运维人员课程体系_数据专业06.ppt

* LAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN。 Canonical Format Indicator( cfi )：这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的桢格式。 Priority：指明桢的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送哪个数据包。 * 随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面： （1）VLAN的限制：交换机固有的VLAN数目的限制； （2）复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理； （3）IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费； （4）路由的限制：每个子网都需要相应的默认网关的配置。 现在有了一种新的VLAN机制，所有服务器在同一个子网中，但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN（Private VLAN）。在Private VLAN的概念中，交换机端口有三种类型：Isolated port，Community port, Promisc- uous port；它们分别对应不同的VLAN类型：Isolated port属于Isolated PVLAN，Community port属于Community PVLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交换流量；在Community PVLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。 * * QinQ协议向用户提供一个唯一的公网VLAN ID，这个特殊的VLAN ID被称作Customer-ID，将用户私网VLAN tag封装在这个新的Customer-ID中，依靠它在公网中传播，用户私网VLAN ID在公网中被屏蔽，从而大大地节省了服务提供商紧缺的VLAN ID资源 。 在QinQ模式下，PE上用于用户接入的端口被称作用户端口。在用户端口上使能QinQ功能，并为每个用户分配一个Customer-ID，此处为3，不同的PE上应该为同一网络用户分配相同的Customer-ID。当报文从CE1到达PE1时，带有用户内部网络的VLAN tag 200-300，由于使能了QinQ功能，PE上的用户端口将再次为报文加上另外一层VLAN tag，其ID就是分配给该用户的Customer-ID。此后该报文在服务提供商网络中传播时仅在VLAN 3中进行且全程带有两层VLAN tag（内层为进入PE1时的tag，外层为Customer-ID），但用户网络的VLAN信息对运营商网络来说是透明的。当报文到达PE2，从PE2上的客户端口转发给CE2之前，外层VLAN tag被剥去，CE2收到的报文内容与CE1发送的报文完全相同。PE1到PE2之间的运营商网络对于用户来说，其作用就是提供了一条可靠的二层链路。 * * 802.1P 协议头包括一个3位优先级字段，该字段支持将数据包分组为各种流量种类。对于那些实时性要求很高的数据包，主机在发送时就在3位优先级中指明该数据包优先级高，这样，当以太网交换机数据流量比较多时，它就会考虑优先转发这些优先级高的数据包。流量种类也可以定义为第二层服务质量（QoS）