有关VLAN的知识汇总.doc

有关VLAN的知识汇总 ?总是听到一些系统集成商的工程师或者直接客户提出来,你给我划分几个VLAN,或者还在我面前说几句,你看划完VLAN不就实现了隔离吗?我这三栋楼,你给我划分三个VLAN,或者我这四个部门,你给我划分在四个VLAN当中隔掉他们....其实他们的言下之意还真就以为划分VLAN的目的就是为了隔离不同VLAN不让他们互访(其实这是非常多人的误区,我也慢慢变成这样的想法了,当然这可以通过ACL做到,但并不是划分VLAN的目的,这个最多可以理解成这是划分VLAN之后的一种应用并不是最终目的,你可能认为我太认真了.),如果你是一位CCNP,问下自己是不是这样?如果你也同意,相信NP理论一定不够扎实(我自己在写这个帖子前也被这些客户天天说的我自己不够坚信,所以我自认为自己NP学得确实不够扎实),今天翻了下书,其实划分VLAN的目的就两个: ??1.提高安全性---------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播. ??2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围. 一、VLAN的定义 VLAN是英文Virtual Local Area Network的简称，又叫虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。要想划分VLAN，必须购买支持VLAN功能的网络设备。图一 二、划分VLAN的作用 VLAN是为解决以太网的广播问题和安全性而提出的，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。即使是处在同一网段的两台计算机，如果不在同一VLAN中，它们各自的广播流也不会相互转发。划分VLAN有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。由于VLAN隔离了广播风暴，也隔离了不同VLAN之间的通讯，因此，不同VLAN之间的通讯必须依靠路由器或者三层交换机来实现。 三、VLAN有哪些作用呢？ 一张图看懂VLAN的作用: 由上图可以看出：通过划分不同的VLAN，VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。 这里：小编总结了下VLAN技术的优点，一起来看下吧： 限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。 增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。 提高网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。 四、VLAN的划分方法 划分VLAN有四种方法，每种方法各有长短。在对网络划分VLAN时，必须根据网络的实际情况，选择一种合适的划分方法。 1、根据端口的划分VLAN：许多网络厂商都利用交换机的端口来划分VLAN成员。顾名思义，基于端口划分VLAN就是将交换机的某些端口定义为一个VLAN。第一代VLAN技术只支持在同一台交换机的多个端口划分VLAN，第二代VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个VLAN。图二 根据端口划分VLAN 根据端口划分VLAN优点是简单明了，管理也非常方便，缺点是维护相对繁琐。不过，根据端口划分VLAN是最常用的一种VLAN划分方法。 2、根据MAC地址划分VLAN：每块网卡在全球都拥有唯一的一个物理地址，即MAC地址，根据网卡的MAC地址可以将若干台计算机划分在同一个VLAN中。这种方式的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置；缺点是某一VLAN初始化时，所有的用户都必须进行配置，网管的负担比较重。 3、根据网络层划分VLAN：这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分，而不是根据路由划分。注：这种VLAN划分方式适合广域网，不适合局域网。 4、根据IP组播划分VLAN：IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN。这种划分方法将VLAN扩大到了广域网，不适合局域网，因为企业网络的规模尚未达到如此大的规模。 显而易见，所有的VLAN技术并不是完全适合企业网络使用。对VLAN有了一个