路由交換技術(shù)電子教案-ch04-隔離企業(yè)部門間流量（一）

教案序號(hào)6周次授課形式講練結(jié)合授課章節(jié)名稱項(xiàng)目4隔離企業(yè)部門間流量（一）教學(xué)目的1．了解VLAN的基本概念。2．理解VLAN的運(yùn)行原理。教學(xué)重點(diǎn)1.掌握VLAN技術(shù)原理。教學(xué)難點(diǎn)1.理解以太網(wǎng)二層接口的類型。使用教具計(jì)算機(jī)、ppt、eNSP、觸摸白板課外作業(yè)復(fù)習(xí)本節(jié)，預(yù)習(xí)下節(jié)課后體會(huì)同學(xué)們對(duì)本堂課的掌握情況良好授課主要內(nèi)容本項(xiàng)目知識(shí)圖譜4.1VLAN基礎(chǔ)知識(shí)1．VLAN標(biāo)簽為了區(qū)分不同VLAN的報(bào)文，交換機(jī)需要在報(bào)文中插入一個(gè)標(biāo)記VLAN信息的字段。如圖4-4所示，當(dāng)交換機(jī)S1識(shí)別出某個(gè)幀的VLAN屬性后，它會(huì)在該幀的特定位置附加一個(gè)標(biāo)簽（Tag），明確指示該幀VLAN屬性。這樣，接收此帶標(biāo)簽數(shù)據(jù)幀的其他交換機(jī)，只需查看標(biāo)簽即可迅速識(shí)別幀的VLAN屬性。802.1Q標(biāo)準(zhǔn)規(guī)定了這種帶標(biāo)簽數(shù)據(jù)幀的格式，符合該格式的數(shù)據(jù)幀被稱為802.1Q數(shù)據(jù)幀。圖4-4交換機(jī)負(fù)責(zé)打上或識(shí)別VLAN標(biāo)簽2．802.1Q幀在以太網(wǎng)中，數(shù)據(jù)幀的傳輸往往涉及多臺(tái)交換機(jī)的轉(zhuǎn)發(fā)。為確保VLAN劃分的一致性，即VLAN屬性跨越整個(gè)網(wǎng)絡(luò)而非局限于單臺(tái)交換機(jī)，數(shù)據(jù)幀在傳輸過程中需攜帶特定標(biāo)識(shí)，明確指示其所屬VLAN。為此，IEEE802.1Q標(biāo)準(zhǔn)規(guī)定了向無標(biāo)記（Untagged）數(shù)據(jù)幀中添加VLAN標(biāo)簽（Tag）的方法。該VLAN標(biāo)簽包含4個(gè)關(guān)鍵字段，標(biāo)簽協(xié)議標(biāo)識(shí)符（TagProtocolIdentifer，TPID）、優(yōu)先級(jí)（Priority，PRI）、標(biāo)準(zhǔn)格式指示符（CanonicalFormatIndicator，CFI）和虛擬局域網(wǎng)標(biāo)識(shí)符（VLANID，VID）。通過插入這一標(biāo)簽，數(shù)據(jù)幀能夠攜帶關(guān)于其VLAN屬性的詳細(xì)信息，如圖4-5所示，展示了帶有VLAN標(biāo)簽的數(shù)據(jù)幀結(jié)構(gòu)，各字段的作用具體如下。（1）TPID：長度為16位（2字節(jié)），取值為0x8100，用于標(biāo)識(shí)該幀為802.1Q幀。（2）PRI：長度為3位，取值范圍為0-9。數(shù)據(jù)幀的優(yōu)先級(jí)，有助于在網(wǎng)絡(luò)擁塞時(shí)決定處理順序。（3）CFI：當(dāng)CFI的值為0時(shí)，表示MAC地址采用了標(biāo)準(zhǔn)格式進(jìn)行封裝；如果CFI的值為1，表示MAC地址采用了非標(biāo)準(zhǔn)格式進(jìn)行封裝。在以太網(wǎng)中該值為0，這通常用于與令牌環(huán)網(wǎng)等特定網(wǎng)絡(luò)環(huán)境的兼容。（4）VID：長度為12位，取值范圍為0-4095，0和4095為協(xié)議保留值，有效取值范圍為1-4094。唯一標(biāo)識(shí)數(shù)據(jù)幀所屬的VLAN。圖4-5802.1Q幀的結(jié)構(gòu)4.2VLAN的劃分方式在計(jì)算機(jī)網(wǎng)絡(luò)中，計(jì)算機(jī)通常發(fā)送無標(biāo)記（Untagged）的幀。當(dāng)這些Untagged幀進(jìn)入支持VLAN特性的交換網(wǎng)絡(luò)時(shí)，交換機(jī)需要依據(jù)特定的劃分原則，將這些Untagged幀歸類到某個(gè)VLAN中。根據(jù)這些劃分原則的不同，VLAN劃分就有了不同的類型。1．基于接口的VLAN劃分交換機(jī)每個(gè)物理接口都被分配一個(gè)特定的VLANID。當(dāng)Untagged幀從某一物理接口進(jìn)入交換機(jī)時(shí)，這些Untagged幀會(huì)自動(dòng)歸類到該接口對(duì)應(yīng)的VLAN中。這種基于接口的劃分方法既簡單直觀，又易于實(shí)現(xiàn)，同時(shí)保證了較高的安全性與可靠性。若計(jì)算機(jī)連接的交換機(jī)接口發(fā)生變化，其發(fā)送的幀所屬的VLAN也會(huì)隨之改變，通常也被稱為一層VLAN。2．基于MAC地址的VLAN劃分根據(jù)計(jì)算機(jī)MAC地址的不同將其劃分到不同的VLAN中，交換機(jī)需維護(hù)一張MAC地址與VLANID映射表。當(dāng)接收到Untagged幀時(shí)，交換機(jī)會(huì)解析幀中的源MAC地址，并對(duì)照此映射表來確定該幀應(yīng)歸屬的VLAN。這種方法提供了更高的靈活性，當(dāng)計(jì)算機(jī)所連接的交換機(jī)接口變動(dòng)時(shí)，由于其MAC地址保持不變，該計(jì)算機(jī)發(fā)送的Untagged幀仍能正確歸類到原先設(shè)定的VLAN中。但是這種劃分在安全性方面存在一定隱患，因?yàn)閻阂庥脩粲锌赡軅卧霱AC地址以滲透進(jìn)不同的VLAN，通常也被稱為二層VLAN。3．基于協(xié)議的VLAN劃分交換機(jī)的VLAN劃分還可以依據(jù)計(jì)算機(jī)發(fā)送的Untagged幀中的幀類型字段值來決定，不同類型的幀可以被分配到不同的VLAN中。例如，幀類型值為0x0800的幀（IPv4）被歸入一個(gè)VLAN，而幀類型值為0x86dd的幀（IPv6）被歸入另一個(gè)VLAN。這種基于協(xié)議類型的VLAN劃分方式，實(shí)際上實(shí)現(xiàn)了根據(jù)根據(jù)IPv4和IPv6數(shù)據(jù)包來區(qū)分不同的VLAN，通常也被稱為三層VLAN。4．基于IP子網(wǎng)的VLAN劃分網(wǎng)絡(luò)管理員會(huì)事先設(shè)定一個(gè)映射表，該表記錄了IP地址與VLANID的對(duì)應(yīng)關(guān)系，當(dāng)交換機(jī)接收到Untagged幀時(shí)，檢查幀中的源IP地址，并參照此映射表來確定相應(yīng)的VLANID。5．基于策略的VLAN劃分網(wǎng)絡(luò)管理員可以預(yù)先設(shè)定一系列VLAN劃分策略，這些策略可以基于多種因素，如接口、MAC地址、IP地址等。當(dāng)交換機(jī)接收到Untagged幀時(shí)，它會(huì)根據(jù)這些預(yù)先配置的策略進(jìn)行匹配。一旦匹配成功，交換機(jī)會(huì)將該數(shù)據(jù)幀分配到不同的VLAN中。4.3以太網(wǎng)二層接口類型交換機(jī)針對(duì)不同連接對(duì)象，即連接交換機(jī)間與連接終端設(shè)備，其接口在處理數(shù)據(jù)幀時(shí)表現(xiàn)出明顯差異。華為交換機(jī)為此規(guī)定了三種二層接口工作模式，分別是Access接口、Trunk接口和Hybrid接口。這些模式確保了數(shù)據(jù)幀根據(jù)連接類型進(jìn)行相應(yīng)處理。1．Access接口交換機(jī)通常配備有Access接口，專門用于連接用戶PC、服務(wù)器等終端設(shè)備，這些設(shè)備的網(wǎng)卡設(shè)計(jì)為僅處理和傳輸不帶VLAN標(biāo)簽的幀，Access接口被限制為僅能加入一個(gè)特定的VLAN，如圖4-6所示。圖4-6Access接口（1）接收幀時(shí)若Access接口接收到Untagged幀，交換機(jī)會(huì)設(shè)置該幀VLANTag的VID字段為PVID值，隨后根據(jù)處理規(guī)則（泛洪、轉(zhuǎn)發(fā)、丟棄）對(duì)該已標(biāo)記幀進(jìn)行后續(xù)操作。若接收到tagged幀，交換機(jī)會(huì)核對(duì)幀中VLANTag的VID是否與接口的PVID相同，相同時(shí)，轉(zhuǎn)發(fā)該幀；不同時(shí)，則直接丟棄。（2）發(fā)送幀時(shí)當(dāng)一個(gè)tagged幀從交換機(jī)其他接口傳向Access接口時(shí)，交換機(jī)會(huì)再次核對(duì)幀的VID與接口的PVID是否相同，相同時(shí)，則去除該幀的VLANTag，以Untagged幀發(fā)送出去；不同時(shí)，則直接丟棄該幀。2．Trunk接口Trunk接口支持多個(gè)VLAN的數(shù)據(jù)幀傳輸，這些數(shù)據(jù)幀通過VLANTag的VID來區(qū)分各自所屬的VLAN。它主要用于交換機(jī)間的連接，同時(shí)也適用于與路由器、防火墻等設(shè)備的子接口互聯(lián)，以實(shí)現(xiàn)不同VLAN間的數(shù)據(jù)傳輸，如圖4-7所示。圖4-7Trunk接口在配置Trunk接口時(shí)，除了設(shè)定PVID之外，還需指定允許通過的VLANID列表，VLAN1默認(rèn)包含在此列表中。（1）接收幀時(shí)接收Untagged幀時(shí)，交換機(jī)會(huì)設(shè)置該幀VLANTag的VID字段為PVID值，并驗(yàn)證此PVID是否在允許通過的VLANID列表中，若在，則繼續(xù)轉(zhuǎn)發(fā)該Tagged幀；反之，則直接丟棄。接收Tagged幀時(shí)，交換機(jī)會(huì)檢查其VID是否在允許通過的VLANID列表中，若在則轉(zhuǎn)發(fā)；否則丟棄。注意，此時(shí)接口的PVID不起作用。（2）發(fā)送幀時(shí)首先，交換機(jī)會(huì)檢查幀的VID是否在允許通過的VLANID列表中，若不在，該幀將被丟棄；若在，交換機(jī)將進(jìn)一步比較此幀的VID與接口的PVID，若兩者相同，交換機(jī)會(huì)移除該幀的VLANTag，并以Untagged形式發(fā)送至鏈路；否則，該幀將保持其VLANTag不變，直接發(fā)送至鏈路。3．Hybrid接口Hybrid接口類似于Trunk接口，能夠傳輸多個(gè)VLAN的數(shù)據(jù)幀，這些數(shù)據(jù)幀通過VLANTag的VID進(jìn)行區(qū)分。用戶可以根據(jù)需要，為Hybrid接口配置在接收特定VLAN數(shù)據(jù)幀時(shí)是否附加標(biāo)簽，在發(fā)送特定VLAN數(shù)據(jù)幀時(shí)是否剝離標(biāo)簽，如圖4-8所示。圖4-8Hybrid接口Hybrid接口的配置不僅涉及PVID，還包含兩個(gè)允許通過的VLANID列表，即UntaggedVLANID列表和TaggedVLANID列表。VLAN1默認(rèn)在UntaggedVLANID列表中。這兩個(gè)列表共同定義了哪些VLAN的幀能夠通過該Hybrid接口。（1）接收幀時(shí)當(dāng)接收Untagged幀時(shí)，交換機(jī)會(huì)設(shè)置該幀VLANTag的VID值為PVID，并隨后檢查這個(gè)PVID是否存在于UntaggedVLANID或TaggedVLANID列表中，若在，則繼續(xù)轉(zhuǎn)發(fā)這個(gè)Tagged幀；若不在，則直接丟棄。當(dāng)接收Tagged幀時(shí)，交換機(jī)會(huì)檢查幀中的VID是否出現(xiàn)在UntaggedVLANID或TaggedVLANID列表中。若在，該幀將被接收；若不在，該幀將被丟棄。（2）發(fā)送幀時(shí)當(dāng)發(fā)送Tagged幀時(shí)，若幀的VID不在UntaggedVLANID和TaggedVLANID列表中，該幀將被直接丟棄；若VID出現(xiàn)在UntaggedVLANID列表中，交換機(jī)會(huì)移除該幀的Tag，以Untagged的形式發(fā)送該幀；若VID在TaggedVLANID列表中，則保留幀的Tag，以Tagged的形式發(fā)送該幀。【小結(jié)】本節(jié)課小節(jié)詳細(xì)介紹了VLAN的基礎(chǔ)知識(shí)。其中，802.1Q幀通過添加特定標(biāo)簽來區(qū)分不同VLAN的報(bào)文，標(biāo)簽里的各個(gè)字段都有其獨(dú)特作用。VLAN的劃分方式多種多樣，基于接口劃分簡單方便，基于MAC地址劃分靈活性強(qiáng)，基于協(xié)議、IP子網(wǎng)和策略