天津中德應(yīng)用技術(shù)大學(xué)李穎工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)第3章VLAN虛擬局域網(wǎng)技術(shù)3.1VLAN的基本概念VLAN（虛擬局域網(wǎng)）是將物理網(wǎng)絡(luò)劃分成若干個相互屏蔽的邏輯網(wǎng)絡(luò)，只有相同VLAN上的節(jié)點才能彼此尋址的技術(shù)。VLAN技術(shù)使得管理員可以根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的組，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的局域網(wǎng)有著相同的屬性，比如按部門需求：一個VLAN用于銷售，另一個VLAN用于工程，還有一個VLAN用于自動化。由于VLAN是從邏輯上劃分網(wǎng)絡(luò)，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站可以在不同物理局域網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。3.1VLAN的基本概念VLAN產(chǎn)生的原因廣播域是指廣播幀（目標(biāo)MAC地址全部為1的數(shù)據(jù)幀），所能傳遞到的范圍，也就是某臺設(shè)備能夠直接通信的范圍。沒有VLAN的二層交換機連接的網(wǎng)絡(luò)只能構(gòu)建單一的廣播域。3.1VLAN的基本概念假如計算機E要與計算機F進行通信，首先計算機E廣播“ARP請求（ARPRequest）信息”，來嘗試獲取計算機F的MAC地址。接下來交換機1收到ARP請求廣播幀后，會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是泛洪。然后交換機2收到廣播幀后，也會泛洪。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機上。圖3-1沒有劃分VLAN的廣播域3.1VLAN的基本概念2.VLAN工作原理為了限制廣播域的范圍，減少廣播流量，需要將主機劃分為不同的組，組和組之間設(shè)置隔離。因此我們采用VLAN技術(shù)，將物理局域網(wǎng)分割成多個邏輯局域網(wǎng)，也就是多個VLAN。每一個VLAN都包含一組有相互通訊需求的計算機，同一個VLAN內(nèi)的計算機在同一廣播域，可以在二層網(wǎng)絡(luò)進行通信。而不同VLAN不屬于同一個廣播域，不同VLAN中的計算機不能實現(xiàn)二層網(wǎng)絡(luò)的直接通信。3.1VLAN的基本概念E計算機與F計算機同在VLAN10中，所以F計算機可以收到E計算機發(fā)送的ARP請求幀。而計算機A、B、C、D都不屬于VLAN10所以就收不到E計算機發(fā)送的ARP請求幀了。這樣，廣播幀就被限制在各自的VLAN范圍內(nèi)傳輸，同時也提高了網(wǎng)絡(luò)安全性。圖3-2劃分VLAN的廣播域3.1VLAN的基本概念圖3-3交換機1端口VLAN劃分3.1VLAN的基本概念3.VLAN類型1）靜態(tài)VLAN靜態(tài)VLAN又稱為基于端口的VLAN，是根據(jù)用戶的計算機連接到的交換機端口判斷屬于哪一個VLAN。比如，一個交換機的1、2、3端口被定義為VLAN10，同一交換機的6、7、8端口被定義為VLAN20，如果一臺計算機連接到6號端口，則這臺計算機屬于VLAN20。3.1VLAN的基本概念優(yōu)點：易于配置；所有操作在交換機上完成，用戶幾乎不需要操作。缺點：當(dāng)網(wǎng)絡(luò)中的計算機數(shù)目過多時，由于管理員需要逐個指定交換機端口所屬VLAN，設(shè)置操作就變的繁雜。如果用戶改變電腦連接的端口，則管理員必須重新配置。可見靜態(tài)VLAN顯然不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。3.1VLAN的基本概念2）動態(tài)VLAN動態(tài)VLAN是基于用戶的地址或使用的協(xié)議。動態(tài)VLAN可以大致分為3類：

基于MAC地址的VLAN（MACBasedVLAN）：是通過查詢并記錄端口所連計算機上網(wǎng)卡的MAC地址來決定端口的所屬。基于子網(wǎng)的VLAN（SubnetBasedVLAN）：是通過所連計算機的IP地址，來決定端口所屬VLAN的。基于用戶的VLAN（UserBasedVLAN）：是根據(jù)交換機各端口所連的計算機上當(dāng)前登錄的用戶，來決定該端口屬于哪個VLAN。動態(tài)VLAN的優(yōu)點是每個人都可以將計算機連接到任何端口，并且仍然是正確VLAN的一部分。缺點是這種VLAN類型的成本較高，因為它需要特殊的硬件。3.1VLAN的基本概念4.VLAN協(xié)議格式IEEE802.1Q在以太網(wǎng)幀中增加了4個字節(jié)的802.1Q標(biāo)簽，如圖3-4所示，包含了2個字節(jié)的標(biāo)簽協(xié)議標(biāo)識和2個字節(jié)的標(biāo)簽控制信息。標(biāo)簽字節(jié)字段含義如下：3.1VLAN的基本概念（1）標(biāo)簽協(xié)議標(biāo)識TPID：2字節(jié)，值為0X8100H指定此幀為標(biāo)記幀，因此包含額外信息字段。（2）標(biāo)簽控制信息TCI：2字節(jié)，包含3個字段優(yōu)先級、CFI和VLANID。（3）優(yōu)先級：3位，包含幀的優(yōu)先級，優(yōu)先級代碼是介于0和7之間的數(shù)字，又稱為服務(wù)類別(ClassofService,CoS)。（4）規(guī)范格式標(biāo)識符CFI：1位，IEEE802.1Q僅針對以太網(wǎng)或令牌環(huán)開發(fā)。0代表以太網(wǎng)，1代表令牌環(huán)。（5）VLAN識別號VLANID：12位，最多可構(gòu)成4096個VLANID。4095編號為保留；0編號幀中，僅包含優(yōu)先級信息（標(biāo)記有優(yōu)先級的幀），不包含任何有效的VLAN標(biāo)識符。3.2私有VLAN1.私有VLAN的類型（1）主私有VLAN是指被劃分的VLAN。（2）次私有VLAN只存在于主私有VLAN

內(nèi)。每個次私有VLAN都有一個特定的VLAN號，并且與主私有VLAN

相連。3.2私有VLAN次私有VLAN包括兩種類型：隔離次私有VLAN和團體次私有VLAN。（1）隔離次私有VLAN（IsolatedSecondaryPVLAN）：隔離次私有VLAN內(nèi)的各設(shè)備之間不能通過第2層進行通信。（2）團體次私有VLAN（CommunitySecondaryPVLAN）：團體次私有VLAN內(nèi)的各設(shè)備之間可直接通過第2層進行通信。隸屬不同團體私有VLAN的設(shè)備之間不能通過第2層進行通信。3.2私有VLAN2.私有VLAN端口類型3種不同類型的端口：（1）帶標(biāo)簽混合端口是指各工業(yè)以太網(wǎng)交換機之間使用混合端口進行互連即在端口類型（PortType）中配置成“交換機端口PVLAN混合(Switch-PortPVLANPromiscuous)”3.2私有VLAN（2）不帶標(biāo)簽主機端口是指用于連接PC的端口，即在端口類型（PortType）中配置成“交換機端口VLAN主機(SwitchPortVLANHost)”。3.2私有VLAN（3）不帶標(biāo)記的混合端口是指用于連接服務(wù)器的端口，即在端口類型（PortType）中配置成“交換機端口PVLAN混合（Switch-PortPVLANPromiscuous）”。3.3西門子SCALANCE-XM-200交換機VLAN界面端口類型在SCALANCE-XM-408交換機中通過System>Ports>Configuration路徑下“PortType”下拉列表進行配置，如圖3-6所示（1）路由器端口(Routerport)：端口是第3層接口。它不支持第2層功能。（2）交換機端口VLAN混合(Switch-PortVLANHybrid)：端口發(fā)送有標(biāo)記和無標(biāo)記的幀。它不會自動成為VLAN的成員。（3）交換機端口VLAN中繼(Switch-PortVLANTrunk)：端口僅發(fā)送有標(biāo)記的幀，并且自動成為所有VLAN的成員。（4）交換機端口VLAN主機(Switch-PortVLANHost)：主機端口屬于次私有VLAN。將設(shè)備連接到只能與私有VLAN的特定設(shè)備進行通信的主機端口。（5）交換機端口PVLAN混合(Switch-PortPVLANPromiscuous)：混合端口屬于主PVLAN。將設(shè)備連接到可與PVLAN的所有設(shè)備進行通信的混合端口。（6）交換機端口VLAN訪問：訪問端口屬于支持Q-in-QVLAN隧道功能的提供商交換機。將用戶網(wǎng)絡(luò)連接到訪問端口。3.3西門子SCALANCE-XM-200交換機VLAN界面3.3西門子SCALANCE-XM-200交換機VLAN界面3.3.1General常規(guī)標(biāo)簽3.1VLAN的基本概念端口列表(Listofports)：規(guī)定端口如何接收并轉(zhuǎn)發(fā)數(shù)據(jù)幀。可使用以下選項：-該端口不是指定VLAN的成員。對于新創(chuàng)建的VLAN，所有端口的標(biāo)識符均為“-”。M該端口是VLAN的成員。端口接受此VLAN數(shù)據(jù)幀，在轉(zhuǎn)發(fā)數(shù)據(jù)幀時帶有相應(yīng)VLAN標(biāo)記。R該端口是VLAN的成員，GVRP幀用于注冊。U（大寫）此端口是無標(biāo)記的VLAN成員。此VLAN配置為端口VLAN。端口在轉(zhuǎn)發(fā)此VLAN的幀數(shù)據(jù)時不帶VLA