一、网络隔离


1、物理隔离。搭建两套完全独立的网络,这也是最土豪最安全的做法。

2、二层隔离。使用Vlan隔离,使用不同Vlan或者Pvlan等。

3、三层隔离。路由隔离。

4、设备特性隔离。比如端口隔离swichport protected,或者ACL等。

5、安全设备隔离。比如使用防火墙等。

注:灵活使用Vlan和三层网关位置等有时可以达到较好的隔离效果,比较灵活。


二、两个三层交换机三层连接方式


1、no switchport方式。直接把接口配成路由模式,配置IP互联。华为交换机可能不支持这种方式。

2、access互联模式。两边交换机相同vlan配置IP即可,如果有几个不同网段则就用secondary地址。

3、trunk互联模式。包含access模式,这种支持不同vlan配置不同段IP进行互联。


三、访问web用到的寻址


1、二层MAC CAM寻址

2、三层路由 TCAM寻址

3、DNS寻址解析查找

4、URL/URI返回等。


四、VLAN


1、在Access口上:PVID=VID=配置的vlan号。从PC接收到帧,打上PVID tag;发回PC时,删除TAG。

2、在trunk口上:PVID=默认vlan=Native Vlan。直接接受TAG=PVID或者TAG=/PVID的帧,收到unTAG帧增加TAG=PVID;

发送时TAG=PVID则删除TAG,TAG=/PVID直接发送。

3、交换机转发数据查找顺序:untag:PVID-->VID-->CAM

                             tag:VID--->CAM

4、当两个交换机用ACCESS模式互联时,就当一边是一台PC,没有什么关系。

5、交换机内部帧处理顺序:

wKiom1R0M0zjbqtKAAFZKnqwFwE787.jpg

6、为了快速处理需要,交换内部的帧一般都是打上标签的。

7、决定帧发往哪个vlan,一般通过帧头的TAG,或者通过端口的PVID,这些信息一般通过查找Filtering Database来确定。