路由基本原理:

路由器內(nèi)部有一個路由表映穗，這表標(biāo)明了如果要去某個地方窖张，下一步應(yīng)該往哪走。路由器從某個端口收到一個數(shù)據(jù)包蚁滋，它首先把鏈路層的包頭去掉(拆包)宿接，讀取目的IP地址，然后查找路由表辕录，若能確定下一步往哪送澄阳，則再加上鏈路層的包頭(打包)，把該數(shù)據(jù)包轉(zhuǎn)發(fā)出去;如果不能確定下一步的地址踏拜，則向源地址返回一個信息碎赢，并把這個數(shù)據(jù)包丟掉。

路由技術(shù)其實是由兩項最基本的活動組成速梗，即決定最優(yōu)路徑和傳輸數(shù)據(jù)包肮塞。其中襟齿，數(shù)據(jù)包的傳輸相對較為簡單和直接，而路由的確定則更加復(fù)雜一些枕赵。路由算法在路由表中寫入各種不同的信息猜欺，路由器會根據(jù)數(shù)據(jù)包所要到達(dá)的目的地選擇最佳路徑把數(shù)據(jù)包發(fā)送到可以到達(dá)該目的地的下一臺路由器處。當(dāng)下一臺路由器接收到該數(shù)據(jù)包時拷窜，也會查看其目標(biāo)地址开皿，并使用合適的路徑繼續(xù)傳送給后面的路由器。依次類推篮昧，直到數(shù)據(jù)包到達(dá)最終目的地赋荆。

路由器之間可以進(jìn)行相互通訊，而且可以通過傳送不同類型的信息維護各自的路由表懊昨。路由更新信息主是這樣一種信息窄潭，一般是由部分或全部路由表組成。通過分析其它路由器發(fā)出的路由更新信息酵颁，路由器可以掌握整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)嫉你。鏈路狀態(tài)廣播是另外一種在路由器之間傳遞的信息，它可以把信息發(fā)送方的鏈路狀態(tài)及進(jìn)的通知給其它路由器躏惋。

動態(tài)路由是與靜態(tài)路由相對的一個概念幽污，指路由器能夠根據(jù)路由器之間的交換的特定路由信息自動地建立自己的路由表，并且能夠根據(jù)鏈路和節(jié)點的變化適時地進(jìn)行自動調(diào)整簿姨。

使用靜態(tài)路由的好處是網(wǎng)絡(luò)安全保密性高距误。動態(tài)路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息款熬。

靜態(tài)路由是在路由器中設(shè)置的固定的路由表du。除非管理員干預(yù)攘乒，否則靜態(tài)zhi路由不會發(fā)生變化贤牛。一般dao用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中则酝。

當(dāng)動態(tài)路由與靜態(tài)路由發(fā)生沖突時殉簸，以靜態(tài)路由為準(zhǔn)。動態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信沽讹，傳遞路由信息般卑，利用收到的路由信息更新路由器表的過程。

它能實時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化爽雄，如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化蝠检，路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息挚瘟。

這些信息通過各個網(wǎng)絡(luò)叹谁，引起各路由器重新啟動其路由算法饲梭，并更新各自的路由表以動態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?/p>

路由器的工作原理：

路由器工作在OSI七層協(xié)議中的第三層，也就是網(wǎng)絡(luò)層焰檩。其主要任務(wù)是接收來源于一個網(wǎng)絡(luò)接口的數(shù)據(jù)包憔涉，根據(jù)這個數(shù)據(jù)包中所含的目地址，決定轉(zhuǎn)發(fā)到的下一個目的地址析苫。路由器中時刻維持著一張路由表兜叨，所有的數(shù)據(jù)包的發(fā)送和轉(zhuǎn)發(fā)都通過查找路由表來實現(xiàn)的。這個路由表可以靜態(tài)配置衩侥，也可以通過動態(tài)路由協(xié)議產(chǎn)生国旷。

路由器物理層從路由器的一個端口收到一個報文，上送到數(shù)據(jù)鏈路層顿乒。數(shù)據(jù)鏈路層去掉鏈路層封裝议街，根據(jù)報文的協(xié)議域上送到網(wǎng)絡(luò)層。網(wǎng)絡(luò)層首先看報文是否是送給本機的璧榄，若是特漩，去掉網(wǎng)絡(luò)層封裝，送給上層骨杂。若不是涂身，則根據(jù)報文的目的地址查找路由表，若找到路由搓蚪，將報文送給相應(yīng)端口的數(shù)據(jù)鏈路層蛤售，數(shù)據(jù)鏈路層封裝后，發(fā)送報文妒潭。若找不到路由悴能，報文丟棄。

路由器的作用：

1雳灾、異種網(wǎng)絡(luò)互連：比如具有異種子網(wǎng)協(xié)議的網(wǎng)絡(luò)互連

2漠酿、子網(wǎng)協(xié)議轉(zhuǎn)換：不同子網(wǎng)間包括局域網(wǎng)和廣域網(wǎng)之間的協(xié)議轉(zhuǎn)換

3、路由：也就是尋路

4谎亩、速率適配：利用自己的緩存和流控協(xié)議進(jìn)行適配

5炒嘲、隔離網(wǎng)絡(luò)：防止廣播風(fēng)暴，還能實現(xiàn)防火墻

6匈庭、報文分片和重組：超過接口的MTU報文會被分片夫凸，到達(dá)目的地之后的報文會被重組

7、備份阱持、流量控制：主備線路的切換和復(fù)雜的流量控制

華為:

路由協(xié)議或路由種類|相應(yīng)的默認(rèn)路由優(yōu)先級(Preference)

direct| 0

OSPF| 10

IS-IS I 15

Static I 60

RIP| 100

IBGP I 130

OSPF ASE/import I 150

EBGP| 170

UNKNOWN I 255

思科:

Route Source I Default AD (Administrative Distance)

Connected interface| 0

Static route| 1

EIGRPI90

IGRP | 100

OSPF | 110

RIP| 120

Extemal EIGRP I 170

Unknown| 255 (this route will never be used)

路由器路由匹配順序總結(jié)：

1.路由策略匹配夭拌。若路由器上有路由策略，首先執(zhí)行路由策略，若無路由策略啼止，則查詢路由表道逗。

2.最長子網(wǎng)掩碼匹配。即當(dāng)在路由表中有多條 到達(dá)某個IP地址的路由時献烦，優(yōu)先選擇子網(wǎng)掩碼最長的路由滓窍。

3.管理距離最小匹配。若執(zhí)行最長子網(wǎng)掩碼匹配后巩那，路由表中 仍有多條到達(dá)某個IP地址的路由吏夯，優(yōu)先選擇管理距離（AD）最小的。

4.負(fù)載均衡即横。若執(zhí)行管理距離最小匹配后噪生，路由表中仍有多條達(dá)到某個IP地址的路由，則 在剩余的多條鏈路上執(zhí)行負(fù)載均衡东囚。注意：這里的負(fù)載均衡可能是等價的跺嗽，也可能不是等價的，具體要看使用的路由協(xié)議页藻。

交換機的作用：

交換機是一種工作在OSI七層協(xié)議中的第二層桨嫁，也就是數(shù)據(jù)鏈路層，可以對電信號進(jìn)行轉(zhuǎn)發(fā)份帐，為接入交換機的任意兩個網(wǎng)絡(luò)結(jié)點提供獨享的電信號通路璃吧，對接入的信息重新生成，通過內(nèi)部處理轉(zhuǎn)發(fā)到指定端口废境，達(dá)到自動尋址和交換的作用畜挨，避免端口沖突問題，提高網(wǎng)絡(luò)吞吐量的網(wǎng)絡(luò)設(shè)備噩凹。作用體現(xiàn)如下：

1巴元、集線器：由于提供了大量的可供線纜連接的端口，因此可以被作為集線器使用驮宴，達(dá)到部署型星型拓?fù)渚W(wǎng)絡(luò)的目的逮刨。

2、中繼器：在轉(zhuǎn)發(fā)幀的時候重新產(chǎn)生一個不失真的方形電信號幻赚。

3禀忆、網(wǎng)橋：在內(nèi)置的端口上使用相同的轉(zhuǎn)發(fā)和過濾邏輯臊旭，所以具備網(wǎng)橋功能落恼。

4、分成多個沖突域：將部署好的局域網(wǎng)分為多個沖突域离熏，而每個沖突與都有自己獨立的帶寬佳谦，所以可以提高寬帶利用效率。

交換機的基本工作原理：

1滋戳、學(xué)習(xí)钻蔑。根據(jù)收到數(shù)據(jù)幀中的源MAC地址建立該地址同交換機端口的映射啥刻，寫入MAC地址表中。

2咪笑、直接轉(zhuǎn)發(fā)可帽。如果交換機根據(jù)數(shù)據(jù)幀中的目的MAC地址在建立好的MAC地址表中查詢到了，就對對應(yīng)端口進(jìn)行轉(zhuǎn)發(fā)窗怒。

3映跟、泛洪（flood）。如果數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中扬虚，則向所有端口轉(zhuǎn)發(fā)努隙，也就是泛洪。

4辜昵、對于廣播幀和組播幀向所有端口進(jìn)行轉(zhuǎn)發(fā)荸镊。

5、更新堪置。MAC地址表會每300s更新一次躬存。

二層交換技術(shù)

　　二層交換機是數(shù)據(jù)鏈路層的設(shè)備，它能夠讀取數(shù)據(jù)包中的MAC地址信息并根據(jù)MAC地址來進(jìn)行交換晋柱。

　　交換機內(nèi)部有一個地址表优构，這個地址表標(biāo)明了MAC地址和交換機端口的對應(yīng)關(guān)系。當(dāng)交換機從某個端口收到一個數(shù)據(jù)包雁竞，它首先讀取包頭中的源MAC地址钦椭，這樣它就知道源MAC地址的機器是連在哪個端口上的，它再去讀取包頭中的目的MAC地址碑诉，并在地址表中查找相應(yīng)的端口彪腔，如果表中有與這目的MAC地址對應(yīng)的端口，則把數(shù)據(jù)包直接復(fù)制到這端口上进栽，如果在表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上德挣，當(dāng)目的機器對源機器回應(yīng)時，交換機又可以學(xué)習(xí)一目的MAC地址與哪個端口對應(yīng)快毛，在下次傳送數(shù)據(jù)時就不再需要對所有端口進(jìn)行廣播了格嗅。

　　二層交換機就是這樣建立和維護它自己的地址表。由于二層交換機一般具有很寬的交換總線帶寬唠帝，所以可以同時為很多端口進(jìn)行數(shù)據(jù)交換屯掖。如果二層交換機有N個端口，每個端口的帶寬是M襟衰，而它的交換機總線帶寬超過N×M贴铜，那么這交換機就可以實現(xiàn)線速交換。二層交換機對廣播包是不做限制的，把廣播包復(fù)制到所有端口上绍坝。

　　二層交換機一般都含有專門用于處理數(shù)據(jù)包轉(zhuǎn)發(fā)的ASIC (Application specific Integrated Circuit)芯片徘意，因此轉(zhuǎn)發(fā)速度可以做到非常快轩褐。

三層交換技術(shù)

傳統(tǒng)的交換機本質(zhì)上是具有流量控制能力的多端口網(wǎng)橋椎咧，即傳統(tǒng)的(二層) 交換機。把路由技術(shù)引入交換機把介，可以完成網(wǎng)絡(luò)層路由選擇邑退，故稱為三層交換，這是交換機的新進(jìn)展劳澄。交換機(二層交換)的工作原理交換機和網(wǎng)橋一樣地技，是工作在鏈路層的聯(lián)網(wǎng)設(shè)備，它的各個端口都具有橋接功能秒拔，每個端口可以連接一個LAN或一臺高性能網(wǎng)站或服務(wù)器莫矗，能夠通過自學(xué)習(xí)來了解每個端口的設(shè)備連接情況。所有端口由專用處理器進(jìn)行控制砂缩，并經(jīng)過控制管理總線轉(zhuǎn)發(fā)信息作谚。

防火墻的定義

防火墻：一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間庵芭，它通過相關(guān)的安全策略來控制（允許妹懒、拒絕、監(jiān)視双吆、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為眨唬。

防火墻的核心技術(shù)

1、?包過濾：最常用的技術(shù)好乐。工作在網(wǎng)絡(luò)層匾竿，根據(jù)數(shù)據(jù)包頭中的IP、端口蔚万、協(xié)議等確定是否數(shù)據(jù)包通過

2岭妖、?應(yīng)用代理：另一種主要技術(shù)，工作在第7層應(yīng)用層反璃，通過編寫應(yīng)用代理程序昵慌，實現(xiàn)對應(yīng)用層數(shù)據(jù)的檢測和分析

3、?狀態(tài)檢測：工作在2－4層淮蜈，控制方式與1同斋攀，處理的對象不是單個數(shù)據(jù)包，而是整個連接礁芦，通過規(guī)則表（管理人員和網(wǎng)絡(luò)使用人員事先設(shè)定好的）和連接狀態(tài)表蜻韭，綜合判斷是否允許數(shù)據(jù)包通過。

4柿扣、?完全內(nèi)容檢測：需要很強的性能支撐肖方，既有包過濾功能、也有應(yīng)用代理的功能未状。工作在2-7層俯画，不僅分析數(shù)據(jù)包頭信息、狀態(tài)信息司草，而且對應(yīng)用層協(xié)議進(jìn)行還原和內(nèi)容分析艰垂，有效防范混合型安全威脅。

包過濾技術(shù)

包過濾技術(shù)是一種簡單埋虹、有效的安全控制技術(shù)猜憎，它工作在網(wǎng)絡(luò)層，通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許搔课、禁止來自某些特定的源地址胰柑、目的地址、TCP端口號等規(guī)則爬泥，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查柬讨，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。

包過濾的最大優(yōu)點是對用戶透明袍啡，傳輸性能高踩官。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層境输，安全控制的力度也只限于源地址蔗牡、目的地址和端口號，因而只能進(jìn)行較為初步的安全控制嗅剖，對于惡意的擁塞攻擊蛋逾、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力窗悯。

?應(yīng)用代理技術(shù)

應(yīng)用代理防火墻工作在OSI的第七層区匣，它通過檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程蒋院，從而提高網(wǎng)絡(luò)的安全性亏钩。

應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機／服務(wù)器模式實現(xiàn)的。每個客戶機／服務(wù)器通信需要兩個連接：一個是從客戶端到防火墻欺旧，另一個是從防火墻到服務(wù)器姑丑。另外，每個代理需要一個不同的應(yīng)用進(jìn)程辞友，或一個后臺運行的服務(wù)程序栅哀，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序震肮，否則不能使用該服務(wù)。所以留拾，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點戳晌。

?狀態(tài)檢測技術(shù)

狀態(tài)檢測防火墻工作在OSI的第二至四層，采用狀態(tài)檢測包過濾的技術(shù)痴柔，是傳統(tǒng)包過濾功能擴展而來沦偎。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層有一個檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此為依據(jù)決定對該連接是接受還是拒絕咳蔚。這種技術(shù)提供了高度安全的解決方案豪嚎，同時具有較好的適應(yīng)性和擴展性。狀態(tài)檢測防火墻一般也包括一些代理級的服務(wù)谈火，它們提供附加的對特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持侈询。

狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點绢馍，性能比較好牡昆，同時對應(yīng)用是透明的，在此基礎(chǔ)上迄薄，對于安全性有了大幅提升谍肤。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包啦租，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表荒揣，維護了連接篷角，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的事件來處理。主要特點是由于缺乏對應(yīng)用層協(xié)議的深度檢測功能系任，無法徹底的識別數(shù)據(jù)包中大量的垃圾郵件恳蹲、廣告以及木馬程序等等。

?完全內(nèi)容檢測技術(shù)

完全內(nèi)容檢測技術(shù)防火墻綜合狀態(tài)檢測與應(yīng)用代理技術(shù)俩滥，并在此基礎(chǔ)上進(jìn)一步基于多層檢測架構(gòu)嘉蕾，把防病毒、內(nèi)容過濾霜旧、應(yīng)用識別等功能整合到防火墻里错忱，其中還包括IPS功能，多單元融為一體挂据，在網(wǎng)絡(luò)界面對應(yīng)用層掃描以清，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來崎逃，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路掷倔，(因此也被稱為“下一代防火墻技術(shù)”)。它在網(wǎng)絡(luò)邊界實施OSI第七層的內(nèi)容掃描个绍，實現(xiàn)了實時在網(wǎng)絡(luò)邊緣布署病毒防護勒葱、內(nèi)容過濾等應(yīng)用層服務(wù)措施浪汪。完全內(nèi)容檢測技術(shù)防火墻可以檢查整個數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表凛虽，網(wǎng)絡(luò)層保護強死遭，應(yīng)用層控制細(xì)等優(yōu)點，但由于功能集成度高涩维，對產(chǎn)品硬件的要求比較高。

VLAN是英文Virtual Local Area Network的簡稱袁波，又叫虛擬局域網(wǎng)瓦阐，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。要想劃分VLAN篷牌，必須購買支持VLAN功能的網(wǎng)絡(luò)設(shè)備睡蟋。

劃分VLAN的作用：

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中枷颊。即使是處在同一網(wǎng)段的兩臺計算機戳杀，如果不在同一VLAN中，它們各自的廣播流也不會相互轉(zhuǎn)發(fā)夭苗。

劃分VLAN有助于控制流量信卡、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理题造、提高網(wǎng)絡(luò)的安全性傍菇。由于VLAN隔離了廣播風(fēng)暴，也隔離了不同VLAN之間的通訊界赔，因此丢习，不同VLAN之間的通訊必須依靠路由器或者三層交換機來實現(xiàn)。

優(yōu)勢

廣播風(fēng)暴防范

限制網(wǎng)絡(luò)上的廣播淮悼，將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量咐低。VLAN分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機制袜腥，防止交換網(wǎng)絡(luò)的過量廣播见擦。使用VLAN，可以將某個交換端口或用戶賦予某一個特定的VLAN組羹令，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機锡宋，在一個VLAN中的廣播不會送到VLAN之外。同樣特恬，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播执俩。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用癌刽，減少廣播的產(chǎn)生役首。 [4]

安全

增強局域網(wǎng)的安全性’含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離尝丐，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的衡奥，即一個VLAN內(nèi)的用戶不能和其他VLAN內(nèi)的用戶直接通信爹袁，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機等三層設(shè)備矮固。 [4]

成本降低

成本高昂的網(wǎng)絡(luò)升級需求減少失息，現(xiàn)有帶寬和上行鏈路的利用率更高，因而可節(jié)約成本档址。 [4]

性能提高

將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組(廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能盹兢。 [4]

提高人員工作效率

VLAN為網(wǎng)絡(luò)管理帶來了方便，因為有相似網(wǎng)絡(luò)需求的用戶將共享同一個VLAN守伸。 [4]

簡化項目管理或應(yīng)用管理

VLAN將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起绎秒，以支持商業(yè)需求或地域上的需求。通過職能劃分尼摹，項目管理或特殊應(yīng)用的處理都變得十分方便见芹，例如可以輕松管理教師的電子教學(xué)開發(fā)平臺。此外蠢涝，也很容易確定升級網(wǎng)絡(luò)服務(wù)的影響范圍玄呛。 [4]

增加了網(wǎng)絡(luò)連接的靈活性

借助VLAN技術(shù)，能將不同地點和二、不同網(wǎng)絡(luò)把鉴、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境儿咱，就像使用本地VLAN一樣方便庭砍、靈活、有效混埠。VLAN可以降低移動或變更工作站地理位置的管理費用怠缸，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費用大大降低钳宪。 [4]

組建條件

[編輯](javascript:;)

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)揭北，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時吏颖，需要路由的支持搔体，這時就需要增加路由設(shè)備——要實現(xiàn)路由功能，既可采用路由器半醉，也可采用三層交換機來完成疚俱，同時還嚴(yán)格限制了用戶數(shù)量。 [4]

劃分依據(jù)

按端口劃分VLAN

許多VLAN廠商都利用交換機的端口來劃分VLAN成員缩多。被設(shè)定的端口都在同一個廣播域中呆奕。例如养晋，一個交換機的1，2梁钾，3绳泉，4，5端口被定義為虛擬網(wǎng)AAA姆泻，同一交換機的6零酪，7，8端口組成虛擬網(wǎng)BBB拇勃。這樣做允許各端口之間的通訊四苇，并允許共享型網(wǎng)絡(luò)的升級。但是潜秋，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上蛔琅。 [4]

第二代端口VLAN技術(shù)允許跨越多個交換機的多個不同端口劃分VLAN胎许，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)峻呛。 [4]

以交換機端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了辜窑。因此钩述，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式穆碎。 [4]

按MAC地址劃分VLAN

這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分牙勘，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時所禀，即從一個交換機換到其他的交換機時方面，VLAN不用重新配置，所以色徘，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN恭金，這種方法的缺點是初始化時，所有的用戶都必須進(jìn)行配置褂策，如果有幾百個甚至上千個用戶的話横腿，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機執(zhí)行效率的降低斤寂，因為在每一個交換機的端口都可能存在很多個VLAN組的成員耿焊，這樣就無法限制廣播包了。另外遍搞，對于使用筆記本電腦的用戶來說罗侯，他們的網(wǎng)卡可能經(jīng)常更換，這樣溪猿，VLAN就必須不停地配置歇父。 [4]

按網(wǎng)絡(luò)層劃分

這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的蒂培，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址榜苫，但它不是路由护戳，與網(wǎng)絡(luò)層的路由毫無關(guān)系。 [4]

這種方法的優(yōu)點是用戶的物理位置改變了垂睬，不需要重新配置所屬的VLAN媳荒，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要驹饺，還有钳枕，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量赏壹。 [4]

這種方法的缺點是效率低鱼炒，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭蝌借，但要讓芯片能檢查IP幀頭昔瞧，需要更高的技術(shù)，同時也更費時菩佑。當(dāng)然自晰，這與各個廠商的實現(xiàn)方法有關(guān)。 [4]

按IP組播劃分

IP組播實際上也是一種VLAN的定義稍坯，即認(rèn)為一個組播組就是一個VLAN酬荞，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性瞧哟，而且也很容易通過路由器進(jìn)行擴展混巧，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高勤揩。 [4]

基于規(guī)則的VLAN

也稱為基于策略的VLAN咧党。這是最靈活的VLAN劃分方法，具有自動配置的能力雄可，能夠把相關(guān)的用戶連成一體凿傅，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕┦唬敲串?dāng)一個站點加入網(wǎng)絡(luò)中時聪舒，將會被“感知”，并被自動地包含進(jìn)正確的VLAN中虐急。同時箱残，對站點的移動和改變也可自動識別和跟蹤。 [4]

采用這種方法，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴展網(wǎng)絡(luò)規(guī)模被辑。有的產(chǎn)品還支持一個端口上的主機分別屬于不同的VLAN燎悍，這在交換機與共享式Hub共存的環(huán)境中顯得尤為重要。自動配置VLAN時盼理，交換機中軟件自動檢查進(jìn)入交換機端口的廣播信息的IP源地址谈山，然后軟件自動將這個端口分配給一個由IP子網(wǎng)映射成的VLAN。 [4]

按用戶定義宏怔、非用戶授權(quán)劃分

基于用戶定義奏路、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)臊诊，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN鸽粉，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼抓艳，在得到VLAN管理的認(rèn)證后才可以加入一個VLAN触机。 [4]

以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上玷或；MAC方式建立在數(shù)據(jù)鏈路層上儡首；網(wǎng)絡(luò)層和IP廣播方式建立在第三層上。 [4]

VLAN之間的通信

盡管大約有80%的通信流量發(fā)生在VLAN內(nèi)庐椒，但仍然有大約20%的通信流量要跨越不同的VLAN椒舵。目前蚂踊，解決VLAN之間的通信主要采用路由器技術(shù)约谈。 [5]

VLAN之間通信一般采用兩種路由策略，即集中式路由和分布式路由犁钟。 [5]

(1)集中式路由

集中式路由策略是指所有VLAN都通過一個中心路由器實現(xiàn)互聯(lián)棱诱。對于同一交換機（一般指二層交換機）上的兩個端口，如果它們屬于兩個不同的VLAN涝动，盡管它們在同一交換機上迈勋，在數(shù)據(jù)交換時也要通過中心路由器來選擇路由。[5]

這種方式的優(yōu)點是簡單明了醋粟，邏輯清晰靡菇。缺點是由于路由器的轉(zhuǎn)發(fā)速度受限，會加大網(wǎng)絡(luò)時延米愿，容易發(fā)生擁塞現(xiàn)象厦凤。因此，這就要求中心路由器提供很高的處理能力和容錯特性育苟。 [5]

(2)分布式路由

分布式路由策略是將路由選擇功能適當(dāng)?shù)胤植荚趲в新酚晒δ艿慕粨Q機上（指三層交換機）较鼓，同一交換機上的不同VLAN可以直接實現(xiàn)互通，這種路由方式的優(yōu)點是具有極高的路由速度和良好的可伸縮性。

優(yōu)點：廣播控制博烂、帶寬利用香椎、降低延遲、安全性

總結(jié)：它的全稱是虛擬局域網(wǎng)禽篱，作用就是把連接在同一交換機下的主機分為更小的邏輯網(wǎng)段畜伐，以減少廣播的數(shù)量，不同的VLAN之間不能通訊躺率，這樣廣播就被限制在同一個業(yè)務(wù)需求主機的VLAN里烤礁，即便是連接在同一個交換機下，不同的VLAN也不會收到廣播的ARP請求肥照！如果他們之間需要通訊脚仔，只能借助路由器或三層交換機

實現(xiàn)不同VLAN之間的訪問，有兩種方式：

一種是通過三層交換機舆绎，通過默認(rèn)網(wǎng)關(guān)的方式實現(xiàn)不同VLAN之間的訪問鲤脏；一種是通過路由器，利用路由器的子端口和默認(rèn)路由的方式實現(xiàn)訪問吕朵。

1.三層交換機與路由器實現(xiàn)不同VLAN間訪問的原理相同猎醇，均是通過默認(rèn)路由的方式。

首先努溃，需要在三層交換機上建立不同VLAN的網(wǎng)關(guān)硫嘶；其次，將二層交換機的具體端口加入到該VLAN當(dāng)中梧税；最后沦疾，在三層交換機中會默認(rèn)生成靜態(tài)路由，實現(xiàn)不同VLAN間的訪問第队。

2.通過路由器實現(xiàn)不同VLAN之間的訪問

路由器實現(xiàn)的方式基本類似哮塞，通過端口劃分子端口來實現(xiàn)。

首先凳谦，想要實現(xiàn)多少個VALN之間的通訊忆畅，就需要建立多少個子端口；其次尸执，需要在子端口封裝802.1q協(xié)議家凯，用于支持VLAN協(xié)議；最后如失，在子端口設(shè)置IP地址,也就是VLAN的網(wǎng)關(guān)地址绊诲。

單臂路由（router-on-a-stick）是指在路由器的一個接口上通過配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式岖常，實現(xiàn)原來相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通驯镊。

3、跨交換機實現(xiàn)VLAN間的通信

關(guān)于NAT的基礎(chǔ)知識

NAT，Network Address Translation 地址轉(zhuǎn)換板惑，是路由器將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址的一種技術(shù)橄镜。

NAT的實現(xiàn)方式主要有三種：

（1）靜態(tài)轉(zhuǎn)換：靜態(tài)轉(zhuǎn)換是一對一的轉(zhuǎn)換，有多少內(nèi)網(wǎng)地址需要轉(zhuǎn)換冯乘，就需要相應(yīng)的公網(wǎng)地址洽胶；用得很少；

（2）動態(tài)轉(zhuǎn)換：動態(tài)轉(zhuǎn)換是多對多的轉(zhuǎn)換裆馒，通常需要轉(zhuǎn)換的內(nèi)網(wǎng)地址略多于相應(yīng)的公網(wǎng)地址姊氓；將公網(wǎng)地址放在一個地址池里，當(dāng)有內(nèi)網(wǎng)地址需要訪問外部網(wǎng)站時喷好，從地址池中取出一個公網(wǎng)地址翔横，用于內(nèi)網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換；該方式適用于內(nèi)網(wǎng)地址略多于給定的公網(wǎng)地址梗搅，如果內(nèi)網(wǎng)地址遠(yuǎn)大于公網(wǎng)地址禾唁，當(dāng)多臺內(nèi)網(wǎng)機器需要訪問公網(wǎng)時，會出現(xiàn)地址池枯竭无切，無法獲得對應(yīng)的公網(wǎng)地址荡短；

NAT的優(yōu)點：

（1）寬帶共享 ：通過一個公網(wǎng)地址可以讓許多機器連上網(wǎng)絡(luò)；理論上所有網(wǎng)絡(luò)端口有多少一個公網(wǎng)IP就能夠支持多少臺機器聯(lián)網(wǎng)哆键；解決了IP地址不夠用的情況掘托；

（2）安全防護：通過NAT技術(shù)轉(zhuǎn)換后，實際機器隱藏自己的真實IP籍嘹，僅通過端口來區(qū)別是內(nèi)網(wǎng)中的哪個機器闪盔，保證了自身安全。

NAT的缺點：

在一個具有NAT功能的路由器下的主機并沒有建立真正的端對端連接噩峦，并且不能參與一些因特網(wǎng)協(xié)議锭沟。一些需要初始化從外部網(wǎng)絡(luò)建立的TCP連接抽兆，和使用無狀態(tài)協(xié)議（比如UDP）的服務(wù)將被中斷识补。除非NAT路由器作一些具體的努力，否則送來的數(shù)據(jù)包將不能到達(dá)正確的目的地址辫红。（一些協(xié)議有時可以在應(yīng)用層網(wǎng)關(guān)的輔助下凭涂，在參與NAT的主機之間容納一個NAT的實例，比如FTP贴妻。）NAT也會使安全協(xié)議變的復(fù)雜切油。

在整個NAT的轉(zhuǎn)換中，最關(guān)鍵的流程有以下幾點

網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個部分名惩，NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置澎胡，雙向流量必須都要經(jīng)過NAT網(wǎng)關(guān)

網(wǎng)絡(luò)訪問只能先由私網(wǎng)側(cè)發(fā)起，公網(wǎng)無法主動訪問私網(wǎng)主機；

NAT網(wǎng)關(guān)在兩個訪問方向上完成兩次地址的轉(zhuǎn)換或翻譯攻谁，出方向做源信息替換稚伍，入方向做目的信息替換戚宦；

NAT網(wǎng)關(guān)的存在對通信雙方是保持透明的个曙；

NAT網(wǎng)關(guān)為了實現(xiàn)雙向翻譯的功能，需要維護一張關(guān)聯(lián)表受楼，把會話的信息保存下來垦搬。

三、NAT應(yīng)用

NAT主要可以實現(xiàn)以下幾個功能：數(shù)據(jù)包偽裝艳汽、平衡負(fù)載猴贰、端口轉(zhuǎn)發(fā)和透明代理。

數(shù)據(jù)偽裝:?可以將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改成統(tǒng)一的對外地址信息河狐，不讓內(nèi)網(wǎng)主機直接暴露在因特網(wǎng)上糟趾，保證內(nèi)網(wǎng)主機的安全。同時甚牲，該功能也常用來實現(xiàn)共享上網(wǎng)义郑。例如，內(nèi)網(wǎng)主機訪問外網(wǎng)時丈钙，為了隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)非驮，使用全局地址替換私有地址。

端口轉(zhuǎn)發(fā):?當(dāng)內(nèi)網(wǎng)主機對外提供服務(wù)時雏赦，由于使用的是內(nèi)部私有IP地址劫笙，外網(wǎng)無法直接訪問。因此星岗，需要在網(wǎng)關(guān)上進(jìn)行端口轉(zhuǎn)發(fā)填大，將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機。例如公司小王在自己的服務(wù)器上架設(shè)了一個Web網(wǎng)站俏橘，他的IP地址為192.168.0.5允华，使用默認(rèn)端口80，現(xiàn)在他想讓局域網(wǎng)外的用戶也能直接訪問他的Web站點寥掐。利用NAT即可很輕松的解決這個問題靴寂，服務(wù)器的IP地址為210.59.120.89，那么為小王分配一個端口召耘，例如81百炬，即所有訪問210.59.120.89:81的請求都自動轉(zhuǎn)向192.168.0.5:80，而且這個過程對用戶來說是透明的污它。

負(fù)載平衡:目的地址轉(zhuǎn)換NAT可以重定向一些服務(wù)器的連接到其他隨機選定的服務(wù)器剖踊。

失效終結(jié):目的地址轉(zhuǎn)換NAT可以用來提供高可靠性的服務(wù)庶弃。如果一個系統(tǒng)有一臺通過路由器訪問的關(guān)鍵服務(wù)器，一旦路由器檢測到該服務(wù)器當(dāng)機德澈，它可以使用目的地址轉(zhuǎn)換NAT透明的把連接轉(zhuǎn)移到一個備份服務(wù)器上虫埂，提高系統(tǒng)的可靠性。

透明代理:例如自己架設(shè)的服務(wù)器空間不足圃验，需要將某些鏈接指向存在另外一臺服務(wù)器的空間掉伏；或者某臺計算機上沒有安裝IIS服務(wù)，但是卻想讓網(wǎng)友訪問該臺計算機上的內(nèi)容澳窑，這個時候利用IIS的Web站點重定向即可輕松的幫助我們搞定斧散。

NAT術(shù)語：比較難理解，所以這里用最明了的語言總結(jié)如下

內(nèi)部本地地址（?inside local address?）：局域網(wǎng)內(nèi)部主機的地址摊聋，通常是RFC1918地址空間中的地址鸡捐，稱為私有地址。（待轉(zhuǎn)換的地址）

內(nèi)部全局地址（inside global address）：內(nèi)部本地地址被NAT路由器轉(zhuǎn)換后的地址麻裁，通常是一個可路由的公網(wǎng)地址箍镜。

外部全局地址（outside global address）：是與內(nèi)部主機通信的目標(biāo)主機的地址，通常是一個可路由的公網(wǎng)地址煎源。

外部本地地址（outside local address）：是目標(biāo)主機可路由的公網(wǎng)地址被轉(zhuǎn)換之后的地址色迂，通常是RFC1918地址空間中的地址。

示例

如圖所示： PC1地址：192.168.0.2/24手销，PC2地址：192.168.0.3/24歇僧，R1 E0/0地址：192.168.0.1/24??

R1?S0/0地址：202.106.0.1/24，R2?S0/0地址：202.106.0.2/24

R2 E0/0地址：202.106.1.1/24锋拖，?PC3地址：202.106.1.2/24?(模擬公網(wǎng)服務(wù)器)

1.靜態(tài)NAT：將一個私有地址和一個公網(wǎng)地址一對一映射的配置方法诈悍，這種方式不能節(jié)省IP，通常只為需要向外網(wǎng)提供服務(wù)的內(nèi)網(wǎng)服務(wù)器配置兽埃。

各接口地址按上面配置好之后侥钳，在R1和R2上配置路由（注意不要為192.168.0.0網(wǎng)絡(luò)增加路由項，因為私有網(wǎng)絡(luò)不可以出現(xiàn)在公網(wǎng)路由表中柄错，不然也不叫私有地址了）

路由配置好之后在R1上可以ping通PC3舷夺，但是PC1只能ping到R1的S0/0，再向前就ping不通了鄙陡。因為沒有192.168.0.0網(wǎng)絡(luò)的路由表項冕房，所以被丟棄了！下面在R1上配置靜態(tài)NAT讓PC1可以和PC3通信趁矾。

Router(config)#int fa0/0

Router(config-if)#ip nat inside?//將該接口標(biāo)記為內(nèi)部接口

Router(config-if)#int s0

Router(config-if)#ip nat outside //將該接口標(biāo)記為外部接口

Router(config-if)#exit

Router(config)#ip nat inside source static 192.168.0.2 202.106.0.3 //將來自標(biāo)記為內(nèi)部接口的地址做為轉(zhuǎn)換源，將?192.168.0.2一對一的轉(zhuǎn)換成?202.106.0.3

動態(tài)NAT：現(xiàn)在PC1就可以和PC3通信了给僵。但是PC2不能毫捣，因為R1并沒有為PC2提供地址轉(zhuǎn)換详拙。當(dāng)然我們可以在R1上像給PC1做靜態(tài)轉(zhuǎn)換一樣也給PC2做一個，可如果我們有100臺機器工作量就太大了蔓同。下面在R1上再繼續(xù)配置：

Router(config)#access-list 10 permit 192.168.0.0?0.0.0.255?//定義標(biāo)準(zhǔn)訪問控制列表10只允許定義的地址能夠被轉(zhuǎn)換

Router(config)#ip nat pool out 202.106.0.4 202.106.0.24 netmask 255.255.255.0?//定義名稱為out的地址池饶辙。

Router(config)#ip nat inside source list 10 pool out //將訪問控制列表定義的地址和地址池關(guān)聯(lián)這樣就有前21個內(nèi)部主機能夠得到公網(wǎng)地址。

現(xiàn)在PC2也可以和PC3通信了斑粱。這就是動態(tài)NAT弃揽，這種方式也不能節(jié)約IP地址。有一百臺主機就要100個公網(wǎng)IP则北，不常用矿微。

PAT（Port Address Translation）端口地址轉(zhuǎn)換：用一個或多個公網(wǎng)IP為多個私有地址提供轉(zhuǎn)換，能夠節(jié)省大量IP地址尚揣，這種方式在現(xiàn)實網(wǎng)絡(luò)環(huán)境中最常用涌矢。

Router(config)#ip nat inside source list 10 pool out? overload //只需要在動態(tài)NAT的基礎(chǔ)上多出一個“overload”就可以讓上面的21個公網(wǎng)地址反復(fù)使用。

如果我們只有一個公網(wǎng)地址且已經(jīng)分配給了R1的S0/0口快骗，可以使用下面的命令來對這僅有的一個公網(wǎng)地址反復(fù)利用或叫超載娜庇。

Router(config)#ip nat inside source list 10 interface serial 0 overload //就是在R1上不設(shè)置地址池，因為只有一個公網(wǎng)地址方篮，而只對S0/0接口的地址超載名秀。

?5、配置TCP負(fù)載平衡：還是上圖IP也不變藕溅，假如PC1和PC2提供的是相同的WWW服務(wù)泰偿，為了實現(xiàn)負(fù)載平衡可以做如下配置：

Router(config)#ip nat pool www 192.168.0.2 192.168.0.3 netmask 255.255.255.0 type rotary //配置地址池www并設(shè)成旋轉(zhuǎn)。

Router(config)#access-list 10 permit 202.106.0.3

Router(config)#ip nat inside?destination list 10?pool?www?//這樣當(dāng)外網(wǎng)主機訪問202.106.0.3的時候路由器會自動定向到192.168.0.2再有請求就定向到192.168.0.3如果地址池里還有別的地址會依次循環(huán)蜈垮，實現(xiàn)負(fù)載平衡的目的耗跛。注意，地址有了攒发，網(wǎng)絡(luò)中還要有對應(yīng)的主機存在调塌，否則會使對方第一次連接失敗。