11

進階網路系統期末報告進階網路系統期末報告題目題目 :V:VLAN LAN 之運作規劃之運作規劃

第三組 組員第三組 組員 : : 郭淑貞 郭淑貞 935609935609 林瑞祺 林瑞祺 935611935611 林慶昌 林慶昌 935615935615

林宏霖 林宏霖 935628(Speaker)935628(Speaker) 姚明芳 姚明芳 935637935637 許添財 許添財 935659935659

指導教授指導教授 : : 王井煦 教授王井煦 教授

22

1.1. 虛擬區域網路簡介虛擬區域網路簡介

所謂「虛擬網路」所謂「虛擬網路」 (Virtual LAN, (Virtual LAN, 簡稱簡稱 VLAN) VLAN) 就是「邏輯網路」 就是「邏輯網路」 (Lo(Logical LAN)gical LAN) ，是指利用特定的技術將實際上並不一定連結在一起的工，是指利用特定的技術將實際上並不一定連結在一起的工作站以邏輯的方式連結起來，使得這些工作站彼此之間通訊的行為和作站以邏輯的方式連結起來，使得這些工作站彼此之間通訊的行為和將它們實際連結在一起時一樣 將它們實際連結在一起時一樣

所謂「虛擬橋接網路」所謂「虛擬橋接網路」 (Virtual Bridged LAN, (Virtual Bridged LAN, 簡稱簡稱 VBLAN) VBLAN) 就是指就是指在橋接網路上提供虛擬網路的服務。如圖在橋接網路上提供虛擬網路的服務。如圖 1-11-1 所示，橋接網路中包含所示，橋接網路中包含三個橋接器，同時也包含三個虛擬網路：三個橋接器，同時也包含三個虛擬網路： VLAN A, VLAN B, VLAN A, VLAN B, 及及 VLAN VLAN CC 。。

33

圖 1-1 虛擬網路範例

44

虛擬網路的特性如下 虛擬網路的特性如下

(1) (1) 工作站之群組具彈性。工作站可以動態的加入或退出某一個虛擬工作站之群組具彈性。工作站可以動態的加入或退出某一個虛擬 網路。也就是說，虛擬網路的組成成員可以機動調整，增加規畫網路。也就是說，虛擬網路的組成成員可以機動調整，增加規畫 上的彈性。上的彈性。

(2) (2) 虛擬網路是一個獨立的廣播網域就是指虛擬網路中的任何工作站虛擬網路是一個獨立的廣播網域就是指虛擬網路中的任何工作站 送出的廣播或群播訊框都只會被廣播給該虛擬網路的所有成員，送出的廣播或群播訊框都只會被廣播給該虛擬網路的所有成員， 不會送給其他虛擬網路。達成此功能的唯一辦法就是讓橋接器能不會送給其他虛擬網路。達成此功能的唯一辦法就是讓橋接器能 知道並且記錄各個虛擬網路成員的實際分佈情形。知道並且記錄各個虛擬網路成員的實際分佈情形。

(3) (3) 虛擬網路具防火牆效果。虛擬網路具防火牆效果。 (4) (4) 虛擬網路適用於所有虛擬網路適用於所有 IEEE 802IEEE 802 計畫下的連結設備與區域網路型態。計畫下的連結設備與區域網路型態。 (5) (5) 具虛擬網路功能的橋接器必須能與傳統之橋接器等設備共存。具虛擬網路功能的橋接器必須能與傳統之橋接器等設備共存。 (6) (6) 具虛擬網路功能的橋接器在其虛擬網路功能未啟動前，必須提供具虛擬網路功能的橋接器在其虛擬網路功能未啟動前，必須提供 「隨插即用」（「隨插即用」（ plug-and-playplug-and-play ）服務。）服務。

55

發展虛擬網路技術的主要動能有四個發展虛擬網路技術的主要動能有四個 ::

支援虛擬組織的需求支援虛擬組織的需求 簡化網路管理的程序簡化網路管理的程序 提昇網路資源的使用效率提昇網路資源的使用效率 加強網路安全加強網路安全

66

虛擬網路的運作架構包含三階層：虛擬網路的運作架構包含三階層： (1) (1) 組態設定 組態設定 (Configuration) (Configuration) (2) (2) 資訊傳佈與成員解析 資訊傳佈與成員解析 (Distribution/Resolution)(Distribution/Resolution) (3) (3) 訊框轉送 訊框轉送 (Relay) (Relay) 。。

2.12.1 組態設定 組態設定 (Configuration)(Configuration) 所謂「組態設定」是指設定虛擬網路成員的組態。考慮的是虛擬網路所謂「組態設定」是指設定虛擬網路成員的組態。考慮的是虛擬網路初始組態設定的方法以及組態參數的分配。 初始組態設定的方法以及組態參數的分配。

IEEE 802.1QIEEE 802.1Q 並不規定系統應該使用哪種方法來設定虛擬網路的組態。並不規定系統應該使用哪種方法來設定虛擬網路的組態。目前較廣為採用的有以下幾種類別： 目前較廣為採用的有以下幾種類別：

2. 2. 虛擬網路架構

77

第一種第一種 ,, 以連接埠為基礎之虛擬網路 以連接埠為基礎之虛擬網路 (Port-based VLAN)(Port-based VLAN)

圖 2.1.1 以智慧型集線器規畫虛擬網路範例 (Port-based)

圖 2.1.2智慧型集線器上虛擬網路傳送訊框時序範例

88

圖 2.1.3 以交換器規畫虛擬網路範例 (Port-based)

圖 2.1.4 伺服器隸屬多個虛擬網路範例（同時連接多個連結埠）

99

圖 2.1.5 多交換器架構之虛擬網路範例 (Port-based)

1010

第二種第二種 ,, 以以 MACMAC 位址為基礎之虛擬網路 位址為基礎之虛擬網路 (MAC-based VLAN) (MAC-based VLAN)

圖 2.1.6 以MAC位址為基礎之虛擬網路範例

圖 2.1.7 以MAC位址為基礎之虛擬網路範例（工作站 5移動後）

1111

圖 2.1.8 以 IP子網路為基礎之虛擬網路範例

1212

第三種第三種 ,, 以網路層通訊協定為基礎之虛擬網路 以網路層通訊協定為基礎之虛擬網路 (Layer-3-based VLAN) (Layer-3-based VLAN)

圖 2.1.9 以通訊協定為基礎之虛擬網路範例

1313

第四種第四種 ,, 以原則為基礎的虛擬網路 以原則為基礎的虛擬網路 ((Rule-based VLAN) Rule-based VLAN)

表 1 規畫虛擬網路的原則範例

所有使用某一個 IP子網路網址的工作站

所有使用某一個特定網址的 IPX工作站

所有使用由 abc 公司生產之網路卡的工作站

所有 Ethernet type 欄位等於某特定值的訊框

所有 SNAP欄位等於某特定值的訊框

所有 TCP, Source port 欄位等於某特定值的訊框

所有 UDP, Source port 欄位等於某特定值的訊框

1414

在介紹了許多種虛擬網路規畫方法後，我們將其特性整理如表 2 所示

Port-based Mac-based

Layer-3-

based

Rule-based

智慧型集線器 交換器成員配置難易度 容易 容易 困難 中間 中間

彈性 無 無 中等 中等 高改善工作群組頻寬使用效率 否 是 是 是 是

群播服務 不佳 不佳 不佳 佳 佳每埠多個虛擬網路 不可 不可 可能 可能 可能

安全性 高 高 中低 中低 具選擇性虛擬網路成員

跨交換器 不可 可能 可能 可 可

表 2 虛擬網路規畫法比較表

1515

2.22.2 資訊傳佈與成員解析 資訊傳佈與成員解析 (Distribution/Resoluti(Distribution/Resoluti

on)on)

所謂「資訊傳佈與成員解析」是指將虛擬網路成員之資訊傳佈至所有所謂「資訊傳佈與成員解析」是指將虛擬網路成員之資訊傳佈至所有的橋接器的橋接器 // 交換器。使得每部橋接器交換器。使得每部橋接器 // 交換器收到訊框時能辨識該訊交換器收到訊框時能辨識該訊框屬於哪一個虛擬網路。 其方法如下框屬於哪一個虛擬網路。 其方法如下 ::

(1) (1) 經由「宣告通訊協定」 經由「宣告通訊協定」 (Declaration protocols): (Declaration protocols): 將工作站與虛擬網路之關連 將工作站與虛擬網路之關連 (VLAN associations)(VLAN associations)經由網路傳送給每一個經由網路傳送給每一個 橋接器。橋接器。 (2) (2) 經由「要求經由「要求 // 回覆通訊協定」 回覆通訊協定」 (Request/Response protocols): (Request/Response protocols): 來要求某些特定之虛擬網路連結關來要求某些特定之虛擬網路連結關 係。係。

1616

2.32.3 訊框轉送 訊框轉送 (Relay)(Relay) 所謂「訊框轉送」是指如何在虛擬網路環境下轉送訊框 所謂「訊框轉送」是指如何在虛擬網路環境下轉送訊框 。。 它所考慮的是完成下列傳送項目的方法： 它所考慮的是完成下列傳送項目的方法：

(1) (1) 確認接收之訊框與虛擬網路之隸屬關係。此部份由一組「輸入規則」確認接收之訊框與虛擬網路之隸屬關係。此部份由一組「輸入規則」 (Ingress rules) (Ingress rules) 來制訂。來制訂。 (2) (2) 決定接收之訊框應由哪些埠轉送。此部份由一組「轉送規則」決定接收之訊框應由哪些埠轉送。此部份由一組「轉送規則」 (Forwarding rules) (Forwarding rules) 來制訂。來制訂。 (3) (3) 轉換訊框格式轉換訊框格式 // 標籤處理，此部份由一組「輸出規則」 標籤處理，此部份由一組「輸出規則」 (Egress rules) (Egress rules) 來來 制訂。制訂。 (4) (4) 虛擬網路訊框格式之制訂。虛擬網路訊框格式將包含「虛擬網路辨識碼」虛擬網路訊框格式之制訂。虛擬網路訊框格式將包含「虛擬網路辨識碼」 (VID)(VID) 。。 (5) (5) 標籤處理程序。包含將訊框貼上標籤的程序，去掉標籤的程序，以及變更標籤處理程序。包含將訊框貼上標籤的程序，去掉標籤的程序，以及變更 標籤的程序。 標籤的程序。

1717

根據虛擬網路成員關係來設計的橋接器輸入規則，轉送規則，以及輸根據虛擬網路成員關係來設計的橋接器輸入規則，轉送規則，以及輸出規則使得橋接器有能力完成以下工作：出規則使得橋接器有能力完成以下工作：

@ @ 將所有收到的已貼標籤訊框歸類為某一個特定的虛擬網路，其辨將所有收到的已貼標籤訊框歸類為某一個特定的虛擬網路，其辨 識碼可由此訊框所貼的標籤來決定。識碼可由此訊框所貼的標籤來決定。 @ @ 利用訊框所配置的虛擬網路辨識碼來決定此訊框應該被轉送或丟利用訊框所配置的虛擬網路辨識碼來決定此訊框應該被轉送或丟 棄。棄。 @ @ 根據 根據 (( 連接埠連接埠 //虛擬網路虛擬網路 ) ) 的配對關係來決定轉送的訊框應該貼標的配對關係來決定轉送的訊框應該貼標籤籤

或無標籤。這是指每一個埠都可以有一個或多個虛擬網路辨識碼。或無標籤。這是指每一個埠都可以有一個或多個虛擬網路辨識碼。 雖然這種以連接埠為基礎的虛擬網路歸類法定義了如何將未貼標籤訊雖然這種以連接埠為基礎的虛擬網路歸類法定義了如何將未貼標籤訊 框分類的單一原則，但並不表示系統只能提供以連接埠為基礎的虛擬框分類的單一原則，但並不表示系統只能提供以連接埠為基礎的虛擬 網路服務。相反的，這只是制訂了一種如何將未貼標籤訊框貼上標籤網路服務。相反的，這只是制訂了一種如何將未貼標籤訊框貼上標籤 的標準模式。的標準模式。

1818

2.42.4 訊框之標籤結構訊框之標籤結構 虛擬網路技術採用兩種基本的訊框標籤：虛擬網路技術採用兩種基本的訊框標籤：

(1) (1) 隱性標籤隱性標籤 ((Implicit tagging)Implicit tagging) :: 是指訊框本身沒貼標籤，但可利用訊框本身的內容 是指訊框本身沒貼標籤，但可利用訊框本身的內容 (( 如如 MACMAC 位址，網路層通訊協定位址，網路層通訊協定 ) ) 來判斷其屬於哪一來判斷其屬於哪一 個虛擬網路。或是利用接收該筆訊框的連接埠的個虛擬網路。或是利用接收該筆訊框的連接埠的 PVIDPVID 來來 判斷。判斷。 (2) (2) 顯性標籤顯性標籤 ((Explicit tagging):Explicit tagging): 則是指此訊框本身已經貼有標籤，此標籤已明確指出其則是指此訊框本身已經貼有標籤，此標籤已明確指出其 屬於哪一個虛擬網路。並確認此訊框與虛擬網路的對映屬於哪一個虛擬網路。並確認此訊框與虛擬網路的對映 關係，而將虛擬網路標籤嵌入該訊框。關係，而將虛擬網路標籤嵌入該訊框。

1919

2.52.5 虛擬網路相關定義 虛擬網路相關定義

虛擬網路設備 虛擬網路設備 (VLAN-Aware Devices)(VLAN-Aware Devices) ：圖：圖 2.5.32.5.3 所示為虛擬網路範所示為虛擬網路範例 例

非虛擬網路設備 非虛擬網路設備 (VLAN-Unaware Devices) (VLAN-Unaware Devices) 接續鏈路 接續鏈路 (Access Link) (Access Link) 主幹鏈路 主幹鏈路 (Trunk Link) :(Trunk Link) : 圖圖 2.5.12.5.1 所示為點對點專線主幹鏈路範例 所示為點對點專線主幹鏈路範例 混合鏈路 混合鏈路 (Hybrid Link):(Hybrid Link): 圖圖 2.5.22.5.2 所示為混合鏈路範例所示為混合鏈路範例

2020

圖 2.5.1 主幹鏈路範例

2121

圖 2.5.2 所示為混合鏈路範例。

2222

圖 2.5.3 虛擬網路架構範例

2323

2.62.6 虛擬網路擴張樹虛擬網路擴張樹 由於虛擬網路的成員也是散佈在網路上，因此虛擬網路成員之間的通由於虛擬網路的成員也是散佈在網路上，因此虛擬網路成員之間的通

訊應該如何轉送（傳送路徑）基本上有三種作法：訊應該如何轉送（傳送路徑）基本上有三種作法： (1) (1) 整個橋接網路建立一個擴張樹。圖整個橋接網路建立一個擴張樹。圖 2.5.32.5.3 所示就是只有一個擴張樹所示就是只有一個擴張樹 的架構 的架構 (2) (2) 每一個虛擬網路建立一個自己的擴張樹。 每一個虛擬網路建立一個自己的擴張樹。 (3) (3) 許多虛擬網路共用一個擴張樹。 許多虛擬網路共用一個擴張樹。

2424

3 3 虛擬橋接器運作原理虛擬橋接器運作原理

3.13.1 運作模式運作模式 虛擬橋接器的運作模式與傳統之橋接器大致上相同，只多了虛擬橋接器的運作模式與傳統之橋接器大致上相同，只多了 「輸入規則」「輸入規則」 (Ingress Rules) :(Ingress Rules) :根據訊框的虛擬網路隸屬關係來將訊根據訊框的虛擬網路隸屬關係來將訊

框框 歸類 歸類 「輸出規則」「輸出規則」 (Egress Rules):(Egress Rules):負責針對一個虛擬網路，決定訊框應該負責針對一個虛擬網路，決定訊框應該 以何種格式由哪些連接埠傳送出去。 以何種格式由哪些連接埠傳送出去。 如圖如圖 3.13.1 所示。 所示。

2525

圖 3.1 虛擬橋接器運作模式

2626

3.23.2 連接埠狀態訊息連接埠狀態訊息 為了支援虛擬網路服務，每一個連接埠的狀態訊息 為了支援虛擬網路服務，每一個連接埠的狀態訊息 (State informatio(State informatio

n) n) 必須包含「連接埠虛擬網路辨識碼」 必須包含「連接埠虛擬網路辨識碼」 (Port VLAN ID, (Port VLAN ID, 簡稱簡稱 PVID)PVID) 。。 每一個連接埠的辨識碼都可以經由管理程序來設定。沒有被特別設定每一個連接埠的辨識碼都可以經由管理程序來設定。沒有被特別設定

的連接埠則使用表 的連接埠則使用表 8 8 所示的預設辨識碼。所示的預設辨識碼。

另外每個虛擬網路都必須記錄下列兩個集合：另外每個虛擬網路都必須記錄下列兩個集合： 成員集合 成員集合 (Member set),(Member set), 無標籤集合 無標籤集合 (Untagged set)(Untagged set) 。。

在正常的情況下，接續埠 在正常的情況下，接續埠 (access port) (access port) 及混合埠 及混合埠 (hybrid port)(hybrid port) 以屬以屬於無標籤集合為佳，而骨幹埠 於無標籤集合為佳，而骨幹埠 (trunk port) (trunk port) 則以屬於需貼標籤集合為則以屬於需貼標籤集合為佳。佳。

2727

VID值 意義

0空虛擬網路辨識碼 (Null VID) 。表示訊框中沒有攜帶虛擬網路辨識碼，只攜帶優先權資訊。

1

預設連接埠擬網路辨識碼 (Default PVID) 。表示由連接埠接收的未貼標籤訊框將被貼上此標籤。每一個連接埠的 PVID都可以經由管理系統設定之。

FFF

保留給實作時使用。 PVID不能設定為此值，過濾資料庫中的 VID不能設定為此值，管理操作橋接器時不能使用此值，標籤標頭中的 VID 也不能使用此值。

表 8 虛擬網路辨識碼 (VID) 保留值

2828

3.3 3.3 訊框處理訊框處理 在訊框處理會依據下列的資訊來決定此訊框的過濾與否：在訊框處理會依據下列的資訊來決定此訊框的過濾與否： 過濾資料庫的內容過濾資料庫的內容 橋接器過濾模式橋接器過濾模式 該連接埠的過濾模式該連接埠的過濾模式 該訊框中的目的地位址該訊框中的目的地位址 該訊框隸屬的虛擬網路該訊框隸屬的虛擬網路

@@ 但如果滿足下列條件的訊框將會被過濾掉：但如果滿足下列條件的訊框將會被過濾掉： (1) (1) 過濾資料庫中存在一項目指出過濾資料庫中存在一項目指出 ::針對該訊框所隸屬的虛擬網路，其訊框的針對該訊框所隸屬的虛擬網路，其訊框的 目的地目的地 MACMAC位址應該由另外一個連接埠傳送，或過濾資料庫中存在一項目位址應該由另外一個連接埠傳送，或過濾資料庫中存在一項目 明確指出，所有攜帶該目的地明確指出，所有攜帶該目的地 MACMAC位址與虛擬網路辨識碼的訊框，應該被位址與虛擬網路辨識碼的訊框，應該被 過濾掉。過濾掉。

2929

(2) (2) 在在 Bridge Filtering Mode 2Bridge Filtering Mode 2 及及 Port Filtering Mode BPort Filtering Mode B 模式中，只模式中，只 要該訊框的目的地要該訊框的目的地 MACMAC 位址是一個群體位址，而且過濾資料庫中位址是一個群體位址，而且過濾資料庫中 存在一「群體註冊項目」存在一「群體註冊項目」 (Group Registration Entry);(Group Registration Entry); 針對該連接針對該連接 埠，所有攜帶該目的地埠，所有攜帶該目的地 MACMAC 位址與虛擬網路辨識碼的訊框應該被位址與虛擬網路辨識碼的訊框應該被 過濾掉。過濾掉。

可是在可是在 Bridge Filtering Mode 2Bridge Filtering Mode 2 及及 Port Filtering Mode CPort Filtering Mode C 模式中，模式中，只要該訊框的目的地只要該訊框的目的地 MACMAC 位址是一個群體位址，而且過濾資料庫中位址是一個群體位址，而且過濾資料庫中「不存在」一群體註冊項目，針對該連接埠，所有攜帶該目的地「不存在」一群體註冊項目，針對該連接埠，所有攜帶該目的地 MAMACC 位址與虛擬網路辨識碼的訊框應該被位址與虛擬網路辨識碼的訊框應該被轉送。轉送。

3030

位址學習程式 位址學習程式 (Learning process) (Learning process) 除了觀察訊框的原始位址外，還除了觀察訊框的原始位址外，還要根據該訊框所隸屬的虛擬網路來更改過濾資料庫 要根據該訊框所隸屬的虛擬網路來更改過濾資料庫

在虛擬網路的運作環境下，每一個虛擬網路都是一個廣播網域，因此在虛擬網路的運作環境下，每一個虛擬網路都是一個廣播網域，因此可以有一個獨立的過濾資料庫。於是虛擬網路橋接器定義了兩種位址可以有一個獨立的過濾資料庫。於是虛擬網路橋接器定義了兩種位址學習模式：學習模式：

共享式虛擬網路學習模式共享式虛擬網路學習模式 : (Shared VLAN Learning, : (Shared VLAN Learning, 簡稱簡稱 SVL) SVL) 是指一個虛擬是指一個虛擬 網路所學習到的網路所學習到的 MAMA位址可以給其他虛擬網路所使位址可以給其他虛擬網路所使 用。用。 獨立式虛擬網路學習模式獨立式虛擬網路學習模式 : (Independent VLAN Learning, : (Independent VLAN Learning, 簡稱簡稱 IVL) IVL) 則是指則是指

一一 個虛擬網路所學習到的個虛擬網路所學習到的 MACMAC位址不可以給其他虛擬位址不可以給其他虛擬 網路所使用。 網路所使用。

3131

為了避免訊框轉送氾濫，我們必須對橋接器的學習模式加以規範。基為了避免訊框轉送氾濫，我們必須對橋接器的學習模式加以規範。基本上有三種情況需要規範：本上有三種情況需要規範：

連接多個獨立虛擬網路連接多個獨立虛擬網路 MACMAC 位址重複位址重複 非對稱性虛擬網路非對稱性虛擬網路

圖圖 3.2 3.2 說明一個設備如何將兩個虛擬網路連結在一起，並且使用虛擬說明一個設備如何將兩個虛擬網路連結在一起，並且使用虛擬網路的位址學習成果。結果造成在其他的橋接器上必須使用獨立式虛網路的位址學習成果。結果造成在其他的橋接器上必須使用獨立式虛擬網路學習模式 擬網路學習模式

另外一個需要虛擬網路獨立學習的例子如圖另外一個需要虛擬網路獨立學習的例子如圖 3.33.3 所示。圖中假設連接所示。圖中假設連接器也認識虛擬網路（器也認識虛擬網路（ VLAN-aware protocol sensitive Bridge-RouteVLAN-aware protocol sensitive Bridge-Routerr ）） , , 而且只傳送或接收貼標籤之訊框。 而且只傳送或接收貼標籤之訊框。

3232

圖 3.2 虛擬網路獨立學習範例 ( 一 )

3333

圖 3.3 虛擬網路獨立學習範例 (二 )

3434

另外一個需要獨立式虛擬網路學習的極端例子發生在兩個不同的工作站使用相同另外一個需要獨立式虛擬網路學習的極端例子發生在兩個不同的工作站使用相同的的 MACMAC位址，或一部工作站同時連接在多個區域網路區段上，但每一個網路介面位址，或一部工作站同時連接在多個區域網路區段上，但每一個網路介面卡使用相同的卡使用相同的 MACMAC位址，如圖位址，如圖 3.43.4 所示。 所示。

圖 3.4 虛擬網路獨立學習範例 ( 三 )

3535

需要共享式虛擬網路學習的例子發生在非對稱性的使用虛擬網路，如圖需要共享式虛擬網路學習的例子發生在非對稱性的使用虛擬網路，如圖 3.3.55

所示 。 所示 。

圖 3.5 虛擬網路共享學習範例 (非對稱性虛擬網路 )

3636

3.4 3.4 過濾資料庫過濾資料庫 過濾資料庫主要支援轉送程式的查詢，以便決定具有特定過濾資料庫主要支援轉送程式的查詢，以便決定具有特定 MACMAC 位址與位址與

VIDVID 的訊框應該往哪些連接埠轉送。過濾資料庫的內容主要包含兩種過的訊框應該往哪些連接埠轉送。過濾資料庫的內容主要包含兩種過濾資訊：濾資訊：

(1) (1) 靜態過濾資訊 靜態過濾資訊 (static), (static), 經由管理程式設定，有兩種項目型態：經由管理程式設定，有兩種項目型態： 靜態過濾項目 靜態過濾項目 (Static Filtering Entry) (Static Filtering Entry) ，，包含： 包含： (a) (a) 一個一個 MACMAC位址位址 (b) VID(b) VID (c) (c) 連接埠對應圖 連接埠對應圖 (port map), (port map), 如表如表 33 所示 所示 靜態虛擬網路註冊項目靜態虛擬網路註冊項目 (Static VLAN Registration Entry) (Static VLAN Registration Entry) ，，包含：包含： (a) VID(a) VID (b) (b) 連接埠對應圖 連接埠對應圖 (port map), (port map), 如表如表 44 所示所示

3737

(2) (2) 動態過濾資訊 動態過濾資訊 (dynamic),(dynamic),經由橋接器的運作而加入過濾資料庫中。經由橋接器的運作而加入過濾資料庫中。 有三種項目型態：有三種項目型態： 動態過濾項目 動態過濾項目 (Dynamic Filtering Entry(Dynamic Filtering Entry ，包含：，包含： (a) (a) 一個個別型一個個別型 MACMAC位址位址 (b) (b) 過濾辨識碼過濾辨識碼 (FID)(FID) (c) (c) 連接埠對應圖連接埠對應圖 , , 如表如表 55 所示所示

群體註冊項目 群體註冊項目 (Group Registration Entry)(Group Registration Entry) ，包含：，包含： (a) (a) 一個一個 MACMAC位址位址 (b) VID(b) VID (c) (c) 連接埠對應圖 連接埠對應圖 (port map), (port map), 如表如表 66 所示所示

動態虛擬網路註冊項目動態虛擬網路註冊項目 (Dynamic VLAN Registration Entry) (Dynamic VLAN Registration Entry) ，包含：，包含： (a) VID(a) VID (b) (b) 連接埠對應圖 連接埠對應圖 (port map), (port map), 如表如表 77 所示所示

3838

MAC虛擬網路 辨識碼

連接埠

位址 對應圖

MACa 2 　 　 　 　 　 　 　 　

MACb 3 　 　 　 　 　 　 　 　

MACc 3 　 　 　 　 　 　 　 　

MACd 2 　 　 　 　 　 　 　 　

MACe 4 　 　 　 　 　 　 　 　表 3 靜態過濾項目格式 表 4 靜態虛擬網路註冊項目格式

虛擬網路 辨識碼

連接埠

對應圖

2 　 　 　 　 　 　 　 　

3 　 　 　 　 　 　 　 　

4 　 　 　 　 　 　 　 　

5 　 　 　 　 　 　 　 　

6 　 　 　 　 　 　 　 　

表 5 動態過濾項目格式

MACFID

連接埠 登錄

位址 對應圖 時間

MACa 2 　 　 　 　 　 　 　 　 200

MACa 3 　 　 　 　 　 　 　 　 120

MACb 3 　 　 　 　 　 　 　 　 100

MACb 2 　 　 　 　 　 　 　 　 250

MACc 4 　 　 　 　 　 　 　 　 60

表 6 群體註冊項目格式

MAC虛擬網路 辨識

碼

連接埠

位址 對應圖

MACa 2 　 　 　 　 　 　 　 　

MACa 3 　 　 　 　 　 　 　 　

MACc 4 　 　 　 　 　 　 　 　

MACd 5 　 　 　 　 　 　 　 　

MACe 6 　 　 　 　 　 　 　 　

3939

3.53.5輸入規則輸入規則 // 輸出規則輸出規則 輸入規則 輸入規則 (Ingress rules) (Ingress rules) 是指如何判斷一筆接收的訊框應該屬於哪一是指如何判斷一筆接收的訊框應該屬於哪一

個虛擬網路。也就是應該給此訊框一個虛擬網路辨識碼 個虛擬網路。也就是應該給此訊框一個虛擬網路辨識碼 (VID)(VID) 。。 有兩種方式可完成此任務：有兩種方式可完成此任務： (1) (1) 顯性標籤顯性標籤 :: 如果此訊框本身已經貼有標籤，則此標籤已明確指出其屬如果此訊框本身已經貼有標籤，則此標籤已明確指出其屬 於哪一個虛擬網路。於哪一個虛擬網路。 (2) (2) 隱性標籤隱性標籤 :: 是指訊框本身沒貼標籤，但可利用接收該筆訊框的埠的埠是指訊框本身沒貼標籤，但可利用接收該筆訊框的埠的埠 虛擬網路辨識碼。 虛擬網路辨識碼。

表 7 動態虛擬網路註冊項目格式虛擬網路 辨識碼

連接埠

對應圖

2 　 　 　 　 　 　 　 　

3 　 　 　 　 　 　 　 　

4 　 　 　 　 　 　 　 　

5 　 　 　 　 　 　 　 　

6 　 　 　 　 　 　 　 　

4040

轉送規則 轉送規則 (Forwarding rules): (Forwarding rules): 是指如何判斷一筆接收的訊框應該由是指如何判斷一筆接收的訊框應該由哪哪

些埠轉送出去。些埠轉送出去。 輸出規則 輸出規則 (Egress rules): (Egress rules): 是指當一個埠由橋接器內部收到一筆欲傳是指當一個埠由橋接器內部收到一筆欲傳

送送 的訊框時，如何判斷該不該傳送。的訊框時，如何判斷該不該傳送。

虛擬橋接器過濾訊框的規則是屬於某一個虛擬網路的訊框虛擬橋接器過濾訊框的規則是屬於某一個虛擬網路的訊框 只能被轉送到有路徑可到達該虛擬網路成員的連接埠上。只能被轉送到有路徑可到達該虛擬網路成員的連接埠上。 也就是說，針對每一個虛擬網路，橋接器都必須知道經由也就是說，針對每一個虛擬網路，橋接器都必須知道經由 哪些連接埠可到達該虛擬網路的成員。哪些連接埠可到達該虛擬網路的成員。

4141

4 4 結論結論

使用使用 VLANVLAN還是具有以下優點：還是具有以下優點： 11 、控制廣播風暴、控制廣播風暴 一個 一個 VLANVLAN 就是一個邏輯廣播域，通過對就是一個邏輯廣播域，通過對 VLANVLAN 的創建，隔離了廣的創建，隔離了廣

播，縮小了廣播範圍，可以控制廣播風暴的產生。播，縮小了廣播範圍，可以控制廣播風暴的產生。 22 、提高網路整體安全性、提高網路整體安全性

通過路由訪問列表和 通過路由訪問列表和 MACMAC 位址分配等位址分配等 VLANVLAN 劃分原則，可以控制劃分原則，可以控制用用

戶訪問許可權和邏輯網段大小，將不同用戶群劃分在不同戶訪問許可權和邏輯網段大小，將不同用戶群劃分在不同 VLANVLAN ，， 從而提高交換式網路的整體性能和安全性。 從而提高交換式網路的整體性能和安全性。

4242

在提高網路整體安全性上，可以用劃分 在提高網路整體安全性上，可以用劃分 VLANVLAN 地方式來實現方法 ， 地方式來實現方法 ， 可以大致分為可以大致分為 44 類類 ::

基於埠劃分的基於埠劃分的 VLAN VLAN 基於基於 MACMAC 位址劃分位址劃分 VLAN VLAN 基於網路層劃分基於網路層劃分 VLAN VLAN 根據根據 IPIP 組播劃分組播劃分 VLANVLAN

33 、網路管理簡單、直觀、網路管理簡單、直觀 對於交換式乙太網路，如果對某些用戶重新進行網段分配，需要對於交換式乙太網路，如果對某些用戶重新進行網段分配，需要 網路管理員對網路系統的物理結構重新進行調整，甚至需要追加網路管理員對網路系統的物理結構重新進行調整，甚至需要追加 網路設備，增大網路管理的工作量。而對於採用網路設備，增大網路管理的工作量。而對於採用 VLANVLAN 技術的網路技術的網路 來說，一個來說，一個 VLANVLAN 可以根據部門職能、物件組或者應用將不同地理可以根據部門職能、物件組或者應用將不同地理 位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的 情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬 網路技術，大大減輕了網路管理和維護工作的負擔，降低了網路網路技術，大大減輕了網路管理和維護工作的負擔，降低了網路 維護費用。在一個交換網路中，維護費用。在一個交換網路中， VLANVLAN 提供了網段和機構的彈性組提供了網段和機構的彈性組 合機制。合機制。