控制園區(qū)網(wǎng)中的廣播流量

控制園區(qū)網(wǎng)中的廣播流量網(wǎng)橋和交換機的根本功能是通過將網(wǎng)絡(luò)分割成多個沖突域，減少碰撞次數(shù)。但無法隔離廣播幀。所有用戶同在一個廣播域中會引起網(wǎng)絡(luò)性能的下降，浪費網(wǎng)絡(luò)帶寬，因此控制網(wǎng)絡(luò)內(nèi)的廣播傳輸變得非常重要。假設(shè)計算機A需要與計算機B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARPRequest）信息”，來嘗試獲取計算機B的MAC地址。交換機1收到廣播幀（ARP請求）后，會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機上。AB廣播帶來的負(fù)面作用這個ARP請求原本是為了獲得計算機B的MAC地址而發(fā)出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數(shù)據(jù)幀卻傳遍整個網(wǎng)絡(luò)，導(dǎo)致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運算能力的大量無謂消耗。

廣播的隔離方法傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能用工作在第三層的設(shè)備——路由器來實現(xiàn)，因為默認(rèn)情況下路由器不會轉(zhuǎn)發(fā)廣播信息。……廣播普通交換機無法隔離廣播域路由器可以隔離廣播域……廣播路由器而現(xiàn)在的局域網(wǎng)一般可以通過交換機來隔離廣播，即VLAN技術(shù)。財務(wù)處財務(wù)處員工人事處財務(wù)處員工同一廣播域同一廣播域財務(wù)處財務(wù)處員工人事處財務(wù)處員工同一廣播域同一廣播域財務(wù)處財務(wù)處員工人事處財務(wù)處員工同一廣播域財務(wù)處財務(wù)處員工人事處財務(wù)處員工同一廣播域同一廣播域虛擬局域網(wǎng)VLAN1虛擬局域網(wǎng)VLAN2VLAN簡介VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而組建虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站。由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。是否具有VLAN功能是衡量局域網(wǎng)交換機的一項重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。交換機上劃分VLAN隔離廣播風(fēng)暴如果在交換機上生成紅、藍(lán)兩個VLAN；同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。A發(fā)出廣播幀的話，交換機就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。A如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數(shù)臺交換機。在一臺交換機上生成紅、藍(lán)兩個VLAN，也可以看作是將一臺交換機換做一紅一藍(lán)兩臺虛擬的交換機。使用VLAN的目的VLAN的三大優(yōu)點：控制廣播風(fēng)暴：一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。提高網(wǎng)絡(luò)的整體安全性：可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性方便網(wǎng)絡(luò)的管理：對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費用VLAN標(biāo)準(zhǔn)——IEEE802.1Q數(shù)據(jù)幀IEEE802.1Q是虛擬局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個物理鏈路上承載多個局域網(wǎng)的數(shù)據(jù)流的方法。IEEE802.1Q定義了VLAN幀格式，為識別幀屬于哪個VLAN提供了一個標(biāo)準(zhǔn)的方法。這個格式統(tǒng)一了標(biāo)識VLAN的方法，有利于保證不同廠家設(shè)備配置的VLAN可以互通。目的MAC源MAC類型數(shù)據(jù)FCS目的MAC源MACTPID數(shù)據(jù)重新計算的FCS類型TCI0x81002個字節(jié)Priority3bitCFI12bitVID1bit標(biāo)記協(xié)議標(biāo)識（TPID）:固定值0x8100，表示該幀載有802.1Q標(biāo)記信息標(biāo)記控制信息（TCI）:Priority：3比特，表示優(yōu)先級，決定了數(shù)據(jù)幀的重要緊急程度，優(yōu)先級越高，就越優(yōu)先得到交換機的處理。在QoS中有應(yīng)用。CFI（CanonicalFormatIndicator）：1比特，規(guī)范格式指示符，當(dāng)其值為0時，表示該數(shù)據(jù)幀采用規(guī)范幀格式，如果該位是1則表示該幀為非規(guī)范幀格式。VID（VlanID）：12比特，指明VLAN的ID，可用范圍1－4094，每個支持802.1Q協(xié)議的交換機發(fā)送出來的數(shù)據(jù)包都會包含這個域，以指明該幀屬于哪一個VLAN。在一個交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒有加上這四個字節(jié)標(biāo)志的，稱為未標(biāo)記的幀（untagedframe），有些幀加上了這四個字節(jié)的標(biāo)志，稱為帶有標(biāo)記的幀（tagedframe）。0x81002個字節(jié)Priority3bitCFI12bitVID1bitAccessLink和TrunkLink接入鏈路干道鏈路主機和交換機之間的鏈路是接入鏈路；交換機之間通過干道鏈路互相連接。Access端口只屬于1個vlanTrunk端口可以屬于多個vlanVLAN幀在網(wǎng)絡(luò)中的通信對于主機來說，它是不需要知道VLAN的存在的。主機發(fā)出的幀都是untaged的幀；交換機接收到這樣的幀之后，根據(jù)配置規(guī)則（如端口信息）判斷出幀所屬VLAN進(jìn)行處理。如果幀需要通過另外一臺交換機發(fā)送，則該幀必須通過干道鏈路傳輸?shù)搅硗庖慌_交換機上。為了保證其它交換機正確處理幀的VLAN信息，在干道鏈路上發(fā)送的幀大多數(shù)（不是全部）都帶上了VLAN標(biāo)記。當(dāng)交換機最終確定幀轉(zhuǎn)發(fā)端口后，將幀發(fā)送給主機之前，將VLAN的標(biāo)記從以太網(wǎng)幀中刪除，這樣主機接收到的幀都是不帶VLAN的標(biāo)記的以太網(wǎng)幀。一般情況下，干道鏈路上傳送的都是TagedFrame，接入鏈路上傳送的都是UntagedFrame。這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的VLAN可以被所有的交換機正確處理，而主機不需要了解VLAN信息。廣播幀如何到達(dá)同一VLAN的各個節(jié)點因為VLAN可能跨越多個交換機，當(dāng)一個交換機從某VLAN的一個端口收到廣播幀之后，為了保證同屬一個VLAN的所有主機都接收到這個廣播幀，交換機必須按照如下原則將幀進(jìn)行轉(zhuǎn)發(fā)：

1、發(fā)送給本交換機中同一個VLAN中的其它端口；

2、將這個幀發(fā)送給本交換機的包含這個VLAN的所有干道鏈路，以便讓其它交換機上的同一個VLAN的端口能接收到該幀。VLAN的種類基于端口的VLAN針對交換機的端口進(jìn)行VLAN的劃分，不受主機的變化影響。基于協(xié)議的VLAN在一個物理網(wǎng)絡(luò)中針對不同的網(wǎng)絡(luò)層協(xié)議進(jìn)行安全劃分基于MAC地址的VLAN基于主機的MAC地址進(jìn)行VLAN劃分，主機可以任意在網(wǎng)絡(luò)移動而不需要重新劃分基于組播的VLAN基于組播應(yīng)用進(jìn)行用戶的劃分基于IP子網(wǎng)的VLAN針對不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機，一般情況下結(jié)合基于端口的VLAN進(jìn)行應(yīng)用基于端口的VLAN主機A主機B主機C主機D以太網(wǎng)交換機VLAN表端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port10基于MAC地址的VLANVLAN表MAC地址所屬VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主機A主機B主機C主機D以太網(wǎng)交換機MACAMACBMACCMACD基于協(xié)議的VLANVLAN表協(xié)議類型所屬VLANIPX協(xié)議IP協(xié)議……VLAN5VLAN10……主機A主機B主機C主機D以太網(wǎng)交換機使用IPX協(xié)議運行IP協(xié)議使用IPX協(xié)議運行IP協(xié)議基于子網(wǎng)的VLANVLAN表IP網(wǎng)絡(luò)所屬VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主機A主機B主機C主機D以太網(wǎng)交換機1.1.1.51.1.2.881.1.1.81.1.2.99ABCDVLAN的類型:PortVLAN利用交換機的端口進(jìn)行vlan劃分，一個端口只屬于一個VLAN，PortVLAN設(shè)置在連接主機的端口（即接口的模式為Access）F0/1F0/2F0/3Port-VLAN原理通過查找MAC地址表，交換機對發(fā)往不同VLAN的數(shù)據(jù)不轉(zhuǎn)發(fā)F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACX交換機端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10配置PortVLAN創(chuàng)建VLAN10，將它命名為test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#end

把接口0/10加入VLAN10

Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#end默認(rèn)名字是vlanXXXX，用noname命令可以恢復(fù)為默認(rèn)名字如果把一個接口分配到一個不存在的vlan中，則交換機會自動創(chuàng)建該vlanPortVLAN的配置將一組接口加入某一個VLANSwitch(config)#interfacerange

fastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20注：交換機端口類型默認(rèn)為Access。連續(xù)接口0/1-8，不連續(xù)接口用逗號隔開，但一定要寫明模塊編號配置TagVLAN-Trunk把Fa0/1配成Trunk口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk把端口Fa0/20配置為Trunk端口，但是不包含VLAN2（默認(rèn)trunk鏈路能夠在兩條交換機之間傳遞所有vlan的幀）：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#endNativeVLAN并非所有的幀通過trunk口都打上tag標(biāo)簽。NativeVLAN的作用:在Trunk鏈路使用802.1Q封裝時,用NativeVLAN指定哪個VLAN的數(shù)據(jù)不用做802.1Q標(biāo)記,NativeVLAN外的其它VLAN數(shù)據(jù)都會做802.1Q封裝的標(biāo)記.為什么要使用NativeVLAN:交換的管理流量以及未指定VLAN的流量,默認(rèn)使用NativeVLAN(默認(rèn)為VLAN1)來傳送,這些流量不需要做802.1Q封裝.配置命令：Switch(config-if)#switchporttrunknativevlan2Switch(config-if)#end注意：每個Trunk口的缺