第7章局域网技术(2)剖析

增强网络安全性的一种最有效和最易于管理的方法 是将整个网络划分成一个个互相独立的广播组
(VLAN)。另外网管人员可以限制某个VLAN中的用户
的数量，并且可以禁止那些没有得到许可的用户加 入到某个VLAN中。按照这种方式，VLAN可以提供一 道安全性防火墙，控制用户对于网络资源的访问， 控制广播组的大小和构成，并且可借助于网管软件
11
返回首页
第7章 局域网技术
7.6.1 虚拟局域网的概念

最后的12位是该VLAN标识符，用来惟一地标识该以太网 数据帧所属的VLAN。4字节的VLAN标记格式如下：
2Byte 3bit 1bit 12bit
802.1Q标记
优先级
CFI
VLAN ID
以太网帧的最大长度从原来的1518字节变为 1522字节。
端的动态跟踪。
21
返回首页
第7章 局域网技术
第3层VLAN

说明：

第3层VLAN根据所使用的协议或网络层地址来划分
VLAN。

优点:

第一，这种方式可以按传输协议划分网段。 其次，用户可以在网络内部自由移动而不用重新配 置自己的工作站。

第三，这种类型的虚拟网可以减少由于协议转换而
造成的网络延迟。
题加以预防。
28
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

VLAN的解决办法：

某VLAN中的广播数据将只是被复制到那些连接有 此VLAN的某个成员的交换端口上，在除此而外的
那些端口上将不会出现这些数据。这实际上是为
在交换型网络中建立起同路由器功能类似的防火 墙提供了一种有效的手段。
7.6.1 虚拟局域网的概念

VLAN采用的以太网帧格式

标准：IEEE802.3au 扩展以太网帧格式
4 6 6 4 2 46-1500 4
7
前导
开始 标志
目的 地址
源地 址
VLAN 标记
长度
…数 据…
填充 字段
校验 和
10
返回首页
第7章 局域网技术
7.6.1 虚拟局域网的概念

VLAN标记字段:
3
返回首页
第7章 局域网技术
7.6.1 虚拟局域网的概念

概述：

1996年3月，IEEE 802委员会发布了IEEE 802.1q VLAN标准。虚拟局域网是由一些局域网网段构成的 与物理位置无关的逻辑组，而这些网段具有某些共
同的需求。

定义：

虚拟局域网是指局域网中的站点不受地理位置的限 制，而根据需要灵活地将站点构成不同的逻辑子网 。它可以覆盖多个网络设备，允许处于不同地理位 置的网络用户加入到一个逻辑子网中。
广播域中，它们相互可以通信，不同的虚拟局域网
之间进行通信需经过路由来进行。

优点：

简单，容易实现，从一个端口发出的广播，直接发 送到虚拟局域网内的其他端口，也便于直接监控。
18
返回首页
第7章 局域网技术
基于端口的VLAN

缺点：

使用不够灵活，当用户从一个端口移动到另一个端 口时候网络管理员必须重新配置虚拟局域网成员。
35
返回首页
第7章 局域网技术
7.7.1 网络互联概述
主要设备



中继器 集线器 网桥 交换机 路由器 网关
第7章 局域网技术
7.6.1 虚拟局域网的概念

虚拟局域网的优点：

使网络的结构灵活，便于网络结构的变化； 可以有效隔离VLAN间的广播数据，减少VLAN中广播 数据的通信量；

可以有效地隔离VLAN间的访问，增加了网络内部的
安全性；

更方便了网络管理员对网络的维护和管理。
9
返回首页
第7章 局域网技术
不过这一点可以通过灵活的网络管理软件来弥补。
19
返回首页
ห้องสมุดไป่ตู้
第7章 局域网技术
基于MAC地址的VLAN

说明：

基于MAC地址的VLAN是通过网络终端设备的MAC地址来 设置VLAN。

优点：

交换机对终端的MAC地址和交换机端口进行跟踪，在新 终端入网时根据已经定义的虚拟局域网——MAC对应表 将其划归至某一个虚拟局域网，而无论该终端在网络
VLAN，也可以将不同的交换机的端口设置为同一个
VLAN。
15
返回首页
第7章 局域网技术
基于端口的VLAN

分类：

单交换机端口定义VLAN
16
返回首页
第7章 局域网技术
基于端口的VLAN

多交换机端口定义VLAN
17
返回首页
第7章 局域网技术
基于端口的VLAN

特点：

一个虚拟局域网的各个端口上的所有终端都在一个
29
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

增强网络安全性

问题：

共享型局域网的一个最大的不足就是易于受到入 侵。因为只要把机器接入到一个端口中就可以收 到相应网段上的所有数据。广播域越大，这种危
险也将越大。
30
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

VLAN的解决办法：
中怎样移动，由于其MAC地址保持不变，故不需进行虚
拟局域网的重新配置。这种划分方式减少了网络管理 员的日常维护工作量。
20
返回首页
第7章 局域网技术
基于MAC地址的VLAN

缺点：

不足之处在于所有的终端必须被明确的分配在一个 具体的虚拟局域网，任何时候增加终端或者更换网
卡，都要对虚拟局域网数据库调整，以实现对该终
在发生非法入侵时及时通知管理人员。
31
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

减少站点的移动和改变开销

问题：

当用户从一个子网移至另一个子网时，一般都需要 对其IP地址进行手工修改，而这种修改可能需要花 费比较长的时间才能使站点正常工作。

VLAN

使用VLAN则可以完全消除这些不必要的时间浪费， 因VLAN的成员身份同站点所在的地址是无关的，这 样一来站点可以发生移动而其IP地址和子网成员身 份则可以保持不变。
IP多播组VLAN

说明：

IP多播组VLAN是通过“代理”对一组IP节点进行管 理和提供服务。这种组建方法可以动态建立VLAN。 当具有多个IP地址的多播数据帧要传输时，先动态
地建立VLAN代理，代理再和多个IP节点构成VLAN。
组建VLAN时，网络通过广播信息通知各IP节点，若 IP节点响应，就可以加入到该VLAN中，与该VLAN中 的其他IP节点通信。
，他可以不改变其工作地点，而只需网管人员修改一
下其VLAN成员身份即可。
33
返回首页
第7章 局域网技术
7.7 局域网连网与网络互联设备

7.7.1 网络互联概述 7.7.2 中继器 7.7.3 集线器 7.7.4 网桥
34
返回首页
第7章 局域网技术
7.7.1 网络互联概述

网络互联的概念：
22
返回首页
第7章 局域网技术
第3层VLAN

缺点：

根据网络层地址划分VLAN，在进行数据通信时还需 要进行地址的转换，会增加一定的延时。

二是对设备要求较高，不是所有设备都支持这种方
式。
第3层VLAN方式允许一个VLAN跨越多个交换 机，或一个端口位于多个VLAN中。
23
返回首页
第7章 局域网技术
第7章 局域网技术
第7 章
局域网技术(2)
7.6 虚拟局域网 7.7 局域网连网与网络互联设备 7.8 网络操作系统
1
返回首页
第7章 局域网技术
7.6 虚拟局域网

7.6.1 虚拟局域网的概念 7.6.2 虚拟局域网的组建 7.6.3 虚拟局域网的功能
2
返回首页
第7章 局域网技术
7.6.1 虚拟局域网的概念
且能够连接到一个交换端口上。那么无需对他们 的网络地址进行修改。最多只是需要将此交换端 口重新配置到相应的VLAN中。
27
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

控制广播数据

问题：

网络中存在广播风暴，广播数据将严重地损害网 络的性能并可能导致整个网络的崩溃。因此网管 人员必须采取措施对因广播数据而可能导致的问

前2个字节是802.1Q标记类型，固定设置为0x8100（
1000000100000000），当数据链路层检测到MAC帧的
源地址字段后的值为0x8100时，就判断出插入了4字节 的VLAN标记字段；

VLAN后2个字节的前3位是用户优先级字段，000-111， 8种优先级。

其后1位是规范格式指示符(Canonical Format Indicator，CFI)：0说明是规范格式，1是非规范格式
交换机来完成。
13
返回首页
第7章 局域网技术
7.6.2 虚拟局域网的组建

建立虚拟局域网的方法

基于端口的VLAN 基于MAC地址的VLAN 第3层VLAN 多播组VLAN
14
返回首页
第7章 局域网技术
基于端口的VLAN

说明：

基于端口的VLAN是通过将交换机端口设置成不同的 VLAN而组建不同的虚拟局域网。基于端口定义VLAN 时，可以将同一个交换机的不同端口设置为不同的
24
返回首页
第7章 局域网技术
IP多播组VLAN

优点：

IP多播组VLAN有很强的动态特性，因而具有极大地 灵活性，并可以跨越路由器形成WAN连接。
25
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

提高管理效率

问题：

网络中站点的移动、增加和改变是最让网管人员
头疼的问题之一，同时也是网络维护过程中相对
4
返回首页
第7章 局域网技术
简单示例
A3 B3 C3
LAN1
LAN2
A2
B2 C2
LAN3
A1
B1 C1
VLAN 1
VLAN 2
VLAN 2
5
返回首页
第7章 局域网技术
简单示例



图中使用了4个交换机的网络拓扑结构，有9个工作站分配在 3个楼层中，构成了3个局域网，即LAN1：（A1，B1，C1） ，LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。 但这9个用户划分为3个工作组，也就是说划分为3个虚拟局 域网（VLAN）。即：VLAN1：（A1，A2，A3），VLAN2：（ B1，B2，B3），VLAN3：（C1，C2，C3）。 在虚拟局域网上的每一个站都可以听到同一虚拟局域网上的 其他成员所发出的广播。如工作站B1，B2，B3同属于虚拟 局域网VLAN2。当B1向工作组内成员发送数据时，B2和B3将 会收到广播的信息（尽管它们没有连在同一交换机上），但 A1和C1不会收到B1发出的广播信息（尽管它们连在同一个 交换机上）。
6
返回首页
第7章 局域网技术
7.6.1 虚拟局域网的概念
虚拟局域网VLAN是一组逻辑上的设备和用户，这些 设备和用户并不受物理网段的限制，可以根据功能、
部门及应用等因素将它们组织起来，相互之间的通信
就好像它们在同一个网段中一样，由此得名虚拟局域 网。
虚拟局域网其实只是局域网给用户提供的一 种服务，而并不是一种新型局域网。

网络互连也称网际互连，它是指两个以上的计算机 网络通过一定的方法，用网络设备相互连接起来， 以构成更大的网络系统。网络互连拓展了局域网的 地理范围，丰富了网络资源，实现更广泛的资源共 享。网络互连也可理解为将一个网络分解为若干个 子网或网段。 主要形式：



LAN之间
LAN和WAN之间 LAN和大型主机之间
7
返回首页
第7章 局域网技术
7.6.1 虚拟局域网的概念

与一般的逻辑子网(网桥或者交换机)的区别：

不受地理位置的限制，即构成VLAN的站点可以是位 于不同的物理网段。

同一个VLAN的站点所发送的数据可以是广播传输到
该VLAN的所有站点，而不同VLAN的站点的数据不能 直接广播传输。
8
返回首页
来说开销比较大的一部分。因为此时一般都需要 重新进行布线，并且几乎所有的站点移动都伴随 着地址的重新分配以及对HUB和路由器重新配置 。
26
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

VLAN的解决办法

当某个VLAN中的一个用户从一个地点移动至另一
个地点时，只要他们仍旧保持在同一个VLAN中并
32
返回首页
第7章 局域网技术
7.6.3 虚拟局域网的功能

实现虚拟工作组

虚拟工作组指的是当在整个园区网络环境下实现了
VLAN之后，同一个部门的所有成员将可以像处于同一 个LAN上那样进行通信；

大部分网络通信将不会传出此VLAN广播域。 当某个用户从一个地方移动到另一个地方时，如果他 的工作部门不发生变化，那么就用不着对其机器进行 重新配置。与此类似，如果某个用户改变了工作部门
12
返回首页
第7章 局域网技术
7.6.2 虚拟局域网的组建

组建条件：

VLAN是建立在物理网络基础上的一种逻辑子网，因
此建立VLAN需要相应的支持VLAN技术的网络设备（ 交换机）。当网络中的不同VLAN间进行相互通信时 ，需要路由的支持，这时就需要增加路由设备—— 要实现路由功能，既可采用路由器，也可采用三层