vpn 与 vlan 的区别

合集下载

网络虚拟化与网络功能虚拟化的区别与联系

网络虚拟化与网络功能虚拟化的区别与联系在当今信息时代，网络的作用日益重要，越来越多的业务都依赖于网络的支持和传输。

为了提高网络的效率和灵活性，网络虚拟化和网络功能虚拟化应运而生。

尽管它们都涉及虚拟化技术，但网络虚拟化和网络功能虚拟化有着不同的应用和实现方式。

本文将探讨网络虚拟化和网络功能虚拟化的区别与联系。

一、网络虚拟化的定义与实现网络虚拟化指的是将一个物理网络划分为多个逻辑网络，使每个逻辑网络都具备独立的网络功能和资源分配能力。

网络虚拟化的实现方式主要有两种：虚拟局域网（VLAN）和虚拟专用网络（VPN）。

1. VLAN：VLAN是一种将物理局域网分割成多个逻辑局域网的技术。

通过VLAN，可以将不同的用户或设备划分到不同的虚拟网络中，实现逻辑隔离和资源分配。

每个VLAN都有独立的虚拟网络标识符（VLAN ID），不同的VLAN之间可以互相通信。

2. VPN：VPN是一种通过公共网络建立私密通信的技术。

通过VPN，可以在公共网络上创建一条加密通道，实现远程用户之间的安全通信。

VPN可以将用户连接到不同的网络，使用户在网络上仿佛是物理上连接在同一个网络中一样。

二、网络功能虚拟化的定义与实现网络功能虚拟化（Network Function Virtualization，NFV）是一种通过软件的方式将网络功能从硬件设备中独立出来，以虚拟机（VirtualMachine，VM）的形式在通用服务器上运行的技术。

与传统的网络设备相比，网络功能虚拟化将网络功能抽象化，实现了网络功能与硬件设备的解耦。

1. 软件定义网络（SDN）：SDN是实现网络功能虚拟化的关键技术之一。

通过SDN，网络的控制和转发功能被分离，网络控制器可以通过集中式控制对网络进行编程和管理，实现对网络流量的灵活控制和管理。

2. 虚拟网络功能（VNF）：VNF是网络功能虚拟化的具体实现形式，它将传统的网络功能，如防火墙、负载均衡等，以虚拟机的方式运行在通用服务器上。

VLAN-vpn概论

VLAN是什么VLAN是什么？VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是一种将局域网(LAN)设备从逻辑上划分(注意，不是从物理上划分)成一个个网段(或者说是更小的局域网LAN)，从而实现虚拟工作组(单元)的数据交换技术。

VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。

不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能。

VLAN的好处主要有三个：(1)端口的分隔。

即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。

这样一个物理的交换机可以当作多个逻辑的交换机使用。

(2)网络的安全。

不同VLAN不能直接通信，杜绝了广播信息的不安全性。

(3)灵活的管理。

更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 LAN网段。

VLAN是什么？VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN 除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。

我在外面实施工程的时候,总是听到一些系统集成商的工程师(不够专业的工程师)或者直接客户(不懂,又喜欢装B的,怕丢面子),当我要给它划分VLAN的时候,或者它自己提出来,你给我划分几个VLAN,或者还在我面前卖弄几句,你看划完VLAN不就实现了隔离吗?我这三栋楼,你给我划分三个VLAN,或者我这四个部门,你给我划分在四个VLAN当中隔掉他们....其实他们的言下之意还真就以为划分VLAN的目的就是为了隔离不同VLAN不让他们互访(其实这是非常多人的误区,我也慢慢变成这样的想法了,当然这可以通过ACL做到,但并不是划分VLAN的目的,这个最多可以理解成这是划分VLAN之后的一种应用并不是最终目的,你可能认为我太认真了.),如果你是一位CCNP,问下自己是不是这样?如果你也同意,相信NP理论一定不够扎实(我自己在写这个帖子前也被这些客户天天说的我自己不够坚信,所以我自认为自己NP学得确实不够扎实),今天翻了下书,其实划分VLAN的目的就两个:1.提高安全性----------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播.2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围.由于怕给客户丢面子,不好当面揭穿客户,更不好揭穿懂点技术的系统集成商工程师,所以以后心里记着就行,不要天天被他们的言论给弄得自己也不清不楚的..这个可以在给客户培训的时候好好讲解....哈哈..误区解释: 划分VLAN的目的根本没有隔离VLAN不让VLAN间互访这么一说:划分VLAN如果真是为了隔离,怎么还要使用单bi路由或者三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?,更何况现在的三层交换机,划分了vlan ,如果配置了VLAN的三层接口即int vlanif 并且将这个三层接口作为接在该VLAN下的PC的网关时,所有VLAN 下的PC在默认没有作三层VLANIF接口间流量访问控制时是完全可以互访的,要隔离还得使用ACL...........这个只是划分VLAN之间可以实现的一种应用(并不是划分VLAN的最终目的)VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

MPLS VPN和VLAN VPN

Export RT:100 RD:100 10.10.10.0/24 CE1 VPNv4 100:10.10.10.0/24 10.10.10.0/24 Export RT:100 VRF1 VRF1 P PE2 CE3
ort RT:100
PE1
VRF2
CE2
10.10.10.0/24
VRF2 VPNv4 200:10.10.10.0/24 10.10.10.0/24 Export RT:200 Import RT:200 CE4
5
5
VPN隧道协议
VPN隧道由隧道协议形成，VPN隧道协议主要有：
PPTP （点到点隧道协议）：对数据流进行加密，封装在IP包头中通过企业IP网络或公共因特网络发送 L2TP （第二层隧道协议）：对数据流进行加密，通过支持点对点数据报传递的任意网络发送，如IP，X.25，FR或ATM IPSec：对IP数据进行加密，然后封装在IP包头中通过IP网络发送
Export RT:200 RD:200
12
MPLS VPN转发平面
P路由器没有VPN用户路由，需要在两个PE之间通过 LDP建立一条LSP PE在向远端PE发送数据时附加一个可以区分VPN的标签（Label），标签在路由传递时通过MP-BGP分配并在VPNv4路由中携带传递
13
13
MPLS VPN工作流程
17
MPLS VPN配置范例
ip vrf V001001-Shuilijv rd 4809:1621001 route-target export 64722:101 route-target import 64722:100 interface FastEthernet7/1 ip vrf forwarding V001001-Shuilijv ip address 172.20.0.1 255.255.255.252 router bgp 64722 address-family ipv4 vrf V001001-Shuilijv redistribute connected redistribute static redistribute rip default-information originate no auto-summary no synchronization router rip address-family ipv4 vrf V001001-Shuilijv redistribute connected redistribute static redistribute bgp 64722 metric 1 network 172.20.0.0 neighbor 172.20.10.200 no auto-summary version 2 ip route vrf V001001-Shuilijv 0.0.0.0 0.0.0.0 172.20.0.2

VLAN&VPN

(4) 增加了集中化的管理控制
虚拟局域网（VLAN）虚拟网基本设置
三层交换机
VLAN成员类型可以通过配置一个端口在某个VLAN中的VLAN成员类型，来确定这个端口能通过怎样的帧，以及这个端口可以属于多少个VLAN。关于VLAN成员类型的详细说明，请看下表：
VLAN成员类型 VLAN端口特征一个access端口，只能属于一个VLAN，并且是通过手工设置指定VLAN的。一个Trunk口，在缺省情况下是属于本交换机所有VLAN的，它能够转发所有VLAN的帧。但是可以通过设置许可VLAN列表(allowed-VLANs)来加以限制。
虚拟局域网（VLAN）
VLAN的模型
三层交换机
虚拟局域网（VLAN）
VLAN的模型 VLAN的划分方式可分为以下几种。 1）按分配方式划分可分为：（1）静态分配（2）动态分配（3）多虚拟网端口分配 2）按地址类型划分（1）根据端口地址划分（2）根据MAC地址划分（3）根据IP地址划分（4）通过IP广播地址划分
每个Trunk口的缺省native VLAN是VLAN 1。
虚拟局域网（VLAN）
三层交换机
Trunk口基本配置
命步骤1 步骤2 步骤3 步骤4 步骤5 步骤6 步骤7 步骤8 令含义 configure terminal 进入全局配置模式输入想要配成Trunk口的interface id
虚拟局域网（VLAN）虚拟网实例
三层交换机
虚拟局域网（VLAN）
三层交换机
虚拟网实例
1. Trunk口配置 Trunk口配置可通过命令方式进行Trunk口定义，配置步骤如下： Switch# configure terminal Switch(config)# interface f0/1 Switch(config-if)# switchport mode trunk

学习笔记：Vlan vpn的区别

Vlan vpn的区别：Vlan不能穿过路由器一般在2层设备交换机上配置vpn的地域范围相对更广在3层上划分路由器防火墙均可配Vpn的类别：多标签交换机IPSEC交换机什么是IPSEC ；IPSEC安全协议；IKE ；IPSEC框架：1．Ipsec协议：AH(认证头)esp(对头部和用户数据一起加密) 需要封装新的IP首部保证正确传输叫隧道模式2．加密算法: DES 3DES AES SEAL3．完整性防窜改：Md5 SHA4．认证身份：pre-share RSAsignature5．加密算法加密传输的密钥：DH1 DH2 DH5IKE：1．（1）IKE(2) DH Key(3)认证2．在防火墙上的VPN配置：Five steps of ipsec:(1) interesting traffic创建VPN隧道后定义哪些数据经过VPN(2)IKE PHASE 1(3) IKE PHASE 2(4) IPSEC transform sets关联IP地址、协议、(5)SA lifetime(6)session(7)中止如何在防火墙上配置VPN：(1)Tunnel-group name type type站点到站点Tunnel-group nameIsakmp (启用IKE功能)配置预存密钥(2)配置感兴趣的流量Access-list 101 permit 源ip 掩码目的ip 掩码Nat(inside) 符合的就不做地址转换Crypto ipse transform-setCrypto map 映射的名字创建的策略match address 101Crypto map 映射的名字创建的策略set peer ip地址Crypto map 映射的名字interface outside ;映射到接口上查看配置：Show runShow ipsecShow run isakmpShow run crypto mapClear ipsec sa and ike sa: clear一个接口接外网一个接内网。

高端路由器的虚拟网络和VPN技术解析

高端路由器的虚拟网络和VPN技术解析随着互联网的快速发展，高端路由器的虚拟网络和VPN技术在网络通信领域中起到了至关重要的作用。

本文将对高端路由器的虚拟网络和VPN技术进行深入分析和解析，以帮助读者更好地理解其原理和应用。

一、虚拟网络技术虚拟网络技术是一种将物理网络划分为多个逻辑网络的方法。

通过使用高端路由器的虚拟网络技术，可以将一台物理路由器划分为多台逻辑路由器，从而实现网络资源的高效利用和隔离。

1.1 虚拟局域网（VLAN）虚拟局域网是一种逻辑上分割网络的技术，可以将不同物理位置的设备划分为同一个逻辑网络中，实现更灵活的网络管理和流量控制。

高端路由器通过支持IEEE 802.1Q标准，可以将不同虚拟局域网（VLAN）之间进行隔离和通信。

1.2 虚拟路由器（VRouter）虚拟路由器是指在一台物理路由器上可以创建多个逻辑路由器的技术。

高端路由器通过虚拟路由器技术，可以实现多个独立的逻辑路由器和内部独立的路由表，从而提高网络的可靠性和灵活性。

虚拟路由器可以使得网络管理员能够更好地隔离和控制不同网络之间的流量，提高网络的安全性。

1.3 虚拟专用网（VPN）虚拟专用网是一种通过公用网络（如互联网）来构建私有网络的技术。

通过使用高端路由器的虚拟专用网技术，可以实现远程办公、跨地区网络连接和安全通信等功能。

虚拟专用网通过加密和隧道传输等技术，保证了数据在公用网络中的安全性和隐私性。

二、VPN技术VPN技术是虚拟专用网的一种实现方式，它通过加密、隧道和验证等方法，为用户提供了安全的远程访问和跨地区通信的解决方案。

2.1 加密技术VPN使用加密技术对数据进行加密，使得在传输过程中，即使被截获，也无法被解读。

使用高端路由器的VPN技术可以实现多种加密算法的支持，如DES、3DES、AES等，以满足不同安全需求。

2.2 隧道技术VPN使用隧道技术将数据包封装在传输协议的数据包中，以实现在公共网络上的安全传输。

高端路由器通过支持IPSec和GRE等隧道协议，可以实现安全的数据传输，并提供跨地区连接的能力。

Linux高级网络配置VLAN路由和VPN的实践

Linux高级网络配置VLAN路由和VPN的实践在网络技术的发展中，Linux已经成为了广泛应用的操作系统之一。

它强大的自由开源特性，使得用户可以灵活地进行高级网络配置，包括VLAN路由和VPN的实践。

本文将详细介绍Linux下如何进行高级网络配置，以实现VLAN路由和VPN的应用。

一、VLAN路由的实践VLAN（Virtual Local Area Network）是虚拟局域网的缩写，是一种将一个局域网划分为多个虚拟的局域网的技术。

在Linux中，我们可以通过配置VLAN路由，实现不同虚拟局域网之间的互通。

要实现VLAN路由，首先需要确保硬件设备支持802.1Q协议。

在Linux中，可以使用Vconfig命令创建和配置VLAN接口。

首先，我们需要加载8021q内核模块，执行以下命令：```modprobe 8021q```接下来，我们可以使用Vconfig命令创建一个VLAN接口，例如创建一个ID为10的VLAN接口eth0.10：```vconfig add eth0 10```然后，配置VLAN接口的IP地址和子网掩码：```ifconfig eth0.10 192.168.0.1 netmask 255.255.255.0 up```通过以上步骤，我们成功地创建了一个VLAN接口，并为其配置了IP地址和子网掩码。

接下来，我们需要进行路由配置，以实现不同VLAN之间的通信。

可以使用route或者ip命令进行路由配置。

例如，我们可以添加一条路由表项，将VLAN接口eth0.10与其他VLAN接口连接起来：```route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0.10```通过以上配置，我们就成功地实现了VLAN路由。

不同VLAN之间的主机可以通过配置的路由表项进行通信，实现网络互通。

二、VPN的实践VPN（Virtual Private Network）是虚拟专用网络的缩写，它通过加密和隧道技术，在公共网络上建立一个安全的通信通道。

解决虚拟机网络隔离与安全性问题的服务器虚拟化技巧(一)

虚拟机网络隔离与安全性一直是服务器虚拟化技术面临的挑战之一。

在当今数字时代，数据的安全性至关重要，因此在建立和维护网络基础设施时，必须采取适当的措施来确保虚拟机之间的网络隔离和安全性。

一、虚拟局域网（VLAN）虚拟局域网（VLAN）是一种通过交换机将物理局域网划分为多个虚拟子网的技术。

通过使用VLAN，可以将不同的虚拟机隔离在不同的子网中，从而提供更高的网络隔离性。

此外，VLAN还能够降低入侵者的影响范围，一旦某个虚拟机受到攻击，其他虚拟机的安全性仍然能够得到保证。

二、虚拟本地区域网络（VLAN）虚拟本地区域网络（VXLAN）是一种在虚拟化环境中进行网络隔离和扩展的技术。

VXLAN通过在现有网络基础设施之上创建一个逻辑网络来实现虚拟机之间的隔离。

与传统的VLAN相比，VXLAN具有更高的扩展性和灵活性，可以支持更多的虚拟机和网络流量。

三、虚拟专用网络（VPN）虚拟专用网络（VPN）是一种通过公共网络（如互联网）进行安全通信的技术。

在虚拟化环境中，可以使用VPN技术来保护虚拟机之间的通信。

通过建立加密隧道，VPN可以提供端到端的数据保护，并确保虚拟机之间的通信是安全和私密的。

四、网络安全策略除了使用虚拟化技术来隔离虚拟机网络以外，制定和实施有效的网络安全策略也是确保虚拟机网络安全的关键。

网络安全策略可以包括访问控制列表（ACL）、防火墙规则、入侵检测和防御系统等。

通过限制虚拟机之间的通信和访问，以及监测和防止潜在的网络攻击，可以有效提高虚拟机网络的安全性。

五、定期更新和漏洞修复定期更新和漏洞修复是保持虚拟机网络安全的重要步骤。

服务器虚拟化技术通常依赖于底层操作系统和虚拟化软件来运行虚拟机。

这些软件和系统经常会发布更新和修复程序，以解决已知漏洞和安全问题。

及时应用这些更新和修复程序，可以大大减少虚拟机遭受安全攻击的风险。

六、访问控制和身份验证为了确保虚拟机网络的安全，访问控制和身份验证是必不可少的。

论VLAN与VPN在企业网络的应用

论ＶＬＡＮ与ＶＰＮ在企业网络的应用通过建立各种虚拟专网（VPN）和企业外部网络（Extranet），企业通过VPN 在总部与分公司之间实现数据传输，建立企业全球信息网络是未来企业网络应对市场全球竞争的一种策略。

标签：虚拟专网交换机网络安全拓扑结构拓扑图一、虚拟专网VLAN1.1 VLAN简介及实现方法1、控制网络的广播风暴采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

2、确保网络安全VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3、简化网络管理网络管理员能借助于VLAN技术轻松管理整个网络。

网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

1.2在CISCO （思科）Catalyst 4006上配置VLAN1、设置VTP DOMAIN。

VTP DOMAIN称为管理域。

这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM 中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。

2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。

Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL 标签。

ISL（Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。

3、创建VLAN一旦建立了管理域，就可以创建VLAN了。

MPLSVPN和VLANVPN课件

17
MPLS VPN配置范例
ip vrf V001001-Shuilijv rd 4809:1621001 route-target export 64722:101 route-target import 64722:100
interface FastEthernet7/1 ip vrf forwarding V001001-Shuilijv ip address 172.20.0.1 255.255.255.252
MPLS VPN和VLAN VPN
厦门电信客户响应中心 2008年9月
1
VPN概念
什么是VPN
虚拟专用网（Virtual Private Network，VPN）指的是在公用网络中建立专用的数据网络 V：节点之间的连接没有传统专网端到端的物理连接，而是利用现有网络通过资源配置及虚电路构成动态的虚拟连接 P：为特定的企业或用户群体所专用 N：业务需要建立在专网用户之间的网络互连上
8
8
MPLS VPN控制平面
VRF： VPN Routing and Forwarding RT： Route Target RD： Route Distinguisher
VRF： PE为每个VPN设置一个VRF，相当于一个虚拟路由器，从不同VPN的CE接收的路由放在不同的VRF ，实现VPN路由之间，以及VPN路由和公网路由的隔离
ip route vrf V001001-Shuilijv 0.0.0.0 0.0.0.0 S VPN常用查看命令
show ip vrf show ip interface brief show ip bgp vpnv4 rd rd-value show ip route vrf vrf-name ping vrf vrf-name ip-address traceroute vrf vrf-name ip-address

虚拟的网络的VPNVLPN

虚拟网络分为VLAN和VPNVLAN建立在交换技术的基础上，将网络结点按工作性质与需要划分成若干个“逻辑工作组”，一个“逻辑工作组”即一个虚拟网络。

VLAN的实现技术有四种：用交换机端口（Port）号定义虚拟网络、用MAC地址定义虚拟网络、IP广播组虚拟网络、用网络层地址定义虚拟网络。

“逻辑工作组”的划分与管理由软件来实现。

通过划分虚拟网，可以把广播限制在各个虚拟网的范围内，从而减少整个网络范围内广播包的传输，提高了网络的传输效率；同时各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。

VPN是指在共用网络上建立专用网络的技术。

之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。

用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。

通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

V3虚拟安全系统通过在磁盘任意分区生成高强度加密文件，并通过映射该加密文件成虚拟磁盘分区的方式运行V3虚拟桌面系统。

V3虚拟安全系统不但可以生成现有操作系统的全新虚拟镜像，它具有真实系统完全一样的功能。

进入虚拟系统后，所有操作都是在这个全新的独立的虚拟系统里面，可以独立安装软件,运行软件,保存数据,拥有自己的独立桌面。

不会对真正的系统产生任何影响。

也不会因为真正的系统出问题而影响在虚拟系统里面软件和数据.和传统的虚拟机不同,虚拟系统不会降低电脑的性能，启动虚拟系统也不需要等待的时间。

同时支持可移动存储运行，既插既用等等特性。

V3虚拟安全系统和外界主机系统无法直接互访，用户在主机只能访问主机的磁盘分区，不能直接访问V3虚拟安全系统的虚拟磁盘分区。

同时用户在虚拟安全专业版系统环境中也不能直接访问除自身虚拟磁盘外的分区，这样就形成了一个相对封闭的计算机环境，当用户需要与外界主机环境交换文件时只能通过我司独创的专用文件交换资源管理器实现V3虚拟安全系统环境与外界主机环境的单向文件导入和导出。

VPN、VLAN在企业局域网中的构建与运用

VLAN、VPN在企业局域网中的构建与运用设计背景成都会展中心是成都市人民政府和美国加州集团投资集展览、会议、酒店、旅游一体的大型股份制企业。

企业内部门多，经营站点多，各方面对计算机网络的需求复杂，要求对各经营部门和经营点全部采用计算机化管理。

设计计算机网络时，要考虑满足功能需求和扩展性好。

利于计算机化管理，提高效率和节约成本。

四川九寨天堂是成都会展中心在九寨沟甘海子镇投资20亿元人民币集旅游、会议、酒店、景区、温泉为一体的超五星级酒店，同样对网络的需求复杂，扩展性好，计算机网络上承载的业务众多。

同时要求和成都总部进行数据通信（包括酒店业务、财务系统、人事工资管理等管理软件），语音通信（通过两地局域网互连再和两地单位内电话程控交换机相连，用于承载VoIP，满足成都总部和九寨天堂内部IP电话通信需求，节约费用）。

设计总体原则在设计时，因为成都总部是在原有老网络基础上改造的，要保护原先的网络投资，并要添加新的网络设备，增加网络交换性能。

九寨天堂则是全新设计的网络，在设计时，按照IEEE802有关快速以太网的标准和结合本单位的实际来执行，要考虑网络的可扩展性，安全性、稳定性。

采用的网络设备技术先进，实用性高，配置容易，网络可靠性要好。

采购设备时，考虑采用3COM、华为、d-link公司知名的一系列交换机和路由器等网络设备，来保障安全、高可扩展、技术先进、网络可靠。

因为业务的需要，要求成都会展和九寨天堂两地局域网必须联网，并且数据是实时传输，要求数据传输必须安全。

基于要求，中国移动光纤线路能满足两地互相通讯的需求，同时通过路由器走VPN，对通过VPN数据加密，满足数据安全的要求。

申请中国电信线路DDN，作为备份线路。

当一条线路出现问题，另一条线路自动切换。

在两地局域网内进行VLAN划分，使有需求的VLAN段可以相互通信，同时阻隔广播风暴，所以在两地需各放置一台三层交换机（3com 4050）满足各的需求。

VPN与VLAN区别

VPN与VLAN区别
1-你和老婆两地分居，离的很远，现在有种办法能让你们感觉近在咫尺，这种技术就类似VPN！
2-你和老婆整天住在一起，老吵架，现在又有种技术让你俩物理上离的很近，可实际上好像相距万里，这种技术就类似VLAN！
VPN主要是把分布在不同地方的网络整合在一起，逻辑上好像都在同一个局域网内；
VLAN是把一个局域网进一步分割、隔离成更小的网络！
VPN是在公用网络上创建一个用户之间私有隧道，该隧道不能让其他用户所访问，从而实现了性价比比较高的网络。

打个比方：就像奥运会时，在北京马路上设置奥运专用车道，只有奥运会组委会允许的车辆允许使用，其他社会车辆不允许使用。

VLAN是在局域网或城域网中使用的技术，是将局域网中的计算机划分成不同广播域。

也打个比方：就像买的房子没有隔断，是一个通畅的大房间，但是要住3家人，就要挂帘，这样晚上才能睡觉。

Vlan问题回答

1、什么是VPV，怎样理解交换网VPN是主要业务功能，以太网VLAN和A TM VPN有否根本的差别。

虚拟专用网络(Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。

其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。

VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

以太网VLAN是报文分组交换，报文长短不一，“包交换”。

ATM使用53字节固定长度的单元进行交换。

它是一种交换技术，它没有共享介质或包传递带来的延时，非常适合音频和视频数据的传输。

ATM是采用“信元交换”根据其信头上的VPI（虚路径标识符）和VCI（虚通路标识符）转送到相应的出线上去，从而完成交换传送的目的。

2、以太网VLAN的主要功能，举例目前VLAN的主要应用。

除解决数据广播引起的性能下降外，可以实现用户分组、应用分组、安全性分组、移动分组、管理分组等灵活处理，提高网络使用和管理效率。

1、实现虚拟工作组织2、控制数据广播3、增强网络安全性3、比较传统网桥、以太交换、路由器和VLAN技术在隔离广播域时的各自特点。

传统网桥，隔离了碰撞域（一分为二），没有隔离广播域；以太交换，隔离了碰撞域（一分为N或消除碰撞域），但没有隔离广播域；路由器，不转发广播包，隔离了广播域，要实现不同网段的传输需要网络层协议L3；VLAN技术,通过标记添加包头字段，隔离广播域，实现城域网、广域网的Lan技术，IEEE802.1Q；4、IEEE802.1Q要解决的问题、基本工作思想和存在主要问题。