VLAN之间的通信一定要通过路由器实现吗?为什么?
必须要通过路由,因为两个VLAN就是不同的网络,所以没有路由的话,数据只能在2层传输,普通的2层交换机是不能按照3层报头的信息进行转发。 如果没有VLAN,那么这个端口发送出去的数据就会对整个网络产生广播风暴或造成网络拥塞。
类似于ATM传输里的VPI和VCI。VLAN间的通讯需要通过3层设备来转发。原因本质上其实和VLAN的标记无关,更多的关系是一般情况下,不同的VLAN间的进行IP地址规划的时候,采用不同的IP地址子网。当然也可以把同1个VLAN内进行不同的IP地址规划。
虽然交换机可以进行转发,但在3层通讯的时候,由于于不同的子网,所以,通讯也是无法建立起来的。
扩展资料:
vlan基本通信原理
为了提高处理效率,交换机内部的数据帧一律都带有VLAN Tag,以统一方式处理。当一个数据帧进入交换机接口时,如果没有带VLAN Tag,且该接口上配置了PVID(Port Default VLAN ID),该数据帧就会被标记上接口的PVID。
如果数据帧已经带有VLAN Tag,那么即使接口已经配置了PVID,交换机不会再给数据帧标记VLAN Tag。由于接口类型不同,交换机对数据帧的处理过程也不同。
参考资料来源:百度百科-VLAN协议
广告
首先请大家理解一下,在TCP/IP都不存在的情况:
以太网作为计算机网络的物理网络平台早已经存在,并不是特意为传输TCP/IP通讯协议而设计的专用物理通讯平台,尽管原有的以太网上通讯协议已经被TCP/IP取代。但这并不意味着LAN (局域网)和建立在局域网物理平台上的VLAN必须用路由网关才能打通。VLAN作为虚拟局域网本身就具有VLAN间的访问控制能力,是以太网原有的网络架构。以太网本身与IP网段、子网、ARP都没有直接关系,当需要采用TCP/IP通讯协议时,才有了IP网段、子网、路由网关等与TCP/IP 相关的东西。
1)国内常规设计:
当不同的IT系统、应用和部门需要隔离时,采用VLAN隔离,由于ACL(访问控制列表)不能隔离广播,把不同的IT系统隔离在不同的VLAN中。当IT系统间需要访问控制时,用路由网关打通、再用ACL隔离和过滤。(否则是全通互联了)
2)VLAN直接访问控制架构:
虚拟局域网的定义:
1)按端口的PVID定义,即相同的VLANID为同一个VLAN(VLANID为端口打印的虚拟局域网标签)。每个端口只允许携带该VLAN标签的数据包通过。
2)不同VLANTAG(标签)也被允许通过,当某个VLANID(列如:VLAN100的端口,允许VLAN200端口打印的数据包也能通过),这样如果VLAN100和VLAN200 都允许彼此打印的数据包通过。则VLAN100和VLAN200构成一个VLAN。同理如下图:
简单实现一个虚拟网络的访问控制逻辑拓扑
习惯上VLANID,即VLAN100、VLAN200中数字100、200代表了每个VLAN号。尊重这种习惯,在此、我们用“组VLAN”来代表一个虚拟局域网,我们设置VLAN100 不仅允许自身VLANID的IP包通过,也允许VLAN200的数据包(VLANTAG)通过,同时设置VLAN200也允许VLAN100的数据包通过。VLAN100和VLAN200就构成了一个虚拟局域网。同理,如果我们设置VLAN100和VLAN300互通,VLAN200和VLAN400互通。如图1所示:由于,端口对VLANTAG的选择性限制,VLAN100与VLAN400不能互通、VLAN200不能与VLAN300互通。VLAN300也不能与VLAN400互通。
MAC-VLAN ,IP-VLAN.主要是网卡设置,即通过网卡设置MAC和IP和VLAN成员的对应关系,此地就不再重复说明。
VLAN逻辑拓扑设计和VLAN直接访问控制目前是最新的技术,可以按照服务器及其服务对象(客户端)划入同个VLAN。服务器和客户端都可以加入不同的组“VLAN”。如下图所示:
VLAN本省拥有完整的虚拟局域网逻辑拓扑的可设计能力,同时拥有访问控制能力,不需要借助路由网关。
可能会感到VLAN直接访问控制应用比较陌生,尽管也是非常普遍的设计。在此提供一个实际案例:(雅典奥运机场)无任何路由网关
骨干和接入全部二层网络
