Vlan相關知識雜記

wuruixn發表於2020-04-07

劃分Vlan的目的

很多人還真就以為劃分VLAN的目的就是為了隔離不同VLAN不讓他們互訪(其實這是非常多人的誤區,當然這可以通過ACL做到,但並不是劃分VLAN的目的,這個最多可以理解成這是劃分VLAN之後的一種應用並不是最終目的)。其實劃分VLAN的目的就兩個:

1.提高安全性----------舉個例子:沒有劃分VLAN前,交換機埠連線下的所有PC都處於一個VLAN中即一個廣播域中,實現ARP中間人攻擊太簡單了.劃分了VLAN之後,縮小了ARP攻擊的範圍.ARP報文是一個2.5層的報文,只能在同一個VLAN中傳播.
2.提高效能-----------不劃分VLAN,整個交換機都處於一個廣播域,隨便一臺PC傳送的廣播報文都能傳送整個廣域播,佔用了很多頻寬.劃分了VLAN,縮小的廣播域的大小,縮小了廣播報文能夠到達的範圍.
   
誤區解釋: 劃分VLAN的目的根本沒有隔離VLAN不讓VLAN間互訪這麼一說:劃分VLAN如果真是為了隔離,怎麼還要使用三層裝置來實現他們不同VLAN間的互聯呢,這不是多此一舉嗎?更何況現在的三層交換機,劃分了vlan ,如果配置了VLAN的三層介面即int vlanif 並且將這個三層介面作為接在該VLAN下的PC的閘道器時,所有VLAN 下的PC在預設沒有作三層VLANIF介面間流量訪問控制時是完全可以互訪的,要隔離還得使用ACL...........這個只是劃分VLAN之間可以實現的一種應用(並不是劃分VLAN的最終目的)

劃分VLAN是為了控制廣播域。減少廣播風暴的影響。 間接提高了安全性。 只是劃分VLAN在實際表現中就是埠之間不能正常通訊(ARP泛洪接收不到)所以就會被認為是起到了隔離的作用。

劃分了vlan導致不能互連,可以通過三層交換啟用ip routing

vlan主要還是應用於交換機中,必須使用vlan協議(802.1Q標準),也可用於路由器

把同一物理區域網內的不同使用者邏輯地劃分成不同的廣播域,由VLAN的特點可知,一個VLAN內部的廣播單播流量都不會轉發到其他VLAN中,從而有助於控制流量、減少裝置投資、簡化網路管理、提高網路的安全性。

若沒有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業網路中不同部門之間的安全性。
交換機是根據交換機的埠來劃分VLAN的。所以,使用者可以自由的在企業網路中移動辦公,不論他在何處接入交換網路,他都可以與VLAN內其他使用者自如通訊。

VLAN是為解決乙太網的廣播問題和安全性而提出的一種協議,它在乙太網幀的基礎上增加了VLAN頭,用VLAN ID把使用者劃分為更小的工作組,限制不同工作組間的使用者互訪,每個工作組就是一個虛擬區域網。

VLAN是一種比較新的技術,工作在OSI參考模型的第2層和第3層,一個VLAN就是一個廣播域,VLAN之間的通訊是通過第3層的路由器來完成的。

當一個交換機上的所有埠中有至少一個埠屬於不同網段的時候,當路由器的一個物理埠要連線2個或者以上的網段的時候,就是VLAN發揮作用的時候,這就是VLAN的目的。(不明白路由器一個埠如何連線佈局想兩個網段,解釋:根據資料通過的包資訊來區分,一個埠接收多個vlan的資料包)

VLAN是建立在物理網路基礎上的一種邏輯子網,因此建立VLAN需要相應的支援VLAN技術的網路裝置。當網路中的不同VLAN間進行相互通訊時,需要路由的支援,這時就需要增加路由裝置——要實現路由功能,既可採用路由器,也可採用三層交換機來完成,同時還嚴格限制了使用者數量

劃分vlan方式
1.按埠劃分   最常用    物理層      基於埠的vlan
2.根據mac地址劃分  缺點:初始配置會非常累,效率低   資料鏈路層      動態vlan
3根據網路層ip劃分,非路由ip,效率低,需要消耗時間檢查資料包的ip   網路層     

交換機的埠工作模式通常可以分為三種,它們分別為Access模式、Multi模式、Trunk模式。允許多個vlan的是multi模式,而不是trunk模式。Access模式的交換埠往往只能屬於1個VLAN,通常用於連線普通計算機的埠;Trunk模式的交換埠可以屬於多個VLAN,能夠傳送和接收多個VLAN的資料包文,通常使用在交換機之間的級聯埠上;multi模式的交換埠可以屬於多個VLAN,能夠傳送和接受多個VLAN的資料包文,可以用於交換機之間的連線,也可以用於連線普通計算機的埠

port vlan 基於埠的VLAN,處於同一VLAN埠之間才能相互通訊。
tag vlan 基於IEEE 802.1Q(vlan標準),用VID(vlan id)來劃分不同的VLAN



相關文章