的格式，而且還制定諸如幀發(fā)送及校驗(yàn)、回路檢測(cè)，對(duì)業(yè)務(wù)質(zhì)量（QOS）參數(shù)的支持以及對(duì)網(wǎng)管系統(tǒng)的支持等方面的標(biāo)準(zhǔn)。如圖3-1所示</p>&l

38、t;p>　　圖3-1IEEE802.1Q概述</p><p>　　3.2 VLAN 鏈路</p><p>　　3.2.1 vlan鏈路類(lèi)型</p><p>　　圖3-2 Access Link和TrunkLink</p><p>　　接入鏈路指(Access Link)的是用于連接主機(jī)和交換機(jī)的鏈路，通常情況下主機(jī)并不需要知道

39、自己屬于哪些VLAN，主機(jī)的硬件也不一定支持帶有VLAN標(biāo)記的幀，主機(jī)要求發(fā)送和接收的幀都是沒(méi)有打上標(biāo)記的幀。</p><p>　　接入鏈路屬于某一個(gè)特定的端口，這個(gè)端口屬于一個(gè)并且只能是一個(gè)VLAN，這個(gè)端口不能直接接收其它VLAN的信息，也不能直接向其它VLAN發(fā)送信息。不同VLAN的信息必須通過(guò)三層路由處理才能轉(zhuǎn)發(fā)到這個(gè)端口上。</p><p>　　干道鏈路“trunk link”是

40、可以承載多個(gè)不同VLAN數(shù)據(jù)的鏈路[7]。干道鏈路通常用于交換機(jī)間的，或者用于交換機(jī)和路由器之間的連接。和接入鏈路不同，干道鏈路是用來(lái)在不同的設(shè)備之間（如交換機(jī)和路由器之間、交換機(jī)與交換機(jī)之間）承載VLAN的。通過(guò)配置，干道鏈路可以承載所有的VLAN數(shù)據(jù)，也可以配置為只能傳輸指定的VLAN的數(shù)據(jù)。</p><p>　　3.2.2 VLAN幀在網(wǎng)絡(luò)中的通信</p><p>　　圖3-3 幀在

41、網(wǎng)絡(luò)中的通信</p><p>　　圖3-3表示一個(gè)局域網(wǎng)環(huán)境，網(wǎng)絡(luò)中有兩臺(tái)交換機(jī)，并且配置了兩個(gè)VLAN。主機(jī)和交換機(jī)之間的鏈路是接入鏈路，交換機(jī)之間通過(guò)干道鏈路互相連接[8]。 </p><p>　　對(duì)于主機(jī)來(lái)說(shuō)，它是不需要知道VLAN的存在的。主機(jī)發(fā)出的報(bào)文都是untagged的報(bào)文；交換機(jī)接收到這樣的報(bào)文之后，根據(jù)配置規(guī)則（如端口信息）判斷出報(bào)文所屬VLAN進(jìn)行處理，如果報(bào)文需要通過(guò)

42、另外一臺(tái)交換機(jī)發(fā)送，則該報(bào)文必須通過(guò)干道鏈路傳輸?shù)搅硗庖慌_(tái)交換機(jī)上。為了保證其它交換機(jī)正確處理報(bào)文的VLAN信息，在干道鏈路上發(fā)送的報(bào)文都帶上了VLAN標(biāo)記。</p><p>　　當(dāng)交換機(jī)最終確定報(bào)文發(fā)送端口后，將報(bào)文發(fā)送給主機(jī)之前，將VLAN的標(biāo)記從以太網(wǎng)幀中刪除，這樣主機(jī)接收到的報(bào)文都是不帶VLAN的標(biāo)記的以太網(wǎng)幀[9]。</p><p>　　所以一般情況下，干道鏈路上傳送的都是Tag

43、ged Frame，接入鏈路上傳送的都是Untagged Frame。這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的VLAN可以被所有的交換機(jī)正確處理，而主機(jī)不需要了解VLAN信息。</p><p>　　3.2.3 Trunk和VLAN</p><p>　　無(wú)論一個(gè)網(wǎng)絡(luò)由多少個(gè)交換機(jī)構(gòu)成，也無(wú)論一個(gè)VLAN跨越了多少個(gè)交換機(jī)，按照VLAN的定義，一個(gè)VLAN就確定了一個(gè)廣播域[10]。廣播報(bào)文能夠被在一

44、個(gè)廣播域中的所有主機(jī)接收到，也就是說(shuō)，廣播報(bào)文必須被發(fā)送一個(gè)VLAN中的所有端口。因?yàn)閂LAN可能跨越多少交換機(jī)，當(dāng)一個(gè)交換機(jī)從某VLAN的一個(gè)端口收到廣播報(bào)文之后，為了保證同屬一個(gè)VLAN的所有主機(jī)都接收到這個(gè)廣播報(bào)文，交換機(jī)必須按照如下原則報(bào)文進(jìn)行轉(zhuǎn)發(fā)：</p><p>　　1.發(fā)送給本交換機(jī)中同一個(gè)VLAN中的其它端口；</p><p>　　2.將這個(gè)報(bào)文發(fā)送給本交換機(jī)的包含這個(gè)VL

45、AN的所有干道鏈路，以便讓其它交換機(jī)上的同一個(gè)VLAN的端口也發(fā)送該報(bào)文。</p><p>　　圖3-4 Trunk和VLAN</p><p>　　將一個(gè)端口設(shè)置成Trunk端口后，也就是說(shuō)，和這個(gè)端口相連的名字路被設(shè)置為T(mén)runk鏈路，同時(shí)還可以配置哪些VLAN的報(bào)文可以通過(guò)這個(gè)干道鏈路。如圖3-4所示</p><p><b>　　4 VLAN間路由&l

46、t;/b></p><p>　　4.1 VLAN間路由的需求</p><p>　　4.1.1 VLAN隔離二層廣播域</p><p>　　圖4-1 VLAN隔離二層廣播域</p><p>　　為了解決網(wǎng)絡(luò)由廣播導(dǎo)致的效率下降和安全性等問(wèn)題，VLAN的概念被引入，在支持VLAN功能的交換機(jī)組成的網(wǎng)絡(luò)中，每一個(gè)VLAN計(jì)數(shù)一個(gè)獨(dú)立的廣播域

47、；VLAN之間被嚴(yán)格地隔離開(kāi)來(lái)，任何一個(gè)幀都不能從自己所屬的VLAN被轉(zhuǎn)發(fā)到其他的VLAN中。整個(gè)網(wǎng)絡(luò)被劃分為若干個(gè)規(guī)模更小的廣播域，網(wǎng)絡(luò)系統(tǒng)的廣播被控制在相對(duì)比較小的范圍內(nèi)，提高了網(wǎng)絡(luò)的帶寬利用率，改善網(wǎng)絡(luò)效率和性能。每個(gè)人都不能隨意地從網(wǎng)絡(luò)上的一點(diǎn)，毫無(wú)控制地直接訪問(wèn)另一點(diǎn)的網(wǎng)絡(luò)或監(jiān)聽(tīng)整個(gè)網(wǎng)絡(luò)上的幀，隔離的廣播域改善了網(wǎng)絡(luò)的性能。如圖4-1。 </p><p>　　VLAN可以實(shí)現(xiàn)

48、對(duì)用戶(hù)的分組，通過(guò)配置VLAN可以實(shí)現(xiàn)靈活的網(wǎng)絡(luò)管理，同時(shí)在網(wǎng)絡(luò)遷移的時(shí)候，由于交換機(jī)的靈活配置，可以物設(shè)計(jì)，而不需要修改網(wǎng)絡(luò)的布線(xiàn)等煩瑣、耗時(shí)的工作。</p><p>　　4.1.2連接不同的VLAN</p><p>　　“無(wú)連不成網(wǎng)”，一個(gè)網(wǎng)絡(luò)在使用VLAN隔離成多個(gè)廣播域后，各個(gè)VLAN之間是不能互相訪問(wèn)的，因?yàn)楦鱾€(gè)VLAN的流量實(shí)際上已經(jīng)在物理上隔離開(kāi)來(lái)了。隔離網(wǎng)絡(luò)并不是建網(wǎng)的最終

49、目的，選擇VLAN隔離只是為了優(yōu)化網(wǎng)絡(luò)，最終我們還是要讓整個(gè)網(wǎng)絡(luò)能夠暢通起來(lái)。</p><p>　　VLAN之間的通信是解決方法是：在VLAN配置路由器，這樣VLAN內(nèi)部的流量仍然通過(guò)原來(lái)的VLAN內(nèi)部的二層網(wǎng)絡(luò)進(jìn)行，從一個(gè)VLAN到另外一個(gè)VLAN的通信流量，通過(guò)路由在三層上進(jìn)行轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)后，再通過(guò)二層交換網(wǎng)絡(luò)把報(bào)文最終發(fā)送給目的主機(jī)[11]。如圖4-2所示</p><p>　

50、　圖4-2 VLAN間通信的路由選擇</p><p>　　由于路由器對(duì)以太網(wǎng)上的廣播報(bào)文采取不轉(zhuǎn)發(fā)的策略，因此中間配置的路由器仍然不會(huì)改變劃分VLAN所達(dá)到的廣播的目的。在VLAN之間做互聯(lián)使用的路由器上，我們可以通過(guò)各種配置，比如對(duì)路由協(xié)議的配置、對(duì)訪問(wèn)控制的配置等形成對(duì)VLAN之間互相訪問(wèn)的控制策略，使網(wǎng)絡(luò)處于受控的狀態(tài)[12]。</p><p>　　4.2 三層交換機(jī)做VLAN間路

51、由</p><p>　　4.2.1 VLAN間路由的解決方案</p><p>　　對(duì)于本地通信，通信兩端的主機(jī)同處于一個(gè)相同的廣播域，兩臺(tái)主機(jī)之間的流量可以直接相互到達(dá)，通信的過(guò)程與扁平二層網(wǎng)絡(luò)中的情況相同；對(duì)于非本地通信，通信兩端的主機(jī)位于不同的廣播域內(nèi)，主機(jī)的流量不能互相到達(dá)，主機(jī)通過(guò)ARP廣播請(qǐng)求也不能到對(duì)方的地址，此時(shí)的通信必須借助于中間的路由器來(lái)完成。</p>&l

52、t;p>　　路由器在各個(gè)VLAN中間，實(shí)際上是作為各個(gè)VLAN的網(wǎng)狀起作用的，要難過(guò)路由器來(lái)互相通信的主機(jī)必須知道這路由器的存在，并且知道它的地址。在路由器配置好了之后，就要在主機(jī)上配置默認(rèn)網(wǎng)關(guān)為路由器在本VLAN上的接口的地址。</p><p>　　如圖4-3中所示，主機(jī)1.1.1.10要同2.2.2.20通信。首先主機(jī)1.1.1.10根據(jù)本地的子網(wǎng)掩碼比較，發(fā)現(xiàn)目的主機(jī)不是本地主機(jī)，不能夠訪問(wèn)目的主機(jī)；

53、根據(jù)IP通信規(guī)則，主機(jī)1.1.1.10將要查找本機(jī)的的路由表尋找相應(yīng)的網(wǎng)狀，在實(shí)際網(wǎng)絡(luò)中，主機(jī)通常只配置了默認(rèn)網(wǎng)關(guān)，因此這里主機(jī)1.1.1.10找到了默認(rèn)網(wǎng)關(guān)。然后，主機(jī)1.1.1.10在本機(jī)的ARP Cache中查找默認(rèn)網(wǎng)關(guān)的MAC地址，如果沒(méi)有則啟動(dòng)一個(gè)ARP請(qǐng)求的過(guò)程去發(fā)現(xiàn)，得到默認(rèn)網(wǎng)關(guān)的MAC地址后，主機(jī)將幀轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)，由路由器轉(zhuǎn)發(fā)。路由器通過(guò)查找路由表將報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的接口上面，然后查找到目的主機(jī)的MAC地址，將報(bào)文發(fā)送給

54、目的主機(jī)。目的主機(jī)收到報(bào)文后，回應(yīng)的報(bào)文經(jīng)歷類(lèi)似的過(guò)程又轉(zhuǎn)發(fā)回主機(jī)1.1.1.10。</p><p>　　4.2.2使用VLAN Trunkint</p><p>　　圖4-3使用VLAN Trunkint</p><p>　　使用VLAN Trunking這種技術(shù)，可以使多個(gè)VLAN的業(yè)務(wù)流量共享相同的物理連接，通過(guò)在VLAN Tunking的物理連接上傳遞打標(biāo)記

55、的幀將各個(gè)VLAN的流量區(qū)分開(kāi)來(lái)[13]。在做VLAN間互通的時(shí)候，對(duì)于網(wǎng)絡(luò)中多個(gè)VLAN，只需要共享一條物理鏈路。在交換機(jī)上配置連接到路由器的端口使用VLAN Trunking，在路由器上也做相同的配置。如圖4-4所示</p><p>　　在這樣的配置下，路由器上的路由接口和物理接口是多對(duì)一的對(duì)應(yīng)關(guān)系，路由器在進(jìn)行VLAN間路由的時(shí)候把報(bào)文從一個(gè)路由器接口上轉(zhuǎn)發(fā)到另一個(gè)路由接口上，但從物理接口上看是從一個(gè)物理接

56、口上轉(zhuǎn)發(fā)回同一個(gè)物理上去，但是VLAN標(biāo)記在轉(zhuǎn)發(fā)后被替換為目標(biāo)網(wǎng)絡(luò)的標(biāo)記。這樣，在通常的情況下，VLAN間路由的流量不足以達(dá)到鏈路的線(xiàn)速度，使用VLAN Trunking的配置，可以提高鏈路的的帶寬利用率，節(jié)省端口資源，和簡(jiǎn)化管理。</p><p>　　4.2.3基于內(nèi)部硬件路由引擎的三層交換機(jī)</p><p>　　圖4-4交換和路由的集成</p><p>　　三層

57、交換機(jī)使用硬件技術(shù)，采用巧妙的處理方法把二層交換機(jī)和路由器在網(wǎng)絡(luò)中的功能集成到一個(gè)盒子里，提高了網(wǎng)絡(luò)的集成度，增強(qiáng)了轉(zhuǎn)發(fā)性能。如圖4-5所示。</p><p>　　為了實(shí)現(xiàn)各種網(wǎng)絡(luò)的互連，IP協(xié)議實(shí)現(xiàn)了十分豐富的內(nèi)容，標(biāo)準(zhǔn)的IP路由需要在轉(zhuǎn)發(fā)每一個(gè)IP報(bào)文的時(shí)候做很多的處理，經(jīng)過(guò)很多的流程，但是這樣的工作并不是在處理每一個(gè)報(bào)文都必須的，絕大多數(shù)的報(bào)文只需要經(jīng)過(guò)很少一部分的過(guò)程，IP路由的方法有很大的改進(jìn)余地。三層

58、交換機(jī)的設(shè)計(jì)基于對(duì)IP路由的仔細(xì)分析，把IP路由中每一個(gè)報(bào)文都必須經(jīng)過(guò)的過(guò)程提取出來(lái)，這個(gè)過(guò)程是個(gè)十分簡(jiǎn)化的過(guò)程：1.IP路由中絕大多數(shù)報(bào)文是不包含IP選項(xiàng)的報(bào)文，因此處理報(bào)文選項(xiàng)的工作在大多數(shù)情況下是多余的。2.不同的網(wǎng)絡(luò)的報(bào)文長(zhǎng)度都是不同的，為了適應(yīng)不同的網(wǎng)絡(luò)，IP實(shí)現(xiàn)了報(bào)文分片的功能，但是在全以太網(wǎng)的環(huán)境中，網(wǎng)絡(luò)的幀（報(bào)文）長(zhǎng)度是固定的，因此報(bào)文分片的功能也是一個(gè)可以裁減的工作。3.三層交換機(jī)采用了和路由器的最長(zhǎng)地址掩碼匹配不同的

59、方法，使用精確地址匹配的方式處理，有利于硬件實(shí)現(xiàn)快速查找。4.三層交換機(jī)采用了Cache的方法，把最近經(jīng)常使用的主機(jī)路由放到了硬件的查找表中，只有在這個(gè)Cache中無(wú)法匹配到項(xiàng)目才會(huì)通過(guò)軟件去轉(zhuǎn)發(fā)。這樣，只有每個(gè)流的第一個(gè)報(bào)文會(huì)通過(guò)軟件進(jìn)行轉(zhuǎn)發(fā)，其后的大量數(shù)據(jù)流則可以在硬件中得以完成。</p><p>　　三層交換機(jī)在IP路由的處理上做了以上改進(jìn)，實(shí)現(xiàn)了簡(jiǎn)化的IP轉(zhuǎn)發(fā)流程，利用專(zhuān)用的芯片實(shí)現(xiàn)了硬件的轉(zhuǎn)發(fā)，這樣絕大

60、多數(shù)的報(bào)文處理都在硬件中實(shí)現(xiàn)了，只有極少數(shù)報(bào)文才需要使用軟件轉(zhuǎn)發(fā)，整個(gè)系統(tǒng)的轉(zhuǎn)發(fā)性能能夠得以成百上千倍地增加，相同性能的設(shè)備在成本上得以大幅度下降。</p><p>　　5 虛擬局域網(wǎng)應(yīng)用實(shí)例</p><p>　　5.1 思科單臂路由配置</p><p>　　VLAN（虛擬局域網(wǎng)）技術(shù)是路由交換中非?；A(chǔ)的技術(shù)[14]。在網(wǎng)絡(luò)管理實(shí)踐中，通過(guò)在交換機(jī)上劃分適當(dāng)數(shù)目

61、的vlan，不僅能有效隔離廣播風(fēng)暴，還能提高網(wǎng)絡(luò)安全系數(shù)及網(wǎng)絡(luò)帶寬的利用效率。劃分vlan之后，vlan與vlan之間是不能通信的，只能通過(guò)路由或三層交換來(lái)實(shí)現(xiàn)。我們知道路由器實(shí)現(xiàn)路由功能通常是數(shù)據(jù)報(bào)從一個(gè)接口進(jìn)來(lái)然后另一個(gè)接口出來(lái)，現(xiàn)在路由器與交換機(jī)之間通過(guò)一條主干現(xiàn)實(shí)通信或數(shù)據(jù)轉(zhuǎn)發(fā)，也就是說(shuō)路由器僅用一個(gè)接口實(shí)現(xiàn)數(shù)據(jù)的進(jìn)與出，因?yàn)槲覀冃蜗蟮胤Q(chēng)它為單臂路由。單臂路由是解決vlan間通信的一種廉價(jià)而實(shí)用的解決方案[15]。</p&

62、gt;<p>　　如圖5-1所示：PC-A和PC-B分別屬于vlan10和vlan20，Switch2950是一個(gè)cisco的二層交換機(jī)，型號(hào)2950，欲實(shí)現(xiàn)vlan10和vlan20的通信，我們要增加一個(gè)路由器來(lái)轉(zhuǎn)發(fā)vlan之間的數(shù)據(jù)包，路由器與交換機(jī)之間使用單條鏈路相連（圖中畫(huà)紅線(xiàn)），這條鏈路也叫主干，所有數(shù)據(jù)包的進(jìn)出都要通過(guò)路由器2600的f0/0端口來(lái)現(xiàn)實(shí)數(shù)據(jù)轉(zhuǎn)發(fā)。</p><p><

63、b>　　圖5-1 單臂路由</b></p><p><b>　　一．配置交換機(jī)：</b></p><p>　　Switch> 啟動(dòng)后進(jìn)入CLI界面</p><p>　　Switch> enable 進(jìn)入特權(quán)模式</p><p>　　Switch> vlan database 進(jìn)入配

64、置VLAN模式</p><p>　　Switch(vlan)# vlan 10 name caiwu 配置第一個(gè)VLAN 10，取名caiwu</p><p>　　Switch(vlan)# vlan 20 name renshi 配置第二個(gè)VLAN 20，取名renshi</p><p>　　Switch(vlan)# exit 退出VLAN配置模式</p&

65、gt;<p>　　Switch# configure terminal 進(jìn)入特權(quán)模式，開(kāi)始配置接口</p><p>　　Switch(config)# interface f0/1 進(jìn)入f0/1接口</p><p>　　Switch(config-if)# switchport mode access</p><p>　　Switch(config-i

66、f)# switchport access vlan 10 把f0/1接口分配給VLAN 10</p><p>　　Switch(config-if)# exit</p><p>　　Switch(config)# interface f0/2 進(jìn)入f0/2接口</p><p>　　Switch(config-if)# switchport mode access&

67、lt;/p><p>　　Switch(config-if)# switchport access vlan 20 把f0/2接口分配給VLAN 20</p><p>　　Switch(config-if)# exit</p><p>　　Switch(config)# interface f0/12 進(jìn)入f0/12接口</p><p>　　Swi

68、tch(config-if)# switchport mode trunk 把f0/12配置成主干模式</p><p>　　Switch(config-if)# end</p><p><b>　　二．配置路由器</b></p><p>　　Router> 啟動(dòng)路由器后進(jìn)入CLI界面</p><p>　　Route

69、r> enable 進(jìn)入特權(quán)模式</p><p>　　Router# configure terminal 進(jìn)入全局模式</p><p>　　Router(config)# interface f0/0 配置f0/0</p><p>　　Router(config-if)# no shutdown 激活f0/0也就是打開(kāi)這個(gè)接口</p><

70、p>　　Router(config-if)# interface f0/0.1 配置子接口</p><p>　　Router(config-subif)# ip address 192.168.10.1 255.255.255.0 配置IP與Subnet</p><p>　　Router(config-subif)# encapsulation dot1q 10 為這個(gè)接口配置802

71、.1Q協(xié)議</p><p>　　Router(config-subif)# exit</p><p>　　Router(config-if)# interface f0/0.2 配置第二個(gè)子接口</p><p>　　Router(config-subif)# ip address 192.168.20.1 255.255.255.0 </p><

72、p>　　Router(config-subif)# encapsulation dot1q 20</p><p>　　Router(config-subif)# end</p><p><b>　　三．驗(yàn)證</b></p><p>　　最后配置PC-A和PC-B的IP地址和子網(wǎng)掩碼，再試試PC-A 主機(jī) ping  PC-B主機(jī)

73、，實(shí)驗(yàn)結(jié)果能Ping通，配置成功。</p><p>　　5.2 利用VLAN進(jìn)行學(xué)校配置</p><p><b>　　一．配置交換機(jī)</b></p><p>　　配置環(huán)境：Cisco 3560G-24-EMI作為一個(gè)小型網(wǎng)絡(luò)的核心交換機(jī)，在其上共需要?jiǎng)澐?個(gè)VLAN，分別取名為server、manage、teacher、student。其中3

74、500G的2個(gè)4兆擴(kuò)展口用來(lái)連接二級(jí)交換機(jī)Cisco 2950-24，在2950G上相應(yīng)的VLAN中加入端口，各端口IP地址和VLAN劃分如表所示，網(wǎng)絡(luò)拓?fù)鋱D為圖5-2所示。</p><p><b>　　圖5-2 網(wǎng)絡(luò)拓?fù)?lt;/b></p><p>　　配置要求：為了網(wǎng)絡(luò)管理的安全，禁止VLAN3與網(wǎng)絡(luò)管理工作站相互通信，允許其他的相互通信。網(wǎng)管工作站入在VLAN2網(wǎng)段

75、中。</p><p>　　在交換機(jī)默認(rèn)配置下，沒(méi)有設(shè)置密碼，只需按2次回車(chē)鍵，即可進(jìn)入交換機(jī)的配置界面。</p><p><b>　　Switch1></b></p><p>　　輸入enable后，提示符即變成#</p><p>　　Switch1>enable</p><p>&l

76、t;b>　　Switch1#</b></p><p>　　#號(hào)表示已經(jīng)進(jìn)入特權(quán)模式，在這種模式下可進(jìn)行交換機(jī)的配置操作，按下來(lái)根據(jù)網(wǎng)絡(luò)配置方案進(jìn)行交換機(jī)的調(diào)試。</p><p>　　1.激活VLAN路由：</p><p>　　Switch1# conf ig t</p><p>　　Switch1(conf ig)# ip

77、routeing</p><p>　　Switch1(conf ig)# exit</p><p>　　2.創(chuàng)建4個(gè)VLAN</p><p><b>　　Switch1# </b></p><p>　　Switch1# vlan databas</p><p>　　Switch1(vlan)# v

78、lan 2 name server</p><p>　　Switch1(vlan)# vlan 3 name manage</p><p>　　Switch1(vlan)# vlan 10 name teacher</p><p>　　Switch1(vlan)# vlan 11 name student</p><p>　　Switch1(

79、vlan)# exit</p><p>　　3.給VLAN分配IP</p><p>　　Switch1# conf ig t</p><p>　　Switch1(conf ig)# int vlan 2</p><p>　　Switch1(config - if)# ip address 192.168.2.254 255.255.255.0

80、</p><p>　　Switch1(config - if)# no shutdown</p><p>　　Switch1(config - if)#end</p><p>　　Switch1(conf ig)# int vlan 3</p><p>　　Switch1(config - if)# ip address 192.168.3.

81、254 255.255.255.0</p><p>　　Switch1(config - if)# no shutdown</p><p>　　Switch1(config - if)#end</p><p>　　Switch1(conf ig)# int vlan 10</p><p>　　Switch1(config - if)# ip

82、address 192.168.10.254 255.255.255.0</p><p>　　Switch1(config - if)# no shutdown</p><p>　　Switch1(config - if)#end</p><p>　　Switch1(conf ig)# int vlan 11</p><p>　　Switch

83、1(config - if)# ip address 192.168.11.254 255.255.255.0</p><p>　　Switch1(config - if)# no shutdown</p><p>　　Switch1(config - if)#end</p><p>　　4.配置VTP（虛擬終端協(xié)議），用以與二級(jí)交換機(jī)之間傳遞VLAN配置信息，中心

84、交換機(jī)為server，二級(jí)交換機(jī)為client。</p><p><b>　　Switch1#</b></p><p>　　Switch1# conf ig t</p><p>　　Switch1(conf ig)# vtp domain CISCO</p><p>　　Switch1(conf ig)# vtp mod

85、e server </p><p>　　Switch1(conf ig)# end</p><p>　　5.配置Turnk，該端口用以連接二級(jí)交換機(jī)，因?yàn)檫@條線(xiàn)路上需要傳遞多個(gè)VLAN的信息（VLAN10 及VLAN11），因此該端口需要配置成Turnk（中繼端口）</p><p><b>　　Switch1#</b></p>&

86、lt;p>　　Switch1# conf ig t</p><p>　　Switch1(conf ig)# interfac gigabitethernet 0/1</p><p>　　Switch1(conf ig-if)# switchport trunk encapsulation dot1q</p><p>　　Switch1(conf ig-if)#

87、 switchport mode trunk</p><p>　　Switch1(conf ig-if)# end</p><p>　　6.給中心交換機(jī)配置默認(rèn)路由</p><p><b>　　Switch1#</b></p><p>　　Switch1# conf ig t</p><p>　　

88、Switch1(conf ig)# ip route 0.0.0.0 0.0.0.0 192.168.2.1</p><p>　　7.把端口號(hào)分配給VLAN</p><p><b>　　Switch1#</b></p><p>　　Switch1# conf ig t</p><p>　　Switch1(conf ig)

89、# interface range fastethernet 0/1-10</p><p>　　Switch1(conf ig-if)# switchport mode access</p><p>　　Switch1(conf ig-if)# switchport access vlan 2</p><p>　　Switch1(conf ig-if)# spann

90、ing - tree portfast</p><p>　　Switch1(conf ig-if)# end</p><p>　　Switch1(conf ig)# interface range fastethernet 0/11-20</p><p>　　Switch1(conf ig-if)# switchport mode access</p>

91、<p>　　Switch1(conf ig-if)# switchport access vlan 3</p><p>　　Switch1(conf ig-if)# spanning - tree portfast</p><p>　　Switch1(conf ig-if)# end</p><p>　　8. 配置訪問(wèn)控制列表（ACL），禁止VLAN3子

92、網(wǎng)的客戶(hù)機(jī)訪問(wèn)網(wǎng)管工作站，這里有兩種配置方式。</p><p>　　第一種方式：網(wǎng)管工作站在VLAN2中，這樣可以禁止源自VLAN3到網(wǎng)管工作站的數(shù)據(jù)，允許其他一切數(shù)據(jù)進(jìn)入VLAN2</p><p>　　Switch1(conf ig)# access-list 101 deny ip 192.168.3.0 0.0.0.255 host 192.168.2.1</p>&l

93、t;p>　　Switch1(conf ig)# access-list 101 permit ip any any</p><p>　　Switch1(conf ig)# interface vlan 2</p><p>　　Switch1(conf ig-if)# ip access-group 101 out </p><p>　　第二種方式：在VLAN3

94、與中心交換機(jī)互聯(lián)的地方限制網(wǎng)管工作站的數(shù)據(jù)進(jìn)入VLAN3，這樣就可以實(shí)現(xiàn)網(wǎng)絡(luò)管理的安全。</p><p>　　Switch1# conf ig t</p><p>　　Switch1(conf ig)# access-list 1 deny host 192.168.2.1</p><p>　　Switch1(conf ig)# access-list 1 perm

95、it any</p><p>　　Switch1(conf ig)# interface vlan 3</p><p>　　Switch1(conf ig-if)# ip access-group 1 out </p><p>　　Switch1(conf ig-if)# end</p><p>　　9.檢查上述配置是否與設(shè)計(jì)的一樣</

96、p><p>　　Switch1# show vlan </p><p>　　Switch1# show ip route</p><p>　　Switch1# show intreface gigabitethernet 0/1 switchport</p><p>　　Switch1# show run </p><p>

97、;　　Switch1# show vtp status</p><p><b>　　10. 保存配置</b></p><p>　　Switch1# copy running-config startup-config</p><p><b>　　注釋</b></p><p>　　[1] 岳延兵:《計(jì)

98、算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)》，西南師范大學(xué)出版社2008年版,第35頁(yè)。</p><p>　　[2] 白彭:《淺談交換機(jī)的VLAN技術(shù)及其配置》,大眾科學(xué)，2008,第48頁(yè)。</p><p>　　[3] 朱紅明《VLAN技術(shù)淺談》,無(wú)錫南洋學(xué)院學(xué)報(bào)，2008,第96頁(yè)。</p><p>　　[4] 王智:《VLAN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用》,西北職教，2007,第39頁(yè)。<

99、/p><p>　　[5] 鐘九洲：《淺談VLAN技術(shù)與應(yīng)用》,達(dá)州職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007,第59頁(yè)。</p><p>　　[6] 張博:《IP子網(wǎng)與VLAN辨析與應(yīng)用》,電腦知識(shí)與技術(shù)，2008，第121頁(yè)。</p><p>　　[7] 王玉慧:《VLAN技術(shù)的應(yīng)用》,中國(guó)水運(yùn),2004.12, 第43頁(yè)。</p><p>　　[8] 雷震甲

100、：《計(jì)算機(jī)網(wǎng)絡(luò)》，清華大學(xué)出版社，2004, 第51頁(yè)。</p><p>　　[9] 王衛(wèi)紅:《計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)》，機(jī)械工業(yè)出版社，2010.07，第246頁(yè)。</p><p>　　[10]曹建春主編:《 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)訓(xùn)教程》，中國(guó)人民大學(xué)出版社，2010.09，第1頁(yè)。</p><p>　　[11] 王宣政:《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)導(dǎo)論》，西安電子科技大學(xué)出版社，2

101、005.08，第1頁(yè)。</p><p>　　[12] 王建平:《網(wǎng)絡(luò)設(shè)備配置與管理》，清華大學(xué)出版社，2010.04，第6頁(yè)。</p><p>　　[13] 沈淑娟:《計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用教程》，機(jī)械工業(yè)出版社 ，2011.02，第194頁(yè)。</p><p>　　[14] 張?jiān)?《計(jì)算機(jī)網(wǎng)絡(luò)》，清華大學(xué)出版社，2006.03，第214頁(yè)。</p><

102、p>　　[15] 汪海波主編 :《計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)》，地質(zhì)出版社，2006.12 ，第102頁(yè) 。</p><p><b>　　參考文獻(xiàn)</b></p><p>　?、僭姥颖?《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)》，西南師范大學(xué)出版社2008年版。</p><p>　　②白彭:《淺談交換機(jī)的VLAN技術(shù)及其配置》,大眾科學(xué)，2008。</p>

103、;<p>　　③朱紅明《VLAN技術(shù)淺談》,無(wú)錫南洋學(xué)院學(xué)報(bào)，2008。</p><p>　?、芡踔?《VLAN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用》,西北職教，2007。</p><p>　?、葭娋胖蓿骸稖\談VLAN技術(shù)與應(yīng)用》,達(dá)州職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007。</p><p>　　⑥張博:《IP子網(wǎng)與VLAN辨析與應(yīng)用》,電腦知識(shí)與技術(shù)，2008。</p>

104、;<p>　?、咄跤窕?《VLAN技術(shù)的應(yīng)用》,中國(guó)水運(yùn),2004.12, 43-44頁(yè)。</p><p>　?、嗬渍鸺祝骸队?jì)算機(jī)網(wǎng)絡(luò)》，清華大學(xué)出版社，2004, 51-61頁(yè)。</p><p>　　⑨王 燕 張新剛:基于ARP協(xié)議的攻擊及其防御方法分析.微計(jì)算機(jī)信息2007; 23(36)。</p><p>　?、獠芙ù褐骶?《 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)訓(xùn)

105、教程》，中國(guó)人民大學(xué)出版社，2010.09，第1頁(yè)。</p><p><b>　　致謝</b></p><p>　　首先，對(duì)指導(dǎo)教師的指導(dǎo)表示感謝，本畢業(yè)論文是在我的導(dǎo)師的親切關(guān)懷和悉心指導(dǎo)下完成的。其次，我還要感謝在一起愉快的度過(guò)大學(xué)生活的各位同學(xué)和老師，正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。</p><p