1. VLAN
通常用于配置交换机分隔广播域,每一个VLAN就是一个虚拟局域网网段。(类似实现了路由器的功能,节省单独购买路由器的成本)
- 1.分隔广播域 2.安全 3.灵活管理 :注意交换机需要支持配置功能才能配置VLAN。
- 实现:最常用的以端口方式划分VLAN:将交换机的几个端口划分成一个VLAN中,另外几个端口划分到另外一个VLAN中,这每一个VLAN就是一个广播域(类似子这些端口接到了一个子交换机上),但是两个不同的VLAN之间不能通讯(相当于物理上隔断了,或者说多个VLAN之间接了一个路由器)
- 如果只能划分VLAN不能配置他们之间的通讯策略,就是二层交换机;如果我们可以配置这多个VLAN之间的相互通讯策略,实现划分广播域,达到安全配置功能,就是带有路由功能的三层交换机。
- 二层交换机不同的VLAN间互访,则需借助路由器或三层交换机来实现,三层交换机则不需要,直接支持让不同的VLAN相互访问。
- 如果两个(或多个)交换机之间的VLAN想要连接在一起,可以把这两个交换机上都各自拿出一个端口并相连,同时
将这两个端口各自加入想要连接的VLAN内即可,但如果想要连接的VLAN和交换机太多,就会占用过多的端口。这时候就需要一个trunk-802.1Q协议并利用一个trunk端口,也就是干路端口来让这一个接口可以转发此交换机上所有VLAN的数据。
- 但是转发出去的数据包如果不指定上目标交换机想要与这个数据包来自的VLAN网络合并的VLAN,则在目标交换机会全部转发,因此会在以太网帧的报头信息内指定上目标交换机的VLAN信息,以便相互合并。这就是trunk的工作方式。
- 上图中主交换机和子交换机相连的所有口都是trunk接口,注意主交换机上配置了3个trunk接口。当然前提是交换机可以配置,不能配置的交换机不支持VLAN功能。
- 路由器:为了实现路由,路由器需要做下列事情(这里指的是企业级专用路由器,工作在网络层,家里用的路由器是个集成交换机的集成设备,注意区分):
- 分隔广播域(多播广播数据都会隔断,只有单播才能穿越,单播也可以配置让它不能穿越,总之全部都可调控,达到安全配置功能)
- 选择路由表中到达目标最好的路径
- 维护和检查路由信息 :比如企业中的核心交换机都是带有路由功能的,三层交换机,可以配置连接到它的各个端口的二层交换机之间能否传输数据和通信。这样就把它的子交换机(各个部门交换机)分隔成一个一个的广播域,而不是全都在一个广播域内,可以设置子交换机(各个部门)之间的通讯方式(单向,双向,不可通讯),实现安全策略。
- 连接广域网
1.1. Vlan结构
1.1.1. trunk封装协议
1.1.1.1. IEEE 802.1Q 国际标准协议
1.1.1.2. 思科私有ISL协议
不做介绍
2. 分层的网络结构(企业中的简单配置):
Vlan注意点:
- Vlan的目的是为了隔离广播域,虽然说不使用Vlan,直接在各个主机上面配置不同的IP地址段也能实现不同的IP段之间不相互进行直接通讯的效果(如下图,利用路由器才能相互之间通信);
- 但是不能分割广播域,所有的交换机上面都能收到各种ARP广播等等等等,当机器越来越多的时候就会占用更多的网络资源,所以还是必须使用具有VLAN功能的交换机进行Vlan的划分。
- 同时并不是真的隔离,它们不同网段相互之间由于还是通过交换机直连,所以只要加上对方的网段的路由(利用命令强行加上),还是可以相互之间进行通讯的
- 只有设置了Vlan功能的才能隔离广播域,并且真正的隔离各个网段,提高各个网段性能。
3. Vxlan
先占坑,可先看文章 https://zhuanlan.zhihu.com/p/130277008
留言