学海无涯 走一路学一路

同一个 VLAN 中的设备可以进行数据链路层的通信，而不同 VLAN 之间的设备通信则需要建立在网络层的基础上。一般有两种方法来实现 VLAN 之间的通信：通过路由器和通过三层交换机。下面分别介绍这两种实现不同 VLAN 之间通信的方法。

通过路由器实现 VLAN 间通信

路由器和交换机的连接方式有两种。一种是把路由器的不同物理接口分别连接到交换机上的每个VLAN，并将交换机上与路由器相连的端口设置为相应VLAN的访问链路，如图：

这种连接方法比较简单，但是网络扩展难度大。每增加一个新的 VLAN，都需要消耗路由器和交换机上的端口，而且还需要重新布设一条网线。而路由器较交换机而言，所提供的端口较少，这使得网络管理的成本增加，因此不推荐此方法。

此外，我们还可以采用单臂路由的方式来实现 VLAN 之间的通信。这种方法是在路由器与交换机相连的那个物理端口上定义多个逻辑子接口，也就是从逻辑上将它分为多个虚拟端口。一个子接口连接一个 VLAN，每个子接口配置相应 VLAN 内的 IP 地址，并封装 802.1Q 协议。同时，在交换机上把与路由器相连的端口设置为 Trunk 端口。在这种方法中，路由器只使用一个端口连接到交换网络中，因此被称为单臂路由，如图

802.1Q VLAN 技术白皮书802.1Q VLAN 技术实现 3-4图3-4 通过单臂路由方式实现VLAN间通信该网络拓扑包含了 3 台主机、一台交换机和一台路由器，路由器和交换机之间配置中继链路Trunk，交换机上设置了 3 个 VLAN，分别是 VLAN10，VLAN20 和 VLAN30。

当 VLAN10 中的主机 A 向 VLAN20 中的主机 B 发送信息时，交换机端口 1 收到主机 A 发出的数据帧，查询自己的 MAC 地址表，然后将数据帧从 Trunk 端口 4 转发出去，并为数据帧添加 VLAN ID=10 的标签。路由器收到数据帧后，发现它属于 VLAN10，因此把它交给负责VLAN10 的子接口，该接口判断数据帧应发往负责 VLAN20 的子接口。负责 VLAN20 的子接口再为数据帧添加 VLAN ID=20 的标签并发回给交换机。交换机收到该数据后查询 MAC 地址表，去掉数据帧中的 VLAN 标签，将它从端口 2 发送给主机 B。这样主机 B 就接收到了主机A发给它的信息。可以看到，通过路由器进行VLAN之间的通信时，信息传输经过以下过程：发送者 -> 交换机 -> 路由器 -> 交换机 -> 接收者，即使通信的双方处在同一台交换机上，也必须经过这样的过程。

802.1Q VLAN 技术白皮书802.1Q VLAN 技术实现 3-4图3-4 通过单臂路由方式实现VLAN间通信该网络拓扑包含了 3 台主机、一台交换机和一台路由器，路由器和交换机之间配置中继链路Trunk，交换机上设置了 3 个 VLAN，分别是 VLAN10，VLAN20 和 VLAN30。当 VLAN10 中的主机 A 向 VLAN20 中的主机 B 发送信息时，交换机端口 1 收到主机 A 发出的数据帧，查询自己的 MAC 地址表，然后将数据帧从 Trunk 端口 4 转发出去，并为数据帧添加 VLAN ID=10 的标签。路由器收到数据帧后，发现它属于 VLAN10，因此把它交给负责VLAN10 的子接口，该接口判断数据帧应发往负责 VLAN20 的子接口。负责 VLAN20 的子接口再为数据帧添加 VLAN ID=20 的标签并发回给交换机。交换机收到该数据后查询 MAC 地址表，去掉数据帧中的 VLAN 标签，将它从端口 2 发送给主机 B。这样主机 B 就接收到了主机A发给它的信息。可以看到，通过路由器进行VLAN之间的通信时，信息传输经过以下过程：发送者 -> 交换机 -> 路由器 -> 交换机 -> 接收者，即使通信的双方处在同一台交换机上，也必须经过这样的过程。一般这种拓扑适用于小型网络，在已有的二层交换机的基础上，只需要购买一台路由器就能实现不同 VLAN 之间的通信。

通过三层交换机实现 VLAN 间通信

802.1Q VLAN 技术白皮书802.1Q VLAN 技术实现 3-4图3-4 通过单臂路由方式实现VLAN间通信该网络拓扑包含了 3 台主机、一台交换机和一台路由器，路由器和交换机之间配置中继链路Trunk，交换机上设置了 3 个 VLAN，分别是 VLAN10，VLAN20 和 VLAN30。当 VLAN10 中的主机 A 向 VLAN20 中的主机 B 发送信息时，交换机端口 1 收到主机 A 发出的数据帧，查询自己的 MAC 地址表，然后将数据帧从 Trunk 端口 4 转发出去，并为数据帧添加 VLAN ID=10 的标签。路由器收到数据帧后，发现它属于 VLAN10，因此把它交给负责VLAN10 的子接口，该接口判断数据帧应发往负责 VLAN20 的子接口。负责 VLAN20 的子接口再为数据帧添加 VLAN ID=20 的标签并发回给交换机。交换机收到该数据后查询 MAC 地址表，去掉数据帧中的 VLAN 标签，将它从端口 2 发送给主机 B。这样主机 B 就接收到了主机A发给它的信息。可以看到，通过路由器进行VLAN之间的通信时，信息传输经过以下过程：发送者 -> 交换机 -> 路由器 -> 交换机 -> 接收者，即使通信的双方处在同一台交换机上，也必须经过这样的过程。一般这种拓扑适用于小型网络，在已有的二层交换机的基础上，只需要购买一台路由器就能实现不同 VLAN 之间的通信。3.3.2 通过三层交换机实现 VLAN 间通信使用路由器来实现 VLAN 之间的通信，VLAN 之间的流量会集中到路由器和交换机互连的中继链路部分，这部分就容易成为速度的瓶颈。而三层交换机采用的是“一次路由，多次转发”的机制，能实现数据的高速转发，因此采用三层交换机来实现 VLAN 之间的通信更适合用于中大型网络，此时三层交换机可作为整个网络的核心。图 3-5所示即为通过三层交换机进行VLAN 之间通信的一个简单示意图。

图中，有一个三层交换机，连接了 4 台主机，分别属于 VLAN10 和 VLAN20。当主机 A（192.168.1.2）与主机 D（192.168.2.2）要通信时，主机 A 发送一个数据帧。三层交换机的交换模块接收该数据帧之后查询 MAC 地址表，为它添加一个 VLAN ID=10 的标签，然后转发给路由模块。路由模块接收数据帧后会通过 VLAN 信息判断将此数据交给 VLAN10 接口来处理。VLAN10 接口判断将数据帧交给 VLAN20 接口，VLAN20 接口再将数据帧转发回交换模块，最终数据帧中的 VLAN 信息被去掉后转发到主机 D。

可以看到，三层交换机进行 VLAN 间通信也会经过“发送者 -> 交换模块 -> 路由模块 ->交换模块 -> 接收者”这样几个过程。但三层交换机一旦转发过一组目的 IP 相同的数据包之后，就会把该信息缓存，以后相同的数据包就能进行直接转发，而不需要通过路由处理了。由于交换模块对于数据包的二层转发速率远高于三层的路由模块，因此，通过三层交换机实现 VLAN 之间的通信能极大提高网络的数据转发效率，从而解决网络瓶颈的问题。

VLAN 的 MAC 地址学习机制
交换机是通过 VLAN ID 来区分识别不同 VLAN 的。对于支持 802.1Q VLAN 的交换机，其MAC 地址表需同时维护 MAC 地址、转发端口和 VLAN ID 信息。其中，VLAN ID 信息将根据收到数据帧的 Tag 字段来确定，当收到的数据帧不带 Tag 时，则根据接收端口的缺省 VLAN来确定。
在配置了 VLAN 后，交换机的 MAC 地址学习方式有两种：
1、SVL（Shared VLAN Learning，共享式 VLAN 学习）：
MAC 地址表项全部记录到一张共享的 MAC 地址转发表中，一个 MAC 地址在整张表中是唯一的。当交换机收到数据帧时会先进行 MAC 地址查询，然后再进行后续的 VLAN 查询。
2、IVL（Independent VLAN Learning，独立 VLAN 学习）：
交换机为每个 VLAN 维护独立的 MAC 地址转发表，因此 MAC 地址表在逻辑上可以看成根据 VLAN 信息被分成了多张地址表。某个 VLAN 的成员端口接收到数据帧时，其源 MAC 地址只被记录到该VLAN 的 MAC 地址转发表中，且只依据该表中的信息转发数据帧。
下图中简要表示了这两种MAC地址学习机制。在SVL中，所有MAC地址被记录到同一张表中，且一个 MAC 地址只能属于一个 VLAN；在 IVL 中，我们可以从逻辑上认为每个 VLAN 单独拥有一张地址表，一个 MAC 地址可以同时记录到不同 VLAN 的表项中。

IVL 交换机二层转发的基本流程如下：
1、 收到数据帧后，根据其源 MAC 地址和 VLAN ID 信息添加或更新 MAC 地址表项。
2、 根据目的 MAC 地址和 VLAN ID 信息查找 MAC 地址表项。如果没有找到匹配项，则将数据帧在 VLAN ID 对应的 VLAN 内广播；如果能找到匹配表项，则将数据帧向表项中对应的端口进行转发。

VLAN 内的通信

下面通过一个示例来讲解同一 VLAN 内的设备进行通信的过程。在两台出厂设置的交换机上分别创建两个 VLAN，VLAN10 和 VLAN20，并分别设置交换机与主机相连的端口类型为Access，两台交换机相连的端口类型为 Trunk。将交换机 1 的端口 2 加入 VLAN10，端口 3加入 VLAN20，端口 24 同时加入 VLAN10 和 VLAN20；将交换机 2 的端口 4 加入 VLAN10，端口 5 加入 VLAN20，端口 24 同时加入 VLAN10 和 VLAN20，如图：

主机 A 与主机 C 第一次通信的过程如下：

1、主机 A 向交换机 1 发送一个不带 VLAN Tag 的数据帧，交换机 1 的 Access 端口接收该数据帧后，由于该端口的 PVID 值为 10，故为数据帧添加一个带有 VLAN ID=10 的标签。
2、 由于交换机 1 的 MAC 地址表中暂时还没有该数据帧对应的 MAC 地址信息，故将数据帧中的源 MAC 地址、VLAN ID 信息以及对应的端口号 2 添加到 MAC 地址表中，并将该数据帧在 VLAN 10 内广播。
3、交换机1的Trunk端口24属于VLAN10，故该端口接收数据帧，保持VLAN ID=10的标签，并从该端口转发给交换机 2。
4、 交换机 2 的 Trunk 端口 24 也属于 VLAN 10，故该端口接收数据帧。交换机 2 查询自己的 MAC 地址表，发现不存在该表项，故将数据帧中的源 MAC 地址、VLAN ID 信息以及对应的端口号 24 添加到自己的 MAC 地址表中，并将该数据帧在 VLAN 10 内广播。
5、交换机 2 的 Access 端口 4 属于 VLAN10，故该端口接收数据帧，并将帧中的 VLAN 标签去掉后转发给主机 C。此外，由于主机 C 会给交换机返回信息，故交换机也会将主机C 的 MAC 地址以及对应的端口号添加到地址表中。

这样，跨交换机的 VLAN 内通信就完成了。当主机 A 和主机 C 再次进行通信的时候，就能直接通过查询 MAC 地址表进行数据转发了。同样的，主机 B 与主机 D 之间也可以通过这样的过程实现 VLAN 内的通信。

不同 VLAN 间的通信

VLAN帧格式
为使交换机能够分辨不同 VLAN 的报文，IEEE 802.1Q 协议标准规定，在传统以太网数据帧中的 DA&SA（目的 MAC 地址和源 MAC 地址）之后封装 4 个字节的 802.1Q VLAN 标签，即 VLAN Tag，用以标识 VLAN 的相关信息，如图 所示。VLAN Tag 包含四个字段，分别是 TPID、Priority、CFI 和 VLAN ID。

VLAN 标签中的四个字段分别标识了该数据帧不同的信息，下面通过表 2-1对这四个字段进行具体的说明

PVID（Port VLAN ID）
用于表示端口默认所属的 VLAN，即缺省 VLAN。
PVID 主要用于以下两种情形：当设备收到不带 Tag 的数据帧时，将根据 PVID 为数据帧插入 VLAN Tag；当设备接收到 UL 包或广播包的时候，由于 PVID 指定了端口默认所属的 VLAN，设备会将这些数据包在该端口的缺省 VLAN 内广播。

VLAN（Virtual Local Area Network，虚拟局域网）是一种将局域网设备从逻辑上划分成不同网段，从而实现虚拟工作组的数据交换技术。

产生背景

二层交换机工作在数据链路层，在收到广播报文或未知的单播报文时，会向其他所有端口转发该报文，这样，我们可以认为一个二层交换机构成一个广播域，即广播帧能够直接到达的范围。若整个网络只有一个广播域，那么当某台设备发出广播报文时，其他所有设备都会收到该报文。随着网络中计算机数量的增多，广播报文的数量也会急剧增加，从而导致网络的传输效率下降。特别是当某个网络设备出现故障或者网络中出现环路时，广播信息会大量泛洪，从而导致广播风暴，使整个网络陷于瘫痪。因此，当网络中的设备数量增加到一定规模时，必须采取措施对网络进行分段，从而分隔广播域，减小这些潜在问题可能造成的不良影响。通过路由器，我们可以对网络进行分段，从而隔离广播域，如图所示：

但是，这也不能解决同一交换机下的用户隔离。并且，随着网络的不断扩展，网络结构也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，而路由器数量的增多也会导致网络延时加长，网络数据传输速度下降。其次，不管从网络建设的成本还是管理上，这种方式都存在不足。

与路由器相比，交换机具有多个网络接口，通过它来分隔广播域，能使网络划分方式更加灵活，成本也相对更低。因此，VLAN 技术应运而生。利用 VLAN 技术，网络管理者可以根据实际应用需求，将局域网中的不同用户从逻辑上划分成不同的广播域，也就是 VLAN。VLAN从逻辑上划分，不受物理位置的限制，一个 VLAN 包含的用户可以连接在同一台交换机上，也可以跨越交换机。如图 所示，一台路由器连接了两台二层交换机，交换机上划分了不同的 VLAN，若干主机通过交换机接入网络中，并分别属于不同的 VLAN。通过这样的划分，不同 VLAN 之间的设备就不能直接互相通信了。

VLAN优点

VLAN 在逻辑上把网络资源和网络用户按照一定的规则进行划分，其主要优点表现在以下几个方面：
1、提高网络性能。VLAN技术把网络划分成逻辑上的不同广播域，将广播帧限制在VLAN中，从而避免了带宽的浪费，提高了网络处理能力。同时，VLAN 还能有效控制广播风暴的范围，减小此类网络问题所带来的损失。
2、方便网络管理。VLAN 将物理的局域网划分成了逻辑意义上的子网，不必考虑具体的物理位置。每一个 VLAN 都可以对应一个逻辑单位，如部门、项目组等，方便了企业或科研机构的管理。同时，这种划分方式增加了网络的灵活性，若某个用户从一个部门调到另一个部门，而办公位置没有发生改变，网络管理员只需对交换机等设备进行相应配置即可，而无需通过改变物理线路来将此用户接入到新部门中。
3、 增强网络安全。不同 VLAN 内的设备要互相通信，必须通过路由器或三层交换机等设备。网络管理员可在三层设备上设置访问控制规则，确保 VLAN 内的数据不会被其他 VLAN的设备窃听，从而提高了网络的安全性。

VLAN 分类
根据不同的网络需求，可以选择不同的 VLAN 划分方式。目前我们最常用的 VLAN 划分方式是 802.1Q VLAN，这种方法配置比较简单，但当 VLAN 变更时，网络管理者的工作量较大。在 802.1Q VLAN 的基础上，我们可以添加一些标识，来实现其他几种 VLAN，比如 MAC VLAN、协议 VLAN 等。实现 VLAN 的方式多种多样，但几乎所有的这些实现方式都基于IEEE 802.1Q 协议。本文档将详细介绍 802.1Q VLAN 的相关内容。
IEEE 802.1Q 协议规定了 VLAN 的实现标准。过去各个厂商实现 VLAN 的方法并不完全相同，所以彼此无法兼容。IEEE 于 1999 年发布了用以规范 VLAN 实现方法的 IEEE 802.1Q 标准，进一步完善了 VLAN 的体系结构，统一了不同厂商的 VLAN 帧格式，从而使得不同厂商之间的 VLAN 互通成为可能。

TP-LINK网管交换机在创建802.1Q VLAN时，需要根据端口连接的设备设置端口的链路类型。端口的链路类型有下面三种：
1、Access 端口Access 端口只能属于 1 个 VLAN，出口规则为 UNTAG，也就是从该端口发送出去的数据帧不携带 VLAN Tag。Access 端口连接的多为不支持 VLAN 技术的终端设备，比如用户主机。
2、Trunk 端口Trunk 端口可以属于多个 VLAN，出口规则为 TAG，也就是从该端口发送出去的数据帧会携带 VLAN Tag。Trunk 端口一般用于连接支持 VLAN 技术的网络设备，比如交换机或路由器。在实际网络中，VLAN 经常跨接在不同的通信设备上。

3、General 端口General 端口可以属于多个 VLAN，出口规则可以根据该端口连接设备的实际情况灵活配置，既可以设置为带 Tag 发送报文，也可以设为不带 Tag 发送报文。因此，它既能用于网络设备之间的连接，也能用于网络设备和用户之间的连接。当与交换机相连的某个网络环境比较复杂，无法判断网络中的设备是哪种类型，或者该网络中有多种类型的设备时，可将交换机和该网络相连端口类型设置为 General。

端口类型本质是通信设备接收和转发数据帧的处理方式。每一种类型的端口都有相应的数据进出口处理规则，入口规则表示接收数据帧时的处理方式，出口规则表示转发数据帧时的处理方式，如图：

 

两种认证方式：Local 方法或Enable 方法进行登录认证

注：在打开WEB 服务后，默认就已配置enable 方法进行认证

Local方式:
1、进入config模式

2、开启web服务

3、配置WEB 管理登录认证方法为Local 方法

4、设置本地用户名（必须为15 级用户）和密码

5、设置交换机管理IP地址

6、退出当前模式，并保存配置

Enable方式

与Local方式类同，只须将第三步变更为:

ip http authentication enable

上述方法完成后，即可通过浏览器访问交换机的IP地址，实现web管理。

1、通过DB9<->RJ45线缆连接交换机，DB9接PC串口，RJ45连接交换机console口超级终端连接交换机，配置参数如下：

2、配置完成后，启动交换机，出现如下画面时，同时按下 ctrl+c 键

3、出现如下窗口

4、输入 delete config.text，回车，随后输入 yes 确认

5、输入 reload 重启交换机即可

Windows 10在关机前可能会自动安装系统更新文件，显示“Windows正在更新，XX%已完成，不要关闭计算机”的提示。这是为了帮用户更早地提供新功能做好准备，有时很快，有时一个多小时不见完，方法如下：

一、直接按电源键关机

之所以会触发系统自动升级，其实是因为我们关机习惯用开机菜单上的关机命令。因此，只要改用电源键关机，就可以跳过电脑的自动更新了。

打开控制面板——电源选项，点击左侧列表中的“选择电源按钮的功能”；在“按电源按钮时”列表中选择“关机”（默认是睡眠什么的）选项，然后点击“保存修改”按钮即可。

二、清除分发文件夹

由于更新文件会被先行自动下载到系统的分发文件夹中，因此，要拒绝自动安装，首先禁止相关的分发服务项，再清除分发文件夹的内容，这样在关机时就无法执行自动升级了。

1、禁止相关的服务项。
搜索命令提示符，选择以管理员身份运行；然后依次执行下述停止文件分发服务的命令。
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver

2、删除分发文件夹内容。
在文件资源管理器中定位到分发文件夹“C:\Windows\SoftwareDistribution\Download”，全选该文件夹下的所有文件夹，然后按下Shift+Del组合键（或从功能面板选择永久删除命令），执行永久删除操作。

上述方法完成后，关机时就不会执行自动升级了。

DISM，全称：Deployment Image Servicing and Management，即：部署映像服务和管理。它是一个命令行工具，可用于维护和准备 Windows 映像。当然也可以用来检查系统文件完整性和修复系统文件。

使用方法：

以管理员方式运行cmd，进入到命令行运行环境，开始相应的DIMS命令使用。

查看映像版本：
Dism /online /Get-CurrentEdition 当前的系统版本和版本类型。

扫描映像，查看映像是否有损坏
Dism /Online /Cleanup-Image /ScanHealth  这里有进度条显示，以及提示是否有损坏。

查看损坏程度：
Dism /Online /Cleanup-Image /CheckHealth

修复系统映像文件(需要联网)：
Dism /Online /Cleanup-Image /RestoreHealth
如果仍然无法通过联网修复，我们有Win10系统的ISO安装映像文件，可以通过以下命令从本地映像源完成修复(X：即ISO安装映像文件所在盘符)：
Dism /Online /Cleanup-Image /RestoreHealth /source:wim:X:\sources\install.wim:1 /limitaccess

经过上面的步骤后，最后还可以使用SFC命令工具来协助修复系统：
SFC /SCANNOW

1、机器正常启动后，按住“纸张”键5秒，进入纸盒设置模式。

2、按“纸盒”键切换需要设置的纸盒。

3、按“尺寸”键选择所选定纸盒的纸张尺寸。

4、按“开始”键保存所选定纸盒及纸张尺寸的设置（A3尺寸为例）

5、按“纸张”键退出纸盒设置。

6、按“纸盒”键确认手送纸盒纸张尺寸已设为“A3”

注：在设置纸盒过程中，通过按“25～400%”倍率选择键设定所选纸盒中的纸张类型（如：厚纸、薄纸等）