1. vlan
VLAN, Virtual LAN,虚拟局域网,是一个逻辑概念。在TCP/IP 5层模型中,VLAN属于数据链路层的概念。
2.什么是VLAN
vlan可以划分广播域,降低单个局域网内部的广播包的数量,从而减小网络中不必要的流量,特别是早期的局域网,带宽只有10Mbit/s,而且还是半双工的。通过划分vlan,可以提高网络安全性。
举例:
该企业在2020年以前网络中没有划分VLAN,700台PC和700台手机在同一个广播域中。该网络也运行了很多年,比较稳定。
某一天服务器上的360安全卫士提示PC攻击服务器试图破解服务器密码,在Nod eset杀毒软件服务器的图形化界面上看到多台PC攻击其它PC和服务器。
另外,企业内部有人恶意攻击业务服务器、攻击网络。因此需要划分VLAN,通过VLAN划分,将整个企业按部门划分到不同的虚拟局域网。将单一局域网内的主机数减少,也就是,原来700台PC,700台手机全部在一个(物理)LAN中。假设,现在有10个部门,每个部门都是70人,人手一台PC,一台手机。那么,划分VLAN后,一个(虚拟)局域网中就只有70台PC和70台手机。哪个局域网有问题,网管就“中断”哪个局域网。实际工作中,由于各种原因,不一定能“中断”,但要口头说出来,以震慑宵小。通过划分VLAN及添加其它安全措施提升网络安全性。
没有VLAN划分:
有VLAN划分:
3. VLAN配置举例
3.1. 企业A(甲方)情况及要求:
思科公司是全球排名前列的网络设备制造商,设备安全可靠,要求使用全套cisco设备进行组网,总预算XXX元。
A企业现有3个部门,分别是综合管理部(15人)、市场部(18人)、技术部(18人),公司每个人一台PC。
3.2. 网络管理员或乙方进行网络规划(提供方案):
3.2.1.出口/核心层
采购一台Cisco 2911路由器作为出口,并提供NAT转换,该路由器有两个千兆上联口,再采购HWIC-4ESW扩展卡作为下联各部门交换机,HWIC-4ESW扩展卡有4个Fast Ethernet Port(百兆口)。Cisco 2911单价1.5万元人民币。HWIC-4ESW扩展卡0.5万元人民币。
3.2.2. 汇聚层
使用一台cisco 3560 24口交换机作为汇聚层,单价0.8万元。
3.2.3. 接入层
采用3台cisco 3560 24口交换机,综合管理部、市场部、技术部各一台,总价2.4万元。
交换机、路由器、服务器设备网关:192.168.10.1/24, vlan 10
综合管理部网关:192.168.20.1/24,vlan 20
市场部网关:192.168.30.1/24, vlan 30
技术部网关:192.168.50.1/24, vlan 50
3.2.4. 设备安装位置
3.2.5. 各设备间端口连接情况
3.3.1. 在cisco packet tracer上绘制拓扑
3.4总结
1)VLAN已经配置完毕,此时,部门内部的PC是可以相互ping通,但部门间不能ping通,可以自行试试。因为VLAN是Virtual LAN=Virtual Local Area Network=虚拟本地局域网,在本实验中VLAN通过虚拟的方式把一台物理的汇聚交换机分为了4台虚拟交换机,而这4台虚拟的交换机并没有连接,因此不同部门的PC不能通讯。下节课我们会通过配置路由器,将这4台虚拟的交换机连在一起。
2)本实验中路由器和汇聚交换机连接时的端口使用不当,会导致后期无法配置或配置后部门间网络依然不通。
正确的方法应该是路由器的GigabitEthernet和汇聚交换机的FastEthernet互联,路由器的GigabitEthernet配置IP地址,而汇聚交换机的FastEthernet配置成trunk口,允许多个VLAN通过。
2245
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
