vlan策略划分

vlan策略划分内容摘要：

7：使用扩展槽：有些扩展槽支持 TRUNK。 这要看模块上的端口数量。 Trunk 的优点： 可以在不同的 交换机之间连接多个 VLAN，可以将 VLAN 扩展到整个网络中。 Trunk 可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性。 Trunk 可以提供负载均衡能力以及系统容错。 由于 Trunk实时平衡各个交换机端口和服务器接口的流量，一旦某个端口出现故障，它会自动把故障端口从 Trunk组中撤消，进而重新分配各个 Trunk端口的流量，从而实现系统容错。 要传输多个 VLAN 的通信，需要用专门的协议封装或者加上标记（ tag），以便接收设备能区分数据所属的 VLAN。 VLAN 标识从逻辑上定义了，哪个数据 包是它有多种协议，而我们最常用到的是基于 : 和 CISCO 专用的协议： ISL。 下面我简要的介绍一下这两种协议。 1．交换机间链路（ ISL）是一种 CISCO 专用的协议，用于连接多个交换机。 当数据在交换机之间传递时负责保持 VLAN 信息的协议。 在一个 ISL 干道端 口中，所有接收到的数据包被期望使用 ISL头部封装，并且所有被传输和发送的包都带有一个 ISL 头。 从一个ISL 端口收到的本地帧（ non tagged）被丢弃。 它只用在 CISCO 产品中。 正式名称是虚拟桥接局域网标准，用在不同的产家生产的交换机之间。 一个 干道端口同时支持加标签和未加标签的 流量。 一个 干道端口被指派了一个缺省的端口Vlan ID（ PVID），并且所有的未加标签的流量在该端口的缺省 PVID上传输。 一个带有和外出端口的缺省 PVID 相等的 Vlan ID 的包发送时不被加标签。 所有其他的流量发送是被加上 Vlan 标签的。 在设置 trunk 后， trunk 链路不属于任何一个 VLAN。 trunk链路在交换机之间起着 VLAN管道的作用 ,交 换机会将该 trunk以外并且和 trunk中的端口处于一个 vlan 中的其它端口的负载自动分配到该 trunk 中的各个端口。 因为同一个 vlan 中的端口之间会相互转发数据报，而位于 trunk 中的 trunk 端口被当作一 个端口来看待，如果 vlan 中的其它非 trunk 端口的负载不分配到各个 trunk 端口，则有些数据报可能随机的发往 trunk 而导致帧顺序混乱。 由于 trunk口作为 1 个逻辑端口看待，因此在设置了 trunk 后，该 trunk 将自动加入到这些 vlan 中它的成员端口所属的 vlan 中，而其成员端口则自 动从 vlan 中删除。 在中 TRUNK 线路上传输不同的 VLAN 的数据时，可使用有两种方法识别不同的 VLAN 的数据：帧过滤和帧标记。 帧过滤法根据交换机的过滤表检查帧的详细 信息。 每一个交换机要维护复杂的过滤表，同时对通过主干的每一个帧进行详细检查，这会增加网络延迟时间。 目前在 VLAN 中这种方法已经不使用了。 现在使用的是帧标记法。 数据帧在中继线上传输的时候，交换机在帧头的信息中加标记来指定相应的 VLAN ID。 当帧通过中继以后，去掉标记同时把帧交换到相应的VLAN 端口。 帧标记法被 IEEE 选定为标准化的中继机制。 它至 少有如下三种处理方法： 1) 静态干线配置 静态干线配置最容易理解。 干线上每一个交换机都可由程序设定发送及接收使用特定干线连接协议的帧。 在这种设置下，端口通常专用于干线连接，而不能用于连接 端节点，至少不能连接那些不使用干线连接协议 ( trunking protocol)的端节点。 当自动协商机制不能正常工作或不可用时，静态配置是非常有用的，其缺点是必须手工维护。 2) 干线功能通告 交换机可以周期性地发送通告帧，表明它们能够实现某种干线连接功能。 例如，交换机 可以通告自己能够支持某种类型的帧标记 V L A N，因此按这个交换机通告的帧格式向其发送帧是不会有错的。 交换机的功能还止这些，它还可以通告它现在想为哪个 V L A N提供干线连接服务。 这类干线设置对于一个由端节点和干线混合组成的网段可能会很有用。 3) 干线自动协商 干线也能通过协商过程自动设置。 在这种情况下，交换机周期性地发送指示帧，表明它们希望转到干线连接模式。 如果另一端的交换机收到并识别这些帧，并自动进 行配 置，那么这两部交换机就会将这些端口设成干线连接模式。 这种自动协商通常依赖于两部交换机(在同一网段上 )之间已有的链路，并且与这条链路相连的端口 要专用于干线连接，这与静态干线设置非常相似。 Trunk（干道）是一种封装技术，它是一条点到点的链路，主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个 VLAN。 还可以采用通过 Trunk 技术和上级交换机级连的方式来扩展端口的数量，可以达到近似堆叠的功能，节省了网络硬件的成本，从而扩展整个网络。 TRUNK 承载的 VLAN 范围。 缺省下是 1～ 1005，可以 修改，但必须有 1 个 Trunk 协议。 使用 Trunk 时，相邻端口上的协议要一致。 IDS 入侵检测系统 入侵检测（ Intrusion Detection），顾名思义，便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中得若干关键点收 集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（ Intrusion Detection System,简称 IDS）。 与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行 分析，并得出有用的结果。 一个合格的入侵 检测系统能大大的简化管理员的工作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有（ [2]）： ； ； ；。