《企业网搭建与应用》全套教学课件

全套可编辑PPT课件项目1-企业网络规划与设计.pptx项目2-交换机的配置与管理.pptx项目3-路由器的配置与管理.pptx项目4-无线网络配置.pptx项目5-网络安全.pptx项目6-WindowsServer系统.pptx项目7-Linux系统.pptx项目8-云海科技网络搭建与应用.pptx了解企业网络的用途了解企业网络建设的基本原则和流程能独立编写企业网络需求分析掌握绘制网络拓扑图的方法45信科公司是一家中型企业，其总部设在北京市，并在上海建立了分公司，为了实现公司内部快捷的信息交流和资源共享，需要构建统一网络，整合公司所有相关业务流程。本项目主要完成信科公司网络的规划与设计。61.1企业网络的主要功能1.2企业网络建设的流程71.1企业网络的主要功能企业网是一个集计算机技术、网络通信技术、数据库管理技术为一体的大型网络系统。企业网络为公司整体营运的数字化和信息化奠定了物质基础，企业在此基础上可以开发和实现更多的网络服务和应用。目前，企业网络的主要用途有以下几项。81.1企业网络的主要功能数据传输

1在企业日常办公过程中，很多数据需要多个工作人员进行查阅和处理。例如，销售人员在接到客户订单后，需要上报主管领导审阅，然后交由生产部门安排生产，还需要发给财务人员用于接收货款，待产品完成后交由库房人员发货。在没有网络时，这些工作通常需要用打印机将相关内容打印多份再送达相关部门，或者是通过U盘等存储介质进行数据迁移，这样不仅效率低下且浪费大量时间和资源。如果企业建立了企业网后，所有企业相关数据均可在极短时间内安全送达对方，从而大大提高工作效率。91.1企业网络的主要功能Web服务

2WWW（WorldWideWeb）又称Web，也称为“万维网”，是一个在Internet上运行的全球性的分布式信息系统。Web是目前Internet上最方便和最受用户欢迎的信息服务系统。Web通过Internet向用户提供基于超媒体的数据信息服务，它把各种类型的信息（文本、图像、声音和影视等）有机地集成起来，供用户浏览和查阅。企业可以利用Web服务来宣传自己的企业文化、发布各种产品信息，并成为客户和企业的沟通渠道。101.1企业网络的主要功能文件和打印服务

3文件服务是企业网络中最基本也是最重要的服务之一。在企业网中创建文件服务器（FileServer）后可以对企业的文件资料进行存储和管理，这样在同一网络中的其他计算机就可以访问这些文件。把常用和主要文件存放于文件服务器可以提高文件的使用效率，节省单独分开存储而浪费的存储空间，同时避免了分开存放而造成的数据不一致。另外，文件服务器通过集中和严格的权限管理，有效地保证了数据的安全访问，使合法用户可以随时访问和存储其中的数据。111.1企业网络的主要功能在企业网中，很多人都会有打印需求，如果为每个有需求的人都配备打印机，企业运营成本无疑会增加很多，最好的办法就是配备网络打印机。用户可以将打印机连接到服务器或工作站后设置共享，也可以直接通过网线将打印机连接到网络（打印机需有网络接口），然后通过服务软件进行统一调度和管理，从而极大地提高了打印机利用率，节省办公设备投资和维护成本。121.1企业网络的主要功能FTP服务

4文件传输服务是由FTP应用程序提供的，而FTP应用程序遵循的是TCP/IP协议组中的文件传输协议（FileTransferProtocol，FTP），它允许用户将文件从一台计算机传输到另一台计算机，并且保证传输的可靠性。由于采用TCP/IP协议作为Internet的基本协议，无论两台Internet上的计算机在地理位置上相距多远，只要它们都支持FTP协议，它们之间就可以相互传送文件。在Internet中，许多公司、大学的主机上含有数量众多的各种程序与文件，这是Internet巨大的、宝贵的信息资源，通过使用FTP服务，用户可以方便地访问这些信息资源。131.1企业网络的主要功能E-mail服务

5电子邮件服务又称为E-mail服务，是计算机用户用来发送信件的一组机制。电子邮件为Internet用户提供了一种方便、快速、廉价的通信手段，在传统通信中需要几天完成的传递过程，电子邮件系统仅用几分钟，甚至几秒钟就可以完成。电子邮件在电子商务及国际交流中发挥着重要作用，例如，电子商务交易各方可以利用电子邮件传递合同、订单等单据。现在，电子邮件系统不但可以传输各种格式的文本信息，还可以传输图像、声音、视频等多种信息，已经成为多媒体信息传输的重要手段之一。141.1企业网络的主要功能DHCP服务

6动态主机配置协议DHCP（DynamicHostConfigurationProtocol）是RFC1541（已被RFC2131取代）定义的标准协议，该协议采用UDP作为传输协议，允许服务器向客户端动态分配IP地址和配置信息。一个企业网中需用IP地址至少几十个，多则成百上千个，面对当前IP地址资源短缺的环境，ISP（互联网服务提供商）不会给企业分配过多的IP地址。因此要解决企业网中计算机和网络设备的上网需求，就必须架设一个DHCP服务器来为企业网中的联网设备分配IP地址。151.1企业网络的主要功能DNS服务

7DNS服务主要用来进行域名和IP地址的转换。域名解决了IP地址难以记忆的问题。例如，百度WWW服务器的域名为“”，每个字符都代表着一定的意义，并且书写时也有一定的规律，这样用户就比较容易理解与记忆。每个域名与一个IP地址是相互对应的。Internet中的路由器并不能识别域名，只能通过IP地址来实现数据包的转发，如果要通过域名访问某台Internet主机，首先要通过域名服务器（DomainNameServer，DNS）将这个域名转换为对应的IP地址。161.2企业网络建设的流程要建立一个企业网络，首先必须深入了解用户的业务需求和管理模式，即用户的网络需求，然后建立网络逻辑模型，进行逻辑和物理的设计，制定切实可行的系统方案，并在此基础上开始实施和维护。171.2企业网络建设的流程收集用户需求

1为了使建设的网络能很好地满足企业的需求，施工单位应该安排销售代表和技术工程师与企业进行接触，进行技术和需求等相关内容的交流，了解企业的信息化现状、应用情况、目前要上的项目和中长期的规划。此工作将为后面的需求分析和工程设计打下基础。181.2企业网络建设的流程需求分析

2了解用户建设网络的需求后，接下来要对需求进行分析。在用户需求分析过程中，网络系统的设计者集中解决“做什么”的问题，即尽一切努力确定网络系统要支持什么样的业务，要完成什么样的功能，达到什么样的性能，希望有什么样的系统行为和约束。需求分析主要包括网络结构、布线系统、传输介质、带宽要求、应用模式以及网络管理与安全需求等各个方面的内容。191.2企业网络建设的流程现场勘察

3在网络设计中有许多项目需要根据企业的实际情况进行设计，如网络布线、设备陈放位置、网段划分、网络性能规划等都必须到企业进行实地勘察，这样才能设计出满足企业实际需要和性能最优的方案。201.2企业网络建设的流程总体设计

4网络系统设计师根据企业的需求，选用合适的技术和相应的产品，为系统集成项目设计出初步的技术方案，包括确定网络拓扑结构，给出网络管理方案，进行网络安全设计等。其中，应重点突出使用哪些计算机和网络技术，选用哪些产品，将如何实施网络系统，包括进度和人员配备等。总体设计要在网络的功能、性能和造价方面进行综合考虑，应坚持的原则是：最低运作成本，不断增强的整体性能，易于操作和使用，充分的可靠性，完备的安全性和可扩展性。211.2企业网络建设的流程详细设计

5详细设计阶段是对整个企业网络进行全盘考虑的过程。详细设计主要包括场地规划、IP地址规划、名字空间设计、选择网络服务的操作系统、选择传输媒介的种类及数量、网络通信设备的品牌型号和数量、Internet接入方式、网络安全和网络管理等内容。招投标

6随着采购行为和项目管理工作的正规化，当前大多数企业网络建设项目均采用公开招标或邀标的方式来进行，投标书的撰写是前期准备工作中的一个重要环节。投标书中内容一般包含本企业的资质介绍、该网络的需求分析、总体设计、详细设计、工程预算、工程建设时间、对用户培训和后期技术支持的承诺等。221.2企业网络建设的流程产品订货与供货

7当本企业获得甲方的建设权后，根据投标书中的承诺，开始进行产品供货，如本企业不能生产的产品就应该订货。结构化布线

8结构化布线属于企业网络的基础设施，它对企业网络的性能至关重要，现在很多线缆都采用架空式或直埋式，如果在后期使用时发现故障将造成重大经济损失。因此在布线时要选择国际通行的标准及符合标准的布线产品，还要考虑到电源线、网线布线的规范性，不能外漏电线或网线头，对所有线缆必须用标签标记，线路连接完成后应进行连通性测试，施工完成后应进行整体调试。231.2企业网络建设的流程硬件安装与调试

9硬件安装与调试是网络建设工作中的重要环节，安装的周期较长，也是技术难度较大的环节。其中包含防火墙、路由器、交换机等设备的硬件安装、软件配置，服务器及其机房设施的安装。软件安装与配置

10硬件安装完成后还需要配置相应的软件。主要是对操作系统、基础服务软件、数据库平台、防病毒系统、网络安全平台和网络管理平台等各种软件进行安装与调试，用户账户的分配和管理，安全访问规则的实现，网络软件和路由器、交换机等通信设备的协作等工作。要确保软件系统和硬件环境的协同、高效运行。241.2企业网络建设的流程系统测试

11系统测试的目的是检测网络系统能否满足用户的商务目标和技术目标。系统测试由网络施工单位和用户共同进行。通常系统测试的内容包括：验证该设计是否满足用户的商务、技术目标；测试网络布线是否达到企业网络通信的标准；测试选择的局域网和广域网设备是否能达到网络设计的要求；验证服务提供者是否能够提供要求的服务；测试网络的整体响应速度和数据吞吐量；发现可能存在的风险，拟订相应的应急措施。251.2企业网络建设的流程项目验收

12项目验收工作通常是用户组织的由用户管理部门、用户方、网络施工方、由用户聘请的顾问共同参加的对网络建设项目的正式验收。现场验收内容包括：环境是否符合要求；施工材料（如双绞线、光缆、机柜、网络通信设备、接线面板、信息模块等）是否按方案规定的要求供货；有无防火防盗措施；设备安装是否规范；线缆及线缆终端安装是否符合要求；布线各子系统、网络服务器、网络存储、网络应用平台、网络性能、网络安全、网络容错等的验收。261.2企业网络建设的流程系统维护与支持

13系统维护一方面是在网络性能检测或网络故障定位的基础上，对网络系统进行改造或修复，使其正常运行；另一方面，对网络系统进行扩充或改建，以适应企业发展需要或网络技术发展需要。后期技术支持是对用户管理和使用网络系统过程中遇到问题的技术支持，大多数是电话或网络咨询，必要时网络工程人员到现场进行技术支持。27下面是规划与设计信科公司企业网络的具体操作，共分3个任务，分别是企业网络需求分析、网络架构设计、绘制网络拓扑图。28任务一企业网络需求分析任务二企业网络架构设计任务三绘制网络拓扑图29任务一企业网络需求分析需求分析是是任何一个工程实施的第一个环节，也是一个网络工程成功与否最重要的部分。如果网络工程设计方没有对用户的需求进行充分的调研，不能与用户达成共识，那么实施项目过程中就会出现各种新的需求，影响工程项目的计划和质量，同时也会影响到项目的资金投入。30任务一企业网络需求分析步骤1

了解企业概况。信科公司是一家以生产与销售路由器、交换机等通信设备的高科技企业。信科公司总部设在北京，分公司设在上海。总部概况如表1-1所示，分公司概况如表1-2所示。部门前台财务部销售部客服部管理部人数2225122部门办公室人事部财务部销售部客服部工程部测试部研发部经理人数165440201518324表1-1信科公司总部部门结构表1-2上海分公司部门结构31任务一企业网络需求分析步骤2

收集用户需求。随着科技的发展，信科公司的规模不断扩大。目前的网络结构已经不能满足公司当前发展的需求。主要表现有网络不稳定，网络抖动现象频发，采用的网络线路连接存在成本高，周期长，不易管理等难题。因此需要建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率。步骤3

用户需求分析。通过新建立的企业网络实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到Internet，使公司保持与分公司及外界先进事物和合作伙伴、公司客户的密切联系。网络中的各类服务器设备、客户机设备、网络设备以及各种操作系统、应用软件将考虑技术上的先进性、国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护、升级。32任务一企业网络需求分析步骤4

了解企业网络升级需求。考虑今后功能和信息增长的要求，选择的计算机以及网络设备具有先进性，适应越来越多的信息种类（声音、动画等多媒体数据）以及信息量的处理及传输要求。主机系统采用主流的网络操作系统，达到快速响应、安全稳定的运行。通过网络系统实现全公司统一的打印管理服务。为防黑客入侵、病毒的影响，保证公司数据的安全，采用先进的防火墙技术。33任务二企业网络架构设计企业网络架构设计也叫总体结构设计，在网络架构设计阶段，并不要求设计出网络的具体指标和实现方法，而是制定明确的网络总体实施方案，同时确定网络实际的物理结构与逻辑结构的关系。企业网络架构设计包括：确定信息点的大致数量、数据中心机房选址、确定网络服务的规模及要求、网络拓扑结构和IP地址规划。34任务二企业网络架构设计知识库网络总体设计方案的好坏，直接影响整个网络系统的实施。在进行网络总体设计时要从以下几个方面考虑设计的目标和约束条件。（1）兼容性。如果该企业是在以前网络的基础上进行扩建，就要考虑新旧网络采用的技术和设备是否兼容，构建该企业网络采用的技术是否是获得多数设备制造厂家支持的主流技术，如果采用不同生产厂商的设备则他们的兼容性如何。（2）网络性能和安全性的要求。要构建网络的性能及安全性和该企业的投资规模有关，如果网络性能高、安全性好则建网成本就高。因此，在设计网络时要考虑设计的网络性能和安全性是否满足该企业的需求，或者是否要求过高了。（3）可管理性和易用性。企业网络在操作、管理、维护和升级上是否方便，采用的技术和产品能获得的技术支持人员是否足够多，是否需要投入更多的培训。（4）产品的可采购性。网络中用到的产品在国内或当地是否容易采购，产品的价格是否合理、产品的性能是否稳定，以及生产商的服务和发展前景如何等。35任务二企业网络架构设计步骤1

确定企业网络结点规模。信科公司网络建设项目中和甲方协商沟通得知其信息点公司总部概况如表1-3所示，上海分公司信息点概况如表1-4所示。表1-3信科公司北京总部概况表1-4信科上海分公司概况建筑楼层部门接入点行政楼1层大厅接待台8办公室202层人事部8财务部6会议室63层经理室8小会议室6综合楼1层产品展示中心502层销售部603层客服部35科技楼1层工程部252层测试部303层研发部60建筑楼层部门接入点同一栋楼的

两个楼层1层前台8销售部402层客服部25财务部8管理部636任务二企业网络架构设计知识库由大量独立的、但相互连接起来的计算机、工作站、服务器、终端设备、网络设备等组成的系统称为计算机网络系统，这其中每一个拥有自己唯一网络地址的设备都是网络结点。结点可以是工作站、客户、网络用户或个人计算机，还可以是服务器、打印机和其他网络连接的设备。37任务二企业网络架构设计步骤2

信科数据中心机房选址。在信科公司企业总部网络建设项目中，由于场地限制因素，只能选择综合楼3楼角落作为数据中心机房，该场地能满足机房建设的需要，但在后续建设中应做好防漏水和防雷工作。提示数据中心是企业网络的核心与枢纽，是数据交换中心和数据存储中心。机房中存放的设施设备数量较多，体形较大，价值较贵，一旦投入使用后，就难以再进行搬迁和更改。必须要确定选址后才能决定企业网络的拓扑规划和布线设计。机房环境必须满足交换机、服务器等电子设备和工作人员对温度、湿度、洁净度、电磁强度、屏蔽、防漏、电源质量、振动、防雷、接地和安全保卫等的要求。标准的机房必须具备防尘、防潮、防雷、抗静电、阻燃、绝缘、隔热、降噪声等物理环境，防盗设施齐全，应避开强磁场的干扰，应选择设在建筑物的中间层，方便管理和布线。38任务二企业网络架构设计步骤3

确定企业网络服务。为了更好地实现数据的传输和资源的共享，保证数据的安全和完整，还要加强基础服务的建设。信科公司需要的基础服务包含官方Web网站、FTP服务、E-mail服务、DNS服务、域控制服务、无线管理系统、虚拟化系统、网络管理系统、安全管理系统等。知识库企业建立网络的目的是利用网络的资源和服务来提高企业的工作效率和服务质量。在总体设计阶段通常从以下方面考虑。（1）网络操作系统。（2）用户设备之间的逻辑连接。（3）文件的传送和存取。（4）数据库系统和应用软件系统。（5）网站、电子邮件、视频点播、网管系统。（6）网络互联系统。（7）虚拟网络系统、防火墙系统。39任务二企业网络架构设计步骤4

企业网IP规划。信科公司企业网络建设项目中，虽然只有200人的用户规模，但信息点在350个左右，分别属于不同的办公楼和部门。信科公司企业网IP地址规划方案如下：网络中共有信息点在350个左右，建议选取B类地址～段为内部IP。网络中心基础网络IP段为，行政楼IP段为，综合楼使用，科技楼使用。总部网络分布于3栋建筑物中，建议每栋分配一个B类网段，每个部门一个C类网段。各部门采用不同的C类IP地址，方便数据隔离，降低泄漏机密信息的可能性；且便于数据的路由，以及路由器和防火墙对特定网段数据的安全过滤。所有网段的子网掩码都为24位，.1为网关地址，用户可用地址范围为11～250。40任务二企业网络架构设计提示网络IP地址的规划对企业网建设相当重要。从IP地址规划中可以看出一个网络的规划质量。IP地址一旦规划投入使用后，就不便更改。IP地址的规划对如下环节产生影响：路由协议的运行效率，网络的性能，网络的扩展，网络的管理。41任务三绘制网络拓扑图网络系统的拓扑结构是指网络各个结点（包括服务器、客户机和网络连接设备）的连接方式和形式。网络基本的拓扑结构有星型、环型、总线型和网状型，但任何一种拓扑结构都存在不同程度上的优点和缺点。在企业网络中根据企业的规模不同选择网络拓扑已不再是单一的结构，而是根据实际应用的需要，进行综合设计，在主干网拓扑结构确定后，子网进行适当组合。目前在实际应用中使用最多的是由多个星状结构组合成的树状或层次型拓扑结构。在网络工程应用中，一般使用AutoCAD或Visio绘制网络拓扑图。其中，Visio是由微软推出的一款专业的绘图软件，它提供了大量的图形素材，让用户可以方便地绘制网络拓扑图、工程图、流程图、布局图等。下面是使用Visio2010绘制信科公司网络拓扑图的操作步骤。42任务三绘制网络拓扑图步骤1

启动Visio2010，在打开的“新建”界面的“模板类别”下方选择“网络”模板，在打开的界面中选择要创建的网络拓扑图类型，本例选择“基本网络图”，单击“创建”按钮，如图1-1所示。图1-1选择“基本网络图”模板43任务三绘制网络拓扑图步骤2

从左侧的“形状”窗格中将需要在网络拓扑图中表现的设备图形拖到绘图区，如将“网络和外设”分类中的“服务器”图形拖到绘图区，如图1-2所示。将图形放入绘图区后，可以使用拖动方式改变其位置。此外，拖动图形四周的方形控制点可以调整图形大小，拖动图形上方的圆形控制点可旋转图形。图1-2将“服务器”图形拖到绘图区44任务三绘制网络拓扑图步骤3

从“形状”窗格中将其他需要的网络设备拖到绘图区。此外，我们还可以使用计算机中的其他图片，方法是：单击切换到“插入”选项卡，单击“插图”组中的“图片”按钮，如图1-3所示。图1-3单击“插入”选项卡中的“图片”按钮45任务三绘制网络拓扑图步骤4

在弹出的“插入图片”对话框中选择要插入的图片，然后单击“打开”按钮将图片置入Visio绘图区，如图1-4所示。图1-4选择要插入的图片46任务三绘制网络拓扑图步骤5

在绘制连线。在Visio2010中绘制连线有两种方法：一种是从“开始”选项卡“工具”组的“形状”按钮列表中选择“折线图”工具绘制；另一种是直接按下“工具”组中的“连接线”工具绘制，如图1-5所示。下面使用“折线图”工具绘制，首先在“形状”按钮列表中选择“折线图”工具。图1-5绘制连接线的工具47任务三绘制网络拓扑图步骤6

将鼠标光标移至要连接的图形边缘处，按住鼠标左键不放沿着要绘制的方向拖动，至目标位置后释放鼠标左键，如图1-6所示。如果需要绘制折线，可在要拐折处释放鼠标左键，然后将鼠标光标放置在上一段线条结尾处并按住鼠标左键沿着另一个方向拖动，至目标位置后释放鼠标左键。图1-6绘制连接线48任务三绘制网络拓扑图步骤7

为网络拓扑图中的设备添加标注。选择“指针工具”，在要添加标注的设备上双击鼠标左键，然后在弹出的文本框中输入标注文本即可，如图1-7所示。如果要移动标注的位置，可拖动标注上方的黄色棱形控制点调整，如图1-8所示。图1-7添加标注图1-8移动标注位置提示绘制好图形后，可选择“工具”组中的“指针工具”，在图形上单击选中图形，然后对图形进行移动、缩放和旋转等操作。49任务三绘制网络拓扑图步骤8

继续绘制其他图形，信科公司网络拓扑图最终效果如图1-9所示。图1-9信科企业网络拓扑图50本项目介绍了企业网络规划与设计阶段的主要工作内容。完成本项目后，读者应重点掌握以下知识。企业网是一个集计算机技术、网络通信技术、数据库管理技术为一体的大型网络系统。企业网络为公司整体营运的数字化和信息化奠定了物质基础，企业在此基础上可以开发和实现更多的网络服务和应用，比如资源共享、信息发布、数据存储等。企业网络的搭建流程是：需求分析>现场勘察>总体设计和详细设计>招投标>产品订货与供货>结构化布线>硬件安装与调试>软件安装与调试>系统测试>项目验收。网络系统的拓扑结构是指网络各个结点（包括服务器、客户机和网络连接设备）的连接方式和形式。网络基本的拓扑结构有星型、环型、总线型和网状型。了解交换机的主要参数及管理方式了解交换机的配置模式与基本配置命令了解交换机级联和堆叠技术了解交换机链路汇聚和连接生成树技术了解VLAN虚拟局域网掌握交换机的端口配置及VLAN划分掌握三层交换机的配置掌握交换机间的静态路由和动态路由配置实现多实例生成树技术5556交换机英文名称是“Switch”，它是集线器的升级换代产品。理论上讲，交换机就是按照通信两端传输信息的需求，将需要的信息发送到目标设备上的网络组件。本项目通过配置信科公司企业网络中的交换机，学习交换机的配置和管理方法。572.1IP地址与MAC地址2.2交换机的分类2.3交换机的主要参数2.4交换机的管理方式582.5交换机的配置模式与基本配置命令2.6交换机级联技术2.7交换机堆叠技术2.8交换机集群技术592.9交换机链路聚合技术2.10交换机连接生成树技术2.11交换机端口链路类型2.12VLAN虚拟局域网602.1IP地址与MAC地址IP地址

1IP地址用来识别网络中不同的计算机，如，网络上每台电脑的IP地址必须是唯一的。现有的互联网是在IPv4协议的基础上运行的。IPv6是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，而地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过IPv6以重新定义地址空间。IPv4采用32位地址长度，只有大约43亿个地址，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。612.1IP地址与MAC地址目前全球的IPv4地址非常紧张，企业已经不可能从ISP（Internet服务提供商）那里获得足够多的IP地址来为企业服务，最多也就是获得几个IP作为企业网出口服务地址。企业内部网络设备使用IP只能使用私有IP地址，如A类地址中的～55，B类地址中的～55，C类地址中的～55。具体选择时要选以上地址中的哪类，要根据企业的规模来决定。如果企业规模较大可选择B类地址，规模较小可选择C类地址。然后将ISP提供的公网地址用于需要外部访问的服务器和内部地址访问外部地址的转换地址，如WWW服务器、E-mail服务器等。622.1IP地址与MAC地址企业网IP地址规划应坚持以下基本原则。唯一性。一个IP网络中不能有两个主机采用相同的IP地址。连续性。连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性。地址分配在每一层次上都要留有余量，方便以后企业随着生产经营规模扩展后，网络终端的数量增加而还有可利用的IP地址。实意性。“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。632.1IP地址与MAC地址企业网络中IP地址规划存在一定的技巧，利用好这些技巧，分配出来的IP地址便于用户使用和记忆。可以根据业务层次对IP分段，也可以根据地域对IP分段。例如，每栋楼属于不同的B类网段，每层楼属于不同的C类网段，同一房间或部门的IP地址同属于一个C类网段。所有网关的IP统一使用相同的末位数字.1或.254。例如，一个部门的IP网关为，另一部门的网关为，这样便于路由配置和用户记忆。服务器及网络设备IP不要和用户IP在同一个网段，且服务器区域的基础网络服务和管理信息服务系统分属于不同的C类网段。642.1IP地址与MAC地址MAC地址

2MAC（Medium/MediaAccessControl）地址，实际上就是网卡的物理地址，它好比我们身份证上的身份证号码，具有全球唯一性。MAC地址采用十六进制数表示，共六个字节（48位）。其中，前三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码（高位24位），也称为“编制上唯一的标识符”（OrganizationallyUniqueIdentifier），后三个字节（低位24位）由各厂家自行指派给生产的适配器接口，称为扩展标识符（唯一性）。652.1IP地址与MAC地址IP地址与MAC地址的关系

3在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC地址。因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。两者之间分工明确，默契合作，完成通信过程。在一个稳定的网络中，IP地址和MAC地址是成对出现的。在数据通信时，IP地址负责表示计算机的网络层地址，网络层设备（如路由器）根据IP地址来进行操作；MAC地址负责表示计算机的数据链路层地址，数据链路层设备（如交换机）根据MAC地址来进行操作。IP和MAC地址这种映射关系由ARP（AddressResolutionProtocol，地址解析协议）协议完成。662.2交换机的分类交换机的分类标准有多种，常见的有以下几种：按性能分类

1根据交换机性能不同，常将交换机分为企业级交换机、部门级交换机和工作组交换机，如图2-1所示。图2-1交换机按性能分类672.2交换机的分类企业级交换机属于高端交换机，一般采用模块化的结构，可作为企业网络骨干构建高速局域网，通常用于企业网络的顶层。此类交换机不仅能传送海量数据和控制信息，更具有硬件冗余和软件可伸缩性等特点，保证网络的可靠运行。企业级交换机通常支持500个信息点以上的大型企业应用。部门级交换机是面向部门级网络使用的交换机。这类交换机可以是固定配置，也可以是模块配置，一般除了常用的RJ45双绞线接口外，还带有光纤接口。部门级交换机一般支持基于端口的VLAN，可实现端口管理，可任意采用全双工或半双工传输模式，可对流量进行控制，有网络管理的功能，可通过计算机的串口或网络对交换机进行配置、监控和测试。部门级交换机通常支持300个信息点以下的中型企业应用。工作组级交换机一般为固定配置。此类交换机一般没有网络管理的功能，通常应用在100个信息点以下的小型企业。682.2交换机的分类按结构分类

2按结构划分，交换机可以分为固定端口交换机和模块化交换机两类。固定端口的交换机提供有限数量和类型的网络接口，用户不能改变其结构。而模块化交换机提供一些标准化插槽，具有较高的灵活性和可扩充性。模块化交换机价格较贵，一般用在企业的信息中心，有利于企业网络以后的扩容和升级；在楼层的设备间一般选择固定端口的交换机，这样可以节省成本，即使以后要进行扩容，只需增加一定数量的设备即可。692.2交换机的分类按外型分类

3从外型划分，交换机可分为机架式交换机和桌面式交换机两类，如图2-2所示。图2-2交换机按外型分类702.2交换机的分类机架式交换机有标准的外形尺寸，它的宽度为19英寸，高度为1U（1U=1.75英寸=4.445厘米）的倍数，可以安装在标准机柜中。这类交换机通常都有大于8的端口数量，性能比桌面式交换机强，常用于中大型企业。桌面式交换机外形尺寸没有固定的规范，通常体形都较小，价格便宜，直接放置在桌面上使用。它提供的端口数量也较少，常为5口或8口，主要用于在扩大了规模的工作区子系统，连接一个办公室的几台计算机。712.2交换机的分类按协议层划分

4二层交换机是对应于OSI的第二协议层来定义的，因为它只能工作在OSI模型的数据链路层。第二层交换机依赖于链路层中的信息（如MAC地址）完成不同端口数据间的线速交换，主要功能包括物理编址、错误校验、帧序列以及数据流控制。在中小企业网络中楼层交接间通常选择普通二层交换机。三层交换机可以工作在网络层，它比第二层交换机更加高档，功能更强，具有路由功能。它可以实现不同网段间数据的线速交换。通过三层交换机可以设置访问控制列表，限制VLAN网段之间的访问，保障数据安全。通常在企业的部门与部门之间进行互连时使用三层交换机。四层交换机是采用第四层交换技术的交换机产品，它工作于OSI模型的传输层，直接面对具体应用。四层交换机支持多种协议，如HTTP、FTP、Telnet、SSL等。四层交换机相对原来的第二层、第三层交换技术具有明显的优点，不过目前四层交换机的价格较高，可用在高数据流量的特定应用环境，小型企业不建议使用。722.3交换机的主要参数目前交换机的品牌较多，应用技术不同，不同的交换机所能提供的性能也不一样，交换机的主要参数包括以下几项。732.3交换机的主要参数MAC地址表

1交换机可以识别网络中结点的网卡MAC地址，并把它们保存到MAC地址表中。这个MAC地址表存放于交换机的缓存中，当需要向目的地址发送数据时，交换机会从MAC地址表中查找这个MAC地址的结点位置，然后直接向这个位置的结点发送。所谓MAC地址数量是指交换机的MAC地址表中最多可存储的MAC地址数，存储的MAC地址数越多，那么数据转发的速度就越高。在交换机的每个端口，都需要足够的缓存来记忆这些MAC地址，缓存容量的大小决定了交换机所能记忆的MAC地址数量的多少。越是高档的交换机能记住的MAC地址数量就越多。通常交换机只要能够记忆1024个MAC地址就可以满足大部分需求了，而一般的交换机都能做到这一点，除非此交换机要连接大规模的网络。742.3交换机的主要参数详细设计

2交换机的端口数量是交换机最直观的衡量因素，通常此参数是针对固定端口交换机而言，常见的标准的固定端口交换机端口数有8、16、24、48等。而非标准的端口数主要有：4、5、10、12、20、22、32等。传输速率

3交换机的传输速率是指交换机端口的数据交换速度。目前常见的有100Mb/s、1000Mb/s、10000Mb/s等几类。10M/100Mb/s自适应交换机适合工作组级别使用，1000Mb/s交换机一般应用在部门级以上的应用当中。10000Mb/s的交换机主要用在电信等骨干网络上。752.3交换机的主要参数背板带宽

4交换机的背板带宽又称交换带宽，是交换机接口处理器或接口卡和数据总线之间所能吞吐的最大数据量，它决定着交换机的数据处理能力，单位为Gb/s。一般交换机的背板带宽从几Gb/s到上百Gb/s不等。交换机的背板带宽越高，所能处理数据的能力就越强，但同时设计成本也会越高。背板带宽（Gb/s）：32表示交换机是GByte型，交换32G的数据只需要32/8=4s。包转发率

5包转发率也称吞吐量，单位是p/s（包每秒），也就是交换机每秒可以转发多少个数据包。交换机的转发速率=千兆端口数量×1.488Mp/s+百兆端口数量×0.1488Mp/s。因为包转发线速的衡量标准是以单位时间内发送64B的数据包（最小包）的个数作为计算基准的。对于千兆以太网来说，包转发率的计算方法是1000000000b/s/8b/（64+8+12）B=14888095p/s=1.488Mp/s。762.3交换机的主要参数交换方式

6目前交换机在传送源和目的端口的数据包时通常采用直通式交换、存储转发式和碎片隔离方式三种数据包交换方式。存储转发式是目前交换机的主流交换方式。772.3交换机的主要参数（1）直通交换方式（Cut-throungh）。采用直通交换方式的以太网交换机在输入端口检测到一个数据帧时，检查该帧的包类，获取帧的目的地址，启动内部的动态查找表转换成相应的输出端口，在输入与输出交叉处接通，把数据帧直通到相应的端口，实现交换功能。由于直通交换方式只检查数据帧的包头（通常只检查14个字符），不需要存储，所以切入方式具有延迟小，交换速度快的优点。它的缺点主要有三个方面：一是因为数据帧内容并没有被以太网交换机保存下来，所以无法检查所传的数据帧是否有误，不能提供错误检测能力；第二，由于没有缓存，不能将具有不同速率的输入/输出端口直接接通，而且容易丢帧。第三，当以太网交换机的端口增加时，交换矩阵变得越来越复杂，实现起来就越困难。782.3交换机的主要参数（2）存储转发方式（Store-and-Forward）。它是计算机网络领域使用得最为广泛的技术之一，以太网交换机的控制器先将输入端口到来的数据帧缓存起来，检查数据帧是否正确，并过滤掉冲突错误帧。确定帧正确后，取出目的地址，通过查找表找到想要发送的输出端口地址，然后将该包发送出去。存储转发方式的缺点是数据处理时间较长，但是它可以对进入交换机的数据包进行错误检测，可有效地改善网络性能。它的另一优点就是这种交换方式支持不同速度端口间的转换，保持高速端口和低速端口间协同工作。实现的办法是将100Mb/s低速包存储起来，再通过1000Mb/s速率转发到端口上。792.3交换机的主要参数（3）碎片隔离式（FragmentFree）。它是介于直通式和存储转发式之间的一种解决方案。它在转发前先检查数据帧的长度是否够64B（512b），如果小于64B，说明是假包（或称残帧），则丢弃该帧；如果大于64B，则发送该帧。该方式的数据处理速度比存储转发方式快，但比直通式慢，由于它能够避免错误帧的转发，所以被广泛应用于低档交换机中。802.3交换机的主要参数交换容量

7交换容量是交换机的二层包转发率指标，单位是b/s，该指标才是真正反映交换机性能的指标。交换机上所有端口能提供的总带宽计算公式为端口数×相应端口速率×2（全双工模式）。例如，一台32口的100Mb/s交换机的总带宽=32×100Mb/s×2=6.4Gb/s。812.4交换机的管理方式带内管理

1交换机的管理方式可以分为：带内管理与带外管理。带内管理主要分为：TELNET，WEB与SNMP。TELNET远程管理是指通过Telnet程序远程登录到交换机。WEB方式是指通过网页的行式进行交换机的管理与配置。SNMP是指利用网管软件基于SNMP协议统一对网络中的设备进行配置管理。822.4交换机的管理方式带外管理

2带外管理是指通过交换机的Console口管理交换机，特点是无需占用交换机的网络接口，但线缆特殊，配置距离短。通常用户会在首次配置交换机或者无法进行带内管理时使用带外管理方式。832.5交换机的配置模式与基本配置命令Setup模式

1交换机的配置模式包括用户模式、特权模式、全局配置模式、接口配置模式、Line配置模式和Setup模式等。交换机出厂后第一次启动的时候会自动进入Setup配置模式。Setup配置大多是以菜单的形式出现的，该模式使用一问一答的方式实现对交换机的基本配置，例如，修改交换机提示符、配置交换机IP地址、启动Web服务等。要进入Setup模式，可在特权模式下键入“setup”命令。需注意的是，并不是所有的交换机都支持Setup配置模式。842.5交换机的配置模式与基本配置命令用户模式（UserEXEC）

2登录交换机后，首先进入用户模式。在此模式下，用户可以执行有限的命令，包括查看交换机的软、硬件基本信息，对网络进行简单测试。例如，可使用ping命令测试设备的连通性。以下是交换机在用户模式下的命令状态行。其中，Switch为交换机的默认主机名。Switch> //用户模式的命令状态行852.5交换机的配置模式与基本配置命令特权模式（PrivilegedEXEC）

3如果用户想要对交换机进行进一步配置与管理，就需要进入特权模式。进入特权模式后，用户可以查看交换机的配置信息及执行配置交换机的命令。在用户模式下输入enable命令并回车会进入特权模式。如果用户设置了密码，则还需要按照系统提示输入密码并回车。Switch>enable //进入特权模式Password: //密码输入时不显示Switch# //特权模式的命令状态行862.5交换机的配置模式与基本配置命令全局配置模式（Globalconfiguration）

4全局配置模式属于特权模式的下一级模式。在此模式下，用户可以配置交换机的全局性参数，如主机名。在特权模式下输入configureterminal命令并回车，即可进入全局配置模式。Switch#configureterminal //进入全局配置模式Switch(config)# //全局配置模式的命令状态行872.5交换机的配置模式与基本配置命令接口配置模式（Interfaceconfiguration）

5接口配置模式属于全局模式的下一级模式。在此模式下，用户可以对交换机的接口进行配置，并且只能执行配置交换机接口的命令。在全局模式下，输入interfaceinterface-type（interface-type为接口类型）命令并回车，即可进入接口配置模式。例如：Switch(Config)#interfacevlan1 //进入vlan1接口Switch(Config-If-Vlan1)# //接口配置模式的命令状态行Switch(Config)#interfaceethernet0/0/1//进入以太网的0/0/1接口Switch(Config-Ethernet0/0/1)#882.5交换机的配置模式与基本配置命令VLAN配置模式

6在全局配置模式，使用命令vlan<vlan-id>就可以进入到相应的VLAN配置模式。在VLAN配置模式，用户可以配置属于VLAN的成员端口。执行exit命令即可从VLAN配置模式退回到全局配置模式。例如：Switch(config)#vlan10 //进入vlan10Switch(config-vlan)#nameHR //设置vlan10的名字Switch(config-vlan)#exit //退出VLAN配置模式892.6交换机级联技术级联可以定义为两台或两台以上的交换机通过一定的方式相互连接，根据需要，多台交换机可以以多种方式进行级联，如图2-3所示。在较大的局域网，例如园区网（校园网）中，多台交换机按照性能和用途一般形成总线型、树型或星型的级联结构。图2-3交换机级联902.6交换机级联技术城域网是交换机级联的典型例子，目前各地电信部门已经建成了许多市地级的宽带IP城域网。这些宽带城域网自上向下一般分为3个层次：核心层、汇聚层、接入层。核心层一般采用千兆/万兆以太网技术，汇聚层采用1000M/100M以太网技术，接入层采用100M/10M以太网技术。宽带城域网实际上就是由各层次的多台交换机级联而成的。核心交换机（或路由器）下连若干台汇聚交换机，汇聚交换机下联若干台小区中心交换机，小区中心交换机下连若干台楼宇交换机，楼宇交换机下连若干台楼层（或单元）交换机。912.6交换机级联技术交换机间一般是通过普通用户端口进行级联，有些交换机则提供了专门的级联端口（UplinkPort）。这两种端口的区别仅仅在于普通端口符合MDIX标准，而级联端口（或称上行口）符合MDI标准。由此导致了两种方式下接线方式不同：当两台交换机都通过普通端口级联时，端口间电缆采用交叉电缆（CrossoverCable）；当且仅当其中一台通过级联端口时，采用直通电缆（StraightThroughCable）。为了方便进行级联，某些交换机上提供一个两用端口，可以通过开关或管理软件将其设置为MDI或MDIX方式。更进一步，某些交换机上全部或部分端口具有MDI/MDIX自校准功能，可以自动区分网线类型，进行级联时更加方便。922.7交换机堆叠技术堆叠是指将一台以上的交换机组合起来共同工作，以便在有限的空间内提供尽可能多的端口，如图2-4所示。多台交换机经过堆叠形成一个堆叠单元。可堆叠的交换机性能指标中有一个“最大可堆叠数”的参数，它是指一个堆叠单元中所能堆叠的最大交换机数，代表一个堆叠单元中所能提供的最大端口密度。图2-4交换机堆叠932.7交换机堆叠技术堆叠与级联这两个概念既有区别又有联系。堆叠可以看作是级联的一种特殊形式。它们的不同之处在于：级联的交换机之间可以相距很远，而一个堆叠单元内的多台交换机之间的距离非常近，一般不超过几米；级联一般采用普通端口，而堆叠一般采用专用的堆叠模块和堆叠电缆。一般来说，不同厂家、不同型号的交换机可以互相级联，堆叠则不同，它必须在可堆叠的同类型交换机（至少应该是同一厂家的交换机）之间进行；级联仅仅是交换机之间的简单连接，堆叠则是将整个堆叠单元作为一台交换机来使用，这不但意味着端口密度的增加，而且意味着系统带宽的加宽。942.7交换机堆叠技术目前，市场上的主流交换机可以细分为可堆叠型和非堆叠型两大类。而号称可以堆叠的交换机中，又有虚拟堆叠和真正堆叠之分。所谓的虚拟堆叠，实际就是交换机之间的级联。交换机并不是通过专用堆叠模块和堆叠电缆，而是通过FastEthernet端口或GigaEthernet端口进行堆叠，实际上这是一种变相的级联。即便如此，虚拟堆叠的多台交换机在网络中已经可以作为一个逻辑设备进行管理，从而使网络管理变得简单起来。真正意义上的堆叠应该满足：采用专用堆叠模块和堆叠总线进行堆叠，不占用网络端口；多台交换机堆叠后，具有足够的系统带宽，从而保证堆叠后每个端口仍能达到线速交换；多台交换机堆叠后，VLAN等功能不受影响。952.7交换机堆叠技术目前市场上有相当一部分可堆叠的交换机属于虚拟堆叠类型而非真正堆叠类型。真正意义上的堆叠比虚拟堆叠在性能上要高出许多，但采用虚拟堆叠至少有两个好处：虚拟堆叠往往采用标准FastEthernet或GigaEthernet作为堆叠总线，易于实现，成本较低；堆叠端口可以作为普通端口使用，有利于保护用户投资。采用标准FastEthernet或GigaEthernet端口实现虚拟堆叠，可以大大延伸堆叠的范围，使得堆叠不再局限于一个机柜之内。堆叠的优势是具有足以匹敌大型机架式交换机的端口密度和性能，而投资却比机架式交换机便宜得多，实现起来也灵活得多。962.8交换机集群技术集群技术可以将相互连接的多台交换机作为一个逻辑设备进行管理，从而大大降低了网络管理成本，简化管理操作，如图2-5所示。图2-5交换机集群拓扑图972.8交换机集群技术命令交换机：在集群中，唯一的可以配置和管理整个集群的交换机，也是在集群中唯一具有公网IP地址的交换机。命令交换机通过收集NDP（NeighborDiscoveryProtocol，邻居发现协议）和NTDP（NeighborTopologyDiscoveryProtocol，邻居拓扑发现协议）信息来发现和确定候选交换机。在命令交换机统一管理下，集群中多台交换机协同工作，降低了管理强度。成员交换机：集群中被管理的交换机。候选交换机：具有加入集群能力，但还没有加入任何集群的交换机。独立交换机：未启用集群功能的交换机。提示交换机的级联、堆叠、集群这3种技术既有区别又有联系。级联和堆叠是实现集群的前提，集群是级联和堆叠的目的；级联和堆叠是基于硬件实现的；集群是基于软件实现的；级联和堆叠有时很相似（尤其是级联和虚拟堆叠），有时则差别很大（级联和真正的堆叠）。982.9交换机链路聚合技术链路聚合（LinkAggregation）又称为端口汇聚，是指将两台交换机之间在物理上将两个或多个端口连接起来，将多条链路聚合成一条逻辑链路，以实现出/入流量在各成员端口中的负荷分担，从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的数据转发，如图2-6所示。图2-6交换机链路聚合拓扑图992.9交换机链路聚合技术链路聚合的方式主要有以下两种：静态Trunk：静态Trunk将多个物理链路直接加入Trunk组，形成一条逻辑链路。动态LACP：LACP（LinkAggregationControlProtocol，链路聚合控制协议）是一种实现链路动态汇聚的协议。LACP为交换数据的设备提供一种标准的协商方式，以供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后，LACP负责维护链路状态，在聚合条件发生变化时，自动调整或解散链路聚合。链路聚合往往用在两个重要结点或繁忙结点之间，既能增加互联带宽，又提供了连接的可靠性。1002.10交换机连接生成树技术在网络设计中，为了增强通信链路的可靠性，一般会在交换机之间设计一条或多条冗余链路。虽然冗余链路的添加可以保证链路的正常通信，但也可能会导致环路的产生。在广播密集型的网络中，环路会形成广播风暴，从而导致网络全部堵塞。对于二层以太网来说，整个局域网之间只能有一条活动链路，否则就会产生环路，形成广播风暴。但是为了加强一个局域网的可靠性，建立冗余链路又是十分必要的，因此，其中的一些通路必须处于备份状态，若网络发生故障，活动链路失效时，冗余链路就必须被提升为活动状态。生成树协议（Spanning-TreeProtocol，STP）能帮我们自动完成这项工作。生成树协议的主要功能有两个：一是利用生成树算法在以太网络中创建一个以某台交换机的某个端口为根的生成树，避免环路。二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。1012.10交换机连接生成树技术常用的生成树协议如表2-1所示。协议标准STP（SpanningTreeProtocol，生成树协议）IEEE802.1dRSTP（RapidSpanning-TreeProtocol，快速生成树协议）IEEE802.1wMSTP（MultipleSpanning-TreeProtocol，多生成树协议）IEEE802.1s表2-1常用的生成树协议1022.10交换机连接生成树技术STP协议

1STP是一个数据链路层的管理协议，通过有选择性地阻塞网络冗余链路来达到消除网络环路的目的，同时具备链路冗余备份的功能。STP的基本思想就是要生成一个稳定的树型拓扑网，树的根是一台称为根桥的交换机，从根交换机开始，逐级形成一棵树，交换机为树的节点，链路为树枝。根交换机定时发送配置报文，非根交换机接收配置报文并转发给下一级。树型结构中的每一个节点，都只有一个父节点。我们规定每一条活动链接连接的父节点都不相同。1032.10交换机连接生成树技术当一台交换机从两个以上的端口接收到配置报文时，则说明该交换机的父节点不止一个。此时交换机需要根据端口的配置选出一个端口设置为转发状态，并将其他的端口设置为阻塞状态，从而确保当前的父节点只有一个。处于阻塞状态的端口所对应的链路称为备份链路。当某个端口长时间不能接受到配置报文时，交换机会认为该父节点已经失效，网络拓扑结构可能改变，此时生成树就会重新计算，激活其他的备份链路，生成新的树型拓扑，并强制原来的故障链路变为备份链路，这时端口状态也会随之改变，以保证数据的传输路径是唯一的。1042.10交换机连接生成树技术如图2-7所示：从PC0到达PC1的数据帧会经过中间由三台交换机组成的环路，STP协议会选择一条最短的路径让数据帧从PC0到达PC1。假如STP协议通过计算，认为走2路——3路到达PC1是最短路径，那么1路就会处于非激活状态，即1路上有关的端口会处于堵塞状态。如果交换机S1出现了故障导致2路和3路不能走了，那么STP就会激活1路，确保数据帧能够到达PC1。图2-7STP工作原理1052.10交换机连接生成树技术STP的扩展协议——RSTP

2为了解决STP协议的重新收敛时间过长的问题，在本世纪初，IEEE推出了802.1w标准，作为对802.1D标准的扩充。在IEE802.1w标准中定义了RSTP（RapidSpanningTreeProtocol，快速生成树协议）协议。1062.10交换机连接生成树技术RSTP在物理拓扑结构变化或配置参数发生变化时，显著地减少了网络拓扑的重新收敛时间。除了根端口和指定端口外，快速生成树协议新增了两种端口角色——替代端口（AlternatePort）和备份端口（BackupPort），这两种新的端口用于取代阻塞端口。替代端口：替代端口为当前的根端口到根交换机的连接提供了替代路径，也就是说替代端口是根端口的替补。备份端口：备份端口提供了到达同一网络的备份路径。当一个交换机有两个端口都连接在一个LAN上时，高优先级的端口为指定端口（DesignatedPort），低优先级的端口为备份端口。也就是说备份端口是一个指定端口的替补。RSTP是STP的扩展，其主要特点是增加了端口状态快速切换机制，能够实现网络拓扑结构的快速转换。如果一个局域网内的交换机都支持RSTP协议且管理员配置得当，一旦网络拓扑结构改变而需重新生成拓扑树时，只需要不超过1s的时间。1072.10交换机连接生成树技术MSTP协议

3STP/RSTP协议不支持VLAN，局域网内的所有交换机共享一棵生成树。为了解决上述问题，产生了MSTP协议。MSTP协议是在STP/RSTP协议的基础上发展而来的新的生成树协议，解决了RSTP中不同VLAN必须运行在同一颗生成树上的问题，并且还能够通过形成多棵生成树实现负载均衡。MSTP的基本原理与STP/RSTP大同小异，可简单概述如下：MSTP协议将整个交换网络划分为多个区域（称为MST域），经过比较配置消息后，在整个交换网络中选择一个优先级最高的交换机作为整个交换网络的树根（我们称整个交换网络的生成树为CIST，公共生成树）。在每个MST域内通过计算生成一个在CIST中代表该区域的生成树（称为IST，内部生成树）。在交换机上可以通过配置命令将1～4094个VLAN分配给不同的多生成树实例，每个VLAN有且只能分配给一个多生成树实例。1082.11交换机端口链路类型交换机以太网端口共有三种链路类型：Access、Trunk和Hybrid。三种类型的端口可以共存在一台以太网交换机上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。1092.12VLAN虚拟局域网认识VLAN

1VLAN（VirtualLocalAreaNetwork），中文名为虚拟局域网，是一种使用交换机将局域网内的设备在逻辑上划分成一个个网段的技术，即在物理网络上进一步划分逻辑网络，如图2-8所示。图2-8使用交换机划分VLAN1102.12VLAN虚拟局域网VLAN可以突破地理位置的限制，完全基于实际管理需要来划分网络。例如，在一个企业中，可以按部门来组建VLAN，而不管这些部门的计算机在哪个位置。VLAN具有与普通局域网相同的属性。第二层的单播、多播和广播帧只能在相同的VLAN内转发、扩散，而不会直接进入其他VLAN。因此，同一VLAN内的主机即使位于不同的交换机上，也可以相互访问；而不是同一VLAN的主机，即使连接在同一交换机上，也无法通过数据链路层相互访问。提示如果一个VLAN内的主机想访问另一个VLAN内的主机，必须通过一个三层设备（如路由器或三层交换机）实现，具体操作我们会在项目实施部分介绍。1112.12VLAN虚拟局域网VLAN的优点

2（1）控制网络的广播域。根据交换机的工作原理可以得知，当交换机不知道将一个数据帧从哪个端口转发出去时，会将该数据帧从所有其他端口发送，形成一个网络广播域，这样一方面会导致网络带宽的浪费，一方面许多通过广播方式传播的病毒可能迅速在整个网络中传播。如果配置了VLAN，则交换机只将此数据帧广播到属于该VLAN的其他端口，这样，就将广播域限制在了一个VLAN内，从而提高了网络效率和安全性。1122.12VLAN虚拟局域网（2）提高组网的灵活性。VLAN可以在逻辑上实现终端设备的分组，即在不改变网络物理连接的情况下，根据部门职能或应用等，将不同地点、不同网络的终端设备划分到不同的逻辑网络中，从而大大提高了组网的灵活性，简化了网络管理的工作。（3）提高网络的安全性。默认情况下，VLAN之间是不能直接通信的，这样就提供了网络的安全性。例如，对于有较高安全性要求的终端设备，可以将其划分为一个VLAN，从而确保了该VLAN中的信息不会被其他VLAN中的用户轻易窃取。1132.12VLAN虚拟局域网VLAN的实现方法

3VLAN的实现方法大致可以分为以下几种。（1）基于端口的VLAN。基于端口的VLAN是划分网络最简单有效和最常用的方法。它将交换机端口在逻辑上划分为不同的分组，从而将端口连接的终端设备划分到不同的VLAN中。其中，同一分组中的端口可以是同一台交换机上的，也可以是不同交换机上的。使用该方法划分网络时，一旦交换机的端口配置完成，端口属于哪个VLAN就固定不变了，不用考虑其所连接的终端设备的类型，因此使用该方法创建的VLAN也称为静态VLAN。基于端口的VLAN的缺点是当某一VLAN中的用户离开了原来的端口（如移动到另外一个端口）时，往往需要重新配置VLAN。1142.12VLAN虚拟局域网（2）基于MAC地址的VLAN。基于MAC地址的VLAN按照终端设备的MAC地址来划分网络，即将不同MAC地址的终端设备划分到指定的VLAN中。基于MAC地址的VLAN也称为动态VLAN。基于MAC地址的VLAN的优点是当终端设备的物理位置发生变化时（如重新连接到不同的交换机端口），不用再重新配置VLAN；缺点是需要对网络中所有终端设备的MAC地址进行登记，当网络规模较大时，会导致配置和管理网络的难度增加。（3）基于网络层的VLAN。基于网络层的VLAN根据终端设备的网络层地址或者上层运行的协议来划分网络。在该方式下，交换机虽然会查看每个数据包的IP地址或协议，并根据IP地址或协议决定该数据包属于哪个VLAN，然后进行转发，但并不进行路由，只进行二层转发。基于网络层的VLAN会耗费交换机的资源和时间，导致网络的通信速度下降。1152.12VLAN虚拟局域网（4）基于IP组播的VLAN。基于IP组播的VLAN将VLAN扩大到了广域网，它认为一个组播网就是一个VLAN。这种方式灵活性强，而且容易通过路由器进行扩展，缺点是效率较低，不适合局域网。（5）基于策略的VLAN。基于策略的VLAN包含多种实现VLAN的方式，如基于交换机端口、基于MAC地址、基于IP地址等，网络管理人员可以根据实际管理需要选择其中的一种方式。116任务一交换机的端口配置任务二交换机的VLAN划分任务三交换机间的相同VLAN的通信任务四三层交换机实现不同VLAN间的互访117任务五交换机的RIP动态路由配置任务六交换机间OSPF动态路由配置任务七实现多实例生成树技术118任务一交换机的端口配置用户会在首次配置交换机或者当交换机的配置出现变更，导致带内管理失效时，需要使用带外管理对交换机进行配置。例如，用户希望通过远程Telnet或HTTP来访问交换机时，必须首先通过Console口给交换机配置一个IP地址。下面以神州数码三层交换机DCRS-5650-28为例介绍用户进行带外管理的具体操作。119任务一交换机的端口配置步骤1

在关闭电源的情况下，用Console线的一端与计算机的RS-232串口相连；另一端与交换机的Console口相连。步骤2

连接成功后，打开交换机与计算机的电源，待计算机启动完成后选择“开始”>“程序”>“附件”>“通讯”>“超级终端”选项，打开Windows系统自带超级终端。提示Windows系统自带超级终端在WindowsServer2003系统之后已经被取消，而且很多计算机已经用USB接口取代了RS-232串口。这使得配置线缆的RS-232接口与计算机的USB接口不匹配、计算机上缺少了登录交换机的软件——超级终端。为了解决上述问题，我们可以购买USB转DB9针RS232串口线，在计算机的USB接口与配置线缆的RS-232接口之间进行硬件匹配，然后从网上搜索并下载与当前计算机系统匹配的“超级终端”应用程序，如HyperTerminal（Windows7超级终端），然后通过该应用程序登录交换机。120任务一交换机的端口配置步骤3

在打开的“连接描述”对话框中，为建立的超级终端命名，本例命名为“S_A”，如图2-9所示。步骤4

单击“确定”按钮，系统弹