（计算机应用技术专业论文）用基于第三层交换的vlan技术改善局域网.pdf

兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 摘要 近年来集团出版业务对计算机网络的依赖性越来越突出，网络承受的压力也 越来越大。一方面，由于网络内各种网络终端设备数量增多、网络规模扩大、网 络流量突增：另一方面，各种企业管理应用系统不断投入使用，如办公自动化系统、 出版业务管理信息系统、网络监控系统、财务管理系统。这些系统对网络的带宽、 安全性和可靠性提出了更高的要求。 本文介绍了v l a n 技术的原理及发展状况，以c i s c o 交换机为例讲述了三层交 换的原理。同时针对集团局域网存在的问题和v l a n 技术及多层交换技术的特点， 给出了一种基于v l a n 技术的集团局域网改造设计方案。c i s c 0 4 0 0 9 以太网交换机 支持v l a n 、多播过滤、三层交换、广播风暴限制等高级网络功能，在配合网络安 全管理系统的情况下有效的避免了广播风暴、黑客入侵、病毒传播，在定程度 上减少了网络流量，节约了网络带宽，降低了网络内主机负载，提高了办公信息 网络的快速高效和安全可靠。 关键词v l a n 第三层交换 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 a b s t r a c t i nr e c 冶n ty e a r st h eg r o u pp u b l i s h i n gb u s i n e s sd e p e n d e n c eo nc o m p u t e r n e t w o r k si n c r e a s i n g l yp r o m i n e n t ，t h en e t w o r ka l s ot h ep r e s s u r ei si n c r e a s i n g o n t h eo n eh a n d b e c a u s et h en e t w o r ko fn e t w o r k si n c r e a s ei nt h en u m b e ro f t e r m i n a le q u i p m e n t n e t w o r ke x p a n s i o n ，t h es u d d e ni n c r e a s en e t w o r kt r a f f i co n t h eo t h e rh a n d ，v a r i o u sb u s i n e s sm a n a g e m e n ta p p l i c a t i o n sc o n t i n u et op u ti n t o u s e s u c ha so f f i c ea u t o m a t i o ns y s t e m s ，p u b l i s h i n gb u s i n e s sm a n a g e m e n t i n f o r m a t i o ns y s t e m s ，n e t w o r km o n i t o r i n gs y s t e m ，f i n a n c i a lm a n a g e m e n t s y s t e m t h e s es y s t e m sf o rt h en e t w o r kb a n d w i d t h ，s e c u r i t ya n dr e l i a b i l i t yo fah i g h e r d e m a n d i nt h i sp a p e r ，v l a n s t e c h n o l o g ya n dt h ed e v e l o p m e n to ft h ep r i n c i p l e c i s c o3 - l a y e rs w i t c ha sa ne x a m p l eo nt h e p r i n c i p l e a tt h es a m et i m ef o rt h e g r o u po fl a na n dv l a n s t e c h n o l o g ya n dm u l t i l a y e rs w i t c ht e c h n i c a l c h a r a c t e r i s t i c s ，i sat e c h n o l o g y - b a s e dv l a ng r o u po fl o c a la r e an e t w o r kd e s i g n c i s c o4 0 0 9e t h e r n e ts w i t c h e ss u p p o r tv l a n 。m u l t i c a s tf i l t e r i n g ，3 - l a y e rs w i t c h ， b r o a d c a s t i n gs t o r mr e s t r i c t i o n sa n do t h e rs e n i o rn e t w o r k i n gc a p a b i l i t i e s i nl i n e w i t hn e t w o r ks e c u r i t ym a n a g e m e n t s y s t e mi nt h ec i r c u m s t a n c e se f f e c t i v e l y p r e v e n tt h eb r o a d c a s to ft h es t o r m ，h a c k i n g ，v i r u s ，t oac e r t a i ne x t e n tr e d u c et h e n e t w o r kt r a f f i c ，s a v i n gn e t w o r kb a n d w i d t ha n dr e d u c et h en e t w o r kh o s tl o a d ， r a i s i n gt h eo f f i c e sr a p i di n f o r m a t i o nn e t w o r ke f f i c i e n ta n ds e c u r e k e y w o r d sv l a n s t e c h n o l o g y ；3 一l a y e rs w i t c h 原创性声明 本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行 研究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、 数据、观点等，均已明确注明出处。除文中已经注明引用的内容外，不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究成 果做出重要贡献的个人和集体，均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名：塑。堑 e t期：型 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属兰 州大学。本人完全了解兰州大学有关保存、使用学位论文的规定，同意学 校保存或向国家有关部门或机构送交论文的纸质版和电子版，允许论文被 查阅和借阅；本人授权兰州大学可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用任何复制手段保存和汇编本学位论文。本 人离校后发表、使用学位论文或与该论文直接相关的学术论文或成果时， 第一署名单位仍然为兰州大学。 保密论文在解密后应遵守此规定。 论文作者签名：兰趟导师签名： 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 第一章引言 1 1 研究背景 1 1 1 研究背景 在网络发展的早期，主要是研究性大学和军方用计算机网络做一些实验，局 域网这个术语原意就是建在大学校园中的网络。今天，这个术语的范围已经扩展 到包括公司“园区”的网络，由建筑物、一栋建筑物的一部分，或者同一地点的 建筑物集合组成。 在企业网络刚刚兴起之时，由于规模小、应用面窄、对i n t e r n e t 接入认识程 度低以及关于网络安全和管理知识贫乏等原因，使得企业网仅仅局限于交换模式 状态。局域网由单一的一个l a n 构成，因此要添加新的用户，只需在i _ a n 中任意 位置连接即可。由于网络传输介质的距离限制，局域网的范围通常被限制在一栋 或几栋相邻的建筑。 l a n 是把各种设备连接起来的物理网络。在以太网的情况下，所有的设备共 享一个网络【7 j 。由于以太网使用载波侦听多址冲突检测( c s m a c o ) 访问算法， 这个l a n 属于同一个冲突域【7 1 。局域网( l a n ) 通常被定义为一个单独的广播域，主 要使用h u b 、网桥，或交换机等网络设备连接同一网段内的所有节点。同处在一个 局域网的网络节点之间可以不通过路由器直接进行通信：而处于不同局域网段内 的设备之间的通信则必须经过路由器才能实现。在这样的网络中，通过路由器划 分出不同的局域网段。在这里每一个局域网所连接的路由器接口都属于该局域网 广播域的一部分。这种方式相对于共享式网络性能有很大提高，但对于所有处于 一个i p 网段或i p x 网段的网络设备来说，却同在一个广播域中。随着网络的不断 扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不 同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。这样做的 一个缺陷就是随着网络中路由器数量的增多，网络时延会逐渐加长，从而导致网 络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网 时，必须经过路由器的路由操作，路由器属于网络层设备，数据包的转发通常是 通过软件来实现，它根据数据包中的相应信息确定数据包的目标地址，然后再选 择合适的路径转发出去。当工作站数量较多和信息流较大时，容易形成广播风暴， 兰州大学工程硕士学位论文用基于第三层交换的v l a n 技术改善局域网 严重影响了网络运行速度，甚至容易造成网络瘫痪。怎样避免这个问题出现呢? 采用划分网络的办法是个不错的选择。 在采用交换技术的网络模式中，一般采用划分物理网段的手段进行网络结构 的划分。从效率和安全性等方面来看，这种结构划分有一定缺陷，而且在很大程 度上限制了网络的灵活性。因为如果要将一个广播域分开，必须另外购买交换机， 并且需要重新进行人工布线。好在，虚拟局域网( v i r u a ll o c a la r e an e t w o r k ，v l a n ) 技术的出现解决了上述问题。v l a n 技术允许网络管理者将一个物理的l a n 逻辑地划 分成不同的广播域( 或称虚拟l a n ，即v l a n ) ，每一个v l a n 都包含一组有着相同需求 的计算机工作站，与物理上形成的l a n 有着相同的属性。但由于它是逻辑地而不是 物理的划分，所以同一个v l a n 内的各个工作站无需被放置在同一个物理空间里， 即这些工作站不一定属于同一个物理l a n 网段。一个v l a n 内部的广播和单播流量都 不会转发到其他v l a n 中，从而有助于控制流量、减少设备投资、简化网络管理、 提高网络的安全性。v l a n 是为解决以太网的广播问题和安全性而提出的一种协议， 它在以太网帧的基础上增加了v l a n 头，用v l a ni d 把用户划分为更小的工作组，限 制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网 的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 实际上，v l a n 就是一个广播域，它不受地理位置的限制，可以跨多个局域网 交换机。一个v l a n 可以根据部门职能、对象组或者应用来将不同地理位置的网络 用户划分为一个逻辑网段。对于局域网交换机，其每一个端口只能标记一个v l a n ， 一个v l a n 中的所有端口拥有一个广播域，而处于不同v l a n 的端口则共享不同的 广播域，这样就避免了广播风暴的产生【7 1 。可以说，在一个交换网络中，a n 提 供了网段和机构的弹性组合机制。 1 2 课题背景 读者出版集团的局域网建立于2 0 0 0 年，随着集团出版事业的发展和信息化进 程的不断推进，企业信息网显得尤为重要。近年来集团出版业务对计算机网络的 依赖性越来越突出，计算机网络承受的压力也越来越大。一方面，由于网络内各 种网络终端设备数量增多、网络规模扩大、网络流量突增：另一方面，各种企业管 理应用系统不断投入使用，如办公自动化系统、出版业务管理信息系统、网络监 2 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 控系统、财务管理系统。这些系统对网络的带宽、安全性和可靠性提出了更高的 要求。 局域网在一开始设计时，设计的容量在2 2 0 台左右，但目前所需使用i p 地址 的设备已经达到4 0 0 多台，而且随着新办公楼的竣工，还要增加设备，这已经超 出网络i p 地址资源范围所能承载的容量，各科室所使用的计算机在现行网络环境 中出现i p 地址冲突，造成无法访问内网和i n t e r n e t 网的情况；另外各处、室、 专业社之间对数据信息的任意调用，一定程度上影响了数据的安全。由于各编辑 室、专业社现已有自己的发行人员，他们都需要使用编务程序中的数据，但现在 编务程序中的数据是各个社合并在一起的，既不安全，也不方便使用。同时由于 网络结构、硬件老化、病毒和黑客入侵等原因频频出现网络阻塞的情况，严重影 响了网络集团日常工作的进行。2 0 0 8 年集团门户网站建设正式提上日程，但是目 前网络无论从容量还是从安全的角度来说都远达不到网站的要求。 针对集团局域网存在的问题和v l a n 技术特点，本文给出了一种基于v l a n 技 术的集团局域网改造设计方案。c i s c 0 4 0 0 9 以太网交换机支持v l a n 、多播过滤、 三层交换、广播风暴限制等高级网络功能。在配合网络安全管理系统得情况下有 效的避免了广播风暴、黑客入侵、病毒传播，在一定程度上减少了网络流量，节 约了网络带宽，降低了网络内主机负载，提高了办公信息网络的快速高效和安全 可靠。 1 3 论文结构安排 第一章引言 第二章v l a n 原理 第三章工程实践 第四章发展前景 1 4 本论文的主要工作 读者出版集团投资改造集团局域网，我主持了局域网的改造及扩容工作。在 研究生课题期间主要对局域网建设中的关键技术进行了研究和实现，完成的主要 内容是： 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 1 、新办公楼局域网工程的初期调研，包括局域网现状及需求分析，网络设备 选型，分析和比较了当前市场上主流厂商的三层交换机的技术参数及性能，如 c a t a y s t 4 0 0 0 、5 0 0 0 、6 0 0 0 ，系列，q u i d w a y 8 0 1 6 ，6 5 0 6 系列等，以及防火墙、路由 器等安全产品，从而为以后的方案的制定奠定基础。 2 、局域网总体方案设计，该部分工作的内容将在第三章中进行介绍。 3 、研究了交换网络中的关键技术- v l a n 技术的工作原理，在论文的第二章 中论述了v l a n 标准协议，v l a n 的帧标识方法i s l 和i e e e 8 0 2 1 q 1 1 】，v l a n 的 动态管理协议g v r p 和v t p ：分析讨论了实现v l a n 间通信的两种方法。 4 、结合读者出版集团局域网的实际情况，提出了v l a n 在局域网中的具体解 决方案；包括v l a n 的规划，v l a n 的路由策略，v l a n 的访问控制以及配合网络安 全产品保护局域网安全，该部分内容在第三章中详细介绍。 4 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 第二章v l a n 技术 2 1 v l a n 技术 2 1 1v l a n 技术原理2 4 3 v l a n 是一组逻辑结构含有相同需求的，与物理位置无关的主机，它们之间相 互通信时好像连到同一根线缆上。v l a n 技术是交换技术的重要组成部分，也是交 换机的重要进步之一。它把物理上直接相连的网络从逻辑上划分为多个子网。每 一个v l a n 对应着一个广播域，处于不同v l a n 上的主机不能进行通信，不同v l a n 之间的通信要引入路由技术或多层交换技术才可以解决。对虚拟局域网的配置和 管理主要涉及到v t p 、v l a n 中继和v l a n 的配置。 v l a n 中继( v l a nt r u n k ) 也称为v l a n 主干，是指在交换机与交换机或交换机 与路由器之间连接的情况下，在互相连接的端口上配置中继模式，使得属于不同 v l a n 的数据帧都可以通过这条中继链路进行传输。v l a n 中继协议( 即v t p 协议) 可以帮助交换机设置v l a n 。v t p 协议可以维护v l a n 信息全网的一致性。v t p 有三 种工作模式，即服务模式、客户模式和透明模式，其中服务器模式可以设置v l a n 信息，服务器会自动将这些信息广播到网上其他交换机以统一配置；客户模式下 交换机不能配置v l a n 信息，只能被动接受服务器的v l a n 配置；而透明模式下是 独立配置，它可以配置v l a n 信息，但是不广播自己的v l a n 信息，同时它接受到 服务器发来的v l a n 信息后并不使用，而是直接转发给别的交换机。交换机的初始 状态是工作在透明模式，有一个默认的v l a n ，所有的端口都在这个v l a n 内。 通常v l a n 的实现形式有三种，即静态端口分配、动态虚拟网和多虚拟网端 口配置。 静态v l a n 这种方法也被称为基于端口的成员。将端口分配给v l a n 可 以创建静态v l a n 分配。作为网络的接入设备，设备会自动设定端口的v l a n 。 如果用户在改变端口的同时还要访问相同的v l a n ，则需要管理员手动将端口加 入v l a n 里。 动态v l a n 动态v l a n 通过软件包创建，借助智能管理软件自动确定端 口的从属。当一个新的网络节点刚连接入网时，交换机端口还未分配，于是交换 机通过读取网络接点的m a c 地址动态将该端口划入某个虚拟网。这样一旦网管人 员配置好后，用户计算机可以灵活的改变交换机端口，而不会改变该用户的虚拟 兰州大学工程硕士学位论文用基于第三层交换的v l a n 技术改善局域网 网从属性。例如：c i s c o w o r k2 0 0 0v l a n 管理协议服务器根据设备的m a c 地址 实时批准成员的加入。 多虚拟网端口配置多虚拟网端口配置支持一用户或一端口可以同时访问 多个虚拟网。这样可以将一台网络服务器配置成多个业务部门( 每种业务设置成 一个虚拟网) 都可以同时访问，也可以同时访问多个虚拟网资源，还可以让多个 虚拟网间的连接只需一个路由端口即可完成，但是这样会带来安全上的隐患。 r1 v l a n 在交换机上的实现方法，可以大致划分为以下4 类：p 。 ( 1 ) 基于端口划分的v l a n 这种划分v l a n 的方法是根据以太网交换机的端口来划分，这些属于同一v l a n 的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，同- - v l a n 可 以跨越数个以太网交换机，根据端口划分是目前定义v l a n 的最广泛的方法。 i e e e 8 0 2 1 q 规定了依据以太网交换机的端口来划分v l a n 的国际标准。这种划分的 方法的优点是定义v l a n 成员时非常简单，只要将所有的端口都指定一下就可以了。 它的缺点是如果某一v l a n 的用户离开了原来的端口，到了一个新的交换机的某个 端口，那么就必须重新定义。 ( 2 ) 基于m a c 地址划分v l a n 这种划分v l a n 的方法是根据每个主机的m a c 地址来划分，即对每个m a c 地址的 主机都配置它属于哪个组。这种划分v l a n 的方法的最大优点就是当用户物理位置 发生变化时，即从一个交换机换到其他的交换机时，v l a n 不用菱新配置。所以， 可以认为这种根据m a c 地址的划分方法是基于用户的v l a n ，这种方法的缺点是初始 化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是 非常累的，而且这种划分的方法也导致了交换机执行效率的降低。 ( 3 ) 基于网络层划分v l a n 这种划分v l a n 的方法是根据每个主机的网络层地址或协议类型( 如果支持多 协议) 划分的。虽然这种划分方法是根据网络地址，比如i p 地址，但它不是路由， 与网络层的路由毫无关系。它虽然查看每个数据包的i p 地址，但由于不是路由， 所以，没有r i p ，o s p f 等路由协议，而是根据生成树算法进行桥交换，这种方法的 优点是用户的物理位置改变了，不需要重新配置所属的v l a n ，而且可以根据协议 类型来划分v l a n ，这对网络管理者来说很重要。还有，这种方法不需要附加的帧 6 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 标签来识别v l a n ，这样可以减少网络的通信量。这种方法的缺点是效率低，因为 检查每一个数据包的网络层地址是需要消耗处理时间的，一般的交换机芯片都可 以自动检查网络上数据包的以太网帧头，但要让芯片能检查i p 报头，需要更高的 技术，同时也更费时。当然，这与各个厂商的实现方法有关。 “) 根据i p 组播划分v l a n i p 组播实际上也是一种v l a n 的定义，即认为一个组播组就是一个v l a n ，这种 划分的方法将v l a n 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很 容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 通过上面可以看出，各种不同的v l a n 定义方法有各自的优缺点。所以，很多 厂商的交换机都实现了不只一种方法，这样，网络管理者可以根据自己的实际需 要进行选择。另外，许多厂商在实现v l a n 的时候，考虑到v l a n 配置的复杂性，还 提供了一定程度的自动配置和方便的网络管理工具。 在实现v l a n 中各厂商的标准是不同的，主要有i e e e 8 0 2 1 0 d s 和i e e e 8 0 2 1 q 【i 】o i e e e 8 0 2 1 0 标准定义了一个单独的协议数据单元，通常被称为s e c u r ed a t a e x c h a n g e ( s d e ) p d u ，也成为8 0 2 1 报头，该标准把8 0 2 i 0 报头插在了 i i i a c 的帧头 和数据区域之间。8 0 2 1 0 报头由c l e a rh e a d e r 和p r o t e c t e dh e a d e r 两部分组成。 c l e a rh e a d e r 部分中的s a i d ( s e c u r i t ya s s o c i a t i o ni d e n t i f i e r ) 域通常被一些 厂家用作v l a n 的标识域，即用来指示该帧将被发送到哪一个v l a n ，该标识域也就 是交换机进行数据交换的主要依据。 i e e e 8 0 2 i q 标准定义每一个v l a n 的帧都有一个明确的标识符，指明发送这个 帧的工作站是属于哪一个v l a n 。v l a n 网络的结构框架基于三层模型：配置层、传 输解析层、映射层，并在配置层上确定了v l a n 的配置参数并分配全局标识名及 v l a n 标记。传输和解析层在网络中将有关的控制信息传递到网桥，由网桥根据控制 信息决定如何传递分组。映射层支持接收帧和v l a n 映射，由接收帧中的信息决定 帧的方向和端口。v l a n 标记字段插入在以太网m a c 帧的源地址字段和长度类型字 段之间，v l a n 标记的前两个字节称为i e e e 8 0 2 1 0 标记类型。后两个字节中，前3 个 比特是用户优先级字段，接下来1 个比特为c f i ( 规范格式指示符) ，而后的1 2 比特 为该虚拟局域网v l a n 标识符v i d ，它标示了这个以太网帧是属于哪一个v l a n 。 v l a n 技术的优势体现于： 7 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 ( 1 ) 减少移动和改变的代价，即所说的动态管理网络，也就是当一个用户从一 个位置移动到另一个位置时，他的网络属性不需要重新配置，而是动态地完成， 这种动态管理网络给网络管理者和使用者都带来了极大的好处。一个用户，无论 他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。当然，并 不是所有的v l a n 定义方法都能做到这一点。 ( 2 ) 虚拟工作组，v l a n 的最具雄心的目标就是建立虚拟工作组模型，例如，在 校园网中，同一个系的就好象在同一个l a n 上一样，很容易的互相访问，交流信息， 同时，所有的广播包也都限制在该v l a n 上，而不影响其他v l a n 的人，一个人如果 从一个办公地点换到另外一个地点，而他仍然在该系，那么，他的配置无须改变， 同时，如果一个人虽然办公地点没有变，但他换了一个系，那么，只需网络管理 者再配置一下就行了。 ( 3 ) 限制广播包，按照8 0 2 1 d 透明网桥的算法，如果一个数据包找不到路由， 那么交换机就会将该数据包向所有的其他端口发送，这就是桥的广播方式的转发， 这样的结果，毫无疑问极大地浪费了带宽，如果配置了v l a n ，那么，当一个数据 包没有路由时，交换机只会将此数据包发送到所有属于该v l a n 的其他端口，而不 是所有的交换机的端口，这样，就将数据包限制到了一个v l a n 内。在一定程度上 可以节省带宽。 ( 4 ) 安全性，由于配置了v l a n 后，一个v l a n 的数据包不会发送到另一个v l a n ， 这样，其他v l a n 的用户的网络上是收不到任何该v l a n 的数据包，从而就确保了 该v l a n 的信息不会被其他v l a n 的人窃听，从而实现了信息的保密。 2 1 2v l a n 的帧标记心儿埔1 在虚拟局域网的部署中，在一台交换机上可以存在多个v l a n ，同时允许一个 v l a n 跨越多台交换机，在交换机之间或交换机与路由器之问的中继链路上必须能 够传递来自不同v l a n 的数据流。传统以太网数据帧不能对基于m a c 地址或端口的 v l a n 子网进行标识，因为它认为子网信息是包含在数据包的第三层包头中，因此， 需要在链路层数据帧中增加一个惟一v l a n 标识符。 8 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 2 1 2 1v l a n 帧标识方法 i e e e8 0 2 1 0 - 一种i e e e 的标准方法，它通过在帧头插入v l a n 标识符来标识 v l a n 局域网仿真l a n e 用于通过异步传输模式a t m 网络传输v l a n 的i e e e 标准方法 交换机间链路i s l 用于互连多台交换机的c i s c o 专用封装协议，在c i s c o 的交换 机和路由器上被支持 i e e e8 0 2 1 0 在标准的8 0 2 i 0 帧( 光纤分布接口f d d i ) 内传输v l a n 信息的专 有方法。v l a n 信息被写在8 0 2 1 0 帧的安全关联标识符s a i d 部分。这种方法通常 被用来通过f d d i 骨干网传输v l a n 。 2 1 2 2i e e ei e e e 8 0 2 i q 帧标识 i e e e 8 0 2 1 0 为识别帧所属的v l a n 提供了一种标准的方法，可保证多个厂家 v l a n 实施的互操作性。i e e e 8 0 2 1 0 的帧标识在标准以太网帧上添加了四个字节如 图2 一l 新增4 字节8 0 2 1 q 帧标识 图2 - 1i e e e 8 0 2 1 0 帧标识 l 、标记协议标识符t p i d ： 包含了一个o x 8 1 0 0 的固定值，这个特殊的t p i d 值指明该帧带有 i e e e s 0 2 1 0 1 8 0 2 1 p 标记信息。 2 、标记控制信息t c i ：包含下列元素 3 比特的用户优先级：该域允许标记帧穿过桥接的局域网时携带用户优先 级信息，这个3 比特的值可以代表8 个优先级，从o 到7 ，该域主要被8 0 2 1 p 标 准使用。 l 比特规范格式指示符c f i ：c f i 为0 说明是规范格式；为l 说明是非规范 格式。它用于f d d i 介质访问方法中来指示封装帧中所带的地址比特次序信息。 1 2 比特的v l a n 标识符( v i d ) ；该域惟一地标识了帧所属的v l a n 。v i d 惟 一地定义4 0 9 6 个v l a n ，但v l a n o 和v l a n 4 0 9 5 是被保留的。该域主要用于 i e e e 8 0 2 1 0 i l 标准原始以太网帧不能超过1 5 1 8 个字节，如果一个最大长度的帧 9 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 是通过i e e e 8 0 2 1 q 来标识，该帧将变成1 5 2 2 个字节，这种帧称为小巨( g i a n t ) 帧。 2 1 2 3i s l 帧标识 i s l ( i n t e r - - s w i t c hl i n k ) 是一个在交换机之间、交换机与路由器之间及交 换机与服务器之间传递多个v l a n 信息及v l a n 数据流的协议，通过在交换机直接 相连的端口配置i s l 封装，即可跨越交换机进行整个网络的v l a n 分配和进行配置。 i s l 帧主要由3 部分组成：头部，原始以太网帧和在尾部的帧校验序列f c s 。 i s l 封装添加到以太网数据帧3 0 个额外的字节，而对原始以太网帧没有进行任何 修改。当帧转发到干道链路的端口时，v l a ni d 被添加到帧上，当帧离开干道链路 的端口时，i s l 封装被去掉。 26字节isl头4字节orc 图2 2i s l 帧封装 1 ： 3 。4567s ；9：1 0 1 l ：l ： 1 3 4 044i 镐1 6二4；：41 5l 。1 61 6i l j 。氅3 1 2 ；b i 协b i t gl b i t 蓐b i t ab 妇b i t s b 赶窖b i t sb i b ：b i 臼b i t s j f b i 倍t l d 一j 一 弧j 瑚鬻j 默j 攀 1 3 1 m u ! i n d x 侏州l o 嚣； f c s ，西p 档： 图2 3i s l 帧的组成 i s l 帧格式各个域解释如下： ( 1 ) 目的地址d a ：多点广播地址，设置为0 1 0 0 o c 0 0 0 0 ，通知接收方： 这是一个i s l 帧。 ( 2 ) 帧类型t y p e ：指示被封装的帧类型。 0 0 0 0 ：以太网 0 0 0 1 ：令牌环 0 0 1 0 ：f d d i 0 0 1 l ：a t m 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 ( 3 ) 用户定义比特u s e r ：对于以太网，用户域比特o 和1 指明数据包通过交 换机时的优先级。 编码 意义 0 0 普通优先级 1 0 优先级l 1 0 优先级2 l l 最高优先级 图2 _ 4 用户定义比特u s e r 的含义 ( 4 ) 源地址s a ：为发送数据帧的交换机端口的8 0 2 3m a c 地址，为4 8 比特。 ( 5 ) 长度l e n ：表示数据包的长度，不包括d a ，t y p e ，s a ，l e n ，c r c 域的长 度。 ( 6 ) s n a p l l c ：为2 4 比特的常数0 x 从从0 3 。 ( 7 ) 源地址的高比特h a s ：是s a 域的上面3 个字节，表示m a c 生产厂家的 i d 号。 ( 8 ) v l a ni o ：表示数据包所属的v l a n 的i d 号，共1 5 比特，用来区别不同 v l a n 的数据帧。 ( 9 ) b p d u c d p 指示符：称为桥接协议数据单元，被v l a n 的生成树算法用来 决定有关拓扑结构的信息。 ( 1 0 ) 索引i n d x ：指明数据包离开交换机时数据包源端口索引，用于诊断目 的。 ( 1 1 ) 保留域：用于f d d i 和令牌环数据帧的i s l 封装，对于以太网帧，该域 的值为全0 。 ( 1 2 ) 被封装帧：原始帧长度可变，为l 一2 4 5 7 5 字节，可以包含以太网帧， f d d i 和令牌环数据帧。在接收方，去除i s l 封装，将该域作为它所接收的帧。 ( 1 3 ) 帧校验序列f c s ：f c s 是标准的3 2 比特c r c 值，它对封装后的帧进行 计算和差错校验。 i s l 和i e e e 8 0 2 1 q 的标记都是显式标记，意味着帧被显式地标记了v l a n 的信 息。然而，它们的标记机制不同：i e e e 8 0 2 1 q 使用内部标记过程，即用v l a n 标识 兰州大学工程硕士学位论文用基于第三层交换的v l a n 技术改善局域网 修改现有的以太网帧，它仍然以标准以太网帧的形式出现，所以i e e e 8 0 2 1 0 帧可 以同时出现在接入链路和干道链路上。i s l 协议是通过在帧的外围增加封装而在干 道上多路复用v l a n 的方法。它是一种外部标记过程，i s l 不改变原始帧，而是用 2 6 字节i s l 头进行封装，同时，在帧的末尾添加了额外的4 字节f c s 。这意味只 有支持i s l 的设备才能解释这个帧。 2 1 2 4v l a n 干道协议v t p v l a n 干道协议( v l a nt r u n kp r o c o t 0 1 ) 作为v l a n 动态协议的一种，提供 了在交换网络中传播v l a n 配置信息的功能，自动地在整个网络中保证了v l a n 配置的连续性，一致性。这个协议是最早由c i s c o 系统公司提出的协议标准。作 为c i s c ov l a n 技术的重要组成部分，v t p 减少了跨越网络设置v l a n 的管理任 务，减少了配置的不连续性。v t p 是一个交换机到交换机，交换机到路由器v l a n 管理协议。 v t p 为设置和配置v l a n 提供了园区范围的解决方案。这个协议转移了 v l a n 的管理，使之从在每个交换机上管理v l a n ，到可以集中进行v l a n 配置， 该配置信息会自动传递到网络中的所有交换机。v t p 是一种消息协议，它使用第 二层干道帧在全网基础上管理v l a n 的添加，删除和修改。 v 1 1 p 可以实现下列功能： 在整个网络上维持v l a n 配置的一致性； 对v l a n 的准确跟踪和监督： 动态报告网络中增加的v l a n ； 当添加新的v l a n 时的即插即用配置； 通过混合介质主干时，将以太网v l a n 映射到高速主干v l a n 。如 a t m l a n e 或f d d i 的映射方案，使v l a n 可以通过混合介质实现中继。 1 v t p 域： 在v t p 中引入了域的概念，在交换网络环境中，多个交换机构成了一个域。 为了在交换机上建立和管理v l a n ，必需首先建立一个v t p 管理域。v t p 管理域 由一组共享v t p 域名的互连设备组成，同一v t p 域中所有交换机共享它们的 v l a n 信息。每个交换机只能加入到一个v t p 域中，不同域中的交换机不能共享 1 2 兰州大学工程硕士学位论文 用基于第三层交换的v l a n 技术改善局域网 v t p 消息。 2 v t p 操作模式 ( 1 ) 服务器模式s e r v e r ：在v t p 服务器上。我们可以建立，重命名和删除 v l a n 。v 1 1 p 服务器向同一v t p 域中的交换机通告它们的v l a n 配置，并根据从 干道链路上收到的通告与其他交换机进行v l a n 配置的同步。 ( 2 ) 客户机模式c l i e n t ：在v t p 客户机上不能建立，重命名和删除v l a n ， 只能根据接收到通告来同步它的v l a n 配置。 ( 3 ) 透明模式t r a n s p a r e n t ：该模式下交换机不参与v t p 协议，它既不 通告自己的v l a n 信息，也不接收v t p 信息，但将在干道端口上转发v t p 信息， 以保证其它交换机接收到更新信息。 3 v t p 通告 使用v t p 时，每台交换机在其干道端口上通告其管理域，配置版本号，它所 知道的v l a n 配置等，这些通告数据帧被发往一个多点广播地址，使所有毗邻的 设备都能收到。因此，在管理域内的一台设备上创建和配置v l a n ，该信息可以 被同一管理域中所有其它设备学习到。v t p 消息类型有三种： ( 1 ) 通告请求：来自客户机，在客户机启动时发出，用以请求v l a n 信息； ( 2 ) 汇总通告：来自服务器的响应，在v l a n l 上每3 0 0 秒一次，在拓扑结 构； ( 3 ) 子集通告：包含与v l a n 有关的详细信息。 v t p 通告中包含下面的信息： 管理域的名称：带有不同管理域名称的通告被忽略； 配置版本号：较高的号码代表一个更近的配置； m d 5 摘要：当配置了口令后，m d 5 摘要是随v t p 一起发送的钥( k e y ) ， 如果“钥”不匹配，更新将被忽略； 更新者身份：发送v 1 1 p 汇总通告的交换机的身份。 v t p 通告中的关键元素之一是配置版本号，每当v t p 服务器修改其v t p 数据 库时，它将版本号增1 ，然后向域中其它设备发出汇总通告，若所通告的版本号比 其它设备高，则客户机将请求接收相应的子集通告，以获得详细的v l a n 信息。 交换机获得子集通告后，将其下载到本交换机，并根据报文中的信息更新本交换 机的v l a n 配置，从而实现了交换机之间v l a n 的同步。 1 3 兰州大学工程硕士学位论文 用摹于第三层交换的v l a n 技术改善局域网 2 2v l a n 之间的通信n 朝h 钊 一般而言，v l a n 都是与子网的概念相对应的，即将网络按照逻辑划分为多个 子网时，一个子网对应一个v l a n ，而网关会为每个v l a n 生成相应的v l a n 子接口。 当主机想与其他子网内的主机通信，就会将报文发给网关进行转发，这样就实现 了y l a n 间通信，即v l a n 间通信必须经过有路由功能的设备。 配置了v l a n 后，一个v l a n 的数据包不会发送到另一个v l a n ，其他v l a n 的用 户的网络上是收不到任何该v l a n 的数据包，造成即使两台计算机连接在同一台交 换机上，只要所属的v l a n 不同就无法直接通信。为了能够在v l a n 间通信，需要 使用路由功能。过去路由功能是由路由器提供的，在今天的局域网里越来越多地 利用带有路由功能的交换机三层交换机( l a y e r 3s w i c t h ) 来实现。 2 2 1 路由器实现v l a n 间通信 2 2 1 1 路由器实现v l a n 间通信 划分v l a n 虽然可以解决广播控制问题，但无法实现各子网间的正常通信，v l a n 之间的通信必须要通过第三层设备，我们可以添加一个“边界路由器”来解决问 题，使用一台外部路由器时，会出现v l a n 问路由选择的一个问题：外部路由器一 个物理接口传统上只支持一个子网或广播域。当使用传统技术时，路由器要为其 负责路由选择的交换机上的每个v l a n 单独建立一条物理连接，参看下图2 5 若有 1 0 个v l a n ， 、 灞嗣 义 一 一 套 图2 - 5 一条物理连接对应一个v l a n 1 4 兰州大学工程硕士学位论文用基于第三层交换的v l a n 技术改善局域网 在路由器上需要建立1 0 条物理连接，但传统路由器上的以太网接口是很有限 并且价格昂贵，为了解决多条物理连接的问题，外部路由器必须要能在条物理 链路上传输不同v l a n 的数据，即采用t r u n k 连接方式。路由器具体工作过程如下： ( 1 ) 路由器通过t r u n k 链路接收来自各个v l a n 的数据包 ( 2 ) 路由器检查数据包的目的i p 地址，确定目的网络所在的v l a n ，并使用 目的网络的v l a ni s l 头对数据包进行封装 ( 3 ) 路由器将数据包通过目的v l a n 所对应的接口发送出去。 在交换环境中有两种类型的链路：接入链路和干道链路。 接入链路：( a c c e s sl i n k ) 交换机与用户终端之间的链路称为接入链路，它 只能属于一个v l a n 。交换机为来自接入链路的数据帧添加v l a n 标记，并且在数据 帧离开接入链路，发送到末端设备之前将v l a n 信息拿掉。 干道链路：( t r u n kl i n k ) 干道链路可以承载多个v l a n ，干道链路的得名是来 自电话系统的干道( t r u n k ) ，它能够传输多对电话对话。干道链路用来实现交换 机之间，交换机和路由器之间的连接。当干道链路接收到数据帧时，必须有某种 方法来识别数据帧属于哪个v l a n 。 目前经常所使用的标识技术有两种，i e e e 8 0 2 1 q 标准和c i s c o 交换机间链路 ( i s l ) 。