《VLAN基本知识》PPT课件.ppt

VLAN,Mr Song,为什么需要VLAN 什么是VLAN？VLAN（Virtual LAN），翻译成中文是“虚拟局域网”。LAN广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。,未分割广播域时,A,B,广播信息是那么经常发出的吗？是的！下面是一些常见的广播通信：ARP请求：建立IP地址和MAC地址的映射关系。RIP：一种路由协议。DHCP：用于自动设定IP地址的协议。NetBEUI：Windows下使用的网络协议。IPX：Novell Netware使用的网络协议。Apple Talk：苹果公司的Macintosh计算机使用的网络协议。,整个网络只有一个广播域，给网络带来不便和不安全。使用路由器，受到接口限制，广播域分离不是太好使用交换机,实现VLAN的机制首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。,上图中为了便于说明，以红、蓝两色识别不同的VLAN，在实际使用中则是用“VLAN ID”来区分的。,VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。,VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。,访问链接访问链接，指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。通常设置VLAN的顺序是：生成VLAN设定访问链接（决定各端口属于哪一个VLAN）设定访问链接的手法，可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。,静态VLAN静态VLAN又被称为基于端口的VLAN（Port Based VLAN）。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法。,由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定这显然不适合那些需要频繁改变拓补结构的网络。,动态VLAN另一方面，动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为3类：,基于MAC地址的VLAN（MAC Based VLAN）基于子网的VLAN（Subnet Based VLAN）基于用户的VLAN（User Based VLAN）,基于MAC地址的VLAN，就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。,由于是基于MAC地址决定所属VLAN的，因此可以理解为这是一种在OSI的第二层设定访问链接的办法。但是，基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并加以登录。而且如果计算机交换了网卡，还是需要更改设定。,基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。,基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。,其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的，不同厂商的设备之间互联有可能出现兼容性问题；因此在选择交换机时，一定要注意事先确认。,需要设置跨越多台交换机的VLAN时在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联?,汇聚链接（Trunk Link）,汇聚链接（Trunk Link）指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。,为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通过用户设定限制能够经由汇聚链路互联的VLAN。,IEEE802.1Q与ISL汇聚方式在交换机的汇聚链接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。附加VLAN信息的方法，最具有代表性的有：IEEE802.1QISL,IEEE802.1QIEEE802.1Q，俗称“Dot One Q”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。,Tag Protocol Identifier(TPID):a 16-bit field set to a value of 0 x8100 in order to identify the frame as an IEEE 802.1Q-tagged frame.This field is located at the same position as theEtherType/Length field in untagged frames,and is thus used to distinguish the frame from untagged frames.Tag Control Identifier(TCI)Priority Code Point(PCP):a 3-bit field which refers to theIEEE 802.1ppriority.It indicates the frame priority level.Values are from 0(best effort)to 7(highest);1 represents the lowest priority.These values can be used to prioritize different classes of traffic(voice,video,data,etc).See alsoClass of ServiceorCoS.Canonical Format Indicator(CFI):a 1-bit field.If the value of this field is 1,the MAC address is in non-canonical format.If the value is 0,the MAC address is incanonical format.It is always set to zero for Ethernet switches.CFI is used for compatibility between Ethernet andToken Ringnetworks.If a frame received at an Ethernet port has a CFI set to 1,then that frame should not be bridged to an untagged port.VLAN Identifier(VID):a 12-bit field specifying the VLAN to which the frame belongs.The hexadecimal values of 0 x000 and 0 xFFF are reserved.All other values may be used as VLAN identifiers,allowing up to 4,094 VLANs.The reserved value 0 x000 indicates that the frame does not belong to any VLAN;in this case,the 802.1Q tag specifies only a priority and is referred to as apriority tag.On bridges,VLAN 1(the default VLAN ID)is often reserved for a management VLAN;this is vendor-specific.,ISL（Inter Switch Link）ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISL Header）”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。换而言之，就是总共增加了30字节的信息。,由于ISL是Cisco独有的协议，因此只能用于Cisco网络设备之间的互联。,VLAN间路由,只要所属的VLAN不同就无法直接通信，要想通信怎么办？,在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。,Vlan间为什么不能直接通信？,使用路由器进行VLAN间路由,X 不可取,使用一条网线连接路由器与交换机、进行VLAN间路由时，需要用到汇聚链接。具体实现过程为：首先将用于连接路由器的交换机端口设为汇聚链接，而路由器上的端口也必须支持汇聚链路。双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的“子接口（Sub Interface）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。,同一VLAN内的通信,使用路由器进行VLAN间路由时的问题现在，我们知道只要能提供VLAN间路由，就能够使分属不同VLAN的计算机互相通信。但是，如果使用路由器进行VLAN间路由的话，随着VLAN之间流量的不断增加，很可能导致路由器成为整个网络的瓶颈。,三层交换机（Layer 3 Switch）,使用三层交换机进行VLAN间路由（VLAN间通信）,加速VLAN间通信的手段,流（Flow）。被分割的数据，“发送的目标”是完全相同的。发送目标相同，也就意味着同样的目标IP地址、目标端口号（注：特别强调一下，这里指的是TCP/UDP端口）。自然，源IP地址、源端口号也应该相同。这样一连串的数据流被称为“流（Flow）”。只要将流最初的数据正确地路由以后，后继的数据理应也会被同样地路由。,路由器的必要性,用于与WAN连接三层交换机终究是“交换机”。也就是说，绝大多数机型只配有LAN（以太网）接口。在少数高端交换机上也有用于连接WAN的串行接口或是ATM接口，但在大多数情况下，连接WAN还是需要用到路由器。保证网络安全在三层交换机上，通过数据包过滤也能确保一定程度的网络安全。但是使用路由器所提供的各种网络安全功能，用户可以构建更为安全可靠的网络。路由器提供的网络安全功能中，除了最基本的数据包过滤功能外，还能基于IPSec构建VPN（Virtual Private Network）、利用RADIUS进行用户认证等等。支持除TCP/IP以外的网络架构尽管TCP/IP已经成为当前网络协议架构的主流，但还有不少网络利用Novell Netware下的IPX/SPX或Macintosh下的Appletalk等网络协议。三层交换机中，除了部分高端机型外基本上还只支持TCP/IP。因此，在需要使用除TCP/IP之外其他网络协议的环境下，路由器还是必不可少的。,路由器交换机组网实例,