|
https://m.toutiao.com/is/UtBBbRw/
一、什么是vlan? VLAN是Virtual Local Area Network(虛擬局域網(wǎng))的縮寫(xiě)���,是一種將物理網(wǎng)絡(luò)劃分為邏輯網(wǎng)絡(luò)的技術(shù)�。簡(jiǎn)單來(lái)說(shuō)����,就是通過(guò)軟件的方式將一個(gè)物理局域網(wǎng)(LAN)劃分為多個(gè)虛擬局域網(wǎng)�,每個(gè)虛擬局域網(wǎng)相互獨(dú)立���,互不干擾�����。這樣可以提高網(wǎng)絡(luò)的安全性和靈活性���。 舉個(gè)例子,假設(shè)有一個(gè)公司有多個(gè)部門(mén)�����,每個(gè)部門(mén)都需要使用局域網(wǎng)進(jìn)行內(nèi)部通信����。傳統(tǒng)的做法是將所有部門(mén)都連接到同一個(gè)交換機(jī)上�����,這樣所有的計(jì)算機(jī)都在同一個(gè)局域網(wǎng)中�����,容易造成網(wǎng)絡(luò)安全方面的問(wèn)題。而使用VLAN技術(shù)�,可以將不同部門(mén)的計(jì)算機(jī)劃分到不同的虛擬局域網(wǎng)中,每個(gè)虛擬局域網(wǎng)相互獨(dú)立����,互不干擾。這樣即保證了部門(mén)之間的網(wǎng)絡(luò)安全性���,又提高了網(wǎng)絡(luò)的靈活性�。 在劃分VLAN時(shí)����,可以根據(jù)不同的需求和規(guī)劃,將不同的端口�����、交換機(jī)�、網(wǎng)段等劃分到不同的VLAN中。在VLAN間進(jìn)行通信時(shí)�����,需要通過(guò)路由器或才三層交換機(jī)進(jìn)行通信。路由器可以將不同的VLAN之間進(jìn)行隔離����,保證了不同VLAN之間的安全性。 總之����,VLAN是一種將物理網(wǎng)絡(luò)劃分為邏輯網(wǎng)絡(luò)的技術(shù),可以將不同的計(jì)算機(jī)劃分到不同的虛擬局域網(wǎng)中����,每個(gè)虛擬局域網(wǎng)相互獨(dú)立,互不干擾�。使用VLAN技術(shù)可以提高網(wǎng)絡(luò)的安全性和靈活性,是現(xiàn)代網(wǎng)絡(luò)中廣泛使用的技術(shù)之一�。 二、如果兩個(gè)相同vlan之間是如何通信����,不同vlan之間是如何通信���? 如果兩個(gè)相同VLAN之間需要通信�����,可以直接進(jìn)行通信���,因?yàn)樗鼈冊(cè)谕粋€(gè)邏輯網(wǎng)絡(luò)中���。兩個(gè)相同VLAN之間的通信不需要經(jīng)過(guò)路由器或者其他設(shè)備轉(zhuǎn)發(fā),可以直接進(jìn)行點(diǎn)對(duì)點(diǎn)通信�����。 而如果不同VLAN之間需要通信����,需要經(jīng)過(guò)路由器或者三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。因?yàn)椴煌琕LAN之間是邏輯隔離的���,需要通過(guò)路由器或者三層交換機(jī)進(jìn)行通信���。路由器可以將不同的VLAN之間進(jìn)行隔離,保證了不同VLAN之間的安全性����。 在進(jìn)行VLAN之間的通信時(shí),需要對(duì)路由器或者三層交換機(jī)進(jìn)行配置,將不同的VLAN劃分到不同的子網(wǎng)���。每個(gè)子網(wǎng)有一個(gè)唯一的IP地址范圍���,不同的子網(wǎng)之間需要通過(guò)路由器進(jìn)行通信。路由器可以根據(jù)不同的IP地址范圍進(jìn)行轉(zhuǎn)發(fā)���,將不同子網(wǎng)之間的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)���。 總之,如果兩個(gè)相同VLAN之間需要通信�����,可以直接進(jìn)行通信����;如果不同VLAN之間需要通信,需要通過(guò)路由器或者三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)�����。在進(jìn)行VLAN之間的通信時(shí)�����,需要對(duì)路由器或者三層交換機(jī)進(jìn)行配置�����,將不同的VLAN劃分到不同的子網(wǎng)�����,并進(jìn)行路由器配置���,以實(shí)現(xiàn)不同子網(wǎng)之間的通信����。 三����、什么是vlan tag?什么是vlan untag����? VLAN Tag和VLAN Untag是VLAN中非常常見(jiàn)的兩個(gè)概念。 VLAN Tag是指將一個(gè)VLAN標(biāo)識(shí)加入到一個(gè)數(shù)據(jù)包的頭部����,以表示該數(shù)據(jù)包屬于哪個(gè)VLAN�。在網(wǎng)絡(luò)中����,VLAN Tag通常是802.1Q協(xié)議添加的,它將VLAN信息添加到數(shù)據(jù)幀的頭部�。當(dāng)數(shù)據(jù)包從一個(gè)VLAN切換到另一個(gè)VLAN時(shí),需要添加或者刪除VLAN Tag���。 VLAN Tag在交換機(jī)����、路由器和其他網(wǎng)絡(luò)設(shè)備之間傳遞���。當(dāng)數(shù)據(jù)包從源設(shè)備發(fā)送時(shí)����,它會(huì)被添加一個(gè)VLAN Tag�,然后在網(wǎng)絡(luò)中傳輸,直到達(dá)到目標(biāo)設(shè)備���。在目標(biāo)設(shè)備上�����,VLAN Tag會(huì)被移除����,以便目標(biāo)設(shè)備可以正確地處理數(shù)據(jù)包����。 VLAN Untag是指數(shù)據(jù)包不包含VLAN標(biāo)識(shí)信息。當(dāng)數(shù)據(jù)包從未標(biāo)記的端口發(fā)送時(shí)���,它將不包含VLAN標(biāo)識(shí)信息����。這種情況下���,交換機(jī)會(huì)自動(dòng)將數(shù)據(jù)包標(biāo)記為未標(biāo)記的VLAN�����,然后將其發(fā)送到目標(biāo)設(shè)備�。 通常情況下����,VLAN Tag是在VLAN間進(jìn)行通信時(shí)使用的���,而VLAN Untag是在VLAN內(nèi)部進(jìn)行通信時(shí)使用的。例如����,當(dāng)兩個(gè)不同VLAN之間進(jìn)行通信時(shí),需要在數(shù)據(jù)包頭部添加VLAN Tag�,以便目標(biāo)設(shè)備能夠識(shí)別來(lái)自哪個(gè)VLAN。而當(dāng)同一VLAN內(nèi)部的設(shè)備進(jìn)行通信時(shí)����,不需要添加VLAN Tag,因?yàn)樗鼈兌紝儆谕粋€(gè)VLAN����,交換機(jī)會(huì)自動(dòng)識(shí)別這種情況并進(jìn)行通信。 在實(shí)際的網(wǎng)絡(luò)中���,VLAN Tag和VLAN Untag還有一些常見(jiàn)的應(yīng)用場(chǎng)景: 1. Trunk端口:Trunk端口是指連接不同交換機(jī)的端口����,可以傳輸多個(gè)VLAN的數(shù)據(jù)�。在Trunk端口上傳輸?shù)臄?shù)據(jù)包通常都會(huì)添加VLAN Tag�,以便目標(biāo)交換機(jī)能夠正確地識(shí)別數(shù)據(jù)包所屬的VLAN����。 2. Access端口:Access端口是指連接主機(jī)或者其他網(wǎng)絡(luò)設(shè)備的端口,通常只能傳輸一個(gè)VLAN的數(shù)據(jù)���。在Access端口上傳輸?shù)臄?shù)據(jù)包通常都會(huì)被標(biāo)記為未標(biāo)記的VLAN,因?yàn)檫@些端口只能傳輸一個(gè)VLAN的數(shù)據(jù)���。 3. VLAN的創(chuàng)建和配置:在創(chuàng)建和配置VLAN時(shí)�����,需要指定VLAN的ID和名稱����。同時(shí)還需要配置VLAN的端口�,將端口劃分到不同的VLAN中。在配置VLAN端口時(shí)����,可以指定端口是否需要添加或者刪除VLAN Tag。 總之����,VLAN Tag和VLAN Untag是VLAN中非常重要的概念�����,它們的應(yīng)用場(chǎng)景非常廣泛���。在實(shí)際網(wǎng)絡(luò)中,需要根據(jù)不同的需求和場(chǎng)景來(lái)配置VLAN Tag和VLAN Untag���,以實(shí)現(xiàn)不同VLAN之間的通信和VLAN內(nèi)部的通信�����。 在網(wǎng)絡(luò)中使用VLAN(Virtual Local Area Network)可以將一個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)邏輯網(wǎng)絡(luò)����,從而實(shí)現(xiàn)不同網(wǎng)絡(luò)設(shè)備之間的隔離和管理���。在VLAN中�����,每個(gè)網(wǎng)絡(luò)設(shè)備被分配到一個(gè)或多個(gè)VLAN中�����,這些VLAN是通過(guò)標(biāo)簽來(lái)區(qū)分的�����。 四�����、為什么要在VLAN上打標(biāo)簽����? 1. 實(shí)現(xiàn)邏輯隔離:VLAN的主要作用之一是將一個(gè)物理網(wǎng)絡(luò)拆分為多個(gè)邏輯網(wǎng)絡(luò)�,從而實(shí)現(xiàn)設(shè)備之間的邏輯隔離。通過(guò)在VLAN上打標(biāo)簽�,可以將不同的設(shè)備和流量隔離開(kāi)來(lái),從而提高網(wǎng)絡(luò)的安全性和可靠性����。 2. 幫助流量識(shí)別:通過(guò)在VLAN上打標(biāo)簽,可以幫助網(wǎng)絡(luò)設(shè)備在處理網(wǎng)絡(luò)流量時(shí)識(shí)別不同的VLAN���,并進(jìn)行相應(yīng)的處理�。例如,可以根據(jù)VLAN的標(biāo)簽來(lái)過(guò)濾或限制某些流量�,或者將不同的流量路由到不同的VLAN中。 3. 簡(jiǎn)化網(wǎng)絡(luò)管理:通過(guò)在VLAN上打標(biāo)簽���,可以將不同的設(shè)備和流量分組�����,從而簡(jiǎn)化網(wǎng)絡(luò)管理�。例如����,可以在同一個(gè)VLAN中將所有的服務(wù)器設(shè)備分組,方便對(duì)其進(jìn)行管理和維護(hù)����。 4. 提高網(wǎng)絡(luò)效率:通過(guò)在VLAN上打標(biāo)簽,可以使網(wǎng)絡(luò)設(shè)備更加智能地處理網(wǎng)絡(luò)流量����,從而提高網(wǎng)絡(luò)的效率和性能。例如����,可以通過(guò)將相似的流量路由到同一個(gè)VLAN中�����,減少網(wǎng)絡(luò)擁塞和延遲�。 總之�,通過(guò)在VLAN上打標(biāo)簽,可以實(shí)現(xiàn)邏輯隔離����、流量識(shí)別、簡(jiǎn)化網(wǎng)絡(luò)管理和提高網(wǎng)絡(luò)效率等多種目的���,從而提高網(wǎng)絡(luò)的安全性����、可靠性和性能����。 五����、如果交兩個(gè)交換機(jī)設(shè)置了trunk接口,默認(rèn)是允許vlan通行么?還是要再單獨(dú)配置trunk allowd vlan 10 20�����? 如果兩個(gè)交換機(jī)設(shè)置了Trunk接口�,默認(rèn)情況下是允許所有VLAN通過(guò)的。但是�����,為了安全起見(jiàn)����,最好在Trunk接口上配置Trunk Allowed VLAN,以限制可以通過(guò)Trunk接口的VLAN�����。 如果不配置Trunk Allowed VLAN�,所有VLAN都可以通過(guò)Trunk接口進(jìn)行通信,這可能會(huì)導(dǎo)致安全問(wèn)題或網(wǎng)絡(luò)擁塞問(wèn)題�����。因此����,建議在Trunk接口上配置Trunk Allowed VLAN�,以便只允許需要的VLAN通過(guò)����。 例如,假設(shè)我們有兩個(gè)交換機(jī)����,Switch A和Switch B,它們之間通過(guò)Trunk接口進(jìn)行連接���。如果不配置Trunk Allowed VLAN���,則所有VLAN都可以通過(guò)Trunk接口進(jìn)行通信。但是�,如果我們只需要允許VLAN 10和VLAN 20通過(guò)Trunk接口進(jìn)行通信,可以在Trunk接口上配置Trunk Allowed VLAN 10和20�����。 在Cisco交換機(jī)上�,可以使用以下命令配置Trunk Allowed VLAN: ``` SwitchA(config-if)#switchport trunk allowed vlan 10,20 ``` 這將允許VLAN 10和VLAN 20通過(guò)Trunk接口進(jìn)行通信����。在其他品牌的交換機(jī)上�����,也有類似的命令來(lái)配置Trunk Allowed VLAN�。 總之���,為了保證網(wǎng)絡(luò)的安全和可靠性���,建議在Trunk接口上配置Trunk Allowed VLAN,以限制可以通過(guò)Trunk接口的VLAN�����。
|
