《工業(yè)網(wǎng)絡(luò)技術(shù)與應(yīng)用（微課版）》 課件 第3章 VLAN虛擬局域網(wǎng)技術(shù)

天津中德應(yīng)用技術(shù)大學(xué)李穎工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)第3章VLAN虛擬局域網(wǎng)技術(shù)3.1VLAN的基本概念VLAN（虛擬局域網(wǎng)）是將物理網(wǎng)絡(luò)劃分成若干個(gè)相互屏蔽的邏輯網(wǎng)絡(luò)，只有相同VLAN上的節(jié)點(diǎn)才能彼此尋址的技術(shù)。VLAN技術(shù)使得管理員可以根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的組，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的局域網(wǎng)有著相同的屬性，比如按部門需求：一個(gè)VLAN用于銷售，另一個(gè)VLAN用于工程，還有一個(gè)VLAN用于自動(dòng)化。由于VLAN是從邏輯上劃分網(wǎng)絡(luò)，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站可以在不同物理局域網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。3.1VLAN的基本概念VLAN產(chǎn)生的原因廣播域是指廣播幀（目標(biāo)MAC地址全部為1的數(shù)據(jù)幀），所能傳遞到的范圍，也就是某臺(tái)設(shè)備能夠直接通信的范圍。沒有VLAN的二層交換機(jī)連接的網(wǎng)絡(luò)只能構(gòu)建單一的廣播域。3.1VLAN的基本概念假如計(jì)算機(jī)E要與計(jì)算機(jī)F進(jìn)行通信，首先計(jì)算機(jī)E廣播“ARP請(qǐng)求（ARPRequest）信息”，來(lái)嘗試獲取計(jì)算機(jī)F的MAC地址。接下來(lái)交換機(jī)1收到ARP請(qǐng)求廣播幀后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是泛洪。然后交換機(jī)2收到廣播幀后，也會(huì)泛洪。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。圖3-1沒有劃分VLAN的廣播域3.1VLAN的基本概念2.VLAN工作原理為了限制廣播域的范圍，減少?gòu)V播流量，需要將主機(jī)劃分為不同的組，組和組之間設(shè)置隔離。因此我們采用VLAN技術(shù)，將物理局域網(wǎng)分割成多個(gè)邏輯局域網(wǎng)，也就是多個(gè)VLAN。每一個(gè)VLAN都包含一組有相互通訊需求的計(jì)算機(jī)，同一個(gè)VLAN內(nèi)的計(jì)算機(jī)在同一廣播域，可以在二層網(wǎng)絡(luò)進(jìn)行通信。而不同VLAN不屬于同一個(gè)廣播域，不同VLAN中的計(jì)算機(jī)不能實(shí)現(xiàn)二層網(wǎng)絡(luò)的直接通信。3.1VLAN的基本概念E計(jì)算機(jī)與F計(jì)算機(jī)同在VLAN10中，所以F計(jì)算機(jī)可以收到E計(jì)算機(jī)發(fā)送的ARP請(qǐng)求幀。而計(jì)算機(jī)A、B、C、D都不屬于VLAN10所以就收不到E計(jì)算機(jī)發(fā)送的ARP請(qǐng)求幀了。這樣，廣播幀就被限制在各自的VLAN范圍內(nèi)傳輸，同時(shí)也提高了網(wǎng)絡(luò)安全性。圖3-2劃分VLAN的廣播域3.1VLAN的基本概念圖3-3交換機(jī)1端口VLAN劃分3.1VLAN的基本概念3.VLAN類型1）靜態(tài)VLAN靜態(tài)VLAN又稱為基于端口的VLAN，是根據(jù)用戶的計(jì)算機(jī)連接到的交換機(jī)端口判斷屬于哪一個(gè)VLAN。比如，一個(gè)交換機(jī)的1、2、3端口被定義為VLAN10，同一交換機(jī)的6、7、8端口被定義為VLAN20，如果一臺(tái)計(jì)算機(jī)連接到6號(hào)端口，則這臺(tái)計(jì)算機(jī)屬于VLAN20。3.1VLAN的基本概念優(yōu)點(diǎn)：易于配置；所有操作在交換機(jī)上完成，用戶幾乎不需要操作。缺點(diǎn)：當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目過(guò)多時(shí)，由于管理員需要逐個(gè)指定交換機(jī)端口所屬VLAN，設(shè)置操作就變的繁雜。如果用戶改變電腦連接的端口，則管理員必須重新配置?？梢婌o態(tài)VLAN顯然不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。3.1VLAN的基本概念2）動(dòng)態(tài)VLAN動(dòng)態(tài)VLAN是基于用戶的地址或使用的協(xié)議。動(dòng)態(tài)VLAN可以大致分為3類：

基于MAC地址的VLAN（MACBasedVLAN）：是通過(guò)查詢并記錄端口所連計(jì)算機(jī)上網(wǎng)卡的MAC地址來(lái)決定端口的所屬?；谧泳W(wǎng)的VLAN（SubnetBasedVLAN）：是通過(guò)所連計(jì)算機(jī)的IP地址，來(lái)決定端口所屬VLAN的?；谟脩舻腣LAN（UserBasedVLAN）：是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶，來(lái)決定該端口屬于哪個(gè)VLAN。動(dòng)態(tài)VLAN的優(yōu)點(diǎn)是每個(gè)人都可以將計(jì)算機(jī)連接到任何端口，并且仍然是正確VLAN的一部分。缺點(diǎn)是這種VLAN類型的成本較高，因?yàn)樗枰厥獾挠布?.1VLAN的基本概念4.VLAN協(xié)議格式IEEE802.1Q在以太網(wǎng)幀中增加了4個(gè)字節(jié)的802.1Q標(biāo)簽，如圖3-4所示，包含了2個(gè)字節(jié)的標(biāo)簽協(xié)議標(biāo)識(shí)和2個(gè)字節(jié)的標(biāo)簽控制信息。標(biāo)簽字節(jié)字段含義如下：3.1VLAN的基本概念（1）標(biāo)簽協(xié)議標(biāo)識(shí)TPID：2字節(jié)，值為0X8100H指定此幀為標(biāo)記幀，因此包含額外信息字段。（2）標(biāo)簽控制信息TCI：2字節(jié)，包含3個(gè)字段優(yōu)先級(jí)、CFI和VLANID。（3）優(yōu)先級(jí)：3位，包含幀的優(yōu)先級(jí)，優(yōu)先級(jí)代碼是介于0和7之間的數(shù)字，又稱為服務(wù)類別(ClassofService,CoS)。（4）規(guī)范格式標(biāo)識(shí)符CFI：1位，IEEE802.1Q僅針對(duì)以太網(wǎng)或令牌環(huán)開發(fā)。0代表以太網(wǎng)，1代表令牌環(huán)。（5）VLAN識(shí)別號(hào)VLANID：12位，最多可構(gòu)成4096個(gè)VLANID。4095編號(hào)為保留；0編號(hào)幀中，僅包含優(yōu)先級(jí)信息（標(biāo)記有優(yōu)先級(jí)的幀），不包含任何有效的VLAN標(biāo)識(shí)符。3.2私有VLAN1.私有VLAN的類型（1）主私有VLAN是指被劃分的VLAN。（2）次私有VLAN只存在于主私有VLAN

內(nèi)。每個(gè)次私有VLAN都有一個(gè)特定的VLAN號(hào)，并且與主私有VLAN

相連。3.2私有VLAN次私有VLAN包括兩種類型：隔離次私有VLAN和團(tuán)體次私有VLAN。（1）隔離次私有VLAN（IsolatedSecondaryPVLAN）：隔離次私有VLAN內(nèi)的各設(shè)備之間不能通過(guò)第2層進(jìn)行通信。（2）團(tuán)體次私有VLAN（CommunitySecondaryPVLAN）：團(tuán)體次私有VLAN內(nèi)的各設(shè)備之間可直接通過(guò)第2層進(jìn)行通信。隸屬不同團(tuán)體私有VLAN的設(shè)備之間不能通過(guò)第2層進(jìn)行通信。3.2私有VLAN2.私有VLAN端口類型3種不同類型的端口：（1）帶標(biāo)簽混合端口是指各工業(yè)以太網(wǎng)交換機(jī)之間使用混合端口進(jìn)行互連即在端口類型（PortType）中配置成“交換機(jī)端口PVLAN混合(Switch-PortPVLANPromiscuous)”3.2私有VLAN（2）不帶標(biāo)簽主機(jī)端口是指用于連接PC的端口，即在端口類型（PortType）中配置成“交換機(jī)端口VLAN主機(jī)(SwitchPortVLANHost)”。3.2私有VLAN（3）不帶標(biāo)記的混合端口是指用于連接服務(wù)器的端口，即在端口類型（PortType）中配置成“交換機(jī)端口PVLAN混合（Switch-PortPVLANPromiscuous）”。3.3西門子SCALANCE-XM-200交換機(jī)VLAN界面端口類型在SCALANCE-XM-408交換機(jī)中通過(guò)System>Ports>Configuration路徑下“PortType”下拉列表進(jìn)行配置，如圖3-6所示（1）路由器端口(Routerport)：端口是第3層接口。它不支持第2層功能。（2）交換機(jī)端口VLAN混合(Switch-PortVLANHybrid)：端口發(fā)送有標(biāo)記和無(wú)標(biāo)記的幀。它不會(huì)自動(dòng)成為VLAN的成員。（3）交換機(jī)端口VLAN中繼(Switch-PortVLANTrunk)：端口僅發(fā)送有標(biāo)記的幀，并且自動(dòng)成為所有VLAN的成員。（4）交換機(jī)端口VLAN主機(jī)(Switch-PortVLANHost)：主機(jī)端口屬于次私有VLAN。將設(shè)備連接到只能與私有VLAN的特定設(shè)備進(jìn)行通信的主機(jī)端口。（5）交換機(jī)端口PVLAN混合(Switch-PortPVLANPromiscuous)：混合端口屬于主PVLAN。將設(shè)備連接到可與PVLAN的所有設(shè)備進(jìn)行通信的混合端口。（6）交換機(jī)端口VLAN訪問(wèn)：訪問(wèn)端口屬于支持Q-in-QVLAN隧道功能的提供商交換機(jī)。將用戶網(wǎng)絡(luò)連接到訪問(wèn)端口。3.3西門子SCALANCE-XM-200交換機(jī)VLAN界面3.3西門子SCALANCE-XM-200交換機(jī)VLAN界面3.3.1General常規(guī)標(biāo)簽3.1VLAN的基本概念端口列表(Listofports)：規(guī)定端口如何接收并轉(zhuǎn)發(fā)數(shù)據(jù)幀?？墒褂靡韵逻x項(xiàng)：-該端口不是指定VLAN的成員。對(duì)于新創(chuàng)建的VLAN，所有端口的標(biāo)識(shí)符均為“-”。M該端口是VLAN的成員。端口接受此VLAN數(shù)據(jù)幀，在轉(zhuǎn)發(fā)數(shù)據(jù)幀時(shí)帶有相應(yīng)VLAN標(biāo)記。R該端口是VLAN的成員，GVRP幀用于注冊(cè)。U（大寫）此端口是無(wú)標(biāo)記的VLAN成員。此VLAN配置為端口VLAN。端口在轉(zhuǎn)發(fā)此VLAN的幀數(shù)據(jù)時(shí)不帶VLA