《数据系列_技术原理分册_第4章_VLAN技术.doc》由会员分享,可在线阅读,更多相关《数据系列_技术原理分册_第4章_VLAN技术.doc(21页珍藏版)》请在金锄头文库上搜索。
1、 第4章 VLAN技术第4章 VLAN技术4.1VLAN技术概述4.1.1VLAN产生的背景众所周知,在基于CSMA/CD(具有冲突检测的载波侦听多路访问)机制工作的传统以太网络中,由于网络中所有的设备都共存于同一个广播域中,所以存在以下的问题:l 安全性问题在同一网络中传送的数据帧对于该局域网上的所有设备都是可见的。l 网络性能及带宽利用率问题在传统网络中,不管是否必要,大量广播数据帧被直接送往所有网络设备。并且,广播流量会随着网络规模的增长而增大,过多的广播流量会减少网络的可用带宽,并最终导致网络的拥塞。在最坏的情形下,广播风暴甚至可以使整个网络瘫痪。另一方面,所有接入网络的主机都不得不对
2、接收到的广播数据帧进行必要的分析,而该动作会产生额外的CPU中断并降低应用性能。l 对网络中的设备进行移动和改变不方便在传统网络中,网络管理员不得不在网络设备发生变更时花费大量的时间和精力,例如:如果用户移动到另一个不同的子网,那么每个终端的地址都得重新设置。为了解决上述问题,业界提出了VLAN技术,并由IEEE制定了相关的协议标准:802.1Q,用于规定VLAN技术的实现。在基于VLAN的网络中:l 通过设置某个VLAN中只包含那些必须相互通信的设备从而减少网络中的广播流量、提高网络效率。l 在某个VLAN中的设备只能与位于同一VLAN中的设备通信,这样确保了本VLAN的信息不会被其他VLA
3、N的主机窃听而实现了信息的保密。另外,不同VLAN间的设备需要互相通讯,则必须通过路由设备进行,这样,我们就可以在路由设备上对需要互访的设备进行相应的策略限制来提高网络的安全性和可控性。l 在基于端口的VLAN网络中,如果网络中的终端设备需要移动到网络中的另一个位置,网络管理员只需对该位置的交换机相应端口进行简单配置即可完成,不需要对被移动的网络设备进行其它改动,实现了灵活的接入特性。4.1.2 传统VLAN的划分思路:由于网络中大部分终端设备不具备为数据帧打标记的功能,因此必须要有一种有效的手段使终端设备所传送的数据帧与VLAN标识建立关联,而建立关联的手段传统上有如下几种:4.1.2.1
4、基于端口划分VLAN根据以太网交换机的端口来划分VLAN是最常见的方法(如图4-1),例如交换机的1-4端口为VLAN A,5-17为VLAN B,18-24为VLAN C。当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定。图4-1 基于端口划分VLAN示意图图中端口1和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C连接在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。如果有多个交换机的话,例如,可以指定交换机1的1-6端口和交换机2的1-4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机。基于端口
5、划分VLAN的优点是定义VLAN成员时非常简单,只要将相应的端口都划分到相应的VLAN就可以了;缺点是灵活性不够,例如VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。4.1.2.2 基于MAC地址划分VLAN根据每个主机的MAC地址来划分VLAN的方式具有动态灵活的效果,即对所有主机都根据它的MAC地址配置主机属于哪个VLAN;交换机维护一张VLAN映射表,这个VLAN表记录MAC地址和VLAN的对应关系(如图4-2)。图4-2 基于MAC地址划分VLAN示意图这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VL
6、AN不用重新配置,所以,可以认为这种MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的。此外这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。4.1.2.3 基于三层协议的VLAN这种情况是根据二层数据帧中协议字段的值进行VLAN的划分。通过二层数据中协议字段的值,可以判断出其上层运行的网络协议,如IP协议或者是IPX协议。如果一个物理网络中既有IP网络
7、又有IPX等多种协议运行的时候,可以采用这种VLAN的划分方法(如图4-3)。图4-3 基于三层协议划分VLAN示意图由于在实际应用的网络中不同三层网络协议同时运行于同一物理网络的情况基本不会出现,因此,这种类型的VLAN在实际应用中很少见。4.1.2.4 基于IP子网划分VLAN基于IP子网划分的VLAN是根据IP数据包中的IP地址网段来决定该报文属于哪个VLAN:同一个IP子网的报文属于同一个VLAN。这样,可以将同一个IP子网中的用户被划分在一个VLAN内(如图4-4)。图4-4 基于IP子网划分VLAN示意图上图表明交换机如何根据IP地址来划分VLAN:主机A、主机C的都属于IP子网1
8、.1.1.0/24,根据VLAN表的定义,它们因此属于VLAN5;同理,主机B、主机D属于VLAN10。如果主机B修改自己的IP地址,变成1.1.1.9,那么主机B就不再属于VLAN10,而是属于VLAN5了。l 利用IP子网定义VLAN的有点如下:1) 这种方式可以按传输协议划分网段。这对于希望针对具体应用的服务来组织用户的网络管理者来说是非常有诱惑力的。2) 用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户。l 利用IP子网定义VLAN的缺点是效率较低,是因为检查每一个数据包的网络层地址是很费时的。同时由于一个端口也可能存在多个VLAN的成员,对广播报文也
9、无法有效抑制。4.1.3 当前VLAN的实现方式:IEEE802.1Q802.1Q(Virtual Bridged Local Area Networks)协议是由IEEE制定的一个国际公有标准协议,其规定了VLAN的实现,同时它也是现今业界普遍支持的VLAN实现方式。基于802.1Q协议的VLAN实现需要在标准的以太网帧头部插入了4个字节的802.1Q标识(如图4-5)。图4-5 基于802.1Q的帧格式示意图这4个字节的标识中包含以下内容:l 2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。l 2个字节的标记控制信息(TCI),包含了三个域
10、。l Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先级。该域被802.1p采用。l 规范格式指示符(CFI)域,占1bit,0表示规范格式,应用于以太网;1表示非规范格式,应用于Token Ring。l VLAN ID域,占12bit,用于标示VLAN的归属。4.1.4 IEEE802.1P优先级标记队列调度技术是一种能够优先保证对服务质量要求高的数据包(如某些语音数据包和重要的业务数据)快速转发的一项技术。例如VoIP、视频会议或多媒体应用程序等对数据传输的实时性要求都很高,不允许数据帧在传输和转发过程中有较长的延时,队列调度机制可以使交换机按重
11、要、非重要对需要转发的数据帧进行排队,将定制的高优先级数据帧优先进行发送,从而保证这些该类数据帧以最快的速度转发给目的节点。为了使网络设备能对以太网数据帧进行优先级标识,并以此对不同优先级的以太网帧进行不同的优先调度,并为不同类型服务提供不同的服务质量,IEEE制定了802.1P协议,该协议利用了802.1Q标识中的三个bit位为以太网数据帧提供8个优先级(如图4-6)。图4-6 基于802.1P的帧格式示意图以太网数据帧的QOS遵循IEEE 802.1P协议统一标准,可以为数据帧最多设置8个优先级,“7”为最高优先级,“0”为最低优先级,但一般仅设置4个优先级即可。4.1.5 交换机链路在基
12、于VLAN的网络环境下,交换机间的链路可分为以下三种(如图4-7):图4-7 交换机链路示意图访问链路指的是用于连接终端用户主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。访问链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN发送信息。不同VLAN的信息必须通过三层路由处理后才能转发到这个端口上。干道链路是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的互连,或者用于交换机和路由器之间的连接。数
13、据帧在干道链路上传输的时候,交换机必须用一种方法来识别数据帧是属于哪个VLAN的。IEEE 802.1Q定义了VLAN帧格式,所有在干道链路上传输的帧都是打上标记的帧(tagged frame)。通过这些标记,交换机就可以确定哪些帧分别属于哪个VLAN。和访问链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载VLAN数据的,因此干道链路是不属于任何一个具体的VLAN的。混合链路是指该链路承载的报文可以带tag标记也可以不带tag标记,混合链路有特殊的应用场合,如实现部分本地vlan等。4.2 交换机对各种数据帧的处理方式从以太网络设备自身角度出发,可将其端
14、口上接收到的数据帧分为已知单播、未知单播、广播、组播帧。根据所接收到的以太网数据帧类型不同,以太网交换机将采取不同的处理方式,下面分别对以上几种类型的数据帧进行定义并就交换机对不同的数据帧的处理行为进行描述(如图4-8)。图4-8 交换机对数据帧处理示意图4.2以太网的数据帧4.2.1各种类型数据帧的定义已知单播帧是指交换机接收到的并符合以下条件的数据帧:其目的MAC地址为一个单播MAC地址,而且在交换机的FDB(转发信息库)表中也存在与该目的MAC地址相应的FDB表项。未知单播帧是指交换机接收到的并符合以下条件的数据帧:其目的MAC地址为一个单播MAC地址,但在交换机的FDB(转发信息库)表
15、中不存在与该目的MAC地址相应的FDB表项。广播帧是指交换机接收到的并符合以下条件的数据帧:其目的MAC地址为一个广播MAC地址(十六进制的0XFFFFFFFFFFFF)。组播帧是指交换机接收到的并符合以下条件的数据帧:其目的MAC地址为一个合法的组播MAC地址(以十六进制的0X01005E开始的MAC地址)。4.2.2 交换机对各种类型数据帧的处理交换机在端口上接收到以太网广播、组播帧和未知单播帧后,会在端口所在的VLAN域中广播。交换机在端口上接收到已知单播帧后,会查找FDB表,并将其转发到FDB表中的对应端口。4.3 VLAN相关概念4.3.1 端口的本征VLAN指端口接收到不打标记的报文后,将报文归属到某个VLAN中去,该VLAN称为该端口的本征VLAN,即端口default VID所在的VLAN(如图4-9)。图4-9 交换机端口本征VLAN示意图4.3.2 端口的关联VLAN指该端口以tag的方式加入到一系列的VLAN中,这些VLAN集合称为该端口的关联VLAN(如图4-10)。图4-10 交换机端口的关联VLAN示意图4.3.3 VLAN的关联端口指该VLAN包含的端口,不管端口是以tag还是untag方式加入,均为该VLAN的关联端口(如图4-11)。图4-11 交换机中VLA
