欢迎来到天天文库
浏览记录
ID:43760463
大小:1.83 MB
页数:95页
时间:2019-10-13
《网络互连技术与实训 杨文虎 李婷 26092-第3章二层安全控制技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第3章二层安全控制技术VLAN技术原理3.1VLAN的分类及实现3.2VLAN的扩展技术3.3端口接入控制3.4镜像技术3.53.1VLAN技术原理·传统的局域网使用的是二层交换机代替集线器(Hub),每个端口可以看成是一根单独的总线,可以使冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。·但是网络中所有端口仍然处于同一个广播域,交换机在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。·随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴问题。
2、·过去由于交换机的二层网络工作原理的限制,交换机对广播风暴的问题无能为力。·为了提高网络的效率,一般需要将通过路由器网络进行分段:把一个大的广播域划分成几个小的广播域。·图3.1中用路由器替换图3.2中的中心结点交换机,使得广播报文的发·送范围大大减小。·这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。·作为替代的LAN分段方法,虚拟局域网(VLAN)被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。3.1.1VLAN的定义和特点·虚拟局域网(VirtualLocal
3、AreaNetwork,VLAN)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。·这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。·VLAN与传统的LAN相比,具有以下优势。①减少移动和改变的代价—实现动态管理网络。②虚拟工作组—使用VLAN的最终目标就是建立虚拟工作组模型。·它的主要特点集中表现在以下几个方面。①提高带宽的利用率②增强通信的安全性③增强网络的健壮性④提高网络管理效率3.1.2VLAN工作原理·交换机在网络当中处于第二层设备,主要功能就是数据帧的快速转发,交换机在转发数据时,不同于
4、集线器,它主要依据内部的转发表项来转发数据帧,那么这个转发表就是MAC地址表,如图3.3所示。·在上一章中已经详细说明了交换机的MAC地址表的形成过程。·划分VLAN之后的交换机的数据转发流程发生了变化,因为此时交换机转发数据时参考的依据多了一项,即VID表如表3.1所示。·VID表包含了VLAN编号和端口号的对应关系,当交换机再进行转发数据帧的时候,它会优先检查目的MAC地址所对应的端口的VID号和数据源所对应的端口的VID是否一致,如果一致则进行数据转发,否则丢弃该数据帧。3.1.3IEEE802.1Q协议·IEEE802.1Q定义了以下内容。①VLAN的架
5、构;②VLAN中所提供的服务;③VLAN实施中涉及的协议和算法1.802.1Q帧的格式·IEEE802.1Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸如帧发送及校验、回路检测,对业务质量(QoS)参数的支持以及对网管系统的支持等方面的标准。·传统的以太网数据帧(见图3.4)在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段。·而IEEE802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN标志(Tag),用以标识VLAN的相关信息,如图3.5所示。2.交换机端口类型·支持802.1Q的交换机端口类型一般分为Accesss
6、、Trunk,思科、华为以及H3C等厂商的交换机均是这样划分的,但对于其他厂商的交换机叫法不同,如D-LINK的交换机的端口类型称之为Untagged和Tagged,对于H3C的交换机它还增加了一个新的端口类型Hybrid。(1)Access①Access类型的端口只能属于一个VLAN,一般用于连接计算机的端口;②Access接口接收到的数据帧都是untag报文,如果收到tag报文将自动丢弃;③Access接口向外发送的数据帧时,必须保证数据帧中不包含VLAN标签,即必须是untag报文;④在交换机初始状态所有端口的类型默认为Access。(2)Trunk①Tr
7、unk类型的端口默认属于VLAN1,当Trunk端口所存在的本地交换机VID表中有多个VLAN时,那么Trunk端口也自动属于这些VLAN,并自动加入到VID表中,例如假设端口E1/0/1属性为Trunk时,其交换机VID表如表3.2所示。②Trunk类型的端口可以接收和发送VLAN1的untag报文。③Trunk类型的端口可以接收本地交换机VID表中存在的所有VLAN的tag报文,然后查找VID表向相应端口转发;当Trunk端口接收到含有本地交换机VID表不存在的VID标签的tag报文时将自动丢弃该数据帧。④Trunk类型的端口向外发送数据帧时,都是含有VID
8、值的tag报文;当向外发
此文档下载收益归作者所有