一、虚拟局域网(VLAN)
- 随着交换式以太网的使用越来越多,位于同一以太网中的每台主机互连已成可能。这样 做的好处是,任何主机都可直接与其他主机通信,它们使用IP和其他网络层协议,并很少 或根本不需要管理员配置。另外,广播和组播流量(见第9章)被分发到所有希望接收的主 机,而不必建立特殊的组播路由协议。虽然这是很多主机位于同一以太网的优势,但在很多主机使用广播时,广播到每台主机将带来大量网络流量,并出于某些安全因素可能耍禁止任 意站之间通信
- 为了解决大型多用途交换网络运行中的间题, IEEE采用一种称为虚拟局域网(VLAN) 的功能扩展802 LAN标准,它被定义在802.1q [802.1Q-2005]标准中。兼容的以太网交换机 将主机之间的流量分隔为常见的vLANo注意,正是由于这种分隔,连在同一交换机但在不 同VLAN中的两台主机,它们之间的流量需要一台路由器来传递。已研发出交换机/路由器 组合设备来满足这种需求,路由器性能最终得到改进以匹配VLAN交换性能。因此, VLAN 的吸引力已有所减弱,现代高性能路由器逐渐取代它们。尽管如此,它们仍在使用,在某些 环境中仍受欢迎,因此有必要了解它们
- 工作站到VLAN的映射有几种方法。通过端日分配VLAN是一种简单而常见的方法, 交换机端日所连接的站被分配在一个特定VLAN中,这样连接的任意站就都成为VLAN中 的成员。其他选择包括基于MAC地址的VLAN,以太网交换机使用表将一个站的MAC地[垣] 址映射到一个VLANo如果有些站改变它们的MAC地址(由于某些用户行为,有时需要这 样做),它们可能变得难以管理o IP地址也可用作分配VLAN的基础
- 当不同VLAN中的站连接在同一交换机时,交换机确保流量不在两个VLAN之间泄漏, 无论这些站使用哪种类型的以太网接日。当多个vLAN跨越多个交换机(中继)时,在以太 网帧发送到另一台交换机之前,需要使用VLAN来标记该帧的归属。本功能使用一个称为 VLAN标签(或头部)的标记,其中包含12位VLAN标识符(提供4096个VLAN,但保留 VLAN O和VLAN4095)。它还包含支持QoS的3位优先级(定义在802.1p标准中),如下图所示。在很多情况下,管理员必须配置交换机端日,以便发送802.1p/q帧时能中继到适 当的端口。为了使这项工作更加容易,有些交换机通过中继端日支持本地vLAN选项,这意 味着未标记的帧默认与本地VLAN相关。中继端日用于互连带VLAN功能的交换机,其他 端日通常用于直接连接工作站。有些交换机还支持专用的vLAN中继方法,例如思科内部交 换链路(ISL)协议
- 802.1p规定了在帧中表示QoS标识符的机制。 802.1p头部包括一个3位优先级字段, 它用于表明一个QoS级别。这个标准是802.1qVLAN标准的扩展。这两个标准可以一起工 作,并在同一头部中共享某些位。它用3个有效位定义了8个服务级别。 0级为最低优先级, 用于传统的尽力而为的流量0 7级为最高优先级,可用于美键路由或网管功能。这个标准规 定了优先级如何被编码在分组中,但没指定如何控制哪些分组采用哪个级别,以及实现优先 级服务的底层机制,这些可由具体的实现者来定义。因此,一个优先级流量相对于另一个的 处理方式是由实现或供应商定义的。注意,如果802.1p/q头部中的VLAN ID字段被设置为 0, 802.1p可以独立于VLAN使用
- 控制802.1p/q信息的Linux命令是vconfigo它可用来添加和删除虚拟接日,即与物理 接日相关联的VLAN IDo它也可用来设置802.1p优先级,更改虚拟接日确定方式,改变由 特定VLAN ID标记的分组之间的映射,以及协议在操作系统中处理时如何划分优先级。下 面的命令为VLAN ID为2的接口ethl添加、删除虚拟接日,修改虚拟接口的命名方式并添 加新接口
- 这里,我们可以看到在Linux中,虚拟接日命名的默认方法是将相关物理接口与VLAN ID串联。例如, VLAN ID 2与接日ethl关联为ethl.20这个例子还显示了另一种命名方法, VLAN被枚举为名称vlan ,其中是VLAN的标识符。一旦这样设置, VLAN设备 发送帧会如期望的那样被标记为VLAN IDo我们可通过Wireshark看到,如下图所示
- 本图显示了一个在VLAN2中传输的ARP分组(见第4章)。我们可以看到,该帧大小 为60字节(不包括CRC)。该帧用EthemetH封装(类型Ox8100),表示一个VLANo另外, VLAN头部表明该帧属于VLAN 2,优先级为0,并且是普通帧。其他字段如我们预期的是 一个普通ARP分组
