VLAN—虚拟局域网

VLAN—虚拟局域网讲解人：朱艳丽时间：2013.9.2主要内容VLAN概念VLAN的实现机制VLAN的划分VLAN的帧结构交换机端口的VLAN链路类型BCM53322关于VLAN的知识VLAN的配置VLAN的概念VLAN：VirtualLocalAreaNetwork，虚拟局域网基本概念：通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组，一个VLAN构成一个逻辑广播域，并且有一个VLAN标识。广播域广播域指的是广播帧（目的MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（MulticastFrame）和未知单播帧也能在同一个广播域中畅行无阻。二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。未划分VLAN的网络AB泛洪的危害AB泛洪的来源ARP请求：建立IP地址和MAC地址的映射关系RIP：一种路由协议DHCP：用于自动设定IP地址的协议NetBEUI：Windows下使用的网络协议IPX：NovellNetware使用的网络协议AppleTalk：苹果公司的Macintosh计算机使用的网络协议未使用IGMPSNOOPING的二层网络洪泛的组播业务由于交换机MAC地址表老化等因素造成单播目的查找失败从而形成洪泛广播帧在一个局域网络里会非常频繁地出现。如果整个网络只处在一个局域网上，那么一旦发出广播信息，就会传遍整个网络，并且对网络中的主机带来额外的负担VLAN的优点优点：广播风暴防范增强安全性性能提高动态管理网络增加了网络连接的灵活性VLAN的实现机制未设置VLAN的二层交换机任何广播帧都会被转发给除接收端口外的所有其他端口划分VLAN的二层交换机只转发到属于同一VLAN的其他端口广播帧交换机1234交换机收到广播帧后，转发到除了接收端口外的其他所有端口1234交换机广播帧广播帧广播域广播域交换机收到广播帧后，只转发到属于同一VLAN的其他端口VLAN分割广播域直观地描述VLAN，可以把它理解为将一台交换机在逻辑上分割成了数台交换机。VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。VLAN路由同一个VLAN属于同一个广播域，主机彼此间可以相互通讯，同一个VLAN中的所有广播和单播流量都被限制在该VLAN中，不会转发到其他VLAN中。VLAN100VLAN200Port1Port2VLAN互通的实现—每个VLAN一个物理连接在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。VLAN100VLAN300Ethernet2Ethernet0VLAN200Ethernet1VLAN互通的实现—使用VLANTrunking二层交换机上和路由器上配置他们之间相连的端口使用VLANTrunking，使多个VLAN共享同一条物理连接到路由器VLAN100VLAN300VLAN200TrunkEthernet0.300Ethernet0.200Ethernet0.100VLAN互通的实现—交换和路由的集成二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。VLAN300VLAN100VLAN200VLAN100VLAN200VLAN300二层交换机三层交换机VLAN的划分VLAN的划分静态VLAN基于端口的VLAN动态VLAN•基于MAC地址的VLAN•基于子网的VLAN•基于用户的VLAN•基于网络协议的VLAN基于端口的VLAN静态VLAN，根据以太网交换机的端口来划分，同一VLAN可以跨越数个以太网交换机。交换机1234端口VLAN11213242将交换机的每个端口静态指派给VLAN优缺点：•VLAN成员定义简单•变更端口时需重新配置基于MAC地址的VLAN动态VLAN，根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个VLAN。1234MAC:AMAC:BMAC:CMAC:DMACVLANA1B1C2D21234MAC:CMAC:BMAC:AMAC:D即使计算机改变了所连接的端口，交换机仍会查出它的MAC地址，并正确指定端口所属的VLAN基于MAC地址的VLAN(续)优缺点：当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置初始化时，所有用户必须进行配置MAC地址变换时，需重新配置管理成本高基于子网的VLAN动态VLAN，是通过所连计算机的IP地址，来决定端口所属VLAN。1234192.168.2.1192.168.1.2192.168.1.1192.168.2.2192.168.1.1192.168.1.2192.168.2.1192.168.2.21234网络地址VLAN192.168.1.0/241192.168.2.0/242即使计算机改变了所连接的端口，交换机会通过IP地址正确指定端口所属的VLAN基于子网的VLAN(续)优缺点：当用户物理位置改变时，不用重新配置所属的VLAN不需要附加的帧标签来识别VLAN，减少网络的通信量即使MAC地址改变了，只要IP地址不变，所属的VLAN不变效率低基于用户的VLAN根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。基于网络协议的VLAN这种情况是根据二层数据帧中协议字段进行VLAN的划分。通过二层数据中协议字段，可以判断出上层运行的网络协议，如IP协议或者是IPX协议。如果一个物理网络中既有IP网络又有IPX等多种协议运行时，可以采用这种VLAN的划分方法。这种类型的VLAN在实际应用中用的很少。跨交换机的VLAN12341234交换机1交换机2市场部市场部财务部财务部报文?vlan1055vlan10vlan10vlan20vlan10vlan20vlan20VLAN的帧结构IEEE802.1Q:所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。目MAC地址源MAC地址TPIDTCI类型数据部分CRC目MAC地址源MAC地址类型数据部分CRC字节数66246-1500246-1500226622字节数0x8100用户优先级CFIVLANID3bit1bit12bitVLAN的帧结构(续)TPID(TagProtocolIdentifier）IEEE定义的新的类型，表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。TCI(TagControlInformation)•用户优先级3bit，总共有8个(2的3次方)优先级别，最高优先级为7，优先级0是缺省值•CFICFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。•VID12bit，VLANID是对VLAN的识别字段，支持4096(2的12次方)VLAN的识别。VID＝0用于识别帧优先级。4095(FFF)作为预留值VLAN的帧结构(续)VLANID0表示不属于任何VLAN，但携带802.1Q的优先级标签，所以一般被称为Priority-onlyframe，其一般作为系统使用，用户不可使用和删除。VLANID1系统默认VLAN，即NativeVLANVID2-1001普通的VLANVID1002-1005支持FDDI和令牌环的VLANVID1006-1024保留仅系统使用，用户不能查看和使用VID1025-4095扩展的VLANVLAN的帧类型UNTAG包：指不携带802.1Q信息的普通以太网包。TAG包：指携带4字节802.1Q信息的VLAN以太网包。Priority-only包：指VLANID为0，优先级为0-7的以太网包。用途：一般用于要求高优先级的重要报文使用，当端口发生拥塞时使其能够优先转发。交换机的端口VLAN类型Access端口该类型端口只能属于一个VLAN端口发送不带标签的报文（untagged）一般用于连接计算机的端口。Trunk端口可以属于多个VLAN端口必须打标签（tagged），可以接收和发送多个VLAN的报文TrunkPort通过发送带标签的报文来区别某一数据包属于哪一个VLAN一般作为交换机之间连接交换机的端口VLAN类型（续）Hybrid端口该类型的端口可以属于多个VLAN是否打标签由用户自由指定可以接收和发送多个VLAN的报文，但对于一个特定的VLAN，混合端口传送的所有报文必须是同一种类型的可以用于交换机之间连接，交换机与路由器之间，也可以用于交换机与用户计算机的连接。Hybird端口带来的问题switchvlan10vlan20报文v10Vlan10?Vlan20?报文当混合端口收到带有标签的报文时按照标签所带vid转发当混合端口收到不带标签的报文时应该如何转发？解决的方法—缺省VLAN华为交换机缺省VLAN被称为“PvidVlan”，对于思科交换机缺省VLAN被称为“NativeVlan”当端口收到不打标签（untagged）的帧时，该帧被认为属于端口缺省VLAN，并在该VLAN中进行转发Access端口只属于1个VLAN，所以它的nativeVLAN就是它所在的VLAN，不用设置。Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLANID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN1。跨交换机VLAN的工作12341234交换机1交换机2市场部市场部财务部财务部55vlan10vlan10vlan20vlan20vlan10vlan20AAAAAAAATT报文报文v10报文Vlanuntagtag10p1,p2p520p3,p4p5Vlanuntagtag10p1,p2p520p3,p4p5802.1Q的转发原则—Access端口当Access端口收到帧时如果该帧是untag帧，将打上端口的PVID；如果该帧是tag，直接丢弃。当Access端口发送帧时剥离802.1Qtagheader，发出的帧为普通以太网帧。接收方向Access发送方向AccessPVID:1802.1Q的转发原则---Trunk端口当Trunk端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID如果该帧包含802.1Qtagheader，则不改变。当Trunk端口发送帧时当该帧的VLANID与端口的PVID不同时，直接透传；当该帧的VLANID与端口的PVID相同时，则剥离802.1Qtagheader接收方向发送方向TrunkTrunk802.1Q的转发原则—Hybird端口当Hybird端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID如果该帧包含802.1Qtagheader，则不改变。当Hybird端口发送帧时判断VLAN在本端口的属性，即该端口对哪些VLAN是untag，哪些VLAN是taguntag，则剥离802.1Qtagheader再发送tag则直接透传接收方向发送方向HybirdHybirdTrunk端口和Hybird端口接收方向：处理方法相同发送方向Hybrid端口可以允许多个VLAN的报文不打标签trunk端口只允许缺省VLAN的报文不打标签。Trunk和VLANVLAN4VLAN2VLAN4VLAN3VLAN2VLAN4VLAN5VLAN5VLAN2VLAN5广播帧传播路径Trunk和VLAN无论一个网络由多少个交换机构成，也无论一个VLAN跨越了多少个交换机，