1、2018/6/8,1,虚拟局域网VLAN,2018/6/8,2,一 问题的引入,有很多企业在发展的初期,人员较少 ,因此对网络的要求也不高,而且为了节约成本,很多企业网都采用了通过路由器实现分段的简单结构。在这样的网络下,每一个局域网上的广播数据包都可以被该段上的所有设备收到,而无论这些设备是否需要。随着企业规模的不断扩大,特别是多媒体在企业局域网中的应用,使每个部门内部的数据传输量非常大。此外,由于公司发展中的需要,使得一个部门的员工不能相对集中办公。更重要的是,公司的财务部门需要越来越高的安全性,不能和其他的部门混用一个以太网段,以防止数据窃听。,2018/6/8,3,1 存在的问题,广播
2、问题 大量的数据广播给了没必要接受这些数据的终端。网络中存在过多的数据。安全性问题 把数据传送给了本不应该接受这些数据的终端,存在安全隐患。管理问题 终端的移动会造成管理的负担,2018/6/8,4,2 问题的解决途径,利用交换机通过VLAN (Virtual Local Area Network)技术分割广播域,划分不同的逻辑局域网以解决上述存在的问题。,2018/6/8,5,二 什么是VLAN,VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子
3、网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。,2018/6/8,6,三 划分VLAN的基本策略,基于端口的VLAN划分基于MAC地址的VLAN划分基于子网的VLAN划分基于用户的VLAN划分,2018/6/8,7,1 基于端口的VLAN划分,基于端口的VLAN的划分是最简单、有效的VLAN划分方法(目前定义VLAN的最广泛的方法),它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机
4、端口定义VLAN两种情况:,2018/6/8,8,单交换机端口定义VLAN,如图所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。,2018/6/8,9,多交换机端口定义VLAN,如图所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。,2018/6/8,10,2基于MAC地址的VLAN划分,基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于V
5、LAN10,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。(如下图),2018/6/8,11,2018/6/8,12,3基于子网的VLAN划分,基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN(如下图),2018/6/8,13,2018/6/8,14,4基于用户的VLAN划分,基于用户的VL
6、AN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。,2018/6/8,15,策略小结,VLAN的划分策略基本可分为静态VLAN和动态VLAN。其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的,不同厂商的设备之间互联有可能出现兼容性问题。,2018/6/8,16,各种策略的比较,基于端口的VLAN划分 优点:简单,容易实现,从一个端口发出的广播,直接发送到虚拟局域网内的其他端口,也便于直接监
7、控。 缺点:使用不够灵活,当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员(这一点可以通过灵活的网络管理软件来弥补 )。,2018/6/8,17,2.基于MAC地址的VLAN划分 优点:交换机对终端的MAC地址和交换机端口进行跟踪,在新终端入网时根据已经定义的虚拟局域网MAC对应表将其划归至某一个虚拟局域网,而无论该终端在网络中怎样移动,由于其MAC地址保持不变,故不需进行虚拟局域网的重新配置。这种方式减少了日常维护工作量。 缺点:所有的终端必须被明确的分配在一个具体的虚拟局域网,任何时候增加终端或者更换网卡,都要对虚拟局域网数据库调整,以实现对该终端的动态跟踪。,2
8、018/6/8,18,3.基于子网的VLAN划分 优点:用户的物理位置改变,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,并且这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。 缺点:效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时(与各厂商的实现方法有关)。,2018/6/8,19,4.基于用户的VLAN划分属于OSI第四层以上的信息,决定端口所属VLAN时利用的信息在OSI中的层面越高,就越适于构建灵活多变的网
9、络。,2018/6/8,20,四 VLAN的标准,对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于Cisco Catalyst交换机的大量使用,ISL也成为一种不是标准的标准了。 802.10VLAN标准 在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FrameTagging(帧标签)模式中所必须的VLAN标签。然而,大多数802委员会的成员都反
10、对推广802.10。因为,该协议是基于FrameTagging方式的。,2018/6/8,21, 802.1Q 在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了FrameTagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产
11、品中。 Cisco ISL 标签ISL(Inter-Switch Link)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。,2018/6/8,22,五 VLAN发展趋势,目前在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但网络性能、网络流量控制、网络通信优先级控制等还有待提高。VTP(VLAN Trunking Protocol虚拟局域网干道协议 )技术、STP(Span
12、ning Tree Protocol 生成树协议)技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(MultipleSpanningTrees)和IEEE802.1W(RapidReconfigurationofSpanningTree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IE
13、EE802.1P协议提出了COS(ClassofService)标准,这使网络通信优先级控制机制有了参考。,2018/6/8,23,ARP协议(address resolution Protocol),基本功能:在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议栈中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(add
14、ress resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。,2018/6/8,24,ARP协议(address resolution Protocol),工作原理:1 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址; 2 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址; 3 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用; 4 如果不存在,RARP服务器对此不做任何的响应; 5 源主机收到从RARP服务
15、器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。 6如果在第1-3中被ARP病毒攻击,则服务器做出的反映就会被占用,源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。 (ARP命令),2018/6/8,25,广播域,广播域(Broadcast Domain)是指网段上所有设备的集合。这些设备收听送往那个网段的所有广播;网络中能接收任一设备发出的广播帧的所有设备的集合;广播域是基于第二层(链路层);广播域就是说如果站点发出一个广播信号后能接收到这个信号的范围。通常来说一个局域网就是一个广播域
16、。,2018/6/8,26,广播风暴,所谓广播风暴(Broadcast Storm),简单的讲,当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”。一个数据帧或 包被传输到本地网段 (由广播域定义)上的每个节点就是广播;由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制,传播数据帧,导致网络性能下降,甚至网络瘫痪,这就是广播风暴。,2018/6/8,27,交换局域网,交换式局域网所有站点都连接到一个交换式集线器或局域网交换机上。 交换式集线器或局域网交换机具有交换功能,它们的特点是:所有端口平时都不连通,当工作站需要通信时,
17、交换式集线器或局域网交换机能同时连通许多端口,使 每一对端口都能像独占通信媒体那样无冲突的传输数据,通信完成后断开连接。由于消除了公共的通信媒体,每个站点独自使用一条链路,不存在冲突问题,可以提 高用户的平均数据传输速率,即容量得以扩大。,2018/6/8,28,MAC地址,MAC(Medium/Media Access Control)地址,或称为 MAC位址、硬件地址,用来定义网络设备的位置,由48比特长,12位的16进制数字组成,0到23位是厂商向IETF(Internet工程任务组Internet Engineering Task Force)等机构申请用来标识厂商的代码,也称为“编制
18、上唯一的标识符”(Organizationally Unique Identifier)。是识别LAN(局域网)结点的标志。地址的24到47位由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。在OSI模型 中,第三层网络层负责 IP地址,第二层数据链路层则负责 MAC位址。因此一个网卡会有一个全球唯一固定的MAC地址,但可对应多个IP地址。第40位是组播地址标志位。,2018/6/8,29,交换机(概念),交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。根据工作位置的不同,可以分为广域网交换机和局域网
19、交换机。广域的交换机(switch)就是一种在通信系统中完成信息交换功能的设备。 在计算机网络系统中,交换概念的提出改进了共享工作模式。我们以前介绍过的HUB集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。,2018/6/8,30,交换机(工作原理),工作在数据链路层,交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端
20、口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网 卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后 交换机会“学习”新的地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照MAC地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的减少冲突域,但它不能划分网络层广播,即广播域。(To Be Continued),2018/6/8,31,交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可
21、视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节 点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交 换机,那么该交换机这时的总流通量就等于210Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出 10Mbps。总之,交换机是一种基于MAC地址识别,能完成封装转发数据帧功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中, 通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。,