局域网与城域网：第7章 虚拟局域网

1、1 lxm第7章 虚拟局域网7.1 引言7.2 VLAN基础知识7.3 VLAN网桥的运行原理7.4 VLAN协议格式7.5 VLAN的配置7.6 VLAN之间的通信7.7 VLAN和以太网技术在城域网中的应用7.8 小结2 lxm7.1 引言大型桥接式LAN存在的问题用高效网桥/交换机能组建较大型的LAN由网桥/交换机组建的LAN仍属于同一个广播域 随着LAN规模的扩大，出现了难以解决的问题：广播风暴安全问题本章将针对这一问题切入，深入讨论：802.1Q标准VLAN技术，解决广播风暴问题VLAN 及以太网技术在城域网中的扩展应用3 lxm7.1 引言VLANVirtul Local Area

2、 NetworkVLAN标准最初的版本：IEEE 802.1Q-1998目前的版本：IEEE 802.1Q-20054 lxm7.2 VLAN基础知识7.2.1 VLAN产生的背景7.2.2 VLAN的概念7.2.3 VLNA的相关术语 7.2.4 VLAN 网桥协议结构5 lxm7.2 .1 VLAN产生的背景产生广播风暴原因 在桥接式LAN中， 广播帧都会传遍整个物理网 宿地址没在MAC表中的帧会扩散到整个物理网网桥/交换机为维持生成树定期发送BPDU也会在全网扩散广播风暴的影响降低网络性能：有效带宽、吞吐率下降，帧的转发时延增大增加了安全隐患：有些敏感的数据不应该传送到无关的地方 解决方

3、法：突破一个广播域的设想 划分子网（在TCP/IP课程中讲） 在第二层划分VLAN（本章内容）交换机站交换机交换机站站站6 lxm7.2.2 VLAN的概念什么是VLAN（Virtual LAN）？将一个交换式网络划分为多个相互独立的虚拟物理网络这些逻辑上虚拟的物理网络称为VLANVLAN之间相互逻辑隔离，不同VLAN成员之间不能直接在第二层通信VLAN之间的通信只能通过L3或更高层VLAN划分的特点通过交换机的命令配置划分VLANVLAN的划分可以跨越交换机同一VLAN的成员物理上可以位于不同地方一个站点可以同时属于多个VLAN7 lxm7.2.2 VLAN概念 VLAN划分前后图例VLAN

4、划分前站点均位于同一广播域所有站点均可直接通信VLAN划分后一个物理网划分成VLAN2和VLAN3形成两个独立的广播域VLAN之间不能通信VLAN之内可以通信以太网交换机以太网交换机VLAN2VLAN38 lxm7.2.2 VLAN 的概念VLAN 技术的分类可以有多种类型的VLAN取决于不同的VLAN划分策略VLAN类型举例基于端口的VLAN是所有可能的VLAN类型的基础基于协议的VLAN基于MAC地址的VLAN基于子网的VLAN9 lxm7.2.2 VLAN的概念 分类基于端口的VLANPort-based VLAN指定交换机的各个端口归属于某一个VLAN为端口指派VLAN ID（PVID

5、，Port VLAN ID）按端口物理位置划分的VLAN静态划分，不会随站点接入的端口而变交换机的一个端口可同时属于多个VLAN最简单，却是得到最广泛应用的VLAN类型10 lxm7.2.2 VLAN的概念 分类基于MAC地址的VLAN根据MAC地址对VLAN分类MAC帧只会发送到站点宿站点，安全性好配置繁琐基于协议的VLAN根据高层协议对VLAN分类可能出现物理位置重叠VLAN这些分类方式均很少应用11 lxm7.2.3 VLAN 相关术语VLAN标识符帧类型VLAN知晓与VLAN非知晓VLAN链路独立学习与共享学习12 lxm7.2.3 VLAN术语 VLAN 标识符如何识别同一物理网络中

6、的不同VLAN？给每个VLAN指派一个VLAN标识符VLAN ID、VIDVLAN标识符：VLAN Identifier不同的VLAN ID标识不同的VLANVID值一个12bit的无符号数，有效范围：14094具体设备支持的VID范围可能更小默认VID值为1，用户不能指派他用 VLAN1 默认VLAN ID当没有划分VLAN时，所有站点都属于VLAN1通常作为管理VLAN使用13 lxm7.2.3 VLAN术语 帧类型在VLAN中，帧类型包括三种：无标帧：untagged frame也称基本MAC帧如802.3的基本MAC帧有效字段64-1518八位组优先级加标帧: priority-tag

7、ged frame802.1Q协议格式在基本MAC头部增加4个八位组增加头部中，仅含优先级，无有效VID的802.1Q帧VLAN加标帧（:VLAN-tagged frame802.1Q协议头部中，既有优先级又含有效VID的帧14 lxm7.2.3 VLAN术语 VLAN知晓与非知晓VLAN中的设备可分为两类VLAN知晓设备： VLAN awareVLAN非知晓设备： VLAN unawareVLAN 知晓设备能意识到VLAN的存在识别VLAN加标帧并予以适当的处理同时也能适当处理非加标帧VLAN知晓设备通常是支持VLAN协议的交换机支持VLAN协议的服务器15 lxm7.2.3 VLAN术语

8、VLAN知晓与非知晓VLAN 非知晓设备：VLAN unaware不能意识到VLAN的存在不能识别VLAN加标帧VLAN非知晓设备可以是：不支持VLAN协议的交换机透明转发有效帧帧长度641518字节，效验正确虽不能识别加标帧，但仍能透明转发加标帧（长度不能超1518字节）不认识VLAN，不能加标、去标，只能透明转发普通的PC机不能识别加标帧，直接将加标帧丢弃。16 lxm7.2.3 VLAN术语 VLAN知晓与非知晓图中只有交换机是VLAN知晓设备交换机只转发同一VLAN内站点之间的无标帧其余设备( H、Server )均为VLAN非知晓设备交换机VLAN_2VLAN_3H1H2H3H4Se

9、rver17 lxm7.2.3 VLAN术语 VLAN链路主干链路：Trunk Link通常用于互连VLAN交换机用于跨交换机传递多个VLAN的信息主干链路上传送的是VLAN加标帧接入链路：Access Link通常用于将无知晓设备接入VLAN接入链路上只能传送的是无标帧混合链路：Hybrid Link（略）18 lxm7.2.3 VLAN术语 VLAN链路主干链路（Trunk link ）连接运行VLAN协议的设备（通常是运行VLAN协议的交换机）主干链路的特点主干链路的端口可能属于多个VLAN多个VLAN跨交换机共用同一链路实现中继VALN 交换机VLAN 交换机VLAN2VLAN3Tru

10、nk link 可属于VLAN1、2、3V1为default VLAN）19 lxm7.2.3 VLAN术语 VLAN链路接入链路（access link ）将VLAN非知晓设备接入VLAN交换机接入链路的特点链路只能收发无标帧链路上的VLAN入端口只属于1个VLANPCVALN 交换机PCPCPCPC接入链路VLAN非知晓交换机20 lxm7.2.3 VLAN术语 独立学习与共享学习两种动态建表的方式独立学习：为每个VLAN建立一个MAC表共享学习：为所有VLAN建立一个共同的MAC表 VLAN2MAC地址 端口MAC(1) 1MAC(4) 4 VLAN3MAC地址 端口MAC(4) 4MA

11、C(5) 5 独立学习建表 MAC地址 端口 VLANMAC(1) 1 2MAC(4) 4 2,3MAC(5) 5 3共享学习建表 交换机 1 2 3 4 5 H1 H2 H3 H4 V2 V3 H521 lxm7.2.4 VLAN网桥协议结构VLAN网桥与普通网桥体系结构比较高层实体（STP、RSTP、网管、） MAC 实体MAC 实体MAC中继实体E-ISS E-ISSMAC服务用户MAC服务用户MSAPMSAP高层协议（STP，RSTP，网管） MAC 实体MAC中继实体ISS ISSLLC实体LLC实体MSAPMSAPMAC 实体普通网桥：ISS（内部子层服务）VLAN网桥：E-ISS

12、（增强的内部子层服务）22 lxm7.2.4 VLAN网桥协议结构E-ISS：增强内部子层服务是ISS的增强，增加了帧的加标去标功能定义了VLAN知晓网桥中的MAC服务支持VLAN中继功能VLAN知晓网桥就是支持这些功能的网桥E-ISS服务定义的单元数据原语是EM_UNITDATA.indicationEM_UNITDATA.request参数主要包括DA/SA、MSDU、用户优先级、VLAN ID23 lxm7.3 VLAN 网桥运行原理VLAN网桥与普通网桥运行原理基本一致运行的要素也涉及帧接收与帧发送转发过程学习过程但VLAN网桥与普通网桥对帧的处理有区别本节主要讨论两者的区别，其他细节

13、参见教材24 lxm7.3 VLAN 网桥运行原理与普通网桥相比，VLA网桥运行有以下不同VLAN网桥处理MAC帧类型基本MAC帧 和 VLAN 加标帧对MAC的扩散，仅在本VLAN中进行 VLAN网桥处理MAC帧需要考虑不仅丢弃无效和差错帧，还要丢弃不符合入口规则的帧不仅过滤源目同端口的帧，也要过滤不符合入口规则的帧帧中继时，由出口规则决定是否加标或是去标25 lxm7.3 VLAN 网桥运行原理入口规则符合以下规则的帧将被允许入口，否则丢弃接收到帧与收端口配置的帧类型相符接收到帧的VLAN ID与收端口配置的VLAN ID相符出口规则符合以下规则的帧将被允许出口（转发），否则丢弃需要发送的

14、帧与发端口配置的帧类型相符需要发送的帧的VLAN ID与发端口配置的VLAN ID相符26 lxm7.3 VLAN 网桥运行原理帧处理案例 设两交换机均运行VLAN协议，且MAC表空，H1向H5发送一帧SW1处理: p1属V3收到无标帧，宿地址不在V3表中，向p2、p4 转发，其中向p4转发帧加标记，然后在 V3中添加MAC(1)表项SW2处理: p3收到V3加标帧，宿地址不在V3表中，删除标记后向端口2转发，然后在V3中添加MAC(1)表项VLAN SW1 1 2 3 H1 H2 H3 V3 VLAN SW2 1 2 H4 H543V227 lxm7.4 VLAN协议格式 MAC加标帧(Ta

15、gged frame)也称MAC扩展帧在基本MAC帧头部增加标志字段增加的标志字段包括：VLAN ID 、用户优先级等信息分别对应VLAN加标帧优先级加标帧跨交换机组建VLAN时，交换机之间传送VLAN加标帧28 lxm7.4 VLAN协议格式Length/TypeFCSDASA以太网基本MAC帧以太网VLAN加标帧FCSDASATPIDVLAN IDPCFI标记头 MAC Client DataLength/Type MAC Client Data帧长：641518八位组6624461500PADPAD66424215004帧长：64八位组 最长允许超过基本MAC帧长 29 lxm7.4 V

16、LAN协议格式标记字段TPIDVLAN IDPCFI 用以标识加标帧的类型 81-00 表示 802.1QTagType 即VLAN 协议3bits1bit12bitsTCI： Tag Control Information 2个八位组Tag Protocol Identifie 2个八位组优先级：3位， 07共 8个等级不同设备支持优先级的等级数有差异优先级高的帧先发出 用一个12位无符号二进数表示 0：null VLAN ID，则该帧是 用户优先级帧 VLAN加标帧的标志头中必须有 非空VLAN ID 1：default VLAN ID 基于端口 VLAN默认值，可由网管改变FFF：保留

17、有效范围：1409430 lxm7.5 VLAN的配置7.5.1 根据需要划分VLAN7.5.2 组建VLAN的条件7.5.3 基于端口VLAN的实现7.5.4 VLAN之间的通信31 lxm7.5.2 组建VLAN的条件组建VLAN的条件VLAN通常是基于交换式以太网的因此组建VLAN需要至少一个，或多个以太网交换机以太网交换机必须支持VLAN trunk协议802.1Q（IEEE标准）ISL（Cisco专用协议，仅对Cisco交换机互联有效）注意交换机支持VLAN的数目因设备而异32 lxm7.5.3 基于端口VLAN的实现 需要对支持VLAN协议的交换机进行配置先创建VLAN，设置VLA

18、N ID在每台VLAN交换机手动配置VLAN（Cisco交换机也可利用VTP域，只在一台交换机上手动创建VLAN，在同一VTP域的其他交换机自动学习已创建的VLAN）再对交换机端口进行配置port mode for each portTrunk modeOr : Access mode VLAN ID for each port VLAN trunk protocol type for trunk port） （不同商家交换机互连时，trunk链路的端口必须配置相同的协议：802.1Q）33 lxm案例1：单交换机基于端口的VLAN配置需要配置内容如下（假设所有H为VLAN非知晓的） VLAN

19、交换机 1 2 3 4 5 H1 H2 H3 H4 H5 V2 V3portPort modeVLAN IDFrame type1、2、34、5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）案例2：VLAN中继配置 交换机1 port5 和交换机2 port 3分别设置为：trunk mode ，VLAN2和3 ，tagged（默认），（ trunk protocol ） 两交换机其他端口设置，请自己分析完成注意：主干链路必须配置需要中继的所有VLAN ID 图中如只配置VLAN2，则H6将不能与H1和H2通信VLAN3Acce

20、ss linkTrunk linkH2H1H3VLAN交换机1H4VLAN2H5VLAN交换机2H612345312不同商家交换机互连，必须设置为802.1Q。 如思科交换机默认为ISL,而非802.1Q。 35 lxm特殊案例：access link 站点属于多个VLAN需要配置内容如下（假设所有H为VLAN非知晓的） VLAN交换机 1 2 3 4 5 H1 H2 H3 H4 H5 V2 V3portPort modeVLAN IDFrame type1、2、34multiVLAN2、3Untagged5accessaccessVLAN2VLAN3Untagged（default）Unta

21、gged（default）Multi端口 厂商为了应用方便推出的技术,得到多厂商支持基本特性：一个端口位于多个VLAN 注意：破坏了VLAN严格的逻辑隔离性能可用于：一台服务器为多个PC机服务36 lxm7.6 VLAN之间的通信VLAN之间的通信不同VLAN之间不能直接通信交换机逻辑隔离各个VLANVLAN间的通信，通常在L2以上处理使用路由设备在L3实现VLAN间路由使用应用层网关VALN间路由示例如后37 lxm路由器多个端口实现VLAN间通信路由器R是一个VLAN 非知晓设备不知道VLAN的存在也不知道这两个VLAN来自同一个交换机各个端口连接的是不同的IP子网应用中，路由器的一个端口

22、连接一个VLAN为了路由，每个VLAN均设置为一个IP子网通过路由互连了VLANVLAN2VLAN3VLAN交换机R192.168.1.0192.168.2.0f0/1f0/2Access link路由器（或L3交换机）一个端口实现VLAN间通信多个VLAN通过trunk链路连接路由器（L3交换机）一个端口路由器（L3交换机）该端口具有桥接模块，支持VLAN trunk功能需要路由的每个VLAN设置独立的IP子网路由器（L3交换机）的f0/1口知晓VLAN存在f0/1.1子接口对应VLAN2，f0/1.2子接口对应VLAN3各VLAN的端站IP网关分别指向所属VLAN的子接口VLAN2VLAN

23、3VLAN交换机L3SW192.168.1.0192.168.2.0f0/1trunk link(VLAN2、VLAN3f0/1.2192.168.2.1f0/1.1192.168.1.139 lxmVLAN与IP子网的讨论VLAN通过L2交换机划分，是L2层概念VLAN是逻辑网络交换机逻辑隔离各个VLAN不同VLAN的成员之间不能直接通信IP子网通过L3交换机或路由器划分，是L3层概念当VLAN间需要路由时每个VLAN必须对应设置一个独立的IP子网这完全是因为路由的需要！但一个VLAN并非就是一个IP子网！40 lxm7.7以太网与VLAN技术在城域网中的扩展问题的提出7.7.1 802.1

24、ad7.7.2 802.1ah41 lxm7.7 VLAN与以太网技术在城域网中的扩展问题的提出技术发展促进VLAN和以太网技术向城域应用发展然而VLAN和以太网技术原本是针对局域网环境的无法满足电信级运营的城域网要求，如：VLAN数量的限制用户网络与运营商网络的隔离QoS保障于是，802委员会提出了两个新的规范802.1ad802.1ah42 lxm7.7.1 802.1ad（Q in Q技术）802.1ad技术的引入802.1ad的基本思想802.1ad的网络结构802.1ad的协议格式43 lxm7.7.1 802.1ad（Q in Q技术）802.1ad技术的引入802.1Q VLAN

25、技术用于城域网存在先天不足VLAN数量最多4094个用户与运营商统一划分VLAN，无法隔离用户数量受制约、存在安全隐患等为解决802.1Q的上述问题，提出802.1ad802.1ad于2006年5月发布44 lxm802.1ad技术的基本思想802.1ad是基于802.1Q技术提出的基本思想：定义运营商网桥及运营商桥接LAN运营商桥接LAN与用户LAN完全独立运营商和用户分别独立管理各自的网络运营商网络：802.1ad用户网络：802.1Q使运营商服务VLAN与用户VLAN完全独立采用Q in Q技术，通过运营商网络实现用户VLAN流量在城域内的透明传输Q in Q: 在802.1Q加标帧基础

26、上在加封一个802.1ad的标志头802.1ad的网络结构802.1 Q加标帧PBVLAN10SW区域A1：用户A LAN运营商桥接 LAN（PB：运营商网桥）PBPBPBPBVLAN10SWVLAN20VLAN20SW区域A2：用户A LAN区域A3 用户A LAN802.1adQ in Q加标帧802.1 Q加标帧802.1 Q加标帧用户1 LAN用户1 LAN用户2 LAN用户2 LAN运营商桥接 LAN802.1ad用户 LAN： 传送802.1Q加标帧运营商LAN: 传送Q in Q加标帧46 lxm802.1ad的 协议格式C-tag: 用户VLAN标志，Q in Q 加标帧的内层

27、标志， 即802.1Q的加标帧头 S-tag：运营商VLAN 标志， Q in Q 加标帧的外层标志， 即802.1ad的加标帧头47 lxm7.7.2 802.1ah（MAC in MAC技术）802.1ah技术的引入802.1ah的基本思想802.1ah的网络结构48 lxm7.7.2 802.1ah（MAC in MAC技术）802.1ah技术的引入802.1ad技术用于城域网的局限性虽然能够隔离用户VLAN和运营商VLAN 但运营商网桥仍会学习用户MAC地址，运营商不能隔离用户MAC运营商VLAN ID 为12位，运营商的服务VLAN 数受限，不利规模发展为解决802.1ad的上述问题，提出802.1ah草案49 lxm802.1ah技术的基本思想802.1ah是基于802.1ad技术提出的基本思想：定义运营商主干网桥、运营商主干桥接LAN、主干MAC 地址（B-MAC)、主干VLAN（B-VLAN)MAC in MAC：在Q in Q加标基础再次加标不仅使运营商桥接LAN与用户LAN完全独立，并使运营商MAC 与用户MAC完全隔离，实现运营商网络与用户网络独立寻址层次性MAC结构克服了平面型MAC可能带来的大范围广播风暴。该技