一、什么是橋接
橋接工作在OSI網(wǎng)絡(luò)參考模型的第二層數(shù)據(jù)鏈路層甜癞，是一種以MAC地址來(lái)作為判斷依據(jù)來(lái)將網(wǎng)絡(luò)劃分成兩個(gè)不同物理段的技術(shù)，其被廣泛應(yīng)用于早期的計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中。
我們都知道甲喝，以太網(wǎng)是一種共享網(wǎng)絡(luò)傳輸介質(zhì)的技術(shù),在這種技術(shù)下，如果一臺(tái)計(jì)算機(jī)發(fā)送數(shù)據(jù)的時(shí)候铛只，在同一物理網(wǎng)絡(luò)介質(zhì)上的計(jì)算機(jī)都需要接收埠胖，在接收后分析目的MAC地址，如果是屬于目的MAC地址和自己的MAC地址相同便進(jìn)行封裝提供給網(wǎng)絡(luò)層淳玩，如果目的MAC地址不是自己的MAC地址直撤，那么就丟棄數(shù)據(jù)包。
橋接的工作機(jī)制是將物理網(wǎng)絡(luò)段（也就是常說(shuō)的沖突域）進(jìn)行分隔蜕着，根據(jù)MAC地址來(lái)判斷連接兩個(gè)物理網(wǎng)段的計(jì)算機(jī)的數(shù)據(jù)包發(fā)送谋竖。

下面，我們舉個(gè)例子來(lái)為各位網(wǎng)友講解：在下圖中的網(wǎng)絡(luò)結(jié)構(gòu)中，有兩臺(tái)集線器分別連接多臺(tái)計(jì)算機(jī)蓖乘，我們分別將A集線器和B集線器定為A沖突域和B沖突域锤悄。在這樣的網(wǎng)絡(luò)環(huán)境中，如果計(jì)算機(jī)A向計(jì)算機(jī)C發(fā)送數(shù)據(jù)包時(shí)驱敲，集線器A會(huì)將數(shù)據(jù)包在整個(gè)網(wǎng)絡(luò)中的全部計(jì)算機(jī)（包括集線器B）發(fā)送一遍铁蹈，而不管這些數(shù)據(jù)包是不是需要發(fā)送到另一臺(tái)區(qū)域B。

1.jpg

我們?cè)賹⒓€器A和集線器B分別連接到網(wǎng)橋的兩個(gè)端口上众眨，如果計(jì)算機(jī)A再向計(jì)算機(jī)C發(fā)送數(shù)據(jù)包時(shí)會(huì)遇到什么樣的情況呢握牧？這時(shí)集線器A也是同樣會(huì)將數(shù)據(jù)包在全網(wǎng)發(fā)送，當(dāng)?shù)竭_(dá)網(wǎng)橋后娩梨，網(wǎng)橋會(huì)進(jìn)行數(shù)據(jù)包目的MAC地址的分析沿腰，然后對(duì)比自己學(xué)習(xí)到的MAC地址表，如果這個(gè)表中沒(méi)有此MAC地址狈定，網(wǎng)橋便會(huì)在兩個(gè)網(wǎng)段上的發(fā)送數(shù)據(jù)包颂龙，同時(shí)會(huì)將計(jì)算機(jī)A的MAC地址記錄在自己的表當(dāng)中。
經(jīng)過(guò)多次這樣的記錄纽什，網(wǎng)橋會(huì)將所有的MAC地址記錄措嵌，并劃分為兩個(gè)段。這時(shí)計(jì)算機(jī)A再次發(fā)送數(shù)據(jù)包給B的時(shí)候芦缰，因?yàn)檫@兩臺(tái)計(jì)算機(jī)同處在一個(gè)物理段位上企巢，數(shù)據(jù)包到達(dá)網(wǎng)橋時(shí)，網(wǎng)橋會(huì)將目的MAC地址和自己的表進(jìn)行對(duì)比让蕾，并且判斷計(jì)算機(jī)A和計(jì)算機(jī)B在同一個(gè)段位上浪规，便不會(huì)轉(zhuǎn)發(fā)到區(qū)域B當(dāng)中，而如果不在同一個(gè)物理段當(dāng)中探孝，網(wǎng)橋便會(huì)允許數(shù)據(jù)包通過(guò)網(wǎng)橋笋婿。
通過(guò)以上的例子我們了解到，網(wǎng)橋?qū)嶋H上是一種控制沖突域流量的設(shè)備顿颅。網(wǎng)橋現(xiàn)在基本上已經(jīng)很少用到了缸濒，除了隔離沖突域以外，網(wǎng)橋還可以實(shí)現(xiàn)不同O類型網(wǎng)絡(luò)的連接（令牌環(huán)網(wǎng)和以太網(wǎng)之間的連接）和網(wǎng)絡(luò)的擴(kuò)展（IEEE的5.4.3連接規(guī)則）等等功能粱腻。

二绍填、什么是交換
交換同樣工作在OSI網(wǎng)絡(luò)參考模型的第二層數(shù)據(jù)鏈路層，也是一種以MAC地址來(lái)作為判斷依據(jù)來(lái)將網(wǎng)絡(luò)劃分成兩個(gè)不同段的技術(shù)栖疑，不同的是交換將物理網(wǎng)段劃分到每一個(gè)端口當(dāng)中，簡(jiǎn)單的理解就是一種多端口的網(wǎng)橋滔驶，它實(shí)際上是一種橋接技術(shù)的延伸遇革。
在前面的了解當(dāng)中，我們已經(jīng)知道橋接是連接兩個(gè)不同的物理網(wǎng)段（沖突域）的技術(shù)，交換是連接多個(gè)物理網(wǎng)段技術(shù)萝快，典型的交換機(jī)通常都有多個(gè)端口锻霎，每個(gè)端口實(shí)際上就是一個(gè)網(wǎng)橋，當(dāng)連接到交換機(jī)端口的計(jì)算機(jī)要發(fā)送數(shù)據(jù)包時(shí)揪漩，所有的端口都會(huì)判斷這個(gè)數(shù)據(jù)包是否是發(fā)給自己的旋恼，如果不是就將其丟棄，這樣就將沖突域的概念擴(kuò)展到每個(gè)交換機(jī)端口上奄容。
我們還是舉例為大家說(shuō)明冰更，在下面的圖中，我們可以看到計(jì)算機(jī)A昂勒、B分別連接到交換機(jī)的不同端口當(dāng)中蜀细，當(dāng)計(jì)算機(jī)A向B發(fā)送數(shù)據(jù)包時(shí)，假設(shè)這時(shí)A端口并沒(méi)有學(xué)習(xí)到B端口的MAC地址戈盈，這時(shí)奠衔，A端口便會(huì)使用廣播將數(shù)據(jù)包發(fā)送到除A端口以外的所有端口（廣播域），當(dāng)其他計(jì)算機(jī)接收到數(shù)據(jù)包后會(huì)與自己的MAC地址進(jìn)行對(duì)比塘娶，然后簡(jiǎn)單的丟棄數(shù)據(jù)包归斤；當(dāng)B接收到數(shù)據(jù)包后，通過(guò)對(duì)比后接收數(shù)據(jù)包刁岸，并且記錄源地址脏里。通過(guò)反復(fù)這樣的學(xué)習(xí)，交換機(jī)會(huì)構(gòu)建一個(gè)基于所有端口的轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)难捌，存儲(chǔ)在交換機(jī)的內(nèi)容可尋址存儲(chǔ)器當(dāng)中（CAM）膝宁。

1.jpg

在交換機(jī)學(xué)習(xí)到所有端口的信息后，計(jì)算機(jī)A再次發(fā)送數(shù)據(jù)包給B時(shí)根吁，就不再?gòu)V播地址员淫，而是直接發(fā)送到轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中所對(duì)應(yīng)的B端口。通過(guò)這樣的學(xué)習(xí)击敌，在交換機(jī)上實(shí)現(xiàn)了微分段介返，每個(gè)連接到交換機(jī)端口的計(jì)算機(jī)都可以獨(dú)享帶寬。

三沃斤、什么是路由
路由工作在OSI參考模型的第三層網(wǎng)絡(luò)層當(dāng)中圣蝎，它是基于第三層的IP地址信息來(lái)作為判斷依據(jù)來(lái)將網(wǎng)絡(luò)劃分成不同段（IP子網(wǎng)）的技術(shù)，與橋接和交換不同衡瓶，路由劃分的是獨(dú)立的邏輯網(wǎng)段徘公，每個(gè)所連接的網(wǎng)段都具有獨(dú)立的網(wǎng)絡(luò)IP地址信息，而不是以MAC地址作為判斷路徑的依據(jù)哮针，這樣路由便有隔離廣播的能力关面；而交換和橋接是劃分物理網(wǎng)段坦袍，它們僅僅是將物理傳輸介質(zhì)進(jìn)行分段處理。同時(shí)路由具備路徑選擇的功能等太，會(huì)根據(jù)不同的目的IP地址來(lái)分析到達(dá)目的地最合適的路徑捂齐。
在下圖中，我們看到路由器所連接了三臺(tái)交換機(jī)缩抡，這三臺(tái)交換機(jī)分別被劃分為三個(gè)不同的子網(wǎng)地址段：192.168.0.0奠宜、192.168.1.0、192.168.3.0瞻想。當(dāng)計(jì)算機(jī)A向B發(fā)送數(shù)據(jù)包時(shí)压真，在不知道到達(dá)B的路徑時(shí)，交換機(jī)A會(huì)將數(shù)據(jù)包在自己所在的段上全網(wǎng)廣播内边，當(dāng)?shù)竭_(dá)路由器中榴都，路由器便不會(huì)再?gòu)V播這個(gè)數(shù)據(jù)包，它根據(jù)路由協(xié)議的規(guī)則來(lái)判斷到達(dá)B應(yīng)該選擇將其轉(zhuǎn)發(fā)到那個(gè)段上漠其，這時(shí)便會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)到對(duì)應(yīng)的IP地址段當(dāng)中嘴高，而不廣播到不需要這個(gè)數(shù)據(jù)包的C網(wǎng)段當(dāng)中。如果路由器中沒(méi)有規(guī)則定義到達(dá)目的IP地址的路徑時(shí)和屎，它會(huì)直接丟棄這個(gè)數(shù)據(jù)包拴驮。

2.jpg

路由器主要有路徑選擇和數(shù)據(jù)轉(zhuǎn)發(fā)兩個(gè)基本功能，但在很多場(chǎng)景下柴信，路由器一般都承擔(dān)著網(wǎng)關(guān)的角色套啤。在國(guó)內(nèi)，我們通常都是采用PPPOE撥號(hào)或者靜態(tài)路由兩種方式實(shí)現(xiàn)局域網(wǎng)共享上網(wǎng)随常。這時(shí)潜沦，路由器主要的功能是實(shí)現(xiàn)局域網(wǎng)和廣域網(wǎng)之間的協(xié)議轉(zhuǎn)換，這同樣也是網(wǎng)關(guān)的主要用途绪氛。

四唆鸡、三者之間的區(qū)別

1、位于參考模型的層數(shù)不同
在開放系統(tǒng)互聯(lián)參考模型當(dāng)中枣察，網(wǎng)橋和交換機(jī)都是位于參考模型的第二層-數(shù)據(jù)鏈路層争占，而路由器則位于更高一層-網(wǎng)絡(luò)層。

2序目、基于的路徑判斷條件不同
由于位于OSI參考模型的層數(shù)不同臂痕，所以使交換機(jī)、網(wǎng)關(guān)這兩種設(shè)備判斷路徑的條件也不相同猿涨，網(wǎng)橋和交換機(jī)是根據(jù)端口的MAC地址來(lái)判斷數(shù)據(jù)包轉(zhuǎn)發(fā)握童，而路由器則使用IP地址來(lái)進(jìn)行判斷。

3叛赚、控制廣播的能力不同
網(wǎng)橋和交換機(jī)（三層交換機(jī)或支持VLAN功能的除外）這兩種設(shè)備是無(wú)法控制網(wǎng)絡(luò)的廣播澡绩，如果有廣播數(shù)據(jù)包片效，就會(huì)向所有的端口轉(zhuǎn)發(fā)，所以在大的網(wǎng)絡(luò)環(huán)境當(dāng)中英古，必須得要有路由器來(lái)控制網(wǎng)絡(luò)廣播。

4昙读、智能化程度不同
在判斷數(shù)據(jù)的時(shí)候召调，網(wǎng)橋只能判斷是否在同一個(gè)物理網(wǎng)段，交換機(jī)則可以判斷數(shù)據(jù)包是屬于那個(gè)端口蛮浑，但是這兩種設(shè)備都沒(méi)有選擇最優(yōu)路徑的能力唠叛，而路由器基于IP地址判斷路徑，所以會(huì)根據(jù)IP地址信息來(lái)判斷到達(dá)目的地的最優(yōu)路徑沮稚。

1.為什么需要VLAN

1.1 什么是VLAN艺沼？

VLAN（Virtual LAN），翻譯成中文是“虛擬局域網(wǎng)”蕴掏。LAN可以是由少數(shù)幾臺(tái)家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò)障般，也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)——也就是廣播域盛杰。

在此讓我們先復(fù)習(xí)一下廣播域的概念挽荡。廣播域，指的是廣播幀（目標(biāo)MAC地址全部為1）所能傳遞到的范圍即供，亦即能夠直接通信的范圍定拟。嚴(yán)格地說(shuō)，并不僅僅是廣播幀逗嫡，多播幀（Multicast Frame）和目標(biāo)不明的單播幀（Unknown Unicast Frame）也能在同一個(gè)廣播域中暢行無(wú)阻青自。

本來(lái)，二層交換機(jī)只能構(gòu)建單一的廣播域驱证，不過(guò)使用VLAN功能后延窜，它能夠將網(wǎng)絡(luò)分割成多個(gè)廣播域。

1.2 未分割廣播域時(shí)……

那么雷滚，為什么需要分割廣播域呢需曾？那是因?yàn)椋绻麅H有一個(gè)廣播域祈远，有可能會(huì)影響到網(wǎng)絡(luò)整體的傳輸性能呆万。具體原因，請(qǐng)參看附圖加深理解车份。

3.jpg

圖中谋减，是一個(gè)由5臺(tái)二層交換機(jī)（交換機(jī)1～5）連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時(shí)扫沼，計(jì)算機(jī)A需要與計(jì)算機(jī)B通信出爹。在基于以太網(wǎng)的通信中庄吼，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計(jì)算機(jī)A必須先廣播“ARP請(qǐng)求（ARP Request）信息”严就，來(lái)嘗試獲取計(jì)算機(jī)B的MAC地址总寻。

交換機(jī)1收到廣播幀（ARP請(qǐng)求）后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口梢为，也就是Flooding了渐行。接著，交換機(jī)2收到廣播幀后也會(huì)Flooding铸董。交換機(jī)3祟印、4、5也還會(huì)Flooding粟害。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上蕴忆。

4.jpg

請(qǐng)大家注意一下，這個(gè)ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的悲幅。也就是說(shuō)：只要計(jì)算機(jī)B能收到就萬(wàn)事大吉了套鹅。可是事實(shí)上夺艰，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)芋哭，導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來(lái)郁副，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬减牺，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來(lái)對(duì)它進(jìn)行處理存谎。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無(wú)謂消耗拔疚。

1.3 廣播信息是那么經(jīng)常發(fā)出的嗎高诺？

讀到這里制圈，您也許會(huì)問(wèn)：廣播信息真是那么頻繁出現(xiàn)的嗎掌挚？

答案是：是的休雌！實(shí)際上廣播幀會(huì)非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時(shí)暮蹂，除了前面出現(xiàn)的ARP外甫题，還有可能需要發(fā)出DHCP巧鸭、RIP等很多其他類型的廣播信息晴叨。

ARP廣播凿宾，是在需要與其他主機(jī)通信時(shí)發(fā)出的。當(dāng)客戶機(jī)請(qǐng)求DHCP服務(wù)器分配IP地址時(shí)兼蕊，就必須發(fā)出DHCP的廣播初厚。而使用RIP作為路由協(xié)議時(shí)，每隔30秒路由器都會(huì)對(duì)鄰近的其他路由器廣播一次路由信息孙技。RIP以外的其他路由協(xié)議使用多播傳輸路由信息产禾，這也會(huì)被交換機(jī)轉(zhuǎn)發(fā)（Flooding）排作。除了TCP/IP以外，NetBEUI亚情、IPX和Apple Talk等協(xié)議也經(jīng)常需要用到廣播妄痪。例如在Windows下雙擊打開“網(wǎng)絡(luò)計(jì)算機(jī)”時(shí)就會(huì)發(fā)出廣播（多播）信息。（Windows XP除外……）

總之楞件，廣播就在我們身邊拌夏。下面是一些常見的廣播通信：

（1）ARP請(qǐng)求：建立IP地址和MAC地址的映射關(guān)系。

（2）RIP：一種路由協(xié)議履因。

（3）DHCP：用于自動(dòng)設(shè)定IP地址的協(xié)議。

（4）NetBEUI：Windows下使用的網(wǎng)絡(luò)協(xié)議盹愚。

（5）IPX：NovellNetware使用的網(wǎng)絡(luò)協(xié)議栅迄。

（6）Apple Talk：蘋果公司的Macintosh計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議。

如果整個(gè)網(wǎng)絡(luò)只有一個(gè)廣播域皆怕，那么一旦發(fā)出廣播信息毅舆，就會(huì)傳遍整個(gè)網(wǎng)絡(luò)，并且對(duì)網(wǎng)絡(luò)中的主機(jī)帶來(lái)額外的負(fù)擔(dān)愈腾。因此憋活，在設(shè)計(jì)LAN時(shí)，需要注意如何才能有效地分割廣播域虱黄。

1.4 廣播域的分割與VLAN的必要性

分割廣播域時(shí)悦即，一般都必須使用到路由器。使用路由器后橱乱，可以以路由器上的網(wǎng)絡(luò)接口（LAN Interface）為單位分割廣播域辜梳。

但是，通常情況下路由器上不會(huì)有太多的網(wǎng)絡(luò)接口泳叠，其數(shù)目多在1～4個(gè)左右作瞄。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見危纫，但是需要注意的是宗挥，它們上面雖然帶著多個(gè)（一般為4個(gè)左右）連接LAN一側(cè)的網(wǎng)絡(luò)接口，但那實(shí)際上是路由器內(nèi)置的交換機(jī)种蝶，并不能分割廣播域契耿。

況且使用路由器分割廣播域的話，所能分割的個(gè)數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個(gè)數(shù)蛤吓，使得用戶無(wú)法自由地根據(jù)實(shí)際需要分割廣播域宵喂。

與路由器相比，二層交換機(jī)一般帶有多個(gè)網(wǎng)絡(luò)接口会傲。因此如果能使用它分割廣播域锅棕，那么無(wú)疑運(yùn)用上的靈活性會(huì)大大提高拙泽。

用于在二層交換機(jī)上分割廣播域的技術(shù)，就是VLAN裸燎。通過(guò)利用VLAN顾瞻，我們可以自由設(shè)計(jì)廣播域的構(gòu)成，提高網(wǎng)絡(luò)設(shè)計(jì)的自由度德绿。

2.實(shí)現(xiàn)VLAN的機(jī)制

2.1 實(shí)現(xiàn)VLAN的機(jī)制

在理解了“為什么需要VLAN”之后荷荤，接下來(lái)讓我們來(lái)了解一下交換機(jī)是如何使用VLAN分割廣播域的。

首先移稳，在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上蕴纳，任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Flooding）。例如个粱，計(jì)算機(jī)A發(fā)送廣播信息后古毛，會(huì)被轉(zhuǎn)發(fā)給端口2、3都许、4稻薇。

5.jpg

這時(shí)，如果在交換機(jī)上生成紅胶征、藍(lán)兩個(gè)VLAN塞椎；同時(shí)設(shè)置端口1、2屬于紅色VLAN睛低、端口3案狠、4屬于藍(lán)色VLAN。再?gòu)腁發(fā)出廣播幀的話钱雷，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口——也就是同屬于紅色VLAN的端口2莺戒，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。

同樣急波，C發(fā)送廣播信息時(shí)从铲，只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口，不會(huì)被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口澄暮。

6.jpg

就這樣名段，VLAN通過(guò)限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說(shuō)明泣懊，以紅伸辟、藍(lán)兩色識(shí)別不同的VLAN，在實(shí)際使用中則是用“VLAN ID”來(lái)區(qū)分的馍刮。

2.2 直觀地描述VLAN

如果要更為直觀地描述VLAN的話信夫，我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN静稻，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)警没。

7.jpg

在紅、藍(lán)兩個(gè)VLAN之外生成新的VLAN時(shí)振湾，可以想象成又添加了新的交換機(jī)杀迹。

但是，VLAN生成的邏輯上的交換機(jī)是互不相通的押搪。因此树酪，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理大州，VLAN間是無(wú)法通信的续语。

明明接在同一臺(tái)交換機(jī)上，但卻偏偏無(wú)法通信——這個(gè)事實(shí)也許讓人難以接受厦画。但它既是VLAN方便易用的特征绵载，又是使VLAN令人難以理解的原因。

2.3 需要VLAN間通信時(shí)怎么辦

那么苛白，當(dāng)我們需要在不同的VLAN間通信時(shí)又該如何是好呢？

請(qǐng)大家再次回憶一下：VLAN是廣播域焚虱。而通常兩個(gè)廣播域之間由路由器連接购裙，廣播域之間來(lái)往的數(shù)據(jù)包都是由路由器中繼的。因此鹃栽，VLAN間的通信也需要路由器提供中繼服務(wù)躏率，這被稱作“VLAN間路由”。

VLAN間路由民鼓，可以使用普通的路由器薇芝，也可以使用三層交換機(jī)。其中的具體內(nèi)容丰嘉，等有機(jī)會(huì)再細(xì)說(shuō)吧夯到。在這里希望大家先記住不同VLAN間互相通信時(shí)需要用到路由功能。

3.VLAN的訪問(wèn)鏈接（Access Link）

3.1 交換機(jī)的端口類型

交換機(jī)的端口饮亏，可以分為以下兩種：

（1）訪問(wèn)鏈接（Access Link）

（2）匯聚鏈接（Trunk Link）

接下來(lái)就讓我們來(lái)依次學(xué)習(xí)這兩種不同端口的特征耍贾。這一講，首先學(xué)習(xí)“訪問(wèn)鏈接”路幸。

3.2 訪問(wèn)鏈接

訪問(wèn)鏈接荐开，指的是“只屬于一個(gè)VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口简肴。在大多數(shù)情況下晃听，訪問(wèn)鏈接所連的是客戶機(jī)。

通常設(shè)置VLAN的順序是：

（1）生成VLAN

（2）設(shè)定訪問(wèn)鏈接（決定各端口屬于哪一個(gè)VLAN）

設(shè)定訪問(wèn)鏈接的手法，可以是事先固定的能扒、也可以是根據(jù)所連的計(jì)算機(jī)而動(dòng)態(tài)改變?cè)O(shè)定佣渴。前者被稱為“靜態(tài)VLAN”、后者自然就是“動(dòng)態(tài)VLAN”了赫粥。

3.2.1 靜態(tài)VLAN——基于端口

靜態(tài)VLAN又被稱為基于端口的VLAN（PortBased VLAN）观话。顧名思義，就是明確指定各端口屬于哪個(gè)VLAN的設(shè)定方法越平。

8.jpg

由于需要一個(gè)個(gè)端口地指定频蛔，因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過(guò)一定數(shù)字（比如數(shù)百臺(tái)）后，設(shè)定操作就會(huì)變得煩雜無(wú)比秦叛。并且晦溪，客戶機(jī)每次變更所連端口，都必須同時(shí)更改該端口所屬VLAN的設(shè)定——這顯然不適合那些需要頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)挣跋。

3.2.2 動(dòng)態(tài)VLAN

另一方面三圆，動(dòng)態(tài)VLAN則是根據(jù)每個(gè)端口所連的計(jì)算機(jī)，隨時(shí)改變端口所屬的VLAN避咆。這就可以避免上述的更改設(shè)定之類的操作舟肉。動(dòng)態(tài)VLAN可以大致分為3類：

（1）基于MAC地址的VLAN（MAC Based VLAN）

（2）基于子網(wǎng)的VLAN（Subnet Based VLAN）

（3）基于用戶的VLAN（User Based VLAN）

其間的差異，主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN查库。

3.2.2.1 基于MAC地址的VLAN

基于MAC地址的VLAN路媚，就是通過(guò)查詢并記錄端口所連計(jì)算機(jī)上網(wǎng)卡的MAC地址來(lái)決定端口的所屬。假定有一個(gè)MAC地址“A”被交換機(jī)設(shè)定為屬于VLAN “10”樊销，那么不論MAC地址為“A”的這臺(tái)計(jì)算機(jī)連在交換機(jī)哪個(gè)端口整慎，該端口都會(huì)被劃分到VLAN 10中去。計(jì)算機(jī)連在端口1時(shí)围苫，端口1屬于VLAN 10裤园；而計(jì)算機(jī)連在端口2時(shí)，則是端口2屬于VLAN 10剂府。

11.jpg

由于是基于MAC地址決定所屬VLAN的拧揽，因此可以理解為這是一種在OSI的第二層設(shè)定訪問(wèn)鏈接的辦法。

但是腺占，基于MAC地址的VLAN强法，在設(shè)定時(shí)必須調(diào)查所連接的所有計(jì)算機(jī)的MAC地址并加以登錄。而且如果計(jì)算機(jī)交換了網(wǎng)卡湾笛，還是需要更改設(shè)定饮怯。

3.2.2.2 基于IP地址的VLAN

基于子網(wǎng)的VLAN，則是通過(guò)所連計(jì)算機(jī)的IP地址嚎研，來(lái)決定端口所屬VLAN的蓖墅。不像基于MAC地址的VLAN库倘，即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變论矾，就仍可以加入原先設(shè)定的VLAN教翩。

12.jpg

因此，與基于MAC地址的VLAN相比贪壳，能夠更為簡(jiǎn)便地改變網(wǎng)絡(luò)結(jié)構(gòu)饱亿。IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層設(shè)定訪問(wèn)鏈接的方法闰靴。

基于用戶的VLAN彪笼，則是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶，來(lái)決定該端口屬于哪個(gè)VLAN蚂且。這里的用戶識(shí)別信息配猫，一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶，比如可以是Windows域中使用的用戶名杏死。這些用戶名信息泵肄，屬于OSI第四層以上的信息。

總的來(lái)說(shuō)淑翼，決定端口所屬VLAN時(shí)利用的信息在OSI中的層面越高腐巢，就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。

4.VLAN的匯聚鏈接（Trunk Link）

4.1 需要設(shè)置跨越多臺(tái)交換機(jī)的VLAN時(shí)……

到此為止玄括，我們學(xué)習(xí)的都是使用單臺(tái)交換機(jī)設(shè)置VLAN時(shí)的情況冯丙。那么，如果需要設(shè)置跨越多臺(tái)交換機(jī)的VLAN時(shí)又如何呢惠豺？

在規(guī)劃企業(yè)級(jí)網(wǎng)絡(luò)時(shí)，很有可能會(huì)遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層的情況风宁，這時(shí)可能就需要考慮到如何跨越多臺(tái)交換機(jī)設(shè)置VLAN的問(wèn)題了洁墙。假設(shè)有如下圖所示的網(wǎng)絡(luò)，且需要將不同樓層的A戒财、C和B热监、D設(shè)置為同一個(gè)VLAN。

13.jpg

這時(shí)最關(guān)鍵的就是“交換機(jī)1和交換機(jī)2該如何連接才好呢饮寞？”

最簡(jiǎn)單的方法孝扛，自然是在交換機(jī)1和交換機(jī)2上各設(shè)一個(gè)紅、藍(lán)VLAN專用的接口并互聯(lián)了幽崩。

14.jpg

但是苦始，這個(gè)辦法從擴(kuò)展性和管理效率來(lái)看都不好。例如慌申，在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上再新建VLAN時(shí)陌选，為了讓這個(gè)VLAN能夠互通，就需要在交換機(jī)間連接新的網(wǎng)線。建筑物樓層間的縱向布線是比較麻煩的咨油，一般不能由基層管理人員隨意進(jìn)行您炉。并且，VLAN越多役电，樓層間（嚴(yán)格地說(shuō)是交換機(jī)間）互聯(lián)所需的端口也越來(lái)越多赚爵，交換機(jī)端口的利用效率低是對(duì)資源的一種浪費(fèi)、也限制了網(wǎng)絡(luò)的擴(kuò)展法瑟。

為了避免這種低效率的連接方式冀膝，人們想辦法讓交換機(jī)間互聯(lián)的網(wǎng)線集中到一根上，這時(shí)使用的就是匯聚鏈接（Trunk Link）瓢谢。

4.2 何謂匯聚鏈接畸写？

匯聚鏈接（Trunk Link）指的是能夠轉(zhuǎn)發(fā)多個(gè)不同VLAN的通信的端口。

匯聚鏈路上流通的數(shù)據(jù)幀氓扛，都被附加了用于識(shí)別分屬于哪個(gè)VLAN的特殊信息枯芬。

現(xiàn)在再讓我們回過(guò)頭來(lái)考慮一下剛才那個(gè)網(wǎng)絡(luò)如果采用匯聚鏈路又會(huì)如何呢？用戶只需要簡(jiǎn)單地將交換機(jī)間互聯(lián)的端口設(shè)定為匯聚鏈接就可以了采郎。這時(shí)使用的網(wǎng)線還是普通的UTP線千所，而不是什么其他的特殊布線。圖例中是交換機(jī)間互聯(lián)蒜埋，因此需要用交叉線來(lái)連接淫痰。

接下來(lái)，讓我們具體看看匯聚鏈接是如何實(shí)現(xiàn)跨越交換機(jī)間的VLAN的整份。

A發(fā)送的數(shù)據(jù)幀從交換機(jī)1經(jīng)過(guò)匯聚鏈路到達(dá)交換機(jī)2時(shí)待错，在數(shù)據(jù)幀上附加了表示屬于紅色VLAN的標(biāo)記。

交換機(jī)2收到數(shù)據(jù)幀后烈评，經(jīng)過(guò)檢查VLAN標(biāo)識(shí)發(fā)現(xiàn)這個(gè)數(shù)據(jù)幀是屬于紅色VLAN的火俄，因此去除標(biāo)記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口。這時(shí)的轉(zhuǎn)送讲冠，是指經(jīng)過(guò)確認(rèn)目標(biāo)MAC地址并與MAC地址列表比對(duì)后只轉(zhuǎn)發(fā)給目標(biāo)MAC地址所連的端口瓜客。只有當(dāng)數(shù)據(jù)幀是一個(gè)廣播幀、多播幀或是目標(biāo)不明的幀時(shí)竿开，它才會(huì)被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口谱仪。

藍(lán)色VLAN發(fā)送數(shù)據(jù)幀時(shí)的情形也與此相同。

15.jpg

通過(guò)匯聚鏈路時(shí)附加的VLAN****識(shí)別信息否彩，有可能支持標(biāo)準(zhǔn)的“IEEE 802.1Q”協(xié)議疯攒，也可能是Cisco產(chǎn)品獨(dú)有的“ISL（Inter Switch Link）”。如果交換機(jī)支持這些規(guī)格列荔，那么用戶就能夠高效率地構(gòu)筑橫跨多臺(tái)交換機(jī)的VLAN卸例。

另外称杨，匯聚鏈路上流通著多個(gè)VLAN的數(shù)據(jù)，自然負(fù)載較重筷转。因此姑原，在設(shè)定匯聚鏈接時(shí)，有一個(gè)前提就是必須支持100Mbps以上的傳輸速度呜舒。

另外锭汛，默認(rèn)條件下，匯聚鏈接會(huì)轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)袭蝗。換一個(gè)角度看唤殴，可以認(rèn)為匯聚鏈接（端口）同時(shí)屬于交換機(jī)上所有的VLAN。由于實(shí)際應(yīng)用中很可能并不需要轉(zhuǎn)發(fā)所有VLAN的數(shù)據(jù)到腥，因此為了減輕交換機(jī)的負(fù)載朵逝、也為了減少對(duì)帶寬的浪費(fèi)，我們可以通過(guò)用戶設(shè)定限制能夠經(jīng)由匯聚鏈路互聯(lián)的VLAN乡范。

關(guān)于IEEE 802.1Q和ISL的具體內(nèi)容配名，將在下一講中提到。

4.3 訪問(wèn)鏈接的總結(jié)

綜上所述晋辆，設(shè)定訪問(wèn)鏈接的手法有靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種渠脉，其中動(dòng)態(tài)VLAN又可以繼續(xù)細(xì)分成幾個(gè)小類。

其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的瓶佳，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問(wèn)題芋膘；因此在選擇交換機(jī)時(shí)，一定要注意事先確認(rèn)霸饲。

下面總結(jié)了靜態(tài)VLAN和動(dòng)態(tài)VLAN的相關(guān)信息为朋。

靜態(tài)VLAN（基于端口的VLAN）：將交換機(jī)的各端口固定指派給VLAN

動(dòng)態(tài)VLAN包括三種：1）基于MAC地址的VLAN（根據(jù)各端口所連計(jì)算機(jī)的MAC地址設(shè)定）；2）基于子網(wǎng)的VLAN（根據(jù)各端口所連計(jì)算機(jī)的IP地址設(shè)定）厚脉；3）基于用戶的VLAN（根據(jù)端口所連計(jì)算機(jī)上登錄用戶設(shè)定）习寸。

5.VLAN的匯聚方式——IEEE802.1Q與ISL

5.1 匯聚方式

在交換機(jī)的匯聚鏈接上，可以通過(guò)對(duì)數(shù)據(jù)幀附加VLAN信息器仗，構(gòu)建跨越多臺(tái)交換機(jī)的VLAN融涣。

附加VLAN信息的方法童番，最具有代表性的有：

（1）IEEE 802.1Q

（2）ISL

現(xiàn)在就讓我們看看這兩種協(xié)議分別如何對(duì)數(shù)據(jù)幀附加VLAN信息精钮。

5.2 IEEE 802.1Q

IEEE 802.1Q，俗稱“Dot One Q”剃斧，是經(jīng)過(guò)IEEE認(rèn)證的對(duì)數(shù)據(jù)幀附加VLAN識(shí)別信息的協(xié)議轨香。

在此，請(qǐng)大家先回憶一下以太網(wǎng)數(shù)據(jù)幀的標(biāo)準(zhǔn)格式幼东。

IEEE 802.1Q所附加的VLAN識(shí)別信息臂容，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域”（Type Field）之間科雳。具體內(nèi)容為2字節(jié)的TPID（Tag Protocol IDentifier）和2字節(jié)的TCI（Tag Control Information），共計(jì)4字節(jié)脓杉。

在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容糟秘，那么CRC值自然也會(huì)有所變化。這時(shí)數(shù)據(jù)幀上的CRC是插入TPID球散、TCI后尿赚，對(duì)包括它們?cè)趦?nèi)的整個(gè)數(shù)據(jù)幀重新計(jì)算后所得的值。

16.jpg

而當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí)蕉堰，TPID和TCI會(huì)被去除凌净，這時(shí)還會(huì)進(jìn)行一次CRC的重新計(jì)算。

TPID字段在以太網(wǎng)報(bào)文中所處位置與不帶VLAN Tag的報(bào)文中協(xié)議類型字段所處位置相同屋讶。TPID的值固定為0x8100冰寻，它標(biāo)示網(wǎng)絡(luò)幀承載的802.1Q類型，交換機(jī)通過(guò)它來(lái)確定數(shù)據(jù)幀內(nèi)附加了基于IEEE 802.1Q的VLAN信息皿渗。而實(shí)質(zhì)上的VLAN ID斩芭，是TCI中的12位元。由于總共有12位羹奉，因此最多可供識(shí)別4096個(gè)VLAN秒旋。

基于IEEE 802.1Q附加的VLAN信息，就像在傳遞物品時(shí)附加的標(biāo)簽诀拭。因此迁筛，它也被稱作“標(biāo)簽型VLAN”（Tagging VLAN）。

5.3 ISL（Inter Switch Link）

ISL耕挨，是Cisco產(chǎn)品支持的一種與IEEE 802.1Q類似的细卧、用于在匯聚鏈路上附加VLAN信息的協(xié)議。

使用ISL后筒占，每個(gè)數(shù)據(jù)幀頭部都會(huì)被附加26字節(jié)的“ISL包頭（ISL Header）”贪庙，并且在幀尾帶上通過(guò)對(duì)包括ISL包頭在內(nèi)的整個(gè)數(shù)據(jù)幀進(jìn)行計(jì)算后得到的4字節(jié)CRC值。換而言之翰苫，就是總共增加了30字節(jié)的信息止邮。

在使用ISL的環(huán)境下，當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí)奏窑，只要簡(jiǎn)單地去除ISL包頭和新CRC就可以了导披。由于原先的數(shù)據(jù)幀及其CRC都被完整保留，因此無(wú)需重新計(jì)算CRC埃唯。

17.jpg

ISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個(gè)包裹起來(lái)撩匕，因此也被稱為“封裝型VLAN”（Encapsulated VLAN）。

需要注意的是墨叛，不論是IEEE802.1Q的“Tagging VLAN”止毕，還是ISL的“Encapsulated VLAN”模蜡，都不是很嚴(yán)密的稱謂。不同的書籍與參考資料中扁凛，上述詞語(yǔ)有可能被混合使用忍疾，因此需要大家在學(xué)習(xí)時(shí)格外注意。

并且由于ISL是Cisco獨(dú)有的協(xié)議谨朝，因此只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)膝昆。

6.VLAN間路由

6.1 VLAN間路由的必要性

根據(jù)目前為止學(xué)習(xí)的知識(shí)，我們已經(jīng)知道兩臺(tái)計(jì)算機(jī)即使連接在同一臺(tái)交換機(jī)上叠必，只要所屬的VLAN不同就無(wú)法直接通信荚孵。接下來(lái)我們將要學(xué)習(xí)的就是如何在不同的VLAN間進(jìn)行路由，使分屬不同VLAN的主機(jī)能夠互相通信纬朝。

首先藕帜，先來(lái)復(fù)習(xí)一下為什么不同VLAN間不通過(guò)路由就無(wú)法通信翩蘸。在LAN內(nèi)的通信惰拱，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址仪吧。而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP隅茎。ARP解析MAC地址的方法澄峰，則是通過(guò)廣播。也就是說(shuō)辟犀，如果廣播報(bào)文無(wú)法到達(dá)俏竞，那么就無(wú)從解析MAC地址，亦即無(wú)法直接通信堂竟。

計(jì)算機(jī)分屬不同的VLAN魂毁，也就意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文出嘹。因此席楚，屬于不同VLAN的計(jì)算機(jī)之間無(wú)法直接互相通信。為了能夠在VLAN間通信税稼，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息（IP地址）來(lái)進(jìn)行路由烦秩。關(guān)于路由的具體內(nèi)容，以后有機(jī)會(huì)再詳細(xì)解說(shuō)吧郎仆。

路由功能只祠，一般主要由路由器提供。但在今天的局域網(wǎng)里丸升，我們也經(jīng)常利用帶有路由功能的交換機(jī)——三層交換機(jī)（Layer 3 Switch）來(lái)實(shí)現(xiàn)铆农。接下來(lái)就讓我們分別看看使用路由器和三層交換機(jī)進(jìn)行VLAN間路由時(shí)的情況牺氨。

6.2 使用路由器進(jìn)行VLAN間路由

在使用路由器進(jìn)行VLAN間路由時(shí)狡耻，與構(gòu)建橫跨多臺(tái)交換機(jī)的VLAN時(shí)的情況類似墩剖，我們還是會(huì)遇到“該如何連接路由器與交換機(jī)”這個(gè)問(wèn)題。路由器和交換機(jī)的接線方式夷狰，大致有以下兩種：

（1）將路由器與交換機(jī)上的每個(gè)VLAN分別連接

（2）不論VLAN有多少個(gè)岭皂，路由器與交換機(jī)都只用一條網(wǎng)線連接

最容易想到的，當(dāng)然還是“把路由器和交換機(jī)以VLAN為單位分別用網(wǎng)線連接”了沼头。將交換機(jī)上用于和路由器互聯(lián)的每個(gè)端口設(shè)為訪問(wèn)鏈接（Access Link）爷绘，然后分別用網(wǎng)線與路由器上的獨(dú)立端口互聯(lián)。如下圖所示进倍，交換機(jī)上有2個(gè)VLAN土至，那么就需要在交換機(jī)上預(yù)留2個(gè)端口用于與路由器互聯(lián)；路由器上同樣需要有2個(gè)端口猾昆；兩者之間用2條網(wǎng)線分別連接陶因。

18.jpg

如果采用這個(gè)辦法，大家應(yīng)該不難想象它的擴(kuò)展性很成問(wèn)題垂蜗。每增加一個(gè)新的VLAN楷扬，都需要消耗路由器的端口和交換機(jī)上的訪問(wèn)鏈接，而且還需要重新布設(shè)一條網(wǎng)線贴见。而路由器烘苹，通常不會(huì)帶有太多LAN接口的。新建VLAN時(shí)片部，為了對(duì)應(yīng)增加的VLAN所需的端口镣衡，就必須將路由器升級(jí)成帶有多個(gè)LAN接口的高端產(chǎn)品，這部分成本档悠、還有重新布線所帶來(lái)的開銷捆探，都使得這種接線法成為一種不受歡迎的辦法。

那么站粟，第二種辦法“不論VLAN數(shù)目多少黍图，都只用一條網(wǎng)線連接路由器與交換機(jī)”呢？當(dāng)使用一條網(wǎng)線連接路由器與交換機(jī)奴烙、進(jìn)行VLAN間路由時(shí)助被，需要用到匯聚鏈接。

具體實(shí)現(xiàn)過(guò)程為：首先將用于連接路由器的交換機(jī)端口設(shè)為匯聚鏈接（Trunk Link）切诀，而路由器上的端口也必須支持匯聚鏈路揩环。雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對(duì)應(yīng)各個(gè)VLAN的“子接口”（Sub Interface）幅虑。盡管實(shí)際與交換機(jī)連接的物理端口只有一個(gè)丰滑，但在理論上我們可以把它分割為多個(gè)虛擬端口。

VLAN將交換機(jī)從邏輯上分割成了多臺(tái)倒庵，因而用于VLAN間路由的路由器褒墨，也必須擁有分別對(duì)應(yīng)各個(gè)VLAN的虛擬接口炫刷。

19.jpg

采用這種方法的話，即使之后在交換機(jī)上新建VLAN郁妈，仍只需要一條網(wǎng)線連接交換機(jī)和路由器浑玛。用戶只需要在路由器上新設(shè)一個(gè)對(duì)應(yīng)新VLAN的子接口就可以了。與前面的方法相比噩咪，擴(kuò)展性要強(qiáng)得多顾彰，也不用擔(dān)心需要升級(jí)LAN接口數(shù)不足的路由器或是重新布線。

6.3 同一VLAN內(nèi)的通信

接下來(lái)胃碾，我們繼續(xù)學(xué)習(xí)使用匯聚鏈路連接交換機(jī)與路由器時(shí)涨享，VLAN間路由是如何進(jìn)行的。如下圖所示仆百，為各臺(tái)計(jì)算機(jī)以及路由器的子接口設(shè)定IP地址灰伟。

20.jpg

紅色VLAN（VLAN ID=1）的網(wǎng)絡(luò)地址為192.168.1.0/24，藍(lán)色VLAN（VLAN ID=2）的網(wǎng)絡(luò)地址為192.168.2.0/24儒旬。各計(jì)算機(jī)的MAC地址分別為A/B/C/D栏账，路由器匯聚鏈接端口的MAC地址為R。交換機(jī)通過(guò)對(duì)各端口所連計(jì)算機(jī)MAC地址的學(xué)習(xí)栈源。
首先考慮計(jì)算機(jī)A與同一VLAN內(nèi)的計(jì)算機(jī)B之間通信時(shí)的情形挡爵。

計(jì)算機(jī)A發(fā)出ARP請(qǐng)求信息，請(qǐng)求解析B的MAC地址甚垦。交換機(jī)收到數(shù)據(jù)幀后茶鹃，檢索MAC地址列表中與收信端口同屬一個(gè)VLAN的表項(xiàng)。結(jié)果發(fā)現(xiàn)艰亮，計(jì)算機(jī)B連接在端口2上闭翩，于是交換機(jī)將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2，最終計(jì)算機(jī)B收到該幀迄埃。收發(fā)信雙方同屬一個(gè)VLAN之內(nèi)的通信疗韵，一切處理均在交換機(jī)內(nèi)完成。

21.jpg

6.4 不同VLAN間的通信

接下來(lái)是這一講的核心內(nèi)容侄非，不同VLAN間的通信蕉汪。讓我們來(lái)考慮一下計(jì)算機(jī)A與計(jì)算機(jī)C之間通信時(shí)的情況。

22.jpg

計(jì)算機(jī)A從通信目標(biāo)的IP地址（192.168.2.1）得出C與本機(jī)不屬于同一個(gè)網(wǎng)段逞怨。因此會(huì)向設(shè)定的默認(rèn)網(wǎng)關(guān)（DefaultGateway者疤，GW）轉(zhuǎn)發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)幀之前叠赦，需要先用ARP獲取路由器的MAC地址驹马。

得到路由器的MAC地址R后，接下來(lái)就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀。①的數(shù)據(jù)幀中糯累，目標(biāo)MAC地址是路由器的地址R算利、但內(nèi)含的目標(biāo)IP地址仍是最終要通信的對(duì)象C的地址。這一部分的內(nèi)容寇蚊，涉及到局域網(wǎng)內(nèi)經(jīng)過(guò)路由器轉(zhuǎn)發(fā)時(shí)的通信步驟，有機(jī)會(huì)再詳細(xì)解說(shuō)吧棍好。

交換機(jī)在端口1上收到①的數(shù)據(jù)幀后仗岸，檢索MAC地址列表中與端口1同屬一個(gè)VLAN的表項(xiàng)。由于匯聚鏈路會(huì)被看作屬于所有的VLAN借笙，因此這時(shí)交換機(jī)的端口6也屬于被參照對(duì)象扒怖。這樣交換機(jī)就知道往MAC地址R發(fā)送數(shù)據(jù)幀，需要經(jīng)過(guò)端口6轉(zhuǎn)發(fā)业稼。

從端口6發(fā)送數(shù)據(jù)幀時(shí)盗痒，由于它是匯聚鏈接，因此會(huì)被附加上VLAN識(shí)別信息低散。由于原先是來(lái)自紅色VLAN的數(shù)據(jù)幀俯邓，因此如圖中②所示，會(huì)被加上紅色VLAN的識(shí)別信息后進(jìn)入?yún)R聚鏈路熔号。路由器收到②的數(shù)據(jù)幀后稽鞭，確認(rèn)其VLAN識(shí)別信息，由于它是屬于紅色VLAN的數(shù)據(jù)幀引镊，因此交由負(fù)責(zé)紅色VLAN的子接口接收朦蕴。

接著，根據(jù)路由器內(nèi)部的路由表弟头，判斷該向哪里中繼吩抓。

由于目標(biāo)網(wǎng)絡(luò)192.168.2.0/24是藍(lán)色VLAN，赴恨，且該網(wǎng)絡(luò)通過(guò)子接口與路由器直連疹娶，因此只要從負(fù)責(zé)藍(lán)色VLAN的子接口轉(zhuǎn)發(fā)就可以了。這時(shí)伦连，數(shù)據(jù)幀的目標(biāo)MAC地址被改寫成計(jì)算機(jī)C的目標(biāo)地址蚓胸；并且由于需要經(jīng)過(guò)匯聚鏈路轉(zhuǎn)發(fā)，因此被附加了屬于藍(lán)色VLAN的識(shí)別信息除师。這就是圖中③的數(shù)據(jù)幀沛膳。

交換機(jī)收到③的數(shù)據(jù)幀后，根據(jù)VLAN標(biāo)識(shí)信息從MAC地址列表中檢索屬于藍(lán)色VLAN的表項(xiàng)汛聚。由于通信目標(biāo)——計(jì)算機(jī)C連接在端口3上锹安、且端口3為普通的訪問(wèn)鏈接，因此交換機(jī)會(huì)將數(shù)據(jù)幀去除VLAN識(shí)別信息后（數(shù)據(jù)幀④）轉(zhuǎn)發(fā)給端口3，最終計(jì)算機(jī)C才能成功地收到這個(gè)數(shù)據(jù)幀叹哭。

進(jìn)行VLAN間通信時(shí)忍宋，即使通信雙方都連接在同一臺(tái)交換機(jī)上，也必須經(jīng)過(guò)：“發(fā)送方——交換機(jī)——路由器——交換機(jī)——接收方”這樣一個(gè)流程风罩。

7.三層交換機(jī)

7.1 使用路由器進(jìn)行VLAN間路由時(shí)的問(wèn)題

現(xiàn)在糠排，我們知道只要能提供VLAN間路由，就能夠使分屬不同VLAN的計(jì)算機(jī)互相通信超升。但是入宦，如果使用路由器進(jìn)行VLAN間路由的話，隨著VLAN之間流量的不斷增加室琢，很可能導(dǎo)致路由器成為整個(gè)網(wǎng)絡(luò)的瓶頸乾闰。

交換機(jī)使用被稱為ASIC（ApplicationSpecified Integrated Circuit）的專用硬件芯片處理數(shù)據(jù)幀的交換操作，在很多機(jī)型上都能實(shí)現(xiàn)以纜線速度（Wired Speed）交換盈滴。而路由器涯肩，則基本上是基于軟件處理的。即使以纜線速度接收到數(shù)據(jù)包巢钓，也無(wú)法在不限速的條件下轉(zhuǎn)發(fā)出去病苗，因此會(huì)成為速度瓶頸。就VLAN間路由而言症汹，流量會(huì)集中到路由器和交換機(jī)互聯(lián)的匯聚鏈路部分铅乡，這一部分尤其特別容易成為速度瓶頸。并且從硬件上看烈菌，由于需要分別設(shè)置路由器和交換機(jī)阵幸，在一些空間狹小的環(huán)境里可能連設(shè)置的場(chǎng)所都成問(wèn)題。

7.2 三層交換機(jī)（Layer 3 Switch）

為了解決上述問(wèn)題芽世，三層交換機(jī)應(yīng)運(yùn)而生挚赊。三層交換機(jī)，本質(zhì)上就是“帶有路由功能的（二層）交換機(jī)”济瓢。路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能荠割，因此帶有第三層路由功能的交換機(jī)才被稱為“三層交換機(jī)”。

關(guān)于三層交換機(jī)的內(nèi)部結(jié)構(gòu)旺矾，可以參照下面的簡(jiǎn)圖蔑鹦。

23.jpg

在一臺(tái)本體內(nèi)，分別設(shè)置了交換機(jī)模塊和路由器模塊箕宙；而內(nèi)置的路由模塊與交換模塊相同嚎朽，使用ASIC硬件處理路由。因此柬帕，與傳統(tǒng)的路由器相比哟忍，可以實(shí)現(xiàn)高速路由狡门。并且，路由與交換模塊是匯聚鏈接的锅很，由于是內(nèi)部連接其馏，可以確保相當(dāng)大的帶寬。

7.2.1 使用三層交換機(jī)進(jìn)行VLAN間路由（VLAN內(nèi)通信）

在三層交換機(jī)內(nèi)部數(shù)據(jù)究竟是怎樣傳播的呢爆安？基本上叛复，它和使用匯聚鏈路連接路由器與交換機(jī)時(shí)的情形相同。

假設(shè)有如下圖所示的4臺(tái)計(jì)算機(jī)與三層交換機(jī)互聯(lián)扔仓。當(dāng)使用路由器連接時(shí)褐奥，一般需要在LAN接口上設(shè)置對(duì)應(yīng)各VLAN的子接口；而三層交換機(jī)則是在內(nèi)部生成“VLAN接口”（VLAN Interface）当辐。VLAN接口抖僵，是用于各VLAN收發(fā)數(shù)據(jù)的接口鲤看。（注：在Cisco的Catalyst系列交換機(jī)上缘揪，VLAN Interface被稱為SVI——Switched Virtual Interface）

24.jpg

為了與使用路由器進(jìn)行VLAN間路由對(duì)比，讓我們同樣來(lái)考慮一下計(jì)算機(jī)A與計(jì)算機(jī)B之間通信時(shí)的情況义桂。首先是目標(biāo)地址為B的數(shù)據(jù)幀被發(fā)到交換機(jī)找筝；通過(guò)檢索同一VLAN的MAC地址列表發(fā)現(xiàn)計(jì)算機(jī)B連在交換機(jī)的端口2上；因此將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2慷吊。

7.2.2 使用三層交換機(jī)進(jìn)行VLAN間路由（VLAN間通信）

接下來(lái)設(shè)想一下計(jì)算機(jī)A與計(jì)算機(jī)C間通信時(shí)的情形袖裕。針對(duì)目標(biāo)IP地址，計(jì)算機(jī)A可以判斷出通信對(duì)象不屬于同一個(gè)網(wǎng)絡(luò)溉瓶，因此向默認(rèn)網(wǎng)關(guān)發(fā)送數(shù)據(jù)（Frame 1）急鳄。

交換機(jī)通過(guò)檢索MAC地址列表后，經(jīng)由內(nèi)部匯聚鏈接堰酿，將數(shù)據(jù)幀轉(zhuǎn)發(fā)給路由模塊疾宏。在通過(guò)內(nèi)部匯聚鏈路時(shí)，數(shù)據(jù)幀被附加了屬于紅色VLAN的VLAN識(shí)別信息（Frame 2）触创。

路由模塊在收到數(shù)據(jù)幀時(shí)坎藐，先由數(shù)據(jù)幀附加的VLAN識(shí)別信息分辨出它屬于紅色VLAN，據(jù)此判斷由紅色VLAN接口負(fù)責(zé)接收并進(jìn)行路由處理哼绑。因?yàn)槟繕?biāo)網(wǎng)絡(luò)192.168.2.0/24是直連路由器的網(wǎng)絡(luò)岩馍、且對(duì)應(yīng)藍(lán)色VLAN；因此抖韩，接下來(lái)就會(huì)從藍(lán)色VLAN接口經(jīng)由內(nèi)部匯聚鏈路轉(zhuǎn)發(fā)回交換模塊蛀恩。在通過(guò)匯聚鏈路時(shí)，這次數(shù)據(jù)幀被附加上屬于藍(lán)色VLAN的識(shí)別信息（Frame 3）茂浮。

交換機(jī)收到這個(gè)幀后赦肋，檢索藍(lán)色VLAN的MAC地址列表块攒，確認(rèn)需要將它轉(zhuǎn)發(fā)給端口3。由于端口3是通常的訪問(wèn)鏈接佃乘，因此轉(zhuǎn)發(fā)前會(huì)先將VLAN識(shí)別信息去除（Frame 4）囱井。最終，計(jì)算機(jī)C成功地收到交換機(jī)轉(zhuǎn)發(fā)來(lái)的數(shù)據(jù)幀趣避。

25.jpg

整體的流程庞呕，與使用外部路由器時(shí)的情況十分相似——都需要經(jīng)過(guò)“發(fā)送方→交換模塊→路由模塊→交換模塊→接收方”。

8.加速VLAN間通信的手段

8.1 流（Flow）

根據(jù)到此為止的學(xué)習(xí)程帕，我們已經(jīng)知道VLAN間路由住练，必須經(jīng)過(guò)外部的路由器或是三層交換機(jī)的內(nèi)置路由模塊。但是愁拭，有時(shí)并不是所有的數(shù)據(jù)都需要經(jīng)過(guò)路由器（或路由模塊）讲逛。

例如，使用FTP（File Transfer Protocol）傳輸容量為數(shù)MB以上的較大的文件時(shí)岭埠，由于MTU的限制盏混，IP協(xié)議會(huì)將數(shù)據(jù)分割成小塊后傳輸、并在接收方重新組合惜论。這些被分割的數(shù)據(jù)许赃，“發(fā)送的目標(biāo)”是完全相同的。發(fā)送目標(biāo)相同馆类，也就意味著同樣的目標(biāo)IP地址混聊、目標(biāo)端口號(hào)（注：特別強(qiáng)調(diào)一下，這里指的是TCP/UDP端口）乾巧。自然句喜，源IP地址、源端口號(hào)也應(yīng)該相同沟于。這樣一連串的數(shù)據(jù)流被稱為“流”（Flow）咳胃。

只要將流最初的數(shù)據(jù)正確地路由以后，后繼的數(shù)據(jù)理應(yīng)也會(huì)被同樣地路由社裆。

據(jù)此拙绊，后繼的數(shù)據(jù)不再需要路由器進(jìn)行路由處理；通過(guò)省略反復(fù)進(jìn)行的路由操作泳秀，可以進(jìn)一步提高VLAN間路由的速度标沪。

26.jpg

8.2 加速VLAN間路由的機(jī)制

接下來(lái)，讓我們具體考慮一下該如何使用三層交換機(jī)進(jìn)行高速VLAN間路由嗜傅。

首先金句，整個(gè)流的第一塊數(shù)據(jù)，照常由交換機(jī)轉(zhuǎn)發(fā)→路由器路由→再次由交換機(jī)轉(zhuǎn)發(fā)到目標(biāo)所連端口吕嘀。這時(shí)违寞，將第一塊數(shù)據(jù)路由的結(jié)果記錄到緩存里保存下來(lái)贞瞒。需要記錄的信息有：

（1）目標(biāo)IP地址

（2）源IP地址

（3）目標(biāo)TCP/UDP端口號(hào)

（4）源TCP/UDP端口號(hào)

（5）接收端口號(hào)（交換機(jī)）

（6）轉(zhuǎn)發(fā)端口號(hào)（交換機(jī)）

（7）轉(zhuǎn)發(fā)目標(biāo)MAC地址

等等。

同一個(gè)流的第二塊以后的數(shù)據(jù)到達(dá)交換機(jī)后趁曼，直接通過(guò)查詢先前保存在緩存中的信息查出“轉(zhuǎn)發(fā)端口號(hào)”后就可以轉(zhuǎn)發(fā)給目標(biāo)所連端口了军浆。

這樣一來(lái)，就不需要再一次次經(jīng)由內(nèi)部路由模塊中繼挡闰，而僅憑交換機(jī)內(nèi)部的緩存信息就足以判斷應(yīng)該轉(zhuǎn)發(fā)的端口乒融。

這時(shí)，交換機(jī)會(huì)對(duì)數(shù)據(jù)幀進(jìn)行由路由器中繼時(shí)相似的處理摄悯，例如改寫MAC地址赞季、IP包頭中的TTL和Check Sum校驗(yàn)碼信息等。

27.jpg

通過(guò)在交換機(jī)上緩存路由結(jié)果奢驯，實(shí)現(xiàn)了以纜線速度（Wired Speed）接收發(fā)送方傳輸來(lái)數(shù)據(jù)的數(shù)據(jù)申钩、并且能夠全速路由、轉(zhuǎn)發(fā)給接收方瘪阁。

需要注意的是撒遣，類似的加速VLAN間路由的手法多由各廠商獨(dú)有的技術(shù)所實(shí)現(xiàn)，并且該功能的稱謂也因廠商而異罗洗。例如愉舔，在Cisco的Catalyst系列交換機(jī)上钢猛，這種功能被稱為“多層交換”（Multi Layer Switching）伙菜。另外，除了三層交換機(jī)的內(nèi)部路由模塊命迈，外部路由器中的某些機(jī)型也支持類似的高速VLAN間路由機(jī)制贩绕。

9.傳統(tǒng)型路由器存在的意義

9.1 路由器的必要性

三層交換機(jī)的價(jià)格，在問(wèn)世之初非常昂貴壶愤，但是現(xiàn)在它們的價(jià)格已經(jīng)下降了許多淑倾。目前國(guó)外一些廉價(jià)機(jī)型的售價(jià)，折合成人民幣后僅為一萬(wàn)多元征椒，而且還在繼續(xù)下降中娇哆。

既然三層交換機(jī)能夠提供比傳統(tǒng)型路由器更為高速的路由處理，那么網(wǎng)絡(luò)中還有使用路由器的必要嗎勃救？

答案是：“是”碍讨。

使用路由器的必要性，主要表現(xiàn)在以下幾個(gè)方面：

（1）用于與WAN連接

三層交換機(jī)終究是“交換機(jī)”蒙秒。也就是說(shuō)勃黍，絕大多數(shù)機(jī)型只配有LAN（以太網(wǎng)）接口。在少數(shù)高端交換機(jī)上也有用于連接WAN的串行接口或是ATM接口晕讲，但在大多數(shù)情況下覆获，連接WAN還是需要用到路由器马澈。

（2）保證網(wǎng)絡(luò)安全

在三層交換機(jī)上，通過(guò)數(shù)據(jù)包過(guò)濾也能確保一定程度的網(wǎng)絡(luò)安全弄息。但是使用路由器所提供的各種網(wǎng)絡(luò)安全功能痊班，用戶可以構(gòu)建更為安全可靠的網(wǎng)絡(luò)。

路由器提供的網(wǎng)絡(luò)安全功能中摹量，除了最基本的數(shù)據(jù)包過(guò)濾功能外辩块，還能基于IPSec構(gòu)建VPN（VirtualPrivate Network）、利用RADIUS進(jìn)行用戶認(rèn)證等等荆永。

（3）支持除TCP/IP以外的異構(gòu)網(wǎng)絡(luò)架構(gòu)

盡管TCP/IP已經(jīng)成為當(dāng)前網(wǎng)絡(luò)協(xié)議架構(gòu)的主流废亭，但還有不少網(wǎng)絡(luò)利用Novell Netware下的IPX/SPX或Macintosh下的AppleTalk等網(wǎng)絡(luò)協(xié)議。三層交換機(jī)中具钥，除了部分高端機(jī)型外基本上還只支持TCP/IP豆村。因此，在需要使用除TCP/IP之外其他網(wǎng)絡(luò)協(xié)議的環(huán)境下骂删，路由器還是必不可少的掌动。

注：在少數(shù)高端交換機(jī)上，也能支持上述路由器的功能宁玫。例如Cisco的Catalyst 6500系列粗恢，就可以選擇與WAN連接的接口模塊；還有可選的基于IPSec實(shí)現(xiàn)VPN的模塊欧瘪；并且也能支持TCP/IP以外的其他網(wǎng)絡(luò)協(xié)議眷射。

9.2 路由器和交換機(jī)配合構(gòu)建LAN的實(shí)例

下面讓我們來(lái)看一個(gè)路由器和交換機(jī)搭配構(gòu)建LAN的實(shí)例。

28.jpg

利用在各樓層配置的二層交換機(jī)定義VLAN佛掖，連接TCP/IP客戶計(jì)算機(jī)妖碉。各樓層間的VLAN間通信，利用三層交換機(jī)的高速路由加以實(shí)現(xiàn)芥被。如果網(wǎng)絡(luò)環(huán)境要求高可靠性欧宜，還可以考慮冗余配置三層交換機(jī)。

與WAN的連接拴魄，則通過(guò)帶有各種網(wǎng)絡(luò)接口的路由器進(jìn)行冗茸。并且，通過(guò)路由器的數(shù)據(jù)包過(guò)濾和VPN等功能實(shí)現(xiàn)網(wǎng)絡(luò)安全匹中。此外夏漱，使用路由器還能支持Novell Netware等TCP/IP之外的網(wǎng)絡(luò)。

只有在充分掌握了二層职员、三層交換機(jī)以及傳統(tǒng)路由器的基礎(chǔ)上麻蹋，才能做到物競(jìng)其用，構(gòu)筑出高效率焊切、高性價(jià)比的網(wǎng)絡(luò)扮授。

10.使用VLAN設(shè)計(jì)局域網(wǎng)

10.1 使用VLAN設(shè)計(jì)局域網(wǎng)的特點(diǎn)

通過(guò)使用VLAN構(gòu)建局域網(wǎng)芳室，用戶能夠不受物理鏈路的限制而自由地分割廣播域。

另外刹勃，通過(guò)先前提到的路由器與三層交換機(jī)提供的VLAN間路由堪侯，能夠適應(yīng)靈活多變的網(wǎng)絡(luò)構(gòu)成。

但是荔仁，由于利用VLAN容易導(dǎo)致網(wǎng)絡(luò)構(gòu)成復(fù)雜化伍宦，因此也會(huì)造成整個(gè)網(wǎng)絡(luò)的組成難以把握。

可以這樣說(shuō)乏梁，在利用VLAN時(shí)次洼，除了有“網(wǎng)絡(luò)構(gòu)成靈活多變”這個(gè)優(yōu)點(diǎn)外，還搭配著“網(wǎng)絡(luò)構(gòu)成復(fù)雜化”這個(gè)缺點(diǎn)遇骑。

下面卖毁，就讓我們來(lái)看看具體的實(shí)例。

10.2 不使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變

假設(shè)有如圖所示的由1臺(tái)路由器落萎、2臺(tái)交換機(jī)構(gòu)成的“不使用VLAN構(gòu)建”的網(wǎng)絡(luò)亥啦。

29.jpg

圖中的路由器，帶有2個(gè)LAN接口练链。左側(cè)的網(wǎng)絡(luò)是192.168.1.0/24翔脱，右側(cè)是192.168.2.0/24。

現(xiàn)在如果想將192.168.1.0/24這個(gè)網(wǎng)絡(luò)上的計(jì)算機(jī)A轉(zhuǎn)移到192.168.2.0/24上去媒鼓，就需要改變物理連接届吁、將A接到右側(cè)的交換機(jī)上。

并且隶糕，當(dāng)需要新增一個(gè)地址為192.168.3.0/24的網(wǎng)絡(luò)時(shí)瓷产，還要在路由器上再占用一個(gè)LAN接口并添置一臺(tái)交換機(jī)站玄。而由于這臺(tái)路由器上只帶了2個(gè)LAN接口枚驻，因此為了新增網(wǎng)絡(luò)還必須將路由器升級(jí)為帶有3個(gè)以上LAN接口的產(chǎn)品。

10.3 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變

接下來(lái)再假設(shè)有一個(gè)由1臺(tái)路由器株旷、2臺(tái)交換機(jī)構(gòu)成的“使用VLAN”的局域網(wǎng)再登。交換機(jī)與交換機(jī)、交換機(jī)與路由器之間均為匯聚鏈路晾剖；并且假設(shè)192.168.1.0/24對(duì)應(yīng)紅色VLAN锉矢、192.168.2.0/24對(duì)應(yīng)藍(lán)色VLAN。

30.jpg

需要將連接在交換機(jī)1上192.168.1.0/24這個(gè)網(wǎng)段的計(jì)算機(jī)A轉(zhuǎn)屬192.168.2.0/24時(shí)齿尽，無(wú)需更改物理布線沽损。只要在交換機(jī)上生成藍(lán)色VLAN，然后將計(jì)算機(jī)A所連的端口1加入到藍(lán)色VLAN中去循头，使它成為訪問(wèn)鏈接即可绵估。

然后炎疆，根據(jù)需要設(shè)定計(jì)算機(jī)A的IP地址、默認(rèn)網(wǎng)關(guān)等信息就可以了国裳。如果IP地址相關(guān)的設(shè)定是由DHCP獲取的形入，那么在客戶機(jī)方面無(wú)需進(jìn)行任何設(shè)定修改，就可以在不同網(wǎng)段間移動(dòng)缝左。

利用VLAN后亿遂，我們可以在免于改動(dòng)任何物理布線的前提下，自由進(jìn)行網(wǎng)絡(luò)的邏輯設(shè)計(jì)渺杉。如果所處的工作環(huán)境恰恰需要經(jīng)常改變網(wǎng)絡(luò)布局蛇数，那么利用VLAN的優(yōu)勢(shì)就非常明顯了。

并且是越，當(dāng)需要新增一個(gè)地址為192.168.3.0/24的網(wǎng)段時(shí)苞慢，也只需要在交換機(jī)上新建一個(gè)對(duì)應(yīng)192.168.3.0/24的VLAN，并將所需的端口加入它的訪問(wèn)鏈路就可以了英妓。

如果網(wǎng)絡(luò)環(huán)境中還需要利用外部路由器挽放，則只要在路由器的匯聚端口上新增一個(gè)子接口的設(shè)定就可以完成全部操作，而不需要消耗更多的物理接口（LAN接口）蔓纠。要使用的是三層交換機(jī)內(nèi)部的路由模塊辑畦，則只需要新設(shè)一個(gè)VLAN接口即可。

網(wǎng)絡(luò)環(huán)境的成長(zhǎng)腿倚，往往是難以預(yù)測(cè)的纯出，很可能經(jīng)常會(huì)出現(xiàn)需要分割現(xiàn)有網(wǎng)絡(luò)或是增加新網(wǎng)絡(luò)的情況。而充分活用VLAN后敷燎，就可以輕易地解決這些問(wèn)題暂筝。

10.4 利用VLAN而導(dǎo)致的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化

雖然利用VLAN可以靈活地構(gòu)建網(wǎng)絡(luò)，但是同時(shí)硬贯，它也帶來(lái)了網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化的問(wèn)題耗溜。

特別是由于數(shù)據(jù)流縱橫交錯(cuò)旭贬，一旦發(fā)生故障時(shí)，準(zhǔn)確定位并排除故障會(huì)比較困難。

為了便于理解數(shù)據(jù)流向的復(fù)雜化蛉鹿，假設(shè)有下圖所示的網(wǎng)絡(luò)瓢阴。計(jì)算機(jī)A向計(jì)算機(jī)C發(fā)送數(shù)據(jù)時(shí)络拌，數(shù)據(jù)流的整體走向如下：

計(jì)算機(jī)A→交換機(jī)1→路由器→交換機(jī)1→交換機(jī)2→計(jì)算機(jī)C

31.jpg

首先計(jì)算機(jī)A向交換機(jī)1送出數(shù)據(jù)（①）鬼癣，其后數(shù)據(jù)被轉(zhuǎn)發(fā)給路由器（②）進(jìn)行VLAN間路由。路由后的數(shù)據(jù)翘悉，再?gòu)膮R聚鏈路返回交換機(jī)1（③）茫打。由于通信目標(biāo)計(jì)算機(jī)C并不直連在交換機(jī)1上，因此還需要經(jīng)過(guò)匯聚鏈路轉(zhuǎn)發(fā)到交換機(jī)2（④）。在交換機(jī)2上老赤，數(shù)據(jù)最終被轉(zhuǎn)發(fā)到C所連的端口2上饼煞，這才完成整個(gè)流程（⑤）。

在這個(gè)例子中诗越，僅由2臺(tái)交換機(jī)構(gòu)成網(wǎng)絡(luò)砖瞧，其數(shù)據(jù)流已經(jīng)如此復(fù)雜，如果構(gòu)建橫跨多臺(tái)交換機(jī)的VLAN的話嚷狞，每個(gè)數(shù)據(jù)流的流向顯然會(huì)更加難以把握块促。

10.5 網(wǎng)絡(luò)的邏輯結(jié)構(gòu)與物理結(jié)構(gòu)

為了對(duì)應(yīng)日漸復(fù)雜化的數(shù)據(jù)流，管理員需要從“邏輯結(jié)構(gòu)”與“物理結(jié)構(gòu)”兩方面入手床未，把握好網(wǎng)絡(luò)的現(xiàn)狀竭翠。

物理結(jié)構(gòu)，指的是從物理層和數(shù)據(jù)鏈路層觀察到的網(wǎng)絡(luò)的現(xiàn)狀薇搁，表示了網(wǎng)絡(luò)的物理布線形態(tài)和VLAN的設(shè)定等等斋扰。

而邏輯結(jié)構(gòu)，則表示從網(wǎng)絡(luò)層以上的層面觀察到的網(wǎng)絡(luò)結(jié)構(gòu)啃洋。下面我們就試著以路由器為中心分析一個(gè)IP網(wǎng)絡(luò)的邏輯結(jié)構(gòu)传货。

還是先前的那個(gè)例子，描繪了布線形態(tài)和VLAN設(shè)定的“物理結(jié)構(gòu)”如下圖所示宏娄。

33.jpg

分析這個(gè)物理結(jié)構(gòu)并轉(zhuǎn)換成以路由器為中心的邏輯結(jié)構(gòu)后问裕，會(huì)得到如下的邏輯結(jié)構(gòu)圖。當(dāng)我們需要進(jìn)行路由或是數(shù)據(jù)包過(guò)濾的設(shè)定時(shí)孵坚，都必須在邏輯結(jié)構(gòu)的基礎(chǔ)上進(jìn)行粮宛。

34.jpg

把握這兩種網(wǎng)絡(luò)結(jié)構(gòu)圖的區(qū)別是十分重要的，特別是在VLAN和三層交換機(jī)大行其道的現(xiàn)代企業(yè)級(jí)網(wǎng)絡(luò)當(dāng)中卖宠。