《课程 DA000005-VLAN技术原理》由会员分享,可在线阅读,更多相关《课程 DA000005-VLAN技术原理(18页珍藏版)》请在金锄头文库上搜索。
1、课程 DA000005VLAN技术原理ISSUE 1.0DA000005 VLAN技术原理 ISSUE1.0ISSUE 1.0目 录目 录课程说明1课程介绍1课程目标1第1章 虚拟局域网(VLAN)概述21.1 VLAN的产生21.2 VLAN的类型61.2.1 基于端口的VLAN61.2.2 基于MAC地址的VLAN71.2.3 基于协议的VLAN81.2.4 基于子网的VLAN9第2章 IEEE802.1Q协议102.1 协议概述102.2 VLAN帧格式112.3 VLAN链路122.3.1 VLAN链路的类型122.3.2 VLAN帧在网络中的通信142.3.3 Trunk和VLAN1
2、5iDA000005 VLAN技术原理 ISSUE1.0课程说明课程说明课程介绍本课程介绍虚拟局域网(VLAN)的原理,VLAN 在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。课程目标完成本课程的学习后,您应该能够: l 了解VLAN 产生的原因l 了解划分VLAN的方法l 掌握VLAN的帧格式l 掌握以太网帧在通信过程中的变化1DA000005 VLAN技术原理 ISSUE1.0第1章 虚拟局域网(VLAN)概述第1章 虚拟局域网(VLAN)概述1.1 VLAN的产生传统的局域网使用的是H
3、UB,HUB只有一根总线,一根总线就是一个冲突域。所以传统的局域网是一个扁平的网络,一个局域网属于同一个冲突域。任何一台主机发出的报文都会被同一冲突域中的所有其它机器接收到。后来,组网时使用网桥(二层交换机)代替集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。但是网络中所有端口仍然处于同一个广播域,网桥在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的问题。由于网桥二层网
4、络工作原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一般需要将网络进行分段:把一个大的广播域划分成几个小的广播域。过去往往通过路由器对LAN进行分段。图中用路由器替换上一图中的中心节点交换机,使得广播报文的发送范围大大减小。这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。作为替代的LAN分段方法,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。虚拟局域网(VLANVirtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个
5、物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。图中几个部门都使用一个中心交换机,但是各个部门属于不同的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比,具有以下优势: 减少移动和改变的代价即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,
6、无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。 当然,并不是所有的VLAN定义方法都能做到这一点; 虚拟工作组使用VLAN的最终目标就是建立虚拟工作组模型,例如,在企业网中,同一个部门的就好像在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点,而他仍然在该部门,那么,该用户的配置无须改变;同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个理想的目标,要实现它,还
7、需要一些其他方面的支持;用户不受到物理设备的限制,VLAN用户可以处于网络中的任何地方;VLAN对用户的应用不产生影响;VLAN的应用解决了许多大型二层交换网络产生的问题: 限制广播包,提高带宽的利用率:有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽; 增强通讯的安全性:一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网
8、络上是收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密; 增强网络的健壮性:当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本。1.2 VLAN的类型1.2.1 基于端口的VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的14端口为VLAN A,517为VLAN B,1824为VLAN C。当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定。图中端口1
9、和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C连接在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。如果有多个交换机的话,例如,可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法。这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。1.2.2 基于MAC地址的VLAN这种划分VLAN的方法是
10、根据每个主机的MAC地址来划分,即对所有主机都根据它的MAC地址配置主机属于哪个VLAN;交换机维护一张VLAN映射表,这个VLAN表记录MAC地址和VLAN的对应关系。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的。此外这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,
11、他们的网卡可能经常更换,这样,VLAN就必须不停的配置。1.2.3 基于协议的VLAN这种情况是根据二层数据帧中协议字段进行VLAN的划分。通过二层数据中协议字段,可以判断出上层运行的网络协议,如IP协议或者是IPX协议。如果一个物理网络中既有IP网络又有IPX等多种协议运行的时候,可以采用这种VLAN的划分方法。这种类型的VLAN在实际应用中用的很少。1.2.4 基于子网的VLAN基于IP子网的VLAN根据报文中的IP地址决定报文属于哪个VLAN:同一个IP子网的所有报文属于同一个VLAN。这样,可以将同一个IP子网中的用户被划分在一个VLAN内。上图表明交换机如何根据IP地址来划分VLAN
12、:主机A、主机C的都属于IP子网1.1.1.xxx,根据VLAN表的定义,它们因此属于VLAN5;同理,主机B、主机D属于VLAN10。如果主机C修改自己的IP地址,变成1.1.1.9,那么主机C就不再属于VLAN10,而是属于VLAN5了。利用IP子网定义VLAN有以下几点优势:l 这种方式可以按传输协议划分网段。这对于希望针对具体应用的服务来组织用户的网络管理者来说是非常有诱惑力的。l 用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户。这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的。同时由于一个端口也可能存在多个VLAN的成员,对广播报文
13、也无法有效抑制。16DA000005 VLAN技术原理 ISSUE1.0第2章 IEEE802.1Q协议第2章 IEEE802.1Q协议2.1 协议概述IEEE802.1Q是虚拟桥接局域网的正式标准,定义了同一个物理链路上承载多个子网的数据流的方法。IEEE 802.1Q定义了VLAN帧格式,为识别帧属于哪个VLAN提供了一个标准的方法。这个格式统一了标识VLAN的方法,有利于保证不同厂家设备配置的VLAN可以互通。IEEE 802.1Q定义了以下内容:VLAN的架构;VLAN中所提供的服务;VLAN实施中涉及的协议和算法IEEE802.1Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸
14、如帧发送及校验、回路检测,对业务质量(QOS)参数的支持以及对网管系统的支持等方面的标准。2.2 VLAN帧格式这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。TPID(Tag Protocol Identifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。TCI是包含的是帧的控制信息,它包含了下面的一些元素:Priority:这3 位指明帧的优先级。一共有8种优先级,07。IEEE 802.1Q标准使用这三位信息。Canonical Format Indicator( C
15、FI ):CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。VLAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。在一个交换网络环境中,以太网的帧有两种格式:有些帧是没有加上这四个字节标志的,称为未标记的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有标记的帧(tagged frame)。2.3 VLAN链路2.3.1 VLAN链路的类型接入链路指的是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN发送信息。不同VLAN的信息必须通
