Ccihui_Mr
很高興為您解答!
針對這個問題,我會從VLAN定義,VLAN劃分依據,VLAN劃分作用,同一交換機不同VLAN如何做到隔離以及VLAN如何實現互通等5個方面做一個簡單的分享:
1、VLAN定義
vlan叫虛擬局域網,是一種通過將局域網內的設備邏輯地址劃分成一個個網段從而實現虛擬工作組的新興技術。
2、VLAN劃分依據
①基於端口劃分
基於端口的vlan劃分方法是最常用的,就是將一個端口或者幾個端口劃分到一個vlan,這個端口的用戶就屬於該VLAN,如上圖所示,可以將E1/0/1,E1/0/2,2個端口劃分到VLAN10,E1/0/3、E1/0/4,2個端口劃分到VLAN20;
②基於MAC地址劃分
基於mac地址劃分,就是將mac地址劃分到對應的vlan中,如上圖所示,PCA和PCB的mac地址劃分在vlan10,PCC和PCDmac地址劃分在vlan20中;
③基於協議劃分VLAN
這種劃分方法就是將運行相同協議的pc劃分到相同的vlan中,比如上圖中PCA、PCB運行IP協議就劃分到vlan10,PCC、PCD運行IPX協議就劃分到vlan20;
④基於子網劃分VLAN
這種劃分方式就是根據子網劃分的,如上圖所示將10.0.0.0/24劃分到vlan10,20.0.0.0/24劃分到vlan20;
3、vlan的作用
通過劃分不同vlan,相同vlan內的主機可以直接通信,而不同vlan不能直接互通,從而將廣播報文限制在一個vlan內。
①限制廣播域
廣播域限制在一個vlan內,既節省了帶寬,又提高了網絡處理能了;
②增加局域網的安全性
不同vlan內的報文在傳輸時相互隔離
③提高網絡的健壯性
故障限制在同一個vlan內,本vlan內的故障不會影響其他vlan的正常工作;
④靈活構建虛擬局域網
用vlan劃分不同的用戶到不同的局域網,不必受限於固定的範圍,組建網絡和維護更加方便靈活;
4、同一交換機,如何做到相互隔離
原理就是對於交換機來說,是根據vlan標籤來區分不同的vlan的以太網幀的,如圖所示,PCA發送一個目的地址為PCB的數據幀,到達交換機,交換機會打上vlan10的標籤,然後根據vlan表確定從PCB的端口轉發出去交給PCB,而PCC和PCD是收不到的;
5、vlan互通
①通過單臂路由實現不同vlan之間互
②通過三層交換路由功能實現不同vlan之間的通信
綜上所述介紹了vlan的基礎知識以及同一交換機不同vlan如何做到隔離。如果覺得我的回答對你有幫助,請隨手點贊,並關注,我會一直做智能化弱電行業的知識分享!
智能化弱電圈
假設一臺交換機有48個端口(Port),現在有48人連接到該交換機48端口。48人中有24個男生,24個女生。
男生連接奇數端口1、3、5、7、…45、47
女生連接偶數端口2、4、6、8、…46、48
為了有效隔離男生與女生,所有男生被分配到VLAN 10,所有女生被分配到VLAN 20。
於是有以下分配關係:
VLAN 10 聊天群
奇數端口1、3、5、7、…45、47
VLAN 20 聊天群
偶數端口2、4、6、8、…46、48
任何奇數端口收到的廣播、組播、單播,只會被VLAN 10聊天群擴散,會擴散到VLAN 20 聊天群吧?
不會!只要有群聊天經驗的讀者都會知道。
同理可得,任何偶數端口收到的廣播、組播、單播,只會被VLAN 20聊天群擴散,不會擴散到VLAN 10 聊天群!
這樣同屬於一個VLAN 10 的端口,可以收到彼此的廣播,包括ARP廣播,可以學習到彼此的MAC地址,這樣可以實現直接通信。
問題來了,男生與女生不屬於一個聊天群,如何通信呢?
既然ARP廣播無法到達對方的VLAN聊天群,自然包括ARP廣播,意味著無法獲得對方的MAC地址。
那只有依靠每一個聊天群的群主(網關),代為中轉兩個聊天群之間的通信。
車小胖談網絡
交換機通過接口類型和pvid,決定了vlan幀頭的vid,vid不同,就不在一個vlan內,不在一個虛擬局域網內,廣播域肯定是隔離的,也就是說,不同vlan,二層肯定隔離的。
你會這麼問,我想可能是因為你碰到了屬於兩個vlan的三層網絡,可以互通,比如vlan100的192.168.100.0/24和vlan200的192.168.200.0/24可以互通。這是因為,光有以太網還無法為上層應用提供服務,所謂IP網絡嘛,可以理解為還必須有IP地址(網絡層)。(不管是OSI七層模型還是TCP/IP五層模型都是如此)
就像傳統的局域網,想運用這個局域網,實現各終端之間的通信,終端除了MAC地址,還必須有IP地址;如果想要跨網段通信,還需要一個網關來進行路由。 vlan既然是虛擬局域網,道理也是一樣,一個vlan承載一個IP網段,不同vlan的通信,就是跨網段通信,是三層(網絡層)的通信。既然是三層通信,就必須有一個網關,來轉發終端設備的數據包。
同一臺交換機下,vlanif就是為不同vlan創建的三層接口,同時也可以作為網關。
在網絡設備中,只要為三層接口配置了IP地址,就會自動生成針對IP地址對應網段的路由信息,vlanif也不例外,如下圖,這也是為什麼同一臺交換機,兩個vlanif默認是互通的原因:
那麼,怎麼實現同一臺交換機下,兩個vlanif的隔離呢,也就是三層隔離。我常用的是兩種辦法(華為設備):
第一個辦法,使用流策略
思路:創建高級acl和流策略,在vlan上應用流策略,實現三層訪問的阻斷;
特點:可以單向隔離,也可以雙向隔離;也可以針對某些指定的原目的IP進行隔離。但是配置不夠靈活,不適合需求複雜的場景。
配置過程:
2、創建流策略
這裡稍作解釋:簡單來說,流策略由流分類和流動作組成,流分類關聯ACL,vlan應用流策略;
如下圖,創建流分類,關聯ACL;
如下圖,創建流動作;
如下圖,創建流策略,關聯流分類和流動作;
3、在vlan下,應用流策略
如下圖,在vlan100下,應用流策略,這裡的應用在哪個vlan、inbound和outbound關係到acl的寫法,篇幅有限不做擴展。
4、驗證
如下圖,應用流策略後,流量馬上被攔截。
另外,也可以直接在接口上應用ACL的方式來實現,流分類除了關聯ACL,還有vlan id等參數可以配置,實現的方法蠻多,但都不是那麼方便,特別是很多交換機。ACL沒有圖形界面,假如條目很多的話,管理極為不便,因此我推薦另外一種方式。
利用vrf實現三層隔離
我在別的問答和文章中都有提到過這個問題,這裡再一次推薦。vrf(即vpn-instance)可以把交換機當作兩臺獨立的路由器來使用。
如下圖,我創建了2個vlanif,分別綁定2個vpn-instance。
但是,當你查看路由表的時候,卻只有其中一個 vlanif的信息,並且,兩個vlanif無法互通。
這是因為,另外一個綁定到了另一個vpn實例裡,擁有自己獨立的路由表和地址空間:
因此,此時一臺交換機,可以看成是兩臺,必須將兩個網段連接起來,才可以實現3層衚衕。
那麼,你就可以在交換機的一個接口上,和防火牆連接,放行2個vlanif對應的vlan,再在防火牆上,做相應的vlanif,實現兩個網段之間的路由。通過防火牆的安全策略來控制兩個網段的互訪,大家都知道,防火牆是根據安全區域來進行策略配置的,因此可以根據需要,將不同網段劃分到不同的安全區域,配置域間策略。就算是同域的網段,在防火牆上根據多種元素來控制互通,也比交換機上配置流策略來方便的多。
(因為模擬器不支持vpn實例,閒置的設備不多,無法截圖示範。華為S5700標準版就支持vpn實例功能。)
以上純屬手工碼字,特意找了臺閒置的S5700SI來截圖,只為分享知識和經驗~歡迎大家溝通交流!
然誠如
回答本行業問題,同一交換機的不同VLAN,如何做到隔離?三層交換機下的VLAN劃分,本身就已經做到了隔離,無法通信,VLAN的作用是可以隔離衝突域和廣播域。
什麼是VLAN
VLAN也叫虛擬局域網,是一組邏輯上的設備和用戶,它們並不受物理位置的限制。相互之間的通信類似在同一個網段中,VLAN是一種新的技術,工作在OSI參考模型的第2層和第3層,一個VLAN就是一個廣播域,VLAN之間的通信是通過第3層的路由器來完成的。
如果一個局域網內有幾百臺主機,一旦產生廣播風暴,整個網絡可能就會出現癱瘓。所以通過vlan劃分廣播域,使得廣播被限制在每一個vlan裡面,而不會跨VLAN傳播。不同vlan之間的主機在沒有三層路由的前提下是不能互訪的,從而做到了隔離,這也是出於安全的考慮。
如何劃分VLAN
- 通過端口的劃分VLAN
是利用交換機的端口來劃分VLAN,就是將交換機的某些端口定義為一個VLAN,端口劃分VLAN是最常用的一種VLAN劃分方法,簡單明瞭,管理非常方便。
通過MAC地址劃分VLAN
採用全球有唯一的一個物理地址MAC地址,根據網卡設備的MAC地址可以將若干臺計算機劃分在同一個VLAN中。
![]()
通過網絡協議劃分VLAN
根據每個主機的網絡層地址或協議類型劃分VLAN,將運行相同協議的主機劃分到相同的vlan中,適合廣域網中。
通過子網劃分VLAN
基於子網的VLAN,是通過所連計算機的IP地址,來決定端口所屬VLAN的。即使計算機因為換了網卡或是其他原因導致MAC地址改變,只要它的IP地址不變,就仍可以加入原先設定的VLAN。
VLAN之間如何通信
VLAN是廣播域,兩個廣播域之間由路由器連接,廣播域之間的數據包都是由路由器中繼的。因此VLAN間的通信也需要路由器提供中繼服務。VLAN間路由,可以使用普通的路由器,也可以使用三層交換機。
綜上所述,使用VLAN最大的好處就是控制廣播風暴,隔離了廣播,提高網絡整體安全性,使網絡管理簡單。個人淺見,歡迎指正交流,如果覺得有道理,請隨手點贊關注吧!
關注尬聊科技,分享更多知識,分享越多,收穫越多!
尬聊科技
你好,頭條最強的高級網絡工程師來為你解答該問題。
根據我對題主問題的理解,我覺得題主應該是想問VLAN這個技術是怎麼做到VLAN間主機隔離的。
首先我們來看看vlan數據幀格式和以及vlan這個技術沒出現前的傳統以太網數據幀格式。
vlan數據幀的報文格式,如下圖所示:
傳統的以太網數據幀格式,如下圖所示:
兩者對比,我們發現VLAN的數據幀中比傳統的以太網數據幀多了4個字節的VLAN Tag,Vlan Tag中的VID就是我們平時所說的VLAN號,取值範圍是:1-4094。
接下來,我們繼續看下面的拓撲:
PC1和PC2在同一個網段內,其中PC1連接交換機的端口GE0/0/1屬於VLAN 1,port ,PC2連接交換機的端口GE0/0/2口屬於VLAN2。
華為交換機的配置方法是:
interface GE0/0/x //x指的是交換機端口號
port link-type access
port default vlan x //x指的是VLAN號,取值範圍是1-4094
交換機的端口配置成access口後,交換機從該端口接收到傳統的以太網數據幀將會被打上一個4字節Vlan tag,Vlan tag中的VID就是我們在接口下用命令:port default vlan x 配置的x這個數字。同時交換機也會生成一張包含vlan id的mac地址表,然後交換機根據這張表來轉發報文,如下圖所示:
綜上所述,VLAN技術就是交換機端口通過給接收到的數據幀打上vlan tag以及生成一張標識了VLAN號的MAC地址表來隔離不同VLAN主機間的通信的。
歡迎大家關注,華為高級網絡工程師帶你學習更多專業網絡知識。
網絡專家vlog
玩點高級的嘛,同個交換機VLAN二層隔離誰不會啊
中間2個交換機,都是二層的,左邊交換機接電腦和互聯口都是access,vlan id10,右邊交換機接電腦和互聯口也是access,vlan id 20
兩邊電腦三層同段,能不能通信?
我們搞個實驗驗證一下:
選Juniper vQFX17版做交換機,看起來高大上一點。
左邊交換機,2個接口打VLAN 10
右邊交換機,2個接口打VLAN 20
2個PC就選個vMX路由器模擬了,配置:
直接ping一下:
哈哈,居然成功了,原來數據包是進入交換機的時候打上一個TAG,用於內部二層隔離廣播域,出交換機的時候,他就自動把TAG給剝離了,所以互聯的兩個接口VLAN不同,他也是可以通信的。
任品吉
根據我所知道的回答一下這個問題。
同一個交換機下的不同端口,如果屬於不同的VLAN,是無法相互通信的。舉兩個最常見的例子:
家庭用的光貓,一般配置了4個LAN端口,其中寬帶上網和IPTV使用了不同的VLAN進行隔離,寬帶上網一般使用VLAN1347,IPTV一般使用VLAN43。假如寬帶上網的無線路由器連接到光貓的IPTV端口,那麼是無法實現寬帶上網的,反之亦然;
- 辦公局域網:辦公局域網經常根據部門劃分不同的VLAN,假如不通過上層的三層交換機,不同VLAN的電腦是無法相互通信的;
- 下圖分別顯示了家庭光貓和辦公環境Vlan的劃分。
什麼是VLAN
VLAN稱為虛擬局域網,用來隔離廣播域的,將一個大的局域網通過劃分不同的VLAN,劃分成大小不等的“小局域網”,而每個小的局域網屬於一個VLAN。
假如VLAN為100,如果某個端口劃分為VLAN100,有一個打標籤和去標籤的過程:
數據包進入這個端口:數據包就被打上VLAN100的標籤,那麼就之只能和VLAN100的端口交換數據;
數據包離開這個端口:數據包就會剝去VLAN100的標籤,假如這個數據包的VLAN不是100,會被丟棄。
VLAN的概念只存才於交換機中,主機終端是不認識VLAN的,對主機是透明的。
VLAN有什麼用
局域網中存在大量的廣播數據,廣播數據對於每個終端都是可以收到的,假如局域網規模很大,有上萬臺終端,那麼主幹鏈路很可能被廣播數據堵塞,這時就需要VLAN了;
通過劃分不同的VLAN,將一個大的局域網,劃分成一個個小的局域網,每個VLAN就是一個小的局域網,廣播數據只在同一個VLAN中轉發,VLAN隔離了廣播域;
劃分VLAN通常依據不同的部門、不同的地域劃分,比如家庭光貓通過劃分不同的VLAN區分寬帶上網業務和IPTV業務,辦公局域網根據不同業務部門劃分不同的VLAN。
不同VLAN之間如何通信
雖然劃分了不同VLAN,但是畢竟是一個局域網的終端,得相互通信啊,這時就需要三層交換機或者單臂路由了;
不同VLAN之間相互通信,使用三層交換機是最常用的,將VLANIF接口配置在三層交換機,通過直連路由就可以實現不同VLAN之間的相互通信;
單臂路由通過子接口對應不同的VLAN,使用直連路由實現不同VLAN之間的相互通信,這種做法用的比較少。
對於劃分VLAN,實現網絡隔離,通過三層交換機或單臂路由實現不同VLAN通信,大家有什麼看法呢,歡迎在評論區,留言討論。
如需更多幫助,請私信關注。謝謝
Geek視界
“網絡極客”,全新視角、全新思路,伴你遨遊神奇的網絡世界。
交換機的不同VLAN是無法直接進行通信,從邏輯上已經進行了隔離。
同一個局域網,通常會將不同的部門劃分到不同的VLAN;
使用VLAN來確保各個部門數據之間的安全性,通過VLAN的方式實現更加靈活。
一起來簡單瞭解一下什麼是VLAN,連接VLAN的方式有哪些。
什麼是VLAN
VLAN是Virtual Local Area Network的簡稱,虛擬局域網的意思。
在同一個局域網,通過VLAN技術,可以將物理設備從邏輯上進行分離;
使得在同一個局域網內,不同部門的數據分離實現可能,確保了局域網內數據的安全性;
通過VLAN可以降低局域網的廣播包,降低廣播風暴對局域網的影響。
VLAN互通的兩種方式
不同VLAN之間想要實現通訊,有兩種方式:
-
一種是通過三層交換機,在三層交換機上建立不同VLAN的網關地址;
通過不同的VLAN網關之間的默認路由來實現通訊。
![]()
一種是通過路由器的單臂路由路由來實現;
需要使用路由器的子端口,在不同的子端口配置網關地址。
![]()
![]()
同個交換機的不同VLAN,不通過上述兩種方法,均無法實現通訊。
關於VLAN互訪,還有那些問題?
歡迎大家留言討論,喜歡的點點關注。
極客談科技
局域網的核心設備是交換機,一個交換機是一個廣播域也就是說,連接在同一交換機下的電腦都可以收到該交換機發送的ARP廣播包!VLAN是虛擬局域網的縮寫,把一個大的局域網在邏輯上劃分為許多小的局域網,這樣ARP廣播傳播的範圍就被侷限在一個個小的局域網之中!
VLAN,使用0到4095來分別代表不同的虛擬局域網,其中,默認的VLANID是1,而0被保留不作使用!通常使用的VLAN,是基於端口的靜態劃分!
當把一個端口劃分到一個VLAN號碼的時候,任何連接到該端口的計算機都被認為是該VLAN的成員,連接在該端口上的計算機發送一個數據包的時候,交換機會在目的MAC地址和源MAC地址之後插入VLANID,交換機在轉發該數據之前會查詢相應的映射表來決定是轉發還是丟棄!這樣就是實現了不同vlan之間的二層隔離!
風來了156
這個問題很有意思哦,VLAN本來就是用在二層交換中進行隔離的,以便更靈活的配置網絡。
對一臺二層交換機來說,VLAN的劃分最開始就是基於端口進行劃分,就如切西瓜,把一個交換機的的端口切成幾分,這樣這個交換機邏輯上就變成了多臺獨立的虛擬交換機了。假如一臺24口的交換機,如果我把每8口一組劃分一個VLAN,那這個交換機就相當於3個8口的交換機堆疊起來,且三個交換機之間不能進行數據交換。如下圖所示,三臺電腦即使配置成同一網段,三臺電腦直接也是ping不通的。
對一臺三層交換機,如果你根據端口劃分的VLAN,這時候在使用的時候就需要注意了,如果給每個VLAN的虛擬接口配置了IP地址,並且每個VLAN內的計算機把VLAN的虛擬接口地址配置成了電腦的網關,這時,所有的計算機是可以ping通的,這些計算機通過路由進行三層數據轉發。如下圖
隨著網絡的複雜化,VLAN的發展也脫離了地域的限制,發展出基於MAC地址、基於協議進行劃分,但是VLAN的基本原理仍然一致,在二層交換時,不管基於任何性質的劃分,VLAN之間是相互隔離的。
