划分VLAN的目的(很多人的误区)
我在外面实施工程的时候,总是听到一些系统集成商的工程师(不够专业的工程师)或者直接客户(不懂,又喜欢装B的,怕丢面子),当我要给它划分VLAN的时候,或者它自己提出来,你给我划分几个VLAN,或者还在我面前卖弄几句,你看划完VLAN不就实现了隔离吗?我这三栋楼,你给我划分三个VLAN,或者我这四个部门,你给我划分在四个VLAN当中隔掉他们....其实他们的言下之意还真就以为划分VLAN的目的就是为了隔离不同VLAN不让他们互访(其实这是非常多人的误区,我也慢慢变成这样的想法了,当然这可以通过ACL做到,但并不是划分VLAN的目的,这个最多可以理解成这是划分VLAN之后的一种应用并不是最终目的,你可能认为我太认真了.),如果你是一位CCNP,问下自己是不是这样?如果你也同意,相信NP理论一定不够扎实(我自己在写这个帖子前也被这些客户天天说的我自己不够坚信,所以我自认为自己NP学得确实不够扎实),今天翻了下书,其实划分VLAN的目的就两个:
1.提高安全性----------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播.
2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围.
由于怕给客户丢面子,不好当面揭穿客户,更不好揭穿懂点技术的系统集成商工程师,所以以后心里记着就行,不要天天被他们的言论给弄得自己也不清不楚的..这个可以在给客户培训的时候好好讲解....哈哈..
误区解释: 划分VLAN的目的根本没有隔离VLAN不让VLAN间互访这么一说:划分VLAN如果真是为了隔离,怎么还要使用单bi路由或者三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?,更何况现在的三层交换机,划分了vlan ,如果配置了VLAN的三层接口即int vlanif 并且将这个三层接口作为接在该VLAN下的PC的网关时,所有VLAN 下的PC在默认没有作三层VLANIF接口间流量访问控制时是完全可以互访的,要隔离还得使用ACL...........这个只是划分VLAN之间可以实现的一种应用(并不是划分VLAN的最终目的)
1.提高安全性----------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播.
2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围.
由于怕给客户丢面子,不好当面揭穿客户,更不好揭穿懂点技术的系统集成商工程师,所以以后心里记着就行,不要天天被他们的言论给弄得自己也不清不楚的..这个可以在给客户培训的时候好好讲解....哈哈..
误区解释: 划分VLAN的目的根本没有隔离VLAN不让VLAN间互访这么一说:划分VLAN如果真是为了隔离,怎么还要使用单bi路由或者三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?,更何况现在的三层交换机,划分了vlan ,如果配置了VLAN的三层接口即int vlanif 并且将这个三层接口作为接在该VLAN下的PC的网关时,所有VLAN 下的PC在默认没有作三层VLANIF接口间流量访问控制时是完全可以互访的,要隔离还得使用ACL...........这个只是划分VLAN之间可以实现的一种应用(并不是划分VLAN的最终目的)
上一篇:返回列表
留言与评论(共有 0 条评论) |