划分Vlan的目的
很多人还真就以为划分VLAN的目的就是为了隔离不同VLAN不让他们互访(其实这是非常多人的误区,当然这可以通过ACL做到,但并不是划分VLAN的目的,这个最多可以理解成这是划分VLAN之后的一种应用并不是最终目的)。其实划分VLAN的目的就两个:
1.提高安全性----------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播.
2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围.
1.提高安全性----------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播.
2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围.
误区解释: 划分VLAN的目的根本没有隔离VLAN不让VLAN间互访这么一说:划分VLAN如果真是为了隔离,怎么还要使用三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?更何况现在的三层交换机,划分了vlan ,如果配置了VLAN的三层接口即int vlanif 并且将这个三层接口作为接在该VLAN下的PC的网关时,所有VLAN 下的PC在默认没有作三层VLANIF接口间流量访问控制时是完全可以互访的,要隔离还得使用ACL...........这个只是划分VLAN之间可以实现的一种应用(并不是划分VLAN的最终目的)
划分VLAN是为了控制广播域。减少广播风暴的影响。 间接提高了安全性。 只是划分VLAN在实际表现中就是端口之间不能正常通信(ARP泛洪接收不到)所以就会被认为是起到了隔离的作用。
划分了vlan导致不能互连,可以通过三层交换启用ip routing
vlan主要还是应用于交换机中,必须使用vlan协议(802.1Q标准),也可用于路由器
把同一物理局域网内的不同用户逻辑地划分成不同的广播域,
由VLAN的特点可知,一个VLAN内部的
广播
和
单播
流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的
广播
问题和
安全性
而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。
当一个
交换机
上的所有端口中有至少一个端口属于不同
网段
的时候,当
路由器
的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。(不明白路由器一个端口如何连线布局想两个网段,解释:根据数据通过的包信息来区分,一个端口接收多个vlan的数据包)
VLAN是建立在物理
网络
基础上的一种逻辑
子网
,因此建立VLAN需要相应的支持VLAN技术的
网络设备
。当
网络
中的不同VLAN间进行相互通信时,需要
路由
的支持,这时就需要增加路由设备——要实现路由功能,既可采用
路由器
,也可采用
三层交换机
来完成,同时还严格限制了
用户数量
。
划分vlan方式
1.按端口划分 最常用 物理层 基于端口的vlan
2.根据mac地址划分 缺点:初始配置会非常累,效率低 数据链路层 动态vlan
3根据网络层ip划分,非路由ip,效率低,需要消耗时间检查数据包的ip 网络层
交换机的端口工作模式通常可以分为三种,它们分别为Access模式、Multi模式、Trunk模式。允许多个vlan的是multi模式,而不是trunk模式。Access模式的交换端口往往只能属于1个VLAN,通常用于连接普通
计算机
的端口;Trunk模式的交换端口可以属于多个VLAN,能够发送和接收多个VLAN的
数据报
文,通常使用在
交换机
之间的级联端口上;multi模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,可以用于交换机之间的连接,也可以用于连接普通计算机的端口
port vlan 基于端口的VLAN,处于同一VLAN端口之间才能相互通信。
tag vlan 基于IEEE 802.1Q(vlan标准),用VID(vlan id)来划分不同的VLAN
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
