织梦CMS - 轻松建站从此开始!

技术无忧网 - 技术从此无忧 -- 一站式中文IT技术网站 - www.tech51.net

当前位置: 主页>网络频道>交换机>

三层交换机技术详解(5)

时间:2008-10-18 21:57来源: 作者: 点击:
6、 过滤服务功能: 过滤服务功能用来设定界限,以限制不同的VLAN 的成员之间和使用单个MAC 地址和组MAC 地址的不同协议之间进行帧的转发。帧过滤依赖

6、 过滤服务功能:

过滤服务功能用来设定界限,以限制不同的VLAN 的成员之间和使用单个MAC 地址和组MAC 地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则,交换机根据这些规则来决定是转发还是丢弃相应的帧。早期的802.1d 标准(1993 ),定义的基本过滤服务规定,交换机必须广播所有的组MAC 地址的包到所有的端口。新的802.1d 标准(1998 )定义的扩展过滤服务规定,对组MAC 地址的包也可以进行过滤,对于交换机的外连端口要过滤掉所有的组播地址包。如果没有设置静态的或者动态的过滤条件,交换机将采用缺省的过滤条件。扩展过滤服务功能使用GMRP(Group Multicast Registration Protocol) ,通过产生、删除一个组或者组成员,来控制交换机的动态组转发和组过滤。交换机和工作站使用GMRP 来申明他们是否愿意接收一个组MAC 地址的帧。GMRP 协议在网上的交换机之间传波这样的组信息,使得交换机能够更新它们的过滤信息以实现扩展服务功能。交换机在不做任何配置的情况下,就具有过滤服务和扩展过滤服务功能。对旧的交换机、集线器、路由器,由于它不支持动态的组播地址过滤,因而在与它们连接的相应端口要进行扩展过滤配置。交换机根据过滤数据库来进行帧的过滤,交换机可以通过动态学习和手工配置两种方式来维护过滤数据库。交换机检查过滤数据库,根据以下条件来决定某个MAC 地址或者某个VLAN 标识的包是否应该转发到某一个端口:

● 默认地址

● 由管理员键入的静态过滤信息

● 通过查看数据包源地址而动态需学习到的单目地址

● 动态或者静态的VLAN

● 通过GMRP 管理的动态组播过滤信息或VLAN 成员信息

7、二层(链路层)VLAN:

在第二层,可以支持基于端口的VLAN 和基于MAC 地址的VLAN 。基于端口的VLAN 可以快速的划分单个交换机上的冲突域,基于MAC 地址的VLAN 可以支持笔记本电脑的移动应用。

8、三层(网络层)VLAN:

三层VLAN 可以按照如下方式划分:

● IP 子网地址

● 网络协议

● 组播地址

第三层交换机的第三层VLAN ,不仅可以手工配置,也可以由交换机自动产生。交换机通过对数据包的分析后,自动配置VLAN ,自动更新VLAN 的成员。第三层交换机能够工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的网络环境中。交换机能自动发现IP 地址,动态产生基于IP 子网的VLAN ,当通过DHCP 分配一个新的IP 地址时,第三层交换机能很快的定位这个地址。第三层交换机通过IGMP 、GMRP 、ARP 和包探测技术来更新其三层的VLAN 成员组。通过基于Web 的网络管理界面,可以对自动学习的范围进行设定:自动学习可以是完全不受限、部分受限或者完全禁止。

9、 第三层交换机是如何处理VLAN 的:

VLAN 通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新VLAN 成员表,根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理VLAN 的几个过程。

数据帧入站:

交换机根据入站数据帧的VLAN 标识号(VID )将它们分类,无标号的为一类,标号相同的为一类。交换机根据VID 来决定转发或者丢弃一个数据包,同时交换机也可以分配一个VID 给一个无标记帧或者贴了优先级标记的帧。

VLAN 标记:

如果一个数据帧没有标记VID ,交换机将会分配一个VID 给它,并把这个VID 插到它的帧头中,这个过程叫做贴VLAN 标签。交换机通过这个过程来处理包的转发,来填写数据帧的VLAN 或者优先级信息的标记字段。管理员可以设置优先级别来选择VLAN 类型,选择VID 值。交换机的缺省设置,首先选择的是贴IP 子网信息,然后是网络协议,然后是MAC 地址,然后是数据帧入站的端口。

过滤:

该过程验证目的地址和源地址是否在同一个VLAN 中。

转发:

根据VLAN 数据库的信息,交换机处理一个数据帧是要么转发,要么丢弃。

学习:

交换机检查数据帧的源地址和VLAN 分类信息,并且把它们记录在转发库里。

10、 VLAN 应用举例:

下面是一些不同形式的VLAN 应用举例:

● 工程部有些机密文件需要保密

解决方法:通过把工程部的用户放到他(或她)自己的基于MAC 地址的VLAN 中。这个VLAN 所唯一允许的访问,只有该用户自己。任何其它用户都不能监听到该用户的内容,因为该用户的内容不会转发到其它的网段上去。另外,还有一种更加安全的方式,分配一个专用的端口给这个用户,为他产生一个基于端口的VLAN 。

● 销售部门的笔记本用户经常需要从外地进行拨号访问

解决方法:产生一个基于IP 子网的VLAN ,使用IP 地址来表示用户。这样无论用户处在何处都能进行网络访问。

● 公司安装了视频培训服务器,要防止用户做视频访问时占用太多的带宽

解决方法:产生一个组播地址的VLAN 。

● 公司总裁需要能访问财务,销售等其它部门的VLAN

解决方法:使公司总裁成为其它各部门的VLAN 的成员。

(责任编辑:admin)

织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片