【网络安全】网络基础第一阶段——第三节：网络协议基础---- VLAN、Trunk与三层交换技术

目录

一、交换机

1.1 交换机定义

1.1.1 交换机

1.2 工作原理

1.2.1 数据帧的转发

1.2.2 交换机处理数据帧的三种行为

1.2.3 交换机通信

二、虚拟局域网（VLAN）

2.1 虚拟局域网简介

2.1.1 为什么需要VLAN

2.1.2 广播域的分割与VLAN的必要性

2.1.3 VLAN使用场景

2.2 VLAN机制详解

2.2.1 实现VLAN的机制

2.2.2 直观描述VLAN

2.2.3 需要VLAN间通信时应该怎么办

2.3 VLAN的访问链接

2.3.1 交换机的端口类型

2.3.2 访问链接（Access Link）

2.4 VLAN的汇聚链接（Trunk Link）

2.4.1 汇聚链接定义

三、VLAN间通信

3.1 VLAN间路由

3.1.1 使用路由器进行VLAN间路由

3.1.2 同一VLAN及不同VLAN内通信

3.2 三层交换机

3.2.1 三层交换机（Layer 3 Switch）

3.2.2 使用三层交换机进行VLAN间路由

四、路由实验

4.1 VLAN间通信

4.2 单臂路由

4.3 三层交换机

---

一、交换机

1.1 交换机定义

交换机（Switch）是一种基于帧的目的地址过滤、转发或泛洪的网络设备，也被称为多端口网桥。它工作在OSI模型的第二层（数据链路层），主要处理以太网帧的转发。

想象一下，你在一个繁忙的邮局工作。邮局里有很多信箱，每个信箱都有一个特定的编号，就像网络中的每个设备都有一个独一无二的MAC地址。你的工作是确保每封信都能准确无误地送到正确的信箱。

1. 分拣信件：当一封信寄到邮局时，你会查看信封上的地址（在网络中就是MAC地址），然后决定把它放到哪个信箱里。这就是交换机的“帧转发”功能。
2. 记住地址：每当你把信放到一个信箱，你就会记住这个地址对应的是哪个信箱。这样，下次再有同样地址的信来时，你就能直接把它放到正确的信箱，而不用每次都检查。这就像是交换机的“地址学习”。
3. 检查错误：如果信封破损或者地址模糊不清，你可能会把它放到一个特殊的“问题信件”区域，等待进一步的处理。交换机也会检查数据包是否有错误，并进行相应的处理。
4. 控制广播：有时候，一封信需要被送到邮局里的每个信箱，这就是广播。但是，如果每封信都这样处理，邮局就会非常混乱。所以，你会控制这种广播信件的数量，确保邮局的秩序。交换机也会控制广播流量，避免网络拥堵。
5. 创建子邮局：邮局里可能会有专门的区域，比如“国际邮件区”或“本地邮件区”，这样可以让邮件处理更有效率。交换机的VLAN功能就像是在一个大邮局里创建了多个小邮局，每个小邮局都有自己的信箱和规则。
6. 堆叠信箱：如果你有很多信箱，可能会把它们堆叠起来，这样看起来更整洁，管理起来也更方便。交换机的堆叠功能就是把多个交换机组合起来，像一个单一的设备一样管理。
7. 信箱安全：你可能会限制每个信箱可以接收的信件数量，以防止某个信箱被过多的信件塞满，或者防止不相关的信件进入。交换机的端口安全功能也是类似的，它限制了连接到每个端口的设备数量，以保护网络的安全。

总的来说，交换机就像是网络中的邮局，它确保数据（信件）能够快速、准确地被送到正确的目的地（信箱）

1.1.1 交换机

交换机的核心作用是：隔离冲突域，交换机每个接口都有一个网卡（计算机或交换机通过网卡交换数据）一块网卡的MAC地址（48位）是全球唯一的，故能唯一确定一台交换机。

在计算机网络中，数据传输可以通过不同的方式进行，其中最常见的三种是单播、组播和广播。这些术语描述了数据包在网络中的传输方式。在实际的网络设备，如交换机中，这些传输方式是这样工作的：

• 单播帧：交换机会查看数据包的目的地MAC地址，并根据其内部的MAC地址表将数据包转发到正确的端口。如果地址表中没有这个MAC地址，交换机可能会将数据包发送到所有端口（泛洪），直到学习到正确的端口。
• 广播帧：全F，组播数据包的目的地是一个组播地址。交换机会识别这个地址，并根据其组播配置将数据包转发到所有订阅了该组播地址的端口。
• 组播帧：默认第8位组播位为1，广播数据包的目的地是一个特殊的广播地址，这意味着网络上的所有设备都应该接收这个数据包。交换机会将这些数据包转发到所有端口，不管设备是否需要这些数据。

交换机启动后先学再转发，将接口和从该接口收到的源mac地址做一个记录，生成MAC表，正常300秒超时，如果被覆盖立即更新。

1.2 工作原理

1.2.1 数据帧的转发

帧的接收：交换机从端口接收数据帧

地址表查找：交换机查看帧目录的MAC地址，并在其MAC地址表中查找对应的端口，MAC地址表记录了MAC地址与交换机端口的映射关系

• 查找成功：如果找到匹配的条目，交换机将帧转发到响应的端口（排除源端口）
• 查找失败：如果未找到匹配的条目，交换机将帧泛洪到除了接收端口之外的所有端口

1.2.2 交换机处理数据帧的三种行为

在计算机网络中，交换机处理数据包的三种基本方式是泛洪（Flooding）、转发（Forwarding）和丢弃（Dropping）。这些操作帮助交换机决定如何处理进入的数据包。

• 泛洪：广播、组播和未知单播帧。在网络中，泛洪是当交换机收到一个数据包，但是它的MAC地址表中没有目标MAC地址的记录时，交换机会将这个数据包复制并发送到所有端口，除了接收数据包的那个端口。这样做是为了确保数据包能够到达目的地，尽管效率不高。
• 转发：已知单播帧。转发是交换机根据其MAC地址表中已有的信息，将数据包直接发送到目标设备所在的端口。这是最理想的情况，因为数据包能够以最直接的路径到达目的地，没有不必要的复制和传输。
• 丢弃：丢弃是交换机决定不处理某些数据包，可能是因为它们是错误格式的数据包、目的地不可达、或者网络策略不允许它们通过。丢弃数据包可以防止网络资源被不必要的流量占用。

1.2.3 交换机通信

以上图为例，在计算机A处ping 1.2：

ping 包是icmp协议（应用层协议），封装数据包+网络层+数据链路层，无需封装传输层

1. 首先，主机A会根据目的IP判断是否在同一网段：如在，查看主机A自己的arp缓存表是否有1.2对应的mac，没有的话发送arp广播请求报文找目的ip对应的目的mac；如不在，找网关；
2. 其次，arp广播请求报文（数据包会写明自己的ip和目的ip+源mac为A，目的mac为FF，不封装网络层）发送至交换机，交换机先学习（记录0口对应的mac为A）后泛洪；
3. 然后，主机B收到arp广播请求，先记录arp缓存（1.1对应的mac为A）后返回arp单播应答（没有网络层）；
4. 之后，交换机收到arp单播应答，先学习（记录1口对应的mac为B）后转发（查表通过0口发送出去）；
5. 最后，主机A收到arp单播应答先记录arp缓存（1.2对应的mac为B）

二、虚拟局域网（VLAN）

2.1 虚拟局域网简介

虚拟局域网（VLAN）是一种在物理局域网内部划分逻辑上独立的虚拟网络的方法。它通过在网络交换机上配置，将不同的设备分组到不同的虚拟网络中，实现了逻辑上分隔的网络通信。每个VLAN都是一个独立的广播域，VLAN内的设备可以直接通信，而不同VLAN之间的设备默认情况下无法直接通信，需要通过网络设备（如交换机或路由器）进行数据转发。

VLAN的主要优点包括限制广播范围、提高网络安全性、增强网络的健壮性以及灵活构建虚拟工作组。通过VLAN技术，网络管理员可以根据功能、部门或应用需求将设备和用户划分到不同的逻辑网络中，而不受物理位置的限制。这样，即使物理位置相邻的设备也可以属于不同的VLAN，无法直接通信，从而增强了网络的安全性和组织性。

VLAN的划分可以基于不同的标准，如端口、MAC地址、网络层、IP组播或基于策略等。在企业网络中，VLAN可以用来分隔不同部门的网络，提高安全性和网络管理效率。例如，可以将财务部门和研发部门的网络设备划分到不同的VLAN中，以确保敏感数据的安全。此外，VLAN还可以用于控制广播风暴，通过将大型网络划分为多个较小的VLAN来降低网络拥塞，提高整体性能。

在实际应用中，VLAN技术广泛应用于企业网络、数据中心、云计算等领域。通过合理地划分VLAN，可以实现精细化的网络管理和安全控制，提高网络的性能和安全性。随着网络技术的不断发展，VLAN技术将继续发挥其重要作用，为现代企业提供更加可靠和高效的网络解决方案。

2.1.1 为什么需要VLAN

VLAN（Virtual LAN），翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。

在此让我们先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。

本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。

未分割广播域时：

仅有一个广播域，有可能会影响到网络整体的传输性能