第四章 计算机网络基础

知识点：网络技术标准与协议、Internet技术及应用、网络分类、网络管理、网络服务器、网络交换技术、网络存储技术、无线网络技术、光网络技术、网络接入技术、综合布线、机房工程、网络规划、设计与实施。

4.1 网络体系结构

在网络体系结构方面，主要考查开发系统互连参考模型、网络地址及网络协议、子网掩码、网络分类、802.3、虚拟局域网，以及计算机网络系统平台的划分等。

4.1.1 网络的分类

不同传输距离的网络可以分为局域网、城域网和广域网三种。

1.局域网

局域网（Local Area Network, LAN）是在传输距离较短的前提下所发展的相关技术的集合，用于将小区域内的各种计算机设备和通信设备互联在一起组成资源共享的通信网络。

距离短：0.1km～25km，可以是一个建筑物内、一个校园内或办公室内。速度快：4Mbps～1Gbps，从早期的4Mbps、10Mbps及100Mbps发展到现在的1000Mbps（1Gbps），而且还在不断向前发展。高可靠性：由于距离很近，传输相当可靠，有极低的误码率。成本较低：由于覆盖的地域较小，因此传输媒介、网络设备的价格都相对较便宜，管理也比较简单。

根据技术的不同，局域网有以太网（Ethernet）、令牌环网络（Token Ring）、Apple Talk网络和ArcNet网络等几种类型。现在，几乎所有的局域网都是基于以太网实现的。当然，随着应用需求的不断提高，也对局域网技术提出了新的挑战，出现了一批像FDDI（Fiber Distributed Data Interface，光纤分布式数据接口）一样的技术。

2.广域网

广域网（Wide Area Network, WAN）是在传输距离较长的前提下所发展的相关技术的集合，用于将大区域范围内的各种计算机设备和通信设备互联在一起组成一个资源共享的通信网络。

长距离：跨越城市，甚至联通全球进行远距离连接。低速率：这是与局域网的速度相比而言的，一般情况下，广域网的传输速率是以Kbps为单位的。现在也出现了许多像ISDN（Integrated Services Digital Network，综合业务数字网）和ADSL（Asymmetric Digital Subscriber Line，非对称数字用户线路）这样的高速广域网，其传输速率也能达到Mbps，当然费用也大大地提高了。高成本：相对于城域网和局域网来说，广域网的架设成本是很昂贵的，当然它所带来的经济效益也是极大的。

WAN由通信子网与资源子网两部分组成，通信子网通常由通信节点和通信链路组成。通信节点往往就是一台计算机，它一方面提供通信子网与资源子网的接口，另一方面对其他节点而言又是一个存储转发节点。作为网络接口节点，它能提供信息的接口，并对传输及网络信息进行控制。通信子网中，软件必须遵循网络协议，实现对链路及节点存储器的管理，还必须提供与主处理器、终端集中器进行信息交换的接口。资源子系统是指连在网上的各种计算机、终端和数据库等。这不仅指硬件，也包括软件和数据资源。通信子网主要使用分组交换技术，根据网络通信原理，局域网与广域网的互联一般是通过第三层设备路由器实现的。

3.城域网

城域网（Metropolitan Area Network, MAN）的覆盖范围介于局域网和广域网之间，城域网的主要技术是DQDB（Distributed Queue Dual Bus，分布式队列双总线），即IEEE 802.6。DQDB是由双总线构成的，所有的计算机都连接在上面。

所谓宽带城域网，就是在城市范围内，以IP（Internet Protocol，网际协议）和ATM（Asynchronous Transfer Mode，异步传输模式）电信技术为基础，以光纤作为传输媒介，集数据、语音和视频服务于一体的高带宽、多功能及多业务接入的多媒体通信网络。

4.1.2 网络互连模型

OSI/RM模型共分7层，从下往上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

1.物理层

物理层的所有协议规定了不同种类的传输设备、传输媒介如何将数字信号从一端传送到另一端，而不管传送的是什么数据。它是完全面向硬件的，通过一系列协议定义了通信设备的机械、电气、功能和规程特征。

（1）机械特征：规定线缆与网络接口卡的连接头的形状、几何尺寸、引脚线数、引线排列方式和锁定装置等一系列外形特征。

（2）电气特征：规定了在传输过程中多少伏特的电压代表1，多少伏特代表0。

（3）功能特征：规定了连接双方每个连接线的作用，即哪些是用于传输数据的数据线，哪些是用于传输控制信息的控制线，哪些是用于协调通信的定时线，哪些是用于接地的地线。

（4）过程特征：具体规定了通信双方的通信步骤。

2.数据链路层

数据链路层在物理层已能将信号发送到通信链路中的基础上，负责建立一条可靠的数据传输通道，完成相邻结点之间有效地传送数据的任务。正在通信的两个站点在某一特定时刻，一个发送数据，一个接收数据。数据链路层通过一系列协议实现以下功能。

（1）封装成帧：把数据组成一定大小的数据块（帧），然后以帧为单位发送、接收和校验数据。

（2）流量控制：根据接收站的接收情况，发送数据的一方实时地进行传输速率控制，以免出现发送数据过快，接收方来不及处理而丢失数据的情况。

（3）差错控制：当接收到数据帧后，接收数据的一方对其进行检验，如果发现错误，则通知发送方重传。

（4）传输管理：在发送端与接收端通过某种特定形式的对话来建立、维护和终止一批数据的传输过程，以此对数据链路进行管理。

就发送端而言，数据链路层将来自上层的数据按一定规则转化为比特流送到物理层进行处理；就接收端而言，它通过数据链路层将来自物理层的比特流合并成完整的数据帧供上层使用。

最典型的数据链路层协议是IEEE（Institute of Electrical and Electronics Engineers，美国电气和电子工程师协会）开发的802系列规范，在该系列规范中将数据链路层分成了两个子层：逻辑链路控制层（Logic Link Control, LLC）和介质访问控制层（Media Access Control, MAC）。

LLC层负责建立和维护两台通信设备之间的逻辑通信链路；MAC层控制多个信息通道复用一个物理介质。

MAC层提供对网卡的共享访问与网卡的直接通信。网卡在出厂前会被分配给唯一的由12位十六进制数表示的MAC地址（物理地址），MAC地址可提供给LLC层来建立同一个局域网中两台设备之间的逻辑链路。

IEEE 802规范目前主要包括以下内容。

（1）802.1：802协议概论，其中802.1A规定了局域网体系结构，802.1B规定了寻址、网络互连与网络管理。

（2）802.2：LLC协议。

（3）802.3：以太网的CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波监听多路访问／冲突检测）协议，其中802.3i规定了10Base-T访问控制方法与物理层规范，802.3u规定了100Base-T访问控制方法与物理层规范，802.3ab—规定了1000Base-T访问控制方法与物理层规范，802.3z规定了1000Base-SX和1000Base-LX访问控制方法与物理层规范。

（4）802.4：令牌总线（Token Bus）访问控制方法与物理层规范。

（5）802.5：令牌环访问控制方法。

（6）802.6：城域网访问控制方法与物理层规范。

（7）802.7：宽带局域网访问控制方法与物理层规范。

（8）802.8：FDDI访问控制方法与物理层规范。

（9）802.9：局域网上的语音／数据集成规范。

（10）802.10：局域网安全互操作标准。

（11）802.11：无线局域网（Wireless Local Area Network, WLAN）标准协议。

（12）802.12：100VG-Any局域网访问控制方法与物理层规范。

（13）802.14：协调混合光纤同轴网络的前端和用户站点间数据通信的协议。

（14）802.15：无线个人网技术标准，其代表技术是蓝牙。

（15）802.16：无线MAN空中接口规范。

3.网络层

网络层用于从发送端向接收端传送分组，负责确保信息到达预定的目标。其存在的主要目的是解决以下问题：

通信双方并不相邻。在计算机网络中，通信双方可能是相互邻接的，但也可能并不是邻接的。当一个数据分组从发送端发送到接收端时，就可能要经过多个其他网络结点，这些结点暂时存储“路过”的数据分组，再根据网络的“交通状况”选择下一个结点将数据分组发出去，直到发送到接收方为止。由于OSI/RM模型出现在许多网络协议之后，因此，为了与使用这些已经存在的网络协议的计算机进行互联，就需要解决异构网络的互联问题。

4.传输层

传输层实现发送端和接收端的端到端的数据分组传送，负责保证实现数据包无差错、按顺序、无丢失和无冗余地传输。

在传输层上，所执行的任务包括检错和纠错。它的出现是为了更加有效地利用网络层所提供的服务。它的作用主要体现在以下两方面：

将一个较长的数据分成几个小数据包发送。传输层的协议就给每一个数据组加入排列组合的记号，以便接收端能根据这些记号将它们重组成原来的顺序。解决通信双方不只有一个数据连接的问题。

5.会话层

会话层主要负责管理远程用户或进程间的通信。该层提供名字查找和安全验证等服务，允许两个程序能够相互识别并建立和维护通信连接。会话层还提供数据同步和检查点功能，这样当网络失效时，会对失效后的数据进行重发。在OSI/RM模型中，会话层的规范具体包括通信控制、检查点设置、重建中断的传输链路、名字查找和安全验证服务。

6.表示层

表示层以下的各层只关心从源地到目的地可靠地传输数据，而表示层则关心的是所传送信息的语义与语法。它负责将收到的数据转换为计算机内的表示方法或特定程序的表示方法。也就是说，它负责通信协议的转换、数据的翻译、数据的加密、数据的压缩、字符的转换等工作。在OSI/RM模型中表示层的规范具体包括数据编码方式的约定和本地句法的转换。

7.应用层

应用层是直接提供服务给使用者的应用软件的层，比如电子邮件和在线交谈程序都属于应用层的范畴。在OSI/RM模型中应用层的规范具体包括各类应用过程的接口和用户接口。

8. 模型的工作模式

当接收数据时，数据是自下而上传输的；当发送数据时，数据是自上而下传输的。在网络数据通信的过程中，每一层要完成特定的任务。当传输数据的时候，每一层接收上一层格式化后的数据，对数据进行操作，然后把它传给下一层。当接收数据的时候，每一层接收下一层传过来的数据，对数据进行解包，然后把它传给上一层。

4.1.3 常用的网络协议TCP/IP协议

TCP/IP不是一个简单的协议，而是一组小的、专业化协议。TCP/IP最大的优势之一是其可路由性，这也就意味着它可以携带能被路由器解释的网络编址信息。TCP/IP还具有灵活性，可在多个网络操作系统或网络介质的联合系统中运行。然而由于它的灵活性，TCP/IP需要更多的配置。TCP/IP协议族可被大致分为应用层、传输层、网际层和网络接口层4层。

1.应用层

TCP/IP的应用层大致对应于OSI/RM模型的应用层和表示层，应用程序通过本层协议利用网络。这些协议主要有FTP、TFTP、HTTP（Hypertext Transfer Protocol，超文本传输协议）、SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）、DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）、NFS、Telnet（远程登录协议）、DNS（Domain Name System，域名系统）和SNMP（Simple Network Management Protocol，简单网络管理协议）等。

FTP是网络上两台计算机传送文件的协议，是通过Internet把文件从客户机复制到服务器上的一种途径。TFTP是用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的，因此它不具备通常的FTP的许多功能，它只能从文件服务器上获得或写入文件，不能列出目录，也不进行认证。HTTP是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示等。SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建模在FTP文件传输服务上的一种邮件服务，主要用于传输系统之间的邮件信息并提供与来信有关的通知。DHCP分为两个部分，一个是服务器端，另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。DHCP通过租约的概念，有效且动态地分配客户端的TCP/IP设定。DHCP分配的IP地址可以分为三种方式，分别是固定分配、动态分配和自动分配。NFS是FreeBSD支持的文件系统中的一种，允许一个系统在网络上与他人共享目录和文件。通过使用NFS，用户和程序可以像访问本地文件一样访问远端系统上的文件。Telnet是登录和仿真程序，它的基本功能是允许用户登录进入远程主机系统。以前，Telnet是一个将所有用户输入送到远方主机进行处理的简单的终端程序。它的一些较新的版本在本地执行更多的处理，于是可以提供更好的响应，并且减少了通过链路发送到远程主机的信息数量。DNS用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS通过对用户友好的名称查找计算机和服务。当用户在浏览器中输入域名时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。SNMP是为了解决Internet上的路由器管理问题而提出的，指一系列网络管理规范的集合，包括协议本身、数据结构的定义和一些相关概念。目前SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。

2.传输层

TCP/IP的传输层大致对应于OSI/RM模型的会话层和传输层，主要包括TCP和UDP，这些协议负责提供流控制、错误校验和排序服务。所有的服务请求都使用这些协议。

TCP是整个TCP/IP协议族中最重要的协议之一，它在IP协议提供的不可靠数据服务的基础上，采用了重发技术，为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。TCP协议一般用于传输数据量比较少，且对可靠性要求高的场合。UDP是一种不可靠的、无连接的协议，可以保证应用程序进程间的通信，与同样处在传输层的面向连接的TCP相比较，UDP是一种无连接的协议，它的错误检测功能要弱得多。可以这样说，TCP有助于提供可靠性，而UDP则有助于提高传输的高速率。UDP协议一般用于传输数据量大，对可靠性要求不是很高，但要求速度快的场合。

3.网际层

TCP/IP的网际层对应于OSI/RM模型的网络层，包括IP、ICMP（Internet Control Message Protocol，网际控制报文协议）、IGMP（Internet Group Management Protocol，网际组管理协议），以及ARP（Address Resolution Protocol，地址解析协议）和RARP（Reverse Address Resolution Protocol，反向地址解析协议）。这些协议处理信息的路由及主机地址解析。

IP所提供的服务通常被认为是无连接的和不可靠的，因此把差错检测和流量控制之类的服务授权给了其他的各层协议，这正是TCP/IP能够高效率工作的一个重要保证。网际层的功能主要由IP来提供，除了提供端到端的分组分发功能外，IP还提供了很多扩充功能。网际层的另一个重要服务是在互相独立的局域网上建立互联网络，即网际网。网间的报文来往根据它的目的IP地址通过路由器传到另一网络。ARP用于动态地完成IP地址向物理地址的转换。物理地址通常是指主机的网卡地址（MAC地址），每一网卡都有唯一的地址；RARP用于动态完成物理地址向IP地址的转换。ICMP是一个专门用于发送差错报文的协议，由于IP协议是一种尽力传送的通信协议，即传送的数据可能丢失、重复、延迟或乱序传递，所以IP协议需要一种尽量避免差错并能在发生差错时报告的机制。IGMP允许Internet主机参加多播，也即是IP主机用做向相邻多目路由器报告多目组成员的协议。多目路由器是支持组播的路由器，向本地网络发送IGMP查询。主机通过发送IGMP报告来应答查询。组播路由器负责将组播包转发到网络中所有组播成员。

4.网络接口层

TCP/IP的网络接口层大致对应于OSI/RM模型的数据链路层和物理层，TCP/IP协议不包含具体的物理层和数据链路层，只定义了网络接口层作为物理层的接口规范。网络接口层处在TCP/IP协议的最底层，主要负责管理为物理网络准备数据所需的全部服务程序和功能。该层处理数据的格式化并将数据传输到网络电缆，为TCP/IP的实现基础，其中可包含IEEE 802.3的CSMA/CD、IEEE 802.5的TokenRing等。

5.端口

在TCP/IP网络中，传输层的所有服务都包含端口号，它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。

端口号和设备IP地址的组合通常称作插口（socket）。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号。这些知名端口号由Internet号分配机构（Internet Assigned Numbers Authority, IANA）来管理。例如，SMTP所用的TCP端口号是25，POP3所用的TCP端口号是110，DNS所用的UDP端口号为53，WWW服务使用的TCP端口号为80。FTP在客户与服务器的内部建立两条TCP连接，一条是控制连接，端口号为21；另一条是数据连接，端口号为20。

256～1023之间的端口号通常由UNIX系统占用，以提供一些特定的UNIX服务。也就是说，提供一些只有UNIX系统才有的、其他操作系统可能不提供的服务。

4.1.1 网络地址与掩码

连接到Internet上的每台计算机都必须有一个唯一地址，称为IP地址。IP地址是一个4字节（共32位）的数字，被分为4段，每段8位，段与段之间用句点分隔。为了便于表达和识别，IP地址以十进制形式表示（例如212.152.200.12），每段所能表示的十进制数最大不超过255。IP地址由两部分组成，即网络号和主机号。网络号标识的是Internet上的一个子网，而主机号标识的是子网中的某台主机。

1.IP地址的分类

IP地址可分为5类，分别是A类、B类、C类、D类和E类，大量使用的仅为A类、B类、C类。

（1）A类地址：最前面1位为0，然后用7位来标识网络号，24位标识主机号。即A类地址的第一段取值介于1～126之间。A类地址通常为大型网络而提供，全世界总共只有126个可能的A类网络，每个A类网络最多可以连接224-2台主机（两个保留地址）。

（2）B类地址：最前面2位是10，然后用14位来标识网络号，16位标识主机号。因此，B类地址的第一段取值介于128～191之间，第一段和第二段合在一起表示网络号。B类地址适用于中等规模的网络，每个B类网络最多可以连接216-2台主机（两个保留地址）。

（3）C类地址：最前面3位是110，然后用21位来标识网络号，8位标识主机号。因此，C类地址的第一段取值介于192～223之间，前三段合在一起表示网络号。最后一段标识网络上的主机号。C类地址适用于校园网等小型网络，每个C类网络最多可以有28-2台主机（两个保留地址）。

（4）D类地址：最前面4位为1110，D类地址不分网络地址和主机地址，它是一个专门保留的地址。它并不指向特定的网络，目前D类地址被用在多点广播中。多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。

（5）E类地址：最前面5位为11110，E类地址也不分网络地址和主机地址，为将来使用所保留。

2.子网掩码

子网指一个组织中相连的网络设备的逻辑分组。一般情况下，子网可表示为某地理位置内（某大楼或相同局域网中）的所有机器。将网络划分成一个个逻辑段（即子网）的目的是便于更好地管理网络，同时提高网络性能，增强网络安全性。另外，将一个组织内的网络划分成各个子网，只需要通过单个共享网络地址，即可将这些子网连接到互联网上，从而减缓了互联网IP地址的耗尽趋势。

掩码是一个32位二进制数字，用点分十进制来描述，默认情况下，掩码包含两个域，分别为网络域和主机域。这些内容分别对应网络号和本地可管理的网络地址部分，通过使用掩码可将本地可管理的网络地址部分划分成多个子网。

3.IPv6

前面介绍的IP地址协议的版本号是4（简称为IPv4），它的下一个版本就是IPv6。IPv6正处在不断发展和完善的过程中，它在不久的将来将取代目前被广泛使用的IPv4。

与IPv4相比，IPv6具有以下几点优势：

（1）IPv6具有更大的地址空间。IPv4中规定IP地址长度为32位，而IPv6中IP地址的长度为128位。

（2）IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类的原则，这使得路由器能在路由表中用一条记录表示一个子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。

（3）IPv6增加了增强的组播支持及对流的支持，这使得网络上的多媒体应用有了长足发展的机会，为服务质量（Quality of Service, QoS）控制提供了良好的网络平台。

（4）IPv6加入了对自动配置的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。

（5）IPv6具有更高的安全性。在使用IPv6网络时用户可以对网络层的数据进行加密并对IP报文进行校验，极大地增强了网络的安全性。

4.1.5 虚拟局域网

虚拟局域网（Virtual Local Area Network, VLAN）是由一些主机、交换机或路由器等组成的一个虚拟的局域网。虚拟局域网超越了传统的局域网的物理位置局限，终端系统可以分布于网络中不同的地理位置，但都属于同一逻辑广播域。

1. VLAN的功能

管理员能够很容易地控制不同VLAN间的互相访问能力，可以将同一部门或属于同一访问功能组的用户划分在同一VLAN中，VLAN内的用户之间可以通过交换机或路由器相互连通。络管理员甚至还可以通过VLAN的安全访问列表来控制不同VLAN之间的访问。

VLAN能够对广播信息进行有效的控制，最大限度地减少对终端工作站、网络服务器和处理关键业务数据的骨干部分的性能影响。采用VLAN还便于管理的更改，而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求，也大为减少。这从很大程度上方便了网络系统的安全访问控制管理。

通过VLAN运行机制，可以给网络安全带来很多好处，比如信息只到达应该到达的地点，因此可防止大部分基于网络监听的入侵手段；通过VLAN设置的访问控制，也使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，VLAN技术也带来了新的问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象；基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置；基于MAC的VLAN不能防止MAC欺骗攻击，因此采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口，但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

如果一个VLAN跨越多个交换机，则属于同一VLAN的工作站要通过Trunk（干道）线路互相通信。Trunk是一种封装技术，它是一条点到点的链路，主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个VLAN。还可以采用通过Trunk技术和上级交换机级连的方式来扩展端口的数量，达到近似堆叠的功能，节省了网络硬件的成本，从而扩展整个网络。Trunk承载的VLAN范围，默认是1～1005，用户可以修改，但必须有一个Trunk协议。使用Trunk时，相邻端口上的协议要一致。

2.VLAN的划分方法

目前，实现VLAN的划分有多种方法。

（1）按交换机端口号划分。将交换设备端口进行分组来划分VLAN，例如，一个交换设备上的端口1，2，5，7所连接的客户工作站可以构成VLAN A，而端口3，4，6，8则构成VLAN B等。在最初的实现中，VLAN是不能跨越交换设备的，后来进一步的发展使得VLAN可以跨越多个交换设备。目前，按端口号划分VLAN仍然是构造VLAN的一个最常用的方法。这种方法比较简单并且非常有效。但仅靠端口分组而定义VLAN将无法使得同一个物理分段（或交换端口）同时参与到多个VLAN中，而且更重要的是当一个客户站从一个端口移至另一个端口时，网管人员将不得不对VLAN成员进行重新配置。

（2）按MAC地址划分。由网管人员指定属于同一个VLAN中的各客户端的MAC地址。由于MAC地址是固化在网卡中的，故移至网络中另外一个地方时将仍然保持其原先的VLAN成员身份而无需网管人员对之进行重新的配置，从这个意义讲，用MAC地址定义的VLAN可以看成是基于用户的VLAN。另外，在这种方式中，同一个MAC地址可以处于多个VLAN中。这种方法的缺点是所有的用户在最初都必须被配置到（手工方式）至少一个VLAN中，只有在这种手工配置之后方可实现对VLAN成员的自动跟踪。

（3）按第三层协议划分。在决定VLAN成员身份时，主要考虑协议类型（支持多协议的情况下）或网络层地址（如TCP/IP网络的子网地址）。这种类型的VLAN划分需要将子网地址映射到VLAN，交换设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。交换设备将决定不同网络端口上连接的机器属于同一个VLAN。在第三层定义VLAN有许多优点。首先，可以根据协议类型进行VLAN的划分，这对于那些基于服务或基于应用VLAN策略的网管人员无疑是极具吸引力的。其次，用户可以自由地移动他们的机器而无须对网络地址进行重新配置，并且在第三层上定义VLAN将不再需要报文标识，从而可以消除因在交换设备之间传递VLAN成员信息而花费的开销。与前两种方法相比，第三层VLAN方法的最大缺点就是性能问题。对报文中的网络地址进行检查将比对帧中的MAC地址进行检查开销更大。正是由于这个原因，使用第三层协议进行VLAN划分的交换设备一般都比使用第二层协议的交换设备更慢。但第三层交换机的出现，大大改善了VLAN成员间的通信效率。

（4）IP组播VLAN。在这种方法中，各站点可以自由地动态决定（通过编程的方法）参加到哪一个或哪一些IP组播组中。一个IP组播组实际上是用一个D类地址表示的，当向一个组播组发送一个IP报文时，此报文将被传送到此组中的各个站点处。从这个意义上讲，可以将一个IP组播组看成是一个VLAN。但此VLAN中的各个成员都只具有临时性的特点。由IP组播定义VLAN的动态特性可以达到很高的灵活性，并且借助于路由器，这种VLAN可以很容易地扩展到整个WAN上。

（5）基于策略的VLAN。基于策略的方法允许网络管理员使用任何VLAN策略的组合来创建满足其需求的VLAN。通过VLAN策略把设备指定给VLAN，当一个策略被指定到一个交换机时，该策略就在整个网络上应用，而设备被置入VLAN中。从设备发出的帧总是经过重新计算，以使VLAN成员身份能随着设备产生的流量类型而改变。基于策略的VLAN可以使用上面提到的任一种划分VLAN的方法，并可以把不同方法组合成一种新的策略来划分VLAN。

（6）按用户定义、非用户授权划分。基于用户定义、非用户授权来划分VLAN是指为了适应特别的VLAN网络，根据特殊的网络用户的特殊要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。