VLAN技術(shù)原理

1、VLANVLAN技術(shù)原理技術(shù)原理&QinQ&QinQ南京電信網(wǎng)絡(luò)監(jiān)控維護(hù)中心南京電信網(wǎng)絡(luò)監(jiān)控維護(hù)中心VLAN的產(chǎn)生為傳統(tǒng)的LAN網(wǎng)絡(luò)注入了新的活力，引起了LAN應(yīng)用的一場(chǎng)變革。本課程介紹了在交換機(jī)中怎樣實(shí)現(xiàn)VLAN，詳細(xì)描述了VLAN數(shù)據(jù)幀在交換機(jī)與交換機(jī)之間傳遞過程中的變化情況，VLAN的動(dòng)態(tài)配置。學(xué)習(xí)完此課程，您將會(huì)：描述VLAN的功能與定義描述VLAN的劃分方法描述VLAN數(shù)據(jù)幀的轉(zhuǎn)發(fā)流程描述VLAN間路由的原理與實(shí)現(xiàn)第第2章章 VLAN的配置與實(shí)現(xiàn)的配置與實(shí)現(xiàn) 第第3章章 VLAN路由路由1.1 VLAN的產(chǎn)生原因的產(chǎn)生原因1.2 VLAN的劃分方法的劃分方法廣廣 播播 域域VLANV

2、LAN的產(chǎn)生原因廣播風(fēng)暴的產(chǎn)生原因廣播風(fēng)暴廣播域廣播域廣播域廣播域通過路由器將網(wǎng)絡(luò)分段通過路由器將網(wǎng)絡(luò)分段廣播域廣播域廣播域廣播域通過通過VLANVLAN劃分廣播域劃分廣播域播播Port 1 : VLAN-1Port 2 : VLAN-2VLANVLAN的優(yōu)點(diǎn)的優(yōu)點(diǎn)相對(duì)與傳統(tǒng)的LAN技術(shù)，VLAN具有如下優(yōu)勢(shì)：隔離廣播域，抑制廣播報(bào)文.減少移動(dòng)和改變的代價(jià)創(chuàng)建虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作方式增強(qiáng)通訊的安全性增強(qiáng)網(wǎng)絡(luò)的健壯性1.1 VLAN的產(chǎn)生原因的產(chǎn)生原因1.2 VLAN的劃分方法的劃分方法VLANVLAN的劃分方法的劃分方法基于端口的基于端口的VLANVLAN主機(jī)主機(jī)A主機(jī)主機(jī)B主機(jī)主機(jī)

3、C主機(jī)主機(jī)DVLAN表表Port 1Port 2 Port 7Port 10端口所屬VLANPort1VLAN5Port2VLAN10Port7VLAN5Port10VLAN10VLANVLAN的劃分方法的劃分方法 基于基于MACMAC地址的地址的VLANVLANVLAN表表MAC地址所屬VLANMAC AVLAN5MAC BVLAN10MAC CVLAN5MAC DVLAN10主機(jī)主機(jī)A主機(jī)主機(jī)B主機(jī)主機(jī)C主機(jī)主機(jī)DVLANVLAN的劃分方法的劃分方法基于協(xié)議的基于協(xié)議的VLANVLANVLAN表表協(xié)議類型所屬VLANIPX協(xié)議VLAN5IP協(xié)議VLAN10主機(jī)主機(jī)B主機(jī)主機(jī)C主機(jī)主機(jī)DVL

4、ANVLAN的劃分方法的劃分方法基于子網(wǎng)的基于子網(wǎng)的VLANVLANVLAN表表IP網(wǎng)絡(luò)所屬VLANIP 1.1.1.0/24VLAN5IP 1.1.2.0/24VLAN10主機(jī)主機(jī)A主機(jī)主機(jī)B主機(jī)主機(jī)C主機(jī)主機(jī)D小結(jié)小結(jié)VLAN的優(yōu)點(diǎn)？VLAN的劃分方法？第第1章章 VLAN概述概述第第3章章 VLAN路由路由2.1 VLAN鏈路類型鏈路類型2.2 VLAN標(biāo)簽標(biāo)簽2.3 VLAN數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)轉(zhuǎn)發(fā)VLANVLAN的可跨越性的可跨越性VLAN3VLAN5VLAN3VLAN5VLAN數(shù)據(jù)可以跨越多臺(tái)交換機(jī)被轉(zhuǎn)遞SWASWBVLANVLAN的鏈路類型的鏈路類型接入鏈路Access-Link干道鏈路

5、Trunk-LinkSWASWB以太網(wǎng)交換機(jī)的端口分類以太網(wǎng)交換機(jī)的端口分類Access端口：一般用于接用戶計(jì)算機(jī)的端口，access端口只能屬于1個(gè)VLAN。Trunk端口：一般用于交換機(jī)之間連接的端口，trunk端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文。Hybrid端口：可以用于交換機(jī)之間連接，也可以用于接用戶的計(jì)算機(jī)，hybrid端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文。端口的缺省端口的缺省IDID（PVIDPVID）Access端口只屬于一個(gè)VLAN，所以它的缺省ID就是它所在的VLAN，不用設(shè)置。Hybrid端口和Trunk端口屬于多個(gè)VLAN，

6、所以需要設(shè)置缺省VLAN ID，缺省情況下為VLAN 1。Access-LinkAccess-Link配置配置默認(rèn)情況下，交換機(jī)所有端口都是Access-Link端口，并屬于VLAN-1，即PVID (Port VLAN ID)為1Port-0/1 : VLAN-3Port-0/2 : VLAN-5配置端口類型Switch-Ethernet0/1port link-type accessSwitch-Ethernet0/2port link-type access創(chuàng)建VLAN，并向VLAN中添加端口Switchvlan 3Switch-vlan3port ethernet 0/1Switchv

7、lan 5Switch-vlan5port ethernet 0/2另外的一種向VLAN中添加端口的方法Switch-Ethernet0/1port access vlan 3Switch-Ethernet0/2port access vlan 5SWATrunk-LinkTrunk-Link配置配置負(fù)責(zé)傳輸多個(gè)VLAN的數(shù)據(jù)Trunk-Link端口PVID默認(rèn)為1配置端口類型Switch-Ethernet0/3port link-type trunk配置Trunk-Link所允許傳遞的VLANSwitch-Ethernet0/3port trunk permit vlan all配置Trun

8、k-Link端口PVIDSwitch-Ethernet0/3port trunk pvid vlan 1Port-0/3Port-0/3SWASWB2.1 VLAN鏈路類型鏈路類型2.2 VLAN標(biāo)簽標(biāo)簽2.3 VLAN數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)轉(zhuǎn)發(fā)VLANVLAN的幀格式的幀格式DASATYPEDATACRCDASATAGTAGTYPEDATACRCCRC標(biāo)準(zhǔn)以太網(wǎng)幀帶有IEEE802.1Q標(biāo)記的以太網(wǎng)幀0 x8100PRICFIVLAN IDVLAN IDTPIDTCI2.1 VLAN鏈路類型鏈路類型2.2 VLAN標(biāo)簽標(biāo)簽2.3 VLAN數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)轉(zhuǎn)發(fā)802.1Q802.1Q的轉(zhuǎn)發(fā)原則的轉(zhuǎn)發(fā)原則Ac

9、cess-LinkAccess-Link當(dāng)Access端口收到幀時(shí)如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，交換機(jī)不作處理，直接丟棄。當(dāng)Access端口發(fā)送幀時(shí)剝離802.1Q tag header，發(fā)出的幀為普通以太網(wǎng)幀接收方向Access發(fā)送方向AccessPVID:1Trunk802.1Q802.1Q的轉(zhuǎn)發(fā)原則的轉(zhuǎn)發(fā)原則Trunk-LinkTrunk-Link當(dāng)Trunk端口收到幀時(shí)如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，則不改變。

10、當(dāng)Trunk端口發(fā)送幀時(shí)當(dāng)該幀的VLAN ID與端口的PVID不同時(shí)，直接透?jìng)?；?dāng)該幀的VLAN ID與端口的PVID相同時(shí)，則剝離802.1Q tag header 接收方向發(fā)送方向TrunkPVID:1PVID:2幀在網(wǎng)絡(luò)通信中的變化幀在網(wǎng)絡(luò)通信中的變化SWASWBVLAN 2交換機(jī)單播報(bào)文轉(zhuǎn)發(fā)機(jī)制交換機(jī)單播報(bào)文轉(zhuǎn)發(fā)機(jī)制交換機(jī)的報(bào)文轉(zhuǎn)發(fā)機(jī)制分兩種：SVL和IVLSVL：Shared VLAN learning，共享式VLAN學(xué)習(xí)。在這種方式下，MAC地址在整張表中是唯一的，一個(gè)MAC地址在地址表中只能有一條記錄，一個(gè)MAC只能被學(xué)習(xí)到一個(gè)端口上。 IVL：Independent VLAN

11、learning，獨(dú)立式VLAN學(xué)習(xí)。在這種方式下，MAC地址表在邏輯上可以被看成根據(jù)VLAN信息分成了很多張表，一個(gè)MAC地址可學(xué)習(xí)到不同VLAN對(duì)應(yīng)的“地址表”上。 MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3MAC1 VLAN1 PORT1MAC2 VLAN2 PORT2MAC3 VLAN3 PORT3IVLSVLlMAC地址在不同方式的地址表中的存在可以形象的表示為：交換機(jī)的報(bào)文轉(zhuǎn)發(fā)機(jī)制交換機(jī)的報(bào)文轉(zhuǎn)發(fā)機(jī)制SVLSVL機(jī)制的轉(zhuǎn)發(fā)報(bào)文流程機(jī)制的轉(zhuǎn)發(fā)報(bào)文流程交換機(jī)先根據(jù)目的MAC地址查MAC轉(zhuǎn)發(fā)表(即L2FDB) ，檢查是否有匹配項(xiàng)若有匹

12、配項(xiàng)，然后判斷這個(gè)端口所屬的VLAN是否和報(bào)文攜帶的VLAN信息對(duì)應(yīng)的VLAN相等，如果相等就轉(zhuǎn)發(fā)，否則就丟棄如果根據(jù)目的MAC沒有找到匹配項(xiàng)，則在報(bào)文所屬的VLAN內(nèi)進(jìn)行廣播（除源端口）IVLIVL機(jī)制的轉(zhuǎn)發(fā)報(bào)文流程機(jī)制的轉(zhuǎn)發(fā)報(bào)文流程根據(jù)幀內(nèi)Tag Header的VLAN ID查找L2FDB表，確定查找的范圍；根據(jù)目的MAC查找出端口，找到相應(yīng)項(xiàng)則轉(zhuǎn)發(fā)；如果在L2FDB表中查找不到該目的MAC，則該報(bào)文將通過廣播的方式在該VLAN內(nèi)所有端口轉(zhuǎn)發(fā)（除源端口）； 小結(jié)小結(jié)VLAN的端口分類有多少種？VLAN數(shù)據(jù)幀與標(biāo)準(zhǔn)以太網(wǎng)數(shù)據(jù)幀有什么區(qū)別？當(dāng)Trunk端口收到一個(gè)沒有打標(biāo)簽的數(shù)據(jù)幀時(shí)會(huì)怎么辦？

13、第第1章章 VLAN概述概述第第2章章 VLAN的配置與實(shí)現(xiàn)的配置與實(shí)現(xiàn) 4.1 VLAN 路由原理路由原理4.2 VLAN路由配置與實(shí)現(xiàn)路由配置與實(shí)現(xiàn)VLANVLAN的缺點(diǎn)的缺點(diǎn)VLAN隔離了二層廣播域，也就嚴(yán)格地隔離了各個(gè)VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信。VLAN 100VLAN 200Port 1Port 2VLANVLAN互通的實(shí)現(xiàn)互通的實(shí)現(xiàn)每個(gè)每個(gè)VLANVLAN一個(gè)物理連接一個(gè)物理連接在二層交換機(jī)上配置VLAN，每一個(gè)VLAN使用一條獨(dú)占的物理連接連接到路由器的一個(gè)接口上。VLAN 100VLAN 300Ethernet2Ethernet0VLAN 20

14、0Ethernet1VLANVLAN互通的實(shí)現(xiàn)互通的實(shí)現(xiàn)使用使用VLAN TrunkingVLAN Trunking二層交換機(jī)上和路由器上配置他們之間相連的端口使用VLAN Trunking，使多個(gè)VLAN共享同一條物理連接到路由VLAN 100VLAN 300VLAN 200TrunkEthernet0.300Ethernet0.200Ethernet0.100VLANVLAN互通的實(shí)現(xiàn)互通的實(shí)現(xiàn)交換和路由的集成交換和路由的集成二層交換機(jī)和路由器在功能上的集成構(gòu)成了三層交換機(jī)，三層交換機(jī)在功能上實(shí)現(xiàn)了VLAN的劃分、VLAN內(nèi)部的二層交換和VLAN間路由的功能。二層交換機(jī)三層交換機(jī)三層交換機(jī)

15、功能模型三層交換機(jī)功能模型4.1 VLAN 路由原理路由原理4.2 VLAN路由配置與實(shí)現(xiàn)路由配置與實(shí)現(xiàn)單臂路由配置單臂路由配置交換機(jī)配置交換機(jī)配置SWAvlan 100SWA-vlan100port ethernet 0/1SWAvlan 200SWA-vlan200port ethernet 0/2SWAinterface ethernet 0/24SWA-Ethernet0/24port link-type trunkSWA-Ethernet0/24port trunk permit vlan allEthernet0/1Port 24TrunkSWARTA單臂路由配置單臂路由配置路由器

16、配置路由器配置RTAinterface ethernet 0/1.1RTA-Ethernet0/1.1vlan dot1q vid 100RTA-Ethernet0/1.1ip address 192.168.10.1 255.255.255.0RTAinterface ethernet 0/1.2RTA-Ethernet0/1.2vlan dot1q vid 200RTA-Ethernet0/1.2ip address 192.168.20.1 255.255.255.0Ethernet0/1Port 24TrunkSWARTA三層交換機(jī)配置三層交換機(jī)配置VLAN 100VLAN 200IP

17、:192.168.20.30GW:192.168.20.1IP:192.168.10.10GW:192.168.10.1Port 2Port 1SWA三層交換機(jī)配置三層交換機(jī)配置交換機(jī)配置交換機(jī)配置SWASWAinterface vlan-interface 100SWA-Vlan-interface100ip add 192.168.10.1 255.255.255.0SWAinterface vlan-interface 200SWA-Vlan-interface200ip add 192.168.20.1 255.255.255.0創(chuàng)建VLAN三層接口小結(jié)小結(jié)VLAN路由的目的是什么？實(shí)

18、現(xiàn)VLAN間的通信有多少種方法？QinQQinQ 隨著以太網(wǎng)技術(shù)在運(yùn)營(yíng)商網(wǎng)絡(luò)中的大量部署（即城域以太網(wǎng)），利用802.1Q VLAN對(duì)用戶進(jìn)行隔離和標(biāo)識(shí)受到很大限制，因?yàn)镮EEE802.1Q中定義的VLAN tag域只有12個(gè)比特，僅能表示4K個(gè)VLAN，這對(duì)于城域以太網(wǎng)中需要標(biāo)識(shí)的大量用戶捉襟見肘，于是QinQ技術(shù)應(yīng)運(yùn)而生。QinQ技術(shù)也稱Stacked VLAN(SVLAN)。 QinQ最初主要是為拓展VLAN的數(shù)量空間而產(chǎn)生的，它是在原有的802.1Q報(bào)文的基礎(chǔ)上又增加一層802.1Q標(biāo)簽實(shí)現(xiàn)，使VLAN數(shù)量增加到4K*4K，隨著城域以太網(wǎng)的發(fā)展以及運(yùn)營(yíng)商精細(xì)化運(yùn)作的要求，QinQ的雙層

19、標(biāo)簽又有了進(jìn)一步的使用場(chǎng)景，它的內(nèi)外層標(biāo)簽可以代表不同的信息，如內(nèi)層標(biāo)簽代表用戶，外層標(biāo)簽代表業(yè)務(wù)，另外，QinQ報(bào)文帶著兩層tag穿越運(yùn)營(yíng)商網(wǎng)絡(luò)，內(nèi)層tag透明傳送，也是一種簡(jiǎn)單、實(shí)用的VPN技術(shù)，因此它又可以作為核心MPLS VPN在城域以太網(wǎng)VPN的延伸，最終形成端到端的VPN技術(shù)。 QinQQinQ的報(bào)文格式的報(bào)文格式QinQ報(bào)文有固定的格式，就是在802.1Q的標(biāo)簽之上再打一層802.1Q標(biāo)簽，QinQ報(bào)文比正常的802.1Q報(bào)文多四個(gè)字節(jié)。 QinQQinQ的封裝的封裝 QinQ封裝是指如何把單層Q報(bào)文轉(zhuǎn)換為雙層Q報(bào)文，封裝主要發(fā)生在城域網(wǎng)面向用戶的UPE設(shè)備，一般在交換式的端口上進(jìn)行，根據(jù)不同的封裝依據(jù)，QinQ可以分為幾種不同類型，包括基于端口的QinQ和基于流的QinQ兩大類，另外，還可以在路由子接口上進(jìn)行的特殊QinQ封裝 基于端口的QinQ封裝：基于端口的封裝指進(jìn)入一個(gè)端口的所有流量全部封裝一個(gè)外層VLAN TAG，封裝方式較為呆板。 基于流的QinQ封裝：基于流的QinQ封裝可以對(duì)進(jìn)入端口的數(shù)據(jù)首先進(jìn)行流分類，然后對(duì)于不同的數(shù)據(jù)流選擇是否打外層TAG，打何種外層TAG，因此也叫靈活QinQ，靈活QinQ根據(jù)流分類的方法又可細(xì)分如下