vlan隔离技术

http://www.ibm.com/developerworks/cn/linux/1310_xiawc_networkdevice/ 抽象网络设备的原理及使用 网络虚拟化是 Cloud 中的一个重要部分。作为基础知识，本文详细讲述 Linux 抽象出来的各种网络设备的原理、用法、数据流向。您通过此文，能够知道如何使用 Linux 的基础网络设备进行配置以达到特定的目的，分析出 Linux 可能的网络故障原因。 Linux 抽象网络设备简介 和磁盘设备类似，Linux 用户想要使用网络功能，不能通过直接操作硬件完成，而需要直接或间接的操作一个 Linux 为我们抽象出来的设备，既通用的 Linux 网络设备来完成。一个常见的情况是，系统里装有一个硬件网卡，Linux 会在系统里为其生成一个网络设备实例，如 eth0，用户需要对 eth0 发出命令以配置或使用它了。更多的硬件会带来更多的设备实例，虚拟的硬件也会带来更多的设备实例。随着网络技术，虚拟化技术的发展，更多的高级网络设备被加入了到了 Linux 中，使得情况变得更加复杂。在以下章节中，将一一分析在虚拟化技术中经常使用的几种 Linux 网络设备抽象类型：Bridge、802.1.q VLAN device、VETH、TAP，详细解释如何用它们配合 Linux 中的 Route table、IP table

VLAN（Virtual Local Area Network）是虚拟局域网英文的缩写，在网络架构中的二层中VLAN是必不可少的，为什么要出现虚拟局域网呢，接下来我将简单说一下VLAN出现的必要性: (1)无法有效控制广播域：通常我们在不划分局域网的时候，默认一个路由器的接口就是一个广播域，那么在该接口下的所有设备都属于这个区域,如果一个用户发送一个数据时，该区域内的所有设备都会收到该数据且执行一些操作，这会对网络中的设备造成资源的浪费。 (2)较差的安全性：大家可能第一时间会想到，如果都在一个区域的话，该区域中每个用户发送的数据所有的设备都能接收，比如：一个公司许多部门都在一个区域下，我们都知道，财务部门要保证安全，但是，在这种情况下，所有的设备都能向财务部门的计算机发送并请求数据，如果某个员工非法进入财务部的计算机，查看并修改计算机中的数据，这会对公司造成一定程度上的损失，这大大降低了网络的安全性。 (3)网络的健壮性较差：如果该区域中的某个设备发生了故障可能会影响该区域中的其他设备，所以我们迫切需要一种能够不影响物理条件并合理解决上述问题的技术，此时，VLAN出现了，那么VLAN有什么作用呢？下面我将简单说几点主要作用； 作为现如今网络中应用最为广泛的技术，VLAN的作用有很多，大家对VLAN有清晰的认识就好： (1)有效控制广播域:正如VLAN的名字一样，虚拟局域网

某企业交换网络综合配置 项目背景 某企业在不断发展 ,业务量也在不断扩大,同时对计算机网络应用的依赖程度与日俱增.为适应互联网时代的发展,目前公司正面临转型,急需成立IT部门.你作为几年前入职的网络工程师被任命为IT部门的技术经理,并担任本次网络规划的项目经理.你需要根据企业网络需要优化现有网络资源。 假设某企业 有员工 1000人，有销售部（300人），技术部（100人），财务部（50人），综合部（50人），研发部（500人）；各部门相互隔离，完成所有网络的互联互通。 项目需求 公司项目经理已经按照上述要求对网络设备进行了相应的地址规划 .要求先对网络设备进行配置使之可以实现互连互通,具体要求如下： l 按照拓扑图完成 IP地址规划表的规划； l 配置网络设备的接口 IP地址； l 给交换机接口配置正确的接口模式（如 access、trunk等） l 配置链路聚合； l 配置生成树协议； l 配置 Vlan间路由； 项目拓扑 项目网络地址规划 1）接入用户规划 序号 部门 IP 地址 掩码 网关 备注 1 销售部 10. 100 .1 0 .1 - 10. 100 .1 0 .254 255.255.254.0 10. 100 .1 0 .254 Vlan 10 2 技术部 10. 100 . 20 .1-10. 100 . 20 .254 255.255.255.0 10.

Vlan技术总结 VLAN主要有两个作用： vlan可以有效的控制广播域的范围 vlan可以分组设备，增强局域网的安全性（业务隔离） vlan 的范围： 一共有4096个vlan，vlan 1为默认vlan。但其中vlan 0 和 vlan 4095是保留的，故用户真正可以创建的vlan数为 4094. Cisco交换机中，vlan 1002-1005默认用于 FDDI 和 TOKEN RING Vlan 标签： 交换机用vlan标签来区分不同的以太网帧。 Access 类型端口： 仅属于某个特定的vlan 行为总结： “进口打标，出口解标” Trunk 类型的端口： 携带vlan标签的数据帧可以在trunk链路（中继链路）上进行透传。 Trunk端口一般情况下不对数据帧进行打标和解标操作。 Trunk端口允许多个不同的vlan的数据帧通过。 （注意：cisco以及锐捷设备的trunk端口默认属于所有已存在的vlan,H3C,华为设备的trunk端口默认只属于本地vlan，本地vlan即vlan 1，它和默认vlan 1不同，本地vlan默认为vlan 1 可以修改------在接口模式下输入：switchport trunk native vlan ?,同时本地vlan是属于trunk下的概念，故对华为，H3C的设备需要额外命令配置该trunk端口属于哪些vlan））

VLAN（Virtual Local Area Network）是虚拟局域网英文的缩写，在网络架构中的二层中VLAN是必不可少的，为什么要出现虚拟局域网呢，接下来我将简单说一下VLAN出现的必要性: (1)无法有效控制广播域：通常我们在不划分局域网的时候，默认一个路由器的接口就是一个广播域，那么在该接口下的所有设备都属于这个区域,如果一个用户发送一个数据时，该区域内的所有设备都会收到该数据且执行一些操作，这会对网络中的设备造成资源的浪费。 (2)较差的安全性：大家可能第一时间会想到，如果都在一个区域的话，该区域中每个用户发送的数据所有的设备都能接收，比如：一个公司许多部门都在一个区域下，我们都知道，财务部门要保证安全，但是，在这种情况下，所有的设备都能向财务部门的计算机发送并请求数据，如果某个员工非法进入财务部的计算机，查看并修改计算机中的数据，这会对公司造成一定程度上的损失，这大大降低了网络的安全性。 (3)网络的健壮性较差：如果该区域中的某个设备发生了故障可能会影响该区域中的其他设备，所以我们迫切需要一种能够不影响物理条件并合理解决上述问题的技术，此时，VLAN出现了，那么VLAN有什么作用呢？下面我将简单说几点主要作用； 作为现如今网络中应用最为广泛的技术，VLAN的作用有很多，大家对VLAN有清晰的认识就好： (1)有效控制广播域:正如VLAN的名字一样，虚拟局域网

交换技术： 交换机：工作在数据链路层 交换机的功能： 1.成帧 2.数据转发(三种方式：1.存储转发2.直接转发3.无碎片转发(检测数据包前16个字节，如果没有出错，这直接转发)) 3.流量控制 4.差错控制 5.隔离广播风暴 什么情况下使用交换机？ 在局域网布线中，需要用到二层交换机 交换机转发是根据MAC-ADD-TABLES转发的 Switch#show mac-address-table //查看mac地址表 vlan技术： vlan叫虚拟局域网，就是将大的网络划分成多个虚拟的的小的网络。将大网络逻辑上隔离 作用： 隔离广播风暴 交换机默认所有端口都在vlan1中 划分的方法： 1.基于端口划分 1.创建vlan Switch#vlan database //进入到vlan模式 Switch(vlan)#vlan 10 name jishubu //创建vlan10 name为技术部 Switch(vlan)#vlan 20 name xiaoshoubu Switch(vlan)#vlan 30 name kefubu Switch(vlan)#exit //推出 Switch#show vlan brief //查看vlan信息 2.将端口加入vlan Switch(config)#int f0/1 //进入f0/1端口 Switch(config-if)

本实验基于《HCNA网 络技术实验指南》 原理概述： 早期的局域网技术是基于总线型结构的。总线型拓扑结构是由一根单电缆连接着所 有主机，这种局域网技术存在着冲突域问题，即所有 用户都在一个冲突域中，那么同一 时间内只有一台主机能发送消息，从任意设备发岀的消息都会被其他所有主机接收到， 用户可能收到 大量不需要的报文；血且所有主机共享一条传输通道，任意主机之间都可 以直接互相访问*无法控制信息的安全口 为了避免冲突域，同时扩展传统局域网以接入更多计算机，可以在局域网中使用二 层交换机。交换机能有效隔离冲突域，但是曲于所有计算机仍处于同一个广播域，任意 设备都能接收到所有报文，不但降低了网络的效率，而且降低了安全性，即广播域和信 息安全问题依旧存在。为了能减少广播，提高局域网安全性*人们使用虚拟局域网即 VLAN技术把一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直 接通信，而VLAN间不能直接互通&这样.广播报文被限制在一个VLAN内，同时也 提高了网络安全性。不同的VLAN使用不同的VLAN ID区分，VLAN ID的范围是0〜 4095,可配置的值为1〜4094, 0和4095为保留值。 Access接□是交换机上用来连接用户主机的接口。当Access接口从主机收到一个不带VLAN标签的数据帧时，会给该数据帧加上与PVID-致的VLAN标签（PVID可手 工配塾

某企业交换网络综合配置 1. 项目背景 某企业在不断发展,业务量也在不断扩大,同时对计算机网络应用的依赖程度与日俱增.为适应互联网时代的发展,目前公司正面临转型,急需成立IT部门.你作为几年前入职的网络工程师被任命为IT部门的技术经理,并担任本次网络规划的项目经理.你需要根据企业网络需要优化现有网络资源。 假设某企业有员工1000人，有销售部（300人），技术部（100人），财务部（50人），综合部（50人），研发部（500人）；各部门相互隔离，完成所有网络的互联互通。 2. 项目需求 公司项目经理已经按照上述要求对网络设备进行了相应的地址规划.要求先对网络设备进行配置使之可以实现互连互通,具体要求如下： l 按照拓扑图完成IP地址规划表的规划； l 配置网络设备的接口IP地址； l 给交换机接口配置正确的接口模式（如access、trunk等） l 配置链路聚合； l 配置生成树协议； l 配置Vlan间路由； 3. 项目拓扑 4. 项目网络地址规划 设备名称 接口 IP 地址 子网掩码 描述 LSW10 Vlan 10 10.89.10.254 /22 Vlan10的网关 Vlan 20 10.89.20.254 /22 Vlan20的网关 Vlan 30 10.89.30.254 /22 Vlan30的网关 LSW11 Vlan 40 10.89.40.254 /22

1.VLAN 基础配置及 Aceess 接口 1.1 概述 交换机能有效隔离冲突域。 VLAN技术把一个无力的LAN在逻辑上划分成多个广播域，VLAN内的主机间可以直接通信，而VLAN间不能直接互通。VLANID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。 Access接口是交换机上用来连接用户主机的接口。 1.2 实验 实验内容 ： 本实验模拟企业网络场景。公司内网是一个大的局域网，二层交换机 S1放置在一楼，在一楼办公的部门有IT部和人事部；二层交换机S2放置在二楼，在二层办公的部门有市场部和研发部。由于交换机组成的是一个广播网，交换机连接的所有主机都能相互通信，而公司策略是：不同部门之间的主机不能互相通信，同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN，并将连接主机的交换机接口配置成Access接口划分到相应的VLAN中。 实验拓扑 ： VLAN基础配置及Access接口拓扑如图所示 实验步骤 ： 1.基本配置 根据实验编址进行相应的 IP地址配置，使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。 2.创建VLAN 创建 VLAN有两种方式，一种是使用VLAN命令一次创建单个VLAN，另一种方式是使用VLAN batch命令一次创建多个VLAN。 在 S1上使用两条命令分别创建VLAN 10和VLAN 20。 在

原理概述：早期的局域网技术总是基于总线型结构的，总线型拓扑结构是由一根单电缆连接着所有主机，这种局域网技术存在着冲突域问题，为了避免冲突域，同时扩展传统局域网， 可以在局域网中使用二层交换机 ，交换机能有效隔离冲突域，但是计算机仍处于同一个广播域，这样不但降低啦网络的效率，而且降低了安全性。 　　　　 为了能减少广播，提高局域网安全性，人们使用虚拟局域网即VLAN技术把一个物理的LAN在逻辑上划分为多个广播域。VLAN内的主机可以直接通信，而VLAN间不能直接互通。这样，广播域被限制在一个VLAN内，同时也提高啦网络安全性。 来源： https://www.cnblogs.com/escwq/p/11906440.html