解开VLAN的神秘面纱:学会规划VLAN,保障网络安全!
随着网络规模的增大,局域网中终端数目较多时,网络中容易出现广播泛滥,冲突严重,网络性能下降等问题。此时需要在局域网中采取有效的访问控制处理来解决上述问题。VLAN功能为上述问题提供了有效的解决方案。今天我们就来聊一聊,这常常被运用到的VLAN技术。
01VLAN技术简介
如上图所示,在以上网络中,由于主机设备较多且设备在网络中会发送广播帧,且所有终端以及转发设备都能接受到数据帧,易出现广播泛滥,冲突严重,网络性能下降等问题,通过交换机LAN互联虽然能解决冲突问题,但仍然不能隔离广播报文。且若想要某些设备无法互访,比如A禁止访问B,则需要以太网中存在访问控制。
那如何解决呢?VLAN技术应运而生。
VLAN(Virtual Local Area Network,虚拟局域网),逻辑上将设备隔离成不同局域网,不受物理线路的限制。这种技术可以把一个LAN划分为多个带逻辑的LAN,即VLAN。每个VLAN是一个广播域,VLAN内的主机通信就和在一个LAN内是一样的,而VLAN间不能直接互通。同一个VLAN内的主机通过以太网通信,而不同VLAN的主机需要通过路由器或者三层交换机等网络设备进行通信。
1)提高网络性能。通过VLAN功能可以将广播帧限制在VLAN内,有效控制网络的广播风暴,节省了网络带宽,进而提高网络处理能力。
2) 增强网络安全。不同VLAN的设备不能互相访问,需要通过路由器或三层交换机等网络层设备对报文进行三层转发,从而确保一个VLAN的数据不会被其他VLAN的设备窃听。
3) 虚拟工作组。使用VLAN功能能够快速创建虚拟工作组,只需网络管理者在控制台上进行简单的操作就可以创建,而不必为项目需要将组成员的工作站集合在一起来建立一个局域网。
4) 降低网络管理成本。同一个虚拟工作组的主机不会局限在某个物理范围内,简化了网络的管理,方便为不同区域用户建立工作组。当一个用户从一个位置移动到另一个位置时,使用合适的VLAN划分方法,就不需要重新配置网络属性。
VLAN规划
需求
同一个公司的同一个部门有多个不同的办公地点(比如在不同的楼层),各办公点有各自的交换机,级联形成同一个局域网:
①、财务部门和销售部门之间相互隔离,不能相互通信。
②、处于不同交换机下的相同部门的成员能相互通信。
拓扑如下:
分析
1、VLAN的划分:将财务部门划分为VLAN 2,在Switch A和Switch B上端口成员包括1-8、26;将销售部门划分为VLAN 3,在Switch A和Switch B上端口成员包括9-16、26。
2、根据VLAN划分需求,确定端口类型、PVID以及在各VLAN中端口的出口规则。
Switch A和Switch B上VLAN与各端口的包含关系如下表:
设置方法
具体设置方法见本期第三篇推送文章:如何具体设置VLAN,保姆级教程不怕你学不会!
需求
某大型酒店主要分公共区(大堂、会议室等)、客房区和办公区,为了酒店的网络安全,需要划分VLAN来保证客户、员工网络互相隔离;有线、无线网络互相隔离。
拓扑如下:
分析
由于需要客户、员工网络互相隔离;有线、无线网络互相隔离,有线网络单独划分一个VLAN,客人无线网络和员工无线网络在不同VLAN,其中客人无线网络中,由于酒店客房较多,我们可以以楼层分区,一层或两层在同一VLAN。
对于接口来说,整个网络可以分为几个板块:酒店大堂和会议室,酒店三层客房、酒店四层客房,酒店内部有线办公网络。在三层交换机上按照顺序规划好每一个板块网络的端口即可。
网络规划
在划VLAN操作之前,对整个网络做一个规划是非常重要的,需要明端口和VLAN ID、PVID的对应关系,以及每个VLAN接口的IP规划,最终输出表格:端口VLAN规划表和VLAN接口IP规划表。
整个网络规划可以整体画在拓扑上,以便按照此进行规划:
更多关于VLAN接口、出入口规则,具体设置方法,配合AC&AP实现访客网络,可以查看本期推送的以下文章:
VLAN三个接口类型,VID/PVID傻傻搞不清楚?这篇帮你答疑解惑!
如何具体设置VLAN?保姆级教程不怕你学不会!
AC&AP如何配合三层交换机实现访客网络?
长按二维码关注“TP-LINK商用网络”
长按识别二维码,加关注
获取更多服务资讯