《VLAN基本概念.doc》由会员分享,可在线阅读,更多相关《VLAN基本概念.doc(11页珍藏版)》请在三一文库上搜索。
1、VLAN(Virtual Local Area Network)技术的基本概念和应用1什么是 VLAN?VLAN 是虚拟局域网的英文缩写,是基于一个广播域的交换机端口的集合。 IEEE 802.1Q 标准定义了 VLAN的基本概念和实现原理。VLAN 的主要作用是隔离广播域。将一个物理网络划分成多个逻辑上的 VLAN,可以将一个广播域划分成多个小的广播域,每个 VLAN对应一个小的广播域,一个 VLAN中的广播不能传播到其他的 VLAN,这样有效地控制广播风暴的发生。VLAN可分为:基于端口的 VLAN、基于 MAC地址的 VLAN、基于 IP 地址的 VLAN、基于 IP 子网的 VLAN、
2、基于协议的VLAN和用户自定义的 VLAN。其中最常用的也是最基本的是:基于端口的 VLAN,它按照接收端口来确定一个数据包的 VLAN属性。VLAN 的属性是指:当一个交换机端口接收到一个数据包时,确定这个数据包属于哪个 VLAN。2 VLAN的主要功能通过 VLAN可以非常灵活地将一个物理网络按照需求划分成多个逻辑子网。例如,某公司由于各部门的业务不同以及安全的需求,可以按照市场部、工程部、财务部将公司的网络划分成三个不同的 VLAN,各部门不能直接访问,下面是一个使用 cisco 交换机组网的例子:在这个网络中,一个部门网络的成员可以在不同的楼层,可以与不同的交换机端口相连,组网方式非常
3、灵活。通过把公司网络划分成三个 VLAN,广播报文只限制在一个VLAN内传播,大大提高了网络的使用效率。简化端站的移动、增加与更换。当一台终端站被移动到新的物理位置,它的属性可以从一台管理工作站上通过简单网络管理协议(SNMP)或用户接口菜单重新分配。若端站在同一VLAN中移动,在新的位置它将保持原有的属性。若端站移动到不同的 VLAN,那它将被赋予新的 VLAN 的属性。网络安全。把一个物理网络划分成若干个 VLANs,每个VLAN中的广播只能在本 VLAN所属的交换机端口传播, 提高整个网络的安全性。3 VLAN的实现IEEE 802.1Q 标准定义了动态实现 VLAN的机制。这里不作介绍
4、。为了实现VLAN, IEEE 802.1Q标准定义了一种新的帧格式。它在标准的以太网帧的源MAC地址后面加入了一个Tag header (4 字节),此格式用下图表示:DASATypeDataCRC标准以太网帧DASATagTypeDataCRC0x81PriorVLAN ID00CFIityIEEE 802.1Q标准帧格式其中:DA目的 MAC地址;SA源 MAC地址;Data帧中所携带的用户数据;CRC循环冗余校验;Priority用户优先级;VLAN ID用来标识一个VLAN的 ID 号,取值范围:14094。在帧中加入 tag的目的是为了携带 VLAN信息,表明这个数据帧属于哪个VL
5、AN,即确定数据帧的属性。VLAN中端口成员的确定:VLAN端口成员的确定与VLAN的类型有关。分为基于端口的 VLAN和基于策略的 VLAN。基于策略的 VLAN 又分为基于 MAC 地址的 VLAN、基于协议的VLAN、基于 IP 子网的 VLAN、用户自定义VLAN。对于基于端口的VLAN,属于这个 VLAN的端口都被网络管理软件明确配置为这个VLAN的成员。对于基于策略的 VLAN,VLAN中的成员端口既可以由软件明确指定某一端口固定属于某一 VLAN,也可以由软件将某一端口设为该 VLAN的潜在的成员。对于潜在的成员,需根据该 VLAN的类型确定一些具体的策略。路由交换机监视从该端口
6、进入的数据包,如果数据包满足策略要求的条件,则该端口成为该 VLAN的临时成员。 路由交换机继续监视该端口,如果在一定时间内没有收到满足该条件的数据包。将该端口从中删除。对于基于MAC地址的 VLAN,路由交换机需要保持一个对该VLANVLAN的MAC地址表。对于其它几种类型的VLAN,路由交换机也需要根据具体VLAN类型确定该种 VLAN所需策略。确定数据包的VLAN属性对于带有802.1Q Tag 的数据包,则直接根据数据包中所带标记确定其VLAN属性。对于未带有Tag 的数据包,则交换机根据数据包内容和各VLAN具体规则确定其所属VLAN。VLAN成员端口属性VLAN 成 员 端 口 分
7、 为 带 标 记 (tagged)与 不 带 标 记(untagged)。可以通过网管来设置端口为带标记端口。一般当端口连接的设备支持 802.1Q 标准时将端口设置为带标记端口;否则当端口连接的设备不支持 802.1Q 时,设置端口为不带标记端口。1) 带标记端口带标记端口即从该端口发出的所有数据包都必须带有该数据包所属 VLAN标记。可设置该端口在接收数据包时是否丢弃不带标记的数据包或按各VLAN 具体规则确定其所属VLAN。同时判断从本端口收发的数据包所属 VLAN是否为本端口所属 VLAN,若不是,则需决定是否丢弃该数据包。2) 不带标记端口不带标记端口即从该端口发出的所有数据包都不能
8、带有该数据包所属 VLAN标记。可设置该端口在接收数据包时是否丢弃带标记的数据包或按标记确定其VLAN属性。同时判断从本端口收发的数据包所属 VLAN是否为本端口所属 VLAN,若不是,则需决定是否丢弃该数据包。4下面通过张宏的组网方案来进一步说明 VLAN的功能及应用中须注意的问题。5 VLAN Routing 的概念和基本原理1) VLAN Routing 的基本概念由于在交换机中引入了VLAN 的概念,通过在网络中划分 VLAN 可以实现广播域的隔离,大大提高了网络的性能,但是却限制了一个 VLAN中的用户访问其他 VLAN中的用户。由于 VLAN 是第二层的技术,它在选路时使用的是以太
9、网的MAC地址,所以没有办法实现 VLAN之间的互访问。 为解决这个问题,借鉴路由器的功能,引入 VLAN 间路由(三层交换机)功能。路由交换机完成线速第三层交换采用的是一种“一次路由,多次交换”的思想。“一次路由”是指当第一次对此报文进行选路时,交给 CPU中运行的路由协议(如: OSPF, RIP)来运算并给出路由信息,然后将此路由信息存储在交换芯片的 CACHE表中,当发往该目的 IP 地址的报文再次进行路由时,由于CACHE表中已经有了该目的IP 地址,因此数据包可以直接由硬件按照 CACHE中该目的 IP 路由进行交换,以达到线速交换。2) VLAN间路由的具体实现过程在交换机中的路
10、由是指 VLAN之间进行路由。 每个 VLAN 都可以配置一个或多个接口 IP 地址和 MAC地址对,每个接口等同于路由器的接口。 VLAN之间路由是指在 VLAN的接口间进行路由。其路由原理与路由器一样。路由过程如下:对于从外部进入的数据包, 路由交换机首先检查是否为路由交换机自已的独立端口或 VLAN接口的 MAC地址。如果是,则交由第三层软、硬件联合进行第三层交换。否则进行第二层硬件交换。对于交由第三层处理的数据包,交换芯片首先在 CACHE的主机路由表中查找该数据包的目的 IP 地址是否存在,如果存在则按相应端口转发;如果不存在,则查找网络路由CACHE表,如果有相应的路由,则按路由转
11、发;如果该地址不存在,则交换芯片将该数据发往CPU,由路由协议软件按常规路由处理方法对该数据包进行处理。当软件处理完该数据包的选路事项后,将该数据包发往正确的端口。同时在 ASIC 的 CACHE表中填入一项。当下一次发往该目的 IP 地址的数据包再次出现后,由于 CACHE表中已经有了该目的 IP 路由,因此数据包可以直接由硬件按照 CACHE中该目的 IP 地址项进行交换,达到线速转发的目的。下面,通过一个例子来说明VLAN 间路由的具体实现过程。一个 24 端口三层交换机,将112 端口划分为VLAN 2,将 1324 端口划分为 VLAN 3,缺省 VLAN为 VLAN1。为 VLAN
12、2 配置一个接口,IP地址为 10.0.0.1 ,子网掩码为255.255.0.0 ;为 VLAN3 配置一个接口, IP 地址为 20.0.0.1 ,子网掩码为 255.255.0.0。端口 1 连接一个主机, IP地址为10.0.0.2 ,缺省网关为VLAN 2 的接口 IP 地址。端口21 连接一个主机, IP 地址为20.0.0.2 ,缺省网关为 VLAN 3 的接口 IP 地址。1三层交换机21二层交换机 1二层交换机 2主机1主机2数据包的传递过程(以第一次路由为例):i. 当主机 1 向主机 2 发送数据时, 由于主机 2 的 IP 地址与主机 1 的 IP 地址不在一个网段内,
13、 所以主机 1 向它的缺省网关发送目的 IP 地址为 VLAN2 接口 IP 地址的 ARP报文,二层交换机 1 接收 ARP报文后向 VLAN2 除接收端口外其他所有成员端口转发。ii.三层交换机从二层交换机 1 的级联端口接收到此 ARP报文,然后返回 VLAN 2 接口的 MAC地址。iii. 二层交换机将三层交换机返回的报文,线速转发给与主机 1 相连的端口,即将转发给主机1。iv. 主机 1 按照返回的 MAC地址,向 VLAN2 的接口发送数据包。v. 交换机接收到数据包后查找主机路由 CACHE表以及网络路由 CACHE表,看有没有主机 2 的路由。没有则提交给CPU,由路由算法
14、来计算路由,计算结果为VLAN 3 的接口所在网段,于是交由VLAN 3 的接口进行转发。vi.VLAN3 的接口如果不知道主机2 的 MAC地址,则向VLAN3 的所有成员端口发送目的IP 地址为主机2 IP地址的ARP报文。二层交换机2 接收到此ARP报文后向除级联端口外的所有端口转发。主机2 接收后,返回自己的 MAC地址。vii. 二层交换机 2 进行学习后,将主机 2 返回的报文转发给三层交换机viii.VLAN 3 的接口按照返回的主机2 的 MAC地址,将数据包从与交换机2 所连的端口发送出去。注意:VLAN 3 的接口在发送主机1 发来的数据包时,包中的源MAC地址为VLAN 3 接口的 MAC地址。ix.交换机 2 再将此数据包线速转发给主机2x. 于是,主机 2 便接收到主机 1 发送来的数据包。xi.xii.xiii.xiv. (范文素材和资料部分来自网络, 供参考。可复制、编制,期待你的好评与关注)xv.