交換機系列培訓(xùn):IP地址緊張

    ● 通過偵察ARP ，RARP 或者DHCP 響應(yīng)包的原IP 地址，在幾秒終之內(nèi)發(fā)現(xiàn)IP 子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。

    ● 在同一網(wǎng)絡(luò)的不同網(wǎng)段之間建立一個邏輯連接，即在網(wǎng)段間進(jìn)行路由，實現(xiàn)網(wǎng)段間信息通訊。

    ● 學(xué)習(xí)地址，根據(jù)IP 子網(wǎng)、網(wǎng)絡(luò)協(xié)議或組播地址來配置VLAN ，使用IGMP （Internet Group Management Protocol ）來動態(tài)更新VLAN 成員。

    ● 支持ICMP （Internet Control Message Protocol ）路由發(fā)現(xiàn)選項。

    ● 存儲學(xué)習(xí)到的路由到硬件中，用線速轉(zhuǎn)發(fā)這些地址的數(shù)據(jù)包。

    ● 把目的地址不在路由表中的包送到網(wǎng)絡(luò)上的其他路由器。

    ● 通過偵聽ARP 請求來學(xué)習(xí)每一臺工作站的地址。

    ● 在子網(wǎng)之內(nèi)實現(xiàn)IP 包的交換。

    在第二層，自動發(fā)現(xiàn)有如下過程：

    ● 通過硬件地址（MAC ）的學(xué)習(xí)，發(fā)現(xiàn)基于硬件地址（MAC ）的網(wǎng)絡(luò)結(jié)構(gòu)。

    ● 根據(jù)ARP 請求，建立路由表。

    ● 交換各種非IP 包。

    ● 查看收到的數(shù)據(jù)包的目的地址，如果目的地址是已知的，將包轉(zhuǎn)發(fā)到已知端口，否則將包廣播到它所在的VLAN 的所有成員。

    6、 過濾服務(wù)功能：

    過濾服務(wù)功能用來設(shè)定界限，以限制不同的VLAN 的成員之間和使用單個MAC 地址和組MAC 地址的不同協(xié)議之間進(jìn)行幀的轉(zhuǎn)發(fā)。幀過濾依賴于一定的規(guī)則，交換機根據(jù)這些規(guī)則來決定是轉(zhuǎn)發(fā)還是丟棄相應(yīng)的幀。早期的802.1d 標(biāo)準(zhǔn)（1993 ），定義的基本過濾服務(wù)規(guī)定，交換機必須廣播所有的組MAC 地址的包到所有的端口。新的802.1d 標(biāo)準(zhǔn)（1998 ）定義的擴展過濾服務(wù)規(guī)定，對組MAC 地址的包也可以進(jìn)行過濾，對于交換機的外連端口要過濾掉所有的組播地址包。如果沒有設(shè)置靜態(tài)的或者動態(tài)的過濾條件，交換機將采用缺省的過濾條件。擴展過濾服務(wù)功能使用GMRP(Group Multicast Registration Protocol) ,通過產(chǎn)生、刪除一個組或者組成員，來控制交換機的動態(tài)組轉(zhuǎn)發(fā)和組過濾。交換機和工作站使用GMRP 來申明他們是否愿意接收一個組MAC 地址的幀。GMRP 協(xié)議在網(wǎng)上的交換機之間傳波這樣的組信息，使得交換機能夠更新它們的過濾信息以實現(xiàn)擴展服務(wù)功能。交換機在不做任何配置的情況下，就具有過濾服務(wù)和擴展過濾服務(wù)功能。對舊的交換機、集線器、路由器，由于它不支持動態(tài)的組播地址過濾，因而在與它們連接的相應(yīng)端口要進(jìn)行擴展過濾配置。交換機根據(jù)過濾數(shù)據(jù)庫來進(jìn)行幀的過濾，交換機可以通過動態(tài)學(xué)習(xí)和手工配置兩種方式來維護(hù)過濾數(shù)據(jù)庫。交換機檢查過濾數(shù)據(jù)庫，根據(jù)以下條件來決定某個MAC 地址或者某個VLAN 標(biāo)識的包是否應(yīng)該轉(zhuǎn)發(fā)到某一個端口：

    ● 默認(rèn)地址

    ● 由管理員鍵入的靜態(tài)過濾信息

    ● 通過查看數(shù)據(jù)包源地址而動態(tài)需學(xué)習(xí)到的單目地址

    ● 動態(tài)或者靜態(tài)的VLAN

    ● 通過GMRP 管理的動態(tài)組播過濾信息或VLAN 成員信息

    7、二層（鏈路層）VLAN：

    在第二層，可以支持基于端口的VLAN 和基于MAC 地址的VLAN �；�于端口的VLAN 可以快速的劃分單個交換機上的沖突域，基于MAC 地址的VLAN 可以支持筆記本電腦的移動應(yīng)用。

    8、三層（網(wǎng)絡(luò)層）VLAN:

    三層VLAN 可以按照如下方式劃分：

    ● IP 子網(wǎng)地址

    ● 網(wǎng)絡(luò)協(xié)議

    ● 組播地址

    第三層交換機的第三層VLAN ，不僅可以手工配置，也可以由交換機自動產(chǎn)生。交換機通過對數(shù)據(jù)包的分析后，自動配置VLAN ，自動更新VLAN 的成員。第三層交換機能夠工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的網(wǎng)絡(luò)環(huán)境中。交換機能自動發(fā)現(xiàn)IP 地址，動態(tài)產(chǎn)生基于IP 子網(wǎng)的VLAN ，當(dāng)通過DHCP 分配一個新的IP 地址時，第三層交換機能很快的定位這個地址。第三層交換機通過IGMP 、GMRP 、ARP 和包探測技術(shù)來更新其三層的VLAN 成員組。通過基于Web 的網(wǎng)絡(luò)管理界面，可以對自動學(xué)習(xí)的范圍進(jìn)行設(shè)定：自動學(xué)習(xí)可以是完全不受限、部分受限或者完全禁止。

    9、 第三層交換機是如何處理VLAN 的：

    VLAN 通過對發(fā)送和過濾的限制提高了網(wǎng)絡(luò)的性能。第三層交換機通過偵聽來更新VLAN 成員表，根據(jù)數(shù)據(jù)包頭的成員信息來做出轉(zhuǎn)發(fā)或過濾決定。下面是交換機處理VLAN 的幾個過程。

    數(shù)據(jù)幀入站：

    交換機根據(jù)入站數(shù)據(jù)幀的VLAN 標(biāo)識號（VID ）將它們分類，無標(biāo)號的為一類，標(biāo)號相同的為一類。交換機根據(jù)VID 來決定轉(zhuǎn)發(fā)或者丟棄一個數(shù)據(jù)包，同時交換機也可以分配一個VID 給一個無標(biāo)記幀或者貼了優(yōu)先級標(biāo)記的幀。

    VLAN 標(biāo)記：

    如果一個數(shù)據(jù)幀沒有標(biāo)記VID ，交換機將會分配一個VID 給它，并把這個VID 插到它的幀頭中，這個過程叫做貼VLAN 標(biāo)簽。交換機通過這個過程來處理包的轉(zhuǎn)發(fā)，來填寫數(shù)據(jù)幀的VLAN 或者優(yōu)先級信息的標(biāo)記字段。管理員可以設(shè)置優(yōu)先級別來選擇VLAN 類型，選擇VID 值。交換機的缺省設(shè)置，首先選擇的是貼IP 子網(wǎng)信息，然后是網(wǎng)絡(luò)協(xié)議，然后是MAC 地址，然后是數(shù)據(jù)幀入站的端口。

    過濾：

    該過程驗證目的地址和源地址是否在同一個VLAN 中。

    轉(zhuǎn)發(fā)：

    根據(jù)VLAN 數(shù)據(jù)庫的信息，交換機處理一個數(shù)據(jù)幀是要么轉(zhuǎn)發(fā)，要么丟棄。

    學(xué)習(xí)：

    交換機檢查數(shù)據(jù)幀的源地址和VLAN 分類信息，并且把它們記錄在轉(zhuǎn)發(fā)庫里。

    10、 VLAN 應(yīng)用舉例:

    下面是一些不同形式的VLAN 應(yīng)用舉例：

    ● 工程部有些機密文件需要保密

    解決方法：通過把工程部的用戶放到他（或她）自己的基于MAC 地址的VLAN 中。這個VLAN 所唯一允許的訪問，只有該用戶自己。任何其它用戶都不能監(jiān)聽到該用戶的內(nèi)容，因為該用戶的內(nèi)容不會轉(zhuǎn)發(fā)到其它的網(wǎng)段上去。另外，還有一種更加安全的方式，分配一個專用的端口給這個用戶，為他產(chǎn)生一個基于端口的VLAN 。

    ● 銷售部門的筆記本用戶經(jīng)常需要從外地進(jìn)行撥號訪問

    解決方法：產(chǎn)生一個基于IP 子網(wǎng)的VLAN ，使用IP 地址來表示用戶。這樣無論用戶處在何處都能進(jìn)行網(wǎng)絡(luò)訪問。

    ● 公司安裝了視頻培訓(xùn)服務(wù)器，要防止用戶做視頻訪問時占用太多的帶寬

    解決方法：產(chǎn)生一個組播地址的VLAN 。

    ● 公司總裁需要能訪問財務(wù)，銷售等其它部門的VLAN

    解決方法：使公司總裁成為其它各部門的VLAN 的成員。

    相關(guān)網(wǎng)絡(luò)術(shù)語

    Broadcast(廣播)

    遞送報文分組的一種方式，按這種方式送出的報文分組將送到與發(fā)送系統(tǒng)連通的廣播地址所覆蓋的所有計算機系統(tǒng)。