第5章控制园区中的广播流量.doc

第5章 控制园区中的广播流量局域网作为当今网络不可或缺的组成部分在网络应用中扮演着举足轻重的角色，但局域网内主机数的日语增加带来了冲突、带宽浪费、安全等局域网普遍存在的问题。同常，据用通过子网划分才可以隔离广播，但是VLAN的出现打破了这个定律，用二层的东西解决三层的问题很是奇怪，但是的确做到了。VLAN功能是衡量局域网交换机的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。本章将详细讲解VLAN技术在网络中的应用。5.1 VLAN概念VLAN(Virtual Local Area Network)即虚拟局域网，它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段的技术。这里的网段仅仅是逻辑网段的概念，而不是真正的物理网段。可以将VLAN简单地理解为是在一个物理网段上逻辑地划分出来的逻辑网段。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VALN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。VALN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VALN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。可以根据网络用户的位置、作用、部门或是根据网络用户所使用的应用程序和协议来进行分组，网络管理员通过控制交换机的每一个端口来控制网络用户对资源的访问，同时VLAN和第三层第四层的交换结合使用能过为网络提供较好的安全措施。5.1.1 VLAN产生的原因VLAN产生的原因主要有以下几个方面。1. 基于网络性能的考虑传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的宽带:而且对广播风暴和网络安全只能在第三层的路由器上实现。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的范围，并能过形成虚拟工作组，动态管理网络。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题，提高网络性能。2. 基于安全的考虑在企业或者校园的园区网络中，由于地理位置和部门的不同，而对网络中相应的数据和资源就有不同的权限要求，例如财务和人事部门的数据就不容许其他部门的人员看到或者侦听截取到，以提法哦数据的安全性。那么在普通为二层设备上无法实现广播帧的隔离，只要人员在同一个基于二层的网络内，数据、资源就有可能不安全。利用VLAN技术的限制不同工作组的用户二层之间互访，这个问题就可以得到很好的解决。3. 基于组织结构的考虑VLAN技术允许网咯管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN,即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是无力划分，所以同一个VLAN内的各个工作站无需放置在同一个物理空间里，只要按照不同部门划分虚网，这样就可以满足在大中小企业和校园网中，避免地理位置的限制来实现组织结构合理化分布。5.1.2 VLAN标准1. 802.1Q标准在1996年3月，IEEE802.1 Internet Working委员会结束了对VLAN初期标准的修订工作。新标准进一步完善了VLAN体系结构，统一了Frame-Tagging方式中不同厂商的标签格式，并制定802.1QVLAN标准。IEEE802.1Q使用4Bytes的标记头定义TAG（标记），4Bytes的TAG头包括2Bytes的VPID(VLNA Protocol Identifier)和2BytesVLC(VLAN Control Information)。其中TPID是固定的数值0X8100。标志该数据帧承载802.1Q的Tag信息。VCL包含组件：3bits用户优先级；1bit CFI(Canonical format Indicator)，默认值为0；12bit的VID(VLAN Identifer)VLAN标记符。最多支持250个VLAN（VALANID 1-4094）,其中VLAN1是不可删除的默认VLAN。说明:802.1Q帧中的FCS加入802.1Q帧标记后重新利用CRC校验后的检测序列。2 . VLAN 的优点VLAN具有以下的优点：控制网络的广播风暴采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其他VLAN的性能。 确保网络安全共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VALN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某个设备的MAC地址，因此VLAN能确保网络的安全性。 简化网络管理，提高组网灵活性网络管理员能借助VALN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作网络，其成员可能遍及全国或全世界，此时，网络管理员只需要设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像使用本地使用局域网一样。5.2 VLAN的种类下面将现今业界公认的几种VLAN划分方法分组进行介绍。根据定义VALN成员关系的方法的不同，因厂家各异VALN可以分为6种，依次为：（1） 基于端口的VLAN（Port-Based）（2） 机遇协议的VLAN(Protocol-Based)（3） 基于MAC层分组的VLAN（MAC-Layer Grouping）（4） 基于网络层分组的VLAN(Network-Layer Grouping)（5） 基于IP组播分组的VLAN（IP Multicast Grouping）（6） 基于策略的VLAN（Policy-Based）不同种类的VLAN适用于不同的场合。5.2.1 基于端口的VLAN基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，它实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。这种划分VLAN的方法是根据以太网交换机的端口来划分，例如Star 1926G+的3-8端口为VLAN10，19-24为VLAN 20。这些属于同一VALN的端口可以不连续，即同一VALN可以跨越数个以太网交换机，根据端口划分是目前定义VALN的最广泛的方法，IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。它的优点是如果某VLAN的用户离开了原来的端口，到了一个新的交换机的某个端口，就必须重新定义。如图5-1所示。图5-1 基于端口的VLANPort VLAN 和Tag VLAN锐捷网络的交换设备上VLAN的分类依据端口的模式而分为port VLAN和Tag VLAN两类，其实质可以理解为是基于端口的划分方式。因为在锐捷网络交换机上定义端口有两种模式：Access和Trunk。前者是该端口只属于一个VLAN，所属的VLAN需要手工设置。后者则是该端口属于多个VLAN，可以透明传输交换机上所有VLAN的帧，作为跨交换机的VLAN间传输数据用。Trunk端口默认是属于交换机上所有VLAN的，但可以通过设置许可VLAN列表来加以限制。5.2.2基于协议的VLAN基于协议的VLAN，是通过区分承载数据所用的三层协议来确定VLAN的成员。然而这需要工作在一个多类型协议的环境下，在一个主要以IP为基础的网络上，这种方法不是特别实用。5.2.3 基于MAC层分组的VLAN按MAC地址来划分VLAN实际上是将某些工作站和服务器划分属于某个VLAN。事实上，该VLAN是一些MAC地址的集合。网络管理员需要管理和配置设备的MAC地址，这种划分VLAN的方法的最大的优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，该方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置起来是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。5.2.4 基于网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型如果支持多协议）划分的，虽然这种划分方法是根据网络地址，例如IP地址，但它不是路由，与网络层的路由器无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行交换，优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且强以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，不需要附加的帧标签来识别VLAN这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的。5.2.5 根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。5.2.6 基于策略的VLAN基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备有关）：（1） 按MAC地址。（2） 按IP地址。（3） 按以太网协议类型。（4） 按网络的应用等。5.3 VLAN内及VLAN间通信在交换机上划分VLAN后，可以隔离广播域，减小冲突域，这不但提高了网络的性能安全，而且给网络定员带来很大的便利。那么VLAN内及VLAN间是怎样通信，怎样传输数据帧的呢？5.3.1 VLAN内通信1、Port VLAN 成员端口间通信Port VLAN是基于端口的VLAN，处于同一VLAN内的端口之间才能相互通信，可有效的屏蔽广播风暴，并提高网络安全性。假设在二层交换机上划分端口2、22属于VLAN1，端口6、19属于VLAN2。那么VLAN1和VLAN2各自所属的端口间通信方式和一般的交换机一样，在未建立完整的MAC地址表之前，就将该帧广播到VLAN的各个端口上，只有目的地的工作站接受数据帧，别的端口则丢弃，同时交换机维护更改MAC地址表以后，相同VLAN里的成员端口间交换数据直接按地址对应的端口转发，而不必再将数据帧广播出去。2、Tag VLAN成员端口间通信8021Q协议使跨交换机的相同VLAN端口间通信成为可能。基于8021agVLAN用VID来划分不同的VLAN，当数据帧通过交换机的时候，交换机根据帧中TAG头（Tag Header）的VID信息来认识别它们所在的VLAN（但是若帧中无TAG头，则应用帧所通过端口的默认VID信息来识别它们所在的VLAN），这使得所有属于该VLAN的数据帧，不管是单址帧、多址帧还是广播帧，都将限制在该逻辑VLAN中传播。这将使组中主机之间能够相互彼此通信，而不受其他主机的影响，就像它们存在于单独的VLAN中一样。假设在两台Star1926G+上分别划出两个VLAN：VLAN1和VLAN2，分别设置第一台的第24接口及第二台的第4接口为trunk模式，作为两台交换机的级联口。那么PC1和PC2属于VLAN1，PC3和PC4属于VLAN2。PC1要给PC2发送数据，必须跨两台交换机。当PC1发送数据时，在进入交换机端口之前，数据的头部并没有被加入Tag标识，只有当数据进入交换机端口以后，数据的头部首先被加入该端口所属的VID，这时交换机就按照目的地址转发，在VID=1的VLAN中广播该帧，但第一台交换机上没有连接PC2，所以数据只能发往通向潜在连接PC2的级联端口24。该口是一个Taged 口，当数据从Taged端口转发时，即加入Tag标识（tag=1）,此时的PCI发出的数据帧已经带上了Tag标识。数据流向第二台交换机的级联口4，在端口4上会根据Tag标识来将此在VLAN1中广播出去，根据MAC地址连接PC2的端口就会收到该数据帧，端口4取掉TAG标识后，转发该数据帧到PC2。这样就完成了跨交换机的VLAN内通信。同理PC2也可以发给PC1，PC3与PC4之间也可以实现数据通信。5.3.2 VLAN间通信在一般的二层交换机组成的网络中，VLAN实现了网络流量的分割，不同的VLAN实现了网络流量的分割，不同的VLAN间是不能互相通信的。如果要实现VLAN间的通信必须借助路由来实现。一种是利用路由器，另一种是借助具有三层功能的交换机。1、 利用路由器实现VLAN间通信利用路由器进行VLAN间路由时，与构建横跨多台交换机的VLAN时的情况类似，还会遇到“该如何连接路由器与交换机”的问题。当每个交换机上只有一个VLAN时，只需在路由器上设置静态路由就可以实现三个VLAN间的通信。当每个交换机上有多个VLAN时与路由器的连接方法大致有以下两种：（1） 将路由器与交换机上的每个VLAN时分别连接。路由器互联的每个端口设为访问链接，然后分别用网线与路由器上的独立端口互联。如图5-2所示，交换机上有3个VLAN，那么就需要在交换机上预留3个端口用于与路由器互联；路由器上同样需要有3个端口；两者之间用3条网线分别连接。但是用这种方法每增加一个新的VLAN，都需要消耗路由器的端口和交换机上访问链接，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销，所以这种方法不实用。图5-2 路由器与VLAN互联 a （2） 不论VLAN有多少个，路由器与交换机都只用一条网线连接，如图5-3所示。图5-3 路由器与VLAN互联 b不论VLAN数目多少，都只用一条网线连接路由与交换机，这需要用到干道链路。首先将用于连接路由器的交换机端口设为干道链路，而路由器上的端口也必须支持干道链路。用于干道链路的协议也必须相同。然后在路由器上宣言对应各个VLAN的“子接口（Sub Interfance）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。VLAN将交换机从逻辑上分割成了多台，因而用于VLAN间路由的路由器，也必须拥有分别对应各个VLAN的虚拟接口（SVI），作为各个VLAN成员的网关。这样各个VLAN之间就可以利用路由器来实现数据交换。（3） 利用三层交换机实现VLAN间通信三层交换机，本质上就是带有路由器功能的（二层）交换机。第三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，不仅使第二层与第三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及其他各种功能。在一台三层交换机内，分别设置了交换机和模块和路由器模块；而内置的路由模块与交换模块类似，也使用ASIC硬件处理路由。因此，与传统的路由器相比，可以实现高速路由。并且，路由与交换模块是汇聚链路的，由于是内部连接，可以确保相当大的带宽。我们可以利用三层交换机的路由功能来实现VLAN间的通信。假设在二层交换机上分别划分VLAN10和VLAN20，VLAN10的工作站IP地址为19216811；VLAN20的工作站IP地址为19216821。那么不同VLAN间怎么不利用路由器来实现VLAN间的互访的呢？具体实现方法是：在三层交换机上创建各个VLAN的虚拟接口（SVI），并设置IP地址。然后将所有VLAN连接的工作站主机的网关指向该SVI的IP地址即可。过程是在三层交换机上划分VLAN10和VLAN20，并设置其IP地址分别为192168110和192168210，然后将二层交换机的LAN10里的工作站网关设为19216821，VLAN20里的工作站网关设为192168210。这样就利用三层交换机的虚拟接口（SVI）实现了不同虚网间的通信。5.4 配置VLAN实例在对交换机进行配置VLAN之前，先介绍对交换机访问的几种方式。（1）、通过宽对交换机进行管理（PC与交换机控制口直接相连）。（2）、能过Telnet对交换机进行远程管理。（3）、通过Web对交换机进行远程管理。（4）、通过SNMP工作站对交换机进行远程管理。第一种方式是通过超级终端就可以管理交换机最直接的方法，后面三种方式均要通过网络传输，可以根据需要来允许用户通过网络利用一种或几种来访问交换机。也可以禁用这三种访问方式。配置VLAN大致有以下几个步骤：（1） VLAN配置分析规划，解决配置什么的问题。（2） VLAN的具体配置，实现在交换机上配置（3） VLAN配置信息的查看、修改，确保配置合理正确。（4） VLAN配置信息的保存。VLAN是以VLAN ID来标识。在交换机上可以添加、删除、修改VLAN2VLAN4094。而VLAN1则是由交换机自动创建，并且不可被删除。可以使用interface配置模式来配置一个端口的VLAN成员类型、加入、移出一个VLAN。 5.4.1 Port VLAN的配置在特权模式下，通过如下步骤，可以创建或者修改一个VLAN。（1） configure terminal 进入全局配置模式。（2） vlan vlan-id 输入一个VLAN ID。如果输入的是一个新的VLAN ID，则交换机会创建该VLAN，如果输入的是已经的VLAN ID，则修改相应的VLAN。（3） name vlan-name (可选) 为VLAN取一个名字。如果没有进行这一步，则交换机会自动为它起一个名字VLANxxxx，其中xxxx是用0开头的四位VLANID号，例如，VLAN 0004的默认名字。如果想把VLAN的名字改回默认，输入no name 命令即可。（4） End 回到特权命令模式。（5） Show vlan id vlan-id 检查一下您刚才的配置是正确。（6） Copy running-config startup config 将配置保存进配置文件中。下面这个例子创建VLAN100，并将它命名为testr的例子。Switch# configure terminal Switch (config)# vlan 100Switch (config-vlan) # name test Switch (config-vlan) # end 在特权模式下，使用如下步骤可以删除一个VLAN，但不能删除默认VLAN（VLAN1）。（1） configure terminal 进入全局配置模式。（2） no vlan vlan-id 输入一个VLANID，删除它。（3） end 回到特权命令模式（4） show vlan 检查下下是否正确删除（5） copy running-config startup config向VLAN分配Access端口。如果把一个接口分配给一个不存在的VLAN，那么这个VLAN将自动被创建。在特权模式下，利用如下步骤可以将一个端口分配给一个VLAN。（1） configure terminal 进入全局配置模式。（2） Interface interface-id 输入想要加入VLAN的interface id。（3） Switchport mode access 定义该接口的VLAN成员类型（二层ACCESS口）。（4） Switchport access vlan vlan-id 将这个接口分配给一个VLAN。（5） end 回到特权命令模式。（6） Show interfaces interface-id switchport 检查接口的完整信息。（7） Copy running-config startup config 将配置保存进配置文件。下面这个例子把ethernet0/10作为access口加入到VLAN test中。switch# configure terminalswitch (config) # interface fastethernet0/10switch (config-if) # switchport mode accessswitch (config-if) # switchport access vlan 100switch (config-if) # end下面这个例子显示了如何检查配置是否正确。Switch# configureinterfaces fastethernet0/1 switchportInterface Switchport Mode Access Native Protected VLAN listsFa0/1 Enabled access 1 1 Enabled All5.4.2 Tag VLAN的配置1、 配置VLAN TrunksTrunk可以在一条链路上传输多个VLAN的流量。Ttunk采用8021Q标准封装。可以把一个普通的以太网端口，如果要把一个接口在ACCESS模式和TRUNK模式之间切换，用switchport mode命令：switchport mode access, 将一个接口设置成为Trunk，模式。作为Trunk，该端口要属于一个native VLAN。所谓native VKAN，就是指在这个接口上收发的UNTAG报文，都被认为是属于这个VLAN的。显然，这个接口的默认BLAN ID(即IEEE802.1Q中的PVID)就是native VLAN的VLAB ID。同时，在Ttunk上发送属于native VLAN的帧，则必然采用UNTAG的方式。每个Trunk口的默认native VLAN是VKAN 1。配置Trunk链路时，要确认连接链路两端的Trunk口属于相同的native VLAN。二层接口的默认模式是Access模式。 在特权模式下，利用如下步骤可以将一个接口配置成一个Trunk口。（1） configure terminal进入全局配置模式。（2） interface interface-id输入想呀id配成Ttunk口的interface id。（3） switchport mode trunk 定义该接口的类型为二层Trunk口。（4） switchport trunk native vlan vlan-id这个口指定一个nativeVLAN。（5） end回收特权命令模式。（6） show interfaces interface-id switchport检查接口的完整信息。（7） show interfaces interface-id trunk显示这个接口的trunk 设置。（8） copy running-config startup config 保存配置文件。使用no switchport trunk 接口配置命令，则将一个Trunk口的所有Trunk相关属性都复位成默认值。2.配置VLAN Tag VLAN 的配置方法和Port VLAN的配置方法一样，此时VLAN中的端口会自动加入Trunk口。只需手动加入其他配置中该VLAN的端口即可。3.定义Trunk口的许可VLAN列表Trunk口默认可以传输交换机支持的所有VLAN（14094）的流量。但是也可以通过设置Trunk口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk 口。在特权模式下，如下步骤可以修改一个Trunk口许可VLAN列表：（1） cinfigure teerminal进入全局模式。（2） interface interface-id输入要修改许可VLAN列表的Trunk口的端口号。（3） switchport mode trunk 定义该接口iude类型为二层Trunk口。（4） switchport trunk allowed vlan all|add|remove|exceptvlan-list配置这个Trunk口的许可VLAN列表。参数vlan-list 可以是一个VLAN，也可以是一系列VLAN，以小的VLAN ID结尾，中间用“-”号连接。如：10-20。 All的含义是许可VLAN列表包含所有支持的VLAN； add表示将指定VLAN列表加入许可VLAN 列表；remove表示将指定VLAN的所有VLAN加入许可VLAN列表；不能将VLAN 1从许可VLAN列表中移出。（5） end回到特权命令模式。（6） show interfaces interface-id switchpoet 检查接口的完整信息。（7） Copy runing-config startup config 将配置保存进配置文件。使用no switchport trunk allowed vlan 接口配置命令把Trunk的许可VLAN改为默认。下面是一个把VLAN2从端口0/15中移出的例子：Switch (config) # interface fasterthernet 0/15Switch (con