标签分割： https协议下的数据传输与安全：(标签分割机)

标题：探究HTTPS协议下的数据传输与安全

摘要：随着互联网技术的飞速发展，网络安全问题日益受到人们的关注。
HTTPS协议作为互联网安全传输协议的代表之一，在数据传输过程中起到了至关重要的作用。
本文将详细介绍HTTPS协议的工作原理、数据传输过程以及安全保障机制，帮助读者更好地了解HTTPS协议下的数据传输与安全。

一、引言

在互联网时代，数据的安全性成为了人们关注的焦点。
为了保障数据传输的安全，HTTPS协议应运而生。
HTTPS协议是在HTTP协议的基础上，通过SSL/TLS加密技术实现数据传输安全的协议。
本文将详细介绍HTTPS协议的工作原理、数据传输过程以及安全保障机制。

二、HTTPS协议概述

HTTPS协议是一种通过计算机网络进行安全通信的传输协议。
HTTPS基于HTTP协议，但在传输过程中，采用SSL/TLS加密技术实现数据的加密传输，从而确保数据在传输过程中的安全性。
HTTPS协议广泛应用于网页浏览、文件下载、在线支付等场景。

三、HTTPS协议工作原理

HTTPS协议的工作原理主要包括三个阶段：握手阶段、数据加密阶段和数据传输阶段。

1. 握手阶段：在客户端和服务器之间进行SSL/TLS握手过程，建立安全连接。握手过程中，服务器会向客户端提供证书，客户端验证服务器证书后，双方协商确定加密套件和密钥等参数。
2. 数据加密阶段：在握手阶段完成后，客户端和服务器之间采用协商好的加密套件和密钥进行数据加密和解密操作。数据加密后，数据以密文形式在网络中传输。
3. 数据传输阶段：在数据加密阶段完成后，客户端和服务器开始进行数据传输。传输的数据都是经过加密处理的密文数据，确保数据在传输过程中的安全性。

四、HTTPS协议的数据传输过程

HTTPS协议的数据传输过程主要包括以下几个步骤：

1. 客户端向服务器发送请求，请求中包含要访问的网页地址等信息。
2. 服务器接收到请求后，返回响应，响应中包含网页内容等信息。
3. 在数据传输前，服务器和客户端会进行SSL/TLS握手过程，建立安全连接。
4. 握手完成后，服务器将加密的网页内容返回给客户端。
5. 客户端接收到加密的网页内容后，使用相应的密钥和算法进行解密操作，获取原始的网页数据。
6. 客户端解析网页数据，展示给用户。

五、HTTPS协议的安全保障机制

HTTPS协议的安全保障机制主要包括以下几个方面：

1.加密传输：HTTPS协议采用SSL/TLS加密技术，确保数据在传输过程中的安全性。
2. 证书验证：在握手阶段，客户端会验证服务器提供的证书，确保连接的服务器是合法的。
3. 完整性保护：HTTPS协议采用数据完整性校验技术，确保数据在传输过程中没有被篡改。
4. 安全控件：HTTPS协议结合安全控件使用，如浏览器插件等，进一步提高数据传输的安全性。

六、结论

随着互联网的普及和网络安全问题的日益突出，HTTPS协议在保障数据安全方面发挥着重要作用。
本文详细介绍了HTTPS协议的工作原理、数据传输过程以及安全保障机制，帮助读者更好地了解HTTPS协议下的数据传输与安全。
作为互联网用户，我们应该积极使用HTTPS协议，保障自己的数据安全。

1.TCP/IP协议的体系结构分为哪几层？每层的功能？

=====================★TCP/IP整体构架概述★== =====================TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为： ●应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。 ●传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。 ●互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。 ●网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。 ===============★ping命令概述★=================Ping通过发送“网际消息控制协议 (ICMP)”回响请求消息来验证与另一台 TCP/IP 计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来。 Ping 是用于检测网络连接性、可到达性和名称解析的疑难问题的主要 TCP/IP 命令。如果不带参数，ping 将显示帮助。 ●语法 ping [-t] [-a] [-n Count] [-l Size] [-f] [-i TTL] [-v TOS] [-r Count] [-s Count] [{-j HostList | -k HostList}] [-w Timeout] [TargetName] ●参数 -t 指定在中断前 ping 可以持续发送回响请求信息到目的地。要中断并显示统计信息，请按 CTRL-BREAK。要中断并退出 ping，请按 CTRL-C。 -a 指定对目的地 IP 地址进行反向名称解析。如果解析成功，ping 将显示相应的主机名。 -n Count 指定发送回响请求消息的次数。默认值为 4。 -lSize 指定发送的回响请求消息中“数据”字段的长度（以字节表示）。默认值为 32。 size 的最大值是 65,527。 -f 指定发送的回响请求消息带有“不要拆分”标志（所在的 IP 标题设为 1）。回响请求消息不能由目的地路径上的路由器进行拆分。该参数可用于检测并解决“路径最大传输单位 (PMTU)”的故障。 -i TTL 指定发送回响请求消息的 IP 标题中的 TTL 字段值。其默认值是是主机的默认 TTL 值。对于 Windows XP 主机，该值一般是 128。 TTL 的最大值是 255。 -v TOS 指定发送回响请求消息的 IP 标题中的“服务类型 (TOS)”字段值。默认值是 0。 TOS 被指定为 0 到 255 的十进制数。 -r Count 指定 IP 标题中的“记录路由”选项用于记录由回响请求消息和相应的回响应答消息使用的路径。路径中的每个跃点都使用“记录路由”选项中的一个值。如果可能，可以指定一个等于或大于来源和目的地之间跃点数的 Count。 Count 的最小值必须为 1，最大值为 9。 -s Count 指定 IP 标题中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。 Count 的最小值必须为 1，最大值为 4。 -jPath 指定回响请求消息使用带有 HostList 指定的中间目的地集的 IP 标题中的“稀疏资源路由”选项。可以由一个或多个具有松散源路由的路由器分隔连续中间的目的地。主机列表中的地址或名称的最大数为 9，主机列表是一系列由空格分开的 IP 地址（带点的十进制符号）。 -k HostList 指定回响请求消息使用带有 HostList 指定的中间目的地集的 IP 标题中的“严格来源路由”选项。使用严格来源路由，下一个中间目的地必须是直接可达的（必须是路由器接口上的邻居）。主机列表中的地址或名称的最大数为 9，主机列表是一系列由空格分开的 IP 地址（带点的十进制符号）。 -w Timeout 指定等待回响应答消息响应的时间（以微妙计），该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息，将会显示“请求超时”的错误消息。默认的超时时间为 4000（4 秒）。 TargetName 指定目的端，它既可以是 IP 地址，也可以是主机名。 /? 在命令提示符显示帮助。 ●注释可以使用 ping 测试计算机名和计算机的 IP 地址。如果已成功验证 IP 地址但未成功验证计算机名，这可能是由于名称解析问题所致。在这种情况下，要确保指定的计算机名可以通过本地主机文件进行解析，其方法是通过域名系统 (DNS) 查询或 NetBIOS 名称解析技术进行解析。只有当网际协议 (TCP/IP) 协议在网络连接中安装为网络适配器属性的组件时，该命令才可用。范例以下范例显示 ping 的输出： C:\>ping Pinging [192.168.239.132] with 32 bytes of data: Reply from 192.168.239.132: bytes=32 time=101ms TTL=124 Reply from 192.168.239.132: bytes=32 time=100ms TTL=124 Reply from 192.168.239.132: bytes=32 time=120ms TTL=124 Reply from 192.168.239.132: bytes=32 time=120ms TTL=124 要验证目的地 10.0.99.221 并解析 10.0.99.221 的主机名，请键入： ping -a 10.0.99.221 要验证带有 10 个回响请求消息的 10.0.99.221，且每个消息的“数据”字段值为 1000 字节，请键入： ping -n 10 -l 1000 10.0.99.221 要验证目的地 10.0.99.221 并记录 4 个跃点的路由，请键入： ping -r 4 10.0.99.221 要验证目的地 10.0.99.221 并指定稀疏来源路由为 10.12.0.1-10.29.3.1-10.1.44.1，请键入： ping -j 10.12.0.1 10.29.3.1 10.1.44.1 10.0.99.221=====================★进行Internet 安全设置★======================Internet 的安全问题对很多人来说并不陌生，但是真正了解它并引起足够重视的人却不多。其实在IE 浏览器中就提供了对Internet 进行安全设置的功能，用户使用它就可以对Internet 进行一些基础的安全设置，具体操作如下：（1）启动IE 浏览器。（2）选择“工具”∣“Internet 选项”命令，打开“Internet 选项”对话框。（3）选择“安全”选项卡（4）在该选项卡中用户可为Internet 区域、本地Intranet（企业内部互联网）、受信任的站点及受限制的站点设定安全级别。（5）若用户要对Internet 区域及本地Intranet（企业内部互联网）设置安全级别，可选中“请为不同区域的Web 内容指定安全级别”列表框中相应的图标。（6）在“该区域的安全级别”选项组中单击“默认级别”按钮，拖动滑块既可调整默认的安全级别。注意：若用户调整的安全级别小于其默认级别，则弹出“警告”对话框在该对话框中，若用户确实要降低安全级别，可单击“是”按钮。（7）若用户要自定义安全级别，可在“该区域的安全级别”选项组中单击“自定义级别”按钮，将弹出“安全设置”对话框（8）在该对话框中的“设置”列表框中用户可对各选项进行设置。在“重置自定义设置”选项组中的“设置为”下拉列表中选择安全级别，单击“重置”按钮，即可更改为重新设置的安全级别。这时将弹出“警告”对话框（9）若用户确定要更改该区域的安全设置，单击“是”按钮即可。（10）若用户要设置受信任的站点和受限制的站点的安全级别，可单击“请为不同区域的Web 内容指定安全级别”列表框中相应的图标。单击“站点”按钮，将弹出“可信站点”|“受限站点”对话框（11）在该对话框中，用户可在“将该Web 站点添加到区域中”文本框中输入可信|受限站点的网址，单击“添加”按钮，即可将其添加到“Web 站点”列表框中。选中某Web 站点的网址，单击“删除”按钮，可将其删除。（12）设置完毕后，单击“确定”按钮即可。（13）参考（6）~（9）步，对可信|受限站点设置安全级别即可。注意：同一站点类别中的所有站点，均使用同一安全级别。 ●如何确定您是否正确启用cookie1.查询自己所使用的IE版本。打开IE，点击菜单条上的帮助（Help）在展开的菜单里，选择最下面一条关于Internet Explorer(About Internet Explorer)在弹出的窗口中,Internet Explorer图片标题下第一行,就是有关版本信息。 2.如果您使用的是IE 6.0版本，请按以下几个步骤启用cookie：点击菜单条上的工具（Tool）在展开的菜单里，选择最下面一条Internet选项(Internet Options)在打开的Internet 选项设置窗口里，顶上有一条标签栏，点击第三个隐私(Privacy)。在隐私的设置里，中间偏下有三个按钮，点击第二个按钮高级(Advanced)在弹出的cookie设置窗口里，勾选如下设置：覆盖自动cookie处理 (Override automatic cookie handling) 第一方cookie：接受 (First-party cookies: Accept) 第三方cookie：接受 (Third-party cookies: Accept) 总是允许会话cookie (Always allow session cookies)点击按钮确定(OK)，关闭cookie设置窗口点击按钮确定(OK)，关闭Internet 选项设置窗口 3.如果您使用的是IE 5.0版本，请按以下几个步骤启用cookie：点击菜单条上的工具（Tool）在展开的菜单里，选择最下面一条Internet选项(Internet Options)在打开的Internet 选项设置窗口里，顶上有一条标签栏，点击第二个安全(Security)。在安全的设置里，中间偏下有两个按钮，点击按钮自定义级别(Customized)在弹出的安全设置窗口里，拉动上下滚动条，找到cookie设置，勾选如下设置：允许使用存储在您计算机上的cookie：启用允许使用每个对话cookie(未存储)：启用点击按钮确定(OK)，关闭安全设置窗口点击按钮确定(OK)，关闭Internet 选项设置窗口4.如果您使用的是IE 4.0版本,请按以下几个步骤启用cookie：从主菜单中选择“查看|Internet 选项...”。更改至“安全”选项卡。选择“自定义”，然后单击“设置...”向下滚动至“安全”部分。启用方法：选择“总是接受 cookie” 启用 JavaScript 功能步骤：（只适用于Microsoft Internet Explorer）1.在工具列中，选[工具]->[Internet 选项] 2.选择[安全]，然后按[默认级别]3.点击按钮“确定”（OK），关闭Internet 选项设置窗口。 4.关闭浏览器窗口，重新打开浏览器即可。

虚拟局域网

虚拟局域网百科名片虚拟局域网VLAN（Virtual Local Area Network）的中文名为虚拟局域网。 VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。目录什么是VLANVLAN的目的VLAN的优点1. 广播风暴防范：2. 安全：3.成本降低：4.性能提高：5.提高IT员工效率：6.简化项目管理或应用管理：7. 增加了网络连接的灵活性。组建VLAN的条件VLAN的划分1.根据端口来划分VLAN2.根据MAC地址划分VLAN3.根据网络层划分VLAN4.根据IP组播划分VLAN5.基于规则的VLAN6. 按用户定义、非用户授权划分VLANVLAN的标准划分VLAN的基本策略1、基于端口的VLAN划分2、基于MAC地址的VLAN划分3、基于路由的VLAN划分VLAN技术简单谈VLAN的定义及特点VLAN的分类及优缺点1. 基于端口的VLAN(1) 多交换机端口定义VLAN(2) 单交换机端口定义VLAN2. 基于MAC地址的VLAN3. 基于路由的VLAN4. 基于策略的VLAN常见的应用VLAN基于端口的虚拟局域网的优缺点静态虚拟局域网的优缺点动态的虚拟局域网的优缺点VLAN发展趋势VLAN的基本配置命令公司内部进行VLAN的划分实例vlan拓扑试验1. 实验目的2. 实验拓扑3. 实验步骤4. 实验调试什么是VLANVLAN的目的VLAN的优点 1. 广播风暴防范： 2. 安全： 3.成本降低： 4.性能提高： 5.提高IT员工效率： 6.简化项目管理或应用管理： 7. 增加了网络连接的灵活性。组建VLAN的条件VLAN的划分 1.根据端口来划分VLAN 2.根据MAC地址划分VLAN 3.根据网络层划分VLAN 4.根据IP组播划分VLAN 5.基于规则的VLAN 6. 按用户定义、非用户授权划分VLANVLAN的标准划分VLAN的基本策略 1、基于端口的VLAN划分 2、基于MAC地址的VLAN划分 3、基于路由的VLAN划分VLAN技术简单谈VLAN的定义及特点VLAN的分类及优缺点 1. 基于端口的VLAN (1) 多交换机端口定义VLAN (2) 单交换机端口定义VLAN 2. 基于MAC地址的VLAN 3. 基于路由的VLAN 4. 基于策略的VLAN常见的应用VLAN 基于端口的虚拟局域网的优缺点静态虚拟局域网的优缺点动态的虚拟局域网的优缺点VLAN发展趋势VLAN的基本配置命令公司内部进行VLAN的划分实例vlan拓扑试验 1. 实验目的 2. 实验拓扑 3. 实验步骤 4. 实验调试展开编辑本段什么是VLANIEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。 VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。编辑本段VLAN的目的VLAN（Virtual Local Area Network，虚拟局域网）的目的非常的多。通过认识VLAN的本质，将可以了解到其用处究竟在哪些地方。第一，要知道192.168.1.2/30和192.168.1.6/30都属于不同的网段，都必须要通过路由器才能进行访问，凡是不同网段网段间要互相访问，都必须通过路由器。第二，VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的网段。下面，给予说明。比如一个路由器只有一个用于终端连接的端口（当然这种情况基本不可能发生，只不过简化举例），这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门，一个销售部，一个企划部，每个部门要求单独成为一个子网，有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址，那怎样来区分不同网段了？这就可以在这个物理端口下，创建两个子接口---逻辑接口实现。比如逻辑接口 F0/0.1就分配IP地址192.168.1.1/25，用于销售部，而F0/0.2就分配IP地址192.168.1.129/25，用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能，这样就将原本只能划分一个网段的情形，扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的，所以称之为虚拟局域网VLAN。这是在路由器的层次上阐述了VLAN的目的。第三，将在交换机的层次上阐述VLAN的目的。在现实中，由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机，然后接入路由器的一个端口，把企划部全部接入一个交换机，然后接入一个路由器端口。这种情况是LAN.然而正如上面所说，如果路由器就一个用于终端的接口，那么这两个交换机就必须接入这同一个路由器的接口，这个时候，如果还想保持原来的网段的划分，那么就必须使用路由器的子接口，创建VLAN. 同样，比如两个交换机，如果你想要每个交换机上的端口都分别属于不同的网段，那么即使你有几个网段，就提供几个路由器的接口，这个时候，虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段，但是在交换机的层次上，它并不能区分哪个端口属于哪个网段，那么唯一实现能区分的方法，就是划分VLAN，使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。综上，当一个交换机上的所有端口中有至少一个端口属于不同网段的时候，当路由器的一个物理端口要连接2个或者以上的网段的时候，就是VLAN发挥作用的时候，这就是VLAN的目的。编辑本段VLAN的优点1. 广播风暴防范：限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。 LAN分段可以防止广播风暴波及整个网络。 VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 2. 安全：增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 3.成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 4.性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 5.提高IT员工效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。 6.简化项目管理或应用管理：VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。 7. 增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。 VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。编辑本段组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。同时还严格限制了用户数量.编辑本段VLAN的划分1.根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。 3.根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 4.根据IP组播划分VLANIP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 5.基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。 6. 按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 * 以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。编辑本段VLAN的标准对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。 · 802.10VLAN标准在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。 Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。 · 802.1Q 在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了Fram-eTagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。 802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。 · Cisco ISL 标签 ISL（Inter-Switch Link)是Cisco公司的专有封装方式，因此只能在Cisco的设备上支持。 ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。编辑本段划分VLAN的基本策略从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的。 MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡标识（NIC）。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。编辑本段VLAN技术简单谈局域网的发展是VLAN产生的基础，所以在介绍VLAN之前，我们先来了解一下局域网的有关知识。局域网（LAN）通常是一个单独的广播域，主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信，而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。图1所示即为使用路由器构建的典型的局域网环境。随着网络的不断扩展，接入设备逐渐增多，网络结构也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互联。但这样做存在两个缺陷：首先，随着网络中路由器数量的增多，网络延时逐渐加长，从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时，必须经过路由器的路由操作: 路由器根据数据包中的相应信息确定数据包的目标地址，然后再选择合适的路径转发出去。其次，用户是按照它们的物理连接被自然地划分到不同的用户组（广播域）中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此，尽管不同的工作组或部门对带宽的需求有很大的差异，但它们却被机械地划分到同一个广播域中争用相同的带宽。编辑本段VLAN的定义及特点虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。 VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： ● 网络设备的移动、添加和修改的管理开销减少; ● 可以控制广播活动; ● 可提高网络的安全性。编辑本段VLAN的分类及优缺点定义VLAN成员的方法有很多，由此也就分成了几种不同类型的VLAN。 1. 基于端口的VLAN基于端口的VLAN的划分是最简单、有效的VLAN划分方法，它按照局域网交换机端口来定义VLAN成员。 VLAN从逻辑上把局域网交换机的端口划分开来，从而把终端系统划分为不同的部分，各部分相对独立，在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况：(1) 多交换机端口定义VLAN如图3所示，交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1，交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。 (2) 单交换机端口定义VLAN如图2所示，交换机的1、2、6、7、8端口组成VLAN1，3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。基于端口的VLAN的划分简单、有效，但其缺点是当用户从一个端口移动到另一个端口时，网络管理员必须对VLAN成员进行重新配置。 2. 基于MAC地址的VLAN基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。 MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网络的其他物理网段，而自动保持原来的VLAN成员资格。在网络规模较小时，该方案可以说是一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。 3. 基于路由的VLAN路由协议工作在7层协议的第3层—网络层，比如基于IP和IPX的路由协议，这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。在按IP划分的VLAN中，很容易实现路由，即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的，又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。 4. 基于策略的VLAN基于策略的VLAN的划分是一种比较有效而直接的方式，主要取决于在VLAN的划分中所采用的策略。编辑本段常见的应用VLANPort vlan与Tag vlan port vlan 基于端口的VLAN，处于同一VLAN端口之间才能相互通信。 tag vlan 基于IEEE 802.1Q（vlan标准），用VID（vlan id）来划分不同的VLAN基于端口的虚拟局域网的优缺点基于端口的VLAN，简单的讲就是交换机的一个端口就是一个虚拟局域网，凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为：由于一个端口就是一个独立的局域网。所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口，如果用户需要将数据发送到其他的虚拟局域网中，就需要先由交换机发往路由器再由路由器发往其他端口；同时以端口为中心的VLAN中完全由用户自由支配端口，无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN，当用户位置改变时，往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话，采用这一方式倒也不错。静态虚拟局域网的优缺点可以说静态VLAN与基于端口的VLAN有一丝相似之处，用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面，静态VLAN虽说是可以使多个端口的设置成一个虚拟局域网，假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情，这时候问题就出现了，因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中（静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网），这样就需要网络管理人员随时配合及时修改该线路上的端口。动态的虚拟局域网的优缺点与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术，其次，当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现，因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址全部输入到了路由器之中，同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网，之后将这台电脑连接到对应的虚拟局域网之中。说起缺点，动态的虚拟局域网的缺点跟本谈不上缺点，只是在VLAN建立初期，网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限（虚拟局域网）即可。编辑本段VLAN发展趋势目前在宽带网络中实现的VLAN基本上能满足广大网络用户的需求，但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术，基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题，这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致，IEEE正在制定和完善IEEE802.1S（Multiple Spanning Trees）和IEEE802.1W（Rapid Reconfiguration of Spanning Tree）来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议，并结合使用RISC（精简指令集计算）处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施，大大提高了VLAN网络的性能。 IEEE802.1P协议提出了COS（Class of Service）标准，这使网络通信优先级控制机制有了参考。详情:

OSI分层问题

看了楼主的对OSI分层模型的理解，其实你没理解到这一步的时候，因为楼主连OSI七层模型的每一层的基本概念和作用都没弄明白。我先给你介绍一下七层模型的基本概念和各层的作用功能：这个问题对于初学者来说，都有点抽象，难理解。对于计算机或计算机网络来说，他包含了很多种硬件设备，如计算机本身、网卡、交换机、路由器等。但硬件本身并不能工作，就像一台新买回来的电脑没有安装操作系统（如：Windows XP)，它除了会浪费电以外，什么也干不了。所以能让这些硬件设备所工作的是设备所安装的软件系统，及“协议”。而这些软件协议又很多，又很复杂，人们为了把这些复杂的协议让人更容易操作、理解、学习。就把这些协议按照不同的功能分为七类，及七层，每一层的协议按照自己特定的功能去工作。去实现对数据的传输。首先我们要了解OSI七层模型各层的功能。第七层：应用层数据用户接口，提供用户程序“接口”。第六层：表示层数据数据的表现形式，特定功能的实现，如数据加密。第五层：会话层数据允许不同机器上的用户之间建立会话关系，如WINDOWS 第四层：传输层段实现网络不同主机上用户进程之间的数据通信，可靠与不可靠的传输，传输层的错误检测，流量控制等。第三层：网络层包提供逻辑地址（IP）、选路，数据从源端到目的端的传输第二层：数据链路层帧将上层数据封装成帧，用MAC地址访问媒介，错误检测与修正。第一层：物理层比特流设备之间比特流的传输，物理接口，电气特性等。下面是对OSI七层模型各层功能的详细解释： OSI七层模型 OSI 七层模型称为开放式系统互联参考模型 OSI 七层模型是一种框架性的设计方法 OSI 七层模型通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯，因此其最主要的功能使就是帮助不同类型的主机实现数据传输物理层： O S I 模型的最低层或第一层，该层包括物理连网媒介，如电缆连线连接器。物理层的协议产生并检测电压以便发送和接收携带数据的信号。在你的桌面P C 上插入网络接口卡，你就建立了计算机连网的基础。换言之，你提供了一个物理层。尽管物理层不提供纠错服务，但它能够设定数据传输速率并监测数据出错率。网络物理问题，如电线断开，将影响物理层。数据链路层： O S I 模型的第二层，它控制网络层与物理层之间的通信。它的主要功能是如何在不可靠的物理线路上进行数据的可靠传递。为了保证传输，从网络层接收到的数据被分割成特定的可被物理层传输的帧。帧是用来移动数据的结构包，它不仅包括原始数据，还包括发送方和接收方的网络地址以及纠错和控制信息。其中的地址确定了帧将发送到何处，而纠错和控制信息则确保帧无差错到达。数据链路层的功能独立于网络和它的节点和所采用的物理层类型，它也不关心是否正在运行 Wo r d 、E x c e l 或使用I n t e r n e t 。有一些连接设备，如交换机，由于它们要对帧解码并使用帧信息将数据发送到正确的接收方，所以它们是工作在数据链路层的。网络层： O S I 模型的第三层，其主要功能是将网络地址翻译成对应的物理地址，并决定如何将数据从发送方路由到接收方。网络层通过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中节点A 到另一个网络中节点B 的最佳路径。由于网络层处理路由，而路由器因为即连接网络各段，并智能指导数据传送，属于网络层。在网络中，“路由”是基于编址方案、使用模式以及可达性来指引数据的发送。传输层： O S I 模型中最重要的一层。传输协议同时进行流量控制或是基于接收方可接收数据的快慢程度规定适当的发送速率。除此之外，传输层按照网络能处理的最大尺寸将较长的数据包进行强制分割。例如，以太网无法接收大于1 5 0 0 字节的数据包。发送方节点的传输层将数据分割成较小的数据片，同时对每一数据片安排一序列号，以便数据到达接收方节点的传输层时，能以正确的顺序重组。该过程即被称为排序。工作在传输层的一种服务是 T C P / I P 协议套中的T C P （传输控制协议），另一项传输层服务是I P X / S P X 协议集的S P X （序列包交换）。会话层：负责在网络中的两节点之间建立和维持通信。会话层的功能包括：建立通信链接，保持会话过程通信链接的畅通，同步两个节点之间的对话，决定通信是否被中断以及通信中断时决定从何处重新发送。你可能常常听到有人把会话层称作网络通信的“交通警察”。当通过拨号向你的 I S P （因特网服务提供商）请求连接到因特网时，I S P 服务器上的会话层向你与你的P C 客户机上的会话层进行协商连接。若你的电话线偶然从墙上插孔脱落时，你终端机上的会话层将检测到连接中断并重新发起连接。会话层通过决定节点通信的优先级和通信时间的长短来设置通信期限表示层：应用程序和网络之间的翻译官，在表示层，数据将按照网络能理解的方案进行格式化；这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密与加密，如系统口令的处理。例如：在 Internet上查询你银行账户，使用的即是一种安全连接。你的账户数据在发送前被加密，在网络的另一端，表示层将对接收到的数据解密。除此之外，表示层协议还对图片和文件格式信息进行解码和编码。应用层：负责对软件提供接口以使程序能使用网络服务。术语“应用层”并不是指运行在网络上的某个特别应用程序，应用层提供的服务包括文件传输、文件管理以及电子邮件的信息处理。