VLAN及生成树技术

网络组建技术补充虚拟局域网技术VLAN的划分1VLAN的帧格式2VLAN端口3VLAN间路由4VLAN产生的背景5VLAN配置6在以太网的开展过程中，传统网络的主要问题是可用性和性能。这两个问题受网络中带宽总和的影响。在一个碰撞域中，数据帧对该局域网上的所有设备都是可见的，因此，播送、多点播送、未知的单点传送数据帧都有可能占用过多的带宽。播送数据流量随着网络的增长而增长。过多的播送会减少最终用户的可用带宽，在最坏的情形下，播送风暴甚至可以使整个网络瘫痪。另一方面，在一个只由网桥构成的网络中，所有连在网上的工作站和效劳器都不得不对播送数据帧进行解码，该动作会产生额外的CPU中断并降低应用性能。经过不断的使用，后来人们又发现，除了可用性和性能的缺点，传统以太网的平安性差，和移动代价高等问题也不断的暴露出来。为此，IEEE协会专门设计规定了802.1q的协议标准，这就是VLAN技术的根本，VLAN技术由此开展起来。VLAN〔VirtualLocalAreaNetwork〕又称虚拟局域网，是指在交换局域网的根底上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑播送域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户参加到一个逻辑子网中。

1.1VLAN的产生背景目前，从技术角度讲，VLAN的划分可依据不同原那么，一般有以下几种划分方法：〔1〕基于端口的虚拟局域网基于端口的虚拟局域网是最实用的虚拟局域网，它保持了最普通常用的虚拟局域网成员定义方法，配置也相当直观简单，就局域网中的站点具有相同的网络地址，不同的虚拟局域网之间进行通信需要通过路由器。采用这种方式的虚拟局域网其缺乏之处是灵活性不好。例如，当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个虚拟局域网，那么用户必须对该站点重新进行网络地址配置，否那么，该站点将无法进行网络通信。在基于端口的虚拟局域网中，每个交换端口可以属于一个或多个虚拟局域网组，比较适用于连接效劳器。1.2VLAN的划分1.2VLAN的划分〔2〕基于MAC地址的虚拟局域网在基于MAC地址的虚拟局域网中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个虚拟局域网，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。这种虚拟局域网技术的缺乏之处是在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个虚拟局域网。〔3〕基于IP地址的虚拟局域网在基于IP地址的虚拟局域网中，新站点在入网时无需进行太多配置，交换机那么根据各站点网络地址自动将其划分成不同的虚拟局域网。在三种虚拟局域网的实现技术中，基于IP地址的虚拟局域网智能化程度最高，实现起来也最复杂。

1.2VLAN的划分〔4〕根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，但这种方法不适合局域网，主要是效率不高。鉴于当前业界VLAN开展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，H3C系列交换机采用根据端口来划分VLAN的方法。1.3VLAN的帧格式IEEE802.1q协议标准定义了在同一条物理链路上承载多个子网的数据流的方法，它是一个有关trunk封装方式的标准。为了保证不同厂家生产的设备能够顺利互通，IEEE802.1q标准严格规定了统一的VLAN帧格式以及其他重要参数，它是在原有标准以太网帧格式根底上修订而成的，在以太网数据帧的源MAC地址后面增加了4字节的Tag域如图1-1所示，该域前2个字节是标签协议标识(TPID)，后2个字节为标签控制信息(TCI)。1.3VLAN的帧格式〔1〕目的地址字段DA(DestinationAddress)：占2个或6个字节，用于标识接收站点的地址。它分为单播地址、组播地址和播送地址。表示单播地址时，DA字段最高位为“0〞；表示组播地址时，DA字段最高位为“1〞，其余位不全为“1〞，该地址指定网络上给定的多个站点；表示播送地址时，DA字段全“1〞，该地址指定网络上所有的站点。〔2〕源地址字段SA(SourceAddress)：占2个或6个字节，其长度与目的地址字段的长度相同，它用于标识发送站点的地址。〔3〕标记协议标识TPID(TagProtocolIdentifier)：占2个字节，该字段固定的值为16进制0x8100，表示这是一个添加了802.1q标签的帧。〔4〕标签控制信息TCI(TagControlInformation)：占2个字节，它包括3bit的用户优先级UP(UserPriority)、1bit的标准格式指示器CFI(CanonicalFormatIndicator)和12bit的VLANID。IEEE802.1q协议标准中没有定义和使用优先级字段，而IEEE802.1P中那么定义了该字段。4.3VLAN的帧格式〔5〕类型/长度字段Type/LEN(Type/Length)：占2个字节，其值表示数据字段的字节数长度。如果是采用可选格式组成帧结构时，该字段既表示包含在帧数据字段中的数据长度，也表示帧类型ID。〔6〕数据字段(Data)：其内容即为LLC子层递交的LLC帧序列，其长度为0～1500个字节。〔7〕帧校验序列字段FCS(FrameCheckSequence)：占4个字节，该序列包含32位的循环冗余校验码(CRC)值，其校验范围不包括前导码字段P及帧起始定界符字段SFD。由发送方生成，接收方根据此值重新计算可判断并校验被破坏的帧。1.4VLAN端口从交换机所处理的VLAN数据帧的不同，我们可以将交换机的端口分成三类：第一类是只能传送标准以太网帧的端口，称为Access端口；第二类是既可以传送有VLAN标签的数据帧也能够传送标准以太网帧的端口，称为Trunk端口；第三类可以灵活传送数据帧，通过用户的设置可以同时传送带有VLAN标签的数据帧和标准以太网帧，称为Hybrid端口。对于三类端口的一些规定如下：〔1〕Access类型：端口只能属于1个VLAN，一般用于连接计算机；〔2〕Trunk类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间的连接；〔3〕Hybrid类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。三种类型的端口可以共存在一台设备上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。1.4VLAN端口1.4VLAN端口1.5VLAN间路由VLAN可以控制播送并将数据通信限制在本地，阻止不同VLAN之间设备的通信，提高网络的平安性能。VLAN内部的网络设备的通信通过二层交换机可以实现，那么位于不同VLAN的网络设备要进行通信怎么办呢？答案是利用第三层的设备路由器来实现，也成为VLAN间路由。如下图，假设VLAN2用户和VLAN3用户在同一网段中，它们之间不需要经过路由器，靠第二层播送就可以通信，但是由于分属不通的VLAN，第二层播送报文被隔离，这样这两个VLAN之间就无法通信了，所以通常将不同的VLAN用户划分到不同的网段，它们之间的通信可以通过路由方式来实现。1.5VLAN间路由虽然采用路由方式实现了VLAN之间的通信，但是采用什么设备又是个问题。如果是具有路由功能的三层交换机，当然是最好了，而且通常把路由器和交换机的功能结合起来，采用“一次路由，屡次交换〞的方法。但是许多时候为了节省购置三层交换机的大额投资而使用外部路由器，这时候又出现了新的问题。当使用外部路由器时，由于路由器的一个物理接口只能连接一个网段，假设使用传统的技术，那么每个VLAN需要一个路由器接口，很不经济，如下图。而且这种方法限制了VLAN数量的增加，不利于网络的开展，实际应用显然行不通。1.5VLAN间路由那能够用外部路由器的一个物理接口把所有VLAN都连起来，即用一条物理链路传送所有的VLAN的数据流呢？答复是肯定的。只要路由器的以太网接口支持VLANTrunking功能，就可以把路由器和交换机的链路设置成Trunk，传递所有VLAN的数据流，再将路由器的这个以太网接口划分成与VLAN等数量的子接口，每个子接口连接一个VLAN，于是问题就解决了，如下图，这种方法称为独臂路由〔one–armed-router〕。这种方法的缺点是外部路由器与交换机之间的单一链路承担了VLAN之间的所有通信量，容易成为交通瓶颈，当VLAN间通信量较大时需要较宽的带宽。1.6VLAN配置VLAN的根本配置1.6VLAN配置VLAN接口的根本配置1.6VLAN配置配置实例〔1〕组网需求创立VLAN2、VLAN3，指定VLAN2的描述字符串为home；要求PCA、PCB、PCC属于VLAN2，PCD、PCE、PCF属于VLAN3，相同子网能互访，不同子网不能互访；PCA、PCB、PCF分别连接交换机A的Ethernet1/0/1到Ethernet1/0/3，PCC、PCD、PCE分别连接交换机B的Ethernet1/0/1到Ethernet1/0/3，交换机之间用Ethernet1/0/4相连，按照网络拓扑图如图1-5连接好设备。1.6VLAN配置配置步骤SwitchA#创立VLAN2并进入其视图。<SwitchA>system-view[SwitchA]vlan2#指定VLAN2的描述字符串为home。[SwitchA-vlan2]descriptionhome#向VLAN2中参加端口Ethernet1/0/1和Ethernet1/0/2。[SwitchA-vlan2]portEthernet1/0/1toEthernet1/0/2#创立VLAN3并进入其视图。[SwitchA-vlan2]vlan3#向VLAN3中参加端口Ethernet1/0/3。[SwitchA-vlan3]portEthernet1/0/3#配置端口的类型。[SwitchA-Ethernet1/0/4]portlink-typetrunk#设定Trunk端口允许通过VLAN2和VLAN3的数据。[SwitchA-Ethernet1/0/4]porttrunkpermitvlan2to31.6VLAN配置SwitchB#创立VLAN2并进入其视图。<SwitchB>system-view[SwitchB]vlan2#指定VLAN2的描述字符串为home。[SwitchB-vlan2]descriptionhome#向VLAN2中参加端口Ethernet1/0/1。[SwitchB-vlan2]portEthernet1/0/1#创立VLAN3并进入其视图。[SwitchB-vlan2]vlan3#向VLAN3中参加端口Ethernet1/0/2和Ethernet1/0/3。[SwitchB-vlan3]portEthernet1/0/2toEthernet1/0/3#配置端口的类型。[SwitchB-Ethernet1/0/4]portlink-typetrunk#设定Trunk端口允许通过VLAN2和VLAN3的数据。[SwitchB-Ethernet1/0/4]porttrunkpermitvlan2to3生成树技术

生成树的原理1生成树的工作过程2生成树的拓扑变化3快速生成树4生成树产生背景5生成树的根本配置6我们知道，第一，当地址表中没有目的地址的条目时，交换时机采用播送的方式转发到除源端口外的其他所有端口；第二，交换机其实就是透明的网桥，在有地址表的时候，交换机能够按照MAC地址表正确的转发，但是它没有记录关于转发过数据帧的转发记录，当它再次收到同样一个数据帧的时候，仍然是毫无记录的将数据帧按MAC地址表转发到指定的端口。这样一来，如果存在多条路径，就容易形成回环，导致数据帧在环中不断的循环传递，从而产生播送风暴、帧的多个拷贝、地址表不稳定等问题，消耗网络带宽，使网络性能下降而不能工作。2.1生成树产生背景2.1生成树产生背景生成树协议〔Spaning-TreeprotocolSTP〕就是在具有物理回环的交换机网络上，生成没有回环的逻辑网络的方法。生成树协议使用生成树算法，在一个具有冗余路径的容错网络中计算出一个无环路的路径，使一局部端口处于转发状态，而一局部端口处于阻塞状态，从而形成一个稳定的、无环路的生成树网路拓扑结构，而且一旦发现当前路径的故障，生成树协议能立即激活相应的端口，翻开备用链路，重新生成生成树的网络拓扑，从而保持网络的正常工作。生成树协议的关键就是保证网络上任何一点到另一点的路径有一条且只有一条。生成树协议的使用使得具有冗余路径的网络既具有了容错的能力，同时又防止了产生回环带来的不利影响。在运行生成树协议的情况下，为了防止路径回环，生成树协议强迫交换机的端口经历不同的状态，共有5中状态。2.1生成树产生背景在缺省情况下，交换机开机时，所有的端口一开始是阻塞状态，经过20s后，交换机端口将进入监听状态，经过15s后进入学习状态，再经过15s后一局部端口进入转发状态，而另一局部端口〔冗余的〕被置于阻塞状态。当生成树算法到达收敛时，其收敛的时间为50s。如果网络拓扑因为故障而连接发生变化或者增加了新交换机到网络中时，生成树算法将自动重新启动，端口的状态也会发生相应的变化。一旦交换机决定沿最好的路径到根交换机，那么所有冗余端口将进入阻塞状态，而如果原来的阻塞端口变为指定端口，它将转变为监听状态。2.2生成树的原理生成树协议使用称为网桥协议数据单元〔BridgeProtocolDataUnit,BPDU〕的特殊数据帧来传送设备的有关信息。BPDU数据帧中包含了一下信息：根网桥的标识：由网桥的优先级和网桥的48位MAC地址组合而成，前面是优先级，后面是MAC地址；从发送网桥到根网桥的最小路径开销：即最短路径上所有链路开销的代数和；发送网桥的标识：由网桥的优先级和网桥的48位MAC地址组合而成，前面是优先级，后面是MAC地址，对于LAN来说，它就是指定网桥；发送端口的标识：由端口优先级和端口索引值组合而成，对于LAN来说，它就是指定端口。最初，所有网桥都发送以自己为根网桥的配置消息〔根网桥，最短路径开销，指定网桥，指定端口〕。网桥将收到的配置消息和自己的配置消息进行优先级的比较，保存优先级较高的配置消息，并由此来完成生成树的计算。2.2生成树工作原理网络中所有的交换机每隔一定的时间〔缺省值为2s〕就发送和接受BPDU数据帧，并且用它来检测生成树拓扑的状态，通过生成树算法得到生成树，生成树协议的工作原理如下：〔1〕具有最高优先级〔优先级的ID值最小〕的交换机被选为根交换机，如果两个交换机的具有相同的优先级，拥有较小的MAC地址的交换机成为根交换机。〔2〕每个交换机端口都有一个路径花费，根路径花费是该交换机到根交换机所经过的各个网段的路径花费的总和。一台交换机中根路径花费的值为最低的端口被选为根端口，如有多个端口具有相同的根路径花费，那么具有最高优先级的端口为根端口。路径花费由链路速度决定，它由IEEE指定。2.2生成树工作原理〔3〕在每个网段中都有一个交换机被称为指定交换机〔DesignatedSwitch〕，它属于该网段中根路径花费最少的交换机。把网段和指定交换机连接起来的端口就是网段的指定端口〔DesignatedPort〕。如果指定交换机有两个以上的端口连在这个网段上，那么具有最高优先级的端口被选为指定端口，而其他端口被阻塞。〔4〕连接到被阻塞端口的链路成为冗余链路。当交换机在状态转换时，不转发任何数据帧。当所有的交换机都确定有相同的数据库时，就表示算法已经收敛了，相应的端口开始转发数据。2.3生成树的工作过程当网桥接收到来自于邻居的配置消息后，需要比较他们的优先级，利用找出的优先级最高的配置消息更新自己的配置消息，再发送出去。交换机是按照以下步骤来确定最有配置消息的：〔1〕首先，比较配置消息的根网桥的标识，根网桥标识小的优先级高；〔2〕如果配置消息中的根网桥标识相等，就比较它们的最短路径开销，最短路径开销与接收端口的端口开销之和小的优先级高；〔3〕如果前面的两个参数都相等，再比较它们的指定网桥，指定网桥值小的优先级高；〔4〕如果前面三个参数都相等，再比较它们的指定端口，指定端口小的优先级高。2.3生成树的工作过程优先级高的配置消息就是最优配置消息，选出最优的配置消息后，就可以更新自己的配置消息，更新自己的配置消息也要确定一下几个参数：〔1〕确定根网桥标识。取最优配置消息的根网桥标识作为新的配置消息的根网桥；〔2〕确定网桥的根端口。如果自己是根网桥，那么根端口为0，否那么比较端口的最短路径开销，端口的最短路径开销是配置消息中的最短路径开销与接收该配置消息的端口开销之和，最短路径开销值小的端口为根端口；如果端口的最短路径开销相同，那么比较端口所在LAN的指定网桥，指定网桥值小的为根端口；如果指定网桥仍然相同，那么比较端口所在LAN的指定端口，指定端口小的为根端口；如果上述参数都相同，那么比较端口自身的端口号，端口号小的为根端口。同一网桥的端口号是唯一的，所以到这里就能确定根端口；〔3〕确定网桥的最短路径开销。如果自己是根网桥，那么最短路径开销为0，否那么为最有配置消息的最短路径开销与根端口的开销之和；2.3生成树的工作过程〔4〕确定指定网桥。指定网桥就是自己的网桥标识；〔5〕选出指定端口。确定了上述参数后，针对每个端口，网桥就可以形成自己的配置消息了，并将形成的配置消息，与从该端口接收到的配置消息进行比较，如果新的配置消息优于该端口接收到的配置消息，该端口为指定端口，否那么该端口为阻塞端口。然后将新的配置消息从所有指定端口发送出去，从而形成下一轮的配置消息比较，直至配置消息稳定。2.3生成树的工作过程某网桥共有5个端口连接到网络中，分别收到5个配置消息，他们分别是Port1〔32、0，32〕，Port2〔23、18，123〕，Port3〔23、14，321〕，Port4〔23、14，100〕，Port5〔23、15，80〕。这里我们只用了〔根网桥标识，最短路径开销，指定网桥〕来代替配置消息，但是这个不影响配置消息的比较。2.3生成树的工作过程按照前面的步骤：〔1〕首先，比较配置消息中的根网桥标识，其中最小的为23；〔2〕确定根端口。假设这是10Gb/s的链路，按照第二次修正的端口开销值为2，那么端口3和端口4具有最小的最短路径开销为16，所以端口4为根端口。〔3〕确定网桥的最短路径开销。最短路径开销为最有配置消息中的最短路径开销与根端口开销之和，这里为16；〔4〕确定指定网桥。这里的指定网桥就是自己的网桥标识B81。至此形成了新的配置消息〔23，16，81〕，与接收到的配置消息比较，该消息优于端口1和端口2接收到的配置消息，所以端口1和端口2为指定端口；该消息劣于端口3和端口5接收到的配置消息，所以端口3和端口5被阻塞，新的配置消息〔23，16，81〕从指定端口发送出去。2.4生成树的拓扑变化当网络链路故障时，拓扑结构必定发生变化，导致生成树重新计算，但新的配置消息要进过一定的时延才能传播到整个网络，在所有网桥受到这个拓扑变化之前，可能会出现下面的情况：〔1〕假设旧的拓扑结构中处于转发状态的端口还没有发现自己应该在新的拓扑结构中停止转发，那么可能存在临时环路；〔2〕假设旧的拓扑结构中阻塞的端口还没有发现自己应该在新的拓扑结构中开始转发，那么可能造成网络暂时失去连通性。对于第二种情况，不会形成太大的影响，但是第一种情况，很可能产生网络风暴，而导致全网业务故障，所以应该尽量防止，为了解决这个问题，STP提供了定时策略，通过定时器的限制和端口状态的迁移有效的阻止了临时环路的形成。当网络拓扑结构发生变化的时候，有两种情况发生，但是STP仅仅解决了最重要的一个问题，而网络临时失去连通性并没有做任何的处理，网络经过两倍的转发延时才能恢复连通性，对于某些重要的业务影响还是比较严重的。那么我们有没有什么改进的方法呢？下面的快速生成树协议(RSTP)帮我们找到了答案。2.5快速生成树RSTP是从STP开展过来的，其实现根本思想一致，但是它更进一步的处理了网络临时失去连通性的问题，RSTP规定在某些情况下，处于阻塞状态的端口不需要经过2倍的转发时延而可以直接进入转发状态。如网络的边缘端口〔即直接与终端相连的端口〕，可以直接进入转发状态，不需要任何的时延。或者是网桥旧的端口已经进入了阻塞状态，并且新的根端口所连接的对端网桥的制定端口仍然处于转发状态，那么新的根端口可以立即进入转发状态。即使是边缘的指定端口，也可以通过与相连的网桥进行一次握手，等待对端的网桥的赞同报文而快速进入转发状态。当然，这有可能导致进一步的握手，但是握手的次数会受到网络直径的影响。从RSTP的改进我们可以看出，它就有很好的改进性能：〔1〕对于边缘端口，端口的状态变化根本不会影响网络的连通性，并且不需要传递任何的配置消息；〔2〕对于根端口，发现网络拓扑改变到恢复连通性时间可以缩短到数毫秒，并且不需要传递配置信息；〔3〕对于非边缘端口的制定端口，网络连通性可以在交换两个配置消息的时间内〔即握手的时延〕恢复，即