全部博文(2065)
分类: 系统运维
2010-06-29 15:31:38
网段概念子网概念与VLAN
时间:
网段:用来区分网路上的主机是否在同一网路区段内,在局域网中,每台电脑只能和自己同一网段的电脑互相通讯.Gateway的出厂IP地址是192.168.123.250,说明它处於192.168.123.X的网段(X代表1-255之间的任意值).若您的路由器的IP地址是192.168.1.X或是其他位址,说明二者不处於同一网段,则它们之间无法相互连接, (怪不得看到iptable里面经常有iptables -A INPUT -s 19.1.0 .0/16 -p tcp -j ACCEPT)允许一个IP网段访问. 如果详细追究目的,其实并不一样。同样一个交换机,一个寻址包进来后,vlan并不对其ip地址进行分析,而是根据vid号来判断究竟发向那个端口。
vlan实际意义上很像路由器上的访问控制策略,在交换机内部流动时,和ip包没有任何区别,但你所作的vlan设置控制了这个包可以到达那个端口。
按端口配置的VLAN交换信息时,只发送到指定的交换机端口,而其它同一子网的端口的计算机将不能收到信息,而IP子网划分,在所有端口发送,但只有同一子网内计算机能收到,二者都有增加安全性,减少广播风暴,缩小冲突域的功能.
如果不使用汇聚模式,Vlan将一台交换机变成了多台无联系的交换机。无论客户机IP地址如何设置,不同Vlan间无法通讯。 子网:为了节约IP地址通过掩码将一段IP地址划分若干IP地址段(/32/24/16等等)VLAN:VIRTUL LAN 虚拟网。对交换机来说就是我们可以把每个端口设置成VLAN意思就是每个端口之间不能互相访问也可以几个端口设成一个VLAN,这几个端口可以相互访问,其他端口不能访问。(一个VLAN和另一个VLAN不能传输信息)
应该说VLAN之间没有路由器是不能通讯的。
VLAN属于二层的概念,子网是三层的概念,也就是说如果属于不同VLAN,即使子网相同没有路由也是不能通信的。
其实可以这么理解。
在交换机上是一个广播域,广播包会发到所有的端口,但通过划分子网,就相当于把一台交换机根据端口拆分成了几个虚拟交换机,同一VLAN中的端口间可以不通过路由器直接通信,但不同VLAN间通信就需要路由器来进行路由。
VLAN用于企业内部网络组网,在中心机房放置一台或多台交换机,在之上划分VLAN,为企业内不同部门分配不同的IP子网,接入不同的VLAN。这样,不同部门间的通信需要经过路由器,而在路由器上可以添加各种访问控制列表以增加安全性。