目录
1、 子网和VLAN是什么?承担了什么不同的作用?
2、 他们工作在网络的第几层?
3、 哪个隔离更彻底?
4、 两台计算机如果要通信,必须满足什么条件?
5、 交换机是否都自带VLAN隔离和互通功能?
6、最佳实践:二者之间互相有什么关系?是否要求一对一或一对多?
7、结论
1、 子网和VLAN是什么?承担了什么不同的作用?
1.1 子网
说白了就是IP地址段的划分。严谨地说就是网络地址+子网掩码这两个因素确定的IP地址范围。
举例: 如果子网掩码是255.255.255.0(简单的说也就是 /24),而网络地址是192.168.10.0,那么它定义了一个IP地址范围:从192.168.10.0到192.168.10.255,这个范围的另一种写法就是192.168.10.0/24。
1.2 VLAN
比较容易理解的就是“交换分区”。
举例: 假设你有一个支持VLAN的8端口交换机,你可以把其中的4个端口划分到一个VLAN(VLAN 1),另外4个端口划分到另一个VLAN(VLAN 2)。VLAN1和VLAN2之间互相看不到对方的流量。
逻辑上,相当于你有了两个独立的交换机。通常只有一个交换机的情况下,如果交换机没有看到MAC地址,它会将流量“泛洪”到所有其他端口。VLAN则可以将流量进行隔离。
2、 他们工作在网络的第几层?
2.1 子网
工作在网络第3层。比如个人电脑、服务器、以及打印机等都适用第三层(IP)寻址。
2.2 VLAN
工作在网络第2层;类似于也在2层的以太网交换机的功能。举个例子来说,如果没有VLAN,你可能需要更多的交换机来完成同样的隔离。也就是VLAN使得1个第2层设备达到多个第2层设备的效果。
3、 哪个隔离更彻底?
3.1 子网
子网只不过是一个IP地址范围,可以帮助主机通过第3层进行通信。实现了三层的隔离。
3.2 VLAN
VLAN基于二层沙箱实现隔离,隔离的更彻底。
4、 两台计算机如果要通信,必须满足什么条件?
4.1 条件
如果两台计算机要使用TCP/IP通信,需要满足以下条件之一:
1、两台计算机必须属于同一子网。这意味着网络地址必须相同,并且网络掩码必须相等或更小。因此,具有IP地址为192.168.10.4/24的接口的计算机可以与具有IP地址192.168.10.8/24的接口的计算机通信,只要它们都连接到同一物理交换机或VLAN。
2、两台计算机之间需要存在路由器才能在子网之间转发流量。
计算机A和计算机B需要到该路由器的路由(或默认网关)。假设具有IP地址为192.168.10.4/24的接口的计算机想要与具有IP地址192.168.20.4/24的接口的计算机通信。因为属于不同的子网,所以我们必须通过路由器进行通信。
假设有一个带有两个接口的路由器(根据定义,路由器有两个接口),一个在192.168.10.254/24和192.168.20.254/24上。如果路由表或DHCP设置正确,并且计算机A和B都可以到达各自子网上的路由器接口,则它们可以通过路由器间接地相互通信。
4.2 安全和性能的考量
从安全和性能的角度考虑,即便他们都在一个8口交换机上,最好也强制划分到不同的VLAN并使流量通过路由器。这样可以过滤流量,并可以优化路由配置;且路由器不转发广播流量。
从另一种角度来说,VLAN经常也被称之为管理和控制广播流量的黑客。
5、 交换机是否都自带VLAN隔离和互通功能?
区分两种交换机:一般交换机会自带VLAN功能,功能全的企业级交换机会自带VLAN路由器。
也就是说前者指具备VLAN隔离;而后者既具备VLAN隔离,又具备VLAN互通的功能。
后者比前者能够少配备一个路由功能,而且并不需要每个VLAN预留一个专门用于互通的端口。
6、 最佳实践:二者之间互相有什么关系?是否要求一对一或一对多?
6.1 最佳实践
第1种情况:VLAN和子网一一对应,最简单,维护管理也更方便。
当然,理想很丰满,现实很骨感。
第2种情况:一个子网可以对应到不同的VLAN,需要另外借助桥接设备连接不同的VLAN,但都是一个广播域,因而互相可以直接通信。这种方式也可以减少IP地址段的使用。
6.2 不建议
第3种情况:一个VLAN不要对应多个子网,因为没有意义,子网的广播会互相影响。
6.3 举例
比如公司内有10个部门,每个部门可以分别对应一个子网和一个VLAN,即采用第1种情况。
按照第2种最佳实践,我们也可以进一步给每个部门划分一个子网,里面的每个小组划分一个VLAN,甚至每个人的电脑划分一个VLAN。
但是不建议第3种情况,也就是每个部门的每个小组一个子网,而1个VLAN包含了不同小组的子网。
7、结论
子网和VLAN的划分都是为了不同层级的隔离和管理目的,二者并没有严格的对应关系,但是要遵循一定的设计原则。
注:本文写于2019年2月21日,曾发布于其他平台。