3控制园区网中的广播流量(VLAN技术).pptVIP

VLAN技术 网桥和交换机的根本功能是通过将网络分割成多个冲突域，减少碰撞次数。但无法隔离广播帧。 所有用户同在一个广播域中会引起网络性能的下降，浪费网络带宽，因此控制网络内的广播传输变得非常重要。 假设计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARP Request）信息”，来尝试获取计算机B的MAC地址。 广播带来的负面作用 这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说：只要计算机B能收到就万事大吉了。 可是事实上，数据帧却传遍整个网络，导致所有的计算机都收到了它。 如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播的隔离方法 传统的共享介质的以太网和交换式的以太网中，对广播风暴的控制和网络安全只能用工作在第三层的设备——路由器来实现，因为默认情况下路由器不会转发广播信息。 普通交换机无法隔离广播域 路由器可以隔离广播域 而现在的局域网一般可以通过交换机来隔离广播，即VLAN技术。 VLAN简介 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而组建虚拟工作组的新兴技术。 IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站。由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。 交换机上划分VLAN隔离广播风暴 使用VLAN的目的 VLAN的三大优点： 控制广播风暴：一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 提高网络的整体安全性：可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性 方便网络的管理：对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用 VLAN标准——IEEE802.1Q数据帧 IEEE802.1Q是虚拟局域网的正式标准，定义了同一个物理链路上承载多个局域网的数据流的方法。 IEEE 802.1Q定义了VLAN帧格式，为识别帧属于哪个VLAN提供了一个标准的方法。 这个格式统一了标识VLAN的方法，有利于保证不同厂家设备配置的VLAN可以互通。 标记协议标识（TPID）: 固定值0x8100，表示该帧载有802.1Q标记信息 标记控制信息（TCI）: Priority：3比特，表示优先级，决定了数据帧的重要紧急程度，优先级越高，就越优先得到交换机的处理。在QoS中有应用。 CFI（Canonical Format Indicator）：1比特，规范格式指示符，当其值为0时，表示该数据帧采用规范帧格式，如果该位是1则表示该帧为非规范帧格式。 VID（Vlan ID）：12比特，指明VLAN的ID，可用范围1－4094，每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域，以指明该帧属于哪一个VLAN。 在一个交换网络环境中，以太网的帧有两种格式： 有些帧是没有加上这四个字节标志的，称为未标记的帧（untaged frame）， 有些帧加上了这四个字节的标志，称为带有标记的帧（taged frame）。 Access Link和Trunk Link VLAN帧在网络中的通信 对于主机来说，它是不需要知道VLAN的存在的。主机发出的帧都是untaged的帧；交换机接收到这样的帧之后，根据配置规则（如端口信息）判断出帧所属VLAN进行处理。 如果帧需要通过另外一台交换机发送，则该帧必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理帧的VLAN信息，在干道链路上发送的帧大多数（不是全部）都带上了VLAN标记。 当交换机最终确定帧转发端口后，将帧发送给主机之前，将VLAN的标记从以太网帧中删除，