16高速网络技术.ppt

高速网络技术High-Speed Networks Technologies 郭联志 厦门大学出版社 第9章 虚拟网络技术 9.1 虚拟局域网技术 9.2 广域网VPN技术 9.3 MPLS VPN 9.4 广播虚拟网络技术 9．1 虚拟局域网（VLAN） 交换局域网是虚拟局域网（Virtue LAN，VLAN）的基础。近年来，随着交换局域网技术的飞速发展，交换局域网结构逐渐取代了传统局域网的共享介质结构，为虚拟局域网的实现提供了坚实的基础。 802.1网络互联小组标准：1996年3月。 802.10 VLAN标准不好用。 9．1．1 虚拟网络概念 虚拟网络是建立在局域网交换机或ATM交换机之上的，它以软件方式来实现逻辑工作组的划分与管理，逻辑工作组的节点组成不受物理位置的限制。同一逻辑工作组的成员不一定要连接在同一个物理网段上，它们可以连接在同一个局域网交换机上，也可以连接在不同的局域网交换机上，只要这些交换机是互联的。当一个节点从一个逻辑工作组转移到另一个逻辑工作组时，只需要通过软件设定，而不需要改变它在网络中的物理位置。同一个逻辑工作组的节点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。 虚拟网络VLAN 在同一个VLAN的计算机，不论它们实际与哪一个交换机连接，同一个VLAN中的广播只有VLAN的成员才能听到，而不会传到其他的VLAN中去，这样可以控制不必要的广播风暴的产生。同时，如果没有路由的话，不同的VLAN之间不能相互通信。增加了网络中不同部门之间的安全性。 VLAN可以将服务器单独划分在一个VLAN中，通过第三层交换，允许其他VLAN用户访问服务器，也可以将服务器单独划分属于多个VLAN，提高了服务器的安全性。 9．1．2 划分VLAN的方法 1．基于交换机物理端口 2．基于MAC地址 3．基于IP地址 4．基于网络协议 图9-1 典型的VLAN物理结构图 1．基于交换机物理端口 基于交换机物理端口划分VLAN，可以说是基于OSI七层模型的第一层物理层。许多早期的虚拟局域网都是根据局域网交换机的端口来定义虚拟局域网成员的。虚拟局域网从逻辑上把局域网交换机的端口划分为不同的虚拟子网，各虚拟子网相对独立，其结构如图9-2a所示。图中局域网交换机端口1、2、3、4和8组成VLAN1，端口5、6和7组成了VLAN2。虚拟局域网也可以跨越多个交换机。如图9-2b所示，局域网交换机1的1、2、3端口和局域网交换机2的5、6、7端口组成VLAN1，局域网交换机1的5、6和7端口和局域网交换机2的1、2、3和8端口组成VLAN2。 1．基于交换机物理端口示意图 TP-DLINK端口流量限制 选择交换机功能下的端口流量限制，您可以进入如下设置界面。端口流量限制提供针对每个端口的流量限制设置，入口提供“不限制”、“flood”、“广播和多播”、“广播”、“所有帧”等五种不同的限制模式，而出口限制则是针对所有帧的限制。???  入口限制模式 请您选择入口限制模式，它一共包含下面五个选项。 不限制? 选择该项表示对进入该端口的数据帧不进行限制。 ?? flood??? 选择该项表示对进入该端口的广播帧、多播帧、以及目的MAC 地址不在MAC 地址表的帧进行限制。 ?? 广播和多播??? 选择该项表示对进入该端口的广播帧和多播帧进行限制。 ??? 广播??? 选择该项表示对进入该端口的广播帧进行限制。 ??? 所有帧??? 选择该项表示对进入该端口的所有帧进行限制。 ?? 其中flood、广播以及广播和多播的限制方式就是传统意义上的广播风暴抑制，路由器的交换机部分可以对三种常见的广播帧（广播包、组播包、未学习到地址的单播包）进行过滤。??? 广播风暴是指网络上的广播帧数量急剧增加而影响正常的网络通讯的反常现象。广播风暴的判断标准为一个端口是否在短时间内连续收到许多个广播帧，广播风暴会严重降低网络性能。端口流量限制允许交换机部分对网络上出现的广播帧进行过滤。当交换机检测到广播帧数目超出一定的范围时，会自动丢弃广播帧，以防止广播风暴的发生。 ?? 当设置为所有帧的限制方式时，交换机部分将对所有的数据帧都进行限制，对于入口的数据包采用过滤处理，若当前流量超出入口限制流量时，超出的部分将被丢弃；对于出口的数据，仅限制流量（根据端口流量控制的开启情况决定是否丢弃超出限制速率外的帧），这时起到端口下行带宽限制的作用。 2．基于MAC地址 基于OSI七层模型第二层—数据链路层中的MAC子层划分VLAN，是用节点的MAC地址来定义虚拟局域网，网络中每一个端设备在出厂时都有一个固定的MAC地址，为占6字节的十六进制数，例如00-10-4B-0C-AC-29。在Windo