《虚拟局域网技术讲义》由会员分享,可在线阅读,更多相关《虚拟局域网技术讲义(3页珍藏版)》请在金锄头文库上搜索。
1、虚拟局域网技术讲义虚拟局域网技术讲义 欢迎各位专家、评委来听我的课,请给予批评和指正。欢迎各位专家、评委来听我的课,请给予批评和指正。 我们知道交换机是当前网络建设中最主流的网络互联设备。我们学校的校园网我们知道交换机是当前网络建设中最主流的网络互联设备。我们学校的校园网 几乎都由交换机互联而构成,我们的校园网还有这样一个特点,物理网络往往几乎都由交换机互联而构成,我们的校园网还有这样一个特点,物理网络往往 是由网络信息中心建设和维护,只为教学机构留出端口,而教学机构由学校根是由网络信息中心建设和维护,只为教学机构留出端口,而教学机构由学校根 据需求安排在某栋楼,随时间变化还可能调整,比如我们
2、熟悉的高职楼,我们据需求安排在某栋楼,随时间变化还可能调整,比如我们熟悉的高职楼,我们 每一层楼由一个交换机接入形成一物理网段,而每一层又有不同的教学机构,每一层楼由一个交换机接入形成一物理网段,而每一层又有不同的教学机构, 形成物理网与教学机构复杂交叉的现象。形成物理网与教学机构复杂交叉的现象。 这是计算机系、电信系,外语学院。这是一个完全由交换机构成的网络。这是计算机系、电信系,外语学院。这是一个完全由交换机构成的网络。 我们上次课学习了交换机的结构和工作原理,知道由交换机构成的网络在一个我们上次课学习了交换机的结构和工作原理,知道由交换机构成的网络在一个 物理广播域里,也就是说在一个端口
3、上发送广播信息,整个广播域的计算机都物理广播域里,也就是说在一个端口上发送广播信息,整个广播域的计算机都 可以收到该信息。可以收到该信息。 现在大家想一想,这种工作方式会产生什么结果?现在大家想一想,这种工作方式会产生什么结果? 比如,计算机系对本系内部发送一个广播通知信息,电信系、外语学院都能同比如,计算机系对本系内部发送一个广播通知信息,电信系、外语学院都能同 时收到,这样,就导致信息泄露。我们怎样解决这个问题呢。时收到,这样,就导致信息泄露。我们怎样解决这个问题呢。 让我们带着这个问题来学习新的网络技术让我们带着这个问题来学习新的网络技术虚拟局域网技术虚拟局域网技术概念概念 由于生产厂商
4、不同由于生产厂商不同, ,生产的交换机划分逻辑网的算法和实现程序不同生产的交换机划分逻辑网的算法和实现程序不同. .但它们划但它们划 分的满足以下特点:分的满足以下特点: 1 1)VLANVLAN 内的所有成员在一个独立于物理位置的逻辑广播域内;内的所有成员在一个独立于物理位置的逻辑广播域内; 2 2)一个)一个 VLANVLAN 是一个有限的广播域,是一个有限的广播域, VLANVLAN 成员之间不需要路由直接通信成员之间不需要路由直接通信 3 3)VLANVLAN 之间需要路由才能通信之间需要路由才能通信4 4)在一个)在一个 VLANVLAN 中,通过软件来管理(增加、修改、删除)成员中
5、,通过软件来管理(增加、修改、删除)成员 我们由特点可以总结出以下功能我们由特点可以总结出以下功能 : 控制网络广播、提高网络性能;控制网络广播、提高网络性能; 分隔网段、确保网络安全;分隔网段、确保网络安全; 简化网络管理、提高组网灵活性简化网络管理、提高组网灵活性我们前面说了不同的交换机的不同我们前面说了不同的交换机的不同 VLANVLAN 划分方式。这儿学习三个传统典型的划划分方式。这儿学习三个传统典型的划 分方法:分方法: 1 1端口划分端口划分 划划分分依依据据:以以 交交换换机机上上的的几几个个端端口口划划分分一一个个逻逻辑辑组组,这这是是最最简简单单、最最有有效效的的 划划分分方
6、方法法。 优优点点:划划分分简简单单、有有效效, 缺缺点点:是是当当用用户户从从一一个个端端口口移移动动到到另另一一个个端端口口时时,网网络络管管理理员员必必须须对对 VLAN 成成员员进进行行重重新新配配置置。2 2 基于基于 MACMAC 地址的地址的 VLANVLAN 划划分分依依据据:根根据据每每个个主主机机的的 MAC 地地址址来来划划分分, 以以每每个个主主机机 MAC 地地址址来来划划 分分逻逻辑辑组组。 优优点点:就就是是当当用用户户物物理理位位置置移移动动时时,即即从从一一个个交交换换机机换换到到其其他他的的交交换换机机时时, VLAN 不不用用重重新新配配置置,基基于于用用
7、户户的的 VLAN。 缺缺点点:是是初初始始化化时时,所所有有的的用用户户都都必必须须进进行行配配置置,如如果果有有几几百百个个甚甚至至上上千千个个 用用户户的的话话,配配置置是是非非常常累累的的 3.基基于于协协议议的的 VLAN 划划分分依依据据:根根据据每每个个主主机机的的 网网络络层层运运行行的的协协议议来来 划划分分逻逻辑辑组组。 优优点点:用用户户的的物物理理位位置置改改变变了了,不不需需要要重重新新配配置置所所属属的的VLAN。不不需需要要附附 加加的的帧帧标标签签来来识识别别 VLAN,这这样样可可以以减减少少网网络络的的通通信信量量。 缺缺点点:效效率率低低,因因为为检检查查
8、每每一一个个数数据据包包的的网网络络层层地地址址是是需需要要消消耗耗处处理理时时间间的的 (相相对对于于前前面面两两种种方方法法 ),一一般般的的交交换换机机芯芯片片都都可可以以自自动动检检查查网网络络上上数数据据包包的的 以以太太网网帧帧头头,但但要要让让芯芯片片能能检检查查 IP 帧帧头头,需需要要更更高高的的技技术术,同同时时也也更更费费时时。传统基于端口的传统基于端口的 VLANVLAN 划分方法不能跨交换机上划分划分方法不能跨交换机上划分, ,这个问题需要解这个问题需要解, ,另外另外, ,更更 为了统一为了统一 VLANVLAN 的划分方法,国际标准化组织的划分方法,国际标准化组织
9、 IEEE802.1IEEE802.1 评审委员会于评审委员会于 19961996 年年 完成基于完成基于 IEEE802.1QIEEE802.1Q 的的 VLANVLAN 的划分标准修定的划分标准修定, ,在在 19991999 年进行了发布年进行了发布. .它是二代它是二代 基于基于 VLANVLAN 的划分国际标准协议,被几乎所有的网络设备生产商所共同支持;的划分国际标准协议,被几乎所有的网络设备生产商所共同支持; CiscoCisco 交换机独有的交换机独有的 ISLISL 协议协议, ,但同时也支技但同时也支技 IEEE802.1QIEEE802.1Q 这个协议标准这个协议标准. .
10、我们实我们实 验的验的 H3CH3C 的交换机完全支持的交换机完全支持 IEEE802.1QIEEE802.1Q 标准标准. .它的思想它的思想: :在交换机内和交换机与交换机之间传送的帧上帖上在交换机内和交换机与交换机之间传送的帧上帖上 VLANVLAN 序号标记序号标记. .交换机根据帧的目地地址和帧标记在交换机端口间转发交换机根据帧的目地地址和帧标记在交换机端口间转发. .这好比全国为一个大物这好比全国为一个大物 理网络理网络, ,我们每个行业为一个虚拟网我们每个行业为一个虚拟网. .帖了某行业标记的政策文件只能再该行业帖了某行业标记的政策文件只能再该行业 内转发执行内转发执行, ,而要
11、跨行业时需要更上层的主管协调转发而要跨行业时需要更上层的主管协调转发. .那这个怎样标记那这个怎样标记 我们先来看看标记的格式我们先来看看标记的格式: :由谁贴呢由谁贴呢. . 标记是由交换机的接口电路来贴标记是由交换机的接口电路来贴. .为了确定这贴标记的规则为了确定这贴标记的规则. .我把支持我把支持 IEEE802.1QIEEE802.1Q 标准的交换机的端口工作在标准的交换机的端口工作在:Access:Access 和和 TrunkTrunk 两种工作模式两种工作模式. .这两种这两种 工作模式理解是我们理解工作模式理解是我们理解 VLANVLAN 划分的核心划分的核心. .这两种方式
12、清楚就会对今后验证实这两种方式清楚就会对今后验证实 验中出现的问题无法解决验中出现的问题无法解决; ; 先看看它们的在交换机上如何工作的先看看它们的在交换机上如何工作的. . Acess 端口收报文端口收报文:收到一个报文收到一个报文,判断是否有判断是否有 VLAN 信息:信息: 如果没有则打上端口的如果没有则打上端口的 PVID,并进行交换转发,并进行交换转发, 如果有则直接丢弃(缺省)如果有则直接丢弃(缺省) Acess 端口发报文:端口发报文: 将报文的将报文的 VLAN 信息剥离,直接发送出去信息剥离,直接发送出去 trunk 端口收报文:端口收报文: 收到一个报文,判断是否有收到一个报文,判断是否有 VLAN 信息:如果没有则打上端口的信息:如果没有则打上端口的 PVID,并进,并进 行交换转发;如果有判断该行交换转发;如果有判断该 trunk 端口是否允许该端口是否允许该 VLAN 的数据进入:的数据进入: 如果可以则转发,否则丢弃如果可以则转发,否则丢弃 trunk 端口发报文:端口发报文: 比较端口的比较端口的 PVID 和将要发送报文的和将要发送报文的 VLAN 信息,如果两者相等则剥离信息,如果两者相等则剥离 VLAN 信息,再发送,如果不相等则直接发送信息,再发送,如果不相等则直接发送单交换机单单交换机单 VLANVLAN 工作方式:工作方式:
