1、企业网络中隔离技术,为什么要在企业进行网络隔离? 什么是网络隔离? 企业网络中常用隔离技术,目录,各个企业之间需要相对独立; 一个企业的网络不能未被授权访问其他企业的网络; 一个企业内部因为只能不一样,内部网络之间的访问也要进行隔离;,为什么要进行网络隔离,广播域是局域网中设备之间发送广播帧的区域,即一台计算机发送广播帧的最远距离; 广播域存在于所有的局域网中,较多的广播域会占用较大的网络通信量,会消耗带宽,还会降低用户计算机的处理效率。 广播域是不可以避免的,但是可以通过技术进行控制。,广播域,物理隔离 VLAN技术 子网划分技术 基于端口的隔离技术,企业网络隔离的主要方法,将不同网络环境的
2、计算机通过不同的物理设备进行分开部署,实现网络广播风暴互不干扰。 最简单、有效的隔离方法; 运行成本较高 难于管理,物理隔离,VLAN技术可以再交换机上隔离广播域,把大的网络环境划分为多个小的局域网,让本地的网络只在本地发生本地。 VLAN主要划分方法: 1、一栋楼一个VLAN 2、一层楼一个VLAN 3、一个部门一个VLAN 4、一个房间一个VLAN 5、一个端口一个VLAN,VLAN技术,充分利用交换机的端口 易于调整与规划,VLAN技术的优点,1、Trunk Trunk是一种封装技术,它是一条点到点的链路,主要功能是仅通过一条链路就可以连接多个交换机、扩展已经配置的多个VLAN。 2、A
3、ccess 一般交换机的端口都默认为Access模式 Access是接入设备模式,该端口只能属于一个VLAN,也是该设备的默认VLAN。,VLAN技术,为了合理配置系统、减少资源浪费,经常把一个大基于类的IP网络进一步划分为若干个小的网络,使得网络中设备之间的广播范围尽量缩小。 子网地址是借用基于类的网络地址的主机部分创建的;划分子网通过使用掩码,把子网隐藏起来,使得外部看网络没有变化-子网掩码 可以充分利用IP地址资源,子网划分,将192.168.10.1-192.168.10.254的C类网络划分为4个子网?,192.168.10.0 11000000. 10101000.00001010
4、.00000000 192.168.10.255 11000000. 10101000.00001010.11111111,192.168.10.0 11000000. 10101000.00001010.00000000 192.168.10.255 11000000. 10101000.00001010.11111111,掩码位数:26,子网掩码值:255.255.255.192,采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。 用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。,端口隔离,端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口,只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过,其它情况的端口二层数据是相互隔离的。缺点:计算机之间共享不能实现,计算机网络中的隔离技术是在保障计算机网络安全、充分利用网络资源的前提下出现的。 但不能因为隔离技术违背了计算机网络建设的初衷:信息交流与资源共享,
