VLAN培訓文檔

1、VLAN 培訓 張杰概要o交換工作原理oVLAN技術產(chǎn)生背景.oVLAN技術的特點.oVLAN技術的實現(xiàn).oVLAN技術的應用.oVLAN的數(shù)據(jù)轉發(fā).要掌握的知識o為什么要用VLAN?oVLAN是怎么實現(xiàn)的?oVLAN是怎么轉發(fā)數(shù)據(jù)的?oVLAN是怎么維護轉發(fā)表的?交換基礎知識MAC轉發(fā)表共享式MAC表.交換機轉發(fā)過程.沖突域o在以太網(wǎng)中，如果某個CSMA/CD網(wǎng)絡上的兩臺計算機在同時通信時會發(fā)生沖突，那么這個CSMA/CD網(wǎng)絡就是一個沖突域。如果以太網(wǎng)中的各個網(wǎng)段以中繼器連接，因為不能避免沖突，所以它們仍然是一個沖突域。o使用交換機可有效避免沖突。而集線器則不行！因為交換機可以利用物理地址進

2、行選路，它的每一個端口為一個沖突域。而集線器不具有選路功能，只是將接受到的數(shù)據(jù)以廣播的形式發(fā)出，極其容易產(chǎn)生廣播風暴。它的所有端口為一個沖突域。o沖突域是基于第一層（物理層）廣播域o廣播域(Broadcast Domain)是一個邏輯上的計算機組,該組內的所有計算機都會收到同樣的廣播信息。o廣播域是基于第二層（數(shù)據(jù)鏈路層） 廣播域就是說如果站點發(fā)出一個廣播信號后能接收到這個信號的范圍。通常來說一個局域網(wǎng)就是一個廣播域。 HUB 所有端口都在同一個廣播域，沖突域內。 Switch所有端口都在同一個廣播域內，而每一個端口就是一個沖突域。 Router的每個端口屬于不同的廣播域。 共享式網(wǎng)橋交換機路

3、由器VLAN產(chǎn)生背景路由器隔離VLAN的出現(xiàn)VLAN的出現(xiàn)什么是VLANo虛擬局域網(wǎng)（VLANVirtual Local Area Network）邏輯上把網(wǎng)絡資源和網(wǎng)絡用戶按照一定的原則進行劃分，把一個物理上實際的網(wǎng)絡劃分成多個小的邏輯的網(wǎng)絡。這些小的邏輯的網(wǎng)絡形成各自的廣播域，也就是虛擬局域網(wǎng)VLAN。圖中幾個部門都使用一個中心交換機，但是各個部門屬于不同的VLAN，形成各自的廣播域，廣播報文不能跨越這些廣播域傳送。VLAN隔離廣播域VLAN的優(yōu)勢o虛擬局域網(wǎng)將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成一個局域網(wǎng)內，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內終端系統(tǒng)的互聯(lián)。VL

4、AN與傳統(tǒng)的LAN相比，具有以下優(yōu)勢：減少移動和改變的代價o即所說的動態(tài)管理網(wǎng)絡，也就是當一個用戶從一個位置移動到另一個位置是，他的網(wǎng)絡屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡給網(wǎng)絡管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡，這種前景是非常美好的。 當然，并不是所有的VLAN定義方法都能做到這一點；虛擬工作組o使用VLAN的最終目標就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個部門的就好像在同一個LAN上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個人如果從一個辦公地點換到另

5、外一個地點，而他仍然在該部門，那么，該用戶的配置無須改變；同時，如果一個人雖然辦公地點沒有變，但他更換了部門，那么，只需網(wǎng)絡管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態(tài)的組織環(huán)境，當然，這只是一個理想的目標，要實現(xiàn)它，還需要一些其他方面的支持；提高網(wǎng)絡性能 o有效地解決了廣播風暴帶來的性能下降問題。一個VLAN形成一個小的廣播域，同一個VLAN成員都在由所屬VLAN確定的廣播域內，那么，當一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機的端口，這樣，就將數(shù)據(jù)包限制到了一個VLAN內。在一定程度上可以節(jié)省帶寬；提高網(wǎng)絡安全 o在傳

6、統(tǒng)的局域網(wǎng)中，不時的會有些第三數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡上，從而有可能造成信息泄密。在這種情況下，確定誰可以訪問到這些數(shù)據(jù)就得很重要。使用VLAN技術可以將敏感數(shù)據(jù)的傳播限制在安全范圍內，只允許已定義的VLAN成員訪問相關數(shù)據(jù)。VLAN還可被用來設立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡入侵事件通知到網(wǎng)絡管理者等，這些都可以提高網(wǎng)絡的安全系數(shù)。 減少設備投資 oVLAN技術可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設備的投資。VLAN的劃分方法o基于端口劃分o基于MAC地址劃分o基于網(wǎng)絡層劃分o基于IP組播劃分o基于策略劃分o基于用戶定義、非用戶授權劃分強化VLAN概念V

7、LAN的實現(xiàn)oVLAN在IEEE 802.1Q中定義.通過在數(shù)據(jù)幀上加入一個tag標簽(4字節(jié))來實現(xiàn)的.這四個字節(jié)的802.1Q標簽頭包含了2個字節(jié)的標簽協(xié)議標識（TPID）和2個字節(jié)的標簽控制信息（TCI）。TAG字段說明oTPID : Tag Protocol Identifier. 表明這個幀是802.1Q規(guī)定的Tagged Frame. 它的值取決于MAC層.對于以太網(wǎng)來說,TPID由2個字節(jié)組成., TPID=8100.oPriority由3位組成,可以表示8個級別,用來封裝User Prioriy. 供QoS使用.oCFI 占1位,為0表示規(guī)范格式,為1表示非規(guī)范格式.TAG字段

8、說明oVLAN ID占12位,除去全0和全1的能創(chuàng)建4094個VLAN.oCRC值會在加入tag后重新計算,去處tag的時候也會再計算.o而采用ISL(cisco)封裝的話,是直接加上一個26字節(jié)的包頭,再加上一個CRC.去除的時候不用重新計算.o包分析TAG與UNTAGo針對出數(shù)據(jù).oTAG模式時出數(shù)據(jù)會帶TAG.oUNTAG模式時出數(shù)據(jù)會去掉TAG.oTAG模式 往往用在鏈路存在多個VLAN數(shù)據(jù)時使用.(trunk 模式)oUNTAG往往用于與終端機鏈接.(access模式)PVIDoPvid (Port Vlan Identifier).每個端口可以加入多個VLAN,但只能有一個PVID

9、. PVID是跟端口關聯(lián)的VID,它的取值范圍也是1-4094. 默認是1.當端口收到Untagged Frame或者Priority Frame時,就添加Tag, 并在其中的VID字段中封裝PVID. 對于Tagged Frame則沒有任何影響. 收包o接收過程:o可以接收帶標簽頭的,也可以是不帶標簽頭的.如果不帶,交換機會根據(jù)端口所配置的PVID,來添加響應的標簽頭.o學習SMAC查詢o查詢/轉發(fā)過程:o根據(jù)收到數(shù)據(jù)的DMAC和VLAN標識,查找過濾數(shù)據(jù)庫中的注冊信息,以決定從哪個端口發(fā)出.轉發(fā)o發(fā)送過程:o如果過濾表中沒有相關表項,則在VLAN內廣播該數(shù)據(jù).o根據(jù)端口屬性(tagged/untagged),來界定是否拿掉標簽頭強化實現(xiàn)原理舉例oPC1,PC2和服務器在3個不同的VLAN,PC1和PC2之間不能通信,PC1和PC2都可以和服務器通信.Tag/untag 與pvidTOP: DUT1(1/1)-(1/2)DUT2o都加入 vlan 100 TAGo都加入 vlan 100 Untagged o1/1加入vlan 100 Tag , 1/2 untaggedo1/1 vlan 100,1/2 vlan 200 o o 配