第11章虚拟局域网

上海交通大学计算机系1《计算机组网原理》第11章虚拟局域网ShanghaiJiaotongUniversity上海交通大学计算机系2本章重点什么是虚拟局域网及其优点如何定义虚拟网中的成员虚拟网的配置方法虚拟网之间如何通信虚拟网标准的基本原理上海交通大学计算机系3第11章虚拟局域网虚拟局域网（VirtualLAN，简称VLAN）11.1VLAN概述1.什么是虚拟网•与成员物理位置无关的逻辑网络•可重定义的广播域•可使用软件将用户分配在不同的虚拟网中上海交通大学计算机系4VLAN结构上海交通大学计算机系52.使用虚拟网的好处(参考11.7节)⑴为网络的设计和管理带来很大方便⑵可有效地控制广播域VLAN具有隔离功能，广播信息只能在VLAN内传播。上海交通大学计算机系6⑶提供安全功能需路由器的配合⑷减少站点的移动和改变位置的开销⑸实现虚拟工作组⑹基于服务的VLAN以服务器为中心划分虚拟网上海交通大学计算机系73.构成VLAN的要素1)具有VLAN功能的交换机2)VLAN相关的协议3)VLAN之间进行通信的路由解决方案4)与已有LAN的兼容性和互操作性5)相应的网管方案上海交通大学计算机系811.2实现机制与交换方案需解决的问题：如何定义VLAN中的成员如何在多个交换设备之间传递VLAN成员信息VLAN配置方法VLAN之间的通信上海交通大学计算机系9三种交换方式：端口交换；帧交换；信元交换11.2.1端口交换人工配置，不同的端口被配置到各个VLAN中，同一个VLAN内的端口共享工作。11.2.2帧交换以帧为单位进行交换，是以太网交换机采用的方式。11.2.3信元交换以信元（Cell，53字节）为单位进行交换，是ATM交换机采用的方式。上海交通大学计算机系1011.3VLAN成员定义11.3.2VLAN成员定义的具体实现•按端口号•按MAC地址•按第三层协议•使用IP多组播•其它方式不管哪种方式划分，同一个PC机可居于不同的VLAN。上海交通大学计算机系111.按端口号分组人工配置重新分配不方便上海交通大学计算机系122.按MAC地址分组如果某个PC机转移到另一个物理位置，交换机能自动识别，仍将其划归原VLAN。根据MAC地址配置，不够方便。上海交通大学计算机系133.按第三层协议分组是目前最常用的方式。•根据IP地址•根据协议类型，同类型协议划归同一个VLANIP地址的配置比较方便，可实现基于服务的配置。对网络地址的检查比对MAC地址的检查开销大。上海交通大学计算机系144.IP多播组使用D类IP地址的组播（multicast）功能，所有接收到该信息的站只要回答确认信息即可成为该虚拟网成员。上海交通大学计算机系155.其他方式•基于策略的VLAN•认证用户VLAN•根据应用定义VLAN上海交通大学计算机系1611.4VLAN配置11.4.1配置自动化程度1.手工配置配置麻烦，不够灵活，但管理和控制能力强。2.半自动一般是启动时人工配置，以后工作时交换机能自动跟踪站点的移动，并对VLAN进行重新配置。上海交通大学计算机系173.全自动交换机自动地将各站点根据类型、用户标识或策略划入某个VLAN。上海交通大学计算机系1811.4.2配置方式1.静态端口分配主要用于按端口分组注意：该图中每个端口都是共享介质的以太网上海交通大学计算机系192.动态端口分配一般用于按MAC地址、网络地址或协议类型的划分方式，能自动识别物理位置的移动。上海交通大学计算机系203.多VLAN端口分配主要用于同一个PC机（如服务器）属多个VLAN的情况。最好是将服务器接入主干网。上海交通大学计算机系2111.5VLAN间通信各个VLAN之间是隔离的，要在它们之间通信，必须经过路由器。VLAN1VLAN1VLAN1VLAN1R上海交通大学计算机系2211.5.1边界路由每个VLAN的边界交换机具有简单路由功能，属于一种分布式的路由工作方式，用于简单的VLAN中。11.5.2“独臂”路由所有VLAN经过“独臂”路由器实现互联。是一种典型的连接方式。图11.1也是这种方式。上海交通大学计算机系2311.5.3路由服务器/路由客户机结构类似“独臂”路由器，但VLAN之间通信时，送到路由器服务器的仅是地址信息。获得路径方向后即可在VLAN之间传递数据。交换的信息量少于前一种方式。上海交通大学计算机系2411.5.4ATM上的多协议路由用于ATM网络中。11.5.5第三层交换技术使用具有路由功能的第三层交换机。在上述几种方法中，以这种方法的性能最佳。上海交通大学计算机系2511.6VLAN上的协议和标准1.第三层上的VLAN•IP组播•IGMP（InternetGroupManagementProtocol）•MBONE（InternetMulticastBackbone）•DVMRP（DistanceVectorMulticastRoutingProtocol）上海交通大学计算机系262.第二层的VLAN标准•802.10Cisco公司制定，未被其他厂家采纳。•802.1Q1996年3月制定，已成标准。上海交通大学计算机系27802.10将“可互操作局域网的安全性协议”（InteroperableLAN/WANSecurityStandard）改造后作为VLAN的标准，位于LLC层。根据VLANID来识别不同的VLAN。802.2802.10MACLLC上海交通大学计算机系2811.6.1IEEE802.1Q标准使用标记来标识每一个VLAN。数据以太网帧数据标记帧头12341234ABCDA、C属VLAN1B、D属VLAN2在交换机中有一个数据库，存放每个工作站属于哪个VLAN，并有相应的标记，分组在交换机内或交换机之间传送时就被加上标记，并传送到相同标记的工作站。上海交通大学计算机系29嵌入到以太网帧中的VLAN报文格式6DA6SA2VPID2VCI2长度/类型~数据4FCS314用户优先级TR-encapVIDVID位数参见图11.14VPID（VLANProtocolIdentification）：表示此帧已按802.1Q显示标记，81-00（十六进制）VCI（VLANControlInformation）：•用户优先级：为实时业务流和动态组播过滤的802.1p标准使用•TR-encap：表示数据域为未经翻译和封装的令牌环帧•VID（VLANIdentifier）：VLAN标记，表示此帧属于哪一个VLAN。