《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 01-全網(wǎng)行為管理概述；02-全網(wǎng)行為管理部署模式

全網(wǎng)行為管理概述全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價(jià)值全網(wǎng)行為管理的應(yīng)用場(chǎng)景目錄有線互聯(lián)網(wǎng)時(shí)期2006年深信服首家推出上網(wǎng)行為管理AC，幫助客戶實(shí)現(xiàn)“上網(wǎng)可視可控”移動(dòng)互聯(lián)網(wǎng)時(shí)期2011年新增上網(wǎng)認(rèn)證和移動(dòng)應(yīng)用管控功能，滿足新場(chǎng)景需求2017年率先推出行為感知系統(tǒng)BA，讓行為數(shù)據(jù)更有價(jià)值萬(wàn)物互聯(lián)新時(shí)期2020年升級(jí)為全網(wǎng)行為管理AC，實(shí)現(xiàn)“全網(wǎng)行為可視化可控”滿足物聯(lián)網(wǎng)、業(yè)務(wù)云化場(chǎng)景下的行為管理需求。全網(wǎng)行為管理發(fā)展歷史近年來(lái)，內(nèi)網(wǎng)安全事件頻發(fā)，過(guò)往企業(yè)只重視出口網(wǎng)絡(luò)安全建設(shè)的部署已經(jīng)越來(lái)越難防范層出不窮的內(nèi)網(wǎng)攻擊手段。內(nèi)網(wǎng)安全區(qū)別于安全威脅，攻擊者來(lái)自內(nèi)部，隱藏在眾多的業(yè)務(wù)數(shù)據(jù)中，難以檢測(cè)和防范，所造成的損失也往往更大。隱藏在內(nèi)網(wǎng)中的安全威脅溫州一黑客團(tuán)伙使用自己的電腦接入醫(yī)院的自助服務(wù)電腦使用的網(wǎng)線連入醫(yī)院內(nèi)網(wǎng)竊取省內(nèi)多家醫(yī)院資料，獲利700多萬(wàn)。烏克蘭核電站員工私接外網(wǎng)挖礦，涉嫌侵犯國(guó)家機(jī)密。某軍工科研所黃某利用職務(wù)便利備份內(nèi)網(wǎng)涉密資料出售境外機(jī)構(gòu)獲刑。內(nèi)網(wǎng)看似正常的業(yè)務(wù)行為中，實(shí)際上隱藏著巨大的“看不見(jiàn)管不住”安全隱患。為什么需要全網(wǎng)行為管理非法外聯(lián)用戶終端非法U盤訪問(wèn)網(wǎng)站訪問(wèn)論壇賭博網(wǎng)站發(fā)送郵件發(fā)微博淘寶網(wǎng)IM聊天反動(dòng)論壇色情網(wǎng)站郵件外發(fā)核心文檔微博造謠言論非法進(jìn)程HTTPS網(wǎng)站流量電話會(huì)議網(wǎng)盤上傳翻墻軟件微博上傳論壇上傳網(wǎng)盤下載論壇下載微博下載論壇惡意中傷他人QQ外發(fā)內(nèi)部文檔下載資料資產(chǎn)管理混亂終端違規(guī)接入入網(wǎng)行為不規(guī)范上網(wǎng)缺乏管控?cái)?shù)據(jù)泄密風(fēng)險(xiǎn)事后溯源困難企業(yè)運(yùn)維各環(huán)節(jié)中存在風(fēng)險(xiǎn)識(shí)別接入合規(guī)管控審計(jì)分析運(yùn)維環(huán)節(jié)內(nèi)網(wǎng)IP經(jīng)常沖突，接入網(wǎng)絡(luò)上不了網(wǎng)日常運(yùn)維排查網(wǎng)絡(luò)無(wú)法定位終端，經(jīng)常出現(xiàn)莫名其妙的地址上線出現(xiàn)安全事件溯源困難缺乏IP地址管理措施，IP對(duì)不上終端；缺乏終端資產(chǎn)識(shí)別技術(shù)，人為搜集繁瑣易錯(cuò)。資產(chǎn)混亂現(xiàn)象分析外來(lái)人員隨意接入內(nèi)網(wǎng)終端未安裝殺毒軟件，私自連接外網(wǎng)，使用不安全U盤接入網(wǎng)絡(luò)，在內(nèi)網(wǎng)中瘋狂傳播病毒給內(nèi)網(wǎng)造成極大威脅內(nèi)網(wǎng)接入邊界模糊，缺乏內(nèi)網(wǎng)接入檢測(cè)手段物聯(lián)網(wǎng)興起，設(shè)備類型多樣，無(wú)法識(shí)別檢測(cè)管理制度如同空文，缺乏技術(shù)監(jiān)督導(dǎo)致執(zhí)行效果差違規(guī)接入現(xiàn)象分析企業(yè)辦公室淪為免費(fèi)網(wǎng)吧，辦公效率低；政務(wù)人員上班時(shí)間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游，遭暗訪曝光，影響單位形象；學(xué)校電子閱覽室，學(xué)生使用IM聊天、看在線視頻、網(wǎng)游，影響學(xué)習(xí)。用戶上網(wǎng)權(quán)限缺乏管理;互聯(lián)網(wǎng)應(yīng)用泛濫、復(fù)雜、更新快等加大管理的困難性移動(dòng)應(yīng)用快速增長(zhǎng)，增加管理難度。上網(wǎng)難監(jiān)管現(xiàn)象分析微博、百度貼吧等已經(jīng)成為網(wǎng)絡(luò)造謠、人身攻擊的重災(zāi)區(qū)肆意外發(fā)反動(dòng)、賭博、色情信息，遭受法律追究流行的自由門、無(wú)界瀏覽器等代理翻墻軟件，繞過(guò)公司管理上網(wǎng)監(jiān)管缺失，用戶肆意上網(wǎng)Web2.0使每人都成信息發(fā)布者缺乏日志記錄，無(wú)法舉證追蹤網(wǎng)絡(luò)違法現(xiàn)象分析上網(wǎng)體驗(yàn)差，分支機(jī)構(gòu)與總部間數(shù)據(jù)交互慢語(yǔ)音、視頻會(huì)議系統(tǒng)斷斷續(xù)續(xù)郵件發(fā)送、資料下載受嚴(yán)重影響員工抱怨網(wǎng)絡(luò)環(huán)境，核心業(yè)務(wù)無(wú)法保障，IT部門屢遭投訴，部門績(jī)效受到影響P2P、流媒體等流量占用了70%以上的帶寬帶寬缺乏合理劃分與分配措施單純擴(kuò)容帶寬，治標(biāo)不治本帶寬濫用現(xiàn)象分析全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價(jià)值全網(wǎng)行為管理的應(yīng)用場(chǎng)景目錄內(nèi)部風(fēng)險(xiǎn)智能感知，全網(wǎng)行為可視可控：通過(guò)全網(wǎng)終端、應(yīng)用、流量和數(shù)據(jù)的可視可控，智能感知終端違規(guī)接入、敏感數(shù)據(jù)泄密、上網(wǎng)違規(guī)行為等內(nèi)部風(fēng)險(xiǎn)，解決上網(wǎng)管控、終端準(zhǔn)入管控和數(shù)據(jù)泄密管控的一體化管控。全網(wǎng)行為管理核心價(jià)值可視可控終端入網(wǎng)管控?cái)?shù)據(jù)泄密管控終端應(yīng)用流量數(shù)據(jù)上網(wǎng)管控識(shí)別收集內(nèi)網(wǎng)所有資產(chǎn)信息，包括IP地址的使用情況和終端類型、廠商、與MAC地址對(duì)應(yīng)關(guān)系對(duì)識(shí)別出來(lái)的資產(chǎn)信息做表格輸出，便于運(yùn)維終端列表IP管理終端發(fā)現(xiàn)設(shè)置資產(chǎn)識(shí)別功能目的確認(rèn)入網(wǎng)用戶身份，驗(yàn)證其合法性；以該信息作為用戶標(biāo)識(shí)，對(duì)用戶入網(wǎng)后行為進(jìn)行合規(guī)性檢查、控制及審計(jì)；不需要認(rèn)證IP/MAC綁定免認(rèn)證；本地密碼認(rèn)證；短信認(rèn)證/二維碼認(rèn)證；第三方服務(wù)器認(rèn)證；單點(diǎn)登錄；802.1X認(rèn)證。接入認(rèn)證功能目的Name:Group:IP:Name:Group:IP:Name:Group:IP:入網(wǎng)前檢查終端有無(wú)安裝殺毒軟件、有無(wú)指定腳本文件、有無(wú)登錄域等，實(shí)現(xiàn)輕量級(jí)合規(guī)檢查管控接入終端的外聯(lián)行為包括連接非法WIFI、連接外網(wǎng)、雙網(wǎng)卡、U盤接入等非法行為殺軟檢查、登錄域檢查、操作系統(tǒng)檢查進(jìn)程檢查、文件檢查、注冊(cè)表檢查計(jì)劃任務(wù)檢查、Windows賬號(hào)檢查、防篡改檢查外聯(lián)檢查、外聯(lián)控制、外設(shè)管控終端檢查功能目的入網(wǎng)終端操作系統(tǒng)登錄域違規(guī)進(jìn)程……殺毒軟件其它封堵IM聊天、炒股、游戲、下載、在線視頻等應(yīng)用，規(guī)范上網(wǎng)行為，提高員工工作效率封堵代理、翻墻軟件，規(guī)避不當(dāng)上網(wǎng)行為帶來(lái)的法律風(fēng)險(xiǎn)封堵郵件，防止敏感信息泄露應(yīng)用特征識(shí)別庫(kù)應(yīng)用管理標(biāo)簽化精細(xì)化管控防共享防翻墻應(yīng)用控制功能目的應(yīng)用特征識(shí)別庫(kù)應(yīng)用管理標(biāo)簽化防代理共享精細(xì)化管控過(guò)濾非法、不良網(wǎng)站，避免法律風(fēng)險(xiǎn)；過(guò)濾游戲、賭博、購(gòu)物、在線視頻等網(wǎng)站，提高員工工作效率；過(guò)濾惡意網(wǎng)頁(yè)，保障上網(wǎng)安全；千萬(wàn)級(jí)URL識(shí)別庫(kù)；URL智能識(shí)別系統(tǒng)；URL云共享；自定義URL；惡意網(wǎng)址過(guò)濾網(wǎng)頁(yè)過(guò)濾功能目的千萬(wàn)級(jí)URL庫(kù)URL智能識(shí)別云共享自定義URL惡意網(wǎng)址過(guò)濾網(wǎng)頁(yè)過(guò)濾根據(jù)業(yè)務(wù)類型進(jìn)行帶寬限制或保障，保證核心業(yè)務(wù)暢通運(yùn)行；靈活分配帶寬資源，實(shí)現(xiàn)動(dòng)態(tài)調(diào)整，提高帶寬利用率；基于用戶/用戶組/應(yīng)用/網(wǎng)站類型的流控；多級(jí)父子通道；動(dòng)態(tài)流控；P2P智能流控；流控黑名單流量管理功能目的對(duì)多運(yùn)營(yíng)商線路進(jìn)行有效負(fù)載精準(zhǔn)的識(shí)別應(yīng)用，能夠進(jìn)行有效引流動(dòng)態(tài)智能選路應(yīng)用引流方案DNS透明代理應(yīng)用路由技術(shù)動(dòng)態(tài)引流技術(shù)DSCP/tos標(biāo)簽應(yīng)用選路目的功能記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，一旦發(fā)生網(wǎng)絡(luò)違法違規(guī)事件可作為追查證據(jù)統(tǒng)計(jì)用戶的上網(wǎng)時(shí)間、應(yīng)用流量、應(yīng)用分布等，為企業(yè)決策提供依據(jù)記錄內(nèi)網(wǎng)安全事件，幫助管理員發(fā)現(xiàn)安全威脅網(wǎng)頁(yè)訪問(wèn)審計(jì)郵件審計(jì)IM聊天應(yīng)用審計(jì)外發(fā)文件審計(jì)微博、論壇發(fā)帖等行為審計(jì)功能目的全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價(jià)值全網(wǎng)行為管理的應(yīng)用場(chǎng)景目錄全網(wǎng)行為管理應(yīng)用場(chǎng)景場(chǎng)景維度數(shù)據(jù)價(jià)值分析終端準(zhǔn)入管控上網(wǎng)行為管控多分支組網(wǎng)Internet數(shù)據(jù)中心網(wǎng)有線網(wǎng)員工隨意使用互聯(lián)網(wǎng)，需要網(wǎng)頁(yè)過(guò)濾和應(yīng)用封堵，提高員工工作效率上網(wǎng)體驗(yàn)差，需要控制帶寬流量，保障核心業(yè)務(wù)暢通缺少上網(wǎng)行為記錄措施，一旦發(fā)生網(wǎng)絡(luò)違法，無(wú)法追蹤到人《網(wǎng)絡(luò)安全法》要求做上網(wǎng)審計(jì)，合規(guī)要求更嚴(yán)格通過(guò)接入認(rèn)證的多種認(rèn)證方式，構(gòu)建上網(wǎng)身份認(rèn)證體系，保障人員接入上網(wǎng)安全通過(guò)對(duì)上網(wǎng)應(yīng)用精確識(shí)別與策略管控，規(guī)范員工上網(wǎng)行為對(duì)互聯(lián)網(wǎng)帶寬進(jìn)行精細(xì)化流控，保障核心業(yè)務(wù)使用體驗(yàn)通過(guò)行為審計(jì)，全面審計(jì)上網(wǎng)行為，滿足審計(jì)與合規(guī)需求全行業(yè)上網(wǎng)行為管控目標(biāo)客戶客戶需求具體方案終端準(zhǔn)入管控場(chǎng)景對(duì)終端上網(wǎng)做二層強(qiáng)管控，未通過(guò)認(rèn)證不能訪問(wèn)內(nèi)網(wǎng)服務(wù)器資源和外網(wǎng)資源，滿足可信接入的需求；啞終端免認(rèn)證入網(wǎng)要求終端上網(wǎng)用戶必須安裝公司要求的殺毒軟件，否則不能上網(wǎng)。禁止研發(fā)部門訪問(wèn)外網(wǎng)和終端接入U(xiǎn)盤等存儲(chǔ)設(shè)備。全網(wǎng)行為管理設(shè)備網(wǎng)橋或者旁路部署，結(jié)合交換機(jī)開(kāi)啟802.1X認(rèn)證，未入網(wǎng)前不能訪問(wèn)內(nèi)網(wǎng)資源。啟用殺軟檢查，未安裝對(duì)應(yīng)殺毒軟件不能上網(wǎng)。針對(duì)研發(fā)部門啟用外聯(lián)檢查和U盤管控，管控不合規(guī)行為?？蛻粜枨缶唧w方案多分支組網(wǎng)

分支和總部之間需要IPSEC組網(wǎng)；分支用戶統(tǒng)一在總部認(rèn)證中心AC上認(rèn)證，實(shí)現(xiàn)用戶認(rèn)證統(tǒng)一在總部認(rèn)證中心AC上維護(hù)；分支統(tǒng)一由總部集中管理設(shè)備下發(fā)管控策略，實(shí)現(xiàn)統(tǒng)一管控；分支統(tǒng)一由總部集中管理設(shè)備下發(fā)審計(jì)策略，并集中把日志傳到總部服務(wù)器區(qū)外置日志中心實(shí)現(xiàn)統(tǒng)一審計(jì)。多分支的企業(yè)、政府、金融等目標(biāo)客戶客戶需求方案價(jià)值多分支VPN組網(wǎng)，把多個(gè)分支串聯(lián)到總部，方便統(tǒng)一運(yùn)維。統(tǒng)一認(rèn)證、管控和審計(jì)，滿足公安部門的監(jiān)管要求。數(shù)據(jù)價(jià)值分析需要對(duì)內(nèi)網(wǎng)審計(jì)到日志進(jìn)行分析，提取有價(jià)值的信息。通過(guò)預(yù)先定義的關(guān)注內(nèi)容，對(duì)內(nèi)網(wǎng)外發(fā)的敏感信息進(jìn)行分析，出現(xiàn)泄密風(fēng)險(xiǎn)時(shí)通知管理員，防止外發(fā)泄密，及時(shí)止損。建立數(shù)據(jù)外發(fā)規(guī)范，分析風(fēng)險(xiǎn)，防止敏感數(shù)據(jù)泄露。教育局（教育城域網(wǎng)）、多分支的企業(yè)、垂直體系的政府單位（公安、武警等）客戶需求應(yīng)用價(jià)值目標(biāo)客戶全網(wǎng)行為管理部署模式路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄部署模式是指設(shè)備以什么樣的工作方式部署到客戶網(wǎng)絡(luò)中去，不同的部署模式對(duì)客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支持的功能也各不一樣，設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。根據(jù)客戶需求及環(huán)境不同：AC設(shè)備支持路由、網(wǎng)橋、旁路部署模式,SG設(shè)備支持路由、網(wǎng)橋、旁路、單臂部署模式12.0版本之后支持認(rèn)證部署模式，13.0版本之后認(rèn)證模式功能以認(rèn)證口的形式融入到普通模式中部署模式簡(jiǎn)介1.單臂模式用于代理上網(wǎng)場(chǎng)景；2.認(rèn)證模式多用于對(duì)接無(wú)線控制器和多分支統(tǒng)一認(rèn)證場(chǎng)景設(shè)備以路由模式部署時(shí)，AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒(méi)有相應(yīng)的網(wǎng)關(guān)設(shè)備或者用戶的網(wǎng)絡(luò)環(huán)境規(guī)模比較小，需要將AC做網(wǎng)關(guān)使用時(shí)，建議以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須以路由模式部署，其它工作模式?jīng)]有這些功能。路由模式簡(jiǎn)介WAN：LAN：/24/24/24/24/241、網(wǎng)口配置：配置各網(wǎng)口地址。如果是固定IP，則填寫運(yùn)營(yíng)商給的IP地址及網(wǎng)關(guān)；如果是ADSL撥號(hào)上網(wǎng)，則填寫運(yùn)營(yíng)商給的撥號(hào)帳號(hào)和密碼；確定內(nèi)網(wǎng)口的IP；2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、用戶是否需要通過(guò)AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置NAT規(guī)則。4、檢查并放通防火墻規(guī)則。路由模式配置思路路由模式效果展示路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄設(shè)備以網(wǎng)橋模式部署時(shí)對(duì)客戶原有的網(wǎng)絡(luò)基本沒(méi)有改動(dòng)。網(wǎng)橋模式部署AC時(shí)，對(duì)客戶來(lái)說(shuō)AC就是個(gè)透明的設(shè)備，如果因?yàn)锳C自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開(kāi)啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。網(wǎng)橋模式部署時(shí)AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP等功能。網(wǎng)橋模式簡(jiǎn)介網(wǎng)橋模式應(yīng)用場(chǎng)景單網(wǎng)橋54/24/24Br0:/24多網(wǎng)橋54/24/24Br0:/2454/24Br0:/24/241、配置設(shè)備網(wǎng)橋地址，網(wǎng)關(guān)地址，DNS地址。2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，本案例就是三層環(huán)境，所以需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、檢查并放通防火墻規(guī)則。網(wǎng)橋模式配置思路網(wǎng)橋模式效果展示路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄旁路模式主要用于實(shí)現(xiàn)行為審計(jì)功能，不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過(guò)把設(shè)備的監(jiān)聽(tīng)口接在交換機(jī)的鏡像口上同時(shí)鏡像交換機(jī)上下行的數(shù)據(jù)，從而實(shí)現(xiàn)對(duì)上網(wǎng)數(shù)據(jù)的監(jiān)控與控制。這種模式對(duì)用戶的網(wǎng)絡(luò)環(huán)境沒(méi)有影響，即使設(shè)備本身宕機(jī)也不會(huì)對(duì)用戶的網(wǎng)絡(luò)造成中斷。旁路模式部署還可用于旁路重定向認(rèn)證，在不改變網(wǎng)絡(luò)原有架構(gòu)的情況下對(duì)入網(wǎng)用戶進(jìn)行認(rèn)證。更多場(chǎng)景：旁路portal重定向認(rèn)證+審計(jì)場(chǎng)景、旁路802.1X認(rèn)證+基線核查+審計(jì)場(chǎng)景。注意：旁路部署模式只能對(duì)TCP應(yīng)用做控制，對(duì)基于UDP的應(yīng)用無(wú)法控制。不支持流量管理、NAT、VPN、DHCP等功能。旁路模式簡(jiǎn)介RST作用：標(biāo)示復(fù)位、用來(lái)異常的關(guān)閉連接。1.發(fā)送RST包關(guān)閉連接時(shí)，不必等緩沖區(qū)的包都發(fā)出去，直接就丟棄緩沖區(qū)中的包。2.而接收端收到RST包后，也不必發(fā)送ACK包來(lái)確認(rèn)TCPRST1、交換機(jī)設(shè)置鏡像口，并接到AC監(jiān)聽(tīng)口。2、配置需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段和服務(wù)器網(wǎng)段。3、配置管理口地址，用于管理AC設(shè)備。旁路模式配置思路旁路模式效果展示路由模式可以實(shí)現(xiàn)設(shè)備所有功能，網(wǎng)橋模式其次，旁路模式多用于審計(jì)，只能對(duì)TCP應(yīng)用控制，控制功能最弱。路由模式對(duì)客戶原有網(wǎng)絡(luò)改造影響最大，網(wǎng)橋模式其次，旁路模式對(duì)客戶原有網(wǎng)絡(luò)改造無(wú)影響，即使設(shè)備宕機(jī)也不會(huì)影響客戶斷網(wǎng)。設(shè)備路由模式最多支持8條外網(wǎng)線路。網(wǎng)橋模式最多支持8對(duì)網(wǎng)橋，旁路模式除了管理口外，其它網(wǎng)口均可作為監(jiān)聽(tīng)口，可以同時(shí)選擇多個(gè)網(wǎng)口作為監(jiān)聽(tīng)口。部署模式小結(jié)路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄什么是VLAN？VirtualLAN（虛擬局域網(wǎng)）是物理設(shè)備上連接的不受物理位置限制的用戶的一個(gè)邏輯組。形象地說(shuō)，交換機(jī)VLAN技術(shù)就是將1臺(tái)物理交換機(jī)劃分為若干臺(tái)邏輯上完全獨(dú)立的交換機(jī)。為什么引入VLAN？二層交換機(jī)不能阻隔廣播域，網(wǎng)絡(luò)規(guī)模越大，廣播危害也越嚴(yán)重路由器可以阻隔廣播，但價(jià)格比交換機(jī)貴，而且中低端路由器是使用軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)性能不高，會(huì)造成性能瓶頸大量的未知單播流量和無(wú)用組播流量帶來(lái)安全隱患難以管理和維護(hù)VLAN概念為什么需要VLAN廣播域廣播VLAN1VLAN2廣播域廣播域廣播Access端口

VLAN10PC1VLAN10VLAN20PC2PC3VLAN20PC4access端口PVID:10access端口PVID:10access端口PVID:20access端口PVID:20Access接口：進(jìn)該接口打上VLAN標(biāo)記，出接口剝離VLAN標(biāo)記；Tag=10Tag=20802.1Q公有標(biāo)準(zhǔn)默認(rèn)情況，在802.1QTrunk上對(duì)所有的VLAN打Tag，除了NativeVLAN；NativeVLAN，也稱為本征VLAN，是在trunk上無(wú)需打標(biāo)簽的VLAN，默認(rèn)為vlan1，可手工修改Tag標(biāo)記字段詳細(xì)信息：Tag標(biāo)記字段包含一個(gè)2bytesEtherType（以太類型）字段、一個(gè)3bits的PRI字段、1bit的CFI字段、12bits的VLANID字段；VLAN協(xié)議不同交換機(jī)相同的vlan互訪解決方案：Trunk方案一方案二實(shí)現(xiàn)方式在交換機(jī)間為每一個(gè)vlan建立一條專有傳輸鏈路在交換機(jī)間建立一條專有鏈路承載多個(gè)vlan的流量?jī)?yōu)點(diǎn)不需要其他協(xié)議的支持不需要占用過(guò)多的端口缺點(diǎn)占用了過(guò)多的端口需要專有協(xié)議支持VLAN間路由不同VLAN之間的數(shù)據(jù)包