网络系统集成技术综合实验指导书

1、网络系统集成技术实验指导书实验一 路由器和交换机认识性实验实验名称：路由器和交换机认识性实验 实验类型: 验证性实验学时：4适用对象: 网络工程一、实验目的 熟悉路由器和交换机并掌握路由器和交换机的基本配置方法和配置命令。二、实验要求 掌握路由器的基本配置方法和命令。三、实验原理利用主机的超级终端，通过tcp连接或者与路由器或交换机的console控制口直接连接的方式对路由器和交换机进行配置。四、实验所需仪器、设备、材料（试剂）Cisco 交换机、路由器、主机及相应软件五、实验预习要求、实验条件、方法及步骤1、 Cisco Catalyst 2924交换机（1） Catalyst 2924交换

2、机的特点Catalyst 2924交换机属于工作组级的以太网交换机，具有24个10/100自适应以太网端口，它可以作为骨干交换机使用，用于汇集其它交换机、集线器、工作站、服务器、路由器或终端设备。Catalyst 2924交换机如图2-1所示。图1-1 Catalyst 2924 XL 型交换机Catalyst 2924交换机具有以下特点：24个10/100自适应、双工端口最大支持64 个虚拟局域网所有以太网端口都支持交换机间链路（ISL）和IEEE 802.1Q 干道最大支持2048个MAC地址每一VLAN支持IEEE 802.1d 生成树协议（STP） Supported by Cisco

3、 IOS Release 11.2(8)SA6 采用思科组管理协议（CGMP）限制IP多点广播使用端口安全以阻止对网络的未授权访问为防止性能降低进行广播风暴控制Switched Port Analyzer (SPAN) port monitoring on any portFour groups of embedded Remote Monitoring (RMON)基于浏览器的交换机管理工具（CVSM）通过单个IP地址的基于浏览器的交换机机群管理工具通过控制台管理口或远程终端的（CLI）管理工具CiscoView 设备管理应用支持简单网络管理协议（SNMP）（2） Catalyst 2924

4、交换机的前面板描述Catalyst 2924 XL交换机的前面板包括24个10/100以太网端口、指示灯和一个模式转换按钮。Catalyst 2924 XL交换机的10/100 端口使用RJ-45接头和5类双绞线连接，端口可以以全双工或半双工方式运行在10 或100 Mbps，为了和其它设备自动协商，端口适应IEEE 802.3u标准。端口上连接设备时，被接设备和交换机端口距离应在100米之内。我们可以通过交换机的LED指示灯监视交换机的状态和性能。图2-2显示了模式选择按钮和LED指示灯的位置，改变端口模式将改变端口状态指示灯表示的信息。 图1-2 Catalyst 2924 XL交换机指示

5、灯System LED（系统LED指示灯）显示系统是否加电及系统功能是否正常。LED指示灯颜色及其含义为：灯灭表示系统未加电；绿色表示系统正常；黄色表示系统有电但不正常。RPS LED（冗余电源系统LED指示灯）显示冗余电源系统的状态。LED指示灯颜色及其含义为：灯灭表示RPS 关闭或未安装；绿色表示RPS 正常；绿色闪烁表示RPS 和交流电源都在供电，如果交流电源失效，交换机就会自动关机并在15秒后重新启动，不推荐使用双电源方式。黄色表示RPS在供电但有问题。RPS中可能有一路断开，或RPS上的风扇出了问题。端口模式LED和端口状态LEDCatalyst 2924 XL 交换机有四种端口模式

6、，每种模式下LED指示灯指示了交换机本身或端口的不同信息。模式按钮（见图3-2）的切换顺序及端口模式LED提供的信息为：STAT 表示端口状态，默认的模式；UTL表示交换机使用的带宽；FDUP表示端口双工模式（全双工或半双工）；100表示端口运行速度（10 或 100 Mbps）。按Mode按钮，直到你所需要的模式高亮显示以改变端口模式。改变端口模式后，LED指示灯颜色的含义也就发生了变化。表2-1解释了不同模式下LED颜色的含义。（3） Catalyst 2924交换机的背面板描述2924交换机的背面板有一个交流电源插座，一个冗余电源系统插座，一个RJ-45控制端口和3个风扇（见图2-3）。

7、图1-3 Catalyst 2924交换机背面板图Catalyst 2924交换机提供两种电源连接方式：通过RPS插座连接Cisco RPS电源或通过交流电源连接插座连接交流电源。交流电源连接插座可连接100240V的交流。使用控制台表1-1 不同模式下LED颜色的含义端口模式颜色含义STAT （端口状态）灭无连接绿色已连接绿色闪烁端口在传输或接收数据绿黄交替闪烁连接失败。错误的帧能够影响连通性，检测到过多的碰撞、CRC错误、队列错误、超长传输错误等导致连接失败指示。黄色端口没有转发。端口被管理员禁止或地址不合法或被生成树协议阻塞。注意：端口重新配置时，端口状态指示灯保持30秒黄色以便STP检

8、查是否有环路。UTL （利用率）绿色端口状态LED显示底板利用率，如果所有的端口状态LED指示灯均为绿色，则交换机利用率为其总带宽的50%或更高。如果最右端的端口状态LED不亮，则交换机利用率低于总容量的50%。如果从右往左数第二个端口状态LED指示灯不亮，则交换机的利用率低于总容量的25%，依此类推。FDUP （双工方式）灭端口运行在半双工方式绿色端口运行在全双工方式SPD （速度）灭端口运行在10 Mbps绿色端口运行在100Mbps端口和随机提供的电缆连接交换机和PC或终端。2、 Cisco Catalyst 2948交换机Catalyst 2948G-L3交换式路由器（见图2-4）是一

9、种独立的、固定配置的、多协议的10/100/1000以太网交换机。Catalyst 2948G-L3交换式路由器设计为高性能、高密度配线密封式。图1-4 Catalyst 2948G-L3交换式路由器Catalyst 2948G-L3交换式路由器有48个10/100BaseT自适应端口。每个10/100自动协商连接速率使得从10BaseT 很容易移植到100BaseT 。带有GBIC接口模块的2个802.3z千兆比以太网端口能够用以下GBIC 模块独立配置1000BaseSX (Short wavelength) 1000BaseLX/LH (Long wavelength/long haul

10、) 1000BASE-ZX (Extended distance)Catalyst 2948G-L3交换式路由器有两个管理端口：一个控制台端口和一个辅助端口。控制台串行端口使用标准的控制台设备管理系统。辅助端口支持远程控制台接口。此端口仅用于网络管理，不是交换端口，它与10/100BaseT交换端口没有连通。Catalyst 2948G-L3交换式路由器前面板的LED指示灯有以下功能：Port LEDS 指示交换端口状态；PS1指示内部电源供电状态；RPSU指示外部冗余电源供电单元状态。10/100BaseT交换端口分为上下两行，上面一行都是奇数端口（1到47），下面一行都是偶数端口（2到48

11、）（见图1-2）。每一对垂直10/100BaseT端口下面有两个连接状态指示灯。左边指示灯对应上边端口，右边指示灯对应下边端口。例如：LED 1 对应上边端口（端口1），LED 2 对应下边端口（端口2）。两个千兆比以太网端口在前面板的最右端。（见图2-4）上面的端口为端口49，下面的端口为端口50 。这两个端口的指示灯在端口50的下面。指示灯的编号和端口号对应。3、 Cisco 2620和2621路由器（1） 硬件特点图2-5显示了2621路由器的背面板图1-5 Cisco 2621路由器背面板表1-2列出了2620和2621中所支持的模块类型及数量。表1-2 Cisco 2600系列接口总

12、结型号以太网 10BaseT令牌环快速以太网10/100网络模块插槽广域网接口卡插槽高级集成模块插槽2620112126212121除表2-2列出了接口类型外，思科2600系列路由器具有以下特点： 主存和共享内存使用动态随机存储器（DRAM）（仅指Cisco 261x 和262x 路由器）。 使用非易失随机存储器（NVRAM）存储配置信息。 提供EIA/TIA-232 （RJ-45）控制台端口，以便本地连接控制台终端。 提供EIA/TIA-232 （RJ-45） 辅助端口，以便远程通过modem连接路由器。六、思考题 （1）路由器有哪几种配置状态?其权限有何不同?实验二 路由器协议配置实验实验

13、名称：路由器协议配置实验 实验类型: 验证性实验学时：4适用对象: 网络工程一、实验目的 （1）熟悉掌握主机的路由配置； （2）熟悉掌握路由器的静态、动态路由协议的原理和配置。二、实验要求 （1）进一步了解路由器的工作过程，了解静态路由的优缺点及适用范围；掌握配置静态路由实现网络互通的方法，并能够通过查看路由表了解数据包在路由器中的转发过程。（2）给出比较简单的网络拓扑结构，能够选择并配置合适的动态路由协议，实现网络互联。掌握RIP协议的配置方法，初步了解OSPF路由协议的配置命令。三、实验原理在熟悉路由协议的基础上，通过设计网络拓扑结构，配置静态和动态路由协议，并验证配置是否正确。四、实验所

14、需仪器、设备、材料（试剂）模拟路由器功能的任意一个版本的CISCO IOS模拟软件(只是大多数模拟软件不支持路由协议 OSPF 的配置, 所以如果要配置 OSPF 协议, 要用真正的路由器)五、实验预习要求、实验条件、方法及步骤 1、静态路由配置1） 预习要求IP地址的分类，如何利用子网掩码划分子网。路由器在网络中的作用，如何利用 IOS给路由器各端口配置IP地址。2） 实验步骤 路由就是将数据包从一个网络的机器跨越中间网络发送到另一个网络的目标机上，路由器的作用是根据网络拓扑结构和交通状况转发数据报，使其沿着一条最短最快的通路到达目的端。路由选择是三层设备路由器最重要的功能，为了实现这个功能

15、，路由器至少应该知道：目标地址、相邻的路由器 ( 通过它可以获知不相邻网络的拓扑信息 ) 、到达目标网络的所有可用的路径、到目标网络的最佳路径、如何检验更新路由信息。路由器可以通过网管人员，也可以由相邻的路由器来收集不相邻网络的拓扑信息，然后路由器会建立路由表来存放到达各网络的路由选择结果，并用它来指导数据包的路由转发。 在转发数据包时，路由器会首先查看路由表，如果路由表中没有该数据包目标网络的转发声明，路由器不是象交换机那样发布广播来询问，而是直接丢弃这个数据包。路由器将连接到它各接口的网络直接放入路由表中，所以它自己知道如何“到达”这些 直连网络；而对于如何“到达”所谓“遥远”的目的网络，

16、也就是非直连网络，路由器就要通过学习才能获知。路由器可以通过静态路由和动态路由两种方式来获知怎样将数据包送达至非直连的目的地。所谓静态路由就是由网管人员定义的路由，是以人工方式将路由条目添加到路由表中，以指导数据包向目的端的转发。而动态路由则是路由器利用动态路由协议与相邻路由器进行 路由通信，通过这个过程来获知到达目的网络的路径。配置了动态路由协议的各个路由器会将自己所知道的网络信息比如网络可达信息、拓扑变化信息通知给彼此 ( 我们在下一个实验中会详细讨论动态路由 ) 。静态路由的优点在于它不会占用路由器CPU的资源，也不会占用路由器之间的带宽（启 用动态路由协议的路由器之间需要定期进行路由更

17、新、路由查询等路由通讯，难免要消耗一 些带宽），最后就是安全，因为数据可以路由到哪个网络是由管理员自己指定的。静态路由通常只用于网络路由相对简单、网络与网络之间只通过一条路径互联的情况。为了实现网络之间的互通，源和目的端的路由器都要配置静态路由。静态路由不能对线路不通等路由变化做出反应，需要手工更新路由表。比如如果有一个子网新加到网络中，为了令该子网对其他网络是可达的，管理员必须在网络中所有的路由器（除了与该子网直接相连的 路由器）中加入相关的路由信息。另外，配置静态路由要求管理员对网络，对各个路由器的连接情况比较了解，错误的配置会导致网络之间的连接中断。在配置静态路由之前，路由器的各个端口要

18、配置IP地址，还要用 no shutdown 激活。串口如果充当DCE端，还需要配置时钟频率。通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。任务 命令 建立静态路由 ip route prefix mask address | interface distance tag tag permanent Prefix 所要到达的目的网络 mask 子网掩码 address 下一个跳的IP地址，即相邻路由器的端口地址。 interface 本地网络接口 distance 管理距离（可选） tag tag

19、 tag值（可选） permanent 指定此路由即使该端口关掉也不被移掉。图2-1 配置静态路由以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于192.1.0.64/26的网络范围的数据报，应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访问192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial 0地址为192.200.10.5，192.200.10.4/30这个网属于直连的网，已经存在访问192.200

20、.10.4/30的路径，所以不需要在Router1上添加静态路由。Router1: ip route 192.1.0.64 255.255.255.192 192.200.10.6 Router3: ip route 192.1.0.128 255.255.255.192 192.1.0.65 ip route 192.200.10.4 255.255.255.252 192.1.0.65 同时由于路由器Router3除了与路由器Router2相连外，不再与其他路由器相连，所以也可以为它赋予一条默认路由以代替以上的二条静态路由，ip route 0.0.0.0 0.0.0.0 192.1.0.

21、65即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。2、 动态路由协议RIP及OSPF的配置1) 预习要求复习网络原理中关于动态协议的章节，懂得动态协议的作用和分类。掌握路由器的全局配置模式、接口配置模式、一些常规配置命令和静态路由的配置方法。 2) 实验步骤 RIP协议 RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP)，适用于小型同类网络，是典型的距离向量(distance-vector)协议。文档见RFC1058、RF

22、C1723。RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。有关命令任务 命令 指定使用RIP协议 router rip 指定RIP版本 version 1|21 指定与该路由器相连的网络 network network 注：1.Cisco的RIP版本2支持验证、密钥管理

23、、路由汇总、无类域间路由(CIDR)和变长子网掩码(VLSMs) 。图2-2 RIP协议配置举例Router1: router rip version 2 network 192.200.10.0 network 192.20.10.0 OSPF协议 OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路有协议，而RIP是距离向量路由协议。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态

24、路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。文档见RFC2178。有关命令 全局设置 任务 命令 指定使用OSPF协议 router ospf process-id1 指定与该路由器相连的网络 network address wildcard-mask area area-id2 指定与该路由器相邻的节点地址 neighbor ip-address 注：(a)OSPF路由进程process-id必须指定范围在1-65535，多个OSPF进程可以在同一个路由器上配置，但最好不这样做。多个OSPF进程需要多个

25、OSPF数据库的副本，必须运行多个最短路径算法的副本。process-id只在路由器内部起作用，不同路由器的process-id可以不同。 (b)wildcard-mask 是子网掩码的反码, 网络区域ID area-id在0-4294967295内的十进制数，也可以是带有IP地址格式的x.x.x.x。当网络区域ID为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。基本配置举例:图2-3 OSPF协议配置举例Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192 interface se

26、rial 0 ip address 192.200.10.5 255.255.255.252 router ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 Router2: interface ethernet 0 ip address 192.1.0.65 255.255.255.192 interface serial 0 ip address 192.200.10.6 255.255.255.252 r ospf 200 network 192.200.10.4 0.0.0.

27、3 area 0 network 192.1.0.64 0.0.0.63 area 2 Router3: interface ethernet 0 ip address 192.1.0.130 255.255.255.192 router ospf 300 network 192.1.0.128 0.0.0.63 area 1 Router4: interface ethernet 0 ip address 192.1.0.66 255.255.255.192 router ospf 400 network 192.1.0.64 0.0.0.63 area 1 相关调试命令： debug ip

28、 ospf events debug ip ospf packet show ip ospf show ip ospf database show ip ospf interface show ip ospf neighbor show ip route 使用身份验证为了安全的原因，我们可以在相同OSPF区域的路由器上启用身份验证的功能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。在默认情况下OSPF不使用区域验证。通过两种方法可启用身份验证功能，纯文本身份验证和消息摘要(md5)身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。而消

29、息摘要(md5)身份验证在传输身份验证口令前，要对口令进行加密，所以一般建议使用此种方法进行身份验证。使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证，必须在路由器接口配置模式下，为区域的每个路由器接口配置口令。任务 命令 指定身份验证 area area-id authentication message-digest 使用纯文本身份验证 ip ospf authentication-key password 使用消息摘要(md5)身份验证 ip ospf message-digest-key keyid md5 key 以下列举两种验证设置的示例，示例的网络

30、分布及地址分配环境与以上基本配置举例相同，只是在Router1和Router2的区域0上使用了身份验证的功能。例1.使用纯文本身份验证Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192 interface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf authentication-key cisco router ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128

31、0.0.0.63 area 1 area 0 authentication Router2: interface ethernet 0 ip address 192.1.0.65 255.255.255.192 interface serial 0 ip address 192.200.10.6 255.255.255.252 ip ospf authentication-key cisco router ospf 200 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authenti

32、cation 例2.消息摘要(md5)身份验证： Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192 interface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf message-digest-key 1 md5 cisco router ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 area 0 authenticatio

33、n message-digest Router2: interface ethernet 0 ip address 192.1.0.65 255.255.255.192 interface serial 0 ip address 192.200.10.6 255.255.255.252 ip ospf message-digest-key 1 md5 cisco router ospf 200 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authentication message-

34、digest 相关调试命令： debug ip ospf adj debug ip ospf events 重新分配路由 在实际工作中，我们会遇到使用多个IP路由协议的网络。为了使整个网络正常地工作，必须在多个路由协议之间进行成功的路由再分配。以下列举了OSPF与RIP之间重新分配路由的设置范例：图2-4 路由重新分配Router1的Serial 0端口和Router2的Serial 0端口运行OSPF，在Router1的Ethernet 0端口运行RIP 2，Router3运行RIP2，Router2有指向Router4的192.168.2.0/24网的静态路由，Router4使用默认静态路

35、由。需要在Router1和Router3之间重新分配OSPF和RIP路由，在Router2上重新分配静态路由和直连的路由。所涉及的命令：任务 命令 重新分配直连的路由 redistribute connected 重新分配静态路由 redistribute static 重新分配ospf路由 redistribute ospf process-id metric metric-value 重新分配rip路由 redistribute rip metric metric-value Router1：interface ethernet 0 ip address 192.168.1.1 255.2

36、55.255.0 interface serial 0 ip address 192.200.10.5 255.255.255.252 router ospf 100 redistribute rip metric 10 network 192.200.10.4 0.0.0.3 area 0 router rip version 2 redistribute ospf 100 metric 1 network 192.168.1.0 Router2：interface loopback 1 ip address 192.168.3.2 255.255.255.0 interface ether

37、net 0 ip address 192.168.0.2 255.255.255.0 interface serial 0 ip address 192.200.10.6 255.255.255.252 router ospf 200 redistribute connected subnet redistribute static subnet network 192.200.10.4 0.0.0.3 area 0 ip route 192.168.2.0 255.255.255.0 192.168.0.1 Router3：interface ethernet 0 ip address 19

38、2.168.1.2 255.255.255.0 router rip version 2 network 192.168.1.0 Router4：interface ethernet 0 ip address 192.168.0.1 255.255.255.0 interface ethernet 1 ip address 192.168.2.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 192.168.0.2 六、思考题 在大中型的互联网中，动态路由选择协议通常采用OSPF。请学习OSPF的有关知识，查找配置OSPF动态路由的相关资料，使用Windows

39、2000自带的“路由和远程访问”程序配置一个OSPF动态路由，验证配置的正确性。实验三 虚拟局域网划分实验实验名称：虚拟局域网划分 实验类型: 验证性实验学时：4适用对象: 网络工程一、实验目的 （1） 交换LAN技术和共享LAN技术不同之处。（2） 什么是冲突域？什么是广播域？（3） 什么是VLAN？其优点表现在哪些方面？（4） 常用的划分VLAN的方法有哪些？（5） VLAN之间的通信方式由那些？二、实验要求 用Cisco Catalyst 2948和2924交换机实现VLAN的划分。三、实验原理在熟悉路由器和交换机配置的基础上，通过设计虚拟局域网拓扑结构，用基于端口的方式配置虚拟局域网，

40、并验证。四、实验所需仪器、设备、材料（试剂）Cisco Catalyst 2948和2924交换机、路由器五、实验预习要求、实验条件、方法及步骤1、实验步骤（1）设计VLAN的拓扑结构。（2）根据拓扑结构连接网络设备。（3）用基于端口的方式定义VLAN，并对交换机进行相应的设置。（4）VLAN将广播域限制在本VLAN之内，验证这一点。2、（1）虚拟网（VLAN）技术介绍虚拟网技术的出现是和局域网（LAN）交换技术分不开的，而交换LAN技术是和共享LAN技术相对而言的。为了更好地理解LAN技术，须理解下面两个名词：冲突域：在以太网中，如果某一个CDMA/CD网络上的两台工作站在同时通信时会发生冲

41、突，那么这个CDMA/CD网络就是一个冲突域。如果以太网中的各个网段以中继器连接，因为不能避免冲突，所以它们仍然是一个冲突域。中继器和DTE被交换设备（如交换集线器，网桥或路由器）分隔，这时它们就不在一个冲突域中了，因为交换设备不会把冲突信号从一个网段传送到另一个网段。在一个冲突域中，同时只能有一个工作站发送信息。广播域：当局域网上的任何一台工作站向网上发送广播信息时，凡是能接收到广播的区域，称为广播域。这一区域里的所有服务器和工作站称为处于同一广播域。传统的CSMA/CD技术是共享的LAN技术，以10Base-T以太网为例，由多用户共享10Mb/s的带宽。共享型LAN在用户数目增加时，由于用

42、户竞争信道，而这些用户又处于同一冲突域，致使传输效率急剧下降。另外，用户传输的数据正在稳定和快速地增长。传统以太网的共享10Mb/s带宽难以应付日益增长的通信需求。解决这个问题的途径，一是开发应用通信速率更高的LAN，如快速以太网（100Base-T）甚至千兆位/秒的以太网，另一个途径是使用LAN交换技术。LAN交换技术是由LAN交换机提供的一种同时构成若干个信息通路的机制，以扩展LAN的积累带宽。交换式以太网的出现和发展可以追溯到网桥，网桥把不同网段的共享型LAN连接在一起，是两个共享型LAN处在同一广播域，但分属不同的冲突域，从而减少了网上的冲突碰撞，提高了网络效率。网桥只提供两个LAN段

43、之间的一个通路，而LAN交换机能够以高的速率同时提供若干对LAN段之间的信息通路。例如有N对端口的LAN交换机，每个端口连接一个LAN段，它可以同时提供N对LAN段互相通信，使原来只有10Mb/s带宽的共享LAN段，其积累带宽达到N*10Mb/s。 LAN交换机的技术又有新的发展，出现了第三层交换技术，第三层交换器就是将第二层的交换器与第三层的路由器合二为一，使路由器根据第二层的地址转发数据包，以达到快速通讯。根据LAN交换机的工作原理，当其检测到广播数据帧时，会向其他的端口转发该数据帧。因此，当一个大型的LAN完全由LAN交换机组网时，可以发现，虽然其冲突域没有扩大，但是其广播域却覆盖整个L

44、AN的范围。这一特点决定了当LAN内任何一个站点发出了广播帧后，会由各个LAN交换机传播至整个LAN的范围，若LAN规模很大，每个工作站发出的广播帧合起来会象风暴一样席卷整个交换式LAN，形成广播风暴。为了解决大型交换式以太网的广播风暴问题，就必须限制其广播域的范围，从而产生了虚拟局域网技术（VLAN）。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。（2）虚拟网（VLAN）及其优点究竟什么是VLAN呢?VLAN在逻辑上等价于广播域。更具体的说，我 们可以将VLAN类比成一组最

45、终用户的集合。这些用户可以处在不同的物理LAN上，但他们之间可以象在同一个LAN上那样自由通信而不受物理位置的限制。在这里，网络的定义和 划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活的建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。VLAN的具有以下一些优点：·在LAN互连结构中，VLAN可以降低移动或变更工作站物理位置的管理费用，有很大的应用价值。网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻松自如地增加、删除和修改用户，而不必从物理上调整网络配置。 ·设置VLAN的目的之一是为了控制在LAN

46、段之间的广播通信，从而减少或免除对使用路由器的依赖。在传统的共享介质的LAN互连网络中，路由器起隔离各个LAN段、控制广播通信溢流的作用。这个作用能够在VLAN中得到妥善的处理。因此，VLAN可以减少路由器使用的数目，能够节省费用。 ·可以动态和即时地配置或改变VLAN的组成情况，因此能够实现高效率和灵活的组播控制，比使用常规的LAN更为方便和有效。 ·VLAN增强网络的安全性。特别是在企业网连接Internet的环境中，在不借助单独的物理连接或者使用以路由器为基础的防火墙（firewall）的情况下，VLAN结构可以提高网络的安全性。网络管理人员能够以很高的精确度来确定访

47、问网络服务的途径。此外，在每个交换端口只有一个节点设备的结构中，可以形成特别有效的限制非授权访问的屏障。 ·有效的网络管理和监控的自动化。使用VLAN管理软件工具能够解决管理VLAN中存在的技术困难，使网络管理人员容易地从多个层面查看网络中的虚拟连接和物理连接。 通过监控程序能够查看详尽的网络通信的统计数据。这些数据对于确定路由系统和访问最频繁的服务器的配置很有用。与传统的物理连接的LAN相比较，VLAN的管理和监控功能更能够加强管理作用，提高工作效率。 （3）虚拟网的划分 有很多种方式可以用来划分VLAN。这里只讨论以下四种常见的方法：根据端口定义；根据MAC地址定义；根据网络层定

48、义；根据IP地址定义。·根据端口定义这是最简单的确定VLAN成员的方法，也是最为直观的方法，但是自动化程度低。使用这个方法确定VLAN的成员，VLAN是LAN交换机某些端口的集合。这些集合有时只在单个LAN交换机上，有时则跨越多台LAN交换机。 根据交换机端口来划分网络成员，其配置过程简单明了。因此，迄今为止，仍然是最常用的一种方式。但是，它不能满足对VLAN特性的某些要求，如不能在给定的端口上支持一个以上的VLAN；如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网，网络管理员需要重新进行人工设置。·根据MAC地址定义使用节点设备的MAC（介质访问控制）源地

49、址，可以把它分配给VLAN。这种情况下，每个VLAN是一些设备的MAC地址的集合。因为MAC地址是捆绑在网络接口卡上的，所以这种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置，并且自动保留其所属虚拟网段的成员身份。同时，这种方式独立于网络的高层协议(如TCP/IP，IP，IPX等)。因此，从某种意义上讲，利用MAC地址定义虚拟网可以看成是一种基于用户的网络划分手段。 这种方法的一个缺点是所有的用户必须被明确的分配给一个虚拟网。在这种初始化工作完成之后，对用户的自动跟踪才成为可能。然而，在一个拥有成千上万用户的大型网络中，如果要求管理员将每个用户都一一划分到某一个虚拟网，这实在是太困

50、难了。因此，有些厂商便将这项配置MAC地址的工作交给了网络管理工具。这些网管工具可以根据当前网络的使用情况，在MAC地址的基础上自动划分虚拟网。·基于网络层的VLAN 基于网络层的虚拟网使用协议(如果网络中存在多协议的话)或网络层地址(如TCP/IP中的子网段地址)来确定网络成员的划分。 利用网络层定义虚拟网有机个优势：第一，这种方式可以按传输协议划分网段。其次，用户可以在网络内部自由移动而不用重新配置自己的工作站，尤其是使用TCP/IP的用户。第三，这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。但是，与利用MAC地址的形式相比，基于网络层的虚拟网需要分析各种协议的地址格式并

51、进行相应的转换。因此，使用网络层信息来定义虚拟网的交换机要比使用数据链路层信息的交换机在速度上占劣势。而且，这种差异在绝大多数网络产品中都存在。另外，虽然按网络层划分的虚拟网对于使用TCP/IP协议的用户群来说是十分有效的。但是，象IPX，DECnet，AppleTalk这样的协议运行在这种虚拟网络结构中似乎就不太合适了。虽然这种类型的虚拟网是建立在网络层的基础上，但交换机本身并不参与路由工作。当一个交换机捕捉到一个IP包，并利用IP地址确定其身份时，没有任何与路由有关的计算。RIP以及OSPF等路由传输协议也不被采用。交换机只是作为一个高速网桥，简单的利用扩展树算法将包转发给下一个节点上的交

52、换机。这样看来，基于网络层的虚拟网之间的连接应该看成是一个类似于桥的拓扑结构。 ·根据IP广播组划分 根据IP广播组定义虚拟网是指任何属于同一IP广播组的计算机都属于同一虚拟网。这样的虚拟网是如下建立的：当IP包广播到网络上时，它将被传送到一组IP地址的受托者那里。这组被明确定义地址的广播组是在网络运行中动态生成的。任何一个工作站都有机会成为某一个广播组的成员，只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而，他们的这种成员身分可根据实际需求保留一定的时间。因此，利用IP广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展

53、性。而且，在这种方式下，整个网络可以非常方便地通过路由器扩展网络规模。（4）跨越多台LAN交换机的VLAN的成员间的信息传递 交换机必须有一种方式来了解VLAN的成员关系，即哪一个工作站属于哪一个虚拟网。否则，虚拟网就只能局限在单交换机的应用环境里了。一般来说，基于数据链路层的虚拟网(即按端口和MAC地址划分的VLAN)，其成员是以直接的形式与其它成员联系的。而基于IP的虚拟网成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分虚拟网的网络产品，其工作方式均属于后一种。 有三种方式被用来实现VLAN成员之间的通信：列表支持方式(Table Maintenance);帧标签方式(

54、FrameTagging);TDM(Time-DivisionMultiplexing，时分复用)方式。 ·交换机列表支持方式 这种方式是按如下步骤工作的:当工作站第一次在网络上广播其存在时，交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属虚拟网一一对应起来。并不断的向其它交换机广播。如果工作站的虚拟网成员身分改变了，交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充，大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此，这种方式并不太普及。·帧标签方式 在这种形式下，每个数据包都在包头位置上插入了一个标签以显示该数据

55、帧属于哪个虚拟网。不同厂家的标签长度是不一样的。有时，一个数据包加上标签后的长度甚至超过了网络设备所能处理的极限。另一个问题是，由于标签的存在，网络负载加重了。 ·TDM方式 TDM在虚拟网上的实现方式与它在广域网上的实现方式非常类似。在这里，每个虚拟网都将拥有自己的网络通路。这样，在一定程度上避免了前两者方式中所遇到的问题。但另一方面，属于某一个虚拟网的时间片断只能被该虚拟网的成员使用。所以，仍然有很多带宽被浪费了。 （5）虚拟网的一种实现方案用cisco的2924和2948交换机实现虚拟网的划分，其结构如图1所示。LH3000服务器192.188.170.10/24端口1-2924a端口1 端口2-2924b端口1端口340，49属于VLAN1 192.188.170.0/24端口45，46属于VLAN2 192.188.171.0/24端口47，48属于VLAN3 192.188.172.0/242948交换机 192.1