基本的设计原理是什么?
我正在寻找类似两段式执行摘要样式的答案,所以我可以确定我是否需要了解VLAN才能实现它们。
#1 楼
VLAN(虚拟局域网)是一种在一个物理交换机内部创建多个虚拟交换机的方法。因此,例如配置为使用VLAN 10的端口就好像它们连接到完全相同的交换机一样。 VLAN 20中的端口不能直接与VLAN 10中的端口通信。它们必须在两个端口之间路由(或具有桥接两个VLAN的链接)。实现VLAN的原因很多。通常,这些原因中最少的是网络的大小。我将列出一些原因,然后将其中的每个原因都打开。子网大小
安全性:
安全性本身并不是通过创建VLAN来实现的;它只能通过创建VLAN来实现。但是,如何将该VLAN连接到其他子网可以使您过滤/阻止对该子网的访问。例如,如果您的办公楼有50台计算机和5台服务器,则可以为服务器创建一个VLAN,为计算机创建一个VLAN。为了使计算机与服务器通信,您可以使用防火墙来路由和过滤该流量。然后,这将允许您应用IPS / IDS,ACL等。服务器和计算机之间的连接。
链接利用率:
(编辑)我不敢相信我是第一次忽略了这一点。我猜是脑子屁。链路利用率是使用VLAN的另一个重要原因。生成树按功能生成通过您的第2层网络的一条路径,以防止环路(哦,天哪!)。如果您有多个到聚合设备的冗余链接,那么其中一些链接将不使用。为了解决这个问题,您可以使用不同的VLAN构建多个STP拓扑。这是通过Cisco专有PVST,RPVST或基于标准的MST完成的。这使您可以使用多种STP类型,以利用以前未使用的链接。例如,如果我有50个桌面,则可以将其中25个放置在VLAN 10中,将25个放置在VLAN 20中。然后,我可以让VLAN 10占据网络的“左侧”,而其余25个位于VLAN 20中网络的“右侧”。
服务分离:
这很简单。如果您的IP安全摄像机,IP电话和台式机都连接到同一交换机,则将这些服务分离到自己的子网中可能会更容易。这也将允许您基于VLAN而不是某些更高层的服务(例如:NBAR)将QOS标记应用于这些服务。您也可以在执行L3路由的设备上应用ACL,以防止可能不需要的VLAN之间进行通信。例如,我可以防止台式机直接访问电话/安全摄像机。 SAN,您可以创建未路由的iSCSI VLAN。这将使您拥有一个完全隔离的iSCSI网络,以便其他任何设备都无法尝试访问SAN或中断主机与SAN之间的通信。这只是服务隔离的一个示例。
子网大小:
如前所述,如果单个站点太大,则可以将该站点划分为不同的VLAN,这将减少需要处理每个广播的主机数量。 (我可以想到我专门用作Internet服务提供商的几种方法),但是我认为这些方法是最常见的方法,应该让您对我们如何/为什么使用它们有一个好主意。也有具有特定用例的专用VLAN,在这里值得一提。
#2 楼
随着网络越来越大,可伸缩性成为一个问题。为了进行通信,每个设备都需要发送广播,然后将广播发送到广播域中的所有设备。随着更多设备被添加到广播域,更多广播开始使网络饱和。此时,会出现许多问题,包括广播流量的带宽饱和,每个设备上增加的处理(CPU使用率)甚至安全问题。将这个大型广播域划分为较小的广播域变得越来越有必要。输入VLAN。
虚拟局域网可以虚拟地创建单独的广播域,而无需创建完全独立的硬件LAN,以克服大型广播域的问题。相反,一台交换机可以包含许多VLAN,每个VLAN充当一个独立的自治广播域。实际上,如果没有第3层交换所涉及的第3层设备的介入,两个VLAN就无法相互通信。在最基本的级别上,将大型广播域划分为更小,更易于管理的广播域,以提高不断扩展的网络的可伸缩性。
#3 楼
VLAN是在物理网络内创建的逻辑网络。它们的主要用途是提供隔离,通常是减少网络中广播域大小的一种手段,但是它们也可以用于许多其他目的。它们是任何工具网络工程师应该熟悉并且喜欢任何工具,它们可能会被错误地使用和/或在错误的时间使用。在所有网络和所有情况下,没有一种工具是正确的工具,因此,您可以使用的工具越多,越能在更多环境中工作。了解有关VLAN的更多信息后,您可以在需要时使用它们,并在需要时正确使用它们。
如何使用它们的一个示例,我目前在SCADA(监控)环境和数据采集)设备被广泛使用。 SCADA设备通常非常简单,并且其历史不及软件开发那么长,通常会提供重大的安全漏洞。
我们已将SCADA设备设置在独立的VLAN中,且没有L3网关。对其逻辑网络的唯一访问是通过与之通信的服务器(该服务器具有两个接口,一个在SCADA VLAN中)可以通过其自身基于主机的安全性进行保护,而这在SCADA设备上是不可能的。即使将SCADA设备连接到相同的物理设备,它们也与网络的其余部分隔离,因此可以缓解任何漏洞。
#4 楼
根据设计原则,最常见的实现是使VLAN与组织结构保持一致,即一个VLAN中的工程人员,另一个VLAN中的市场营销人员,另一个VLAN中的IP电话等等。其他设计包括利用VLAN作为独立网络的“传输”跨一个(或多个)内核的功能。在某些设备上,也可以在某些设备上进行VLAN的第3层终结(在Cisco看来为“ SVI”,在Brocade中为“ VE”等),这样就无需使用单独的硬件来进行VLAN间通信。 >VLAN变得难以管理和大规模维护,因为您可能已经看到NESE的案例。在服务提供商领域,有PB(提供商桥接-俗称“ QinQ”,双标签,堆叠标签等),PBB(提供商骨干桥接-“ MAC-in-MAC”)和PBB-TE。旨在减轻可用VLAN ID数量的限制。 PBB-TE旨在消除对动态学习,泛洪和生成树的需求。 C-TAG / S-TAG中只有12位可用作VLAN ID(保留0x000和0xFFF),这是4,094限制的来源。
可以使用VPLS或PBB消除了PB涉及的传统缩放上限。
#5 楼
VLAN的基本用例与将网络分段为多个数据链路广播域的基本用例几乎完全相同。关键区别在于,使用物理LAN时,每个广播域至少需要一个设备(通常是一台交换机),而使用虚拟LAN时,广播域成员关系是逐个端口确定的,并且无需添加或添加即可重新配置更换硬件。对于基本应用,将与PLAN相同的设计原理应用于VLAN。为此,您需要了解的三个概念是:干线-任何承载属于多个VLAN的帧的链路都是干线链路。通常,将交换机到交换机和交换机到路由器的链路配置为中继链路。
标记-在传输到中继链路时,设备必须用数字VLAN ID标记每个帧,它属于此类,以便接收设备可以将其适当地限制在正确的广播域中。通常,面向主机的端口是未标记的,而面向交换机和路由器的端口是标记的。标签是数据链路封装的另一个组成部分。将终端链接到中继线中存在的一个或多个单个VLAN。对于路由器尤其如此。此逻辑链接附件被建模为虚拟接口,充当连接到与指定VLAN关联的单个广播域的端口。
#6 楼
VLAN的最初用途是限制网络中的广播区域。广播仅限于自己的VLAN。后来添加了其他功能。但是,请记住,VLAN是例如cisco交换机中的第2层。您可以通过为交换机的端口分配IP地址来添加第2层,但这不是强制性的。附加功能:
中继:通过一个物理连接使用多个VLAN(例如:连接2个交换机,一个物理链路足以连接所有VLAN的划分都是通过标记完成的,请参见:dot1Q for cisco) /> ...
#7 楼
如果我可以再提供一条信息,那可能会有所帮助。要了解VLAN,您还必须了解两个关键概念。
-子网划分-假设您希望各种设备能够相互通信(例如,服务器和客户端),则必须为每个VLAN分配一个IP子网。这是上面提到的SVI。这样一来,您就可以开始在VLAN之间进行路由。
-路由-一旦创建了每个VLAN,为每个VLAN上的客户端分配了一个子网以及为每个VLAN创建的SVI,您将需要启用路由。路由可以是非常简单的设置,它具有到Internet的静态默认路由,以及每个子网的EIGRP或OSPF网络语句。优雅。
评论
谢谢! subn / rtn我知道了,所以现在有了所有这些VLAN信息,是的,这很合理。我已经在考虑建立“背面” VLAN,并为具有第二个未使用接口的系统转移东西。
–克雷格·康斯坦丁(Craig Constantine)
13年5月21日在18:15
VLAN不需要L3信息,路由或SVI。仅当您想要该VLAN中的主机的L3(IP)或更高功能时才需要这些。
– YLearn♦
13年5月21日在18:15
只需添加...不必在VLAN上运行IP。 (另请参阅:基于协议的VLAN –与基于端口的VLAN,这是99%的时间都在使用。)
–瑞奇
13年5月21日在20:12
我同意你的两个说法。 L2 VLAN肯定有用途。但是,如果有人正在考虑将VLAN添加到其现有网络中,则不解释L3方面是一个严重的遗漏。
–乔纳森·戴维斯(Jonathan Davis)
13年5月22日在0:46