局域网与城域网Local&MetropolitanAreaNetworks第7章虚拟局域网7.1VLAN的引入7.2VLAN基础7.3VLAN运行原理7.4VLAN的应用7.5小结7.1VLAN的引入交换式局域网L2交换机广泛用于组建局域网称为交换式局域网全部使用L2交换机组网,称为全交换网络在以太网领域,有以太网交换机、交换式以太网,等等全交换网络属于同一个广播域L2交换机本质上就是网桥,全交换网络就是桥接局域网大型交换式网络以太网交换机的广泛应用,促进了大型网络的建设高性能的大型交换式网络产生严重的广播风暴7.1VLAN的引入大型交换式网络的广播风暴交换机站交换机交换机站站站7.1VLAN的引入广播风暴的成因广播域内有相当多的帧采用广播式发送任何一个广播帧都会传遍整个广播域交换机生成树协议的BPDU帧会周期性发送到整个广播域交换机扩散未知宿地址帧到整个广播域广播域增大,帧的广播数量指数上升,形成广播风暴广播风暴的影响降低网络性能浪费网络带宽、吞吐率下降,帧转发时延急剧增大造成网络拥塞,严重时甚至使网络瘫痪解决措施划分一个大广播域为多个小广播域7.2VLAN基础7.2.1VLAN概念7.2.2VLAN标识符7.2.3VLAN分类7.2.4VLAN加标帧7.2.5VLAN设备7.2.6VLAN链路7.2.7VLAN的MAC表7.2.1VLAN概念什么是VLAN划分一个交换式网络为多个相互独立的虚拟物理网络这些逻辑上虚拟的物理网络称为VLAN虚拟局域网:VirtualLANVLAN之间相互逻辑隔离,成员之间不能直接通信VLAN之间的通信只能通过L3或更高层7.2.1VLAN概念VLAN划分的一些特点通过交换机的命令配置划分VLANVLAN的划分可以跨越交换机同一VLAN的成员物理上可以位于不同地方一个站点可以同时属于多个VLAN7.2.1VLAN概念VLAN划分前后图例VLAN划分前站点均位于同一广播域所有站点均可直接通信VLAN划分后一个物理网划分成VLAN2和VLAN3形成两个独立的广播域VLAN成员之间的直接通信VLAN之间不能通信VLAN之内可以通信可以设计成员之间的间接通信机制以太网交换机以太网交换机VLAN2VLAN37.2.2VLAN标识符如何识别同一物理网络中的不同VLAN?给每个VLAN指派一个VLAN标识符VLANID、VIDVLAN标识符:VLANIdentifier不同的VLANID标识不同的VLANVID值一个12bit的无符号数,合法范围:1~4094具体设备支持的VID范围可能更小默认VID值为1,用户不能指派他用defaultPVIDvalue7.2.3VLAN分类可以有多种类型的VLAN取决于不同的VLAN划分策略VLAN类型举例基于端口的VLAN是所有可能的VLAN类型的基础基于协议的VLAN基于MAC地址的VLAN基于子网的VLAN7.2.3VLAN分类基于端口的VLANPort-basedVLAN指定交换机的各个端口归属于那一个VLAN为端口指派VLANID(称为PVID)按端口物理位置划分的VLAN静态划分,不会随站点接入的端口而变交换机的一个端口可同时属于多个VLAN最简单,却是得到最广泛应用的VLAN类型7.2.3VLAN分类其它VLAN分类方式基于协议的VLAN根据高层协议对VLAN分类可能出现物理位置重叠VLAN基于MAC地址的VLAN根据MAC地址对VLAN分类MAC帧只会发送到站点宿站点,安全性好配置繁琐这些分类方式均很少应用7.2.4VLAN加标帧MAC加标帧Taggedframe在MAC帧头增加标志字段标志字段可封装VLANID、用户优先级等信息分别称为VLAN加标帧、优先级加标帧,和无标帧以太网的扩展帧802.3-2002规定了加标MAC帧格式其中,802.1Q标志类型可作为VLAN加标帧7.2.4VLAN加标帧基本MAC帧格式:802.3-20027.2.4VLAN加标帧加标MAC帧:基本MAC帧格式的扩展7.2.4TCI格式TCI有2个八位组,包含user_priority、CFI、VID见Fig.9-47.2.4VLAN加标帧加标帧的标志头包括:TPID、TCITPID:TagProtocolIdentifier用以标识加标帧的类型ETPID:81-00,表示802.1QTagTypeTCI:TagControlInformation包括:P、CFI、VID三个字段CFI:criterionformatindentifier7.2.4VLAN加标帧Length/TypeFCSDASA以太网:基本MAC帧以太网:VLAN加标帧FCSDASATPIDVLANIDPCFIVLAN标记头MACClientDataLength/TypeMACClientData7.2.4加标帧的标志字段TPIDVLANIDPCFI用以标识加标帧的类型81-00表示:802.1QTag即VLAN协议3bits1bit12bitsTCI:TagControlInformation2个八位组TagProtocolIdentifie2个八位组•用以表示优先级•3位、共8个等级•不同设备支持优先级的等级数有差异•优先级高的帧先发出用一个12位无符号二进数表示VLAN加标帧有效范围:1~40941:defaultVLANID基于端口VLAN中的默认值,可由网管改变FFF:保留用户优先级帧0:nullVLANID7.2.4VID格式VID用一个12位无符号二进数作为VLAN标识符,唯一标识了该帧归属的VLAN。0:nullVLANID,表示该帧是用户优先级帧VLAN加标帧的标志头中必须有非空VLANID1:defaultPVIDvalue,基于端口VLAN中的默认值,可用网管改变FFF:保留7.2.5VLAN设备VLAN中的设备可分为两类VLAN知晓设备、VLAN非知晓设备VLAN知晓设备:VLANaware能意识到VLAN的存在,例如支持802.1Q的交换机识别VLAN加标帧并予以适当的处理同时也能适当处理非加标帧VLAN非知晓设备:VLANunaware不能意识到VLAN的存在,例如一般的计算机不能识别VLAN加标帧只能处理无标帧,或优先级帧7.2.5VLAN设备图中只有交换机是VLAN知晓设备交换机只转发同一VLAN内站点之间的无标帧其余设备(H、SRV)均为VLAN非知晓设备交换机VLAN_2VLAN_3H1H2H3H4SRV7.2.6VLAN链路主干链路:TrunkLink通常用于互连VLAN交换机用于跨交换机传递多个VLAN的信息链路上传送的是VLAN加标帧接入链路:AccessLink通常用于将无知晓设备接入VLAN链路上传送的是无标帧接入链路上的入端口为无标帧加标接收帧的端口将VID(PVID)值插入无标帧中混合链路:HybridLink(略)7.2.6VLAN链路主干链路连接运行VLAN协议的交换机主干链路的特点主干链路的端口可能属于多个VLAN多个VLAN跨交换机共用同一链路实现中继VALN交换机VLAN交换机VLAN2VLAN3Trunklink:VLAN2、37.2.6VLAN链路接入链路将VLAN非知晓设备接入VLAN交换机接入链路的特点链路只能收发无标帧链路上的VLAN入端口只属于1个VLANPCVALN交换机HUBPCPCPCPC接入链路7.2.7VLAN的MAC表两种动态建表的方式独立学习:为每个VLAN建立一个MAC表共享学习:为所有VLAN建立一个共同的MAC表交换机12345H1H2H3H4V2V3VLAN2MAC地址端口MAC(1)1MAC(4)4……VLAN3MAC地址端口MAC(4)4MAC(5)5……独立学习建表MAC地址端口VLANMAC(1)12MAC(4)42,3MAC(5)53……共享学习建表H57.3VLAN运行原理7.3.1VLAN网桥协议结构7.3.2VLAN网桥的E-ISS7.3.3帧的处理过程7.3.1VLAN网桥协议结构网桥协议结构模型的构成一个MAC中继实体互连网桥各端口,两个以上的端口高层协议实体,包括STP、RSTP、网管等实体MAC中继实体MAC中继实体处理MAC无关功能中继帧、过滤帧、学习过滤信息等它使用各个端口的MAC实体提供的E-ISS服务端口每个端口固定关联一个MAC实体MAC实体处理所有MAC方法相关功能MAC协议和过程7.3.1一般网桥的结构两端口网桥的体系结构注意:VLAN网桥/E-ISS,普通网桥/ISS高层实体(STP、RSTP、网管、……)MAC实体MAC实体MAC中继实体ISSISSMAC服务用户MAC服务用户MSAPMSAP7.3.1VLAN网桥的ISS增强VLAN网桥:E-ISS增强的内部子层服务E-ISS结构图,Fig.6-1,802.1Q-20037.3.1VLAN网桥的结构两端口网桥的体系结构Fig.8-3,802.1Q-2003高层实体(STP、RSTP、网管、……)MAC实体MAC实体MAC中继实体E-ISSE-ISSMAC服务用户MAC服务用户MSAPMSAP7.3.2网桥的内部子层服务比较普通网桥网桥的内部子层服务是无连接模式MAC服务服务原语MA-UNITDATArequestMA-UNITDATAindication原语参数有4个DA、SA、MSDU、优先级7.3.2VLAN网桥中的E-ISSE-ISS:增强内部子层服务是ISS的增强,增加了帧的加标去标功能定义了VLAN知晓网桥中的MAC服务支持VLAN中继功能VLAN知晓网桥就是支持这些功能的网桥E-ISS服务定义的单元数据原语是EM_UNITDATA.indicationEM_UNITDATA.request参数主要包括DA/SA、MSDU、用户优先级、VLANID7.3.3帧的处理过程VLAN交换机的帧处理针对加标帧和无标帧,加标、删标帧处理主要考虑是否为有效帧如果是有效帧,是否转发如果转发,是否需要加或删VLANID7.3.3帧的处理示例设两交换机MAC表空,H1向H5发送一帧SW1处理:p1属V_3收到无标帧,宿地址不在V_3表中,向p2、p4转发,其中向p4转发帧加标记,然后在V_3中添加MAC(1)表项SW2处理:p3收到V_3加标帧,宿地址不在V_3表中,删除标记后向端口2转发,然后在V_3中添加MAC(1)表项VLAN交换机1123H1H2H3V3VLAN交换机212H4H543V27.4VLAN的应用7.4.1根据需要划分VLAN7.4.2组建VLAN的条件7.4.3基于端口VLAN的实现7.4.4VLAN之间的通信7.4.1根据需求划分VLAN根据不同的应用需求划分,例如普通工作组或项目组的所有用户特定安全要求的一组群体一台服务器和访问该服务器的多个用户支持特定协议族的一组用户7.4.2组建VLAN的条件组建VLAN的条件VLAN通常是基于交换式以太网的因此组建VLAN需要至少一个,或多个以太网交换机以太网交换机必须支持802.1Q协议注意交换机支持VLAN的数目因设备而异7.4.3基于端口VLAN的实现需要对支持VLAN协议的交换机进行配置1)创建VLAN、设置VLANID2)对交换机端口进行配置portmodeTrunkmodeAccessmodeVLANIDforeachportVLANtrunkprotocoltypefortrunkport不同商家交换机互连时,trunk链路的端口必须配置相同的协议:802.1Q案例