vlan技术的应用分析(胶片PPT课件.ppt

VLAN技术的应用分析 皮晓明 VLAN的发展状况 VLAN的产生为传统的网络注入了新的活力 在网络中引发了一场变革 如何完整正确地诠释VLAN 如何充分更好地使用VLAN 成为新的课题 VLAN发展VLAN协议VLAN应用 VLAN技术的应用与发展 VLAN发展 VLAN发展 起源 L2 L2 L2 L2 广播域 广播报文 VLAN发展 起源 L2 L2 L2 L2 广播域 广播报文 使用路由器隔离广播域 减少广播报文对网络的影响 VLAN发展 起源 L2 L2 L2 L2 广播报文 VLAN的引入 为解决广播报文的泛滥提供了新的方法 VLAN2 VLAN3 VLAN4 一个VLAN 一个广播域 VLAN发展 VLAN的优点 限制广播域 抑制广播报文隔离用户 保证网络安全虚拟工作组 超越传统网络的工作组方式 VLAN发展 划分方法 基于MAC地址基于交换机端口基于协议基于IP子网 VLAN划分方法 基于MAC地址 主机B 主机A 主机C 主机D VLAN10 VLAN20 VLAN30 主机AMAC 主机BMAC 主机CMAC 主机DMAC VLAN信息表 VLAN划分方法 基于交换机端口 主机B 主机A 主机C 主机D VLAN10 VLAN20 端口1 端口2 VLAN信息表 端口1 端口2 端口3 端口4 端口3 端口4 VLAN划分方法 基于协议 运行IPX协议主机B 运行IPX协议主机C 运行IPX协议主机D VLAN10 VLAN20 IP协议 IPX协议 VLAN信息表 运行IP协议主机A VLAN划分方法 基于IP子网 主机B1 1 2 1 主机C1 1 1 2 主机D1 1 2 2 VLAN10 VLAN20 1 1 1 1 1 2 VLAN信息表 主机A1 1 1 1 VLAN发展 VLAN的标准 IEEE802 1Q成为业界的VLAN的标准 VLAN发展 VLAN网络作用 二层交换三层路由 VLAN发展 VLAN与二层交换 MAC 端口 VLAN 一个交换机内的VLAN报文转发 VLAN与二层交换 链路类型 干道链路 接入链路 跨越交换机的VLAN报文转发 Trunk端口 Trunk端口 Access端口 Access端口 VLAN与二层交换 标签化的报文 VLAN10 VLAN10 VLAN20 VLAN20 VLAN20标签报文 VLAN10标签报文 无标签报文 VLAN与二层交换 交换规则 主机和交换机之间传送的是untagged报文交换机之间用干道链路 Trunk 连接交换机用Tag来标识报文所属的VLAN干道链路上传输的是TaggedFrame不同VLAN之间在二层不能相互通讯 VLAN发展 VLAN与三层路由 不同VLAN之间是隔离一个VLAN原则上对应一个IP子网 PVLAN VLAN聚合除外 VLAN之间互通需要三层路由 VLAN与三层路由 单臂路由器 VLAN101 1 1 2 24 VLAN201 1 1 3 24 源IP地址和目的IP地址在不同的VLAN报文的源端口和目的端口是同一个端口路由器在二层更换标签 从同一个端口发送出去 路由器工作在二层 主接口 方式 TRUNK端口主接口地址1 1 1 1 24 VLAN与三层路由 单臂路由器 VLAN10 源IP地址和目的IP地址在不同的VLAN 在路由器上分别属于不同的子接口路由器首先在三层进行路由 找到出端口后 负责更换标签 从出端口发送出去 路由器工作在三层 子接口 方式 子接口地址Eth3 0 0 11 1 1 1 24 子接口地址Eth3 0 0 21 1 2 1 24 VLAN101 1 1 2 24 VLAN201 1 2 2 24 VLAN与三层路由 路由器的瓶颈 传统路由器路由算法复杂 成本高 维护和配置困难 路由器对任何数据包都要有一个 拆打 过程 导致其不可能具有很高的吞吐量 目前网络的流量情况由 80 20分配 向 20 80分配 规则发展 路由器在转发数据方面成为网络瓶颈 VLAN与三层路由 三层交换机 每一个VLAN对应一个IP网段 在二层上 VLAN之间是隔离的 不同的IP网段之间的访问要跨越VLAN 可以使用三层转发引擎提供的VLAN间路由功能 三层转发引擎就相当于传统路由器的路由功能 当VLAN之间相互通信时也要 需要在三层交换引擎上分配一个路由虚接口 三层交换机上的路由虚接口与路由器的接口不同 不特定于某个物理端口 在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址 子网掩码和MAC地址 MAC地址是由设备制造过程中分配的 在配置过程中由交换机自动配置 VLAN VLAN协议 VLAN协议 GVRP GVRP GARPVLANRegistrationProtocol 是一种基于GARP IEEE802 1d 的VLAN注册协议 它为处于同一个交换网内的交换成员之间提供了分发 传播 注册 注销VLAN信息的一种手段 声明 注册 回收声明 注销 GVRP GVRP在交换机上的实现 当GVRP在交换机上启动的时候 每个启动GVRP的Trunk端口对应一个GVRP应用实体 GVRP实体之间的VLAN信息的注册 注销通过具有特定MAC地址的报文交互来实现 GVRP报文类型 JoinLeaveLeaveAll GVRP VLAN的单向注册 VLAN属性会通过GVRP 声明 注册 声明 的过程 将VLAN10承载在JOIN报文中 传播到整个网络域中 注册在相应的启动GVRP的端口上 VLAN10注册 声明 GVRP VLAN的双向注册 GVRP双向的 声明 注册 声明 的过程 在整个网络域 自动形成一个VLAN10的二层通道 VLAN10注册 声明 GVRP VLAN的注销 VLAN属性会通过GVRP 回收声明 注销 回收声明 的过程 承载在LEAVE报文中 传播到整个网络域中 注销在相应的启动GVRP的端口上的VLAN10 VLAN10注销 回收声明 GVRP GVRP注册类型 NORMAL 允许在该聚合端口动态创建 注册和注销VLAN FIXED 允许手工创建和注册VLAN 并且防止VLAN的注销和在其它trunk端口注册此端口所知的VLAN FORBIDDEN 注销除VLAN1之外的所有VLAN 并且禁止在该端口上创建和注册任何其它VLAN GVRP GVRP应用举例 VLAN10 VLAN20 VLAN10 FIXED FIXED FIXED NORMAL VLAN10 VLAN10 VLAN20 VTP VTP应用举例 VLAN10 SERVER SERVER SERVER CLIENT VLAN10 VLAN10 VLAN10 VLAN10 VLAN10 VLAN协议 MSTP MSTP MultipleSpanningTreeProtocol 基于IEEEDraftP802 1s D10MSTP与STP 和RSTP相比 是基于VLAN为生成树实例进行拓扑计算 为每个VLAN生成一个连通的路径MSTP中存在域的概念 域之间运行单生成树 MSTP MSTP与RSTP比较 VLAN10 20 VLAN10 20 RSTP VLAN10转发路径 VLAN20转发路径 MSTP MSTP协议单域应用 VLAN10转发路径 VLAN20转发路径 MSTP MSTP协议多域应用 VLAN应用 VLAN应用 VLAN在交换机上的存在 交换机端口有三种模式 通过相应的配置命令 实现所需的VLAN配置功能 AccessMode 端口以untagged形式属于一个VLAN TrunkMode 端口以tagged形式属于一个或多个VLAN MultiMode 端口以untagged形式属于某些VLAN 同时以tagged形式属于某些VLAN VLAN应用 VLAN在企业网中的应用 VLAN的引入 为企业网用户实现不同企业或同一企业不同部门间的隔离和互通提供了更加灵活的组网方式 下面以商务楼宇为例 说明VLAN在企业网中的应用 企业网 虚拟工作组 商务楼宇内的中心交换机 根据楼宇内不同公司对端口需求 将每个公司所拥有的端口划分到不同的VLAN 实现公司间业务数据的完全隔离 可以认为每个公司拥有独立的 虚拟交换机 每个VLAN就是一个 虚拟工作组 公司A 公司B 公司C VLAN2 VLAN3 VLAN4 企业网 跨交换机虚拟工作组 公司业务发展 部门需要跨越不同的商务楼宇 通过TRUNK端口连接不同楼宇的中心交换机 实现跨不同的交换机的不同公司的业务数据隔离 以及同一公司内业务数据的互通 公司A 公司B 公司C 公司A 公司B 公司C VLAN2 VLAN3 VLAN4 VLAN2 VLAN3 VLAN4 Trunk 企业网 多层级联虚拟工作组 随着商业楼宇内的用户的增多 需要通过级联交换机来达到扩展用户数量的目的 为了继续保证用户的隔离和互通 将在级联交换机间采用TRUNK连接 并且可以运行GVRP或VTP协议 来自动配置各个中心交换机上的VLAN 公司A 公司B 公司C VLAN2 VLAN3 VLAN4 Trunk 公司A 公司B 公司C VLAN3 VLAN4 VLAN2 企业网 虚拟工作组互通 对于不同的公司之间的互通需求 可以通过VLAN间互通来解决 对于VLAN终结在一个三层交换机上的组网方式 可以直接在三层交换机上为每个VLAN配置路由虚接口 实现VLAN间路由 如果不允许VLAN之间互通 则可以配置ACL规则 公司A 公司B 公司C VLAN2 VLAN3 VLAN4 Trunk 公司A 公司B 公司C VLAN3 VLAN4 VLAN2 VLAN2路由虚接口 VLAN2路由虚接口 VLAN3路由虚接口 企业网 虚拟工作组互通 为了管理上的方便 以及分担一定的互通流量 VLAN终结在不同的三层交换机 VLAN间的互通需要三层交换机之间的路由来实现 在交换机上需要配置配置静态路由或运行路由协议 公司A 公司B 公司C VLAN2 VLAN3 VLAN4 Trunk 公司A 公司B 公司C VLAN3 VLAN4 VLAN2 VLAN2路由虚接口 VLAN2路由虚接口 VLAN3路由虚接口 三层路由 VLAN5路由虚接口 VLAN应用 VLAN在园区网中的应用 PVLANVLAN聚合 VLAN应用 PVLAN PVLAN PrimaryVLAN 即私有VLAN优点 节约交换机VLAN的使用数量特点 PVLAN是个纯二层的概念 在单个交换机上配置的VLAN对于其他交换机是不可见的 不能与Trunk同时使用 PVLAN 实现原理 使用两层VLAN隔离的方法 只有上层VLAN全局可见 相当于在一个VLAN内实现用户隔离 达到端口隔离的效果 Primaryvlan5 Primaryvlan6 5 6 1 2 Secondaryvlan10 SecondaryVlan20 PVLAN 组网应用 L3 L2 3 4 Secondaryvlan10 Secondaryvlan10 7 8 骨干网络 IP L3 L3 GK NMS VOD L2 L2 HUB 服务器群 PVLAN应用 VLAN区别业务 根据VLAN来划分业务的接入模式 即用户的数据报文 语音报文 视频报文 管理报文等划入不同的VLAN 同时用VLAN来隔离用户 使用PVLAN与Multi端口相结合 可以满足用户的要求 在终端设备IAD和用户接入交换机端口上通过VLAN设置对业务进行分类和标记 VLAN应用 VLAN聚合 VLANAggregation RFC3069 SuperVLAN SubVLAN概念 在一个物理网络内 用VLAN隔离广播域 不同的VLAN属于同一个子网 优点 节约大量的IP地址 子网地址 广播地址 网关地址 扩展容易 VLAN聚合 工作原理 正常情况下 一个VLAN对应一个IP子网VLAN聚合中 SuperVLAN对应的路由虚接口 作为所有其SubVLAN包含的端口下挂的主机的网关地址 不同SubVLAN下的主机是不能互通的 如果互通 需要在SuperVLAN上配置ARPProxy 2 4 1 Subvlan3 Subvlan2 Subvlan4 3 SuperVLAN1路由接口1 1 1 1 24 LanSwitch IP地址 1 1 1 2 24网关 1 1 1 1 IP地址 1 1 1 3 24网关 1 1 1 1 VLAN聚合 组网应用 ARPProxy L3 L2 SuperVLAN1 商务写字楼 骨干网络 网管 SubVLAN1 SubVLAN2 SubVLAN3 SubVLAN4 SuperVLAN2 VLAN在城域网中的应用 VLAN二层交换平面VLAN三层路由平面 异地局域网互联 局域网异地互联 互联局域网用户划入同一VLAN通过TRUNK端口跨越多层交换机用户可以使用私有地址保证安全 不需要为该VLAN分配路由地址 异地局域网互联 虚拟城域网 虚拟城域网 双Tag交换 vMAN DomainA DomainB 专线用户接入 专线用户接入 一个专线用户属于一个VLANVLAN终结在接入层交换机上在交换机上为该VLAN配置三层路由接口 作为分配给专线用户的网关 专线用户接入 专线用户CIPAddress 199 1 1 专线用户AIPAddress 198 1 1 VLAN100 三层路由平面 VLAN200 专线用户BIPAddress 198 1 2 VLAN100路由接口 198 1 1 1 VLAN200路由接口 198 1 2 1 VLAN100路