802.1Q VLAN


VLAN(Virtual LAN,虛擬區網)/(Logical LAN,邏輯網路)
IEEE代號為802.1Q

屬於layer 2技術
ps:
VBLAN(Virtual Bridged LAN,虛擬橋接網路):在橋接網路上提供虛擬網路的服務
802.1q tunneling:ISP use to support overlapping customer VLAN ID's over transparent LAN services

發展vlan技術四個主要動能
 支援虛擬組織的需求:基於功能建立群族
 簡化網路管理的程序:網路設備添加,移除,更動簡單
 
提昇網路資源的使用效率:訊框只在此vlan的交換器埠間交換,不會流至其他網路中,避免廣播氾濫
 加強網路安全:非安全設備,但可提高網路通訊的安全性

vlan特性
use logical grouping of physical location:實體群組邏輯化具彈性,成員可動態的加入或退出vlan
為獨立的廣播網域:廣播或群播訊框只給該vlan的成員
可將lan分個較小的lan,且可span(跨越)多個交換器

具防火牆效果:不同vlan工作站不可直接通訊,需用到router或layer3switch
適用IEEE 802下的連結設備與區網型態:區網可Ethernet,Token-Ring,FDDI,Token-bus,Fast Ethernet,Gigabit Ethernet,IEEE 802.11

................................
vlan必備
須有VID(vlanid,辨識碼)辨認訊框是屬哪個vlan,802.1q中可設1024個,switch最多可有4096個
vlan設備需與傳統設備共存
vlan未啟動時應和傳統設備一樣
需透過支援vlan的特殊交換器
在vlan橋接器或交換器需設立那個vlan經由那個連接埠的組態表
可觀察經過的訊框進行自動設定組態表

方法
1先設定VID(VLAN ID)給各連接埠
2傳送端送802.3訊框,則vlan相容交換器自動在訊框加vlan欄
  若傳送端送802.1q訊框,則直接送即可,不會在訊框加vlan欄
3使用以vlan為索引的表格(該使用那個連接埠,是否與vlan相容)決定要傳去何處
4傳送,若傳送給舊式設備則將訊框恢復,也就是把vlan欄拿掉

802.1Q frame:4byte
放在802.3frame的src addr和type/length欄位之間
格式如下
VLAN protocol ID/TPID(Tag Protocol Identifier):2byte,固定0x8100表示為802.1q tag
TCI(Tag Control Information):2byte,欄位如下  
 pri:3bit,實作COS(class-of-service),可分辦嚴格或輕鬆即時流量,非即時流量,以提供較佳品質,以符合IEEE802.1p
 cfi(Canonical Format Indicator):1bit,標準格式指示碼,表低位元優先mac位址,或高位元優先mac位址,因爭議而無使用
  flagging whether the MAC addresses are in Ethernet or Token Ring format.
  (This also is known as canonical format, or little-endian or big-endian format.)
 VLAN identifier(12bit):用來標示frame的
vlan,可指定範圍為0-4095,0=只有pri,1=預設vlanid,4095=特定用途 

ps:
frame增加4byte可能超過mtu(1518byte)大小而產生baby giant frames
通常用802.3ac將mtu調成1522byte解決 
加上tag後,frame己改變因此會重算CRC

 

.........................

5種VLAN架構

1Port-based VLAN (以連接埠為基礎之虛擬網路)/static vlan(靜態vlan)
 
最簡單方法,不具成員異動彈性(變更須重設vlan),不支援一埠多網,安全性最高(因一埠一網)
  vlan成員以智慧型集線器(Intelligent Hub),橋接器(Bridges),交換器(Switches)的連接埠為基本單位 
  優點是定義VLAN成員時非常簡單,只要將所有的連接埠都指定義一下就可以了
  缺點是如果某個VLAN用戶離開了原來的連接埠,到新交換機的某個連接埠,就必須重新定義

 2MAC-based VLAN (以MAC位址為基礎之虛擬網路)/dynamic vlan(動態vlan)
 
較費時,較具成員異動彈性,容易遭竊聽(因一埠可多網)
  vlan成員以工作站MAC位址(48bit)為基本單位 
  優點是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置
  缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個是非常累的,也導致了交換機執行效率的降低

 3IP subnet-based VLAN (以IP子網路為基礎之虛擬網路):
  vlan成員以IP子網路為基本單位。 
  有更大的靈活性,但不適合區域網路,主要是效率不高

 4Layer-3-based VLAN (以網路層通訊協定為基礎之虛擬網路):
  較具成員異動彈性,較容易支援群播服務,容易遭竊聽
  vlan成員以工作站使用的網路層通訊協定(如IP或IPX)為基本單位。 
  優點是用戶的物理位置改變了,不需要重新配置他所屬的VLAN
  缺點是效率,因為要讓晶片能檢查IP表頭,需要更高的技術,同時也更費時

 5Rule-based VLAN (以原則為基礎的虛擬網路):
  最具成員異動彈性(只管封包內容而不管封包進出埠),較容易支援群播服務,安全性有彈性
  可非常彈性的訂定原則規畫虛擬網路。較新觀念,須靠交換器有能力檢視封包上較深入的部份

 

Port-based(IEEE 802.1Q)

Mac-based

Layer-3- based

Rule-based

 

智慧型集線器

交換器

   

成員配置難易度

容易

容易

困難

中間

中間

彈性

中等

中等

改善工作群組頻寬使用效率

群播服務

不佳

不佳

不佳

一埠多網

不可

不可

可能

可能

可能

安全性

中低

中低

具選擇性

虛擬網路成員跨交換器

不可

可能

可能

..........................................

Distribution/Resolution(資訊傳佈與成員解析)
將vlan成員之資訊傳佈至所有的橋接器/交換器。使每部橋接器/交換器收到訊框時能辨識該訊框屬於哪個vlan
方法如下:
 Declaration protocols (宣告通訊協定) :工作站與VLAN associations (關連) 由網路傳給各橋接器 
   
ex:IEEE 802.1Q制訂之GVRP (GARP VLAN Registration Protocol) 
 Request/Response protocols (要求/回覆通訊協定) :要求某些特定之虛擬網路連結關係

在虛擬網路環境下轉送訊框,由以下規則制定 
  Ingress rules(輸入規則):確認接收之訊框與虛擬網路之隸屬關係 
  Forwarding rules(轉送規則):決定接收之訊框應由哪些埠轉送 
  Egress rules(輸出規則):轉換訊框格式(
ex:ethernet轉tokenring)/標籤處理(ex:訊框貼上,去掉,變更標籤的程序)
以上規則可完成以下工作
 
將未貼標籤訊框歸為某特定虛擬網路,訊框可用port上分配的port vlan id 
  如果系統支援管理功能,則可將各埠PVID設為不同,以便提供規畫多虛擬網路的功能

訊框之標籤結構分為
Implicit tagging(隱性標籤 )用訊框本身內容判斷屬於哪個vlan,是untagged frame vlan
Explicit tagging(顯性標籤)已貼屬於哪一個vlan的標籤,是tagged frame vlan

vlan相關定義:
VLAN-Aware Devices(虛擬網路設備):有配置vlan軟體,能處理vlan訊框的設備
VLAN-Unaware Devices(非虛擬網路設備) :無配置vlan軟體,不能處理vlan訊框的設備 
ex:傳統的hub,bridge,switch
Access Link(接續鏈路) : 將工作站接續至虛擬橋接器的網路區段  ex:Hub,不貼標籤
Trunk Link(主幹鏈路):將vlan設備(可橋接器或工作站)連結起來的網路區段,會貼上標籤
Hybrid Link(混合鏈路):同時連接vlan設備與非vlan設備的網路區段,標籤可有可無,但同vlan須一致
Access Port(接續埠):連接續鏈路的埠 ,可設定portfast(可直接從blocking到forwarding)only access port可用
Trunk Port(主幹埠):連主幹鏈路的埠
Hybrid Port(混合埠):連混合鏈路的埠

.....................

vlan的佈署

實作vlan network至少需以下資源
Number of IP Subnets
VLAN to IP mapping
Location of each VLAN
VLAN assignments

佈署策略:
End-to-end VLANs
Local VLANs

End-to-end VLANs(campuswide VLANs)
說明:span the entire switch fabric of a network
適用情況:80/20情況,only 80% user traffic stays within the local workgroup,whereas 20% is destined for a remote resource in the campus network
優點:
1.to support maximum flexibility and mobility of end devices,Users can be assigned to VLANs regardless of their physical location
2.Each VLAN has a common set of security and resource requirements for all members

缺點:cumbersome and difficult to maintain
ex:
As a user moves around the campus, that user's VLAN membership stays the same.
This means that each VLAN must be made available at the access layer in every switch block.

ps:
End-to-end VLANs are not recommended in an enterprise network, unless there is a good reason


local VLANs
適用情況:20/80情況,only 20% of traffic is local, whereas 80% is destined to a remote resource across the core layer.

優點:
1.maximum availability by using multiple paths to destinations
2.maximum scalability by keeping the VLAN within a switch block
3.maximum manageability
缺點:user會受限於physical location


vlan設計注意事項
the VLAN should not reach across a network's core and into another switch block.
The idea again is to keep broadcasts and unnecessary traffic movement out of the core block.
造成的破壞
1.broadcast traffic is carried over from one end of the network to the other,
creating the possibility for a broadcast storm or Layer 2 bridging loop to spread across the whole extent of a VLAN.
2.This can exhaust the bandwidth of distribution- and core-layer links, as well as switch CPU resources.
3.Now the storm or loop has disrupted users on the end-to-end VLAN,
in addition to users on other VLANs that might be crossing the core.
4.When such a problem occurs, troubleshooting becomes more difficult.
ps:
In other words,the risks of end-to-end VLANs outweigh the convenience and benefits.

 

 

..................... 

Learning process(位址學習程式):觀察訊框的原始位址,根據該訊框所屬vlan更改過濾資料庫
有以下兩種模式:
  SVL(Shared VLAN Learning, 共享式虛擬網路學習模式)vlan所學到的MAC位址可給其他vlan用 
  IVL (Independent VLAN Learning, 獨立式虛擬網路學習模式)vlan所學到的MAC位址不給其他vlan用
為避免訊框轉送氾濫的情況,學習程式同時需規範三種情況 
  連接多個獨立虛擬網路 
  MAC位址重複 
  非對稱性虛擬網路

 

2008-05-04 16:35:25發表 0000-00-00 00:00:00修改   

數據分析
程式開發
計算機組織與結構
資料結構與演算法
Database and MySql
manage tool
windows
unix-like
linux service
network
network layer3
network layer2

network WAN
network service
作業系統
數位鑑識
資訊安全解決方案
資訊安全威脅
Cisco security
Cisco network
Cisco layer3
Cisco layer2



  登入      [牛的大腦] | [單字我朋友] Powered by systw.net