对于大型网络,咱们经常对于 ip 的布局比拟懊恼,也有很多敌人问到,对于 1000 个以上的终端设备如何去设置它的 ip 地址呢?
对于大型网络,它的 ip 布局咱们经常的做法是划分 vlan,因为划分 vlan 有诸多益处,方便管理以及晋升了整个网络的安全性。当然除了划分 vlan 有其它的办法吗?答案是必定,那就是端口隔离。这两种办法在 ip 布局中应用的最多,咱们本期来具体理解 vlan 的划分与端口隔离。
一、划分 vlan
在面对 ip 地址较多的时候,咱们罕用的办法就是划分 vlan,VLAN 的作用是隔离播送,同一个 VLAN 在一个播送域,端口隔离就是将同一个 VLAN 不同接口再进行隔离。应用三层交换机划分 vlan,能够使 vlan 之间互相通信。
举例
某公司有 1000 台电脑,公司有若干个部门,部门之间有互相往来,如何来布局 ip 地址?
剖析:1000 台电脑能够设置成 6 个网段,当然也能够设置 5 个网段,设置 6 个网段不便当前扩展性。那咱们 ip 地址能够如下:
Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
Vlan3:192.168.3.1/24
Vlan4:192.168.4.1/24
Vlan5:192.168.5.1/24
Vlan6:192.168.6.1/24
VLAN 的次要长处有:
1、限度播送域。播送域被限度在一个 VLAN 内,进步了网络解决能力。
2、加强局域网的安全性。VLAN 的劣势在于 VLAN 外部的播送和单播流量不会被转发到其它 VLAN 中,从而有助于管制网络流量、缩小设施投资、简化网络管理、进步网络安全性。
3、灵便构建虚构工作组。用 VLAN 能够划分不同的用户到不同的工作组,同一工作组的用户也不用局限于某一固定的物理范畴,网络构建和保护更不便灵便。
二、端口隔离
咱们下面提到了,对于网型网络来说,vlan 是一种不错的解决办法,那除了 vlan 还能够应用端口隔离了。
用户能够将不同的端口退出不同的 VLAN,但这样会节约无限的 VLAN 资源。采纳端口隔离性能,能够实现同一 VLAN 内端口之间的隔离。用户只须要将端口退出到隔离组中,就能够实现隔离组内端口之间二层数据的隔离。
端口隔离个别用于内网中,端口隔离的端口之间无奈互相通信,所以端口隔离性能为用户提供了更平安的计划。
举例:
端口隔离的办法和利用场景如下图所示。PC1、PC2 和 PC3 同属于 VLAN10
要求:实现 pc2 与 pc3 不能相互拜访,pc1 与 pc2 之间能够相互拜访 pc1 与 pc3 之间能够相互拜访。
Pc 1 10.10.10.1 255.255.255.0 连贯交换机 GE1/0/ 1 端口
Pc 2 10.10.10.2 255.255.255.0 连贯交换机 GE1/0/ 2 端口
Pc 3 10.10.10.3 255.255.255.0 连贯交换机 GE1/0/ 3 端口
网关为:10.10.10.4
配置步骤:
<Huawei>system-view # 进入零碎视图
[Huawei]vlan 10 # 创立 vlan 10
[Huawei-vlan10]int vlan 10 # 进入 vlan 10
[Huawei-Vlanif10]ip address 192.168.1.1 /24 # 设置 vlan 10 ip 与掩码
[Huawei-Vlanif10]quit # 退出
[Huawei]int GigabitEthernet 1/0/3 # 进入端口 3
[Huawei-GigabitEthernet1/0/3]port link-type access # 设置端口模式为 access 模式,access 端口只能属于一个 vlan;
[Huawei-GigabitEthernet1/0/3]quit # 退出
[Huawei]int GigabitEthernet 1/0/2 # 进入端口 2
[Huawei-GigabitEthernet1/0/2]port link-type access # 设置端口模式为 access 模式
[Huawei-GigabitEthernet1/0/2]quit # 退出
[Huawei]int GigabitEthernet 1/0/2
[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 # 隔离端口 3
[Huawei-GigabitEthernet1/0/2]quit
[Huawei]int GigabitEthernet 1/0/3 # 进入端口 3
[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 # 隔离端口 2
[Huawei-GigabitEthernet1/0/3]quit
这种实现了端口与端口 3 之间不能相互通信。
作为交换机无效的访问控制安全控制机制之一:端口隔离,其平安、灵便的个性在理论组网中利用宽泛,它能够将指定的端口能够退出到特定的端口隔离组中,同一端口隔离组的端口之间相互隔离,不同端口隔离组的端口之间不隔离。
是不是感觉似曾相识,感觉跟划分 VLAN 差不多,其实不然,尽管 VLAN 和端口隔离都是把一部分设施独立在一个空间内,有防护性能,但 VLAN 个别用来隔离播送的,譬如一栋大楼,每层一个 VLAN,隔离出播送域,而端口隔离则不同,个别同一个 VLAN 的用户都是同一网段的,所以是能够 ping 通拜访的,实现共享材料的,然而做了端口隔离后,即便在同一网段,也禁止相互拜访,平安指数更高!
简言之就是:VLAN 的作用是隔离播送,同一个 VLAN 在一个播送域,端口隔离就是将同一个 VLAN 不同接口再进行隔离。
三、总结
1、端口隔离的端口之间无奈互相通信,但能够与上联口通信;VLAN 是同 VLAN ID 的端口能够任意通信,不同 VLAN 之间不能间接通信。
2、端口隔离的各个端口依然处于同一 IP 段;VLAN 则必须每个 VLAN 对应一个独立的 IP 段。
3、端口隔离仅限于单台交换机,即无法控制通过上联口互联的两台交换机之间的隔离端口的通信;VLAN 能够逾越多台交换机,只有 VLAN ID 不同,就无奈间接通信。
4、上联口无奈辨别端口隔离的数据来自哪个端口,然而能够辨别 VLAN 的数据归属于哪个 VLAN。