网络互联技术与实训-电子教案-鲁顶柱 第4章 虚拟局域网技术

《网络互联技术与实训-电子教案-鲁顶柱 第4章 虚拟局域网技术》由会员分享，可在线阅读，更多相关《网络互联技术与实训-电子教案-鲁顶柱 第4章 虚拟局域网技术（21页珍藏版）》请在金锄头文库上搜索。

1、网络互联技术与实训,主 编 鲁顶柱 刘邦桂,中国水利水电出版社,第四章 虚拟局域网技术主要内容,VLAN的划分,1,VLAN的帧格式,2,VLAN端口,3,VLAN间路由,4,VLAN产生的背景,5,VLAN配置,6,在以太网的发展过程中，传统网络的主要问题是可用性和性能。这两个问题受网络中带宽总和的影响。在一个碰撞域中，数据帧对该局域网上的所有设备都是可见的，因此，广播、多点广播、未知的单点传送数据帧都有可能占用过多的带宽。广播数据流量随着网络的增长而增长。过多的广播会减少最终用户的可用带宽，在最坏的情形下，广播风暴甚至可以使整个网络瘫痪。另一方面，在一个只由网桥构成的网络中，所有连在网上的

2、工作站和服务器都不得不对广播数据帧进行解码，该动作会产生额外的CPU中断并降低应用性能。经过不断的使用，后来人们又发现，除了可用性和性能的缺点，传统以太网的安全性差，和移动代价高等问题也不断的暴露出来。为此，IEEE协会专门设计规定了802.1q的协议标准，这就是VLAN技术的根本，VLAN技术由此发展起来。 VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑

3、子网中。,4.1 VLAN的产生背景,目前，从技术角度讲，VLAN的划分可依据不同原则，一般有以下几种划分方法： （1）基于端口的虚拟局域网 基于端口的虚拟局域网是最实用的虚拟局域网，它保持了最普通常用的虚拟局域网成员定义方法，配置也相当直观简单，就局域网中的站点具有相同的网络地址，不同的虚拟局域网之间进行通信需要通过路由器。采用这种方式的虚拟局域网其不足之处是灵活性不好。例如，当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个虚拟局域网，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。在基于端口的虚拟局域网中，每个交换端口可以属于一个或多

4、个虚拟局域网组，比较适用于连接服务器。,4.2 VLAN的划分,4.2 VLAN的划分,（2）基于MAC地址的虚拟局域网 在基于MAC地址的虚拟局域网中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个虚拟局域网，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。这种虚拟局域网技术的不足之处是在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个虚拟局域网。 （3）基于IP地址的虚拟局域网 在基于IP地址的虚拟局域网中，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的

5、虚拟局域网。在三种虚拟局域网的实现技术中，基于IP地址的虚拟局域网智能化程度最高，实现起来也最复杂。 （4）基于网络层划分VLAN 根据每个主机的网络层地址或协议类型(如果支持多协议)划分，虽然这种划分方法根据的是网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。在查看每个数据包的IP地址时，由于不是路由，所以没有RIP，OSPF等路由协议，,4.2 VLAN的划分,而是根据生成树算法进行桥交换。这种方法的优点是一旦用户的物理位置改变，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要；其次，这种方法不需要附加的帧标签来识别VLAN，这样可以

6、减少网络的通信量。缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时，当然这决定于各个厂商的实现方法。 （5）根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，但这种方法不适合局域网，主要是效率不高。 鉴于当前业界VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具

7、体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，H3C系列交换机采用根据端口来划分VLAN的方法。,4.3 VLAN的帧格式,IEEE802.1q协议标准定义了在同一条物理链路上承载多个子网的数据流的方法，它是一个有关trunk 封装方式的标准。为了保证不同厂家生产的设备能够顺利互通，IEEE 802.1q标准严格规定了统一的VLAN 帧格式以及其他重要参数，它是在原有标准以太网帧格式基础上修订而成的，在以太网数据帧的源MAC 地址后面增加了4 字节的Tag 域如图4-1所示，该域前2个字节是标签协议标识(TPID)，后2 个字节为标签控制信息(TCI)。,4.3 VLAN的帧

8、格式,（1）目的地址字段DA(Destination Address)：占2个或6 个字节，用于标识接收站点的地址。它分为单播地址、组播地址和广播地址。表示单播地址时，DA 字段最高位为“0”；表示组播地址时，DA 字段最高位为“1”，其余位不全为“1”，该地址指定网络上给定的多个站点；表示广播地址时，DA 字段全“1”，该地址指定网络上所有的站点。 （2）源地址字段SA(Source Address)：占2 个或6个字节，其长度与目的地址字段的长度相同，它用于标识发送站点的地址。 （3）标记协议标识TPID(Tag Protocol Identifier)：占2个字节，该字段固定的值为16进

9、制0x8100，表示这是一个添加了802.1q 标签的帧。 （4）标签控制信息TCI(Tag Control Information)：占2 个字节，它包括3bit 的用户优先级UP(User Priority)、1bit的规范格式指示器CFI(Canonical Format Indicator)和12bit的VLAN ID。IEEE 802.1q协议标准中没有定义和使用优先级字段，而IEEE 802.1P中则定义了该字段。,4.3 VLAN的帧格式,（5）类型/长度字段Type/LEN (Type/Length)：占2个字节，其值表示数据字段的字节数长度。如果是采用可选格式组成帧结构时，该

10、字段既表示包含在帧数据字段中的数据长度，也表示帧类型ID。 （6）数据字段(Data)：其内容即为LLC 子层递交的LLC 帧序列，其长度为01500 个字节。 （7）帧校验序列字段FCS(Frame Check Sequence)：占4 个字节，该序列包含32位的循环冗余校验码(CRC)值，其校验范围不包括前导码字段P 及帧起始定界符字段SFD。由发送方生成，接收方根据此值重新计算可判断并校验被破坏的帧。,4.4 VLAN端口,从交换机所处理的VLAN数据帧的不通，我们可以将交换机的端口分成三类：第一类是只能传送标准以太网帧的端口，称为Access端口；第二类是既可以传送有VLAN标签的数据

11、帧也能够传送标准以太网帧的端口，称为Trunk端口；第三类可以灵活传送数据帧，通过用户的设置可以同时传送带有VLAN标签的数据帧和标准以太网帧，称为Hybrid端口。 对于三类端口的一些规定如下： （1）Access类型：端口只能属于1个VLAN，一般用于连接计算机； （2）Trunk类型：端口可以属于多个VLAN，可以接收和发送多个 VLAN的报文，一般用于交换机之间的连接； （3）Hybrid类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 三种类型的端口可以共存在一台设备上，但Trunk端口和Hybrid端口之间不能直

12、接切换，只能先设为Access端口，再设置为其他类型端口。,4.4 VLAN端口,4.4 VLAN端口,4.5 VLAN间路由,VLAN可以控制广播并将数据通信限制在本地，阻止不同VLAN之间设备的通信，提高网络的安全性能。VLAN内部的网络设备的通信通过二层交换机可以实现，那么位于不同VLAN的网络设备要进行通信怎么办呢？答案是利用第三层的设备路由器来实现，也成为VLAN间路由。 如图所示，若VLAN 2用户和VLAN 3用户在同一网段中，它们之间不需要经过路由器，靠第二层广播就可以通信，但是由于分属不通的VLAN，第二层广播报文被隔离，这样这两个VLAN之间就无法通信了，所以通常将不同的V

13、LAN用户划分到不同的网段，它们之间的通信可以通过路由方式来实现。,4.5 VLAN间路由,虽然采用路由方式实现了VLAN之间的通信，但是采用什么设备又是个问题。如果是具有路由功能的三层交换机，当然是最好了，而且通常把路由器和交换机的功能结合起来，采用“一次路由，多次交换”的方法。 但是许多时候为了节省购买三层交换机的大额投资而使用外部路由器，这时候又出现了新的问题。当使用外部路由器时，由于路由器的一个物理接口只能连接一个网段，若使用传统的技术，则每个VLAN需要一个路由器接口，很不经济，如图所示。而且这种方法限制了VLAN数量的增加，不利于网络的发展，实际应用显然行不通。,4.5 VLAN间

14、路由,那能够用外部路由器的一个物理接口把所有VLAN都连起来，即用一条物理链路传送所有的VLAN的数据流呢？回答是肯定的。只要路由器的以太网接口支持VLAN Trunking功能，就可以把路由器和交换机的链路设置成Trunk，传递所有VLAN的数据流，再将路由器的这个以太网接口划分成与VLAN等数量的子接口，每个子接口连接一个VLAN，于是问题就解决了，如图所示，这种办法称为独臂路由（one armed-router）。这种办法的缺点是外部路由器与交换机之间的单一链路承担了VLAN之间的所有通信量，容易成为交通瓶颈，当VLAN间通信量较大时需要较宽的带宽。,4.6 VLAN 配置,VLAN的基

15、本配置,4.6 VLAN 配置,VLAN接口的基本配置,4.6 VLAN 配置,配置实例 （1）组网需求 创建VLAN2、VLAN3，指定VLAN2的描述字符串为home； 要求PCA、PCB、PCC属于VLAN2，PCD、PCE、PCF属于VLAN3，相同子网能互访，不同字网不能互访； PCA、PCB、PCF分别连接交换机A的Ethernet1/0/1到Ethernet1/0/3，PCC、PCD、PCE分别连接交换机B的Ethernet1/0/1到Ethernet1/0/3，交换机之间用Ethernet1/0/4相连，按照网络拓扑图如图4-5连接好设备。,4.6 VLAN 配置,配置步骤 S

16、witchA # 创建VLAN2并进入其视图。 system-view SwitchA vlan 2 # 指定VLAN2的描述字符串为home。 SwitchA-vlan2 description home # 向VLAN2中加入端口Ethernet1/0/1和Ethernet1/0/2。 SwitchA-vlan2 port Ethernet 1/0/1 to Ethernet 1/0/2 # 创建VLAN3并进入其视图。 SwitchA-vlan2 vlan 3 # 向VLAN3中加入端口Ethernet1/0/3。 SwitchA-vlan3 port Ethernet 1/0/3 # 配置端口的类型。 SwitchA-Ethernet1/0/4port link-type trunk # 设定Trunk端口允许通过VLAN2和VLAN3的数据。 SwitchA- Ethernet1/0/4port trunk permit vlan 2 to 3,4.6 VLAN 配置,SwitchB # 创建VLAN2并进入其视图。 system-