6、 过滤服务功能：

过滤服务功能用来设定界限，以限制不同的VLAN 的成员之间和使用单个MAC 地址和组MAC 地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则，交换机根据这些规则来决定是转发还是丢弃相应的帧。早期的802.1d 标准（1993 ），定义的基本过滤服务规定，交换机必须广播所有的组MAC 地址的包到所有的端口。新的802.1d 标准（1998 ）定义的扩展过滤服务规定，对组MAC 地址的包也可以进行过滤，对于交换机的外连端口要过滤掉所有的组播地址包。如果没有设置静态的或者动态的过滤条件，交换机将采用缺省的过滤条件。扩展过滤服务功能使用GMRP(Group Multicast Registration Protocol) ,通过产生、删除一个组或者组成员，来控制交换机的动态组转发和组过滤。交换机和工作站使用GMRP 来申明他们是否愿意接收一个组MAC 地址的帧。GMRP 协议在网上的交换机之间传波这样的组信息，使得交换机能够更新它们的过滤信息以实现扩展服务功能。交换机在不做任何配置的情况下，就具有过滤服务和扩展过滤服务功能。对旧的交换机、集线器、路由器，由于它不支持动态的组播地址过滤，因而在与它们连接的相应端口要进行扩展过滤配置。交换机根据过滤数据库来进行帧的过滤，交换机可以通过动态学习和手工配置两种方式来维护过滤数据库。交换机检查过滤数据库，根据以下条件来决定某个MAC 地址或者某个VLAN 标识的包是否应该转发到某一个端口：

● 默认地址

● 由管理员键入的静态过滤信息

● 通过查看数据包源地址而动态需学习到的单目地址

● 动态或者静态的VLAN

● 通过GMRP 管理的动态组播过滤信息或VLAN 成员信息

7、二层（链路层）VLAN：

在第二层，可以支持基于端口的VLAN 和基于MAC 地址的VLAN 。基于端口的VLAN 可以快速的划分单个交换机上的冲突域，基于MAC 地址的VLAN 可以支持笔记本电脑的移动应用。

8、三层（网络层）VLAN:

三层VLAN 可以按照如下方式划分：

● IP 子网地址

● 网络协议

● 组播地址

第三层交换机的第三层VLAN ，不仅可以手工配置，也可以由交换机自动产生。交换机通过对数据包的分析后，自动配置VLAN ，自动更新VLAN 的成员。第三层交换机能够工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的网络环境中。交换机能自动发现IP 地址，动态产生基于IP 子网的VLAN ，当通过DHCP 分配一个新的IP 地址时，第三层交换机能很快的定位这个地址。第三层交换机通过IGMP 、GMRP 、ARP 和包探测技术来更新其三层的VLAN 成员组。通过基于Web 的网络管理界面，可以对自动学习的范围进行设定：自动学习可以是完全不受限、部分受限或者完全禁止。

9、 第三层交换机是如何处理VLAN 的：

VLAN 通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新VLAN 成员表，根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理VLAN 的几个过程。

数据帧入站：

交换机根据入站数据帧的VLAN 标识号（VID ）将它们分类，无标号的为一类，标号相同的为一类。交换机根据VID 来决定转发或者丢弃一个数据包，同时交换机也可以分配一个VID 给一个无标记帧或者贴了优先级标记的帧。

VLAN 标记：

如果一个数据帧没有标记VID ，交换机将会分配一个VID 给它，并把这个VID 插到它的帧头中，这个过程叫做贴VLAN 标签。交换机通过这个过程来处理包的转发，来填写数据帧的VLAN 或者优先级信息的标记字段。管理员可以设置优先级别来选择VLAN 类型，选择VID 值。交换机的缺省设置，首先选择的是贴IP 子网信息，然后是网络协议，然后是MAC 地址，然后是数据帧入站的端口。

过滤：

该过程验证目的地址和源地址是否在同一个VLAN 中。

转发：

根据VLAN 数据库的信息，交换机处理一个数据帧是要么转发，要么丢弃。

学习：

交换机检查数据帧的源地址和VLAN 分类信息，并且把它们记录在转发库里。

10、 VLAN 应用举例:

下面是一些不同形式的VLAN 应用举例：

● 工程部有些机密文件需要保密

解决方法：通过把工程部的用户放到他（或她）自己的基于MAC 地址的VLAN 中。这个VLAN 所唯一允许的访问，只有该用户自己。任何其它用户都不能监听到该用户的内容，因为该用户的内容不会转发到其它的网段上去。另外，还有一种更加安全的方式，分配一个专用的端口给这个用户，为他产生一个基于端口的VLAN 。

● 销售部门的笔记本用户经常需要从外地进行拨号访问

解决方法：产生一个基于IP 子网的VLAN ，使用IP 地址来表示用户。这样无论用户处在何处都能进行网络访问。

● 公司安装了视频培训服务器，要防止用户做视频访问时占用太多的带宽

解决方法：产生一个组播地址的VLAN 。

● 公司总裁需要能访问财务，销售等其它部门的VLAN

解决方法：使公司总裁成为其它各部门的VLAN 的成员。

(责任编辑：admin)