虚拟局域网VLAN.ppt

1,Mlx 2010年秋冬,第7章 虚拟局域网,7.1 引言7.2 VLAN基础知识7.3 VLAN网桥的运行原理7.4 VLAN协议格式7.5 VLAN的配置7.6 VLAN之间的通信7.7 VLAN和以太网技术在城域网中的应用7.8 小结,2,Mlx 2010年秋冬,7.1 引言,大型桥接式LAN存在的问题用高效网桥/交换机能组建较大型的LAN由网桥/交换机组建的LAN仍属于同一个广播域 随着LAN规模的扩大，出现了难以解决的问题：广播风暴安全问题本章将针对这一问题切入，深入讨论：802.1Q标准VLAN技术，解决广播风暴问题VLAN 及以太网技术在城域网中的扩展应用,3,Mlx 2010年秋冬,7.1 引言,VLANVirtul Local Area NetworkVLAN标准最初的版本：IEEE 802.1Q-1998目前的版本：IEEE 802.1Q-2005,4,Mlx 2010年秋冬,7.2 VLAN基础知识,7.2.1 VLAN产生的背景7.2.2 VLAN的概念7.2.3 VLNA的相关术语 7.2.4 VLAN 网桥协议结构,5,Mlx 2010年秋冬,7.2.1 VLAN产生的背景,产生广播风暴原因 在桥接式LAN中，任何一个站发出的 广播帧都会传遍整个物理网 宿地址没在MAC表中的帧会扩散到整个物理网网桥/交换机为维持生成树定期发送BPDU也会在全网扩散广播风暴的影响降低网络性能：有效带宽、吞吐率下降，帧的转发时延增大增加了安全隐患：有些敏感的数据不应该传送到无关的地方 解决方法：突破一个广播域的设想 划分子网（在TCP/IP课程中讲）在第二层划分VLAN（本章内容）,6,Mlx 2010年秋冬,7.2.2 VLAN的概念,什么是VLAN（Virtual LAN）？将一个交换式网络划分为多个相互独立的虚拟物理网络这些逻辑上虚拟的物理网络称为VLANVLAN之间相互逻辑隔离，不同VLAN成员之间不能直接通信VLAN之间的通信只能通过L3或更高层VLAN划分的特点通过交换机的命令配置划分VLANVLAN的划分可以跨越交换机同一VLAN的成员物理上可以位于不同地方一个站点可以同时属于多个VLAN,7,Mlx 2010年秋冬,7.2.2 VLAN概念,VLAN划分前后图例VLAN划分前站点均位于同一广播域所有站点均可直接通信VLAN划分后一个物理网划分成VLAN2和VLAN3形成两个独立的广播域VLAN之间不能通信VLAN之内可以通信,8,Mlx 2010年秋冬,7.2.2 VLAN 的概念,VLAN 技术的分类可以有多种类型的VLAN取决于不同的VLAN划分策略VLAN类型举例基于端口的VLAN是所有可能的VLAN类型的基础基于协议的VLAN基于MAC地址的VLAN基于子网的VLAN,9,Mlx 2010年秋冬,7.2.2 VLAN的概念 分类,基于端口的VLANPort-based VLAN指定交换机的各个端口归属于某一个VLAN为端口指派VLAN ID（PVID，Port VLAN ID）按端口物理位置划分的VLAN静态划分，不会随站点接入的端口而变交换机的一个端口可同时属于多个VLAN最简单，却是得到最广泛应用的VLAN类型,10,Mlx 2010年秋冬,7.2.2 VLAN的概念 分类,基于MAC地址的VLAN根据MAC地址对VLAN分类MAC帧只会发送到站点宿站点，安全性好配置繁琐基于协议的VLAN根据高层协议对VLAN分类可能出现物理位置重叠VLAN这些分类方式均很少应用,11,Mlx 2010年秋冬,7.2.3 VLAN 相关术语,VLAN标识符帧类型VLAN知晓与VLAN非知晓VLAN链路独立学习与共享学习,12,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN 标识符,如何识别同一物理网络中的不同VLAN？给每个VLAN指派一个VLAN标识符VLAN ID、VIDVLAN标识符：VLAN Identifier不同的VLAN ID标识不同的VLANVID值一个12bit的无符号数，有效范围：14094具体设备支持的VID范围可能更小默认VID值为1，用户不能指派他用 VLAN1 默认VLAN ID当没有划分VLAN时，所有站点都属于VLAN1通常作为管理VLAN使用,13,Mlx 2010年秋冬,7.2.3 VLAN术语 帧类型,在VLAN中，帧类型包括三种：无标帧：untagged frame也称基本MAC帧如802.3的基本MAC帧有效字段64-1518八位组优先级加标帧:priority-tagged frame802.1Q协议格式在基本MAC头部增加4个八位组增加头部中，仅含优先级，无有效VID的802.1Q帧VLAN加标帧（:VLAN-tagged frame802.1Q协议头部中，既有优先级又含有效VID的帧,14,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN知晓与非知晓,VLAN中的设备可分为两类VLAN知晓设备：VLAN awareVLAN非知晓设备：VLAN unawareVLAN 知晓设备能意识到VLAN的存在识别VLAN加标帧并予以适当的处理同时也能适当处理非加标帧VLAN知晓设备通常是支持VLAN协议的交换机支持VLAN协议的服务器,15,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN知晓与非知晓,VLAN 非知晓设备：VLAN unaware不能意识到VLAN的存在不能识别VLAN加标帧VLAN知晓设备可以是：不支持VLAN协议的交换机透明转发有效帧帧长度641518字节，效验正确虽不能识别加标帧，但仍能透明转发加标帧（长度不能超1518字节）不认识VLAN，不能加标、去标，只能透明转发普通的PC机不能识别加标帧，直接将加标帧丢弃。,16,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN知晓与非知晓,图中只有交换机是VLAN知晓设备交换机只转发同一VLAN内站点之间的无标帧其余设备(H、Server)均为VLAN非知晓设备,17,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN链路,主干链路：Trunk Link通常用于互连VLAN交换机用于跨交换机传递多个VLAN的信息主干链路上传送的是VLAN加标帧接入链路：Access Link通常用于将无知晓设备接入VLAN接入链路上只能传送的是无标帧混合链路：Hybrid Link（略）,18,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN链路,主干链路（Trunk link）连接运行VLAN协议的设备（通常是运行VLAN协议的交换机）主干链路的特点主干链路的端口可能属于多个VLAN多个VLAN跨交换机共用同一链路实现中继,VALN 交换机,VLAN 交换机,VLAN2,VLAN3,Trunk link 可属于VLAN1、2、3V1为default VLAN）,19,Mlx 2010年秋冬,7.2.3 VLAN术语 VLAN链路,接入链路（access link）将VLAN非知晓设备接入VLAN交换机接入链路的特点链路只能收发无标帧链路上的VLAN入端口只属于1个VLAN,PC,VALN 交换机,PC,PC,PC,PC,接入链路,VLAN非知晓交换机,20,Mlx 2010年秋冬,7.2.3 VLAN术语 独立学习与共享学习,两种动态建表的方式独立学习：为每个VLAN建立一个MAC表共享学习：为所有VLAN建立一个共同的MAC表,MAC地址 端口 VLANMAC(1)1 2MAC(4)4 2,3MAC(5)5 3,共享学习建表,21,Mlx 2010年秋冬,7.2.4 VLAN网桥协议结构,VLAN网桥与普通网桥体系结构比较,高层实体（STP、RSTP、网管、）,MAC 实体,MAC 实体,MAC中继实体E-ISS E-ISS,MAC服务用户,MAC服务用户,MSAP,MSAP,高层协议（STP，RSTP，网管）,MAC 实体,MAC中继实体ISS ISS,LLC实体,LLC实体,MSAP,MSAP,MAC 实体,普通网桥：ISS（内部子层服务）,VLAN网桥：E-ISS（增强的内部子层服务）,22,Mlx 2010年秋冬,7.2.4 VLAN网桥协议结构,E-ISS：增强内部子层服务是ISS的增强，增加了帧的加标去标功能定义了VLAN知晓网桥中的MAC服务支持VLAN中继功能VLAN知晓网桥就是支持这些功能的网桥E-ISS服务定义的单元数据原语是EM_UNITDATA.indicationEM_UNITDATA.request参数主要包括DA/SA、MSDU、用户优先级、VLAN ID,23,Mlx 2010年秋冬,7.3 VLAN 网桥运行原理,VLAN网桥与普通网桥运行原理基本一致运行的要素也涉及帧接收与帧发送转发过程学习过程但VLAN网桥与普通网桥对帧的处理有区别本节主要讨论两者的区别，其他细节参见教材,24,Mlx 2010年秋冬,7.3 VLAN 网桥运行原理,与普通网桥相比，VLA网桥运行有以下不同VLAN网桥处理MAC帧类型基本MAC帧 和 VLAN 加标帧对MAC的扩散，仅在本VLAN中进行 VLAN网桥处理MAC帧需要考虑不仅丢弃无效和差错帧，还要丢弃不符合入口规则的帧不仅过滤源目同端口的帧，也要过滤不符合入口规则的帧帧中继时，由出口规则决定是否加标或是去标,25,Mlx 2010年秋冬,7.3 VLAN 网桥运行原理,入口规则符合以下规则的帧将被允许入口，否则丢弃接收到帧与收端口配置的帧类型相符接收到帧的VLAN ID与收端口配置的VLAN ID相符出口规则符合以下规则的帧将被允许出口（转发），否则丢弃需要发送的帧与发端口配置的帧类型相符需要发送的帧的VLAN ID与发端口配置的VLAN ID相符,26,Mlx 2010年秋冬,7.3 VLAN 网桥运行原理帧处理案例,设两交换机均运行VLAN协议，且MAC表空，H1向H5发送一帧SW1处理:p1属V3收到无标帧，宿地址不在V3表中，向p2、p4 转发，其中向p4转发帧加标记，然后在 V3中添加MAC(1)表项SW2处理:p3收到V3加标帧，宿地址不在V3表中，删除标记后向端口2转发，然后在V3中添加MAC(1)表项,27,Mlx 2010年秋冬,7.4 VLAN协议格式,MAC加标帧(Tagged frame)也称MAC扩展帧在基本MAC帧头部增加标志字段增加的标志字段包括：VLAN ID、用户优先级等信息分别对应VLAN加标帧优先级加标帧跨交换机组建VLAN时，交换机之间传送VLAN加标帧,28,Mlx 2010年秋冬,7.4 VLAN协议格式,Length/Type,FCS,以太网基本MAC帧,以太网VLAN加标帧,FCS,TPID,VLAN ID,P,CFI,标记头,MAC Client Data,Length/Type,MAC Client Data,帧长：641518八位组,6,6,2,4,461500,PAD,PAD,6,6,4,2,421500,4,帧长：64八位组 最长允许超过基本MAC帧长,29,Mlx 2010年秋冬,7.4 VLAN协议格式标记字段,TPID,VLAN ID,P,CFI,用以标识加标帧的类型 81-00 表示 802.1QTagType 即VLAN 协议,3bits,1bit,12bits,TCI：Tag Control Information 2个八位组,Tag Protocol Identifie 2个八位组,优先级：3位，07共 8个等级不同设备支持优先级的等级数有差异优先级高的帧先发出,用一个12位无符号二进数表示 0：null VLAN ID，则该帧是 用户优先级帧 VLAN加标帧的标志头中必须有 非空VLAN ID 1：default VLAN ID 基于端口 VLAN默认值，可由网管改变FFF：保留 有效范围：14094,30,Mlx 2010年秋冬,7.5 VLAN的配置,7.5.1 根据需要划分VLAN7.5.2 组建VLAN的条件7.5.3 基于端口VLAN的实现7.5.4 VLAN之间的通信,31,Mlx 2010年秋冬,7.5.2 组建VLAN的条件,组建VLAN的条件VLAN通常是基于交换式以太网的因此组建VLAN需要至少一个，或多个以太网交换机以太网交换机必须支持VLAN trunk协议802.1Q（IEEE标准）ISL（Cisco专用协议，仅对Cisco交换机互联有效）注意交换机支持VLAN的数目因设备而异,32,Mlx 2010年秋冬,7.5.3 基于端口VLAN的实现,需要对支持VLAN协议的交换机进行配置先创建VLAN，设置VLAN ID在每台VLAN交换机手动配置VLAN（Cisco交换机也可利用VTP域，只在一台交换机上手动创建VLAN，在同一VTP域的其他交换机自动学习已创建的VLAN）再对交换机端口进行配置port mode for each portTrunk modeOr:Access mode VLAN ID for each port VLAN trunk protocol type for trunk port）（不同商家交换机互连时，trunk链路的端口必须配置相同的协议：802.1Q）,33,Mlx 2010年秋冬,案例1：单交换机基于端口的VLAN配置,需要配置内容如下（假设所有H为VLAN非知晓的）,VLAN交换机 1 2 3 4 5,H1,H2,H3,H4,H5,V2,V3,access,access,VLAN2,VLAN3,Untagged（default）,Untagged（default）,案例2：VLAN中继配置,交换机1 port5 和交换机2 port 3分别设置为：trunk mode，VLAN2和3，tagged（默认），（trunk protocol）两交换机其他端口设置，请自己分析完成注意：主干链路必须配置需要中继的所有VLAN ID 图中如只配置VLAN2，则H6将不能与H1和H2通信,不同商家交换机互连，必须设置为802.1Q。如思科交换机默认为ISL,而非802.1Q。,35,Mlx 2010年秋冬,特殊案例：access link 站点属于多个VLAN,需要配置内容如下（假设所有H为VLAN非知晓的）,VLAN交换机 1 2 3 4 5,H1,H2,H3,H4,H5,V2,V3,access,access,VLAN2,VLAN3,Untagged（default）,Untagged（default）,Multi端口 厂商为了应用方便推出的技术,得到多厂商支持基本特性：一个端口位于多个VLAN 注意：破坏了VLAN严格的逻辑隔离性能可用于：一台服务器为多个PC机服务,36,Mlx 2010年秋冬,7.6 VLAN之间的通信,VLAN之间的通信不同VLAN之间不能直接通信交换机逻辑隔离各个VLANVLAN间的通信，通常在L2以上处理使用路由设备在L3实现VLAN间路由使用应用层网关VALN间路由示例如后,37,Mlx 2010年秋冬,路由器多个端口实现VLAN间通信,路由器R是一个VLAN 非知晓设备不知道VLAN的存在也不知道这两个VLAN来自同一个交换机各个端口连接的是不同的IP子网应用中，路由器的一个端口连接一个VLAN为了路由，每个VLAN均设置为一个IP子网通过路由互连了VLAN,路由器（或L3交换机）一个端口实现VLAN间通信,多个VLAN通过trunk链路连接路由器（L3交换机）一个端口路由器（L3交换机）该端口具有桥接模块，支持VLAN trunk功能需要路由的每个VLAN设置独立的IP子网路由器（L3交换机）的f0/1口知晓VLAN存在f0/1.1子接口对应VLAN2，f0/1.2子接口对应VLAN3各VLAN的端站IP网关分别指向所属VLAN的子接口,f0/1.1,39,Mlx 2010年秋冬,VLAN与IP子网的讨论,VLAN通过L2交换机划分，是L2层概念VLAN是逻辑网络交换机逻辑隔离各个VLAN不同VLAN的成员之间不能直接通信IP子网通过L3交换机或路由器划分，是L3层概念当VLAN间需要路由时每个VLAN必须对应设置一个独立的IP子网这完全是因为路由的需要！但一个VLAN并非就是一个IP子网！,40,Mlx 2010年秋冬,7.7以太网与VLAN技术在城域网中的扩展,问题的提出7.7.1 802.1ad7.7.2 802.1ah,41,Mlx 2010年秋冬,7.7 VLAN与以太网技术在城域网中的扩展,问题的提出技术发展促进VLAN和以太网技术向城域应用发展然而VLAN和以太网技术原本是针对局域网环境的无法满足电信级运营的城域网要求，如：VLAN数量的限制用户网络与运营商网络的隔离QoS保障于是，802委员会提出了两个新的规范802.1ad802.1ah,42,Mlx 2010年秋冬,7.7.1 802.1ad（Q in Q技术）,802.1ad技术的引入802.1ad的基本思想802.1ad的网络结构802.1ad的协议格式,43,Mlx 2010年秋冬,7.7.1 802.1ad（Q in Q技术）,802.1ad技术的引入802.1Q VLAN技术用于城域网存在先天不足VLAN数量最多4094个用户与运营商统一划分VLAN，无法隔离用户数量受制约、存在安全隐患等为解决802.1Q的上述问题，提出802.1ad802.1ad于2006年5月发布,44,Mlx 2010年秋冬,802.1ad技术的基本思想,802.1ad是基于802.1Q技术提出的基本思想：定义运营商网桥及运营商桥接LAN运营商桥接LAN与用户LAN完全独立运营商和用户分别独立管理各自的网络运营商网络：802.1ad用户网络：802.1Q使运营商服务VLAN与用户VLAN完全独立采用Q in Q技术，通过运营商网络实现用户VLAN流量在城域内的透明传输Q in Q:在802.1Q加标帧基础上在加封一个802.1ad的标志头,802.1ad的网络结构,802.1 Q加标帧,用户1 LAN,用户1 LAN,用户2 LAN,用户2 LAN,运营商桥接 LAN802.1ad,用户 LAN：传送802.1Q加标帧运营商LAN:传送Q in Q加标帧,46,Mlx 2010年秋冬,802.1ad的 协议格式,C-tag:用户VLAN标志，Q in Q 加标帧的内层标志，即802.1Q的加标帧头 S-tag：运营商VLAN 标志，Q in Q 加标帧的外层标志，即802.1ad的加标帧头,47,Mlx 2010年秋冬,7.7.2 802.1ah（MAC in MAC技术）,802.1ah技术的引入802.1ah的基本思想802.1ah的网络结构,48,Mlx 2010年秋冬,7.7.2 802.1ah（MAC in MAC技术）,802.1ah技术的引入802.1ad技术用于城域网的局限性虽然能够隔离用户VLAN和运营商VLAN 但运营商网桥仍会学习用户MAC地址，运营商不能隔离用户MAC运营商VLAN ID 为12位，运营商的服务VLAN 数受限，不利规模发展为解决802.1ad的上述问题，提出802.1ah草案,49,Mlx 2010年秋冬,802.1ah技术的基本思想,802.1ah是基于802.1ad技术提出的基本思想：定义运营商主干网桥、运营商主干桥接LAN、主干MAC 地址（B-MAC)、主干VLAN（B-VLAN)MAC in MAC：在Q in Q加标基础再次加标不仅使运营商桥接LAN与用户LAN完全独立，并使运营商MAC 与用户MAC完全隔离，实现运营商网络与用户网络独立寻址层次性MAC结构克服了平面型MAC可能带来的大范围广播风暴。该技术将服务实例由802.1ad的212提高到224,50,Mlx 2010年秋冬,802.1ah的网络结构,用户ALAN,运营商主干桥接 LAN（802.1ah）,用户CLAN,用户BLAN,用户ALAN,用户CLAN,用户ALAN,用户BLAN,用户VLAN帧：802.1Q加标帧,Q-in-Q加标帧,MAC-in-MAC加标帧,51,Mlx 2010年秋冬,本章知识要点小结,理解划分VLAN的原因与目的,理解VLAN概念,组建VLAN的条件,基于端口VLAN的特点,VLAN的特点,理解VLAN交换机如何处理帧（能根据实际情况进行分析）,VLAN知晓设备与VLAN未知设备,理解VLAN之间如何才能实现通信,主干链路、访问链路,加标帧及作用,52,Mlx 2010年秋冬,1、有A、B、C、D、E、F六个站点，网络连接口均为RJ45,请按下列条件将这六个站点通过网络设备互连起来（网络设备不超过4个），画出所有你想到的方式，指出哪种方式更好，并说明原因。A和B属于同一冲突域，A、B、C、E属于一个广播域，F和D 属于另一个广播域。2、VLAN知晓交换机与VLAN未知晓交换机在VLAN中对MAC帧的处理有何异同？,作 业,53,Mlx 2010年秋冬,3、有人说：可以将交换机上不同站点人工设置为不同IP子网地址，从而将不需通信的站点进行隔离，因此划分VLAN意义不大，你如何看待这个问题？,上述两图都能实现H1和H2互通，H4和H5互通，H1、H2不能与H4、H5互通，通信性能有何不同？由此你还同意那人的观点吗？,4、根据以下图示和标注，完成答题。,VLAN知晓 SW1 1 2 4,H1,H2,H3,VLAN 2,VLAN 3,VLAN知晓 SW24 5 1 2 3,H4,H5,H6,1）SW1与SW2之间的链路是 链路，SW2与SW3之间的链路是 链路。2）要实现图中所规划的VLAN，需要在在哪些设备上进行VLNA配置？并分别说 明在该设备上配置的：VLAN ID值，access模式的端口号，trunk的端口号3）经过配置后进行测试，H7连续ping H6不通，在H1H6上开启sniffer软 件，结果在H3和H4上抓到了H7发送的帧，请分析产生这一现象的可能原因。假设各SV的MAC的MAC表项空，经过上述通信过程后，分别写出各SW处 理该帧后的MAC表项。,3,VLAN非知晓 SW31 2,H7,VLAN 4,