资源预览内容
第1页 / 共54页
第2页 / 共54页
第3页 / 共54页
第4页 / 共54页
第5页 / 共54页
第6页 / 共54页
第7页 / 共54页
第8页 / 共54页
第9页 / 共54页
第10页 / 共54页
亲,该文档总共54页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
1 lxm第第7章章 虚拟局域网虚拟局域网7.1 引言引言7.2 VLAN基础知识基础知识7.3 VLAN网桥的运行原理网桥的运行原理7.4 VLAN协议格式协议格式7.5 VLAN的配置的配置7.6 VLAN之间的通信之间的通信7.7 VLAN和以太网技术在城域网中的应用和以太网技术在城域网中的应用7.8 小结小结2 lxm7.1 引言引言n大型桥接式大型桥接式LAN存在的问题存在的问题n用高效网桥用高效网桥/交换机能组建较大型的交换机能组建较大型的LAN由网桥由网桥/交换机组建的交换机组建的LAN仍属于同一个广播域仍属于同一个广播域 随着随着LAN规模的扩大,出现了难以解决的问题:规模的扩大,出现了难以解决的问题:广播风暴广播风暴安全问题安全问题n本章将针对这一问题切入,深入讨论:本章将针对这一问题切入,深入讨论:802.1Q标准标准VLAN技术,解决广播风暴问题技术,解决广播风暴问题VLAN 及以太网技术在城域网中的扩展应用及以太网技术在城域网中的扩展应用3 lxm7.1 引言引言nVLANnVirtul Local Area NetworknVLAN标准标准n最初的版本:最初的版本:IEEE 802.1Q-1998n目前的版本:目前的版本:IEEE 802.1Q-20054 lxm7.2 VLAN基础知识基础知识n7.2.1 VLAN产生的背景产生的背景n7.2.2 VLAN的概念的概念n7.2.3 VLNA的相关术语的相关术语 n7.2.4 VLAN 网桥协议结构网桥协议结构5 lxm7.2 .1 VLAN产生的背景产生的背景n产生广播风暴原因产生广播风暴原因n 在桥接式在桥接式LAN中,中, 广播帧都会传遍整个物理网广播帧都会传遍整个物理网n 宿地址没在宿地址没在MAC表中的帧会扩散到整个物理网表中的帧会扩散到整个物理网n网桥网桥/交换机为维持生成树定期发送交换机为维持生成树定期发送BPDU也会在全网扩散也会在全网扩散n广播风暴的影响广播风暴的影响n降低网络性能:有效带宽、吞吐率下降,帧的转发时延增大降低网络性能:有效带宽、吞吐率下降,帧的转发时延增大n增加了安全隐患:有些敏感的数据不应该传送到无关的地方增加了安全隐患:有些敏感的数据不应该传送到无关的地方 n 解决方法:突破一个广播域的设想解决方法:突破一个广播域的设想 划分子网(在划分子网(在TCP/IP课程中讲)课程中讲) 在第二层划分在第二层划分VLAN(本章内容)(本章内容)交换机交换机站站交换机交换机交换机交换机站站站站站站6 lxm7.2.2 VLAN的概念的概念n什么是什么是VLAN(Virtual LAN)?)?n将一个交换式网络划分为多个相互独立的虚拟物理网络将一个交换式网络划分为多个相互独立的虚拟物理网络n这些逻辑上虚拟的物理网络称为这些逻辑上虚拟的物理网络称为VLANnVLAN之间相互逻辑隔离,不同之间相互逻辑隔离,不同VLAN成员之间不能直接在第二层成员之间不能直接在第二层通信通信nVLAN之间的通信只能通过之间的通信只能通过L3或更高层或更高层nVLAN划分的特点划分的特点n通过交换机的命令配置划分通过交换机的命令配置划分VLANnVLAN的划分可以跨越交换机的划分可以跨越交换机n同一同一VLAN的成员物理上可以位于不同地方的成员物理上可以位于不同地方n一个站点可以同时属于多个一个站点可以同时属于多个VLAN7 lxm7.2.2 VLAN概念概念 VLAN划分前后图例划分前后图例nVLAN划分前划分前n站点均位于同一广播域站点均位于同一广播域n所有站点均可直接通信所有站点均可直接通信nVLAN划分后划分后n一个物理网划分成一个物理网划分成VLAN2和和VLAN3n形成两个独立的广播域形成两个独立的广播域nVLAN之间不能通信之间不能通信nVLAN之内可以通信之内可以通信以太网以太网交换机交换机以太网以太网交换机交换机VLAN2VLAN2VLAN3VLAN38 lxm7.2.2 VLAN 的概念的概念nVLAN 技术的分类技术的分类n可以有多种类型的可以有多种类型的VLANn取决于不同的取决于不同的VLAN划分策略划分策略nVLAN类型举例类型举例n基于端口的基于端口的VLANn是所有可能的是所有可能的VLAN类型的基础类型的基础n基于协议的基于协议的VLANn基于基于MAC地址的地址的VLANn基于子网的基于子网的VLAN9 lxm7.2.2 VLAN的概念的概念 分类分类n基于端口的基于端口的VLANnPort-based VLANn指定交换机的各个端口归属于某一个指定交换机的各个端口归属于某一个VLANn为端口指派为端口指派VLAN ID(PVID,Port VLAN ID)n按端口物理位置划分的按端口物理位置划分的VLANn静态划分,不会随站点接入的端口而变静态划分,不会随站点接入的端口而变n交换机的一个端口可同时属于多个交换机的一个端口可同时属于多个VLANn最简单,却是得到最广泛应用的最简单,却是得到最广泛应用的VLAN类型类型10 lxm7.2.2 VLAN的概念的概念 分类分类n基于基于MAC地址的地址的VLANn根据根据MAC地址对地址对VLAN分类分类nMAC帧只会发送到站点宿站点,安全性好帧只会发送到站点宿站点,安全性好n配置繁琐配置繁琐n基于协议的基于协议的VLANn根据高层协议对根据高层协议对VLAN分类分类n可能出现物理位置重叠可能出现物理位置重叠VLANn这些分类方式均很少应用这些分类方式均很少应用11 lxm7.2.3 VLAN 相关术语相关术语nVLAN标识符标识符n帧类型帧类型nVLAN知晓与知晓与VLAN非知晓非知晓nVLAN链路链路n独立学习与共享学习独立学习与共享学习12 lxm7.2.3 VLAN术语术语 VLAN 标识符标识符n如何识别同一物理网络中的不同如何识别同一物理网络中的不同VLAN?n给每个给每个VLAN指派一个指派一个VLAN标识符标识符nVLAN ID、VIDnVLAN标识符:标识符:VLAN Identifiern不同的不同的VLAN ID标识不同的标识不同的VLANnVID值值n一个一个12bit的无符号数,有效范围:的无符号数,有效范围:14094n具体设备支持的具体设备支持的VID范围可能更小范围可能更小n默认默认VID值为值为1,用户不能指派他用,用户不能指派他用n VLAN1 默认默认VLAN IDn当没有划分当没有划分VLAN时,所有站点都属于时,所有站点都属于VLAN1n通常作为管理通常作为管理VLAN使用使用13 lxm7.2.3 VLAN术语术语 帧类型帧类型n在在VLAN中,帧类型包括三种:中,帧类型包括三种:n无标帧:无标帧:untagged framen也称基本也称基本MAC帧帧n如如802.3的基本的基本MAC帧有效字段帧有效字段64-1518八位组八位组n优先级加标帧优先级加标帧: priority-tagged framen802.1Q协议格式在基本协议格式在基本MAC头部增加头部增加4个八位组个八位组n增加头部中,仅含优先级,无有效增加头部中,仅含优先级,无有效VID的的802.1Q帧帧nVLAN加标帧(加标帧(:VLAN-tagged framen802.1Q协议头部中,既有优先级又含有效协议头部中,既有优先级又含有效VID的帧的帧14 lxm7.2.3 VLAN术语术语 VLAN知晓与非知晓知晓与非知晓nVLAN中的设备可分为两类中的设备可分为两类nVLAN知晓设备:知晓设备: VLAN awarenVLAN非知晓设备:非知晓设备: VLAN unawarenVLAN 知晓设备知晓设备n能意识到能意识到VLAN的存在的存在n识别识别VLAN加标帧并予以适当的处理加标帧并予以适当的处理n同时也能适当处理非加标帧同时也能适当处理非加标帧nVLAN知晓设备通常是知晓设备通常是n支持支持VLAN协议的交换机协议的交换机n支持支持VLAN协议的服务器协议的服务器15 lxm7.2.3 VLAN术语术语 VLAN知晓与非知晓知晓与非知晓nVLAN 非知晓设备:非知晓设备:VLAN unawaren不能意识到不能意识到VLAN的存在的存在n不能识别不能识别VLAN加标帧加标帧nVLAN非知晓设备可以是:非知晓设备可以是:n不支持不支持VLAN协议的交换机协议的交换机n透明转发有效帧透明转发有效帧n帧长度帧长度641518字节,效验正确字节,效验正确n虽不能识别加标帧,但仍能透明转发加标帧(长度不能超虽不能识别加标帧,但仍能透明转发加标帧(长度不能超1518字节)字节)n不认识不认识VLAN,不能加标、去标,只能透明转发,不能加标、去标,只能透明转发n普通的普通的PC机机n不能识别加标帧,直接将加标帧丢弃。不能识别加标帧,直接将加标帧丢弃。16 lxm7.2.3 VLAN术语术语 VLAN知晓与非知晓知晓与非知晓n图中图中n只有交换机是只有交换机是VLAN知晓设备知晓设备n交换机只转发同一交换机只转发同一VLAN内站点之间的无标帧内站点之间的无标帧n其余设备其余设备( H、Server )均为均为VLAN非知晓设备非知晓设备交换机交换机VLAN_2VLAN_2VLAN_3VLAN_3H1H1H2H2H3H3H4H4ServerServer17 lxm7.2.3 VLAN术语术语 VLAN链路链路n主干链路:主干链路:Trunk Linkn通常用于互连通常用于互连VLAN交换机交换机n用于跨交换机传递多个用于跨交换机传递多个VLAN的信息的信息n主干链路上传送的是主干链路上传送的是VLAN加标帧加标帧n接入链路:接入链路:Access Linkn通常用于将无知晓设备接入通常用于将无知晓设备接入VLANn接入链路上只能传送的是无标帧接入链路上只能传送的是无标帧n混合链路:混合链路:Hybrid Link(略)(略)18 lxm7.2.3 VLAN术语术语 VLAN链路链路n主干链路(主干链路(T Trunkrunk linklink )n连接连接运行运行VLAN协议的设备(通常是运行协议的设备(通常是运行VLAN协议的交换协议的交换机)机)n主干链路的特点主干链路的特点n主干链路的端口可能属于多个主干链路的端口可能属于多个VLANn多个多个VLAN跨交换机共用同一链路实现中继跨交换机共用同一链路实现中继VALN VALN VALN VALN 交换机交换机交换机交换机VLAN VLAN VLAN VLAN 交换机交换机交换机交换机VLAN2VLAN2VLAN2VLAN2VLAN3VLAN3VLAN3VLAN3T T T Trunkrunkrunkrunk linklinklinklink 可属于可属于可属于可属于VLAN1VLAN1VLAN1VLAN1、2 2 2 2、3 3 3 3V1V1V1V1为为为为default VLANdefault VLANdefault VLANdefault VLAN)19 lxm7.2.3 VLAN术语术语 VLAN链路链路n接入链路(接入链路(access linklink )n将将VLAN非知晓设备接入非知晓设备接入VLAN交换机交换机n接入链路的特点接入链路的特点n链路只能收发无标帧链路只能收发无标帧n链路上的链路上的VLAN入端口只属于入端口只属于1个个VLANPCPCPCPCVALN VALN VALN VALN 交换机交换机交换机交换机PCPCPCPCPCPCPCPCPCPCPCPCPCPCPCPC接入接入接入接入链路链路链路链路VLANVLANVLANVLAN非知非知非知非知晓交换机晓交换机晓交换机晓交换机20 lxm7.2.3 VLAN术语术语 独立学习与共享学习独立学习与共享学习n两种动态建表的方式两种动态建表的方式n独立学习:为每个独立学习:为每个VLAN建立一个建立一个MAC表表n共享学习:为所有共享学习:为所有VLAN建立一个建立一个共同的共同的MAC表表 VLAN2 VLAN2MACMAC地址地址 端口端口MAC(1) 1MAC(1) 1MAC(4) 4 MAC(4) 4 VLAN3 VLAN3MACMAC地址地址 端口端口MAC(4) 4MAC(4) 4MAC(5) 5MAC(5) 5 独立学习建表独立学习建表 MACMAC地址地址 端口端口 VLANVLANMAC(1) 1 2MAC(1) 1 2MAC(4) 4 2,3MAC(4) 4 2,3MAC(5) 5 3MAC(5) 5 3共享学习建表共享学习建表 交换机交换机 1 2 3 4 51 2 3 4 5 H1 H1 H2 H2 H3 H3 H4 H4 V2 V2 V3 V3 H5 H521 lxm7.2.4 VLAN网桥协议结构网桥协议结构nVLAN网桥与普通网桥体系结构比较网桥与普通网桥体系结构比较高层实体高层实体高层实体高层实体(STPSTP、RSTPRSTP、网管、网管、网管、网管、) MAC MAC 实体实体实体实体MAC MAC 实体实体实体实体MACMAC中继实体中继实体中继实体中继实体E-ISS E-ISSE-ISS E-ISSMACMAC服务用户服务用户服务用户服务用户MACMAC服务用户服务用户服务用户服务用户MSAPMSAPMSAPMSAP高层协议高层协议(STP,RSTP,网管,网管) MAC 实体实体MAC中继中继实体实体ISS ISSLLC实体实体LLC实体实体MSAPMSAPMAC 实体实体普通网桥:普通网桥:ISS(内部子层服务)(内部子层服务)VLAN网桥:网桥:E-ISS(增强的内部子层服务)(增强的内部子层服务)22 lxm7.2.4 VLAN网桥协议结构网桥协议结构nE-ISS:增强内部子层服务:增强内部子层服务n是是ISS的增强,增加了的增强,增加了帧的加标去标帧的加标去标功能功能n定义了定义了VLAN知晓网桥中的知晓网桥中的MAC服务服务n支持支持VLAN中继功能中继功能nVLAN知晓网桥就是支持这些功能的网桥知晓网桥就是支持这些功能的网桥nE-ISS服务定义的单元数据原语是服务定义的单元数据原语是nEM_UNITDATA.indicationnEM_UNITDATA.requestn参数主要包括参数主要包括nDA/SA、MSDU、用户优先级、用户优先级、VLAN ID23 lxm7.3 VLAN 网桥运行原理网桥运行原理nVLAN网桥与普通网桥运行原理基本一致网桥与普通网桥运行原理基本一致n运行的要素也涉及运行的要素也涉及n帧接收与帧发送帧接收与帧发送n转发过程转发过程n学习过程学习过程n但但VLAN网桥与普通网桥对帧的处理有区别网桥与普通网桥对帧的处理有区别n本节主要讨论两者的区别,其他细节参见教材本节主要讨论两者的区别,其他细节参见教材24 lxm7.3 VLAN 网桥运行原理网桥运行原理n与普通网桥相比,与普通网桥相比,VLA网桥运行有以下不同网桥运行有以下不同nVLAN网桥处理网桥处理MAC帧类型帧类型n基本基本MAC帧帧 和和 VLAN 加标帧加标帧n对对MAC的扩散,仅在本的扩散,仅在本VLAN中进行中进行n VLAN网桥处理网桥处理MAC帧需要考虑帧需要考虑n不仅丢弃无效和差错帧,还要丢弃不符合不仅丢弃无效和差错帧,还要丢弃不符合入口规入口规则则的帧的帧n不仅过滤源目同端口的帧,也要过滤不符合入口不仅过滤源目同端口的帧,也要过滤不符合入口规则的帧规则的帧n帧中继时,由帧中继时,由出口规则出口规则决定是否加标或是去标决定是否加标或是去标25 lxm7.3 VLAN 网桥运行原理网桥运行原理n入口规则入口规则n符合以下规则的帧将被允许入口,否则丢弃符合以下规则的帧将被允许入口,否则丢弃n接收到帧与收端口配置的帧类型相符接收到帧与收端口配置的帧类型相符n接收到帧的接收到帧的VLAN ID与收端口配置的与收端口配置的VLAN ID相符相符n出口规则出口规则n符合以下规则的帧将被允许出口(转发),否则符合以下规则的帧将被允许出口(转发),否则丢弃丢弃n需要发送的帧与发端口配置的帧类型相符需要发送的帧与发端口配置的帧类型相符n需要发送的帧的需要发送的帧的VLAN ID与发端口配置的与发端口配置的VLAN ID相相符符26 lxm7.3 VLAN 网桥运行原理网桥运行原理帧处理案例帧处理案例 设两交换机均运行设两交换机均运行VLAN协议,且协议,且MAC表空,表空,H1向向H5发送一帧发送一帧nSW1处理处理: np1属属V3收到无标帧,收到无标帧,宿地址宿地址不在不在V3表中,向表中,向p2、p4 转发,其中向转发,其中向p4转发帧加标记,然后在转发帧加标记,然后在 V3中添加中添加MAC(1)表项表项nSW2处理处理: np3收到收到V3加标帧,加标帧,宿地址宿地址不在不在V3表中,删除标记后向端口表中,删除标记后向端口2转发,然转发,然后在后在V3中添加中添加MAC(1)表项表项VLAN SW1VLAN SW1 1 2 3 1 2 3 H1 H1 H2 H2 H3 H3 V3 V3 VLAN SW2VLAN SW2 1 2 1 2 H4 H4 H5 H54 43 3V2V227 lxm7.4 VLAN协议格式协议格式 MAC加标帧加标帧(Tagged frame)n也称也称MAC扩展帧扩展帧n在基本在基本MAC帧头部增加标志字段帧头部增加标志字段n增加的标志字段包括:增加的标志字段包括:nVLAN ID 、用户优先级等信息、用户优先级等信息n分别对应分别对应nVLAN加标帧加标帧n优先级加标帧优先级加标帧n跨交换机组建跨交换机组建VLAN时,交换机之间传送时,交换机之间传送VLAN加加标帧标帧28 lxm7.4 VLAN协议格式协议格式Length/TypeFCSDASA以太网基本以太网基本MAC帧帧以太网以太网VLAN加标帧加标帧FCSDASA TPIDTPIDVLAN IDVLAN IDP P CFICFI标记头标记头标记头标记头 MAC Client DataLength/Type MAC Client Data帧长:帧长:641518八位组八位组6624461500PADPAD66424215004帧长:帧长:64八位组八位组 最长允许超过基本最长允许超过基本MAC帧长帧长 29 lxm7.4 VLAN协议格式协议格式标记字段标记字段TPIDTPIDVLAN IDVLAN IDP PCFICFIn 用以标识加标用以标识加标帧的类型帧的类型n 81-00 表示表示 802.1QTagType 即即VLAN 协议协议3bits1bit12bitsTCI: Tag Control Information 2个八位组个八位组Tag Protocol Identifie 2个八位组个八位组优先级:优先级:3位,位, 07共共 8个等级个等级不同设备支持优先不同设备支持优先级的等级数有差异级的等级数有差异优先级高的帧优先级高的帧先发出先发出n 用一个用一个12位无符号二进数表示位无符号二进数表示n 0:null VLAN ID,则该帧是,则该帧是 用户优先级帧用户优先级帧n VLAN加标帧的标志头中必须有加标帧的标志头中必须有 非空非空VLAN IDn 1:default VLAN ID 基于端口基于端口 VLAN默认值,可由网管改变默认值,可由网管改变FFF:保留:保留n 有效范围:有效范围:1409430 lxm7.5 VLAN的配置的配置n7.5.1 根据需要划分根据需要划分VLANn7.5.2 组建组建VLAN的条件的条件n7.5.3 基于端口基于端口VLAN的实现的实现n7.5.4 VLAN之间的通信之间的通信31 lxm7.5.2 组建组建VLAN的条件的条件n组建组建VLAN的条件的条件nVLAN通常是基于交换式以太网的通常是基于交换式以太网的n因此组建因此组建VLAN需要需要n至少一个,或多个以太网交换机至少一个,或多个以太网交换机n以太网交换机必须支持以太网交换机必须支持VLAN trunk协议协议n802.1Q(IEEE标准)标准)nISL(Cisco专用协议,仅对专用协议,仅对Cisco交换机互联有效)交换机互联有效)n注意注意n交换机支持交换机支持VLAN的数目因设备而异的数目因设备而异32 lxm7.5.3 基于端口基于端口VLAN的实现的实现 需要对支持需要对支持VLAN协议的交换机进行配置协议的交换机进行配置n先创建先创建VLAN,设置,设置VLAN IDn在每台在每台VLAN交换机手动配置交换机手动配置VLAN(Cisco交换机也可利用交换机也可利用VTP域,只在一台交换机上手动创建域,只在一台交换机上手动创建VLAN,在,在同一同一VTP域的其他交换机自动学习已创建的域的其他交换机自动学习已创建的VLAN)n再对交换机端口进行配置再对交换机端口进行配置nport mode for each portnTrunk modenOr : Access moden VLAN ID for each portn VLAN trunk protocol type for trunk port) (不同商家交换机互连时,(不同商家交换机互连时,trunk链路的端口必须配置相同的协议:链路的端口必须配置相同的协议:802.1Q)33 lxm案例案例1:单交换机基于端口的:单交换机基于端口的VLAN配置配置需要配置内容如下(假设所有需要配置内容如下(假设所有H为为VLAN非知晓的)非知晓的) VLAN VLAN交换机交换机 1 2 3 4 51 2 3 4 5 H1 H1 H2 H2 H3 H3 H4 H4 H5 H5 V2 V2 V3 V3portPort modeVLAN IDFrame type1、2、34、5accessaccessVLAN2VLAN3Untagged(default)Untagged(default)案例案例2:VLAN中继配置中继配置n 交换机交换机1 port5 和交换机和交换机2 port 3分别设置为:分别设置为:trunk mode ,VLAN2和和3 ,tagged(默认),(默认),( trunk protocol )n 两交换机其他端口设置,请自己分析完成两交换机其他端口设置,请自己分析完成n注意:主干链路必须配置需要中继的所有注意:主干链路必须配置需要中继的所有VLAN ID 图中如只配置图中如只配置VLAN2,则,则H6将不能与将不能与H1和和H2通信通信VLAN3Access linkTrunk linkH2H1H3VLAN交换机交换机1H4VLAN2H5VLAN交换机交换机2H612345312不同商家交换机互连,必不同商家交换机互连,必须设置为须设置为802.1Q。 如思科交换机默认为如思科交换机默认为ISL,ISL,而非而非802.1Q802.1Q。 35 lxm特殊案例:特殊案例:access link 站点属于多个站点属于多个VLAN需要配置内容如下(假设所有需要配置内容如下(假设所有H为为VLAN非知晓的)非知晓的) VLAN VLAN交换机交换机 1 2 3 1 2 3 4 4 5 5 H1 H1 H2 H2 H3 H3 H4 H4 H5 H5 V2 V2 V3 V3portPort modeVLAN IDFrame type1、2、34multiVLAN2、3Untagged5accessaccessVLAN2VLAN3Untagged(default)Untagged(default)nMulti端口端口 厂商为了应用方便推出的技术,得到多厂商支持n基本特性:一个端口位于多个基本特性:一个端口位于多个VLAN 注意:破坏了VLAN严格的逻辑隔离性能n可用于:一台服务器为多个可用于:一台服务器为多个PC机服务机服务36 lxm7.6 VLAN之间的通信之间的通信nVLAN之间的通信之间的通信n不同不同VLAN之间不能直接通信之间不能直接通信n交换机逻辑隔离各个交换机逻辑隔离各个VLANnVLAN间的通信,通常在间的通信,通常在L2以上处理以上处理n使用路由设备在使用路由设备在L3实现实现VLAN间路由间路由n使用应用层网关使用应用层网关nVALN间路由示例如后间路由示例如后37 lxm路由器多个端口实现路由器多个端口实现VLAN间通信间通信n路由器路由器R是一个是一个VLAN 非知晓设备非知晓设备n不知道不知道VLAN的存在的存在n也不知道这两个也不知道这两个VLAN来自同一个交换机来自同一个交换机n各个端口连接的是不同的各个端口连接的是不同的IP子网子网n应用中,路由器的一个端口连接一个应用中,路由器的一个端口连接一个VLANn为了路由,每为了路由,每个个VLAN均设置为一个均设置为一个IP子网子网n通过路由互连了通过路由互连了VLANVLAN2VLAN3VLANVLAN交交换换机机R R192.168.1.0192.168.1.0192.168.2.0192.168.2.0f0/1f0/1f0/2f0/2Access link路由器(或路由器(或L3交换机)一个端口实现交换机)一个端口实现VLAN间通信间通信n多个多个VLAN通过通过trunk链路连接路由器(链路连接路由器(L3交换机)一个端口交换机)一个端口n路由器(路由器(L3交换机)该端口交换机)该端口n具有桥接模块,支持具有桥接模块,支持VLAN trunk功能功能n需要路由的每个需要路由的每个VLAN设置独立的设置独立的IP子网子网n路由器(路由器(L3交换机)的交换机)的f0/1口知晓口知晓VLAN存在存在nf0/1.1子接口对应子接口对应VLAN2,f0/1.2子接口对应子接口对应VLAN3n各各VLAN的端站的端站IP网关分别指向所属网关分别指向所属VLAN的子接口的子接口VLAN2VLAN3VLANVLAN交交换换机机L3L3SWSW192.168.1.0192.168.1.0192.168.2.0192.168.2.0f0/1f0/1trunk link(VLAN2、VLAN3f0/1.2f0/1.2192.168.2.1192.168.2.1f0/1.1192.168.1.139 lxmVLAN与与IP子网的讨论子网的讨论nVLANn通过通过L2交换机划分,是交换机划分,是L2层概念层概念nVLAN是逻辑网络是逻辑网络n交换机逻辑隔离各个交换机逻辑隔离各个VLANn不同不同VLAN的成员之间不能直接通信的成员之间不能直接通信nIP子网子网n通过通过L3交换机或路由器划分,是交换机或路由器划分,是L3层概念层概念n当当VLAN间需要路由时间需要路由时n每个每个VLAN必须对应设置一个独立的必须对应设置一个独立的IP子网子网n这完全是因为路由的需要!这完全是因为路由的需要!n但一个但一个VLAN并非就是一个并非就是一个IP子网!子网!40 lxm7.7以太网与以太网与VLAN技术在城域网中的扩展技术在城域网中的扩展n问题的提出问题的提出n7.7.1 802.1adn7.7.2 802.1ah41 lxm7.7 VLAN与以太网技术在城域网中的扩展与以太网技术在城域网中的扩展问题的提出问题的提出n技术发展促进技术发展促进VLAN和以太网技术向城域应用发展和以太网技术向城域应用发展n然而然而nVLAN和以太网技术原本是针对局域网环境的和以太网技术原本是针对局域网环境的n无法满足电信级运营的城域网要求,如:无法满足电信级运营的城域网要求,如:nVLAN数量的限制数量的限制n用户网络与运营商网络的隔离用户网络与运营商网络的隔离nQoS保障保障nn于是,于是,802委员会提出了两个新的规范委员会提出了两个新的规范n802.1adn802.1ah42 lxm7.7.1 802.1ad(Q in Q技术)技术)n802.1ad技术的引入技术的引入n802.1ad的基本思想的基本思想n802.1ad的网络结构的网络结构n802.1ad的协议格式的协议格式43 lxm7.7.1 802.1ad(Q in Q技术)技术)802.1ad技术的引入技术的引入n802.1Q VLAN技术用于城域网存在先天不足技术用于城域网存在先天不足nVLAN数量最多数量最多4094个个n用户与运营商统一划分用户与运营商统一划分VLAN,无法隔离,无法隔离n用户数量受制约、存在安全隐患等用户数量受制约、存在安全隐患等n为解决为解决802.1Q的上述问题,提出的上述问题,提出802.1adn802.1ad于于2006年年5月发布月发布44 lxm802.1ad技术的基本思想技术的基本思想n802.1ad是基于是基于802.1Q技术提出的技术提出的n基本思想:基本思想:n定义运营商网桥及运营商桥接定义运营商网桥及运营商桥接LANn运营商桥接运营商桥接LAN与用户与用户LAN完全独立完全独立n运营商和用户分别独立管理各自的网络运营商和用户分别独立管理各自的网络n运营商网络:运营商网络:802.1adn用户网络:用户网络:802.1Qn使运营商服务使运营商服务VLAN与用户与用户VLAN完全独立完全独立n采用采用Q in Q技术,通过运营商网络实现用户技术,通过运营商网络实现用户VLAN流量在流量在城域内的透明传输城域内的透明传输nQ in Q: 在在802.1Q加标帧基础上在加封一个加标帧基础上在加封一个802.1ad的标志头的标志头802.1ad的网络结构的网络结构802.1 Q加标帧加标帧PBVLAN10SW区域区域A1:用户:用户A LAN运营商桥接运营商桥接 LAN(PB:运营商网桥):运营商网桥)PBPBPBPBVLAN10SWVLAN20VLAN20SW区域区域A2:用户:用户A LAN区域区域A3 用户用户A LAN802.1adQ in Q加标帧加标帧802.1 Q加标帧加标帧802.1 Q加标帧加标帧用户用户1 LAN用户用户1 LAN用户用户2 LAN用户用户2 LAN运营商桥接运营商桥接 LAN802.1ad用户用户 LAN: 传送传送802.1Q加标帧加标帧运营商运营商LAN: 传送传送Q in Q加标帧加标帧46 lxm802.1ad的的 协议格式协议格式nC-tag: 用户用户VLAN标志,标志,Q in Q 加标帧的内层标志,加标帧的内层标志, 即即802.1Q的加标帧头的加标帧头 nS-tag:运营商:运营商VLAN 标志,标志, Q in Q 加标帧的外层标志,加标帧的外层标志, 即即802.1ad的加标帧头的加标帧头47 lxm7.7.2 802.1ah(MAC in MAC技术)技术)n802.1ah技术的引入技术的引入n802.1ah的基本思想的基本思想n802.1ah的网络结构的网络结构48 lxm7.7.2 802.1ah(MAC in MAC技术)技术)802.1ah技术的引入技术的引入n802.1ad技术用于城域网的局限性技术用于城域网的局限性n虽然能够隔离用户虽然能够隔离用户VLAN和运营商和运营商VLAN n但运营商网桥仍会学习用户但运营商网桥仍会学习用户MAC地址,运营商不地址,运营商不能隔离用户能隔离用户MACn运营商运营商VLAN ID 为为12位,运营商的服务位,运营商的服务VLAN 数数受限,不利规模发展受限,不利规模发展n为解决为解决802.1ad的上述问题,提出的上述问题,提出802.1ah草案草案49 lxm802.1ah技术的基本思想技术的基本思想n802.1ah是基于是基于802.1ad技术提出的技术提出的n基本思想:基本思想:n定义运营商主干网桥、运营商主干桥接定义运营商主干网桥、运营商主干桥接LAN、主干、主干MAC 地址(地址(B-MAC)、主干、主干VLAN(B-VLAN)nMAC in MAC:在:在Q in Q加标基础再次加标加标基础再次加标n不仅使运营商桥接不仅使运营商桥接LAN与用户与用户LAN完全独立,并使运营完全独立,并使运营商商MAC 与用户与用户MAC完全隔离,实现运营商网络与用户网完全隔离,实现运营商网络与用户网络独立寻址络独立寻址n层次性层次性MAC结构克服了平面型结构克服了平面型MAC可能带来的大范围广可能带来的大范围广播风暴。该技术将服务实例由播风暴。该技术将服务实例由802.1ad的的212提高到提高到22450 lxm802.1ah的网络结构的网络结构运营商桥接运营商桥接 LAN(802.1ad)用户用户ALAN运运营营商商主主干干桥桥接接 LAN(802.1ah)运营商桥接运营商桥接 LAN(802.1ad)用户用户CLAN用户用户BLAN用户用户ALAN运营商桥接运营商桥接 LAN(802.1ad)运营商桥接运营商桥接 LAN(802.1ad)用户用户CLAN用户用户ALAN用户用户BLAN用户用户VLAN帧:帧:802.1Q加标帧加标帧Q-in-Q加标帧加标帧MAC-in-MAC加标帧加标帧5151 lxmlxm5.2 802.1ah(MAC in MAC)n802.1ah定义了定义了n运营商主干网桥运营商主干网桥PBBnProvider Backbone Bridgen运营商主干传送网运营商主干传送网PBTnProvider Backbone Transportn主干主干MAC 地址(地址(B-MAC)n BDA BSAn主干主干VLAN(B-VLAN)PayloaPayload dPayloadPayloadPayloaPayload dC-VIDC-VIDC-VIDC-VIDVIDVIDS-VIDS-VIDS-VIDS-VID SA SA SA SA SA SA DA DA DA DA DA DA802.1Q802.1Q802.1ad802.1adI-SIDI-SIDB-VIDB-VIDB-SAB-SAB-DAB-DA802.1ah5252 lxmlxm5.2 802.1ah(MAC in MAC)n运营商主干网桥运营商主干网桥PBBn取消原有桥接网中的某些不安全机制取消原有桥接网中的某些不安全机制n洪泛转发:洪泛转发:取消取消nDA不明帧:丢弃,不洪泛转发不明帧:丢弃,不洪泛转发nMAC自学习功能:自学习功能:关闭关闭n地址配置:预先配置,而非源地址学习地址配置:预先配置,而非源地址学习n配置在管理平面实现,并逐渐交由控制平面配置在管理平面实现,并逐渐交由控制平面n组播功能:关闭、丢弃组播组播功能:关闭、丢弃组播/广播帧广播帧n环路阻止协议:关闭(例如环路阻止协议:关闭(例如STP、RSTP)5353 lxmlxm5.2 802.1ah(MAC in MAC)n运营商主干传送网运营商主干传送网PBT中的转发中的转发n数据帧的转发路径:数据帧的转发路径:预指配预指配!n转发判据:外层的转发判据:外层的MAC和和VIDnBDA+BVIDn兼容传统以太网桥架构兼容传统以太网桥架构n用户数据帧无需要修改用户数据帧无需要修改n主干数据帧具有标准的以太帧格式主干数据帧具有标准的以太帧格式n中继节点无需更新即可基于(中继节点无需更新即可基于(BDA+BVID)转发数据帧)转发数据帧n转发效率高、设备成本低转发效率高、设备成本低54 lxm 本章知识要点小结本章知识要点小结 理解划分理解划分VLANVLAN的原因与目的的原因与目的 理解理解VLANVLAN概念概念 组建组建VLANVLAN的条件的条件 基于端口基于端口VLANVLAN的特点的特点 VLAN VLAN的特点的特点 理解理解VLANVLAN交换机如何处理帧交换机如何处理帧(能根据实际情况进行分析)(能根据实际情况进行分析) VLAN VLAN知晓设备与知晓设备与VLANVLAN未知设备未知设备 理解理解VLANVLAN之间如何才能实现通信之间如何才能实现通信 主干链路、访问链路主干链路、访问链路 加标帧及作用加标帧及作用
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号