第七章虛擬局域網(wǎng)第一頁，共85頁。第7章虛擬局域網(wǎng)7.1VLAN的引入7.2VLAN基礎(chǔ)7.3VLAN運行原理7.4VLAN協(xié)議格式7.5VLAN的配置7.6

VLAN之間的通信7.7VLAN和以太網(wǎng)技術(shù)在城域網(wǎng)中的應(yīng)用7.8

小結(jié)LanMan2017第二頁，共85頁。7.1VLAN的引入大型交換式局域網(wǎng)（BridgedLAN）存在的問題高性能的以太網(wǎng)交換機已經(jīng)用于組建較大型的LAN由網(wǎng)橋/交換機組建的LAN仍屬于同一個廣播域隨著LAN規(guī)模的擴大，出現(xiàn)了難以解決的問題：廣播風(fēng)暴安全問題第三頁，共85頁。7.1VLAN的引入廣播風(fēng)暴的成因廣播域內(nèi)有相當(dāng)多的幀采用廣播式發(fā)送任何一個廣播幀都會傳遍整個廣播域交換機生成樹協(xié)議的BPDU幀會周期性發(fā)送到整個廣播域交換機擴散未知宿地址幀到整個廣播域廣播域增大，幀的廣播數(shù)量指數(shù)上升，形成廣播風(fēng)暴交換機站交換機交換機站站站LanMan2017第四頁，共85頁。7.1VLAN的引入廣播風(fēng)暴的影響降低網(wǎng)絡(luò)性能浪費網(wǎng)絡(luò)帶寬、吞吐率下降，幀轉(zhuǎn)發(fā)時延急劇增大造成網(wǎng)絡(luò)擁塞，嚴(yán)重時甚至使網(wǎng)絡(luò)癱瘓增加了安全隱患敏感的數(shù)據(jù)不當(dāng)外泄解決方法：縮小廣播域在L3劃分子網(wǎng)：TCP/IP領(lǐng)域在L2劃分VLAN：本章內(nèi)容劃分一個大廣播域為多個小廣播域LanMan2017第五頁，共85頁。7.1VLAN的引入本章將站在L2的角度解決廣播風(fēng)暴問題，深入討論：VLAN：虛擬局域網(wǎng)VirtulLocalAreaNetworkVLAN標(biāo)準(zhǔn)最初的版本：IEEE802.1Q-1998目前的版本：IEEE802.1Q-2014最新draft：P802.1Q-REV/D2.0,Jul2017

以太網(wǎng)/VLAN技術(shù)的擴展及在城域網(wǎng)中的新應(yīng)用LanMan2017第六頁，共85頁。7.2VLAN基礎(chǔ)7.2.1VLAN概念7.2.2VLAN術(shù)語7.2.3VLAN網(wǎng)橋架構(gòu)LanMan2017第七頁，共85頁。7.2.1VLAN概念什么是VLAN劃分一個交換式網(wǎng)絡(luò)為多個相互獨立的虛擬物理網(wǎng)絡(luò)這些邏輯上的虛擬的物理網(wǎng)絡(luò)稱為VLANVirtualLAN：虛擬局域網(wǎng)VLAN之間相互邏輯隔離，成員之間不能直接通信VLAN之間的通信只能通過L3或更高層LanMan2017第八頁，共85頁。7.2.2VLAN概念VLAN劃分前后圖例VLAN劃分前站點均位于同一廣播域所有站點均可直接通信VLAN劃分后一個物理網(wǎng)劃分成兩個虛擬網(wǎng)VLAN2和VLAN3形成兩個獨立的廣播域VLAN之間不能通信VLAN之內(nèi)可以通信以太網(wǎng)交換機以太網(wǎng)交換機VLAN2VLAN3LanMan2017第九頁，共85頁。7.2.2VLAN概念VLAN分類可以有多種類型的VLAN取決于不同的VLAN劃分策略VLAN類型舉例基于端口的VLAN是所有可能的VLAN類型的基礎(chǔ)基于協(xié)議的VLAN基于MAC地址的VLAN基于子網(wǎng)的VLANLanMan2017第十頁，共85頁。7.2.2VLAN概念基于端口的VLANPort-basedVLAN指定交換機的各個端口歸屬于那一個VLAN為端口指派VLANID（稱為PVID）按端口物理位置劃分的VLAN靜態(tài)劃分，不會隨站點接入的端口而變交換機的一個端口可同時屬于多個VLAN最簡單，卻是得到最廣泛應(yīng)用的VLAN類型LanMan2017第十一頁，共85頁。7.2.3VLAN分類基于MAC地址的VLAN根據(jù)MAC地址對VLAN分類MAC幀只會發(fā)送到站點宿站點，安全性好配置繁瑣基于協(xié)議的VLAN根據(jù)高層協(xié)議對VLAN分類可能出現(xiàn)物理位置重疊VLAN這些分類方式均很少應(yīng)用LanMan2017第十二頁，共85頁。7.2.3VLAN術(shù)語VLAN標(biāo)識符幀類型VLAN知曉與VLAN非知曉VLAN鏈路獨立學(xué)習(xí)與共享學(xué)習(xí)LanMan2017第十三頁，共85頁。7.2.3VLAN標(biāo)識符如何識別同一物理網(wǎng)絡(luò)中的不同VLAN？給每個VLAN指派一個VLAN標(biāo)識符VLANID（VID）VLAN標(biāo)識符：VLANIdentifier不同的VLANID標(biāo)識不同的VLANVID值一個12bit的無符號數(shù)，合法范圍：1～4094具體設(shè)備支持的VID范圍可能更小默認(rèn)VID值為1，用戶不能指派他用defaultPVIDvalueLanMan2017第十四頁，共85頁。7.2.3VLAN幀類型VLAN中的MAC幀可以是三種類型：無標(biāo)幀：untaggedframe也稱基本MAC幀如802.3的基本MAC幀有效字段64-1518八位組優(yōu)先級加標(biāo)幀：priority-taggedframe802.1Q協(xié)議格式在基本MAC頭部增加4個八位組增加頭部中，僅含優(yōu)先級，無有效VID的802.1Q幀VLAN加標(biāo)幀：VLAN-taggedframe802.1Q協(xié)議頭部中，既有優(yōu)先級又含有效VID的幀在802.3as-2006中，更名為簡潔的“Q加標(biāo)幀”LanMan2017第十五頁，共85頁。7.2.3VLAN設(shè)備VLAN中的設(shè)備可分為兩類VLAN知曉設(shè)備：VLANawareVLAN非知曉設(shè)備：VLANunawareVLAN知曉設(shè)備能意識到VLAN的存在識別VLAN加標(biāo)幀并予以適當(dāng)?shù)奶幚硗瑫r也能適當(dāng)處理非加標(biāo)幀典型的VLAN知曉設(shè)備：支持VLAN協(xié)議的交換機支持VLAN協(xié)議的服務(wù)器LanMan2017第十六頁，共85頁。7.2.3VLAN設(shè)備VLAN非知曉設(shè)備不能意識VLAN的存在，不能識別VLAN加標(biāo)幀典型的VLAN非知曉設(shè)備不支持VLAN協(xié)議的交換機：不認(rèn)識、但可轉(zhuǎn)發(fā)某些加標(biāo)幀幀長64－1518八位組的有效幀能透明轉(zhuǎn)發(fā)長度≤1518的加標(biāo)幀但不能識別不認(rèn)識VLAN，不能加標(biāo)去標(biāo)，只能透明轉(zhuǎn)發(fā)普通的PC機不認(rèn)識、也不轉(zhuǎn)發(fā)加標(biāo)幀，直接將其丟棄LanMan2017第十七頁，共85頁。7.2.3VLAN設(shè)備圖中只有交換機是VLAN知曉設(shè)備交換機只轉(zhuǎn)發(fā)同一VLAN內(nèi)站點之間的無標(biāo)幀其余設(shè)備(H、SRV)均為VLAN非知曉設(shè)備交換機VLAN_2VLAN_3H1H2H3H4SRVLanMan2017第十八頁，共85頁。7.2.3VLAN鏈路主干鏈路：TrunkLink通常用于互連VLAN交換機用于跨交換機傳遞多個VLAN的信息鏈路上傳送的是VLAN加標(biāo)幀接入鏈路：AccessLink通常用于將非知曉設(shè)備接入VLAN鏈路上傳送的是無標(biāo)幀接入鏈路上的入端口為無標(biāo)幀加標(biāo)混合鏈路：HybridLink（略）LanMan2017第十九頁，共85頁。7.2.3VLAN鏈路主干鏈路連接運行VLAN協(xié)議的交換機主干鏈路的特點主干鏈路的端口可能屬于多個VLAN多個VLAN跨交換機共用同一鏈路實現(xiàn)中繼VALN交換機VLAN交換機VLAN2VLAN3Trunk

link：VLAN2、3LanMan2017第二十頁，共85頁。7.2.3VLAN鏈路接入鏈路將VLAN非知曉設(shè)備接入VLAN交換機接入鏈路的特點鏈路只能收發(fā)無標(biāo)幀鏈路上的VLAN入端口只屬于某1個VLANPCVLAN交換機HUBPCPCPCPC訪問鏈路LanMan2017第二十一頁，共85頁。7.2.4VLAN網(wǎng)橋架構(gòu)VLAN網(wǎng)橋與普通網(wǎng)橋的系統(tǒng)架構(gòu)非常相似普通網(wǎng)橋：使用ISS服務(wù)VLAN網(wǎng)橋：使用E-ISS服務(wù)兩者的比較見下圖LanMan2017第二十二頁，共85頁。7.2.4VLAN網(wǎng)橋架構(gòu)高層實體（STP、RSTP、網(wǎng)管、……）MAC實體MAC實體MAC中繼實體ISSISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAP高層實體（STP、RSTP、網(wǎng)管、……）MAC實體MAC實體MAC中繼實體E-ISSE-ISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAPLanMan2017第二十三頁，共85頁。7.2.4VLAN網(wǎng)橋協(xié)議結(jié)構(gòu)網(wǎng)橋協(xié)議結(jié)構(gòu)模型的構(gòu)成一個MAC中繼實體互連網(wǎng)橋各端口，兩個以上的端口高層協(xié)議實體，包括STP、RSTP、網(wǎng)管等實體MAC中繼實體MAC中繼實體處理MAC無關(guān)功能中繼幀、過濾幀、學(xué)習(xí)過濾信息等它使用各個端口的MAC實體提供的E-ISS服務(wù)端口每個端口固定關(guān)聯(lián)一個MAC實體MAC實體處理所有MAC方法相關(guān)功能MAC協(xié)議和過程LanMan2017第二十四頁，共85頁。7.2.4一般網(wǎng)橋的結(jié)構(gòu)兩端口網(wǎng)橋的體系結(jié)構(gòu)Fig.7-3,802.1D-2004高層實體（STP、RSTP、網(wǎng)管、……）MAC實體MAC實體MAC中繼實體ISSISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAPLanMan2017第二十五頁，共85頁。7.2.4VLAN網(wǎng)橋的結(jié)構(gòu)兩端口網(wǎng)橋的體系結(jié)構(gòu)Fig.8-3,802.1Q-2014高層實體（STP、RSTP、網(wǎng)管、……）MAC實體MAC實體MAC中繼實體E-ISSE-ISSMAC服務(wù)用戶MAC服務(wù)用戶MSAPMSAPLanMan2017第二十六頁，共85頁。7.2.4網(wǎng)橋的內(nèi)部子層服務(wù)網(wǎng)橋的內(nèi)部子層服務(wù)是無連接模式MAC服務(wù)服務(wù)原語MA-UNITDATArequestMA-UNITDATAindication原語參數(shù)有4個DA、SA、MSDU、優(yōu)先級LanMan2017第二十七頁，共85頁。7.3.2VLAN網(wǎng)橋中的E-ISSE-ISS：增強內(nèi)部子層服務(wù)是ISS的增強，增加了幀的加標(biāo)去標(biāo)功能定義了VLAN知曉網(wǎng)橋中的MAC服務(wù)支持VLAN中繼功能VLAN知曉網(wǎng)橋就是支持這些功能的網(wǎng)橋E-ISS服務(wù)定義的單元數(shù)據(jù)原語是EM_UNITDATA.indicationEM_UNITDATA.request參數(shù)主要包括DA/SA、MSDU、用戶優(yōu)先級、VLANIDLanMan2017第二十八頁，共85頁。7.3VLAN運行原理VLAN網(wǎng)橋與普通網(wǎng)橋運行原理基本一致但幀的處理有一定區(qū)別運行的要素也涉及幀接收與幀發(fā)送轉(zhuǎn)發(fā)過程學(xué)習(xí)過程VLAN交換機的幀處理針對加標(biāo)幀和無標(biāo)幀，加標(biāo)、刪標(biāo)幀處理主要考慮是否為有效幀如果是有效幀，是否轉(zhuǎn)發(fā)如果轉(zhuǎn)發(fā)，是否需要加或刪VLANID本節(jié)主要討論兩者的區(qū)別，其他參見教材LanMan2017第二十九頁，共85頁。7.3VLAN運行原理與普通網(wǎng)橋相比，VLAN網(wǎng)橋運行有以下不同VLAN網(wǎng)橋處理MAC幀類型基本MAC幀和VLAN加標(biāo)幀對MAC幀的散播，僅在本VLAN中進行VLAN網(wǎng)橋處理MAC幀需要考慮不僅丟棄無效和差錯幀，還要丟棄不符合入口規(guī)則的幀不僅過濾源目同端口的幀，也要過濾不符合入口規(guī)則的幀幀中繼時，由出口規(guī)則決定是否加標(biāo)或是去標(biāo)LanMan2017第三十頁，共85頁。7.3VLAN運行原理入口規(guī)則符合以下規(guī)則的幀將被允許入口，否則丟棄接收到幀與收端口配置的幀類型相符接收到幀的VLANID與收端口配置的VLANID相符出口規(guī)則符合以下規(guī)則的幀將被允許出口（轉(zhuǎn)發(fā)），否則丟棄需要發(fā)送的幀與發(fā)端口配置的幀類型相符需要發(fā)送的幀的VLANID與發(fā)端口配置的VLANID相符LanMan2017第三十一頁，共85頁。V37.3VLAN運行原理－處理例設(shè)兩交換機MAC表空，H1向H5發(fā)送一幀SW1處理:p1屬V_3收到無標(biāo)幀，宿地址不在V_3表中，向p2、p4轉(zhuǎn)發(fā)，其中向p4轉(zhuǎn)發(fā)幀加標(biāo)記，然后在V_3中添加MAC(1)表項SW2處理:p3收到V_3加標(biāo)幀，宿地址不在V_3表中，刪除標(biāo)記后向端口2轉(zhuǎn)發(fā)，然后在V_3中添加MAC(1)表項VLAN交換機1123

H1

H2

H3

VLAN交換機212

H4

H543V2第三十二頁，共85頁。7.4VLANPDUMAC加標(biāo)幀（Taggedframe）在基本MAC幀的頭部增加標(biāo)志字段標(biāo)志段包括：VLANID、用戶優(yōu)先級分別對應(yīng)：VLAN加標(biāo)幀、優(yōu)先級加標(biāo)幀跨交換機劃分VLAN，交換機間傳輸VLAN加標(biāo)幀802.3-2002引入加標(biāo)MAC幀格式其中，802.1Q標(biāo)志類型可作為VLAN加標(biāo)幀802.3as-2006改稱：Q加標(biāo)幀，更為簡潔LanMan2017第三十三頁，共85頁。7.4VLANPDULength/TypeFCSDASA以太網(wǎng)：基本MAC幀以太網(wǎng)：VLAN加標(biāo)幀/Q加標(biāo)幀F(xiàn)CSDASATPIDVLANIDPCFIVLAN標(biāo)記頭

MACClientDataLength/Type

MACClientDataLanMan2017第三十四頁，共85頁。7.4VLANPDUTPIDVLANIDPCFI

用以標(biāo)識加標(biāo)幀的類型

81-00表示802.1QTagType即VLAN協(xié)議3bits1bit12bitsTCI：TagControlInformation

2個八位組TagProtocolIdentifier2個八位組優(yōu)先級：3位，

0～7共8個等級不同設(shè)備支持優(yōu)先級的等級數(shù)有差異優(yōu)先級高的幀先發(fā)出

用一個12位無符號二進數(shù)表示

0：nullVLANID，則該幀是用戶優(yōu)先級幀

VLAN加標(biāo)幀的標(biāo)志頭中必須有非空VLANID1：defaultVLANID基于端口

VLAN默認(rèn)值，可由網(wǎng)管改變FFF：保留有效范圍：1～4094LanMan2017第三十五頁，共85頁。7.4VID格式VID用一個12位無符號二進數(shù)作為VLAN標(biāo)識符，唯一標(biāo)識了該幀歸屬的VLAN。0：nullVLANID，表示該幀是用戶優(yōu)先級幀VLAN加標(biāo)幀的標(biāo)志頭中必須有非空VLANID1：defaultPVIDvalue，基于端口VLAN中的默認(rèn)值，可用網(wǎng)管改變FFF：保留LanMan2017第三十六頁，共85頁。7.5VLAN的配置7.5.1根據(jù)需要劃分VLAN7.5.2組建VLAN的條件7.5.3基于端口VLAN的實現(xiàn)7.5.4VLAN之間的通信LanMan2017第三十七頁，共85頁。7.5.2組建VLAN的條件組建VLAN的條件VLAN通常是基于交換式以太網(wǎng)的因此組建VLAN需要至少一個，或多個以太網(wǎng)交換機以太網(wǎng)交換機必須支持VLANtrunk協(xié)議802.1Q（IEEE標(biāo)準(zhǔn)）ISL（Cisco專用協(xié)議，僅對Cisco交換機互聯(lián)有效）注意交換機支持VLAN的數(shù)目因設(shè)備而異LanMan2017第三十八頁，共85頁。7.5.3基于端口VLAN的實現(xiàn)先創(chuàng)建VLAN，設(shè)置VLANID在每臺VLAN交換機手動配置VLAN（Cisco交換機也可利用VTP域，只在一臺交換機上手動創(chuàng)建VLAN，在同一VTP域的其他交換機自動學(xué)習(xí)已創(chuàng)建的VLAN）

關(guān)于VTP協(xié)議請參看第六章參考資料再對交換機端口進行配置portmodeforeachportTrunkmodeOr:Accessmode

VLANIDforeachportVLANtrunkprotocoltypefortrunkport）（不同商家交換機互連時，trunk鏈路的端口必須配置相同的協(xié)議：802.1Q）LanMan2017第三十九頁，共85頁。案例1：單交換機基于端口的VLAN配置假設(shè)所有H為VLAN非知曉的需要配置內(nèi)容如下：VLAN交換機

12345H1H2H3H4H5V2

V3portPortmodeVLANIDFrametype1、2、34、5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）LanMan2017第四十頁，共85頁。案例2：VLAN中繼配置

交換機1port5和交換機2port3分別設(shè)置為：trunkmode，VLAN2和3，tagged（默認(rèn)），（trunkprotocol）兩交換機其他端口設(shè)置，請自己分析完成注意：主干鏈路必須配置需要中繼的所有VLANID

圖中如只配置VLAN2，則H6將不能與H1和H2通信VLAN3AccesslinkTrunklinkH2H1H3VLAN交換機1H4VLAN2H5VLAN交換機2H612345312不同商家交換機互連，必須設(shè)置為802.1Q。如思科交換機默認(rèn)為ISL,而非802.1Q。

LanMan2017第四十一頁，共85頁。特殊案例：accesslink站點屬于多個VLAN需要配置內(nèi)容如下（假設(shè)所有H為VLAN非知曉的）VLAN交換機

12345H1H2H3H4H5V2

V3portPortmodeVLANIDFrametype1、2、34multiVLAN2、3Untagged5accessaccessVLAN2VLAN3Untagged（default）Untagged（default）Multi端口

廠商為了應(yīng)用方便推出的技術(shù),得到多廠商支持基本特性：一個端口位于多個VLAN

注意：破壞了VLAN嚴(yán)格的邏輯隔離性能可用于：一臺服務(wù)器為多個PC機服務(wù)LanMan2017第四十二頁，共85頁。7.6VLAN之間的通信VLAN之間的通信不同VLAN之間不能直接通信交換機邏輯隔離各個VLANVLAN間的通信，通常在L2以上處理使用路由設(shè)備在L3實現(xiàn)VLAN間路由使用應(yīng)用層網(wǎng)關(guān)VALN間路由示例如后LanMan2017第四十三頁，共85頁。路由器多個端口實現(xiàn)VLAN間通信路由器R是一個VLAN非知曉設(shè)備不知道VLAN的存在也不知道這兩個VLAN來自同一個交換機各個端口連接的是不同的IP子網(wǎng)應(yīng)用中，路由器的一個端口連接一個VLAN為了路由，每個VLAN均設(shè)置為一個IP子網(wǎng)通過路由互連了VLANVLAN2VLAN3VLAN交換機R192.168.1.0192.168.2.0f0/1f0/2AccesslinkLanMan2017第四十四頁，共85頁。路由器（或L3交換機）一個端口實現(xiàn)VLAN間通信多VLAN經(jīng)trunk鏈路連接路由器（L3交換機）一個端口路由器（L3交換機）該端口具有橋接模塊，支持VLANtrunk功能需要路由的每個VLAN設(shè)置獨立的IP子網(wǎng)路由器（L3交換機）的f0/1口知曉VLAN存在f0/1.1子接口對應(yīng)VLAN2，f0/1.2子接口對應(yīng)VLAN3各VLAN的端站IP網(wǎng)關(guān)分別指向所屬VLAN的子接口VLAN2VLAN3VLAN交換機L3SW192.168.1.0192.168.2.0f0/1trunklink(VLAN2、VLAN3）f0/1.2192.168.2.1f0/1.1192.168.1.1第四十五頁，共85頁。VLAN與IP子網(wǎng)的討論VLAN通過L2交換機劃分，是L2層概念VLAN是邏輯網(wǎng)絡(luò)交換機邏輯隔離各個VLAN不同VLAN的成員之間不能直接通信IP子網(wǎng)通過L3交換機或路由器劃分，是L3層概念當(dāng)VLAN間需要路由時每個VLAN必須對應(yīng)設(shè)置一個獨立的IP子網(wǎng)這完全是因為路由的需要！但一個VLAN并非就是一個IP子網(wǎng)！LanMan2017第四十六頁，共85頁。7.7電信級以太網(wǎng)（自學(xué)）7.7.1背景7.7.2相關(guān)標(biāo)準(zhǔn)7.7.3技術(shù)概要7.7.4基于網(wǎng)橋的CE7.7.5運營級主干網(wǎng)橋7.7.6運營級主干傳送網(wǎng)7.7.7PBT實例總結(jié)LanMan2017第四十七頁，共85頁。7.7.1背景背景一用戶級以太網(wǎng)技術(shù)和VLAN是否可以發(fā)展為運營級？然而VLAN和以太網(wǎng)技術(shù)原本是針對局域網(wǎng)環(huán)境的無法滿足電信級運營的城域網(wǎng)要求，如：VLAN數(shù)量的限制用戶網(wǎng)絡(luò)與運營商網(wǎng)絡(luò)的隔離QoS保障……一系列新的802規(guī)范推出：802.1ad、802.1ah、802.1ag、802.1Qay、……用戶級網(wǎng)橋開始演進成運營級網(wǎng)橋LanMan2017第四十八頁，共85頁。7.7.1背景背景二以太網(wǎng)業(yè)務(wù)的需求以太網(wǎng)最初僅是是一種IP承載技術(shù)以太幀已隨IP網(wǎng)絡(luò)而成為一種通用承載以太網(wǎng)傳送因規(guī)模效應(yīng)帶來成本優(yōu)勢而加速推廣運營商開始考慮將以太網(wǎng)作為一種業(yè)務(wù)推向用戶電信級以太網(wǎng)因而包括兩大范疇以太網(wǎng)業(yè)務(wù)具有電信級特征的以太網(wǎng)傳送技術(shù)LanMan2017第四十九頁，共85頁。7.7.1背景背景三：需求以太網(wǎng)業(yè)務(wù)的電信級質(zhì)量電信級傳送：安全、QoS、電信級網(wǎng)絡(luò)：網(wǎng)絡(luò)保護電信級運維：OAM……背景四：基本策略基于現(xiàn)有技術(shù)改進：MPLS、以太網(wǎng)橋、……LanMan2017第五十頁，共85頁。7.7.1背景背景五：MEF主導(dǎo)的名稱演變MEF：MetroEthernetForum城域以太網(wǎng)論壇2001年最初稱為：城域以太網(wǎng)MetroEthernet后來曾稱：運營級以太網(wǎng)或運營商以太網(wǎng)CarrierGrade/ClassEthernet2005年后正式使用：電信級以太網(wǎng)CarrierEthernetLanMan2017第五十一頁，共85頁。7.7.1背景背景六：電信級以太網(wǎng)涉及多方面標(biāo)準(zhǔn)MEF：以太業(yè)務(wù)、端到端特性IEEE802：PBB/PBTITU-T：T-MPLS（PTN）IETF：IP/MPLS、MPLS-TP反映出：多方關(guān)注標(biāo)準(zhǔn)復(fù)雜LanMan2017第五十二頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)MEF標(biāo)準(zhǔn)MEF認(rèn)為：運營商使用以太連通性技術(shù)以提供以太業(yè)務(wù)電信級以太網(wǎng)應(yīng)常用面向連接的模式MEF關(guān)注：體系結(jié)構(gòu)、業(yè)務(wù)規(guī)范及一致性測試、業(yè)務(wù)模型并不局限于特定實現(xiàn)MEF文檔：MEF1~MEF15，……LanMan2017第五十三頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)MEF4系統(tǒng)架構(gòu)和參考模型MEF6/10以太業(yè)務(wù)的定義、屬性和參數(shù)MEF6：以太業(yè)務(wù)的定義以太業(yè)務(wù)：兩種類型、三個級別E-LineP2PEVC：點對點以太虛連接可提供兩個級別的業(yè)務(wù)：EPL、EVPL以太網(wǎng)專線、以太虛擬專線E-LANMP2MPEVC：多點對多點以太虛連接可提供以太局域網(wǎng)業(yè)務(wù)LanMan2017第五十四頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)IETF相關(guān)標(biāo)準(zhǔn)MPLS協(xié)議族MPLS-TP協(xié)議族ITU-T相關(guān)標(biāo)準(zhǔn)T-MPLS協(xié)議族OAM：以太網(wǎng)的運維LanMan2017第五十五頁，共85頁。7.7.2相關(guān)標(biāo)準(zhǔn)IEEE802相關(guān)標(biāo)準(zhǔn)：PBB/PBTPBB：ProviderBackboneBridgePBT：ProviderBackboneTransport（PBB-TE）增強MAC橋、構(gòu)建電信級以太網(wǎng)802標(biāo)準(zhǔn)系列802.1ad-2005：QinQ802.1ag-2007：CFM802.1ah-2008：MACinMAC802.1Qay-2009：PBB-TE802.1aq（制定中）：SPBLanMan2017第五十六頁，共85頁。7.7.3技術(shù)概要基于：現(xiàn)有技術(shù)改進基于MPLS：使用標(biāo)簽（Label）建立連接基于網(wǎng)橋：使用隧道（路徑指配）建立連接簡化：現(xiàn)有技術(shù)中無需的復(fù)雜性MPLS：專用于IP傳送的無連接特性以太網(wǎng)橋：用戶級的便利性增強：電信級網(wǎng)絡(luò)的特征面向連接、OAM安全、QoS、網(wǎng)絡(luò)保護LanMan2017第五十七頁，共85頁。7.7.3技術(shù)概要基于MPLST-MPLS、MPLS-TPT-MPLS=MPLS-IP+OAM基于以太網(wǎng)橋PBB/PBT、PBB-TEPBT=PBB-L2不安全+TE+OAMLanMan2017第五十八頁，共85頁。7.7.3技術(shù)概要CE：多層面認(rèn)識業(yè)務(wù)等級MEF9、MEF14、MEF18基礎(chǔ)網(wǎng)絡(luò)設(shè)施數(shù)據(jù)平面：可基于MPLS或PBB/PBT管理平面：OAM、CFM、……控制平面：信令、路由（例如SPB）、……LanMan2017第五十九頁，共85頁。7.7.4基于網(wǎng)橋的CE基于網(wǎng)橋網(wǎng)橋MAC橋，L2橋接，遵循802.1D標(biāo)準(zhǔn)橋接式局域網(wǎng)：取得極大成功高性能、低成本自動配置（PnP）、使用簡便但是：安全強度很低、可管理性很弱“電信級”改造保持高性能、低成本強化安全性、可管理性，不在乎增加使用復(fù)雜性LanMan2017第六十頁，共85頁。7.7.4基于網(wǎng)橋的CEIEEE802.1Q標(biāo)準(zhǔn)擴展IEEE基于802.1Q進行了一系列擴展從VLAN起步，構(gòu)造了PBB/PBT構(gòu)造網(wǎng)絡(luò)的數(shù)據(jù)平面、管理平面、控制平面802.1Q標(biāo)準(zhǔn)制定非?；钴S802.1Q系列標(biāo)準(zhǔn)：見下802.1Q制定中標(biāo)準(zhǔn)：見下LanMan2017第六十一頁，共85頁。7.7.4基于網(wǎng)橋的CE802.1Q系列：已制定標(biāo)準(zhǔn)802.1Q-2005VLANBridges802.1ad-2005ProviderBridging802.1ag-2007ConnectivityFaultManagement802.1ah-2008ProviderBackboneBridge(PBB)802.1aj-2009TwoPortMACRelay(TPMR)802.1ak-2007MRP,MVRPandMMRP802.1ap-2008MIBdefinitionsforVLANBridges802.1Qat-2010StreamReservationProtocol(SRP)802.1Qau-2010CongestionManagement802.1Qav-2009ForwardingandQueuingEnhancementsforTime-sensitiveStreams802.1Qaw-2009ManagementofData-DrivenandData-DependentConnectivityFaults802.1Qay-2009PBB-TELanMan2017第六十二頁，共85頁。7.7.4基于網(wǎng)橋的CE802.1Q：制定中標(biāo)準(zhǔn)802.1aqShortestPathBridging(SPB)802.1QazEnhancedTransmissionSelectionforBandwidthSharingBetweenTrafficClasses802.1QbbPriority-basedFlowControl802.1QbcProviderBridging-RemoteCustomerServiceInterface802.1QbeMultipleBackboneServiceInstanceIdentifier(I-SID)RegistrationProtocol(MIRP)802.1QbfPBB-TEInfrastructureSegmentProtection802.1QbgEdgeVirtualBridging-VEPA802.1QbhBridgeportExtension/VN-TagLanMan2017第六十三頁，共85頁。7.7.4基于網(wǎng)橋的CE數(shù)據(jù)平面802.1Q-2005（1998）：Q加標(biāo)幀，層次性封裝起步802.1ad-2005：QinQ，VLAN隔離802.1ah-2008：MACinMAC，PBB，地址空間隔離管理平面802.1ag-2007：CFM，橋接網(wǎng)絡(luò)OAM控制平面802.1Qay-2009：PBB-TE（PBT）802.1aq-?：SPB（最短路徑橋接）802.1Qax、802.1Qbx、……LanMan2017第六十四頁，共85頁。7.7.5運營級主干網(wǎng)橋多層封裝802.1ad：隔離VLAN空間802.1ah：隔離MAC地址空間實現(xiàn)：流量隔離用戶流量不直接承載在主干網(wǎng)實現(xiàn)：空間隔離用戶地址空間與運營商地址空間隔離可能：傳送機制隔離主干網(wǎng)轉(zhuǎn)發(fā)機制與用戶轉(zhuǎn)發(fā)無直接關(guān)系LanMan2017第六十五頁，共85頁。7.7.5運營級主干網(wǎng)橋PBB：幀格式演變SA:SourceAddressDA:DestinationAddressVID:VLANIDC-VID:CustomerVIDS-VID:ServiceVIDI-SID:ServiceInstanceIDB-VID:BackboneVIDB-DA:BackboneDAB-SA:BackboneSAPayloadPayloadPayloadC-VIDC-VIDPayloadVIDS-VIDS-VIDSASASASADADADADA802.1802.1Q802.1adPBI-SIDB-VIDB-SAB-DA802.1ahPBBLanMan2017第六十六頁，共85頁。7.7.5運營級主干網(wǎng)橋QinQ：多層封裝802.1ad-2005：QinQ提出：運營商級VLAN，對立于用戶級VLAN基于802.1Q：在用戶Q-Tag之外加封運營商Q-Tag即是：在802.1Q加標(biāo)幀基礎(chǔ)上再加封一個802.1ad的標(biāo)志頭用戶級C-VID（CustomerVID）、運營商級S-VID（ServiceVID）運營商橋接LAN與用戶LAN完全獨立定義運營商網(wǎng)橋及運營商橋接LAN運營商和用戶分別獨立管理各自的網(wǎng)絡(luò)運營商網(wǎng)絡(luò)（802.1ad）、用戶網(wǎng)絡(luò)（802.1Q）使運營商服務(wù)VLAN與用戶VLAN完全獨立實現(xiàn)了相互隔離的VLAN雙層空間運營商可自由配置VLAN多個用戶的VLAN無需統(tǒng)一QinQ技術(shù)實現(xiàn)了用戶VLAN流量在運營商網(wǎng)絡(luò)上的透明傳送LanMan2017第六十七頁，共85頁。7.7.5運營級主干網(wǎng)橋802.1ad：網(wǎng)絡(luò)結(jié)構(gòu)PBVLAN10SW域A1：用戶ALAN運營商橋接LANPB：運營商網(wǎng)橋PBPBPBPBVLAN10SWVLAN20VLAN20SW域A3用戶ALANQ加標(biāo)幀域A2：用戶ALAN用戶1LAN用戶1LAN用戶2LAN用戶2LAN運營商橋接LAN802.1ad用戶LAN：傳送802.1Q加標(biāo)幀運營商LAN:

傳送QinQ加標(biāo)幀Q加標(biāo)幀Q加標(biāo)幀QinQ加標(biāo)幀LanMan2017第六十八頁，共85頁。7.7.5運營級主干網(wǎng)橋802.1ah：MACINMAC的引入802.1ad技術(shù)用于城域網(wǎng)的局限性雖然能夠隔離用戶VLAN和運營商VLAN但運營商網(wǎng)橋仍會學(xué)習(xí)用戶MAC地址，運營商不能隔離用戶MAC運營商VLANID為12位，運營商的服務(wù)VLAN數(shù)受限，不利規(guī)模發(fā)展為解決802.1ad的問題而制定802.1ah-2008MACinMAC機制2008/08/14，2008/06/12LanMan2017第六十九頁，共85頁。7.7.5運營級主干網(wǎng)橋PBB：802.1ah-2008運營商級網(wǎng)橋、PBT的技術(shù)基礎(chǔ)ProviderBackboneBridge基本機制：MACinMAC雙層地址空間：在用戶MAC之外加封運營商MAC在MAC層隔離了運營商和用戶地址域強化了：以太網(wǎng)的可擴展性、業(yè)務(wù)的安全性I-TAG的引入是PBB的關(guān)鍵I-TAG：業(yè)務(wù)實例標(biāo)簽、長度24bit、用以標(biāo)識業(yè)務(wù)服務(wù)實例提升為224（16M）（802.1ad為212，4K）MAC幀轉(zhuǎn)發(fā)可以基于運營商地址空間BDA/BSA：運營商主干網(wǎng)目的/源地址雙地址空間和基于BDA/BSA轉(zhuǎn)發(fā)隔離：運營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)LanMan2017第七十頁，共85頁。7.7.5運營級主干網(wǎng)橋PBB的4種類型主干邊緣橋：3種BackboneEdgeBridge僅包括一個I成份，可識別和封裝業(yè)務(wù)VLAN僅包括一個B成份，可識別B-VLAN同時包括一個I成份和一個B成份既可識別和封裝業(yè)務(wù)VLAN，也可識別B-VLAN普通的運營商網(wǎng)橋：1種原本的802.1ad網(wǎng)橋LanMan2017第七十一頁，共85頁。7.7.5運營級主干網(wǎng)橋運營商橋接LAN（802.1ad）用戶ALAN運營商主干橋接LAN

（802.1ah）運營商橋接LAN（802.1ad）用戶CLAN用戶BLAN用戶ALAN運營商橋接LAN（802.1ad）運營商橋接LAN（802.1ad）用戶CLAN用戶ALAN用戶BLAN用戶VLAN幀：1Q加標(biāo)幀Q-in-Q加標(biāo)幀MAC-in-MAC加標(biāo)幀802.1ah：網(wǎng)絡(luò)結(jié)構(gòu)LanMan2017第七十二頁，共85頁。7.7.6運營級主干傳送網(wǎng)PBT：運營商主干傳送網(wǎng)ProviderBackboneTransportPBT：BT提出，Nortel啟動研發(fā)英國電信（BritishTelecom）、北電IEEE802.1Qay-2009：PBB-TEPBBTrafficEngineering支持流量工程的運營商主干網(wǎng)橋PBT技術(shù)特征基于PBBPBT=MACinMAC-L2不安全+TE+OAMLanMan2017第七十三頁，共85頁。7.7.6運營級主干傳送網(wǎng)PBT理解：雙重地址空間運營商地址空間802.1ah定義了BDA/BSA地址配置：通過管理平面、控制平面，運營商可管理運營商地址空間與用戶地址空間相互隔離用戶地址配置：通常取自網(wǎng)卡物理地址，用戶使用便利幀轉(zhuǎn)發(fā)依據(jù)BDA而不是DA在運營級網(wǎng)絡(luò)上隔離了用戶流量LanMan2017第七十四頁，共85頁。7.7.6運營級主干傳送網(wǎng)PBT理解：PBB簡化取消原有橋接網(wǎng)中的某些不安全機制地址自動學(xué)習(xí)、洪泛式轉(zhuǎn)發(fā)、生成樹協(xié)議這些機制為用戶提供使用的方便，但極易受到攻擊洪泛轉(zhuǎn)發(fā)：取消DA不明幀：丟棄，不洪泛轉(zhuǎn)發(fā)MAC自學(xué)習(xí)功能：關(guān)閉地址配置：預(yù)先配置，而非源地址學(xué)習(xí)配置在管理平面實現(xiàn)，并逐漸交由控制平面組播功能：關(guān)閉、丟棄組播/廣播幀環(huán)路阻止協(xié)議：關(guān)閉（例如STP、RSTP）LanMan2017第七十五頁，共85頁。7.7.6運營級主干傳送網(wǎng)PBT理解：轉(zhuǎn)發(fā)路徑數(shù)據(jù)幀的轉(zhuǎn)發(fā)路徑：預(yù)指配轉(zhuǎn)發(fā)判據(jù)：外層的MAC和VIDBDA+BVID不同的B-DA可以采用相同的C-VID用戶VLAN（內(nèi)層的C-VID）無需全網(wǎng)唯一兼容傳統(tǒng)以太網(wǎng)橋架構(gòu)用戶數(shù)據(jù)幀無需要修改主干數(shù)據(jù)幀具有標(biāo)準(zhǔn)的以太幀格式中繼節(jié)點無需更新即可基于（BDA+BVID）轉(zhuǎn)發(fā)數(shù)據(jù)幀運營商對CE可控，并可隔離用戶流量轉(zhuǎn)發(fā)效率高、設(shè)備成本低LanMan2017第七十六頁，共85頁。7.7.6運營級主干傳送網(wǎng)PBT理解：使CE具有準(zhǔn)連接性增加面向連接的特性以便實現(xiàn)電信傳送網(wǎng)功能保護切換、OAM、QoS、流量工程，等LanMan2017第七十七頁，共85頁。7.7.6運營級主干傳送網(wǎng)PBB：增強運營級網(wǎng)絡(luò)特性可配置：流量工程和保護點到點業(yè)務(wù)實例Pt-PtServiceInstanc