《网络应用技术》/实验二:虚拟局域网的应用 《网络应用技术》—实验指导书 实验二:虚拟局域网的应用 实验简介 通过交换机构建的局域网,整个网络仍然属于一个广播域。但是,在实际应用中,出于管理的 需要,要将一台交换机所构成的广播域进行划分,这就要用到虚拟局域网(ⅥLAN)技术。本实验 通过在交换机上划分虚拟局域网,从而分割交换机的广播域。 二、实验目的 1、了解虚拟局域网的工作原理; 2、了解802.1Q协议和数据帧结构: 3、掌握基于接口的ⅥLAN配置方法; 4、掌握跨交换机配置ⅥLAN的方法; 三、实验理论 1、ⅥLAN基本概念 VLAN( Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多 个广播域的通信技术。归属同一VLAN的主机间可以直接通信,而归属不同VLAN的主机间不能 直接互通,从而实现将广播报文限制在一个ⅥLAN内部。 2、VLAN的帧格式 传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段, 图20-1所示 6 目的地址源地址类型 数据 FCS 图20-1以太网数据帧格式 IEEE8021Q是虚拟局域网(VLAN)的正式标准,对 Ethernet l帧格式进行了修改,在源MAC 地址字段和协议类型字段之间加入4字节的802.1Q标记(Tag),如图20-2所示。 802.1Q标记包含4个字段,各字段解释如表3-0-1所示 字节 46~1500 目的地址源地址 类型数Ks TPID TRI CFIVID 2字节3位1位12位 图2-0-28021Q数据帧格式 河南中医药大学信息技术学院|网络与信息系统科研工作室 第1页
《网络应用技术》 / 实验二:虚拟局域网的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 《网络应用技术》—— 实验指导书 实验二:虚拟局域网的应用 一、实验简介 通过交换机构建的局域网,整个网络仍然属于一个广播域。但是,在实际应用中,出于管理的 需要,要将一台交换机所构成的广播域进行划分,这就要用到虚拟局域网(VLAN)技术。本实验 通过在交换机上划分虚拟局域网,从而分割交换机的广播域。 二、实验目的 1、了解虚拟局域网的工作原理; 2、了解 802.1Q 协议和数据帧结构; 3、掌握基于接口的 VLAN 配置方法; 4、掌握跨交换机配置 VLAN 的方法; 三、实验理论 1、VLAN 基本概念 VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的 LAN 在逻辑上划分成多 个广播域的通信技术。归属同一 VLAN 的主机间可以直接通信,而归属不同 VLAN 的主机间不能 直接互通,从而实现将广播报文限制在一个 VLAN 内部。 2、VLAN 的帧格式 传统的以太网数据帧在目的 MAC 地址和源 MAC 地址之后封装的是上层协议的类型字段,如 图 2-0-1 所示。 IEEE 802.1Q 是虚拟局域网(VLAN)的正式标准,对 Ethernet 帧格式进行了修改,在源 MAC 地址字段和协议类型字段之间加入 4 字节的 802.1Q 标记(Tag),如图 2-0-2 所示。 802.1Q 标记包含 4 个字段,各字段解释如表 3-0-1 所示: 图 2-0-1 以太网数据帧格式 图 2-0-2 802.1Q 数据帧格式
《网络应用技术》/实验二:虚拟局域网的应用 表2018021Q标记各字段含义 字段 名称 解释 取值为0X8100时表示8021Q标记帧。如果不 Tpn\1 Tag Protocol Identifier(标记协议 支持8021Q的设备收到这样的帧,会将其丢 标识符),表示帧类型。 取值范围为0~7,值越大优先级越高。用于当 Priorit!y,表示帧的优先级。 交换机阻塞时,优先发送优先级高的数据帧 Canonical Format Indicator(标准CF|为0说明是经典格式,CF为1表示为非经 CF|格式指示位),表示MAC地址是否典格式。用于兼容以太网和令牌环网。在以太网 是经典格式 中,CF|的值为0。 Ⅵ LAN ID取值范围是0~4095。由于0和4095 Ⅵ LAN ID,表示该帧所属的ⅥLAN 为协议保留取值,所以Ⅵ LAN ID的有效取值范 围是1~4094。 在一个VLAN交换网络中,以太网帧有以下两种形式: 有标记帧( tagged frame):加入了4字节8021Q标记的帧; 无标记帧( untagged frame):原始的、未加入4字节8021Q标记的帧。 3、链路类型 VLAN中有以下两种链路类型: 接入链路( Access link):用于连接用户主机和交换机的链路。通常情况下,主机并不需要知 道自己属于哪个VLAN,主机硬件通常也不能识别带有ⅥLAN标记的帧。因此主机发送和接收的 帧是不带标记帧 干道链路( Trunk link):通常用于交换机间的连接。干道链路可以承载多个不同VLAN数据 数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道 链路上传输的帧通常是带标记帧 4、ⅥLAN划分方法 表202ⅥLAN划分方法列表 VLAN创建方式 优点 缺点 根据交换机的接口来划分ⅥLAN 网络管理员可以给交换机的每个接口配置不同 VLAN内的接口成 基于接口 的PVD。当一个普通数据帧进入配置了 定义VN的成员员在移动时需重新 PVD的交换机接口时,该数据帧就会被打上接口简单 配置VLAN 该接口的PⅥD标记。对VLAN帧的处理由接 口类型决定 根据接入网络的计算机网卡的MAC地址来划 当终端用户的物理位只适用于网卡不经 分ⅥLAN 置发生改变,不需要常更换、网络环境 基于MAC地址 网络管理员配置MAC地址和LAND映射重新配置VAN 较简单的 关系表,如果交换机收到的是 untagged(不 带ⅥLAN标记)帧,则依据该表添加ⅥLAN 高了终端用户的安全需要预先定义网络 性和接入的灵活性。中所有成员。 如果交换设备收到的是 untagged(不带 将指定网段或|P地网络中的用户分布 基于子网划分LAN标记)帧,交换设备根据报文中的P址发出的报文在指定需要有规律,且多 地址信息,确定添加的 LAN ID。 的ⅥLAN中传输 个用户在同一个网 河南中医药大学信息技术学院|网络与信息系统科研工作室 第2页
《网络应用技术》 / 实验二:虚拟局域网的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 表 2-0-1 802.1Q 标记各字段含义 字段 名称 解释 TPID Tag Protocol Identifier(标记协议 标识符),表示帧类型。 取值为 0x8100 时表示 802.1Q 标记帧。如果不 支持 802.1Q 的设备收到这样的帧,会将其丢 弃。 PRI Priority,表示帧的优先级。 取值范围为 0~7,值越大优先级越高。用于当 交换机阻塞时,优先发送优先级高的数据帧。 CFI Canonical Format Indicator(标准 格式指示位),表示 MAC 地址是否 是经典格式。 CFI 为 0 说明是经典格式,CFI 为 1 表示为非经 典格式。用于兼容以太网和令牌环网。在以太网 中,CFI 的值为 0。 VID VLAN ID,表示该帧所属的 VLAN 编号。 VLAN ID 取值范围是 0~4095。由于 0 和 4095 为协议保留取值,所以 VLAN ID 的有效取值范 围是 1~4094。 在一个 VLAN 交换网络中,以太网帧有以下两种形式: 有标记帧(tagged frame):加入了 4 字节 802.1Q 标记的帧; 无标记帧(untagged frame):原始的、未加入 4 字节 802.1Q 标记的帧。 3、链路类型 VLAN 中有以下两种链路类型: 接入链路(Access Link):用于连接用户主机和交换机的链路。通常情况下,主机并不需要知 道自己属于哪个 VLAN,主机硬件通常也不能识别带有 VLAN 标记的帧。因此主机发送和接收的 帧是不带标记帧。 干道链路(Trunk Link):通常用于交换机间的连接。干道链路可以承载多个不同 VLAN 数据, 数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个 VLAN,所以在干道 链路上传输的帧通常是带标记帧。 4、VLAN 划分方法 表 2-0-2 VLAN 划分方法列表 VLAN 创建方式 原理 优点 缺点 基于接口 根据交换机的接口来划分 VLAN。 网络管理员可以给交换机的每个接口配置不同 的 PVID。当一个普通数据帧进入配置了 PVID 的交换机接口时,该数据帧就会被打上 该接口的 PVID 标记。对 VLAN 帧的处理由接 口类型决定。 定义 VLAN 的成员 接口简单。 VLAN 内的接口成 员在移动时需重新 配置 VLAN。 基于 MAC 地址 根据接入网络的计算机网卡的 MAC 地址来划 分 VLAN。 网络管理员配置 MAC 地址和 VLAN ID 映射 关系表,如果交换机收到的是 untagged(不 带 VLAN 标记)帧,则依据该表添加 VLAN ID。 当终端用户的物理位 置发生改变,不需要 重新配置 VLAN。提 高了终端用户的安全 性和接入的灵活性。 只适用于网卡不经 常更换、网络环境 较简单的场景。 需要预先定义网络 中所有成员。 基于子网划分 如果交换设备收到的是 untagged(不带 VLAN 标记)帧,交换设备根据报文中的 IP 地址信息,确定添加的 VLAN ID。 将指定网段或 IP 地 址发出的报文在指定 的 VLAN 中传输, 网络中的用户分布 需要有规律,且多 个用户在同一个网
《网络应用技术》/实验二:虚拟局域网的应用 减轻了网络管理者的段。 任务量,且有利于管 需要对网络中所有 的协议类型和 根据接口接收到的报文所属的协议(族)类型 VLAN ID的映射关 及封装格式来给报文分配不同的 VLAN ID VLAN,将网络中提系表进行初始配 网络管理员需要配置以太网帧中的协议域和 基于协议划分 VLAN ID的映射关系表,如果收到的是 供的服务类型与 置。需要分析各种 untagged(不带AN标记)帧,则依据该LAN相绑定,方便协议的地址格式并 管理和维护 进行相应的转换 表添加VLAN|D 消耗交换机较多的 资源 基于匹配策略划分ⅥLAN是指在交换机上配 安全性非常高,基于 置终端的MAC地址和|P地址,并与VLAN MAC地址和|P地址 基于匹配策略关联 成功划分VLAN 针对每一条策略都 (MAC地址、P只有符合条件的终端才能加入指定ⅥLAN。符 合策略的终端加入指定ⅥLAN后,严禁修改 后,禁止用户改变需要手工配置 地址、接口 P地址或MAC P地址或MAC地址,否则会导致终端从指定 ⅥLAN中退出 5、接囗类 在8021Q中定义VLAN后,设备的有些接口可以识别ⅥLAN帧,有些接口不能识别LAN 帧。根据对ⅥLAN帧的识别情况,将接口分为4类: (1) Access接囗 Access接口是交换机上用来连接用户主机的接口,它只能连接接入链路。仅允许唯一的VLAN ID通过本接口,这个 VLAN ID与接口的缺省ANID相同, Access接口发往对端设备的以太网 帧永远是不带标记的帧。 (2) Trunk接口 Trunk接口是交换机上用来和其他交换机连接的接口,它只能连接干道链路,允许多个ⅥLAN 的帧(带ⅥLAN标记)通过 (3) Hybrid接囗 Hybrid接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。 Hybrid接口既 可以连接接入链路又可以连接干道链路。 Hybrid接口允许多个AN的帧通过,并可以在出接口 方向将某些LAN帧的标记剥掉。 (4)QinQ接囗 ainQ(8021Q-in-8021Q)接口是使用QinQ协议的接口。QinQ接口可以给帧加上双重ⅥLAN 标记,即在原来标记的基础上,给帧加上一个新的标记,从而可以支持多达4094×4094个VLAN (不同的产品支持不同的规格),满足网络对ⅥLAN数量的需求。 河南中医药大学信息技术学院|网络与信息系统科研工作室 第3页
《网络应用技术》 / 实验二:虚拟局域网的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 减轻了网络管理者的 任务量,且有利于管 理。 段。 基于协议划分 根据接口接收到的报文所属的协议(族)类型 及封装格式来给报文分配不同的 VLAN ID。 网络管理员需要配置以太网帧中的协议域和 VLAN ID 的映射关系表,如果收到的是 untagged(不带 VLAN 标记)帧,则依据该 表添加 VLAN ID。 基于协议划分 VLAN,将网络中提 供的服务类型与 VLAN 相绑定,方便 管理和维护。 需要对网络中所有 的协议类型和 VLAN ID 的映射关 系表进行初始配 置。需要分析各种 协议的地址格式并 进行相应的转换, 消耗交换机较多的 资源。 基于匹配策略 (MAC 地址、IP 地址、接口) 基于匹配策略划分 VLAN 是指在交换机上配 置终端的 MAC 地址和 IP 地址,并与 VLAN 关联。 只有符合条件的终端才能加入指定 VLAN。符 合策略的终端加入指定 VLAN 后,严禁修改 IP 地址或 MAC 地址,否则会导致终端从指定 VLAN 中退出。 安全性非常高,基于 MAC 地址和 IP 地址 成功划分 VLAN 后,禁止用户改变 IP 地址或 MAC 地 址。 针对每一条策略都 需要手工配置。 5、接口类型 在 802.1Q 中定义 VLAN 后,设备的有些接口可以识别 VLAN 帧,有些接口不能识别 VLAN 帧。根据对 VLAN 帧的识别情况,将接口分为 4 类: (1)Access 接口 Access 接口是交换机上用来连接用户主机的接口,它只能连接接入链路。仅允许唯一的 VLAN ID 通过本接口,这个 VLAN ID 与接口的缺省 VLAN ID 相同,Access 接口发往对端设备的以太网 帧永远是不带标记的帧。 (2)Trunk 接口 Trunk 接口是交换机上用来和其他交换机连接的接口,它只能连接干道链路,允许多个 VLAN 的帧(带 VLAN 标记)通过。 (3)Hybrid 接口 Hybrid 接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid 接口既 可以连接接入链路又可以连接干道链路。Hybrid 接口允许多个 VLAN 的帧通过,并可以在出接口 方向将某些 VLAN 帧的标记剥掉。 (4)QinQ 接口 QinQ(802.1Q-in-802.1Q)接口是使用 QinQ 协议的接口。QinQ 接口可以给帧加上双重 VLAN 标记,即在原来标记的基础上,给帧加上一个新的标记,从而可以支持多达 4094×4094 个 VLAN (不同的产品支持不同的规格),满足网络对 VLAN 数量的需求
《网络应用技术》/实验二:虚拟局域网的应用 QinQ帧的格式如图2-0-3所示。外层的标记通常被称作公网标记,用来存放公网的VLAN ID。内层标记通常被称作私网标记,用来存放私网的 VLAN ID 节 目的地址源地址类数K 图2-0-3ainQ数据帧格式 6、不同类型接囗对VLAN帧的处理 由于接口类型不同,对帧的处理方式也不同,具体的处理过程,请大家参看本课程的课件。 7、ⅥLAN内跨越交换机通信原理 有时属于同一个ⅥLAN的用户主机被连接在不同的交换机上。当ⅥLAN跨越交换机时, 就需要交换机间的接口能够同时识别和发送跨越交换机的ⅥAN报文。这时,需要用到 Trunk Link技术。 Trunk link有两个作用: 中继作用:把ⅥLAN报文透传到互联的交换机。 干线作用:一条 Trunk link上可以传输多个ⅥLAN的报文。 总结 1.对于主机来说,它不需要知道LAN的存在。主机发出的是 untagged报文。 2.交换机接收到报文后,根据ⅥAN配置规则(如接口信息)判断出报文所属的VLAN 后,再进行处理。 3.如果报文需要通过另一台交换机转发,则该报文必须通过干道链路(即 Trunk ink)传输透传到对端交换机上。为了保证其它交换机能够正确处理报文中的 VLAN信息,在干道链路上传输的报文必须都打上了ⅥLAN标记 4.当交换机最终确定报文出接口后,将报文发送给主机前,需要将ⅥLAN标记从帧中 删除,这样主机接收到的报文都是不带VLAN标记的以太网帧。 所以,一般情况下,干道链路上传输的都是 tagged帧,接入链路上传送到的都是 untagged 帧。这样处理的好处是:网络中配置的ⅥLAN信息可以被所有交换设备正确处理,而主机不需 要了解VLAN信息 举例说明 图2-04所示的网络中,交换机SW1和SW2基于接口创建ⅥLAN。其中, Ethernet/0/1 都被设置为 Access类型接口,都属于VLAN10: Ethernet0/0都设置成 Trunk类型接口,都 允许ⅥLAN10和ⅥLAN20的标记帧通过 河南中医药大学信息技术学院|网络与信息系统科研工作室 第4页
《网络应用技术》 / 实验二:虚拟局域网的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 QinQ 帧的格式如图 2-0-3 所示。外层的标记通常被称作公网标记,用来存放公网的 VLAN ID。内层标记通常被称作私网标记,用来存放私网的 VLAN ID。 6、不同类型接口对 VLAN 帧的处理 由于接口类型不同,对帧的处理方式也不同,具体的处理过程,请大家参看本课程的课件。 7、VLAN 内跨越交换机通信原理 有时属于同一个 VLAN 的用户主机被连接在不同的交换机上。当 VLAN 跨越交换机时, 就需要交换机间的接口能够同时识别和发送跨越交换机的 VLAN 报文。这时,需要用到 Trunk Link 技术。Trunk Link 有两个作用: 中继作用:把 VLAN 报文透传到互联的交换机。 干线作用:一条 Trunk Link 上可以传输多个 VLAN 的报文。 总结: 1. 对于主机来说,它不需要知道 VLAN 的存在。主机发出的是 untagged 报文。 2. 交换机接收到报文后,根据 VLAN 配置规则(如接口信息)判断出报文所属的 VLAN 后,再进行处理。 3. 如果报文需要通过另一台交换机转发,则该报文必须通过干道链路(即 Trunk Link)传输透传到对端交换机上。为了保证其它交换机能够正确处理报文中的 VLAN 信息,在干道链路上传输的报文必须都打上了 VLAN 标记。 4. 当交换机最终确定报文出接口后,将报文发送给主机前,需要将 VLAN 标记从帧中 删除,这样主机接收到的报文都是不带 VLAN 标记的以太网帧。 所以,一般情况下,干道链路上传输的都是 tagged 帧,接入链路上传送到的都是 untagged 帧。这样处理的好处是:网络中配置的 VLAN 信息可以被所有交换设备正确处理,而主机不需 要了解 VLAN 信息 举例说明: 图 2-0-4 所示的网络中,交换机 SW-1 和 SW-2 基于接口创建 VLAN。其中,Ethernet0/0/1 都被设置为 Access 类型接口,都属于 VLAN10;Ethernet0/0/0 都设置成 Trunk 类型接口,都 允许 VLAN10 和 VLAN20 的标记帧通过。 图 2-0-3 QinQ 数据帧格式
《网络应用技术》/实验二:虚拟局域网的应用 SW-1 VLAN标记帧 SW-2 Eth 0/0/0 Eth 0/0/0 Eth 0/0/1 Trunk link Eth 0/0/1 普通帧 普通帧 Host-2 Host-3 Host-4 Host-5 Host-6 Host-7 Host-8 VLAN10 VLAN20 VLAN20 图2-04ⅥLAN跨交换机时的通信方式示意图 此时,当用户主机Host1发送数据给用户主机Host5时(假设Host-1已经知道Host5的P 地址和MAC地址),数据帧的发送过程如下: (1)Host1发出数据帧,该帧不加ⅥLAN标记,是普通帧。该数据帧首先到达SW1的接口 Ethernet 0/0/1。 (2)由于 Ethernet o0/1是 Access类型接口,所以其给数据帧加上ⅥLAN标记,标记的VD 字段填入该接口所属的LAN的编号10 (3)SW-1查询自己的MAC地址表,发现到达目的地需要将数据帧从接口 Ethernet00/0发 送出去。 Ethernet/00接口是 Trunk类型接口,其默认的PVD值是1。经过分析, Ethernet/o/0 接口发现将要发出的数据帧的ⅦD值是10,与自己的PⅥD值不相等,于是不去掉数据帧的VLAN 标记,直接发送出去,于是在SW1和SW2之间的 Trunk链路上出现了加ⅥLAN标记的数据帧。 (4)SW-2的 Ethernet/o0接口收到加ⅥLAN标记的数据帧,经过分析,它发现该数据帧的 VD值是10,与自己的PVD值(默认是1)不相等,于是不去掉数据帧的ⅥLAN标记 (5)SW2查询自己的MAC地址表,发现目的地MAC地址对应的交换机接口是 Ethernet 0/0/1,于是从 Ethernet0/1接口将数据帧发送出去 (6)由于SW2的ε thernet o0/1接口是 Access类型接口,因此将数据帧发出时,会去掉 ⅥLAN标记,即将普通帧发送给主机Host-5。 (7)从Host5返回Host-1的确认报文,其通信过程类似。 四、实验内容及过程 河南中医药大学信息技术学院|网络与信息系统科研工作室
《网络应用技术》 / 实验二:虚拟局域网的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 此时,当用户主机 Host-1 发送数据给用户主机 Host-5 时(假设 Host-1 已经知道 Host-5 的 IP 地址和 MAC 地址),数据帧的发送过程如下: (1)Host-1 发出数据帧,该帧不加 VLAN 标记,是普通帧。该数据帧首先到达 SW-1 的接口 Ethernet 0/0/1。 (2)由于 Ethernet 0/0/1 是 Access 类型接口,所以其给数据帧加上 VLAN 标记,标记的 VID 字段填入该接口所属的 VLAN 的编号 10。 (3)SW-1 查询自己的 MAC 地址表,发现到达目的地需要将数据帧从接口 Ethernet 0/0/0 发 送出去。Ethernet0/0/0 接口是 Trunk 类型接口,其默认的 PVID 值是 1。经过分析,Ethernet0/0/0 接口发现将要发出的数据帧的 VID 值是 10,与自己的 PVID 值不相等,于是不去掉数据帧的 VLAN 标记,直接发送出去,于是在 SW-1 和 SW-2 之间的 Trunk 链路上出现了加 VLAN 标记的数据帧。 (4)SW-2 的 Ethernet0/0/0 接口收到加 VLAN 标记的数据帧,经过分析,它发现该数据帧的 VID 值是 10,与自己的 PVID 值(默认是 1)不相等,于是不去掉数据帧的 VLAN 标记。 (5)SW-2 查询自己的 MAC 地址表,发现目的地 MAC 地址对应的交换机接口是 Ethernet 0/0/1,于是从 Ethernet0/0/1 接口将数据帧发送出去。 (6)由于 SW-2 的 Ethernet 0/0/1 接口是 Access 类型接口,因此将数据帧发出时,会去掉 VLAN 标记,即将普通帧发送给主机 Host-5。 (7)从 Host-5 返回 Host-1 的确认报文,其通信过程类似。 四、实验内容及过程 图 2-0-4 VLAN 跨交换机时的通信方式示意图