1网络工程项目实现 12 VLAN 口为什么划分WLAN ■提高安全性 口没有划分ⅥAN前,交换机端口连接下的所有主机都处于一个LAN中,即 广播域中,从而ARP攻击实现较为简单。划分了ⅥLAN之后,缩小了 ARP攻击的范围。ARP报文只能在同一个LAN中传播。 ■提高性能 口不划分ⅥAN,整个交换机都处于一个广播域,随便一台PC发送的广播 报文都能传送整个广播域,占用了很多带宽(也可能引起广播风暴) 划分了ⅥAN,缩小的广播域的大小,缩小了广播报文能够达到的范围。 网络通信 口划分ⅥLAN可以通过“ⅥLAN间相互通信”方法,从而使不同网络段(不 同楼宇)之间的主机能够进行通信。 河南中医药大学/路景鑫/13938257469/htp/ ethernetxg. hactcm.edu. cn
河南中医药大学 / 路景鑫 / 13938257469 / http://ethernet.xg.hactcm.edu.cn 1.网络工程项目实现 为什么划分VLAN ◼ 提高安全性 没有划分VLAN前,交换机端口连接下的所有主机都处于一个LAN中,即 一个广播域中,从而ARP攻击实现较为简单。划分了VLAN之后,缩小了 ARP攻击的范围。ARP报文只能在同一个LAN中传播。 ◼ 提高性能 不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播 报文都能传送整个广播域,占用了很多带宽(也可能引起广播风暴)。 划分了VLAN,缩小的广播域的大小,缩小了广播报文能够达到的范围。 ◼ 网络通信 划分VLAN可以通过“VLAN间相互通信”方法,从而使不同网络段(不 同楼宇)之间的主机能够进行通信。 11 1.2 VLAN
1网络工程项目实现 12 VLAN 口不同网段之间访问 左图可以使两个不同子网多台主机 主机1P192.16810:0420进行通信,但是存在以下问题 子网掩码255.2552550 网关192168.101 1、一般一个交换机有24个端口 个子网如果两三台主机使用,则较 IP192.168.10.1 为浪费交换机 2、如果网络中存在多个子网,需要 增加交换机来满足需求,则增加硬 IP192.16820.1 件成本; 3、交换机数量增加后,也需要增加 主机IP19216820100~120 路由器数量,维护成本增大。 子网掩码2552552550 网关19216820.1 PC6 河南中医药大学/路景鑫/13938257469/htp/ ethernetxg. hactcm.edu. cn
河南中医药大学 / 路景鑫 / 13938257469 / http://ethernet.xg.hactcm.edu.cn 1.网络工程项目实现 不同网段之间访问 12 1.2 VLAN 左图可以使两个不同子网多台主机 进行通信,但是存在以下问题: 1、一般一个交换机有24个端口,一 个子网如果两三台主机使用,则较 为浪费交换机; 2、如果网络中存在多个子网,需要 增加交换机来满足需求,则增加硬 件成本; 3、交换机数量增加后,也需要增加 路由器数量,维护成本增大
1网络工程项目实现 12 VLAN 口划分ⅥLAN的方法 基于端囗划分 口描述:明确指定各个端囗属于哪个ⅥLAN。 口优点:操作简单。 口缺点:主机较多时,重复工作量大;主机端口变动的时候,需要同时 改变该端口所属的WLAN。 ■基于MAC地址划分 ¤描述:根据主机网卡的MAC地址进行划分,通过检查并记录端□所连接 的网卡MAC地址来决定端囗所属的VAN 口优点:当用户主机地址改变的时候,不需要重新配置VLAN ¤缺点:初始化的时候需要根据所有用户主机进行配置,当主机数很大 时工作量较大,同时交换机每个端囗可能需要保存多个主机的MAC地址, 从而降低交换机的执行效率。 河南中医药大学/路景鑫/13938257469/htp/ ethernetxg. hactcm.edu. cn
河南中医药大学 / 路景鑫 / 13938257469 / http://ethernet.xg.hactcm.edu.cn 1.网络工程项目实现 划分VLAN的方法 ◼ 基于端口划分 描述:明确指定各个端口属于哪个VLAN。 优点:操作简单。 缺点:主机较多时,重复工作量大;主机端口变动的时候,需要同时 改变该端口所属的VLAN。 ◼ 基于MAC地址划分 描述:根据主机网卡的MAC地址进行划分,通过检查并记录端口所连接 的网卡MAC地址来决定端口所属的VLAN。 优点:当用户主机地址改变的时候,不需要重新配置VLAN。 缺点:初始化的时候需要根据所有用户主机进行配置,当主机数很大 时工作量较大,同时交换机每个端口可能需要保存多个主机的MAC地址, 从而降低交换机的执行效率。 13 1.2 VLAN
14 1网络工程项目实现 12 VLAN 基于网络协议划分 口描述:基于所用的网络层协议划分ⅥAN,可以划分为IP/IPX/ DECnet/A appletalk/ Banyan等ⅥAN网络。 口优点:用户主机物理位置改变后,不需要重新配置所属的ⅥAN网络; 适用于针对不同应用和服务来组织用户的场景。 ¤缺点:检査每一个数据包的网络层地址需要消耗处理时间,效率较低。 基于IP地址划分 口描述:将任何属于同一IP广播组的主机认为属于同一ⅥLAN。 口优点:良好的灵活性和可扩展性,可以方便地通过路由器扩展网络。 口缺点:不适合局域网,效率不高。 河南中医药大学/路景鑫/13938257469/htp/ ethernetxg. hactcm.edu. cn
河南中医药大学 / 路景鑫 / 13938257469 / http://ethernet.xg.hactcm.edu.cn 1.网络工程项目实现 ◼ 基于网络协议划分 描述:基于所用的网络层协议划分VLAN,可以划分为IP/IPX/DECnet/A ppleTalk/Banyan等VLAN网络。 优点:用户主机物理位置改变后,不需要重新配置所属的VLAN网络; 适用于针对不同应用和服务来组织用户的场景。 缺点:检查每一个数据包的网络层地址需要消耗处理时间,效率较低。 ◼ 基于IP地址划分 描述:将任何属于同一IP广播组的主机认为属于同一VLAN。 优点:良好的灵活性和可扩展性,可以方便地通过路由器扩展网络。 缺点:不适合局域网,效率不高。 14 1.2 VLAN
15 1网络工程项目实现 12 VLAN 基于策略划分 ¤描述:一种根据不同的情况,将上述多种划分ⅥAN的技术按照一定的 安全策略进行综合运用的划分技术 口优点:这种方式具有自动配置的能力,自动化程度高;可以非常方便 的扩展网络规模 口缺点:对设备要求较高。 河南中医药大学/路景鑫/13938257469/htp/ ethernetxg. hactcm.edu. cn
河南中医药大学 / 路景鑫 / 13938257469 / http://ethernet.xg.hactcm.edu.cn 1.网络工程项目实现 ◼ 基于策略划分 描述:一种根据不同的情况,将上述多种划分VLAN的技术按照一定的 安全策略进行综合运用的划分技术。 优点:这种方式具有自动配置的能力,自动化程度高;可以非常方便 的扩展网络规模。 缺点:对设备要求较高。 15 1.2 VLAN