VLANvpn概论.docx
- 文档编号:14164178
- 上传时间:2023-06-21
- 格式:DOCX
- 页数:26
- 大小:1.27MB
VLANvpn概论.docx
《VLANvpn概论.docx》由会员分享,可在线阅读,更多相关《VLANvpn概论.docx(26页珍藏版)》请在冰点文库上搜索。
VLANvpn概论
VLAN是什么
VLAN是什么?
VLAN,是英文VirtualLocalAreaNetwork的缩写,中文名为"虚拟局域网",VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。
不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能。
VLAN的好处主要有三个:
(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。
这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。
不同VLAN不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。
VLAN是什么?
VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
我在外面实施工程的时候,总是听到一些系统集成商的工程师(不够专业的工程师)或者直接客户(不懂,又喜欢装B的,怕丢面子),当我要给它划分VLAN的时候,或者它自己提出来,你给我划分几个VLAN,或者还在我面前卖弄几句,你看划完VLAN不就实现了隔离吗?
我这三栋楼,你给我划分三个VLAN,或者我这四个部门,你给我划分在四个VLAN当中隔掉他们....其实他们的言下之意还真就以为划分VLAN的目的就是为了隔离不同VLAN不让他们互访(其实这是非常多人的误区,我也慢慢变成这样的想法了,当然这可以通过ACL做到,但并不是划分VLAN的目的,这个最多可以理解成这是划分VLAN之后的一种应用并不是最终目的,你可能认为我太认真了.),如果你是一位CCNP,问下自己是不是这样?
如果你也同意,相信NP理论一定不够扎实(我自己在写这个帖子前也被这些客户天天说的我自己不够坚信,所以我自认为自己NP学得确实不够扎实),今天翻了下书,其实划分VLAN的目的就两个:
1.提高安全性----------举个例子:
没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播.
2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围.
由于怕给客户丢面子,不好当面揭穿客户,更不好揭穿懂点技术的系统集成商工程师,所以以后心里记着就行,不要天天被他们的言论给弄得自己也不清不楚的..这个可以在给客户培训的时候好好讲解....哈哈..
误区解释:
划分VLAN的目的根本没有隔离VLAN不让VLAN间互访这么一说:
划分VLAN如果真是为了隔离,怎么还要使用单bi路由或者三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?
更何况现在的三层交换机,划分了vlan,如果配置了VLAN的三层接口即intvlanif并且将这个三层接口作为接在该VLAN下的PC的网关时,所有VLAN下的PC在默认没有作三层VLANIF接口间流量访问控制时是完全可以互访的,要隔离还得使用ACL...........这个只是划分VLAN之间可以实现的一种应用(并不是划分VLAN的最终目的)
VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
vlan配置
2012-02-2719:
48匿名 分类:
互联网 | 浏览3233次
互联网
实验要求
以如图所示绘制拓扑图并对sw1配置两个vlan,使得vlan之间不互通,具体要求如下:
2.1Qemu1和Qemu2属于vlan1,ip地址为192.168.0网段
2.2Qemu3和Qemu4属于vlan2,ip地址为192.168.1网段
2.3Qemu1能ping通Qemu2但与Qemu3和Qemu4不通
2.4Qemu3能ping通Qemu4但与Qemu1和Qemu2不通
分享到:
2012-03-1314:
28
提问者采纳
热心网友
建立两个vlan,把一二口划入vlan1,三四口划入vlan2
Switch>en
Switch#conft
Enterconfigurationcommands,oneperline.endwithCNTL/Z.
Switch(config)#intvlan1
Switch(config-if)#ipaddress192.168.0.1255.255.255.0
Switch(config-if)#noshut
Switch(config-if)#vlan2
Switch(config-vlan)#intvlan2
Switch(config-if)#ipaddress192.168.1.1255.255.255.0
Switch(config-if)#noshut
Switch(config-if)#intf0/1
Switch(config-if)#switchportaccessvlan1
Switch(config-if)#intf0/2
Switch(config-if)#switchportaccessvlan1
Switch(config-if)#intrangef0/3-4
Switch(config-if-range)#switchportaccessvlan2
Switch(config-if-range)#exit
Vpn
虚拟专用网络的功能是:
在公用网络上建立专用网络,进行加密通讯。
在企业网络中有广泛应用。
VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN有多种分类方式,主要是按协议进行分类。
VPN可通过服务器、硬件、软件等多种方式实现。
WindowsVPN服务器配置图文教程超详细版
作者:
字体:
[增加减小]类型:
转载
VPN可以虚拟出一个专用网络,让远处的计算机和你相当于处在同一个局域网中,而中间的数据也可以实现加密传输,用处很大,特别是在一些大公司,分公司处在不同的区域。
当然VPN的用处远不止于此,比如游戏代理等等。
下面介绍一下在Windows下面架设VPN的详细教程。
希望对需要的朋友能有所帮助。
首先是准备工作:
windows自带防火墙(windowsfirewall/internetconnectionsharing(ICS))要停止(或允许1723端口通过);远程注册表服务(remoteRegistry)并且开启;server服务(Server)必需开启;router路由服务(RoutingandRemoteAccess)必需开启。
如果服务器使用局域网地址,则要在出口路由器上配置端口(1723)映射。
配置过程:
1、启动系统服务
默认情况下所需服务中,远程注册表服务(remoteRegistry)和server服务(Server)是自动启动的,只有router路由服务(RoutingandRemoteAccess)默认禁止,下面启动相应的服务。
右击桌面上“我的电脑”→“管理”,如下图:
进入“计算机管理”后,点左侧的“服务和应用程序”->“服务”,如下图所示:
在服务列表的右侧找到“RoutingandRemoteAccess”,右击点击“属性”,如下图所示:
对所选服务单击右键选属性,如下图所示:
更改服务启动类型为自动,如下图所示:
右击点击“RoutingandRemoteAccess”,点“启动,如下图所示:
系统服务设置完成,不一定完全按照这个步骤进入系统服务,还有很多方法。
最终只要达到服务器启动就可以了。
2、VPN服务的相关配置
右键单击桌面上的“网上邻居”→“属性”进入“网络连接”,如下图所示:
您会发现比平常多了一个“传入的连接”,单击右键选择“属性”,如下图:
在“传入的连接属性”的“常规”选项卡中,选中“允许他人通过Internet或其它网络以“隧道操作”方式建立到我的计算机的专用链接(W)”前面的复选框,如图所示:
点击上面的“用户”选项卡,点击下面的“新建(N)…”建立一个用户名和密码并选中,也可以选中已有的用户名和密码,如图
到“网络”选项卡中,点击“安装(I)…”→“协议”选择包含“IPX协议”那个,点击确定,如下图所示:
稍等片刻协议就安装好了
如果VPN服务器所在的网络没有开启自动获取IP地址(DHCP),则需要配置传入连接的IP范围,双击“Internet协议(TCP/IP)”,在弹出的窗口中选择“指定TCP/IP地址”,并填写与VPN服务器同一网段的空闲地址,推荐为双数。
3、客户端(接入端)的相关配置
以WindowsXP操作系统为例说明配置VPN的客户端
打开“网络连接”,单击左侧“网络任务”下的“创建一个新的连接”,如下图所示:
在打开的“新建连接向导”中点击“下一步”,如下图所示:
“网络连接类型”选择“连接到我的工作场所的网络”,点击“下一步”,如下图
选择“虚拟专用网络连接”,点击“下一步”,如下图:
填写您的“公司名”,随便写,也可以留空不写(留空为:
虚拟专用网络),点击“下一步”
填写VPN服务器的IP地址或域名,点击“下一步”
在出现的完成页面,点击“完成”,如下图
会自动进入“连接”页面,输入“用户名”和“密码”,点击“连接”,如图所示:
下图为连接过程
连接成功后,右下角一般会多出一个连接图标,如果没有可在网络连接中设置显示,一般默认会显示。
双击连接图标,可查看其状态
断开此连接后,在“网络连接”中显示,如下图,双击它,就可以进行连接了。
这一般情况,上上网页什么的用不到,特殊情况,如玩游戏,用联通线路玩电信的服务器,一般情况会很卡,据说有些都能绕到国外再回到电信,可找一个电信线路的朋友,给你开个VPN就不会很卡了。
这样整个就完成了VPN服务器的架设。
如果连接后不能上网,打开虚拟网络连接(即VPN连接)属性—>网络—>INTERNET协议属性—>高级—>将常规中的在远程网络上使用默认网关的勾去掉即可。
【图文详解】,cisco,VPN配置 [复制链接]
发表于 2009-6-1317:
39 | 来自 51CTO网页
[只看他] 楼主
上次写的是HSRP,这次写VPN。
r1(config)#intf0/0
r1(config-if)#ipadd50.50.50.50255.255.255.0
r1(config-if)#noshu
r1(config-if)#intf1/0
r1(config-if)#ipadd20.20.20.20255.255.255.0
r1(config-if)#noshu
r1(config)#iproute0.0.0.00.0.0.020.20.20.21 做一条默认路由使全网互通
r1(config)#cryptoisakmppolicy1
r1(config-isakmp)#authenticationpre-share 启用定义共享密钥
r1(config-isakmp)#encryption3des 加密使用3DES算法
r1(config-isakmp)#hashmd5 验证密钥使用MD5杂凑算法
r1(config)#cryptoisakmpkey0123address20.20.20.21 设置共享密钥为123和对端地址
r1(config)#cryptoisakmptransform-setzhaoah-md5-hesp-3des 传输模式名为zhao验证为md5加密为3des
r1(config)#accress-list101permitip50.50.50.00.0.0.25560.60.60.00.0.0.255 配置ACL
r1(config)#cryptomapjin1ipsec-isakmp 创建cryptomap名字为jin
r1(config-crypto-map)#setpeer20.20.20.21 指定链路对端IP地址
r1(config-crypto-map)#settransfrom-setzhao 指定传输模式zhao
r1(config-crypto-map)#matchaddress101 指定应用访控列表
r1(config)#intf0/0
r1(config)#cryptomapjin 应用到接口
r2(config)#intf0/0r2(config-if)#ipadd60.60.60.60255.255.255.0
r2(config-if)#noshu
r2(config-if)#intf1/0
r2(config-if)#ipadd20.20.20.21255.255.255.0
r2(config-if)#noshu
r2(config)#iproute0.0.0.00.0.0.020.20.20.20 做一条默认路由使全网互通
r2(config)#cryptoisakmppolicy1
r2(config-isakmp)#authenticationpre-share 启用定义共享密钥
r2(config-isakmp)#encryption3des 加密使用3DES算法
r2(config-isakmp)#hashmd5 验证密钥使用MD5杂凑算法
r2(config)#cryptoisakmpkey0123address20.20.20.20 设置共享密钥为123和对端地址
r2(config)#cryptoisakmptransform-setzhaoah-md5-hesp-3des 传输模式名为zhao验证为md5加密为3des
r2(config)#accress-list101permitip60.60.60.00.0.0.25550.50.50.00.0.0.255 配置ACL
r2(config)#cryptomapjin1ipsec-isakmp 创建cryptomap名字为jin
r2(config-crypto-map)#setpeer20.20.20.21 指定链路对端IP地址
r2(config-crypto-map)#settransfrom-setzhao 指定传输模式zhao
r2(config-crypto-map)#matchaddress101 指定应用访控列表
r2(config)#intf0/0
r2(config)#cryptomapjin
vpcs1:
ip50.50.50.4850.50.50.5024
vpcs2:
ip50.50.50.4950.50.50.5024
vpcs3:
ip60.60.60.4860.60.60.6024
vpcs4:
ip60.60.60.4960.60.60.6024
之后ping测试。
show看效果,用到的show命令为:
查看端口应用:
r1#showcryptomap
查看IKE协商:
r1#showcryptoisakmppolicy
查看传输模式:
r1#showcryptoipsectransform-set
到此,试验结束。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VLANvpn 概论