从交换机到VLAN

嗯，上次用交换机基本上已经可以大家一个稍有点规模的局域网里，现在来看scope再大的，网络结构更复杂的。现在要为一个公司搭建网络。这个公司是那种比较牛逼的公司，办公楼有十几层，部门也有十几个。我们上过班的小白领肯定都见过我们的工位上有网线插口，不要跟我讲那种非常挫的公司，只有无线wify那种。那么一般都是要求我各个部分职能访问我这个部门的网络资源。比如码农的端口肯定连不上财务的内网的。这个是怎么做到的呢。

这个时候一台交换机肯定是不够用的。需要多台交换机，多台交换机连在一起就构成了拓扑网络。先看个比较简单的两个交换机连接三个局域网的情况。

两个交换机

现在机器1想要发送数据到机器4，广播发出去之后，机器2收到数据包解析后发现跟自己没有关系就不管了，交换机A也接收到了数据包，这个时候他采取的措施是转发数据到所有连接的接口，这样机器3接收到数据，跟我没关系。交换机B也收到了广播，他接着广播到右边的局域网，这样机器4和机器5都收到了信息，机器4发现数据是发给我的，就做出相应，吧返回数据包同样的方式发回给机器1.

两个交换机看来没啥问题，但是随着网络越来越庞大，交换机越来越多一团乱麻难免不会出问题，典型的就是网络回环

网络环路

加入现在机器1发送数据到机器2，处理机器2能收到数据包之外，其实两个交换机也能收到数据包，那么问题就来了。交换机A收到广播通知的时候还不知道机器2在哪个局域网，于是乎就继续广播给交换机B，但是交换机B也是不知道机器2在哪个局域网的于是就广播给交换机A，这样来回广播就像一个环一样，这样的广播在交换机上越级越多的话最后交换机通道就会越来越拥堵。

辣么如何解决这个问题呢，参考STP协议的方法，也就是基于优先级的竞争机制选择交换机。具体太复杂了，不在这里讲了。也讲不好。

前面提到了如何禁止不同的部门限制访问，这个其实就是广播的安全性问题，在同一局域网中，一台机器发送的广播其他机器都会收到，也就是老板在谈商业机密的时候，小喽喽也是能收到广播的。会抓包的抓出来就发达了。如何做到安全呢，一种方法可是物理隔离，就是不同的部门用不同局域网，局域网中的交换机也是隔离的。但是这种方式可能导致资源的浪费。比如以前我们有个部门业务好啊，人也多。但后来不行了就裁员，人走楼空，那原先分配的几百个人的交换机和端口现在只给几十个人用。多浪费。还有一种方式就是有名的VLAN了，就是虚拟局域网。VLAN在区分网络的时候要求把一个含有VLANID的tag 加到二层发送的包头中。如果交换机是支持vlan的，那把包头中的tag 取出来就能区分VALN ID，只有相同VLAN ID的网络才能互相通信。不同VLANID的网络是看不到的。