智能楼宇网络设计毕业设计论文

《智能楼宇网络设计毕业设计论文》由会员分享，可在线阅读，更多相关《智能楼宇网络设计毕业设计论文（38页珍藏版）》请在装配图网上搜索。

1、目录1 概述11.1 楼宇智能化技术概况11.2 楼宇智能化技术中网络技术的概况11.3 研究目标22 局域网技术32.1 局域网的定义32.2 以太网技术33 VLAN技术和网络安全153.1 VLAN技术概述153.2 VLAN的划分方式163.3 VLAN在交换机上的配置223.4 网络安全234 组网方案264.1 组网设计264.2 设计总结与展望35参考文献36谢 辞371 概述1.1 楼宇智能化技术概况随着经济的发展，人们对生活环境的安全、高效、舒适提出了要求，应运而生的楼宇智能化技术目前在我国各类建筑中得到了广泛应用，它是集建筑技术、计算机技术、自动化技术、通信技术以及系统集成

2、技术为一体的一个新兴但发展又十分迅猛的技术领域。网络技术发展更是突飞猛进，计算机网络技术已广泛应用于工业、商业、金融、科研、教育、农业及日常生活等方面，已经在影响并逐步改变人们的工作生活方式。智能建筑在国际上又称为3A建筑，它包括以下几个部分：BAS (Building Automation System)为楼宇自动化系统、CAS (Communication Automation System) 为通信自动化系统、OAS (Office Automation System)为办公自动化系统，通过SCS (Structured Cabling System)结构化综合布线系统把上述三个系统有机

3、结合起来。中国国家标准智能建筑设计标准(GB /T50314-2000) 中智能建筑(IB) 的定义是：它是以建筑为平台，兼备建筑设备、办公自动化及通讯网络系统，集结构、系统、服务、管理及它们之间的最优化组合，给人们提供一个安全、高效、舒适、便利的建筑环境。楼宇自动化系统是智能建筑中最基本和最重要的组成部分，它利用计算机及其网络技术、自动控制技术和通信技术构建的高度自动化的综合管理和控制系统，将大楼内部各种设备连接到一个控制网络上，通过网络对其进行综合的控制，这些设备包括空调、照明设备、电梯、消防设备、安防设备等等。它确保建筑物 内的舒适和安全的办公环境，同时实现高效节能的要求。1.2 楼宇智

4、能化技术中网络技术的概况智能建筑系统是将大楼内的若干个既相对独立又相互关联的系统组成具有一定规模的大系统。这其中计算机通信网络是智能建筑系统的神经系统，它把现有的分离设备、功能、信息组合到一个相互关联的、统一的、协调的系统之中，实现语音、数据、图像的综合传输、交换、处理和应用。由于局域网具有全开放、成本低、带宽高、稳定性和可靠性高、应用广泛、共享资源丰富等优点，将其应用到工业网络己经成为国内外工业控制领域研究的热点。工业局域网可以利用互联网技术，给工业自动化领域中的每台设备赋予一个IP地址，将现场设备通过各种途径连接在互联网上。这些设备可以通过网络互相传递信息和数据，因而具有了远程维护功能并能

5、从Internet获取信息。近年，企业、科研机构都在研究开发各种带局域网络接口的现场设备，并且这些网络接口已应用于生产现场。很自然，局域网络技术也同样进入了楼宇自动化系统的研究领域。目前，局域网多用于基于现场总线的楼宇自控网络集成到智能建筑信息管理网络这一环节，即Ethernet总线技术。在一些新开发的楼宇自控系统中，局域网直接进入了控制层，如北京楼宇自动化中心开发的基于局域网的ENC-20011P智能建筑测控系统。在楼宇自动化系统中采用局域网的优点是实现了从管理层到现场设备控制层通信协议的兼容和统一，这样，系统扩展起来也比较方便，与智能建筑中其它系统(通信自动化系统和办公自动化系统)集成起来

6、也更加容易。但它也存在缺点：首先，目前开发基于局域网的控制系统产品的难度较大，开发费用和成本相对较高，用户可以选择的厂商也很有限，垄断利润较高，研发成本还没有被消化，这些都导致产品价格过高；其次，局域网的实时性、可靠性等方面还有待进一步完善。1.3 研究目标为了实现我们的研究目标，在此将采用理论和实际相结合的原则。在理论方面，我们需要掌握和分析局域网的核心技术VLAN技术，例如为什么要采用该项技术，它存在哪些优缺点，以及整个智能楼宇通信系统在实际当中是如何规划和实现的；在实际应用中，需要将技术理论同实际情况相结合，根据具体的实际需求合理的分配有限的资源，力争达到最优的组网效果。最后，还要运用现

7、已掌握的技术手段，对硬件系统进行合理的优化配置，尽最大努力使之实际运行效果接近理论值，也就是利用华为公司所提供的数据通信设备实现最佳的系统性能。除此之外，还需要在研究过程中不断的发现问题，解决问题，在具体的实践当中寻找“捷径”，提高我们的工作效率，寻找更有效的研究方法。在此将采用华为技术有限公司提供的数据通信设备，如二层、三层交换机，路由器，进行智能楼宇的组网设计，通过对数据通信技术原理和设备硬件知识的研究，根据实际的用户需求，合理的对硬件系统进行配置，提供最优的方案来解决实际的组网设计问题。2 局域网技术2.1 局域网的定义由于连接介质的不同，通信协议的不同，计算机网络的种类划分方法名目繁多

8、。但一般来讲，计算机网络可以按照它覆盖的地理范围，划分成局域网和广域网，以及介于局域网和广域网之间的城域网（MAN，Metropolitan Area Network）。本部分重点介绍局域网。局域网-LAN（Local Area Network） 是将小区域内的各种通信设备互连在一起所形成的网络，覆盖范围一般局限在房间、大楼或园区内。局域网一般指分布于几公里范围内的网络，局域网的特点是：距离短、延迟小、数据速率高、传输可靠。标准（standard）是广泛使用的、或者由官方规定的一套规则和程序。标准描述了协议的规定，设定了保障网络通信的最简性能集。IEEE 802.X标准是当今居于主导地位的LA

9、N标准。 目前我国常见的局域网类型包括：以太网（Ethernet）、异步传输模式（ATM，Asynchronous Transfer Mode）等，它们在拓扑结构、传输介质、传输速率、数据格式等多方面都有许多不同。其中应用最广泛的当属以太网 一种总线结构的LAN，是目前发展最迅速、也最经济的局域网。2.2 以太网技术2.2.1 以太网的应用以太网设计的初衷，就是把一些计算机联系起来进行文件共享和数据库记录的传输。到目前为止，在计算机互连这个领域，以太网仍然是最活跃的技术，但已经不再局限于这个领域，在其他一些领域，以太网也大显身手，表现不俗。下面是以太网的主要应用领域：计算机互连：这是以太网技术

10、的主要目标，也是最成熟的应用范围。最开始的时候，许多计算机通过同轴电缆连接起来，互相访问共享的目录，或访问在同一个物理网段上的文件服务器，各个计算机（不论是服务器还是客户机）在网络上的地位相同。随着应用的发展，这种平等的结构逐渐不适应实际的需要，因为网络上的大部分流量都是客户机跟服务器之间的，这种流量模型必然在服务器上形成瓶径。当全双工以太网和以太网交换机引入以太网之后，这种情况有所改变，取代的是把服务器连接到以太网交换机的一个告诉端口（100M）上，把其他客户机连接到以太网交换机的低速端口上，这样就暂缓了瓶颈的形成。现代的操作系统提供分布式服务和数据仓库服务，基于这些操作系统的服务器除了跟客

11、户机通信之外，还要跟其他服务器交换大量的信息进行数据的同步，这样传统的100M快速以太网就不能满足要求了，于是1000M以太网应运而生。高速网络设备之间互连：随着INTERNET的不断发展，一些传统的网络设备，比如路由器，之间的带宽已经不能满足要求，需要更高更有效率的互连技术来连接这些网络设备构成INTERNET的骨干，1000M以太网成了首选的技术。传统的100M也可以应用在这些场合，因为这些100M的快速以太网链路可以经过聚合，形成快速以太网通道，速度可以达到100M1000M的范围。城域网中用户接入的手段：用户通过以太网技术接入城域网，实现上网，文件下载，视频点播等业务，已经变得越来越流

12、行。之所以用以太网作为城域网的接入手段，是因为现在的计算机都支持以太网卡，这样对用户来说，不用更改任何软件和硬件配置就可以正常上网。可以看出，以太网技术已经覆盖了网络的方方面面，从骨干网到接入网，从计算机网络到工业应用，无处不见以太网的影子。2.2.2 以太网物理层根据ISO的OSI七层参考模型，物理层规定了两个设之间的物理接口，以及该接口的电气特性，规程特性，机械特性等内容，以太网的物理层也不外乎这些内容，它主要的功能是提供一种物理层面的标准，各个厂家只要按照这个标准生产网络设备就可以进行互通。下面从介绍这些物理层标准开始，来分析一下以太网的物理层基础结构。从以太网诞生到目前为止，成熟应用的

13、以太网物理层标准主要有以下几种：10BASE2、10BASE5、100BASE-TX、100BASE-T2、100BASE-T4、100BASE-FX、1000BASE-SX、1000BASE-LX、1000BASE-CX、1000BASE-TX，在这些标准中，前面的10，100，1000分别代表运行速率；中间的BASE指传输的信号是基带方式；后边的2，5分别代表最大距离，比如，5代表50米，2代表200米等；TX，T2，T4，FX，SX，LX，CX等应用于双绞线以太网和光纤以太网，含义如下：100BASE-TX：运行在两对五类双绞线上的快速以太网；100BASE-T4：运行在四对三类双绞线上

14、的快速以太网；100BASE-T2：运行在2对三类双绞线上的快速以太网；100BASE-FX：运行在光纤上的快速以太网，光纤类型可以是单模也可以是多模；1000BASE-SX：运行在多模光纤上的1000M以太网，S指发出的光信号是长波长的形式；1000BASE-LX：运行在单模光纤上的1000M以太网，L指发出的光信号是短波长的形式；在这些标准中，10BASE2，10BASE5是同轴电缆的物理标准，现在已经基本被淘汰，10BASE-T和100BASE-TX都是运行在五类双绞线上的以太网标准，所不同的是线路上信号的传输速率不同，10BASE-T只能以10M的速度工作，而100BASE-TX则以1

15、00M的速度工作，其他方面没有什么两样。100BASE-T2，100BASE-T4现在很少用，所以我们这里只选择比较有代表性的100BASE-TX进行叙述。 100BASE-TX是运行在两对五类双绞线上的快速以太网物理层技术，它除了规定运行的介质是五类或更高类双绞线外，还规定了设备之间的接口以及电平信号等。该标准规定设备和链路之间的接口采用RJ-45水晶头，电瓶采用+5V和-5V交替的形式。五类双绞线的8跟线压入水晶头的8个线槽中，这样可以很容易的插入网络设备的网卡。实际上，在进行数据的传输时仅仅用了五类双绞线的两对（四根）线，其中一对作为数据接收线，一对作为数据发送线，在进行数据接收和发送的

16、时候，在一对线上传输极性相反的信号，这样可以避免互相干扰。需要注意的是，在连接两个相同的网络设备时（比如网卡），需要把线序进行交叉，因为线路两端的设备（比如网卡）的收发顺序是相同的，而两端设备要进行直接连接，其收发必须进行交叉，于是，必须在线路上进行交叉才能达到目的，如图2-1所示： 图2-1 RJ45交叉线示意图但在跟不同类型的网络设备互连，比如终端计算机跟HUB或以太网交换机连接时，却不需要这样，因为这些网络设备的接口上已经做了交叉，也就是说，这些设备的网络接口跟普通计算机的收发顺序是不一致的，因而只要把五类双绞线直接按照原来顺序压入水晶头，就可以把两端的设备正常连接。跟传统的同轴电缆不同

17、的是，100BAST-TX（10BASE-T）的数据发送和数据接收使用了不同的线对，做到了分离，这样就隐含着一种全新的运做方式：全双工方式。在这种方式下，数据可以同时接收和发送而互不干扰，这样可以大大提高效率，不过这需要中间设备的支持，现在的以太网交换机就是这样一种设备。在基于双绞线的以太网上，可以存在许多种不同的运做模式，在速度上有10M，100M不等，在双工模式上有全双工和半双工等，如果对每个接入网络的设备进行配置，则必然是一项很繁重的工作，而且不容易维护。于是，人们提出了自动协商技术来解决这种矛盾。需要注意的是，自动协商只运行在基于双绞线的以太网上，是一种物理层的概念。自动协商建立在一种

18、低层的以太网机制上。在双绞线链路上，如果没有数据传输，链路并不是一直在空闲，而是不断的互相发送一种频率相对较低的脉冲信号（称为普通链路脉冲，NLP）如图2-2所示：图2-2 普通链路脉冲任何具有双绞线接口的以太网卡都应该能识别这种信号。需要注意的是，如果在这些NLP之间在插入一些（一般是16个）更小的脉冲（这些脉冲称为快速链路脉冲，FLP），两端设备应该也能识别。于是，我们可以使用这些快速链路脉冲来进行少量的数据传输，来达到自动协商的目的。在设备的网卡中有一个配置寄存器，该寄存器内部保留了该网卡能够支持的工作模式，比如该网卡可以支持100M和10M模式下运行，则把相应的寄存器内容置位。在网卡加

19、电后，如果允许自动协商，则网卡就把自己的配置寄存器内容读出来，编码后通过FLP发送出去，如图2-3所示：图2-3 FLP发送编码发送的同时，可以接收对端发送过来的自动协商数据。接收到对方发送的自动协商数据后，跟自己的配置寄存器比较，选择自己支持的且一般情况下最优的组合投入运行。比如自己支持全双工模式和100M的速率，对端也支持该配置，则选择的运行模式就是100M全双工，如果对端只支持全双工模式和10M的能力，则运行模式就定为全双工10M模式。如果两端支持的能力集合不相交，则协商不通过，两端设备不能通信。一旦协商通过，网卡就把该链路置为激活状态，可以传输数据了，如果不能协商通过，则该链路不能使用

20、，不能再进行数据传输。如果两端的设备有一端不支持自动协商，则支持自动协商的一端选择选择一种默认的方式工作，一般情况下是10M半双工模式。2.2.3 以太网数据链路层按照ISO的OSI七层参考模型，互连的各个系统把各个网络功能分七个层次实现，各个层次之间相互独立，互不干扰。这样就可以实现最大限度的开放和灵活性，设备厂家只要按照层次之间的接口生产设备，就可以做到互通。因此，这个七层模型是高效权威的，而且目前大多数网络技术都是参照这个模型进行设计和开发的。但在以太网体系结构中，七层模型中层次之间互相独立的规则就不适用了，因为开始的时候，以太网采用了一种共享介质的方式来进行数据通信，而不是传统的全双工

21、通信，随着设备的发展，以太网中又引入了全双工模式的通信，在这样两种通信模式并存的情况下，在进行层次间的严格划分就不容易了。这里需要注意的是，在以太网中，全双工是物理层的概念，而针对物理层的双工模式提供不同访问方式则是数据链路层的概念，这样就形成了以太网的一个重要特点：数据链路层和物理层是相关的。针对物理层的不同工作模式（全双工和半双工），需要提供特定的数据链路层来访问。这样导致了数据链路层和物理层有很大的相关性，给设计和应用带来了一些不便。为了避免这种不便，一些组织和厂家提出了另外一种方式，就是把数据链路层再进行分层，分为逻辑链路控制子层（LLC）和媒体访问控制子层（MAC）。图2-4 数据链

22、路层分层结构数据链路层分层结构如图2-4所示。这样不同的物理层对应不同的MAC子层，LLC子层则可以完全独立。这样从一定程度上提高了独立性，方便了实现。 面对MAC子层和LLC子层做一个详细的解释。MAC子层是物理层相关的，也就是说，不同的物理层有不同的MAC子层来进行访问，比如物理层是工作在半双工模式的双绞线，则相应的MAC子层为半双工MAC，如果物理层是令牌环，则有令牌环MAC来进行访问。在以太网中，主要存在两种MAC：半双工MAC和全双工MAC，分别针对物理层运行模式是半双工和全双工时提供访问。需要注意的，这两种MAC都是集成在网卡中的，网卡初始化的时候一般进行自动协商，根据自动协商的结

23、果决定运行模式，然后根据运行模式选择相应的访问MAC。全双工MAC子层相对半双工MAC子层简单，因为它不需要检测链路的空闲与忙的状态，所以就去除了上面的链路空闲信号和冲突检测信号。其工作过程如下：当MAC子层有数据要发送的时候，通过数据发送指示告诉物理层，然后把数据一个字节一个字节的通过数据发送线发送出去。如果物理层检测到了数据到达，则通过接收指示信号告诉链路层，自己接收到了数据，然后通过接收数据线把数据传到MAC子层。除了完成物理链路的访问以外，MAC子层还负责完成下列任务：v链路级的站点标识：在数据链路层识别网络上的各个站点。也就是说，在该层次保留了一个站点地址（就是所谓的MAC地址），来

24、标识网络上的唯一一个站点；v链路级的数据传输：从上层（LLC子层）接收数据，附加上MAC地址和控制信息后把数据发送到物理链路上。在这个过程中搀杂了校验等功能。为了进行站点标识，在MAC子层保留了一个唯一的站点MAC地址，来区分该站点。MAC地址是一个48比特的数字，分为下面三种类别：1. 物理MAC地址：这种类型的MAC地址唯一的标识了以太网上的一个终端（比如网卡等），实际上这样的地址是固化在硬件里面的；2. 广播MAC地址：这是一个通用的MAC地址，用来表示网络上的所有终端设备；3. 组播MAC地址：这是一个逻辑的MAC地址，来代表网络上的一组终端。它的特点是最左边一个字节的第一比特为1。上

25、层要发送数据的时候，把数据提交给MAC子层，MAC子层有自己的缓冲区，把上层提交给自己的数据进行缓存，然后增加上目的MAC地址和自己的MAC地址（源MAC地址），计算出数据帧的长度，形成的数据包格式如图2-5所示。在这个图中，DMAC代表目的终端的MAC地址，SMAC代表源MAC地址，而Length/T字段则根据值的不同有不同的含义：DMACSMACLengthDATAPADFCS图2-5 数据帧格式当Length/T 1500时，代表该数据帧的类型（比如上层协议类型），当Length/T 1500时，代表该数据帧的长度。DATA/PAD则是具体的数据，因为以太网数据帧的最小长度必须大于64字

26、节（根据半双工模式下最大距离计算获得的），所以如果数据长度加上帧头不足64字节，需要在数据部分增加填充内容。FCS则是帧校验字段，来判断该数据帧是否出错。上面介绍了数据的发送过程，下面说一下数据接收过程：在计算机的网卡中维护一张接收地址列表，每当计算机网卡接收到一个数据帧之后，就把数据帧的目的MAC地址提取出来，跟列表中的条目进行比较，只要有一项匹配，则接收该数据帧，若无任何匹配的项目，则丢弃该数据帧。在这张接收地址列表中至少有下面两项：1. 计算机网卡的MAC地址：该地址固化在网卡的ROM里面；2. 广播MAC地址：该地址代表网络上的所有主机。如果上层应用程序加入一个组播组，则该应用程序会通

27、知网络层，然后网络层通知数据链路层，数据链路层根据应用程序加入的组播组形成一个组播MAC地址，并把该组播MAC地址加入接收地址列表，这样当有针对该组的数据帧的时候，MAC子层就接收该数据帧并向上层发送。在上面的介绍中提到了MAC子层形成的一个帧结构，其中有一个字段是Length/T。这个字段的长度是2字节，根据取值的范围有不同的含义，在小于或等于1500的情况下，该值代表数据帧数据部分的长度，但当大于1500的时候，则代表该帧的数据部分的类型，比如该数据帧是哪个上层协议（比如IP，IPX，DECNet，NETBEUI等）的数据单元等。当Length/T取值大于1500的时候，MAC子层可以根据

28、Length/T的值直接把数据帧提交给上层协议，这时候就没有必要实现LLC子层。这种结构便是目前比较流行的ETHERNET_II，大部分计算机都支持这种结构。注意，这种结构下数据链路层可以不实现LLC子层，而仅仅包含一个MAC子层。根据Length/T字段的取值，来把接收到的数据帧提交给上层协议模块，是这样进行的：每个上层协议都提供了一个回调函数，这个回调函数在数据链路层是可见的而且可以调用的，这样当数据链路层接收到一个数据帧之后，根据数据帧里的Length/T字段的取值来判断相应的协议模块，然后调用相应协议的回调函数（把数据帧的数据部分作为参数），该回调函数执行的结果就是把数据帧的数据部分挂

29、到上层协议的接收队列中，然后给上层协议发送一个消息，告诉上层协议有一个数据包到来，然后返回，其他的事情就由上层协议来做了。上面介绍的都是ETHERNET_II的内容，就是当Length/T字段大于1500的时候的情况。现在来讨论一下当Length/T小于或等于1500的情况，这种类型就是所谓的ETHERNET_SNAP，是802.3委员会制定的标准，虽然目前应用不是很广泛，但是作为一种很有特色的标准，将来必会大行其道。ETHERNET_SNAP除了定义传统的链路层服务之外，还增加了一些其他有用的特性，比如定义了下面三种类型的点到点传输服务：1. 无连接的数据包传输服务：目前的以太网实现就是这种

30、服务；2. 面向连接的可靠的数据传输服务：预先建立连接再传输数据，数据在传输过程中可靠性得到保证；v 3. 无连接的带确认的数据传输服务：该类型的数据传输服务不需要建立连接，但它在数据的传输中增加了确认机制，使可靠性大大增加。这些服务都是在LLC子层中实现的， LLC子层的帧格式如图2-6所示： 图2-6 LLC子层的帧格式可以看出，该数据帧的结构在MAC子层上是保持统一的，但MAC子层数据帧的Length/T字段现在已经完全成了Length，指示MAC数据帧数据部分的长度，然后在数据部分增加了一个LLC头，这个头由DSAP（目的服务访问点），SSAP（源服务访问点）和控制字段组成。上面讲述的

31、三种服务就是通过这三个字段完成的。2.2.4 以太网交换机2.2.4.1 内部结构从外观上看，以太网交换机跟HUB差不多，也是一个多端口的深颜色盒子，但端口的数目可能比HUB要多（一般情况下是24个或更多）。但在内部结构上却比HUB复杂得多，HUB内部实际上是一条共享的总线，各个端口共享该总线进行CSMA/CD方式的通信，但以太网交换机内部可能也是一条总线，但该总线带宽要比HUB内部的总线高得多，足以让全部端口互相同时通信而没有阻塞。性能更高的交换机内部可能是一个交换网络，该网络完成任意端口之间的两两交换。以太网交换机内部结构如图2-7所示：图2-7 以太网交换机的内部结构示意图由图可以看出以

32、太网交换机使用一条高速背板总线把各个端口连接起来。实际上，这个背板总线可能是一个高性能的数字交叉网络。注意的是，各个端口针对接收线路和发送线路，各有一个缓冲队列，当数据从终端设备发往交换机的时候，发出的数据暂存在交换机的接收队列中，然后进行下一步处理。如果交换机要把接收的数据发送给某一终端，这时候，交换机把要发送的数据发往该接收终端所在端口的发送队列，然后再发送到接收终端，如果终端忙，则一直存储在发送队列中。其实，对每个接口的发送队列结构进行更改可以实现服务质量功能。比如，我们为每个接口设计不止一个发送队列，假设设置三个，则可以对这三个队列进行优先级划分，分成低，中，高三个优先级，然后根据数据

33、帧的优先级字段（在以后介绍VLAN的时候将讲述），把数据帧放到相应的优先级队列中。在传输的时候，可以优先传输优先级高的队列，等高优先级队列内没有数据了，再传送优先级低的队列，依次类推。也可以实现一些其他的调度策略，比如WFQ（基于优先级的加权公平队列）等调度技术。交换机跟HUB的最大区别就是能做到接口到接口的转发。比如接收到一个数据帧以后，交换机会根据数据帧头中的目的MAC地址，发送到适当的端口，而HUB则不然，它把接收到的数据帧向所有端口转发。交换机之所以能做到根据MAC地址进行选择端口，完全依赖内部的一个重要的数据结构：CAM表。交换机接收到一个数据帧，依靠该数据帧的目的MAC地址来查找C

34、AM表，查找的结果是一个或一组端口，根据查找的结构，把数据包送到相应端口的发送队列。CAM表包含下面几项内容：MAC地址；一个或一组端口号；如果交换机上划分了VLAN，还包括VLAN ID。交换机根据接收到的数据帧的目的MAC地址，来查找该表格，根据找到的端口号，把数据帧发送出去。注意，上面一个MAC地址可能对应多个端口，这样的MAC地址一般是组播MAC地址，其中每个端口上连接一个组播组的成员。 2.2.4.2 二层交换机工作过程交换机根据功能的不同，分为两类：二层交换机和三层交换机。这里先介绍一下二层交换机的相关知识。上面提到了一个重要的数据结构CAM表，该表包含了交换机用来转发数据帧所涉及

35、到的一些信息，对于交换机怎样依据这个表格进行数据帧的交换，上面部分已经讲明白了。但这又产生一个问题：这个CAM表是怎样生成的呢？其实，这个表格可以通过两种途径生成：1. 手工加入通过配置命令的形式告诉交换机MAC地址和端口的对应；2. 交换机动态学习获得交换机通过查看接收的每个数据帧来学习该表。手工生成该表很简单，不过配置麻烦，所以通常情况下是交换机自动获得的。2.2.4.3 二层交换机原理交换机转发数据帧的基本规则：1. 交换机查CAM表，如果查找到结构，根据查找结果进行转发；2. 如果交换机在CAM表中查找不到结果，则根据配置进行处理，通常情况下是向所有的端口发送该数据帧，在发送数据帧的同

36、时，学习到一条CAM表项。3. 开始的时候，交换机的CAM表是空的，当交换机接收到第一个数据帧的时候，查找CAM表失败，于是向所有端口转发该数据帧，在转发数据帧的同时，交换机把接收到的数据帧的源MAC地址和接收端口进行关联，形成一项记录，填写到CAM表中，这个过程就是学习的过程。4. 学习过程持续一段时间之后，交换机基本上把所有端口跟相应端口下终端设备的MAC地址都学习到了，于是进入稳定的转发状态，这时候，对于接收到的数据帧，总能在CAM表中查找到一个结果，于是数据帧的发送是点对点的，达到了理性的境界。5. 交换机还为每个CAM表项提供了一个定时器，该定时器从一个初始值开始递减，每当使用了一次

37、该表项（接收到了一个数据帧，查找CAM表后用该项转发），定时器被重新设置。如果长时间没有使用该CAM表的转发项，则定时器递减到零，于是该CAM表项被删除。6. 一般不对帧格式进行修改(VLAN要对帧格式进行修改,打上TAG标签)交换机对接收来的数据帧会采用下述的交换模式：到目前为止，仅有三种交换模式：（1）直通模式：交换机接收到目的地址即开始转发过程。优点：延迟小；缺点：交换机不能检查出数据帧的错误。（2）储存转发模式：交换机将全部内容接收才开始转发过程。优点：交换机检查出数据帧的错误，不会有错帧；缺点：延迟大。（3）帧自由模式：交换机接收完数据包的前64字节（一个最短帧长度），然后根据头信息

38、查表转发。优点：结合了直通模式和储存转发模式的优点；缺点：延迟介于直通模式和储存转发模式之间。全双工和二层交换机组建的以太网存在如下缺点：广播泛滥；安全性仍旧无法得到有效的保证。其中广播泛滥严重是L2以太网的主要缺点。2.2.4.4 三层交换机原理具体地说三层交换机是这样的：1. 在逻辑上，三层交换和路由是等同的，三层交换的过程就是IP报文选路的过程2. 三层交换机与路由器在转发操作上的主要区别在于其实现的方式：（1）三层交换机通过硬件实现查找和转发；（2）传统路由器通过微处理器上运行的软件实现查找和转发；（3） 三层交换机的转发路由表与路由器一样，需要软件通过路由协议来建立和维护。3在局域网

39、中引入三层交换能够更加经济的替代传统路由器。注：三层交换机实质就是一种特殊的路由器，有很强交换能力而价格低廉的路由器。无论对路由器还是对三层交换机而言，接口都存在路由接口和物理接口的概念：路由接口是挂接在IP协议栈下的逻辑接口，每个接口都对应一个IP网段，通常称为Interface；物理接口是在机箱外面，看得见、摸得着、能插电缆的实际接口，通常称为Port。但是从路由器的角度理解的端口和从三层交换机的角度理解的端口是有所不同：三层交换机上，在不同的物理端口之间还提供二层交换的功能。VLAN内部通过二层交换通信，VLAN之间通过三层路由来通信。路由接口是与VLAN是对应的关系，而每个VLAN可能

40、对应很多个物理端口，因此路由接口和物理端口没有一一对应的关系。（有关VLAN技术将在后面详细介绍）具体一台具有三层功能的交换机对帧是二层还是三层交换应遵循以下规则。IP网络的规则：1. 相同网段内部的通信，通过二层功能完成互通，当主机与对端主机通信的时候，根据自身的IP地址和子网掩码来确定对方是否在系统网段内，如果判定在相同网段内，则直接通过ARP查找对方的MAC地址，然后把对方的MAC地址填入以太网帧头的目的MAC地址域；2. 不同网段的主机通信的时候，主机发现对方在不同的网段内，则主机就会自动借助网关来进行通信，主机首先通过ARP来查找设定的网关的MAC地址，然后把网关的MAC地址（而不是

41、对方主机的MAC地址，因为主机认为通信对端不是本地主机）填入以太网帧头的目的MAC地址域。根据以上规则，三层交换机根据以太网帧的目的MAC地址域的地址来判断是进行二层转发还是三层转发，如果是给某个VLAN指定的路由接口的MAC地址，则进行三层转发，否则在VLAN内部进行二层转发。3 VLAN技术和网络安全3.1 VLAN技术概述虚拟局域网（VLANVirtual Local Area Network）逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网VLAN。例如几个部门都使用一个中心交换机，但

42、是各个部门属于不同的VLAN，形成各自的广播域，广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比，具有以下优势：1. 减少移动和改变的代价即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。2. 虚拟工作组模

43、型使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好像在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持。3. 限制广播包，提高带宽的利用率：有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播

44、域，同一个VLAN成员都在由所属VLAN确定的广播域内，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内，在一定程度上可以节省带宽。4. 增强通讯的安全性：一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。5. 增强网络的健壮性：当网络规模增大时，部分网络出现问题往往会影响整个网络，引入VLAN之后，可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻

45、辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。3.2 VLAN的划分方式按照上面的概念，VLAN是交换机上的一个集合，该集合的元素就是端口。我们用一个VLAN标识来表示该集合，这样当在交换机上创建一个集合后，就开始确定其中的元素（端口）。下面是确定元素的最重要的几种方式：3.2.1 基于端口的VLAN最简单，也是最直接的方式就是手工指定，这种方式也是最容易理解的。这也是最常用的方法，因为这种方法特别的灵活，新增用户只要连接到属于某个VLAN的端口，就可以在这个VLAN中进行内部通信，该用户若是想离开这个VLAN，只要断开与这个端口的连接就可以了。也就是说，一旦在交换机上

46、创建一个VLAN，我们可以手工指定该VLAN包含哪些端口。在该方式下，我们只要在交换机上进行一些简单的配置就可以了。具体如图3-1和表3-1所示： 图3-1 基于端口划分VLAN表3-1 端口与VLAN对应关系端口所属VLANE1VLAN 5E2VLAN 10E7VLAN 5E10VLAN 10 3.2.2 基于MAC地址的VLAN在基于端口的VLAN方式下，我们在交换机上进行了设置，来决定VLAN包含那些端口。但有些情况下，我们希望把终端系统进行分类，使它们属于指定的VLAN。这时候，我们可以手工建立终端系统的标识跟VLAN之间的关系。在以太网上，MAC地址可以唯一的标识一个终端系统，于是，

47、就建立MAC地址跟VLAN之间的对应关系,如图3-2和表3-2所示:图3-2 基于MAC地址划分VLAN交换机仅仅根据这个MAC地址跟VLAN之间的对应关系，不能创建VLAN跟端口的对应关系，我们于是联想到交换机内部的另外一个关系：MAC地址跟端口之间的关系（也就是CAM表，交换机根据该表格进行数据帧的转发）。根据这样两个关系，交换机可以创建VLAN跟端口号之间的对应关系了，具体过程如下：表3-2 MAC地址与VLAN对应关系MAC地址所属VLANMAC AVLAN 5MAC BVLAN 10MAC CVLAN 5MAC DVLAN 101. 交换机把手工创建的MAC地址跟VLAN号之间的对应

48、关系下载到本地；2. 从该对应关系中读出一行，如果该行对应的VLAN不存在，则创建该VLAN，然后以MAC地址为索引依据，到CAM表中查找对应的端口号，把找到的端口号加入刚刚创建的VLAN；3. 若读出的该行所包含的 VLAN已经存在，则仅仅依据MAC地址查询CAM表，把找到的端口号加入已经存在的VLAN里面；4. 重复这个过程，直到该对应关系扫描完毕。3.2.3 基于第三层协议的VLAN有些情况下，人们往往对网络做一些限制，让网络上的终端系统只运行一种网络协议，比如，在一个有大量NOVELL服务器的网络上，可能只存在IPX协议，这样做的目的主要是节省资源，因为如果运行其他的路由协议，一些服务

49、进程会跟所有运行的协议绑定，这样该服务就会通过该协议对应的广播地址（比如，IP协议的广播地址是255.255.255.255）发送通告消息，以表明自己的存在。这样必然产生大量的广播包，严重浪费资源。在这些情况下，人们可以根据运行的协议不同来划分VLAN，如下面图3-3和表3-3所示。在该种方式下，只要告诉交换机，上层协议跟VLAN之间的对应关系即可，比如，我们把所有运行IPX的计算机都划分到VLAN 5里面，只要告诉交换机（通过命令行的方式）IPX和VLAN 5的对应关系即可。完成这样的配置之后，交换机就进行下列工作：1. 交换机检查每个端口上接收到的数据帧，判断该数据帧的类型字段，如果该类型

50、字段是IPX，则马上把接收到该数据帧的端口加入VLAN 5中；2. 如果从端口上接收到的数据帧的协议类型字段不是IPX，则根据通常的步骤进行转发。这个过程延续下来，交换机就会把所有接收到IPX包的端口加入到VLAN 5里面去了。图3-3 基于协议类型划分VLAN表3-3协议类型与VLAN对应关系协议类型所属VLANIPX协议VLAN 5IP协议VLAN 103.2.4 基于组播组的VLAN在前面介绍交换机的时候，曾经介绍了交换机对组播数据帧的转发方式，交换机内部维护一个组播转发表，该表的内容是一个组播地址和一个接口列表，该表是根据一些二层组播协议建立的，比如IGMP窥探，CGMP，GMRP等。

51、实际上，可以把某个组播地址对应的接口列表划分到一个VLAN里面。在该种模式下，我们需要做的就是在交换机上给出组播MAC地址和VLAN的对应关系，比如，我们给出组播MAC地址01010E1E8E98对应VLAN100，于是交换机马上创建VLAN100，根据给出的组播地址查询组播CAM表，把找到的接口列表中的所有接口都划分到VLAN100里面。3.2.5 基于子网的VLAN 这种方法顾名思义，就是根据不同的子网网段来划分VLAN，这种划分VLAN的方法，在整体思路上显得很清晰。此方法适合子网较多且掩码位数相同的组网设计拓扑结构。图3-4 基于子网划分VLAN 表3-4 子网与VLAN对应关系IP网

52、络所属VLANIP 1.1.1.1/24VLAN 5IP 1.1.2.1/24VLAN 103.2.6 基于策略的VLAN这是最复杂的一种VLAN划分方式，也是最灵活的划分方式。在该种方式下，可以定义一定的策略（所谓策略，就是一些限制条件），交换机对每个接口进行检查，凡是满足策略的接口都会添加到该组策略对应的VLAN中。这种VLAN的定义方式十分灵活，但效率不是很高，因为交换机需要检查每个接口，判断该接口是否满足配置的策略，对策略的匹配是一项很耗时的工作。在上面的介绍中，可以看出，所有创建的VLAN都是集中在一个交换机上的，但实际中往往有这样的情况，就是一个物理的VLAN，可能跨越了多个交换机

53、。在一个交换机的情况下，一个VLAN端口接收到的数据可以根据交换机内部的一张VLAN和端口对应表来确定该VLAN所有的端口，因而一个VLAN的数据在同一个交换机上不可能被错误转发到另外一个VLAN当中。但是跨越交换机的时候就不是这样了，假设有两个VLAN和两个交换机，分别记做VLANA和VLANB，SWITCHA和SWITCHB，其中VLANA和VLANB分别跨越了两个交换机，即SWITCHA和SWITCHB上既有VLANA的端口，也有VLANB的端口。在这种情况下，假如SWITCHA上VLANA的一个端口接收到了一个广播数据帧，SWITCHA除了往自己上面所有属于VLANA的端口广播该数据帧

54、以外，还必须通过SWITCHA和SWITCHB之间的一条链路来传播该广播数据帧。如果SWITCHB接收到了该广播数据帧，SWITCHB就不知道把该数据帧发往哪个VLAN的端口，因为该广播数据帧中不包含任何VLAN有关信息。在这种情况下，可以在发给另外一个交换机的数据帧上附加VLAN信息来区分数据帧所属的VLAN，这便是802.1Q（简称1Q）帧格式。传统的以太网数据帧格式是不包含VLAN信息的，无法用这种传统的以太网数据帧来传送VLAN信息，我们要想让跨越交换机的VLAN能正常工作，必须重新提出一种帧格式，该帧格式与传统以太网帧格式不同的是，包含了VLAN信息。 1Q帧格式的结构如图3-5所示

55、：图3-5 IEEE 802.1Q帧格式结构这四个字节的802.1Q标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）。TPID（Tag Protocol Identifier）是IEEE定义的新的类型，表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。TCI是包含的是帧的控制信息，它包含了下面的一些元素：Priority：这3 位指明帧的优先级。一共有8种优先级，07。IEEE 802.1Q标准使用这三位信息。Canonical Format Indicator( CFI )：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环

56、/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。VLAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN。在一个交换网络环境中，以太网的帧有两种格式：有些帧是没有加上这四个字节标志的，称为未标记的帧（untagged frame），有些帧加上了这四个字节的标志，称为带有标记的帧（tagged frame）。当引入这种带VLAN标记的数据帧以后，交换机的端口就有了类别了：有些端口能够且仅仅能够识别这种带VLAN标记的数据帧，我们把

57、这种端口称为TAG端口（标记端口），有的端口不能识别这种带标记的数据帧，我们称为非TAG端口，还有一些端口，不仅能识别带标记的数据帧，而且能识别不带标记的数据帧，这样的端口我们称为混合端口。连接两个交换机的端口一般是TAG端口或混合端口。我们把交换机的端口划分为TAG端口，非TAG端口和混合端口，交换机在不同端口类型中转发数据帧的时候，是这样处理的：1. 非TAG端口和非TAG端口之间：在这种方式下转发方式最简单，交换机只根据内部的CAM表找到数据帧的出口，把该数据帧复制到出口的缓冲队列中即可；2. 非TAG端口和TAG端口之间：该方式下，交换机首先判断接收到数据帧的端口所属的VLAN号，然后

58、根据该VLAN号和物理链路类型，以及数据帧的优先级等形成一个1Q 标记，把该标记插到接收到的数据帧的类型/长度字段前面，然后提交给TAG端口即可；3. TAG端口和TAG端口之间：该情况跟非TAG端口和非TAG端口之间的转发类似，交换机只把数据帧无改变的向另外一个TAG端口转发即可；4. 非TAG端口和混合端口之间：该情况跟非TAG端口和TAG端口之间的转发过程类似；5. 混合端口和TAG端口之间：该情况最为复杂，分两种情况讨论：如果接收的数据帧本身是个标记帧，则仅仅把该标记帧向TAG端口复制即可；如果接收到的数据帧不是标记帧，而是一般的以太网数据帧，这时候，需要给该数据帧打上一个VLAN标记

59、再向TAG链路转发。交换机是这样确定这个VLAN标记的，混合端口有一个默认的VLAN，如果接收到的数据帧不包含TAG，则交换机根据该端口的默认VLAN形成一个标记，并插入到数据帧里面发送出去。所以，在配置混合端口的时候，一般情况下指定一个默认VLAN，如果不指定，系统可能会自己指定一个VLAN，一般是VLAN1。3.3 VLAN在交换机上的配置VLAN在交换机上是这样配置的：首先，也是最基本的一步，就是在交换机上创建VLAN。默认情况下，交换机上只存在一个VLAN，即VLAN1，所有端口都属于该VLAN。创建VLAN的时候，需要给出该VLAN对应的VLAN号，根据1Q帧格式，VLAN号是有一定

60、范围的，最大范围是2到4095，但有些厂家的特殊实现可能耗费掉了一些VLAN，故实际使用的VLAN可能还要少。其次，就是把交换机的端口加入VLAN。创建VLAN之后，该VLAN不包含任何成员，只有通过某种方式把端口加入VLAN当中，VLAN才包含了成员。这项工作可以通过许多种途径实现，比如，我们上面讲到的基于端口的静态VLAN和基于MAC地址的VLAN等。我们以基于端口的静态VLAN为例，只需要把某个端口指定为所属的VLAN即可。如果VLAN跨越了交换机，必须配置交换机之间的连接，使之能传送特定VLAN的数据。默认情况下，交换机的端口都是非TAG的，我们可以改变这种默认类型（通过配置命令），一

61、般情况下，我们把连接两个交换机的端口配置为TAG端口，而其他连接终端或HUB的端口配置为非TAG端口。完成这些配置后，交换机就可以按照需要的方式工作了。3.4 网络安全3.4.1 网络安全的定义从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。3.4.2 计算机网络安全的重要性1. 网络已成为敌对势力、不法分子新的攻击目标。2. 存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失

62、。3. 计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐射环境，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。4. 随着计算机系统的广泛应用，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。5. 计算机网络安全问题涉及许多学科领域，是一个非常复杂的综合问题，随着系统应用环境的变化而不断变化。6. 从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从现象注意系统应用的安全问题 。3.4.3 网络安全权限的两种策略1. 凡是没有明确表示允许的就要被禁止；2. 凡是没有明确表示禁止的就要被允许。网络安全中主要

63、采用第一种逻辑，它赋予用户最小权限，以方便管理。3.4.4 防火墙的类型和结构从实现原理上分，防火墙的技术包括3大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关，它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。1. 包过滤防火墙数据报的过滤方法一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 2. 应用级网关应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，能够对