1 西南石油大學 網(wǎng)絡通信基礎(chǔ)課程設(shè)計 完成日期 2010年 6 月 25 日 課 程 網(wǎng)絡通信基礎(chǔ) 題 目 VLAN 中 tag 技術(shù)的研究 院 系 電子信息工程學院 專業(yè)班級 學生姓名 學生學號 指導教師 成 績 2 目 錄 摘 要 .3 Abstract 3 第一章 緒論 1.1 交換機二 層轉(zhuǎn)發(fā)原理 .4 1.1.1 MAC 地址介紹 .4 1.1.2 交換機二層轉(zhuǎn)發(fā)介紹 .4 1.2 VLAN 概述 4 1.3 Tag 技術(shù)介紹 .7 第二章 設(shè)計簡介及設(shè)計方案論述 . . . . .7 2.1 三次不同 VLAN 通信 .7 2.2 二層不同 VLAN 通信 7 第三章 詳細設(shè)計 . .7 3.1 單臂路由實驗 .7 3.1 二層 VLAN 實驗 .9 第四章 設(shè)計結(jié)果及分析 .9 4.1 單臂路由實驗結(jié)果 .9 4.2 二層 VLAN 實驗結(jié)果 .12 總 結(jié) 15 參考文獻 15 3 摘 要 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。 IEEE 于 1999 年頒布了用以標準化 VLAN 實現(xiàn)方案的 802.1Q 協(xié)議標準草案。VLAN 技術(shù)允許網(wǎng)絡管理者將一個物理的 LAN 邏 輯地劃分成不同， 由于它是邏輯地而不是物理地劃分，所以同一個 VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理 LAN 網(wǎng)段。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了 VLAN頭， 即對不同 VLAN 傳輸?shù)臄?shù)據(jù)進行打標簽， 用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪 ，每個工作組就是一個虛擬局域網(wǎng)。 VLAN 可以分離廣播域 現(xiàn)隔離廣播 ,能通過劃 VLAN 實現(xiàn)不同業(yè)務的隔離！要 實現(xiàn) 不同 VLAN 間通信 就需要 連 上 路由器（三 層交換機）來轉(zhuǎn)發(fā)數(shù)據(jù)包，但能不能直接在二層交換機上實現(xiàn)不同 VLAN 間通信呢 ？ 關(guān)鍵詞： VLAN ； 廣播域 ；路由器；打標簽 Abstract Vlan （ virtual local area network ） the virtual lans, is a through the lan in physics and is not logically divided into segments in virtual one of the new technology. in 1999 to the ieee a vlan achieve standardization of 802. 1q standard of the draft protocol. vlan technology permits network managers will be a physical lan logically divided into different broadcast domains （ or a lan, vlan ） ， A vlan contains a set of requirements has the same computer workstations, and the physical a lan as a property. but as it is logical and physical, and not divide, therefore, the same vlan the station in the need to be placed in the same physical space, and the workstation does not necessarily belong to the same lan segment. the physical. Vlan is to solve the problem of the ethernet and security to an agreement, it is on the basis of the ethernet frame increased vlan, vlan to different transmission of data in a label, a vlan the user id divided into smaller groups, different groups of users during the second floor, each team is a virtual lans. Vlan to separate broadcast domains are isolated from the radio, you can pass through the implementation of separate vlan different! to achieve different vlan communication is needed between even on a router （ three layers of switches ） to forward packets to, but i can directly in the second floor of its exchanges between different vlan communications? Keywords ： vlan ； broadcast domains ； routers ； a label 4 第一章 緒論 1.1 交換機二層轉(zhuǎn)發(fā)原理 1.1.1 MAC 地址介紹 MAC 地址是 48 bit 二進制的地址，如： 00-e0-fc-00-00-06。 可以分為單播地址、多播地址和廣播地址。 單播地址：第一字節(jié)最低位為 0，如： 00-e0-fc-00-00-06 多播地址：第一字節(jié)最低位為 1，如： 01-e0-fc-00-00-06 廣播地址： 48 位全 1，如： ff-ff-ff-ff-ff-ff 注意 ： 1）普通設(shè)備網(wǎng)卡或者路由器設(shè)備路由接口的 MAC 地址一定是單播的 MAC 地址才能保證其與其它設(shè)備的互通。 2） MAC 地址是一個以太網(wǎng)絡設(shè) 備在網(wǎng)絡上運行的基礎(chǔ)，也是鏈路層功能實現(xiàn)的立足點 1.1.2 交換機 二層 轉(zhuǎn)發(fā)介紹 交換機二層的轉(zhuǎn)發(fā)特性，符合 802.1D 網(wǎng)橋協(xié)議標準。 交換機的二層轉(zhuǎn)發(fā)涉及到兩個關(guān)鍵的線程 ：地址學習和數(shù)據(jù)包轉(zhuǎn)發(fā)； 學習線程如下： 1）交換機接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源 MAC 地址來建立 MAC地址表； 2）端口移動機制：交換機如果發(fā)現(xiàn)一個包文的入端口和報文中源 MAC 地址的所在端口不同，就產(chǎn)生端口移動，將 MAC 地址重新學習到新的端口； 3）地址老化機制： 如果交換機在很長一段時間之內(nèi)沒有收到某臺主機發(fā)出的報文，在該主機對應的 MAC 地址就會被刪除，等下次報文來的時候會重新學習。 注意 ： 老化也是根據(jù)源 MAC 地址進行老化。 數(shù)據(jù)報轉(zhuǎn)發(fā) : 1）交換機在 MAC 地址表中查找數(shù)據(jù)幀中的目的 MAC 地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應的端口，如果找不到，就向所有的端口發(fā)送； 2）如果交換機收到的報文中源 MAC 地址和目的 MAC 地址所在的端口相同，則丟棄該報文； 3）交換機向入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報文 1.2 VLAN 概述 以太網(wǎng)是一種基于 CSMA/CD（ Carrier Sense Multiple Access/Collision Detect，載波偵聽多路訪問 /沖突檢測）的共享通訊介質(zhì)的數(shù)據(jù)網(wǎng)絡通訊技術(shù)，當主機數(shù)目較多時會導致沖突嚴重、廣播泛濫、性能顯著下降甚至使網(wǎng)絡不可用等問題。通過交換機實現(xiàn) LAN互聯(lián)雖然可以解決沖突（ Collision）嚴重的問題，但仍然不能隔離廣播報文。在這種情況下出現(xiàn)了 VLAN 5 （ Virtual Local Area Network）技術(shù)，這種技術(shù)可以把一個 LAN劃分成多個邏輯的LAN VLAN，每個 VLAN是一個廣播域， VLAN內(nèi)的主機間通信就和在一個 LAN內(nèi)一樣，而 VLAN間則不能直接互通，這樣 ，廣播報文被限制在一個 VLAN內(nèi)，如圖 1所示。 圖 1 VLAN示意圖 VLAN的劃分不受物理位置的限制：不在同一物理位置范圍的主機可以屬于同一個 VLAN；一個 VLAN包含的用戶可以連接在同一個交換機上，也可以跨越交換機，甚至可以跨越路由器。 VLAN的優(yōu)點如下： 限制廣播域。廣播域被限制在一個 VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡處理能力。 增強局域網(wǎng)的安全性。 VLAN間的二層報文是相互隔離的，即一個 VLAN內(nèi)的用戶不能和其它 VLAN內(nèi)的用戶直接通信，如果不同 VLAN要進行通信，則需 通過路由器或三層交換機等三層設(shè)備。 靈活構(gòu)建虛擬工作組。用 VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡構(gòu)建和維護更方便靈活。 6 VLAN原理 要使網(wǎng)絡設(shè)備能夠分辨不同 VLAN的報文，需要在報文中添加標識 VLAN的字段。由于普通交換機工作在第二層，只能對報文的數(shù)據(jù)鏈路層封裝進行識別。因此，如果添加識別字段，也需要添加到數(shù)據(jù)鏈路層封裝中。 IEEE于 1999年頒布了用以標準化 VLAN實現(xiàn)方案的 IEEE 802.1Q協(xié)議標準草案，對帶有 VLAN標 識的報文結(jié)構(gòu)進行了統(tǒng)一規(guī)定。 傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀在目的 MAC地址和源 MAC地址之后封裝的是上層協(xié)議的類型字段，如圖 2所示。 圖 2 傳統(tǒng)以太網(wǎng)幀封裝格式 其中 DA表示目的 MAC地址， SA表示源 MAC地址， Type表示報文所屬協(xié)議類型。 IEEE 802.1Q協(xié)議規(guī)定在目的 MAC地址和源 MAC地址之后封裝 4個字節(jié)的 VLAN Tag，用以標識 VLAN的相關(guān)信息。 圖 3 VLAN Tag的組成字段 如圖 3所示， VLAN Tag包含四個字段，分別是 TPID、 Priority、 CFI和 VLAN ID。 TPID用來標識本數(shù)據(jù)幀是帶有 VLAN Tag的數(shù)據(jù)，長度為 16bit，取值為 0x8100。 Priority表示報文的優(yōu)先級，長度為 3bit， CFI字段標識 MAC地址在不同的傳輸介質(zhì)中是否以標準格式進行封裝，在本章中不進行具體描述，長度為 1bit。 VLAN ID標識該報文所屬 VLAN的編號，長度為 12bit，取值范圍為 0 4095。由于 0和 4095為協(xié)議保留取值，所以 VLAN ID的取值范圍為 1 4094。 網(wǎng)絡設(shè)備利用 VLAN ID來識別報文所屬的 VLAN，根據(jù)報文是否攜帶 VLAN Tag以及攜帶的 VLAN Tag值，來對報文進行處理。 7 1.3 Tag 技術(shù) 介紹 如果交換機支持劃分 VLAN，那么根據(jù) 802.1Q標準，在以太網(wǎng)幀首部中的源 MAC和類型字段之間再加上四字節(jié)的 VLAN識別信息，位于數(shù)據(jù)幀中 “發(fā)送源 MAC地址 ”與 “類別域（ Type Field） ”之間。具體內(nèi)容為 2字節(jié)的 TPID和 2字節(jié)的 TCI，共計 4字節(jié)。 在數(shù)據(jù)幀中添加了 4字節(jié)的內(nèi)容，那么 CRC值自然也會有所變化。這時數(shù)據(jù)幀上的 CRC是插入 TPID、 TCI后，對包括它們在內(nèi)的整個數(shù)據(jù)幀重新計算后所得的值。 而當數(shù)據(jù)幀離開匯聚鏈路時， TPID和 TCI會被去除，這時還會進行一次 CRC的重新計算。 TPID的值，固定為 0x8100。交換機通過 TPID，來確定數(shù)據(jù)幀內(nèi)附加了基于IEEE802.1Q的 VLAN信息。而實質(zhì)上的 VLAN ID，是 TCI中的 12位元。由于總共有 12位，因此最多可供識別 4096個 VLAN。 基于 IEEE802.1Q附加的 VLAN信息，就像在傳遞物品時附加的標簽。因此，它也被稱作 “標簽型 VLAN（ Tagging VLAN） ”。 從上面可知道交 換機最多支持 4096個 VLAN，實際使用的只有 4094個，范圍值為 1-4094， 0和 4096不被使用是保留的另作它用。 從問題上看，提問題的人應該是考你 VLAN的個數(shù)，其實就是考你對加入以太網(wǎng)首部中那四個字節(jié) VLAN標識信息的知識，如果你不熟悉，就有可能不知道代表VLAN值的位數(shù)是多少，自然也就不知道交換機可支持的 VLAN最大個數(shù)，知道個數(shù)后，并且還得知道實際交換機中可使用的 VLAN個數(shù)及其 VLAN取值范圍。 不同的交換機所支持的應該是不同的，很早前的低端產(chǎn)品一般支持滿配 VLAN的不多，因為其芯片處理能力決 定了很多東西，這和硬件也是有很大關(guān)聯(lián)的?，F(xiàn)在的交換機一般都能支持最大的 VLAN個數(shù)，現(xiàn)在也沒廠商去作那種太低端的了。況且現(xiàn)在芯片處理能力也不像以前，已經(jīng)強大多了。 第二章 設(shè)計簡介及設(shè)計方案論述 2.1 三層不同 VLAN 通信 實 驗 利用 packet tracer 模擬器 來模擬單臂路由的實驗來完成不同 VLAN 間通信的實驗，通過對抓包來觀察和分析交換機的 Tag 技術(shù)。 2.2 二層不同 VLAN 通信實驗 利用 packet tracer 模擬器來模擬 是否 只用二層交換機 能完成不同 VLAN 間的通信， 也通過抓包技術(shù)來觀測和分析 Tag 技術(shù)，觀察和分析試驗結(jié)果，得出結(jié)論。 第 三 章 詳細設(shè)計 3.1 單臂路由實驗 3.1.1 實驗設(shè)備 8 需要設(shè)備：一個路由器，兩個交換機，雙絞線， 4 個 PC 3.1.2 實驗拓撲圖 圖 3-1 3.1.3 實驗配置 介紹 1： 路由器的 fa0/0 口配置兩個子接口 ，分別為 192.168.20.1 和192.168.30.1 ,并且封裝成 dot1q。 2： switch0 劃分兩個 VLAN，分為為 vlan20 和 vlan30，其中 fa0/1 屬于vlan20， fa0/3 屬于 vlan30； fa0/3 接口配置成 trunk 鏈路； 3： switch1 也劃分兩個 VLAN，分為為 vlan20 和 vlan30，其中 fa0/1 屬于 vlan20， fa0/3 屬于 vlan30； fa0/3 接口配置成 trunk 鏈路； 4： PC0 配置如下： ip 地址為 192.168.20.100 網(wǎng)關(guān)為 192.168.20.1； PC1 配置如下： ip 地址為 192.168.30.100 網(wǎng)關(guān)為 192.168.30.1 PC2 配置如下： ip 地址為 192.168.20.101 網(wǎng)關(guān)為 192.168.20.1 PC4 配置如下： ip 地址為 192.168.30.101 網(wǎng)關(guān)為 192.168.30.1 注：圖 3-1 中 switch0 和 switch1 的 fa0/3 都配置為 trunk，并且兩個接口都屬于 vlan1 。 3 1.4 實驗步驟 1：利用 packet tracer 模擬器按照圖 3-1 連接好各個設(shè)備； 2：按照設(shè)備配置配置好各個設(shè)備； 3：用 PC2pingPC3，觀 察實驗結(jié)果，分析，得出結(jié)論； 4： PC0pingPC3，觀察實驗結(jié)果，分析，得出結(jié)論； 9 3.2 二層 VLAN 實驗 3.2.1 實驗設(shè)備 二個 2950 交換機，兩個 PC，雙絞線 3.2.2 實驗拓撲 圖 3-2 3.2.3 實驗配置介紹 1： Switch2 的 fa0/1 接口 屬于 vlan10， vlan10 的 ip 地址為 192.168.1.1 掩碼 255.255.2555.0 ； 2： Switch3 的 fa0/1、 fa0/2、 fa0/3 都屬于 vlan1； 3： PC4 和 PC5 的 ip 地址分 別為： 192.168.1.2 和 192.168.1.3； 注： switch2 和 switch3 所有接口都是 access 接口，沒配置 trunk。 3.2.4 實驗步驟 1: 利用 packet tracer 模擬器 按照圖 3-2 連接好，參照實驗配置配置好各個設(shè)備； 2：使用 PC4pingPC5，觀察實驗結(jié)果，分析實驗結(jié)果，得出結(jié)論； 3： 使用 PC4ping switch2 的 vlan10 的 ip 地址 192.168.1.1，觀察實驗結(jié)果，在分析，得出結(jié)論； 3.3.1 實驗設(shè)備 兩個 2950 交換機 、 4 個 PC、雙絞線： 3.3.2 實驗拓撲 10 圖 3-3 3.3.3 實驗配置介紹 1： 交換機 0 的 fa0/0 接口 屬于 vlan10：交換機 1 的 fa0/0 屬于 vlan20； 2： 主機 0 的 ip 地址為 192.168.1.2 掩碼為 255.255.255.0 ，屬于 vlan10；主機 1 的 ip 地址為 192.168.1.3 掩碼為 255.255.255.0 ，屬于 vlan20；主機 2 的 ip 地址為 192.168.1.4 掩碼為 255.255.255.0 ，屬于 vlan10；主機 3 的 ip 地址為 192.168.1.5 掩 碼為 255.255.255.0 ，屬于 vlan20； 注： 交換機 0 和交換 1 所有接口都屬于 access，沒配置 trunk 接口 ； 11 第 四 章 設(shè)計結(jié)果及分析 3.1 單臂路由實驗結(jié)果 1: PC2pingPC3 的實驗結(jié)果為 圖 4-1 圖 4-1 通過抓包得到 圖 4-2 中陰影部分抓包得到圖 4-3； 圖 4-2 圖 4-3 該實驗 分析及結(jié)論：由圖 4-1 得出 PC2 能夠 ping 同 PC3。因為 PC2 和 PC3 分別屬于 VLAN20 和 VLAN30，他們處于兩個不同的 VLAN 就在不 同的廣播域里，因為交換機屬于數(shù)據(jù)鏈路層設(shè)備，數(shù)據(jù)包不能穿透廣播域，要實驗通信就必須依靠路 12 由。 由圖 4-3可以看出在幀中目的 MAC和 TYPE類型之間添加了 TPID和 TCI,TPID的值為 0x8100.TCI 為 0x14， 交換機通過 TPID，來確定數(shù)據(jù)幀內(nèi)附加了基于IEEE802.1Q 的 VLAN 信息。而實質(zhì)上的 VLAN ID，是 TCI 中的 12 位元。這時數(shù)據(jù)幀上的 CRC 是插入 TPID、 TCI 后，對包括它們在內(nèi)的整個數(shù)據(jù)幀重新計算后所得的值。而當數(shù)據(jù)幀離開匯聚鏈路時， TPID 和 TCI 會被去除，這時還會進行一次 CRC 的 重新計算。 因為只有 trunk 鏈路才能傳遞 VLAN 信息， access 接口不能傳遞 VLAN 信息。所以在所有轉(zhuǎn)包里 只有 trunk 里傳送的數(shù)據(jù)幀里才有 VLAN 信息。 3.2 二層 VLAN 實驗 3.2.1 實驗結(jié)果如下： 1： PC4pingPC5 的實驗結(jié)果如圖 4-4 圖 4-4 實驗分析及結(jié)論： 圖 4-4 顯示 PC4 能 pingPC5， 因為 PC4 和 PC5 都屬于 VLAN1，他們之間能相互 ping 通。 2： PC4ping192.168.1.1 實驗結(jié)果如圖 4-5 13 圖 4-5 實驗分析及結(jié)論： PC4 居然 ping 通了 192.168.1.1 ! PC4 屬于 VLAN 1 而 switch1 的 fa0/1 接口屬于 VLAN 10 ，不同的 VLAN 在沒使用三層設(shè)備應該是 ping 不通的，這是怎么回事呢？隨后我做了 3.3 實驗來進一步來研究。 3.3 實驗結(jié)果如下： 1： 主機 0ping 主機 1 得到實驗結(jié)果如圖 4-6 圖 4-6 2： 主機 0 ping 主機