什么是 VLAN，為什么使用它？

從技術(shù)上講，VLAN（虛擬局域網(wǎng)）也稱為虛擬局域網(wǎng)。該技術(shù)可以在邏輯上將一個或多個物理 LAN 劃分和隔離為多個廣播域。每個廣播域被視為一個VLAN。一般情況下，只有同一 VLAN 下的設(shè)備才能相互通信。為什么使用 VLAN？在 VLAN 之前，在指定的網(wǎng)絡(luò)上有一個單一的廣播域，稱為 LAN（局域網(wǎng)工作）。就像下面的 LAN 應(yīng)用拓撲所示，為了與主機 B 通信，主機 A 將向同一局域網(wǎng)上的所有交換機和其他主機廣播其 ARP（地址解析協(xié)議）請求。

但是，當網(wǎng)絡(luò)被主機和交換機轟炸時，很可能會導致廣播風暴。因此，主機的CPU和整個網(wǎng)絡(luò)的帶寬將被大量消耗。為了解決這個問題，VLAN 出現(xiàn)了。

通過配置 VLAN，您可以將網(wǎng)絡(luò)劃分為不同的廣播域。從一個網(wǎng)段上的工作站發(fā)送的數(shù)據(jù)包由不轉(zhuǎn)發(fā)沖突但廣播到每個網(wǎng)絡(luò)設(shè)備的網(wǎng)橋或交換機傳輸。這簡化了許多由 LAN 引起的潛在并發(fā)癥，包括過多的網(wǎng)絡(luò)流量和沖突。這樣，將大大節(jié)省網(wǎng)絡(luò)資源和帶寬，提高網(wǎng)絡(luò)靈活性和性能。

VLAN 的類型

通常，有五種基本的 VLAN 類型： 基于接口的 VLAN、基于 MAC 地址的 VLAN、基于 IP 子網(wǎng)的 VLAN、基于協(xié)議的 VLAN 和基于策略的 VLAN。

基于端口的 VLAN

基于端口的 VLAN，也稱為基于接口的 VLAN，是一種使網(wǎng)絡(luò)管理員能夠為每個交換機端口手動分配 VLAN 的技術(shù)。它適用于小型網(wǎng)絡(luò)，無需頻繁更改網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

基于 MAC 地址的 VLAN

基于MAC地址的VLAN是指根據(jù)幀的源MAC地址分配VLAN。應(yīng)用這項技術(shù)可以大大提高網(wǎng)絡(luò)的安全性和靈活性。即使用戶經(jīng)常改變他們的物理位置，網(wǎng)絡(luò)管理員也不需要重新配置 VLAN。

基于 IP 子網(wǎng)的 VLAN

基于 IP 子網(wǎng)的 VLAN可以根據(jù)設(shè)備的 IP 子網(wǎng)分配 VLAN。對于移動性和簡化管理要求較高、對安全性要求較低的公網(wǎng)來說，這將是一個有效的解決方案。通過這項技術(shù)，用戶可以在 IP 更改后自動加入新的 VLAN ID。

基于協(xié)議的 VLAN

應(yīng)用于多協(xié)議的網(wǎng)絡(luò)，基于協(xié)議的VLAN可以根據(jù)協(xié)議類型和幀的封裝格式分配VLAN。

基于策略的 VLAN

基于策略的 VLAN 可以描述為上述的組合。它可以根據(jù)MAC地址和IP地址組合等策略分配VLAN。通過策略組合實現(xiàn)VLAN間的訪問控制，網(wǎng)絡(luò)的安全性和靈活性將大大增強。

VLAN 是如何工作的？

VLAN內(nèi)通信

VLAN內(nèi)通信是指同一網(wǎng)段、同一VLAN內(nèi)的用戶之間的通信。這種VLAN一般應(yīng)用于兩種場景：同一設(shè)備的VLAN內(nèi)通信和多個設(shè)備的VLAN內(nèi)通信。不管是哪種類型，整個傳輸過程主要經(jīng)過以下兩個步驟：

1、源主機發(fā)送的ARP請求：發(fā)送前，源主機將自己的IP地址與指定的IP地址進行比較。如果源主機發(fā)現(xiàn)它們在同一個網(wǎng)段，就會得到目的主機的MAC地址，并用得到的MAC地址填充幀的目的域MAC地址。相反，廣播包需要發(fā)送到網(wǎng)關(guān)。網(wǎng)關(guān)的 MAC 地址將被源主機用作其目標 MAC 地址。

2、設(shè)備間通信時添加和去除VLAN標簽：在交換機處理幀時，需要攜帶VLAN標簽。

VLAN間通信

由于廣播報文被限制在同一個 VLAN 中，不同 VLAN 中的主機之間無法在二層直接通信。因此，可以通過 VLAN 間路由將網(wǎng)絡(luò)流量從一個 VLAN 轉(zhuǎn)發(fā)到另一個 VLAN 來解決這個問題。有三個選項可用于啟用不同 VLAN 之間的路由：

具有單獨物理接口的 VLAN 間路由

這種 VLAN 間路由方式是將每個 VLAN 的附加端口與路由器連接起來。每個 VLAN 都需要路由器上的一個物理端口，這造成了路由器的巨大成本。因此，由于成本高、可擴展性差，這種VLAN間路由已經(jīng)很少使用。

Router-on-a-Stick VLAN間路由

這種類型的 VLAN 路由使單個物理接口能夠?qū)崿F(xiàn) VLAN 之間的流量轉(zhuǎn)發(fā)。將路由器和交換機之間的連接配置為中繼鏈路后，路由器可以在中繼接口上從連接的交換機接收帶有 VLAN 標簽的幀，并將路由的數(shù)據(jù)包通過同一接口轉(zhuǎn)發(fā)到帶有 VLAN 標簽的目的地。

使用第 3 層交換機的 VLAN 間路由

最后一種方法是使用具有路由功能的三層交換機。用戶需要為每個 VLAN 創(chuàng)建一個 SVI（Switch Virtual Interface），并為其配置一個 IP 地址。此 IP 地址可用作計算機的默認網(wǎng)關(guān)。這樣，來自一個 VLAN 的數(shù)據(jù)包將被發(fā)送到 SVI 以路由到其他 VLAN，從而實現(xiàn) VLAN 間通信。

VLAN的優(yōu)勢

VLAN 減小了廣播域的大小。

通過限制廣播域，可以防止 VLAN 上的終端站收聽或接收不適合它們的廣播。此外，如果 VLAN 之間沒有連接路由器，則 VLAN 的終端站無法與其他 VLAN 的終端站通信。網(wǎng)絡(luò)上廣播域的限制顯著減少了流量。

VLAN 可以增強網(wǎng)絡(luò)安全性。

VLAN 創(chuàng)建的虛擬邊界只能由路由器跨越。因此，可以使用基于路由器的標準安全措施來限制對 VLAN 的訪問。此外，VLANS 可以通過包過濾增強網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)管理員控制每個端口和他們允許使用的任何資源，將敏感數(shù)據(jù)組與網(wǎng)絡(luò)的其余部分分開，并減少機密信息泄露的機會。

VLAN 易于管理。

VLAN 使網(wǎng)絡(luò)管理更容易，因為具有相似網(wǎng)絡(luò)要求的用戶共享相同的 VLAN。當提供新交換機時，您可以在交換機的Web管理頁面上快速添加或更改網(wǎng)絡(luò)節(jié)點。為特定 VLAN 配置的所有策略和過程在分配端口時實施。IT 人員還可以通過給它一個適當?shù)拿Q來輕松識別 VLAN 的功能。

VLAN 使管理其他設(shè)備變得容易。

VLAN 簡化了項目和應(yīng)用程序管理，并聚合用戶和網(wǎng)絡(luò)設(shè)備以支持業(yè)務(wù)或地理需求。擁有單獨的功能可以更輕松地管理項目或使用專用應(yīng)用程序，并且可以根據(jù)功能而不是位置對設(shè)備進行邏輯分組。