第3章、虚拟局域网VLAN3.2VLAN划分和配置3.3VLAN成员信息交换3.1VLAN概述3.4VLAN间路由通信第3章:重点与难点重点理解和掌握:1、VLAN概念和VLAN完成的主要功能2、大型VLAN中的VLAN信息标识IEEE802.1Q标准3、划分和配置VLAN的常用方法4、VLAN间的通信处理主要了解:1、以太交换VLAN技术的关键问题2、VLAN隔离广播域的特点3、VLAN的标准化进程。4、基于服务的VLAN发展3.1VLAN概述3.1.1VLAN发展背景以太网交换机速度比路由器快的多,且价格便宜。但当某主机在网上发送广播时,或发送了一个交换机不认识的MAC地址帧时,交换机上的所有节点都将收到这一广播信息。整个交换环境构成一个大的广播域。业界人士用一个新的名词FlatNetwork来形容这种环境:多个交换机互连(堆叠)形成了一个大的局域网,但不能有效的划分子网;第二层快速、有效的交换,但广播风暴会使网络的效率大打折扣。二层交换弱点:对广播风暴(大型高端口密度交换机),不能有效解决异种网络互连、安全性控制等问题。怎样区分碰撞域、共享域和广播域?3.1.2VLAN基本概念什么是VLAN(虚拟局域网),VLAN是以太网上一组PC/服务器的集合,它们可能不在同一个物理网段中,也可以不受地理位置的限制,但能够象在LAN中一样进行通信与信息交互。VLAN实际没有统一严格的定义。VLAN技术早期提出:一种隔离数据广播方法,将以太交换广播局限一定范围内;但目前VLAN发展使其成为接近交换网络VPN的技术,是以太交换网向城域网、广域网发展的重要技术。什么是交换网络的VPN?主要功能和作用?一个VLAN组划分的例子:局域网VLAN区域网VLAN3.1.3VLAN的功能结构化布线和VLAN技术结合,可以形成统一预布线、信息点、网络规划,和用户组和应用的灵活再组合,实现统一网络环境下的独立用户群使用,智能楼宇网络设计。1、实现虚拟工作组织在网络下不受地理位置环境响应,对同一组织(部门、工作协作体)建立虚拟工作组织,就象在一个传统LAN中工作,实现流量8/2控制,本地资源访问、有效工作管理。如实现用户分组、应用分组、安全性分组、移动分组、管理分组。2、控制数据广播数据广播是正常出现的现象(功能),取决于网络资源使用、应用类型等,广播数据要通过骨干链路到达各个交换端口;当以太交换网大型化及广泛使用,广播数据将大大浪费网络资源、降低网络性能或导致网络崩溃。传统控制数据广播方法使用路由器或防火墙。通过VLAN分割广播域、适量处理VLAN间通信是目前控制广播数据的有效方法。(试具体比较各种控制广播域的方法)3、增强网络安全性对共享型以太交换网,控制数据广播域规模和用户数,可减小安全风险,取到防火墙隔离不同LAN作用;实际VLAN通常还可以根据用户、资源的重要性设置,使受限应用、资源得到保护,如数据库服务器和Web服务器VLAN和访问控制。1、能将所连接PC/服务器进行逻辑分段的高性能交换机。4、已有LAN系统的兼容和互操作。3.1.4VLAN技术需要解决的问题2、在主干网和多交换机间传输VLAN信息的协议。3、VLAN间通信的L3路由方案。5、集中管理、控制和配置功能的网管方案。3.1.5建立VLAN的交换方式3、信元交换:ATM仿真LAN中使用的方式,利用ATM信元作为交换的基础。VLAN中的使用交换技术,通常包含端口交换、帧交换和信元交换三种。2、帧交换:VLAN中端口采用帧转发的方法,即VLAN交换和以太网交换机交换方式一样的,只是交换域变小了,也是目前最主流VLAN交换方式,按端口定义VLAN和帧交换方式结合具有更大灵活性。1、端口交换VLAN:早期在交换机上把根据端口划分为几个相互独立的VLAN,每个VLAN中端口是共享媒体段(如以太网段)。这种方式特点:小规模灵活,但端口共享媒体使VLAN带宽受限制。VLAN划分方法:是怎样把一批局域网的站点(PC/服务器)划归属一个VLAN中。目前划分方法主要有:3.2VLAN划分和配置1、交换端口号2、MAC地址3、第三层协议4、使用IP组播5、基于策略3.2.1VLAN划分将交换机的端口号进行分组划分VLAN,如交换设备上端口(1、2、5、7)为VLAN1,(3、4、6、8)为VLAN2,是目前网络中最常用划分方法。1、基于交换端口号(静态端口分配)基于交换端口号VLAN配置,实际就是将特定计算机端口和固定VLAN对应,一般的端口只能划分在一个VLAN中,目前端口号划分VLAN可以跨越多个交换机,此时主干端口实际和多个VLAN中交互(或主干端口可自动传递不同VLAN信息)。基于端口号静态划分的VLAN(实际端口可和MAC地址绑定),管理较为严格和比较安全,但用户移动将需要重新配置。VLAN1VLAN2VLAN2VLAN1VLAN1、VLAN2静态端口划分的VLAN示意怎样穿越?怎样识别是同一VLAN?按照用户终端网卡的MAC地址,指定一批MAC地址划分在一个VLAN组,一种基于用户的划分方式。2、基于MAC地址(动态端口分配)特点:一个MAC地址可划分在多个VLAN中,可满足一个用户可以同时划分在多个VLAN中,主要是共享服务器和属于多工作组用户。在大型网络,预先根据MAC地址配置所有VLAN中,手工初始配置和变更维护很困难,必须借助智能网络管理软件;当某个站点接入交换机时,交换机通过智能网络管理软件对其MAC地址在VLAN管理数据库中检索,确定MAC地址的VLAN所属,并根据MAC地址动态完成端口和VLAN配置,所以具有移动性,但VLAN管理软件必须精确建立和维护VLAN管理数据库,建立整网VLAN的集中配置。VLAN1VLAN2VLAN2VLAN1VLAN1、VLAN2LANVLAN配置服务器基于MAC地址的动态端口配置VLAN管理数据库设置在哪里?一个端口或一个MAC可以根据需要划分到多个VLAN中去,如骨干上连端口、共享服务器端口等,安全性和交换性能下降。应谨慎处理。VLAN1VLAN2VLAN2VLAN1VLAN1VLAN2为了维护VLAN安全完整性,共享服务器通常设置在核心交换机的VLAN共享端口上。交换机主要考虑使用协议类型(多协议情况下,如TCP/IP,IPX、APPLETALK等)或网络层地址(如IP地址、IP子网地址)进行VLAN划分。此时,VLAN的子网地址实际要和MAC地址联系交换。特点:可移动性,但根据报文的第3层地址(如IP地址)进行检查速度慢,可篡改。用IP组播地址区分VLAN。特点:动态性,可以实现WAN的VLAN。实际也是基于IP层的VLAN方式。3、按第三层协议或参数4、IP组播VLAN5、基于策略VLAN根据一种策略和以上多种划分策略的组合划分VLAN。5.3VLAN成员信息传递解决在多交换机的状态下(特别是城域、广域范围)建立VLAN的问题,需要在互连交换机间交换VLAN成员信息,或是说一个以太广播帧通过网络某交换机时,交换机怎样识别该帧属于VLAN1或VLAN2。VLAN2VLAN2EFVLAN1VLAN1???在多交换机的条件下,早期也有厂家私有协议,如Cisco,Inter-SwitchLink,ISL协议在单交换机机VLAN条件下,基本是原有交换机机制的隐式传递方式(不需要特别协议,厂家自己定义)。目前是使用IEEE802.1Q标准(1996.3通过),IEEE802.1Q标准是帧标记的VLAN方式,扩展以太网帧结构方法,即在以太网帧结构中的帧头位置套上一个显式的VLAN标记Tag(4字节的VLAN地址编码),在多交换机间(特别是骨干链路上)传递,以表明这个帧是属于哪个VLAN的。多交换机间以太帧在上联或骨干端口/链路上怎样传递呢?即怎样识别并转送到某个VLAN?VPID:VLANProtocolIdentifier,表明已按照802.1Q标准(码值8100H)。VCI:VLANControlInformation•User-Priority:用户优先级(在以太网这样无优先级网段中使用)•TR-encap:=1表示帧数据是原始TokenRing帧数据•VID:VLANIdentifier,最大4096个VLAN以太网VLANIEEE802.1Q格式前导码帧头定界符32BitVPID16bVCI16b3b8bDASAETagTYPE数据……FCSUser-PriorityTR-encapVID1b12bIEEE802.1Q是MAC二层的VLAN标准,它在原来的DA目的地址/SA源地址之后,插入4字节的VLAN标记,在帧存储交换的时候进行辨别和只向VLAN组内的用户广播发送。IEEE802.1Q标准中对推动VLAN发展起到了关键作用。但4K的VLAN组地址标记,在大型城域网、广域网显得不够。另一个影响VLAN规模的指标是核心或骨干交换机的VLANMAC地址容量,它决定了VLAN规模(VLAN容纳主机数)。什么是10M或100M的以太网交换电路?有什么用?怎样形成10M或100M以太网交换电路?对VLAN标记地址空间有什么影响。5.4VLAN间的通信隔离的VLAN间通信,如同两个孤立LAN一般需要使用路由手段在三层完成通信,在大型网络中,VLAN内的数据交换和VLAN间的数据传输的路由,两者技术的集成是新发展方向。VLAN间通信的路由模式1、边界路由将路由功能包含在主干网络边界的每一个LAN交换机中(通常边缘汇聚交换机),VLAN间的IP报文由交换机内在(内嵌)的路由模块处理,而无需传输到外部的路由器上处理。特点:边缘汇聚交换机必须部署路由功能交换机,数据延时小,但相对统一的路由器网络管理来说,管理复杂。汇聚SSS汇聚SServersS核心S汇聚SSSSS边界路由边界路由边界路由边界路由能否设置在核心或接入交换器中?2、”独臂“路由器”独臂“路由结构是在一个多交换机的网络中的主干上设置一台独立的路由器,当VLAN域内通信时直接使用交换机制;当需要在VLAN间进行IP通信的时候,经过”独臂“路由器路由转发。特点:集中路由适用以VLAN间通信较少的场合(一般企业),但结构和管理简单,路由器的单点故障造成瘫痪。也可以设置多个路由器进行冗余和负载分担。3、ATM上多协议路由(MPOA)MPOA本身具有路由功能,当通过ATM连接ELAN或VLAN时ATM接口具有路由转发能力。汇聚SSS汇聚SServersS核心S汇聚SSSSS独臂路由器VLAN1VLAN25、第L3交换技术。4、路由服务器和路由客户机这是一种分布路由结构,结构外观上非常相似”独臂“路由器,但LAN交换机中也要有必要的路由功能。当需要在VLAN间进行路由的时候,报文被缓存在主干边界的LAN交换机上,此时交换机与路由服务器交互相关进一步转发连接信息,确定转发路径。这种模式网络传输的数据报大量减少,但LAN交换机中也要有必要的路由功能,结构和管理复杂汇聚SSS汇聚SServersS核心S汇聚SSSSS路由服务器VLAN1VLAN2路由功能路由功能5、第L3交换技术。4、路由服务器和路由客户机这是一种分布路由结构,结构外观上非常相似”独臂“路由器,但LAN交换机中也要有必要的路由功能。当需要在VLAN间进行路由的时候,报文被缓存在主干边界的LAN交换机上,此时交换机与路由服务器交互相关进一步转发连接信息,确定转发路径。这种模式网络传输的数据报大量减少,但LAN交换机中也要有必要的路由功能,结构和管理复杂5.5以太网接入控制和IEEE802.1X早期以太网终端可不受限制地接入LAN/MAN,但公共大厦的办公网络中不希望其他组织或个人接入,特别是运营以太网(如校园网、小区网等)需要提供一种廉价的、通过认证的许可接入方法。802.1x协议基于Client/Server的访问控制和认证协议,可限制未授权的用户/设备通过接入端口访问LAN/WLAN。在认证通过之前,802.1x只允许EAPoL(ExtensibleAuthenticationProtocoloverLAN)数据通过端口;认证通过