《VLAN应用介绍》PPT课件.ppt

VLAN技术及应用简介,VLAN介绍,VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。,设置VLAN的主要目的是为了限制广播包的传播范围和降低广播包的影响。所有以太网数据包，如单播（unicast）、组播（multicast）、广播（broadcast），以及未知（unknown）的数据包，都将只在VLAN内传送。这样在一定程度上，可以提高网络的安全性。,广播介绍,图中，是一个由5台二层交换机（交换机15）连接了大量客户机构成的网络。假设这时，计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARP Request）信息”，来尝试获取计算机B的MAC地址。,交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding了。接着，交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。,A,B,广播介绍,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说：只要计算机B能收到就万事大吉了。可是事实上，数据帧却传遍整个网络，导致所有的计算机都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。,A,B,VLAN介绍,以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）的共享通讯介质的数据网络通讯技术，当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。在这种情况下出现了VLAN（Virtual Local Area Network）技术，这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。同一个VLAN内的主机通过传统的以太网通信方式进行报文的交互，而不同VLAN内的主机之间则需要通过路由器或三层交换机等网络层设备进行通信。,VLAN优点,1.广播风暴防范限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。2.安全增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3.成本降低成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。,VLAN优点,4.性能提高将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。5.提高IT员工效率VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。6.简化项目管理或应用管理VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。7.增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。,VLAN种类,VLAN的定义方式有：物理端口、MAC地址、协议、IP地址和用户自定义过滤方式等。802.1Q是VLAN的标准，是将VLAN ID封装在帧头，使得帧跨越不同设备，也能保留VLAN信息。不同厂家的交换机只要支持802.1Q VLAN就可以跨越交换机，可以统一划分管理;VLAN的最大数目也不受交换机端口数目的限制，最大可达到4094个。在802.1QVLAN中，网卡（NIC）不必去识别数据包头部分的802.1Q标记（tag），网卡只需发送和接收普通的以太网数据包。TAG的信息由交换机的端口根据相应的PVID加入到数据包中。交换机根据包头中的TAG信息决定如何转发这个数据包。,端口VLAN,Port VLAN是基于端口的VLAN，处于同一VLAN的端口之间才能相互通信，可有效地屏蔽广播风暴，并提高网络安全性能。基于端口的VLAN具有实现简单，易于管理的优点。说明：Port VLAN一般适用在同一个交换机下的VLAN划分，若是跨交换机的VLAN划分则需使用基于802.1Q的TAG VLAN。Port VLAN举例例如：有两个部门：部门A和部门B，还有一个资源服务器，所有电脑和服务器连接在同一个交换机下。要求部门A和部门B之间不能通信，但可以共同访问服务器。如下图：首先确认VLAN类型Port VLAN。接着设置VLAN组的划分部门A属于VLAN 1；部门B属于VLAN 2；服务器同属于VLAN 1和VLAN 2。磊科智能交换机都支持端口VLAN设置,MTU VLAN,MTU VLAN是Port VLAN的特例，MTU VLAN（Multi-Tenant Unit VLAN）是将每个用户所占用的端口与上联端口划分为一个单独的VLAN。普通端口只能和预先设置的上联端口进行通信，相互之间无法通信使不同端口的用户之间不能直接通信，以保障了网络的安全。这种情况很适合使用在智能小区中，用户之间不可以直接访问，从而保证住户的网络安全。以下是MTU VLAN的示意图：我们的NSW16XX（固化VLAN）的功能与MTU VLAN是同样的原理，只不过是预先设置好了，没有配置界面,TAG VLAN,由于普通交换机工作在OSI模型的数据链路层，若要交换机能够识别不同VLAN的数据包，只能对数据包的数据链路层封装进行VLAN识别。因此，VLAN识别字段被添加到数据链路层封装中。IEEE 802.1Q协议为了标准化VLAN实现方案，对带有VLAN标识的数据包结构进行了统一规定。协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag，用以标识VLAN的相关信息，如图所示。VLAN Tag包含四个字段，分别是TPID（Tag Protocol Identifier，标签协议标识符）、Priority、CFI（Canonical Format Indicator，标准格式指示位）和VLAN ID。磊科的NSW17XX/18XX与OSM3324/3308系列交换具有基于802.1Q的TAG VLAN,OSI模型,TAG VLAN,1)TPID：用来表示本数据帧是带有VLAN Tag的数据。该字段长度为16bit。协议规定的缺省取值为0 x8100。2)Priority：用来表示数据包的传输优先级。3)CFI：以太网交换机中，CFI总被设置为0。由于兼容特性，CFI常用于以太网类网络和令牌环类网络之间，如果在以太网端口接收的帧CFI设置为1，表示该帧不进行转发，这是因为以太网端口是一个无标签端口。4)VLAN ID：用来标识该报文所属VLAN的编号。该字段长度为12bit，取值范围为04095。由于0和4095通常不使用，所以VLAN ID的取值范围一般为14094。VLAN ID简称VID。,1.确定端口链路类型（定于端口的入口/出口规则）2.确定每个端口的缺省VLAN ID（PVID）3.数据到达端口/离开端口时按以上俩个原则去处理数据,TAG VLAN处理过程,TAG VLAN配置方法,TAG VLAN配置方法,MAC VLAN,MAC VLAN是VLAN的另一种划分方法，根据每个主机的MAC地址来划分VLAN，即对每个主机的MAC地址均划分到VLAN中。MAC VLAN的优点在于，将MAC地址与VLAN绑定后，该MAC地址对应的设备可以随意切换端口，只要连接到相应VLAN的成员端口即可，而不必改变VLAN成员的配置。MAC VLAN中数据包处理有如下特点：1.当端口收到UNTAG数据包时，首先查看是否创建配置相应的MAC VLAN，若已创建MAC VLAN，则给数据包插入MAC VLAN的TAG；若没有相应的MAC VLAN，则根据接收端口的PVID值给数据包插入TAG，并将数据包在相应的VLAN中转发。2.当端口收到TAG数据包时，交换机按照802.1Q VLAN的方式处理该帧。如果接收端口允许该VLAN的数据包通过，则正常转发；如果不允许，则丢弃该数据包。3.将某个主机的MAC划分到802.1Q VLAN中后，为了保证该主机能够在此VLAN内正常通信，请将其接入端口设置成相应的802.1Q VLAN成员。详情请查看,协议 VLAN,协议VLAN是按照网络层协议来划分VLAN，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个交换机，同时用户在网络内部可以自由移动且无须改变其VLAN成员身份。对于希望针对具体应用和服务来管理用户的网络管理员，可通过划分协议VLAN来进行管理。本交换机可针对常见的协议类型划分VLAN，常用协议类型值见下表。请根据实际需要创建协议VLAN。协议VLAN中数据包处理有如下特点：1.当端口收到UNTAG数据包时，首先查看是否创建配置相应的协议VLAN，若已创建协议VLAN，则给数据包插入协议VLAN的TAG；若没有相应的协议VLAN，则根据接收端口的PVID值给数据包插入TAG，并将数据包在相应的VLAN中转发。2.当端口收到TAG数据包时，交换机按照802.1Q VLAN的方式处理该帧。如果接收端口属于携带该VLAN TAG的数据包通过，则正常转发；如果不属于，则丢弃该数据包。3.划分了协议VLAN后，为了保证数据的正常传输，请将协议VLAN的使能端口设置为相应802.1Q VLAN成员。详情请查看表 端口类型与VLAN数据处理关系。,