1、2007-00-00二層交換技術介紹二層交換技術介紹烽火通信科技股份有限公司2008年2月內容提要內容提要nVLAN技術nPVLAN技術VLAN概念概念n VLAN (Virtual Local Area Network) 即虛擬局域網 是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術 IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。n VLAN是為解決以太網的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭， 用VLAN ID把用戶劃分為更小的工作組， 限制不同工作組間的用戶二層互訪， 每個工作組就

2、是一個虛擬局域網 虛擬局域網的好處是可以限制廣播范圍， 并能夠形成虛擬工作組動態管理網絡。VLAN優點增加組網靈活性：劃分工作功能組、身份變更、不同成員權限設定防止信息溢流：LAN組播風暴、廣播通信相對隔離節省網絡地址：將任意數目LAN結合進單個VLAN，有效節約B類C類地址加強管理、增強安全性、監控n 基于端口的VLAN: 根據以太網交換機的端口來劃分，同一VLAN可以跨越數個以太網交換機， 該方法是目前定義VLAN的最廣泛的方法 IEEE 802.1Q規定了依據以太網交換機的端口來劃分VLAN的國際標準。該方法實現容易、缺點是不夠靈活。n 基于MAC地址的VLAN：根據每個主機的MAC地址

3、來劃分 即對每個MAC地址的主機都配置他屬于哪個組 這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時 即從一個交換機換到其他的交換機時 VLAN不用重新配置。缺點是初始化時 所有的用戶都必須進行配置。n 基于第三層（網絡層）的VLAN：根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分，靈活、但管理復雜。n 基于管理策略的VLAN相關協議標準及實現方法相關協議標準及實現方法n協議討論的范圍與一致性要求nVLAN實現框架n幀標記格式nVLAN橋的操作規則及VLAN橋的管理n802.1Q協議討論支持VLAN結構的MAC橋的一般實現和操作方法、增強的MAC服務n增強性內部子層服務E-I

4、SSnVLAN橋中提供的幀中繼n幀中VLAN控制信息插入、刪除、修改等管理規則n自動配置VLAN拓撲信息的需求n遵從該協議標準的設備須滿足的要求n兼容802.3協議標準對MAC橋的要求n對幀進行過濾和中繼轉發n在每個端口上至少支持一種可接收幀類型n在每個支持無標記和優先級標記幀的端口上必須有一個PVID、能夠至少配置一個VLAN、能夠通過管理層配置PVID的值、通過管理層配置靜態濾波器的條目n支持從中繼幀中插入、去除、修改標簽頭的功能n通過GARP VLAN注冊協議支持VLAN拓撲信息的自動配置和管理n支持至少一個濾波器標識FIDn支持給FID分配至少一個VIDn其他可選項n配置-Manang

5、ement Info Base:遠端管理機制、服務器機制、VLAN配置參數的賦值n配置信息的分布-注冊和拓撲結構分布協議n中繼-入口規則、轉發規則、出口規則：將接收幀分類屬于唯一的一個VLAN、決定接收幀發往何處、將轉發幀通過適當的外發端口、適當的格式發送.n概述n標簽頭的結構n對幀進行標記的目的：將用戶優先級信息加到對幀進行標記的目的：將用戶優先級信息加到MAC類型類型幀、允許幀攜帶幀、允許幀攜帶VID、允許幀顯示出所攜帶、允許幀顯示出所攜帶MAC地址信地址信息的類型、允許息的類型、允許VLAN由不同由不同MAC類型支持類型支持n在源地址后增加了一個在源地址后增加了一個4字節的字節的802.

6、1Q標簽標簽 4個字節的個字節的802.1Q標簽中標簽中 包含了包含了2個字節的標簽協議標識個字節的標簽協議標識 TPID-Tag Protocol Identifier 它的值是它的值是8100 和兩個字節的標和兩個字節的標簽控制信息簽控制信息 TCI-Tag Control Information 。TPID是是IEEE定義的新的類型定義的新的類型 表明這是一個加了表明這是一個加了802.1Q標簽的報標簽的報文。文。帶有帶有802.1Q標簽的以太網幀標簽的以太網幀VLAN Identified( VID ): 這是一個這是一個12位的域位的域 指明指明VLAN的的ID ，一共，一共4096

7、個，每個支持個，每個支持802.1Q協議的主機發送出協議的主機發送出來的數據包都會包含這個域來的數據包都會包含這個域 以指明自己所屬的以指明自己所屬的VLAN。Canonical Format Indicator( CFI ) 這一位主要用于總這一位主要用于總線型的以太網與線型的以太網與FDDI 令牌環網交換數據時的禎格式。令牌環網交換數據時的禎格式。Priority 這這3 位指明禎的優先級位指明禎的優先級 一共有一共有8種優先級種優先級 主要用主要用于當交換機阻塞時于當交換機阻塞時 優先發送優先級高的數據包。優先發送優先級高的數據包。Vid取值意義0空的vid，表示該標簽頭所包含的信息中v

8、id是無效的，但是優先級信息是有效的。該vid是保留的，任何設備不能將0配置成端口pvid或者是vlan條目的vid。1在橋端口處理輸入數據時使用的缺省vid，該vid可以修改。FFF保留vid，任何設備不能將FFF配置成端口pvid或者是vlan條目的vid。橋操作橋操作操作模型操作模型端口操作端口操作入口規則入口規則轉發過程轉發過程出口規則出口規則學習過程學習過程濾波數據庫濾波數據庫橋操作：中繼需實現的功能：濾波和中繼轉發信息內容：濾波和中繼轉發信息內容：對幀的中繼轉發：對網絡通信的觀察和學習：橋間協議操作：GARP協議操作：端口轉發狀態端口學習狀態可接收幀類型:僅接收VLAN標志幀、接收

9、所有幀端口VLAN標識入口濾波器使能VID為null VLAN IDFFF VID入口使能被置位且不在VLAN集合中時拒絕未被Discard的幀提交發送對幀進行過濾：基于基于Mac地址、地址、VID、包含信息、缺省的濾波、包含信息、缺省的濾波對幀進行排序，形成隊列先發高優先級隊列的幀先發高優先級隊列的幀選擇傳輸幀優先級映射對于幀的VID，傳輸端口不在成員集合中Discard；傳輸端口以tag方式屬于成員集合，發送時添加tag；傳輸端口以untag方式屬于成員集合，發送時剝除tag。端口狀態允許學習源地址為單播MAC地址當前存在的條目數未超過濾波數據庫容量VID標識的成員集合中至少有一個端口從每

10、個端口接收幀中觀察源MAC地址， 或者VID值，并且依照端口狀態對濾波數據庫進行更新創建或者更新與幀的VID 值相關的動態濾波條目為轉發過程中，攜帶著目的MAC地址的幀是否發往目的端口提供查詢靜態濾波條目、靜態VLAN注冊條目只能由管理層控制動態濾波條目、動態VLAN注冊條目由學習過程生成和更新，可以被管理層讀取濾波數據庫支持學習過程對其Entry進行創建、更新和刪除AN5116-02提供FDB查詢功能以以AN5116-02 FTTH設備為例設備為例: onu數據數據(100)IPTV(200)語音語音(300)上聯口上聯口1接網管服務器接網管服務器,vlan為為9上聯口上聯口2接接IPTV組

11、播服務器組播服務器,vid200上聯口上聯口3接軟交換平臺接軟交換平臺,vid300上聯口上聯口1提供數據業務提供數據業務vid 10-100VLAN配置舉例配置舉例 該例中要進行該例中要進行4中業務中業務vlan的包括管理業務的包括管理業務,數據數據業務，語音業務，業務，語音業務，IPTV業務業務.其中管理其中管理vlan使用使用包含上聯口包含上聯口29:1，vid為為9。數據業務。數據業務vlan包含上包含上聯口聯口29：2以及所有以及所有onu的的1號端口，號端口，vid為為1100，IPTV業務包含上聯口業務包含上聯口29：3以及所有以及所有onu的的2號端口，號端口，vid為為200

12、。語音業務包含上聯口。語音業務包含上聯口29：4以及所有以及所有onu的的pots口，口，vid為為300。具體配置。具體配置步驟如下：步驟如下：VLAN配置舉例配置舉例管理vlan配置： 管理vlan配置需要在設備命令行方式進行： VLAN配置舉例配置舉例局端vlan配置：VLAN配置舉例配置舉例遠端數據業務vlan配置：VLAN配置舉例配置舉例遠端iptv業務vlan配置：VLAN配置舉例配置舉例遠端語音業務vlan配置：由若干由若干VLAN橋組成橋組成VLAN橋的端口有：端口狀態、出入口規則等橋的端口有：端口狀態、出入口規則等VLAN橋的端口組成拓撲結構橋的端口組成拓撲結構拓撲結構的生成

13、和維護拓撲結構的生成和維護濾波規則濾波規則查詢濾波數據庫進行幀轉發查詢濾波數據庫進行幀轉發動態生成濾波數據庫動態生成濾波數據庫動態學習機制動態學習機制GVRP對拓撲結構管理對拓撲結構管理上層配置上層配置PVLAN技術技術n 人們在傳統人們在傳統VLAN的基礎上引入新的機制，所有服務器在的基礎上引入新的機制，所有服務器在同一個子網中，但服務器只能與自己的默認網關通信。這同一個子網中，但服務器只能與自己的默認網關通信。這一新的一新的VLAN特性就是專用特性就是專用VLAN（Private VLAN）。 VLAN的局限的局限n VLAN的限制：交換機固有的的限制：交換機固有的VLAN數目的限制；數目

14、的限制；n 復雜的復雜的STP：對于每個：對于每個VLAN，每個相關的，每個相關的Spanning Tree的拓撲都需要管理；的拓撲都需要管理；n IP地址的緊缺：地址的緊缺：IP子網的劃分勢必造成一些子網的劃分勢必造成一些IP地址的浪地址的浪費；費；n 路由的限制：每個子網都需要相應的默認網關的配置。路由的限制：每個子網都需要相應的默認網關的配置。PVLAN基本概念基本概念n 1、規則、規則VLAN域域 一個常規的一個常規的VLAN實際上就可以看作是一個規則的實際上就可以看作是一個規則的VLAN域。比如域。比如VLAN100，我們可以將它看作是一個，我們可以將它看作是一個“域域”，這個這個“

15、域域”的編號，或者說名字是的編號，或者說名字是“VLAN100”。 PVLAN基本概念基本概念n 2.子域、子域、Primary VLAN、Secondary VLAN PVLAN就是把一個規則的就是把一個規則的VLAN域劃分為一個或多個子域劃分為一個或多個子域。當把一個規則的域。當把一個規則的VLAN域劃分子域后，原來的域劃分子域后，原來的“規則規則VLAN域域”現在就叫做現在就叫做“Primary Vlan”，這個，這個“Primary VLAN”編號，或者說名字就是原來編號，或者說名字就是原來“規則規則VLAN域域”的名的名字。字。 劃分出來的子域叫做劃分出來的子域叫做“Secondar

16、y VLAN”，這個，這個VLAN是有兩種屬性。是有兩種屬性。PVLAN基本概念基本概念n 3.“Secondary VLAN”的屬性的屬性 “Secondary VLAN”有兩種屬性：一種是有兩種屬性：一種是“isolated”，我們把它叫做我們把它叫做“Isolated VLAN”；另一種是；另一種是“community”，我們把它叫做，我們把它叫做“Community VLAN”。一。一個個“Secondary VLAN”必須、且只能被賦予其中某一種屬必須、且只能被賦予其中某一種屬性。這兩種屬性的性。這兩種屬性的“Secondary VLAN”都有一些規則，下都有一些規則，下面我們會講到

17、。面我們會講到。PVLAN基本概念基本概念n 4. pVLAN中的兩種接口類型中的兩種接口類型 處在處在pVLAN中的交換機物理端口，有兩種接口類型：中的交換機物理端口，有兩種接口類型：混雜端口（混雜端口（Promiscuous Port）主機端口（主機端口（Host Port） 其中其中“混雜端口混雜端口”是隸屬于是隸屬于“Primary VLAN”的；的；“主機端口主機端口”是隸屬于是隸屬于“Secondary VLAN”的。的。 因為因為“Secondary VLAN”是具有兩種屬性的，那么可想而知，處于是具有兩種屬性的，那么可想而知，處于“Secondary VLAN”當中的當中的“主

18、機端口主機端口”依依“Secondary VLAN”屬性的不同屬性的不同而不同，也就是說而不同，也就是說“主機端口主機端口”會繼承會繼承“Secondary VLAN”的屬性。那么由的屬性。那么由此可知，此可知，“主機端口主機端口”也分為兩類也分為兩類-“isolated端口端口”和和“community端口端口”。處于處于pVLAN中交換機上的一個物理端口要么是中交換機上的一個物理端口要么是“混雜端口混雜端口”要么是要么是“isolated”端口，要么就是端口，要么就是“community”端口。端口。PVLAN當中使用的一些規則當中使用的一些規則 n 1.一個一個“Primary VLAN

19、”當中至少有當中至少有1個個“Secondary VLAN”，沒有上限。，沒有上限。2.一個一個“Primary VLAN”當中只能有當中只能有1個個“Isolated VLAN”，可以有多個可以有多個“Community VLAN”。3.不同不同“Primary VLAN”之間的任何端口都不能互相通信之間的任何端口都不能互相通信（這里所將的（這里所將的“互相通信互相通信”是指二層連通性）。是指二層連通性）。4.“Isolated端口端口”只能與只能與“混雜端口混雜端口”通信，除此之外不通信，除此之外不能與任何其他端口通信。能與任何其他端口通信。5.“Community端口端口”可以和可以和“

20、混雜端口混雜端口”通信，也可以和通信，也可以和同一同一“Community VLAN”當中的其它物理端口進行通信，當中的其它物理端口進行通信，除此之外不能和其他端口通信。除此之外不能和其他端口通信。 PVLAN的優勢的優勢 n PVLAN的應用對于保證接入網絡的數據通信的安全性是非的應用對于保證接入網絡的數據通信的安全性是非常有效的。常有效的。n 用戶只需與自己的默認網關連接；用戶只需與自己的默認網關連接；n 一個一個PVLAN不需要多個不需要多個VLAN和和IP子網就提供了具備第子網就提供了具備第2層層數據通信安全性的連接；數據通信安全性的連接；n 所有的用戶都接入所有的用戶都接入PVLAN

21、，從而實現了所有用戶與默認網，從而實現了所有用戶與默認網關的連接，而與關的連接，而與PVLAN內的其他用戶沒有任何訪問。內的其他用戶沒有任何訪問。n PVLAN功能可以保證同一個功能可以保證同一個VLAN中的各個端口相互之間中的各個端口相互之間不能通信，但可以穿過不能通信，但可以穿過Trunk端口。這樣即使同一端口。這樣即使同一VLAN中中的用戶，相互之間也不會受到廣播的影響。的用戶，相互之間也不會受到廣播的影響。PVLAN舉例舉例 SWITCH1下面級聯了下面級聯了SWITCH2、SWITCH3，要求，要求SWITCH2和和SWITCH3下的各個端口互相隔離，即下的各個端口互相隔離，即給每個端口劃分一個給每個端口劃分一個VLAN。由于上層設備（由于上層設備（SWITCH1）的）的VLAN數有限，不允許下層設備（數有限，不允許下層設備（SWITCH2、SWITCH3）將）將VLAN透傳透傳上來，即上來，即SWITCH2、SWITCH3的上行端口要設為的上行端口要設為untag方式。但是一個端口是不能以方式。但是一個端口是不能以UNTAG方式屬方式屬于多個于多個VLAN的，我們如何才能讓帶有不同的，我們如何才能讓帶有不同VLAN ID的數據報文發送到同一個的數據報文發送到同一個UNTAG 端