802.1Q協議,即Virtual Bridged Local Area Networks協議,主要規定了VLAN的實現,下面我們首先講述一下有關VLAN的基本觀念。
Virtual LANs目前發展很快,世界上主要的大網絡廠商在他們的交換機設備中都實現了VLAN協議,顧名思義,VLAN就是虛擬局域網,比如對于QuidwayS2403交換機來說,可以將它的24個10M以太網口劃分為幾個組,比如協議組,ATM組,測試組等,這樣,組內的各個用戶就象在同一個局域網內(可能協議組的用戶位于很多的交換機上,而非一個交換機)一樣,同時,不是本組的用戶也無法訪問本組的成員。
實際上,VLAN成員的定義可以分為4種:
根據端口劃分VLAN
這種劃分VLAN的方法是根據以太網交換機的端口來劃分,比如S2403的1~4端口為VLAN A,5~17為VLAN B,18~24為VLAN C,當然,這些屬于同一VLAN的端口可以不連續,如何配置,由管理員決定,如果有多個交換機的話,例如,可以指定交換機 1 的1~6端口和交換機 2 的1~4端口為同一VLAN,即同一VLAN可以跨越數個以太網交換機,根據端口劃分是目前定義VLAN的最常用的方法,IEEE 802.1Q協議規定的就是如何根據交換機的端口來劃分VLAN。這種劃分的方法的優點是定義VLAN成員時非常簡單,只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口,到了一個新的交換機的某個端口,那么就必須重新定義。
根據MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對于使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停的配置。
根據網絡層劃分VLAN
這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的,雖然這種劃分方法可能是根據網絡地址,比如IP地址,但它不是路由,不要與網絡層的路由混淆。它雖然查看每個數據包的IP地址,但由于不是路由,所以,沒有RIP,OSPF等路由協議,而是根據生成樹算法進行橋交換
這種方法的優點是用戶的物理位置改變了,不需要重新配置他所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的楨標簽來識別VLAN,這樣可以減少網絡的通信量。
這種方法的缺點是效率,因為檢查每一個數據包的網絡層地址是很費時的(相對于前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網楨頭,但要讓芯片能檢查IP楨頭,需要更高的技術,同時也更費時。當然,這也跟各個廠商的實現方法有關。
IP組播作為VLAN
IP 組播實際上也是一種VLAN的定義,即認為一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網,主要是效率不高,對于局域網的組播,有二層組播協議GMRP。
通過上面可以看出,各種不同的VLAN定義方法有各自的優缺點,所以,很多廠商的交換機都實現了不只一種方法,這樣,網絡管理者可以根據自己的實際需要進行選擇,另外,許多廠商在實現VLAN的時候,考慮到VLAN配置的復雜性,還提供了一定程度的自動配置和方便的網絡管理工具。
以前,各個廠商都聲稱他們的交換機實現了VLAN,但各個廠商實現的方法都不相同,所以彼此是無法互連,這樣,用戶一旦買了某個廠商的交換機,就沒法買其他廠商的了。而現在,VLAN的標準是IEEE 提出的802.1Q協議,只有支持相同的開放標準才能保證網絡的互連互通,以及保護網絡設備投資。
下面講述一下VLAN的優點:
減少移動和改變的代價,即所說的動態管理網絡,也就是當一個用戶從一個位置移動到另一個位置是,他的網絡屬性不需要重新配置,而是動態的完成,這種動態管理網絡給網絡管理者和使用者都帶來了極大的好處,一個用戶,無論他到哪里,他都能不做任何修改地接入網絡,這種前景是非常美好的。 當然,并不是所有的VLAN定義方法都能做到這一點。
虛擬工作組,VLAN的最具雄心的目標就是建立虛擬工作組模型,例如,在校園網中,同一個系的就好象在同一個LAN上一樣,很容易的互相訪問,交流信息,同時,所有的廣播包也都限制在該虛擬LAN上,而不影響其他VLAN的人,一個人如果從一個辦公地點換到另外一個地點,而他仍然在該系,那么,他的配置無須改變,同時,如果一個人雖然辦公地點沒有變,但他換了一個系,那么,只需網絡管理者那配置一下就行了。這個功能的目標就是建立一個動態的組織環境,當然,這只是一個遠大的目標,要實現它,還需要一些其他包括管理等方面的支持。
限制廣播包,按照802.1D透明網橋的算法,如果一個數據包找不到路由,那么交換機就會將該數據包向所有的其他端口發送,這就是橋的廣播方式的轉發,這樣的結果,毫無疑問極大的浪費了帶寬,如果配置了VLAN,那么,當一個數據包沒有路由時,交換機只會將此數據包發送到所有屬于該VLAN的其他端口,而不是所有的交換機的端口,這樣,就將數據包限制到了一個VLAN內。在一定程度上可以節省帶寬。
安全性,由于配置了VLAN后,一個VLAN的數據包不會發送到另一個VLAN,這樣,其他VLAN的用戶的網絡上是收不到任何該VLAN的數據包,從而就確保了該VLAN的信息不會被其他VLAN的人竊聽,從而實現了信息的保密。
理論上,VLAN可以擴展到WAN上,但是,這是不明智的做法,因為VLAN允許廣播包發送出去,而且它沒有很好的路由算法,經常是以廣播的形式轉發數據包,這樣,毫無疑問,極大地浪費了WAN的寶貴的帶寬,所以說,將基于端口的,MAC地址和網絡地址的VLAN擴展到WAN,是不合理的,而基于多播的VLAN概念則可以靈活有效的擴展到WAN。一般的以太網交換機實現的都是基于端口的VLAN,個別的會實現基于MAC地址和網絡層地址的VLAN,而路由器中可以通過IGMP多播協議實現所謂的組播形式的VLAN 。
802.1Q協議定義了基于端口的VLAN模型,這是使用得最多的一種方式。下面我們重點講述一下交換機芯片是如何實現VLAN的,如果想了解更細節的內容,可以參考802.1Q協議,由于協議文本講的非常抽象,所以,我們以TI公司的交換芯片為例來講述,更便于理解。例子中的TNETX4090提供了8個100M以太網口和1個1G以太網口。
如圖1所示,每一個支持802.1Q協議的主機,在發送數據包時,都在原來的以太網楨頭中的源地址后增加了一個4字節的802.1Q楨頭,之后接原來以太網的長度或類型域,關于以太網楨頭的封裝格式,參見以太網方面的培訓教材。
![]("http://cisco.chinaitlab.com/imgfiles/2004.4.28.11.13.47.1.gif")
這4個字節的802.1Q標簽頭包含了2個字節的標簽協議標識(TPID--Tag Protocol Identifier,它的值是8100),和兩個字節的標簽控制信息(TCI--Tag Control Information),TPID是IEEE定義的新的類型,表明這是一個加了802.1Q標簽的本文,圖2顯示了802.1Q標簽頭的詳細內容。
![]("http://cisco.chinaitlab.com/imgfiles/2004.4.28.11.13.57.2.gif")
該標簽頭中的信息解釋如下:
LAN Identified( VLAN ID ): 這是一個12位的域,指明VLAN的ID,一共4096個,每個支持802.1Q協議的主機發送出來的數據包都會包含這個域,以指明自己屬于哪一個VLAN,目前TNETX 3270只支持32個VLAN。
Canonical Format Indicator( cfi ):這一位主要用于總線型的以太網與FDDI、令牌環網交換數據時的楨格式,TNETX 3270忽略此位。
Priority:這3 位指明楨的優先級。一共有8種優先級,主要用于當交換機阻塞時,優先發送哪個數據包。TNETX 3270和TNETX 4090只支持一種優先級,所以這一位也沒有用,
不難看出,802.1Q標簽頭的4 個字節是新增加的,目前我們使用的計算機并不支持802.1Q,即我們計算機發送出去的數據包的以太網楨頭還不包含這4個字節,同時也無法識別這4個字節,將來會有軟件和硬件支持802.1Q協議的。 對于交換機來說,如果它所連接的以太網段的所有主機都能識別和發送這種帶802.1Q標簽頭的數據包,那么我們把這種端口稱為Tag Aware 端口;相反,如果該交換機端口說連接的以太網段有只要有一臺主機不支持這種以太網楨頭,那么交換機的這個端口我們稱為Access端口,從目前的情況可以看出,所有的交換機的端口都屬于后一種。
那么,在現在的情況下,交換機是如何支持VLAN的呢?是這樣的,比如交換機的1~4端口屬于同一個VLAN,那么當 1 端口進來一個數據包是,交換機看到該數據包沒有802.1Q標簽頭,那么,它會根據1號端口所屬的VLAN組,自動給該數據包添加一個該VLAN的標簽頭,然后再將數據包交給數據庫查詢模塊,數據庫查詢模塊會根據數據包的目的地址和所屬的VLAN進行路由,之后交給轉發模塊,轉發模塊看到這是一個包含標簽頭的數據包,而實際上發送的端口所連的以太網段的計算機不能識別這種數據包,所以,它會再將數據包進來是交換機給添加的標簽頭再去掉。如果計算機支持這種標簽頭,那么就不需要交換機添加或刪除標簽頭了,至于到底是添加還是刪除要
