(参考2)虚拟局域网vlan.ppt

1、局域网与城域网Local & Metropolitan Area Networks,第7章 虚拟局域网,7.1 VLAN的引入 7.2 VLAN基础 7.3 VLAN运行原理 7.4 VLAN的应用 7.5 小结,7.1 VLAN的引入,交换式局域网 L2交换机广泛用于组建局域网 称为交换式局域网 全部使用L2交换机组网，称为全交换网络 在以太网领域，有以太网交换机、交换式以太网，等等 全交换网络属于同一个广播域 L2交换机本质上就是网桥，全交换网络就是桥接局域网 大型交换式网络 以太网交换机的广泛应用，促进了大型网络的建设 高性能的大型交换式网络产生严重的广播风暴,7.1 VLAN的引入,大

2、型交换式网络的广播风暴,7.1 VLAN的引入,广播风暴的成因 广播域内有相当多的帧采用广播式发送 任何一个广播帧都会传遍整个广播域 交换机生成树协议的BPDU帧会周期性发送到整个广播域 交换机扩散未知宿地址帧到整个广播域 广播域增大，帧的广播数量指数上升，形成广播风暴 广播风暴的影响 降低网络性能 浪费网络带宽、吞吐率下降，帧转发时延急剧增大 造成网络拥塞，严重时甚至使网络瘫痪 解决措施 划分一个大广播域为多个小广播域,7.2 VLAN基础,7.2.1 VLAN概念 7.2.2 VLAN 标识符 7.2.3 VLAN分类 7.2.4 VLAN加标帧 7.2.5 VLAN设备 7.2.6 VL

3、AN链路 7.2.7 VLAN的MAC表,7.2.1 VLAN概念,什么是VLAN 划分一个交换式网络为多个相互独立的虚拟物理网络 这些逻辑上虚拟的物理网络称为VLAN 虚拟局域网：Virtual LAN VLAN之间相互逻辑隔离，成员之间不能直接通信 VLAN之间的通信只能通过L3或更高层,7.2.1 VLAN概念,VLAN划分的一些特点 通过交换机的命令配置划分VLAN VLAN的划分可以跨越交换机 同一VLAN的成员物理上可以位于不同地方 一个站点可以同时属于多个VLAN,7.2.1 VLAN概念,VLAN划分前后图例 VLAN划分前 站点均位于同一广播域 所有站点均可直接通信 VLAN

4、划分后 一个物理网划分成VLAN2和VLAN3 形成两个独立的广播域 VLAN成员之间的直接通信 VLAN之间不能通信 VLAN之内可以通信 可以设计成员之间的间接通信机制,7.2.2 VLAN 标识符,如何识别同一物理网络中的不同VLAN？ 给每个VLAN指派一个VLAN标识符 VLAN ID、VID VLAN标识符：VLAN Identifier 不同的VLAN ID标识不同的VLAN VID值 一个12bit的无符号数，合法范围：14094 具体设备支持的VID范围可能更小 默认VID值为1，用户不能指派他用 default PVID value,7.2.3 VLAN分类,可以有多种类型

5、的VLAN 取决于不同的VLAN划分策略 VLAN类型举例 基于端口的VLAN 是所有可能的VLAN类型的基础 基于协议的VLAN 基于MAC地址的VLAN 基于子网的VLAN,7.2.3 VLAN分类,基于端口的VLAN Port-based VLAN 指定交换机的各个端口归属于那一个VLAN 为端口指派VLAN ID（称为PVID） 按端口物理位置划分的VLAN 静态划分，不会随站点接入的端口而变 交换机的一个端口可同时属于多个VLAN 最简单，却是得到最广泛应用的VLAN类型,7.2.3 VLAN分类,其它VLAN 分类方式 基于协议的VLAN 根据高层协议对VLAN分类 可能出现物理位

6、置重叠VLAN 基于MAC地址的VLAN 根据MAC地址对VLAN分类 MAC帧只会发送到站点宿站点，安全性好 配置繁琐 这些分类方式均很少应用,7.2.4 VLAN加标帧,MAC加标帧 Tagged frame 在MAC帧头增加标志字段 标志字段可封装VLAN ID 、用户优先级等信息 分别称为VLAN加标帧、优先级加标帧，和无标帧 以太网的扩展帧 802.3-2002规定了加标MAC帧格式 其中，802.1Q标志类型可作为VLAN加标帧,7.2.4 VLAN加标帧,基本MAC帧格式：802.3-2002,7.2.4 VLAN加标帧,加标MAC帧：基本MAC帧格式的扩展,7.2.4 TCI格

7、式,TCI 有2个八位组，包含 user_priority、CFI、VID 见Fig.9-4,7.2.4 VLAN加标帧,加标帧的标志头包括： TPID、TCI TPID： Tag Protocol Identifier 用以标识加标帧的类型 ETPID：81-00，表示802.1QTagType TCI：Tag Control Information 包括：P、CFI、VID三个字段 CFI：criterion format indentifier,7.2.4 VLAN加标帧,7.2.4 加标帧的标志字段,TPID,VLAN ID,P,CFI,用以标识加标帧的类型 81-00表示： 802.

8、1QTag 即VLAN协议,3bits,1bit,12bits,TCI： Tag Control Information 2个八位组,Tag Protocol Identifie 2个八位组,用以表示优先级 3位、共 8个等级 不同设备支持优先级的等级数有差异 优先级高的帧先发出,用一个12位无符号二进数表示 VLAN加标帧 有效范围：14094 1：default VLAN ID 基于端口VLAN中的默认值，可由网管改变 FFF：保留 用户优先级帧 0：null VLAN ID,7.2.4 VID格式,VID用一个12位无符号二进数作为VLAN标识符，唯一标识了该帧归属的VLAN。 0：nu

9、ll VLAN ID，表示该帧是用户优先级帧 VLAN加标帧的标志头中必须有非空VLAN ID 1：default PVID value，基于端口VLAN中的默认值，可用网管改变 FFF：保留,7.2.5 VLAN设备,VLAN中的设备可分为两类 VLAN知晓设备、VLAN非知晓设备 VLAN 知晓设备：VLAN aware 能意识到VLAN的存在，例如支持802.1Q的交换机 识别VLAN加标帧并予以适当的处理 同时也能适当处理非加标帧 VLAN 非知晓设备：VLAN unaware 不能意识到VLAN的存在，例如一般的计算机 不能识别VLAN加标帧 只能处理无标帧，或优先级帧,7.2.5

10、VLAN设备,图中 只有交换机是VLAN知晓设备 交换机只转发同一VLAN内站点之间的无标帧 其余设备( H、SRV )均为VLAN非知晓设备,7.2.6 VLAN链路,主干链路：Trunk Link 通常用于互连VLAN交换机 用于跨交换机传递多个VLAN的信息 链路上传送的是VLAN加标帧 接入链路：Access Link 通常用于将无知晓设备接入VLAN 链路上传送的是无标帧 接入链路上的入端口为无标帧加标 接收帧的端口将VID( PVID )值插入无标帧中 混合链路：Hybrid Link（略）,7.2.6 VLAN链路,主干链路 连接运行VLAN协议的交换机 主干链路的特点 主干链路

11、的端口可能属于多个VLAN 多个VLAN跨交换机共用同一链路实现中继,7.2.6 VLAN链路,接入链路 将VLAN非知晓设备接入VLAN交换机 接入链路的特点 链路只能收发无标帧 链路上的VLAN入端口只属于1个VLAN,7.2.7 VLAN的MAC表,两种动态建表的方式 独立学习：为每个VLAN建立一个MAC表 共享学习：为所有VLAN建立一个共同的MAC表,交换机 1 2 3 4 5,H1,H2,H3,H4,V2,V3,MAC地址 端口 VLAN MAC(1) 1 2 MAC(4) 4 2,3 MAC(5) 5 3 ,共享学习建表,H5,7.3 VLAN运行原理,7.3.1 VLAN网桥

12、协议结构 7.3.2 VLAN网桥的E-ISS 7.3.3 帧的处理过程,7.3.1 VLAN网桥协议结构,网桥协议结构模型的构成 一个MAC中继实体互连网桥各端口， 两个以上的端口 高层协议实体，包括STP、RSTP、网管等实体 MAC中继实体 MAC中继实体处理MAC无关功能 中继帧、过滤帧、学习过滤信息等 它使用各个端口的MAC实体提供的E-ISS服务 端口 每个端口固定关联一个MAC实体 MAC实体处理所有MAC方法相关功能 MAC协议和过程,7.3.1 一般网桥的结构,两端口网桥的体系结构 注意：VLAN网桥/E-ISS，普通网桥/ISS,7.3.1 VLAN网桥的ISS增强,VLA

13、N网桥：E-ISS 增强的内部子层服务 E-ISS结构图，Fig.6-1，802.1Q-2003,7.3.1 VLAN网桥的结构,两端口网桥的体系结构 Fig.8-3, 802.1Q-2003,7.3.2 网桥的内部子层服务,比较普通网桥 网桥的内部子层服务是 无连接模式MAC服务 服务原语 MA-UNITDATA request MA-UNITDATA indication 原语参数有4个 DA、SA、MSDU、优先级,7.3.2 VLAN网桥中的E-ISS,E-ISS：增强内部子层服务 是ISS的增强，增加了帧的加标去标功能 定义了VLAN知晓网桥中的MAC服务 支持VLAN中继功能 VL

14、AN知晓网桥就是支持这些功能的网桥 E-ISS服务定义的单元数据原语是 EM_UNITDATA.indication EM_UNITDATA.request 参数主要包括 DA/SA、MSDU、用户优先级、VLAN ID,7.3.3 帧的处理过程,VLAN交换机的帧处理 针对加标帧和无标帧，加标、删标 帧处理主要考虑 是否为有效帧 如果是有效帧，是否转发 如果转发，是否需要加或删VLAN ID,7.3.3 帧的处理示例,设两交换机MAC表空，H1向H5发送一帧 SW1处理: p1属V_3收到无标帧，宿地址不在V_3表中，向p2、p4 转发，其中向p4转发帧加标记，然后在 V_3中添加MAC(1

15、)表项 SW2处理: p3收到V_3加标帧，宿地址不在V_3表中，删除标记后向端口2转发，然后在V_3中添加MAC(1)表项,7.4 VLAN的应用,7.4.1 根据需要划分VLAN 7.4.2 组建VLAN的条件 7.4.3 基于端口VLAN的实现 7.4.4 VLAN之间的通信,7.4.1 根据需求划分VLAN,根据不同的应用需求划分，例如 普通工作组或项目组的所有用户 特定安全要求的一组群体 一台服务器和访问该服务器的多个用户 支持特定协议族的一组用户,7.4.2 组建VLAN的条件,组建VLAN的条件 VLAN通常是基于交换式以太网的 因此组建VLAN需要 至少一个，或多个以太网交换机

16、 以太网交换机必须支持802.1Q协议 注意 交换机支持VLAN的数目因设备而异,7.4.3 基于端口VLAN的实现,需要对支持VLAN协议的交换机进行配置 1）创建VLAN、设置VLAN ID 2）对交换机端口进行配置 port mode Trunk mode Access mode VLAN ID for each port VLAN trunk protocol type for trunk port 不同商家交换机互连时，trunk链路的端口必须配置相同的协议：802.1Q,案例1：单交换机基于端口的VLAN配置,需要配置内容如下（假设所有H为VLAN非知晓的）,VLAN交换机 1 2

17、 3 4 5,H1,H2,H3,H4,H5,V2,V3,access,access,VLAN2,VLAN3,Untagged（default）,Untagged（default）,案例2：VLAN中继配置,交换机1 port5 和交换机2 port 3分别设置为： trunk mode ，VLAN2和3 ，tagged（默认），（ trunk protocol ） 两交换机其他端口设置，请自己分析完成 注意：主干链路必须配置需要中继的所有VLAN ID 图中如只配置VLAN2，则H6将不能与H1和H2通信,不同商家交换机互连，必须设置为802.1Q。 如思科交换机默认为ISL,而非802.1Q

18、。,特殊案例：Multi端口,Multi端口 厂商为了应用方便推出的技术 得到多厂商支持 基本特性：一个端口位于多个VLAN 注意：破坏了VLAN严格的逻辑隔离性能 可用于：一台服务器为多个PC机服务 配置见后,特殊案例：Multi端口,需要配置内容如下（假设所有H为VLAN非知晓的）,access,access,VLAN2,VLAN3,Untagged（default）,Untagged（default）,7.4.4 VLAN之间的通信,VLAN之间的通信 不同VLAN之间不能直接通信 交换机逻辑隔离各个VLAN VLAN间的通信，通常在L2以上处理 使用路由设备在L3实现VLAN间路由 使

19、用应用层网关 VALN间路由示例如后,路由器多个端口实现VLAN间通信,路由器的一个端口连接一个VLAN 路由器认为 各个端口连接的VLAN是不同的IP子网 路由器并不知道VLAN的存在 也不知道这两个VLAN来自同一个交换机 每个VLAN均作为一个IP子网 通过路由互连了VLAN,L3交换机一个端口实现VLAN间通信,多个VLAN通过trunk链路连接L3交换机的一个端口 L3交换机具有桥接模块，支持VLAN trunk功能 需要路由的每个VLAN作为独立的IP子网 L3交换机的f0/1口知晓VLAN存在 f0/1.1子接口对应VLAN2，f0/1.2子接口对应VLAN3 各VLAN的端站I

20、P网关分别指向所属VLAN的子接口,f0/1.1 192.168.1.1,VLAN与IP子网的讨论,VLAN 通过L2交换机划分，是L2层概念 VLAN是逻辑网络 交换机逻辑隔离各个VLAN 不同VLAN的成员之间不能直接通信 IP子网 通过L3交换机或路由器器划分，是L3层概念 当VLAN间需要路由时 每个VLAN必须对应一个独立的IP子网 这是路由的需要 但一个VLAN并非就是一个IP子网！,7.5以太网与VLAN技术在城域网中的扩展,问题的提出 7.5.1 802.1ad 7.5.2 802.1ah,7.5 VLAN与以太网技术在城域网中的扩展,问题的提出 技术发展促进VLAN和以太网技

21、术向城域应用发展 然而 VLAN和以太网技术原本是针对局域网环境的 无法满足电信级运营的城域网要求，如： VLAN数量的限制 用户网络与运营商网络的隔离 QoS保障 于是，802委员会提出了两个新的规范 802.1ad 802.1ah,7.5.1 802.1ad（Q in Q技术）,802.1ad技术的引入 802.1ad的基本思想 802.1ad的网络结构 802.1ad的协议格式,7.5.1 802.1ad（Q in Q技术）,802.1ad技术的引入 802.1Q VLAN技术用于城域网存在先天不足 VLAN数量最多4094个 用户与运营商统一划分VLAN，无法隔离 用户数量受制约、存在

22、安全隐患等 为解决802.1Q的上述问题，提出802.1ad 802.1ad于2006年5月发布,802.1ad技术的基本思想,802.1ad是基于802.1Q技术提出的 基本思想： 定义运营商网桥及运营商桥接LAN 运营商桥接LAN与用户LAN完全独立 运营商和用户分别独立管理各自的网络 运营商网络：802.1ad 用户网络：802.1Q 使运营商服务VLAN与用户VLAN完全独立 采用Q in Q技术，通过运营商网络实现用户VLAN流量在城域内的透明传输 Q in Q: 在802.1Q加标帧基础上在加封一个802.1ad的标志头,802.1ad的网络结构,802.1 Q加标帧,用户1 LA

23、N,用户1 LAN,用户2 LAN,用户2 LAN,运营商桥接 LAN 802.1ad,用户 LAN： 传送802.1Q加标帧 运营商LAN: 传送Q in Q加标帧,802.1ad的 协议格式,C-tag: 用户VLAN标志，Q in Q 加标帧的内层标志， 即802.1Q的加标帧头 S-tag：运营商VLAN 标志， Q in Q 加标帧的外层标志， 即802.1ad的加标帧头,7.5.2 802.1ah（MAC in MAC技术）,802.1ah技术的引入 802.1ah的基本思想 802.1ah的网络结构,7.5.2 802.1ah（MAC in MAC技术）,802.1ah技术的引入

24、 802.1ad技术用于城域网的局限性 虽然能够隔离用户VLAN和运营商VLAN 但运营商网桥仍会学习用户MAC地址，运营商不能隔离用户MAC 运营商VLAN ID 为12位，运营商的服务VLAN 数受限，不利规模发展 为解决802.1ad的上述问题，提出802.1ah草案,802.1ah技术的基本思想,802.1ah是基于802.1ad技术提出的 基本思想： 定义运营商主干网桥、运营商主干桥接LAN、主干MAC 地址（B-MAC)、主干VLAN（B-VLAN) MAC in MAC：在Q in Q加标基础再次加标 不仅使运营商桥接LAN与用户LAN完全独立，并使运营商MAC 与用户MAC完全

25、隔离，实现运营商网络与用户网络独立寻址 层次性MAC结构克服了平面型MAC可能带来的大范围广播风暴。该技术将服务实例由802.1ad的212提高到224,802.1ah的网络结构,用户A LAN,运营商主干桥接 LAN（802.1ah）,用户C LAN,用户B LAN,用户A LAN,用户C LAN,用户A LAN,用户B LAN,用户VLAN帧：802.1Q加标帧,Q-in-Q加标帧,MAC-in-MAC加标帧,本章知识要点小结,理解划分VLAN的原因与目的,理解VLAN概念,组建VLAN的条件,基于端口VLAN的特点,VLAN的特点,理解VLAN交换机如何处理帧（能根据实际情况进行分析）,VLAN知晓设备与VLAN未知设备,理解VLAN之间如何才能