VLAN培訓(xùn)文檔

1、VLAN 培訓(xùn) 張杰概要o交換工作原理oVLAN技術(shù)產(chǎn)生背景.oVLAN技術(shù)的特點(diǎn).oVLAN技術(shù)的實(shí)現(xiàn).oVLAN技術(shù)的應(yīng)用.oVLAN的數(shù)據(jù)轉(zhuǎn)發(fā).要掌握的知識(shí)o為什么要用VLAN?oVLAN是怎么實(shí)現(xiàn)的?oVLAN是怎么轉(zhuǎn)發(fā)數(shù)據(jù)的?oVLAN是怎么維護(hù)轉(zhuǎn)發(fā)表的?交換基礎(chǔ)知識(shí)MAC轉(zhuǎn)發(fā)表共享式MAC表.交換機(jī)轉(zhuǎn)發(fā)過程.沖突域o在以太網(wǎng)中，如果某個(gè)CSMA/CD網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)在同時(shí)通信時(shí)會(huì)發(fā)生沖突，那么這個(gè)CSMA/CD網(wǎng)絡(luò)就是一個(gè)沖突域。如果以太網(wǎng)中的各個(gè)網(wǎng)段以中繼器連接，因?yàn)椴荒鼙苊鉀_突，所以它們?nèi)匀皇且粋€(gè)沖突域。o使用交換機(jī)可有效避免沖突。而集線器則不行！因?yàn)榻粨Q機(jī)可以利用物理地址進(jìn)

2、行選路，它的每一個(gè)端口為一個(gè)沖突域。而集線器不具有選路功能，只是將接受到的數(shù)據(jù)以廣播的形式發(fā)出，極其容易產(chǎn)生廣播風(fēng)暴。它的所有端口為一個(gè)沖突域。o沖突域是基于第一層（物理層）廣播域o廣播域(Broadcast Domain)是一個(gè)邏輯上的計(jì)算機(jī)組,該組內(nèi)的所有計(jì)算機(jī)都會(huì)收到同樣的廣播信息。o廣播域是基于第二層（數(shù)據(jù)鏈路層） 廣播域就是說如果站點(diǎn)發(fā)出一個(gè)廣播信號(hào)后能接收到這個(gè)信號(hào)的范圍。通常來說一個(gè)局域網(wǎng)就是一個(gè)廣播域。 HUB 所有端口都在同一個(gè)廣播域，沖突域內(nèi)。 Switch所有端口都在同一個(gè)廣播域內(nèi)，而每一個(gè)端口就是一個(gè)沖突域。 Router的每個(gè)端口屬于不同的廣播域。 共享式網(wǎng)橋交換機(jī)路

3、由器VLAN產(chǎn)生背景路由器隔離VLAN的出現(xiàn)VLAN的出現(xiàn)什么是VLANo虛擬局域網(wǎng)（VLANVirtual Local Area Network）邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個(gè)物理上實(shí)際的網(wǎng)絡(luò)劃分成多個(gè)小的邏輯的網(wǎng)絡(luò)。這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)VLAN。圖中幾個(gè)部門都使用一個(gè)中心交換機(jī)，但是各個(gè)部門屬于不同的VLAN，形成各自的廣播域，廣播報(bào)文不能跨越這些廣播域傳送。VLAN隔離廣播域VLAN的優(yōu)勢(shì)o虛擬局域網(wǎng)將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成一個(gè)局域網(wǎng)內(nèi)，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。VL

4、AN與傳統(tǒng)的LAN相比，具有以下優(yōu)勢(shì)：減少移動(dòng)和改變的代價(jià)o即所說的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)的完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個(gè)用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 當(dāng)然，并不是所有的VLAN定義方法都能做到這一點(diǎn)；虛擬工作組o使用VLAN的最終目標(biāo)就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個(gè)部門的就好像在同一個(gè)LAN上一樣，很容易的互相訪問，交流信息，同時(shí)，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個(gè)人如果從一個(gè)辦公地點(diǎn)換到另

5、外一個(gè)地點(diǎn)，而他仍然在該部門，那么，該用戶的配置無須改變；同時(shí)，如果一個(gè)人雖然辦公地點(diǎn)沒有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境，當(dāng)然，這只是一個(gè)理想的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他方面的支持；提高網(wǎng)絡(luò)性能 o有效地解決了廣播風(fēng)暴帶來的性能下降問題。一個(gè)VLAN形成一個(gè)小的廣播域，同一個(gè)VLAN成員都在由所屬VLAN確定的廣播域內(nèi)，那么，當(dāng)一個(gè)數(shù)據(jù)包沒有路由時(shí)，交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機(jī)的端口，這樣，就將數(shù)據(jù)包限制到了一個(gè)VLAN內(nèi)。在一定程度上可以節(jié)省帶寬；提高網(wǎng)絡(luò)安全 o在傳

6、統(tǒng)的局域網(wǎng)中，不時(shí)的會(huì)有些第三數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡(luò)上，從而有可能造成信息泄密。在這種情況下，確定誰可以訪問到這些數(shù)據(jù)就得很重要。使用VLAN技術(shù)可以將敏感數(shù)據(jù)的傳播限制在安全范圍內(nèi)，只允許已定義的VLAN成員訪問相關(guān)數(shù)據(jù)。VLAN還可被用來設(shè)立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡(luò)入侵事件通知到網(wǎng)絡(luò)管理者等，這些都可以提高網(wǎng)絡(luò)的安全系數(shù)。 減少設(shè)備投資 oVLAN技術(shù)可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設(shè)備的投資。VLAN的劃分方法o基于端口劃分o基于MAC地址劃分o基于網(wǎng)絡(luò)層劃分o基于IP組播劃分o基于策略劃分o基于用戶定義、非用戶授權(quán)劃分強(qiáng)化VLAN概念V

7、LAN的實(shí)現(xiàn)oVLAN在IEEE 802.1Q中定義.通過在數(shù)據(jù)幀上加入一個(gè)tag標(biāo)簽(4字節(jié))來實(shí)現(xiàn)的.這四個(gè)字節(jié)的802.1Q標(biāo)簽頭包含了2個(gè)字節(jié)的標(biāo)簽協(xié)議標(biāo)識(shí)（TPID）和2個(gè)字節(jié)的標(biāo)簽控制信息（TCI）。TAG字段說明oTPID : Tag Protocol Identifier. 表明這個(gè)幀是802.1Q規(guī)定的Tagged Frame. 它的值取決于MAC層.對(duì)于以太網(wǎng)來說,TPID由2個(gè)字節(jié)組成., TPID=8100.oPriority由3位組成,可以表示8個(gè)級(jí)別,用來封裝User Prioriy. 供QoS使用.oCFI 占1位,為0表示規(guī)范格式,為1表示非規(guī)范格式.TAG字段

8、說明oVLAN ID占12位,除去全0和全1的能創(chuàng)建4094個(gè)VLAN.oCRC值會(huì)在加入tag后重新計(jì)算,去處tag的時(shí)候也會(huì)再計(jì)算.o而采用ISL(cisco)封裝的話,是直接加上一個(gè)26字節(jié)的包頭,再加上一個(gè)CRC.去除的時(shí)候不用重新計(jì)算.o包分析TAG與UNTAGo針對(duì)出數(shù)據(jù).oTAG模式時(shí)出數(shù)據(jù)會(huì)帶TAG.oUNTAG模式時(shí)出數(shù)據(jù)會(huì)去掉TAG.oTAG模式 往往用在鏈路存在多個(gè)VLAN數(shù)據(jù)時(shí)使用.(trunk 模式)oUNTAG往往用于與終端機(jī)鏈接.(access模式)PVIDoPvid (Port Vlan Identifier).每個(gè)端口可以加入多個(gè)VLAN,但只能有一個(gè)PVID

9、. PVID是跟端口關(guān)聯(lián)的VID,它的取值范圍也是1-4094. 默認(rèn)是1.當(dāng)端口收到Untagged Frame或者Priority Frame時(shí),就添加Tag, 并在其中的VID字段中封裝PVID. 對(duì)于Tagged Frame則沒有任何影響. 收包o接收過程:o可以接收帶標(biāo)簽頭的,也可以是不帶標(biāo)簽頭的.如果不帶,交換機(jī)會(huì)根據(jù)端口所配置的PVID,來添加響應(yīng)的標(biāo)簽頭.o學(xué)習(xí)SMAC查詢o查詢/轉(zhuǎn)發(fā)過程:o根據(jù)收到數(shù)據(jù)的DMAC和VLAN標(biāo)識(shí),查找過濾數(shù)據(jù)庫中的注冊(cè)信息,以決定從哪個(gè)端口發(fā)出.轉(zhuǎn)發(fā)o發(fā)送過程:o如果過濾表中沒有相關(guān)表項(xiàng),則在VLAN內(nèi)廣播該數(shù)據(jù).o根據(jù)端口屬性(tagged/untagged),來界定是否拿掉標(biāo)簽頭強(qiáng)化實(shí)現(xiàn)原理舉例oPC1,PC2和服務(wù)器在3個(gè)不同的VLAN,PC1和PC2之間不能通信,PC1和PC2都可以和服務(wù)器通信.Tag/untag 與pvidTOP: DUT1(1/1)-(1/2)DUT2o都加入 vlan 100 TAGo都加入 vlan 100 Untagged o1/1加入vlan 100 Tag , 1/2 untaggedo1/1 vlan 100,1/2 vlan 200 o o 配