虚拟局域网VLAN技术(教案第3章XG).ppt

1、第3章、虚拟局域网VLAN,3.2 VLAN划分和配置,3.3 VLAN成员信息交换,3.1 VLAN概述,3.4 VLAN间路由通信,第3章：重点与难点,重点理解和掌握： 1、VLAN概念和VLAN完成的主要功能 2、大型VLAN中的VLAN信息标识IEEE802.1Q标准 3、划分和配置VLAN的常用方法 4、VLAN间的通信处理,主要了解： 1、以太交换VLAN技术的关键问题 2、VLAN隔离广播域的特点 3、VLAN的标准化进程。 4、基于服务的VLAN发展,3.1 VLAN概述,3.1.1 VLAN发展背景,以太网交换机速度比路由器快的多，且价格便宜。但当某主机在网上发送广播时，或发

2、送了一个交换机不认识的MAC地址帧时，交换机上的所有节点都将收到这一广播信息。整个交换环境构成一个大的广播域。业界人士用一个新的名词Flat Network来形容这种环境：多个交换机互连(堆叠)形成了一个大的局域网，但不能有效的划分子网；第二层快速、有效的交换，但广播风暴会使网络的效率大打折扣。,二层交换弱点：对广播风暴(大型高端口密度交换机），不能有效解决异种网络互连、安全性控制等问题。,怎样区分碰撞域、共享域和广播域？,3.1.2 VLAN基本概念,什么是VLAN（虚拟局域网）， VLAN是以太网上一组PC/服务器的集合，它们可能不在同一个物理网段中，也可以不受地理位置的限制，但能够象在L

3、AN中一样进行通信与信息交互。,VLAN实际没有统一严格的定义。VLAN技术早期提出：一种隔离数据广播方法，将以太交换广播局限一定范围内；但目前VLAN发展使其成为接近交换网络VPN的技术，在以太交换网向城域网、广域网发展的重要技术。,什么是交换网络的VPN? 主要功能和作用?,一个VLAN组划分的例子：,局域网VLAN,区域网VLAN,实际工作的VLAN主要功能需求，除解决数据广播引起的性能下降外，可以实现用户分组、应用分组、安全性分组、移动分组、管理分组等灵活处理，提高网络使用和管理效率。,3.1.3 VLAN的功能,结构化布线和VLAN技术结合，可以形成统一预布线、信息点、网络规划，和用

4、户组和应用的灵活再组合，实现统一网络环境下的独立用户群使用。,1、实现虚拟工作组织,在网络下不受地理位置环境响应，对同一组织（部门、工作协作体）建立虚拟工作组织，就象在一个传统LAN中工作，实现流量8/2控制，本地资源访问、有效工作管理。,2、控制数据广播,数据广播是正常出现的现象（功能），取决于网络资源使用、应用类型等，广播数据要通过骨干链路到达各个交换端口；当以太交换网大型化及广泛使用，广播数据将大大浪费网络资源、降低网络性能或导致网络崩溃。传统控制数据广播方法使用路由器或防火墙。通过VLAN分割广播域、适量处理VLAN间通信是目前控制广播数据的有效方法。（试具体比较各种控制广播域的方法）

5、,3、增强网络安全性,对共享型以太交换网，控制数据广播域规模和用户数，可减小安全风险，取到防火墙隔离不同LAN作用 ；实际VLAN通常还可以根据用户、资源的重要性设置，使受限应用、资源得到保护,如数据库服务器和Web服务器VLAN和访问控制。,1、能将所连接PC/服务器进行逻辑分段的高性能交换机。,4、已有LAN系统的兼容和互操作。,3.1.4 VLAN技术需要解决的问题,2、在主干网和多交换机间传输VLAN信息的协议。,3、VLAN间通信的L3路由方案。,5、集中管理、控制和配置功能的网管方案。,3.1.5 建立VLAN的交换方式,3、信元交换：ATM仿真LAN中使用的方式，利用ATM信元作

6、为交换的基础。,VLAN中的使用交换技术，通常包含端口交换、帧交换和信元交换三种。,2、帧交换： VLAN中端口采用帧转发的方法，即VLAN交换和以太网交换机交换方式一样的，只是交换域变小了，也是目前最主流VLAN交换方式，按端口定义VLAN和帧交换方式结合具有更大灵活性。,1、端口交换VLAN ：早期在交换机上把根据端口划分为几个相互独立的VLAN， 每个VLAN中端口是共享媒体段（如以太网段）。这种方式特点：小规模灵活，但端口共享媒体使VLAN带宽受限制。,VLAN划分方法：是怎样把一批局域网的站点（PC/服务器）划归属一个VLAN中。目前划分方法主要有：,3.2 VLAN划分和配置,1、

7、交换端口号 2、MAC地址 3、第三层协议 4、使用IP组播 5、基于策略,3.2.1 VLAN划分,将交换机的端口号进行分组划分VLAN，如交换设备上端口（1、2、5、7）为VLAN1 ， （3、4、6、8）为VLAN2，是目前网络中最常用划分方法。,1、基于交换端口号（静态端口分配 ）,基于交换端口号VLAN配置，实际就是将特定计算机端口和固定VLAN对应，一般的端口只能划分在一个VLAN中，目前端口号划分VLAN可以跨越多个交换机，此时主干端口实际和多个VLAN中交互（或主干端口可自动传递不同VLAN信息）。,基于端口号静态划分的VLAN （实际端口可和MAC地址绑定） ，管理较为严格和

8、比较安全，但用户移动将需要重新配置。,VLAN1,VLAN2,VLAN2,VLAN1,VLAN1、VLAN2,静态端口划分的VLAN示意,怎样穿越？怎样识别是同一VLAN？,按照用户终端网卡的MAC地址，指定一批MAC地址划分在一个VLAN组，一种基于用户的划分方式。,2、基于MAC地址（动态端口分配 ）,特点：一个MAC地址可划分在多个VLAN中，可满足一个用户可以同时划分在多个VLAN中，主要是共享服务器和属于多工作组用户。,在大型网络,预先根据MAC地址配置所有VLAN中，手工初始配置和变更维护很困难，必须借助智能网络管理软件；,当某个站点接入交换机时，交换机通过智能网络管理软件对其MA

9、C地址在VLAN管理数据库中检索，确定MAC地址的VLAN所属，并根据MAC地址动态完成端口和VLAN配置，所以具有移动性，但VLAN管理软件必须精确建立和维护VLAN管理数据库，建立整网VLAN的集中配置。,VLAN1,VLAN2,VLAN2,VLAN1,VLAN1、VLAN2,LAN,VLAN配置服务器,基于MAC地址的动态端口配置,VLAN管理数据库设置在哪里？,一个端口或一个MAC可以根据需要划分到多个VLAN中去，如骨干上连端口、共享服务器端口等，安全性和交换性能下降。应谨慎处理。,VLAN1,VLAN2,VLAN2,VLAN1,VLAN1 VLAN2,为了维护VLAN安全完整性，共

10、享服务器通常设置在核心交换机的VLAN共享端口上。,交换机主要考虑使用协议类型（多协议情况下，如TCP/IP，IPX、APPLE TALK等）或网络层地址（如IP地址、 IP子网地址）进行VLAN划分。此时，VLAN的子网地址实际要和MAC地址联系交换。特点：可移动性，但根据报文的第3层地址（如IP地址）进行检查速度慢，可篡改。,用IP组播地址区分VLAN。特点：动态性，可以实现WAN 的VLAN。实际也是基于IP层的VLAN方式。,3、按第三层协议或参数,4、IP 组播VLAN,5、基于策略VLAN,根据一种策略和以上多种划分策略的组合划分VLAN 。,5.3 VLAN成员信息传递,解决在多

11、交换机的状态下（特别是城域、广域范围）建立VLAN的问题，需要在互连交换机间交换VLAN成员信息，或是说一个以太广播帧通过网络某交换机时，交换机怎样识别该帧属于VLAN1或VLAN2 。,VLAN2,EF,VLAN1,VLAN1,？,？,在多交换机的条件下，早期也有厂家私有协议，如Cisco，Inter-Switch Link,ISL协议,在单交换机机VLAN条件下，基本是原有交换机机制的隐式传递方式（不需要特别协议，厂家自己定义） 。,目前是使用IEEE802.1Q标准（1996.3通过）， IEEE802.1Q标准是帧标记的VLAN方式，扩展以太网帧结构方法，即在以太网帧结构中的帧头位置套

12、上一个显式的VLAN标记Tag（4字节的VLAN地址编码），在多交换机间（特别是骨干链路上）传递，以表明这个帧是属于哪个VLAN的。,多交换机间以太帧在上联或骨干端口/链路上怎样传递呢？ 即怎样识别并转送到某个VLAN？,VPID：VLAN Protocol Identifier，表明已按照802.1Q 标准(码值 8100H)。 VCI： VLAN Control Information User-Priority：用户优先级（在以太网这样无优先级网段中使用） TR-encap：=1表示帧数据是原始Token Ring帧数据 VID： VLAN Identifier，最大4096个VLAN,

13、以太网VLAN IEEE802.1Q格式,前导码,帧头定界符,32Bit,VPID,16b,VCI,16b,3b,8b,DA,SA,ETag,TYPE,数据,FCS,User-Priority,TR-encap,VID,1b,12b,IEEE802.1Q是MAC二层的VLAN标准，它在原来的DA目的地址/SA源地址之后，插入4字节的VLAN标记，在帧存储交换的时候进行辨别和只向VLAN组内的用户广播发送。,IEEE802.1Q标准中对推动VLAN发展起到了关键作用。但4K的VLAN组地址标记，在大型城域网、广域网显得不够。,另一个影响VLAN规模的指标是核心或骨干交换机的VLAN MAC地址容

14、量，它决定了VLAN规模（ VLAN容纳主机数）。,什么是10M或100M的以太网交换电路？有什么用？,怎样形成10M或100M以太网交换电路？对VLAN标记地址空间有什么影响。,5.4 VLAN间的通信,隔离的VLAN间通信，如同两个孤立LAN一般需要使用路由手段在三层完成通信，在大型网络中，VLAN内的数据交换和VLAN间的数据传输的路由，两者技术的集成是新发展方向。,VLAN 间通信的路由模式,1、边界路由,将路由功能包含在主干网络边界的每一个LAN交换机中（通常边缘汇聚交换机），VLAN间的IP报文由交换机内在（内嵌）的路由模块处理，而无需传输到外部的路由器上处理。 特点：边缘汇聚交换

15、机必须部署路由功能交换机，数据延时小，但相对统一的路由器网络管理来说，管理复杂。,汇聚S,S,S,汇聚S,Servers,S,核心S,汇聚S,S,S,S,S,边界路由,边界路由,边界路由,边界路由能否设置在核心或接入交换器中？,2、”独臂“路由器,”独臂“路由结构是在一个多交换机的网络中的主干上设置一台独立的路由器，当VLAN域内通信时直接使用交换机制；当需要在VLAN间进行IP通信的时候，经过”独臂“路由器路由转发。 特点：集中路由适用以VLAN间通信较少的场合（一般企业），但结构和管理简单，路由器的单点故障造成瘫痪。也可以设置多个路由器进行冗余和负载分担。,3、ATM上多协议路由（MPOA

16、）,MPOA本身具有路由功能，当通过ATM连接ELAN或VLAN时ATM接口具有路由转发能力。,汇聚S,S,S,汇聚S,Servers,S,核心S,汇聚S,S,S,S,S,独臂路由器,VLAN1,VLAN2,5、第L3交换技术。,4、路由服务器和路由客户机,这是一种分布路由结构，结构外观上非常相似”独臂“路由器，但LAN交换机中也要有必要的路由功能。当需要在VLAN间进行路由的时候，报文被缓存在主干边界的LAN交换机上，此时交换机与路由服务器交互相关进一步转发连接信息，确定转发路径。 这种模式网络传输的数据报大量减少，但LAN交换机中也要有必要的路由功能，结构和管理复杂,汇聚S,S,S,汇聚S

17、,Servers,S,核心S,汇聚S,S,S,S,S,路由服务器,VLAN1,VLAN2,路由功能,路由功能,5、第L3交换技术。,4、路由服务器和路由客户机,这是一种分布路由结构，结构外观上非常相似”独臂“路由器，但LAN交换机中也要有必要的路由功能。当需要在VLAN间进行路由的时候，报文被缓存在主干边界的LAN交换机上，此时交换机与路由服务器交互相关进一步转发连接信息，确定转发路径。 这种模式网络传输的数据报大量减少，但LAN交换机中也要有必要的路由功能，结构和管理复杂,5.5 以太网接入控制和IEEE802.1X,早期以太网终端可不受限制地接入LAN/MAN，但公共大厦的办公网络中不希望

18、其他组织或个人接入，特别是运营以太网（如校园网、小区网等）需要提供一种廉价的、通过认证的许可接入方法。,802.1x协议基于Client/Server的访问控制和认证协议，可限制未授权的用户/设备通过接入端口访问LAN/WLAN。在认证通过之前，802.1x只允许EAPoL（Extensible Authentication Protocol over LAN ）数据通过端口；认证通过以后，正常的数据可以顺利地通过以太网端口。,IEEE 802.1X全称是“基于端口的网络接入控制”。2001年标准化，之后为了配合无线网络的接入进行修订改版，于2004年完成。,网络访问技术的核心部分是PAE（端

19、口访问实体）， PAE包含3部分：对接入的用户/设备进行认证的端口,被认证的用户/设备,认证服务器。,以太网的每个物理端口被分为受控和不受控的两个逻辑端口，其中，不受控端口始终处于双向联通状态(传输认证信息);而受控端口的联通或断开是由该端口的授权状态决定的, PAE根据认证过程的结果，控制受控端口的授权/未授权状态。,802.1x工作过程,1.当启动802.1X客户端，发出请求认证报文给交换机，然后按交换机要求，输入用户名和口令（申请和等记的）。 2.交换机将客户端送上来的EAPoL数据帧经过封包处理后送给认证服务器。 4.认证服务器（Raduis认证、AAA认证服务器）随机生成一个加密字，

20、传给客户端。 5.客户端用该加密字对口令进行加密处理，通过交换机返回认证服务器。 6.认证服务器比较加密后的口令信息和其自己经过加密运算后的口令信息进行对比，确定接入请求成功和失败。,客户/服务器信息通过PAE转发，4-6过程通过密码处理挑战的认证过程（如Raduis认证标准处理）。,802.1x应用环境,(1)交换式以太网络环境:交换式以太网中，用户和网络之间采用点到点的物理连接，用户常通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。 (2)共享式网络环境:共享式的以太网环境时，用户之间共享接入物理媒介，为了防止在共享式的网络环境中出现 “搭载”的问题，PAE实体由物理端口进一步扩展为多个互相独