二层交换机原理及vlan技术全解

⼆层交换机原理⼀、⼆层交换机基本原理 ⼆层交换机通过解析和学习以太⽹帧的源MAC来维护MAC地址与端⼝的对应关系（保存MAC与端⼝对应关系的表称为MAC表），通过其⽬的MAC来查找MAC表决定向哪个端⼝转发。

⼆、以太交换机的功能 （1）维护MAC地址表、MAC寻址 （2）数据帧的转发及过滤 （3）⼆层环路避免及链路冗余 （4）终端设备的接⼊三、MAC地址及MAC地址表 交换机查看数据帧的⼆层头部，在⾃⼰的MAC地址表中查找MAC地址，然后将数据帧从特定的端⼝转发出去。

（1）⼆层交换机的功能就是透传数据，不改变数据包中的源MAC地址和⽬的MAC地址 （2）⼆层交换机只关注数据包中的⽬的MAC地址，来进⾏数据转发 （3）⼆层交换机对数据包的转发，根据的是MAC地址表四、MAC地址 （1）MAC地址有48bit，通常被表⽰为点分⼗六进制数来表⽰ （2）MAC地址分为单播、组播和⼴播MAC地址三类 （3）MAC地址全球唯⼀，由IEEE对这些地址进⾏管理和分配 （4）每个地址由两部分组成，分别是⼚商代码和序列号。

其中前24bit位⼆进制代表供应商代码，余下的24bit位由供应商⾃⼰分配五、为什么需要VLAN （1）缺省情况下，交换机的所有端⼝均属于同⼀个⼴播域 （2）当⽹络中的交换机数量特别多时，⼴播域变得特别庞⼤，⽹络中可能会被⼤量的⼴播包损耗资源 （3）⽆法根据业务需求灵活的规划逻辑单元 注：VLAN（Virtual Local Area Network）即虚拟局域⽹，是将⼀个物理的端⼝在逻辑上划分成多个⼴播域的通信技术，VLAN内的主机可以直接通信，⽽VLAN间不能直接互通，从⽽将⼴播报⽂限制在⼀个VLAN内。

六、VLAN的作⽤ （1）不同的VLAN是不同的⼴播域，通常会使⽤不同的IP⽹段 （2）可根据业务需要灵活的进⾏VLAN的规划 （3）不同的VLAN之间⽆法进⾏⼆层互访七、VLAN知识点⼩结 （1）⼀个VLAN中所有设备都是在同⼀个⼴播域内，不同的VLAN为不同的⼴播域 （2）VLAN之间互相隔离，⼴播不能跨越VLAN传播，因此不同VLAN之间的设备⼀般⽆法互访（⼆层互访），不同VLAN间需通过三层设备实现相互通信 （3）⼀个VLAN⼀般为⼀个逻辑⼦⽹ （4）VLAN中成员多基于交换机的端⼝分配，划分VLAN就是将交换机的接⼝添加到特定VLAN中，从⽽该接⼝所连接的设备也被划⼊了该VLAN （5）VLAN是⼆层交换机的⼀个⾮常基本的⼯作机制⼋、交换机的接⼝类型 Access类型的接⼝： （1）Access接⼝只能加⼊⼀个VLAN，该VLAN⼜被称为Access接⼝的缺省VLAN （2）Access接⼝只发送⽆标记帧，且只接收⽆标记帧或打了缺省VLAN Tag的标记帧 （3）Access接⼝常⽤于连接PC、服务器或其他终端 Trunk类型的接⼝ （1）当⼀条链路需要承载多VLAN数据的时候，可将该链路配置为Trunk链路 （2）Trunk链路两端的接⼝是Trunk类型的接⼝，两端的交换机需采⽤相同的⼲道协议 （3）Trunk链路⼀般常⽤于交换机之间或交换机与路由器之间 Hybrid类型的接⼝ Hybrid接⼝也可以收发多个VLAN的报⽂，⽽且可以指定该接⼝在发送特定VLAN的报⽂时是否携带 Tag。

VLAN技术详解1 前⾔VLAN技术的出现不仅仅给我们在⽹络设计和规划上提供了更多的选择，也更为安全和⽅便的管理⽹络，同时由VLAN技术引出的各种相关应⽤也是层出不穷。

可以说VLAN技术是以太⽹技术的⼀个⾰命性的变⾰，同时也是以太⽹中最为基础和关键的技术。

本⽂主要针对VLAN技术产⽣的背景、VLAN技术的原理、VLAN的相关应⽤等⼏个部分来逐⼀进⾏介绍。

2 为什么需要VLAN?为什么需要VLAN技术，它的优点在哪⾥呢？在TCP／IP协议规范中，没有VLAN的定义。

当第⼆层⽹络交换机发展到⼀定程度的时候，传统的路由器由于在性能上的不⾜，它作为⽹络节点的统治地位受到了很⼤的挑战。

既然传统路由器是⽹络的瓶颈，⽽交换机⼜有如此优越的性能，为什么不⽤交换机取代传统路由器，来构造⽹络呢？我们都知道，位于协议第2层的交换机虽然能隔离冲突域，提⾼每⼀个端⼝的性能，但并不能隔离⼴播域，不能进⾏⼦⽹划分，不能层次化规划⽹络，更⽆法形成⽹络的管理策略，因为这些功能全都属于⽹络的第三层———⽹络层。

因此，如果只⽤交换机来构造⼀个⼤型计算机⽹络，将会形成⼀个巨⼤的⼴播域，结果是，⽹络的性能反⽽降低以⾄⽆法⼯作，⽹络的管理束⼿⽆策，这样的⽹络是不可想象的。

按照TCP／IP的原理，⼀般来说，⼴播域越⼩越好，⼀般不应超过200个站点。

那么，如何在⼀个交换⽹络中划分⼴播域呢？交换机的设计者们借鉴了路由结构中⼦⽹的思路，得出了虚⽹的概念，即通过对⽹络中的IP地址或MAC地址或交换端⼝进⾏划分，使之分属于不同的部分，每⼀个部分形成⼀个虚拟的局域⽹络，共享⼀个单独的⼴播域。

这样就可以把⼀个⼤型交换⽹络划分为许多个独⽴的⼴播域，即VLAN。

VLAN（Virtual LAN）中⽂叫做虚拟局域⽹，它的作⽤就是将物理上互连的⽹络在逻辑上划分为多个互不相⼲的⽹络，这些⽹络之间是⽆法通讯的，就好像互相之间没有连接⼀样，因此⼴播也就隔离开了。

VLAN的实现原理⾮常简单，通过交换机的控制，某⼀VLAN成员发出的数据包交换机只发给同⼀VLAN的其它成员，⽽不会发给该VLAN成员以外的计算机。

二层交换机原理总结一．背景知识以太网这个术语通常是指由DEC 、Intel 和Xerox 公司在1982年联合公布的一个标准，它是当今TCP/IP 采用的主要的局域网技术，它采用一种称作CSMA/CD 的媒体接入方法。

在TCP/IP 世界中，以太网IP 数据报文的封装在RFC 894中定义。

以太网采用广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。

通过查看包含在帧中的目标地址，确定是否进行接收或放弃。

如果证明数据确实是发给自己的，工作站将会接收数据并传递给高层协议进行处理。

以太网采用CSMA/CD （Carrier Sense Multiple Access/Collision Detection ）媒体访问机制，任何工作站都可以在任何时间访问网络。

在以太网中，所有的节点共享传输介质。

如何保证传输介质有序、高效地为许多节点提供传输服务，就是以太网的介质访问控制协议要解决的问题。

二．标准以太网帧结构46-150026648前导码：由7字节的前同步码和1字节的帧起始定界符构成。

这个字段有7个字节（56位）交替出现的0和1，它的作用就是提醒接收系统有帧的到来，以及使到来的帧与计时器进行同步。

前同步码其实是在物理层添加上去的，并不是（正式的）帧的一部分。

前同步码的目标是允许物理层在接收到实际的帧起始符之前检测载波，并且与接收到的帧时序达到稳定同步。

这个字段用1字节（10101011）作为帧开始的信号，表示一帧的开始。

最后两位是11，表示下面的字段是目的地址。

目的地址（DA ）： 48位，表示帧准备发往目的站的地址，共6个字节，可以是单址（代表单个站）、多址（代表一组站）或全地址（代表局域网上的所有站）。

当目的地址出现多址时，表示该帧被一组站同时接收，称为“组播”（Multicast ）。

目的地址出现全地址时，表示该帧被局域网上所有站同时接收，称为“广播”（Broadcast ），通常以DA 的最高位来判断地址的类型，若第一字节最低位为“0”则表示单址，第一字节最低位为“1”则表示组播。

【VLAN的目的】VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。

这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN 内。

[编辑本段]【VLAN的优点】1. 限制广播域。

广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

2. 增强局域网的安全性。

不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

3. 灵活构建虚拟工作组。

用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN 即使是同名也不可以相互通信。

[编辑本段]【什么是VLAN】VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE 于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

一个VLAN内部的广播和单播流量都不会转发到其他VLAN 中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

大学实验报告2019年4月15日课程名称：计算机网络实验名称：实验二: 交换机和VLAN工作原理班级及学号：姓名：同组人：签名：指导教师：指导教师评定：一、实验目的：1.理解交换机通过逆向自学习算法建立地址转发表的过程。

2.理解交换机转发数据帧的规则。

3.理解交换机的工作原理。

4.理解虚拟局域网VLAN的概念。

5.了解VLAN技术在交换式以太网中的使用。

6.了解VLAN技术在数据链路层隔离广播域的作用。

二、实验任务：1．任务一：观察交换机的工作原理；2．任务二：观察未划分VLAN前，交换机对广播包的处理；3．任务三：创建两个VLAN，并将端口划分到不同VLAN中；4．任务四：观察划分VLAN后，交换机对广播包的处理；5．任务五：观察802.1Q帧封装格式；6．实验完成，写出实验报告。

三、实验步骤：任务一1.准备工作：打开对应练习文件“2-4交换机工作原理.pka”。

2.查看并记录PC0和PC2的MAC地址：单击PC0，选择Config选项卡，选择FastEthernet0，查看并记录MAC地址。

同样地，查看并记录PC2的MAC 地址。

PC0的MAC地址PC2的MAC地址3.添加PC0到PC2的数据包：进入Simulation模式。

单击Add Simple PDU，在拓扑图中添加PC0向PC2发送的数据包。

4.分别查看三台交换机在发送数据前的地址转发表：选中Inspect工具，在拓扑工作区单击Switch0，再选择MAC Table菜单项，显示Switch0当前的地址转发表。

5.查看Switch0的学习和转发过程：单击Capture/Forward一次，查看Switch0的地址转发表，与步骤3的结果对比，观察并记录增加的地址转发表项。

再单击Capture/Forward一次，观察并记录Switch是如何处理该数据包的。

单击Capture/Forward按钮一次再单击Capture/Forward按钮一次再单击Capture/Forward按钮一次6.观察Switch1和Switch2的学习和转发过程：参照步骤4的操作方法，最后删除所有场景。

二三层交换机设计原理及转发流程一、设计原理1.支持多种网络协议：二三层交换机能够支持多种网络协议，如以太网、FDDI（光纤分布式数据接口）、ATM（异步传输模式）等。

这样可以兼容不同类型的网络设备，提供灵活的网络接入和互联能力。

2.快速转发：二三层交换机能够实现快速的数据转发，通过内部的转发表来实现数据包的转发。

它能够基于MAC地址进行转发，根据数据包的目的MAC地址来查找转发表，快速找到目标设备并将数据包送达。

3.VLAN支持：VLAN（虚拟局域网）是一种将局域网划分成多个逻辑上的独立网络的技术。

二三层交换机支持VLAN功能，可以将不同的端口划分到不同的VLAN中，实现逻辑上的分隔和隔离。

4.安全性：二三层交换机能够支持访问控制列表（ACL）功能，可以对数据流进行过滤和限制。

通过ACL配置，可以实现对数据包的源IP地址、目的IP地址、协议类型等进行过滤和限制，提高网络的安全性。

二、转发流程1.二层转发二层转发是指基于MAC地址进行转发的过程。

当二三层交换机收到一个数据包时，会查看数据包的源和目的MAC地址，并将其存储在转发表中。

转发表中记录了每个MAC地址对应的接口。

当二三层交换机收到一个数据包时，首先会查看数据包的目的MAC地址。

如果目的MAC地址在转发表中有对应的接口记录，交换机会将数据包转发到该接口。

如果目的MAC地址不在转发表中，交换机会通过广播方式将数据包转发到所有的接口上。

2.三层转发三层转发是指基于IP地址进行转发的过程。

当交换机收到一个IP数据包时，会查看数据包的目的IP地址。

交换机会根据自己的转发表，找到对应的下一跳路由器或目标主机的MAC地址，并将数据包转发到相应的接口上。

在进行三层转发时，交换机会先查找目的IP地址是否在转发表中，如果目的IP地址在转发表中，则直接进行转发。

如果目的IP地址不在转发表中，则交换机会将数据包转发到默认网关所对应的接口上。

三层转发还涉及到数据包的路由选择过程。

实验一：交换机的工作原理及vlan的配置一、实验目的1. 掌握以太网交换机的工作原理；2. 掌握以太网内pc机的通信原理；3. 掌握二层vlan技术；4. 掌握vlan技术的配置；二、实验要求举例说明：该部分是作业项目的实际需求；某公司因为业务需求，要分成两个部门，技术部、财务部；要求平时这两个部门的电脑不能通信，但是他们同属于同一个公司，要求使用统一使用192.168.1.0/24这个地址段的地址。

要求：合理的规划网络；划分vlan，满足客户需求；三、实验内容及步骤1 网络拓扑（例如下图所示）2 方法和步骤1 创建如上的Vlan后分别开启Sw1，Sw2设备。

双击sw1后打开选择Telnet.为其配置地址：127.0.0.1，端口号2101.再选择连接。

进入sw1界面后再选择断开—确定。

再选择会话选项，沟选全部显示字符再确定后重新连接就好了。

而sw2的步骤同上，只是这里的端口号改为2101.2．在sw1下创建vlan.同上sw2的代码如下：3. 设置IP。

双击主机1，进入DOS命令下：输入4测试：4的代码如下：测试表明4与2是通的，其他不通1的代码如下：测试表明1与3通，其他不通2与4相通，其他不通，代码如下：Pc1 ping Pc2不通；Pc1 ping Pc3 通；（做相应的截图）四、实验心得及体会1、通过本次实验从实际了解了VLAN 的含义对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段及作用可以在一个交换机或者跨交换机实现，通过实验以及对代码的记忆了解，对VLAN的隔离作用得到了充分的了解。

2． 原本对于VLAN的了解不是很深刻，通过老师、同学的帮助及自己的努力获得了这份收获，让我对这门课程有了信心，在实验过程中产生了极大的兴趣。

3.通过本次的实验使知识得到了巩固加强，对于上课时的细节有了更深刻的印象。