《路由交換技術(shù)與應(yīng)用》課件第13章

第13章虛擬局域網(wǎng)(VLAN)技術(shù)13.1VLAN概述13.2VLAN的結(jié)構(gòu)與特點13.3VLAN成員劃分的方式13.4VLAN的運作13.5缺省VLAN13.6鏈路類型13.7IEEE802.1Q13.8配置靜態(tài)VLAN13.9VLAN的兩種設(shè)計方式小結(jié)

主要內(nèi)容：

VLAN的概念及特點

VLAN的工作原理及劃分方法

VLAN端口(或鏈路)類型，TURNK鏈路的封裝協(xié)議

VLAN的數(shù)據(jù)配置

VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。13.1VLAN概述

VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN，即VLAN)，每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量，減少設(shè)備投資，簡化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性。

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶兩層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。

VLAN是一個廣播域，其中的成員仿佛共享同一物理網(wǎng)段一樣。不同VLAN成員不能直接訪問。在VLAN中，劃分在同一廣播域中的成員并沒有任何物理或地理上的限制，它們可以連接到一個交換網(wǎng)絡(luò)中的不同交換機(jī)上。廣播分組、未知分組及成員之間的數(shù)據(jù)分組都被限定在VLAN之內(nèi)。對VLAN的另一個定義是，它能夠使單一的交換結(jié)構(gòu)被劃分成多個小的廣播域。

VLAN的結(jié)構(gòu)如圖13-1所示。13.2VLAN的結(jié)構(gòu)與特點

圖13-1VLAN結(jié)構(gòu)圖

VLAN具有以下特點：

(1)區(qū)段化：使用VLAN可將單一的交換架構(gòu)、一個廣播域分隔成多個廣播域，相當(dāng)于分隔出物理上分離的多個單獨的網(wǎng)絡(luò)。即將一個網(wǎng)絡(luò)進(jìn)行區(qū)段化，減少每個區(qū)段的主機(jī)數(shù)量，提高網(wǎng)絡(luò)性能。

(2)靈活性：VLAN配置、成員的添加、移去和修改都是通過在交換機(jī)上進(jìn)行配置實現(xiàn)的。一般情況下無須更改物理網(wǎng)絡(luò)與增添新設(shè)備及更改布線系統(tǒng)，所以VLAN提供了極大的靈活性。

(3)安全性：將一個網(wǎng)絡(luò)劃分VLAN后，不同VLAN內(nèi)的主機(jī)間通信必須通過3層設(shè)備，而在3層設(shè)備上可以設(shè)置ACL等實現(xiàn)第3層的安全性，即VLAN間的通信是在受控的方式下完成的。相對于沒有劃分VLAN的網(wǎng)絡(luò)，所有主機(jī)可直接通信，VLAN提供了較高的安全性。另外，用戶若想加入某一VLAN，則必須通過網(wǎng)絡(luò)管理員在交換機(jī)上進(jìn)行配置才能加入特定VLAN，相應(yīng)地提高了安全性。

VLAN的類型取決于一個標(biāo)準(zhǔn)：即怎樣將一個已接受的幀看做屬于某個特定VLAN。VLAN分為以下幾種類型，最常用的就是基于端口的VLAN。13.3VLAN成員劃分的方式

(1)基于端口的VLAN；

(2)基于MAC地址的VLAN；

(3)基于協(xié)議的VLAN；

(4)基于子網(wǎng)的VLAN；

(5)基于組播的VLAN；

(6)基于策略的VLAN。13.3.1基于端口的VLAN

此類型的VLAN的連接如圖13-2所示。

L2設(shè)備(交換機(jī)，橋接器)的端口分配給了VLAN。由端口接收的任何流量都被認(rèn)為屬于該端口所屬的VLAN。例如，假如端口1、2和3屬于命名為“Marketing”的VLAN，那么端口1所接收的廣播幀就在端口2和3上傳送，而不是在任何其它端口上傳送。

目前最普遍的VLAN劃分方式為基于端口的靜態(tài)劃分方式。

網(wǎng)絡(luò)管理員將端口劃分為某個特定VLAN的端口，連接在這個端口的主機(jī)即屬于這個特定的VLAN。

圖13-2VLAN的連接基于端口的VLAN的優(yōu)點是配置相對簡單，對交換機(jī)轉(zhuǎn)發(fā)性能幾乎沒有影響。其缺點是需要為每個交換機(jī)端口配置所屬的VLAN，一旦用戶移動位置，可能需要網(wǎng)絡(luò)管理員對交換機(jī)相應(yīng)端口進(jìn)行重新設(shè)置。13.3.2基于MAC地址的VLAN

在該類型的VLAN中，每個交換設(shè)備(或一個中心VLAN信息服務(wù)器)保持追蹤網(wǎng)絡(luò)中的所有MAC地址，根據(jù)網(wǎng)絡(luò)管理器配置的信息將它們映射到相應(yīng)的虛擬局域網(wǎng)(VLAN)上。在端口接收幀時，根據(jù)目的MAC地址查詢VLAN數(shù)據(jù)庫。VLAN數(shù)據(jù)庫將該幀所屬VLAN的名字返回。

該VLAN類型的優(yōu)勢表現(xiàn)在諸如打印機(jī)和工作站這些網(wǎng)絡(luò)設(shè)備可在不需要重新配置的情況下在網(wǎng)絡(luò)內(nèi)部任意移動。但是由于網(wǎng)絡(luò)上的所有MAC地址需要掌握和配置，所以管理任務(wù)較重。13.3.3基于協(xié)議的VLAN

基于協(xié)議的VLAN將物理網(wǎng)絡(luò)劃分成基于協(xié)議的邏輯VLAN。在端口接收幀時，它的VLAN由該信息包的協(xié)議決定。例如，IPIPX和Appletalk可能有各自獨立的VLAN。IP廣播幀只被廣播到IPVLAN中的所有端口接收。13.3.4基于子網(wǎng)的VLAN

基于子網(wǎng)的VLAN是基于協(xié)議的VLAN的一個子集，根據(jù)幀所屬的子網(wǎng)決定一個幀所屬的VLAN。要做到這點，交換機(jī)必須查看入幀的網(wǎng)絡(luò)層包頭。這種VLAN的劃分與路由器的相似，即把不同的子網(wǎng)分成不同的廣播域。13.3.5基于組播的VLAN

基于組播的VLAN是為組播分組動態(tài)創(chuàng)建的。典型的例子就是每個組播分組都與一個不同的VLAN對應(yīng)，這就保證了組播幀只被相應(yīng)的組播分組成員的那些端口接收。13.3.6基于策略的VLAN

基于策略的VLAN是VLAN的最基本的定義。對于每個(無標(biāo)簽的)入幀都查詢策略數(shù)據(jù)庫，從而決定該幀所屬的VLAN。比如，可以建立一個公司的管理人員之間來往電子郵件的特別VLAN的策略，以便這些流量不被其他任何人看見。

每個VLAN相當(dāng)于一個物理上獨立的網(wǎng)橋，不同VLAN成員之間不能直接訪問。VLAN可以跨越交換機(jī)，不同交換機(jī)上相同VLAN的成員處于一個廣播域，可以直接相互訪問。13.4VLAN的運作由于VLAN的劃分是基于交換機(jī)的物理端口，交換機(jī)從連接主機(jī)的某個端口上接收到一個數(shù)據(jù)幀，交換機(jī)知道這個數(shù)據(jù)幀是屬于哪個VLAN的。

但是對于連接兩臺交換機(jī)的鏈路而言，此鏈路需要承載不同VLAN的數(shù)據(jù)，連接此鏈路的交換機(jī)的端口不屬于某個特定VLAN，如圖13-3所示。如果不對數(shù)據(jù)幀做標(biāo)記，交換機(jī)對從這樣的鏈路上接收到的數(shù)據(jù)幀將無法確定所屬的VLAN。所以交換機(jī)將數(shù)據(jù)幀發(fā)送到這樣的鏈路前必須對數(shù)據(jù)幀做標(biāo)記，即每一個數(shù)據(jù)幀都被加上了一個標(biāo)記，用來確定該分組所屬的VLAN。

VLAN的標(biāo)記使交換機(jī)能夠?qū)碜圆煌琕LAN上的業(yè)務(wù)流復(fù)用到一條物理線路上。

圖13-3兩個交換機(jī)的VLAN連接

ZXR10交換機(jī)初始情況下有一個缺省VLAN，該VLAN具有以下特性：

(1)缺省VLAN的VLANID為1；

(2)缺省VLAN的名稱為VLAN0001；

(3)缺省VLAN包含所有端口；

(4)缺省VLAN的所有端口默認(rèn)都是untagged的。13.5缺省VLAN

1.接入鏈路(AccessLink)

接入鏈路如圖13-4所示。接入鏈路是用來將沒有VLAN識別能力(Non-VLAN-Aware)的工作站連接到一個VLAN交換機(jī)端口的鏈路。即接入鏈路用于終端設(shè)備和交換機(jī)相連。如果VLAN是基于端口進(jìn)行劃分的，則一個接入鏈路只能屬于某一個特定VLAN。13.6鏈路類型

圖13-4接入鏈路圖接入鏈路可以是單獨一個網(wǎng)段，也可以由非VLAN識別的網(wǎng)橋和交換機(jī)連接起來的多個網(wǎng)段或工作站組成。接入鏈路不能承載標(biāo)記分組。

2.干線鏈路(TruckLink)

干線鏈路如圖13-5所示。干線鏈路是承載標(biāo)記分組(即那些具有VID的數(shù)據(jù)幀)的鏈路。所以一個干線鏈路可以承載多個VLAN的數(shù)據(jù)。干線鏈路支持那些能夠理解VLAN幀格式和成員資格的設(shè)備。干線鏈路最通常的使用場合就是連接兩個VLAN交換機(jī)的鏈路。通過干線鏈路可使VLAN跨越多個交換機(jī)。干線鏈路也可以用于交換機(jī)和具有VLAN識別能力的(VLAN-Aware)工作站/服務(wù)器的連接。

圖13-5干線鏈路圖

IEEE制定了通用VLAN標(biāo)準(zhǔn)，形成了虛擬橋接LAN的IEEE802.1Q規(guī)范，如圖13-6所示。802.1Q規(guī)范中規(guī)定了如下內(nèi)容：13.7IEEE802.1Q

圖13-6VLANIEEE802.1Q規(guī)范

(1)定義了一個體系結(jié)構(gòu)，以便在現(xiàn)有的IEEE802橋接LAN上提供VLAN服務(wù)。

(2)定義了在以太網(wǎng)IEEE802.3及令牌環(huán)/IEEE802.5上承載VLAN標(biāo)記的幀格式。

(3)定義了VLAN識別(VLAN-Aware)設(shè)備用來進(jìn)行配置信息和成員資格信息通信的協(xié)議和機(jī)制。

(4)定義了在IEEE802.1QVLAN識別設(shè)備網(wǎng)絡(luò)中轉(zhuǎn)發(fā)幀的標(biāo)準(zhǔn)和過程。

(5)保證與非VLAN識別設(shè)備(Non-VLAN-AwareDevices)的互操作性和共存性。(非VLAN識別設(shè)備就是一個工作站或路由器，它不能接收和發(fā)送帶有VLAN標(biāo)記D的分組，也不能理解有關(guān)VLAN成員資格的信息。)

(6)標(biāo)記頭在原始的以太網(wǎng)幀上加入了4B，這樣使以太網(wǎng)的最大幀長度變?yōu)?518B。這個值大于IEEE802.3標(biāo)準(zhǔn)中所規(guī)定的1514B，但是目前正預(yù)期對其進(jìn)行修改，以便使帶有VLAN標(biāo)記長度為1518B的以太網(wǎng)幀能夠被支持。

4B標(biāo)記頭的組成如下：

標(biāo)記協(xié)議標(biāo)識符(TPID)：2B的TPID字段的值為十六進(jìn)制的81-00，表明了這個幀承載的是802.1Q/802.1p標(biāo)簽信息。這個值必須區(qū)別于以太網(wǎng)類型字段中的任何值。

標(biāo)記控制信息(TCI)：TCI中包含一個3bit的用戶優(yōu)先級字段，用來在支持IEEE802.1p規(guī)范的交換機(jī)進(jìn)行幀轉(zhuǎn)發(fā)的過程中標(biāo)識幀的優(yōu)先級，TCI中還包含1bit的規(guī)范格式標(biāo)識符(CFI)，用于標(biāo)識MAC地址信息是否是規(guī)范格式的。此外，TCI中還有一個12bit長的VID，定義該幀所屬的VLAN。

不同的部門或工作組的人員根據(jù)共同工作需求被劃分為不同VLAN的成員。

在交換機(jī)上基于端口劃分VLAN，即所謂的配置靜態(tài)VLAN，如圖13-7所示。一旦將某個端口劃分為某個VLAN的端口，連接在這個端口的主機(jī)即屬于這個特定的VLAN。13.8配置靜態(tài)VLAN為了方便進(jìn)行VLAN間的通信，我們將邏輯網(wǎng)絡(luò)地址與VLAN聯(lián)系起來，為不同的VLAN分配不同的網(wǎng)絡(luò)或子網(wǎng)地址。這樣VLAN之間的通信就變成了子網(wǎng)之間的路由。如果劃分VLAN后各個VLAN間沒有通信的需求，我們可以給不同的VLAN分配相同或不同的地址段。

圖13-7靜態(tài)VLAN

在網(wǎng)絡(luò)設(shè)計中，VLAN的設(shè)置通常采用兩種形式，即端—端(End-to-End)VLAN與本地化(Local)VLAN。13.9VLAN的兩種設(shè)計方式13.9.1端—端VLAN

端—端VLAN如圖13-8所示。采用端—端VLAN的設(shè)計方式，VLAN跨越整個交換架構(gòu)，最終由一臺三層設(shè)備完成VLAN間的路由。即VLAN跨越分布層與核心層設(shè)備。在一個園區(qū)范圍內(nèi)，一個工作組的所有成員都處在同一個VLAN之中，即使它們可能處于不同的交換區(qū)塊之中。

采用端—端VLAN設(shè)計，適合于整個園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)簡單、連接的主機(jī)數(shù)量及網(wǎng)絡(luò)流量較少的情況，其優(yōu)點是結(jié)構(gòu)簡單，容易配置，并且接入層、分布層、核心層全部采用兩層設(shè)備，所有的VLAN間通信依靠一臺三層設(shè)備完成。其缺點是VLAN跨越分布層與核心層，意味著VLAN中的廣播也將跨越分布層與核心層，流量不易控制，并且一旦某個VLAN出現(xiàn)廣播風(fēng)暴，將影響到整個網(wǎng)絡(luò)。

圖13-8端－端VLAN13.9.2本地化VLAN

本地化VLAN如圖13-9所示。它是目前在中大型規(guī)模園區(qū)網(wǎng)設(shè)計中廣泛采用的方法。

圖13-9本地化VLAN本地化VLAN設(shè)計將VLAN限制在一個交換區(qū)塊之內(nèi)，即VLAN不會跨越分布層設(shè)備到達(dá)核心層的鏈路之上。分布層設(shè)備采用三層交換機(jī)。同一個交換區(qū)塊之內(nèi)的VLAN間數(shù)據(jù)通信由本交換區(qū)塊的分布層設(shè)備進(jìn)行路由；不同交換區(qū)塊的VLAN間通信依靠分