1、 第 4 章 VLAN 技术第 4 章 VLAN 技术4.1 VLAN 技术概述4.1.1 VLAN 产生的背景众所周知,在基于 CSMA/CD(具有冲突检测的载波侦听多路访问)机制工作的传统以太网络中,由于网络中所有的设备都共存于同一个广播域中,所以存在以下的问题: 安全性问题在同一网络中传送的数据帧对于该局域网上的所有设备都是可见的。 网络性能及带宽利用率问题在传统网络中,不管是否必要,大量广播数据帧被直接送往所有网络设备。并且,广播流量会随着网络规模的增长而增大,过多的广播流量会减少网络的可用带宽,并最终导致网络的拥塞。在最坏的情形下,广播风暴甚至可以使整个网络瘫痪。另一方面,所有接入网
2、络的主机都不得不对接收到的广播数据帧进行必要的分析,而该动作会产生额外的 CPU 中断并降低应用性能。 对网络中的设备进行移动和改变不方便在传统网络中,网络管理员不得不在网络设备发生变更时花费大量的时间和精力,例如:如果用户移动到另一个不同的子网,那么每个终端的地址都得重新设置。为了解决上述问题,业界提出了 VLAN 技术,并由 IEEE 制定了相关的协议标准:802.1Q,用于规定 VLAN 技术的实现。在基于 VLAN 的网络中: 通过设置某个 VLAN 中只包含那些必须相互通信的设备从而减少网络中的广播流量、提高网络效率。 在某个 VLAN 中的设备只能与位于同一 VLAN 中的设备通信
3、,这样确保了本VLAN 的信息不会被其他 VLAN 的主机窃听而实现了信息的保密。另外,不同 VLAN 间的设备需要互相通讯,则必须通过路由设备进行,这样,我们就可以在路由设备上对需要互访的设备进行相应的策略限制来提高网络的安全性和可控性。第 4 章 VLAN 技术 在基于端口的 VLAN 网络中,如果网络中的终端设备需要移动到网络中的另一个位置,网络管理员只需对该位置的交换机相应端口进行简单配置即可完成,不需要对被移动的网络设备进行其它改动,实现了灵活的接入特性。4.1.2 传统 VLAN 的划分思路:由于网络中大部分终端设备不具备为数据帧打标记的功能,因此必须要有一种有效的手段使终端设备所
4、传送的数据帧与 VLAN 标识建立关联,而建立关联的手段传统上有如下几种:4.1.2.1 基于端口划分 VLAN根据以太网交换机的端口来划分 VLAN 是最常见的方法(如图 4-1),例如交换机的1-4 端口为 VLAN A,5-17 为 VLAN B,18-24 为 VLAN C。当然,这些属于同一 VLAN 的端口可以不连续,如何配置,由管理员决定。图 4-1 基于端口划分 VLAN 示意图图中端口 1 和端口 7 被指定属于 VLAN 5,端口 2 和端口 10 被指定属于 VLAN10。主机 A 和主机 C 连接在端口 1、7 上,因此它们就属于 VLAN5;同理,主机 B 和主机 D
5、属于 VLAN10。如果有多个交换机的话,例如,可以指定交换机 1 的 1-6 端口和交换机 2 的 1-4端口为同一 VLAN,即同一 VLAN 可以跨越数个以太网交换机。基于端口划分 VLAN 的优点是定义 VLAN 成员时非常简单,只要将相应的端口都划分到相应的 VLAN 就可以了;缺点是灵活性不够,例如 VLAN A 的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。第 4 章 VLAN 技术4.1.2.2 基于 MAC 地址划分 VLAN根据每个主机的 MAC 地址来划分 VLAN 的方式具有动态灵活的效果,即对所有主机都根据它的 MAC 地址配置主机属于哪个
6、 VLAN;交换机维护一张 VLAN 映射表,这个VLAN 表记录 MAC 地址和 VLAN 的对应关系(如图 4-2)。图 4-2 基于 MAC 地址划分 VLAN 示意图这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN 不用重新配置,所以,可以认为这种 MAC 地址的划分方法是基于用户的 VLAN。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的。此外这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包。另外,对于使用笔记本
7、电脑的用户来说,他们的网卡可能经常更换,这样,VLAN 就必须不停的配置。4.1.2.3 基于三层协议的 VLAN这种情况是根据二层数据帧中协议字段的值进行 VLAN 的划分。通过二层数据中协议字段的值,可以判断出其上层运行的网络协议,如 IP 协议或者是 IPX 协议。如果一个物理网络中既有 IP 网络又有 IPX 等多种协议运行的时候,可以采用这种 VLAN 的划分方法(如图 4-3)。第 4 章 VLAN 技术图 4-3 基于三层协议划分 VLAN 示意图由于在实际应用的网络中不同三层网络协议同时运行于同一物理网络的情况基本不会出现,因此,这种类型的 VLAN 在实际应用中很少见。4.1
8、.2.4 基于 IP 子网划分 VLAN基于 IP 子网划分的 VLAN 是根据 IP 数据包中的 IP 地址网段来决定该报文属于哪个 VLAN:同一个 IP 子网的报文属于同一个 VLAN。这样,可以将同一个 IP 子网中的用户被划分在一个 VLAN 内(如图 4-4)。图 4-4 基于 IP 子网划分 VLAN 示意图上图表明交换机如何根据 IP 地址来划分 VLAN:主机 A、主机 C 的都属于 IP 子网1.1.1.0/24,根据 VLAN 表的定义,它们因此属于 VLAN5;同理,主机 B、主机 D 属于VLAN10。如果主机 B 修改自己的 IP 地址,变成 1.1.1.9,那么主
9、机 B 就不再属于VLAN10,而是属于 VLAN5 了。 利用 IP 子网定义 VLAN 的有点如下:1) 这种方式可以按传输协议划分网段。这对于希望针对具体应用的服务来组织用户的网络管理者来说是非常有诱惑力的。第 4 章 VLAN 技术2) 用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用 TCP/IP 的用户。 利用 IP 子网定义 VLAN 的缺点是效率较低,是因为检查每一个数据包的网络层地址是很费时的。同时由于一个端口也可能存在多个 VLAN 的成员,对广播报文也无法有效抑制。4.1.3 当前 VLAN 的实现方式:IEEE802.1Q802.1Q(Virtual B
10、ridged Local Area Networks)协议是由IEEE制定的一个国际公有标准协议,其规定了VLAN的实现,同时它也是现今业界普遍支持的VLAN实现方式。基于 802.1Q 协议的 VLAN 实现需要在标准的以太网帧头部插入了 4 个字节的802.1Q 标识(如图 4-5)。图 4-5 基于 802.1Q 的帧格式示意图这 4 个字节的标识中包含以下内容: 2 个字节的协议标识符(TPID),当前置 0x8100 的固定值,表明该帧带有802.1Q 的标记信息。 2 个字节的标记控制信息(TCI) ,包含了三个域。 Priority 域,占 3bits,表示报文的优先级,取值 0
11、 到 7,7 为最高优先级,0 为最低优先级。该域被 802.1p 采用。 规范格式指示符(CFI)域,占 1bit,0 表示规范格式,应用于以太网;1 表示非规范格式,应用于 Token Ring。 VLAN ID 域,占 12bit,用于标示 VLAN 的归属。4.1.4 IEEE802.1P 优先级标记队列调度技术是一种能够优先保证对服务质量要求高的数据包(如某些语音数据第 4 章 VLAN 技术包和重要的业务数据)快速转发的一项技术。例如 VoIP、视频会议或多媒体应用程序等对数据传输的实时性要求都很高,不允许数据帧在传输和转发过程中有较长的延时,队列调度机制可以使交换机按重要、非重要
12、对需要转发的数据帧进行排队,将定制的高优先级数据帧优先进行发送,从而保证这些该类数据帧以最快的速度转发给目的节点。为了使网络设备能对以太网数据帧进行优先级标识,并以此对不同优先级的以太网帧进行不同的优先调度,并为不同类型服务提供不同的服务质量,IEEE 制定了802.1P 协议,该协议利用了 802.1Q 标识中的三个 bit 位为以太网数据帧提供 8 个优先级(如图 4-6)。图 4-6 基于 802.1P 的帧格式示意图以太网数据帧的 QOS 遵循 IEEE 802.1P 协议统一标准,可以为数据帧最多设置 8个优先级, “7”为最高优先级, “0”为最低优先级,但一般仅设置 4 个优先级
13、即可。4.1.5 交换机链路在基于 VLAN 的网络环境下,交换机间的链路可分为以下三种(如图 4-7):第 4 章 VLAN 技术图 4-7 交换机链路示意图访问链路指的是用于连接终端用户主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些 VLAN,主机的硬件也不一定支持带有 VLAN 标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。访问链路属于某一个特定的端口,这个端口属于一个并且只能是一个 VLAN。这个端口不能直接接收其它 VLAN 的信息,也不能直接向其它 VLAN 发送信息。不同 VLAN 的信息必须通过三层路由处理后才能转发到这个端口上。干道链路是可以承载多个不同
14、VLAN 数据的链路。干道链路通常用于交换机间的互连,或者用于交换机和路由器之间的连接。数据帧在干道链路上传输的时候,交换机必须用一种方法来识别数据帧是属于哪个 VLAN 的。IEEE 802.1Q 定义了 VLAN 帧格式,所有在干道链路上传输的帧都是打上标记的帧(tagged frame) 。通过这些标记,交换机就可以确定哪些帧分别属于哪个 VLAN。和访问链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载 VLAN 数据的,因此干道链路是不属于任何一个具体的 VLAN 的。混合链路是指该链路承载的报文可以带 tag 标记也可以不带 tag 标记,混合
15、链路有特殊的应用场合,如实现部分本地 vlan 等交换机对各种数据帧的处理方式从以太网络设备自身角度出发,可将其端口上接收到的数据帧分为已知单播、未知单播、广播、组播帧。根据所接收到的以太网数据帧类型不同,以太网交换机将采取不同的处理方式,下面分别对以上几种类型的数据帧进行定义并就交换机对不同的数据帧的处理行为进行描述( 如图 4-8)。第 4 章 VLAN 技术图 4-8 交换机对数据帧处理示意图4.2 以太网的数据帧4.2.1 各种类型数据帧的定义已知单播帧是指交换机接收到的并符合以下条件的数据帧:其目的 MAC 地址为一个单播 MAC 地址,而且在交换机的 FDB(转发信息库) 表中也存
16、在与该目的 MAC 地址相应的 FDB 表项。未知单播帧是指交换机接收到的并符合以下条件的数据帧:其目的 MAC 地址为一个单播 MAC 地址,但在交换机的 FDB(转发信息库) 表中不存在与该目的 MAC 地址相应的 FDB 表项。广播帧是指交换机接收到的并符合以下条件的数据帧:其目的 MAC 地址为一个广播 MAC 地址( 十六进制的 0XFFFFFFFFFFFF)。组播帧是指交换机接收到的并符合以下条件的数据帧:其目的 MAC 地址为一个合法的组播 MAC 地址(以十六进制的 0X01005E 开始的 MAC 地址) 。4.2.2 交换机对各种类型数据帧的处理交换机在端口上接收到以太网广
17、播、组播帧和未知单播帧后,会在端口所在的VLAN 域中广播。交换机在端口上接收到已知单播帧后,会查找 FDB 表,并将其转发到FDB 表中的对应端口。第 4 章 VLAN 技术4.3 VLAN 相关概念4.3.1 端口的本征 VLAN指端口接收到不打标记的报文后,将报文归属到某个 VLAN 中去,该 VLAN 称为该端口的本征 VLAN,即端口 default VID 所在的 VLAN(如图 4-9)。图 4-9 交换机端口本征 VLAN 示意图4.3.2 端口的关联 VLAN指该端口以 tag 的方式加入到一系列的 VLAN 中,这些 VLAN 集合称为该端口的关联 VLAN(如图 4-10
18、)图 4-10 交换机端口的关联 VLAN 示意图4.3.3 VLAN 的关联端口指该 VLAN 包含的端口,不管端口是以 tag 还是 untag 方式加入,均为该 VLAN第 4 章 VLAN 技术的关联端口(如图 4-11)。图 4-11 交换机中 VLAN 关联的端口示意图4.3.4 三层交换机中端口本征 VLAN 的确定三层交换机端口的本征 VLAN 是通过端口以 untag 的方式加入到某一个 VLAN 的方式来确定的(如图 4-12)。图 4-12 三层交换机端口本征 VLAN 的确定三层交换机端口的一个端口可以以 tag 的方式添加到多个 VLAN 中,以 untag 的方式只
19、能添加到一个 VLAN 中。因此,端口的本征 VLAN 可以通过 untag 方式所属 VLAN 来唯一确定。第 4 章 VLAN 技术4.3.5 二层交换机中端口本征 VLAN 的确定二层交换机端口的本征 VLAN 是通过端口以 inputport/inputvlan 的方式加入到某一个 VLAN 的方式来确定的(如图 4-13)。图 4-13 二层交换机端口本征 VLAN 的确定二层交换机端口的一个端口可以以 tag 的方式添加到多个 VLAN 中,以 untag 的方式也可以添加到多个 VLAN 中(这是与三层交换机最大的区别) 。因此,端口的本征VLAN 不能通过 untag 方式所属
20、 VLAN 来确定,只能通过 inputport/inputvlan 语句来确定。4.3.6 交换机对数据帧的转发流程交换机端口上接收到数据帧后的转发流程如下图(图 4-14)所示:第 4 章 VLAN 技术图 4-14 交换机对数据帧转发流程示意图上图转发流程详细描述如下:1. 检查端口上接收到的数据帧是否带有 802.1Q 的 TAG 标记,如果有则转第 2 步,如果没有则转 3 步。2. 检查接收到该数据帧的端口所关联的 VLAN 中是否具有与该数据帧所带 802.1Q TAG 标记值一致的 VID 的 VLAN,如果有转第 4 步,否则转第 6 步。3. 在该数据帧中插入 802.1Q
21、 TAG 值,此 TAG 值与接收到该数据帧的端口的本征VLAN VID 值相同,并转第 4 步。4. 检查除了接收该数据帧的端口外,该 VLAN 是否还关联交换机的其它端口,如果是转第 5 步,否则转第 6 步。5. 检查该数据帧是已知单播、未知单播、广播、组播帧中的那一种类型数据帧,如果是已知单播,则根据交换机中的 FDB 表将数据帧转发至正确的出接口,并转第 7 步。否则将数据帧泛洪到同一 VLAN 中除接收到该数据帧外的其它接口,并转第 7步。6. 丢弃该数据帧。7. 检查数据帧出接口是否以 tagged 方式加入到该 VLAN 中,如果是转 8 步,否则转 9 步。8. 携带 802
22、.1Q TAG 标记将数据帧从交换机端口转发出去。9. 去掉 802.1Q TAG 标记将数据帧从交换机端口转发出去。4.4 VLAN 间的通讯一个 VLAN 定义了一个广播域,因此,要实现不同 VLAN 间的通讯,则必需借助具有路由功能的三层网络设备提供三层的路由寻址和数据转发(如图 4-15)。第 4 章 VLAN 技术图 4-15 VLAN 间通讯示意图4.4.1 通过访问链路实现 VLAN 间通讯(外置路由器方式 )此方法要求做为三层转发的路由器(或三层交换机) 具有与需要进行互通的 VLAN 数量相当的物理接口数,并且将这些物理接口与二层交换机上相应 VLAN 的端口一一对应相连,这
23、些互连的链路被配置成访问链路(如图 4-16)。图 4-16 通过访问链路实现 VLAN 间通讯示意图在上图的二层交换机中有三个 VLAN(VLAN100、VLAN200、VLAN300)需要互访,因此,在基于访问链路实现互访的情况下,路由器上需要提供三个物理接口分别与二层交换机上的三个 VLAN 中的相应端口互连(左边链路对应 VLAN100、中间链路对应VLAN300、右边链路对应 VLAN200),当二层交换机上 VLAN100 与 VLAN200 的终端设备需要互通(假设 VLAN100 的终端设备首先发起通讯) ,二层交换机首先将始发于VLAN100 的终端设备的数据帧从左边的端口送
24、到路由器相应的端口上,路由器接收到该数据帧后,根据该数据帧中 IP 头部的目的 IP 地址部分进行路由寻址,通过寻址,路由器发现该数据帧所要到达的目的网段在其右边的端口(与 VLAN200 互连)可以直达,因此该路由器将数据帧从其右边接口转发到二层交换机上 VLAN200 所对应的端口,交第 4 章 VLAN 技术换机接收到路由器送来的数据帧后再根据数据帧的目的 MAC 地址,查找内部的 FDB表将数据帧转发到正确的目的终端设备,VLAN200 到 VLAN100 的回应报文执行相同的处理流程,只是数据方向是相反的。利用访问链路进行 VLAN 互通有如下优缺点:优点:每个 VLAN 的数据单独
25、占用独立的物理链路,可以保证链路带宽。缺点:需要互连的设备上提供更多的物理端口,增加了设备投资。4.4.2 通过干道链路实现 VLAN 间通讯(外置路由器方式)此方法与通过访问链路实现 VLAN 间通讯的区别在于:路由器到交换机的物理端口只有一个,而且这个物理端口被配置成干道链路,由于该方式在二层交换机与路由器间只有一条物理链路,因此,该方式通常也被称为单臂路由器互通方式(如图 4-17)。图 4-17 通过干道链路实现 VLAN 间通讯示意图在上图的二层交换机中有两个 VLAN(VLAN100、VLAN200)需要互访,因此,在基于干道链路实现互访的情况下,路由器上只需要提供一个物理接口(在
26、上图中该物理端口被划分为两个子接口)与二层交换机上相应的端口互连( 在该端口可以同时传送两VLAN100、VLAN200 的数据帧 ),当二层交换机上 VLAN100 与 VLAN200 的终端设备需要互通( 假设 VLAN100 的终端设备首先发起通讯) ,二层交换机首先将始发于VLAN100 的终端设备的数据帧插入 TAG 值为 100 的 802.1Q 头部后从与路由器相连的端口送到路由器的 Eth0/0.100 子接口上,路由器接收到该数据帧后,根据该数据帧中IP 头部的目的 IP 地址部分进行路由寻址,通过寻址,路由器发现该数据帧所要到达的目的网段可以从子接口 Eth0/0.200
27、直达,因此该路由器将原来的数据帧重新封装 TAG值为 200 的 802.1Q 头部后从 Eth0/0.200 子接口转发到二层交换机上的相连端口,交换机接收到路由器送来的数据帧后再根据数据帧的目的 MAC 地址,查找内部的 FDB 表将数据帧转发到正确的目的终端设备,VLAN200 到 VLAN100 的回应报文执行相同的第 4 章 VLAN 技术处理流程,只是数据方向是相反的。利用干道链路进行 VLAN 互通有如下优缺点:优点:所有 VLAN 共享同一个物理链路,节约设备投资。该实现方式对于设备物理接口有限,但又要实现 VLAN 间互通的情况非常适合。缺点:由于所有 VLAN 的共享同一物
28、理链路,因此在需要互访的网络流量很大的情况下会引起链路的拥塞。4.4.3 用不同的网络设备实现 VLAN 间通讯在实际网络环境中根据实际情况即可以使用上述描述的利用外置路由器实现VLAN 间互通,也可以使用内置路由引擎的三层交换机来实现 VLAN 间互通(如图 4-18)。图 4-18 通过干道链路实现 VLAN 间通讯示意图4.5 VLAN 扩展技术随着网络规模的不断扩大,网络中业务的不断丰富,根据实际网络的运营需求,网络业界出现了多种基于 VLAN 的扩展技术,这些技术中常见的包括端口隔离(VCN) 、Super Vlan、Private Vlan、QinQ ,下面分别对这些技术进行介绍。
29、4.5.1 端口隔离(VCN)随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,端口隔离是正为了实现网络安全性而提出的一种技术,利用该技术网络管理员可以使连接于同一交换机上的用户间的数据相互隔离,从第 4 章 VLAN 技术而在一定程度上避免恶意用户对其它用户进行攻击和破坏,并可一定程度防止病毒在网络中进行蔓延。在交换机中可以实现以下两种端口隔离(如图 4-19):图 4-19 交换机端口隔离示意图 所有端口隔离就是使交换机中接入用户的端口隔离开来,不能互相通信,只能和上行端口通信。 部分端口隔离就是将交换机的端口(除上行端口外)分小组,小组内
30、的端口间能互相通信,小组间的端口不能通信,而所有端口均能和上行端口通信。4.5.2 Super Vlan 技术Super Vlan 技术是基于 VLAN 聚合机制(RFC3069VLAN Aggregation for Efficient IP Address Allocation)而开发的一种 VLAN 扩展技术,利用 Super Vlan技术可以使处在同一个交换中但分属不同虚拟广播域的主机处在相同 Ipv4 子网中而且使用同一个默认网关,这样就可以消除原有的在一个 VLAN 中必须使用一个专用 IP 子网的限制。使用这种机制可以明显减少 VLAN 中对 IP 地址空间的消耗,提高了地址的使
31、用效率。另外,这样做也降低了网络中 IP 地址管理的难度(如图 4-20)。图 4-20 Super Vlan 技术示意图第 4 章 VLAN 技术在交换机的 Super Vlan 具体实现中,给 Super Vlank 中的父 Vlan 分配一个 IP 地址,做为该 Super Vlan 的网关地址,其它剩余的地址可以分配给各个主机使用,这些主机的子网掩码完全相同。父 Vlan 下面只包含子 Vlan。出于安全目的,可以阻止子 Vlan间的主机相互直接访问,要相互通信需开启 Proxy ARP 代理。4.5.3 Private Vlan 技术上面提到,利用交换机的端口隔离技术可以提供网络安全
32、,但这种通过给每个用户分配一个 VLAN 使每个客户被从第 2 层隔离开,从而防止恶意的攻击和信息嗅探的技术带来了巨大的可扩展方面的局限,这些局限主要有下述几方面。 VLANID 数量的限制:根据 VLAN 技术本身的限制,只能提供最大 4096 个VLANID。在城域范围的网络是远远无法满足用户需求的; 复杂的 STP 计算:对于每个 VLAN,每个相关的 Spanning Tree 的拓扑都需要管理。STP 在计算收敛过程中消耗大量 CPU 资源,并且和 VLAN 的数量成一定的线性关系; IP 地址资源的紧缺:IP 子网的划分势必造成一些 IP 地址的浪费; 路由的限制:每个子网都需要相
33、应的默认网关的配置。 为了解决以上问题,网络业界提出了 Private Vlan 技术(如图 4-21)。图 4-21 Private Vlan 技术示意图在 PVLAN 中有两种端口的角色,一种是 isolated port,一种是 uplink port,isolated port 之间是不能进行相互通信的,但可以和 uplink port 通信。一个PVLAN 中只有一个 uplink port,它负责各个 isolated port 之间的相互通信和跨 Vlan之间的通信。Isolate 端口之间如果要互通,必须通过三层设备,并且三层设备上开启了 arp 代理功能。第 4 章 VLAN
34、 技术4.5.4 QINQ 技术QinQ 是对基于 802.1Q 封装的隧道协议的一种形象化的称呼,其核心思想是将用户私网 VLAN tag 封装到公网 VLAN tag 上,报文带着两层 tag 穿越服务商的骨干网络,从而为用户提供一种较为简单的二层 VPN 隧道。QinQ 协议是一种简单而易于管理的协议,它不需要信令的支持,仅仅通过静态配置即可实现。同时 QinQ 的出现,也解决了现在网上存在的 VLAN 资源严重不足的问题(如图 4-22)。图 4-22 QINQ 技术应用示意图下面让我们再来看一看 QINQ 数据帧的格式( 图 4-23):图 4-23 QINQ 数据帧格式示意图上图自
35、上往下分别为普通的以太帧、802.1Q 帧、QinQ 帧结构,从图中可以很容易看出 QinQ 帧其实就是在普通 802.1Q 帧的 VLAN 标签之前再封装了一层 VLAN 标签。通过新增加 4byte 的 VLAN 标签,可以把传统网络中所支持的 VLAN 数从原来的 4096 个扩展到 40964096 个,从而解决了 VLAN 资源不足的问题;另外,由于用户网络内部的VLAN ID 在运营商网络中传送时被再次封装了一层外层的 VLAN ID,因此,可以实现不同用户网络中 VLAN ID 的隐藏和复用,以此提供了一种二层 VPN 实现方式。第 4 章 VLAN 技术4.6 GVRP 协议4
36、.6.1 GVRP 协议概述GVRP 是 VLAN 注册协议,英文全称是 GARP VLAN Registration Protocol。GVRP 基于 GARP 的工作机制,是 GARP 的一种应用,用于维护交换机中的 VLAN 动态注册信息并传播该信息到其他的交换机中,实现网络中交换机的 VLAN 数据的动态配置。GARP 全称是通用属性注册协议(Generic Attribute Registration Protocol) ,它为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的手段。如 VLAN、多播组地址等。通过 GARP 机制,一个 GARP 成员上的配置信息会迅速
37、传播到整个交换网。GARP 成员可以是终端工作站或网桥,GARP 成员通过声明或回收声明通知其他的 GARP 成员注册或注销自己的属性信息,并根据其他 GARP 成员的声明或回收声明注册或注销对方的属性信息。GARP 本身仅仅是一个协议规范,不作为一个实体在交换机中存在。遵循 GARP 协议的应用实体称为 GARP 应用,目前主要的 GARP 应用为 GVRP和 GMRP。在网络中所有支持 GVRP 特性的交换机能够接收来自其它交换机的 VLAN 注册信息,并动态更新本地的 VLAN 注册信息,包括当前的 VLAN 成员、这些 VLAN 成员可以通过哪个端口到达等。而且所有支持 GVRP 特性
38、的交换机能够将本地的 VLAN 注册信息向其他交换机传播,以便使同一交换网内所有支持 GVRP 特性的设备的 VLAN 信息达成一致。GVRP 传播的 VLAN 注册信息包括本地手工配置的静态注册信息和来自其它 Switch 的动态注册信息(如图 4-24)。图 4-24 GVRP 协议应用示意图对 GVRP 特性的支持使得不同的交换机上的 VLAN 信息可以由协议动态维护和更新,用户只需要对少数交换机进行 VLAN 配置即可应用到整个交换网络,无需耗费大量时间进行拓朴分析和配置管理,协议会自动根据网络中 VLAN 的配置情况,动态地传播 VLAN第 4 章 VLAN 技术信息并配置在相应的端
39、口上。根据 VLAN 注册信息,交换机了解到干道链路对端有哪些 VLAN,自动配置干道链路,只允许对端交换机需要的 VLAN 在干道链路上传输。4.6.2 GVRP 协议报文GVRP 注册信息的目的 MAC 地址是组播地址 0180C2000021(如图 4-25)。图 4-25 GVRP 协议报文格式示意图GARP 应用实体的协议数据报文都有特定的目的 MAC 地址,在支持 GARP 特性的交换机中,接收到 GARP 应用实体的报文时,根据 MAC 地址加以区分后,交由不同的应用处理(如 GVRP 或 GMRP) 。GVRP 成员之间的信息交换借助于消息完成,GVRP 起主要作用的消息类型有三类,分别为 Join、Leave 和 LeaveAll(如图 4-26)。图 4-26 GVRP 协议消息示意图第 4 章 VLAN 技术当一个 GVRP 应用实体希望其它交换机注册自己的某属性信息时,将对外发送 Join消息。当一个 GVRP 应用实体希望其它交换机注销自己的某属性信息时,将对外发送Leave 消息。每个 GVRP 应用实体启动后,将同时启动 LeaveAll 定时器,当超时后将对外发送 LeaveAll 消息。Join 消息与 Leave 消息配合确保消息的注销或重新注册。通过消息交互,所有待注册的属性信息可以传播到同一交换网的所有交换机上。
