| 2018-10-24
在网络中添加、移走和更换设备很容易,只需将端口加入合适的VLAN 即可。
对于安全要求极高的用户,可将他们加入独立的VLAN ,这样,其他VLAN 中的用户将不能与他们通信。
作为用户逻辑编组, VLAN 可独立于用户的地理位置。
VLAN 极大地改善了网络安全
VLAN 增加了广播域的数量,同时缩小了广播域的规模
每种协议都使用广播,但广播的频率取决于3 个因素:
协议的类型
互联网络中运行的应用程序
这些服务的使用方式
开发人员对一些老式应用程序进行了重写,以降低其占用的带宽,但新一代应用程序在带宽方面非常贪婪,它们占用能找到的所有带宽。这些带宽贪婪者就是多媒体应用程序,它们大量使用广播和组播。这些广播密集型应用程序带来了很多问题,而不完善的设备、网段划分不充分、设计糟糕的防火墙让这些问题更加严重。所有这些因素给网络设计增添了新的变数,也让管理员面临一系列新的挑战。必须对网络进行正确的分段,以便能够快速隔离问题,防止它们传播到整个互联网络。为此,最有效的方式是使用交换和路由选择。
鉴于交换机日益便宜,很多公司都对其使用集线器的平面型网络进行了改进,将其改成纯粹的交换型网络和VLAN 环境。在同一个VLAN 中,所有设备都属于同一个广播域,接收其他设备发送的所有广播。默认情况下,这些广播不会通过连接到其他VLAN 的交换机端口转发出去。这很好,因为它提供了交换型网络的所有优点,避免了所有用户属于同一个广播域带来的所有问题。
陷阱无处不在,该回过头来谈谈安全问题了。在平面型互联网络中,为确保安全,通常使用路由器将集线器和交换机连接在一起。因此,确保安全的职责基本上落在路由器的头上。这种办法非常低效,其原因有几个。
首先,只要连接到物理网络,任何人都可访问其所属LAN 中的网络资源;
其次,任何人都可监视网络中传输的数据流,只需将一个网络分析器插入集线器即可;
第三,用户只需将其工作站连接到集线器,就可加入相应的工作组。这样的安全犹如将一桶没有加盖的蜂蜜放在熊二家里。
但这正是VLAN 如此出色的原因所在。通过使用VLAN 创建广播域,你可以完全控制所有端口和用户!这样,任何人只需将其工作站连接到交换机端口便可访问网络资掘的历史便一去不复返了,因为你可以控制每个端口以及通过该端口可访问的资源。
不仅如此,还可根据用户需要访问的网络资源来创建VLAN ,并对交换机进行配置,使其在有人未经授权访问网络资源时告知网络管理工作站。如果需要在VLAN 之间进行通信,可在路由器上实施限制,确保这种通信是安全的。还可以对硬件地址、协议和应用程序进行限制。这样,给蜂蜜桶加了盖,并用带刺的铁丝网保护起来了。熊二没有办法了。
第2 层交换机仅为过滤而查看帧一一它们不会查看网络层协议。默认情况下,交换机将广播转发给所有端口;但通过创建并实现VLAN ,可在第2 层创建更小的广播域。
这意味着从一个VLAN 中的节点发送的广播不会转发到属于其他VLAN 的端口。因此,通过将交换机端口或用户分配到横跨一台或多台交换机的VLAN 分组,可只将所需的用户加入相应的广播域,而不管用户的物理位置如何。这也有助于防范因网络接口卡(NIC) 出现故障导致的广播风暴,还可防止中间设备将广播风暴传播到整个互联网络。广播风暴仍会在有问题的VLAN 中发生,但不会传播到其他VLAN。
另一个优点是,如果VLAN太大,可将其划分成多个VLAN ,以防广播占用太多的带宽: VLAN包含的用户越少,受广播影响的用户就越少。这当然很好,但在创建VLAN 时,需要考虑网络服务并了解用户如何连接到这些服务。应尽可能将所有服务(人人必需的电子邮件和因特网接入服务除外)限定在用户所属的VLAN 内。
选择一款优质的路由器,是搭建虚拟局域网的关键。用户在选择路由器的时候,一定要注重其功能性。根据市场调查,大部分的路由器搭建虚拟局域网的功能不完善,无法保证局域网应用的安全性。因此,路由器功能性不可忽视。蒲公英智能路由器除了能组建虚拟局域网的功能外,还能摇身一变成为一个安全可靠方便的私有云。