2.2 VLANS虚的局域网
设备支持基于商品的VLANs和基于802.1Q标签的VLANs
2.2.1基于端口的VLANs
设备支持片内(单个设备内)和跨芯片(跨多个设备级联4.5.3节)的基于端口的VLAN。
2.2.1.1基于片内端口的VLANs
该设备支持非常灵活的基于端口的VLAN系统,即使该端口上启用了802.1Q,该VLAN系统也可用于所有非MGMT帧。
VLANTable寄存器(端口偏移0x06)是每个入口端口所包含的是用于限制输出端口所发送的帧。如果端口的VLANTable的位0设置为1则允许该端口向端口0发送帧。如果端口的寄存器设置为1则为端口1,依此类推。在VLANTable寄存器复位时,每个端口的寄存器会设置一个值,除了每个端口自己的位,这个位被清零(这样防止帧从进来的端口退回),默认VLAN配置允许所有端口将帧发送到所有其他端口,如图9所示。每个端口的VLANTable支持10:0的11位,设备内部的CPU端口可以从相同的端口发送帧,无法从其他端口接收帧,但是可以接收管理MGMT帧和选定的普通数据帧。这样可以免受DoS攻击和其他网络和其他网络风暴。
图9禁用端口VLAN的交换机操作
2.2.1.2基于端口的VLAN路由器示例
应用程序支持基于端口的VLAN用于隔离一个或多个端口。下图有典型的VLAN配置,端口0是WAN端口。从WAN口传入的数据不能发送到LAN口,只能先发送到CPU(端口10)。所有的LAN端口是可以直接发帧的,同样的,它们也是不能发帧到WAN口。
CPU可以做如下操作:
动态定义选定的帧它可以到达一个或多个端口,以便对CPU生成的多播流量进行WAN和LAN的隔离。CPU/Router有两个端口将其连接到交换机(端口10接WAN端口9接LAN)。Internal CPU可用于减轻路由器的负载如生成树或gPTP(通用精确定时协议)或其他802.1协议等等。
VLANTable的设置
Port Port Type VLANTable Setting
0 WAN 0x400
1 LAN 0x3FC
2 LAN 0x3FA
3 LAN 0x3F6
4 LAN 0x3EE
5 LAN 0x3DE
6 LAN 0x3BE
7 LAN 0x37E
8 LAN 0x2FE
9 Router’s LAN 0x1FE
10 Router’s WAN 0x001
11 Internal CPU 0x7FF
为了显示设备VLAN配置选项的灵活性,图11显示了另一个示例。在这种情况下,将交换机分为三个独立的VLAN,这些VLAN使用单个交换机端口连接到公共路由器。在这种使用情况下,CPU使用Marvell标头在逐帧的基础上更改端口10的VLANTable,将帧限制为目标LAN(A,B或C)。有关Marvell标头的更多信息,请参见5.7节。
2.2.2 802.1Q VLANs
802.1Q运动两组4096的VID可以构成4096*4096个标记,可以使用部分或全部的VID该设备支持三种不同的模式来支持.1Q.
内部的CPU的交换机端口不支持VID查找IMP通过会用From_CPU以太网类型DSA标签来控制帧的构成。
2.2.2.1 IEEE标记VID处理
VID包含在IEEE标记帧中。所有帧都会被分配VID。它的格式:
0x8100(标签协议识别符)+PCP(优先级)+CFI(默认为0)+VID(12位2^6=4096)
2.2.2.2确定一个帧是否被标记
SA后接的两个字节为0x8100则该帧进行了物理标记。如果VID不为零则视为逻辑标记。为0则不被视为逻辑标记。有0x8100只是802.1Q的物理标记,而VID不为零是逻辑标记,才能被使用。
2.2.2.3丢弃未标记的帧
设备支持在端口上的未进行逻辑标记的帧(DiscardUnTagged偏移量为0x08)的丢弃。不管SA后的两个字节是否为0x8100只要VID为0则该帧在逻辑上被视为未加标签的。无论端口的模式如何。在这种情况下,只有优先级标记的帧(VID=0x000)的帧是未标记的并且将被丢弃。
2.2.2.4丢弃带标签的帧
设备支持在端口上的带进行逻辑标记的帧(DiscardUnTagged偏移量为0x08)的丢弃。如果SA后的两个字节等于0x8100并且标签的VID不等于0x00则该帧为逻辑标记。在这种情况下只优先级标记的(VID=0x00)被认为是未标记的,且不会被丢弃。
2.2.2.5VID的提取
如果此端口上启用了802.1Q三种模式中的任意一种那么将从标记帧读取的VID分配给该帧。如果VID为0x00则将端口的DefaultVID(端口偏移0x07)分配给该帧(如果端口允许“VID 0”被清零(端口偏移量为0x08)。如果这些物理标记的帧从端口标记的端口流出,则VID位会被分配的值覆盖。
NOTE:如果在端口禁用了802.1Q则将忽略标记帧的VID位,并使用物理标记帧在物理上将未标记的帧打上标记。这些帧被分配的默认VID(0x07)会在它离开的时候会覆盖原VID位。
2.2.2.6帧的安全性覆盖
设备支持VID的覆盖功能,在此功能中,即使在端口启用了802.1Q也会以忽略标记帧的VID而将端口的默认VID分配给该帧。这个安全特征确保所有的来自特殊入口的帧离开交换机时是带的入口端口的默认VID。通过简单地向帧中添加一个不正确的标签来防止用户伪装。
2.2.2.7分配给帧的VID
每个进入交换机的帧都必须分配一个VID。如果在入口端口上被启用那么,它被用于802.1Q。如果未标记的帧要退出带标记的交换机那么它会被当作帧的VID。支持TCAM(三进制内存寻址),可以覆盖所有的VID分配。如果进入交换机的帧未加标签,则在进入期间会为其分配的默认VID。如果帧被标记,通常将它的VID用作帧的VID除非VID为0x00或设置了ForceDefaultVID。
VID分配的示例
2.2.2.8安全和端口映射
设备的802.1Q安全特征支持丢弃不满足安全要求的入口帧,并且确保满足安全要求的帧仅从该端口通过。可以在每个端口上对它们进行不同的设置,支持三种安全级别,使用分配给框架的VID处理安全选项如下:
安全模式– VID必须包含在VTU(VID translate unit)中,并且入口端口必须是VLAN的成员,否则将丢弃该帧。该帧会退出一些端口这些端口同时满足以下的两个属性:
1、帧的VLAN的成员
2、包括在源端口中的基于端口的VLAN(包括单个和级联的交换机)
分析:根据VLAN表检查标记的流量是否有入口流量,丢弃所有未标记的流量。必须在VLAN表中找到适当的VLAN ID的入口和出口端口,否则流量将被丢弃。在安全模式下对于数据的传播较为严格,必须在VTU中并且VID要相同,一般的端口使用该模式
也可以在程序的例程中的注释中找到
//Enable 802.1Q for each port as GT_SECURE mode except CPU port.
检查模式– VID必须包含在VTU中,否则帧将被丢弃(如果Ingress端口不是VLAN的成员,则不会丢弃帧)。允许该帧退出同时有以下的两个属性的端口
1、框架的VLAN的成员
2、包括在源端口的基于端口的VLAN中
分析:根据VLAN表检查标记的流量是否有入口流量,丢弃所有未标记的流量。如果标记了入口流量,并且在VLAN表中找不到相应VLAN ID的出口,则流量将被丢弃。在检查模式下只要在VTU中,那么VID可以是不同的那么VLAN隔离的性质就无了,一般不使用
后备模式(Fallback)–如果VTU中未包含帧的VID,则不会丢弃这些帧。
如果帧的VID包含在VTU中,则仅允许帧退出以下两个端口:
1、帧的VLAN的成员
2、包括在源端口的基于端口的VLAN中
如果VTU中不包含帧的VID,则仅允许帧退出以下端口:
1、包括在源端口的基于端口的VLAN中
分析:用于CPU端口中,其上两种一般用于普通的端口中。根据VLAN表检查标记的流量是否有入口流量,并转发所有未标记的流量。如果标记了入口流量,并且在VLAN表中找不到相应VLAN ID的出口,则流量将被丢弃。如果在VLAN表中找不到VLAN ID,则转发流量。用于仅在特定端口中允许已知VLAN。也可以在程序的例程中的注释中找到
//Enable 802.1Q for CPU port as GT_FALLBACK mode
802.1Q禁用–如果VTU中未包含帧的VID,则不会丢弃这些帧。该帧只允许退出以下端口:
包括在源端口的VLAN中
分析:完全禁用针对VLAN表的入口流量检查。在入口端口上设置时,不会丢弃任何流量。该模式一般用于基于端口的VLAN
端口的安全,检查,后备或802.1Q禁用模式由端口的802.1QMode位(端口偏移0x08)控制。
2.2.2.9安全违规
如果在端口上启用了802.1Q,那么会捕获到安全违规,并且会向CPU生成中断(全局1偏移量0x04),与802.1Q的模式无关,如果802.1Q设置为禁用(端口偏移量为0x08)则从商品发生该中断(一次捕获最多只能一次),被VLAN捕获。
转换单元(Translation Unit参阅VTU,全局1偏移量0x05)。会捕获两种违反安全性的行为。如果VTU不包含帧的VID则会发生MissViolation。如果帧的VID在VTU中但是帧的源端口不是该框架的VLAN成员,则会发生MemberViolation。“安全冲突”捕获有问题的源端口(SPID)和VID。通过获取/清除违规数据的操作可以访问这些数据。
2.2.2.10框架VID的安全性替代
可以将标记帧的VID强制设置为端口的DefaultVID(请参阅第2.2.2.6节)。
2.2.2.11帧的VID的TCAM替代(仅适用于启用TCAM的设备)
可以将帧的VID强制为对该帧的第2层,第3层和第4层报头进行基于深度包检查的任何值
2.2.3每个VLAN生成树的802.1s
设备支持每个VLAN端口状态每个VLAN生成树实例最多64个802.1s。VTU中的每个VID条目(第6.2节)都有一个与之关联的6位SID值,该值用于从STU中访问64个可能的802.1s生成树实例中的1个(第6.2.6节)。每个STU条目包含每端口802.1s端口状态信息的两位。
两位可以表示4种状态:
802.1s禁用:端口控制寄存器中端口的PortState位(端口偏移0x04)用于此端口,用于具有与此SID关联的VID的帧。请参阅第2.1.1节。
阻止/侦听:对于具有与此SID关联的VID的帧,仅允许MGMT帧进入(进入)或离开(退出)该端口。所有其他帧类型都将被丢弃。在阻塞的端口上禁用学习。
学习:对于具有与此SID关联的VID的帧,仅学习MGMT帧被允许进入(进入)或离开(离开)该端口。所有其他帧类型都将被丢弃,但是会在所有由于过滤而未丢弃的良好非MGMT帧上进行学习。
转发:正常操作。对于具有与此SID关联的VID的帧,允许所有帧进入(进入)和离开(离开)该端口。在所有由于过滤而未被丢弃的良好非MGMT帧上进行学习。
VTU包含4096个条目,可以用分配给帧的VID来访问,STU包含一个64位的条目数据库,可以使用VTU中的SID来访问。ATU包含一个数据库,它可以用帧的在VTU中带FID的DA中找到也可以用VTU中有FID的帧的SA来访问。(如果端口上禁用了802.1Q或分配给帧的VID指向一个空的VTU条目)。
如果未使用802.1s,则所有的STU条目都必须对所有SID的所有端口禁用802.1s。如果使用802.1s则必须为所有的VTU条目配置SID并且所使用的每个SID必须为定义802.1s的端口状态,任何SID条目都可以包含使用802.1s和802.1D的端口混合。启用了802.1s的端口其SID只能使用802.1s禁用的其他值。使用禁用的端口将改用端口状态的设置。
802.1s端口状态选项优先于端口的PortState位设置(第2.1.1节),端口的禁用端口状态(在端口的PortState位中设置,端口偏移0x04)除外。端口的“禁用端口状态”阻止所有帧进入和离开端口,因此优先于802.1s端口状态。
4675
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
