802.1Q_VLAN简介.ppt

1、,802.1Q VLAN,课程内容,VLAN简介,802.1Q工作原理,802.1Q应用,实验与练习,小结,VLAN简介,什么是VLAN？ VLANVirtual LAN，虚拟局域网技术。 VLAN是指在交换局域网的基础上，采用软件处理构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个VLAN组成一个逻辑子网，即一个逻辑广播域；它可以是一个交换机的部分端口，也可以是覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中 引入VLAN，可以有效的控制广播域、提高网络安全性、简化网络管理，同时也使得网络的建设和扩展变得方便,VLAN简介,VLAN的分类 基于端口的VLAN 这是

2、划分VLAN最简单也是最有效的方法，实际上就是某些交换端口的集合。管理员只要管理和配置交换端口，而不管交换端口连接什么设备 基于MAC的VLAN 按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。 设备根据自己网卡的MAC地址唯一确定VLAN，当设备移动时，VLAN能够自动识别，而无需重新配置，非常方便。 缺点：当网络规模很大时，会给管理带来难度,VLAN简介,VLAN的分类（续） 基于IP的VLAN 根据用户三层逻辑地址来进行VLAN划分，不同的IP等地址可以划分进不同的VLAN。但注意这个不是路由！ 只要用户的IP地址不变，VLAN号也不变，这与它的地址和逻辑位置无

3、关，相对于MAC的VLAN更加方便。 但IP层面的处理，意味着更多系统资源的开销 基于策略的VLAN 通常可以根据MAC、IP、以太网协议类型、上层应用等来进行灵活的划分,VLAN简介,802.1Q概述 802.1Q协议为标识带有VLAN成员信息的以太网帧建立了一种标准方法。标准定义了VLAN交换机操作，从而允许在桥接局域网结构中实现定义、运行以及管理VLAN拓扑结构等操作。 802.1Q标准主要用来解决如何将大型网络划分为多个小网络，这样广播和组播流量就不会占据更多的带宽。此外还提供更高的网络段间安全性。,VLAN简介,什么是802.1Q VLAN 802.1Q是IEEE组织批准的一套VLA

4、N协议，它定义了基于端口的VLAN模型，也是使用得最多最广泛的一种方式，经过多年的应用，已经变得非常成熟 基本原理： 802.1Q给每个需要转发的帧都添加一个“标签”，其中包含了vlan的编号，交换机在进行帧转发的时候，同时判断这些“标签”是否匹配，从而确定其互通性 同时，不支持802.1Q的主机会因为无法“读懂”标签而丢弃该帧,课程内容,VLAN简介,802.1Q工作原理,802.1Q应用,实验与练习,小结,802.1Q工作原理,802.1Q帧格式 802.1Q帧结构是在标准802.3以太网标准帧中插入了4bytes的802.1 tag 该标签由TPId和TCI两者组成,802.1Q工作原理

5、,802.1Q帧格式（续） 802.1 Tag TPIDTag Protocol Identifier,标签协议标识符，在我们讨论的内容中，该值为0 x8100，表明这是一个802.1Q的帧 注：在VLAN Stack/QinQ功能中，TPId的取值会有所不同 TCI Tag Control Information，标签控制信息，它包括优先级UserPriority、规范格式指示CanonicalFormatIndicator和VLANId三个部分,802.1Q工作原理,802.1Q帧格式（续） 802.1 Tag Priority 3bits，用于指明VLAN帧的优先级，当交换机发生流量阻塞

6、时，优先发送P值较高的帧； 共有8个级别（ToS值：07），0优先级最低 CFI 1bit，0表示是规范格式；1表示非规范格式 在现在以太网环境中，总是有CFI=0 VLAN Id 12bits，指明VLAN id，共有4096个，或者简称4K。,802.1Q工作原理,802.1Q帧格式（续） 其他相关 IP包的最大长度为1500，以太网帧的最大长度需要算上帧头18bytes，所以是1518；而以太网最小有效值是64bytes VLAN帧是在标准以太网的基础上又增加了4bytes，所以其长度范围是681522bytes 超过1522bytes的以太网帧，一般通称为超常帧,802.1Q工作原理,

7、VLAN的关键参数 PVID 指的是以太网（裸）帧进入交换机端口时，需要添加的VLAN Id信息(进端口) VLAN-Map 表示交换机可对哪些VLAN进行处理 unTag-VLAN-Map 表示哪些VLAN编号的VLAN需要被去除VLAN tag标记(出端 口),802.1Q工作原理,VLAN端口的模式 802.1Q VLAN的端口有两种模式，分别是： Access 一个物理端口只属于一个VLAN Access模式常用于连接用户主机等其他无法识别VLAN帧的终端设备 Trunk 一个物理端口同时属于多个VLAN的情况 Trunk模式常用于交换机上联端口，同时可处理多个VLAN的数据帧,802

8、.1Q工作原理,VLAN端口的模式（续） 802.1Q VLAN的端口有两种模式，分别是： 端口为Access时，默认有：Vlan-MapunTag-MapPVID，PVID根据需要指定 端口为Trunk时，默认有：unTag-MapPVID，VLAN-MapAll 无论是哪种模式，端口的PVID同时只能有一个，需要用户指定。默认情况下，该值为1。,802.1Q工作原理,802.1Q处理过程 根据先后顺序的不同，我们可以分为三个阶段： 入端口 MAC查询和转发 出端口,802.1Q工作原理,802.1Q处理过程（续） 入端口流程,802.1Q工作原理,802.1Q处理过程（续） 出端口流程,8

9、02.1Q工作原理,802.1Q处理过程（续） MAC查询和转发 上述描述的是VLAN数据帧在两个端口进出时，对于数据帧如何进行Tag的操作；而在交换机内部，数据帧如何在两个端口中进行转发，需要牵涉到交换机的基本工作原理： 自动学习MAC地址 根据数据帧的目的MAC进行寻址、转发 VLAN的引入，这两个过程是否会有变化呢？,802.1Q工作原理,802.1Q处理过程（续） MAC地址学习 我们需要区分以下交换机的类型，可以分为IVL和SVL两种： IVLIndependent Vlan Learning独立式VLAN地址学习，交换机的MAC地址表在逻辑上被看成根据VLAN号划分成多张表，一个M

10、AC地址可以被学习到不同的VLAN表中 SVLShared Vlan Learning共享式VLAN地址学习，一个地址表项对所有的VLAN通用，一个MAC地址在整张表中是唯一的,802.1Q工作原理,802.1Q处理过程（续） MAC地址学习 在MAC地址学习时，如果是802.1Q标准的帧，交换机将接收帧的源MAC地址和VLAN Tag号取出，填入MAC地址表；如果是裸数据帧，则先进行Tag操作，然后在将上述两信息写入MAC地址表，不过此时的VLAN信息是端口的PVID了 对于IVL，MAC地址和VLAN号在表中对应存放，以便后续查询 而对于SVL，表中只存放接收帧的源MAC地址，VLAN是端

11、口的PVID！（确认）,802.1Q工作原理,802.1Q处理过程（续） MAC地址学习 从MAC表的形式来看，两者并无本质差别,802.1Q工作原理,802.1Q处理过程（续） MAC表的查询 对于SVL交换机，由于整个交换机共享一张地址表，所以只需要根据帧的目的MAC来查询转发 对于IVL交换机，则需要通过VLAN号和目的MAC地址的组合，在本VLAN内查询并转发 显然，IVL查询的范围小，但需要两个信息组合查询，先对复杂；而SVL的查询范围大，但只需要目的MAC地址即可，相对简单,802.1Q工作原理,802.1Q处理过程（续） 组播帧和广播帧的查询 如果需要转发的以太网帧不是单播，是一

12、个广播报文，那么就就跟无法在MAC表中查到匹配条目的单播一样，在本VLAN内进行广播转发； 如果需要转发的是组播帧，则需要看交换机上面是否运行了igmp-snooping协议，如果是，那么该帧就转发到igmp-snooping总的成员端口；如果不是，就按照查不到匹配表项一样，进行广播,802.1Q工作原理,802.1Q的流程图 小结 把前面的内容整合起来：,802.1Q工作原理,802.1Q的流程图（续） IVL的MAC表查询流程 根据帧内Tag Header的VLAN Id查找L2FDB表（MAC表），确定查找的范围 根据目的MAC查找出端口，如果找到相应的出端口，则进入出端口流程 如果在L

13、2FDB表中查找不到该目的MAC，则该报文将通过广播的方式在该VLAN内的所有端口转发 L2FDB表中的MAC地址通过老化机制更新 转发的过程中，不会对帧的内容进行修改,802.1Q工作原理,802.1Q的流程图（续） SVL的MAC表查询流程 根据帧目的MAC查L2FDB，查找相应的出端口 找到数据报文的出端口后，判断出端口是否允许此数据报文通过，允许则进入出端口流程，不允许则丢弃（出端口流程） 如果在L2FDB表中查找不到该目的MAC，则该数据报文将通过广播的方式在该VLAN内的所有端口转发 L2FDB表中MAC地址通过老化机制来更新 在转发的过程中，不会对帧的内容进行修改,课程内容,VL

14、AN简介,802.1Q工作原理,802.1Q应用,实验与练习,小结,802.1Q应用,802.1Q的相关应用 Private VLAN Super VLAN VLAN Filter ,802.1Q应用,802.1Q的相关应用（续） Private VLAN Private VLAN私有VLAN功能不是一种新的功能或者协议，本质上它是利用了802.1Q来实现的一种典型应用，可以实现不同的用户之间相互隔离，但可以实现访问相同的目标,802.1Q应用,802.1Q的相关应用（续） Private VLAN 关键是看VLAN/Port的控制，以下是vlan的控制表，每个端口包括PVId、VLAN-Ma

15、p、uTag-Map三大项内容 step-1：确定VLAN规划 思考：F0/1口使用vlan1或者vlan2是否可行？,802.1Q应用,802.1Q的相关应用（续） Private VLAN step-2：确定VLAN属性 Vlan1的数据帧为Pvid=1，访问Vlan2时，因为Vlan-Map不匹配而被丢弃，可实现隔离；但在访问Vlan100时，则是被allow的，所以不会丢弃，且同样可以被unTag，所以相关Serv可以识别和处理； 讨论：Serv访问Vlan1的PC时，是怎样的流程？,802.1Q应用,802.1Q的相关应用（续） Private VLAN的配置 有了VLAN和端口的对

16、应表之后，就可以进行VLAN功能的配置、验证和实验了。 vlan vid1-vid2, vid3-vid4 switchport mode access | trunk switchport pvid switchport trunk vlan-allow vids switchport trunk vlan-untag vids,802.1Q应用,802.1Q的相关应用（续） PVLAN的广播问题 在前面的案例介绍中，我们介绍了数据帧在进出端口时对VLAN tag的操作，从中看到了PVLAN的典型应用和基本实现流程； 但在实现PVLAN应用中，IVL和SVL交换机会有不同的情况发生： 如果是

17、SVL，交换机上所有的MAC地址信息都是共享的，任何一个端口在转发数据帧时都可以完全查到，不存在视觉“盲点”,802.1Q应用,802.1Q的相关应用（续） PVLAN的广播问题 如果是IVL，Vlan1和Vlan100之间互通时，由于PVId不同的关系，导致无法直接查到，只能被广播；同样，Vlan100的帧无论网哪个Vlan转发，都会是跨Vlan的，这意味着每个帧（即便本身不是广播帧）都会被广播转发。 这在实际应用中会出现严重的问题。 解决的方法是开启Shared-learning功能。 switchport shared-learning,802.1Q应用,802.1Q的相关应用（续） S

18、hared-Learning shared-learning功能的本质是在端口MAC地址学习之后，地址不仅写到Vlan Tag对应的VLAN中，还会被Copy到Vlan-Map对应的所有VLAN中，也就是说一个MAC地址会在VLAN表中出现多次。但它们对应的端口还是统一一致的。 思考：这样做会有什么问题？,802.1Q应用,802.1Q的相关应用（续） Super VLAN Super VLAN的设计从便于管理的角度来考虑的：一台交换机，划分多个VLAN，相互之间不能互通，远程管理时就需要给每个VLAN设置一个IP地址，无形中就造成了IP地址资源浪费 Super Vlan的本质就是用一个IP地址管理多个VLAN，通过CPU统一处理。 同一SuperVLAN的不同SubVLAN，分配的IP地址需要在同一网段 属于SuperVLAN的subvlan不能设置管理地址,802.1Q应用,802.1Q的相关应用（续） Super VLAN配置方法 其中，开启Proxy-ARP功能之后，同一SuperVLAN中的不同subvlan之间可以进行互通，但这不是经过三层转发的，仅仅是桥接 interface superVLAN subvlan vid1-vid2, vid3-vid4 ip address *.*.*.* ip proxy-arp same-inter