不同vlan划分

交换机划分vlan

在接触过的一般视频监控项目中,监控网络基本都是独立的,单独走线,使用单独的交换设备,所以很少涉及到vlan。最近碰到一个酒店的监控项目,办公,无线,监控在同一个物理网络里,交换机有使用VLAN划分不同网段,所以研究了下vlan,做一些总结。

平时理解有误,vlan的主要目的不是网络隔离,而是提高了网络性能,增强了网络安全性。

1. vlan是什么?

vlan(Virtual Local Area Network)是虚拟局域网,是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。

基于交换式以太网的虚拟局域网在交换式以太网中,利用VLAN技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。(提高网络性能)

在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。(增强了网络安全性)

2. vlan的目的

提高了网络性能:当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内,缩小了广播域,提高了网络的传输效率,从而提高网络性能。

增强安全性:各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。

3.如何划分vlan

基于端口。

基于mac地址。

基于ip地址。

基于组播(用于广域网,局域网不用)。

基于一定的规则。

最常用的划分方法是将端口和IP地址结合来划分vlan,某几个端口为一个vlan,并为该vlan配置IP地址,那么该vlan中的计算机就以这个地址为网关,其它vlan则不能与该vlan处于同一子网。

4.其他问题

不同交换机中有同一个vlan,如果交换机1的vlan 1中的机器要访问交换机2的vlan 1中的机器,可以通过设置vlan Trunk来解决,将两台交换机的级联端口设置为Trunk端口。

三层交换技术,不同vlan之间通信需要路由转发,局域网里,不同vlan之间的数据量很大,容易造成路由器负载过大,使路由器称为网络中的瓶颈。于是出现了三层交换技术,将交换和路由技术合二为一。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。

在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用vlan技术进行虚拟网络划分。vlan子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。

5.应用

组网要求:内网存在多个功能区域,不同区域之间的网段要分开(如监控、无线、电脑各一个网段); 每个网段的网关部署在三层核心设备上;各个终端设备(摄像头、AP、电脑)通过二层接入交换机连接。

组网拓扑:

vlan划分

vlan划分

配置要点:
三层核心交换机配置思路:
1.上行口:配置成三层口,配置IP
2.配置默认路由,下一跳指向网关EG
3.创建VLAN,配置SVI当内网网关
4.配置DHCP,为终端分配IP地址
5.下行口:配置成Trunk口
二层接入交换机配置思路:
1.上行口:配置成Trunk口
2.下行口:配置成Access口,接入相应VLAN。

复杂点,2层接入交换机分配一个端口用来接入前端汇聚的监控,剩下的端口接入办公网络。三层交换机划出一个端口接入硬盘录像机。监控和办公网络各一个vlan。

组网拓扑图:

不同vlan划分

不同vlan划分

参考资料:锐捷交换产品线Web实施一本通
Vlan划分及其意义
划分VLAN的目的
IEEE 802.1Q VLAN_1.0.1版技术白皮书