第一章, 网际互连
把一个大的网络划分为一些小的网络就称为网络分段,这些工作由路由器,交换机和网桥来按成。
引起LAN通信量出现足赛的可能原因如下:
1. 在一个广播域中有太多的主机
2. 广播风暴
3. 组播
4. 低的带宽
路由器被用来连接各种网络,并将数据包从一个网络路由到另一个网络。
默认时,路由器用来分隔广播域,所谓广播域,是指王端上所有设备的集合,这些设备收听送往那个王端的所有广播。尽管路由器用来分隔广播域,但重要的是要记住,路由器也用来分隔冲突域。
在网络中使用路由器有两个好处:
1. 默认时路由器不会转发广播。
2. 路由器可以根据第三层(网络层)信息对网络进行过滤。
默认时,交换机分隔冲突域。这是一个以太网术语,用来描述:某个特定设备在网段上发送一个数据包,迫使同一个网段上的其他设备都必须主要道这一点。在同一时刻,如果两个不同的设备试图发送数据包,就会产生冲突域,此后,两个设备都必须重新发送数据包。
网际互连模型
当网络刚开始出现时,典型情况下,只能在同一制造商的计算机产品之间进行通信。在20世纪70年代后期,国际标准化组织创建了开放系统互联参考模型,也就是OSI七层模型。
OSI模型时为网络而构建的最基本的层次结构模型。下面是分层的方法,以及怎样采用分层的方法来排除互联网络中的故障。
分层的方法
参考模型时一种概念上的蓝图,描述了通信是怎样进行的。他解决了实现有效通信所需要的所有过程,并将这些过程划分为逻辑上的组,称为层。
参考模型的优点
OSI模型时层次化的,任何分层的模型都有同样的好处和优势。
采用OSI层次模型的优点如下,当然不仅仅是这些:
1. 通过网络组件的标准化,允许多个提供商进行开发。
2. 允许各种类型网络硬件和软件相互通信。
3. 防止对某一层所作的改动影响到其他的层,这样就有利于开发。
OSI参考模型
OSI模型规范重要的功能之一,是帮助不能类型的主机实现相互之间的数据传输。
OSI模型有7个不同的层,分为两个组。上面三层定义了中断系统中的应用程序将被彼此通信,以及如何与用户通信。下面4层定义了三怎样进行端到端的数据传输。
下面4层定义了怎样通过物力电缆或者通过交换机和路由器进行数据传输。
传输层:
1. 提供可靠或不可靠的传输
2. 在重传之前执行错误纠正
网络层:
1. 提供逻辑寻址,以便进行路由选择.
数据链路层:
1. 将数据包组合为字节,字节组合为帧
2. 使用MAC地址提供对介质的访问
3. 执行错误检测,但不纠正
物理层:
1. 在设备之间传输比特流
2. 制定电压大小、线路速率和电缆的引脚数
工作在OSI模型的所有7层的网络设备包括:
1. 网络管理系统(NMS)
2. WEB和应用程序服务器
3. 网关(非默认网关)
4. 网络主机
OSI参考模型的7层和各层的功能
1. Application layer 文件、打印、消息、数据库和应用程序
2. Presentation layer 数据加密、压缩和转换服务
3. Session layer 会话控制
4. Transport layer 端到端连接
5. Network layer 路由选择
6. Data Link layer 数据组合成帧
7. Physical layer 物理拓扑
应用层:OSI模型的应用层是用户与计算机进行实际通信的地方。
表示层:表示层因它的用途而得名:它为应用层提供数据,并负责数据转换和代码的格式化。
会话层:会话层负责建立、管理和终止表示层实体之间的会话连接。
传输层:传输层将数据分段并重组为数据流。
网络层:网络层负责设备的寻址,跟踪网络中设备的位置,并决定传送数据的最佳路径,这意味着网络层必须在位于不同地区的互联设备之间传输数据流。
数据链路层:数据链路层提供数据的物理传输,并处理出错通知、网络拓扑和流量控制。
物理层:物理层是最低层,物理层的功能有两个:发送和接收位流。
以太网(ETHERNET)组网
以太网采用竞争型的介质访问方法,允许网络上的所有主机共享同一条链路的带宽。
以太网采用带冲突检测的载波监听多路访问(CSMA/CD)技术。
采用CSMA/CD协议的网络将承受巨大的冲突压力,包括:
1. 延迟
2. 低的吞吐量
3. 拥塞
半双工和全双工以太网
半双工以太网在原始的802.3以太网中定义,它只适用一对线缆,数字信号在线路上是双向传输的。
半双工以太网也采用CSMA/CD协议,以防止产生冲突,如果产生了冲突,就允许重传。
全双工以太网是用两对电缆线,而不失向半双工方式那样是用一对电缆线。
全双工以太网可以用于下列3种情况:
1. 交换机到主机的连接
2. 交换机到交换机的连接
3. 使用交叉电缆的从主机到主机的连接
以太网的数据链路层
以太网的数据链路层负责以太网寻址,通常成其为硬件寻址或MAC寻址。
有四种不同类型的以太网帧可用:
1. Ethernet_II
2. IEEE 802.3
3. IEEE 802.2
4. SNAP
Ethernet寻址
它采用截至访问控制(Media Access Control,
MAC)地址进行寻址,MAC地址被烧入每个以太网网卡中。MAC地址也叫硬件地址,它采用48位(6个字节)的十六进制格式。
Ethernet帧
数据链路层负责将位组合成字节,并将字节组合成帧。
802.3帧的格式:
前导(Preambl)
帧起始定界符/同步(Start Frame Delimiter,SFD)/Synch
目的地址(Destination Address,DA)
源地址(Source Address,SA)
长度(Length)或类型(Type)字段
数据(Data)
帧效验序列(Frame Check Sequence,FCS)
Ethernet物理层
Ethernet最早由DIX实现。这是一种传输速率为10Mb/s的网络,其物理介质可以是同轴电缆、双绞线和光纤。
下面是原始的IEEE 802.3标准:
10Base2
10Base5
10BaseT
下面是扩展的IEEE 802.3标准:
100BaseTX
100BaseFX
1000BaseCX
1000BaseT
1000BaseSX
1000BaseLX
Ethernet电缆的连接
可用的Ethernet电缆类型有:
1. 直通电缆
2. 交叉电缆
3. 反转电缆
直通电缆:
1. 主机到交换机或集线器
2. 路由器到交换机或集线器
交叉电缆:
1. 交换机到交换机
2. 集线器到集线器
3. 主机到主机
4. 集线器到交换机
5. 路由器直连到主机
反转电缆:
这种类型的电缆不是用来将各种Ethernet部件连接起来,而是反转的Ethernet电缆来实现从主机到路由器控制台串行通信(com)端口的连接。
无线联网(Wireless Networking)
下面是各种类型的无线网络
1. 窄带无线(Narrowband Wireless LAN)
2. 个人通信服务(PCS)
3. 窄带PCS
4. 宽带PCS
5. 卫星
6. 红外无线LAN
7. 扩频无线LAN
数据封装
当主机向其他的设备跨网络传输数据时,数据就要进行封装,就是在OSI模型的每一层加上协议信息。每一层只与接收设备上相应的对等层进行通信。
Cisco的3层(层次)模型
Cisco的层次模型可以用来帮助设计,实现核维护可扩展的、可靠的、性能价格比高的层次化的互联网络。
Cisco定义了3个层次,下面是3个层次和他们的典型功能:
1. 核心层:骨干
核心层就是网络的中心。他位于顶层,负责可靠而迅速的传输大量的数据流。网络核心层的唯一意图是,尽可能快的交换数据流。
2. 分配层:路由
分配层有时也称为工作组层,它是接入层和核心层之间的通信点。分配层主要功能是提供路由、过滤和WAN接入,如果需要的话,他还决定数据报可以怎样对核心层进行访问。
3. 接入层:交换
接入层控制用户和工作组对互联网络资源的访问。接入层也称桌面层。大多数用户所需要的网络资源将在本地获得,分配层处理远程服务的数据流。
第二章, 因特网协议
TCP/IP和DoD模型
DoD模型是OSI模型的一个基本的、浓缩的版本,他只有四个层次,而不是七个:
1. 过程/应用层
2. 主机到主机层
3. 因特网层
4. 网络接入层
在DoD模型的过程/应用层中包含了大量的协议它集成了各种应用和功能来省城一个可以和OSI模型中三个高层(应用层、表示层和会话层)相对应的集合。
过程/应用层协议
1. Telnet
它允许一个用户在一个远程的客户机上,访问另一台机器上的资源。
2. FTP
文件传输协议实际上就是传输文件的协议,它可以应用在任意两个主机之间。
3. TFTP
简单文件传输协议是FTP的简化版本,只有在你确切地知道想到得到的文件名及他的准确位置时,才可有选择的使用TFTP。
4. NFS
网络文件系统在文件共享中是一个特殊的协议珍宝。他允许两个不同类型的文件系统实现互操作。
5. SMTP
简单又见传输协议,是对应于我们普遍使用的被称为E-mail的应用,他描述了邮件投递中的假脱机、排列及方法。
6. LPD
行式打印机守护进程协议,使被设计用于实现打印机共享的。
7. X Window
为客户-服务器业务而设计,X Window定义了一个编写基于图形化用户界面(GUI)的客户-服务器应用程序的协议
8. SNMP
简单网络管理协议采集并使用一些有价值的网络信息。
9. DNS
域名服务可以解析主机名,特别是Internet名。
10. DHCP/BootP
动态主机配置协议可以为主机分配IP地址。
主机到主机层协议
主机到主机层的主要目的,是将上层的应用从网络传输的复杂性中屏蔽出来。
在这里将描述着一层上的两个协议:
1. 传输控制协议(TCP)
2. 用户数据报协议(UDP)
传输控制协议
传输控制协议通常是从应用程序中得到大段的信息数据,然后将它分割成若干个数据段。
TCP的数据段格式
TCP报头是一个20字节长的段,在带有选项时可以达到24个字节。
在TCP数据段中包含如下字段:
1. 源端口
2. 目的端口
3. 序列号
4. 确认应答号
5. 偏移量
6. 保留
7. 代码位
8. 窗口
9. 效验和
10. 紧急指针
11. 选项
12. 数据
用户数据报协议
如果将用户数据报协议(UDP)与TCP座一个比较,UDP基本是一个缩小规模的经济化模式,有时也被称为瘦协议。
UDP数据段的格式
在UDP数据段中包含了下列字段:
1. 源端口
2. 目的端口
3. 数据段长度
4. CRC
5. 数据
主机到主机层的重要概念
TCP和UDP的重要功能
TCP UDP
排序 无序
可靠 不可靠
面向连接 无连接
虚电路 低开销
确认 无确认
窗口流量确认 没有窗口或流量控制
端口号
TCP和UDP都必须使用端口号来与上层进行通信,因为他们需要跟踪同时使用网络进行的不同的会话过程。不使用带有众所周知的端口号的应用程序的虚电路时从一个指定的范围中随机地指定端口号。
下面解释了可以使用的不同的端口号:
1. 低于1024的端口号被称为众所周知的端口号,他们是由RFC 3232所定义。
2. 大于1024及1024的端口号被上层用来建立与其他主机的会话,并且在TCP数据段中被TCP用来作为源方和目的方的地址。
因特网层协议
在DoD的模型中,设置因特网层有两个主要的理由:路由及为上层提供一个简单的网络接口。
没有任何一个其他的高层或低层协议会涉及到任何有关路由的功能,这个复杂和重要的任务是完全属于因特网层。
因特网层协议:
1. 因特网协议(IP)
2. 因特网控制报文协议(ICMP)
3. 地址解析协议(ARP)
4. 逆向地址解析协议(RARP)
因特网协议(IP)
因特网协议其实质就是因特网层。其他的协议仅仅是建在离其基础上用于支持IP协议的。
IP是从主机到主机层处接受数据段的,在需要时再将他们组合成数据报(数据包),然后接收方的IP再重新组合数据报为数据段。每个数据报都被指定了发送者和接收者的IP地址。每个接收了数据报的路由器都是基于数据包的目的IP地址来决定路由的。
构成IP报头的字段如下:
1. 版本 4
2. 报头长度(HLEN) 4
3. IP优先位或ToS 8
4. 总长度 16
5. 标识 16
6. 标志 3
7. 分段偏移 13
8. TTL(存活期) 8
9. 协议 8
10. 报头和效验和 16
11. 源IP地址 32
12. IP选项 0或32
13. 数据 可变
注:后面的数字表示长度
在IP报头的协议字段中可能发现的协议
协议 协议号
ICMP 1
IGRP 9
EIGRSP 88
OSPF 89
IPv6 41
GRE 47
IPX in IP 111
Layer-2 tunnel(L2TP) 115
因特网控制报文协议
因特网控制报文协议(ICMP)工作在网络层,它被IP用于提供许多不同的服务。ICMP是一个管理性协议,并且也是一个IP信息服务的提供者。他的信息是被作为IP数据报来传送的。
下面是与ICMP相关的一些常见的事件和信息:
1. 目的不可达 如果路由器不能再向前发送某个IP数据报,这是路由器会使用ICMP来传送一个信息返回给发送端,来通告这一情况。
2. 缓冲区满 如果路由器用于接收输入数据的内存缓冲区已经满了,他将会使用ICMP向外发送这个信息直道拥塞解除。
3. 跳 每个ip数据报都被分配了一个所允许经过路由器个数的数值,被称为跳(hop)。
4. Ping Ping(即数据包的因特网探测)使用ICMP回应信息在互联网络上检查计算机间物理连接的连通性。
5. Traceroute Traceroute是通过使用ICMP的超时机制,来发现一个数据报在穿越互联网络时它所经历的路径。
地址解析协议(ARP)
地址解析协议(ARP)可以由已知主机的IP地址,在网络上查找到他的硬件地址。
逆向地址解析协议(RARP)
当一台误判计算机被用做IP主机时,它没有办法在其初始化时了解自己的IP地址。但是他可以知道自己的MAC地址。逆向地址解析协议(RARP)可以通过发送一个包含有无盘主机MAC地址的数据包,来询问与此MAC地址相对应的IP地址。
二进制、十进制和十六进制的转换
二进制到十进制的记忆表
二进制取值 十进制取值
10000000 128
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
十六进制到二进制到十进制表
十六进制值 二进制值 十进制值
0 0000 0
1 0001 1
2 0010 2
3 0011 3
4 0100 4
5 0101 5
6 0110 6
7 0111 7
8 1000 8
9 1001 9
A 1010 10
B 1011 11
C 1100 12
D 1101 13
E 1110 14
F 1111 15
IP寻址
IP地址是IP网络上每个计算机的数字化标识符。它指明了在此网络上某个设备的位置。
IP地址是一个软件地址,而不是硬件地址,后者是被硬烧录到网卡(NIC)中的并且主要是用于在本地网络上定位主机的。
IP术语
位 一位就是一个数字,要么是1,要么是0
字节 一个字节可以是7位或8位
八位位组 就是8位,一个最基本的8位二进制数
网络地址 它是用来指定数据包所要传送的远程网络
广播地址 被应用程序或主机用来将信息发送给网络上所有节点的地址,我们称之为广播地址。
分层的IP寻址方案
一个IP地址包含有32位的信息。这些位通常被分割为四个部分,被称为八位位组或字节,每一部分包含一个字节(8个位)。
可以使用下面3种不同的方式来描述一个IP地址:
1. 点分十进制,如172.16.30.56
2. 二进制,10101100.00010000.00011110.00111000
3. 十六进制,AC.10.1E.38
所有例子表示的都是同一个IP地址
网络寻址
网络地址唯一地制定了每个网络。在同一网络中的美态计算机都共享相同的网络地址,并用它来作为自己IP地址的一部分。
节点地址是在一个网络中用来标识每台计算机的,它是一个唯一的标识符。这个地址的节点部分必须是唯一的,因为相对于网络而言它是用来独立的标识指定计算机的。
因特网的设计者决定根据网络的大小来创建网络的类别。
三个网络类别的总结
8位 8位 8位 8位
类A 网络 主机 主机 主机
类B 网络 网络 主机 主机
类C 网络 网络 网络 主机
类D 组播
类E 研究
网络地址范围:A类
00000000=0
01111111=127
网络地址范围:B类
10000000=128
10111111=191
网络地址范围:C类
11000000=192
11011111=223
网络地址范围:C类和E类
介于224和255之间的地址是被保留用作D类和E类网络的。D类是用于组播的地址(224到239),而E类(240到255)是被用于科学实验用途的。
网络地址:用于特殊目的
有些IP地址是被保留用于某些特殊目的的,网络管理员不能将这些地址分配给节点。
一些特殊的IP地址:
1.IP地址127.0.0.1:本地回环(loopback)测试地址
2.广播地址:255.255.255.255
3.IP地址0.0.0.0:代表任何网络
4.网络号全为0:代表本网络或本网段
5.网络号全为1:代表所有的网络
6.节点号全为0:代表某个网段的任何主机地址
7.节点号全为1:代表该网段的所有主机
一些私有地址的范围:
1.A类地址中:10.0.0.0到10.255.255.255.255
2.B类地址中:172.16.0.0到172.31.255.255
3.C类地址中:192.168.0.0到192.168.255.255
广播地址:
1.层2广播:FF.FF.FF.FF.FF.FF,发送给LAN内所有节点
2.层3广播:发送给网络上所有节点
3.单播(unicast):发送给单独某个目标主机
4.多播:由1台主机发出,发送给不同网络的许多节点
第三章, IP子网划分和变长子网掩码(VLSM)
子网划分基础
这里给出了子网划分的若干个好处:
1. 缩减网络流量
2. 优化网络性能
3. 简化管理
4. 可以更为灵活的形成大覆盖范围的网络
如何创建子网
要创建子网,就需要从IP地址的主机部分中借出一定的位,并且保留他们用来定义子网地址。这一位着用于主机的位减少,所以子网越多,可用于定义主机的位越少。
下面就是实现划分子网的步骤:
1. 确认所需要的网络ID数:
每个子网需要有一个网络号
每个广域网连接需要有一个网络号
2. 确认每个子网中所需要的主机ID数:
每台TCP/IP主机需要一个主机地址
路由器的每个接口需要一个主机地址
3. 基于以上需要,创建如下内容:
为整个网络设定一个子网掩码
为每个物理望断设定一个不同的子网ID
为每个子网确定主机的合法地址范围
子网掩码
为了保证所配置的子网地址可以工作,在网络上每台计算机都必须知道自己主机地址中的哪一部分是被用来表示子网地址的。这可以通过在每台计算机上制定一个子网掩码来完成。
网络管理员是用1和0的组合来创建一个32位的子网掩码。子网掩码中1的位置表示是网络或子网的地址部分。
不是所有的网络都需要子网掩码,有些主机使用默认的子网掩码。这基本上与认为一个网络不需要子网地址是相同的。
默认的子网掩码
类型 格式 默认子网掩码
A Network.node. node. Node 255.0.0.0
B Network. Network. node. Node 255.255.0.0
C Network. Network. Network. node 255.255.255.0
无类的内部域路由(CIDR)
子网掩码 CIDR值
255.0.0.0 /8
255.127.0.0 /9
255.192.0.0 /10
255.224.0.0 /11
255.240.0.0 /12
255.248.0.0 /13
255.252.0.0 /14
255.254.0.0 /15
255.255.0.0 /16
255.255.128.0 /17
255.255.192.0 /18
255.255.224.0 /19
255.255.240.0 /20
255.255.248.0 /21
255.255.252.0 /22
255.255.254.0 /23
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
C类地址的子网划分
在一个C类地址中,只有八位是可以用来定义主机的。记住,子网位必须是由左到右进行定义的,这中间,不能跳过某些位。也就是说,C类子网掩码只能是:
二进制 十进制 速记
10000000 128 /25
11000000 192 /26
11100000 224 /27
11110000 240 /28
11111000 248 /29
11111100 252 /30
11111110 254 /31
第四章, 第2层交换
交换式服务
根网桥使用软件来创建和管理过滤表不一样,交换机使用专用继承电路来创建并维护其过滤表。
第二层交换提供的性能:
1. 基于硬件的桥接
2. 线速率
3. 低延迟
4. 低成本
第二层交换的局限性
要用网桥设计出一个好的网络,就必须考虑到下面两个最重要的方面:
1. 必须绝对正确的分隔出冲突域。
2. 创建一个功能强大的侨界网络的正确方法是,确信其用户在本地网段上花费了80%的时间。
桥接的网络能够分隔冲突域,但是要记住,网络仍然是一个大的广播域。默认时,第二层交换机和网桥都不能分隔广播域-这不仅限制了网络的规模和增长潜力,还降低了他的整体性能。
桥接与LAN交换的比较
他们之间的区别:
1. 网桥是基于软件的,而交换机是基于硬件的,因为交换机使用ASIC芯片来帮助做出过滤得决定。
2. 交换机可以看成是多端口的网桥
3. 每个网桥只有一个省成熟实例,而交换机可以有许多生成树实例。
4. 交换机的端口数量比大多数的网桥都多。
5. 网桥和交换机都转发第二层广播。
6. 通过检查所接收的每个数据帧的源地址,网桥和交换机就学到了MAC地址。
7. 网桥和交换机都基于第二层地址做出转发的决定。
第二层的三种交换功能
1. 地址学习 通过查看帧的源MAC地址来加进1个叫做转发/过滤表的MAC地址数据库里
2. 转发/过滤决定 当1个接口收到1个帧的时候,switch在MAC地址数据库里查看目标MAC地址和出口接口,然后转发到符合条件的那个目标端口去
3. 避免环路 假如有冗余的连接,可能会造成循环的产生,STP就用来破坏这些循环
生成树协议
生成树术语
1. STP
2. 根桥(Root bridge)
3. BPDU
4. 桥ID
5. 非根桥
6. 根端口
7. 指定端口
8. 端口开销
9. 非指定端口
10. 转发端口
11. 阻塞端口
生成树的操作
STP的任务是找到网络中的所有链路,并关闭任何冗余的链路,这样就可以防止网络环路的产生。STP首先选举一个根桥,由根桥来负责决定网络拓扑。一旦所有的交换机都同意将某台交换机选举为根桥,其余的每台交换机就必须找到其根端口。如果在交换机之间有多条链路,就只能由唯一的一个指定端口。
选举根桥
在网络中,桥ID用来选举根桥,并决定根端口。
只需要记住,在选举根桥时值越低越好。
选择指定端口
如果有多条链路连接到根端口,那么,断口开销就变成了决定哪一个端口将成为根端口的依据。
各种Ethernet网络的典型开销
速率 新的IEEE开销 原来的IEEE开销
10Gb/s 2 1
1Gb/s 4 1
100Mb/s 19 10
10Mb/s 100 100
生成树端口状态
对于运行STP的网桥或交换机,其端口状态会有下列5种状态之间转变:
1. 阻塞
2. 监听
3. 学习
4. 转发
5. 禁用
收敛
当网桥或交换机转变到转发或阻塞状态时,就会产生收敛,再此期间,不会转发任何数据。
LAN交换机的工作方式
1. 直通转发 在这种工作方式下,在交换机查看MAC地址过滤表中的目的地址之间,交换机等待接收目的硬件地址。
2. 碎片丢弃 在这种方式下,交换机在转发帧之前,先检查帧的前64个字节,看它是不是碎片,由此保证不会转发可能产生冲突的帧。
3. 存储转发 在这种工作方式下,交换机接收整个数据帧,放在其缓冲区内,并运行CRC,然后查看在MAC过滤表中的目的地址。
配置交换机
第五章, 虚拟局域网(VLAN)
在一个纯交换式的互联网络中,通过创建虚拟局域网(VLAN)就可以分隔广播域。
VLAN是两个部分各逻辑组合:一是网络用户;二是管理上连接到交换机所定义端口的资源。
默认时,在一个VLAN中的所有主机都不能与另外一个VLAN中的任何主机进行通信,因此,如果想要在VLAN之间通信,那就还需要路由器。
用VLAN来简化网络管理的方式有多种:
1. 通过将某个端口配置到合适的VLAN中,就可以实现网络的添加、移动和改变。
2. 将对安全性要求高的一组用户放入VLAN中,这样,VLAN外部的用户就无法与他们通信。
3. 作为功能上的逻辑用户组,可以认为VLAN独立于他们的无理位置或地理位置。
4. VLAN可以增强网络安全性。
5. VLAN增加了广播域的数量,减小了广播域的范围。
广播控制
每种协议都回产生广播,但他们产生广播的频度取决于下面3项:
1. 协议的类型
2. 运行在互联网络上的应用程序
3. 怎样使用这些服务
安全性
平面网络的安全性问题通常是通过将集线器和交换机一起连接到路由器上来解决,因此,路由器的基本工作就是维护安全性。
由于连接到无理网络的任何人都可以访问位于物理LAN上的网络资源。只要简单的往集线器中插入一个网络分析器,任何人都可以观察到在网络上的任何通信流。用户只需将其工作站插入到现有集线器中,就可以加入某个工作组。因此,根本没有安全性可言。
灵活性和可扩展性
第二层交换机在过滤时只读取帧,他们并不察看网络层的协议,而默认时交换机转发所有的广播。如果创建并实现了VLAN,本质上就可以在第二层创建更小的广播域。
在一个VLAN上的节点所发送的广播,将不会被转发到配置在其他VLAN中的端口。
VLAN成员关系
VLAN通常是由管理员创建的,并由管理员将交换机端口分配到每个VLAN中,这种类型的VLAN称为静态VLAN。将主机设备的硬件地址都分配到一个数据库中,那么,无论什么时候主机插入到交换机中,交换机都可以配置为动态地分配VLAN,这种方式称为动态VLAN。
静态VLAN(Static VLAN)
在创建VLAN时,通常都是创建静态VLAN,静态VLAN也是最安全的。
动态VLAN(Dynamic VLAN)
动态VLAN能够自动决定一个节点的VLAN分配。通过使用智能化的管理软件,就可以启用MAC地址、协议甚至应用程序来创建动态VLAN。
VLAN的识别
当帧通过互联网络进行交换时,交换机必须能够跟踪所有不同类型的帧,而且还要知道怎样对他们进行操作,这取决于硬件地址。根据帧所穿越的链路类型的不同,对帧的处理方式也不同。
在交换式网络中,有两种不同类型的链路:
访问链路: 这种类型的链路只是某个VLAN的一部份,它被称为端口的本机访问。
中继链路: 中继线可以承载多个VLAN。
帧标志
可以将VLAN创建为跨越多台连接在一起的交换机。
VLAN的识别方法
VLAN的识别是指当帧正在穿越交换机结构时,交换机跟踪所有这些帧的方式,它指的是交换机怎样识别哪一个帧属于哪一个VLAN。
交换机间链路 在交换机端口、路由器接口和服务器接口卡上,可以使用ISL路由来中继到服务器。
IEEE 820.1Q 它是由IEEE创建的,作为帧标志的标准方法,它实际上是在帧中插入一个字段,以标识VLAN。
交换机间链路(Inter-Switch Link, ISL)协议
这是一种以太网帧上显示地标志VLAN信息的方法。
通过运行ISL,可以将多台交换机互联起来,并且当数据流在交换机之间的中继链路上传送时,仍然维持VLAN信息 |
发表于 2011-9-21 11:10:33
楼主