⑴ vlan是什麼怎樣實現
1) VLAN是虛擬區域網或虛擬的乙太網。區域網和虛擬區域網的關系類似物理計算機和虛擬機的關系。
2)虛擬區域網是可以在乙太網上進行邏輯拓撲設計和訪問控制設計(專利:一種基於VLAN構造的訪問控制方法)。不僅對TCP/IP協議有效,而且對在乙太網上非TCP/IP傳輸協議也同樣有效
3)由於ACL主要是為TCP/IP協議工作的,因此對於ARP廣播定址等功能不能進行良好的隔離。故需要系統在二層隔離時(乙太網層),需要VLAN。
VLAN的含義:相同VLANID的交換機埠(或網卡MAC、IP)或不同VLANID,若允許本身或彼此攜帶VLAN標簽(TAG)的數據包通過,這些埠就構成VLAN。由於不同VLANID的埠可以允許不同的VLAN標簽(TAG)通過。所以每種VLANID埠的廣播域可以不一樣。
虛擬區域網的定義:
1)按埠的PVID定義,即相同的VLANID為同一個VLAN(VLANID為埠列印的虛擬區域網標簽)。每個埠只允許攜帶該VLAN標簽的數據包通過。
2)不同VLANTAG(標簽)也被允許通過,當某個VLANID(列如:VLAN100的埠,允許VLAN200埠列印的數據包也能通過),這樣如果VLAN100和VLAN200 都允許彼此列印的數據包通過。則VLAN100和VLAN200構成一個VLAN。同理如下圖:
簡單實現一個虛擬網路的訪問控制邏輯拓撲
習慣上VLANID,即VLAN100、VLAN200中數字100、200代表了每個VLAN號。尊重這種習慣,在此、我們用「組VLAN」來代表一個虛擬區域網,我們設置VLAN100 不僅允許自身VLANID的IP包通過,也允許VLAN200的數據包(VLANTAG)通過,同時設置VLAN200也允許VLAN100的數據包通過。VLAN100和VLAN200就構成了一個虛擬區域網。同理,如果我們設置VLAN100和VLAN300互通,VLAN200和VLAN400互通。如圖1所示:由於,埠對VLANTAG的選擇性限制,VLAN100與VLAN400不能互通、VLAN200不能與VLAN300互通。VLAN300也不能與VLAN400互通。
MAC-VLAN ,IP-VLAN.主要是網卡設置,即通過網卡設置MAC和IP和VLAN成員的對應關系,此地就不再重復說明。
VLAN邏輯拓撲設計和VLAN直接訪問控制目前是最新的技術,可以按照伺服器及其服務對象(客戶端)劃入同個VLAN。伺服器和客戶端都可以加入不同的組「VLAN」。如下圖所示:
願能幫助到你!