第3a章交换机工作原理和技术

网络系统集成技术

NetworksSystemIntegrating

莆田学院网络中心2011年9月第4版第三章交换机工作原理和技术2023/2/52第三章交换机工作原理和技术2023/2/53问题思考网络通信系统的任务是什么？大学校园网采用什么技术构建？高速以太网技术、交换以太网技术→数据→信号→介质上传输→信号→数据→信息2023/2/54问题思考一个完整的网络系统包括哪些要素？路=通信介质

车=通信平台货=资源系统

驾驶员=网管员你如何成为园区网络管理者？学习局域网组建、管理维护技术52023/2/5学习目标：了解以太网技术标准与发展过程，VLAN间的信息传递，以及交换机的性能与连接技术。

掌握以太网卡安装与调试，交换机安装与调试，交换机连接技术。熟悉掌握交换机的常用技术和技术指标。熟悉掌握VLAN划分技术了解三层交换机产品选型重点：交换机常用技术、技术指标、VLAN技术难点：VLAN技术原理62023/2/5本章主要内容3.1以太网技术标准及发展3.2交换机的概念3.3交换机的分类3.4交换机的连接3.5交换机的工作原理3.6交换机的常用技术3.7交换机的技术指标3.8VLAN技术3.9三层交换机市场产品选型及技术参数72023/2/53.1以太网技术标准及发展1973年，2.98Mbit/s，Xerox1980年，10Mbit/s，Xerox、Digital和Intel1983年，以太网技术（802.3）、令牌总线（802.4）、令牌环（802.5）共同成为局域网领域的三大标准1995年，802.3u快速以太网标准1998年，802.3z千兆以太网标准2002年，IEEE通过了802.3ae万兆以太网标准

82023/2/5

表1IEEE802.3规范和布线介质标准分类802.3规范通信介质介质标准传统以太网802.3同轴粗电缆10Base5802.3a同轴细电缆10Base2802.3i三类双绞线10BaseT802.3jMMF光缆10BaseF快速以太网FE802.3u五类双绞线100BaseTMMF/SMF光纤100BaseF千兆以太网GE802.3ab超五类双绞线1000BaseT802.3z850nm短波光缆1000BaseSX1310nm长波光缆1000BaseLX/LH万兆以太网TE802.3ae850nm短波光缆10GBaseS1310nm长波光缆10GBaseL1550nm长波光缆10GBaseE92023/2/53.2交换机的概念按照线缆段微化的思想，线缆段越多，可用带宽就越高。极限情况是每一台计算机处在一个独立的缆段上。如果网络上有10台计算机，需要一个10端口的网桥将它们连接起来，但实现这样一个网桥不太现实，软件转发速度也跟不上。交换机将上述多端口的网桥硬件整合，以达到更低的成本和更高的性能。交换机从本质看是一台特殊的计算机，主要由CPU、内存储器、I/O接口等部件组成。102023/2/5

交换机内有一条很高带宽的背板总线和内部交换矩阵，此背板总线带宽通常是交换机每个端口带宽的几十倍。交换机的所有端口都挂接在这条背板总线交换矩阵上，每个端口都有自己的固定带宽，同时具有两个信道，在同一时刻既可发送数据，又接收其他端口发送来的数据。与共享带宽（一个时间只能为一对网络节点服务）、无目的地进行数据发送（广播）的集线器不同，交换机可以在一个时间内同时为所有的网络节点服务，并可以有目的地发送数据，所以在带宽占用、减少阻塞、网络安全和全双工传输方面都是集线器不可相比的。

交换机接口主要是以太网接口，用于将交换机连接到网络。如10/100Mbit/s自适应电口，1000Mbit/s光口。交换机还有Console口，该端口为异步端口，主要连接终端或支持终端仿真程序的计算机，在本地配置交换机.

112023/2/5交换机的功能交换机的每个端口都具有桥接功能，可以互联一个LAN或一台高性能计算机。所有端口由专用处理器进行控制，并经过控制管理总线转发信息。中高档交换机可以用专门的网管软件进行集中管理。可将每个端口所互联的网络工作站分割为独立的LAN（VLAN）。每个端口都与大带宽的背板连通，从而为每个端口提供专用的带宽。流量控制（网桥无流量控制能力）。采用ASIC（ApplicationSpecificIntegratedCircuit,专用集成电路）处理器完成高速交换。122023/2/53.3交换机的分类交换机和集线器不能“以貌取人”桌面型交换机和模块化交换机异在“按需定制”TP-linkTL-HP8MUHUBD-LinkDFE-916DXHUB

3ComSuperStack34400switch

3ComSwitchs132023/2/5按网络类型分类有线交换机和无线交换机10/100Mbps自适应标准以太网交换机1Gbps(千兆位)以太网交换机（模块化）10Gbps(万兆位)以太网交换机（全光纤接口）ATM交换机（传输介质一般采用光纤，成本高，通常用作ADSL和HFC的骨干节点，广泛用于电信、邮政网的主干网段）FDDI交换机（全光纤接口，成本高）142023/2/5Quidway®S8500

万兆核心路由交换机Quidway®S8500系列万兆核心交换机是由华为3Com公司自主开发的新一代高性能万兆核心路由交换机产品，可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层。152023/2/5按网络规模分类企业级交换机

一般采用模块配置，属于第三层或第四层千兆位（或以上）交换机，通常能支持500个信息点以上。部门级交换机

一般为千兆位第三层交换机，固定配置或模块配置，通常能支持300～500个信息点。工作组级交换机

一般为固定配置，10/100Mbps自适应，通常支持的信息点少于100个。162023/2/5按网管功能分类非网管型交换机不支持网络管理网管型交换机可通过网络方式进行管理，包括交换机各端口的流量控制、QoS和端口协议的配置等，以便使所有的网络资源尽可能处于最佳状态网管型交换机上都有一个“Console”控制端口(一般为RS232串口型)以便进行基本配置，有的还支持基于Web页面和Telnet远程登录网络等多种网络管理方式支持SNMP（简单网络管理协议），并采用RMON(RemoteMonitoring，远程监控制）技术跟踪流量和会话状态（允许用户查看每个交换端口上的流量），增强了流量管理、监视与分析能力。172023/2/5交换机的Console控制端口可进行网络管理的交换机上一般都有一个“Console”端口，它是专门用于对交换机进行配置和管理的。通过Console端口连接并配置交换机，是配置和管理交换机必须经过的步骤。因为其他方式的配置往往需要借助于IP地址、域名或设备名称才可以实现，而新购买的交换机显然不可能内置有这些参数，所以Console端口是最常用、最基本的交换机管理和配置端口。绝大多数交换机都采用RJ－45端口，但也有少数采用DB－9串口端口或DB－25串口端口。DB-9串行端口DB-25串行端口182023/2/5按协议层次分类第二层交换机（网桥技术）

使用可编程的ASIC（专用集成电路）通过高速背板/总线（速率可达每秒几十GB）并基于MAC地址完成不同端口间的数据转发，价格最低，性能亦最低，支持VLAN，通常为非网管型。第三层交换机（路由技术）

使用可编程的ASIC（专用集成电路）而不是运行在处理器之上的软件进行数据转发和IP路由处理，具有线速路由功能，可为每个端口配置独立的IP地址，可根据IP地址划分为小而独立的VLAN——既可完成第二层交换机的端口交换功能，又能完成部分路由器的路由功能。192023/2/5第四层交换机

能够基于传输层中的TCP/UDP应用端口号决定传输，即根据端口主机的应用需求来自主确定或动态限制端口的交换过程和数据流量，即具有第四层智能应用交换需求。第四层交换机是第二层交换和第三层交换的扩展，支持通信流的优先权划分。第四层交换机技术是一种基于策略的路由。它可以针对传输层的端口进行交换。四层交换可以根据不同应用程序划分数据传输的优先级。202023/2/5线速路由交换机传统的网络交换机工作在OSI模型的第二层。路由器工作在第三层上，三层交换机本质上就是具有路由器的功能。

线速路由交换机具有集二层、三层和四层交换于一体的功能。数据包进入路由交换机以后，顺序提取二层（地址、帧类型、VLAN及优先级等）、三层（地址、协议及TOS等）和四层（QoS、安全等）信息。属于二层的信息按照MAC地址进行交换,属于三层的信息按照终点地址进行包转发，然后按照四层信息决定实施何种QoS和安全授权策略。212023/2/5第七层交换技术亦称“第七层认知技术”，是目前最新的交换技术，可以实现有效的数据流优化和智能负载均衡。用户不仅能验证是否在发送正确的内容，而且还能打开网络上传送的数据包（不用考虑IP地址或端口），并根据包中的信息做出负载均衡决定。如端口80，除了WEB传输流，还有许多类型的传输流（如流媒体数据）通过此端口传输。第四层交换无法区分这两种类型的数据，而第七层交换可以自由地完全打开传输流的应用层/表示层，仔细分析其中的内容，根据应用的类型而非仅仅根据IP和端口号做出更智能的负载均衡决定，比如规定WEB传输流具有更高优先级。222023/2/53.4交换机的连接

当单一交换机所能够提供的端口数量不足以满足网络计算机的需求时，必须要有两个以上的交换机提供相应数量的端口，这也就要涉及到交换机之间连接的问题。从根本上来讲，交换机之间的连接不外乎两种方式，一是堆叠，一是级联。

1、级联(Uplink)指在两台交换机的普通端口（如RJ-45端口）之间连接网线（RJ-45网线），将交换机连接在一起，实现相互之间的通信分为直连线和交叉线两种级联。直连线级联：上层交换机普通以太网端口与下层交换机的Uplink（级联）端口连接；交叉线级联：上下层都是普通以太网端口连接。莆田学院现代教育技术中心232023/2/5交换机级联可解决一台交换机端口数量不足的问题，也能够延伸网络的覆盖范围需要注意的是交换机不能无限制级联，超过一定数量的交换机进行级联，最终会引起广播风暴，导致网络性能严重下降。23莆田学院现代教育技术中心242023/2/5级联的方式通过普通端口级联级联端口的级联24Uplink端口莆田学院现代教育技术中心252023/2/52、交换机堆叠几台交换机堆叠在一起，采用专用堆叠电缆进行连接堆叠是把交换机的背板带宽通过专用模块聚集在一起，这使堆叠交换机的总背板带宽是几台堆叠交换机的背板带宽之和，从而使得堆叠交换机集合能够作为一个整体进行管理堆叠中的所有交换机可视为一个整体交换机来进行管理，但必须有专门端口（Up和Down，通常都是D型25孔接口）不是所有的交换机都可以堆叠，只有可管理的、模块化的特定交换机才具有堆叠管理功能25莆田学院现代教育技术中心262023/2/5堆叠端口交换机堆叠是通过厂家提供的一条专用连接电缆，从一台交换机的"UP"堆叠端口直接连接到另一台交换机的"DOWN"堆叠端口。以实现单台交换机端口数的扩充。一般交换机能够堆叠4～9台。莆田学院现代教育技术中心272023/2/5两种堆叠模式菊花链式堆叠是一种基于级联结构的堆叠技术，通过堆叠端口或模块首尾相联星型堆叠技术需要堆叠中心，所有的堆叠主机都通过专用的高速堆叠端口，也可以是通用的高速端口，上行到统一的堆叠中心27莆田学院现代教育技术中心282023/2/53、堆叠和级联的区别堆叠(Stack)和级联(Uplink)是多台交换机或

集线器连接在一起的两种方式。它们的主要

目的是增加端口密度。但它们实现的方法不同。级联是通过集线器的某个端口与其它集线器相连的，如使用一个集线器UPLINK口到另一个的普通端口；而堆叠是通过集线器的背板连接起来的，它是一种建立在芯片级上的连接，如2个24口交换机堆叠起来的效果就像是一个48口的交换机，优点是不会产生瓶颈的问题。级联可通过一根双绞线在任何网络设备厂家的交换机之间，集线器之间，或交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，且此设备必须具有堆叠功能才可实现。级联只需单做一根双绞线(或其他媒体)，堆叠需要专用的堆叠模块和堆叠线缆。交换机的级联在理论上是没有级联个数限制的(注意：集线器级联有个数限制，且10M和100M的要求不同)，而堆叠各个厂家的设备会标明最大堆叠个数。莆田学院现代教育技术中心292023/2/5堆叠和级联的区别（续）级联相对容易，但堆叠这种技术有级联不可达到的优势。首先，多台交换机堆叠在一起，从逻辑上来说，它们属于同一个设备。这样，如果你想对这几台交换机进行设置，只要连接到任何一台设备上，就可看到堆叠中的其他交换机。而级联的设备逻辑上是独立的，如果想要网管这些设备，必须依次连接到每个设备。多个设备级联会产生级联瓶颈。例如，两个百兆交换机通过一根双绞线级联，则它们的级联带宽是百兆。这样不同交换机之间的计算机要通讯，都只能通过这百兆带宽。而两个交换机通过堆叠连接在一起，堆叠线缆将能提供高于1G的背板带宽，极大地减低了瓶颈。级联还有一个堆叠达不到的目的，是增加连接距离。比如，一台计算机离交换机较远，超过了单根双绞线的最长距离100米，则可在中间再放置一台交换机，使计算机与此交换机相连。堆叠线缆最长也只有几米，所以堆叠时应予考虑。堆叠和级联各有优点，在实际的方案设计中经常同时出现，可灵活应用。参考阅读：/pub/article/c1084_a178357_p1.html莆田学院现代教育技术中心302023/2/54、GBIC端口模块GBIC（GigaBitrateInterfaceConverter）是一个通用的、低成本的千兆位以太网堆叠模块，是将千兆位电信号转换为光信号的接口器件。GBIC可提供交换机间的高速连接，既可建立高密度端口的堆叠，又可实现与服务器或千兆位主干的连接，为快速以太网向千兆以太网的过渡，提供了廉价的、高性能的选择方案。此外，借助于光纤，还可实现与远程高速主干网络的连接。GBIC模块分为两大类，一是普通级联使用的GBIC模块，二是堆叠专用的GBIC模块。莆田学院现代教育技术中心312023/2/5GBIC是一种符合国际标准的可互换产品，设计上可以为热插拔使用。要用这些GBIC端口模块，需要交换机上有GBIC插槽。莆田学院现代教育技术中心322023/2/5级联GBIC模块级联使用的GBIC模块分为4种，一是1000Base-TGBIC模块（如图1所示），适用于超五类或六类双绞线，最长传输距离为100米；二是1000Base-SXGBIC模块(如图2所示)，适用于多模多纤，最长传输距离为500米；三是1000Base-LXGBIC模块，适用于单模光纤,最长传输距离为10千米；四是1000Base-ZXGBIC，适用于长波单模光纤，最长传输距离为70千米~100千米。图11000Base-TGBIC模块

图21000Base-SXGBIC模块

莆田学院现代教育技术中心332023/2/5安装在GBIC插槽中的GBIC模块GBIC模块安装于千兆以太网模块的GBIC插槽中，用于提供与其他交换机和服务器的千兆位连接。

安装在GBIC插槽中的GBIC模块

莆田学院现代教育技术中心342023/2/5堆叠GBIC模块堆叠GBIC模块用于实现交换机之间的廉价千兆连接。如图所示为适用于CiscoCatalyst2950/3550的GigaStackGBIC堆叠模块。需要注意的是，GigaStackGBIC专门用于交换机之间的千兆位堆叠，GigaStackGBIC之间的连接采用专门的堆叠电缆。CiscoGigaStackGBIC堆叠模块和电缆

莆田学院现代教育技术中心352023/2/5SFP模块SFP（SmallForm-factorPluggables）又称小型千兆光纤接口模块，可以简单的理解为GBIC的升级版本。SFP模块（如图所示）体积比GBIC模块减少一半，可以在相同面板上配置多出一倍以上的端口数量。由于SFP模块在功能上与GBIC基本一致，因此，也被有些交换机厂商称为小型化GBIC（Mini-GBIC）。SFP模块

莆田学院现代教育技术中心362023/2/5

交换机的光纤端口都是2个，分别是一发一收。光纤跳线也必须是2根。当交换机通过光纤端口级联时，必须将光纤跳线两端的收发对调，当一端接“收”时，另一端接“发”。同理，当一端接“发”时，另一端接“收”（如下图所示）。如果光纤跳线的两端均连接“收”或“发”，则该端口的LED指示灯不亮，表示该连接为失败。只有当光纤端口连接成功后，LED指示灯才转为绿色。 同样，当骨干交换机连接至核心交换机时，光纤的收发端口之间也必须交叉连接（如下图所示）。光纤跳线的连接光纤端口的级联核心交换机与骨干交换机的连接莆田学院现代教育技术中心372023/2/5

光纤跳线分为单模光纤和多模光纤。交换机光纤端口、跳线和光纤类型要相一致。如果综合布线时使用的单模光纤，交换机的光纤接口就必须执行1000Base-LX/LH标准，也必须使用单模光纤跳线。多模光纤，交换机的光纤接口：1000Base-SX标准，也必须使用多模光纤跳线；需要注意的是，多模光纤有两种类型，即62.5/125μm和50/125μm。虽然交换机的光纤端口完全相同，而且两者也都执行1000Base-SX标准，但光纤跳线的芯径必须与光缆的芯径完全相同，否则，将导致连通性故障。莆田学院现代教育技术中心382023/2/5光纤收发器性能与使用收发器是一种在数据传输中实现信号转换或介质转换的设备。例如，将100MpbsUTP转接为100Mpbs多模光缆。该设备工作在OSI七层模型的物理层，不能提供冲突隔离作用。光收发器一般采用高性能芯片，高品质光收发一体模块。性能较稳定，适应性强，与常用网络设备均能正常连接使用。适用于建筑楼宇局域网之间的光缆连接，也可用于用户网络与电信、广电等宽带网络连接。莆田学院现代教育技术中心392023/2/53.5交换机的工作原理

当交换机从某一端口收到一个以太网帧后，将立即在其内存中的地址表（端口号－MAC地址对照表）进行查找，以确认该目的MAC的网卡连接在哪一个接口上，然后将该帧转发至相应的接口，如果在地址表中没有找到该MAC地址，交换机就将数据包广播到除源端口外的所有端口，拥有该MAC地址的网卡在接收到该广播帧后，将立即做出应答，交换机就将该网卡的MAC地址添加到表中。莆田学院现代教育技术中心402023/2/5三个基本概念广播向网络上的所有设备发送数据广播域广播域是指网络中若干在同一条物理介质相连接的设备，可以相互接收广播消息。网络上所有能够接收到同样广播分组的设备的集合冲突域冲突域是指若干在同一条物理介质相连接的设备，其中任意两台设备同时访问该介质都会导致冲突。网络中的一部分，以网桥、交换机或者路由器为边界，在冲突域中任意两台主机同时发送数据都会产生冲突一个广播域包含一个或多个冲突域莆田学院现代教育技术中心412023/2/5网络分段示意HUBHUB广播域独立的冲突域独立的冲突域网桥或网络交换机交换机只能分隔冲突域，但不能分隔广播域HUB冲突域/广播域网段2网段1总带宽:BW*2结点带宽:BW/4总带宽:BW结点带宽:BW/8莆田学院现代教育技术中心422023/2/5VLAN能够隔离（限制）广播域VLAN划分前，整个网络都在一个广播域中莆田学院现代教育技术中心432023/2/5VLAN能够隔离（限制）广播域VLAN划分后，网络被分割成几个较小的广播域每个可交换的端口都可以被分配到一个VLAN中端口不具有相同的VLAN，则不在一个广播域中端口具有相同的VLAN，则处在一个广播域中莆田学院现代教育技术中心442023/2/5广播风暴：广播风暴就是指由于网络中的广播过多导致网络拥塞。交换机的所有端口都属于同一个广播域，因此广播风暴将影响与交换机相连的所有设备。引起广播风暴的主要原因有：网络适配器的工作不正确和网络设计不当等。越小的VLAN，越少的用户被广播所影响VLAN将扩展路由器控制广播方面的功能莆田学院现代教育技术中心452023/2/5回环避免回环避免是避免形成网络环路。交换型或桥接型网络一般有冗余链路和设备，这种设计方式避免了因单点故障导致整个交换型网络失效的情况发生。虽然冗余设计可消除单点故障，但也导致广播风暴等问题。若不采用回环避免机制，交换机将无休止地广播，将导致广播风暴，严重地影响网络的性能。对于非广播帧，可能有很多拷贝被传送到目标终端而导致错误。交换机通过不同端口收到同一个数据帧的多个拷贝时，将导致MAC地址表的内容不稳定，从而影响数据转发的性能。第二层局域网协议，若没有能够识别和消除不断循环的帧的机制，因此出现环路后，帧将在网络中不断传输下去，直到网络由于资源被耗尽而崩溃。交换机的内部组成1、CPU：2、RAM/DRAM:主存储器，存储运行配置3、NVRAM(非易失性RAM):存储备份配置文件4、FlashROM:存储系统软件映像、启动配置文件等5、ROM:存储开机诊断程序、引导程序和操作系统软件6、接口电路:交换机各端口的内部电路莆田学院现代教育技术中心472023/2/53.6交换机的常用技术端口交换端口间的通道由人工预先设定并固定下来，改变端口间的互联通道须由人工配置—基于物理层，非真正意义的所谓“端口交换机”帧交换Cut-through(直通交换方式)

只检查数据包的包头（通常14字节）中目的地址，一确认即开始传送(不需要存储，延迟最小，无检错功能）FragmentFree（碎片隔离方式，ModifiedCut-through）传送时会检查是否有冲突（少于64字节的“残帧”）发生，若有则丢弃该包——中等延迟，广泛应用于低档交换机。StoreandForward(存储转发方式)

接收端口将传送来的整个数据包完整接收下来后存储在缓冲区中，然后进行检错，只有完好的数据包才能得以向目的地址转发。应用最广泛。优点：无错转发；支持不同速度端口间的转发，改善网络性能缺点：延迟最大信元交换

定长包，硬件快速交换，语音、视频等多媒体信号传输最佳，但设备昂贵一、交换机的交换技术莆田学院现代教育技术中心482023/2/5二、交换机常用技术：

CutThrough交换模式交换机的第一种交换模式：CutThrough交换机接收完目的MAC地址字段后，就立即将帧转发出到正确的端口。直通模式比存储转发模式具有更小的延迟时间，其优点是转发速度快，缺点是不做任何校验，有可能转发错误帧。接收数据处理数据发送数据莆田学院现代教育技术中心492023/2/5接收数据处理数据发送数据三、交换机常用技术：

Store&Forward交换模式存储转发模式下，交换机先要收到完整的帧，然后对帧进行循环冗余(CRC)校验，如果是错误帧，则丢弃这个帧。交换机将帧暂存在转发缓冲区中，直到它获得有效资源并将帧按照目的地址与端口的对应关系将其发往目的端口为止。存储转发模式的好处是能够抛弃小于64字节的帧(破碎帧)，以及其他任何受损的帧。存储转发模式的缺点是延迟较大，因为它在转发之前要收到并处理完整的帧。莆田学院现代教育技术中心502023/2/5四、碎片隔离方式（FragmentFree）这是介于直通式和存储转发式之间的一种解决方案。它在转发前先检查数据包的长度是否够64个字节（512bit），如果小于64字节，说明是假包（或称残帧），则丢弃该包；如果大于64字节，则发送该包。该方式的数据处理速度比存储转发方式快，但比直通式慢，但由于能够避免残帧的转发，所以被广泛应用于低档交换机中。使用这类交换技术的交换机一般是使用了一种特殊的缓存。这种缓存是一种先进先出的FIFO（FirstInFirstOut），比特从一端进入然后再以同样的顺序从另一端出来。当帧被接收时，它被保存在FIFO缓存中。如果帧以小于512比特的长度结束，那么FIFO中的内容（残帧）就会被丢弃。因此，不存在普通直通转发交换机存在的残帧转发问题，是一个非常好的解决方案。数据包在转发之前将被缓存保存下来，从而确保碰撞碎片不通过网络传播，能够在很大程度上提高网络传输效率。莆田学院现代教育技术中心512023/2/5五、交换机常用技术：线速的概念即无阻塞转发10Mbps全线速：0.015MPPS(百万包/每秒)100Mbps全线速：0.15MPPS1000Mbps全线速：1.5MPPS64bits96bits64bits前置位数据帧大小数据帧距离64bytes(512bits)64bytes(512bits)莆田学院现代教育技术中心522023/2/5线速计算一般来讲，是否达到线速传输的计算方法如下:1）线速的背板带宽

考察交换机上所有端口能提供的总带宽。计算公式为端口数*相应端口速率*2（全双工模式）如果总带宽≤标称背板带宽，那么在背板带宽上是线速的。2）第二层包转发线速

第二层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法，如果这个速率能≤标称二层包转发速率，那么交换机在做第二层交换的时候可以做到线速。3）第三层包转发线速

第三层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法，如果这个速率能≤标称三层包转发速率，那么交换机在做第三层交换的时候可以做到线速。莆田学院现代教育技术中心532023/2/5六、交换机常用技术：全双工技术全双工成立的前提冲突域内只有两个节点一路线缆仅仅发送，另一路线缆仅仅接收双方设备都支持全双工TransmitFull

Duplex

Ethernet

ControllerLoopbackTxRxCollision

DetectionReceiveFull

Duplex

Ethernet

ControllerLoopbackTxRxCollision

Detection莆田学院现代教育技术中心542023/2/5七、交换机常用技术：生成树协议为什么要有生成树标准：避免回路：由交换机自动检测环路的存在，断开环路冗余备份：为了提高网络稳定性，需要网络多条链路相通，提供了一种冗余备份的方法莆田学院现代教育技术中心552023/2/5生成树协议使用生成树算法，在一个具有冗余路径的容错网络中计算出一个无环路的路径，使一部分端口处于转发状态，而一部分端口处于阻塞状态（备用状态），从而生成一个稳定的、无环路的生成树网络拓扑。而且一旦发现当前路径故障，生成树协议能立即激活相应的端口，打开备用链路，重新生成生成树的网络拓扑，以保持网络的正常工作。生成树协议的关键就是保证网络上任何一点到另一点的路径只有一条。生成树协议的优点在于是网络既保证了不出现环路又具有容错能力。

生成树协议是在含有物理环路的交换网络上生成无回环的逻辑网络的方法，其目的在于确保网络中没有环路。STP在后台运行监视着网络，找出所有的链路并关闭多余的链路，阻止网络在第二层上产生回路。莆田学院现代教育技术中心562023/2/5八、交换机常用技术：

交换机的流量控制流量控制：动态分配内存莆田学院现代教育技术中心572023/2/5交换机常用技术：交换机的流量控制半双工流量控制：背压全双工流量控制：IEEE802.3x背压信号SWITCH莆田学院现代教育技术中心582023/2/5九、交换机常用技术：VLAN技术划分虚网的目的隔离广播域增强安全性VLAN1VLAN2VLAN3莆田学院现代教育技术中心592023/2/5交换机常用技术：划分VLAN方法基于端口的VLAN通用标准：IEEE802.1q基于协议地址的VLANMAC或IP地址BackboneSwitchEthernetSwitch12345678EthernetSwitch12345678

VLAN1VLAN2莆田学院现代教育技术中心602023/2/5十、交换机常用技术：IEEE802.1qVLANIDTag中对VLAN的标示VLAN划分对应于端口而不是MAC或IP地址从端口进的数据包被认为是那个VLAN的各端口可以属于一个或多个VLAN公共部分的VLANID如何选定DASATypeDataCRCDASATypeDataCRCTag0x8100UserPriorityCFIVLANID标准EthernetII帧802.1q加入一个Tagheader16bits3bits1bits12bits莆田学院现代教育技术中心612023/2/5十一、交换机常用技术：VID表、PVID表和公共端口PVID：端口的属性端口属于哪个VLAN用来判断上行帧属于哪个VLANVID表：VLAN的属性VLAN包含哪些端口用来判断下行帧可能的转发端口公共端口：各VLAN都需要进行通讯的端口常用于级联端口、打印和共享上网等VID表中各VLAN的交集PVID应设为并集VLAN的ID1,2,3,……74,5,6,……VLAN10VLAN20VLAN30莆田学院现代教育技术中心622023/2/5PVID表、VID表PVID表VID表PortVIDVIDPort110101、2、3210204、5、6310301—7730420520620莆田学院现代教育技术中心632023/2/5交换机常用技术：

单交换机设置公共端口VLAN1VLAN2VLAN3VLAN4莆田学院现代教育技术中心642023/2/5在二层交换机的性能参数中，常常提到一个重要的指标：TRUNK(链路聚合)，许多的二层交换机产品在介绍其性能时，都会提到能够支持TRUNK功能，从而可以为互连的交换机之间提供更好的传输性能。

TRUNK功能比较适合于以下方面具体应用：TRUNK功能用于与服务器相联，给服务器提供独享的高带宽。TRUNK功能用于交换机之间的级联，通过牺牲端口数来给交换机之间的数据交换提供捆绑的高带宽，提高网络速度，突破网络瓶颈，进而大幅提高网络性能。Trunk可以提供负载均衡能力以及系统容错。由于Trunk实时平衡各个交换机端口和服务器接口的流量，一旦某个端口出现故障，它会自动把故障端口从Trunk组中撤消，进而重新分配各个Trunk端口的流量，从而实现系统容错。十二、交换机常用技术：TRUNK端口汇聚莆田学院现代教育技术中心652023/2/5

TRUNK：为何如此诱人？TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。一般情况下，在没有使用TRUNK时，百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10/100交换机的带宽仅为100M，如果是采用的全双工模式的话，则传输的最大带宽可以达到最大200M，这样就形成了网络主干和服务器瓶颈。要达到更高的数据传输率，则需要更换传输媒介，使用千兆光纤或升级成为千兆以太网，这样虽能在带宽上能够达到千兆，但成本却非常昂贵（可能连交换机也需要一块换掉），根本不适合低成本的中小企业和学校使用。如果使用TRUNK技术，把四个端口通过捆绑在一起来达到800M带宽，这样可较好的解决了成本和性能的矛盾。莆田学院现代教育技术中心662023/2/5Trunk：奥妙在哪里？把多条链路合并为一条，交换机就必须对通过Trunk传输的每一个数据帧进行标识，以便识别相应数据包是发往哪个VLAN网段的。这个数据帧标识主要是VLANID（简称VID），因为在整个网络上VID是惟一的。在Trunk的另一端，接收该帧的交换机（或者主机和路由器等）通过该标识就可以知道它原来是属于哪一个VLAN，再转发到相应的端口上去。在后面讲VLAN时将继续展开。莆田学院现代教育技术中心672023/2/5高带宽、冗余备份端口汇聚的限制同模块同模组同VLAN连续端口（可选）两端都要设置带宽相同介质相同全双工800MDES-6300DES-3226S800M莆田学院现代教育技术中心682023/2/5管理员端口A端口B十三、交换机常用技术：端口镜像PortMirroring：端口镜像端口镜像技术是为了满足这样一个需求而设计的：满足网络管理员在不中断某个端口计算机连接的情况下，从连接在其他端口上的计算机监视网络流量的一种做法。具体实现正如它的名字一样，在交换机内将被监控端口流入流出的数据完全复制到监控端口，就象镜子照的一样,故称为端口镜像。莆田学院现代教育技术中心692023/2/5交换机的端口镜像，通常也称为端口监听，利用端口镜像，可将被监听的一个或多个端口的流量，拷贝到镜像端口（监听端口），镜像端口通常用于连接网络分析设备，比如运行sniffer（嗅探器）的主机。网络分析设备通过捕获镜像端口上的数据包，从而实现对网络运行情况的监控。莆田学院现代教育技术中心702023/2/5十四、交换机常用技术：优先级队列IEEE802.1p使用三个Bits来定义通过交换机的帧包的转发优先级。DASATRVLANIDPInformation802.1p802.1Q3Bits=8prioritysettingsPrioritysettingtoqueuerelationshipisuserconfigurabletagSwitch4900(802.1D)6543210HighQueue7MediumHighQueueMediumLowQueueLowQueue莆田学院现代教育技术中心712023/2/5十五、交换机常用技术：IEEE802.1X协议

IEEE802.1x是一种基于端口的访问控制协议,它能够使交换机具有在端口上要求接入设备提供某种认证后才开启端口的功能;IEEE802.1x早期用于无线网络的安全认证,现被移植到有线网络中,经常会在小区宽带接入中使用Workstation(Client)RADIUSServer(AuthenticationServer)Switch(Authenticator)莆田学院现代教育技术中心722023/2/5十六、交换机常用技术：三层交换技术1、什么是三层交换

三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层――数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。莆田学院现代教育技术中心732023/2/52、两种第三层交换技术报文到报文的交换每一个报文都要经历第三层处理，且基于IP地址进行数据转发。优点：能适应路由的拓扑变化，LAN互联中广泛使用流交换只分析数据流中的第一个报文（即第一个报文被分析以确定其是否标识一个“流”或者一组具有相同源地址或目的地址的报文），完成路由处理；同一流中的后续报文则使用某种基于MAC地址的“捷径”技术（如只通过二层交换通路）交换数据报文。优点：流交换节省了检查每一个报文要花费的处理时间，易实现线速路由。缺点：技术复杂，主要用于广域网莆田学院现代教育技术中心742023/2/53、三层交换原理

一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

莆田学院现代教育技术中心752023/2/5交换机常用技术：三层交换技术AB/24/24L3switch三层交换模块二层交换模块“一次路由，多次交换”莆田学院现代教育技术中心762023/2/5交换机常用技术：三层交换技术三层交换原理

其原理是：假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站点A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内。若目的站B与发送站A在同一子网内，则进行二层的转发。若两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向“缺省网关”发出ARP(地址解析)封包，而“缺省网关”的IP地址其实是三层交换机的三层交换模块。当发送站A对“缺省网关”的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址。否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，当A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比相同路由器的价格低很多。

莆田学院现代教育技术中心772023/2/5交换机常用技术：三层交换技术4、三层交换机种类

三层交换机可以根据其处理数据的不同而分为纯硬件和纯软件两大类。（1）纯硬件的三层技术相对来说技术复杂，成本高，但是速度快，性能好，带负载能力强。其原理是，采用ASIC芯片，采用硬件的方式进行路由表的查找和刷新。

当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进行二层转发，否则将数据送至三层引擎。在三层引擎中，ASIC芯片查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机，得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。

莆田学院现代教育技术中心782023/2/5交换机常用技术：三层交换技术4、三层交换机种类

（2）基于软件的三层交换机技术较简单，但速度较慢，不适合作为主干。其原理是，采用CPU用软件的方式查找路由表。

当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进行二层转发否则将数据送至CPU。CPU查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。因为低价CPU处理速度较慢，因此这种三层交换机处理速度较慢。

莆田学院现代教育技术中心792023/2/5交换机常用技术：

三层交换机与传统路由器的比较L3交换机传统路由器广域口少，局域网口多广域网接口广泛支持的路由协议较少支持多种路由协议依靠VLAN隔绝广播可以隔绝广播网络号是赋给VLAN的网络号是赋给端口的采用硬件，路由速度快采用软件，路由速度慢莆田学院现代教育技术中心802023/2/53.7交换机的主要技术指标背板带宽——交换机背板总线或交换矩阵的总吞吐能力（GB）包转发率——以数据包为单位表示的交换能力（Mpps，百万包/每秒，一般几十到几百)。端口类型——以太网/令牌环/FDDI/ATM等端口速率——10/100/1000/10000Mbps端口密度——所有模块插槽均插满时的最大端口数堆叠能力——堆叠的带宽和台数VLAN数量——现在大多支持1000个以上的VLANMAC地址数量——交换机的地址存储表中最多可存储的MAC地址数，通常几千到几万，越多则数据转发速度越高线速三层交换——具有和二层交换相同的交换速率莆田学院现代教育技术中心812023/2/5背板带宽与包转发率交换机的背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力，单位为Gbps，也叫交换带宽，一般的交换机的背板带宽从几Gbps到上百Gbps不等。包转发率标志了交换机转发数据包能力的大小(交换能力)。单位一般为pps（包每秒），一般交换机的包转发率在几十Kpps到几百Mpps不等。包转发速率是指交换机每秒可以转发多少百万个数据包（Mpps），即交换机能同时转发的数据包的数量。包转发率与背板带宽关系决定包转发率的一个重要指标就是交换机的背板带宽。背板带宽标志了交换机总的数据交换能力。背板带宽越高，处理数据的能力就越强，包转发率越高。莆田学院现代教育技术中心822023/2/5

虚拟局域网（VirtualLocalAreaNetwork）通常简称为VLAN。

VLAN是建立在交换技术基础之上的，是将网络上的节点按工作性质与需要划分成若干个“逻辑网段”，一个逻辑网段就是一个虚拟网络。在传统局域网中，利用路由器将网络划分成若干个物理网段以减少广播对网络的影响，但物理网段的划分以及布局的改变相当麻烦。路由器具有路由转发、防火墙和隔离广播的作用，路由器不会转发广播帧，因此，要实现对网络的分段和广播域的隔离，应使用路由器来实现。3.8VLAN技术莆田学院现代教育技术中心832023/2/5

路由器缺点：以太网接口的数目少，一般为1~4个。远远不能满足对网络分段的需要，交换机的以太网端口多。所以诞生了VLAN交换技术。

VLAN可不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的逻辑网段。

一个VLAN就是一个广播域：每个网段内所有主机间的通讯和广播仅限于该VLAN内，广播帧不会被转发到其他网段。

VLAN目的：实现了对广播域的分割和隔离。莆田学院现代教育技术中心842023/2/5VLAN实现方式：VLAN划分及管理都是以软实现。若要实现VLAN间的通讯，就必须为VLAN设置路由，这可使用路由器或三层交换机来实现。理论上二层交换机可以划分VLAN，但没有路由功能，则无法实现VLAN间的通讯，由于三层交换机具备路由功能，在实际应用中，通常在三层交换机中来划分VLAN，以支持VLAN间的相互通讯。VLAN的技术标准：1999年6月由IEEE颁布的IEEE802.1Q。莆田学院现代教育技术中心852023/2/5VLAN的作用：

控制网络的广播，增加广播域的数量，减小广播域的大小。便于对网络进行管理和控制。不受任何物理连接的限制，同一VLAN中的用户，可以连接在不同的交换机，可以位于不同的物理位置，增加了网络连接、组网和管理的灵活性。增加网络的安全性。由于默认情况下，VLAN间是相互隔离的，不能直接通讯，对于保密性要求较高的部门，比如财务处，可将其划分在一个VLAN中，其他VLAN中的用户，将不能访问该VLAN中的主机，从而起到了隔离作用，并提高了VLAN中用户的安全性。莆田学院现代教育技术中心862023/2/5影响网络运行速度的两大因素争用冲突

——以太网的性质所决定影响：用户数量增加导致通信“变慢”网络广播

——TCP/IP协议的性质所决定（如ARP通过广播从IP地址中解析MAC地址）影响：产生大量目标地址为广播地址的无用网络流量解决方案使用路由器分割成小网——组网成本太高使用二层交换机划分VLAN——缩小冲突域，但不能抑制广播使用三层交换机——缩小冲突域和广播域广播域——同一VLAN，但未必是同一端口莆田学院现代教育技术中心872023/2/5VLAN表在启用IEEE802.1Q的交换机内部会形成两张与VLAN有关的表：VID表和PVID表。

VID表记录：每一个VLAN包含哪些端口

PVID表记录：每一个端口属于哪个VLAN。当数据帧发送到交换机的端口上时，交换机会根据该端口的PVID判断这个帧是属于哪个VLAN的，然后再根据VID表来判断这个帧可以被转发到哪些端口。所有VLAN的成员通过使用VLAN标记（VLANTag）进行指定和区分。莆田学院现代教育技术中心882023/2/5莆田学院现代教育技术中心892023/2/5静态VLAN与动态VLAN

默认情况下，交换机的所有端口均属于VLAN1，VLAN1是交换机默认创建和管理的VLAN。1．静态VLAN（也称基于端口的VLAN）静态VLAN就是明确指定各端口所属VLAN的设定方法。

特点：将交换机按端口进行分组，每一组定义为一个VLAN。属于同一个VLAN的端口：在一台交换机/多台交换机。基于端口的VLAN划分如下图所示。莆田学院现代教育技术中心902023/2/5

配置：手工一个端口一个端口地进行设置。端口数目较多时，工作量会比较大。

适合：网络拓扑结构不是经常变化的情况。莆田学院现代教育技术中心912023/2/52．动态VLAN动态VLAN是根据每个端口所连的计算机，动态设置端口所属VLAN的设定方法。动态VLAN分为：基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。

基于MAC地址的VLAN，就是根据端口所连计算机的网卡MAC地址，来决定该端口所属的VLAN。在这种方式下，端口所属的VLAN，不是事先固定的，而是由所连计算机的MAC地址来决定的。比如，若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2，则该台计算机无论接到交换机的哪个端口，其所连端口就会被自动划归为VLAN2。莆田学院现代教育技术中心922023/2/5基于子网的VLAN，是根据端口所连计算机的IP地址，来决定端口所属的VLAN。基于用户的VLAN，是根据端口所连计算机的当前登录用户，来决定该端口所属的LAN。动态的VLAN形成很简单：由端口自己决定它属于哪个VLAN时，就形成了动态的VLAN。它只是一个简单的映射，这个映射取决于网络管理员创建的数据库。动态VLAN的缺点:

创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站，则有大量的输入工作要做。莆田学院现代教育技术中心932023/2/5

所谓的Trunk是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯；其中交换机之间互联用的端口就称为Trunk端口。VLAN的汇聚链接TrunkLink在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。莆田学院现代教育技术中心942023/2/5跨越多台交换机的VLAN莆田学院现代教育技术中心952023/2/5当VLAN成员分布在多台交换机的端口上时，如何实现彼此间的通讯呢？解决的办法：在交换机上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN，就对应地需要占用多少个端口，用来提供VLAN内主机的跨交换机相互通讯，如下图所示。VLAN内的主机在交换机间的通讯

莆田学院现代教育技术中心962023/2/5

这种方法存在问题：每增加一个VLAN，就需要在交换机间添加一条互联链路，并且还要额外占用交换机端口，这对保贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差。人们想办法让交换机间的互联链路汇集到一条链路上，让该链路允许各个VLAN的通讯流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通讯的链路，称为交换机的汇聚链路或主干链路（TrunkLink），如下图所示。莆田学院现代教育技术中心972023/2/5用于提供汇聚链路的端口，称为汇聚端口TrunkLink

。利用汇聚链路实现各VLAN内主机跨交换机的通讯

莆田学院现代教育技术中心982023/2/5

VLAN交换机的端口按用途分为：访问连接端口（AccessLink）和汇聚连接（TrunkLink）端口两种。访问连接端口通常用于连接客户PC机，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。

汇聚连接端口属于所有VLAN共有，承载所有VLAN在交换机间的通讯流量。汇聚链接的数据帧进行打标（tag）封装，以附加上VLAN信息，这样交换机就可通过VLAN标识，将数据帧转发到对应的VLAN中。莆田学院现代教育技术中心992023/2/5VTP管理域VTP（VLANTrunkProtocol，VLAN聚合协议)VTP是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议，以在同一个VTP域中维持VLAN配置的一致性。

VTP管理域有三种工作模式：server、client和transparent（透明）工作模式决定了是否允许指定的交换机管理VLAN、VTP如何传送和同步VLAN配置。莆田学院现代教育技术中心1002023/2/5三种管理模式Server模式server模式是交换机默认的工作模式,网管员能够在交换机上配置VLAN；交换机可创建、更改或删除VLAN，并向邻近交换机广播VLAN（重启信息保存不变）。Client模式只能同步接收VLAN信息和传送广播信息，并从广播中学习新的信息，但不能增加、删除、修改VLAN(重启时重新学习)。Transparent模式当交换机不需要或不想加入VTP时选择使用，主要是做本地管理，不与其他交换机共享VLAN信息，但仍可将VTP通告转送到其他交换机。莆田学院现代教育技术中心1012023/2/5VLAN的类型VLAN的划分方式：基于端口（PortBased）基于MAC地址（MACBased）基于IP地址（IP-based

）基于协议（protocol-based）基于策略服务（PolicyServie）莆田学院现代教育技术中心1022023/2/5①基于端口（port-based）的VLAN特点：VLAN成员是通过交换机的端口组进行划分，包括支持跨交换机的VLAN当前最常用的定义VLAN成员的方法。优点：所有的厂商都支持，而且设置相当方便基于管理员（由管理员人工设置）安全性很好（只有网络管理员能修改设置）缺点：每个端口只能支持一个VLAN，不能支持多个VLAN使用同一个物理网段的要求。不支持按业务分组。应用：主要用于为了提高网络的运行效率的网络——用于防止拥塞（flood）。它是VLAN中最简单的一种，却也能提供最大程度的控制和安全性。莆田学院现代教育技术中心1032023/2/5基于端口的VLAN主机A主机B主机C主机D以太网交换机VLAN表端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port10莆田学院现代教育技术中心1042023/2/5②基于MAC地址（MAC-based）的VLAN特点：根据MAC地址划分VLAN。用户属于哪个VLAN由其网卡中的MAC地址决定。优点：工作站移动到网络的其他物理位置时其VLAN成员的身份不变（特别适用于各种便携式电脑）。可实现按业务分组可以形成“交迭的”VLAN——即一个站点可以同时属于多个VLAN。缺点：不适用于工作于第三层网络的那些真正的远程用户（许多便携式电脑用户属于这种情况），因为MAC地址不能跨越网络层。

VLAN设置时必须由人工完成，相当麻烦。应用：需要按业务分组的企业和主机位置需要经常移动网络。莆田学院现代教育技术中心1052023/2/5基于MAC地址的VLANVLAN表MAC地址所属VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5MACAMACBMACCMACD主机A主机B主机C主机D以太网交换机Port1Port2Port7Port10莆田学院现代教育技术中心1062023/2/5③基于协议（protocol-based）的VLAN特点：根据协议来划分VLAN优点：用户可以同时处于多个VLAN中。支持多协议网络环境“基于管理员”——如果他所管理一个大型网络运行有不同的协议，而不同的用户组则已经是不同通信类型的成员了。这种情况下，它可以用来分隔不同的通信类型。缺点：其他站点可以随意加入某个VLAN，只要配备相应的协议。应用：只是用来提高网络的效率。最大的优点则是允许IPX网络加入——以简单的方式将IPX产生的SAP（服务广告协议）广播置于有效的控制中。莆田学院现代教育技术中心1072023/2/5基于协议的VLANVLAN表协议类型所属VLANIPX协议IP协议……VLAN5VLAN10……使用IPX协议运行IP协议使用IPX协议运行IP协议主机A主机B主机C主机D以太网交换机Port1Port2Port7Port10莆田学院现代教育技术中心1082023/2/5④基于IP（IP-based）的VLAN特点：使用网络（如IP子网）地址确定VLAN成员资格。优点：用户可以物理移动其工作站而不必重新设置每个工作站的网络地址（适用于纯TCP/IP网络）可以不需要使用帧标识（tagging）在交换机间的VLAN进行通信，降低了传输开销。网络管理员可以在VLAN管理软件中通过简单的拖放式操作规定哪个子网在哪个VLAN中，并将所有的用户与其子网一起分配。新用户加入可以由VLAN自动调整（因为交换机会发现它们位于哪个子网）缺点：需要解决IP地址盗用问题应用：用于TCP/IP协议特别有效莆田学院现代教育技术中心1092023/2/5基于IP网的VLANVLAN表IP网络所属VLANIP/24IP/24……VLAN5VLAN10……89主机A主机B主机C主机D以太网交换机Port1Port2Port7Port10莆田学院现代教育技术中心1102023/2/5⑤基于策略（policy-based）的VLAN

所谓“策略“实际上就是各种可能行为的控制准则。它们按if-then结构工作，可以对网络中的不同对象（用户、管理员、应用软件及硬件的下部构造）的行为进行禁止、许可或强制。策略管理迄今为止一直被用于某些类型的管理软件上：故障、性能、安全、配置及帐户。基于策略是最强大的VLAN方案。它使网络管理员可以使用任何VLAN策略的组合来建立适合自己需要的VLAN。一旦一个策略被下载到一台交换机中，它在整个网络中就得到全面应用，有关设备就将被加入到各VLAN中。基于策略的VLAN可以使用各种划分方法，包括上述所列的各种VLAN类型：MAC源地址，IP地址，及协议字段。也可以将不同的策略结合起来，形成一个策略，以满足网络管理员的特殊要求。但使用这种VLAN技术的设备和控制软件相当复杂，目前只有极少网络使用。莆田学院现代教育技术中心1112023/2/5表3-1LAN、2层VLAN、2/3层VLAN区别VLAN种类定义功能LAN独立的物理网段与集线器或基本网桥的功能相同；支持即插即用。第二层VLAN由多个物理网段或LAN网段组成或由多个桥接的用户组成限制洪泛；静态网络配置；没有第3层路由的话，第2层VLAN之间将无法连通。第2/3层VLANLAN网段或用户之间的虚拟网络技术允许虚拟联网而无需第2层或第3层限制；同时保持第3层路由的可靠性和第2层面向连接交换的优点；集中式的访问管理，带宽分配、连接；无需硬件或软件的升级更新，即可为LAN用户提供ATM的优点。莆田学院现代教育技术中心1122023/2/53.9三层交换机市场产品选型

在市场上的主流三层交换机品牌：

Cisco、华为、H3C、星网锐捷、D-Link、神州数码网络、北电网络

这几款三层交换机产品各具特色，涵盖了三层交换机大部分应用特性。当然在选择第三层交换机时，用户可根据自己的需要，判断并选择上述产品或其他厂家的产品莆田学院现代教育技术中心1132023/2/51、DES-6500

重要硬件规格DES-6500D-LinkDES系列新型可网管,模快化3层机箱式交换机适合中型以太网络的骨干网交换机机箱插槽数：9用户可配置插槽数：82个冗余电源交换容量：352Gbps端口标准/功能支持IEEE802.3x流量控制支持MDI/MDIX自适应端口镜像SFP支持