第4章局域网技术及网络组建.

人民邮电出版社全国十一五规划教材1编著：斯桃枝等局域网技术与局域网组建人民邮电出版社全国十一五规划教材2编著：斯桃枝等第4章局域网技术及网络组建人民邮电出版社全国十一五规划教材3编著：斯桃枝等本章主要内容：虚拟局域网三层交换技术生成树协议链路聚合人民邮电出版社全国十一五规划教材4编著：斯桃枝等4.1虚拟局域网4.1.1虚拟局域网的产生在交换机构成的网络中，所有的设备都会转发广播帧，因此任何一个广播帧或多播帧（MulticastFrame）都将被广播到整个局域网中的每台主机，如图4-1所示。在网络通信中，广播信息是普遍存在的，这些广播帧将占用大量的网络带宽，导致网络速度和通信效率下降，并额外增加了网络主机为处理广播信息所产生的负荷。图4-1ARP广播扩散人民邮电出版社全国十一五规划教材5编著：斯桃枝等路由器能实现对广播域的分割和隔离。但路由器所带的以太网接口数量有限，一般是1-4个，远远不能满足对网络分段的需要，而交换机上有较多的以太网端口，为在交换机上实现不同网段的广播隔离，产生了VLAN交换技术。一个VLAN就是一个网段，通过在交换机上划分VLAN（同一交换机上可划分不同的VLAN，不同的交换机上可属于同一个VLAN），可将一个大的局域网划分成若干个网段，每个网段内所有主机间的通信和广播仅限于该VLAN内，广播帧不会被转发到其他网段。即一个VLAN就是一个广播域，VLAN间不能直接通信，从而实现了对广播域的分割和隔离。虚拟局域网的特点：VLAN可以看成是一组客户工作站的集合，这些工作站不必处于同一个物理网络上（跨交换机），它们可以不受地理位置的限制而加入同一个逻辑子网中，就象处于同一个局域网上一样进行通信和信息交换。人民邮电出版社全国十一五规划教材6编著：斯桃枝等在同一个物理网络中不同的工作组也可划分不同的VLAN，通常，同一组织部门在同一广播域，不同的组织部门即使连在同一个物理网络中也可划分不同的VLAN。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。图4-2VLAN的广播域人民邮电出版社全国十一五规划教材7编著：斯桃枝等在引入VLAN后，交换机的端口按用途分为访问连接端口（AccessLink）和汇聚链接端口（TrunkLink）。基于端口的VLAN分为两类:Port-VLANTag-VLAN访问连接端口通常用于连接客户的PC，以提供网络接入服务。该端口只属于某一个VLAN，并且向该VLAN发送或接收数据帧。端口所属的VLAN通常称作Port-VLAN。Port-VLAN有以下特点:①VLAN是划分出来的逻辑网络，是第二层网络；②VLAN端口不受物理位置的限制；③VLAN隔离广播域。Port-VLAN的工作机制是：通过查找MAC地址表，交换机只对同一VLAN中的数据进行转发，对发往不同VLAN的数据不转发。4.1.2VLAN的工作机制人民邮电出版社全国十一五规划教材8编著：斯桃枝等汇聚链接端口属于所有VLAN共有，承载所有VLAN在交换机间的通信流量。此端口所属的VLAN通常称作Tag-VLAN。Tag-VLAN有以下特点：①传输多个VLAN的信息；②实现同一VLAN跨越不同的交换机；③要求Trunk至少要100M。汇聚链路承载了所有VLAN的通信量，为了标识各数据帧属于哪一个VLAN，需要对流经汇聚链路的数据帧进行打标（tag）封装，以附加上VLAN信息，使交换机通过VLAN标识，将数据帧转发到对应的VLAN中。目前交换机支持的打标封装协议有IEEE802.1Q和ISL。其中IEEE802.1Q是经过IEEE认证的对数据帧封装附加VLAN识别信息的协议，属于国际标准协议，适用于各个厂商生产的交换机，该协议简称dot1q。而ISL协议仅适用于Cisco。IEEE802.1Q中附加的VLAN识别信息，是位于原数据帧中“源MAC地址”和“类型（Type）”之间，添加了2字节的标记协议标识（TPID）和2字节的标记控制信息（TCI），如图4-3所示。人民邮电出版社全国十一五规划教材9编著：斯桃枝等图4-3IEEE802.1Q人民邮电出版社全国十一五规划教材10编著：斯桃枝等当HOSTB发送数据到HOSTY时，在进入交换机端口前，数据帧的头部并没有被加上VLANTag标记，当数据进入交换机SwitchA端口后，根据端口所属的VLAN2，在数据帧的头部加上VLAN2的Tag标记，在交换机中查找此VLAN2的MAC地址表，没有找到对应的端口后，在VLAN2中广播，当数据通过交换机SwitchA的级联端口24时，由于该端口为TRUNK口，数据从此端口转出时仍带有VLAN2的Tag标记，到交换机SwitchB的级联端口24，根据VLAN2的Tag标记，在SwitchB的VLAN2中广播，HOSTY响应，得到对应的目标端口2，SwitchB剥去VLAN2的Tag标记后，将数据帧从端口2转发给HOSTY。其工作原理如图4-4所示。人民邮电出版社全国十一五规划教材11编著：斯桃枝等图4-4VLAN的工作机制人民邮电出版社全国十一五规划教材12编著：斯桃枝等在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，将跨越多台交换机，VLAN的划分不受网络端口的实际物理位置的限制，如图4-5所示。4.1.3虚拟局域网的划分图4-5跨交换机划分VLAN人民邮电出版社全国十一五规划教材13编著：斯桃枝等虚拟局域网的实现有两种：静态和动态。静态实现方式中，网络管理员将交换机端口分配给某一个VLAN。这种配置简单、安全、易于实现和监视。动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样，当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时必须利用管理软件来进行管理。在基于IP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。划分虚拟局域网有以下几种方法：基于端口的VLAN基于协议的VLAN基于MAC地址的VLAN基于IP子网的VLAN人民邮电出版社全国十一五规划教材14编著：斯桃枝等基于端口的VLAN针对交换机的端口进行VLAN的划分，它不受接在交换机端口上的主机的变化而变化，是目前最常用的一种VLAN划分方法，此种方法比较简单并且非常有效。但仅靠端口分组而定义VLAN将无法使得同一个物理分段（或交换端口）同时参与到多个VLAN中，当一个客户站从一个端口移到另一个端口时，网管人员将不得不对VLAN成员进行重新分配。基于协议的VLAN在一个多类型的协议环境中，通过区分传输数据所用的三层协议来划分VLAN的成员。但在一个主要以IP协议为主的网络环境中，这种方法不太实用。按MAC地址基于主机的MAC地址进行VLAN划分，这种方式由管理人员指定属于同一个VLAN中的各客户机的MAC地址。优点：无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。缺点：在站点入网时，所有的用户都必须被配置（手工方式）到至少一个VLAN中，只有在此种手工配置之后方可实现对VLAN成员的自动跟踪。因此在大型网络中采用此方法，初始配置工作会很大。人民邮电出版社全国十一五规划教材15编著：斯桃枝等按第三层协议基于第三层协议的VLAN实现，在决定VLAN成员身份时主要是考虑协议类型或网络层地址。根据每个主机的网络层地址或协议类型来划分VLAN，此种类型的VLAN划分需要将子网地址映射到VLAN，交换设备则根据子网地址而将各机器的MAC地址和同一个VLAN联系起来。优点：新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的VLAN，并且在第三层上定义的VLAN将不再需要报文标识，从而可以消除在交换机设备之间传递VLAN成员信息而花费的开销。在3种VLAN实现技术中，基于网络地址的VLAN智能化程度最高，实现起来也最复杂，一个客户可以属于多个VLAN。基于多播的VLAN基于多播应用进行用户的划分，即将同一个多播组划分在同一VLAN中，这种划分方法可以将VLAN扩大到广播网，能通过路由器进行扩展，但不适合于局域网，效率不高。人民邮电出版社全国十一五规划教材16编著：斯桃枝等4.1.4NativeVLAN所谓NativeVLAN，也叫默认（缺省）VLAN，在这个接口上收发未标记的报文，都被认为是属于这个VLAN的。通常VLAN1作为缺省的NativeVLAN，一般不要删除。当一个未标记的帧经过trunk口时，会打上NativeVLAN的标记；一个已标记的帧经过trunk口时，如果其标记的VLAN与trunk口的NativeVLAN相同，则会剥去标记。一个交换机的端口若定义为AccessPort，在未将此端口分给任何VLAN时，缺省情况下属于VALN1，一个交换机的端口若定义为Trunkport，它能传输多个VLAN的数据帧，在没有特别指定的情况下，此Trunkport的NativeVLAN为VLAN1。如果此Trunkport的NativeVLAN不是VLAN1，则必须用switchporttrunknativevlan10来指定NativeVLAN为vlan10。在配置Trunk链路时，必须保证连接链路的两个端口的Trunk口属于相同的nativeVLAN。人民邮电出版社全国十一五规划教材17编著：斯桃枝等配置PortVLAN的基本步骤配置TagVLAN-Trunk的常用命令配置NativeVLAN其他VLAN配置命令4.1.5配置VLAN人民邮电出版社全国十一五规划教材18编著：斯桃枝等交换机通过MAC地址表进行数据帧的转发，而引入VLAN后，交换机在MAC地址表中增加VLAN信息，也就是说交换机对每一个VLAN都维护一个本VLAN的MAC地址表。在数据转发时，先在同一VLAN的MAC地址表中，根据数据帧中的目的MAC地址进行查找，若找到的话，就进行转发；若找不到，就向此VLAN的网关发送，由此VLAN网关向其它网段（不同的VLAN）进行路由表的查询。VLAN内的主机彼此间可以自由通信，当VLAN成员分布在多台交换机的端口上时，使用TRUNK进行通信。用于实现各VLAN在交换机间通信的链路，称为交换机的汇聚链路或主干链路（TrunkLink）。用于提供汇聚链路的端口，称为汇聚端口。汇聚端口的速率应在100Mbps以上。引入VLAN后，交换机的端口按用途分为访问连接端口（AccessLink）和汇聚连接（TrunkLink）端口。目前交换机支持的打标封装协议有IEEE802.1Q和ISL。4.1.6同一VLAN不同交换机之间的数据转发人民邮电出版社全国十一五规划教材19编著：斯桃枝等4.1.7不同的VLAN之间的数据转发使用单臂路由实现不同VLAN之间的数据转发对于没有路由功能的二层交换机，若要实现VLAN间的相互通信，就要借助外部的路由器（单臂路由）来为VLAN指定默认路由，此时路由器的快速以太网接口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个VLAN创建一个对应的虚拟子接口，并设置虚拟子接口的IP地址，该IP地址以后就成为该VLAN的默认网关（路由）。由于这些虚拟子接口是直接连接在路由器上的，一旦每个虚拟子接口设置了IP地址后，路由器就会自动在路由表中为各VLAN添加路由，从而实现VLAN间的路由转发，如图4-8所示。人民邮电出版社全国十一五规划教材20编著：斯桃枝等使用三层交换机实现不同VLAN之间的数据转发和物理网络一样，一个VLAN通常和一个IP子网联系在一起。所有在同一个IP子网中的主机属于同一个VLAN。VLAN间的通信可以通过三层设备（路由器