电子科技大学韦云凯局域网与城域网_C07_VLAN.ppt

1、第七章 虚拟局域网,通信学院 韦云凯,局域网与城域网,LanMan 2017,YKW UESTC,第7章 虚拟局域网,7.1 VLAN的引入 7.2 VLAN基础 7.3 VLAN运行原理 7.4 VLAN协议格式 7.5 VLAN的配置 7.6 VLAN之间的通信 7.7 VLAN和以太网技术在城域网中的应用 7.8 小结,YKW UESTC,7.1 VLAN的引入,大型交换式局域网（Bridged LAN）存在的问题 高性能的以太网交换机已经用于组建较大型的LAN 由网桥/交换机组建的LAN仍属于同一个广播域 随着LAN规模的扩大，出现了难以解决的问题： 广播风暴 安全问题,LanMan

2、2017,YKW UESTC,7.1 VLAN的引入,广播风暴的成因 广播域内有相当多的帧采用广播式发送 任何一个广播帧都会传遍整个广播域 交换机生成树协议的BPDU帧会周期性发送到整个广播域 交换机扩散未知宿地址帧到整个广播域 广播域增大，帧的广播数量指数上升，形成广播风暴,交换机,站,交换机,交换机,站,站,站,7.1 VLAN的引入,广播风暴的影响 降低网络性能 浪费网络带宽、吞吐率下降，帧转发时延急剧增大 造成网络拥塞，严重时甚至使网络瘫痪 增加了安全隐患 敏感的数据不当外泄 解决方法：缩小广播域 在L3划分子网：TCP/IP领域 在L2划分VLAN：本章内容 划分一个大广播域为多个小

3、广播域,LanMan 2017,YKW UESTC,LanMan 2017,YKW UESTC,7.1 VLAN的引入,本章将站在L2的角度解决广播风暴问题，深入讨论： VLAN：虚拟局域网 Virtul Local Area Network VLAN标准 最初的版本：IEEE 802.1Q-1998 目前的版本：IEEE 802.1Q-2014 最新draft：P802.1Q-REV/D2.0, Jul 2017 以太网/VLAN技术的扩展及在城域网中的新应用,LanMan 2017,YKW UESTC,7.2 VLAN基础,7.2.1 VLAN 概念 7.2.2 VLAN术语 7.2.3

4、VLAN网桥架构,LanMan 2017,YKW UESTC,7.2.1 VLAN概念,什么是VLAN 划分一个交换式网络为多个相互独立的虚拟物理网络 这些逻辑上的虚拟的物理网络称为VLAN Virtual LAN：虚拟局域网 VLAN之间相互逻辑隔离，成员之间不能直接通信 VLAN之间的通信只能通过L3或更高层,LanMan 2017,YKW UESTC,7.2.2 VLAN概念,VLAN划分前后图例 VLAN划分前 站点均位于同一广播域 所有站点均可直接通信 VLAN划分后 一个物理网划分成两个虚拟网 VLAN2和VLAN3 形成两个独立的广播域 VLAN之间不能通信 VLAN之内可以通信

5、,LanMan 2017,YKW UESTC,7.2.2 VLAN概念,VLAN分类 可以有多种类型的VLAN 取决于不同的VLAN划分策略 VLAN类型举例 基于端口的VLAN 是所有可能的VLAN类型的基础 基于协议的VLAN 基于MAC地址的VLAN 基于子网的VLAN,LanMan 2017,YKW UESTC,7.2.2 VLAN概念,基于端口的VLAN Port-based VLAN 指定交换机的各个端口归属于那一个VLAN 为端口指派VLAN ID（称为PVID） 按端口物理位置划分的VLAN 静态划分，不会随站点接入的端口而变 交换机的一个端口可同时属于多个VLAN 最简单，却

6、是得到最广泛应用的VLAN类型,LanMan 2017,YKW UESTC,7.2.3 VLAN分类,基于MAC地址的VLAN 根据MAC地址对VLAN分类 MAC帧只会发送到站点宿站点，安全性好 配置繁琐 基于协议的VLAN 根据高层协议对VLAN分类 可能出现物理位置重叠VLAN 这些分类方式均很少应用,LanMan 2017,YKW UESTC,7.2.3 VLAN术语,VLAN标识符 帧类型 VLAN知晓与VLAN非知晓 VLAN链路 独立学习与共享学习,LanMan 2017,YKW UESTC,7.2.3 VLAN 标识符,如何识别同一物理网络中的不同VLAN？ 给每个VLAN指派

7、一个VLAN标识符 VLAN ID（VID） VLAN标识符：VLAN Identifier 不同的VLAN ID标识不同的VLAN VID值 一个12bit的无符号数，合法范围：14094 具体设备支持的VID范围可能更小 默认VID值为1，用户不能指派他用 default PVID value,LanMan 2017,YKW UESTC,7.2.3 VLAN帧类型,VLAN中的MAC帧可以是三种类型： 无标帧：untagged frame 也称基本MAC帧 如802.3的基本MAC帧有效字段64-1518八位组 优先级加标帧：priority-tagged frame 802.1Q协议格式

8、在基本MAC头部增加4个八位组 增加头部中，仅含优先级，无有效VID的802.1Q帧 VLAN加标帧：VLAN-tagged frame 802.1Q协议头部中，既有优先级又含有效VID的帧 在802.3as-2006中，更名为简洁的“Q加标帧”,LanMan 2017,YKW UESTC,7.2.3 VLAN设备,VLAN中的设备可分为两类 VLAN知晓设备：VLAN aware VLAN非知晓设备：VLAN unaware VLAN 知晓设备 能意识到VLAN的存在 识别VLAN加标帧并予以适当的处理 同时也能适当处理非加标帧 典型的VLAN知晓设备： 支持VLAN协议的交换机 支持VLA

9、N协议的服务器,LanMan 2017,YKW UESTC,7.2.3 VLAN设备,VLAN 非知晓设备 不能意识VLAN的存在，不能识别VLAN加标帧 典型的VLAN 非知晓设备 不支持VLAN协议的交换机： 不认识、但可转发某些加标帧 帧长641518八位组的有效帧 能透明转发长度1518的加标帧但不能识别 不认识VLAN，不能加标去标，只能透明转发 普通的PC机 不认识、也不转发加标帧，直接将其丢弃,LanMan 2017,YKW UESTC,7.2.3 VLAN设备,图中 只有交换机是VLAN知晓设备 交换机只转发同一VLAN内站点之间的无标帧 其余设备( H、SRV )均为VLAN

10、非知晓设备,LanMan 2017,YKW UESTC,7.2.3 VLAN链路,主干链路：Trunk Link 通常用于互连VLAN交换机 用于跨交换机传递多个VLAN的信息 链路上传送的是VLAN加标帧 接入链路：Access Link 通常用于将非知晓设备接入VLAN 链路上传送的是无标帧 接入链路上的入端口为无标帧加标 混合链路：Hybrid Link（略）,LanMan 2017,YKW UESTC,7.2.3 VLAN链路,主干链路 连接运行VLAN协议的交换机 主干链路的特点 主干链路的端口可能属于多个VLAN 多个VLAN跨交换机共用同一链路实现中继,VALN 交换机,VLAN

11、 交换机,VLAN2,VLAN3,Trunk link：VLAN2、3,LanMan 2017,YKW UESTC,7.2.3 VLAN链路,接入链路 将VLAN非知晓设备接入VLAN交换机 接入链路的特点 链路只能收发无标帧 链路上的VLAN入端口只属于某1个VLAN,PC,VLAN 交换机,HUB,PC,PC,PC,PC,访问链路,LanMan 2017,YKW UESTC,7.2.4 VLAN网桥架构,VLAN网桥与普通网桥的系统架构非常相似 普通网桥：使用ISS服务 VLAN网桥：使用E-ISS服务 两者的比较见下图,LanMan 2017,YKW UESTC,7.2.4 VLAN网桥

12、架构,高层实体 （STP、RSTP、网管、）,MAC实体,MAC实体,MAC中继实体 ISS ISS,MAC服务用户,MAC服务用户,MSAP,MSAP,高层实体 （STP、RSTP、网管、）,MAC实体,MAC实体,MAC中继实体 E-ISS E-ISS,MAC服务用户,MAC服务用户,MSAP,MSAP,LanMan 2017,YKW UESTC,7.2.4 VLAN网桥协议结构,网桥协议结构模型的构成 一个MAC中继实体互连网桥各端口， 两个以上的端口 高层协议实体，包括STP、RSTP、网管等实体 MAC中继实体 MAC中继实体处理MAC无关功能 中继帧、过滤帧、学习过滤信息等 它使用

13、各个端口的MAC实体提供的E-ISS服务 端口 每个端口固定关联一个MAC实体 MAC实体处理所有MAC方法相关功能 MAC协议和过程,LanMan 2017,YKW UESTC,7.2.4 一般网桥的结构,两端口网桥的体系结构 Fig.7-3, 802.1D-2004,LanMan 2017,YKW UESTC,7.2.4 VLAN网桥的结构,两端口网桥的体系结构 Fig.8-3, 802.1Q-2014,LanMan 2017,YKW UESTC,7.2.4 网桥的内部子层服务,网桥的内部子层服务是 无连接模式MAC服务 服务原语 MA-UNITDATA request MA-UNITDA

14、TA indication 原语参数有4个 DA、SA、MSDU、优先级,LanMan 2017,YKW UESTC,7.3.2 VLAN网桥中的E-ISS,E-ISS：增强内部子层服务 是ISS的增强，增加了帧的加标去标功能 定义了VLAN知晓网桥中的MAC服务 支持VLAN中继功能 VLAN知晓网桥就是支持这些功能的网桥 E-ISS服务定义的单元数据原语是 EM_UNITDATA.indication EM_UNITDATA.request 参数主要包括 DA/SA、MSDU、用户优先级、VLAN ID,LanMan 2017,YKW UESTC,7.3 VLAN运行原理,VLAN网桥与普

15、通网桥运行原理基本一致 但帧的处理有一定区别 运行的要素也涉及 帧接收与帧发送 转发过程 学习过程 VLAN交换机的帧处理 针对加标帧和无标帧，加标、删标 帧处理主要考虑 是否为有效帧 如果是有效帧，是否转发 如果转发，是否需要加或删VLAN ID 本节主要讨论两者的区别，其他参见教材,LanMan 2017,YKW UESTC,7.3 VLAN运行原理,与普通网桥相比，VLAN网桥运行有以下不同 VLAN网桥处理MAC帧类型 基本MAC帧和VLAN 加标帧 对MAC帧的散播，仅在本VLAN中进行 VLAN网桥处理MAC帧需要考虑 不仅丢弃无效和差错帧，还要丢弃不符合入口规则的帧 不仅过滤源目

16、同端口的帧，也要过滤不符合入口规则的帧 帧中继时，由出口规则决定是否加标或是去标,LanMan 2017,YKW UESTC,7.3 VLAN运行原理,入口规则 符合以下规则的帧将被允许入口，否则丢弃 接收到帧与收端口配置的帧类型相符 接收到帧的VLAN ID与收端口配置的VLAN ID相符 出口规则 符合以下规则的帧将被允许出口（转发），否则丢弃 需要发送的帧与发端口配置的帧类型相符 需要发送的帧的VLAN ID与发端口配置的VLAN ID相符,V3,YKW UESTC,7.3 VLAN运行原理处理例,设两交换机MAC表空，H1向H5发送一帧 SW1处理: p1属V_3收到无标帧，宿地址不在

17、V_3表中，向p2、p4 转发，其中向p4转发帧加标记，然后在 V_3中添加MAC(1)表项 SW2处理: p3收到V_3加标帧，宿地址不在V_3表中，删除标记后向端口2转发，然后在V_3中添加MAC(1)表项,VLAN交换机1 1 2 3,H1,H2,H3,VLAN交换机2 1 2,H4,H5,4,3,V2,LanMan 2017,YKW UESTC,7.4 VLAN PDU,MAC加标帧（Tagged frame） 在基本MAC帧的头部增加标志字段 标志段包括：VLAN ID 、用户优先级 分别对应：VLAN加标帧、优先级加标帧 跨交换机划分VLAN，交换机间传输VLAN加标帧 802.3

18、-2002引入加标MAC帧格式 其中，802.1Q标志类型可作为VLAN加标帧 802.3as-2006改称：Q加标帧，更为简洁,LanMan 2017,YKW UESTC,7.4 VLAN PDU,Length/Type,FCS,DA,SA,以太网：基本MAC帧,以太网：VLAN加标帧/Q加标帧,FCS,TPID,VLAN ID,P,CFI,VLAN标记头,MAC Client Data,Length/Type,MAC Client Data,LanMan 2017,YKW UESTC,7.4 VLAN PDU,LanMan 2017,YKW UESTC,7.4 VID格式,VID用一个12

19、位无符号二进数作为VLAN标识符，唯一标识了该帧归属的VLAN。 0：null VLAN ID，表示该帧是用户优先级帧 VLAN加标帧的标志头中必须有非空VLAN ID 1：default PVID value，基于端口VLAN中的默认值，可用网管改变 FFF：保留,LanMan 2017,YKW UESTC,7.5 VLAN的配置,7.5.1 根据需要划分VLAN 7.5.2 组建VLAN的条件 7.5.3 基于端口VLAN的实现 7.5.4 VLAN之间的通信,LanMan 2017,YKW UESTC,7.5.2 组建VLAN的条件,组建VLAN的条件 VLAN通常是基于交换式以太网的

20、因此组建VLAN需要 至少一个，或多个以太网交换机 以太网交换机必须支持VLAN trunk协议 802.1Q（IEEE标准） ISL（Cisco专用协议，仅对Cisco交换机互联有效） 注意 交换机支持VLAN的数目因设备而异,LanMan 2017,YKW UESTC,7.5.3 基于端口VLAN的实现,先创建VLAN，设置VLAN ID 在每台VLAN交换机手动配置VLAN （Cisco交换机也可利用VTP域，只在一台交换机上手动创建VLAN，在同一VTP域的其他交换机自动学习已创建的VLAN） 关于VTP协议请参看第六章参考资料 再对交换机端口进行配置 port mode for ea

21、ch port Trunk mode Or : Access mode VLAN ID for each port VLAN trunk protocol type for trunk port） （不同商家交换机互连时，trunk链路的端口必须配置相同的协议：802.1Q）,LanMan 2017,YKW UESTC,案例1：单交换机基于端口的VLAN配置,假设所有H为VLAN非知晓的 需要配置内容如下：,VLAN交换机 1 2 3 4 5,H1,H2,H3,H4,H5,V2,V3,access,access,VLAN2,VLAN3,Untagged（default）,Untagged（de

22、fault）,LanMan 2017,YKW UESTC,案例2：VLAN中继配置,交换机1 port5 和交换机2 port 3分别设置为： trunk mode ，VLAN2和3 ，tagged（默认），（ trunk protocol ） 两交换机其他端口设置，请自己分析完成 注意：主干链路必须配置需要中继的所有VLAN ID 图中如只配置VLAN2，则H6将不能与H1和H2通信,不同商家交换机互连，必须设置为802.1Q。 如思科交换机默认为ISL,而非802.1Q。,LanMan 2017,YKW UESTC,特殊案例：access link 站点属于多个VLAN,需要配置内容如下（

23、假设所有H为VLAN非知晓的）,VLAN交换机 1 2 3 4 5,H1,H2,H3,H4,H5,V2,V3,access,access,VLAN2,VLAN3,Untagged（default）,Untagged（default）,Multi端口 厂商为了应用方便推出的技术,得到多厂商支持 基本特性：一个端口位于多个VLAN 注意：破坏了VLAN严格的逻辑隔离性能 可用于：一台服务器为多个PC机服务,LanMan 2017,YKW UESTC,7.6 VLAN之间的通信,VLAN之间的通信 不同VLAN之间不能直接通信 交换机逻辑隔离各个VLAN VLAN间的通信，通常在L2以上处理 使用路

24、由设备在L3实现VLAN间路由 使用应用层网关 VALN间路由示例如后,LanMan 2017,YKW UESTC,路由器多个端口实现VLAN间通信,路由器R是一个VLAN 非知晓设备 不知道VLAN的存在 也不知道这两个VLAN来自同一个交换机 各个端口连接的是不同的IP子网 应用中，路由器的一个端口连接一个VLAN 为了路由，每个VLAN均设置为一个IP子网 通过路由互连了VLAN,路由器（或L3交换机）一个端口实现VLAN间通信,多VLAN经trunk链路连接路由器（L3交换机）一个端口 路由器（L3交换机）该端口 具有桥接模块，支持VLAN trunk功能 需要路由的每个VLAN设置独

25、立的IP子网 路由器（L3交换机）的f0/1口知晓VLAN存在 f0/1.1子接口对应VLAN2，f0/1.2子接口对应VLAN3 各VLAN的端站IP网关分别指向所属VLAN的子接口,f0/1.1 192.168.1.1,LanMan 2017,YKW UESTC,VLAN与IP子网的讨论,VLAN 通过L2交换机划分，是L2层概念 VLAN是逻辑网络 交换机逻辑隔离各个VLAN 不同VLAN的成员之间不能直接通信 IP子网 通过L3交换机或路由器划分，是L3层概念 当VLAN间需要路由时 每个VLAN必须对应设置一个独立的IP子网 这完全是因为路由的需要！ 但一个VLAN并非就是一个IP子

26、网！,LanMan 2017,YKW UESTC,7.7 电信级以太网（自学）,7.7.1 背景 7.7.2 相关标准 7.7.3 技术概要 7.7.4 基于网桥的CE 7.7.5 运营级主干网桥 7.7.6 运营级主干传送网 7.7.7 PBT实例,总结,LanMan 2017,YKW UESTC,7.7.1 背景,背景一 用户级以太网技术和VLAN是否可以发展为运营级？ 然而 VLAN和以太网技术原本是针对局域网环境的 无法满足电信级运营的城域网要求，如： VLAN数量的限制 用户网络与运营商网络的隔离 QoS保障 一系列新的802规范推出： 802.1ad、802.1ah、802.1ag

27、、802.1Qay、 用户级网桥开始演进成运营级网桥,LanMan 2017,YKW UESTC,7.7.1 背景,背景二 以太网业务的需求 以太网最初仅是是一种IP承载技术 以太帧已随IP网络而成为一种通用承载 以太网传送因规模效应带来成本优势而加速推广 运营商开始考虑 将以太网作为一种业务推向用户 电信级以太网因而包括两大范畴 以太网业务 具有电信级特征的以太网传送技术,LanMan 2017,YKW UESTC,7.7.1 背景,背景三：需求 以太网业务的电信级质量 电信级传送：安全、QoS、 电信级网络：网络保护 电信级运维：OAM 背景四：基本策略 基于现有技术改进： MPLS、以太

28、网桥、,LanMan 2017,YKW UESTC,7.7.1 背景,背景五：MEF主导的名称演变 MEF：Metro Ethernet Forum 城域以太网论坛 2001年最初称为：城域以太网 Metro Ethernet 后来曾称：运营级以太网或运营商以太网 Carrier Grade/Class Ethernet 2005年后正式使用：电信级以太网 Carrier Ethernet,LanMan 2017,YKW UESTC,7.7.1 背景,背景六： 电信级以太网涉及多方面标准 MEF：以太业务、端到端特性 IEEE 802：PBB/PBT ITU-T：T-MPLS（PTN） IET

29、F：IP/MPLS、MPLS-TP 反映出： 多方关注 标准复杂,LanMan 2017,YKW UESTC,7.7.2 相关标准,MEF标准 MEF认为： 运营商使用以太连通性技术以提供以太业务 电信级以太网应常用面向连接的模式 MEF关注： 体系结构、业务规范及一致性测试、业务模型 并不局限于特定实现 MEF文档： MEF1MEF15，,LanMan 2017,YKW UESTC,7.7.2 相关标准,MEF 4 系统架构和参考模型 MEF 6/10 以太业务的定义、属性和参数 MEF6：以太业务的定义 以太业务：两种类型、三个级别 E-Line P2P EVC：点对点以太虚连接 可提供两

30、个级别的业务：EPL、EVPL 以太网专线、以太虚拟专线 E-LAN MP2MP EVC：多点对多点以太虚连接 可提供以太局域网业务,LanMan 2017,YKW UESTC,7.7.2 相关标准,IETF相关标准 MPLS协议族 MPLS-TP协议族 ITU-T相关标准 T-MPLS协议族 OAM：以太网的运维,LanMan 2017,YKW UESTC,7.7.2 相关标准,IEEE 802相关标准： PBB/PBT PBB：Provider Backbone Bridge PBT：Provider Backbone Transport（PBB-TE） 增强MAC桥、构建电信级以太网 8

31、02标准系列 802.1ad-2005：Q in Q 802.1ag-2007：CFM 802.1ah-2008：MAC in MAC 802.1Qay-2009：PBB-TE 802.1aq（制定中）：SPB,LanMan 2017,YKW UESTC,7.7.3 技术概要,基于：现有技术改进 基于MPLS：使用标签（Label）建立连接 基于网桥：使用隧道（路径指配）建立连接 简化：现有技术中无需的复杂性 MPLS：专用于IP传送的无连接特性 以太网桥：用户级的便利性 增强：电信级网络的特征 面向连接、 OAM 安全、QoS、网络保护,LanMan 2017,YKW UESTC,7.7.3

32、 技术概要,基于MPLS T-MPLS、MPLS-TP T-MPLS = MPLS - IP + OAM 基于以太网桥 PBB/PBT、PBB-TE PBT = PBB - L2不安全 + TE + OAM,LanMan 2017,YKW UESTC,7.7.3 技术概要,CE：多层面认识 业务等级 MEF9、MEF14、MEF18 基础网络设施 数据平面：可基于MPLS或PBB/PBT 管理平面：OAM、CFM、 控制平面：信令、路由（例如SPB ）、,LanMan 2017,YKW UESTC,7.7.4 基于网桥的CE,基于网桥 网桥 MAC桥，L2桥接，遵循802.1D标准 桥接式局域

33、网：取得极大成功 高性能、低成本 自动配置（PnP）、使用简便 但是：安全强度很低、可管理性很弱 “电信级”改造 保持高性能、低成本 强化安全性、可管理性，不在乎增加使用复杂性,LanMan 2017,YKW UESTC,7.7.4 基于网桥的CE,IEEE 802.1Q标准扩展 IEEE基于802.1Q进行了一系列扩展 从VLAN起步，构造了PBB/PBT 构造网络的数据平面、管理平面、控制平面 802.1Q标准制定非常活跃 802.1Q系列标准：见下 802.1Q制定中标准：见下,LanMan 2017,YKW UESTC,7.7.4 基于网桥的CE,802.1Q系列：已制定标准 802.

34、1Q-2005 VLAN Bridges 802.1ad-2005 Provider Bridging 802.1ag-2007 Connectivity Fault Management 802.1ah-2008 Provider Backbone Bridge (PBB) 802.1aj-2009 Two Port MAC Relay (TPMR) 802.1ak-2007 MRP, MVRP and MMRP 802.1ap-2008 MIB definitions for VLAN Bridges 802.1Qat-2010 Stream Reservation Protocol (S

35、RP) 802.1Qau-2010 Congestion Management 802.1Qav-2009 Forwarding and Queuing Enhancements for Time-sensitive Streams 802.1Qaw-2009 Management of Data-Driven and Data-Dependent Connectivity Faults 802.1Qay-2009 PBB-TE,LanMan 2017,YKW UESTC,7.7.4 基于网桥的CE,802.1Q：制定中标准 802.1aq Shortest Path Bridging (SP

36、B) 802.1Qaz Enhanced Transmission Selection for Bandwidth Sharing Between Traffic Classes 802.1Qbb Priority-based Flow Control 802.1Qbc Provider Bridging - Remote Customer Service Interface 802.1Qbe Multiple Backbone Service Instance Identifier (I-SID) Registration Protocol (MIRP) 802.1Qbf PBB-TE In

37、frastructure Segment Protection 802.1Qbg Edge Virtual Bridging - VEPA 802.1Qbh Bridge port Extension / VN-Tag,LanMan 2017,YKW UESTC,7.7.4 基于网桥的CE,数据平面 802.1Q-2005（1998）：Q加标帧，层次性封装起步 802.1ad-2005：Q in Q， VLAN隔离 802.1ah-2008：MAC in MAC，PBB，地址空间隔离 管理平面 802.1ag-2007：CFM，桥接网络OAM 控制平面 802.1Qay-2009：PBB-TE

38、（PBT） 802.1aq - ?：SPB（最短路径桥接 ） 802.1Qax、802.1Qbx、,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,多层封装 802.1ad：隔离VLAN空间 802.1ah：隔离MAC地址空间 实现：流量隔离 用户流量不直接承载在主干网 实现：空间隔离 用户地址空间与运营商地址空间隔离 可能：传送机制隔离 主干网转发机制与用户转发无直接关系,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,PBB：帧格式演变 SA: Source Address DA: Destination Address VID: VLAN

39、ID C-VID: Customer VID S-VID: Service VID I-SID: Service Instance ID B-VID: Backbone VID B-DA: Backbone DA B-SA: Backbone SA,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,Q in Q：多层封装 802.1ad-2005：Q in Q 提出：运营商级VLAN，对立于用户级VLAN 基于802.1Q：在用户Q-Tag之外加封运营商Q-Tag 即是：在802.1Q加标帧基础上再加封一个802.1ad的标志头 用户级C-VID（Customer VID

40、）、运营商级S-VID（Service VID） 运营商桥接LAN与用户LAN完全独立 定义运营商网桥及运营商桥接LAN 运营商和用户分别独立管理各自的网络 运营商网络（802.1ad）、用户网络（802.1Q） 使运营商服务VLAN与用户VLAN完全独立 实现了相互隔离的VLAN双层空间 运营商可自由配置VLAN 多个用户的VLAN无需统一 Q in Q技术实现了用户VLAN流量在运营商网络上的透明传送,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,802.1ad：网络结构,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,802.1ah：MA

41、C IN MAC的引入 802.1ad技术用于城域网的局限性 虽然能够隔离用户VLAN和运营商VLAN 但运营商网桥仍会学习用户MAC地址，运营商不能隔离用户MAC 运营商VLAN ID 为12位，运营商的服务VLAN 数受限，不利规模发展 为解决802.1ad的问题而制定802.1ah-2008 MAC in MAC机制 2008/08/14，2008/06/12,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,PBB：802.1ah-2008 运营商级网桥、PBT的技术基础 Provider Backbone Bridge 基本机制：MAC in MAC 双层地址空

42、间：在用户MAC之外加封运营商MAC 在MAC层隔离了运营商和用户地址域 强化了：以太网的可扩展性、业务的安全性 I-TAG的引入是PBB的关键 I-TAG：业务实例标签、长度24 bit、用以标识业务 服务实例提升为224（16M）（802.1ad为212，4K） MAC帧转发可以基于运营商地址空间 BDA/BSA：运营商主干网目的/源地址 双地址空间和基于BDA/BSA转发 隔离：运营商网络和用户网络,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,PBB的4种类型 主干边缘桥：3种 Backbone Edge Bridge 仅包括一个I成份，可识别和封装业务VLA

43、N 仅包括一个B成份，可识别B-VLAN 同时包括一个I成份和一个B成份 既可识别和封装业务VLAN，也可识别B-VLAN 普通的运营商网桥：1种 原本的802.1ad网桥,LanMan 2017,YKW UESTC,7.7.5 运营级主干网桥,802.1ah：网络结构,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBT：运营商主干传送网 Provider Backbone Transport PBT：BT提出，Nortel启动研发 英国电信（British Telecom）、北电 IEEE 802.1Qay-2009：PBB-TE PBB Traffic Eng

44、ineering 支持流量工程的运营商主干网桥 PBT技术特征 基于PBB PBT = MACinMAC - L2不安全 + TE + OAM,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBT理解：双重地址空间 运营商地址空间 802.1ah定义了BDA/BSA 地址配置：通过管理平面、控制平面，运营商可管理 运营商地址空间与用户地址空间相互隔离 用户地址配置：通常取自网卡物理地址，用户使用便利 帧转发 依据BDA而不是DA 在运营级网络上隔离了用户流量,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBT理解：PBB简化 取消原有桥

45、接网中的某些不安全机制 地址自动学习、洪泛式转发、生成树协议 这些机制为用户提供使用的方便，但极易受到攻击 洪泛转发：取消 DA不明帧：丢弃，不洪泛转发 MAC自学习功能：关闭 地址配置：预先配置，而非源地址学习 配置在管理平面实现，并逐渐交由控制平面 组播功能：关闭、丢弃组播/广播帧 环路阻止协议：关闭（例如STP、RSTP）,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBT理解：转发路径 数据帧的转发路径：预指配 转发判据：外层的MAC和VID BDA+BVID 不同的B-DA可以采用相同的C-VID 用户VLAN（内层的C-VID）无需全网唯一 兼容传统以

46、太网桥架构 用户数据帧无需要修改 主干数据帧具有标准的以太帧格式 中继节点无需更新即可基于（BDA+BVID）转发数据帧 运营商对CE可控，并可隔离用户流量 转发效率高、设备成本低,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBT理解：使CE具有准连接性 增加面向连接的特性 以便实现电信传送网功能 保护切换、OAM、QoS、流量工程，等,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBB：增强运营级网络特性 可配置：流量工程和保护点到点业务实例 Pt-Pt Service Instance 使网络的业务事实上具有连接特性 点到点的Trunk或业务实例的配置 Trunk标识： （B-VID、B-SA、B-DA） 实现： 保护倒换、OAM、QoS、TE，等,LanMan 2017,YKW UESTC,7.7.6 运营级主干传送网,PBT理解：网络管理 支持带宽管理和CAC功能 连接接纳控制：Connection Admission Control 实现对网络资源的管理 连接建立