VLAN中tag技術的研究課程設計說明書

1 西南石油大學 網絡通信基礎課程設計 完成日期 2010年 6 月 25 日 課 程 網絡通信基礎 題 目 VLAN 中 tag 技術的研究 院 系 電子信息工程學院 專業(yè)班級 學生姓名 學生學號 指導教師 成 績 2 目 錄 摘 要 .3 Abstract 3 第一章 緒論 1.1 交換機二 層轉發(fā)原理 .4 1.1.1 MAC 地址介紹 .4 1.1.2 交換機二層轉發(fā)介紹 .4 1.2 VLAN 概述 4 1.3 Tag 技術介紹 .7 第二章 設計簡介及設計方案論述 . . . . .7 2.1 三次不同 VLAN 通信 .7 2.2 二層不同 VLAN 通信 7 第三章 詳細設計 . .7 3.1 單臂路由實驗 .7 3.1 二層 VLAN 實驗 .9 第四章 設計結果及分析 .9 4.1 單臂路由實驗結果 .9 4.2 二層 VLAN 實驗結果 .12 總 結 15 參考文獻 15 3 摘 要 VLAN（ Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。 IEEE 于 1999 年頒布了用以標準化 VLAN 實現方案的 802.1Q 協(xié)議標準草案。VLAN 技術允許網絡管理者將一個物理的 LAN 邏 輯地劃分成不同， 由于它是邏輯地而不是物理地劃分，所以同一個 VLAN 內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理 LAN 網段。 VLAN 是為解決以太網的廣播問題和安全性而提出的一種協(xié)議，它在以太網幀的基礎上增加了 VLAN頭， 即對不同 VLAN 傳輸的數據進行打標簽， 用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪 ，每個工作組就是一個虛擬局域網。 VLAN 可以分離廣播域 現隔離廣播 ,能通過劃 VLAN 實現不同業(yè)務的隔離！要 實現 不同 VLAN 間通信 就需要 連 上 路由器（三 層交換機）來轉發(fā)數據包，但能不能直接在二層交換機上實現不同 VLAN 間通信呢 ？ 關鍵詞： VLAN ； 廣播域 ；路由器；打標簽 Abstract Vlan （ virtual local area network ） the virtual lans, is a through the lan in physics and is not logically divided into segments in virtual one of the new technology. in 1999 to the ieee a vlan achieve standardization of 802. 1q standard of the draft protocol. vlan technology permits network managers will be a physical lan logically divided into different broadcast domains （ or a lan, vlan ） ， A vlan contains a set of requirements has the same computer workstations, and the physical a lan as a property. but as it is logical and physical, and not divide, therefore, the same vlan the station in the need to be placed in the same physical space, and the workstation does not necessarily belong to the same lan segment. the physical. Vlan is to solve the problem of the ethernet and security to an agreement, it is on the basis of the ethernet frame increased vlan, vlan to different transmission of data in a label, a vlan the user id divided into smaller groups, different groups of users during the second floor, each team is a virtual lans. Vlan to separate broadcast domains are isolated from the radio, you can pass through the implementation of separate vlan different! to achieve different vlan communication is needed between even on a router （ three layers of switches ） to forward packets to, but i can directly in the second floor of its exchanges between different vlan communications? Keywords ： vlan ； broadcast domains ； routers ； a label 4 第一章 緒論 1.1 交換機二層轉發(fā)原理 1.1.1 MAC 地址介紹 MAC 地址是 48 bit 二進制的地址，如： 00-e0-fc-00-00-06。 可以分為單播地址、多播地址和廣播地址。 單播地址：第一字節(jié)最低位為 0，如： 00-e0-fc-00-00-06 多播地址：第一字節(jié)最低位為 1，如： 01-e0-fc-00-00-06 廣播地址： 48 位全 1，如： ff-ff-ff-ff-ff-ff 注意 ： 1）普通設備網卡或者路由器設備路由接口的 MAC 地址一定是單播的 MAC 地址才能保證其與其它設備的互通。 2） MAC 地址是一個以太網絡設 備在網絡上運行的基礎，也是鏈路層功能實現的立足點 1.1.2 交換機 二層 轉發(fā)介紹 交換機二層的轉發(fā)特性，符合 802.1D 網橋協(xié)議標準。 交換機的二層轉發(fā)涉及到兩個關鍵的線程 ：地址學習和數據包轉發(fā)； 學習線程如下： 1）交換機接收網段上的所有數據幀，利用接收數據幀中的源 MAC 地址來建立 MAC地址表； 2）端口移動機制：交換機如果發(fā)現一個包文的入端口和報文中源 MAC 地址的所在端口不同，就產生端口移動，將 MAC 地址重新學習到新的端口； 3）地址老化機制： 如果交換機在很長一段時間之內沒有收到某臺主機發(fā)出的報文，在該主機對應的 MAC 地址就會被刪除，等下次報文來的時候會重新學習。 注意 ： 老化也是根據源 MAC 地址進行老化。 數據報轉發(fā) : 1）交換機在 MAC 地址表中查找數據幀中的目的 MAC 地址，如果找到，就將該數據幀發(fā)送到相應的端口，如果找不到，就向所有的端口發(fā)送； 2）如果交換機收到的報文中源 MAC 地址和目的 MAC 地址所在的端口相同，則丟棄該報文； 3）交換機向入端口以外的其它所有端口轉發(fā)廣播報文 1.2 VLAN 概述 以太網是一種基于 CSMA/CD（ Carrier Sense Multiple Access/Collision Detect，載波偵聽多路訪問 /沖突檢測）的共享通訊介質的數據網絡通訊技術，當主機數目較多時會導致沖突嚴重、廣播泛濫、性能顯著下降甚至使網絡不可用等問題。通過交換機實現 LAN互聯雖然可以解決沖突（ Collision）嚴重的問題，但仍然不能隔離廣播報文。在這種情況下出現了 VLAN 5 （ Virtual Local Area Network）技術，這種技術可以把一個 LAN劃分成多個邏輯的LAN VLAN，每個 VLAN是一個廣播域， VLAN內的主機間通信就和在一個 LAN內一樣，而 VLAN間則不能直接互通，這樣 ，廣播報文被限制在一個 VLAN內，如圖 1所示。 圖 1 VLAN示意圖 VLAN的劃分不受物理位置的限制：不在同一物理位置范圍的主機可以屬于同一個 VLAN；一個 VLAN包含的用戶可以連接在同一個交換機上，也可以跨越交換機，甚至可以跨越路由器。 VLAN的優(yōu)點如下： 限制廣播域。廣播域被限制在一個 VLAN內，節(jié)省了帶寬，提高了網絡處理能力。 增強局域網的安全性。 VLAN間的二層報文是相互隔離的，即一個 VLAN內的用戶不能和其它 VLAN內的用戶直接通信，如果不同 VLAN要進行通信，則需 通過路由器或三層交換機等三層設備。 靈活構建虛擬工作組。用 VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。 6 VLAN原理 要使網絡設備能夠分辨不同 VLAN的報文，需要在報文中添加標識 VLAN的字段。由于普通交換機工作在第二層，只能對報文的數據鏈路層封裝進行識別。因此，如果添加識別字段，也需要添加到數據鏈路層封裝中。 IEEE于 1999年頒布了用以標準化 VLAN實現方案的 IEEE 802.1Q協(xié)議標準草案，對帶有 VLAN標 識的報文結構進行了統(tǒng)一規(guī)定。 傳統(tǒng)的以太網數據幀在目的 MAC地址和源 MAC地址之后封裝的是上層協(xié)議的類型字段，如圖 2所示。 圖 2 傳統(tǒng)以太網幀封裝格式 其中 DA表示目的 MAC地址， SA表示源 MAC地址， Type表示報文所屬協(xié)議類型。 IEEE 802.1Q協(xié)議規(guī)定在目的 MAC地址和源 MAC地址之后封裝 4個字節(jié)的 VLAN Tag，用以標識 VLAN的相關信息。 圖 3 VLAN Tag的組成字段 如圖 3所示， VLAN Tag包含四個字段，分別是 TPID、 Priority、 CFI和 VLAN ID。 TPID用來標識本數據幀是帶有 VLAN Tag的數據，長度為 16bit，取值為 0x8100。 Priority表示報文的優(yōu)先級，長度為 3bit， CFI字段標識 MAC地址在不同的傳輸介質中是否以標準格式進行封裝，在本章中不進行具體描述，長度為 1bit。 VLAN ID標識該報文所屬 VLAN的編號，長度為 12bit，取值范圍為 0 4095。由于 0和 4095為協(xié)議保留取值，所以 VLAN ID的取值范圍為 1 4094。 網絡設備利用 VLAN ID來識別報文所屬的 VLAN，根據報文是否攜帶 VLAN Tag以及攜帶的 VLAN Tag值，來對報文進行處理。 7 1.3 Tag 技術 介紹 如果交換機支持劃分 VLAN，那么根據 802.1Q標準，在以太網幀首部中的源 MAC和類型字段之間再加上四字節(jié)的 VLAN識別信息，位于數據幀中 “發(fā)送源 MAC地址 ”與 “類別域（ Type Field） ”之間。具體內容為 2字節(jié)的 TPID和 2字節(jié)的 TCI，共計 4字節(jié)。 在數據幀中添加了 4字節(jié)的內容，那么 CRC值自然也會有所變化。這時數據幀上的 CRC是插入 TPID、 TCI后，對包括它們在內的整個數據幀重新計算后所得的值。 而當數據幀離開匯聚鏈路時， TPID和 TCI會被去除，這時還會進行一次 CRC的重新計算。 TPID的值，固定為 0x8100。交換機通過 TPID，來確定數據幀內附加了基于IEEE802.1Q的 VLAN信息。而實質上的 VLAN ID，是 TCI中的 12位元。由于總共有 12位，因此最多可供識別 4096個 VLAN。 基于 IEEE802.1Q附加的 VLAN信息，就像在傳遞物品時附加的標簽。因此，它也被稱作 “標簽型 VLAN（ Tagging VLAN） ”。 從上面可知道交 換機最多支持 4096個 VLAN，實際使用的只有 4094個，范圍值為 1-4094， 0和 4096不被使用是保留的另作它用。 從問題上看，提問題的人應該是考你 VLAN的個數，其實就是考你對加入以太網首部中那四個字節(jié) VLAN標識信息的知識，如果你不熟悉，就有可能不知道代表VLAN值的位數是多少，自然也就不知道交換機可支持的 VLAN最大個數，知道個數后，并且還得知道實際交換機中可使用的 VLAN個數及其 VLAN取值范圍。 不同的交換機所支持的應該是不同的，很早前的低端產品一般支持滿配 VLAN的不多，因為其芯片處理能力決 定了很多東西，這和硬件也是有很大關聯的?，F在的交換機一般都能支持最大的 VLAN個數，現在也沒廠商去作那種太低端的了。況且現在芯片處理能力也不像以前，已經強大多了。 第二章 設計簡介及設計方案論述 2.1 三層不同 VLAN 通信 實 驗 利用 packet tracer 模擬器 來模擬單臂路由的實驗來完成不同 VLAN 間通信的實驗，通過對抓包來觀察和分析交換機的 Tag 技術。 2.2 二層不同 VLAN 通信實驗 利用 packet tracer 模擬器來模擬 是否 只用二層交換機 能完成不同 VLAN 間的通信， 也通過抓包技術來觀測和分析 Tag 技術，觀察和分析試驗結果，得出結論。 第 三 章 詳細設計 3.1 單臂路由實驗 3.1.1 實驗設備 8 需要設備：一個路由器，兩個交換機，雙絞線， 4 個 PC 3.1.2 實驗拓撲圖 圖 3-1 3.1.3 實驗配置 介紹 1： 路由器的 fa0/0 口配置兩個子接口 ，分別為 192.168.20.1 和192.168.30.1 ,并且封裝成 dot1q。 2： switch0 劃分兩個 VLAN，分為為 vlan20 和 vlan30，其中 fa0/1 屬于vlan20， fa0/3 屬于 vlan30； fa0/3 接口配置成 trunk 鏈路； 3： switch1 也劃分兩個 VLAN，分為為 vlan20 和 vlan30，其中 fa0/1 屬于 vlan20， fa0/3 屬于 vlan30； fa0/3 接口配置成 trunk 鏈路； 4： PC0 配置如下： ip 地址為 192.168.20.100 網關為 192.168.20.1； PC1 配置如下： ip 地址為 192.168.30.100 網關為 192.168.30.1 PC2 配置如下： ip 地址為 192.168.20.101 網關為 192.168.20.1 PC4 配置如下： ip 地址為 192.168.30.101 網關為 192.168.30.1 注：圖 3-1 中 switch0 和 switch1 的 fa0/3 都配置為 trunk，并且兩個接口都屬于 vlan1 。 3 1.4 實驗步驟 1：利用 packet tracer 模擬器按照圖 3-1 連接好各個設備； 2：按照設備配置配置好各個設備； 3：用 PC2pingPC3，觀 察實驗結果，分析，得出結論； 4： PC0pingPC3，觀察實驗結果，分析，得出結論； 9 3.2 二層 VLAN 實驗 3.2.1 實驗設備 二個 2950 交換機，兩個 PC，雙絞線 3.2.2 實驗拓撲 圖 3-2 3.2.3 實驗配置介紹 1： Switch2 的 fa0/1 接口 屬于 vlan10， vlan10 的 ip 地址為 192.168.1.1 掩碼 255.255.2555.0 ； 2： Switch3 的 fa0/1、 fa0/2、 fa0/3 都屬于 vlan1； 3： PC4 和 PC5 的 ip 地址分 別為： 192.168.1.2 和 192.168.1.3； 注： switch2 和 switch3 所有接口都是 access 接口，沒配置 trunk。 3.2.4 實驗步驟 1: 利用 packet tracer 模擬器 按照圖 3-2 連接好，參照實驗配置配置好各個設備； 2：使用 PC4pingPC5，觀察實驗結果，分析實驗結果，得出結論； 3： 使用 PC4ping switch2 的 vlan10 的 ip 地址 192.168.1.1，觀察實驗結果，在分析，得出結論； 3.3.1 實驗設備 兩個 2950 交換機 、 4 個 PC、雙絞線： 3.3.2 實驗拓撲 10 圖 3-3 3.3.3 實驗配置介紹 1： 交換機 0 的 fa0/0 接口 屬于 vlan10：交換機 1 的 fa0/0 屬于 vlan20； 2： 主機 0 的 ip 地址為 192.168.1.2 掩碼為 255.255.255.0 ，屬于 vlan10；主機 1 的 ip 地址為 192.168.1.3 掩碼為 255.255.255.0 ，屬于 vlan20；主機 2 的 ip 地址為 192.168.1.4 掩碼為 255.255.255.0 ，屬于 vlan10；主機 3 的 ip 地址為 192.168.1.5 掩 碼為 255.255.255.0 ，屬于 vlan20； 注： 交換機 0 和交換 1 所有接口都屬于 access，沒配置 trunk 接口 ； 11 第 四 章 設計結果及分析 3.1 單臂路由實驗結果 1: PC2pingPC3 的實驗結果為 圖 4-1 圖 4-1 通過抓包得到 圖 4-2 中陰影部分抓包得到圖 4-3； 圖 4-2 圖 4-3 該實驗 分析及結論：由圖 4-1 得出 PC2 能夠 ping 同 PC3。因為 PC2 和 PC3 分別屬于 VLAN20 和 VLAN30，他們處于兩個不同的 VLAN 就在不 同的廣播域里，因為交換機屬于數據鏈路層設備，數據包不能穿透廣播域，要實驗通信就必須依靠路 12 由。 由圖 4-3可以看出在幀中目的 MAC和 TYPE類型之間添加了 TPID和 TCI,TPID的值為 0x8100.TCI 為 0x14， 交換機通過 TPID，來確定數據幀內附加了基于IEEE802.1Q 的 VLAN 信息。而實質上的 VLAN ID，是 TCI 中的 12 位元。這時數據幀上的 CRC 是插入 TPID、 TCI 后，對包括它們在內的整個數據幀重新計算后所得的值。而當數據幀離開匯聚鏈路時， TPID 和 TCI 會被去除，這時還會進行一次 CRC 的 重新計算。 因為只有 trunk 鏈路才能傳遞 VLAN 信息， access 接口不能傳遞 VLAN 信息。所以在所有轉包里 只有 trunk 里傳送的數據幀里才有 VLAN 信息。 3.2 二層 VLAN 實驗 3.2.1 實驗結果如下： 1： PC4pingPC5 的實驗結果如圖 4-4 圖 4-4 實驗分析及結論： 圖 4-4 顯示 PC4 能 pingPC5， 因為 PC4 和 PC5 都屬于 VLAN1，他們之間能相互 ping 通。 2： PC4ping192.168.1.1 實驗結果如圖 4-5 13 圖 4-5 實驗分析及結論： PC4 居然 ping 通了 192.168.1.1 ! PC4 屬于 VLAN 1 而 switch1 的 fa0/1 接口屬于 VLAN 10 ，不同的 VLAN 在沒使用三層設備應該是 ping 不通的，這是怎么回事呢？隨后我做了 3.3 實驗來進一步來研究。 3.3 實驗結果如下： 1： 主機 0ping 主機 1 得到實驗結果如圖 4-6 圖 4-6 2： 主機 0 ping 主機