VLAN最佳实践和安全提示Cisco企业路由器的

目标当配置VLAN在Cisco企业设备时,此条款目标将解释概念和步骤执行的最佳实践和安全提示的.
目录新手的若干快速词汇量q最佳实践#1-VLAN端口分配端口分配基本信息配置接入端口配置中继端口常见问题解答q最佳实践#2-默认VLAN1和未使用的端口常见问题解答q最佳实践#3-创建"死角"未使用的端口的VLANq最佳实践#4-在VLAN的IP电话q最佳实践#5-VLAN间路由q简介要做您的企业网络更有效的,当保持它安全时其中一个方式执行此是正确建立虚拟局域网(VLAN).
VLAN是工作站的一个逻辑组,看来在尽管他们的地理分布的同样局域网的服务器和网络设备.
简言之,在同样VLAN的硬件使安全设备分开等等的之间的流量.
例如,您也许有工程、营销和会计科.
每个部门有楼宇的不同的楼层的工作者,但是他们在他们自己的部门内仍然需要访问和传达信息.
对共享文档和网站服务是重要的.
VLAN需要是设置与最佳实践为了保持您的网络安全.
当设置VLAN时,使以下更明智的选择做出.
您不会后悔它!
可适用的设备RV042qRV110WqRV130qRV132qRV134WqRV160WqRV215WqRV260qRV260PqRV260WqRV320qRV325qRV340qRV340WqRV345qRV345Pq您也许感兴趣知道RV160或RV260系列路由器能运载16VLAN,而RV34x系列路由器能运载32VLAN.
RV320支持7VLAN.
如果希望知道多少VLAN您的路由器能运载,请检查数据表或宣传单页您的在Cisco网站的特定型号.
选择支持并且输入您的型号或执行数据表或宣传单页和型号的一搜索.
新手的若干快速词汇量接入端口:接入端口只运载一个VLAN的流量.
接入端口经常指一个无标记端口,因为只有在该端口的一个VLAN,并且流量可以通过,不用标记.
中继端口:在运载超过一个VLAN的流量的交换机的端口.
因为有超过在该端口和流量的一个VLAN所有的除了一VLAN需要被标记,中继端口经常指标记为的端口.
NativeVLAN:一个VLAN在不接收标记的中继端口.
不安排一标记的所有流量发送对本地VLAN.
所以中继需要的两边确保他们安排同样本地VLAN或流量不去正确的位置.
最佳实践#1-VLAN端口分配端口分配基本信息每局域网端口可以设置是接入端口或中继端口.
q您在中继不想要的VLAN应该排除.
qVLAN可以在超过一个端口安置.
q配置接入端口在局域网端口分配的一个VLANq分配此端口的VLAN应该标记无标记q应该标记其他VLAN不包括为该端口q要正确地设置这些,请导航对LAN>VLAN设置.
选择VLANID并且点击Edit图标.
选择的下拉菜单任何列出的VLAN的LAN接口编辑VLAN标记.
单击Apply.
检查每个VLAN此示例分配其自己的局域网端口:此图形用户界面(GUI)镜像从RV260W路由器被采取了.
您的选项可能看上去有些不同.
例如,在RV34x系列,标签无标记,不包括和Tagged不折不扣第一缩写.
进程仍然是相同的.
配置中继端口两个或多个VLAN共享一局域网端口q其中一VLAN可以被标记无标记.
q是中继端口的一部分VLAN的其余应该标记标记为.
q不作为中继端口的部分的VLAN应该标记不包括为该端口.
q看一看在是全部在中继端口多种VLAN的此示例.
要正确地设置需要编辑的这些,请选择VLANID.
点击Edit图标.
更改他们根据您的需要,遵从上述建议.
顺便说一句,是否注意VLAN1从每局域网端口被排除这在部分将解释,默认VLAN的1.
最佳实践.
常见问题当它是在该端口时的唯一的VLANVLAN为什么被留下无标记因为有在接入端口分配的一个VLAN,从端口的流出流量发送,不用在帧的任何VLAN标记.
当帧到达交换机端口(流入的数据流),交换机将添加VLAN标记.
当他们是中继时的一部分VLAN为什么被标记这执行,以便通过的流量没获得发送对在该端口的错误的VLAN.
VLAN共享该端口.
类似于公寓编号被添加到地址确保邮件去在该共享楼宇内的正确公寓.
当它是本地VLAN时的一部分流量为什么被留下无标记本地VLAN是运载在一个或更多交换机间的未标签的数据流方式.
交换机分配在一个标记为的端口到达对本地VLAN的所有无标记帧.
如果在本地VLAN的一帧离开中继(标记为的)端口,交换机剥离VLAN标记.
当他们不在该端口时,VLAN为什么被排除这保持在该仅中继的流量用户特别地希望的VLAN的.
认为最佳实践.
最佳实践#2-默认VLAN1和未使用的端口将分配的所有端口到一个或更多比一个VLAN,包括本地VLAN.
默认情况下Cisco企业路由器附有VLAN1分配到所有端口.
管理VLAN是使用Telnet、SSH、SNMP、Syslog或者Cisco的FindIT,使用管理,远程控制和监控在您的设备网络的VLAN.
默认情况下,这也是VLAN1.
好安全实践是分离管理和用户数据流量.
所以,推荐,当您配置VLAN时,您使用VLAN1为管理的目的.
用管理目的Cisco交换机要远程通信,交换机必须有在管理VLAN配置的IP地址.
其他VLAN的用户不能建立远程访问会话到交换机,除非他们路由到管理VLAN,提供安全一块另外的层.
并且,应该配置交换机接受远程管理的仅已加密SSH会话.
要读一些讨论在此主题,请点击在Cisco公共网站的以下链路:管理VLAN讨论#1q管理VLAN讨论#2q常见问题为什么实际上是默认VLAN1没推荐的分段您的网络主要原因是敌对演员知道VLAN1是默认和常用的.
他们能使用它获得访问到其他VLAN通过"VLAN跳跃".
当名称暗示,敌对演员可能发送启用对中继端口和从而其他VLAN的访问摆在作为VLAN1的欺骗数据流.
能否离开未使用的端口分配到默认VLAN1要保持您的网络安全,您确实不应该.
推荐配置将关联的所有那些端口与VLAN除默认VLAN1.
之外.
我不想要分配其中任一我的制作VLAN到未使用的端口.
我该怎么办推荐您创建"空端"VLAN在此条款下一部分的说明后.
最佳实践#3-创建"死角"未使用的端口的VLAN步骤1.
导航对LAN>VLAN设置.
选择VLAN的任何随机数.
请务必此VLAN没有DHCP、启用的VLAN间路由或者设备管理.
这保持其他VLAN更加安全.
放置所有未使用局域网端口在此VLAN.
在下面的示例中的,VLAN777创建并且分配到LAN5.
应该执行这与所有未使用局域网端口.
注意其他VLAN从此局域网端口被排除.
步骤2.
点击应用按钮保存您做了的配置更改.
最佳实践#4-在VLAN的IP电话语音流量有严密服务质量(QoS)需求.
如果您的公司有计算机和IP电话在同样VLAN,每设法使用可用的带宽,无需假定有其它设备.
要避免此冲突,是良好的做法使用独立的VLANIP电话语音流量和数据流.
要得知更多此配置,请检查以下条款和视频:Cisco技术谈话:使用Cisco小型企业产品设置的和配置语音VLAN(视频)q配置与QoS的自动语音VLAN在SG500系列交换机q在200/300系列托管型交换机的语音VLAN配置qCisco技术谈话:配置在SG350和SG550系列交换机(视频)的自动语音VLANq最佳实践#5-VLAN间路由VLAN设置,以便流量可以分开,但是您有时需要VLAN能路由在彼此之间.
这是VLAN间路由和没有典型地推荐.
如果这是对您的公司的需要,一样安全地设置了它尽可能.
使用访问控制列表(ACL),当曾经VLAN间路由时,请确保限制流量,到包含保密信息的服务器.
ACL执行信息包过滤通过网络控制数据包的移动.
信息包过滤通过限制流量访问到网络,限制用户和设备访问对网络和防止流量提供安全留下网络.
IP访问列表减少伪装和拒绝服务攻击的机会,并且通过防火墙允许动态,临时用户访问.
在一个RV34x路由器的VLAN间路由有被瞄准的ACL限制的qCisco技术谈话:配置在SG250系列交换机(视频)的VLAN间路由qCisco技术谈话:在RV180和RV180W(视频)的在VLAN中间的配置qRV34x在VLAN中间的访问限制(CSCvo92300bug修复)q结论那里您有它,您当前认识设置的安全VLAN一些最佳实践.
当您配置您的网络的时,VLAN请记住这些提示.
如下所示有逐步指导的一些条款.
这些将继续您移动往为您的事务是公正合适的有生产力,高效网络.
配置在RV160和RV260的VLAN设置q配置在一个RV34x系列路由器的虚拟局域网设置q配置在RV320和RV325VPN路由器的VLAN成员q配置在RV系列路由器的虚拟局域网成员关系q通过CLI配置VLAN接口在Sx350的IPv4地址或SG350X交换机q