实现不同部门之间网络隔离,网络拓扑图如图
1.VLAN技术简介
虚拟局域网(Virtual Local Area Network,VLAN)是在一个物理网络上划分出来的逻辑网络,是将一个物理的局域网在逻辑上划分成多个广播域的技术,可按照功能、部门及应用等因素划分逻辑工作组,形成不同的虚拟网络,与用户的物理位置没有关系 。使用VLAN技术的目的是,将原本在一个广播域的网络划分成几个逻辑广播域,每个逻辑广播域内的用户形成一个组,组内的成员可以通信,组间的成员不允许通信。一个VLAN是一个广播域,二层的单播帧、广播帧和多播帧在同一VLAN内转发、扩散,而不会直接进入其他VLAN之中,广播报文就被限制在各个VLAN内,同时也提高了网络安全性,提高了交换机运行效率。VLAN划分方法有很多,如基于端口、基于MAC地址、基于协议、基于IP子网、基于策略等,目前主流应用的是基于端口划分,因为此方法简单易用。 VLAN建立在局域网交换机的基础上,既保持了局域网的低延迟、高吞吐量特点,又解决了由于单个广播域内广播包过多,网络性能降低的问题。VLAN技术是局域网组网时经常使用的主要技术之一。
2.VLAN划分方式
(1)基于端口划分:根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID,来将不同端口划分到VLAN中。初始情况下,X7系列交换机的端口处于VLAN1中。此方法配置简单,但是当主机移动位置时,需要重新配置VLAN。 (2)基于MAC地址划分:根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。 (3)基于IP子网划分:交换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。 (4)基于协议划分:根据数据帧的协议类型(或协议族类型)、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。 (5)基于策略划分:使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时,交换机才为数据帧添加VLAN标签。另外,针对每一条策略都是需要手工配置的。
3.VLAN的优点 (1)限制广播。一个交换机组成网络默认状态下,所有交换机端口都在一个广播域内。采用VLAN技术可以限制广播,减少干扰,将数据帧限制在同一个VLAN内,不会影响其他VLAN,在一定程序上节省了带宽,每个VLAN都是一个独立的广播域。 (2)提高网络安全性。不同VLAN的用户未经许可是不能相互访问的,一个VLAN内的广播帧,不会发送到另一个VLAN中,限制用户访问,不被其它VLAN窃听,从而保证了安全。 (3)网络管理简单,虚拟工作组。逻辑上将交换机划分若干个VLAN,可以动态组建网络环境,一个用户无论在哪儿都可以不做任何修改就可以接入网络,依据不同的VLAN划分方式,可以在一台交换机上提供多个网络应用服务,提高了设备的利用率。
4.配置命令