vlan学习精解.docx
- 文档编号:9222867
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:22
- 大小:710.05KB
vlan学习精解.docx
《vlan学习精解.docx》由会员分享,可在线阅读,更多相关《vlan学习精解.docx(22页珍藏版)》请在冰豆网上搜索。
vlan学习精解
VLAN学习理解
日期
修订版本
描述
部门
作者
2011/07/29
1.00
初稿完成
应用中心测试部
张兵兵
目录
第1章Vlan产生的背景3
1.1以太网的缺陷促使vlan技术的产生3
1.1.1CSMA/CD规则3
1.1.2共享总线的局限性-冲突域4
1.1.3交换机物理接口的冲突域4
1.1.4双工技术5
1.2Vlan产生的技术基础5
1.2.1帧转发的方式5
1.2.2交换机的功能5
1.3Vlan技术概述7
1.3.1VLAN的标识7
第2章Vlan的划分10
2.1基于交换机端口10
2.2基于MAC地址11
2.3基于第三层协议12
2.3.1VLANTrunk12
第3章Vlan中交换机对报文处理13
3.1对于不同以太网帧的处理13
3.2跨交换机VLAN互通13
3.3Vlan的通信17
3.3.1Vlan之内的通信18
3.3.2Vlan之间的通信18
3.3.3利用三层交换机进行通信20
第1章Vlan产生的背景
1.1以太网的缺陷促使vlan技术的产生
虽然以太网技术稳定,花费少,而且容易学习和运行。
但是以太网最初是基于同轴电缆的,网络中所有主机的收发都依赖于同一套物理介质,同一时刻只能有一台主机在发送,各主机通过遵循CSMA/CD规则来保证网络的正常通讯。
但是,如果网络中主机数目比较多,就容易出现广播泛滥,影响安全性。
再者,由于空间的限制,不同楼层和部门的网络隔离,仅仅依赖于物理线路和路由器,显然很不方便。
1.1.1CSMA/CD规则
对CSMA/CD规则做一下介绍,在以太网中同一时刻只能有一台主机在发送,各主机通过遵循CSMA/CD规则来保证网络的正常通讯。
以太网是在1972年发明的,1979年Xerox、Intel和DEC公司正式发布了DIX版本的以太网规范,1983年IEEE802.3标准正式发布。
初期的以太网是基于同轴电缆的,到八十年代末期基于双绞线的以太网完成了标准化工作,即我们常说的10BASE-T。
以太网使用CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection,带有冲突监测的载波侦听多址访问)。
我们可以将CSMA/CD比做一种文雅的交谈。
在这种交谈方式中,如果有人想阐述观点,他应该先听听是否有其他人在说话(即载波侦听),如果这时有人在说话,他应该耐心地等待,直到对方结束说话,然后他
才可以开始发表意见。
有一种情况,有可能两个人在同一时间都想开始说话,那会出现什么样的情况呢?
显然,如果两个人同时说话,这时很难辨别出每个人都在说什么。
但是,在文雅的交谈方式中,当两个人同时开始说话时,双方都会发现他们在同一时间开始讲话(即冲突检测),这时说话立即终止,随机地过了一段时间后,说话才开始。
说话时,由第一个开始说话的人来对交谈进行控制,而第二个开始说话的人将不得不等待,直到第一个人说完,然后他才能开始说话。
CSMA/CD—载波侦听多路访问/冲突检测,是一种在共享介质条件下多点通讯的有效手段,其基本规则如下:
1)若介质空闲,传输;否则,转2);
2)若介质忙,一直监听到信道空闲,然后立即传输;
3)若在传输中测得冲突,则发出一个短小的人为干扰(jamming)信号,
使得所有站点都知道发生了冲突并停止传输;
4)发完人为干扰信号,等待一段随机的时间后,再次试图传输,回到1)重新开始。
以太网由于其简单易用以及成本较低等特点,目前是局域网技术中应用最广泛的技术。
从20世纪70年代末期就有了其网络产品,在整个80年代中以太网与PC机同步发展,其传输速率自80年代的10Mb/s发展到90年代的100Mb/s,而目前1Gb/s的以及网产品已很成熟。
以太网支持的传输媒体从最初的同轴电缆到双绞线和光缆。
星状拓朴的出现使以太网技术上了一个新台阶,获得更迅速的发展。
从共享型以太网发展到交换型以太网,并出现了全双工以太网技术,致使整个以太网系统的带宽成十倍、百倍地增长,并保持足够的系统覆盖范围。
在以太网无处不在的今天,以太网以其高性能(可靠性、扩展性)、价格低廉、使用方便等特点继续获得发展。
以太网的主要缺陷是基于载波侦听多路访问/冲突检测(CSMA/CD)技术,CSMA/CD是总线仲裁方案,在有限的带宽中实现大量通信量时会导致网络性能的快速下降。
总线仲裁方案只是定义了一种机制,工作站利用这种机制来跨越网线(总线)传输数据。
但是使用以太网交换机技术可以克服此缺陷。
1.1.2共享总线的局限性-冲突域
以太网冲突问题,使用冲突检测来控制介质访问仍然是以太网的主要缺点。
当共享介质上的通信量增加时,冲突也会随之增加。
因为发生冲突的数据需要重新发送,冲突会导致可用带宽的减少。
尽管在以太网中冲突是司空见惯的事情,但过多的冲突可能会减少可用带宽,有时会大幅度减少带宽。
实际上冲突的影响,以太网的实际可用带宽减少到理论值的30~40%。
带宽的减少可以用交换机、路由器或者交换机等网络分段技术来弥补。
随着处理能力更强的终端工作站和具有更高要求的应用出现,现在,为小型用户工作组甚至是个人提供专用的带宽已经成为一种必要。
1.1.3交换机物理接口的冲突域
冲突的产生降低了以太网导线的带宽,而且这种情况是不可避免的。
所以,当导线上的节点越来越多后,冲突的数量将会增加。
在以太网网段上放置的最大的节点数将取决于传输在导线上的信息类型。
显而易见的解决方法是限制以太网导线上的节点。
这个过程通常称为物理分段。
物理网段实际上是连接在同一导线上的所有工作站的集合,也就是说,和另一个节点有可能产生冲突的所有工作站被看作是同一个物理网段。
经常描述物理网段的另一个词是冲突域,这两种说法指的是同一个意思。
分段技术是将一个冲突域拆分为两个或多个冲突域的技术。
第二层桥接技术和交换技术可以用来分段逻辑总线拓朴从而创建独立的冲突域。
添加这些设备可以创建多个冲突域。
因此,对于个人工作站而言,就会拥有更多的可用带宽。
对于交换技术而言。
连接的工作站使用的是专用带宽而不是共享带宽,原因是每个工作站都在自己的冲突域里。
但需要记住的是,所有工作站仍然在同一个广播域里。
以太网交换机是解决冲突域的分段设备,交换机的特征是,交换机可以与共享集线器放置在相同的物理位置上,或者相同的机架上。
也就是说对于一个给定的集线器,从集线器转换到交换机通常并不需要大规模改变电缆布线。
因而从集线器转移到交换机非常快速、方便。
以太网交换机分段技术最终结果是消除包冲突的影响。
以太网交换机每个端口可以提供的专用带宽可以达100或1000Mbit/s。
而交换机的带宽至少应该能够达到所有端口带宽的总和。
1.1.4双工技术
例如,当两个以太网节点通过10baseT的电缆直接连接时。
在这种情况下,数据可以通过两种独立的路径传输和接收。
由于只存在两个节点,也就没有总线,所以就可以在同一时间对信息进行双向传输,而不会发生冲突。
在这种情况下,以太网称为全双工以太网。
为了实现全双工以太网,两个节点必须通过10baseT直接连接,而且NIC必须支持全双工。
随着全双工以太网在理论上的实现,我们在两个方向都可以获得10Mb/s的传输带宽。
这正是全双工以太网被描述成具有20Mb/s带宽介质的原因。
另外,快速以太网和千兆以太网都能够支持全双工技术。
这样,带有全双工技术的快速以太网的带宽可达到200Mb/s,而带有全双工技术的千兆以太网的带宽可达到2Gb/s。
1.2Vlan产生的技术基础
Vlan依赖于以太网技术,随着以太网技术的迅速发展,在带宽,成本,兼容性方面,都有所突破。
1.2.1帧转发的方式
最开始是直通转发(cut-through),交换机检测到目标地址后即转发帧。
优点是转发延迟小,缺点是错误率高,没有经过校验。
然后发展到存贮转发(storeandforword),完整地收到帧并检查无错后才转发,优点是错误率低,缺点是由于需要存储,所以转发延迟大。
1.2.2交换机的功能
地址学习:
最初开机时交换机的动态MAC地址表是空的,里面没有记录学习的地址。
图1-1
如图1-1,主机A发送数据帧给主机C,交换机通过学习数据帧的源MAC地址,记录下主机A的MAC地址对应端口E0,交换机把该数据帧转发到除端口E0以外的其它所有端口,如果发现未知单播帧以泛洪方式处理。
图1-2
如图1-2,该数据帧转发到除端口E0以外的其它所有端口。
未知单播帧以泛洪方式处理
帧的转发/过滤:
交换机的第二个功能是转发功能和过滤功能。
使用MAC地址表后,交换机可以作出转发或不转发(即过滤)帧的决定。
这个决定取决于帧报头中的目标MAC地址。
回路防止:
交换机的最后一个功能是消除循环,通过使用stp这个生成树算法来防止交换环境中环路的发生。
1.3Vlan技术概述
Vlan(VirtualLan)是一个逻辑上的广播域、是在LAN技术基础上发展起来的一种逻辑上存在的虚拟的Lan。
VLAN能够帮助控制流量,提供更高的安全性,使网络设备的变更或移动更加方便。
VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。
同一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。
这样,将整个网络分割成多个不同的广播域(VLAN)。
一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他VLAN上的任何一个端口。
如果要将广播发送到其它的VLAN端口,就要用到三层交换机。
1.3.1VLAN的标识
VLAN标记就是逻辑地标记数据包属于哪个vlan,可以将VLAN理解为跨越多台连接在一起的交换机,当他们穿越交换机结构和VLAN时,这里就需要有一种方法来让每台交换机跟踪所有的用户和帧.帧标志就用在这里,这种帧标识方法独一无二地给每个帧分配一个用户定义的ID,称它为"VLANID",接收到帧的每台交换机必须首先识别帧标志中的VLANID,然后通过查看过滤表中的信息,它就知道该对帧进行那些处理.如果接收到帧的交换机有另一条中继链路,帧就从中继链路断口上转发出去.一旦帧到达了与帧VLANID相匹配的访问链路的出口,交换机就删除VLAN标识.这样,目的设备就可以接收该帧,帧就从中继链路端口上转发出去.
图1-3
如图1-3,802.1Q封帧的方式是在标准以太网帧上插入4个字节TAG标识。
图1-4
如图1-4,ISL封帧的方式是在标准以太网帧外部打上30个字节的ISL标识。
图1-5
如图1-5,802.10的封帧方式是采用32bits的SAID域唯一地标识VLAN信息。
第2章Vlan的划分
VLAN的划分从本质上讲是通过给数据帧加标识来达到链路层广播域的隔离。
2.1基于交换机端口
根据以太网交换机的端口来划分。
属于同一VLAN的端口可以不连续,也可以跨越多个交换机。
是目前定义VLAN最广泛的方法。
优点是定义简单,只要将端口定义就可以。
缺点是如果VLAN用户离开了原来端口,到了一个新的交换机的某个端口,那就必须重新定义。
根据端口在转发报文时对Tag标签的不同处理方式,可将端口的链路类型分为三种:
Access类型:
端口只能属于1个VLAN,一般用于连接用户设备;
Trunk类型:
端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于网络设备之间连接;
Hybrid类型:
端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口允许所有VLAN的报文发送时都可以不带Tag标签;Trunk端口只允许缺省VLAN的报文发送时不带Tag标签,其它VLAN的报文发送时带有Tag标签。
除了可以设置端口允许通过的VLAN,还可以设置端口的缺省VLAN。
在缺省情况下,所有端口的缺省VLAN均为VLAN1。
如图2-1,交换机机内部建立了端口号与VLANtag的映射关系。
图2-1
2.2基于MAC地址
根据每个主机的MAC地址来划分,对每个MAC地址的主机都定义。
优点是当用户物理位置移动时,既从一个交换机换到其他的交换机的时候,VLAN不需要重新配置。
缺点是初始化设置时,所有的用户都必须进行配置,工作量大。
交换机系统建立了主机MAC地址与VLANtag的映射关系
2.3基于第三层协议
根据每个主机的网络层地址或协议划分的,根据生成树算法进行桥交换。
优点是用户改变物理位置,不需要重新配置VLAN,而且可以根据协议类型划分VLAN。
这种方法不需要附加帧标签来识别VLAN,这样可以减小网络通信量。
缺点是效率低,需要更高的技术,同时也更费时。
交换机系统建立了主机IP地址与VLANtag的映射关系。
2.3.1VLANTrunk
VLAN干道:
对于多个VLAN交换机来说,VLAN干线就是两个交换机之间的连接,它在两个或两个以上的VLAN之间传输通信。
每个交换机必须确定它所收到的帧属于哪个VLAN。
一个交换机的任何端口都必须属于且只能属于一个VLAN,但当端口配置成trunk干线后,该端口就失去了它自身的VLAN标识,可以为该交换机内的所有VLAN传输数据。
第3章Vlan中交换机对报文处理
3.1对于不同以太网帧的处理
端口接收到以太网广播、组播帧和未知单播帧,在端口所在的VLAN域中广播。
端口接收到已知单播帧,转发到FDB表中的对应端口。
3.2跨交换机VLAN互通
通过上面的VLAN划分可以实现PC1与PC3互通,PC2与PC4互通,PC1/3与PC2/4隔离。
createvlanv1
configvlanv1tag10
configvlanv1addport1-3untagged
configvlanv1addport24tagged
createvlanv2
configvlanv2tag20
configvlanv2addport11-13untagged
configvlanv2addport24tagged
从PC机普通网卡中发出的报文是标准的EthernetII数据帧,
当一个端口收到一个不带802.1Q标记的以太网帧时,它会在该数据帧中插入该端口的本征vlan(defaultVID)的Tag标记值,并会在本征Vlan关联的端口根据FDB表转发
如果根据FDB表查得的端口以tagged模式属于Vlan,交换机会保留以太网帧中的802.1Q标记并从该端口转发出去
当一个端口收到一个带802.1Q的以太网帧时,它会比较该以太网帧中的VLANID和所有本端口所关联VLAN的Tag标记值,如果有匹配的,就往该VLANID所标示的VLAN中转发。
如果都不相等,则丢弃该数据。
如果根据FDB表查得的端口以untagged模式属于Vlan,交换机会去掉以太网帧中的802.1Q标记并从该端口转发出去。
端口的本征VLAN:
指端口接收到不打标记的报文后,将报文归属到某个VLAN中去,该VLAN称为该端口的本征VLAN,即端口defaultVID所在的VLAN。
端口的关联VLAN:
即该端口以tag的方式加入到一系列的VLAN中,这些VLAN集合称为该端口的关联VLAN。
VLAN的关联端口:
即该VLAN包含的端口,不管端口是以tag还是untag方式加入,均为该VLAN的关联端口。
3.3Vlan的通信
虽然VLAN定义了广播域,但不同的广播域之间通信需要借助具有路由功能的设备。
采用外置路由器(external)的方式可以实现VLAN间通信,每个VLAN占用一条物理链路。
路由器物理接口作为干道,对物理接口划分子接口作为各个VLAN的网关,采用子接口的方式在路由器上实现VLAN间互通。
LAN是广播域。
而通常两个广播域之间由路由器连接,广播域之间来往的数据包都是由路由器中继的。
因此,VLAN间的通信也需要路由器提供中继服务,这被称作“VLAN间路由”。
VLAN间路由,可以使用普通的路由器,也可以使用三层交换机,希望大家先记住不同VLAN间互相通信时需要用到路由功能。
3.3.1Vlan之内的通信
首先考虑计算机A与同一VLAN内的计算机B之间通信时的情形。
计算机A发出ARP请求信息,请求解析B的MAC地址。
交换机收到数据帧后,检索MAC地址列表中与收信端口同属一个VLAN的表项。
结果发现,计算机B连接在端口2上,于是交换机将数据帧转发给端口2,最终计算机B收到该帧。
收发信双方同属一个VLAN之内的通信,一切处理均在交换机内完成。
3.3.2Vlan之间的通信
计算机分属不同的VLAN,也就意味着分属不同的广播域,自然收不到彼此的广播报文。
因此,属于不同VLAN的计算机之间无法直接互相通信。
为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。
在使用路由器进行VLAN间路由时,与构建横跨多台交换机的VLAN时的情况类似,还是会遇到“该如何连接路由器与交换机”这个问题。
路由器和交换机的接线方式,大致有以下两种:
1、将路由器与交换机上的每个VLAN分别连接
2、不论VLAN有多少个,路由器与交换机都只用一条网线连接
使用一条网线连接路由器与交换机、进行VLAN间路由时,需要用到汇聚链接。
具体实现过程为:
首先将用于连接路由器的交换机端口设为汇聚链接,而路由器上的端口也必须支持汇聚链路。
双方用于汇聚链路的协议自然也必须相同。
接着在路由器上定义对应各个VLAN的“子接口(SubInterface)”。
尽管实际与交换机连接的物理端口只有一个,但在理论上我们可以把它分割为多个虚拟端口。
VLAN将交换机从逻辑上分割成了多台,因而用于VLAN间路由的路由器,也必须拥有分别对应各个VLAN的虚拟接口。
计算机A从通信目标的IP地址(192.168.2.1)得出C与本机不属于同一个网,需要先用ARP获取路由器的MAC地址。
得到路由器的MAC地址R后,接下来就是按图中所示的步骤发送往C去的数据帧。
①的数据帧中,目标MAC地址是路由器的地址R、但内含的目标IP地址仍是最终要通信的对象C的地址。
这一部分的内容,涉及到局域网内经过路由器转发时的通信步骤,有机会再详细解说吧。
交换机在端口1上收到①的数据帧后,检索MAC地址列表段。
因此会向设定的默认网关(DefaultGateway,GW)转发数据帧。
在发送数据帧之前中与端口1同属一个VLAN的表项。
由于汇聚链路会被看作属于所有的VLAN,因此这时交换机的端口6也属于被参照对象。
这样交换机就知道往MAC地址R发送数据帧,需要经过端口6转发。
从端口6发送数据帧时,由于它是汇聚链接,因此会被附加上VLAN识别信息。
由于原先是来自红色VLAN的数据帧,因此如图中②所示,会被加上红色VLAN的识别信息后进入汇聚链路。
路由器收到②的数据帧后,确认其VLAN识别信息,由于它是属于红色VLAN的数据帧,因此交由负责红色VLAN的子接口接收。
接着,根据路由器内部的路由表,判断该向哪里中继。
由于目标网络192.168.2.0/24是蓝色VLAN,,且该网络通过子接口与路由器直连,因此只要从负责蓝色VLAN的子接口转发就可以了。
这时,数据帧的目标MAC地址被改写成计算机C的目标地址;并且由于需要经过汇聚链路转发,因此被附加了属于蓝色VLAN的识别信息。
这就是图中③的数据帧。
交换机收到③的数据帧后,根据VLAN标识信息从MAC地址列表中检索属于蓝色VLAN的表项。
由于通信目标——计算机C连接在端口3上、且端口3为普通的访问链接,因此交换机会将数据帧除去VLAN识别信息后(数据帧④)转发给端口3,最终计算机C才能成功地收到这个数据帧。
3.3.3利用三层交换机进行通信
三层交换机,本质上就是“带有路由功能的(二层)交换机”。
路由属于OSI参照模型中第三层网络层的功能,因此带有第三层路由功能的交换机才被称为“三层交换机。
当使用路由器连接时,一般需要在LAN接口上设置对应各VLAN的子接口;而三层交换机则是在内部生成“VLAN接口
接下来设想一下计算机A与计算机C间通信时的情形。
针对目标IP地址,计算机A可以判断出通信对象不属于同一个网络,因此向默认网关发送数据(Frame1)。
交换机通过检索MAC地址列表后,经由内部汇聚链接,将数据帧转发给路由模块。
在通过内部汇聚链路时,数据帧被附加了属于红色VLAN的VLAN识别信息(Frame2)。
路由模块在收到数据帧时,先由数据帧附加的VLAN识别信息分辨出它属于红色VLAN,据此判断由红色VLAN接口负责接收并进行路由处理。
因为目标网络192.168.2.0/24是直连路由器的网络、且对应蓝色VLAN;因此,接下来就会从蓝色VLAN接口经由内部汇聚链路转发回交换模块。
在通过汇聚链路时,这次数据帧被附加上属于蓝色VLAN的识别信息(Frame3)。
交换机收到这个帧后,检索蓝色VLAN的MAC地址列表,确认需要将它转发给端口3。
由于端口3是通常的访问链接,因此转发前会先将VLAN识别信息除去(Frame4)。
最终,计算机C成功地收到交换机转发来的数据帧。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- vlan 学习