|
對于大型網絡�����,我們常常對IP的規(guī)劃比較煩惱,很多朋友在問��,1000路以上的大型監(jiān)控或網絡如何去設置它的IP地址呢�? 對于大型的網絡,它的IP規(guī)劃我們常常的做法是劃分VLAN���,因為劃分VLAN有很多好處����,方便管理以及提升整個網絡的安全性��,當然除了劃分VLAN之外��,還有其他方法嗎�����?當然是有的�����,最好的方法是端口隔離。這兩種方法在IP規(guī)劃中使用的最多�,我們本期來了解VLAN劃分與端口隔離的方法。 一���、劃分VLAN 在面對IP地址較多的時候�,我們常用的方法是劃分VLAN�,VLAN的作用是隔離廣播,同一個VLAN在一個廣播域�,端口隔離就是將一個VLAN不同借口在進行隔離,使用三層交換機劃分VLAN����,可以使VLAN之間互相通信。 舉例 某公司有1000臺電腦�����,公司有若干個部門�����,部門之間有相互往來,如何來規(guī)劃ip地址�? 分析:1000臺電腦可以設置成6個網段,當然也可以設置5個網段����,設置6個網段方便以后擴展性。那我們ip地址可以如下: Vlan1:192.168.1.1/24 Vlan2:192.168.2.1/24 Vlan3:192.168.3.1/24 Vlan4:192.168.4.1/24 Vlan5:192.168.5.1/24 Vlan6:192.168.6.1/24 VLAN的主要優(yōu)點有: 1���、限制廣播域。廣播域被限制在一個VLAN內�,提高了網絡處理能力。 2�����、增強局域網的安全性�。VLAN的優(yōu)勢在于VLAN內部的廣播和單播流量不會被轉發(fā)到其它VLAN中,從而有助于控制網絡流量��、減少設備投資��、簡化網絡管理���、提高網絡安全性���。 3��、靈活構建虛擬工作組�����。用VLAN可以劃分不同的用戶到不同的工作組����,同一工作組的用戶也不必局限于某一固定的物理范圍�,網絡構建和維護更方便靈活。 二���、端口隔離 我們上面提到過了�,對于網型網絡來說�����,VLAN是一種不錯的解決方法���,那除了VLAN還可以使用端口隔離了��。 用戶可以將不同的端口加入不同的VLAN�,但這樣會浪費有限的VLAN資源里采用端口隔離功能,可以實現(xiàn)同一個VLAN內端口之間的隔離��。用戶只需要將端口加入到隔離組中���,就可以實現(xiàn)隔離組內端口之間兩層數(shù)據(jù)的隔離��。 端口隔離一般用于內網中��,端口隔離的端口之間無法相互通信�,所以端口隔離功能為用戶提供了更安全的方案���。 舉例 端口隔離的方法和應用場景如下圖所示。PC1��、PC2和PC3同屬于VLAN10 要求:實現(xiàn)pc2與pc3 不能互相訪問���,pc1與 pc2之間可以互相訪問 pc1與pc3之間可以互相訪問����。 Pc 1 10.10.10.1 255.255.255.0 連接交換機 GE1/0/1端口 Pc 2 10.10.10.2 255.255.255.0 連接交換機 GE1/0/2端口 Pc 3 10.10.10.3 255.255.255.0 連接交換機 GE1/0/3端口 網關為:10.10.10.4 配置步驟: system-view #進入系統(tǒng)視圖 [Huawei]vlan 10 #創(chuàng)建vlan 10 [Huawei-vlan10]int vlan 10 #進入vlan 10 [Huawei-Vlanif10]ip address 192.168.1.1 /24 #設置vlan 10 ip 與掩碼 [Huawei-Vlanif10]quit #退出 [Huawei]int GigabitEthernet 1/0/3 #進入端口3 [Huawei-GigabitEthernet1/0/3]port link-type access #設置端口模式為access 模式��,access端口只能屬于一個vlan�����; [Huawei]int GigabitEthernet 1/0/2 #進入端口2 [Huawei-GigabitEthernet1/0/2]port link-type access #設置端口模式為access 模式 [Huawei-GigabitEthernet1/0/2]quit #退出 [Huawei]int GigabitEthernet 1/0/2 [Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔離端口 3 [Huawei-GigabitEthernet1/0/2]quit [Huawei]int GigabitEthernet 1/0/3 #進入端口3 [Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔離端口 2 [Huawei-GigabitEthernet1/0/3]quit 這種實現(xiàn)了端口與端口3之間不能互相通信。 作為交換機有效的訪問控制安全控制機制之一:端口隔離��,其安全�、靈活的特性在實際組網中應用廣泛,它可以將指定的端口可以加入到特定的端口隔離組中����,同一端口隔離組的端口之間互相隔離,不同端口隔離組的端口之間不隔離���。 是不是感覺似曾相識����,感覺跟劃分VLAN差不多�����,其實不然����,雖然VLAN和端口隔離都是把一部分設備獨立在一個空間內,有防護功能��,但VLAN一般用來隔離廣播的,譬如一棟大樓��,每層一個VLAN����,隔離出廣播域,而端口隔離則不同��,一般同一個VLAN的用戶都是同一網段的��,所以是可以ping通訪問的�,實現(xiàn)共享資料的,但是做了端口隔離后����,即使在同一網段,也禁止互相訪問����,安全指數(shù)更高�����! 簡言之就是:VLAN的作用是隔離廣播�,同一個VLAN在一個廣播域���,端口隔離就是將同一個VLAN不同接口再進行隔離。 三����、總結 1.端口隔離的端口之間無法相互通信,但可以與上聯(lián)口通信��;VLAN是同VLAN ID的端口可以任意通信�����,不同VLAN之間不能直接通信���。 2.端口隔離的各個端口仍然處于同一IP段�����;VLAN則必須每個VLAN對應一個獨立的IP段��。 3.端口隔離僅限于單臺交換機����,即無法控制通過上聯(lián)口互聯(lián)的兩臺交換機之間的隔離端口的通信�;VLAN可以跨越多臺交換機����,只要VLAN ID不同�,就無法直接通信。 4.上聯(lián)口無法區(qū)分端口隔離的數(shù)據(jù)來自哪個端口�,但是可以區(qū)分VLAN的數(shù)據(jù)歸屬于哪個VLAN。
|
