VLAN 相关文档

温柔并善良

VLAN技术白皮书
摘要

关键词
VLAN，VLAN聚合，PVLAN， GVRP，VTP
1 VLAN概述
VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。
VLAN在交换机上的实现方法，可以大致划分为4类:
1、 基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的1~4端口为VLAN 10，5~17为VLAN 20，18~24为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。
2、基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。
3、基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，
这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。
这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。
4、根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。
鉴于当前业界VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，Quidway S系列交换机采用根据端口来划分VLAN的方法。
2.IEEE 802.1Q

图1 带有802.1Q标签的以太网祯

IEEE于1999年正式签发了802.1Q标准，即Virtual Bridged Local Area Networks协议，规定了VLAN的国际标准实现，从而使得不同厂商之间的VLAN互通成为可能。 802.1Q协议规定了一段新的以太网祯字段，如图1所示。与标准的以太网祯头相比，VLAN报文格式在源地址后增加了一个4字节的802.1Q标签。 4个字节的802.1Q标签中，包含了2个字节的标签协议标识（TPID--Tag Protocol Identifier，它的值是8100），和两个字节的标签控制信息（TCI--Tag Control Information），TPID是IEEE定义的新的类型，表明这是一个加了802.1Q标签的报文。

图2显示了802.1Q标签头的详细内容， 该标签头中的信息解释如下：

图2 802.1Q标签头
•        VLAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己所属的VLAN。
•        Canonical Format Indicator( CFI )：这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的祯格式。
•        Priority：这3 位指明祯的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送优先级高的数据包。
目前使用的大多数计算机并不支持802.1Q，即计算机发送出去的数据包的以太网祯头还不包含这4个字节，同时也无法识别这4个字节，将来会有软件和硬件支持802.1Q协议的。 在交换机中，直接与主机相连的端口是无法识别802.1Q报文的，那么这种端口称为 Access端口；对于交换机相连的端口，可以识别和发送802.1Q报文，那么这种端口称为Tag Aware 端口 。在目前的大多数交换机产品中，用户可以直接规定交换机的端口的类型，来确定端口相连的设备是否能够识别802.1Q报文。
在交换机中的报文转发过程中，802.1Q报文标识了报文所属的VLAN，在跨越交换机的报文中，带有VLAN标签信息的报文尤其显得重要。例如，定义交换机中的1端口属于VLAN 2，且该端口类型为Acess，当 1 端口接收到一个数据报文后，交换机会查看该报文中没有802.1Q标签，那么，交换机根据1端口所属的VLAN 2，自动给该数据包添加一个VLAN 2的标签头，然后再将数据包交给数据库查询模块，数据库查询模块会根据数据包的目的地址和所属的VLAN进行查找，之后交给转发模块，转发模块看到这是一个包含标签头的数据包，根据报文的出端口的性质来决定是否保留还是去掉标签头。如果端口是Tag Aware端口，则保留标签，否则则删除标签头。一般情况下，两个交换机互连的端口一般都是Tag Aware端口， 交换机和交换机之间交换数据包时是没有必要去掉标签的。
虚拟局域网是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比，具有以下优势：
        减少移动和改变的代价，即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。
        虚拟工作组，使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持。
        限制广播包，按照802.1D透明网桥的算法，如果一个数据包找不到路由，那么交换机就会将该数据包向除接收端口以外的其他所有端口发送，这就是桥的广播方式的转发，这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。
        安全性，由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。
3 与VLAN密切相关的协议标准
提到IEEE 802.1Q VLAN，就不得不提到以下一些主流的动态VLAN管理协议：
1.        GVRP协议
1.        VTP协议
用户可以根据自己的实际需要，以及本身的网络环境来选择使用。需要说明的是，在Quidway S系列交换机上，VLAN分为静态VLAN和动态VLAN两种，静态VLAN是指用户手工配置的VLAN，而动态VLAN则指那些通过动态VLAN协议学习到的VLAN。
3.1 GVRP协议
3.1.1 GARP协议介绍
GARP( Generic Attribute Registration Protocol) 是一种通用的属性Attribute 注册协议，它为处于同一个交换网内的交换成员之间提供了动态分发传播注册某种属性信息的一种手段。这里的属性可以是VLAN， 组播MAC 地址和端口过滤模式等特征信息。GARP 协议实际上可以承载多种交换机需要传播的属性特性，所以GARP协议在交换机中存在的意义就是通过各种GARP 应用协议体现出来。目前定义了GMRP (GARP Multicast Registration Protocol) 和GVRP (GARP VLAN Registration Protocol )两个协议，以后会根据网络发展的需要定义其它的特性。
在GARP协议中，每个运行GARP协议的实体，被称为GARP Participant，在具体的应用中，Participant可以是交换机每个启动GARP协议的端口。在图3中，显示了GARP的结构。

图3 GARP体系结构
在GARP Participant中，GARP Application组件负责属性值的管理，GARP协议报文的接收和发送。 GARP Application组件利用GID组件和操作时的状态机，以及GIP组件控制协议实体之间的消息交互。
GID组件(GARP Information Declaration)是GARP协议的核心组件，一个GID实例如图6所示包含了当前所有属性值的状态。每个属性的状态由该属性的状态机决定。每个属性的状态机有两个：Applicant和Registrar，其中Registrar状态机负责属性的注册，注销等，并决定协议内部定时器的启动和停止。Applicant状态机负责决定协议报文的发送。

图4 GID组件模型
GID的具体操作由以下情况决定：
a）Applicant状态迁移表（表略，见具体协议802.1d）
b）Registrar状态迁移表（表略，见具体协议802.1d）
c）记录Applicant的每一个属性的当前声明状态的Applicant状态机和Registrar状态机
d）GID服务原语
有二种服务原语可以使得GID通过指定的端口进行属性声明或撤销声明：
（1）GID_JOIN.request（attribute_type，attribute_value）
（2）GID_LEAVE.request （attribute_type，attribute_value）
有二种服务原语可以要求GID在指定的端口上进行属性注册和撤销：
（1）GID_JOIN. indication（attribute_type，attribute_value）
（2）GID_LEAVE. indication （attribute_type，attribute_value）
GIP组件（GARP Information Propagation )负责将属性信息从一个Participant传播到其他Participant，实质上，是将属性信息在Participant的GID组件之间传递。GIP组件从一个Participant接收到GID_JOIN.indication，就产生GID_JOIN.request到其他Participant上。同样，GIP组件从一个Participant接收到GID_LEAVE.indication，产生一个GID_LEAVE.request到其他Participant上。
在协议中，GARP 定义了以太网交换机之间交换各种属性信息的方法，包括如何发送和接收协议消息，如何处理接收到的不同的协议消息，如何维护协议状态机之间的跃迁等等。通过GARP 的协议机制，一个GARP 成员所知道的配置信息会迅速传播到整个交换网。GARP 成员可以是终端工作站或交换机。
GARP 成员通过注册消息或注销消息通知其他的GARP 成员注册或注销自己的属性信息，并根据其他GARP 成员的注册消息或注销消息注册或注销对方的属性信息。 不同的GARP 成员之间的协议消息就是这些注册消息或注销消息的具体形式。GARP 的协议消息类型有六种分别为JoinIn，JoinEmpty， Leave Empty，Leave In，Empty， 和LeaveAll。 当一个GARP 成员希望注册某属性信息时将对外发送Join 消息，当一个GARP 应用实体希望注销某属性信息时将对外发送Leave 消息。每个GARP 成员启动后将同时启动LeaveAll 定时器，当LeaveAll 定时器超时后将对外发送LeaveAll 消息，JoinEmpty 消息与Leave 消息配合确保属性信息的注销或重新注册。通过这五种消息交互，所有待注册或待注销的属性信息得以动态地反映到交换网中的所有交换机。
GARP 应用协议的协议数据报文都有特定的目的MAC 地址，在支持GARP 特性的交换机中接收到GARP 应用协议的报文时，根据MAC 地址加以区分后交由不同的应用协议模块处理，如GVRP 或GMRP。