WLAN中的VLAN划分方法

VLAN的好处在于有效地限制了L2的广播域。对于有线网络,常见的VLAN划分方法包括基于交换机端口的划分、基于MAC地址的划分、基于L3的IP划分以及基于802.1x的安全凭证划分等,这方面的资料比较多,支持的产品也很多,应用很成熟。

但对于WLAN,该如何划分VLAN呢?

WLAN的网络结构基本单位是BSS。BSS有两种形态:独立基础结构(IBSS,也叫自组网Adhoc)和基础结构Infrastructure。自组网就是多个站点自发组成一个可以互通的WLAN,而基础结构模式则以AP为中心,其它站点都先与AP关联,然后才能与BSS中的其它站点进行通信。以下所提到的BSS仅指基础结构。

WLAN中的VLAN划分必须要有AP的支持。每一个VLAN由一个VLAN ID来标示,因此以什么作为VLAN ID的依据,决定了VLAN在哪个层次划分。根据VLAN与BSS的关系,WLAN中的VLAN划分有几种情况。

1. 以MAC层依据作为VLAN ID

一个AP至少可以组建一个BSS,而且不少实际的产品还支持同时虚拟出多个BSS,每个BSS拥有不同的BSSID。对于每个BSS,一些AP产品还可以同时支持多个SSID,不同的SSID共享大部分的BSS配置和Radio接口配置,可以有少部分配置不一样(比如密钥)。

1.1 以SSID或BSSID为划分依据

一种容易实现的VLAN划分方法就是以SSID为划分依据,每个SSID对应一个VLAN ID。这种划分依据完全来自于802.11 MAC层的SSID,因此可以完全在AP内部实现。根据AP对多SSID支持情况的不同,具体情况又有所不同。

1.1.1 AP支持多个BSS,每个BSS又支持多个SSID

这种情况下按照SSID来划分VLAN,所有连接到该SSID的站点都属于同一个VLAN。每个SSID提供给STATION的接入端口均为VLAN的Access端口,是不带tag的端口。

由于一个BSS内有多个SSID,因此一个BSS内就会有多个VLAN。由于这些SSID均属于同一BSS,因此如果位于两个VLAN内的STATION要通信,只需要经过AP内部的转发桥接即可。

1.1.2 AP仅支持一个BSS,每个BSS支持多SSID

这种情况下按照SSID来划分VLAN,跟上面的情况类似。

1.1.3 AP支持多个BSS,每个BSS仅支持一个SSID

这种情况下SSID与BSSID一一对应,因此根据SSID来划分VLAN与根据BSSID来划分是一样的。这种情况下属于同一个BSS的站点属于同一个VLAN,位于两个VLAN内的STATION要通信,只需要经过AP内部的转发桥接即可也仅仅需要AP内部的转发。

1.1.4 AP仅支持BSS,每个BSS仅支持一个SSID

这种情况下如果按照SSID或BSSID来划分VLAN,则整个BSS均属于同一VLAN。由于不存在多个VLAN,因此不存在VLAN互通的问题。

可见,如果在同一AP内部划分不同的VLAN,那么这些VLAN间的互通仅需要AP内部的MAC桥接即可实现,而不需要将数据交到更高层进行转发或桥接。

1.2 以MAC地址为划分依据

这种情况根据STATION的MAC地址在BSS内划分VLAN。AP根据从STATION发来的帧中的源地址决定该STATION所属的VLAN,从而可以保证同一VLAN的互通和不同VLAN的桥接。

上面的两种划分均是以802.11 MAC层的信息作为VLAN ID的划分依据,因此同一VLAN内部的转发和不同VLAN之间的桥接均可在AP内部实现,而不需要分发。

在上面的两种情况下,在AP内部只需要维护两张表即可:一张表是VLAN ID与VLAN依据(SSID/BSSID或MAC地址)之间的对应表,另一张表示VLAN ID与VLAN接口之间的对应表。Access端口上的数据收发情况如下:

进入Access端口的数据:可以不带tag。如果需要分发到AP外(目的地址不是BSSID且不是任何BSS中的其它站点),则加上tag通过分发接口分发;如果不需要分发到AP外,则有几种情况:

DA为BSSID,则由AP接收并处理;
DA为同一VLAN中的其它STATION,则MAC层转发;
DA为不同VLAN,但同一AP中的其它STATION,则执行VLAN之间的桥接协议。
从Access端口发出的数据:不带tag,直接发到STATION。

这种划分的缺点仅适合于较小的网络,灵活性较差。比如,无法实现跨AP的VLAN,也就是连接到不同AP的两个STATION无法划分到同一个VLAN。

2. 动态VLAN划分方式

动态划分方式并不由AP来决定VLAN ID,而是由其它更高级的设备来决定。一种方法是由RADIUS服务器来划分。当一个STATION与AP关联时,AP中的RADIUS客户端与RADIUS服务器进行通信,从而得到该STATION所属的VLAN ID。RADIUS决定STATION服务器所属VLAN的依据可以是用户名、IP地址等,因此具有很大的灵活性。当用户的位置改变后,他所属的VLAN仍然不变。

采用动态VLAN方式后,同一个AP的同一个SSID中的两个STATION可能属于不同的VLAN,而连接到两个不同AP中的STATION却可能属于同一VLAN。因此这种情况下,要实现同一VLAN中不同STATION之间的互通,需要更高层的转发和桥接,可能需要经过位于WDS接口或以太网DS接口等接口之上的VLAN trunk、hybrid端口。


本文来自优快云博客,转载请标明出处:http://blog.youkuaiyun.com/rangzh/archive/2008/07/02/2606778.aspx

<think>嗯,用户现在问的是VLAN划分怎么操作。之前他们咨询的是三甲医院的网络建设,涉及HIS和LIS系统的互通、隔离、医保专网接入以及远程运维。现在这个问题应该是延续之前的网络设计,具体到VLAN的实施步骤。 首先,我需要回忆之前给出的方案里提到在核心交换机上为HIS/LIS服务器划分独立VLAN,比如VLAN10和VLAN20,业务终端在VLAN30,堡垒机在VLAN40。用户现在想知道具体的操作步骤,可能需要详细的技术指导。 用户可能的身份是医院的网络工程师或相关技术人员,他们需要具体的配置方法,而不仅仅是理论。他们可能对VLAN的概念有一定了解,但需要实际操作的步骤,比如如何在交换机上创建VLAN、分配端口、配置Trunk等。 另外,用户的需求可能包括如何确保不同VLAN之间的通信控制,比如ACL的应用,以及如何验证配置是否正确。还可能关心安全措施,比如隔离和访问控制,防止未经授权的访问。 需要分步骤说明,从规划到配置再到验证,每一步都要清晰。可能还需要给出不同厂商的示例命令,比如华为和Cisco,因为实际设备可能不同。此外,要强调注意事项,比如避免VLAN ID冲突,Trunk配置的重要性,以及安全策略的必要性。 可能还需要解答常见问题,比如不同厂商的配置差异,VLAN间路由如何实现,以及如何处理IP地址分配的问题。用户可能在实际操作中遇到这些问题,提前说明可以节省他们的时间。 最后,要确保回答结构清晰,步骤详细,同时保持技术准确性,避免错误配置导致网络问题。可能需要参考之前的网络架构图,确保VLAN划分符合整体设计,满足医院的隔离和互通需求。</think>以下是VLAN划分的操作步骤详解,结合实际网络设备配置示例: --- ### **一、VLAN划分核心步骤** #### **1. 规划阶段** ```markdown | VLAN ID | 用途 | IP网段 | 关联设备 | |---------|----------------|-----------------|-----------------| | VLAN10 | HIS系统服务器 | 192.168.10.0/24 | 核心交换机端口1-10 | | VLAN20 | LIS系统服务器 | 192.168.20.0/24 | 核心交换机端口11-20 | | VLAN30 | 业务终端 | 192.168.30.0/24 | 接入交换机所有端口 | | VLAN40 | 堡垒机 | 192.168.40.0/24 | 防火墙DMZ区接口 | ``` #### **2. 交换机配置(以华为交换机为例)** **步骤1:创建VLAN** ```plaintext <HUAWEI> system-view [HUAWEI] vlan batch 10 20 30 40 # 批量创建VLAN ``` **步骤2:分配端口模式** - **Access端口**(终端直连): ```plaintext [HUAWEI] interface GigabitEthernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port link-type access # 设置为Access模式 [HUAWEI-GigabitEthernet0/0/1] port default vlan 10 # 绑定到VLAN10 ``` - **Trunk端口**(交换机互联): ```plaintext [HUAWEI] interface GigabitEthernet 0/0/24 [HUAWEI-GigabitEthernet0/0/24] port link-type trunk # 设置为Trunk模式 [HUAWEI-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30 # 允许多个VLAN通过 ``` #### **3. 验证配置** ```plaintext # 查看VLAN列表 [HUAWEI] display vlan # 检查端口绑定状态 [HUAWEI] display port vlan GigabitEthernet 0/0/1 ``` --- ### **二、跨厂商设备差异对比** | 操作 | 华为命令 | Cisco命令 | |--------------|------------------------------|-------------------------------| | 创建VLAN | `vlan batch 10` | `vlan 10` | | 端口模式设置 | `port link-type access` | `switchport mode access` | | Trunk放行VLAN| `port trunk allow-pass vlan`| `switchport trunk allowed vlan` | --- ### **三、VLAN间通信控制** #### **1. 允许HIS(VLAN10)与LIS(VLAN20)互通** ```plaintext # 在核心交换机配置ACL [HUAWEI] acl 3000 [HUAWEI-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [HUAWEI-acl-adv-3000] rule deny ip # 默认拒绝其他流量 ``` #### **2. 禁止业务终端(VLAN30)访问互联网** ```plaintext # 在防火墙配置安全策略 [HUAWEI-Firewall] security-policy [HUAWEI-policy-security] rule name Deny_Internet [HUAWEI-policy-security-rule-Deny_Internet] source-zone trust # 内网区域 [HUAWEI-policy-security-rule-Deny_Internet] destination-zone untrust # 互联网区域 [HUAWEI-policy-security-rule-Deny_Internet] action deny ``` --- ### **四、操作注意事项** 1. **IP地址规划** - 每个VLAN需分配独立IP网段(如`VLAN10: 192.168.10.0/24`) - 网关建议设置在核心交换机(如`192.168.10.1`) 2. **Trunk链路配置** - 交换机级联端口必须配置为Trunk模式 - 需明确允许通过的VLAN列表(避免VLAN泄漏) 3. **安全隔离** - 医疗设备VLAN建议启用端口安全(MAC绑定) - 关键VLAN(如HIS)禁用CDP/LLDP协议防拓扑探测 --- ### **五、常见问题解答** **Q1:如何实现VLAN间路由?** - 方案1:启用三层交换机SVI接口 ```plaintext [HUAWEI] interface Vlanif10 [HUAWEI-Vlanif10] ip address 192.168.10.1 24 ``` - 方案2:通过防火墙做路由(推荐安全隔离) **Q2:无线AP如何划分VLAN?** - 在无线控制器配置SSID与VLAN绑定: ```plaintext # 华为AC示例: [HUAWEI-wlan-view] service-vlan vlan-id 30 # 业务SSID绑定VLAN30 ``` --- 通过以上步骤可实现医疗网络的安全隔离与受控互通,实际部署时需结合网络拓扑和设备型号调整配置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值