《工业网络技术与应用（微课版）》 课件 第3章 VLAN虚拟局域网技术

天津中德应用技术大学李颖工业控制系统与工业网络第3章VLAN虚拟局域网技术3.1VLAN的基本概念VLAN（虚拟局域网）是将物理网络划分成若干个相互屏蔽的逻辑网络，只有相同VLAN上的节点才能彼此寻址的技术。VLAN技术使得管理员可以根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的组，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的局域网有着相同的属性，比如按部门需求：一个VLAN用于销售，另一个VLAN用于工程，还有一个VLAN用于自动化。由于VLAN是从逻辑上划分网络，而不是从物理上划分，所以同一个VLAN内的各个工作站可以在不同物理局域网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。3.1VLAN的基本概念VLAN产生的原因广播域是指广播帧（目标MAC地址全部为1的数据帧），所能传递到的范围，也就是某台设备能够直接通信的范围。没有VLAN的二层交换机连接的网络只能构建单一的广播域。3.1VLAN的基本概念假如计算机E要与计算机F进行通信，首先计算机E广播“ARP请求（ARPRequest）信息”，来尝试获取计算机F的MAC地址。接下来交换机1收到ARP请求广播帧后，会将它转发给除接收端口外的其他所有端口，也就是泛洪。然后交换机2收到广播帧后，也会泛洪。最终ARP请求会被转发到同一网络中的所有客户机上。图3-1没有划分VLAN的广播域3.1VLAN的基本概念2.VLAN工作原理为了限制广播域的范围，减少广播流量，需要将主机划分为不同的组，组和组之间设置隔离。因此我们采用VLAN技术，将物理局域网分割成多个逻辑局域网，也就是多个VLAN。每一个VLAN都包含一组有相互通讯需求的计算机，同一个VLAN内的计算机在同一广播域，可以在二层网络进行通信。而不同VLAN不属于同一个广播域，不同VLAN中的计算机不能实现二层网络的直接通信。3.1VLAN的基本概念E计算机与F计算机同在VLAN10中，所以F计算机可以收到E计算机发送的ARP请求帧。而计算机A、B、C、D都不属于VLAN10所以就收不到E计算机发送的ARP请求帧了。这样，广播帧就被限制在各自的VLAN范围内传输，同时也提高了网络安全性。图3-2划分VLAN的广播域3.1VLAN的基本概念图3-3交换机1端口VLAN划分3.1VLAN的基本概念3.VLAN类型1）静态VLAN静态VLAN又称为基于端口的VLAN，是根据用户的计算机连接到的交换机端口判断属于哪一个VLAN。比如，一个交换机的1、2、3端口被定义为VLAN10，同一交换机的6、7、8端口被定义为VLAN20，如果一台计算机连接到6号端口，则这台计算机属于VLAN20。3.1VLAN的基本概念优点：易于配置；所有操作在交换机上完成，用户几乎不需要操作。缺点：当网络中的计算机数目过多时，由于管理员需要逐个指定交换机端口所属VLAN，设置操作就变的繁杂。如果用户改变电脑连接的端口，则管理员必须重新配置。可见静态VLAN显然不适合那些需要频繁改变拓扑结构的网络。3.1VLAN的基本概念2）动态VLAN动态VLAN是基于用户的地址或使用的协议。动态VLAN可以大致分为3类：

基于MAC地址的VLAN（MACBasedVLAN）：是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。基于子网的VLAN（SubnetBasedVLAN）：是通过所连计算机的IP地址，来决定端口所属VLAN的。基于用户的VLAN（UserBasedVLAN）：是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。动态VLAN的优点是每个人都可以将计算机连接到任何端口，并且仍然是正确VLAN的一部分。缺点是这种VLAN类型的成本较高，因为它需要特殊的硬件。3.1VLAN的基本概念4.VLAN协议格式IEEE802.1Q在以太网帧中增加了4个字节的802.1Q标签，如图3-4所示，包含了2个字节的标签协议标识和2个字节的标签控制信息。标签字节字段含义如下：3.1VLAN的基本概念（1）标签协议标识TPID：2字节，值为0X8100H指定此帧为标记帧，因此包含额外信息字段。（2）标签控制信息TCI：2字节，包含3个字段优先级、CFI和VLANID。（3）优先级：3位，包含帧的优先级，优先级代码是介于0和7之间的数字，又称为服务类别(ClassofService,CoS)。（4）规范格式标识符CFI：1位，IEEE802.1Q仅针对以太网或令牌环开发。0代表以太网，1代表令牌环。（5）VLAN识别号VLANID：12位，最多可构成4096个VLANID。4095编号为保留；0编号帧中，仅包含优先级信息（标记有优先级的帧），不包含任何有效的VLAN标识符。3.2私有VLAN1.私有VLAN的类型（1）主私有VLAN是指被划分的VLAN。（2）次私有VLAN只存在于主私有VLAN

内。每个次私有VLAN都有一个特定的VLAN号，并且与主私有VLAN

相连。3.2私有VLAN次私有VLAN包括两种类型：隔离次私有VLAN和团体次私有VLAN。（1）隔离次私有VLAN（IsolatedSecondaryPVLAN）：隔离次私有VLAN内的各设备之间不能通过第2层进行通信。（2）团体次私有VLAN（CommunitySecondaryPVLAN）：团体次私有VLAN内的各设备之间可直接通过第2层进行通信。隶属不同团体私有VLAN的设备之间不能通过第2层进行通信。3.2私有VLAN2.私有VLAN端口类型3种不同类型的端口：（1）带标签混合端口是指各工业以太网交换机之间使用混合端口进行互连即在端口类型（PortType）中配置成“交换机端口PVLAN混合(Switch-PortPVLANPromiscuous)”3.2私有VLAN（2）不带标签主机端口是指用于连接PC的端口，即在端口类型（PortType）中配置成“交换机端口VLAN主机(SwitchPortVLANHost)”。3.2私有VLAN（3）不带标记的混合端口是指用于连接服务器的端口，即在端口类型（PortType）中配置成“交换机端口PVLAN混合（Switch-PortPVLANPromiscuous）”。3.3西门子SCALANCE-XM-200交换机VLAN界面端口类型在SCALANCE-XM-408交换机中通过System>Ports>Configuration路径下“PortType”下拉列表进行配置，如图3-6所示（1）路由器端口(Routerport)：端口是第3层接口。它不支持第2层功能。（2）交换机端口VLAN混合(Switch-PortVLANHybrid)：端口发送有标记和无标记的帧。它不会自动成为VLAN的成员。（3）交换机端口VLAN中继(Switch-PortVLANTrunk)：端口仅发送有标记的帧，并且自动成为所有VLAN的成员。（4）交换机端口VLAN主机(Switch-PortVLANHost)：主机端口属于次私有VLAN。将设备连接到只能与私有VLAN的特定设备进行通信的主机端口。（5）交换机端口PVLAN混合(Switch-PortPVLANPromiscuous)：混合端口属于主PVLAN。将设备连接到可与PVLAN的所有设备进行通信的混合端口。（6）交换机端口VLAN访问：访问端口属于支持Q-in-QVLAN隧道功能的提供商交换机。将用户网络连接到访问端口。3.3西门子SCALANCE-XM-200交换机VLAN界面3.3西门子SCALANCE-XM-200交换机VLAN界面3.3.1General常规标签3.1VLAN的基本概念端口列表(Listofports)：规定端口如何接收并转发数据帧。可使用以下选项：-该端口不是指定VLAN的成员。对于新创建的VLAN，所有端口的标识符均为“-”。M该端口是VLAN的成员。端口接受此VLAN数据帧，在转发数据帧时带有相应VLAN标记。R该端口是VLAN的成员，GVRP帧用于注册。U（大写）此端口是无标记的VLAN成员。此VLAN配置为端口VLAN。端口在转发此VLAN的帧数据时不带VLA