1 / 42

進階網路系統期末報告 題目 :V LAN 之運作規劃

進階網路系統期末報告 題目 :V LAN 之運作規劃. 第三組 組員 : 郭淑貞 935609 林瑞祺 935611 林慶昌 935615 林宏霖 935628(Speaker) 姚明芳 935637 許添財 935659 指導教授 : 王井煦 教授. 1. 虛擬區域網路簡介. 所謂「虛擬網路」 (Virtual LAN, 簡稱 VLAN) 就是「邏輯網路」 (Logical LAN) ,是指利用特定的技術將實際上並不一定連結在一起的工作站以邏輯的方式連結起來,使得這些工作站彼此之間通訊的行為和將它們實際連結在一起時一樣

ianna
Download Presentation

進階網路系統期末報告 題目 :V LAN 之運作規劃

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 進階網路系統期末報告題目:VLAN 之運作規劃 第三組 組員: 郭淑貞 935609 林瑞祺 935611 林慶昌 935615 林宏霖 935628(Speaker) 姚明芳 935637 許添財 935659 指導教授: 王井煦 教授

  2. 1.虛擬區域網路簡介 • 所謂「虛擬網路」(Virtual LAN, 簡稱VLAN) 就是「邏輯網路」 (Logical LAN),是指利用特定的技術將實際上並不一定連結在一起的工作站以邏輯的方式連結起來,使得這些工作站彼此之間通訊的行為和將它們實際連結在一起時一樣 • 所謂「虛擬橋接網路」(Virtual Bridged LAN, 簡稱VBLAN) 就是指在橋接網路上提供虛擬網路的服務。如圖1-1所示,橋接網路中包含三個橋接器,同時也包含三個虛擬網路:VLAN A, VLAN B, 及VLAN C。

  3. 圖1-1 虛擬網路範例

  4. 虛擬網路的特性如下 (1) 工作站之群組具彈性。工作站可以動態的加入或退出某一個虛擬 網路。也就是說,虛擬網路的組成成員可以機動調整,增加規畫 上的彈性。 (2) 虛擬網路是一個獨立的廣播網域就是指虛擬網路中的任何工作站 送出的廣播或群播訊框都只會被廣播給該虛擬網路的所有成員, 不會送給其他虛擬網路。達成此功能的唯一辦法就是讓橋接器能 知道並且記錄各個虛擬網路成員的實際分佈情形。 (3) 虛擬網路具防火牆效果。 (4) 虛擬網路適用於所有IEEE 802計畫下的連結設備與區域網路型態。 (5) 具虛擬網路功能的橋接器必須能與傳統之橋接器等設備共存。 (6) 具虛擬網路功能的橋接器在其虛擬網路功能未啟動前,必須提供 「隨插即用」(plug-and-play)服務。

  5. 發展虛擬網路技術的主要動能有四個: 支援虛擬組織的需求 簡化網路管理的程序 提昇網路資源的使用效率 加強網路安全

  6. 2. 虛擬網路架構 • 虛擬網路的運作架構包含三階層: (1) 組態設定 (Configuration) (2) 資訊傳佈與成員解析 (Distribution/Resolution) (3) 訊框轉送 (Relay) 。 • 2.1組態設定 (Configuration) • 所謂「組態設定」是指設定虛擬網路成員的組態。考慮的是虛擬網路初始組態設定的方法以及組態參數的分配。 • IEEE 802.1Q並不規定系統應該使用哪種方法來設定虛擬網路的組態。目前較廣為採用的有以下幾種類別:

  7. 圖2.1.1以智慧型集線器規畫虛擬網路範例 (Port-based) • 第一種,以連接埠為基礎之虛擬網路 (Port-based VLAN) 圖2.1.2智慧型集線器上虛擬網路傳送訊框時序範例

  8. 圖2.1.3 以交換器規畫虛擬網路範例 (Port-based) 圖2.1.4 伺服器隸屬多個虛擬網路範例(同時連接多個連結埠)

  9. 圖2.1.5 多交換器架構之虛擬網路範例 (Port-based)

  10. 圖2.1.6 以MAC位址為基礎之虛擬網路範例 • 第二種,以MAC位址為基礎之虛擬網路 (MAC-based VLAN) 圖2.1.7 以MAC位址為基礎之虛擬網路範例(工作站5移動後)

  11. 圖2.1.8 以IP子網路為基礎之虛擬網路範例

  12. 圖2.1.9 以通訊協定為基礎之虛擬網路範例 • 第三種,以網路層通訊協定為基礎之虛擬網路 (Layer-3-based VLAN)

  13. 表1 規畫虛擬網路的原則範例 • 第四種,以原則為基礎的虛擬網路 (Rule-based VLAN)

  14. 在介紹了許多種虛擬網路規畫方法後,我們將其特性整理如表2所示在介紹了許多種虛擬網路規畫方法後,我們將其特性整理如表2所示 表2虛擬網路規畫法比較表

  15. 2.2資訊傳佈與成員解析 (Distribution/Resolution) • 所謂「資訊傳佈與成員解析」是指將虛擬網路成員之資訊傳佈至所有的橋接器/交換器。使得每部橋接器/交換器收到訊框時能辨識該訊框屬於哪一個虛擬網路。 其方法如下: (1) 經由「宣告通訊協定」 (Declaration protocols): 將工作站與虛擬網路之關連 (VLAN associations)經由網路傳送給每一個 橋接器。 (2) 經由「要求/回覆通訊協定」 (Request/Response protocols): 來要求某些特定之虛擬網路連結關 係。

  16. 2.3訊框轉送 (Relay) • 所謂「訊框轉送」是指如何在虛擬網路環境下轉送訊框 。 • 它所考慮的是完成下列傳送項目的方法: (1) 確認接收之訊框與虛擬網路之隸屬關係。此部份由一組「輸入規則」 (Ingress rules) 來制訂。 (2) 決定接收之訊框應由哪些埠轉送。此部份由一組「轉送規則」 (Forwarding rules) 來制訂。 (3) 轉換訊框格式/標籤處理,此部份由一組「輸出規則」 (Egress rules) 來 制訂。 (4) 虛擬網路訊框格式之制訂。虛擬網路訊框格式將包含「虛擬網路辨識碼」 (VID)。 (5) 標籤處理程序。包含將訊框貼上標籤的程序,去掉標籤的程序,以及變更 標籤的程序。

  17. 根據虛擬網路成員關係來設計的橋接器輸入規則,轉送規則,以及輸出規則使得橋接器有能力完成以下工作:根據虛擬網路成員關係來設計的橋接器輸入規則,轉送規則,以及輸出規則使得橋接器有能力完成以下工作: @ 將所有收到的已貼標籤訊框歸類為某一個特定的虛擬網路,其辨 識碼可由此訊框所貼的標籤來決定。 @ 利用訊框所配置的虛擬網路辨識碼來決定此訊框應該被轉送或丟 棄。 @ 根據 (連接埠/虛擬網路) 的配對關係來決定轉送的訊框應該貼標籤 或無標籤。這是指每一個埠都可以有一個或多個虛擬網路辨識碼。 雖然這種以連接埠為基礎的虛擬網路歸類法定義了如何將未貼標籤訊 框分類的單一原則,但並不表示系統只能提供以連接埠為基礎的虛擬 網路服務。相反的,這只是制訂了一種如何將未貼標籤訊框貼上標籤 的標準模式。

  18. 2.4訊框之標籤結構 • 虛擬網路技術採用兩種基本的訊框標籤: (1) 隱性標籤(Implicit tagging): 是指訊框本身沒貼標籤,但可利用訊框本身的內容 (如 MAC位址,網路層通訊協定) 來判斷其屬於哪一 個虛擬網路。或是利用接收該筆訊框的連接埠的PVID來 判斷。 (2) 顯性標籤(Explicit tagging): 則是指此訊框本身已經貼有標籤,此標籤已明確指出其 屬於哪一個虛擬網路。並確認此訊框與虛擬網路的對映 關係,而將虛擬網路標籤嵌入該訊框。

  19. 2.5虛擬網路相關定義 虛擬網路設備 (VLAN-Aware Devices):圖2.5.3所示為虛擬網路範例 非虛擬網路設備 (VLAN-Unaware Devices) 接續鏈路 (Access Link) 主幹鏈路 (Trunk Link) :圖2.5.1所示為點對點專線主幹鏈路範例 混合鏈路 (Hybrid Link):圖2.5.2所示為混合鏈路範例

  20. 圖2.5.1主幹鏈路範例

  21. 圖2.5.2所示為混合鏈路範例。

  22. 圖2.5.3 虛擬網路架構範例

  23. 2.6虛擬網路擴張樹 • 由於虛擬網路的成員也是散佈在網路上,因此虛擬網路成員之間的通訊應該如何轉送(傳送路徑)基本上有三種作法: (1) 整個橋接網路建立一個擴張樹。圖2.5.3所示就是只有一個擴張樹 的架構 (2) 每一個虛擬網路建立一個自己的擴張樹。 (3) 許多虛擬網路共用一個擴張樹。

  24. 3 虛擬橋接器運作原理 • 3.1運作模式 虛擬橋接器的運作模式與傳統之橋接器大致上相同,只多了 「輸入規則」(Ingress Rules) :根據訊框的虛擬網路隸屬關係來將訊框 歸類 「輸出規則」(Egress Rules):負責針對一個虛擬網路,決定訊框應該 以何種格式由哪些連接埠傳送出去。 如圖3.1所示。

  25. 圖3.1 虛擬橋接器運作模式

  26. 3.2連接埠狀態訊息 • 為了支援虛擬網路服務,每一個連接埠的狀態訊息 (State information) 必須包含「連接埠虛擬網路辨識碼」 (Port VLAN ID, 簡稱PVID)。 • 每一個連接埠的辨識碼都可以經由管理程序來設定。沒有被特別設定的連接埠則使用表 8 所示的預設辨識碼。 • 另外每個虛擬網路都必須記錄下列兩個集合: 成員集合 (Member set), 無標籤集合 (Untagged set)。 • 在正常的情況下,接續埠 (access port) 及混合埠 (hybrid port)以屬於無標籤集合為佳,而骨幹埠 (trunk port) 則以屬於需貼標籤集合為佳。

  27. 表8虛擬網路辨識碼 (VID) 保留值

  28. 3.3 訊框處理 • 在訊框處理會依據下列的資訊來決定此訊框的過濾與否: 過濾資料庫的內容 橋接器過濾模式 該連接埠的過濾模式 該訊框中的目的地位址 該訊框隸屬的虛擬網路 @但如果滿足下列條件的訊框將會被過濾掉: • (1) 過濾資料庫中存在一項目指出:針對該訊框所隸屬的虛擬網路,其訊框的 目的地MAC位址應該由另外一個連接埠傳送,或過濾資料庫中存在一項目 明確指出,所有攜帶該目的地MAC位址與虛擬網路辨識碼的訊框,應該被 過濾掉。

  29. (2) 在Bridge Filtering Mode 2及Port Filtering Mode B模式中,只 要該訊框的目的地MAC位址是一個群體位址,而且過濾資料庫中 存在一「群體註冊項目」(Group Registration Entry);針對該連接 埠,所有攜帶該目的地MAC位址與虛擬網路辨識碼的訊框應該被 過濾掉。 • 可是在Bridge Filtering Mode 2及Port Filtering Mode C模式中,只要該訊框的目的地MAC位址是一個群體位址,而且過濾資料庫中「不存在」一群體註冊項目,針對該連接埠,所有攜帶該目的地MAC位址與虛擬網路辨識碼的訊框應該被轉送。

  30. 位址學習程式 (Learning process) 除了觀察訊框的原始位址外,還要根據該訊框所隸屬的虛擬網路來更改過濾資料庫 • 在虛擬網路的運作環境下,每一個虛擬網路都是一個廣播網域,因此可以有一個獨立的過濾資料庫。於是虛擬網路橋接器定義了兩種位址學習模式: 共享式虛擬網路學習模式: (Shared VLAN Learning, 簡稱SVL) 是指一個虛擬 網路所學習到的MA位址可以給其他虛擬網路所使 用。 獨立式虛擬網路學習模式: (Independent VLAN Learning, 簡稱IVL) 則是指一 個虛擬網路所學習到的MAC位址不可以給其他虛擬 網路所使用。

  31. 為了避免訊框轉送氾濫,我們必須對橋接器的學習模式加以規範。基本上有三種情況需要規範:為了避免訊框轉送氾濫,我們必須對橋接器的學習模式加以規範。基本上有三種情況需要規範: 連接多個獨立虛擬網路 MAC位址重複 非對稱性虛擬網路 圖3.2 說明一個設備如何將兩個虛擬網路連結在一起,並且使用虛擬網路的位址學習成果。結果造成在其他的橋接器上必須使用獨立式虛擬網路學習模式 另外一個需要虛擬網路獨立學習的例子如圖3.3所示。圖中假設連接器也認識虛擬網路(VLAN-aware protocol sensitive Bridge-Router), 而且只傳送或接收貼標籤之訊框。

  32. 圖3.2 虛擬網路獨立學習範例 (一)

  33. 圖3.3 虛擬網路獨立學習範例 (二)

  34. 另外一個需要獨立式虛擬網路學習的極端例子發生在兩個不同的工作站使用相同的MAC位址,或一部工作站同時連接在多個區域網路區段上,但每一個網路介面卡使用相同的MAC位址,如圖3.4所示。 圖3.4 虛擬網路獨立學習範例 (三)

  35. 需要共享式虛擬網路學習的例子發生在非對稱性的使用虛擬網路,如圖3.5需要共享式虛擬網路學習的例子發生在非對稱性的使用虛擬網路,如圖3.5 所示 。 圖3.5 虛擬網路共享學習範例 (非對稱性虛擬網路)

  36. 3.4 過濾資料庫 • 過濾資料庫主要支援轉送程式的查詢,以便決定具有特定MAC位址與VID的訊框應該往哪些連接埠轉送。過濾資料庫的內容主要包含兩種過濾資訊: (1) 靜態過濾資訊 (static), 經由管理程式設定,有兩種項目型態: 靜態過濾項目 (Static Filtering Entry) ,包含: (a) 一個MAC位址 (b) VID (c) 連接埠對應圖 (port map), 如表3所示 靜態虛擬網路註冊項目(Static VLAN Registration Entry) ,包含: (a) VID (b) 連接埠對應圖 (port map), 如表4所示

  37. (2) 動態過濾資訊 (dynamic),經由橋接器的運作而加入過濾資料庫中。 有三種項目型態: 動態過濾項目 (Dynamic Filtering Entry,包含: (a) 一個個別型MAC位址 (b) 過濾辨識碼(FID) (c) 連接埠對應圖, 如表5所示 群體註冊項目 (Group Registration Entry),包含: (a) 一個MAC位址 (b) VID (c) 連接埠對應圖 (port map), 如表6所示 動態虛擬網路註冊項目(Dynamic VLAN Registration Entry) ,包含: (a) VID (b) 連接埠對應圖 (port map), 如表7所示

  38. 表3 靜態過濾項目格式 表4 靜態虛擬網路註冊項目格式 表6 群體註冊項目格式 表5 動態過濾項目格式

  39. 表7 動態虛擬網路註冊項目格式 • 3.5輸入規則/輸出規則 • 輸入規則 (Ingress rules) 是指如何判斷一筆接收的訊框應該屬於哪一個虛擬網路。也就是應該給此訊框一個虛擬網路辨識碼 (VID)。 有兩種方式可完成此任務: (1) 顯性標籤:如果此訊框本身已經貼有標籤,則此標籤已明確指出其屬 於哪一個虛擬網路。 (2) 隱性標籤:是指訊框本身沒貼標籤,但可利用接收該筆訊框的埠的埠 虛擬網路辨識碼。

  40. 轉送規則 (Forwarding rules): 是指如何判斷一筆接收的訊框應該由哪 些埠轉送出去。 • 輸出規則 (Egress rules): 是指當一個埠由橋接器內部收到一筆欲傳送 的訊框時,如何判斷該不該傳送。 • 虛擬橋接器過濾訊框的規則是屬於某一個虛擬網路的訊框 只能被轉送到有路徑可到達該虛擬網路成員的連接埠上。 也就是說,針對每一個虛擬網路,橋接器都必須知道經由 哪些連接埠可到達該虛擬網路的成員。

  41. 4 結論 • 使用VLAN還是具有以下優點:1、控制廣播風暴一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣 播,縮小了廣播範圍,可以控制廣播風暴的產生。 2、提高網路整體安全性通過路由訪問列表和MAC位址分配等VLAN劃分原則,可以控制用 戶訪問許可權和邏輯網段大小,將不同用戶群劃分在不同VLAN, 從而提高交換式網路的整體性能和安全性。

  42. 在提高網路整體安全性上,可以用劃分 VLAN地方式來實現方法 , 可以大致分為4類: 基於埠劃分的VLAN 基於MAC位址劃分VLAN 基於網路層劃分VLAN 根據IP組播劃分VLAN 3、網路管理簡單、直觀 對於交換式乙太網路,如果對某些用戶重新進行網段分配,需要 網路管理員對網路系統的物理結構重新進行調整,甚至需要追加 網路設備,增大網路管理的工作量。而對於採用VLAN技術的網路 來說,一個VLAN可以根據部門職能、物件組或者應用將不同地理 位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的 情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬 網路技術,大大減輕了網路管理和維護工作的負擔,降低了網路 維護費用。在一個交換網路中,VLAN提供了網段和機構的彈性組 合機制。

More Related