《虚拟局域网VLAN技术.ppt》由会员分享,可在线阅读,更多相关《虚拟局域网VLAN技术.ppt(32页珍藏版)》请在课桌文档上搜索。
1、1,第3章、虚拟局域网VLAN,3.2 VLAN划分和配置,3.3 VLAN成员信息交换,3.1 VLAN概述,3.4 VLAN间路由通信,2,第3章:重点与难点,重点理解和掌握:1、VLAN概念和VLAN完成的主要功能2、大型VLAN中的VLAN信息标识IEEE802.1Q标准3、划分和配置VLAN的常用方法4、VLAN间的通信处理,主要了解:1、以太交换VLAN技术的关键问题2、VLAN隔离广播域的特点3、VLAN的标准化进程。4、基于服务的VLAN发展,3,3.1 VLAN概述,3.1.1 VLAN发展背景,以太网交换机速度比路由器快的多,且价格便宜。但当某主机在网上发送广播时,或发送了
2、一个交换机不认识的MAC地址帧时,交换机上的所有节点都将收到这一广播信息。整个交换环境构成一个大的广播域。业界人士用一个Flat Network来形容这种环境:多个交换机互连形成一个大的局域网,不能有效划分子网;在第二层能快速、有效的交换,但广播风暴使网络效率大打折扣。,二层交换弱点:对广播风暴无能为力;不能有效解决异种网络互连;存在安全性控制等问题。,怎样区分碰撞域、共享域和广播域?,4,3.1.2 VLAN基本概念,什么是VLAN(虚拟局域网):VLAN是以太网上一组PC/服务器的集合,它们可能不在同一个物理网段中,也可以不受地理位置的限制,但能够象在LAN中一样进行通信与信息交互。,VL
3、AN实际没有统一严格的定义。VLAN技术早期提出:一种隔离数据广播的方法,将以太交换广播局限一定范围内;但目前VLAN发展使其成为接近交换网络VPN的技术,是以太交换网向城域网、广域网发展的重要技术。,什么是VPN?主要功能和作用?,5,一个VLAN组划分的例子:,局域网VLAN,区域网VLAN,6,3.1.3 VLAN的功能,结构化布线和VLAN技术结合,可以形成统一预布线、信息点、网络规划,和用户组和应用的灵活再组合,实现统一网络环境下的独立用户群,智能楼宇网络设计。,1、实现虚拟工作组,不考虑地理位置的响应,对同一组织(部门、工作协作体)建立虚拟工作组,就象在一个传统LAN中工作,实现流
4、量的8/2控制,本地资源访问和有效的工作管理。可以按用户分组、应用分组、安全性分组、移动分组、管理分组。,7,2、控制数据广播,数据广播的存在是正常现象,与网络资源的使用、应用的类型有关,广播数据会通过骨干链路到达各个交换端口;当以太交换网大型化使用后,广播数据将大大浪费网络资源、降低网络性能或导致网络崩溃。传统控制数据广播方法使用路由器或防火墙。通过VLAN分割广播域、适量处理VLAN间通信是目前控制广播数据的有效方法。,3、增强网络安全性,对共享型以太交换网,控制数据广播域规模和用户数,可减小安全风险,起到防火墙的作用;实际VLAN通常还可以根据用户、资源的重要性进行设置,使受限应用、资源
5、得到保护。,8,1、需要能将PC/服务器进行逻辑分段的高性能交换机。,4、已有LAN系统的兼容和互操作。,3.1.4 VLAN技术需要解决的问题,2、在主干网和多交换机间传输VLAN信息的协议。,3、VLAN间通信的L3路由方案。,5、集中管理、控制和配置功能的网管方案。,9,3.1.5 建立VLAN的交换方式,3、信元交换:ATM仿真LAN中使用的方式,利用ATM信元作为交换的基础。,VLAN中使用的交换技术,通常包含端口交换、帧交换和信元交换三种。,2、帧交换:VLAN中端口采用帧转发的方法,即VLAN交换和以太网交换机交换方式一样,只是交换域变小了,也是目前最主流VLAN交换方式,将依端
6、口定义VLAN和帧交换方式结合,则更具灵活性。,1、端口交换VLAN:早期在交换机上根据端口划分为几个相互独立的VLAN,每个VLAN中端口是共享媒体段(如以太网段)。这种方式特点:小规模灵活,但端口共享媒体使VLAN带宽受限制。,10,VLAN划分方法:如何把一批局域网的站点(PC/服务器)划到一个VLAN中呢?目前划分方法主要有:,3.2 VLAN划分和配置,1、交换端口号2、MAC地址3、第三层协议4、使用IP组播5、基于策略,3.2.1 VLAN划分,11,将交换机的端口号进行分组划分VLAN,如交换设备上端口(1、2、5、7)为VLAN1,(3、4、6、8)为VLAN2,是目前网络中
7、最常用划分方法。,1、基于交换端口号(静态端口分配),基于交换端口号VLAN配置,实际就是将指定交换机端口和固定VLAN对应,一般的端口只能划分在一个VLAN中,目前端口号划分VLAN可以跨越多个交换机,此时主干端口实际和多个VLAN交互(或主干端口可自动传递不同VLAN信息)。,基于端口号静态划分的VLAN(实际端口可和MAC地址绑定),管理较为严格和比较安全,但用户移动将需要重新配置。,12,VLAN1,VLAN2,VLAN2,VLAN1,VLAN1、VLAN2,静态端口划分的VLAN示意,怎样穿越?怎样识别是同一VLAN?,13,按照用户终端网卡的MAC地址,指定一批MAC地址划分在一个
8、VLAN组,一种基于用户的划分方式。,2、基于MAC地址(动态端口分配),特点:一个MAC地址可划分在多个VLAN中,可让一个用户同时划分在多个VLAN中,共享服务器和属于多工作组用户有这种需求。,在大型网络,预先根据MAC地址配置所有VLAN,在手工初始配置和变更维护时比较困难,必须借助智能网络管理软件;,14,当某个站点接入交换机时,交换机通过智能网络管理软件对其MAC地址在VLAN管理数据库中检索,确定MAC地址的VLAN所属,并根据MAC地址动态完成端口和VLAN配置,所以具有移动性,但VLAN管理软件必须精确建立和维护VLAN管理数据库,建立整网VLAN的集中配置。,VLAN1,VL
9、AN2,VLAN2,VLAN1,VLAN1、VLAN2,LAN,VLAN配置服务器,基于MAC地址的动态端口配置,VLAN管理数据库设置在哪里?,15,一个端口或一个MAC可以根据需要划分到多个VLAN中去(如骨干上连端口、共享服务器端口),安全性和交换性能下降。应谨慎处理。,VLAN1,VLAN2,VLAN2,VLAN1,VLAN1VLAN2,为了维护VLAN安全完整性,共享服务器通常设置在核心交换机的VLAN共享端口上。,16,交换机根据网络层使用的协议类型(如TCP/IP,IPX、APPLE TALK等)或网络层地址(如IP地址)进行VLAN划分。此时,VLAN的子网地址实际要和MAC地
10、址联系交换。特点:可移动性,但根据报文的第3层地址(如IP地址)进行配置,会导致速度慢,容易篡改。,用IP组播地址区分VLAN。特点:动态性,可以实现WAN 的VLAN。实际也是基于IP层的VLAN方式。,3、按第三层协议或参数,4、IP 组播VLAN,5、基于策略VLAN,根据一种策略和以上多种划分策略的组合划分VLAN。,17,5.3 VLAN成员信息传递,在多交换机间建立VLAN时,需要在互连的交换机之间交换VLAN的成员信息。即一个以太帧通过某交换机时,交换机怎样识别该帧属于VLAN1或VLAN2。,VLAN2,EF,VLAN1,VLAN1,?,?,18,在多交换机的条件下,早期也有厂
11、家私有协议,如Cisco,Inter-Switch Link,ISL协议,在单交换机机VLAN条件下,基本是原有交换机机制的隐式传递方式(不需要特别协议,厂家自己定义)。,目前是使用IEEE802.1Q标准(1996.3通过),IEEE802.1Q标准是帧标记的VLAN方式,扩展以太网帧结构方法,即在以太网帧结构中的帧头位置套上一个显式的VLAN标记Tag(4字节的VLAN地址编码),在多交换机间(特别是骨干链路上)传递,以表明这个帧是属于哪个VLAN的。,多交换机间以太帧在上联或骨干端口/链路上怎样传递呢?即怎样识别并转送到某个VLAN?,19,VPID:VLAN Protocol Iden
12、tifier,表明已按照802.1Q 标准(码值 8100H)。VCI:VLAN Control Information User-Priority:用户优先级(在以太网这样无优先级网段中使用)TR-encap:=1表示帧数据是原始Token Ring帧数据 VID:VLAN Identifier,最大4096个VLAN,以太网VLAN IEEE802.1Q格式,前导码,帧头定界符,32Bit,VPID,16b,VCI,16b,3b,8b,DA,SA,ETag,TYPE,数据,FCS,User-Priority,TR-encap,VID,1b,12b,20,IEEE802.1Q是MAC二层的V
13、LAN标准,它在原来的DA目的地址/SA源地址之后,插入4字节的VLAN标记,在帧存储交换的时候进行辨别和只向VLAN组内的用户广播发送。,IEEE802.1Q标准中对推动VLAN发展起到了关键作用。但4K的VLAN组地址标记,在大型城域网、广域网显得不够。,另一个影响VLAN规模的指标是核心或骨干交换机的VLAN MAC地址容量,它决定了VLAN规模(VLAN容纳主机数)。,21,5.4 VLAN间的通信,隔离的VLAN间通信,如同两个孤立LAN,一般需要使用路由手段在三层完成通信。在大型网络中,VLAN内的数据交换和VLAN间的数据传输的路由,两者技术的集成是新发展方向。,VLAN 间通信
14、的路由模式,1、边界路由,将路由功能包含在主干网络边界的每一个LAN交换机中(通常边缘汇聚交换机),VLAN间的IP报文由交换机内在(内嵌)的路由模块处理,而无需传输到外部的路由器上处理。特点:边缘汇聚交换机必须部署路由功能交换机,数据延时小,但相对统一的路由器网络管理来说,管理复杂。,22,汇聚S,S,S,汇聚S,Servers,S,核心S,汇聚S,S,S,S,S,边界路由,边界路由,边界路由,边界路由能否设置在核心或接入交换器中?,23,2、”独臂“路由器,”独臂“路由结构是在一个多交换机的网络中的主干上设置一台独立的路由器,当VLAN域内通信时直接使用交换机制;当需要在VLAN间进行IP
15、通信的时候,经过”独臂“路由器路由转发。特点:集中路由适用以VLAN间通信较少的场合(一般企业),但结构和管理简单,路由器的单点故障造成瘫痪。也可以设置多个路由器进行冗余和负载分担。,3、ATM上多协议路由(MPOA),MPOA本身具有路由功能,当通过ATM连接ELAN或VLAN时ATM接口具有路由转发能力。,24,汇聚S,S,S,汇聚S,Servers,S,核心S,汇聚S,S,S,S,S,独臂路由器,VLAN1,VLAN2,25,5、第L3交换技术。,4、路由服务器和路由客户机,这是一种分布式路由结构,结构外观上非常相似“独臂“路由器,但LAN交换机中也要有必要的路由功能。当需要在VLAN间
16、进行路由的时候,报文被缓存在主干边界的LAN交换机上,此时交换机与路由服务器交互相关进一步转发连接信息,确定转发路径。这种模式网络传输的数据报大量减少,但LAN交换机中也要有必要的路由功能,结构和管理复杂,26,汇聚S,S,S,汇聚S,Servers,S,核心S,汇聚S,S,S,S,S,路由服务器,VLAN1,VLAN2,路由功能,路由功能,27,5.5 以太网接入控制和IEEE802.1X,早期以太网终端可不受限制地接入LAN/MAN,但公共大厦的办公网络中不希望其他组织或个人接入,特别是运营以太网(如校园网、小区网等)需要提供一种廉价的、通过认证的许可接入方法。,802.1x协议基于Cli
17、ent/Server的访问控制和认证协议,可限制未授权的用户/设备通过接入端口访问LAN/WLAN。在认证通过之前,802.1x只允许EAPoL(Extensible Authentication Protocol over LAN)数据通过端口;认证通过以后,正常的数据可以顺利地通过以太网端口。,IEEE 802.1X全称是“基于端口的网络接入控制”。2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。,28,网络访问技术的核心部分是PAE(端口访问实体),PAE包含3部分:对接入的用户/设备进行认证的端口,被认证的用户/设备,认证服务器。,以太网的每个物理端口被分为
18、受控和不受控的两个逻辑端口,其中,不受控端口始终处于双向联通状态(传输认证信息);而受控端口的联通或断开是由该端口的授权状态决定的,PAE根据认证过程的结果,控制受控端口的授权/未授权状态。,29,802.1x工作过程,1.当启动802.1X客户端,发出请求认证报文给交换机,然后按交换机要求,输入用户名和口令(申请时登记的)。2.交换机将客户端送上来的EAPoL数据帧经过封包处理后送给认证服务器。4.认证服务器(Raduis认证、AAA认证服务器)随机生成一个加密字,传给客户端。5.客户端用该加密字对口令进行加密处理,通过交换机返回认证服务器。6.认证服务器比较加密后的口令信息和其自己经过加密
19、运算后的口令信息进行对比,确定接入请求成功和失败。,客户/服务器信息通过PAE转发,4-6过程通过密码处理挑战的认证过程(如Raduis认证标准处理)。,30,802.1x应用环境,(1)交换式以太网络环境:交换式以太网中,用户和网络之间采用点到点的物理连接,用户常通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。(2)共享式网络环境:在共享式的以太网环境中,用户之间共享接入物理媒介,为了防止在共享式的网络环境中出现“搭载”的问题,PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口,逻辑端口和用户/设备形成一一对应关系,各逻辑端口之间的
20、认证过程和结果相互独立。此时,除接入控制外,还存在用户数据安全问题,进行额外处理。,31,802.1x特点,安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAPTLS,EAPTTLS,实现WEP证书密钥动态分配,解决WLAN接入安全。,所有数据设备厂商、桌面Windows、Linux都提供对其支持。控制流和业务流完全分离,易于实现跨平台多业务运营,可升级成运营级网络。,简洁高效:纯以太网技术内核,消除网络认证计费瓶颈,易于支持多业务和新兴流媒体业务。造价成本低,保留了传统AAA认证的网络架构,现有RADIUS设备。,32,思考题:1、以太网VLAN的主要功能,举例目前VLAN的主要应用。2、比较传统网桥、以太交换、路由器和VLAN技术在隔离广播域时的各自特点。3、IEEE802.1Q要解决的问题、基本工作思想和存在主要问题。4、试解释VLAN间通过路由器通信的基本原理。5、IEEE802.1x解决的什么问题,简述基本工作原理过程。,专题报告:1、城域以太网中企业VLAN的工作原理和构建2、VLAN技术的新发展(主要从基于服务的VLAN构造,VLAN动态管理等方面考虑),