控制園區(qū)網(wǎng)中的廣播流量VLAN技術(shù)

1、VLAN技術(shù)n網(wǎng)橋和交換機(jī)的根本功能是通過將網(wǎng)絡(luò)分割成多個(gè)沖突域，減少碰撞次數(shù)沖突域，減少碰撞次數(shù)。但無法隔離無法隔離廣播幀廣播幀。n所有用戶同在一個(gè)廣播域中會(huì)引起網(wǎng)絡(luò)性能網(wǎng)絡(luò)性能的下降的下降，浪費(fèi)網(wǎng)絡(luò)帶寬浪費(fèi)網(wǎng)絡(luò)帶寬，因此控制網(wǎng)絡(luò)內(nèi)的廣播傳輸變得非常重要。假設(shè)計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)目標(biāo)MAC地址地址才能正常通信，因此計(jì)算機(jī)A必須先廣播“ARP請(qǐng)求（ARP Request）信息”，來嘗試獲取計(jì)算機(jī)B的MAC地址。交換機(jī)1收到廣播幀（ARP請(qǐng)求）后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機(jī)2收到廣播幀后也會(huì)F

2、looding。交換機(jī)3、4、5也還會(huì)Flooding。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。AB廣播帶來的負(fù)面作用n這個(gè)ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址地址而發(fā)出的。也就是說：只要計(jì)算機(jī)B能收到就萬事大吉了。n可是事實(shí)上，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)，導(dǎo)致所有的計(jì)算機(jī)都收到了它。n如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬帶寬，另一方面，收到廣播信息的計(jì)算機(jī)計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對(duì)它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力運(yùn)算能力的大量無謂消耗。廣播的隔離方法廣播的隔離方法n傳統(tǒng)的共享介質(zhì)共享介質(zhì)的以太網(wǎng)和交換式交換式的以太網(wǎng)中，對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全

3、只能用工作在第三層的設(shè)備路由器來實(shí)現(xiàn)，因?yàn)槟J(rèn)情況下路由器不會(huì)轉(zhuǎn)發(fā)因?yàn)槟J(rèn)情況下路由器不會(huì)轉(zhuǎn)發(fā)廣播信息廣播信息。普通交換機(jī)無法隔離廣播域路由器路由器可以隔離廣播域而現(xiàn)在的局域網(wǎng)一般可以通過交換機(jī)交換機(jī)來隔離廣播，即VLAN技術(shù)。財(cái)務(wù)處財(cái)務(wù)處財(cái)務(wù)處員工人事處人事處財(cái)務(wù)處員工同一廣播域同一廣播域同一廣播域同一廣播域財(cái)務(wù)處財(cái)務(wù)處財(cái)務(wù)處員工人事處人事處財(cái)務(wù)處員工同一廣播域同一廣播域同一廣播域同一廣播域財(cái)務(wù)處財(cái)務(wù)處財(cái)務(wù)處員工人事處人事處財(cái)務(wù)處員工同一廣播域同一廣播域財(cái)務(wù)處財(cái)務(wù)處財(cái)務(wù)處員工人事處人事處財(cái)務(wù)處員工同一廣播域同一廣播域同一廣播域同一廣播域虛擬局域網(wǎng)虛擬局域網(wǎng)VLAN1虛擬局域網(wǎng)虛擬局域網(wǎng)VLA

4、N2VLAN簡(jiǎn)介nVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而組建虛擬工作組的新興技術(shù)。nIEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。nVLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站。由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，

5、從而有助于控制流量控制流量、減少設(shè)減少設(shè)備投資備投資、簡(jiǎn)化網(wǎng)絡(luò)管理簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性提高網(wǎng)絡(luò)的安全性。 n是否具有是否具有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。 交換機(jī)上劃分交換機(jī)上劃分VLAN隔離廣播風(fēng)暴隔離廣播風(fēng)暴n如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN；同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。nA發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口也就是同屬于紅色VLAN的端口2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。An如果要更為直觀地描述VLAN的話，我們可以把

6、它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。n在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)。使用使用VLAN的目的的目的nVLAN的三大優(yōu)點(diǎn)：n控制廣播風(fēng)暴：一個(gè)VLAN就是一個(gè)邏輯廣播域，通過對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。n提高網(wǎng)絡(luò)的整體安全性：可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性 n方便網(wǎng)絡(luò)的管理：對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連

7、接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用 VLAN標(biāo)準(zhǔn)IEEE802.1Q數(shù)據(jù)幀n IEEE802.1Q是虛擬局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個(gè)物理鏈路上承載多個(gè)局域網(wǎng)的數(shù)據(jù)流的方法。n IEEE 802.1Q定義了VLAN幀格式，為識(shí)別幀屬于哪個(gè)VLAN提供了一個(gè)標(biāo)準(zhǔn)的方法。n 這個(gè)格式統(tǒng)一了標(biāo)識(shí)VLAN的方法，有利于保證不同廠家設(shè)備配置的VLAN可以互通。目的MAC源MAC類型數(shù)據(jù)FCS目的MAC源MACTPID數(shù)據(jù)重新計(jì)算的FCS類型TCI0 x81002個(gè)字節(jié)Priority3bitCFI12bitVID1

8、bitn標(biāo)記協(xié)議標(biāo)識(shí)標(biāo)記協(xié)議標(biāo)識(shí)（TPID）:n固定值0 x8100，表示該幀載有802.1Q標(biāo)記信息n標(biāo)記控制信息標(biāo)記控制信息（TCI）:nPriority：3比特，表示優(yōu)先級(jí)，決定了數(shù)據(jù)幀的重要緊急程度，優(yōu)先級(jí)越高，就越優(yōu)先得到交換機(jī)的處理。在QoS中有應(yīng)用。nCFI（Canonical Format Indicator）：1比特，規(guī)范格式指示符，當(dāng)其值為0時(shí)，表示該數(shù)據(jù)幀采用規(guī)范幀格式，如果該位是1則表示該幀為非規(guī)范幀格式。 nVID（Vlan ID）：12比特，指明VLAN的ID，可用范圍14094，每個(gè)支持802.1Q協(xié)議的交換機(jī)發(fā)送出來的數(shù)據(jù)包都會(huì)包含這個(gè)域，以指明該幀屬于哪一個(gè)V

9、LAN。在一個(gè)交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒有加上這四個(gè)字節(jié)標(biāo)志的，稱為未標(biāo)記的幀未標(biāo)記的幀（untaged frame），有些幀加上了這四個(gè)字節(jié)的標(biāo)志，稱為帶有標(biāo)記的幀帶有標(biāo)記的幀（taged frame）。0 x81002個(gè)字節(jié)Priority3bitCFI12bitVID1bitAccess Link和Trunk Linkn主機(jī)和交換機(jī)之間主機(jī)和交換機(jī)之間的鏈路是接入接入鏈路；n交換機(jī)之間交換機(jī)之間通過干道干道鏈路互相連接。VLAN幀在網(wǎng)絡(luò)中的通信 n對(duì)于主機(jī)來說，它是不需要知道VLAN的存在的。主機(jī)發(fā)出的幀都是主機(jī)發(fā)出的幀都是untaged的幀；的幀；交換機(jī)接收到這樣

10、的幀之后，根據(jù)配置規(guī)則（如端口信息）判斷出幀所屬VLAN進(jìn)行處理。n如果幀需要通過另外一臺(tái)交換機(jī)發(fā)送，則該幀必須通過干道鏈路傳輸?shù)搅硗庖慌_(tái)交換機(jī)上。為了保證其它交換機(jī)正確處理幀的VLAN信息，在干道鏈路上發(fā)送的幀大多數(shù)（不是全部）都帶上了VLAN標(biāo)記標(biāo)記。n當(dāng)交換機(jī)交換機(jī)最終確定幀轉(zhuǎn)發(fā)端口后，將幀發(fā)送給主機(jī)之前，將將VLAN的標(biāo)記從以太的標(biāo)記從以太網(wǎng)幀中刪除網(wǎng)幀中刪除，這樣主機(jī)接收到的幀都是不帶VLAN的標(biāo)記的以太網(wǎng)幀。n一般情況下，干道鏈路上傳送的都是Taged Frame，接入鏈路上傳送的都是Untaged Frame。這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的VLA

11、N可以被所有的交換可以被所有的交換機(jī)正確處理，而主機(jī)不需要了解機(jī)正確處理，而主機(jī)不需要了解VLAN信息。信息。 廣播幀如何到達(dá)同一VLAN的各個(gè)節(jié)點(diǎn) 因?yàn)閂LAN可能跨越多個(gè)交換機(jī)，當(dāng)一個(gè)交換機(jī)從某VLAN的一個(gè)端口收到廣播幀之后，為了保證同屬一個(gè)VLAN的所有主機(jī)都接收到這個(gè)廣播幀，交換機(jī)必須按照如下原則將幀進(jìn)行轉(zhuǎn)發(fā)：1、發(fā)送給本交換機(jī)中同一個(gè)VLAN中的其它端口；2、將這個(gè)幀發(fā)送給本交換機(jī)的包含這個(gè)包含這個(gè)VLAN的所有干道鏈路的所有干道鏈路，以便讓其它交換機(jī)上的同一個(gè)VLAN的端口能接收到該幀。 VLAN的種類n基于端口的基于端口的VLANVLANn針對(duì)交換機(jī)的端口進(jìn)行VLAN的劃分，不

12、受主機(jī)的變化影響。n基于協(xié)議的VLANn在一個(gè)物理網(wǎng)絡(luò)中針對(duì)不同的網(wǎng)絡(luò)層協(xié)議進(jìn)行安全劃分n基于MAC地址的VLANn基于主機(jī)的MAC地址進(jìn)行VLAN劃分，主機(jī)可以任意在網(wǎng)絡(luò)移動(dòng)而不需要重新劃分n基于組播的VLANn基于組播應(yīng)用進(jìn)行用戶的劃分n基于IP子網(wǎng)的VLANn針對(duì)不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機(jī)，一般情況下結(jié)合基于端口的VLAN進(jìn)行應(yīng)用基于端口的VLAN基于MAC地址的VLAN基于協(xié)議的VLAN基于子網(wǎng)的VLANABCDVLAN的類型:Port VLANF0/1F0/2F0/3Port-VLAN原理通過查找MAC地址表，交換機(jī)對(duì)發(fā)往不同VLAN的數(shù)據(jù)不轉(zhuǎn)發(fā)F0/1F0/

13、2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交換機(jī)交換機(jī)端口端口MACMAC地址地址VLAN VLAN IDIDF0/1A10F0/2B20F0/3C10配置Port VLANn創(chuàng)建VLAN10，將它命名為test的例子nSwitch# configure terminalnSwitch(config)# vlan 10nSwitch(config-vlan)# name testnSwitch(config-vlan)# end n把接口 0/10加入VLAN10 nSwitch# configure terminalnSwitch(config)# interf

14、ace fastethernet 0/10nSwitch(config-if)# switchport mode accessnSwitch(config-if)# switchport access vlan 10nSwitch(config-if)# end默認(rèn)名字是vlan XXXX，用no name命令可以恢復(fù)為默認(rèn)名字如果把一個(gè)接口分配到一個(gè)不存在的vlan中，則交換機(jī)會(huì)自動(dòng)創(chuàng)建該vlanPort VLAN 的配置n將一組接口一組接口加入某一個(gè)VLANnSwitch(config)#interface range fastethernet 0/1-8，0/15，0/20nSwitch

15、(config-if-range)# switchport access vlan 20注：交換機(jī)端口類型默認(rèn)為AccessAccess。連續(xù)接口 0/1- -8，不連續(xù)接口用逗號(hào)逗號(hào)隔開，但一定要寫明模塊編號(hào)模塊編號(hào)配置Tag VLAN-Trunkn把Fa0/1配成Trunk口nSwitch# configure terminalnSwitch(config)# interface fastethernet0/1nSwitch(config-if)# switchport mode trunkn把端口Fa0/20 配置為Trunk端口，但是不包含VLAN 2（默認(rèn)trunk鏈路能夠在兩條交換

16、機(jī)之間傳遞所有vlan的幀）：nSwitch(config)# interface fastethernet 0/20nSwitch(config-if)# switchport trunk allowed vlan remove 2nSwitch(config-if)# endNative VLANn并非所有的幀通過trunktrunk口都打上tagtag標(biāo)簽。Native VLAN的作用:在Trunk鏈路使用802.1Q封裝時(shí),用Native VLAN指定哪個(gè)VLAN的數(shù)據(jù)不用做802.1Q標(biāo)記,Native VLAN外的其它VLAN數(shù)據(jù)都會(huì)做802.1Q封裝的標(biāo)記.n為什么要使用Nati

17、ve VLAN:交換的管理流量以及未指定VLAN的流量,默認(rèn)使用Native VLAN(默認(rèn)為VLAN 1)來傳送,這些流量不需要做802.1Q封裝.n配置命令：nSwitch(config-if)# switchport trunk native vlan 2nSwitch(config-if)# endn注意： n每個(gè)Trunk口的缺省native VLAN是VLAN 1n在配置Trunk鏈路時(shí)，請(qǐng)確保連接鏈路兩端的Trunk口屬于相同的native VLAN其它命令n查看所有vlan信息：nSwitch# show vlann查看某個(gè)vlan信息：nSwitch# show vlan v

18、lan-idn查看接口的類型（是Access還是Trunk）：nSwitch# show interfaces interface-id switchportn刪除某個(gè)vlan：nSwitch# no vlan vlan-idn注意：刪除vlan時(shí)，要先用no interface vlID，再No vlanID 查看VLAN配置n驗(yàn)證配置信息nSwitch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists - - - - - - - Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094nSwitch