教案序號6周次授課形式講練結(jié)合授課章節(jié)名稱項目4隔離企業(yè)部門間流量（一）教學目的1．了解VLAN的基本概念。2．理解VLAN的運行原理。教學重點1.掌握VLAN技術(shù)原理。教學難點1.理解以太網(wǎng)二層接口的類型。使用教具計算機、ppt、eNSP、觸摸白板課外作業(yè)復習本節(jié)，預習下節(jié)課后體會同學們對本堂課的掌握情況良好授課主要內(nèi)容本項目知識圖譜4.1VLAN基礎(chǔ)知識1．VLAN標簽為了區(qū)分不同VLAN的報文，交換機需要在報文中插入一個標記VLAN信息的字段。如圖4-4所示，當交換機S1識別出某個幀的VLAN屬性后，它會在該幀的特定位置附加一個標簽（Tag），明確指示該幀VLAN屬性。這樣，接收此帶標簽數(shù)據(jù)幀的其他交換機，只需查看標簽即可迅速識別幀的VLAN屬性。802.1Q標準規(guī)定了這種帶標簽數(shù)據(jù)幀的格式，符合該格式的數(shù)據(jù)幀被稱為802.1Q數(shù)據(jù)幀。圖4-4交換機負責打上或識別VLAN標簽2．802.1Q幀在以太網(wǎng)中，數(shù)據(jù)幀的傳輸往往涉及多臺交換機的轉(zhuǎn)發(fā)。為確保VLAN劃分的一致性，即VLAN屬性跨越整個網(wǎng)絡(luò)而非局限于單臺交換機，數(shù)據(jù)幀在傳輸過程中需攜帶特定標識，明確指示其所屬VLAN。為此，IEEE802.1Q標準規(guī)定了向無標記（Untagged）數(shù)據(jù)幀中添加VLAN標簽（Tag）的方法。該VLAN標簽包含4個關(guān)鍵字段，標簽協(xié)議標識符（TagProtocolIdentifer，TPID）、優(yōu)先級（Priority，PRI）、標準格式指示符（CanonicalFormatIndicator，CFI）和虛擬局域網(wǎng)標識符（VLANID，VID）。通過插入這一標簽，數(shù)據(jù)幀能夠攜帶關(guān)于其VLAN屬性的詳細信息，如圖4-5所示，展示了帶有VLAN標簽的數(shù)據(jù)幀結(jié)構(gòu)，各字段的作用具體如下。（1）TPID：長度為16位（2字節(jié)），取值為0x8100，用于標識該幀為802.1Q幀。（2）PRI：長度為3位，取值范圍為0-9。數(shù)據(jù)幀的優(yōu)先級，有助于在網(wǎng)絡(luò)擁塞時決定處理順序。（3）CFI：當CFI的值為0時，表示MAC地址采用了標準格式進行封裝；如果CFI的值為1，表示MAC地址采用了非標準格式進行封裝。在以太網(wǎng)中該值為0，這通常用于與令牌環(huán)網(wǎng)等特定網(wǎng)絡(luò)環(huán)境的兼容。（4）VID：長度為12位，取值范圍為0-4095，0和4095為協(xié)議保留值，有效取值范圍為1-4094。唯一標識數(shù)據(jù)幀所屬的VLAN。圖4-5802.1Q幀的結(jié)構(gòu)4.2VLAN的劃分方式在計算機網(wǎng)絡(luò)中，計算機通常發(fā)送無標記（Untagged）的幀。當這些Untagged幀進入支持VLAN特性的交換網(wǎng)絡(luò)時，交換機需要依據(jù)特定的劃分原則，將這些Untagged幀歸類到某個VLAN中。根據(jù)這些劃分原則的不同，VLAN劃分就有了不同的類型。1．基于接口的VLAN劃分交換機每個物理接口都被分配一個特定的VLANID。當Untagged幀從某一物理接口進入交換機時，這些Untagged幀會自動歸類到該接口對應的VLAN中。這種基于接口的劃分方法既簡單直觀，又易于實現(xiàn)，同時保證了較高的安全性與可靠性。若計算機連接的交換機接口發(fā)生變化，其發(fā)送的幀所屬的VLAN也會隨之改變，通常也被稱為一層VLAN。2．基于MAC地址的VLAN劃分根據(jù)計算機MAC地址的不同將其劃分到不同的VLAN中，交換機需維護一張MAC地址與VLANID映射表。當接收到Untagged幀時，交換機會解析幀中的源MAC地址，并對照此映射表來確定該幀應歸屬的VLAN。這種方法提供了更高的靈活性，當計算機所連接的交換機接口變動時，由于其MAC地址保持不變，該計算機發(fā)送的Untagged幀仍能正確歸類到原先設(shè)定的VLAN中。但是這種劃分在安全性方面存在一定隱患，因為惡意用戶有可能偽造MAC地址以滲透進不同的VLAN，通常也被稱為二層VLAN。3．基于協(xié)議的VLAN劃分交換機的VLAN劃分還可以依據(jù)計算機發(fā)送的Untagged幀中的幀類型字段值來決定，不同類型的幀可以被分配到不同的VLAN中。例如，幀類型值為0x0800的幀（IPv4）被歸入一個VLAN，而幀類型值為0x86dd的幀（IPv6）被歸入另一個VLAN。這種基于協(xié)議類型的VLAN劃分方式，實際上實現(xiàn)了根據(jù)根據(jù)IPv4和IPv6數(shù)據(jù)包來區(qū)分不同的VLAN，通常也被稱為三層VLAN。4．基于IP子網(wǎng)的VLAN劃分網(wǎng)絡(luò)管理員會事先設(shè)定一個映射表，該表記錄了IP地址與VLANID的對應關(guān)系，當交換機接收到Untagged幀時，檢查幀中的源IP地址，并參照此映射表來確定相應的VLANID。5．基于策略的VLAN劃分網(wǎng)絡(luò)管理員可以預先設(shè)定一系列VLAN劃分策略，這些策略可以基于多種因素，如接口、MAC地址、IP地址等。當交換機接收到Untagged幀時，它會根據(jù)這些預先配置的策略進行匹配。一旦匹配成功，交換機會將該數(shù)據(jù)幀分配到不同的VLAN中。4.3以太網(wǎng)二層接口類型交換機針對不同連接對象，即連接交換機間與連接終端設(shè)備，其接口在處理數(shù)據(jù)幀時表現(xiàn)出明顯差異。華為交換機為此規(guī)定了三種二層接口工作模式，分別是Access接口、Trunk接口和Hybrid接口。這些模式確保了數(shù)據(jù)幀根據(jù)連接類型進行相應處理。1．Access接口交換機通常配備有Access接口，專門用于連接用戶PC、服務器等終端設(shè)備，這些設(shè)備的網(wǎng)卡設(shè)計為僅處理和傳輸不帶VLAN標簽的幀，Access接口被限制為僅能加入一個特定的VLAN，如圖4-6所示。圖4-6Access接口（1）接收幀時若Access接口接收到Untagged幀，交換機會設(shè)置該幀VLANTag的VID字段為PVID值，隨后根據(jù)處理規(guī)則（泛洪、轉(zhuǎn)發(fā)、丟棄）對該已標記幀進行后續(xù)操作。若接收到tagged幀，交換機會核對幀中VLANTag的VID是否與接口的PVID相同，相同時，轉(zhuǎn)發(fā)該幀；不同時，則直接丟棄。（2）發(fā)送幀時當一個tagged幀從交換機其他接口傳向Access接口時，交換機會再次核對幀的VID與接口的PVID是否相同，相同時，則去除該幀的VLANTag，以Untagged幀發(fā)送出去；不同時，則直接丟棄該幀。2．Trunk接口Trunk接口支持多個VLAN的數(shù)據(jù)幀傳輸，這些數(shù)據(jù)幀通過VLANTag的VID來區(qū)分各自所屬的VLAN。它主要用于交換機間的連接，同時也適用于與路由器、防火墻等設(shè)備的子接口互聯(lián)，以實現(xiàn)不同VLAN間的數(shù)據(jù)傳輸，如圖4-7所示。圖4-7Trunk接口在配置Trunk接口時，除了設(shè)定PVID之外，還需指定允許通過的VLANID列表，VLAN1默認包含在此列表中。（1）接收幀時接收Untagged幀時，交換機會設(shè)置該幀VLANTag的VID字段為PVID值，并驗證此PVID是否在允許通過的VLANID列表中，若在，則繼續(xù)轉(zhuǎn)發(fā)該Tagged幀；反之，則直接丟棄。接收Tagged幀時，交換機會檢查其VID是否在允許通過的VLANID列表中，若在則轉(zhuǎn)發(fā)；否則丟棄。注意，此時接口的PVID不起作用。（2）發(fā)送幀時首先，交換機會檢查幀的VID是否在允許通過的VLANID列表中，若不在，該幀將被丟棄；若在，交換機將進一步比較此幀的VID與接口的PVID，若兩者相同，交換機會移除該幀的VLANTag，并以Untagged形式發(fā)送至鏈路；否則，該幀將保持其VLANTag不變，直接發(fā)送至鏈路。3．Hybrid接口Hybrid接口類似于Trunk接口，能夠傳輸多個VLAN的數(shù)據(jù)幀，這些數(shù)據(jù)幀通過VLANTag的VID進行區(qū)分。用戶可以根據(jù)需要，為Hybrid接口配置在接收特定VLAN數(shù)據(jù)幀時是否附加標簽，在發(fā)送特定VLAN數(shù)據(jù)幀時是否剝離標簽，如圖4-8所示。圖4-8Hybrid接口Hybrid接口的配置不僅涉及PVID，還包含兩個允許通過的VLANID列表，即UntaggedVLANID列表和TaggedVLANID列表。VLAN1默認在UntaggedVLANID列表中。這兩個列表共同定義了哪些VLAN的幀能夠通過該Hybrid接口。（1）接收幀時當接收Untagged幀時，交換機會設(shè)置該幀VLANTag的VID值為PVID，并隨后檢查這個PVID是否存在于UntaggedVLANID或TaggedVLANID列表中，若在，則繼續(xù)轉(zhuǎn)發(fā)這個Tagged幀；若不在，則直接丟棄。當接收Tagged幀時，交換機會檢查幀中的VID是否出現(xiàn)在UntaggedVLANID或TaggedVLANID列表中。若在，該幀將被接收；若不在，該幀將被丟棄。（2）發(fā)送幀時當發(fā)送Tagged幀時，若幀的VID不在UntaggedVLANID和TaggedVLANID列表中，該幀將被直接丟棄；若VID出現(xiàn)在UntaggedVLANID列表中，交換機會移除該幀的Tag，以Untagged的形式發(fā)送該幀；若VID在TaggedVLANID列表中，則保留幀的Tag，以Tagged的形式發(fā)送該幀。【小結(jié)】本節(jié)課小節(jié)詳細介紹了VLAN的基礎(chǔ)知識。其中，802.1Q幀通過添加特定標簽來區(qū)分不同VLAN的報文，標簽里的各個字段都有其獨特作用。VLAN的劃分方式多種多樣，基于接口劃分簡單方便，基于MAC地址劃分靈活性強，基于協(xié)議、IP子網(wǎng)和策略