第4讲_VLAN技术基础

一、VLAN的基本概念经过上一次大讲坛的了解，我们已经知道，对于一台二层交换机来说，整机就是一个广播域、一个LAN。

这意味着，只要连接到这个广播域的PC配置在一个IP子网内，即可进行互相访问，而且更重要的一点是，处于同一个广播域内的某个用户，发送一个广播数据帧，意味着在这个广播域内的所有用户都会收到这个数据帧，并且耗费资源来处理（即使她它可能并不需要这个数据帧）。

当这个广播域变得特别大、用户数量变得特别多时，网络就非常有可能被大量的广播消耗掉大量资源。

另一方面，实际的网络中经常存在这样的需求：连接在同一个交换机上的用户有可能是不同的业务部门，我希望对他们进行隔离，或者以独立的网络单元进行管理。

基于上述需求，我们引入VLAN的概念，所谓VLAN，翻译为Virtual LAN，实际上是一个虚拟的、逻辑的LAN，通过VLAN技术，我们可以在交换机上，根据接口等信息进行LAN的划定。

例如：上图中，我们基于设备接口进行VLAN的划分。

将接口1、2划分到了VLAN10，将接口23、24划分到了VLAN20。

这样一来，接口1、2所连接的PC就加入了VLAN10，处于同一个LAN、同一个广播域内，那么这些PC只要配置同一个网段的IP地址，就能够直接进行互访了。

而接口23、24处于另一个VLAN20，另一个LAN、另一个广播域。

属于VLAN20的PC之间能够直接进行互访。

但是，不同的VLAN之间，用户是被隔离的（除非借助路由设备），当然，一个VLAN内的广播数据帧并不会被泛洪到另一个VLAN来，因为他们处于不同的广播域。

有了VLAN技术，我们的网络设计将更加灵活、更加可控。

VLAN是一个虚拟的LAN，不再受设备的限制。

我们可以根据实际的业务环境需要，灵活的进行VLAN的规划。

而VLAN更可以跨交换机，因此VLAN的成员，也就是业务PC所处的位置就非常灵活了。

例如上图所示，你可能希望每个部门单独划分到一个LAN 中，部分之间互相隔离，而一个部门的员工又往往未必在同一楼层，可能分散在不同的楼层，那么有了VLAN 技术，完全可以把分散在不同楼层的业务PC划分入一个VLAN。

2016年“创新杯”计算机信息化大赛教学设计方案情况分析，和测试题一起上传到学校数字校园平台，教师进行分析，找出学生集中出错点，对学生的做题方式、理解方式进行评价，填写在数字校园班级管理系统学生评价环节。

利用网络平台可追溯特点，记录学生完成情况上传要求的作业导入新课通过两个对比动画引入课题。

第一个是二层交换机连接两台同一网段的计算机，两台计算机能相互访问，实现网络共享。

现给二层交换机设置两个VLAN，把连接两台计算机的端口加入，数据报不能在两台计算机之间传输，实现了网络隔离，验证了VLAN的神奇效果，引起学生兴趣。

多媒体展示两个对比动画的设计过程，引出课题，适当提问，激发学生的学习兴趣。

回答网络隔离的原因，明确本节课的学习内容讲授新课一、VLAN的概念、特征、端口模式VLAN（Virtual Local Area etwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地(非物理)地划分成一个个网段从而实现虚拟工作组的技术，该技术是采用802.1Q为标准的；VLAN对应OSI模型第二层,其数据帧的单播、广播只在一个VLAN内转发，不会进入其他VLAN。

直接讲VLAN的概念、特征、端口模式较抽象枯燥，设计成疑难解答环节。

问题一VLAN概念抽象难理解结合图示OSI参考模型图把VLAN概念做成形象直观带有解释的FLASH动画，便于学生直观理解学生观看后，小组讨论三层交换机的工作层次，比较和二层交换机的差别讲授新课•同一个VLAN中的所有成员共同拥有一个VLAN ID，组成一个虚拟局域网络；•同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包；•不同VLAN成员之间不可直接通信，如有需要则须通过路由技术、Trunk和Hybrid端口模式实现。

同一VLAN中的成员通过VLAN交换机可以直接通信，不需要其它技术支持。

• Access端口该类型的端口只能属于1个VLAN，一般用于连接计算机的端口；• Trunk端口该类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；二、VLAN的代码配置练习端口VLAN的配置代码创建VLAN 10Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# exit问题二VLAN特征难验证，结合图示，用模拟器建立拓扑结构，设置VLAN全部特征。

网络工程师培训教程第一部分：网络基础知识（300字）1.网络基础概念：介绍计算机网络的基本概念、发展历程以及网络的作用和特点等。

2.网络拓扑结构：讲解常用的网络拓扑结构，如总线型、星型、环形、树形等，以及各自的优缺点。

3.网络协议：介绍常见的网络协议，如TCP/IP协议族、DNS、HTTP、FTP等，并解释其功能和作用。

4.网络地址和子网划分：教授IP地址的格式和分类，详细讲解IPv4和IPv6的区别，以及子网划分和子网掩码的计算方法。

第二部分：网络设备与技术（400字）1.路由器和交换机：介绍路由器和交换机的工作原理，讲解VLAN、STP、ACL等常见配置和管理命令。

2.防火墙和入侵检测系统：解释防火墙和入侵检测系统的基本原理，讲解常见的防火墙和IDS/IPS设备的配置和管理。

3.无线网络设备：讲解无线局域网的基本原理和无线网络设备的配置方法，如AP、无线控制器和无线安全等。

4.网络监控和优化：介绍网络监控系统的原理和常用工具，讲解网络优化的方法和技术，如QoS、带宽管理等。

第三部分：网络安全与维护（500字）1.网络安全威胁：介绍常见的网络安全威胁，如病毒、木马、DoS/DDoS攻击等，并讲解相关的安全防范措施。

2.安全策略和策略实施：讲解编写和实施网络安全策略的方法，包括访问控制、安全审计和数据备份等方面的内容。

3.网络故障排查与维护：教授网络故障排查的方法和技巧，包括使用ping、tracert等命令进行网络故障定位和解决。

4.网络恢复和灾备：介绍网络恢复和灾备的方案和方法，如备份和恢复数据、建立冗余链接等。

总结（100字）通过对网络基础知识、网络设备与技术、网络安全与维护等方面的培训，网络工程师可以全面掌握网络技术和知识，并具备解决网络故障和保障网络安全的能力。

这份网络工程师培训教程可以帮助培养出合格的网络工程师，并提供他们在实践中所需要的知识和技能。

第4讲交换机（1）一、教学目的与要求通过实例讲解使学生掌握交换机的功能与发展情况，能够对交换机和集线器进行区分。

二、教学重点与难点本讲中重点和难点在于交换机和集线器的区分，通过对这两种设备的区分使学生了解一层设备和二层设备在性能和原理等方面的主要区别，以便于学生能够更好地选择合理的网络设备。

三、教学时间2学时（2学时理论）四、教学内容课题三交换机一、交换机基础在上一讲中，我们介绍了网卡和集线器两类基础网络设备，目前,在企业网络中所采用的网络设备不再是单纯的集线器，而是添加了更具智能、功能更强的其它网络设备，如交换机、路由器、网关、防火墙等，特别是交换机，它几乎成为当今企业网络中不可或缺的基本网络设备。

了解和掌握交换机的有关知识及技能已成为一个网管人员水平高低的基本象征。

集线器作为第一类广泛应用的网络集线设备，当时在各大局域网中应用非常广泛。

但随着网络传输媒体类型的日益丰富，图形、图像及各种流媒体等多媒体内容的出现，人们对高网络数据传输速度和传输性能的要求日益提高。

集线器由于它的共享介质传输、单工数据操作和广播数据发送方式等都先天决定了很难满足用户的上述速度和性能要求。

在用户的需求下、在全球各大网络设备开发商的努力下，一种更新、更实用的集线设备－－交换机出现了。

交换机完全克服了集线器的上述种种不足之处，所以在短时间内得到业界广泛的认可和应用。

交换机技术也得到了飞速发展，数据传输速度的发展也是一日千里。

目前最快的以太网交换机端口带宽可达到10Gbps，千兆（G位）级的交换机在各企业骨干网络中早已得到广泛应用。

交换机的英文名称之为“Switch”，它是集线器的升级换代产品，从外观上来看的话，它与集线器基本上没有多大区别，都是带有多个端口的长方形盒状体。

交换机是按照通信两端传输信息的需要，用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。

广义的交换机就是一种在通信系统中完成信息交换功能的设备。

网络工程与组网技术《Vlan设计》设计组员：XXX指导老师：XXX2011-5-30 附1设计原理：VLAN（Virtual Local Area Network）即虚拟局域网，它把物理相连的网络从逻辑上划分为多个子网。

被划分的每个子网从逻辑上讲是一个独立的网络，它好像是一个真正的网络，所以被称为虚拟局域网。

通俗地讲就是，把一个大的网络划分为几个的小的网络。

注意事项：它是在数据链路层中，通过采用网络管理软件来实现。

从技术角度上讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。

该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

2、基于IP地址的VLAN划分网络管理员可按网络层的IP地址把一些站点划分为一个逻辑子网。

3、基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。

网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

就目前来说，对于VLAN的划分主要采取上述前两种方式，第3种方式为辅助性的方案。

设计器材：RG-S3750三层交换机两台、RG-S2126二次交换机两台、双绞线13条、电脑8台。

设计过程：一、检测交换机是否正常：《一》：基本配置1：检测在一个交换机中的情况，即未分vlan之前，全属于vlan1时。

二层交换机RG-S2126-1（端口上连有PC1 、PC2 、PC3）如下：《二》、检测连通性例如、RG-S2126-1 1、在PC1上ping2、PC2上ping3、PC3上ping同理检测二层交换机RG-S2126-2、三层交换机RG-S3750-1和RG-S3750-2同理用ping命令检测PC4 、PC5 、PC6、PC7、PC8连通性，如果在同一个交换机内各个端口上的计算机都可以ping同，说明交换机正常，检测通过。

完美讲解单臂路由（Vlan间路由)2008年03月19日星期三 17:45众多中小企业内部网络结构都很简单，仅仅是用一台交换机将所有员工机以及服务器连接到一起，然后通过光纤访问internet 而已。

当然为了保证部分主机的安全性以及分割内部广播包提高网络传输速度，采取诸如划分VLAN，分配不同子网的方法来实现。

通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问，有效的隔离了网络。

通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现，但是对于那些既希望隔离又希望对某些客户机进行互通的公司来说，划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。

众所周知可以使用三层交换机来实现，但是大多数情况企业网络搭建初期购买的仅仅是二层可管理型交换机，如果要购买三层交换机实现VLAN互通功能的话，以前的二层设备将被丢弃。

这样就造成了极大的浪费。

那么有没有什么办法在仍然使用二层设备的基础上，实现三层交换机的功能呢?一、三层交换机的原理:在告诉各位读者解决方法前我们需要首先了解三层交换机的工作原理。

理论上讲一台三层交换机可以看做是一个二层交换机+一个路由模块，实际使用中各个厂商也是通过将路由模块内置于交换机中实现三层功能的。

在传输数据包时先发向这个路由模块，由其提供路由路径然后再由交换机转发相应的数据包。

二、单臂路由原理:既然仍然要使用以前的二层设备，那么我们可以通过添加一台路由器解决上面提到的企业网络升级问题。

这台路由器就相当于三层交换机的路由模块，只是我们将其放到了交换机的外部。

具体原理拓扑router路由器连接线路(负责多个vlan之间的的通信)switch交换机大家可以看出在router路由器与交换机之间是通过外部线路连接的，这个外部线路只有一条，但是他在逻辑上是分开的，需要路由的数据包会通过这个线路到达路由器，经过路由后再通过此线路返回交换机进行转发。

所以大家给这种拓扑方式起了一个形象的名字——单臂路由。