虚拟局域网VLAN课件

1Mlx2010第77.1引言7.2VLAN基础知识7.3VLAN网桥的运行原理7.4VLAN协议格式7.5VLAN的配置7.6VLAN之间的通信7.7VLAN和以太网技术在城域网中的应用7.8小结2Mlx2010年秋冬7.1引言大型桥接式LAN存在的问题用高效网桥/交换机能组建较大型的LAN由网桥/交换机组建的LAN仍属于同一个广播域随着LAN规模的扩大，出现了难以解决的问题：广播风暴安全问题本章将针对这一问题切入，深入讨论：802.1Q标准——VLAN技术，解决广播风暴问题VLAN及以太网技术在城域网中的扩展应用3Mlx2010年秋冬7.1引言VLANVirtulLocalAreaNetworkVLAN标准最初的版本：IEEE802.1Q-1998目前的版本：IEEE802.1Q-20055Mlx2010年秋冬7.2.1VLAN产生的背景产生广播风暴原因在桥接式LAN中，任何一个站发出的广播帧都会传遍整个物理网宿地址没在MAC表中的帧会扩散到整个物理网网桥/交换机为维持生成树定期发送BPDU也会在全网扩散广播风暴的影响降低网络性能：有效带宽、吞吐率下降，帧的转发时延增大增加了安全隐患：有些敏感的数据不应该传送到无关的地方

解决方法：突破一个广播域的设想划分子网（在TCP/IP课程中讲）在第二层划分VLAN（本章内容）交换机站交换机交换机站站站6Mlx2010年秋冬7.2.2VLAN的概念什么是VLAN（VirtualLAN）？将一个交换式网络划分为多个相互独立的虚拟物理网络这些逻辑上虚拟的物理网络称为VLANVLAN之间相互逻辑隔离，不同VLAN成员之间不能直接通信VLAN之间的通信只能通过L3或更高层VLAN划分的特点通过交换机的命令配置划分VLANVLAN的划分可以跨越交换机同一VLAN的成员物理上可以位于不同地方一个站点可以同时属于多个VLAN7Mlx2010年秋冬7.2.2VLAN概念VLAN划分前后图例VLAN划分前站点均位于同一广播域所有站点均可直接通信VLAN划分后一个物理网划分成VLAN2和VLAN3形成两个独立的广播域VLAN之间不能通信VLAN之内可以通信以太网交换机以太网交换机VLAN2VLAN39Mlx2010年秋冬7.2.2VLAN的概念——

分类基于端口的VLANPort-basedVLAN指定交换机的各个端口归属于某一个VLAN为端口指派VLANID（PVID，PortVLANID）按端口物理位置划分的VLAN静态划分，不会随站点接入的端口而变交换机的一个端口可同时属于多个VLAN最简单，却是得到最广泛应用的VLAN类型10Mlx2010年秋冬7.2.2VLAN的概念——

分类基于MAC地址的VLAN根据MAC地址对VLAN分类MAC帧只会发送到站点宿站点，安全性好配置繁琐基于协议的VLAN根据高层协议对VLAN分类可能出现物理位置重叠VLAN这些分类方式均很少应用11Mlx2010年秋冬7.2.3VLAN相关术语VLAN标识符帧类型VLAN知晓与VLAN非知晓VLAN链路独立学习与共享学习13Mlx2010年秋冬7.2.3VLAN术语——

帧类型在VLAN中，帧类型包括三种：无标帧：untaggedframe也称基本MAC帧如802.3的基本MAC帧有效字段64-1518八位组优先级加标帧:priority-taggedframe802.1Q协议格式在基本MAC头部增加4个八位组增加头部中，仅含优先级，无有效VID的802.1Q帧VLAN加标帧（:VLAN-taggedframe802.1Q协议头部中，既有优先级又含有效VID的帧14Mlx2010年秋冬7.2.3VLAN术语——

VLAN知晓与非知晓VLAN中的设备可分为两类VLAN知晓设备：VLANawareVLAN非知晓设备：VLANunawareVLAN知晓设备能意识到VLAN的存在识别VLAN加标帧并予以适当的处理同时也能适当处理非加标帧VLAN知晓设备通常是支持VLAN协议的交换机支持VLAN协议的服务器15Mlx2010年秋冬7.2.3VLAN术语——

VLAN知晓与非知晓VLAN非知晓设备：VLANunaware不能意识到VLAN的存在不能识别VLAN加标帧VLAN知晓设备可以是：不支持VLAN协议的交换机透明转发有效帧帧长度64－1518字节，效验正确虽不能识别加标帧，但仍能透明转发加标帧（长度不能超1518字节）不认识VLAN，不能加标、去标，只能透明转发普通的PC机不能识别加标帧，直接将加标帧丢弃。17Mlx2010年秋冬7.2.3VLAN术语——

VLAN链路主干链路：TrunkLink通常用于互连VLAN交换机用于跨交换机传递多个VLAN的信息主干链路上传送的是VLAN加标帧接入链路：AccessLink通常用于将无知晓设备接入VLAN接入链路上只能传送的是无标帧混合链路：HybridLink（略）18Mlx2010年秋冬7.2.3VLAN术语——

VLAN链路主干链路（Trunk

link

）连接运行VLAN协议的设备（通常是运行VLAN协议的交换机）主干链路的特点主干链路的端口可能属于多个VLAN多个VLAN跨交换机共用同一链路实现中继VALN交换机VLAN交换机VLAN2VLAN3Trunk

link

可属于VLAN1、2、3V1为defaultVLAN）19Mlx2010年秋冬7.2.3VLAN术语——

VLAN链路接入链路（access

link

）将VLAN非知晓设备接入VLAN交换机接入链路的特点链路只能收发无标帧链路上的VLAN入端口只属于1个VLANPCVALN交换机PCPCPCPC接入链路VLAN非知晓交换机21Mlx2010年秋冬7.2.4

VLAN网桥协议结构VLAN网桥与普通网桥体系结构比较高层实体（STP、RSTP、网管、……）MAC

实体MAC实体MAC中继实体E-ISSE-ISSMAC服务用户MAC服务用户MSAPMSAP高层协议（STP，RSTP，网管……）MAC

实体MAC中继实体ISSISSLLC实体LLC实体MSAPMSAPMAC

实体普通网桥：ISS（内部子层服务）VLAN网桥：E-ISS（增强的内部子层服务）22Mlx2010年秋冬7.2.4

VLAN网桥协议结构E-ISS：增强内部子层服务是ISS的增强，增加了帧的加标去标功能定义了VLAN知晓网桥中的MAC服务支持VLAN中继功能VLAN知晓网桥就是支持这些功能的网桥E-ISS服务定义的单元数据原语是EM_UNITDATA.indicationEM_UNITDATA.request参数主要包括DA/SA、MSDU、用户优先级、VLANID23Mlx2010年秋冬7.3

VLAN网桥运行原理VLAN网桥与普通网桥运行原理基本一致运行的要素也涉及帧接收与帧发送转发过程学习过程但VLAN网桥与普通网桥对帧的处理有区别本节主要讨论两者的区别，其他细节参见教材25Mlx2010年秋冬7.3

VLAN网桥运行原理入口规则符合以下规则的帧将被允许入口，否则丢弃接收到帧与收端口配置的帧类型相符接收到帧的VLANID与收端口配置的VLANID相符出口规则符合以下规则的帧将被允许出口（转发），否则丢弃需要发送的帧与发端口配置的帧类型相符需要发送的帧的VLANID与发端口配置的VLANID相符26Mlx2010年秋冬7.3

VLAN网桥运行原理——帧处理案例

设两交换机均运行VLAN协议，且MAC表空，H1向H5发送一帧SW1处理:p1属V3收到无标帧，宿地址不在V3表中，向p2、p4转发，其中向p4转发帧加标记，然后在V3中添加MAC(1)表项SW2处理:p3收到V3加标帧，宿地址不在V3表中，删除标记后向端口2转发，然后在V3中添加MAC(1)表项VLANSW1123H1H2H3V3

VLANSW212H4H543V229Mlx2010年秋冬7.4VLAN协议格式—标记字段TPIDVLANIDPCFI

用以标识加标帧的类型

81-00表示802.1QTagType即VLAN协议3bits1bit12bitsTCI：TagControlInformation

2个八位组TagProtocolIdentifie2个八位组优先级：3位，

0～7共8个等级不同设备支持优先级的等级数有差异优先级高的帧先发出

用一个12位无符号二进数表示

0：nullVLANID，则该帧是用户优先级帧

VLAN加标帧的标志头中必须有非空VLANID1：defaultVLANID基于端口

VLAN默认值，可由网管改变FFF：保留有效范围：1～409430Mlx2010年秋冬7.5VLAN的配置7.5.1根据需要划分VLAN7.5.2组建VLAN的条件7.5.3基于端口VLAN的实现7.5.4VLAN之间的通信31Mlx2010年秋冬7.5.2组建VLAN的条件组建VLAN的条件VLAN通常是基于交换式以太网的因此组建VLAN需要至少一个，或多个以太网交换机以太网交换机必须支持VLANtrunk协议802.1Q（IEEE标准）ISL（Cisco专用协议，仅对Cisco交换机互联有效）注意交换机支持VLAN的数目因设备而异32Mlx2010年秋冬7.5.3基于端口VLAN的实现

需要对支持VLAN协议的交换机进行配置先创建VLAN，设置VLANID在每台VLAN交换机手动配置VLAN（Cisco交换机也可利用VTP域，只在一台交换机上手动创建VLAN，在同一VTP域的其他交换机自动学习已创建的VLAN）再对交换机端口进行配置portmodeforeachportTrunkmodeOr:AccessmodeVLANIDforeachportVLANtrunkprotocoltypefortrunkport）（不同商家交换机互连时，trunk链路的端口必须配置相同的协议：802.1Q）33Mlx2010年秋冬案例1：单交换机基于端口的VLAN配置需要配置内容如下（假设所有H为VLAN非知晓的）VLAN交换机

12345H1H2H3H4H5V2

V3portPortmodeVLANIDFrametype1、2、34、5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）案例2：VLAN中继配置

交换机1port5和交换机2port3分别设置为：trunkmode，VLAN2和3，tagged（默认），（trunkprotocol）两交换机其他端口设置，请自己分析完成注意：主干链路必须配置需要中继的所有VLANID

图中如只配置VLAN2，则H6将不能与H1和H2通信VLAN3AccesslinkTrunklinkH2H1H3VLAN交换机1H4VLAN2H5VLAN交换机2H612345312不同商家交换机互连，必须设置为802.1Q。如思科交换机默认为ISL,而非802.1Q。

35Mlx2010年秋冬特殊案例：accesslink站点属于多个VLAN需要配置内容如下（假设所有H为VLAN非知晓的）VLAN交换机

12345H1H2H3H4H5V2

V3portPortmodeVLANIDFrametype1、2、34multiVLAN2、3Untagged5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）Multi端口厂商为了应用方便推出的技术,得到多厂商支持基本特性：一个端口位于多个VLAN

注意：破坏了VLAN严格的逻辑隔离性能可用于：一台服务器为多个PC机服务36Mlx2010年秋冬7.6VLAN之间的通信VLAN之间的通信不同VLAN之间不能直接通信交换机逻辑隔离各个VLANVLAN间的通信，通常在L2以上处理使用路由设备在L3实现VLAN间路由使用应用层网关VALN间路由示例如后37Mlx2010年秋冬路由器多个端口实现VLAN间通信路由器R是一个VLAN非知晓设备不知道VLAN的存在也不知道这两个VLAN来自同一个交换机各个端口连接的是不同的IP子网应用中，路由器的一个端口连接一个VLAN为了路由，每个VLAN均设置为一个IP子网通过路由互连了VLANVLAN2VLAN3VLAN交换机R192.168.1.0192.168.2.0f0/1f0/2Accesslink路由器（或L3交换机）一个端口实现VLAN间通信多个VLAN通过trunk链路连接路由器（L3交换机）一个端口路由器（L3交换机）该端口具有桥接模块，支持VLANtrunk功能需要路由的每个VLAN设置独立的IP子网路由器（L3交换机）的f0/1口知晓VLAN存在f0/1.1子接口对应VLAN2，f0/1.2子接口对应VLAN3各VLAN的端站IP网关分别指向所属VLAN的子接口VLAN2VLAN3VLAN交换机L3SW192.168.1.0192.168.2.0f0/1trunklink(VLAN2、VLAN3f0/1.2192.168.2.1f0/1.1192.168.1.139Mlx2010年秋冬VLAN与IP子网的讨论VLAN通过L2交换机划分，是L2层概念VLAN是逻辑网络交换机逻辑隔离各个VLAN不同VLAN的成员之间不能直接通信IP子网通过L3交换机或路由器划分，是L3层概念当VLAN间需要路由时每个VLAN必须对应设置一个独立的IP子网这完全是因为路由的需要！但一个VLAN并非就是一个IP子网！40Mlx2010年秋冬7.7以太网与VLAN技术在城域网中的扩展问题的提出7.7.1802.1ad7.7.2802.1ah41Mlx2010年秋冬7.7VLAN与以太网技术在城域网中的扩展问题的提出技术发展促进VLAN和以太网技术向城域应用发展然而VLAN和以太网技术原本是针对局域网环境的无法满足电信级运营的城域网要求，如：VLAN数量的限制用户网络与运营商网络的隔离QoS保障……于是，802委员会提出了两个新的规范802.1ad802.1ah42Mlx2010年秋冬7.7.1802.1ad（QinQ技术）802.1ad技术的引入802.1ad的基本思想802.1ad的网络结构802.1ad的协议格式43Mlx2010年秋冬7.7.1802.1ad（QinQ技术）802.1ad技术的引入802.1QVLAN技术用于城域网存在先天不足VLAN数量最多4094个用户与运营商统一划分VLAN，无法隔离用户数量受制约、存在安全隐患等为解决802.1Q的上述问题，提出802.1ad802.1ad于2006年5月发布44Mlx2010年秋冬802.1ad技术的基本思想802.1ad是基于802.1Q技术提出的基本思想：定义运营商网桥及运营商桥接LAN运营商桥接LAN与用户LAN完全独立运营商和用户分别独立管理各自的网络运营商网络：802.1ad用户网络：802.1Q使运营商服务VLAN与用户VLAN完全独立采用QinQ技术，通过运营商网络实现用户VLAN流量在城域内的透明传输QinQ:在802.1Q加标帧基础上在加封一个802.1ad的标志头802.1ad的网络结构802.1Q加标帧PBVLAN10SW区域A1：用户ALAN运营商桥接LAN（PB：运营商网桥）PBPBPBPBVLAN10SWVLAN20VLAN20SW区域A2：用户ALAN区域A3用户ALAN802.1adQinQ加标帧802.1Q加标帧802.1Q加标帧用户1LAN用户1LAN用户2LAN用户2LAN运营商桥接LAN802.1ad用户LAN：传送802.1Q加标帧运营商LAN:

传送QinQ加标帧46Mlx2010年秋冬802.1ad的协议格式C-tag:用户VLAN标志，QinQ加标帧的内层标志，即802.1Q的加标帧头

S-tag：运营商VLAN标志，QinQ加标帧的外层标志，即802.1ad的加标帧头47Mlx2010年秋冬7.7.2802.1ah（MACinMAC技术）802.1ah技术的引入802.1ah的基本思想802.1ah的网络结构48Mlx2010年秋冬7.7.2802.1ah（MACinMAC技术）802.1ah技术的引入802.1ad技术用于城域网的局限性虽然能够隔离用户VLAN和运营商VLAN但运营商网桥仍会学习用户MAC地址，运营商不能隔离用户MAC运营商VLANID为12位，运营商的服务VLAN数受限，不利规模发展为解决802.1ad的上述问题，提出802.1ah草案49Mlx2010年秋冬802.1ah技术的基本思想802.1ah是基于802.1ad技术提出的基本思想：定义运营商主干网桥、运营商主干桥接LAN、主干MAC地址（B-MAC)、主干VLAN（B-VLAN)MACinMAC：在QinQ加标基础再次加标不仅使运营商桥接LAN与用户LAN完全独立，并使运营商MAC与用户MAC完全隔离，实现运营商网络与用户网络独立寻址层次性MAC结构克服了平面型MAC可能带来的大范围广播风暴。该技术将服务实例由802.1ad的212提高到22450Mlx2010年秋冬802.1ah的网络结构运营商桥接LAN（802.1ad）用户ALAN运营商主干桥接LAN（802.1ah）运营商桥接LAN（802.1ad）用户CLAN用户BLAN用户ALAN运营商桥接LAN（802.1ad）运营商桥接LAN（802.1ad）用户CLAN用户ALAN用户BLAN用户VLAN帧：802.1Q加标帧Q-in-Q加标帧MAC-in-MAC加标帧51Mlx2010年秋冬

本章知识要点小结

理解划分VLAN的原因与目的

理解VLAN概念

组建VLAN的条件

基于端口VLAN的特点VLAN的特点

理解VLAN交换机如何处理帧（能根据实际情况进行分析）VLAN知晓设备与VLAN未知设备

理解VLAN之间如何才能实现通信

主干链路、访问链路

加标帧及作用52Mlx2010年秋冬1、有