第七章虛擬局域網(wǎng)

第七章虛擬局域網(wǎng)第一頁，共85頁。第7章虛擬局域網(wǎng)7.1VLAN的引入7.2VLAN基礎(chǔ)7.3VLAN運(yùn)行原理7.4VLAN協(xié)議格式7.5VLAN的配置7.6

VLAN之間的通信7.7VLAN和以太網(wǎng)技術(shù)在城域網(wǎng)中的應(yīng)用7.8

小結(jié)LanMan2017第二頁，共85頁。7.1VLAN的引入大型交換式局域網(wǎng)（BridgedLAN）存在的問題高性能的以太網(wǎng)交換機(jī)已經(jīng)用于組建較大型的LAN由網(wǎng)橋/交換機(jī)組建的LAN仍屬于同一個(gè)廣播域隨著LAN規(guī)模的擴(kuò)大，出現(xiàn)了難以解決的問題：廣播風(fēng)暴安全問題第三頁，共85頁。7.1VLAN的引入廣播風(fēng)暴的成因廣播域內(nèi)有相當(dāng)多的幀采用廣播式發(fā)送任何一個(gè)廣播幀都會(huì)傳遍整個(gè)廣播域交換機(jī)生成樹協(xié)議的BPDU幀會(huì)周期性發(fā)送到整個(gè)廣播域交換機(jī)擴(kuò)散未知宿地址幀到整個(gè)廣播域廣播域增大，幀的廣播數(shù)量指數(shù)上升，形成廣播風(fēng)暴交換機(jī)站交換機(jī)交換機(jī)站站站LanMan2017第四頁，共85頁。7.1VLAN的引入廣播風(fēng)暴的影響降低網(wǎng)絡(luò)性能浪費(fèi)網(wǎng)絡(luò)帶寬、吞吐率下降，幀轉(zhuǎn)發(fā)時(shí)延急劇增大造成網(wǎng)絡(luò)擁塞，嚴(yán)重時(shí)甚至使網(wǎng)絡(luò)癱瘓?jiān)黾恿税踩[患敏感的數(shù)據(jù)不當(dāng)外泄解決方法：縮小廣播域在L3劃分子網(wǎng)：TCP/IP領(lǐng)域在L2劃分VLAN：本章內(nèi)容劃分一個(gè)大廣播域?yàn)槎鄠€(gè)小廣播域LanMan2017第五頁，共85頁。7.1VLAN的引入本章將站在L2的角度解決廣播風(fēng)暴問題，深入討論：VLAN：虛擬局域網(wǎng)VirtulLocalAreaNetworkVLAN標(biāo)準(zhǔn)最初的版本：IEEE802.1Q-1998目前的版本：IEEE802.1Q-2014最新draft：P802.1Q-REV/D2.0,Jul2017

以太網(wǎng)/VLAN技術(shù)的擴(kuò)展及在城域網(wǎng)中的新應(yīng)用LanMan2017第六頁，共85頁。7.2VLAN基礎(chǔ)7.2.1VLAN概念7.2.2VLAN術(shù)語7.2.3VLAN網(wǎng)橋架構(gòu)LanMan2017第七頁，共85頁。7.2.1VLAN概念什么是VLAN劃分一個(gè)交換式網(wǎng)絡(luò)為多個(gè)相互獨(dú)立的虛擬物理網(wǎng)絡(luò)這些邏輯上的虛擬的物理網(wǎng)絡(luò)稱為VLANVirtualLAN：虛擬局域網(wǎng)VLAN之間相互邏輯隔離，成員之間不能直接通信VLAN之間的通信只能通過L3或更高層LanMan2017第八頁，共85頁。7.2.2VLAN概念VLAN劃分前后圖例VLAN劃分前站點(diǎn)均位于同一廣播域所有站點(diǎn)均可直接通信VLAN劃分后一個(gè)物理網(wǎng)劃分成兩個(gè)虛擬網(wǎng)VLAN2和VLAN3形成兩個(gè)獨(dú)立的廣播域VLAN之間不能通信VLAN之內(nèi)可以通信以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)VLAN2VLAN3LanMan2017第九頁，共85頁。7.2.2VLAN概念VLAN分類可以有多種類型的VLAN取決于不同的VLAN劃分策略VLAN類型舉例基于端口的VLAN是所有可能的VLAN類型的基礎(chǔ)基于協(xié)議的VLAN基于MAC地址的VLAN基于子網(wǎng)的VLANLanMan2017第十頁，共85頁。7.2.2VLAN概念基于端口的VLANPort-basedVLAN指定交換機(jī)的各個(gè)端口歸屬于那一個(gè)VLAN為端口指派VLANID（稱為PVID）按端口物理位置劃分的VLAN靜態(tài)劃分，不會(huì)隨站點(diǎn)接入的端口而變交換機(jī)的一個(gè)端口可同時(shí)屬于多個(gè)VLAN最簡單，卻是得到最廣泛應(yīng)用的VLAN類型LanMan2017第十一頁，共85頁。7.2.3VLAN分類基于MAC地址的VLAN根據(jù)MAC地址對(duì)VLAN分類MAC幀只會(huì)發(fā)送到站點(diǎn)宿站點(diǎn)，安全性好配置繁瑣基于協(xié)議的VLAN根據(jù)高層協(xié)議對(duì)VLAN分類可能出現(xiàn)物理位置重疊VLAN這些分類方式均很少應(yīng)用LanMan2017第十二頁，共85頁。7.2.3VLAN術(shù)語VLAN標(biāo)識(shí)符幀類型VLAN知曉與VLAN非知曉VLAN鏈路獨(dú)立學(xué)習(xí)與共享學(xué)習(xí)LanMan2017第十三頁，共85頁。7.2.3VLAN標(biāo)識(shí)符如何識(shí)別同一物理網(wǎng)絡(luò)中的不同VLAN？給每個(gè)VLAN指派一個(gè)VLAN標(biāo)識(shí)符VLANID（VID）VLAN標(biāo)識(shí)符：VLANIdentifier不同的VLANID標(biāo)識(shí)不同的VLANVID值一個(gè)12bit的無符號(hào)數(shù)，合法范圍：1～4094具體設(shè)備支持的VID范圍可能更小默認(rèn)VID值為1，用戶不能指派他用defaultPVIDvalueLanMan2017第十四頁，共85頁。7.2.3VLAN幀類型VLAN中的MAC幀可以是三種類型：無標(biāo)幀：untaggedframe也稱基本MAC幀如802.3的基本MAC幀有效字段64-1518八位組優(yōu)先級(jí)加標(biāo)幀：priority-taggedframe802.1Q協(xié)議格式在基本MAC頭部增加4個(gè)八位組增加頭部中，僅含優(yōu)先級(jí)，無有效VID的802.1Q幀VLAN加標(biāo)幀：VLAN-taggedframe802.1Q協(xié)議頭部中，既有優(yōu)先級(jí)又含有效VID的幀在802.3as-2006中，更名為簡潔的“Q加標(biāo)幀”LanMan2017第十五頁，共85頁。7.2.3VLAN設(shè)備VLAN中的設(shè)備可分為兩類VLAN知曉設(shè)備：VLANawareVLAN非知曉設(shè)備：VLANunawareVLAN知曉設(shè)備能意識(shí)到VLAN的存在識(shí)別VLAN加標(biāo)幀并予以適當(dāng)?shù)奶幚硗瑫r(shí)也能適當(dāng)處理非加標(biāo)幀典型的VLAN知曉設(shè)備：支持VLAN協(xié)議的交換機(jī)支持VLAN協(xié)議的服務(wù)器LanMan2017第十六頁，共85頁。7.2.3VLAN設(shè)備VLAN非知曉設(shè)備不能意識(shí)VLAN的存在，不能識(shí)別VLAN加標(biāo)幀典型的VLAN非知曉設(shè)備不支持VLAN協(xié)議的交換機(jī)：不認(rèn)識(shí)、但可轉(zhuǎn)發(fā)某些加標(biāo)幀幀長64－1518八位組的有效幀能透明轉(zhuǎn)發(fā)長度≤1518的加標(biāo)幀但不能識(shí)別不認(rèn)識(shí)VLAN，不能加標(biāo)去標(biāo)，只能透明轉(zhuǎn)發(fā)普通的PC機(jī)不認(rèn)識(shí)、也不轉(zhuǎn)發(fā)加標(biāo)幀，直接將其丟棄LanMan2017第十七頁，共85頁。7.2.3VLAN設(shè)備圖中只有交換機(jī)是VLAN知曉設(shè)備交換機(jī)只轉(zhuǎn)發(fā)同一VLAN內(nèi)站點(diǎn)之間的無標(biāo)幀其余設(shè)備(H、SRV)均為VLAN非知曉設(shè)備交換機(jī)VLAN_2VLAN_3H1H2H3H4SRVLanMan2017第十八頁，共85頁。7.2.3VLAN鏈路主干鏈路：TrunkLink通常用于互連VLAN交換機(jī)用于跨交換機(jī)傳遞多個(gè)VLAN的信息鏈路上傳送的是VLAN加標(biāo)幀接入鏈路：AccessLink通常用于將非知曉設(shè)備接入VLAN鏈路上傳送的是無標(biāo)幀接入鏈路上的入端口為無標(biāo)幀加標(biāo)混合鏈路：HybridLink（略）LanMan2017第十九頁，共85頁。7.2.3VLAN鏈路主干鏈路連接運(yùn)行VLAN協(xié)議的交換機(jī)主干鏈路的特點(diǎn)主干鏈路的端口可能屬于多個(gè)VLAN多個(gè)VLAN跨交換機(jī)共用同一鏈路實(shí)現(xiàn)中繼VALN交換機(jī)VLAN交換機(jī)VLAN2VLAN3Trunk

link：VLAN2、3LanMan2017第二十頁，共85頁。7.2.3VLAN鏈路接入鏈路將VLAN非知曉設(shè)備接入VLAN交換機(jī)接入鏈路的特點(diǎn)鏈路只能收發(fā)無標(biāo)幀鏈路上的VLAN入端口只屬于某1個(gè)VLANPCVLAN交換機(jī)HUBPCPCPCPC訪問鏈路LanMan2017第二十一頁，共85頁。7.2.4VLAN網(wǎng)橋架構(gòu)VLAN網(wǎng)橋與普通網(wǎng)橋的系統(tǒng)架構(gòu)非常相似普通網(wǎng)橋：使用ISS服務(wù)VLAN網(wǎng)橋：使用E-ISS服務(wù)兩者的比較見下圖LanMan2017第二十二頁，共85頁。7.2.4VLAN網(wǎng)橋架構(gòu)高層實(shí)體（STP、RSTP、網(wǎng)管、……）MAC實(shí)體MAC實(shí)體MAC中繼實(shí)體ISSISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAP高層實(shí)體（STP、RSTP、網(wǎng)管、……）MAC實(shí)體MAC實(shí)體MAC中繼實(shí)體E-ISSE-ISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAPLanMan2017第二十三頁，共85頁。7.2.4VLAN網(wǎng)橋協(xié)議結(jié)構(gòu)網(wǎng)橋協(xié)議結(jié)構(gòu)模型的構(gòu)成一個(gè)MAC中繼實(shí)體互連網(wǎng)橋各端口，兩個(gè)以上的端口高層協(xié)議實(shí)體，包括STP、RSTP、網(wǎng)管等實(shí)體MAC中繼實(shí)體MAC中繼實(shí)體處理MAC無關(guān)功能中繼幀、過濾幀、學(xué)習(xí)過濾信息等它使用各個(gè)端口的MAC實(shí)體提供的E-ISS服務(wù)端口每個(gè)端口固定關(guān)聯(lián)一個(gè)MAC實(shí)體MAC實(shí)體處理所有MAC方法相關(guān)功能MAC協(xié)議和過程LanMan2017第二十四頁，共85頁。7.2.4一般網(wǎng)橋的結(jié)構(gòu)兩端口網(wǎng)橋的體系結(jié)構(gòu)Fig.7-3,802.1D-2004高層實(shí)體（STP、RSTP、網(wǎng)管、……）MAC實(shí)體MAC實(shí)體MAC中繼實(shí)體ISSISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAPLanMan2017第二十五頁，共85頁。7.2.4VLAN網(wǎng)橋的結(jié)構(gòu)兩端口網(wǎng)橋的體系結(jié)構(gòu)Fig.8-3,802.1Q-2014高層實(shí)體（STP、RSTP、網(wǎng)管、……）MAC實(shí)體MAC實(shí)體MAC中繼實(shí)體E-ISSE-ISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAPLanMan2017第二十六頁，共85頁。7.2.4網(wǎng)橋的內(nèi)部子層服務(wù)網(wǎng)橋的內(nèi)部子層服務(wù)是無連接模式MAC服務(wù)服務(wù)原語MA-UNITDATArequestMA-UNITDATAindication原語參數(shù)有4個(gè)DA、SA、MSDU、優(yōu)先級(jí)LanMan2017第二十七頁，共85頁。7.3.2VLAN網(wǎng)橋中的E-ISSE-ISS：增強(qiáng)內(nèi)部子層服務(wù)是ISS的增強(qiáng)，增加了幀的加標(biāo)去標(biāo)功能定義了VLAN知曉網(wǎng)橋中的MAC服務(wù)支持VLAN中繼功能VLAN知曉網(wǎng)橋就是支持這些功能的網(wǎng)橋E-ISS服務(wù)定義的單元數(shù)據(jù)原語是EM_UNITDATA.indicationEM_UNITDATA.request參數(shù)主要包括DA/SA、MSDU、用戶優(yōu)先級(jí)、VLANIDLanMan2017第二十八頁，共85頁。7.3VLAN運(yùn)行原理VLAN網(wǎng)橋與普通網(wǎng)橋運(yùn)行原理基本一致但幀的處理有一定區(qū)別運(yùn)行的要素也涉及幀接收與幀發(fā)送轉(zhuǎn)發(fā)過程學(xué)習(xí)過程VLAN交換機(jī)的幀處理針對(duì)加標(biāo)幀和無標(biāo)幀，加標(biāo)、刪標(biāo)幀處理主要考慮是否為有效幀如果是有效幀，是否轉(zhuǎn)發(fā)如果轉(zhuǎn)發(fā)，是否需要加或刪VLANID本節(jié)主要討論兩者的區(qū)別，其他參見教材LanMan2017第二十九頁，共85頁。7.3VLAN運(yùn)行原理與普通網(wǎng)橋相比，VLAN網(wǎng)橋運(yùn)行有以下不同VLAN網(wǎng)橋處理MAC幀類型基本MAC幀和VLAN加標(biāo)幀對(duì)MAC幀的散播，僅在本VLAN中進(jìn)行VLAN網(wǎng)橋處理MAC幀需要考慮不僅丟棄無效和差錯(cuò)幀，還要丟棄不符合入口規(guī)則的幀不僅過濾源目同端口的幀，也要過濾不符合入口規(guī)則的幀幀中繼時(shí)，由出口規(guī)則決定是否加標(biāo)或是去標(biāo)LanMan2017第三十頁，共85頁。7.3VLAN運(yùn)行原理入口規(guī)則符合以下規(guī)則的幀將被允許入口，否則丟棄接收到幀與收端口配置的幀類型相符接收到幀的VLANID與收端口配置的VLANID相符出口規(guī)則符合以下規(guī)則的幀將被允許出口（轉(zhuǎn)發(fā)），否則丟棄需要發(fā)送的幀與發(fā)端口配置的幀類型相符需要發(fā)送的幀的VLANID與發(fā)端口配置的VLANID相符LanMan2017第三十一頁，共85頁。V37.3VLAN運(yùn)行原理－處理例設(shè)兩交換機(jī)MAC表空，H1向H5發(fā)送一幀SW1處理:p1屬V_3收到無標(biāo)幀，宿地址不在V_3表中，向p2、p4轉(zhuǎn)發(fā)，其中向p4轉(zhuǎn)發(fā)幀加標(biāo)記，然后在V_3中添加MAC(1)表項(xiàng)SW2處理:p3收到V_3加標(biāo)幀，宿地址不在V_3表中，刪除標(biāo)記后向端口2轉(zhuǎn)發(fā)，然后在V_3中添加MAC(1)表項(xiàng)VLAN交換機(jī)1123

H1

H2

H3

VLAN交換機(jī)212

H4

H543V2第三十二頁，共85頁。7.4VLANPDUMAC加標(biāo)幀（Taggedframe）在基本MAC幀的頭部增加標(biāo)志字段標(biāo)志段包括：VLANID、用戶優(yōu)先級(jí)分別對(duì)應(yīng)：VLAN加標(biāo)幀、優(yōu)先級(jí)加標(biāo)幀跨交換機(jī)劃分VLAN，交換機(jī)間傳輸VLAN加標(biāo)幀802.3-2002引入加標(biāo)MAC幀格式其中，802.1Q標(biāo)志類型可作為VLAN加標(biāo)幀802.3as-2006改稱：Q加標(biāo)幀，更為簡潔LanMan2017第三十三頁，共85頁。7.4VLANPDULength/TypeFCSDASA以太網(wǎng)：基本MAC幀以太網(wǎng)：VLAN加標(biāo)幀/Q加標(biāo)幀F(xiàn)CSDASATPIDVLANIDPCFIVLAN標(biāo)記頭

MACClientDataLength/Type

MACClientDataLanMan2017第三十四頁，共85頁。7.4VLANPDUTPIDVLANIDPCFI

用以標(biāo)識(shí)加標(biāo)幀的類型

81-00表示802.1QTagType即VLAN協(xié)議3bits1bit12bitsTCI：TagControlInformation

2個(gè)八位組TagProtocolIdentifier2個(gè)八位組優(yōu)先級(jí)：3位，

0～7共8個(gè)等級(jí)不同設(shè)備支持優(yōu)先級(jí)的等級(jí)數(shù)有差異優(yōu)先級(jí)高的幀先發(fā)出

用一個(gè)12位無符號(hào)二進(jìn)數(shù)表示

0：nullVLANID，則該幀是用戶優(yōu)先級(jí)幀

VLAN加標(biāo)幀的標(biāo)志頭中必須有非空VLANID1：defaultVLANID基于端口

VLAN默認(rèn)值，可由網(wǎng)管改變FFF：保留有效范圍：1～4094LanMan2017第三十五頁，共85頁。7.4VID格式VID用一個(gè)12位無符號(hào)二進(jìn)數(shù)作為VLAN標(biāo)識(shí)符，唯一標(biāo)識(shí)了該幀歸屬的VLAN。0：nullVLANID，表示該幀是用戶優(yōu)先級(jí)幀VLAN加標(biāo)幀的標(biāo)志頭中必須有非空VLANID1：defaultPVIDvalue，基于端口VLAN中的默認(rèn)值，可用網(wǎng)管改變FFF：保留LanMan2017第三十六頁，共85頁。7.5VLAN的配置7.5.1根據(jù)需要?jiǎng)澐諺LAN7.5.2組建VLAN的條件7.5.3基于端口VLAN的實(shí)現(xiàn)7.5.4VLAN之間的通信LanMan2017第三十七頁，共85頁。7.5.2組建VLAN的條件組建VLAN的條件VLAN通常是基于交換式以太網(wǎng)的因此組建VLAN需要至少一個(gè)，或多個(gè)以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)必須支持VLANtrunk協(xié)議802.1Q（IEEE標(biāo)準(zhǔn)）ISL（Cisco專用協(xié)議，僅對(duì)Cisco交換機(jī)互聯(lián)有效）注意交換機(jī)支持VLAN的數(shù)目因設(shè)備而異LanMan2017第三十八頁，共85頁。7.5.3基于端口VLAN的實(shí)現(xiàn)先創(chuàng)建VLAN，設(shè)置VLANID在每臺(tái)VLAN交換機(jī)手動(dòng)配置VLAN（Cisco交換機(jī)也可利用VTP域，只在一臺(tái)交換機(jī)上手動(dòng)創(chuàng)建VLAN，在同一VTP域的其他交換機(jī)自動(dòng)學(xué)習(xí)已創(chuàng)建的VLAN）

關(guān)于VTP協(xié)議請(qǐng)參看第六章參考資料再對(duì)交換機(jī)端口進(jìn)行配置portmodeforeachportTrunkmodeOr:Accessmode

VLANIDforeachportVLANtrunkprotocoltypefortrunkport）（不同商家交換機(jī)互連時(shí)，trunk鏈路的端口必須配置相同的協(xié)議：802.1Q）LanMan2017第三十九頁，共85頁。案例1：單交換機(jī)基于端口的VLAN配置假設(shè)所有H為VLAN非知曉的需要配置內(nèi)容如下：VLAN交換機(jī)

12345H1H2H3H4H5V2

V3portPortmodeVLANIDFrametype1、2、34、5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）LanMan2017第四十頁，共85頁。案例2：VLAN中繼配置

交換機(jī)1port5和交換機(jī)2port3分別設(shè)置為：trunkmode，VLAN2和3，tagged（默認(rèn)），（trunkprotocol）兩交換機(jī)其他端口設(shè)置，請(qǐng)自己分析完成注意：主干鏈路必須配置需要中繼的所有VLANID

圖中如只配置VLAN2，則H6將不能與H1和H2通信VLAN3AccesslinkTrunklinkH2H1H3VLAN交換機(jī)1H4VLAN2H5VLAN交換機(jī)2H612345312不同商家交換機(jī)互連，必須設(shè)置為802.1Q。如思科交換機(jī)默認(rèn)為ISL,而非802.1Q。

LanMan2017第四十一頁，共85頁。特殊案例：accesslink站點(diǎn)屬于多個(gè)VLAN需要配置內(nèi)容如下（假設(shè)所有H為VLAN非知曉的）VLAN交換機(jī)

12345H1H2H3H4H5V2

V3portPortmodeVLANIDFrametype1、2、34multiVLAN2、3Untagged5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）Multi端口

廠商為了應(yīng)用方便推出的技術(shù),得到多廠商支持基本特性：一個(gè)端口位于多個(gè)VLAN

注意：破壞了VLAN嚴(yán)格的邏輯隔離性能可用于：一臺(tái)服務(wù)器為多個(gè)PC機(jī)服務(wù)LanMan2017第四十二頁，共85頁。7.6VLAN之間的通信VLAN之間的通信不同VLAN之間不能直接通信交換機(jī)邏輯隔離各個(gè)VLANVLAN間的通信，通常在L2以上處理使用路由設(shè)備在L3實(shí)現(xiàn)VLAN間路由使用應(yīng)用層網(wǎng)關(guān)VALN間路由示例如后LanMan2017第四十三頁，共85頁。路由器多個(gè)端口實(shí)現(xiàn)VLAN間通信路由器R是一個(gè)VLAN非知曉設(shè)備不知道VLAN的存在也不知道這兩個(gè)VLAN來自同一個(gè)交換機(jī)各個(gè)端口連接的是不同的IP子網(wǎng)應(yīng)用中，路由器的一個(gè)端口連接一個(gè)VLAN為了路由，每個(gè)VLAN均設(shè)置為一個(gè)IP子網(wǎng)通過路由互連了VLANVLAN2VLAN3VLAN交換機(jī)R192.168.1.0192.168.2.0f0/1f0/2AccesslinkLanMan2017第四十四頁，共85頁。路由器（或L3交換機(jī)）一個(gè)端口實(shí)現(xiàn)VLAN間通信多VLAN經(jīng)trunk鏈路連接路由器（L3交換機(jī)）一個(gè)端口路由器（L3交換機(jī)）該端口具有橋接模塊，支持VLANtrunk功能需要路由的每個(gè)VLAN設(shè)置獨(dú)立的IP子網(wǎng)路由器（L3交換機(jī)）的f0/1口知曉VLAN存在f0/1.1子接口對(duì)應(yīng)VLAN2，f0/1.2子接口對(duì)應(yīng)VLAN3各VLAN的端站IP網(wǎng)關(guān)分別指向所屬VLAN的子接口VLAN2VLAN3VLAN交換機(jī)L3SW192.168.1.0192.168.2.0f0/1trunklink(VLAN2、VLAN3）f0/1.2192.168.2.1f0/1.1192.168.1.1第四十五頁，共85頁。VLAN與IP子網(wǎng)的討論VLAN通過L2交換機(jī)劃分，是L2層概念VLAN是邏輯網(wǎng)絡(luò)交換機(jī)邏輯隔離各個(gè)VLAN不同VLAN的成員之間不能直接通信IP子網(wǎng)通過L3交換機(jī)或路由器劃分，是L3層概念當(dāng)VLAN間需要路由時(shí)每個(gè)VLAN必須對(duì)應(yīng)設(shè)置一個(gè)獨(dú)立的IP子網(wǎng)這完全是因?yàn)槁酚傻男枰〉粋€(gè)VLAN并非就是一個(gè)IP子網(wǎng)！LanMan2017第四十六頁，共85頁。7.7電信級(jí)以太網(wǎng)（自學(xué)）7.7.1背景7.7.2相關(guān)標(biāo)準(zhǔn)7.7.3技術(shù)概要7.7.4基于網(wǎng)橋的CE7.7.5運(yùn)營級(jí)主干網(wǎng)橋7.7.6運(yùn)營級(jí)主干傳送網(wǎng)7.7.7PBT實(shí)例總結(jié)LanMan2017第四十七頁，共85頁。7.7.1背景背景一用戶級(jí)以太網(wǎng)技術(shù)和VLAN是否可以發(fā)展為運(yùn)營級(jí)？然而VLAN和以太網(wǎng)技術(shù)原本是針對(duì)局域網(wǎng)環(huán)境的無法滿足電信級(jí)運(yùn)營的城域網(wǎng)要求，如：VLAN數(shù)量的限制用戶網(wǎng)絡(luò)與運(yùn)營商網(wǎng)絡(luò)的隔離QoS保障……一系列新的802規(guī)范推出：802.1ad、802.1ah、802.1ag、802.1Qay、……用戶級(jí)網(wǎng)橋開始演進(jìn)成運(yùn)營級(jí)網(wǎng)橋LanMan2017第四十八頁，共85頁。7.7.1背景背景二以太網(wǎng)業(yè)務(wù)的需求以太網(wǎng)最初僅是是一種IP承載技術(shù)以太幀已隨IP網(wǎng)絡(luò)而成為一種通用承載以太網(wǎng)傳送因規(guī)模效應(yīng)帶來成本優(yōu)勢(shì)而加速推廣運(yùn)營商開始考慮將以太網(wǎng)作為一種業(yè)務(wù)推向用戶電信級(jí)以太網(wǎng)因而包括兩大范疇以太網(wǎng)業(yè)務(wù)具有電信級(jí)特征的以太網(wǎng)傳送技術(shù)LanMan2017第四十九頁，共85頁。7.7.1背景背景三：需求以太網(wǎng)業(yè)務(wù)的電信級(jí)質(zhì)量電信級(jí)傳送：安全、QoS、電信級(jí)網(wǎng)絡(luò)：網(wǎng)絡(luò)保護(hù)電信級(jí)運(yùn)維：OAM……背景四：基本策略基于現(xiàn)有技術(shù)改進(jìn)：MPLS、以太網(wǎng)橋、……LanMan2017第五十頁，共85頁。7.7.1背景背景五：MEF主導(dǎo)的名稱演變MEF：MetroEthernetForum城域以太網(wǎng)論壇2001年最初稱為：城域以太網(wǎng)MetroEthernet后來曾稱：運(yùn)營級(jí)以太網(wǎng)或運(yùn)營商以太網(wǎng)CarrierGrade/ClassEthernet2005年后正式使用：電信級(jí)以太網(wǎng)CarrierEthernetLanMan2017第五十一頁，共85頁。7.7.1背景背景六：電信級(jí)以太網(wǎng)涉及多方面標(biāo)準(zhǔn)MEF：以太業(yè)務(wù)、端到端特性IEEE802：PBB/PBTITU-T：T-MPLS（PTN）IETF：IP/MPLS、MPLS-TP反映出：多方關(guān)注標(biāo)準(zhǔn)復(fù)雜LanMan2017第五十二頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)MEF標(biāo)準(zhǔn)MEF認(rèn)為：運(yùn)營商使用以太連通性技術(shù)以提供以太業(yè)務(wù)電信級(jí)以太網(wǎng)應(yīng)常用面向連接的模式MEF關(guān)注：體系結(jié)構(gòu)、業(yè)務(wù)規(guī)范及一致性測(cè)試、業(yè)務(wù)模型并不局限于特定實(shí)現(xiàn)MEF文檔：MEF1~MEF15，……LanMan2017第五十三頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)MEF4系統(tǒng)架構(gòu)和參考模型MEF6/10以太業(yè)務(wù)的定義、屬性和參數(shù)MEF6：以太業(yè)務(wù)的定義以太業(yè)務(wù)：兩種類型、三個(gè)級(jí)別E-LineP2PEVC：點(diǎn)對(duì)點(diǎn)以太虛連接可提供兩個(gè)級(jí)別的業(yè)務(wù)：EPL、EVPL以太網(wǎng)專線、以太虛擬專線E-LANMP2MPEVC：多點(diǎn)對(duì)多點(diǎn)以太虛連接可提供以太局域網(wǎng)業(yè)務(wù)LanMan2017第五十四頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)IETF相關(guān)標(biāo)準(zhǔn)MPLS協(xié)議族MPLS-TP協(xié)議族ITU-T相關(guān)標(biāo)準(zhǔn)T-MPLS協(xié)議族OAM：以太網(wǎng)的運(yùn)維LanMan2017第五十五頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)IEEE802相關(guān)標(biāo)準(zhǔn)：PBB/PBTPBB：ProviderBackboneBridgePBT：ProviderBackboneTransport（PBB-TE）增強(qiáng)MAC橋、構(gòu)建電信級(jí)以太網(wǎng)802標(biāo)準(zhǔn)系列802.1ad-2005：QinQ802.1ag-2007：CFM802.1ah-2008：MACinMAC802.1Qay-2009：PBB-TE802.1aq（制定中）：SPBLanMan2017第五十六頁，共85頁。7.7.3技術(shù)概要基于：現(xiàn)有技術(shù)改進(jìn)基于MPLS：使用標(biāo)簽（Label）建立連接基于網(wǎng)橋：使用隧道（路徑指配）建立連接簡化：現(xiàn)有技術(shù)中無需的復(fù)雜性MPLS：專用于IP傳送的無連接特性以太網(wǎng)橋：用戶級(jí)的便利性增強(qiáng)：電信級(jí)網(wǎng)絡(luò)的特征面向連接、OAM安全、QoS、網(wǎng)絡(luò)保護(hù)LanMan2017第五十七頁，共85頁。7.7.3技術(shù)概要基于MPLST-MPLS、MPLS-TPT-MPLS=MPLS-IP+OAM基于以太網(wǎng)橋PBB/PBT、PBB-TEPBT=PBB-L2不安全+TE+OAMLanMan2017第五十八頁，共85頁。7.7.3技術(shù)概要CE：多層面認(rèn)識(shí)業(yè)務(wù)等級(jí)MEF9、MEF14、MEF18基礎(chǔ)網(wǎng)絡(luò)設(shè)施數(shù)據(jù)平面：可基于MPLS或PBB/PBT管理平面：OAM、CFM、……控制平面：信令、路由（例如SPB）、……LanMan2017第五十九頁，共85頁。7.7.4基于網(wǎng)橋的CE基于網(wǎng)橋網(wǎng)橋MAC橋，L2橋接，遵循802.1D標(biāo)準(zhǔn)橋接式局域網(wǎng)：取得極大成功高性能、低成本自動(dòng)配置（PnP）、使用簡便但是：安全強(qiáng)度很低、可管理性很弱“電信級(jí)”改造保持高性能、低成本強(qiáng)化安全性、可管理性，不在乎增加使用復(fù)雜性LanMan2017第六十頁，共85頁。7.7.4基于網(wǎng)橋的CEIEEE802.1Q標(biāo)準(zhǔn)擴(kuò)展IEEE基于802.1Q進(jìn)行了一系列擴(kuò)展從VLAN起步，構(gòu)造了PBB/PBT構(gòu)造網(wǎng)絡(luò)的數(shù)據(jù)平面、管理平面、控制平面802.1Q標(biāo)準(zhǔn)制定非?；钴S802.1Q系列標(biāo)準(zhǔn)：見下802.1Q制定中標(biāo)準(zhǔn)：見下LanMan2017第六十一頁，共85頁。7.7.4基于網(wǎng)橋的CE802.1Q系列：已制定標(biāo)準(zhǔn)802.1Q-2005VLANBridges802.1ad-2005ProviderBridging802.1ag-2007ConnectivityFaultManagement802.1ah-2008ProviderBackboneBridge(PBB)802.1aj-2009TwoPortMACRelay(TPMR)802.1ak-2007MRP,MVRPandMMRP802.1ap-2008MIBdefinitionsforVLANBridges802.1Qat-2010StreamReservationProtocol(SRP)802.1Qau-2010CongestionManagement802.1Qav-2009ForwardingandQueuingEnhancementsforTime-sensitiveStreams802.1Qaw-2009ManagementofData-DrivenandData-DependentConnectivityFaults802.1Qay-2009PBB-TELanMan2017第六十二頁，共85頁。7.7.4基于網(wǎng)橋的CE802.1Q：制定中標(biāo)準(zhǔn)802.1aqShortestPathBridging(SPB)802.1QazEnhancedTransmissionSelectionforBandwidthSharingBetweenTrafficClasses802.1QbbPriority-basedFlowControl802.1QbcProviderBridging-RemoteCustomerServiceInterface802.1QbeMultipleBackboneServiceInstanceIdentifier(I-SID)RegistrationProtocol(MIRP)802.1QbfPBB-TEInfrastructureSegmentProtection802.1QbgEdgeVirtualBridging-VEPA802.1QbhBridgeportExtension/VN-TagLanMan2017第六十三頁，共85頁。7.7.4基于網(wǎng)橋的CE數(shù)據(jù)平面802.1Q-2005（1998）：Q加標(biāo)幀，層次性封裝起步802.1ad-2005：QinQ，VLAN隔離802.1ah-2008：MACinMAC，PBB，地址空間隔離管理平面802.1ag-2007：CFM，橋接網(wǎng)絡(luò)OAM控制平面802.1Qay-2009：PBB-TE（PBT）802.1aq-?：SPB（最短路徑橋接）802.1Qax、802.1Qbx、……LanMan2017第六十四頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋多層封裝802.1ad：隔離VLAN空間802.1ah：隔離MAC地址空間實(shí)現(xiàn)：流量隔離用戶流量不直接承載在主干網(wǎng)實(shí)現(xiàn)：空間隔離用戶地址空間與運(yùn)營商地址空間隔離可能：傳送機(jī)制隔離主干網(wǎng)轉(zhuǎn)發(fā)機(jī)制與用戶轉(zhuǎn)發(fā)無直接關(guān)系LanMan2017第六十五頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋PBB：幀格式演變SA:SourceAddressDA:DestinationAddressVID:VLANIDC-VID:CustomerVIDS-VID:ServiceVIDI-SID:ServiceInstanceIDB-VID:BackboneVIDB-DA:BackboneDAB-SA:BackboneSAPayloadPayloadPayloadC-VIDC-VIDPayloadVIDS-VIDS-VIDSASASASADADADADA802.1802.1Q802.1adPBI-SIDB-VIDB-SAB-DA802.1ahPBBLanMan2017第六十六頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋QinQ：多層封裝802.1ad-2005：QinQ提出：運(yùn)營商級(jí)VLAN，對(duì)立于用戶級(jí)VLAN基于802.1Q：在用戶Q-Tag之外加封運(yùn)營商Q-Tag即是：在802.1Q加標(biāo)幀基礎(chǔ)上再加封一個(gè)802.1ad的標(biāo)志頭用戶級(jí)C-VID（CustomerVID）、運(yùn)營商級(jí)S-VID（ServiceVID）運(yùn)營商橋接LAN與用戶LAN完全獨(dú)立定義運(yùn)營商網(wǎng)橋及運(yùn)營商橋接LAN運(yùn)營商和用戶分別獨(dú)立管理各自的網(wǎng)絡(luò)運(yùn)營商網(wǎng)絡(luò)（802.1ad）、用戶網(wǎng)絡(luò)（802.1Q）使運(yùn)營商服務(wù)VLAN與用戶VLAN完全獨(dú)立實(shí)現(xiàn)了相互隔離的VLAN雙層空間運(yùn)營商可自由配置VLAN多個(gè)用戶的VLAN無需統(tǒng)一QinQ技術(shù)實(shí)現(xiàn)了用戶VLAN流量在運(yùn)營商網(wǎng)絡(luò)上的透明傳送LanMan2017第六十七頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋802.1ad：網(wǎng)絡(luò)結(jié)構(gòu)PBVLAN10SW域A1：用戶ALAN運(yùn)營商橋接LANPB：運(yùn)營商網(wǎng)橋PBPBPBPBVLAN10SWVLAN20VLAN20SW域A3用戶ALANQ加標(biāo)幀域A2：用戶ALAN用戶1LAN用戶1LAN用戶2LAN用戶2LAN運(yùn)營商橋接LAN802.1ad用戶LAN：傳送802.1Q加標(biāo)幀運(yùn)營商LAN:

傳送QinQ加標(biāo)幀Q加標(biāo)幀Q加標(biāo)幀QinQ加標(biāo)幀LanMan2017第六十八頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋802.1ah：MACINMAC的引入802.1ad技術(shù)用于城域網(wǎng)的局限性雖然能夠隔離用戶VLAN和運(yùn)營商VLAN但運(yùn)營商網(wǎng)橋仍會(huì)學(xué)習(xí)用戶MAC地址，運(yùn)營商不能隔離用戶MAC運(yùn)營商VLANID為12位，運(yùn)營商的服務(wù)VLAN數(shù)受限，不利規(guī)模發(fā)展為解決802.1ad的問題而制定802.1ah-2008MACinMAC機(jī)制2008/08/14，2008/06/12LanMan2017第六十九頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋PBB：802.1ah-2008運(yùn)營商級(jí)網(wǎng)橋、PBT的技術(shù)基礎(chǔ)ProviderBackboneBridge基本機(jī)制：MACinMAC雙層地址空間：在用戶MAC之外加封運(yùn)營商MAC在MAC層隔離了運(yùn)營商和用戶地址域強(qiáng)化了：以太網(wǎng)的可擴(kuò)展性、業(yè)務(wù)的安全性I-TAG的引入是PBB的關(guān)鍵I-TAG：業(yè)務(wù)實(shí)例標(biāo)簽、長度24bit、用以標(biāo)識(shí)業(yè)務(wù)服務(wù)實(shí)例提升為224（16M）（802.1ad為212，4K）MAC幀轉(zhuǎn)發(fā)可以基于運(yùn)營商地址空間BDA/BSA：運(yùn)營商主干網(wǎng)目的/源地址雙地址空間和基于BDA/BSA轉(zhuǎn)發(fā)隔離：運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)LanMan2017第七十頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋PBB的4種類型主干邊緣橋：3種BackboneEdgeBridge僅包括一個(gè)I成份，可識(shí)別和封裝業(yè)務(wù)VLAN僅包括一個(gè)B成份，可識(shí)別B-VLAN同時(shí)包括一個(gè)I成份和一個(gè)B成份既可識(shí)別和封裝業(yè)務(wù)VLAN，也可識(shí)別B-VLAN普通的運(yùn)營商網(wǎng)橋：1種原本的802.1ad網(wǎng)橋LanMan2017第七十一頁，共85頁。7.7.5運(yùn)營級(jí)主干網(wǎng)橋運(yùn)營商橋接LAN（802.1ad）用戶ALAN運(yùn)營商主干橋接LAN

（802.1ah）運(yùn)營商橋接LAN（802.1ad）用戶CLAN用戶BLAN用戶ALAN運(yùn)營商橋接LAN（802.1ad）運(yùn)營商橋接LAN（802.1ad）用戶CLAN用戶ALAN用戶BLAN用戶VLAN幀：1Q加標(biāo)幀Q-in-Q加標(biāo)幀MAC-in-MAC加標(biāo)幀802.1ah：網(wǎng)絡(luò)結(jié)構(gòu)LanMan2017第七十二頁，共85頁。7.7.6運(yùn)營級(jí)主干傳送網(wǎng)PBT：運(yùn)營商主干傳送網(wǎng)ProviderBackboneTransportPBT：BT提出，Nortel啟動(dòng)研發(fā)英國電信（BritishTelecom）、北電IEEE802.1Qay-2009：PBB-TEPBBTrafficEngineering支持流量工程的運(yùn)營商主干網(wǎng)橋PBT技術(shù)特征基于PBBPBT=MACinMAC-L2不安全+TE+OAMLanMan2017第七十三頁，共85頁。7.7.6運(yùn)營級(jí)主干傳送網(wǎng)PBT理解：雙重地址空間運(yùn)營商地址空間802.1ah定義了BDA/BSA地址配置：通過管理平面、控制平面，運(yùn)營商可管理運(yùn)營商地址空間與用戶地址空間相互隔離用戶地址配置：通常取自網(wǎng)卡物理地址，用戶使用便利幀轉(zhuǎn)發(fā)依據(jù)BDA而不是DA在運(yùn)營級(jí)網(wǎng)絡(luò)上隔離了用戶流量LanMan2017第七十四頁，共85頁。7.7.6運(yùn)營級(jí)主干傳送網(wǎng)PBT理解：PBB簡化取消原有橋接網(wǎng)中的某些不安全機(jī)制地址自動(dòng)學(xué)習(xí)、洪泛式轉(zhuǎn)發(fā)、生成樹協(xié)議這些機(jī)制為用戶提供使用的方便，但極易受到攻擊洪泛轉(zhuǎn)發(fā)：取消DA不明幀：丟棄，不洪泛轉(zhuǎn)發(fā)MAC自學(xué)習(xí)功能：關(guān)閉地址配置：預(yù)先配置，而非源地址學(xué)習(xí)配置在管理平面實(shí)現(xiàn)，并逐漸交由控制平面組播功能：關(guān)閉、丟棄組播/廣播幀環(huán)路阻止協(xié)議：關(guān)閉（例如STP、RSTP）LanMan2017第七十五頁，共85頁。7.7.6運(yùn)營級(jí)主干傳送網(wǎng)PBT理解：轉(zhuǎn)發(fā)路徑數(shù)據(jù)幀的轉(zhuǎn)發(fā)路徑：預(yù)指配轉(zhuǎn)發(fā)判據(jù)：外層的MAC和VIDBDA+BVID不同的B-DA可以采用相同的C-VID用戶VLAN（內(nèi)層的C-VID）無需全網(wǎng)唯一兼容傳統(tǒng)以太網(wǎng)橋架構(gòu)用戶數(shù)據(jù)幀無需要修改主干數(shù)據(jù)幀具有標(biāo)準(zhǔn)的以太幀格式中繼節(jié)點(diǎn)無需更新即可基于（BDA+BVID）轉(zhuǎn)發(fā)數(shù)據(jù)幀運(yùn)營商對(duì)CE可控，并可隔離用戶流量轉(zhuǎn)發(fā)效率高、設(shè)備成本低LanMan2017第七十六頁，共85頁。7.7.6運(yùn)營級(jí)主干傳送網(wǎng)PBT理解：使CE具有準(zhǔn)連接性增加面向連接的特性以便實(shí)現(xiàn)電信傳送網(wǎng)功能保護(hù)切換、OAM、QoS、流量工程，等LanMan2017第七十七頁，共85頁。7.7.6運(yùn)營級(jí)主干傳送網(wǎng)PBB：增強(qiáng)運(yùn)營級(jí)網(wǎng)絡(luò)特性可配置：流量工程和保護(hù)點(diǎn)到點(diǎn)業(yè)務(wù)實(shí)例Pt-PtServiceInstanc