VLAN划分的定义作用与实例简析
本文针对计算机网络中常用的VLAN划分,简述了其定义作用,并结合实例进行解析,对从事网络工程实践和项目实施的人员有一定的借鉴意义。
标签:计算机网络;VLAN划分;网络工程
一、VLAN的定义
VLAN是英文Virtual Local Area Network的简称,又叫虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分为一个个网段从而实现虚拟工作组的新兴技术。要划分VLAN,必须购买支持VLAN功能的网络设备。
二、划分VLAN的作用
VLAN是为解决以太网的广播问题和安全性而提出的,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。即使是处在同一网段的两台计算机,如果不在同一VLAN中,它们各自的广播流也不会相互转发。划分VLAN 有助于控制流量、减少设备投资、简化网络管理,提高网络的安全性。由于VLAN 隔离了广播风暴,也隔离了不同VLAN之间的通讯,因此,不同VLAN之间的通讯必须依靠路由器或者三层交换机来实现。
三、VLAN的划分方法
划分VLAN有四种方法,每种方法各有长短。在对网络划分VLAN时,必须依据网络的实际情况,选择一种合适的划分方法。
(一)根据端口划分VLAN
许多网络厂商都利用交换机的端口来划分VLAN成员。顾名思义,基于端口划分VLAN就是将交换机的某些端口定义为一个VLAN。第一代VLAN技术只支持在同一台交换机的多个端口划分VLAN,第二代VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个VLAN。
根据端口划分VLAN的优点是简单明了,管理也非常方便,缺点是维护相对烦琐。不过,根据端口划分VLAN是最常见的一种VLAN划分方法。
(二)根据MAC地址划分VLAN
每块网卡在全球都拥有唯一的一个物理地址,即MAC地址,根据网卡的MAC地址可以将若干台计算机划分在同一个VLAN中。这种方式的最大优点就是当用户物理地址移动时,即从一个交换机换到另一个交换机时,VLAN不用重
交换机VLAN的定义、意义以及划分方式 什么是VLAN 虚拟网技术(VLAN,Virtual Local Area Network)的诞生主要源于广播。广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租 赁等等,许多网络协议都要用到广播,如。然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,当广播包的数量占到通讯总量的30%时,网络的传输效率将会明显下降。所以,当局域网内的计算机达到一定数量后(通常限制在150~200台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害。 如何分隔大的广播域呢?最简单的方案就是物理分隔,即将一个完整的网络物理地分隔成两个或多个子网络,然后,再通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法之外,就是在交换机上采用逻辑分隔的方式,将一个大的局域网划分为若干个小的虚拟子网(如图2所示),即VLAN,从而使每一个子网都成为一个单独的广播域,子网之间进行通信必须通过三层设备。当VLAN在交换机上划分后,不同VLAN间的设备就如同是被物理地分割。也就是说,连接到同一交换机、然而处于不同VLAN的设备,就如同被物理地连接到两个位于不同网段的交换机上一样,彼此之间的通信一定要经过路由设备,否则,他们之间将无法得知对方的存在,将无法进行任何通信? 虽然划分VLAN的方式有许多种,但是,使用最多的仍然是基于端口的VLAN。不同厂商的交换机大多支持以下几种VLAN的划分方式: 1. 基于端口的VLAN 基于端口的VLAN是最常使用的划分VLAN的方式,几乎被所有的交换机所支持。所谓基于端口的VLAN,是指由网络管理员使用网管软件或直接设置交换机,将某些端口直接地、强制性地分配给某个VLAN。除非网管人员重新设置,否则,这些端口将一直保持对该VLAN的从属性,即属于该VLAN,因此,这种划分方 式也称为静态VLAN。这种方法虽然在网络管理员进行VLAN划分操作时会比较麻
VLAN的划分实验报告 实验目的和要求: 目的: 1、学会创建vlan。 2、能够按照端口划分vlan的方法将端口划分到对应的vlan中。 3、学会vlan的中继。 要求: 1、深入理解划分vlan的意义。 2、能够配置基本的vlan划分的命令。 3、能够查看vlan的结果并作测试。 网络拓扑与分析设计: 内容: 1:创建vlan,可以采用两种创建vlan的方式。 2:将端口划分进vlan。 3:实现跨交换机的vlan的通信(vlan的中继)。 4:实现不同vlan的通信(根据自己的基础,可以对该内容选做)。 注意:做该实验可以使用PT,也可以使用神州数码的3600交换机,但是不能够选用神州数码的5526. 实验步骤与调试过程: 1.打开Cisco Packet tracer,拖入一个路由器Router1,两个交换机Switch1、Switch2,八个PC 机PC1-PC8,PC1-PC4用Copper Straight-Through线分别连接Switch1的F0/0-F0/4口,PC5-PC8用Copper straight-through线分别连接Switch2的F0/0-F0/4口,Switch1与Switch2用Copper Cross-Over线连接,路由器Router1用Copper Straight-Through连接Switch1的F0/24口,建立完整的网络拓扑; 2.点击PC、进入Desktop设置IP,PC1(IP Address 192.168.0.2 Subnet Mask 255.255.255.0 Default Gateeway 192.168.0.1);PC2(IP Address 192.168.0.3 Subnet Mask 255.255.255.0 Default Gateeway192.168.0.1);PC3(IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1);PC4(IPAddress 192.168.1.3 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1);PC5(IP Address 192.168.0.4 Subnet Mask 255.255.255.0 Default Gateeway 192.168.0.1);PC6(IP Address 192.168.0.5 Subnet Mask 255.255.255.0 Default Gateeway 192.168.0.1);PC7(IP Address 192.168.1.4 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1);PC8(IP Address 192.168.1.5 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1); 3.在两个交换器上创建VLAN。在交换机的特权模式下,输入vlan database、vlan 2 name VLAN2的命令,创建了以个名为VLAN2的vlan2;。相同步奏创建VLAN3. 4.在两个交换机上,静态成员分配,PC1、PC2、PC5、PC6属于VLAN2,PC3、PC4、PC7、
分析VLAN技术概念及划分方法 一、VLAN技能概述 A, VLAN skills summary VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交流技能根底之上的,经过将局域网内的机器设备逻辑地而不是物理地区分红一个个不一样的网段,以软件办法完成逻辑作业组的区分与办理的技能。VLAN的作用是使得同一VLAN中的成员间能够彼此通讯,而不一样VLAN之间则是彼此阻隔的,不一样的VLAN间的若是要通讯就要经过必要的路由设备。 VLAN ( Virtual Local Area Network ) is a virtual local area network, is a kind of built on the foundation of communication skills, after the equipment will be LAN logical rather than physical area into a different network segment, complete the distinction between logical operations group in software way and management skills. The role of VLAN is to make the members in the same VLAN can communicate with each other, and not the same between VLAN is another barrier, not the same between VLAN
实验五 VLAN的规划与划分 学校名称:北京开放大学 学院名称:北京开放大学直属学院 年纪专业:2014秋计算机(本科) 姓名:胡江 完成日期:2015.06.27
一、实验目的 了解vlan 的作用,掌握在一台交换机上划分VLan 的方法和跨交换机的VLan 的配置方法,掌握Trunk 端口的配置方法。理解三层交换的原理,熟悉Vlan 接口的配置。 二、实验内容 首先,在一台交换机上划分VLan ,用ping 命令测试在同一VLan 和不同VLan 中设备的连通性。然后,在交换机上配置Trunk 端口,用ping 命令测试在同一VLan 和不同VLan 中设备的连通性。最后,利用交换机的三层功能,实现Vlan 间的路由,再次用ping 命令测试其连通性。 三、实验过程与主要步骤 实验组网架构 Ip:192.168.2.10/24 Ip:192.168.3.10/24 Ip:192.168.2.11/24 Ip:192.168.3.11/24 Vlan2 Vlan2 Vlan3 注:S1中vlan2包括端口e0/1 到e0/5,vlan3包括端口e0/7到e 0/11; S2中vlan2包括端口e0/1 到e0/4,vlan3包括端口e0/7到e 0/11; 注:vlan2包括端口e0/1到e0/5,vlan3包括端口e0/7到图一 VLan 的配置组网图 Ip:192.168.2.10/24 Ip:192.168.2.11/24 Ip:192.168.3.10/24 Ip:192.168.3.11/24 S1 PA PB PC PD
图二 Trunk 端口的配置组网图 图三 VLan 间通信的配置组网图 实施步骤 1.Vlan 的基本配置 步骤1 按照组网图一连接好设备,为交换机划分Vlan 。参考配置命令如下:
局域网网络结构以及VLAN划分 一、实验目的 (1)了解局域网中的基本概念及基本命令; (2)了解Vlan的概念及作用; (3)了解交换机的Vlan接口类型; (4)了解Vlan标签协议802.1Q; (5)了解Vlan的实际应用。 二、实验环境 (1)Win7X64; (2)PACKET TRACER; (3)Wireshark。 三、实验原理 1)局域网中的基本概念 1、局域网的拓扑结构 局域网常用的拓扑结构有星形网、环形网、总线网和数形网。 2、局域网中常用的传输媒质 局域网中常用的传输媒质有双绞线、同轴电缆、光纤和无线信道。无论用何种媒质,局域网对信道的占用分为共享信道和独占信道来完成的。共享信道带宽的分配主要采用的是动态分配。独占信道带宽的分配通过划分VLAN实现。 3、共享信道的接入技术 共享信道的接入技术主要分为两类:随机接入和受控接入。受控接入又分为两大类:集中控制和分散控制。集中控制用到的主要技术为轮询方式;分散控制用到的主要技术为令牌方式。随机接入又分为两大类:载波监听多址接入和ALOHA。 4、局域网的分层体系结构 局域网的分层体系结构由IEEE的802委员会制定。局域网一般分为物理层、
数据链路层、网络层以及高层。为了适应物理媒质的多样性,数据链路层又被分为MAC、LLC子层。 5、以太网---最常见的局域网 IEEE的802.3协议主要定义的是以太网标准。媒质接入控制采用的是CSMA/CD,物理媒体采用的是双绞线,网络的拓扑结构为星形网,所有的主机通过两台交换机联在一起。 6、网络操作系统 常用的网络操作系统有windows NT、WINDOWS2000、NOVELL、windows XP等。包括WINDOWS98也能提供常用的网络协议。我们的实验主要通过对WINDOWS98的网上邻居进行协议的配置。我们加载的协议见图一协议配置。 IPconfig命令可以设置和检查各种网络接口的配置值,可以利用它为每个接口设置IP地址、子网掩码和广播地址。 PING主要用来测试网络的连通性。它使用了ICMP回送请求与回送回答报文。 2)VLAN——虚拟局域网 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 划分Vlan的主要作用是隔离广播域。 广播域(Broadcast Domain) 图3-1共享式的以太网中的共享式的以太网 在共享式的以太网上,每个设备都处于一个广播域中。如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带
VLAN学习理解 一、VLAN概述 虚拟局域网(Virtual Local Area Network,VLAN):一种通过将局域网内的设备逻辑地而不是物理地划分成多个网段,从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。 VLAN在交换机上的实现方法,可以大致划分为4类: 1)基于端口划分的VLAN 方法:IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 优点:简单。 缺点:用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。 2)基于MAC地址划分VLAN 方法:根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。 优点:当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因此也可以认为这种根据MAC地址的划分方法是基于用户的VLAN。 缺点:初始化时,所有的用户都必须进行配置,工作量大;导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了;笔记本电脑用户可能经常更换网卡,这样VLAN就必须不停的配置。 3)基于网络层划分VLAN 方法:根据每个主机的网络层地址或协议类型来划分,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由无关。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,优点:用户的物理位置改变后不需要重新配置VLAN;可以根据协议类型来划分VLAN;不需要附加的帧标签来识别VLAN,可以减少网络流量。 缺点:效率低,一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。 4)根据IP组播划分VLAN
VLAN划分的定义作用与实例简析 本文针对计算机网络中常用的VLAN划分,简述了其定义作用,并结合实例进行解析,对从事网络工程实践和项目实施的人员有一定的借鉴意义。 标签:计算机网络;VLAN划分;网络工程 一、VLAN的定义 VLAN是英文Virtual Local Area Network的简称,又叫虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分为一个个网段从而实现虚拟工作组的新兴技术。要划分VLAN,必须购买支持VLAN功能的网络设备。 二、划分VLAN的作用 VLAN是为解决以太网的广播问题和安全性而提出的,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。即使是处在同一网段的两台计算机,如果不在同一VLAN中,它们各自的广播流也不会相互转发。划分VLAN 有助于控制流量、减少设备投资、简化网络管理,提高网络的安全性。由于VLAN 隔离了广播风暴,也隔离了不同VLAN之间的通讯,因此,不同VLAN之间的通讯必须依靠路由器或者三层交换机来实现。 三、VLAN的划分方法 划分VLAN有四种方法,每种方法各有长短。在对网络划分VLAN时,必须依据网络的实际情况,选择一种合适的划分方法。 (一)根据端口划分VLAN 许多网络厂商都利用交换机的端口来划分VLAN成员。顾名思义,基于端口划分VLAN就是将交换机的某些端口定义为一个VLAN。第一代VLAN技术只支持在同一台交换机的多个端口划分VLAN,第二代VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个VLAN。 根据端口划分VLAN的优点是简单明了,管理也非常方便,缺点是维护相对烦琐。不过,根据端口划分VLAN是最常见的一种VLAN划分方法。 (二)根据MAC地址划分VLAN 每块网卡在全球都拥有唯一的一个物理地址,即MAC地址,根据网卡的MAC地址可以将若干台计算机划分在同一个VLAN中。这种方式的最大优点就是当用户物理地址移动时,即从一个交换机换到另一个交换机时,VLAN不用重
VLAN划分方法及优缺点 基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。 1. 基于端口的VLAN 基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况: (1) 多交换机端口定义VLAN 如图3所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2. (2) 单交换机端口定义VLAN 如图2所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2.这种VLAN只支持一个交换机。 基于端口的VLAN的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对VLAN成员进行重新配置。 2. 基于MAC地址的VLAN 基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN.MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的VLAN成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。 3. 基于路由的VLAN 路由协议工作在7层协议的第3层-网络层,比如基于IP和IPX的路由协议,这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。 4. 基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式,主要取决于在VLAN的划分中所采用的策略。
项目三任务二:vlan的划分教学设计
讲义: 1.导入 某企业由于公司内部人员流动频繁,经常需要更改办公场所,同一部门的人员可能分布在不同的楼层,不能相对集中办公。由于原局域网中各部门之间的信息可以互通,一些重要部门的敏感信息可能被其他部门访问,网络安全问题日益突出。如果你作为信息处的工程师,你如何来解决这个问题? 2.详细介绍如何实现VLAN划分 3.教师演示跨交换机VLAN划分 案例 两台交换机进行跨交换机的vlan 划分(注意交换机与交换机相连的端口设置为trunk口)交换机1的f0/1端口划分给财务部电脑 交换机1的f0/2端口划分给生产部电脑 交换机2的f0/1端口划分给财务部电脑 交换机2的f0/2端口划分给生产部电脑 3.学生当堂练习并及时提问 4.课后项目实施 任务目标 ●掌握多交换机上的VLAN划分方法。 ●理解VLAN干线(Trunk)技术。 项目所需设备准备 ●装有Windows XP操作系统的PC机4台。 ●Cisco 2950交换机2台。 ●Console控制线2根。 ●直通线4根。 交叉线1根。 项目实施步骤 ●(1) 硬件连接 ●如图5-11所示,用2根直通线把PC11、PC21连接到交换机SW1的fa0/2、fa0/13端口 上,再用2根直通线把PC12、PC22连接到交换机SW2的fa0/2、fa0/13端口上。 ●用一根交叉线把SW1交换机的fa0/1端口和SW2交换机的fa0/1端口连接起来。 ●将Console控制线的一端插入PC11计算机COM1串口,另一端插入SW1交换机的Console 接口。 ●将另一根Console控制线的一端插入PC12计算机COM1串口,另一端插入SW2交换机 的Console接口。 开启SW1、SW2交换机的电源。
摘要 摘要 随着信息时代的来临,信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地,为我国未来信息化人才提供重要的学习环境。因此,校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分。 本课题首先就xx学院校园网设计建设的相关知识技术要求做了必要的介绍然后基于工程建设实际,重点对校园网建设的需求分析、设计策略、网络拓扑结构、VLAN划分等方面进行了比较详细的分析与描述,并给出具体的实施方案。 关键字:校园网,规划,设计
ABSTRACT ABSTRACT Along with the coming of information era, information network of our country has been developed at a very rapid speed. At the frontline of education system, schools have the task to provide good study environment of training the future talents in the field of informationization for our country. This study has firstly introduced the concerned Knowledge and technical requirements of designing and constructing the web-campus of xx college, and then Analyzed and described in detail the demand analysis, design strategy, network topology structure and VLAN partition of constructing a web-campus based on practical project construction and finally proposed a specific scheme of implementation. Key words: campus,network,planning and design
虚拟局域网(VLAN)是从传统的局域网(LAN)概念上引申出来的,两者在功能和操作上基本相同。不同的是VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。换言之,VLAN模拟了一组终端设备,即使它们处于不同的物理网段上,也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成员之间能够通信,而不同VLAN用户之间是相互隔离的,如果需要通信必须通过路由设备。VLAN使网络管理简单化,可以减少工作站移动和变化所需的费用,方便地进行逻辑分组,添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外VLAN可以将广播风暴遏制在本VLAN的范围之内,其他VLAN 用户不受影响,大大节约了网络带宽,提高了带宽利用率。 虚拟局域网产生的基础是交换局域网的发展。目前,VLAN标准有Inter-SwitchLink、ATM LAN Nemulation和IEEE 802.10等几种协议可以采用。其中较常用的是1995年制定的IEEE802.10。目前许多基于二层交换的交换机都支持VLAN技术,并可以识别不同的VLAN用户。 VLAN划分可以分为端口VLAN、动态VLAN、Super VLAN等几种划分方式,这几种划分方式各有特点。可根据实际情况选择不同的VLAN划分方式。 一.端口VLAN划分 基于端口的VLAN划分方式是较常用的一种划分方法,目前许多厂商的交换产品均支持这一功能。其原理是按照用户交换机端口来定义VLAN用户,即VLAN从逻辑上把局域网交换机的端口划分开来,然后根据用户需要的IP地址在VLAN中划分子网(子网是将Internet地址中的主机地址空间进行细分,可有效提高网络可靠性、灵活性、适应性和地址资源利用率)。端口VLAN划分分为单交换机端口VLAN划分和多交换机端口VLAN划分两种方式,前者只支持在一台交换机上指定若干的端口组成VLAN,而多交换机端口VLAN划分则可以使一个VLAN跨越多个交换机,并且同一个交换机上的端口可以属于不同的VLAN。端口VLAN划分能够较好地进行用户管理,减少广播风暴,并且安全性也较高。但IP地址利用率不高,原因是一个完整的子网由网段地址、网关地址、用户地址和广播地址组成。这样,只包含一个用户的VLAN 就由4个IP地址组成,而真正被用户使用的IP地址只有一个(用户地址)。我们知道,IP地址是一种有限的资源,这样的划分方法将带来IP地址的浪费,因此端口VLAN方式的地址使用率较低。 二.动态VLAN划分 动态VLAN划分的原理是在用户交换机的内存中制定一张用户信息表,用来记录用户的IP地址、VLAN 号(VLANID)以及端口信息等。当用户数据信息进行交换时,交换机根据信息表进行检查,通过认证的数据分组进一步进行寻址和路由选择,反之则将其丢弃。动态VLAN划分的保密性较之端口VLAN划分更高,因为交换机不仅要检查用户的IP地址还要复核其VLANID。 三.SuperVLAN划分法 SuperVLAN划分法是目前最先进的一种VLAN划分方法,SuperVLAN又称为VLAN聚合(VLANAggregtion),是一种专门设计的优化IP地址的管理技术。其原理是每个子网(sub-VLAN)都是独立的多播通道,多播信息不能在不同的子网中进行交换。当数据需要送到多个目的节点时,就动态建立VLAN代理,通过代理设备对VLAN中的用户进行管理。这样每个子网不需要设定IP地址,而是一个SuperVLAN中的所有子网共享一个IP地址,这个IP地址就是SuperVLAN的IP地址。 前两种划分VLAN的方法,对于每个用户VLAN都需要分配一个IP子网地址,因此需要大量的IP地
VLAN划分方法的选择(1) 2008-01-12 08:21 转帖:chinaitlab 编者按:某保险公司分部的网络客户端从19台发展到210台,网络改造的呼声越来越高,在老网络上,该如何优化网络,解决网络拥堵问题呢? VLAN技术的实质就是指网络中的各个客户端可以不必拘泥于各自所处的物理位置,而根据需要灵活地加入不同的逻辑子网中的一种网络技术。这其中重点的含义是将局域网内的设备逻辑地而不是物理地划分成网段,从而实现虚拟工作组的一种技术,它可以帮助你对处于相同LAN网段(部门)的工作站进行分组管理,如图1所示。 图1 VLAN技术的应用 「网络需求」某保险公司网络需求 某保险公司某分理部的网络建立与2000年,网络连接设备都是HUB或者不可管理的交换机(傻交换机)。公司分理部自2000年成立到2007年,网络客户端的数量从当初的19台发展到210台左右。很多老员工都纳闷,客户端计算机的配置越来越高,反而各个客户端之间通过网络传输文件的速度却越来越慢,网络改造的呼声越来越高。 2006年1月公司规定了新的理赔、定损、业务拓展等管理制度,所有业务报表直接上报到上一级管理中心。与此同时,总公司要求分公司根据现有网络情况上报网络改造(优化)
申请,为部署部门之间的控制访问做好技术铺垫,为部署VoIP、无线网络等做好技术准备。但一直到2007年9月,总公司的资金依然没有到位。9月底,分理部的领导也从侧面了解到公司地址可能搬到5公里外的新办公地,但网络拥堵问题已经到了不可不办的地步。分理部只好自筹资金购买了一台可管理的交换机,实现最简单的网络改造。 「需求分析」网络优化势在必行 在早期局域网建设中,很多公司都使用了HUB组网,这种组网方式部署灵活,成本低廉,但这种网络结构早已不能满足如今网络快速、安全、可管理的基本要求了。这家分理部的网络是一个星型结构的网络,不同节点相连的工作站无法进行集中管理,一些出问题的工作站很容易影响整个网络的正常运行,并且用户的加入和退出也很自由。这种传统的局域网连接方案,其广播域和冲突域都是全网范围的,加之用户从19个点扩展到200多个,上网集中,信息流量大,严重影响了上网速率和质量。因此,用交换机替代HUB网络势在必行。 * 级联带宽和站点数限制 首先是上连设备的带宽和站点数限制。例如:理赔科的十几个客户端分享了一个十兆的上行链路接口,根本无法满足需求。由于连在集线器上的所有工作站均争用同一个上行总线,处于同一冲突域内,所以站点数目太多,会形成广播风暴。依据经验,HUB组网中冲突域内的站点不宜超过25个,如果有超出的趋势或已经超出,这种情况下应使用交换机来代替集线器。 * 管理失控 由于HUB最初是较低端的产品,且不可管理。随着技术的发展,部分集线器可通过增加网管模块实现对集线器提供对SNMP的支持。需要指出的是,尽管对SNMP提供了支持,但不同厂商的模块是不能混用的,甚至同一厂商的不同产品的模块也不同。从本质上讲,以
VLAN的划分与实现 1.VLAN的概念 先来了解一下什么是VLAN。VLAN(Virtual LAN)是“虚拟局域网”。是一个可以跨不同网段,不同网络的逻辑网络。既然是虚拟局域网他必然有局域网的特性,比如共享资源。VLAN所指的LAN特指使用路由器或者交换机分割的网络,也就是广播域(广播域,指的是广播帧所能传递到的范围,亦即能够直接通信的范围)。举个例子:一个学校分为A,B,C 三个系,各个系又有不同的职能部门,这三个系分别在三个不同的教学楼里面,学校要求各个不同系的部门之间要经常交流数据,共享资源。这样需要把这三个系要交流的部门划分到一个VLAN里面。这样就是一个典型的VLAN。另外关于VLAN的标准:在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。 2.为什么要用VLAN 运用VLAN可以做到: (1)减少广播域的工作点。,在一个VLAN内的广播包不会跑到别的VLAN 上去。通过限制一个VLAN 上的设备数目,在一个VLAN 上的广播率便可受到控制。一个正常的广播率应该平均每秒不超过30 个广播包(但通过网友的现场性能监测,建议广播不应该超出30 个/秒)。 (2)增强安全性。因为虚拟局域网上各个子网上的广播不会扩散开这样就保证了数据的私有性和安全性。(就像在一个物理局域网中,工作站少了出问题的可能性就比较小)即便是几十台机器的小型局域网,如果要保证数据的隔离安全,也可以尝试划分VLAN来实现。 当不同的VLAN间要互访信息的时候需要通过三层的交换机。这样的话数据包容易被管理人员监视。提高了网络的安全系数。 (3)方便网络设备的管理。 假定我们把所有的打印机都规划在一个子网上,而每一个打印机都必须在同一个广播域里。这样等于需要在每一个楼层上,分别安装交换机。这些交换机都需要光缆和铜缆的连接,而这些打印机子网都需要连接到自己的专用路由器端口上。 既然说到需要运用VLAN那么现在就有必要讨论一下VLAN的优点和缺点。 优点如下: (1)能够简化网络管理,使得网络管理简单而且直观
VLAN划分的四种策略说明 1. 基于端口的VLAN 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可,而不用考虑该端口所连接的设备是什么。公司目前ERP系统采用的方式. 2. 基于MAC地址的VLAN MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理和维护的难度。 3. 基于路由的VLAN 路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发,这类设备包括路由器和路由交换机,该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 4. 基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。公司外网采用的划分方式 就目前来说,对于VLAN的划分主要采用1、4两种模式,对于方案2则为辅助性的方案。 VLAN的划分设计之后,再所涉及的就是VLAN划分的最后一步:VLAN间的互连。 在以前对VLAN的划分主要是通过路由器来实现的,但随着网络规模的扩大、信息量的增加,路由器无论是从端口数还是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈的主要原因。而现在,因为有了基于交换机上的三层路由的能力,在上述两点已经得到合理地解决,即一次路由多次交换。
对于Cisco的产品划分,VLAN主要是基于两种标准协议:ISL和802.1Q。我们虽然所采用的均是Cisco的网络设备,但部分接入层交换机部不支持ISL,因此在进行VLAN间的互连时采用802.1Q ISL的协议封装。VLAN的划分需要扩展到各个交换机,所以交换机之间的连接都必须采用Trunk的方式。 注意事项 1. 在这里需要注意的是:因为整个公司的网络系统的VLAN的划分是作为一个整体结构来设计的,所以为了保持VLAN列表的一致性,例如当二级单位1的VLAN有所变化时,VLAN列表也会有所变化,这时就需要VTP SERVER对整体网络的其他部分进行广播,以达到VLAN的列表的一致性。 所以在设置VTP(VLAN Trunk Protocol)时要注意,要将VTP的域作为一个整体,即:VTP类型分别为Server和Client。 2. 有些企业建网较早,所选用的网络设备为其他的厂商的产品,而后期的产品又不能与前期统一,这样在VLAN的划分中就会遇到些问题,在选择VLAN 协议时尽量采用标准协议。
Vlan 种类总结 一、Standard VLAN业务 1、Standard VLAN通过把不同的端口划分到不同的VLAN,可以实现用户二层隔离;把不同的端口划分到在同一VLAN可以实现二层互通。 2、目前版本不支持Standard VLAN增加业务虚端口。 二、Smart VLAN 业务 1、SmartVLAN通过添加多个下行端口以及一个或多个上行端口,由系统自动创建上行端口和下行端口内部映射关系,实现用户之间二层报文的隔离。 三、Mux VLAN 业务 1、MUX VLAN只能添加一个业务端口但是可以添加多个上行端口,用于需要用VLAN来区分用户的场合 四、Super VLAN 业务 1、SuperVLan是一个虚拟的三层接口。它可以添加多个SubVlan,并且这些SubVlan共享一个三层接口,从而达到节省IP网段的目的。 2、SubVlan是SuperVLAN的子VLAN。SmartVLAN、MUXVLAN 或者标准VLAN都可以加入到SuperVLAN作为SubVLAN,但前提是该VLAN必须是已经创建好的VLAN。 五、QinQ VLAN业务 1、QinQ VLAN特性主要是为了满足私网VLAN和业务能直接透明传输到对端。
2、MA5600接收到底层带私网VLAN(Customer VLAN )的报文后,在该报文上再打上一层SP VLAN(Service Provider VLAN 服务提供商),这样MA5600只要创建一个QinQ VLAN,就可以把私网VLAN 直接透明传输到对端,大大节省了公网VLAN ID资源。 3、QinQ VLAN是VLAN的一种属性,只需要在创建VLAN后指明其属性为QinQ 即可。 六、VLAN Stacking业务 1、VLAN Stacking特性通过给用户报文打上两层标签来实现报文选路和标识用户的功能。 2、MA5600接收到底层不带VLAN的报文后,在该报文上打上两层VLAN(SP VLAN+Customer VLAN)后转发出去。其中外层VLAN 可以用来选路,内层VLAN可以用来标识用户,实现对用户的认证计费等功能。 3、VLAN Stacking是VLAN的一种属性,只需要在创建VLAN后指明其属性为Stacking即可。
VLAN(Virtual Local Area Network )技术的基本概念和应用 1.什么是VLAN? ?VLAN是虚拟局域网的英文缩写,是基于一个广播域的交 换机端口的集合。IEEE 802.1Q标准定义了VLAN的基本 概念和实现原理。 ?VLAN的主要作用是隔离广播域。将一个物理网络划分成 多个逻辑上的VLAN,可以将一个广播域划分成多个小的 广播域,每个VLAN对应一个小的广播域,一个VLAN中 的广播不能传播到其他的VLAN,这样有效地控制广播风 暴的发生。 ?VLAN可分为:基于端口的VLAN、基于MAC地址的VLAN、 基于IP地址的VLAN、基于IP子网的VLAN、基于协议的 VLAN和用户自定义的VLAN。其中最常用的也是最基本的 是:基于端口的VLAN,它按照接收端口来确定一个数据 包的VLAN属性。 ?VLAN的属性是指:当一个交换机端口接收到一个数据包 时,确定这个数据包属于哪个VLAN。 2.VLAN的主要功能 ?通过VLAN可以非常灵活地将一个物理网络按照需求划分 成多个逻辑子网。例如,某公司由于各部门的业务不同 以及安全的需求,可以按照市场部、工程部、财务部将 公司的网络划分成三个不同的VLAN,各部门不能直接访 问,下面是一个使用cisco交换机组网的例子:
在这个网络中,一个部门网络的成员可以在不同的楼层, 可以与不同的交换机端口相连,组网方式非常灵活。通 过把公司网络划分成三个VLAN,广播报文只限制在一个 VLAN内传播,大大提高了网络的使用效率。 ?简化端站的移动、增加与更换。当一台终端站被移动到 新的物理位置,它的属性可以从一台管理工作站上通过 简单网络管理协议(SNMP)或用户接口菜单重新分配。 若端站在同一VLAN中移动,在新的位置它将保持原有的 属性。若端站移动到不同的VLAN,那它将被赋予新的VLAN 的属性。 ?网络安全。把一个物理网络划分成若干个VLANs,每个 VLAN中的广播只能在本VLAN所属的交换机端口传播,提 高整个网络的安全性。 3.VLAN的实现 ?IEEE 802.1Q标准定义了动态实现VLAN的机制。这里不 作介绍。 ?为了实现VLAN,IEEE 802.1Q标准定义了一种新的帧格 式。它在标准的以太网帧的源MAC地址后面加入了一个 Tag header(4字节),此格式用下图表示:
局域网在网络层有什么不安全的地方? NAI公司供稿 不安全的地方 由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就对可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。 网络分段 网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。 网络分段可分为物理分段和逻辑分段两种方式: 物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP 网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。 VLAN的实现 虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域
网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。 以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。 由以上运行机制带来的网络安全的好处是显而易见的: 信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。 通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。 但是,虚拟网技术也带来了新的安全问题: 执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。 采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。 VLAN之间的划分原则 VLAN的划分方式的目的是保证系统的安全性。因此,可以按照系统的安全性来划分VLAN;可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个Leader VLAN(LVLAN), 其他司局(或下级机构)分别作为一个VLAN,并且控制LVLAN与其他VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现,VLAN与VLAN之间采用路由实现。由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN 与其他VLAN之间设置一个Gauntlet防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交流。 VLAN基本知识作用