交換機系列培訓:IP地址緊張

    ● 通過偵察ARP ，RARP 或者DHCP 響應包的原IP 地址，在幾秒終之內發(fā)現IP 子網的拓撲結構。

    ● 在同一網絡的不同網段之間建立一個邏輯連接，即在網段間進行路由，實現網段間信息通訊。

    ● 學習地址，根據IP 子網、網絡協議或組播地址來配置VLAN ，使用IGMP （Internet Group Management Protocol ）來動態(tài)更新VLAN 成員。

    ● 支持ICMP （Internet Control Message Protocol ）路由發(fā)現選項。

    ● 存儲學習到的路由到硬件中，用線速轉發(fā)這些地址的數據包。

    ● 把目的地址不在路由表中的包送到網絡上的其他路由器。

    ● 通過偵聽ARP 請求來學習每一臺工作站的地址。

    ● 在子網之內實現IP 包的交換。

    在第二層，自動發(fā)現有如下過程：

    ● 通過硬件地址（MAC ）的學習，發(fā)現基于硬件地址（MAC ）的網絡結構。

    ● 根據ARP 請求，建立路由表。

    ● 交換各種非IP 包。

    ● 查看收到的數據包的目的地址，如果目的地址是已知的，將包轉發(fā)到已知端口，否則將包廣播到它所在的VLAN 的所有成員。

    6、 過濾服務功能：

    過濾服務功能用來設定界限，以限制不同的VLAN 的成員之間和使用單個MAC 地址和組MAC 地址的不同協議之間進行幀的轉發(fā)。幀過濾依賴于一定的規(guī)則，交換機根據這些規(guī)則來決定是轉發(fā)還是丟棄相應的幀。早期的802.1d 標準（1993 ），定義的基本過濾服務規(guī)定，交換機必須廣播所有的組MAC 地址的包到所有的端口。新的802.1d 標準（1998 ）定義的擴展過濾服務規(guī)定，對組MAC 地址的包也可以進行過濾，對于交換機的外連端口要過濾掉所有的組播地址包。如果沒有設置靜態(tài)的或者動態(tài)的過濾條件，交換機將采用缺省的過濾條件。擴展過濾服務功能使用GMRP(Group Multicast Registration Protocol) ,通過產生、刪除一個組或者組成員，來控制交換機的動態(tài)組轉發(fā)和組過濾。交換機和工作站使用GMRP 來申明他們是否愿意接收一個組MAC 地址的幀。GMRP 協議在網上的交換機之間傳波這樣的組信息，使得交換機能夠更新它們的過濾信息以實現擴展服務功能。交換機在不做任何配置的情況下，就具有過濾服務和擴展過濾服務功能。對舊的交換機、集線器、路由器，由于它不支持動態(tài)的組播地址過濾，因而在與它們連接的相應端口要進行擴展過濾配置。交換機根據過濾數據庫來進行幀的過濾，交換機可以通過動態(tài)學習和手工配置兩種方式來維護過濾數據庫。交換機檢查過濾數據庫，根據以下條件來決定某個MAC 地址或者某個VLAN 標識的包是否應該轉發(fā)到某一個端口：

    ● 默認地址

    ● 由管理員鍵入的靜態(tài)過濾信息

    ● 通過查看數據包源地址而動態(tài)需學習到的單目地址

    ● 動態(tài)或者靜態(tài)的VLAN

    ● 通過GMRP 管理的動態(tài)組播過濾信息或VLAN 成員信息

    7、二層（鏈路層）VLAN：

    在第二層，可以支持基于端口的VLAN 和基于MAC 地址的VLAN �；诙丝诘腣LAN 可以快速的劃分單個交換機上的沖突域，基于MAC 地址的VLAN 可以支持筆記本電腦的移動應用。

    8、三層（網絡層）VLAN:

    三層VLAN 可以按照如下方式劃分：

    ● IP 子網地址

    ● 網絡協議

    ● 組播地址

    第三層交換機的第三層VLAN ，不僅可以手工配置，也可以由交換機自動產生。交換機通過對數據包的分析后，自動配置VLAN ，自動更新VLAN 的成員。第三層交換機能夠工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的網絡環(huán)境中。交換機能自動發(fā)現IP 地址，動態(tài)產生基于IP 子網的VLAN ，當通過DHCP 分配一個新的IP 地址時，第三層交換機能很快的定位這個地址。第三層交換機通過IGMP 、GMRP 、ARP 和包探測技術來更新其三層的VLAN 成員組。通過基于Web 的網絡管理界面，可以對自動學習的范圍進行設定：自動學習可以是完全不受限、部分受限或者完全禁止。

    9、 第三層交換機是如何處理VLAN 的：

    VLAN 通過對發(fā)送和過濾的限制提高了網絡的性能。第三層交換機通過偵聽來更新VLAN 成員表，根據數據包頭的成員信息來做出轉發(fā)或過濾決定。下面是交換機處理VLAN 的幾個過程。

    數據幀入站：

    交換機根據入站數據幀的VLAN 標識號（VID ）將它們分類，無標號的為一類，標號相同的為一類。交換機根據VID 來決定轉發(fā)或者丟棄一個數據包，同時交換機也可以分配一個VID 給一個無標記幀或者貼了優(yōu)先級標記的幀。

    VLAN 標記：

    如果一個數據幀沒有標記VID ，交換機將會分配一個VID 給它，并把這個VID 插到它的幀頭中，這個過程叫做貼VLAN 標簽。交換機通過這個過程來處理包的轉發(fā)，來填寫數據幀的VLAN 或者優(yōu)先級信息的標記字段。管理員可以設置優(yōu)先級別來選擇VLAN 類型，選擇VID 值。交換機的缺省設置，首先選擇的是貼IP 子網信息，然后是網絡協議，然后是MAC 地址，然后是數據幀入站的端口。

    過濾：

    該過程驗證目的地址和源地址是否在同一個VLAN 中。

    轉發(fā)：

    根據VLAN 數據庫的信息，交換機處理一個數據幀是要么轉發(fā)，要么丟棄。

    學習：

    交換機檢查數據幀的源地址和VLAN 分類信息，并且把它們記錄在轉發(fā)庫里。

    10、 VLAN 應用舉例:

    下面是一些不同形式的VLAN 應用舉例：

    ● 工程部有些機密文件需要保密

    解決方法：通過把工程部的用戶放到他（或她）自己的基于MAC 地址的VLAN 中。這個VLAN 所唯一允許的訪問，只有該用戶自己。任何其它用戶都不能監(jiān)聽到該用戶的內容，因為該用戶的內容不會轉發(fā)到其它的網段上去。另外，還有一種更加安全的方式，分配一個專用的端口給這個用戶，為他產生一個基于端口的VLAN 。

    ● 銷售部門的筆記本用戶經常需要從外地進行撥號訪問

    解決方法：產生一個基于IP 子網的VLAN ，使用IP 地址來表示用戶。這樣無論用戶處在何處都能進行網絡訪問。

    ● 公司安裝了視頻培訓服務器，要防止用戶做視頻訪問時占用太多的帶寬

    解決方法：產生一個組播地址的VLAN 。

    ● 公司總裁需要能訪問財務，銷售等其它部門的VLAN

    解決方法：使公司總裁成為其它各部門的VLAN 的成員。

    相關網絡術語

    Broadcast(廣播)

    遞送報文分組的一種方式，按這種方式送出的報文分組將送到與發(fā)送系統(tǒng)連通的廣播地址所覆蓋的所有計算機系統(tǒng)。