对于大型网络,我们常常对于ip的规划比较烦恼,也有很多朋友问到,对于1000路以上的大型监控或网络如何去设置它的ip地址呢?
对于大型网络,它的ip规划我们常常的做法是划分vlan,因为划分vlan有诸多好处,方便管理以及提升了整个网络的安全性。当然除了划分vlan有其它的方法吗?答案是肯定,那就是端口隔离。这两种方法在ip规划中使用的最多,我们本期来详细了解vlan的划分与端口隔离。
一、划分vlan
在面对ip地址较多的时候,我们常用的方法就是划分vlan,VLAN的作用是隔离广播,同一个VLAN在一个广播域,端口隔离就是将同一个VLAN不同接口再进行隔离。使用三层交换机划分vlan,可以使vlan之间相互通信。
举例
某公司有1000台电脑,公司有若干个部门,部门之间有相互往来,如何来规划ip地址?
分析:1000台电脑可以设置成6个网段,当然也可以设置5个网段,设置6个网段方便以后扩展性。那我们ip地址可以如下:
Vlan1:192.168.1.1/24
Vlan2:192.168.2.1/24
配置步骤:
<Huawei>system-view #进入系统视图
[Huawei]vlan 10 #创建vlan 10
[Huawei-vlan10]int vlan 10 #进入vlan 10
[Huawei-Vlanif10]ip address 192.168.1.1 /24 #设置vlan 10 ip 与掩码
[Huawei-Vlanif10]quit #退出
[Huawei]int GigabitEthernet 1/0/3 #进入端口3
[Huawei-GigabitEthernet1/0/3]port link-type access #设置端口模式为access 模式,access端口只能属于一个vlan;
[Huawei]int GigabitEthernet 1/0/2 #进入端口2
[Huawei-GigabitEthernet1/0/2]port link-type access #设置端口模式为access 模式
[Huawei-GigabitEthernet1/0/2]quit #退出
[Huawei]int GigabitEthernet 1/0/2
[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔离端口 3
[Huawei-GigabitEthernet1/0/2]quit
[Huawei]int GigabitEthernet 1/0/3 #进入端口3
[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔离端口 2
[Huawei-GigabitEthernet1/0/3]quit
这种实现了端口与端口3之间不能互相通信。
作为交换机有效的访问控制安全控制机制之一:端口隔离,其安全、灵活的特性在实际组网中应用广泛,它可以将指定的端口可以加入到特定的端口隔离组中,同一端口隔离组的端口之间互相隔离,不同端口隔离组的端口之间不隔离。
是不是感觉似曾相识,感觉跟划分VLAN差不多,其实不然,虽然VLAN和端口隔离都是把一部分设备独立在一个空间内,有防护功能,但VLAN一般用来隔离广播的,譬如一栋大楼,每层一个VLAN,隔离出广播域,而端口隔离则不同,一般同一个VLAN的用户都是同一网段的,所以是可以ping通访问的,实现共享资料的,但是做了端口隔离后,即使在同一网段,也禁止互相访问,安全指数更高!
简言之就是: VLAN的作用是隔离广播,同一个VLAN在一个广播域,端口隔离就是将同一个VLAN不同接口再进行隔离。
三、总结
1、端口隔离的端口之间无法相互通信,但可以与上联口通信;VLAN是同VLAN ID的端口可以任意通信,不同VLAN之间不能直接通信。
2、端口隔离的各个端口仍然处于同一IP段;VLAN则必须每个VLAN对应一个独立的IP段。
3、端口隔离仅限于单台交换机,即无法控制通过上联口互联的两台交换机之间的隔离端口的通信;VLAN可以跨越多台交换机,只要VLAN ID不同,就无法直接通信。
4、上联口无法区分端口隔离的数据来自哪个端口,但是可以区分VLAN的数据归属于哪个VLAN。
欢迎大家加入我们的弱电智能化交流群:197391160,与更多同行人士交流学习
扫描下面小程序,能领取更多优惠券哦!
点击~了解更多~有视频的精彩讲解
,
