用户隔离综述.pptVIP

用户隔离 VLAN UPLink 802.1Q VLAN 802.1Q VLAN （续） 802.1Q VLAN （总结） 将一个或几个端口通过打标签的方式加入各个VLAN来实现二层交换机上VLAN信息的互通。 由于VLAN ID 的上传，对接入汇聚交换机支持的VLAN数有要求。 如果所有的应用都在二层上，该方法可以实现用户隔离。 如果需要使用三层路由来实现不同网段的互连（一般指接入汇聚交换机上VE端口之间的路由），该方法会将各个VLAN间通过路由连通，不能实现用户隔离（VLAN在这里只起了抑制广播的作用。 在使用了三层路由的情况下要实现不同网段用户的隔离，必须在接入汇聚交换机上针对每个端口做ACL，这样可以实现用户隔离 UTStarcom协议 UTStarcom协议（续） UTStarcom协议（总结） 将一个或几个端口通过不打标签的方式加入各个端口VLAN，来实现二层交换机上端口信息的互通。 由于VLAN ID 不上传，可以在楼层接入交换机任意设置VLAN，而不用关心接入汇聚交换机是否支持如此多的VLAN数。 如果所有的应用都在二层上，该方法可以实现用户隔离。 如果需要使用三层路由来实现不同网段的互连（一般指接入汇聚交换机上VE端口之间的路由），该方法会将各个VLAN间通过路由连通，不能实现用户隔离（VLAN在这里只起了抑制广播的作用。 在使用了三层路由的情况下要实现不同网段用户的隔离，必须在接入汇聚交换机上针对每个端口做ACL，这样可以实现用户隔离 UPLink UPLink （续） UPLink （总结） 在L2交换机上，设定一个或几个口作为上行口，所有其他端口的广播只发送到该端口，通过该端口与上行交换机互通。 如果所有的应用都在二层上，该方法可以实现用户隔离。（在用户端手动设定ARP，可以实现互连） 如果需要使用三层路由来实现不同网段的互连（一般指接入汇聚交换机上VE端口之间的路由），该方法会通过IP地址将用户互连，不能实现用户隔离。 在使用了三层路由的情况下要实现不同网段用户的隔离，必须在接入汇聚交换机上针对每个端口做ACL，这样可以实现用户隔离 The Isolation of Users UTStarcom Telecom Co.,Ltd * 802.1Q协议 UTStarcom协议 二层上VLAN信息的传送 不支持 支持 支持 Netedge 不支持 UTStarcom Vlan 支持 支持 Netcore UPLink 802.1Q Vlan 设备型号 L3 Switch L2 Switch L2 Switch VLAN7 VLAN6 VLAN5 Tagged N N N Y N N N Y Tagged Y N N 4 N Y N 3 Y Y Y 1 N N Y 2 PORT Y N N 4 N Y N 3 N N Y 2 Y Y Y 1 VLAN4 VLAN3 VLAN2 PORT 上行口 Y Y Y Y VE Tagged L3 Switch L2 Switch L2 Switch 上行口 上行口通过Tag能与其余Vlan端口通信 其余Vlan间不能相互通信 各个Vlan能与L3下行端口通信 如果要使L2上的端口和L3的上行口连通，需要在L3设备上设VE并做路由，每个VE都会连通 结果L2的端口可以通过L3上的VE之间的路由进行互通，（可以设置ACL来实现用户隔离） L3 Switch L2 Switch L2 Switch VLAN7 VLAN6 VLAN5 Tagged N N N N N N N N Tagged Y N N 4 N Y N 3 Y Y Y 1 N N Y 2 PORT Y N N 4 N Y N 3 N N Y 2 Y Y Y 1 VLAN4 VLAN3 VLAN2 PORT 上行口 Y N Y N VE Tagged L3 Switch L2 Switch L2 Switch 上行口 上行口通过UTStarcon协议能与其余端口通信 其余Vlan间不能相互通信 各个端口能与L3下行端口通信 如果要使L2上的端口和L3的上行口连通，需要在L3设备上设VE并做路由，每个VE都会连通 结果L2的端口可以通过L3上的VE之间的路由进行互通，（可以设置ACL来实现用户隔离） L3 Switch L2 Switch L2 Switch 上行口 L2交换机上，设定一个或几个口作为上行口，所有其他端口的广播只发送到该端口，通过该端口与上行交换机互通。 由于隔绝了广播，除了上行口以外，其他各端口之间不能互通。（上行不做路由的情况下） L3 Switch L2 Switch L2 Switch 上行口 UPLink口能与其余各个端口通信 其余各个端口间不能相互通信 各个端口能与L3下行端口