静态VLAN
介绍
VLAN通常由网络管理员创建,将每个交换机的每个端口分配给一个VLAN。根据网络基础结构和安全策略,可以使用两种不同的方法来实现VLAN的分配:静态或动态成员资格-这两种方法也称为VLAN成员资格。
这些方法都有其优点和缺点,我们将对它们进行深入分析,以帮助您确定最适合您的网络的方法。
根据用于分配VLAN成员资格的方法,交换机可能需要进一步配置,但是在大多数情况下,这是一个非常简单的过程。此页面处理静态VLAN,然后介绍动态VLAN。
静态VLAN
静态VLAN成员资格可能是使用最广泛的方法,因为它提供的管理开销和安全性相对较小。对于静态VLAN,管理员会将交换机的每个端口分配给一个VLAN。一旦完成,他们可以简单地将每个设备或工作站连接到适当的端口。
下图描述了以上内容,其中为4个不同的VLAN配置了4个端口:
上面的屏幕截图显示了一个Cisco交换机(嗯,其中一半:>),其中端口1、2、7和10已配置并分别分配给VLAN 1、5、2和3。
在这一点上,我们应该提醒您,这4个VLAN在不使用路由器的情况下无法相互通信,因为它们被视为4个独立的物理网络,而不管它们各自使用的网络寻址方案如何。但是,由于稍后将介绍VLAN路由,因此我们将不提供其详细信息。
静态VLAN当然比传统交换机更安全,同时也易于配置和监视。正如人们所期望的,属于一个VLAN的所有节点也必须属于同一逻辑网络,以便彼此通信。例如,在上面的交换机上,如果我们将网络192.168.1.0/24分配给VLAN 1,则所有连接到分配给VLAN 1的端口的节点都必须使用相同的网络地址来彼此通信,就像一个普通的开关。
此外,静态VLAN的另一个优点是-您可以控制用户在大型网络中的移动位置。通过在整个网络的交换机上分配特定端口,您可以控制访问并限制用户可以使用的网络资源。
一个很好的例子是拥有多个部门的大型网络,其中任何网络管理员都希望控制用户可以在何处物理连接其工作站或便携式计算机以及他们可以访问哪些服务器。
下图显示了VLAN供电的网络,其中已为交换机配置了静态VLAN支持。
首先,网络图可能看起来有些复杂,但是如果您密切注意每台交换机,您会发现它非常简单-六台交换机配置了6个VLAN,每个部门一个VLAN,如图所示。虽然为每个VLAN分配了一个逻辑网络,但是IT部门还出于支持目的在以下部门中放置了一个工作站:管理,R&D,人事部门。
网络管理员已将每个部门交换机上的端口1(P1)分配给属于IT部门的工作站的VLAN 5,而其余端口则分配给了相应的VLAN,如图所示。
通过此设置,管理员可以将任何员工放置在网络中IT部门的任何位置,而不必担心用户是否能够连接和访问IT部门的资源。
此外,如果上述任何部门(例如管理部门)中的用户决定通过将工作站插入其部门交换机的端口1来尝试访问IT部门的网络和资源来变得聪明。他肯定不会走太远,因为他的工作站将配置为192.168.1.0网络(VLAN 1),而端口1要求他使用192.168.5.0网络地址(VLAN 5)。从逻辑上讲,他将不得不更改其IP地址以匹配他尝试访问的网络,在这种情况下,这将是网络192.168.5.0。
概要
总而言之,对于静态VLAN,我们将每个单独的交换机端口分配给一个VLAN。网络地址完全由我们决定。在我们的示例中,交换机不在乎每个VLAN使用哪个网络地址,因为它们会完全忽略此信息,除非执行了路由(这在InterVLAN路由页面中进行了介绍)。就交换机而言,如果您有两个端口分配给相同的VLAN,则这两个端口之间就可以相互通信,就像在任何普通的第2层交换机上一样。
上一个- 比较旧的平面网络& VLAN网络 下一个 - 动态VLAN
