| 以太网从本质上基于广播机制,但采用VLAN技术把局域网隔离为多个广播域,这样不同的广播域之间信息交换就不会存在监听问题。
|
|
|
| 通过基于VLAN的访问控制列表,使得在VLAN外的网络结点不能直接访问VLAN内的结点。
|
|
|
| VLAN的划分目的是保证系统的安全性,因此可以按照系统的功能性来划分VLAN。例如,可以将总部中的服务器系统单独划分为一个VLAN,如数据库服务器和电子邮件服务器等。
|
|
|
| 也可以按照机构的设置来划分VLAN,如将财务所在的网络单独作为一个名为Finance的VLAN,其他机构分别作为一个VLAN,并且控制Finance的VLAN与其他VLAN之间的单向信息流向。即允许Finance的VLAN查看其他VLAN的相关信息,其他VLAN不能访问它的信息。
|
|
|
| VLAN之内的连接采用交换实现,VLAN之间采用路由实现。由于路由控制的能力有限,不能实现VLAN之间的单向信息流动。因此需要在Finance VLAN与其他VLAN之间设置一个防火墙作为安全隔离设备,控制VLAN之间的信息交流。
|
|
|
