VLAN概述
以太網是一種基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,載波偵聽多路通路/沖突檢測)的共享通訊媒體的資料網絡通訊技術,當主機數目較多時會導緻沖突嚴重、廣播泛濫、性能顯著下降甚至使網絡不可用等問題。通過交換機實作LAN互聯雖然可以解決沖突(Collision)嚴重的問題,但仍然不能隔離廣播封包。在這種情況下出現了VLAN(Virtual Local Area Network,虛拟區域網路)技術,這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN,每個VLAN是一個廣播域,VLAN内的主機間通信就和在一個LAN内一樣,而VLAN間則不能直接互通,這樣,廣播封包被限制在一個VLAN内,如圖1所示。
VLAN的劃分不受實體位置的限制:不在同一實體位置範圍的主機可以屬于同一個VLAN;一個VLAN包含的使用者可以連接配接在同一個交換機上,也可以跨越交換機,甚至可以跨越路由器。
VLAN的優點如下:
l 限制廣播域。廣播域被限制在一個VLAN内,節省了帶寬,提高了網絡處理能力。
l 增強區域網路的安全性。VLAN間的二層封包是互相隔離的,即一個VLAN内的使用者不能和其它VLAN内的使用者直接通信,如果不同VLAN要進行通信,則需通過路由器或三層交換機等三層裝置。
l 靈活建構虛拟工作組。用VLAN可以劃分不同的使用者到不同的工作組,同一工作組的使用者也不必局限于某一固定的實體範圍,網絡建構和維護更友善靈活。
VLAN原理
要使網絡裝置能夠分辨不同VLAN的封包,需要在封包中添加辨別VLAN的字段。由于普通交換機工作在OSI模型的資料鍊路層,隻能對封包的資料鍊路層封裝進行識别。是以,如果添加識别字段,也需要添加到資料鍊路層封裝中。
IEEE于1999年頒布了用以标準化VLAN實作方案的IEEE 802.1Q協定标準草案,對帶有VLAN辨別的封包結構進行了統一規定。
傳統的以太網資料幀在目的MAC位址和源MAC位址之後封裝的是上層協定的類型字段,如圖2所示。
如圖3所示,VLAN Tag包含四個字段,分别是TPID(Tag Protocol Identifier,标簽協定辨別符)、Priority、CFI(Canonical Format Indicator,标準格式訓示位)和VLAN ID。
l TPID用來判斷本資料幀是否帶有VLAN Tag,長度為16bit,預設取值為0x8100。
l Priority表示封包的802.1P優先級,長度為3bit,相關内容請參見“QoS分冊”中的“QoS配置”。
l CFI字段辨別MAC位址在不同的傳輸媒體中是否以标準格式進行封裝,長度為1bit,取值為0表示MAC位址以标準格式進行封裝,為1表示以非标準格式封裝,預設取值為0。
l VLAN ID辨別該封包所屬VLAN的編号,長度為12bit,取值範圍為0~4095。由于0和4095為協定保留取值,是以VLAN ID的取值範圍為1~4094。
網絡裝置利用VLAN ID來識别封包所屬的VLAN,根據封包是否攜帶VLAN Tag以及攜帶的VLAN Tag值,來對封包進行處理。
VLAN交換的概念
VLAN交換是VLAN本地交換的簡稱,是指在裝置本地根據标簽(VLAN Tag)進行封包轉發,與此同時可以對封包進行标簽更改。
VLAN交換通過本地交換組(Local Group)和服務執行個體(Service Instance)共同實作:把不同端口上的兩個服務執行個體關聯到同一個本地交換組中,就建立起了VLAN交換。
1. 本地交換組
本地交換組是基于端口的,一個本地交換組中包含兩個端口——連接配接營運商網絡端口的稱為網絡側端口,連接配接使用者網絡的端口稱為使用者側端口,統稱為本地交換組的成員端口。
如圖 1所示,PE 1的端口Ethernet1/1和Ethernet1/2加入到同一個本地交換組成為其成員端口後,通過在這兩個成員端口之間建立起的通道就可以實作封包标簽的本地交換。PE 2上的情形與PE 1類似。
2. 服務執行個體
服務執行個體被建立在端口下,用來對通過該端口的封包進行識别和處理。服務執行個體提供了擴充的靈活QinQ特性。目前,服務執行個體可以應用于VLAN交換、MPLS L2VPN和VPLS。
VLAN交換工作機制
VLAN交換通過在本地交換組的兩個成員端口之間建立起一條虛拟的通道,對從通道一端進入的封包進行标簽比對,并将符合比對規則的封包按照處理規則進行處理後,發往通道另一端發送出去。對于在端口上已建立好VLAN交換的服務執行個體來說:
l 對于該端口接收的封包,服務執行個體會對其進行封包比對,并對符合比對規則的封包進行相應處理後直接發往本地交換組的對端端口;而對于不符合比對規則的封包,則将其交由其它應用子產品處理。
l 對于該端口發送的封包,服務執行個體會判斷其是否由本地交換組的對端端口發來,如果是就進行相應處理并發送出去,如果不是則會直接發送出去。
如圖 2所示,假設已在PE 1和PE 2上完成了相關配置,封包從CE 1到達CE 2的過程如下:
(1) PE 1從端口Ethernet1/2收到來自CE 1的封包後,對其進行封包比對,符合比對規則的封包被送往端口Ethernet1/1,在該端口上被封裝上外層标簽并發送出去;
(2) PE 2的端口Ethernet1/1收到該封包後,對其進行封包比對,将符合比對規則的封包的外層标簽剝離掉,然後從端口Ethernet1/2發送給CE 2。