vlan隔离技术

PVLAN即私有VLAN(Private VLAN)，也称"专用虚拟局域网"。PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN，则实现了所有端口的隔离。 pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 PVLANs允许在同一个VLAN内，将流量限制在某些端口之间 PVLAN实现在1个VLAN内的端口隔离。 随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。 (1)VLAN的限制:交换机固有的VLAN数目的限制; (2)复杂的STP:对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理; (3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费; (4)路由的限制

版权声明：华为云版权所有，转载请注明来源 https://blog.csdn.net/devcloud/article/details/91491409 一、背景 敲黑板： VLAN是你理解云网络的门槛石，要想通往云网络的世界，这一扇大门一定得理解透彻。 二、为什么需要VLAN 在前面的课程里面，我们知道了局域网的概念。一个局域网里面有N台电脑互相通信，ARP广播通知到各家各户。把你想象为村里的一户人家，平时送快递收快递，偶尔村里广播找人，派个人到你家询问询问情况，整体看似挺和谐的。 但是这里注意了哦，广播找人，那可一定是全村每家每户都派人通知到的。 然而当村子大了，问题就出来了： 就是这个各路的广播通知的大使啊，不停的往你家门口赶啊，一个又一个，无尽的骚扰着你家，已经困扰到你正常的作息了。 那你可能好奇，一个村里面，这个广播大使能有这么多吗？ 嗯，大概你门口就这么多吧（夸张手法） 所以这个村子也得分分组了：上半村，下半村。上半村的事情，广播大使，你别来下半村咨询了，上半村跑完了就噢了。 因此，一个局域网里面的电脑的分组需求就开始了。一个物理世界的人，实际上又分成了各个门派，门派之间各不相干。这种抽象决定了你虽然和邻居很近，然而你们互相不认识，也不通信。 VLAN就是用来给村里人分组用的，每个人贴个标签。代表了你是哪个门派。 三、如何理解VLAN 站在网络报文的角度

转： https://mp.weixin.qq.com/s/Zlm7x5eunIYLAG7Sp0yVCQ 经过这些年工作，接触从几万、几十万到上亿的项目都有； 我简单总结了接触的大部分的项目，将园区网核心技术进行了归纳，如下： IP地址规划 1.IP地址基础 在IP网络中，通信节点需要有一个唯一的IP地址，IP地址用于IP报文的寻址以及标识一个节点；IP地址中最重要的是子网划分 VLSM，可参照NA。 2.特殊IP地址 a.受限广播（用于IP地址请求阶段）所有位全为1，255.255.255.255 b.直接广播（子网广播） 主机位全为1，如192.168.1.255/24 c.本地换回测试地址 127.0.0.1 d.DHCP故障分配地址 169.254.x.x e.所有主机 224.0.0.1 ，所有路由器 224.0.0.2 f.私网地址10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 3.IP地址规划原则 a.基本原则：建议每个VLAN分配一个C类地址，即掩码/24，可容纳254台主机，最大不要超过4个C，及每个VLAN不超过1000台主机，否则广播域大，后期安全问题突出； b.可汇总原则：规划的各段IP地址能进行路由汇总，简化路由条目； c.易管理原则：看到IP地址就知道这是用户PC还是交换机，处于哪个区域，示例如下： 4

简的去讲 Super VLAN 节约IP地址 隔离二层通信 VLAN聚合在实现不同Sub-VLAN间共用一个子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。 想做DHCP服务器 一定要在Super-VLAN上去做 [Huawei]vlan batch 2 to 4 100 [Huawei]vlan 100 [Huawei-vlan100]aggregate-vlan //将当前VLAN配置成Super-VLAN [Huawei-vlan100]access-vlan 2 to 4 //将VLAN2到4配置成Sub-VLAN VLAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关，进而达到节约IP地址资源的目的。 相对每一个普通VLAN都有一个三层逻辑接口和若干物理接口，VLAN聚合定义的Super-VLAN和Sub-VLAN比较特殊： Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。 [Huawei]interface g0/0

基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标 vlan隔离分类 1：同一设备同一用户 实现方式：端口隔离 2：部分VLAN间互通，VLAN间隔离，vlan间内用户隔离 实现方式：mux vlan 3：vlan间三层通信，需要禁止部分用户互访 实现方式：流策略 1端口隔离范例： 配置命令： vlan 10 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10

一、早期网络的问题 　　1、若某时刻有多个节点同时试图发送数据，极易产生冲突域，这样使得网络传输效率大大降低。 　　2、从一节点发送的数据都会被送到各个节点，极易形成广播域，这样会使得产生太多的广播流量而耗费大量带宽。 　　3、所有主机共用同一链路，无法保证信息的安全。 二、VLAN的产生 　　VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域（多个VLAN）。VLAN技术部署在数据链路层，可以隔离二层流量。同一个VLAN内的主机共享一个广播域，它们之间可以直接进行数据交换；不同VLAN内的主机属于不同的广播域，不能直接进行数据的交换。从而提高了网络的安全性。 三、VLAN标签的格式 　　 四、VLAN的链路类型 　　VLAN的链路类型有两种：Access链路与Trunk链路 　　接入链路（Access Link）：终端设备与交换机所连接的链路。 　　干道链路（Trunk Link）：交换机与交换机所连接的链路，是一条中继链路。 五、端口类型 　 　1、Access端口 　　①当它收到一个帧的时候，如果这个帧没有Tag标记，它就用自己的PVID给他打上标记。 　　②它在发出一个帧时如果VID=PVID就去掉标记以保证传送给终端设备的帧没有被变动过。 　　③Access端口发出的以太网数据帧中不带有VLAN标记。Access端口的特点是 只允许符合PVID（或者VID

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。是将一个物理的局域网在逻辑上划分成多个广播域，从而实现二层隔离的技术。 一、VLAN的优点 ·有效控制广播域范围 ·增强局域网的安全性 ·灵活构建虚拟工作组 ·简化网络管理 二、VLAN概述 ·1VLAN = 1广播域 = 1子网 ·广播域被限制在各自VLAN里 ·不同VLAN间需要借助三层设备才能通信 三、VLAN范围 0~4095，共4096个，0和4096为保留，1为默认。 四、VLAN标签——Tag字段 IEEE802.1q（dot1q），是VLAN的正式标准，对Ethernet帧格式进行修改，在源MAC字段和协议类型字段之间加入4字节的802.1q Tag字段。 五、VLAN的链路类型 Access link：用于连接主机和交换机的链路，传输untagged帧； Trunk link：用于交换机间互连或交换机与路由器之间的链路，传输tagged帧。 六、PVID 即port VLAN ID,代表端口的缺省VLAN,华为交换机每个端口默认PVID=1。 七、VLAN端口类型 access 接入端口—用于连接主机，收到数据后添加Tag，发送数据时移除Tag。 trunk 干道端口—用于连接交换机或路由器。 ·收到帧:不包含Tag—打上端口PVID 包含Tag—不改变

Hub设备、网桥、二层交换机设备概述 Hub（集线器） 工作原理：不是一个智能设备 从一个接口收到一份数据，就从其他接口广播出去，Hub设备没有任何表项信息 优点：便宜,操作简单 缺点：共享型，无法满足多人同时访问，整个设备就是一个冲突域，Hub工作在半双工模式下，在TCP/IP模型里面的物理层，目前基本淘汰出市场 什么是冲突域？ 冲突域：在任意时刻，同一个冲突域中，只能有一台机器在发送数据，这个冲突域内的机器都会受到发送的内容，接不接受取决于是不是目的主机 CSMA/CD技术 用来解决冲突域的问题 接入设备越多冲突机率越大 用CSMA/CD（载波侦听多路访问/冲突检测）技术 半双工模式下通信双方必须采用CSMA/CD机制来避免冲突 网桥 工作原理：网桥是工作在数据链路层的设备，能隔离冲突域，也就是说网桥的每个端口都对应一个冲突域 网桥设备有MAC地址表表项 比如网桥1的端口1，连接的主机MAC1和MAC2就构成了一个网段），任意一台机器发送消息，该网桥和这个网段上的所有机器都会收到消息，例如 MAC1发送消息“小老弟”，那么MAC2和网桥1都会收到包含该信息 网桥的工作行为 H1主机想要和H5主机通信： 首先，网桥1和网桥2的转发表都是空的，当H1发送消息时，它的整个冲突域都会收到，所以网桥1必然会收到H1发送的帧，网桥1记忆力不好（脑子瓦特了），但它想记住一切新鲜的事物

1.Vlan作用 隔离广播域 ：防止网络中的广播包过多，导致网络拥塞，同时也是为了提高网络带宽的利用率。 实现故障隔离 ：减小网络故障带来的影响，缩小范围后也方便故障的定位和排除。 增强安全性 ：不同Vlan间的数据通信只能通过三层设备进行，在三层设备上采取安全措施可以防止病毒在局域网内大范围扩散。 2.Vlan的划分方式 可以基于 交换机端口 的（最常用），基于 协议 的，基于 IP 地址的，基于 MAC 地址的。 3.802.1q帧结构 4.交换机端口分类 Access 类型的端口只能属于1个VLAN，一般用于连接计算机的端口。 Trunk 类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。 Hybrid 类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时 ： Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签 。 端口的缺省VLAN的概念：Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置； 　　Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN

想了解一个事物/概念，最好的办法是知道它是为什么出现的，为了解决那些问题而出现。这里，就用这种方式来学习一下VXLAN VXLAN (Virtual eXtensible Local Area Network)可以理解为扩展的VLAN。VXLAN很大程度上是为了解决VLAN的不足而出现的，所以，想了解VXLAN，你得有一定的VLAN基础。下面我们看一下VXLAN的出现是为了解决那些问题。 TOR MAC地址表问题 数据中心的每一个机柜（Rack）上通常会有一个交换机叫TOR交换机（top of rack）。这个交换机负责该rack下所有机器的二层交换。熟悉二层交换机制的话应该知道，交换机需要维护一个MAC address表来提高交换效率。在虚拟化技术出现之前，一个机柜下的机器再多也是有限的，这个MAC address table不会太大。但虚拟化技术出现后，一个宿主机上可能有多个VM，而一个机柜下又有很多个宿主机，这就会导致MAC address table的尺寸变得非常大，甚至超出了普通交换机能够支持的大小。 多租户问题 一个数据中心可能被多个租户使用。对于每个租户，他们都应该可以独立的为自己的机器分配mac地址，VLAN ID 等资源。我们需要一些机制来隔离这些租户，这样，不同租户之间的MAC地址和VLAN即使重复也不会冲突。 STP问题