新聞中心

EEPW首頁(yè) > 網(wǎng)絡(luò)與存儲(chǔ) > 設(shè)計(jì)應(yīng)用 > VLAN的4種應(yīng)用場(chǎng)景,你都用過嗎?

VLAN的4種應(yīng)用場(chǎng)景,你都用過嗎?

作者: 時(shí)間:2023-12-27 來源:ICT技術(shù)社區(qū) 收藏

1.1 基于接口的劃分

本文引用地址:http://butianyuan.cn/article/202312/454299.htm


如圖 1 所示,某商務(wù)樓內(nèi)有多家公司,為了降低成本,多家公司共用資源,各公司分別連接到一臺(tái)二層交換機(jī)的不同接口,并通過統(tǒng)一的出口訪問Internet。


圖 1 基于接口的劃分組網(wǎng)圖


為了保證各公司業(yè)務(wù)的獨(dú)立和安全,可將每個(gè)公司所連接的接口劃分到不同的,實(shí)現(xiàn)公司間業(yè)務(wù)數(shù)據(jù)的完全隔離??梢哉J(rèn)為每個(gè)公司擁有獨(dú)立的“虛擬路由器”,每個(gè)VLAN就是一個(gè)“虛擬工作組”。


1.2 基于MAC的VLAN劃分


如圖 2 所示,某公司有兩處辦公區(qū)域,分別通過接入交換機(jī)Switch_2和Switch_3接入公司,公司部門員工因工作原因經(jīng)常往來兩地辦公。


圖 2 基于MAC的VLAN劃分組網(wǎng)圖


為了保證員工在改變辦公地點(diǎn)后,仍然能夠訪問公司的資源(如服務(wù)器),可在Switch_2和Switch_3上分別配置基于MAC地址劃分VLAN。這樣,只要User_1的MAC地址不變,User_1改變接入位置時(shí),劃分的VLAN不變,就繼續(xù)能夠訪問公司的網(wǎng)絡(luò)資源。


1.3 基于IP子網(wǎng)的VLAN劃分


如圖 3 所示,某公司有兩個(gè)部門:部門1和部門2,分別分配了固定的IP網(wǎng)段。為加強(qiáng)員工間的學(xué)習(xí)與交流,員工的位置有時(shí)會(huì)相互調(diào)動(dòng),但公司希望各部門員工訪問的網(wǎng)絡(luò)資源的權(quán)限不變。


圖 3 基于IP的VLAN劃分組網(wǎng)圖


為了保證部門內(nèi)員工的位置調(diào)整后,訪問網(wǎng)絡(luò)資源的權(quán)限不變,可在公司的中心交換機(jī)上配置基于IP子網(wǎng)劃分VLAN。這樣,服務(wù)器的不同網(wǎng)段就劃分到不同的VLAN,訪問服務(wù)器不同應(yīng)用服務(wù)的數(shù)據(jù)流就會(huì)隔離,提高了安全性。


02

通過VLANIF實(shí)現(xiàn)VLAN間三層互訪


根據(jù)屬于不同VLAN的用戶互通時(shí)需要跨越的三層設(shè)備數(shù),通過VLANIF實(shí)現(xiàn)VLAN間三層互訪主要有兩種場(chǎng)景:同設(shè)備三層互訪和跨設(shè)備三層互訪。


2.1 同設(shè)備三層互訪


如圖 4 所示,某小型公司的部門1和部門2分別通過二層交換機(jī)接入到一臺(tái)三層交換機(jī)Switch,所屬VLAN分別為VLAN2和VLAN3,部門1和部門2的用戶互通時(shí),需要經(jīng)過一臺(tái)三層交換機(jī)Switch。


圖 4 通過VLANIF實(shí)現(xiàn)同設(shè)備三層互訪組網(wǎng)圖


可在Switch_1和Switch_2上劃分VLAN并將VLAN透?jìng)鞯絊witch上,然后在Switch上為每個(gè)VLAN配置一個(gè)VLANIF接口,實(shí)現(xiàn)VLAN2和VLAN3間的路由。


2.2 跨設(shè)備三層互訪


如圖 5 所示,某大中型公司的部門1和部門2之間跨越兩臺(tái)或多臺(tái)三層交換機(jī),所屬VLAN分別為VLAN2和VLAN3,部門1和部門2的用戶互通時(shí),需要經(jīng)過兩臺(tái)或多臺(tái)三層交換機(jī)。


圖 5 通過VLANIF實(shí)現(xiàn)跨設(shè)備三層互訪組網(wǎng)圖


可在二層交換機(jī)上劃分VLAN并將VLAN透?jìng)鞯饺龑咏粨Q機(jī);在三層交換機(jī)Switch_1和上Switch_2為每個(gè)用戶VLAN配置一個(gè)VLANIF接口,并為互聯(lián)VLAN配置VLANIF接口;在其他三層設(shè)備上為互聯(lián)VLAN配置VLANIF接口。除此以外,還需要在Switch_1和上Switch_2之間配置靜態(tài)路由或運(yùn)行動(dòng)態(tài)路由協(xié)議(跨兩臺(tái)以上三層交換機(jī)時(shí),建議運(yùn)行動(dòng)態(tài)路由協(xié)議)。


03

通過流策略實(shí)現(xiàn)VLAN間互訪控制


如圖 6 所示,為了的安全性,某公司將訪客區(qū)、員工區(qū)、服務(wù)器區(qū)分別劃分到VLAN10、VLAN20、VLAN30中。公司希望員工、服務(wù)器主機(jī)、訪客均能訪問Internet,但訪客不能與員工互通,且只能訪問服務(wù)器區(qū)的服務(wù)器_1。


圖 6 通過流策略實(shí)現(xiàn)VLAN間互訪控制組網(wǎng)圖


在公司中心交換機(jī)Switch上配置VLANIF10、VLANIF20、VLANIF30、VLANIF100,并配置到Router的路由后,員工、服務(wù)器主機(jī)、訪客均能訪問Internet,且員工、服務(wù)器主機(jī)、訪客之間能夠互相訪問。為了控制訪客的訪問,可在Switch上配置流策略,匹配規(guī)則如下:


  • ACL規(guī)則1:禁止源IP為訪客的IP網(wǎng)段,目的IP為員工所在的IP網(wǎng)段。


  • ACL規(guī)則2:允許源IP為訪客的IP網(wǎng)段,目的IP為服務(wù)器_1的IP,禁止源IP為訪客的IP網(wǎng)段,目的IP為服務(wù)器所在的IP網(wǎng)段。


  • ACL規(guī)則3:禁止源IP為員工的IP網(wǎng)段,目的IP為訪客所在的IP網(wǎng)段。


  • ACL規(guī)則4:禁止源IP為服務(wù)器的IP網(wǎng)段,目的IP為訪客的所在的IP網(wǎng)段。

然后在Switch連接訪客區(qū)的接口的入、出方向上應(yīng)用該流策略,即可使訪客不能與員工互通,且只能訪問服務(wù)器區(qū)的服務(wù)器_1。


04

交換機(jī)與路由器通過VLANIF接口實(shí)現(xiàn)三層互聯(lián)


為降低成本,多數(shù)企業(yè)內(nèi)部使用交換機(jī)互聯(lián),而通過出口路由器與外部ISP網(wǎng)絡(luò)建立連接,如圖 7所示。


圖 7 交換機(jī)與路由器互聯(lián)示意圖


為了能夠訪問外部ISP網(wǎng)絡(luò),核心交換機(jī)(三層)與出口路由器之間需要三層互通。由于多數(shù)三層交換機(jī)不支持路由接口或支持的路由接口有限,一般通過配置VLANIF接口作為三層接口與出口路由器的三層子接口實(shí)現(xiàn)三層互聯(lián),然后配置靜態(tài)路由或運(yùn)行動(dòng)態(tài)路由協(xié)議,實(shí)現(xiàn)核心交換機(jī)與出口路由器之間的三層互通。




關(guān)鍵詞: VLAN 網(wǎng)絡(luò) 通信

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉