控制園區(qū)網(wǎng)中的廣播流量VLAN技術(shù)

1、VLAN技術(shù)n網(wǎng)橋和交換機的根本功能是通過將網(wǎng)絡(luò)分割成多個沖突域，減少碰撞次數(shù)沖突域，減少碰撞次數(shù)。但無法隔離無法隔離廣播幀廣播幀。n所有用戶同在一個廣播域中會引起網(wǎng)絡(luò)性能網(wǎng)絡(luò)性能的下降的下降，浪費網(wǎng)絡(luò)帶寬浪費網(wǎng)絡(luò)帶寬，因此控制網(wǎng)絡(luò)內(nèi)的廣播傳輸變得非常重要。假設(shè)計算機A需要與計算機B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)目標(biāo)MAC地址地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARP Request）信息”，來嘗試獲取計算機B的MAC地址。交換機1收到廣播幀（ARP請求）后，會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會F

2、looding。交換機3、4、5也還會Flooding。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機上。AB廣播帶來的負面作用n這個ARP請求原本是為了獲得計算機B的MAC地址地址而發(fā)出的。也就是說：只要計算機B能收到就萬事大吉了。n可是事實上，數(shù)據(jù)幀卻傳遍整個網(wǎng)絡(luò)，導(dǎo)致所有的計算機都收到了它。n如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬帶寬，另一方面，收到廣播信息的計算機計算機還要消耗一部分CPU時間來對它進行處理。造成了網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)帶寬和CPU運算能力運算能力的大量無謂消耗。廣播的隔離方法廣播的隔離方法n傳統(tǒng)的共享介質(zhì)共享介質(zhì)的以太網(wǎng)和交換式交換式的以太網(wǎng)中，對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全

3、只能用工作在第三層的設(shè)備路由器來實現(xiàn)，因為默認情況下路由器不會轉(zhuǎn)發(fā)因為默認情況下路由器不會轉(zhuǎn)發(fā)廣播信息廣播信息。普通交換機無法隔離廣播域路由器路由器可以隔離廣播域而現(xiàn)在的局域網(wǎng)一般可以通過交換機交換機來隔離廣播，即VLAN技術(shù)。財務(wù)處財務(wù)處財務(wù)處員工人事處人事處財務(wù)處員工同一廣播域同一廣播域同一廣播域同一廣播域財務(wù)處財務(wù)處財務(wù)處員工人事處人事處財務(wù)處員工同一廣播域同一廣播域同一廣播域同一廣播域財務(wù)處財務(wù)處財務(wù)處員工人事處人事處財務(wù)處員工同一廣播域同一廣播域財務(wù)處財務(wù)處財務(wù)處員工人事處人事處財務(wù)處員工同一廣播域同一廣播域同一廣播域同一廣播域虛擬局域網(wǎng)虛擬局域網(wǎng)VLAN1虛擬局域網(wǎng)虛擬局域網(wǎng)VLA

4、N2VLAN簡介nVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而組建虛擬工作組的新興技術(shù)。nIEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。nVLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站。由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，

5、從而有助于控制流量控制流量、減少設(shè)減少設(shè)備投資備投資、簡化網(wǎng)絡(luò)管理簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性提高網(wǎng)絡(luò)的安全性。 n是否具有是否具有VLAN功能是衡量局域網(wǎng)交換機的一項重要指功能是衡量局域網(wǎng)交換機的一項重要指標(biāo)標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。 交換機上劃分交換機上劃分VLAN隔離廣播風(fēng)暴隔離廣播風(fēng)暴n如果在交換機上生成紅、藍兩個VLAN；同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍色VLAN。nA發(fā)出廣播幀的話，交換機就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口也就是同屬于紅色VLAN的端口2，不會再轉(zhuǎn)發(fā)給屬于藍色VLAN的端口。An如果要更為直觀地描述VLAN的話，我們可以把

6、它理解為將一臺交換機在邏輯上分割成了數(shù)臺交換機。n在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。使用使用VLAN的目的的目的nVLAN的三大優(yōu)點：n控制廣播風(fēng)暴：一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。n提高網(wǎng)絡(luò)的整體安全性：可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性 n方便網(wǎng)絡(luò)的管理：對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連

7、接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān)，降低了網(wǎng)絡(luò)維護費用 VLAN標(biāo)準(zhǔn)IEEE802.1Q數(shù)據(jù)幀n IEEE802.1Q是虛擬局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個物理鏈路上承載多個局域網(wǎng)的數(shù)據(jù)流的方法。n IEEE 802.1Q定義了VLAN幀格式，為識別幀屬于哪個VLAN提供了一個標(biāo)準(zhǔn)的方法。n 這個格式統(tǒng)一了標(biāo)識VLAN的方法，有利于保證不同廠家設(shè)備配置的VLAN可以互通。目的MAC源MAC類型數(shù)據(jù)FCS目的MAC源MACTPID數(shù)據(jù)重新計算的FCS類型TCI0 x81002個字節(jié)Priority3bitCFI12bitVID1

8、bitn標(biāo)記協(xié)議標(biāo)識標(biāo)記協(xié)議標(biāo)識（TPID）:n固定值0 x8100，表示該幀載有802.1Q標(biāo)記信息n標(biāo)記控制信息標(biāo)記控制信息（TCI）:nPriority：3比特，表示優(yōu)先級，決定了數(shù)據(jù)幀的重要緊急程度，優(yōu)先級越高，就越優(yōu)先得到交換機的處理。在QoS中有應(yīng)用。nCFI（Canonical Format Indicator）：1比特，規(guī)范格式指示符，當(dāng)其值為0時，表示該數(shù)據(jù)幀采用規(guī)范幀格式，如果該位是1則表示該幀為非規(guī)范幀格式。 nVID（Vlan ID）：12比特，指明VLAN的ID，可用范圍14094，每個支持802.1Q協(xié)議的交換機發(fā)送出來的數(shù)據(jù)包都會包含這個域，以指明該幀屬于哪一個V

9、LAN。在一個交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒有加上這四個字節(jié)標(biāo)志的，稱為未標(biāo)記的幀未標(biāo)記的幀（untaged frame），有些幀加上了這四個字節(jié)的標(biāo)志，稱為帶有標(biāo)記的幀帶有標(biāo)記的幀（taged frame）。0 x81002個字節(jié)Priority3bitCFI12bitVID1bitAccess Link和Trunk Linkn主機和交換機之間主機和交換機之間的鏈路是接入接入鏈路；n交換機之間交換機之間通過干道干道鏈路互相連接。VLAN幀在網(wǎng)絡(luò)中的通信 n對于主機來說，它是不需要知道VLAN的存在的。主機發(fā)出的幀都是主機發(fā)出的幀都是untaged的幀；的幀；交換機接收到這樣

10、的幀之后，根據(jù)配置規(guī)則（如端口信息）判斷出幀所屬VLAN進行處理。n如果幀需要通過另外一臺交換機發(fā)送，則該幀必須通過干道鏈路傳輸?shù)搅硗庖慌_交換機上。為了保證其它交換機正確處理幀的VLAN信息，在干道鏈路上發(fā)送的幀大多數(shù)（不是全部）都帶上了VLAN標(biāo)記標(biāo)記。n當(dāng)交換機交換機最終確定幀轉(zhuǎn)發(fā)端口后，將幀發(fā)送給主機之前，將將VLAN的標(biāo)記從以太的標(biāo)記從以太網(wǎng)幀中刪除網(wǎng)幀中刪除，這樣主機接收到的幀都是不帶VLAN的標(biāo)記的以太網(wǎng)幀。n一般情況下，干道鏈路上傳送的都是Taged Frame，接入鏈路上傳送的都是Untaged Frame。這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的VLA

11、N可以被所有的交換可以被所有的交換機正確處理，而主機不需要了解機正確處理，而主機不需要了解VLAN信息。信息。 廣播幀如何到達同一VLAN的各個節(jié)點 因為VLAN可能跨越多個交換機，當(dāng)一個交換機從某VLAN的一個端口收到廣播幀之后，為了保證同屬一個VLAN的所有主機都接收到這個廣播幀，交換機必須按照如下原則將幀進行轉(zhuǎn)發(fā)：1、發(fā)送給本交換機中同一個VLAN中的其它端口；2、將這個幀發(fā)送給本交換機的包含這個包含這個VLAN的所有干道鏈路的所有干道鏈路，以便讓其它交換機上的同一個VLAN的端口能接收到該幀。 VLAN的種類n基于端口的基于端口的VLANVLANn針對交換機的端口進行VLAN的劃分，不

12、受主機的變化影響。n基于協(xié)議的VLANn在一個物理網(wǎng)絡(luò)中針對不同的網(wǎng)絡(luò)層協(xié)議進行安全劃分n基于MAC地址的VLANn基于主機的MAC地址進行VLAN劃分，主機可以任意在網(wǎng)絡(luò)移動而不需要重新劃分n基于組播的VLANn基于組播應(yīng)用進行用戶的劃分n基于IP子網(wǎng)的VLANn針對不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機，一般情況下結(jié)合基于端口的VLAN進行應(yīng)用基于端口的VLAN基于MAC地址的VLAN基于協(xié)議的VLAN基于子網(wǎng)的VLANABCDVLAN的類型:Port VLANF0/1F0/2F0/3Port-VLAN原理通過查找MAC地址表，交換機對發(fā)往不同VLAN的數(shù)據(jù)不轉(zhuǎn)發(fā)F0/1F0/

13、2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交換機交換機端口端口MACMAC地址地址VLAN VLAN IDIDF0/1A10F0/2B20F0/3C10配置Port VLANn創(chuàng)建VLAN10，將它命名為test的例子nSwitch# configure terminalnSwitch(config)# vlan 10nSwitch(config-vlan)# name testnSwitch(config-vlan)# end n把接口 0/10加入VLAN10 nSwitch# configure terminalnSwitch(config)# interf

14、ace fastethernet 0/10nSwitch(config-if)# switchport mode accessnSwitch(config-if)# switchport access vlan 10nSwitch(config-if)# end默認名字是vlan XXXX，用no name命令可以恢復(fù)為默認名字如果把一個接口分配到一個不存在的vlan中，則交換機會自動創(chuàng)建該vlanPort VLAN 的配置n將一組接口一組接口加入某一個VLANnSwitch(config)#interface range fastethernet 0/1-8，0/15，0/20nSwitch

15、(config-if-range)# switchport access vlan 20注：交換機端口類型默認為AccessAccess。連續(xù)接口 0/1- -8，不連續(xù)接口用逗號逗號隔開，但一定要寫明模塊編號模塊編號配置Tag VLAN-Trunkn把Fa0/1配成Trunk口nSwitch# configure terminalnSwitch(config)# interface fastethernet0/1nSwitch(config-if)# switchport mode trunkn把端口Fa0/20 配置為Trunk端口，但是不包含VLAN 2（默認trunk鏈路能夠在兩條交換

16、機之間傳遞所有vlan的幀）：nSwitch(config)# interface fastethernet 0/20nSwitch(config-if)# switchport trunk allowed vlan remove 2nSwitch(config-if)# endNative VLANn并非所有的幀通過trunktrunk口都打上tagtag標(biāo)簽。Native VLAN的作用:在Trunk鏈路使用802.1Q封裝時,用Native VLAN指定哪個VLAN的數(shù)據(jù)不用做802.1Q標(biāo)記,Native VLAN外的其它VLAN數(shù)據(jù)都會做802.1Q封裝的標(biāo)記.n為什么要使用Nati

17、ve VLAN:交換的管理流量以及未指定VLAN的流量,默認使用Native VLAN(默認為VLAN 1)來傳送,這些流量不需要做802.1Q封裝.n配置命令：nSwitch(config-if)# switchport trunk native vlan 2nSwitch(config-if)# endn注意： n每個Trunk口的缺省native VLAN是VLAN 1n在配置Trunk鏈路時，請確保連接鏈路兩端的Trunk口屬于相同的native VLAN其它命令n查看所有vlan信息：nSwitch# show vlann查看某個vlan信息：nSwitch# show vlan v

18、lan-idn查看接口的類型（是Access還是Trunk）：nSwitch# show interfaces interface-id switchportn刪除某個vlan：nSwitch# no vlan vlan-idn注意：刪除vlan時，要先用no interface vlID，再No vlanID 查看VLAN配置n驗證配置信息nSwitch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists - - - - - - - Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094nSwitch