路由交换技术电子教案-ch04-隔离企业部门间流量（一）.docxVIP

教案

序号

6

周次

授课形式

讲练结合

授课章节名称

项目4隔离企业部门间流量（一）

教学目的

1．了解VLAN的基本概念。

2．理解VLAN的运行原理。

教学重点

1.掌握VLAN技术原理。

教学难点

1.理解以太网二层接口的类型。

使用教具

计算机、ppt、eNSP、触摸白板

课外作业

复习本节，预习下节

课后体会

同学们对本堂课的掌握情况良好

授课主要内容

本项目知识图谱

4.1VLAN基础知识

1．VLAN标签

为了区分不同VLAN的报文，交换机需要在报文中插入一个标记VLAN信息的字段。如图4-4所示，当交换机S1识别出某个帧的VLAN属性后，它会在该帧的特定位置附加一个标签（Tag），明确指示该帧VLAN属性。这样，接收此带标签数据帧的其他交换机，只需查看标签即可迅速识别帧的VLAN属性。802.1Q标准规定了这种带标签数据帧的格式，符合该格式的数据帧被称为802.1Q数据帧。

图4-4交换机负责打上或识别VLAN标签

2．802.1Q帧

在以太网中，数据帧的传输往往涉及多台交换机的转发。为确保VLAN划分的一致性，即VLAN属性跨越整个网络而非局限于单台交换机，数据帧在传输过程中需携带特定标识，明确指示其所属VLAN。

为此，IEEE802.1Q标准规定了向无标记（Untagged）数据帧中添加VLAN标签（Tag）的方法。该VLAN标签包含4个关键字段，标签协议标识符（TagProtocolIdentifer，TPID）、优先级（Priority，PRI）、标准格式指示符（CanonicalFormatIndicator，CFI）和虚拟局域网标识符（VLANID，VID）。通过插入这一标签，数据帧能够携带关于其VLAN属性的详细信息，如图4-5所示，展示了带有VLAN标签的数据帧结构，各字段的作用具体如下。

（1）TPID：长度为16位（2字节），取值为0x8100，用于标识该帧为802.1Q帧。

（2）PRI：长度为3位，取值范围为0-9。数据帧的优先级，有助于在网络拥塞时决定处理顺序。

（3）CFI：当CFI的值为0时，表示MAC地址采用了标准格式进行封装；如果CFI的值为1，表示MAC地址采用了非标准格式进行封装。在以太网中该值为0，这通常用于与令牌环网等特定网络环境的兼容。

（4）VID：长度为12位，取值范围为0-4095，0和4095为协议保留值，有效取值范围为1-4094。唯一标识数据帧所属的VLAN。

图4-5802.1Q帧的结构

4.2VLAN的划分方式

在计算机网络中，计算机通常发送无标记（Untagged）的帧。当这些Untagged帧进入支持VLAN特性的交换网络时，交换机需要依据特定的划分原则，将这些Untagged帧归类到某个VLAN中。根据这些划分原则的不同，VLAN划分就有了不同的类型。

1．基于接口的VLAN划分

交换机每个物理接口都被分配一个特定的VLANID。当Untagged帧从某一物理接口进入交换机时，这些Untagged帧会自动归类到该接口对应的VLAN中。这种基于接口的划分方法既简单直观，又易于实现，同时保证了较高的安全性与可靠性。若计算机连接的交换机接口发生变化，其发送的帧所属的VLAN也会随之改变，通常也被称为一层VLAN。

2．基于MAC地址的VLAN划分

根据计算机MAC地址的不同将其划分到不同的VLAN中，交换机需维护一张MAC地址与VLANID映射表。当接收到Untagged帧时，交换机会解析帧中的源MAC地址，并对照此映射表来确定该帧应归属的VLAN。这种方法提供了更高的灵活性，当计算机所连接的交换机接口变动时，由于其MAC地址保持不变，该计算机发送的Untagged帧仍能正确归类到原先设定的VLAN中。但是这种划分在安全性方面存在一定隐患，因为恶意用户有可能伪造MAC地址以渗透进不同的VLAN，通常也被称为二层VLAN。

3．基于协议的VLAN划分

交换机的VLAN划分还可以依据计算机发送的Untagged帧中的帧类型字段值来决定，不同类型的帧可以被分配到不同的VLAN中。例如，帧类型值为0x0800的帧（IPv4）被归入一个VLAN，而帧类型值为0x86dd的帧（IPv6）被归入另一个VLAN。这种基于协议类型的VLAN划分方式，实际上实现了根据根据IPv4和IPv6数据包来区分不同的VLAN，通常也被称为三层VLAN。

4．基于IP子网的VLAN划分

网络管理员会事先设定一个映射表，该表记录了IP地址与VLANID的对应关系，当交换机接收到Untagged帧时，检查帧中的源IP地址，并参照此映射表来确定相应的VLANID。

5．基于策略的VLAN划分

网络管理员可以预先设定一系列VLAN划分策略，这些策略可以基于