以太网交换机基础培训教材
旁就可以了解到其它合作者的开放情况。另外,VLAN为我们带来了巨大的灵活性。当有实际需要时,一个虚拟工作组可以应运而生。当项目结束后,虚拟工作组又可以随之消失。这样,无论是对用户还是对网络管理者来说,VLAN都是十分吸引人了。
(3)安全性
由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,从而就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密
(4)减少移动和改变的代价
即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。当然,并不是所有的VLAN划分方法都能做到这一点。
3.2.2 VLAN的划分
(1) 根据端口定义
许多VLAN设备制造商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。如图10,交换机上的端口被划分成了“工程部”、“市场部”、“销售部”三个VLAN。这样可以允许VLAN内部各端口之间的通信。
图 10 基于端口VLAN的划分
按交换机端口来划分VLAN成员,其配置过程简单明了。因此迄今为止,这仍然是最常用的一种方式。但是,这种方式不允许多个VLAN共享一个物理网段或交换机端口,而且,如果某一个用户从一个端口所在的虚拟局域网移动到另一个端口所在的虚拟局域网,网络管理者需要重新进行配置,这对于拥有众多移动用户的网络来说是难以实现的。
(2)根据MAC地址划分VLAN
Page 16 , Total 48 第16页,共48页
以太网交换机基础培训教材
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置
他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
(3) 根据网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,
虽然这种划分方法可能是根据网络地址,比如IP地址,但它不是路由,不要与网络层的路由混淆。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置他所属的VLAN,而且可以根据
协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的(相对于前面两种
方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这也跟各个厂商的实现方法有关。
(4)IP组播作为VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法
将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,对于局域网的组播,有二层组播协议GMRP。
(5)基于组合策略划分VLAN
即上述各种VLAN划分方式的组合。应该说,目前很少采用这种VLAN划分方式。
3.2.3 VLAN的标准
目前已提出的VLAN标准有两种。一种是802.10 VLAN标准,Cisco公司在1995年提出,另外就是802.1Q,是IEEE执行委员会于1996年下半年才开始制定的一种VLAN互操作性标准。本文仅对802.1Q标准进行介绍。
Page 17 , Total 48 第17页,共48页
以太网交换机基础培训教材
Dest Src Len/Etype Data FCS 6 Dest 6 Src 2 2 2 ... 4 Data FCS Etype p/Q Label Len/Etype VLAN-ID Token-Ring Encapsulation Flag
图 11 802.1Q VLAN帧格式
VLAN-ID and T-R Encaps Flag are .1Q, not .1p VLAN ID:0-4095
802.1Q的VLAN帧格式参见图11,就是在原来以太网帧的源MAC地址之后加入了4个字节的VLAN TAG Header。其中,前两个字节Etype为固定值0x8100;后两个字节为802.1p/Q Label,即802.1P优先级和VLAN ID的定义。802.1P优先级为高3位,即优先级0-7;VLAN ID为后12位,即ID的范围为0-4095。
通过设定连接交换机之间的链路为支持传送VLAN Tag Header的Trunk链路,我们就可以很容易实现前面提到的虚拟工作组功能,如图12。交换机A、B上的端口分别属于工程部、市场部、销售部,通过Trunk链路可以使得分别接在交换机A、B上的工程部用户之间进行通信;市场部、销售部的用户也是如此。
图 12 Trunk链路实现虚拟工作组
Page 18 , Total 48 第18页,共48页
以太网交换机基础培训教材
一般来说,目前工作站和用户终端都是不支持识别VLAN的。因此,在由VLAN构建的二层交换网络中,存在两种类型的链路:
?
Access链路……用于接入用户终端和工作站 ? 连接Access链路的交换机端口称为Access端口 ? 帧在Access链路上转发不带VLAN Tag
? 交换机Access端口接收到以太网帧后,按照端口所在VLAN加上VLAN Tag,然后进行
转发
? 帧从Access端口发送出去,帧中的VLAN Tag会被去掉 ?
Trunk链路……用于交换机之间级联,允许不同设备间相同VLAN内用户通信。 ? 连接Trunk链路的交换机端口称为Trunk端口
? 帧在Trunk链路上转发带VLAN Tag,因此允许多个VLAN的帧在Trunk链路上转发 ? 交换机Trunk端口接收到以太网帧后,需要判断该Trunk端口是否允许帧中VLAN ID对
应的VLAN通过。若允许,则进行转发;否则要直接丢弃该帧 ? 帧从Trunk端口发送出去,VLAN Tag一般不会被去掉
3.2.4 支持VLAN交换机的转发流程
支持VLAN交换机转发流程与普通交换机转发流程最大的区别在于:报文在支持VLAN交换机内转发时都是带着VLAN Tag进行的。也就是说,转发过程中要根据MAC地址查找出端口外,还需要判断VLAN ID的信息。因此,支持VLAN交换机交换引擎与一般交换机有所不同,如下图所示。
MACMACMACMACMACMAC 二层交换引擎L2FDBL2FDBL2FDB 图 13 支持VLAN交换机交换引擎
VLAN交换机的转发流程和ASIC 选择的MAC地址学习方式有紧密的联系。目前,支持VLAN的
Page 19 , Total 48 第19页,共48页
以太网交换机基础培训教材
交换机有两种地址学习方式,分别为IVL(Independent VLAN Learning)和SVL(Shared VLAN Learning)。两种方式的区别如下,参见图14:
MAC1 VLAN1 PORT1 MAC2 VLAN1 PORT2 MAC2 VLAN2 PORT3 MAC3 VLAN3 PORT3 MAC1 VLAN1 PORT1 MAC2 VLAN2 PORT2 MAC3 VLAN3 PORT3 IVL
图 14 IVL和SVL地址学习方式
SVL
? 在IVL方式下: 每个VLAN都有自己的对应的MAC地址表(抽象的概念并不是物理的),相互之间没有影响。一个MAC地址可以被学习到不同的VLAN中,因此对一个用户来说如果属于多个VLAN,那么每个VLAN内的信息都需要重新学习。
? 而SVL方式下,一个地址表项对所有的VLAN都通用,表中的MAC用户不能有重复。
下面分别介绍两种地址学习方式下的转发流程。 ?
IVL地址学习方式(参见图15)
1)根据帧内Tag Header的VLAN ID查找L2FDB表,确定查找的范围; 2)根据目的MAC查找出端口,图中应该从端口2转发出去;
如果在L2FDB表中查找不到该目的MAC,则该报文将通过广播的方式在该VLAN内所有 端口转发;
同时该以太网帧的源MAC将被学习到接收到报文的端口上,即端口1(VLAN 2);L2FDB 表中的MAC地址通过老化机制更新;
3) 在转发的过程中,不会对帧的内容进行修改。
Page 20 , Total 48 第20页,共48页
以太网交换机基础培训教材 - 图文
