WLAN中的VLAN划分方法

最新推荐文章于 2024-12-16 15:19:28 发布
转载 最新推荐文章于 2024-12-16 15:19:28 发布 · 3.5k 阅读 · 1
文章标签:

#access #服务器 #网络 #产品

VLAN的好处在于有效地限制了L2的广播域。对于有线网络,常见的VLAN划分方法包括基于交换机端口的划分、基于MAC地址的划分、基于L3的IP划分以及基于802.1x的安全凭证划分等,这方面的资料比较多,支持的产品也很多,应用很成熟。

但对于WLAN,该如何划分VLAN呢?

WLAN的网络结构基本单位是BSS。BSS有两种形态:独立基础结构(IBSS,也叫自组网Adhoc)和基础结构Infrastructure。自组网就是多个站点自发组成一个可以互通的WLAN,而基础结构模式则以AP为中心,其它站点都先与AP关联,然后才能与BSS中的其它站点进行通信。以下所提到的BSS仅指基础结构。

WLAN中的VLAN划分必须要有AP的支持。每一个VLAN由一个VLAN ID来标示,因此以什么作为VLAN ID的依据,决定了VLAN在哪个层次划分。根据VLAN与BSS的关系,WLAN中的VLAN划分有几种情况。

1. 以MAC层依据作为VLAN ID

一个AP至少可以组建一个BSS,而且不少实际的产品还支持同时虚拟出多个BSS,每个BSS拥有不同的BSSID。对于每个BSS,一些AP产品还可以同时支持多个SSID,不同的SSID共享大部分的BSS配置和Radio接口配置,可以有少部分配置不一样(比如密钥)。

1.1 以SSID或BSSID为划分依据

一种容易实现的VLAN划分方法就是以SSID为划分依据,每个SSID对应一个VLAN ID。这种划分依据完全来自于802.11 MAC层的SSID,因此可以完全在AP内部实现。根据AP对多SSID支持情况的不同,具体情况又有所不同。

1.1.1 AP支持多个BSS,每个BSS又支持多个SSID

这种情况下按照SSID来划分VLAN,所有连接到该SSID的站点都属于同一个VLAN。每个SSID提供给STATION的接入端口均为VLAN的Access端口,是不带tag的端口。

由于一个BSS内有多个SSID,因此一个BSS内就会有多个VLAN。由于这些SSID均属于同一BSS,因此如果位于两个VLAN内的STATION要通信,只需要经过AP内部的转发桥接即可。

1.1.2 AP仅支持一个BSS,每个BSS支持多SSID

这种情况下按照SSID来划分VLAN,跟上面的情况类似。

1.1.3 AP支持多个BSS,每个BSS仅支持一个SSID

这种情况下SSID与BSSID一一对应,因此根据SSID来划分VLAN与根据BSSID来划分是一样的。这种情况下属于同一个BSS的站点属于同一个VLAN,位于两个VLAN内的STATION要通信,只需要经过AP内部的转发桥接即可也仅仅需要AP内部的转发。

1.1.4 AP仅支持BSS,每个BSS仅支持一个SSID

这种情况下如果按照SSID或BSSID来划分VLAN,则整个BSS均属于同一VLAN。由于不存在多个VLAN,因此不存在VLAN互通的问题。

可见,如果在同一AP内部划分不同的VLAN,那么这些VLAN间的互通仅需要AP内部的MAC桥接即可实现,而不需要将数据交到更高层进行转发或桥接。

1.2 以MAC地址为划分依据

这种情况根据STATION的MAC地址在BSS内划分VLAN。AP根据从STATION发来的帧中的源地址决定该STATION所属的VLAN,从而可以保证同一VLAN的互通和不同VLAN的桥接。

上面的两种划分均是以802.11 MAC层的信息作为VLAN ID的划分依据,因此同一VLAN内部的转发和不同VLAN之间的桥接均可在AP内部实现,而不需要分发。

在上面的两种情况下,在AP内部只需要维护两张表即可:一张表是VLAN ID与VLAN依据(SSID/BSSID或MAC地址)之间的对应表,另一张表示VLAN ID与VLAN接口之间的对应表。Access端口上的数据收发情况如下:

进入Access端口的数据:可以不带tag。如果需要分发到AP外(目的地址不是BSSID且不是任何BSS中的其它站点),则加上tag通过分发接口分发;如果不需要分发到AP外,则有几种情况:

DA为BSSID,则由AP接收并处理;
DA为同一VLAN中的其它STATION,则MAC层转发;
DA为不同VLAN,但同一AP中的其它STATION,则执行VLAN之间的桥接协议。
从Access端口发出的数据:不带tag,直接发到STATION。

这种划分的缺点仅适合于较小的网络,灵活性较差。比如,无法实现跨AP的VLAN,也就是连接到不同AP的两个STATION无法划分到同一个VLAN。

2. 动态VLAN划分方式

动态划分方式并不由AP来决定VLAN ID,而是由其它更高级的设备来决定。一种方法是由RADIUS服务器来划分。当一个STATION与AP关联时,AP中的RADIUS客户端与RADIUS服务器进行通信,从而得到该STATION所属的VLAN ID。RADIUS决定STATION服务器所属VLAN的依据可以是用户名、IP地址等,因此具有很大的灵活性。当用户的位置改变后,他所属的VLAN仍然不变。

采用动态VLAN方式后,同一个AP的同一个SSID中的两个STATION可能属于不同的VLAN,而连接到两个不同AP中的STATION却可能属于同一VLAN。因此这种情况下,要实现同一VLAN中不同STATION之间的互通,需要更高层的转发和桥接,可能需要经过位于WDS接口或以太网DS接口等接口之上的VLAN trunk、hybrid端口。


本文来自优快云博客,转载请标明出处:http://blog.youkuaiyun.com/rangzh/archive/2008/07/02/2606778.aspx

一文读懂VLANWLAN,通信故障排查的主要手段有哪些?
HXKF123的博客
01-15 1113
VLAN(Virtual Local Area Network,虚拟局域网)和WLAN(Wireless Local Area Network,无线局域网)在计算机网络领域中都扮演着重要的角色,但它们之间存在明显的区别。
思科交换机的VLAN划分1
2302_76730689的博客
08-07 701
因此vlan划分能有效地控制网络广播风暴,提高网络的安全可靠性,是有效的网络监控、数据流量控制的手段,还能实现不同地理位置的部门间的局域网通信,有效的地节省构建网络时所需网络设备的费用。#3在交换机上创建vlan 10和vlan 20,并将端口fa0/1-2放入vlan10,将端口fa0/3-4放入vlan20。
WLAN划分
zk584715834的博客
12-13 1904
例如pc1的mac为1F-1F-1F-1F-1F-1F,pc2的mac地址为1D-1D-1D-1D-1D-1D,当pc1和pc2接入交换机的1和2端口时属于同一vlan,接入1和3端口时仍然属于同一vlan。交换机SW1在接收到主机A发送的不带VLAN标签的报文,通过F0/1口,自动为报文打上VLAN为10的标签(F0/1是Access接口);不关注mac地址,谁接入规定的端口即在同一vlan。如果收到一个带有vlan标签的数据帧,会和自己的vlan标签比较,如果一样放行,并脱掉标签,如果不一样拒收。
划分WLAN的三种主要方法,基于WLAN,基于IP,基于端口
xtggbmdk的博客
12-16 766
每个设备都有一个唯一的MAC地址,通过将特定的MAC地址分配给不同的VLAN,可以实现设备的隔离。通过将交换机上的特定端口分配给不同的VLAN,可以实现网络的不同部分相互隔离。每个端口只能属于一个VLAN,这样可以确保数据只能在同一个VLAN内的设备之间传输,不同VLAN之间的设备则无法直接通信‌1。通过定义不同的子网掩码和IP范围,可以将属于不同子网的设备划分到不同的VLAN中。这种方法不需要改变物理连接,只需在路由器或交换机上配置相应的IP地址范围即可实现VLAN划分‌1。
java wlan,WLAN中的VLAN划分方法
weixin_35620837的博客
03-20 461
VLAN的好处在于有效地限制了L2的广播域。对于有线网络,常见的VLAN划分方法包括基于交换机端口的划分、基于MAC地址的划分、基于L3的IP划分以及基于802.1x的安全凭证划分等,这方面的资料比较多,支持的产品也很多,应用很成熟。但对于WLAN,该如何划分VLAN呢?WLAN网络结构基本单位是BSS。BSS有两种形态:独立基础结构(IBSS,也叫自组网Adhoc)和基础结构Infrastru...
WLAN划分以及链路聚合
解不开的未知数
03-12 2430
交换机原理:泛洪概念。广播域:广播帧影响的范围。冲突域:三层交换机:终端主机发出的广播帧在三层接口被终止,广播帧不转发,但二层三层都拥有泛洪。减小广播域范围:(1)三层交换机或者路由器                (2)划分VLAN(虚拟局域网)                                              1.创建VLAN          vlan 2(进入VLA...
LAN、WAN、WLANVLAN的区别
码放南山
03-18 5743
原文链接 局域网(Local Area Network,LAN) 是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。 广域网 (Wide...
实验2 VLAN划分VLAN间通信的配置
软件程序媛的博客
12-16 1361
Cisco Packet Tracer 本次实验所制作的网络拓扑中,PC0 ping PC1(PC2 ping PC3)之间可以正常通信,PC0 和PC2(PC1和PC3)之间不能正常通信。按下图所示制作网络拓扑,路由器的型号自行选择。
VLAN的基本原理与划分
weixin_42283438的博客
04-15 2322
首先VLAN叫做虚拟局域网,是一种通过将局域网内的设备逻辑而非物理地划分成一个个网段, 从而实现虚拟工作组的技术。说到这里,同学们想必很熟悉,有很多和VLAN长的像的技术名称,比如LAN(局域网)、WLAN(无线局域网)、MAN(城域网)、WAN(广域网)、VxLAN(虚拟扩展局域网),都得熟记哦,可别傻傻分不清! VLAN大多数都是配置在物理交换机上,通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离,这样既能够隔离广播域,又能够提升网络的安全
WLAN划分与子网划分的区别
qq_46621195的博客
11-16 1505
wlan
vlan的几种划分方式
weixin_37945631的博客
03-17 1万+
基于端口的划分vlan 2                                                                    创建vlan2interface g0/0/0                                                     进入端口port link-type access                 ...
VLAN划分
将勤补拙
12-17 7660
1.VLAN划分方式 可以基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN。不同方式的VLAN划分比 较。 VLAN划分方式差异 1.VLAN划分方式 基于端口原理:根据交换设备的端口编号来划分VLAN。为交换机的每个端口配置不同PVID,即一个端口缺省属于的VLAN. 优点:定义成员简单, 缺点:成员移动需要重新配置VLAN。 2.VLAN划分方式 基于MAC地址 原理...
基于MATLAB的数字调制方法
FPGA/MATLAB学习教程/源码/项目合作开发
11-05 6803
以数字信号序列10110010为例,给出产生2ASK信号的MATLAB程序如下,波形图如图2所示。 t=0:2*pi/99:2*pi; m1=[]; c1=[]; for n=1:length(s) if s(n)==0; m=zeros(1,100); else s(n)==1; m=ones(1,100); end c=sin(f*t); m1=[m1 m]; c1=[c1 c] end ask=c1.*m1; subplot(21...
wlan的8种组网方式的区别
xtggbmdk的博客
10-30 1372
1)方式一:直连模式+ 二层组网(直接转发/ 集中转发)(2)方式二:直连模式+ 三层组网(集中转发)(3)方式三:旁挂模式+ 二层组网(直接转发)(4)方式四:旁挂模式+ 二层组网(集中转发)(5)方式五:旁挂模式+ 三层组网(集中转发。
WLAN基本概念与配置、VLAN Pool配置
weixin_72194028的博客
12-21 7296
WLAN基本概念与配置、VLAN Pool配置
无线网络——WLAN详解
热门推荐
wh940830165的博客
04-27 1万+
人们为这段电磁波又定义了无线频谱,按照频率范围划分为极低频、超低频、中频、高频、超高频等,WLAN使用的射频频率范围是 2.4GHz 频段(2.4GHz~2.4835GHz)和 5Hz 频段(频段范围 5.150GHz ~ 5.350GHz 和 5.725GHz ~ 5.850GHz),分别属于特高频(300MHz ~ 3GHz)和超高频(3GHz ~ 30GHz)适用于中小型企业,需要配合云管理平台使用,由云管理平台统一管理和配置,功能丰富,即插即用,对网络维护人员的技能要求低。
无线局域网WLAN之初步认识
kxbdys的博客
03-02 3975
一、无线网络的分类 无线网络根据应用范围可分为WPAN、WLAN、WMAN、WWAN。 1、WPAN (Wireless Personal Area Network):个人无线网络,常用技术有:Bluetooth、ZigBee、 NFC、HomeRF、UWB。 2、 WLAN (Wireless Local Area Network):无线局域网,常用技术有: Wi-Fi。 (WLAN中也会使用WPAN的相关技术。) 3、WMAN (Wireless Metropolitan Area Networ
VLAN划分怎么操作
最新发布
03-26
<think>嗯,用户现在问的是VLAN划分怎么操作。之前他们咨询的是三甲医院的网络建设,涉及HIS和LIS系统的互通、隔离、医保专网接入以及远程运维。现在这个问题应该是延续之前的网络设计,具体到VLAN的实施步骤。 首先,我需要回忆之前给出的方案里提到在核心交换机上为HIS/LIS服务器划分独立VLAN,比如VLAN10和VLAN20,业务终端在VLAN30,堡垒机在VLAN40。用户现在想知道具体的操作步骤,可能需要详细的技术指导。 用户可能的身份是医院的网络工程师或相关技术人员,他们需要具体的配置方法,而不仅仅是理论。他们可能对VLAN的概念有一定了解,但需要实际操作的步骤,比如如何在交换机上创建VLAN、分配端口、配置Trunk等。 另外,用户的需求可能包括如何确保不同VLAN之间的通信控制,比如ACL的应用,以及如何验证配置是否正确。还可能关心安全措施,比如隔离和访问控制,防止未经授权的访问。 需要分步骤说明,从规划到配置再到验证,每一步都要清晰。可能还需要给出不同厂商的示例命令,比如华为和Cisco,因为实际设备可能不同。此外,要强调注意事项,比如避免VLAN ID冲突,Trunk配置的重要性,以及安全策略的必要性。 可能还需要解答常见问题,比如不同厂商的配置差异,VLAN间路由如何实现,以及如何处理IP地址分配的问题。用户可能在实际操作中遇到这些问题,提前说明可以节省他们的时间。 最后,要确保回答结构清晰,步骤详细,同时保持技术准确性,避免错误配置导致网络问题。可能需要参考之前的网络架构图,确保VLAN划分符合整体设计,满足医院的隔离和互通需求。</think>以下是VLAN划分的操作步骤详解,结合实际网络设备配置示例: --- ### **一、VLAN划分核心步骤** #### **1. 规划阶段** ```markdown | VLAN ID | 用途 | IP网段 | 关联设备 | |---------|----------------|-----------------|-----------------| | VLAN10 | HIS系统服务器 | 192.168.10.0/24 | 核心交换机端口1-10 | | VLAN20 | LIS系统服务器 | 192.168.20.0/24 | 核心交换机端口11-20 | | VLAN30 | 业务终端 | 192.168.30.0/24 | 接入交换机所有端口 | | VLAN40 | 堡垒机 | 192.168.40.0/24 | 防火墙DMZ区接口 | ``` #### **2. 交换机配置(以华为交换机为例)** **步骤1:创建VLAN** ```plaintext <HUAWEI> system-view [HUAWEI] vlan batch 10 20 30 40 # 批量创建VLAN ``` **步骤2:分配端口模式** - **Access端口**(终端直连): ```plaintext [HUAWEI] interface GigabitEthernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port link-type access # 设置为Access模式 [HUAWEI-GigabitEthernet0/0/1] port default vlan 10 # 绑定到VLAN10 ``` - **Trunk端口**(交换机互联): ```plaintext [HUAWEI] interface GigabitEthernet 0/0/24 [HUAWEI-GigabitEthernet0/0/24] port link-type trunk # 设置为Trunk模式 [HUAWEI-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30 # 允许多个VLAN通过 ``` #### **3. 验证配置** ```plaintext # 查看VLAN列表 [HUAWEI] display vlan # 检查端口绑定状态 [HUAWEI] display port vlan GigabitEthernet 0/0/1 ``` --- ### **二、跨厂商设备差异对比** | 操作 | 华为命令 | Cisco命令 | |--------------|------------------------------|-------------------------------| | 创建VLAN | `vlan batch 10` | `vlan 10` | | 端口模式设置 | `port link-type access` | `switchport mode access` | | Trunk放行VLAN| `port trunk allow-pass vlan`| `switchport trunk allowed vlan` | --- ### **三、VLAN间通信控制** #### **1. 允许HIS(VLAN10)与LIS(VLAN20)互通** ```plaintext # 在核心交换机配置ACL [HUAWEI] acl 3000 [HUAWEI-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [HUAWEI-acl-adv-3000] rule deny ip # 默认拒绝其他流量 ``` #### **2. 禁止业务终端(VLAN30)访问互联网** ```plaintext # 在防火墙配置安全策略 [HUAWEI-Firewall] security-policy [HUAWEI-policy-security] rule name Deny_Internet [HUAWEI-policy-security-rule-Deny_Internet] source-zone trust # 内网区域 [HUAWEI-policy-security-rule-Deny_Internet] destination-zone untrust # 互联网区域 [HUAWEI-policy-security-rule-Deny_Internet] action deny ``` --- ### **四、操作注意事项** 1. **IP地址规划** - 每个VLAN需分配独立IP网段(如`VLAN10: 192.168.10.0/24`) - 网关建议设置在核心交换机(如`192.168.10.1`) 2. **Trunk链路配置** - 交换机级联端口必须配置为Trunk模式 - 需明确允许通过的VLAN列表(避免VLAN泄漏) 3. **安全隔离** - 医疗设备VLAN建议启用端口安全(MAC绑定) - 关键VLAN(如HIS)禁用CDP/LLDP协议防拓扑探测 --- ### **五、常见问题解答** **Q1:如何实现VLAN间路由?** - 方案1:启用三层交换机SVI接口 ```plaintext [HUAWEI] interface Vlanif10 [HUAWEI-Vlanif10] ip address 192.168.10.1 24 ``` - 方案2:通过防火墙做路由(推荐安全隔离) **Q2:无线AP如何划分VLAN?** - 在无线控制器配置SSID与VLAN绑定: ```plaintext # 华为AC示例: [HUAWEI-wlan-view] service-vlan vlan-id 30 # 业务SSID绑定VLAN30 ``` --- 通过以上步骤可实现医疗网络的安全隔离与受控互通,实际部署时需结合网络拓扑和设备型号调整配置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值