殷麗

1中國礦業(yè)大學(xué)計(jì)算機(jī)學(xué)院 江蘇 221116

2徐州師范大學(xué)信息網(wǎng)絡(luò)中心 江蘇 221116

0 引言

隨著校園信息化建設(shè)的深入發(fā)展，高等院校校園網(wǎng)已成為實(shí)現(xiàn)教學(xué)、科研、管理、資源共享等多種應(yīng)用服務(wù)的重要基礎(chǔ)設(shè)施。交換式以太網(wǎng)以其高帶寬、技術(shù)成熟、成本低廉、易于建設(shè)和管理等優(yōu)勢，成為高等院校校園網(wǎng)建設(shè)的主流方案。用交換機(jī)取代集線器建立的局域網(wǎng)有效地隔離了沖突域，但從整體上仍處于一個(gè)廣播域。隨著局域網(wǎng)內(nèi)主機(jī)數(shù)的增加和用戶對帶寬的需要越來越高，交換機(jī)通過各種方式的連接將網(wǎng)絡(luò)范圍擴(kuò)大，引起網(wǎng)絡(luò)性能的急劇下降，因?yàn)槎鄠€(gè)交換機(jī)互連的網(wǎng)絡(luò)仍處在一個(gè)廣播域中。為了解決這個(gè)問題，人們開發(fā)了虛擬局域網(wǎng)(Virtual LAN，VLAN)技術(shù)，其主要特征是：控制廣播、安全性高、靈活性及可擴(kuò)展性好。本文分析了 VLAN的組播/廣播流量泛洪形成的原因，提出存在的問題，并針對問題給出了VLAN裁剪的解決方案。

1 徐州師范大學(xué)校園網(wǎng)概況

徐州師范大學(xué)校園網(wǎng)采用千兆交換式以太網(wǎng)接入，分四個(gè)校區(qū)，校區(qū)之間以千兆光纖互連，全校共計(jì)近20000個(gè)信息點(diǎn)。主校區(qū)采用思科C6509作為核心設(shè)備，匯聚層和接入層設(shè)備采用思科和銳捷等多品牌設(shè)備互連。由于網(wǎng)絡(luò)規(guī)模龐大、信息點(diǎn)覆蓋面廣、用戶數(shù)多，劃分虛擬局域網(wǎng)未實(shí)施VLAN裁剪之前在運(yùn)行過程中暴露出因VLAN的組播/廣播流量泛洪造成無謂的帶寬消耗嚴(yán)重。

2 交換機(jī)端口鏈路分類

在交換式網(wǎng)絡(luò)中配置VLAN后，交換機(jī)會(huì)根據(jù)端口不同的鏈路類型決定對通過的幀采取怎樣的處理方式。

2.1 訪問鏈路

該鏈路類型的端口只屬于一個(gè)VLAN，僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀，不能與其他VLAN的設(shè)備進(jìn)行通信，除非數(shù)據(jù)包是被路由轉(zhuǎn)發(fā)的。所屬的VLAN需要手工配置，端口所連一般為客戶機(jī)。

2.2 中繼鏈路

所謂中繼鏈路，是指能夠轉(zhuǎn)發(fā)多個(gè)不同VLAN通信的端口。通俗地講，就是將上例中用于交換機(jī)間同一VLAN互連的多根網(wǎng)線集中到一根上。中繼鏈路一般是兩個(gè)交換機(jī)之間100Mbps或1000Mbps的點(diǎn)到點(diǎn)鏈路，也可以用于交換機(jī)與路由器之間或交換機(jī)與服務(wù)器之間。它承載多個(gè)VLAN的通信量(1～1005個(gè)VLAN)，使單個(gè)端口同時(shí)屬于多個(gè)VLAN，可以透明傳輸交換機(jī)上所有VLAN的幀，作為跨交換機(jī)的相同VLAN傳輸數(shù)據(jù)用。

圖1顯示了不同的鏈路怎樣用在交換式網(wǎng)絡(luò)中。位于不同交換機(jī)相同VLAN的主機(jī)A和主機(jī)B能夠通信，正是因?yàn)樗鼈冎g有中繼鏈路。

圖1 交換式網(wǎng)絡(luò)中的訪問鏈路和中繼鏈路

那么，設(shè)置為中繼鏈路的端口是如何識別不同VLAN信息的呢？

2.2.1 VLAN劃分的標(biāo)準(zhǔn)問題

在交換機(jī)的中繼鏈路上，可以通過對數(shù)據(jù)幀附加VLAN信息，構(gòu)建跨越多臺(tái)交換機(jī)的VLAN。附加VLAN信息的涉及對以太網(wǎng)數(shù)據(jù)鏈路幀的處理，最具代表性的處理方式有兩個(gè)標(biāo)準(zhǔn)：一個(gè)是開放標(biāo)準(zhǔn)IEEE 802.1Q，一個(gè)是Cisco公司的私有標(biāo)準(zhǔn) ISL。由于徐州師范大學(xué)校園網(wǎng)中同時(shí)使用了思科及銳捷設(shè)備，這里對這兩個(gè)標(biāo)準(zhǔn)進(jìn)行簡要介紹。

（1）IEEE 802.1Q

1996年3月，IEEE 802.1 Internet Working委員會(huì)結(jié)束了對VLAN初期標(biāo)準(zhǔn)的修訂工作。新標(biāo)準(zhǔn)進(jìn)一步完善了VLAN的體系結(jié)構(gòu)，統(tǒng)一了Frame-Tagging方式中不同廠商的標(biāo)簽格式，并制定802.1Q VLAN標(biāo)準(zhǔn)。我們先看看標(biāo)準(zhǔn)以太幀格式(圖2)和802.1Q幀格式(圖3)的比較。

圖2 以太網(wǎng)幀格式

圖3 802.1Q幀格式

通過對比發(fā)現(xiàn)，IEEE 802.1Q將原有數(shù)據(jù)幀拆幀后，加入新字段進(jìn)行重新封裝，使用 4字節(jié)的標(biāo)記頭定義 Tag(標(biāo)記)，4字節(jié)的Tag頭包括2字節(jié)的TPID(Tag Protocol Identifier)和2字節(jié)TCL(Tag Control Information)。其中TPID是固定的值0X8100。標(biāo)識該數(shù)據(jù)幀承載802.1Q的Tag信息。TCL包含組件：3比特用戶優(yōu)先級；1比特 CFI(Canonical Format Indicator)，默認(rèn)值為0；12比特的VID(VLAN Identifier，VLAN標(biāo)識符)。VID的取值范圍為1～4094，其中VLAN1是不可刪除的默認(rèn)VLAN。

（2）ISL

ISL(Interior Switching Link)是Cisco產(chǎn)品支持的一種與IEEE 802.1Q類似的、用于在中繼鏈路上附加VLAN信息的私有協(xié)議，它在原有數(shù)據(jù)幀基礎(chǔ)上加上新字段后再進(jìn)行封裝。使用ISL后，每個(gè)數(shù)據(jù)幀頭部都會(huì)被附加26字節(jié)的“ISL包頭(ISL Header)”，并且在幀尾帶上通過對包括ISL包頭在內(nèi)的整個(gè)數(shù)據(jù)幀進(jìn)行計(jì)算后得到的4字節(jié) CRC值。換而言之，就是總共增加了30字節(jié)的信息。

在使用ISL的環(huán)境下，當(dāng)數(shù)據(jù)幀離開中繼鏈路時(shí)只要簡單地去除ISL包頭和新CRC就可以了。由于原來的數(shù)據(jù)幀及其CRC都被完整保留，因此無需重新計(jì)算CRC。由于ISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個(gè)包裹起來，因此也被稱為“封裝型VLAN(Encapsulated VLAN)”。

需要注意的是，不論是IEEE 802.1Q的“Tagging VLAN”，還是ISL的“Encapsulated VLAN”，都不是很嚴(yán)密的稱謂。不同的書籍與參考資料中，上述詞語有可能被混合使用。同時(shí)，由于ISL是Cisco的私有協(xié)議，因此只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互連(目前Cisco公司自己的一些交換設(shè)備中也不一定支持ISL)。如果在網(wǎng)絡(luò)架構(gòu)時(shí)選擇了多個(gè)廠家的設(shè)備，應(yīng)注意在中繼鏈路配置時(shí)將其封裝為802.1Q標(biāo)準(zhǔn)格式。

下面以 802.1Q標(biāo)準(zhǔn)為例簡要了解中繼鏈路端口識別不同VLAN信息的過程。

2.2.2 中繼鏈路端口對VLAN的識別過程

802.1 Q協(xié)議使跨交換機(jī)的相同VLAN端口間的通信成為可能?；?02.1Q的Tag VLAN用VID來劃分不同的VLAN，當(dāng)數(shù)據(jù)幀通過交換機(jī)時(shí)，交換機(jī)根據(jù)幀中Tag頭的VID信息來識別它們所在的VLAN(若幀中無Tag頭，則應(yīng)用幀所通過端口的默認(rèn)VID信息來識別它們所在的VLAN)，這使得所有屬于該VLAN的數(shù)據(jù)幀，不管是單播幀、多播幀還是廣播幀，都將限制在該邏輯VLAN中傳播。這將使組中主機(jī)之間能夠相互通信，而不受其他主機(jī)的影響，就像它們存在于單獨(dú)的VLAN中一樣。

示例：拓?fù)浣Y(jié)構(gòu)如圖4所示，在兩臺(tái)RG-S2126G上分別劃分兩個(gè)VLAN：VLAN10和VLAN20，設(shè)置第一臺(tái)的第24口及第二臺(tái)的第24口為trunk模式，作為兩臺(tái)交換機(jī)的級聯(lián)口。主機(jī)A和C屬于VLAN10，主機(jī)B和D屬于VLAN20。

圖4 兩臺(tái)交換機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

主機(jī)A向主機(jī)C發(fā)送數(shù)據(jù)，必須跨兩臺(tái)交換機(jī)，其工作過程如下：

（1）主機(jī)A發(fā)送數(shù)據(jù)，在進(jìn)入交換機(jī)端口之前，數(shù)據(jù)幀的頭部并沒有被加入Tag標(biāo)識，當(dāng)數(shù)據(jù)幀進(jìn)入交換機(jī)端口后，數(shù)據(jù)幀的頭部首先被加入該端口所屬的VID=10。

（2）交換機(jī) S1按照該數(shù)據(jù)幀中封裝的目標(biāo)地址轉(zhuǎn)發(fā)，在VID=10的VLAN中廣播該幀。由于S1上沒有連接主機(jī)C，所以數(shù)據(jù)幀只能發(fā)往潛在連接主機(jī)C的級聯(lián)端口24。

（3）S1的24口是一個(gè)中繼鏈路端口，當(dāng)數(shù)據(jù)幀從該端口轉(zhuǎn)發(fā)時(shí)，即加入Tag標(biāo)識，此時(shí)主機(jī)A發(fā)出的數(shù)據(jù)幀已經(jīng)帶上了Tag標(biāo)識。

（4）數(shù)據(jù)幀通過S1的級聯(lián)口24流向S2的級聯(lián)口24，在S2的端口24根據(jù)Tag標(biāo)識將此數(shù)據(jù)幀在VLAN10中廣播出去。

（5）根據(jù)MAC地址，連接主機(jī)C的端口接收到數(shù)據(jù)幀，端口24去掉Tag標(biāo)識后，轉(zhuǎn)發(fā)該數(shù)據(jù)幀到主機(jī)C。

這樣，就完成了跨交換機(jī)的VLAN內(nèi)通信。同理主機(jī)C也可以發(fā)給主機(jī)A，主機(jī)B與主機(jī)D之間也可以實(shí)現(xiàn)數(shù)據(jù)通信。

3 存在的問題

可以看出，當(dāng)同一VLAN中相互通信的主機(jī)不在一臺(tái)交換機(jī)上時(shí)，數(shù)據(jù)幀只能通過中繼鏈路端口來進(jìn)行轉(zhuǎn)發(fā)。在默認(rèn)條件下，中繼鏈路端口會(huì)轉(zhuǎn)發(fā)本交換機(jī)支持的所有VLAN的流量。換一個(gè)角度看，可以認(rèn)為中繼鏈路端口同時(shí)屬于交換機(jī)上所有的VLAN。圖4描述了兩臺(tái)交換機(jī)的情況，假設(shè)網(wǎng)絡(luò)中存在幾百臺(tái)交換機(jī)時(shí)，會(huì)發(fā)生什么情況呢？

拓?fù)浣Y(jié)構(gòu)如圖5所示，主機(jī)A向主機(jī)B發(fā)送信息。由于A、B不在一個(gè)交換機(jī)上，所以S1只能通過潛在連接主機(jī)B的Trunk口將其轉(zhuǎn)發(fā)到S2。同理，在默認(rèn)情況下，S3、S4、S5、S6都將收到該信息。其實(shí)理想的情況是只要S4收到該信息，再根據(jù)MAC地址轉(zhuǎn)發(fā)給主機(jī)B就可以了。Trunk接口默認(rèn)是用來承載所有的VLAN信息，換句話說Trunk接口默認(rèn)屬于所有的VLAN，因此來至任何VLAN的組播/廣播流量將被泛洪到整個(gè)交換區(qū)域中。LAN的范圍越大，Trunk鏈路越多，泛洪造成的無謂帶寬消耗就越嚴(yán)重。

圖5 多臺(tái)交換機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

4 解決辦法

由于實(shí)際應(yīng)用中，中繼鏈路端口可能并不需要轉(zhuǎn)發(fā)所有VLAN的數(shù)據(jù)，因此為了減輕交換機(jī)的負(fù)擔(dān)，同時(shí)也減少對帶寬的浪費(fèi)，我們通過設(shè)定限制能夠經(jīng)由中繼鏈路互連的VLAN，也將不需要轉(zhuǎn)發(fā)的VLAN信息過濾掉。這也被稱為“VLAN裁剪”。

假設(shè)在交換機(jī)2上將其與交換機(jī)3的級連口進(jìn)行VLAN裁剪，則主機(jī)A發(fā)給主機(jī)B的信息不會(huì)泛洪到交換機(jī)3上(如圖6)。

圖6 進(jìn)行VLAN剪裁后交換機(jī)通信示意圖

5 徐州師范大學(xué)VLAN裁剪實(shí)施方案

為了高效、穩(wěn)定地完成VLAN裁剪工作，盡可能減少實(shí)施過程中因誤操作對用戶造成的影響，徐州師范大學(xué)信息網(wǎng)絡(luò)中心制定了嚴(yán)密的實(shí)施流程。

（1）精確統(tǒng)計(jì)校園網(wǎng)范圍內(nèi)所有交換機(jī)必須包含的VLAN信息

基于我校已建立二級網(wǎng)絡(luò)管理體系，這部分的工作主要交由各院系部門的二級網(wǎng)絡(luò)管理員完成，由二級網(wǎng)管負(fù)責(zé)本單位信息點(diǎn)的分布統(tǒng)計(jì)，再由信息網(wǎng)絡(luò)中心從整體上把握各臺(tái)交換機(jī)所必須包含的VLAN信息。

（2）思科設(shè)備、銳捷設(shè)備分開處理

由于校園網(wǎng)范圍內(nèi)采用了思科和銳捷兩個(gè)廠商的設(shè)備，且這兩個(gè)廠商的設(shè)備在配置上存在差異，因此在VLAN裁剪實(shí)施過程中必須注意交換機(jī)的配置差異，特別需要注意上下級聯(lián)交換機(jī)分屬不同廠家的情況，注意兼容性配置。

（3）分片區(qū)實(shí)施

分片區(qū)實(shí)施的好處在于即使在實(shí)施過程中發(fā)生了誤操作，也能及時(shí)總結(jié)經(jīng)驗(yàn)，縮小影響范圍。

現(xiàn)以銳捷交換機(jī)為例，給出實(shí)現(xiàn)VLAN裁剪的一般配置方法。在交換機(jī)的特權(quán)配置模式，可以修改一個(gè)Trunk口的許可VLAN列表：

步驟1.進(jìn)入全局配置模式。

Switch#configure terminal

步驟2.輸入要修改許可VLAN列表的Trunk口的端口號，進(jìn)入接口配置模式。

Switch(config)#interface type number

步驟3.定義該接口為中繼鏈路類型。

Switch(config-if)#switchport mode trunk

步驟4.配置該Trunk口的許可VLAN列表。

Switch(config-if)#switchport trunk allowed vlan {all|[add| emove|except]} vlan-list

參數(shù) vlan-list可以是一個(gè) VLAN，也可以是一系列VLAN，以小的VLAN ID開頭，以大的VLAN ID結(jié)尾，中間用“-”號連接，如“10-20”。all的含義是許可VLAN列表包含所有支持的VLAN；add表示將指定VLAN列表加入許可VLAN列表，remove表示將指定VLAN列表從許可VLAN列表中刪除，except表示將除列出的VLAN列表外的所有VLAN加入許可VLAN列表。注意：不能將VLAN1從許可VLAN列表中移出。

步驟5.退回到特權(quán)命令模式。

Switch(config-if)#end

步驟6.檢查接口的完整信息。

Switch#show interfaces type number switchport

步驟7.將配置保存進(jìn)配置文件。

Switch#copy running-config startup-config

注意：使用no switchport trunk allowed vlan接口配置命令把Trunk的許可VLAN改為默認(rèn)。

6 結(jié)語

綜上所述，通過VLAN裁剪我們可以減少?zèng)]有必要擴(kuò)散的通信量，提高中繼鏈路的帶寬利用率。VLAN裁剪是為了方便VLAN的管理，但是使用不當(dāng)也會(huì)給管理人員造成一定的麻煩，只有細(xì)致的掌握了VLAN裁剪的原理和使用方法，合理地進(jìn)行使用才能更好地管理和使用好VLAN。

[1]秦森,楊艷.VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)中的設(shè)計(jì)及應(yīng)用[J].電腦知識與技術(shù).2006.

[2]李文琴,汪大清.VLAN技術(shù)在組建校園網(wǎng)中的應(yīng)用[J].計(jì)算機(jī)與現(xiàn)代化.2007.

[3]商陽.VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].科技信息(科學(xué)教研).2007.

[4]楊亞洲.高職院校校園網(wǎng)建設(shè)的規(guī)劃與研究[D].吉林大學(xué).2007.