（计算机软件与理论专业论文）基于8021q协议扩展的vpls.pdf

南京邮电学院硕i ：研究生学位论文 摘要 除了一些较小的网络，目前几乎所有的局域网都选择以太网接入，基于以太网的城 域网也成为技术热点而引起网络服务提供商i s p 的浓厚兴趣。以太网因为实现简单，快 速提供i n t e r n e t 连接以及高性能的局域网二层透传服务等特点而成为首选技术之一。基 于i p m p l s 的v p n 虽然协议完善，功能全面，但是比较适合广域网和大型的城域网络， 其复杂性和昂贵的代价以及与目前网络的兼容性都让小型城域网望而却步，加上用户对 高性能、低价格服务的需求，迫使i s p 寻找一种低成本，易管理、高性能的v p n 技术构 建城域网，实现局域网之间的连接和i n t e r n e t 接入。 作者对8 0 2 i q 协议进行了扩展，在此基础上提出了一种和现有网络完全兼容的v p l s 城域网模型。此模型提供简单高效的城域网v p n 服务，它允许用户网络v l a n ( c - v l a n ) 封装到公网v l a n ( s p v l a n ) 上，报文带着两层标签穿越服务商的骨干网络从而为用户提 供一种较为简单的二层v p n 隧道。在城域网的网络接入端口，s p v l a n 被分配给每一个 用户网络，到达目的地s p v l a n 被剥离以恢复用户报文，从而实现局域网多点到多点间 透传服务。以v p l s 模型为基础，不仅可以方便安全部署城域以太网虚拟专用局域网业务， 解决了点到点v p n 所带来的n 2 扩展性问题，还为基于i p m p l s 协议的v p l s 提供优异的 层次化解决方案。 本文论述了该模型的安全性、可行性、q o s 和具体实现，并对实验结果进行了模拟分析。 本成果已经部分地进入实用，为用户以及i s p 带来了较大的经济效益。 关键词：虚拟专用网，以太网，城域以太网，8 0 2 1 q 协议，虚拟局域网，虚拟专用局域 网业务。 m 京邮电学院硕l ：研究生学位论文 a b s t r a c t a l m o s ta l ll a nn e t w o r k sa r eb a s e do ne t h e m e te x c e p tv e r ys m a l ln e t w o r k s s e r v i c e p r o v i d e r sa r ei n t e r e s t e di nu s i n ge t h e m e ta st h et e c h n o l o g yf o rm e t r os e r v i c e s e t h e m e th a s e m e r g e da st h en a t u r a lc a n d i d a t ef o ra c c e s st e c h n o l o g yf o ri t ss i m p l i c i t ya n df o ra l l o w i n g s e r v i c ep r o v i d e r st or a p i d l yo f f e ri n t e m e tc o n n e c t i v i t ya n dt r a n s p a r e n tl a n s e r v i c e s t h o u g h t h ev p nb a s e di p m p l sw i t hi t sp e r f e c tp r o t o c o la n da l l s i d e df u n c t i o n i ti sm o r ea p p r o p r i a t e t ou s eo nw a na n dl a r g em e n ，f u r t h e rm o r e ，i t sc o m p l e x i t y , h i 曲c o s t sa n di n c o m p a t i b l e w i t he x i s t i n gn e t w o r k t h e s ea r cu n s u i t a b l ef o rs m a l lm e n a n dt h a tw i t hc u s t o m e rd e m a n d f o rh i g h - p e r f o r m a n c es e r v i c ea tar e a s o n a b l ep r i c e ，m a k i n gi n t e r a c ts e r v i c ep r o v i d e r s ( i s p s ) a r el o o k i n gf o r l o w c o s t ，e a s y t o m a n a g e a c c e s sa n dv i r t u a l p r i v a t en e t w o r k ( v p n ) a r c h i t e c t u r e s t h ea u t h o ro f f e rv p l sm e nm o d e lt h a ti st h o r o u g h l yc o m p a t i b l ew i t he x i s t i n gn e t w o r k t h r o u g hi m p l e m e n tb a s e de x t e n d e d - 8 0 2 1qp r o t o c 0 1 t h i sm o d e lo f f e r ss i m p l i c i t ya n d e f f e c t i v e n e s si np r o v i d i n gm e t r oe t h e m e ts e r v i c e ，i ta l l o w st h es e r v i c ep r o v i d e r st os t a c ka s e c o n dv l a n ( s p v l a n ) o nt o po f c u s t o m e rv l a n ( c - v l a n ) ，t h es p v l a ni su n i q u e l y a s s i g n e dt oe a c hc u s t o m e ra tt h ei n g r e s sm e t r os w i t c h i ti su s e df o rs w i t c h i n gw i mi nt h e m e t r oe t h e m e tn e t w o r k ，a tt h ee g r e s sm e t r os w i t c h ，t h es p v l a ni sr e m o v e ds ot h a tt h e o r i g i n a le t h e r n e tp a c k e tw i t c hc v l a ni s d e l i v e r e dt ot h eo t h e r e n t e r p r i s el o c a t i o n t r a n s p a r e n t l y i ti sc o n v e n i e n ta n ds u r e n e s sf o rv p l sn e t w o r ka n ds o l v e st h ep r o b l e mo fn 2 e x t e n d e df o rp o i n t t o p o i n tv p n ，m o r e o v e rp r o v i d e r sh i e r a r c h i c a ls t r u c t u r ef o ri p m p l s v p l s t h i sp a p e rd i s c u s s e st h es e c u r i t y , f e a s i b i l i t y ，q o so ft h i sm o d e la n di m p l e m e n t ，t h r o u g h e x p e r i m e n tw ea n a l y z et h er e s u l t sf o rd e m o n s t r a t i o n t h ep r o d u c t i o no ft h i sm o d e lh a sc o m e i n t oa p p l i c a t i o np a r t l y , b r i n g i n gc o n s i d e r a b l ee c o n o m i cb e n e f i tf o rc o n s u m e ra n di s p s k e yw o r d s ：t l s ，v l a ns t a c k ，o i n o ，v p l s l 2 v p n ，e t h e r n e t ，v l a n ，m e n ，8 0 2 1 0 南京邮电学院学位论文独创性声明 y 7 6 5 0 3 6 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特n ；b l l 以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：鍪鱼塾日期：动理 ! 坐【乒 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：姆师签名： 南京邮电学院硕i ：研究生学位论文第一章绪论 i 1 研究动机和需要 第一章绪论 以太网是全球部署最为广泛、无处不在的一种局域网( l a n ) 技术，过去几十年中， 以太网技术得到迅猛发展，据估计，9 8 的l a n 都使用以太网，选择以太网作为对i p 数据最优的接入网是十分合乎逻辑的。近几年来，有关以太网技术的研究主要围绕在两 个方面。首先，从网络吞吐量来看，以太网已从早期的l o m b p s 发展到快速以太网 ( 1 0 0 m b p s ) ，千兆以太网( i g b p s ) 甚至是l o g b p s ；早期的纯交换设备也发展为目前1 0 g 甚至以上的线速三层路由交换机，具有丰富的路由协议。其次，以太网技术的应用范围 也从早期单纯的l a n 逐步向城域网( m a n ) 发展，即所谓的城域以太网( m e t r oe t h e r n e t ) 。 城域以太网主要面向的是城区内的企业用户，其优越性表现在三个方面： i ) 以太网低廉的成本，包括设备成本及连接成本； 2 ) 网络管理及工程人员对以太网技术己非常熟悉； 3 ) 以太网接入速度的灵活性，用户可以向网络服务供应商订购从i m b p s 到i g b p s 范 围内的任意接入速度，并且可以根据企业的需要灵活调整，这一点是现有的诸如 帧中继，a t m 等所无法比拟的。 目前，城域以太网还只能提供城区范围内的点对点连接服务，主要是提供企业的不 同分部网络间的互连，企业网络或大楼向广域网( w a n ) 接口的连接等。因为以太网技术 的本质是在一个共享传输媒介上提供多点接入方式，因此当前的点对点连接服务并没有 充分发挥以太网技术的特点。并且，对于企业用户而言，其分支办公室网络可能分布在 几个城市内，因此，它们真正需要的是能够覆盖多个城市范围的网络接入。对于这两个 问题，当前已有一些网络服务供应商在尝试利用虚拟局域网( v l a n ) 提供多点到多点的 以太连接。对于用户而言，这相当于所有的子网是连接到同一个局域网上的，而用户的 数据流则通过v l a ni d 来在逻辑上加以区别。这一方案虽然可以为用户带来成本上的优 势与多点连接的便捷性，但是也存在着一些明显的缺陷。基于v l a n 技术的城域以太网其 组网是通过以太网交换机来完成的，但是v l a n 仅能够支持最多4 0 9 6 个终端用户。用于 城域网资源十分有限。 虚拟专用网( v p n ) 是当前电信运营商为企业用户提供诸如跨区域的分支办公室网络 1 南京邮电学院硕i ：研究生学位论文第一幸绪论 连接，i n t e r n e t 接入等服务的一个重要手段。v p n 的实现主要包括依据i e t fr f c 2 6 4 7 规范，基于b g p 与m p l s 技术的第三层v p n ( l 3 v p n ) 和依据i e t fd r a f tm a r t i n i 规范， 基于a t m 技术的第二层v p n ( l 2 v p n ) 。l 3 v p n 应用较早，而且技术也已比较成熟，它主要 可以提供覆盖区域广泛的用户拨号v p n 和基于多点到点连接的i n t r a n e t 组网。这一方案 的主要问题在于，首先，它只能提供i p 数据的支持能力；其次，由于b g p 协议较为复杂， 因此l 3 v p n 的网络规划与管理对技术人员提出了很高的要求。一般来说，第二层技术相 对于第三层技术而言是比较简单的，因此l 3 v p n 的技术复杂性引发了有关l 2 v p n 的研究。 l 2 v p n 的简单性是其主要的技术优势。但是，l 2 v p n 仅能提供点到点的连接，其应用则被 限制于骨干网络之间的互联。如果将l 2 v p n 推广到直接面向企业用户，则面临着所谓的 “n 平方”问题即连接n 个节点需要n ( n 一1 ) 个连接，这样随着用户数量的增加所需 的连接数量将呈几何级数增长 1 】。 1 2 研究方向与技术选择 v p l s ( v i r t u a lp r i v a t el a ns e r v i c e ) 提出了一种新的用于企业分支办公室局域网 互连的解决方案。它有效的结合i p m p l s ，v p n ，以太网交换等多种技术各自的特点，为 广域范围的多点到多点l a n 互连提供了实现基础n 。从连接方式上来看，v p l s 利用 i p m p l s 的广域骨干网络为企业用户提供了一种仿真的l a n 连接，因此也被称为透明的 l a n 服务t l s ( t r a n s p a r e n tl a ns e r v i c e ) 。这里的透明性是指对于用户而言，骨干网 络的结构是不可见的，用户的分支局域网就好象是都连接在一个单一的桥接网络上。从 网络拓扑结构与运营维护来看，v p l s 则提供了与v p n 类似的服务，唯一的区别在于v p l s 的网络边缘节点采用了链路层( 即第二层) 桥接技术，而v p n 则采用了第三层路由技术。 目前v p l s 有两种标准实现协议：i e t fd r a f tm a r t i n i 和i e t fd r a f tk o m p e l l a 两个标准， 是一种m p l sl 2 v p n 技术，两种解决方案在数据层面非常相似，都支持多种二层技术。两个 草案的区别主要在控制层面；前者支持点对点的服务，后者可以支持点对多点服务。m p l s v p l s 在构建大型局域网和城域网时有不可替代的优势：业务支持种类繁多、保证用户数据 的安全性、端到端的q o s 、构造可运营、可维护、可管理、可扩展的v p l s 网络等。但对于 小型局域网和小型城域网而言，确并非最好的选择，网络的建设成本和网络规划也是选择 网络部署的一个重要因素，除去m p l sl 2 v p n 的成熟性和并没有形成大规模的应用之外，用 户需要面对复杂的配置和维护、昂贵的组网代价以及和现有网络的兼容性等问题。 2 南京邮电学院硕i ：研究生学位论义第一章绪论 基于8 0 2 1 q 协议扩展的v p l s 技术提出了一种简单化的面向小型局域网和城域网的 企业分支互连的解决方案，基于8 0 2 1 q 协议扩展的v p l s 不需要繁琐的信令和协议的支 持。和现有网络完全兼容，以现有网络的安全保证和q o s 机制为承载，是一种安全、可 靠、方便的可利用技术。 1 3 章节介绍 本论文主要分为五章，包括理论介绍、系统构架、可行性分析和实现。第一章为绪 论，第二章介绍虚拟局域网的相关知识；第三章，介绍虚拟专用网络的技术和实现方案： 第四章，介绍基于8 0 2 1 q 协议扩展的v p l s 技术的系统解决方案，论述8 0 2 1 q 协议扩展 的v p l s 的网络需求和可行性以及具体实现；第五章则是结论和未来研究方向。 南京邮电学院硕i j 研究生学位论文第二章虚拟局域网v l a n 第二章虚拟局域网v l a n 2 1 以太网的迅速发展 随着i n t e r n e t 的迅速发展，i p 已经占据了各种应用的主导地位，没有任何人再会 怀疑今后网络发展的主流是i p ，以i n t e r n e t 为基础的以太网起源于3 0 年前局域网组网 协议和技术，主要用作计算机互联。随着技术的不断进步，发展到今天，9 8 以上的终端 用户通过以太网接口进行数据流量的发送和接收，实现各种形式的联网，9 9 的t c p i p 信息包( 包括i n t e r n e t 交易信息流) 是在以太网的某处穿越过的 2 。随着a s i c 技术和 网络处理器的不断发展成熟和网络逐渐被i p 技术所统一，以太网交换技术已经走出了当 年“桥接”设备的框架，可以应用到汇聚层和骨干层，路由器中所具有的丰富的网络接 口，在目前交换机上已经可以实现；路由器中拥有丰富的路由协议，在交换机中也得到 大量的具体应用；路由器中具有的大容量路由表在交换机中目前也可以实现：路由器技 术在路由的查找方面采用最大地址匹配的思想，而现在在骨干三层交换机上，在基于最 大匹配的转发速度上可以达到线速，从i o m 到i o g ，从简单的网桥，二层交换，到目前 的千兆、万兆高性能的路由三层交换机，短短十几年间，以太网技术的发展完成了一个 数量级的飞跃，新的高速以太网技术标准的形成，使以太网技术走出l a n 的狭小空间并 完全可以承担w a n 和m a n 等大规模、长距离网络的建设。 由于以太网技术配置简单、组网灵活、价格低廉，而且技术本身已经被大多数人所 熟悉和接受，因此以太网组网技术得到很大发展。各种迹象表明，以太网在局域网中表 现出的种种优势，正在逐渐使其成为城域网甚至广域网中的承载网络，虽谈不上是对传 统承载网络和专线业务的替代，至少也将成为主流传送网技术之一，光纤以太网技术的 出现、i o g 以太网标准以及r p r 技术的逐渐成熟更是推动了以太网技术进入城域网领域。 为了实现与传统电信级传送网( 如s d h ) 和承载网( 如a t m ) 相同的可靠性，使之：有可能 作为今后运营商承载业务的一种新的可选技术，城域以太网论坛( m e f ) 对城域以太网络 从体系结构、网络管理、保护、o o s 、业务等方面进行了完善的功能框架定义。m p l s 技 术的发展和快速自愈s t p 技术的逐渐成熟，使得以太网技术可以为用户提供不同q o s 的 网络业务，再加上以太网技术本身具有的组网成本低、网络扩容简单，高速率交换特点， 城域以太网技术受到各大运营商的青睐。以太网的应用已经涵盖从桌面、校园网企业网、 接入网、城域网甚至骨干网的各个方面。 4 啦京邮电学院硕i ：研究生学位论义 第：章虚拟局域网v l a n 2 2 虚拟局域网概述 虚拟局域网v l a n ( v i r t u a ll o c a la r e an e t w o r k ) 是和局域网交换技术分不开的。如 今的以太网也是绝对不能离开虚拟局域网，可以说，虚拟局域网是以太网中最成功的技 术之一，已经成为以太网的特色标志。 局域网交换技术使用户抛弃了传统的路由器，并在很大程度上代替了人们早已熟知 的共享型介质。随着以太网和令牌网交换设备平均端口价格的降低。逐渐出现了大型局 域网交换体系。这种网络工作方式非常适合虚拟网技术的应用，并迅速成为降低成本、 增加带宽的一种有效手段。早期的交换机是不具各路由功能，从某种程度上说，只是一 个高速网桥。因此，在这种以交换为主的网络里，路由器在定义广播域的过程中发挥了 主要作用。路由器可以很容易的跨越不同网段，支持总多的广播域。但是，交换技术的 应用也产生了其它一些问题。大量的广播信息所带来的带宽消耗和网络延迟是灾难性的。 虚拟局域网v l a n 为路由器提供了一种可供选择的解决方案。通常，只有通过划分子 网才可以隔离广播，但是v l a n 的出现打破了这个定律，用二层的东西解决三层的问题很 是奇怪，但是的确做到了。虚拟局域网，它的作用就是将物理上互连的网络在逻辑上划 分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样， 因此广播也就隔离开了。v l a n 中仍然需要路由器，仍然存在着广播流量。不同的是， 在我们将交换技术和虚拟网技术相结合后，网段中的用户可以尽可能的少，甚至可以只 有一个：而广播域则可以任意选择大小。v l a n 中的工作站可以移动到新的物理位置而不 需要重新配置任何参数。 v l a n 在逻辑上等价于广播域。可以将v l a n 类比成一组最终用户的集合。这些用户 可以处在不同的物理l a n 上，但他们之间可以象在同一个l a n 上那样自收通信而不受物 理位置的限制，是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户 的物理位置限制而根据用户需求进行网络分段。v l a n 可以根据网络用户的位置、作用、 部门或者根据网络用户所使用的应用程序和协议来进行分组。不同v l a n 之间的数据传输 是通过第三层的路由来实现的，三层交换机也就应运而生了，v l a n 使三层交换机既能做 到同一v l a n 内的二层交换又具有不同v l a n 间的路由功能。在这里，网络的定义和划分 与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过 相应的网络软件灵活的建立和配置虚拟网并为每个虚拟网分配它所需要的带宽。使网 络管理简单化，减少工作站移动和变化所需的费用，方便地进行逻辑分组，添加、删除 5 南京邮电学院硕i ：研究生学位论文 第一章虚拟局域网v l 州 和修改用户信息以及通过网络流量测试工具进行计费等工作。 2 2 1 为什么需要v l a n v l a n 是一种将物理网络分成几个逻辑( 虚拟) 局域网( l a n ) 的方法。这种划分可 以在几种标准的基础上进行，从而形成了几种不同类型的虚拟局域网。比如，一种最简 单的虚拟局域网v l a n 就是指基于端口的虚拟局域网v l a n 。通过把个交换设备的各个 端口分配给不同的v l a n ，就把一个网络划分成很多v l a n 。总的来说，v l a n 具有以下优 势： _ 简化网络管理，减少因网络成员变化所带来的开销。人们选择虚拟网的主要原因 就是虚拟网能够减少用户的增加、删除、移动等工作产生的隐含开销。在任何一种规模 的网络中，这笔开销都是不可低估的。考虑到这一点，人们才对v l a n 如此的热衷。当一 个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完 成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他 到哪里，都能不做任何修改地接入网络。虚拟网的应用在很大程度上增强了对动态网络 的集中式管理能力并相应的减少了这方面的开支。对于使用i p 协议的网络，尤为突出。 _ 虚拟工作组，v l a n 的最具吸引力的优势是建立虚拟工作组模型 3 ，例如，在校园 网中，同一个系的就好象在同一个l a n 上一样，很容易的互相访问，交流信息，同时， 所有的广播包也都限制在该虚拟l a n 上，而不影响其他v l a n 的用户，一个用户如果从一 个办公地点换到另外一个地点，而他仍然在该工作组，那么，他的配置无须改变，同时， 如果一个人虽然办公地点没有变，但他换了一个工作组，那么，只需网络管理者那配置 一下就行了。这个功能的目标就是建立一个动态的组织环境，给网络管理和配置带来最 大的透明、简单和灵活性，当有实际需要时，一个虚拟工作组可以应运而生。当项目结 束后，虚拟工作组又可以随这消失。这样，无论是对无论用户还是对网络管理员来说， v l a n 都是再诱人不过了。 一限制广播域，按照8 0 2 1 d 透明网桥的算法，如果个数据包找不到路由，那么交 换机就会将该数据包向所有的其他端口发送，这就是桥的广播方式的转发，这样的结果， 毫无疑问极大的浪费了带宽，如果配置了v l a n ，那么，当一个数据包没有路由时，交换 机只会将此数据包发送到所有属于该v l a n 的其他端口，而不是所有的交换机的端口，这 样，就将数据包限制到了一个v l a n 内。在一定程度上可以节省带宽。 南京邮电学院硕| ：研究生学位论义第一：章虚拟局域网v l a n 一安全性，由于配置了v l a n 后，一个v l a n 的数据包不会发送到另一个v l a n ，这样， 其他v l a n 的用户的网络上是收不到任何该v l a n 的数据包，从而就确保了该v l a n 的信息 不会被其他v l a n 的人窃听，从而实现了信息的保密。 2 2 。2 虚拟局域网的划分 有很多种方式可以用来划分v l a n 。比较常见的是基于端口的v l a n ，基于m a c 的v l a n ， 基于网络层的v l a n 等 4 。 基于端口划分的v l a n 以交换路由设备的端口划分，根据端口划分是目前定义v l a n 最常用的方法，i e e e8 0 2 i q 协议规定的就是如何根据交换机的端口来划分v l a n 。这种 划分的方法的优点是定义v l a n 成员时简单方便，并可以做到在多个交换设备之间v l a n 透传，允许跨越多个交换设备的多个不同端口划分v l a n ，不同设备上的端口可以组成同 一个虚拟网。 按m a c 地址定义的v l a n 有其特有的优势。因为m a c 地址是捆绑在网络接口卡上的， 所以这种形式的虚拟网允许网络用户从个物理位置移动到另一个物理位置，并且自动 保留其所属虚拟网段的成员身份。同时，这种方式独立于网络的高层协议( 如t c p i p ， i p ，i p x 等) 。因此，从某种意义上讲，利用m a c 地址定义虚拟网可以看成是一种基于用 户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确的分配给一个虚拟网。 在这种初始化工作完成之后，对用户的自动跟踪才成为可能。 基于网络层的虚拟网使用协议( 如果网络中存在多协议的话) 或网络层地址( 如 t c p i p 中的子网段地址) 来确定网络成员的划分。利用网络层定义虚拟网有以下几点优 势。第一，这种方式可以按传输协议划分网段。这对于希望针对具体应用和服务来组织 用户的网络管理员来说无疑是非常有诱惑力的。其次，用户可以在网络内部自由移动而 不用重新配置自己的工作站，尤其是使用t c p i p 的工作站。第三，这种类型的虚拟网可 以减少由于协议转换而造成的网络延迟。 缺点是与利用姒c 地址的形式相比，基于网络层的虚拟网需要分析各种协议的地址 格式并进行相应的转换。因此，使用网络层信息来定义虚拟网的交换设备要比使用数据 链路层信息的交换机在速度上占劣势。另外，虽然按网络层划分的虚拟网对于使用 t c p i p 协议的用户群来说是十分有效的。但是，象i p x 等协议运行在这种虚拟网络结构 中似乎就不太合适了。再者，对于某些。无法路由的协议，如n o t b i o s ，按网络层定义 7 南京邮电学院硕i ：研究生学位论文 第二章虚拟局域网v l a n 虚拟网就更困难了。运行不可路由的协议的工作站是不能被识别的。因此也就不能成为 虚拟网的一员。 虽然这种类型的虚拟网建立在网络层的基础上，但交换机本身并不参与路h h - f 作。 当一个交换机捕捉到一个i p 包，并利用i p 地址确定其身份时，没有任何与路由有关的 计算产生。r i p 以及o s p f 等路由传输协议也不被采用。交换机只是作为一个高速交换桥， 简单的利用扩展树算法将包转发给下一个节点上的交换机。这样看来，基于网络层的虚 拟网之间的连接应该看成是一个类似于桥的拓扑结构。 另外还有一种以i p 组播来作为进行v l a n 的定义，即认为一个组播组就是一个 v l a n 5 。这样的虚拟网是如下建立的：当i p 组播包传输到网络上时，根据组播协议，它 将被传送到一组组播i p 地址的受托者那里。这组被明确定义的组播组是在网络运行中动 态生成的。任何一个工作站都有机会成为某一个组播组的成员，只要它对该组播组的组 播确认信息给予肯定的回答。所有加入同一个组播组的工作站被视为同一个虚拟网的成 员。然而，他们的这种成员身分可根据实际需求保留一定的时间。因此，利用i p 组播域 来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且，在这种方式下， 整个网络可以非常方便地通过路由器扩展网络规模。 2 3i e e e 8 0 2 1 q 协议 由于理解和实现上的差异，虚拟网的定义和通信方式是多样的，每个设备厂家都有 自己的独特的虚拟网解决方案，结果是不同的设备不能互连，i e e e 于1 9 9 9 年颁布了用 以标准化的v l a n 实现方案的8 0 2 1 q 协议标准草案。来推动和规范v l a n 发展。 8 0 2 1 q 协议定义一段新的以太网帧字段，与标准的以太网帧头相比，8 0 2 1 q 报文在 以太网帧的源m a c 地址后面增加了一个4 字节的标签，包含了2 个字节的标签协议标志 ( t p i d t a gp r o t o c o li d e n t i f i e r ) 标准值为o x 8 1 0 0 ，和两个字节的标签控制信息( t c i - - t a gc o n t r o li n f o r m a t i o n ) 。用来v l a n 和q o s 标记。 8 卣京邮电学院硕i ：研究生学位论文 第一：章虚拟局域网v l a n l 目的m a c 地址 源malp&址i0 x 划8 1 0 0 6 b y t e s i 。0 w 晰2 记b y 控t e 制s 信息i i 一黼p 验4 b 磐y t e s 邙i l 6 b y t e s ， 用? 熊级p 嗽靴引m a n 煸i d ( 蜘1 2 b 一， 图2 - 18 0 2 i q 标签头 v l a ni d ：占1 2 b i t ，总共支持4 0 9 6 个v l a n ，每个支持8 0 2 1 q 协议的主机或设 备在发送数据报文时，都会包含这个域，用以指明自己所在的v l a n 。 c f i ( c a n o n i c a lf o r m a ti n d i c a t o r ) ：这一位主要用于总线型的以太网与f d d i ，令 牌网交换数据时的帧格式。 p r i o r i t y ：这3 位指明帧的优先级，在实现q o s 中有重要作用，共有8 个优先级， 对应数据包出1 ：3 的o 一7 队列，其中7 队列优先级最高，当数据包进入交换设备，对 与没有指定包优先级的报文，默认送到0 队列，交换设备可以根据需要改写包的优 先级，进而实现对报文的控制。 2 3 18 0 2 1 0 的功能和工作流程 图2 - 28 0 2 1 q 定义的v l a n 基本转发流程 6 v l a nt a g g i n g ：8 0 2 1 q 的帧类型可以分为t a g g e d 、p r i o r i t y t a g g e d 和u n t a g g e d - - - 种， 8 0 2 1 q 端口类型可以分为标记端口( t a g g e d ) 和非标记端口( u n t a g g e d ) 。其中u n t a g g e d 和p r i o r i t y t a g g e d 类型的帧不包含v l a n 信息，p r i o r i t y t a g g e d 类型帧用于标记q o s 中的 帧转发优先级；u n t a g g e d 帧是默认的标记模式。 9 塑塞坚皇兰堕堡! ：竺! 塑生兰竺丝兰 苎：；! 生垫旦垫望! 坚! 如果在应用环境中包括不支持i e e e8 0 2 i qv l a n 标准的工作站，那么就需要采用此模 式。非标记v l a n 端口可以接收标记过的数据帧，可是从v l a n 中非标记端口转发出去的数据 帧都是没有标记的。t a g g e d 帧根据i e e e8 0 2 i q 标准，对v l a n 的数据帧进行了封装，并且 做了标记。在这种模式中，数据帧的头部标识了该帧所属的v l a n 。在同一个v l a n “p ，数据 帧既可以标记，也可以不标记。v l a n 中没有标记的端口不能插入标记，但是它可以识别标 记过的数据帧。只有在i e e e8 0 2 i q 环境中使用v l a n 的这一模式。当系统中存在被不同的 v l a n 共享的端口时，用户必须采用标记。对于基于端口的v l a n ，也必须使用标记，以便区 分共享的端口。终端工作站、路由器和交换机等连接到标记端口的设备都必须支持i e e e 8 0 2 1 0 标准。每个端口可以在不同的v l a n 中，并可以分别是u n t a g g e d 非标记的和t a g g e d 标 记的。 p v i d ：每一个8 0 2 i q 属性的端口都有一个默认v l a ni d ，又称作p v i d ( p o r tv l a ni d ) ， 接收到的未标记帧，使用p v i d 进行标记，然后转给交换进程处理。接受到标记帧，按照报文 带有的v l a ni d 转给交换进程处理。对于入端口来说，收到的普通报文( 无8 0 2 1 q 标签) 会被自动加入p v i d 标签，表示该报文是属于p v i d 所指定的v l a n ：收到的带有8 0 2 i q 标 签的报文则根据报文中的标签判断该报文所属的v l a n 。然后，交换机或路由器根据v l a ni d 和其它必要信息进行转发或路由。如果出端口为u n t a g 端口，则去掉标签还原成普通的无 标签报文发送：如果出端口为t a g 端口，则还需检查报文的标签是否和出端口的p v i d 一致。 如果一致，则去掉报文的标签还原成普通的无标签报文发送；否则原样将带有标签的报文 发出。i e e e 8 0 2 1 0 协议定义了转发的i n g r e s sr u l e 和e g r e s sr u l e 。 i n g r e s sr u l e 入口规则。i n g r e s sr u l e 判断接收到的帧是否带有v l a n 标签，并区 分报文所属的v l a n ，每个端口拥有一个i n g r e s sr u l e ，如果i n g r e s sr u l e 仅仅接 收t a g g e d 帧，交换端口将丢弃所有的不带标签的帧，否则i n g r e s sr u l e 允许通过 t a g g e d 帧和n o n t a g g e d 帧。 a 如果接收到t a g g e d 帧，i n g r e s sr u l e 判断v l a n 是否存在，如果v l a n 不存在， 有两种行为决定数据包的转发，丢弃或者送给交换进程转发：如果端口接收到的 帧所属v l a n 在其成员集合中并不包含该入口端口，i n g r e s sr u l e 同样可阻丢弃 或者选择送给交换进程转发。 b 如果接收到u n t a g g e d 帧，i n g r e s sr u l e 插入端口默认p v i d ，然后由交换进程转 发。所以所有的帧在通过i n g r e s sr u l e 规则后，送由交换进程转发的报文都是已 i o 随京邮电学院项i j 研究生学位论义 第：辛虚拟局域网v l a n 经带有4 字节标签的t a g g e d 帧。 f o r w a r d i n gp r o c e s s 交换进程。交换进程根据过滤规则决定报文的转发，首先对数 据包的内容检查，并与一个v l a n 配置数据库中的内容比较，该数据库记录静态配置 和动态学习而得到的m a c 地址信息，通常是以m a c + v l a n 作为索引。如果找到( 根 据过滤规则) ，就将该数据帧发送到相应的端口，否则就向v l a n 内所有的端口发送。 如果端口收到的报文中源m a c 地址和目的m a c 地址所在的端口相同，则丢弃该报文。 出端口v l a n 信息保存在f i l t e rd a t a b a s e 中。 f i i t e rd a t a b a s e 过滤规则。f i l t e rd a t a b a s e 存贮并组织v l a n 注册信息，完成从 一个端口交换或者接收数据帧。v l a n 注册信息分为两种，静态的和动态的，静态信 息由网络管理员创建、更新和删除；动态信息由g v r p 协议创建、更新删除，对应动 态v l a n 转发表。f i i t e rd a t a b a s e 包含下面的信息： a v i d ：v i a ni d b p o r t ：支持8 0 2 1 q 协议的交换端口 c a dc o n t r o l ：r e g i s t r a t i o na d m i n i s t r a t i o nc o n t r o l 。有三种a dc o n t r o l ： f o r b i d d e n ( 禁止) ，f i x e d ( 固定) 和n o r m a l ( 常规) 。f o r b i d d e n 表示如果 交换进程转发到此类型出端口，禁止报文从此端口发送出去。f i x e d 表示此类型 的端口是静态注册实体，端口在指定v l a n 内，带有这个v l a ni d 标签的报文从 此端口发送出去。n o r m a l 表示此类型端口是动态注册实体。转发行为有动态v l a n 表决定 6 。 d e g r e s st a gc o n t r o l ：这个信息有e g r e s sr u l e 查询，t a gc o n t r 0 1 只有两种值， t a g g e d 和u n t a g g e d 。如果端口的e g r e s st a gc o n t r o l 值为t a g g e d 。则从此端 口发送的报文带有8 0 2 1 q 标签，否则发送出去的帧没有标签。 e g r e s sr u l e 出口规则，出口规则负责把报文送到出口，并决定是否要剥离8 0 2 1 q 标签，因为有的设备并不支持8 0 2 1 q 协议。 南京邮电学院硕l j 研究生学位论文 第一章虚拟局域网v l a n 2 3 28 0 2 1 0v l a n 链路类型 v l a n a v 乙a n a 图2 - 38 0 2 1 q 链路类型 在8 0 2 1 qv l a n 的设备互连系统环境下，v l a n 端口分为三种类型 1 接入链路( a c c e s sl i n k ) b 接入链路用于将非v l a n 识别( n o n v l a n - a w a r e ) 的工作站或非v l a n 成员资格的设备 连接到一个v l a n 交换机端口的l a n 网段。接入链路不能承载标签分组。a c c e s s 类型 的端口只能在一个v l a n 之内，不能跨多个v l a n ，并且端口在v l a n 内只能是u n t a g g e d 属性的。不能标记。 2 中继链路( t r u n kl i n k ) 中继链路只承载标签分组，它只能支持那些能够理解v l a n t a g g e d 的帧格式和v l a n 成员资格的设备。中继链路最通常的实现就是连接两个v l a n 交换机的链路。中继链 路也可以是一个由多个v l a n 交换机和v l a n 识别( v l a n a w a r e ) 的工作站连接共享的 l a n 网段。与中继链路密切相关的就是链路聚合技术( t r u n k i n g ) ，即在物理上每台 v l a n 交换设各的多个物理端口是独立的，多条链路是平衡的，采用t r u n k i n g 技术， 逻辑上v l a n 交换设备上的多个物理端口就成为一个逻辑端口，多条物理链路为一条 逻辑链路。这样，v l a n 交换设备上的s t p ( s p a n n i n g t r e ep r o t o c 0 1 ) 就不会将物理 上的多条平行链路构成环路中止，而且，带有v l a ni d 标签的数据流可以在多条链路 上同时进行传输共享实现数据流的高效快速平衡传输。t r u n k 类型的端口可以在多 个v l a n 内，并且是以t a g g e d 的方式属于其它v l a n ，一般用于交换和路由设备之间 的互连。 3 混和链路( h y b r i dl i n k ) 混合链路可以同时传输标签的和未标签的分组，并支持v l a n 识别的和非v l a n 识别的 设备。但是一个特定v l a n 的所有帧必须是同一种类型的，即打标签的或未打标签的。 h y b r i d 类型端口也可以在多个v l a n 内，即可以u n t a g g e d 方式，也可以为t a g g e d 方 1 2