二层交换技术介绍(一)

1、2007-00-00二层交换技术介绍二层交换技术介绍烽火通信科技股份有限公司2008年2月内容提要内容提要nVLAN技术nPVLAN技术VLAN概念概念n VLAN (Virtual Local Area Network) 即虚拟局域网 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术 IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。n VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头， 用VLAN ID把用户划分为更小的工作组， 限制不同工作组间的用户二层互访， 每个工作组就

2、是一个虚拟局域网 虚拟局域网的好处是可以限制广播范围， 并能够形成虚拟工作组动态管理网络。VLAN优点增加组网灵活性：划分工作功能组、身份变更、不同成员权限设定防止信息溢流：LAN组播风暴、广播通信相对隔离节省网络地址：将任意数目LAN结合进单个VLAN，有效节约B类C类地址加强管理、增强安全性、监控n 基于端口的VLAN: 根据以太网交换机的端口来划分，同一VLAN可以跨越数个以太网交换机， 该方法是目前定义VLAN的最广泛的方法 IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。该方法实现容易、缺点是不够灵活。n 基于MAC地址的VLAN：根据每个主机的MAC地址

3、来划分 即对每个MAC地址的主机都配置他属于哪个组 这种划分VLAN的方法的最大优点就是当用户物理位置移动时 即从一个交换机换到其他的交换机时 VLAN不用重新配置。缺点是初始化时 所有的用户都必须进行配置。n 基于第三层（网络层）的VLAN：根据每个主机的网络层地址或协议类型(如果支持多协议)划分，灵活、但管理复杂。n 基于管理策略的VLAN相关协议标准及实现方法相关协议标准及实现方法n协议讨论的范围与一致性要求nVLAN实现框架n帧标记格式nVLAN桥的操作规则及VLAN桥的管理n802.1Q协议讨论支持VLAN结构的MAC桥的一般实现和操作方法、增强的MAC服务n增强性内部子层服务E-I

4、SSnVLAN桥中提供的帧中继n帧中VLAN控制信息插入、删除、修改等管理规则n自动配置VLAN拓扑信息的需求n遵从该协议标准的设备须满足的要求n兼容802.3协议标准对MAC桥的要求n对帧进行过滤和中继转发n在每个端口上至少支持一种可接收帧类型n在每个支持无标记和优先级标记帧的端口上必须有一个PVID、能够至少配置一个VLAN、能够通过管理层配置PVID的值、通过管理层配置静态滤波器的条目n支持从中继帧中插入、去除、修改标签头的功能n通过GARP VLAN注册协议支持VLAN拓扑信息的自动配置和管理n支持至少一个滤波器标识FIDn支持给FID分配至少一个VIDn其他可选项n配置-Manang

5、ement Info Base:远端管理机制、服务器机制、VLAN配置参数的赋值n配置信息的分布-注册和拓扑结构分布协议n中继-入口规则、转发规则、出口规则：将接收帧分类属于唯一的一个VLAN、决定接收帧发往何处、将转发帧通过适当的外发端口、适当的格式发送.n概述n标签头的结构n对帧进行标记的目的：将用户优先级信息加到对帧进行标记的目的：将用户优先级信息加到MAC类型类型帧、允许帧携带帧、允许帧携带VID、允许帧显示出所携带、允许帧显示出所携带MAC地址信地址信息的类型、允许息的类型、允许VLAN由不同由不同MAC类型支持类型支持n在源地址后增加了一个在源地址后增加了一个4字节的字节的802.

6、1Q标签标签 4个字节的个字节的802.1Q标签中标签中 包含了包含了2个字节的标签协议标识个字节的标签协议标识 TPID-Tag Protocol Identifier 它的值是它的值是8100 和两个字节的标和两个字节的标签控制信息签控制信息 TCI-Tag Control Information 。TPID是是IEEE定义的新的类型定义的新的类型 表明这是一个加了表明这是一个加了802.1Q标签的报标签的报文。文。带有带有802.1Q标签的以太网帧标签的以太网帧VLAN Identified( VID ): 这是一个这是一个12位的域位的域 指明指明VLAN的的ID ，一共，一共4096

7、个，每个支持个，每个支持802.1Q协议的主机发送出协议的主机发送出来的数据包都会包含这个域来的数据包都会包含这个域 以指明自己所属的以指明自己所属的VLAN。Canonical Format Indicator( CFI ) 这一位主要用于总这一位主要用于总线型的以太网与线型的以太网与FDDI 令牌环网交换数据时的祯格式。令牌环网交换数据时的祯格式。Priority 这这3 位指明祯的优先级位指明祯的优先级 一共有一共有8种优先级种优先级 主要用主要用于当交换机阻塞时于当交换机阻塞时 优先发送优先级高的数据包。优先发送优先级高的数据包。Vid取值意义0空的vid，表示该标签头所包含的信息中v

8、id是无效的，但是优先级信息是有效的。该vid是保留的，任何设备不能将0配置成端口pvid或者是vlan条目的vid。1在桥端口处理输入数据时使用的缺省vid，该vid可以修改。FFF保留vid，任何设备不能将FFF配置成端口pvid或者是vlan条目的vid。桥操作桥操作操作模型操作模型端口操作端口操作入口规则入口规则转发过程转发过程出口规则出口规则学习过程学习过程滤波数据库滤波数据库桥操作：中继需实现的功能：滤波和中继转发信息内容：滤波和中继转发信息内容：对帧的中继转发：对网络通信的观察和学习：桥间协议操作：GARP协议操作：端口转发状态端口学习状态可接收帧类型:仅接收VLAN标志帧、接收

9、所有帧端口VLAN标识入口滤波器使能VID为null VLAN IDFFF VID入口使能被置位且不在VLAN集合中时拒绝未被Discard的帧提交发送对帧进行过滤：基于基于Mac地址、地址、VID、包含信息、缺省的滤波、包含信息、缺省的滤波对帧进行排序，形成队列先发高优先级队列的帧先发高优先级队列的帧选择传输帧优先级映射对于帧的VID，传输端口不在成员集合中Discard；传输端口以tag方式属于成员集合，发送时添加tag；传输端口以untag方式属于成员集合，发送时剥除tag。端口状态允许学习源地址为单播MAC地址当前存在的条目数未超过滤波数据库容量VID标识的成员集合中至少有一个端口从每

10、个端口接收帧中观察源MAC地址， 或者VID值，并且依照端口状态对滤波数据库进行更新创建或者更新与帧的VID 值相关的动态滤波条目为转发过程中，携带着目的MAC地址的帧是否发往目的端口提供查询静态滤波条目、静态VLAN注册条目只能由管理层控制动态滤波条目、动态VLAN注册条目由学习过程生成和更新，可以被管理层读取滤波数据库支持学习过程对其Entry进行创建、更新和删除AN5116-02提供FDB查询功能以以AN5116-02 FTTH设备为例设备为例: onu数据数据(100)IPTV(200)语音语音(300)上联口上联口1接网管服务器接网管服务器,vlan为为9上联口上联口2接接IPTV组

11、播服务器组播服务器,vid200上联口上联口3接软交换平台接软交换平台,vid300上联口上联口1提供数据业务提供数据业务vid 10-100VLAN配置举例配置举例 该例中要进行该例中要进行4中业务中业务vlan的包括管理业务的包括管理业务,数据数据业务，语音业务，业务，语音业务，IPTV业务业务.其中管理其中管理vlan使用使用包含上联口包含上联口29:1，vid为为9。数据业务。数据业务vlan包含上包含上联口联口29：2以及所有以及所有onu的的1号端口，号端口，vid为为1100，IPTV业务包含上联口业务包含上联口29：3以及所有以及所有onu的的2号端口，号端口，vid为为200

12、。语音业务包含上联口。语音业务包含上联口29：4以及所有以及所有onu的的pots口，口，vid为为300。具体配置。具体配置步骤如下：步骤如下：VLAN配置举例配置举例管理vlan配置： 管理vlan配置需要在设备命令行方式进行： VLAN配置举例配置举例局端vlan配置：VLAN配置举例配置举例远端数据业务vlan配置：VLAN配置举例配置举例远端iptv业务vlan配置：VLAN配置举例配置举例远端语音业务vlan配置：由若干由若干VLAN桥组成桥组成VLAN桥的端口有：端口状态、出入口规则等桥的端口有：端口状态、出入口规则等VLAN桥的端口组成拓扑结构桥的端口组成拓扑结构拓扑结构的生成

13、和维护拓扑结构的生成和维护滤波规则滤波规则查询滤波数据库进行帧转发查询滤波数据库进行帧转发动态生成滤波数据库动态生成滤波数据库动态学习机制动态学习机制GVRP对拓扑结构管理对拓扑结构管理上层配置上层配置PVLAN技术技术n 人们在传统人们在传统VLAN的基础上引入新的机制，所有服务器在的基础上引入新的机制，所有服务器在同一个子网中，但服务器只能与自己的默认网关通信。这同一个子网中，但服务器只能与自己的默认网关通信。这一新的一新的VLAN特性就是专用特性就是专用VLAN（Private VLAN）。 VLAN的局限的局限n VLAN的限制：交换机固有的的限制：交换机固有的VLAN数目的限制；数目

14、的限制；n 复杂的复杂的STP：对于每个：对于每个VLAN，每个相关的，每个相关的Spanning Tree的拓扑都需要管理；的拓扑都需要管理；n IP地址的紧缺：地址的紧缺：IP子网的划分势必造成一些子网的划分势必造成一些IP地址的浪地址的浪费；费；n 路由的限制：每个子网都需要相应的默认网关的配置。路由的限制：每个子网都需要相应的默认网关的配置。PVLAN基本概念基本概念n 1、规则、规则VLAN域域 一个常规的一个常规的VLAN实际上就可以看作是一个规则的实际上就可以看作是一个规则的VLAN域。比如域。比如VLAN100，我们可以将它看作是一个，我们可以将它看作是一个“域域”，这个这个“

15、域域”的编号，或者说名字是的编号，或者说名字是“VLAN100”。 PVLAN基本概念基本概念n 2.子域、子域、Primary VLAN、Secondary VLAN PVLAN就是把一个规则的就是把一个规则的VLAN域划分为一个或多个子域划分为一个或多个子域。当把一个规则的域。当把一个规则的VLAN域划分子域后，原来的域划分子域后，原来的“规则规则VLAN域域”现在就叫做现在就叫做“Primary Vlan”，这个，这个“Primary VLAN”编号，或者说名字就是原来编号，或者说名字就是原来“规则规则VLAN域域”的名的名字。字。 划分出来的子域叫做划分出来的子域叫做“Secondar

16、y VLAN”，这个，这个VLAN是有两种属性。是有两种属性。PVLAN基本概念基本概念n 3.“Secondary VLAN”的属性的属性 “Secondary VLAN”有两种属性：一种是有两种属性：一种是“isolated”，我们把它叫做我们把它叫做“Isolated VLAN”；另一种是；另一种是“community”，我们把它叫做，我们把它叫做“Community VLAN”。一。一个个“Secondary VLAN”必须、且只能被赋予其中某一种属必须、且只能被赋予其中某一种属性。这两种属性的性。这两种属性的“Secondary VLAN”都有一些规则，下都有一些规则，下面我们会讲到

17、。面我们会讲到。PVLAN基本概念基本概念n 4. pVLAN中的两种接口类型中的两种接口类型 处在处在pVLAN中的交换机物理端口，有两种接口类型：中的交换机物理端口，有两种接口类型：混杂端口（混杂端口（Promiscuous Port）主机端口（主机端口（Host Port） 其中其中“混杂端口混杂端口”是隶属于是隶属于“Primary VLAN”的；的；“主机端口主机端口”是隶属于是隶属于“Secondary VLAN”的。的。 因为因为“Secondary VLAN”是具有两种属性的，那么可想而知，处于是具有两种属性的，那么可想而知，处于“Secondary VLAN”当中的当中的“主

18、机端口主机端口”依依“Secondary VLAN”属性的不同属性的不同而不同，也就是说而不同，也就是说“主机端口主机端口”会继承会继承“Secondary VLAN”的属性。那么由的属性。那么由此可知，此可知，“主机端口主机端口”也分为两类也分为两类-“isolated端口端口”和和“community端口端口”。处于处于pVLAN中交换机上的一个物理端口要么是中交换机上的一个物理端口要么是“混杂端口混杂端口”要么是要么是“isolated”端口，要么就是端口，要么就是“community”端口。端口。PVLAN当中使用的一些规则当中使用的一些规则 n 1.一个一个“Primary VLAN

19、”当中至少有当中至少有1个个“Secondary VLAN”，没有上限。，没有上限。2.一个一个“Primary VLAN”当中只能有当中只能有1个个“Isolated VLAN”，可以有多个可以有多个“Community VLAN”。3.不同不同“Primary VLAN”之间的任何端口都不能互相通信之间的任何端口都不能互相通信（这里所将的（这里所将的“互相通信互相通信”是指二层连通性）。是指二层连通性）。4.“Isolated端口端口”只能与只能与“混杂端口混杂端口”通信，除此之外不通信，除此之外不能与任何其他端口通信。能与任何其他端口通信。5.“Community端口端口”可以和可以和“

20、混杂端口混杂端口”通信，也可以和通信，也可以和同一同一“Community VLAN”当中的其它物理端口进行通信，当中的其它物理端口进行通信，除此之外不能和其他端口通信。除此之外不能和其他端口通信。 PVLAN的优势的优势 n PVLAN的应用对于保证接入网络的数据通信的安全性是非的应用对于保证接入网络的数据通信的安全性是非常有效的。常有效的。n 用户只需与自己的默认网关连接；用户只需与自己的默认网关连接；n 一个一个PVLAN不需要多个不需要多个VLAN和和IP子网就提供了具备第子网就提供了具备第2层层数据通信安全性的连接；数据通信安全性的连接；n 所有的用户都接入所有的用户都接入PVLAN

21、，从而实现了所有用户与默认网，从而实现了所有用户与默认网关的连接，而与关的连接，而与PVLAN内的其他用户没有任何访问。内的其他用户没有任何访问。n PVLAN功能可以保证同一个功能可以保证同一个VLAN中的各个端口相互之间中的各个端口相互之间不能通信，但可以穿过不能通信，但可以穿过Trunk端口。这样即使同一端口。这样即使同一VLAN中中的用户，相互之间也不会受到广播的影响。的用户，相互之间也不会受到广播的影响。PVLAN举例举例 SWITCH1下面级联了下面级联了SWITCH2、SWITCH3，要求，要求SWITCH2和和SWITCH3下的各个端口互相隔离，即下的各个端口互相隔离，即给每个端口划分一个给每个端口划分一个VLAN。由于上层设备（由于上层设备（SWITCH1）的）的VLAN数有限，不允许下层设备（数有限，不允许下层设备（SWITCH2、SWITCH3）将）将VLAN透传透传上来，即上来，即SWITCH2、SWITCH3的上行端口要设为的上行端口要设为untag方式。但是一个端口是不能以方式。但是一个端口是不能以UNTAG方式属方式属于多个于多个VLAN的，我们如何才能让带有不同的，我们如何才能让带有不同VLAN ID的数据报文发送到同一个的数据报文发送到同一个UNTAG 端