什么是 VLAN，為什么使用它？

從技術(shù)上講，VLAN（虛擬局域網(wǎng)）也稱為虛擬局域網(wǎng)。該技術(shù)可以在邏輯上將一個(gè)或多個(gè)物理 LAN 劃分和隔離為多個(gè)廣播域。每個(gè)廣播域被視為一個(gè)VLAN。一般情況下，只有同一 VLAN 下的設(shè)備才能相互通信。為什么使用 VLAN？在 VLAN 之前，在指定的網(wǎng)絡(luò)上有一個(gè)單一的廣播域，稱為 LAN（局域網(wǎng)工作）。就像下面的 LAN 應(yīng)用拓?fù)渌?，為了與主機(jī) B 通信，主機(jī) A 將向同一局域網(wǎng)上的所有交換機(jī)和其他主機(jī)廣播其 ARP（地址解析協(xié)議）請(qǐng)求。

但是，當(dāng)網(wǎng)絡(luò)被主機(jī)和交換機(jī)轟炸時(shí)，很可能會(huì)導(dǎo)致廣播風(fēng)暴。因此，主機(jī)的CPU和整個(gè)網(wǎng)絡(luò)的帶寬將被大量消耗。為了解決這個(gè)問(wèn)題，VLAN 出現(xiàn)了。

通過(guò)配置 VLAN，您可以將網(wǎng)絡(luò)劃分為不同的廣播域。從一個(gè)網(wǎng)段上的工作站發(fā)送的數(shù)據(jù)包由不轉(zhuǎn)發(fā)沖突但廣播到每個(gè)網(wǎng)絡(luò)設(shè)備的網(wǎng)橋或交換機(jī)傳輸。這簡(jiǎn)化了許多由 LAN 引起的潛在并發(fā)癥，包括過(guò)多的網(wǎng)絡(luò)流量和沖突。這樣，將大大節(jié)省網(wǎng)絡(luò)資源和帶寬，提高網(wǎng)絡(luò)靈活性和性能。

VLAN 的類型

通常，有五種基本的 VLAN 類型： 基于接口的 VLAN、基于 MAC 地址的 VLAN、基于 IP 子網(wǎng)的 VLAN、基于協(xié)議的 VLAN 和基于策略的 VLAN。

基于端口的 VLAN

基于端口的 VLAN，也稱為基于接口的 VLAN，是一種使網(wǎng)絡(luò)管理員能夠?yàn)槊總€(gè)交換機(jī)端口手動(dòng)分配 VLAN 的技術(shù)。它適用于小型網(wǎng)絡(luò)，無(wú)需頻繁更改網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

基于 MAC 地址的 VLAN

基于MAC地址的VLAN是指根據(jù)幀的源MAC地址分配VLAN。應(yīng)用這項(xiàng)技術(shù)可以大大提高網(wǎng)絡(luò)的安全性和靈活性。即使用戶經(jīng)常改變他們的物理位置，網(wǎng)絡(luò)管理員也不需要重新配置 VLAN。

基于 IP 子網(wǎng)的 VLAN

基于 IP 子網(wǎng)的 VLAN可以根據(jù)設(shè)備的 IP 子網(wǎng)分配 VLAN。對(duì)于移動(dòng)性和簡(jiǎn)化管理要求較高、對(duì)安全性要求較低的公網(wǎng)來(lái)說(shuō)，這將是一個(gè)有效的解決方案。通過(guò)這項(xiàng)技術(shù)，用戶可以在 IP 更改后自動(dòng)加入新的 VLAN ID。

基于協(xié)議的 VLAN

應(yīng)用于多協(xié)議的網(wǎng)絡(luò)，基于協(xié)議的VLAN可以根據(jù)協(xié)議類型和幀的封裝格式分配VLAN。

基于策略的 VLAN

基于策略的 VLAN 可以描述為上述的組合。它可以根據(jù)MAC地址和IP地址組合等策略分配VLAN。通過(guò)策略組合實(shí)現(xiàn)VLAN間的訪問(wèn)控制，網(wǎng)絡(luò)的安全性和靈活性將大大增強(qiáng)。

VLAN 是如何工作的？

VLAN內(nèi)通信

VLAN內(nèi)通信是指同一網(wǎng)段、同一VLAN內(nèi)的用戶之間的通信。這種VLAN一般應(yīng)用于兩種場(chǎng)景：同一設(shè)備的VLAN內(nèi)通信和多個(gè)設(shè)備的VLAN內(nèi)通信。不管是哪種類型，整個(gè)傳輸過(guò)程主要經(jīng)過(guò)以下兩個(gè)步驟：

1、源主機(jī)發(fā)送的ARP請(qǐng)求：發(fā)送前，源主機(jī)將自己的IP地址與指定的IP地址進(jìn)行比較。如果源主機(jī)發(fā)現(xiàn)它們?cè)谕粋€(gè)網(wǎng)段，就會(huì)得到目的主機(jī)的MAC地址，并用得到的MAC地址填充幀的目的域MAC地址。相反，廣播包需要發(fā)送到網(wǎng)關(guān)。網(wǎng)關(guān)的 MAC 地址將被源主機(jī)用作其目標(biāo) MAC 地址。

2、設(shè)備間通信時(shí)添加和去除VLAN標(biāo)簽：在交換機(jī)處理幀時(shí)，需要攜帶VLAN標(biāo)簽。

VLAN間通信

由于廣播報(bào)文被限制在同一個(gè) VLAN 中，不同 VLAN 中的主機(jī)之間無(wú)法在二層直接通信。因此，可以通過(guò) VLAN 間路由將網(wǎng)絡(luò)流量從一個(gè) VLAN 轉(zhuǎn)發(fā)到另一個(gè) VLAN 來(lái)解決這個(gè)問(wèn)題。有三個(gè)選項(xiàng)可用于啟用不同 VLAN 之間的路由：

具有單獨(dú)物理接口的 VLAN 間路由

這種 VLAN 間路由方式是將每個(gè) VLAN 的附加端口與路由器連接起來(lái)。每個(gè) VLAN 都需要路由器上的一個(gè)物理端口，這造成了路由器的巨大成本。因此，由于成本高、可擴(kuò)展性差，這種VLAN間路由已經(jīng)很少使用。

Router-on-a-Stick VLAN間路由

這種類型的 VLAN 路由使單個(gè)物理接口能夠?qū)崿F(xiàn) VLAN 之間的流量轉(zhuǎn)發(fā)。將路由器和交換機(jī)之間的連接配置為中繼鏈路后，路由器可以在中繼接口上從連接的交換機(jī)接收帶有 VLAN 標(biāo)簽的幀，并將路由的數(shù)據(jù)包通過(guò)同一接口轉(zhuǎn)發(fā)到帶有 VLAN 標(biāo)簽的目的地。

使用第 3 層交換機(jī)的 VLAN 間路由

最后一種方法是使用具有路由功能的三層交換機(jī)。用戶需要為每個(gè) VLAN 創(chuàng)建一個(gè) SVI（Switch Virtual Interface），并為其配置一個(gè) IP 地址。此 IP 地址可用作計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)。這樣，來(lái)自一個(gè) VLAN 的數(shù)據(jù)包將被發(fā)送到 SVI 以路由到其他 VLAN，從而實(shí)現(xiàn) VLAN 間通信。

VLAN的優(yōu)勢(shì)

VLAN 減小了廣播域的大小。

通過(guò)限制廣播域，可以防止 VLAN 上的終端站收聽(tīng)或接收不適合它們的廣播。此外，如果 VLAN 之間沒(méi)有連接路由器，則 VLAN 的終端站無(wú)法與其他 VLAN 的終端站通信。網(wǎng)絡(luò)上廣播域的限制顯著減少了流量。

VLAN 可以增強(qiáng)網(wǎng)絡(luò)安全性。

VLAN 創(chuàng)建的虛擬邊界只能由路由器跨越。因此，可以使用基于路由器的標(biāo)準(zhǔn)安全措施來(lái)限制對(duì) VLAN 的訪問(wèn)。此外，VLANS 可以通過(guò)包過(guò)濾增強(qiáng)網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)管理員控制每個(gè)端口和他們?cè)试S使用的任何資源，將敏感數(shù)據(jù)組與網(wǎng)絡(luò)的其余部分分開(kāi)，并減少機(jī)密信息泄露的機(jī)會(huì)。

VLAN 易于管理。

VLAN 使網(wǎng)絡(luò)管理更容易，因?yàn)榫哂邢嗨凭W(wǎng)絡(luò)要求的用戶共享相同的 VLAN。當(dāng)提供新交換機(jī)時(shí)，您可以在交換機(jī)的Web管理頁(yè)面上快速添加或更改網(wǎng)絡(luò)節(jié)點(diǎn)。為特定 VLAN 配置的所有策略和過(guò)程在分配端口時(shí)實(shí)施。IT 人員還可以通過(guò)給它一個(gè)適當(dāng)?shù)拿Q來(lái)輕松識(shí)別 VLAN 的功能。

VLAN 使管理其他設(shè)備變得容易。

VLAN 簡(jiǎn)化了項(xiàng)目和應(yīng)用程序管理，并聚合用戶和網(wǎng)絡(luò)設(shè)備以支持業(yè)務(wù)或地理需求。擁有單獨(dú)的功能可以更輕松地管理項(xiàng)目或使用專用應(yīng)用程序，并且可以根據(jù)功能而不是位置對(duì)設(shè)備進(jìn)行邏輯分組。