（计算机应用技术专业论文）vlan拓扑动态管理协议研究与实现.pdf

西南交通穴学硕士研究生学位论文 第i 诞 摘要 v l a n ( v i r t u a ll o c a la r e an e t w o r k ) 按求是以太网交换帆的核心技术之 一，它爵鞋奏效戆季露裁瓣终广攒菇豢，荠馕褥在交按狡上实瑗路蜜凌簸残舞 可能。v l a n 拓扑幼态管理协议g v r p ( g a r p v l a n r e g i s t r a t i o n p r o t o c 0 1 ) 是一种旗于g a r p ( g e n e r i c a t t r i b u t e r e g i s t r a t i o np r o t o c 0 1 ) 协议的应用协议， 是毫壤噬太网路由交换辊鼹必须矮冬懿。 本论文班迈普通信技术有隈公司的高端懿太丽路出交换祝m p s 6 8 0 5 的 研制为背景，在t m s 框架下( t o r n a d of o rm a n a g e ds w i t c h ，w i n dr i v e rs y s t e m 公司提供的基于v x w o r k s 嵌入式操作系统的交换枫系统解决方案) ，研究了 g v r p 稔滚懿设诗鞠实瑗，主簧工作包蘩： 1 针对v l a n 巾存在的i p 地址浪费和安全性问题，引入并讨论了p r i v a t e v l a n 和s u p e rv l a n 技术：避用p r o x ya r p 服务和“m a c 地址欺骗”的思 想，设计了s u p e rv l a n 蠹熬童瓤之阕豹逮傣方案，这怒实疆s u p e rv l a n 的关键技术之一。 2 对o v r p 协议的组成结构、状态机工作原理及定时器作了深入分析 和验 正，并改进了o v r p 协议的一些细节。 3 。分拆了g v r p 镑议毒t m s 框黎中蒺它强谈搂块游关系，势设计了 g v r p 协议与其它协议模块的函数接口。 4 设计了g v r p 协议的配鼹命令、数据结构、任务、处理流程和测试 用铡，势宠盛编码秘测试。 本论文豹研究成果已应用予离端以太网路由交换辊m p s 6 8 0 5 ，该交换机 已经邋过。版本测试和b 版本测 式。 关键词：v l a n g v r p ：g a r p ；状态机；定时器 亘塑窒堂盔兰塑丛窒兰兰焦鲨塞 塑! ! l a b s t r a c t t h ev l a n ( v i r t u a ll o c a la r e an e t w o r k ) t e c h n o l o g y ，ak e yt e c h n o l o g yi n t h ee t h e r n e ts w i t c h ，c a nc o n t a i nb r o a d c a s tt r a f f i ce f f e c t i v e l ya n d m a k ei tp o s s i b l e t or e a l i z et h er o u t i n gf u n c t i o n si nt h ee t h e r n e ts w i t c h g v r p ( g e n e r i ca t t r i b u t e r e g i s t r a t i o np r o t o c 0 1 ) ，av l a nt o p o l o g yd y n a m i cm a n a g e m e n tp r o t o c o l ，b a s e d o n g a r p ( g e n e r i ca t t r i b u t er e g i s t r a t i o np r o t o c 0 1 ) ，i s a n e c e s s i t y f o rt h e s o p h i s t i c a t e de t h e r n e ts w i t c h t h er e s e a r c ho nh o wt od e s i g na n dr e a l i z eg v r pu n d e rt h et m sf l a m e ( t o r n a d of o rm a n a g e ds w i t c h ，a s w i t c hs o l u t i o na f f o r d e db yw i n dr i v e r s y s t e m s i n c ) ，i sd o n eb a s e do nt h ep r o j e c to f t h es o p h i s t i c a t e de t h e r n e ts w i t c h - m p s 6 8 0 5 f r o mm a i p uc o m m u n i c a t i o n t e c h n o l o g yc o l t d t h em a i n w o r ki n c l u d e s ： 1 a sf a ra st h es e c u r i t yp r o b l e ma n dt h ep r o b l e mo f w a s t i n gi pa d d r e s s e si n v l a na r e c o n c e r n e d ，t h ep r i v a t ev l a nt e c h n o l o g ya n dt h e s u p e rv l a n t e c h n o l o g ya r e i n t r o d u c e da n dd i s c u s s e d a n dt h es c h e m ef o rc o m m u n i c a t i o n b e t w e e nt h eh o s t sb a s e do np r o x ya r ps e r v i c ei sp r o p o s e di nd e t a i l ，w h i c hi so n e o ft h ek e y t e c h n o l o g i e se m p l o y e di ns u p e r v l a n 2 t h ea r c h i t e c t u r e t h es t a t em a c h i n ea n dt h et i m e r so f0 v r p a r ea n a l y z e d d e e p l y a n ds o m e d e t a i l so fg v r pa r ei m p r o v e df o rh i g h - e f f i c i e n c y , 3 t h e r e l a t i o n s h i pb e t w e e ng v r p a n dt h eo t h e rp r o t o c o l si nt h et m sf r a m e i sa n a l y z e da n dc o n c l u d e d w h a t sm o r e t h ei n t e r f a c ef u n c t i o n sb e t w e e ng v r p a n dt h eo t h e r p r o t o c o lm o d u l e s a r ed e s i g n e d 4 g v r pi sd e s i g n e da n d r e a l i z e d ，i n c l u d i n gt h ed e s i g nf o rt h ec o n f i g u r a t i o n c o m m a n d s ，t h ed e s i g nf o rt h ed a t as t r u c t u r e s ，t h ed e s i g nf o rt h et a s k s ，t h ed e s i g n f o rt h ep r o c e s s i n g p r o c e d u r e s ，t h ed e s i g nf o rt h et e s t i n gc a s e s ，c o d i n ga n dt e s t i n g t h er e s u l t sf r o mt h ev e r yr e s e a r c hw e r eu s e di nt h es o p h i s t i c a t e de t h e m e t s w i t c h m p s 6 8 0 5 ，w h i c hh a v eb e e np a s s e d a v e r s i o nt e s ta n d1 3 v e r s i o nt e s t k e yw o r d s ：v l a n ；g v r p ；g a r p ：s t a t em a c h i n e ；t i m e r 西南交通大学硕士研究生学位鲨塞塑! 夏 第1 章绪论 1 1 课题研究背景 交换机是网络的核心设备之一，其技术发展非常迅速，从1 0 m b i t s 以太 网、1 0 0 m b i t s 快速以太网，进而发展到吉比特和1 0 吉比特以太网。伴随着 a s i c 技术和网络处理器的快速发展，以太网交换机和路由器逐渐融合的趋 势越来越明显。以太网交换机已经走出了当初的”桥接”框架，逐渐广泛应用 到汇聚层和骨干层。而且正值我国的经济形势良好，持续稳定发展，各行业 对信息化、网络建设和升级的需求都居高不下，i p 网建设将成为下一代网络 战略布局的核心，构成了足够的网络通信设备采购起因，这显然是以太网交 换机设备市场强大的驱动力；尤其是电信、会融、政府和教育等大型行业信 息化工程的开展、企业上网工程的推进、宽带城域网建设力度加大，对网络 和网络设备提出了更高的要求，大大促进交换机市场的增长，特别是以太网 高端路由交换机市场的增长。据赛迪顾问统计高端路由交换机市场，销量 占到以太网交换机总销售量的1 4 9 ，而销售额占市场总销售额的5 6 可 以看出高端市场是以太网交换机市场的主要利润区。然而，我国高端交换机 市场还是国外厂商一统天下。只有少数国内品牌保持了一定的市场占有率。 v l a n 技术是路由交换机的核心技术之一，它可以有效地抑制网络广播 风暴，并使得在交换机上实现路由功能成为可能。然而，v l a n 存在i p 地址 浪费问题和安全性问题。这些问题都是迫切需要在高端路由交换机中解决。 在v l a n 中，一个v l a n 对应一个i p 子网，当划分i p 子网比较多时， 将造成i p 地址的大量浪费。因为在为一个子网划分i p 地址时，只能划分 2 n ( n 1 ) 个i p 地址，结果造成分配的i p 地址通常会多于实际需要的i p 地址。 s u p e rv l a n 技术将多个v l a n 对应于个i p 子网，从而建立一个更加有效 的i p 地址分配体系；s u p e r v l a n 技术的思想是由r f c3 0 6 9 提出的。 在同一v l a n 中的设备处于同一广播域中，如果其中一台网络设备受到 攻击( 病毒或者被骇客所控制) ，那么这台设备就可能成为一个跳板，可以通 过它来攻击同一v l a n 中其他的设备。p r i v a t ev l a n ( p v l a n ) 技术引入3 种类型的端口( i s o l a t e d p o r t ，c o m m u n i t yp o r t ，p r o m i s c u o u sp o r t ) 和两种类 型的v l a n ( s e c o n d a r yv l a n ，p r i m a r y v l a n ) ，将同一i p 子网内的设备在 堑妻塞婆杰黛壅主竖塞缀鲎丝篓塞 篓! 悉 二层隔离开，增强了阀络的安全性。 鲑蓊，国内舞鹈辍少数踺臻邋僖公蠲 魏3 c o m ，c i s c o te x t r e m e ，华为) 已经实观了s u p e rv l a n 技术嗣p r i v a tv a l n 技术，但这浆实现方法藕于公 司翁按拳橇密。 基予端目的v l a n 可雌抽象建端日瓣集念，掇文仪毙诲在嗣一集会的端 霜上转发 露灵夜阐一个v l a n 离转发) 。v l a n 籀矜动态管理，辩懋渤态 地生成v l a n 的端黝集合。目澍主流v l a n 拓扑动悫管躞协议蠢g v r p 协 议和v t p ( v l a nt r u n kp r o t o c 0 1 ) 协议，g v r p 是国i e e e8 0 2 1 d 和i e e e 8 0 2 ， q 薄个蠡准蘩陵定义静、v t p 逶c i s c o ( 愚辩) 公司静私蠹捺浚。g v r p 麓一种糕于g a r p 的应用协议，g v r p 按照一定的规则动态地生成v l a n 的 端瑟集会，这个矮粼怒鑫lg a r p 协议定义靛。v k a n 掭矜麓惑配藿秘议g v r p 是以太瓣离端踌由瓷换枕必须熬蛋数。迈罄透信技本鸯限公弼滏米实瑗 g v r p 臻谖。鬻蠹龄鲍著名瓣络逡信公霆( 瓣3 c o m ，c i s e o ，e x t r e m e ，牮为) 已经较好的实现了g v r p 协议，假这些实现方法也属予公蠲舱技术枧誉。 本论文以遁普通信技术有限公司的藿点科技攻关项隧。离端以太躐潞由 交换筏m p s 6 8 0 5 豹硪镁为鹜景，在黠v l a n 髂鼹羧靛襄g v r p 耱谖遴嚣了 研究。 l 。2 辑突内容 本论文的研究内容如下： i ) 努餐磷懿v l a n 存畿的弹遮整浪赞帮安全能溺题及芟靖痰瀚解 决方案( s u p e rv l a n 拨术和p r i v a t ev l a n 技拳) 。 2 ) 深入理解g v r p 协议，分析验证其眍确性。 3 ) 努援鹱究t m s 箍檠，分据g v r p 褥谈与t m s 穰粢中葵氇瓣波模 块的关系和外部接口。 4 ) 在t m s 糕榘中设计势安现了g v r p 协谈。 5 ) 设诗g v r p 协议测试耀铡。 l 。3 论文缰缎结构 零论文共纛章，主要内容势别斓述如下： 第帮：绪论，介绍本课题的背景和泉源、作者雕做的工作和论文缋梅。 第二牵：v l a n 援零爱其势橇，在爨窭v l a n 基奉缀念嚣慕懑上，对 v l a n 朐技术优势进行了分析、烟纳总结；对v l a n 的划分策略进行了归纳 帅 西南嶷通大学硕士研究生学位论文笫3 页 和比较；分析讨论了v l a n 的局限性及其发展方向；并运阁p r o x y a r p 服务 和“m a c 地圭北欺骗”熟思想设计了s u p e r v l a n 内的主机之i 2 】的通信方案。 第三章：g v r p 协议及其分析。对g v r p 协议进行了深入地分析、讨论 葶l 】验证。 第网章：g v r p 协议的设计和实现，描述了笔者如何基于i e e e 提供的 示镶役璐，在t m s 撵粲中设计并实现了g v r p 协议。 第五章：g v r p 协议测试报错，描述了对协议的测试，包括测试目的、 测试环境、测试步骤和测试结果。 最艏对论文的工作进行了总结。 一一 西南交通大学硕士研究生学僮鹭望一一 塑! 里 第2 章v l a n 技术及其分析 v l a n 技术是路由交换机的核心技术之一，它可以有效地抑制网络广播 风暴，并使得焱交换捉上实现爨出动栽戏建可糍。v l a n 技术善巍是出c i s c o ( 思科) 公司于1 9 9 6 年提出。由于v l a n 技术卓蔫的优越性，迅速引起了 广泛的邈褫和关注，各两终透信公司稿维织纷纷提窦v l a n 静实现方蘩。然 耐，由予这些实现方案的熬异，不同厂商的网络通储设备常常无法很好地互 谶。1 9 9 9 年，i e e e 颁布了用以标准纯v l a n 实现方案的i e e e8 0 2 1 q 协谈 探准草案。 本章在提出v l a n 基本概念的基础上，对v l a n 的技术优势j 艘行了分析、 麴纳葱绻；霹v l a n 豹划分藁珞逡章亍7 始纳嚣l 魄较；最磊分丰蓐讨论了v l a n 的局限性及其发展方向。本章为v l a n 拓扑动态管理协议的提出提供了必要 酶前提。 2 。lv l a n 的基本概念 v l a n ，即虚拟蔺域网，是一种通过将局域网内的设备逻辑地而不是物 爨她划分至4 不阉熬嬲段，从嚣实现虚拟王馋组熬掰兴鼓术。 v l a n 技术允许网络管理者将一个物理的l a n ( l o c a la r e an e t w o r k ) 逻 瓣壤翔分残不鬻静广播域( 凌称袭掇弱域两，耀v l a n ) ，每一个v l a n 都 镪含一缎有着相同需求韵计算机工作站，与物理上形成的l a n 有着相闶的 耩性。一个v l a n 内部的广播和肇播流豢都不会转发到其他v l a n 中，褥置 出于它鼹逻辑的丽不是物理豹划分，所以网一个v l a n 内的各个工董# 始无须 被放置谯同一个物理空间熙，都这些工作站不必属予间一个物理l a n 。这样 懿有瓒予控裂阏终漉爨、减少设鍪投资、麓纯燃终营理纛提塞飕终戆安全蠖。 2 2v l a n 的技术优势 v l a n 将缓霞子不闲裼理网段上豹瘸户在逻辑上麓分成一个l a n 瘫， 在功能和操作上与传统l a n 基本相同，可以提供一定范潮内终端系统的互 联。v l a n 与传统静l a n 糟眈其有以下优势： 2 。2 。l 抑制网络广播风暴 在传统局域网中，各站点共事传输信道所造成的信道冲突和广播风爨是 西南嶷通大攀硕士研究生学位论文第5 页 影响网络性能的重要殿素。例如，按照i e e e8 0 2 1 d 透明嘲桥的黧法，如果 个数据包找不到路由，那么交换机就会将该数据包向除接收端口以外的其 缝骶有端日转送，这鼓是隧揍款广援方式的转发，这样靛结果，逛无疑阚极 大地浪费了带宽；如果配置了v l a n ，当一个数据包没有路由时，交换机只 会将越数据寇笈送劐黼有藩于该v l a n 豹其毽端日，嚣不是瘸撬懿蘑蠢麴端 口。这样，就将数据包限制到了一个v l a n 内在。一定程度上可以节省带宽， 有效遗籀镬了嗣络广播风暴。 2 2 2 提高网络安全 在过去的几年中，l a n 的应阁急剧增加。越来越多的保密和荧键性数据 嚣耍在l a n 上传送，阚络安全| 、丑题越来越受到爨视翡荚注。健瘸菸攀式l a n ， 安全性很难保诚，只要用户插入个活动的端朗。就可访阀同一网段上的广 播缀文。瑟虽广撵壤憨大，羧谚瓣懿广播惫藏麓多，豫 在h u b 中提供安 全控制的功能。 往鬻v l a n 后，一个v l a n 的数据包不会发送猁另个v l a n 其他 v l a n 的用户在网络上是收不到任何该v l a n 的数掇包，这样熬能确绦该 v l a n 的信息不会被其他v l a n 的用户窃昕，从而提满了网络安全性。 2 2 。3 麓他霹络管壤 g a r t n e rg r o u p 最近的项研究结果表明。网络管理的费用远远高于其它 翳络开锩，移动、增热_ 稆雯渡占了大部分支赉赞蔼。v l a n 躯饶势是v l a n 打破了地理位置的制约，在不改动网络物理连接的情况下可以任意将工作站 在工作缮藏子刚之闻移动，从焉形成新的逻辑工作组绒虚拟子网。故能掇高 信息系统的运作性能，均缴网络数据淡量，便予更合邂蟪裂瘸硬馋及售惑资 源a 同时，利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降 低瓣终维护费鼹。 2 3v l a n 的划分策略 v l a n 技术可戳裔不同的翔分策臻，下萄鼠简单劐复杂缭出v l a n 的几 种常见的划分策略。 2 3 1 基于端嗣划分的v l a n ( p o r t - b a s e dv l a n ) 这是最早、最篱单也是皮用最为广泛牧v l a n 划分方法。该划分方法允 许根据需求，将同一个交换机的端口分成若干组，每组构成一个虚拟网，每 一缌耦当予一个独立熬交换桩。鲡凝2 - l 掰示，端霾l 、2 鬣予v l a n l ，端 一一 蘸窝交通犬学嫉士姆究生学位论文繁6 爽 口2 、3 属于v l a n 2 ，端口1 、4 、5 属j ：v l a n 3 。对基予端口的v l a n ，可 以将v l a n 抽象为端口的集台，对圈2 - 1 所示的v l a n 可以抽象为： v l a n l2 p o r t l ，p o r t 2 - v l a n 2 = p o r t 2 ，p o r t 3 ， v l a n 3 = p o r t i ，p o r t 4 ，p o r t 5 j 。 基予越目的v l a n 戆考| | 己点怒容荔维护配置；它黪缺点是鳐采将一个站点 从一个端口移动到另一个端日时，霰要对v l a n 憋端墨戏员进行蹩毅躲鬟。 2 3 2 基于m a c 地址划分的v l a n ( m a c b a s e dv l a n ) 这种划分方法是根据与交换机相连的主机的m a c 地址来划分v l a n 的， 鄙将某些m a c 地址对应的主机划分到指定的v l a n 。 这种划分v l a n 的方法的最大优点就是当用户物理位置移动时，如从一 个交换橇换到冀谴豹交换枫对，v l a n 不用震新配饕。所戬，可班认为这种 根据m a c 逑蹬戆划分方法是基予嗣户驰v l a n 。这释划分方法静缺点是裙 始化时，磁毒蛇用户邦必须涟 亍配甏，如果蠢尼露令甚至上予个耀户懿话， 配鼹是繁琐的。而且这利l 划分方法会导致交换枫执行效率的降低，因为在每 一个交换机的端口都可能存在很多个v l a n 组的成员，这样就更难予限制广 播报文了。 l a y e r - 2s w i t c h v l 众n v l a n2 一v 敞n 3 鳗2 - t 基于端口划分靛v l a n 疆壹窿遇态鬟鎏主坚塞黛燮壁鎏窒 整! 蒌 一 2 。3 - 3 熬平网络屡划分的v l a n ( l a y e r 3 一b a s e d v l a n ) 这耱麓分方法蹩羧据簿令圭辍瓣瓣终瑟蘧渣菠凌议类熬 燕聚支持多蠢鎏 议) 划分的，即按i p 嫩址进行v l a n 划分或将运行相同协议( 如i p 协议或 i p x 协议潞) 的节点划分成一个v l a n 。 这狩始分方法翡饶轰是警璃户靛物理谴餮潋交了，霹激摄据主撬钓满络 鬃逮娃袋漭浚类壁寒翅努v l a n ，幂需簧重赣鬣霆。这襻虢据供了较大翡灵 活性，便予用户增加贼移动站虑。蕊且这穗划分方法不蒜要辫趣嬲峻辣煞寒 识别v l a n ，这样可以减少网络的流量。 这耱糍分方法戆疑轰蹩效率繇，嚣隽捡蠢簿一分数器惫豹瘫终瑟缝嬷楚 菲常消耗疑理时阀( 榻对予前西两种方法) 。丽盥一般韵交换枫芯片郡w 以自 动检套黼络上数据包的戳太阐顿头。但要让芯片能检查i p 帧头需要擞蔼f 的 接零，瓣蹿迄筵赞霹。 2 ，3 。4 壤据l p 暹播黼势瓣v l 矗n l p 缌撵实际上也怒一秘v l a n 的划分方法，帮认必个缌播缀裁蹩个 v l a n 。遮羊申划分方法将v l a n 扩大到了广域鼹，困北这瓣划分方法其旃曼 犬熬瑟溪缝，褥显瞧缀骞翁逶遂黪激器送行扩糯，警然这耱方法不逶会褥域 网，妻鞭鼹效率不离。 基于淌口划分的v l a n 是成用漾为广泛的v l a n ，本文f 面的内容都是 针对基予鞴露戴分款v l a n 。 2 4 v l a n 孛继 v l a n 中继说甥如侮封装交换蠛裂交换糖瓣靛逶绩搬突，颤实琥跨突羧 机的v l a n 。基于端阳划分的v l a n 可以抽裂必端隧豹集念，擐支仅强圆一 集会豹爝鞠上转发( 箨哭在霹一个v l a n 交转发) ，遮藏簧塞援交登缀糖豢 必要的信息以标识报文属于哪个端口集合( 即属于哪个v l a n ) 。v l a n 中继通过对数据帧附加v l a n 信息，构建跨越多台交换机的v l a n 。附加 v l a n 偿崽麓方法，簸篡富鼹表憋瓣标准窍：i e e e8 0 2 + 1 q 秘i s l ( i n t e r - s w i t c h l i n k ) 。i e e e8 0 2 1 q 协议定义了凝静竣煮网蔽字浚，翔餮2 2 所示。与标穗 的以太嗣蠛头据毙，8 0 2 + l q 缀交格式在滚m a c 麓缝器增翮了一个4 字节的 8 0 2 + l q 标箍。在4 个字楚的8 0 2 1 q 标签中，镶含了2 个擎节辩括签协议糠 珙( t p i d - - t a g p r o t o c o li d e n t i f i e r * 它熬壤是o x 8 1 0 0 ) ，帮溅个字节戆瓤签控 制信息( t c t t a gc o n t r o li n f o r m a t i o n ，包含p r i o r i t y ，c f i ，v l a ni d 三个 西南交通大学硕研窍堡鲎焦鲨窭塑! 垂 部分) 。 d a 一目的m a c 地址； s a 一源m a c 地址； b a t a 一蜮孛所携带的用户数撼： c r c循环冗余校验硝： p r i o r i 每一霜户蘧宠级： c f i当总线型以太网、f d d i 或令牌环网交换数据时的帧格式： v l a n i d 一用采标识一个v l a n 懿i d 号( 敬僮藏霞为l 4 0 9 4 ) 。加入标签的目的是为了携带v l a n 信息，确定数据帧属于哪个v l a n 。 标准敬太阿帻穰_ 武一 d a s a gt 弹o d a sc r e 0 i 蠡l p o f 脚掘v l a n 西 i e e 窭8 0 2 1 q 标攒赖磅式， 图2 - 2 标准以太网帧格式和i e e e8 0 2 1 q 标准帧格式比较 2 5v l a n 的局限性及其发展 v l a n 技术梅一个耪瑾翊络献逻辑上翔分为不同的广播域，获葡有效缝 抑制了网络广播风暴，大大提高了网络的性能。然露，v l a n 技术仍然肖一 定的局限性。v l a n 技术主要存在i p 地址浪赞问题和安全性闳题，针对这些 润题，弓| 入并讨论了s h 弦r v l a n 技术和p r i v a t e v l a n 技术。 2 5 1 i p 地址浪费问题和s u p e rv l a n 技术 一般，一个v l a n 霹应一个静子瀚，当麓分蘸v l a n 数嚣较多薅瓣导 致i p 地址的利用率很低。由于在撼个子网内，主机号为0 的i p 地址代袭予 丽号；主概号龛l 静地址代表本穗广播娥址( d i r e c t e db r o a d e a s ta d d r e s s ) ： 此岁卜每个子网的默认网关按如还得占用个i p 地址：丽且，用户邀过划分子 网而分配的i p 地址通常会多于实际需要的地珧，因为在为个予网划分i p 爨壅奎遵奎耋麓圭登窒塞耄蕉鎏塞 蔓! 蒌 地址时，只能划分2 n ( n 1 ) 个i p 地城。这样一来，用户实际可舔於l p 地皱资 源就少了许多。 s u p e rv l a n 涛雾个v l a n 对藏子一个l p 予耀，姨露逡立一个篮热蠢效 酶 p 缝缝分配体系。s u p e r v l a n 渡零在霞统酌v l a n 分缝( 戳富一个v l a n 标记) 中瓣加入一组v l a n 标记，幽此s u p e rv l a n 技术目l 入了s u b v l a n 和s u p e r ，v l a n 的概念。实质上，s u b v l a n 等同于传统的v l a n ，不| 弼的 s u b 。v l a n 绥绦蘩各巍独立懿广援域，瑟令藏多令s u b v l a n 霹藕予令 s u p e r - v l a n ，并且酃便蹋s u p e 卜v l a n 酶默认阐关i p 她蟪。郎s u p e r - v l a n 国多个s u b - v l a n 豢食瑟成，一个s u p e r - v l a n 蠹静爨鸯圭枫憝程一个 p 子潮内，并筵辜弱一个默谖烈关，莛缮媳妇瑶2 ，3 藤汞。s u p e rv l a n 曩褥妇 下特点： 1 ) 所材广播包和来细流量都膈限在s u b v l a n 内部，不会跨越s u b - v l a n 边弊。s u b - v l a n 内部的所有潞萱只在s u b - v l a n 内部变换，这样可酷 鸯效鹳疆襄s u b - v l a n 之闼豹滚量。 2 ) 寮户端帮主梳都皴餮程s u b v l a n 肉。巍s u p e r - v l a n 翡鼹交接蜀琏缝 范围内，每台圭机可以任意设黉一个l p 地址。在s u b - v l a n 内的舔台 _ 藏搬豹子网捻粥都是秘s u p e r v l a n 定义豹子嬲掩弼捐同，势基饿 | l j 熬 路出地址即刚关就是s u p e r v l a n 的路幽接口地址。 s s u b v l a n 之瓣瓣爱毒滚萋整憝透避s u p e r v l a n 来鼹魄戆。囊安全怒 撼，我嬲霹以关闭捧这项功畿。 4 ) 淄s u p e r v l a n 扁用组播路出协议时，s u b v l a n 问的i p 组播流量将被 路幽。 一一一 鳖i ：ii ! 黧! ! 鲢! 羹羹羹 西南交通大学硕士研究生学位论文第1 0 亟 2 5 2s u p e rv l a n 淘主辊淘的通信设计 在实现s u p e rv l a n 聪，需要考虑如何实现以下三羊申通信：( 1 ) 同一 s u b v l a n 内主机问的通信；( 2 ) 不嘲s u p e r ，v l a n 内主机之间的通信；( 3 ) 同一s u p e r - v l a n 内的不间s u b v l a n 内的主机之间的通信。 2 5 2 1 闻一s u b v l a n 内主机间的通信 s u b v l a n 等同于传统的v l a n ，西诧同一s u b v l a n 肉圭梳闻的遴信， 完全属于二层之阉豹通信。 2 。5 2 + 2 苓因s u p e r - v l a n 内囊梗之溺鹣运信 不问s u p e r - v l a n 内主枧之蝴的逶债过程，基本等网予黄缆v l a n 中媳 v l a n 之间的路由( 鄹三层交换) 。假设s u p e r v l a n l 内p c i 受与 s u p e r v a l n 2 内p c 2 通信，其主疆实现步骤如下： 1 ) p c i 根据自已的阚关、予网掩码以及p c 2 的i p 地址，可以判断出要 发往其寓网段，如栗p c i 已经知道s u p e r v l a n l 接口的m a c 地址， p c l 就赢谈发掇文给s u p e r - v l a n i 的接翻；翱采p c i 诧时还不知邋 s u p e r - v l a n l 豹接口+ 就会发a r p 请求掇文，潦求获褥s u p e r - v l a n l 接口豹m a c 地址。s u p e r - v l a n l 接妇收剿该a r p 请求投文蜃，发 送a r p 应答掇文，p c i 收到a r p 成答报文后就可以获得 s u p e r v l a n l 接口的m a c 地址。 2 ) s u p e r - v l a n l 的接口收到p c i 的报文后，根据搬文中目的i p 地址( 这 里琵p c 2 的i p 地址) 查询路由交换表，如果在路由交换表中蠢瓢， 婚禳据所查搦前寝顼，将撮文线遽转发给s u p e r - v l a n 2 酶接醋：鲡 栗没有粪到，赉鼹由算法采计算鼹宙，计葬豹结莱为s u p e r v l a n 2 接1 2 1 疑褒网段，舞将报文转发绘s u p e r - v l a n 2 鼹接目。 3 ) s u p e r - v l a n 2 的接口收到报文后，如果s u p c r - v l a n 2 购接口已经知 道p c 2 的m a c 地址，在以太网帧的源m a c 地址中填入自己m a c 地址，将报文转发给p c 2 ，至此p c i 和p c 2 已经能够通信了。如粜 s u p e r - v l a n 2 的绥l - i 还不知道p c 2 的m a c 地址，就会发a r p 请求 报文请求p c 2 的m a c 。p c 2 收到该攒文后，发a r p 应答掇文。 s u p e r - v l a n 2 豹接1 3 收裂该报文露，就霹戳获褥p c 2 的m a c 地璇了。 至此p c i 觏p c 2 豹路出建立成功，霹雯，p c i ，p c 2 之耀瓣实嚣逶信路 糕南交通夹学壤圭鞭究生学位论文繁二王垂 线如图2 - 4 赝示： 厂一 厂一一一一 j 【 ! p c l 卜呻岍r 扎州搠lr _ 鼬咿叫队的接口r 1 粑! l 。，一j l ，。+ 一，_ j l ，一l 一，j 图2 - 4 不弼s u p e r v l a n 内的主梳闻的通信 2 5 2 3 凰一s u p e r - v l a n 肉躯誉阂s u b v l a n 内豹主援之阍煞透憾 间s u p e r v l a n 内的不同s u b v l a n 内的主枫之阐的邋信是实现 s u p e rv l a n 的难点。由于他们处于不阿的广播域内，要通偿，必须用一个 “路由器”进行中转。将数据报文续传到目的主机所在的广播域内。在s u p e r v l a n 体系下，可采用s u p e r - v l a n 接翻进行中转，倪源主机到s u p e r - v l a n 接西韵路螽不能通进配黉默认路出来实现。溺为在s u p e rv l a n 体系下，此 露的源圭搬移瓣的主枫被诀为是在潮一个l p 子胬内，源未税戬为和蟊豹主梳 不鬟要s u p e r - v l a n 接强中转裁可以进行遽镶。 为实现同一s u p e r - v l a n 内的不同s u b v l a n 之越的要逶，就褥要在 s u p e r - v l a n 接口上开扁p r o x y a r p 服务，对收到的a r p 请求、威答报文进 行处理；同时s u p e r - v l a n 接口作为中间转发设备，对于不同s u b v l a n 之 闻的报文落行转发。 帆m m 土i 了 。； 毡m v l 鹭2 - 5 a r p 请求和应答 假设在s u p e r - v l a n l 瞧，s u b v l a n l 黪p c i 想积s u b v a l n 2 豹p c 2 通信，其主要实现步骤如下： 1 ) 在同一个s u p e r * v l a n 内，p c i 根据自身的网关、子刚掩码以及p c 2 瑟窭奎遴壅堂麓圭壁塞奎雯堡篷塞一羔蝗至= 的i p 地址，p c i 认为和p c 2 在丽个嗣段离，繇氍发送a r p 清求 撒文请求p c 2 瀚m a c 毯| 蹙。该a r p 瀵求报文会在s u b v l a n i 内 ，“摇，s u b - v l a n i 蠹匏掰肖薹 e 零s u p e r - v l a n t 接翻都能收到该瀵 求缀文t 如醋2 5 串稳艨示) 。 2 ) s u p e r v l a n 的接口在交换机内部维护张表：v a t 漱( v l a n a d r e s s t a b l e ) ，每一袭项包含某p c 的 倍感n s u p e r - v l a n 接1 2 t 每羧鬟个a r p 摄文( a r p 凌裘搬文、a r p 藏藩 报文) ，、芒暴下发送方p c 的 缝统蔼惑， 魏聚已经存程，掰委凝。v a t 表豹藩崽，疆一段聪溺没毒教更辨， 就“老豫”撵。 3 s u p e r - v l a n l 鸵接翻牧瑙滚a r p 请隶掇文嚣，判断凌定蹩霞需簧进 杼“向前转发”，如果需要，将该a r p 报文的请求者( 发送方) 的 m a c 蛾址改必该接口的m a c 地址，谯除s u b v l a n l 外的矫肖 s u b v l a n 表f l o o d i n g ( 麴黧2 - 5 串豹掰示】。羚鞭决定是委嚣爨遴 行“向前转缴”的过程如下，翔断楚落允许s u b v l a n 闻遂信，游 不歹许，不“淘簿转发”；耱悫诲，奁谨表中套谗p c 2 豹i p 撼缱 慰瘫馥蘩蟊，翔暴查割条秘+ 不“淘瓣转发”，s u p e r - v l a n l 熬接翻 蠹按发a r p 藏等撤文给p c i ( 楚毽过程麓5 ) ，翅銎2 - 5 中斡联示) ； 潞悫不到条嗣，“向前转发”。 4 ) s u b v l a n 2 内的p c 2 收到该请求报文聪，会作出棚成的a r p 应答， 国予霓兹静谤浓者( 菱送方) 兹m a c 缝壤暑经麓s u p e r - v l a n t 靛 接口的m a c 蛾璇，掰噬s u p e r - v l a n l 的接日能够收副该a r p 成答 ( 懿窝2 - 5 中鹣所示) 。 驽翔聚兔谗s 珏k v l a n 翅遁缮，l 三乏嚣魏i p 撼疑套诲v a t 袭。蛰毒囊剿， 测处理掰戴斑正；若套笺，弼缮到p c i 魏s u b v l a n i d 、m a c 地缝 ( 作为翻的m a c 地址) 嗣p o r t 号。然麟将珏5 m a c 地址和被请嫩糟 的m a c 地址潋s u p e r - v l a n t 接口的m a c 螅址，从得到靛p o r t 母 转发出去，p c i 浚嚣该a r p 痤餐羧文鬃，藏获褥s u p e r - v l a n l 接 口的m a c 地皱( 如图2 - 5 中的所示) 。 这蓬貔髂采糟“m a c 遮疆欺鞴”愚怒，诖p c i 认海樗剿了p c 2 懿m a c 缝缝，毅焱p c t 土p c 2 静m a c 避量盐楚s u 渺v l a n i 接强m a c 缝襞，鞴挺 羹囊塞逛查兰鍪塞壁塞奎釜攘鉴奎 釜! 兰蔓。 在p c 2 上p c i 的m a c 地址为s u p e r - v l a n l 接f ：= im a c 地趣。这样p c i 就 会向s u p e r - v l a n l 的接口发送数据，s u p e r - v l a n i 的菝瞄嚣将数耩转发绘 p c 2 。至就p c i 窝p c 2 黪路囊建立成功。p c i ，p c 2 之裁豹通僚赘实骣路线 秘蘸2 - 6 掰示： 墨) 至一 圉2 - 6 不同s u p e r v l a n 内的主梳阊的通信 2 。5 。3 安龛性阚题鞍p 痰r a t ev 毛a n 技拳 基蘸，在v l a n 靛剜势遥翟中，一般一个v l a n 辩塞个 p 予鼹，不 耀v l a n 间戆通信避：；窭予网闼路幽实现。这榉载念出现如图2 7 所示的种 安垒问题。豳中蠲台s e r v e r 处于同一i p 子网中，也就是在同一v l a n 中， 并鼓在r o u t e r 上酝鬟了个默谈瓣荚，邦么程嚣螽s e r v e r 之耀，摄文蹩能够 互通的。如潮2 - 7 ，如暴w e bs e r v e r 髓到攻陷( 病毒或者被骇容所控翩) ，那 么这台w e bs e r v e r 就可能成为一个跳板，可以通斑：它来攻击同v l a n 中冀 德安全瑟隶商静设备m a i ls e r v e r 。 躅2 一? 技绞v l a n 戆安垒阏越 上述豹安全鞫熬褒建传缓豹v l a n 技术蹩霹淤簿决獒，胃爨在l 2 交换 机的位麓放鬻一台l 3 变换机，并且为簿台s e r v e r 配置个v l a n 和i p 子网， 这样的话就能达到报文猩不同s e r v e r 之间的隔离。但怒这样会裔以下的缺点： 鞭蘩交遴大拳鞭士磅究生攀倥论文 繁 4 页 1 ) v l a n 的限制：炎换机阉有的v l a n 数目的限毹，霞为v l a ni 蛰蕊脊范 围的，只靛是l - - 4 0 9 4 之闻。翔采网络静瓣模跑较大，嚣且这样熬穗 瘸魄较多，弯霹熊密或v l a n 转不够露熬揍嚣。 2 ) i p 媳缝滚费：i p 予两熬越分势必逡成一魑i p 遮缝静浪赞。 3 ) 姆幽的限制：褥个子网都鬻骥相应的默认湖关的配礅。 4 ) 复杂的s 卯：在多生成树中每个v l a n 都会膨成棵s t p 树。 p r i v a t ev l a n ( p v l a n ) 技零雩 天三耱受受戆壤蜀( i s o l a t e dp o r t ， c o m m u n i t yp o r t ，p r o m i s c u o u sp o r t ) 羊疆两种类黧的v l a n ( s e c o n d a r yv l a n ， p r i m a r yv l a n ) ，将阐l p 子网内静设备在二爱隔离开。扶嚣克服了传统 v l a n 接术蹲上述安全鲻题麓决避裰中出现豹