什么是 VLAN
VLAN 即虚拟局域网(Virtual Local Area Network),是一种将物理局域网在逻辑上划分为多个独立广播域的技术。它突破了传统局域网受地理位置限制的约束,根据用户需求、部门职能、应用类型等因素,将网络中的设备划分到不同的逻辑子网中,这些子网之间的通信就如同处于不同的物理网络一样,从而实现了更加灵活和高效的网络资源分配与管理。
一、VLAN 的工作原理1.VLAN 标识:每个 VLAN 都有一个唯一的 VLAN ID,取值范围一般是 1 - 4095。交换机通过识别数据帧中的 VLAN ID,来确定该数据帧属于哪个 VLAN。例如,当一台电脑发送数据帧时,交换机接收到数据帧后,会查看其中的 VLAN ID 标签,若标签显示 VLAN ID 为 10,交换机就知道该数据帧属于 ID 为 10 的 VLAN。2.VLAN 封装:交换机会根据端口配置将接收到的数据帧封装到对应的 VLAN 中,每个数据帧都会添加一个 VLAN 标签,其中包含了源地址、目的地址和 VLAN ID 等信息。以 802.1Q 协议为例,它在原有的以太网帧基础上插入 4 字节的标签字段,其中包含了 2 字节的标签协议标识(TPID)和 2 字节的标签控制信息(TCI),TCI 中就包含了 VLAN ID。3.VLAN 隔离:交换机上的端口根据配置只接收属于特定 VLAN 的数据帧,这样不同 VLAN 上的设备之间就无法直接通信,实现了隔离。比如,VLAN10 中的设备发出的广播数据包,只会在 VLAN10 内传播,不会被发送到 VLAN20 中的设备,从而减少了广播域的范围,提高了网络性能和安全性。4.VLAN 间通信:如果需要不同 VLAN 之间的通信,可以通过交换机上的路由功能实现。交换机会根据 VLAN ID 和路由表来转发数据帧。例如,当 VLAN10 中的设备要与 VLAN20 中的设备通信时,数据帧首先会发送到具备路由功能的设备(如三层交换机或路由器),该设备根据路由表中的信息,将数据帧转发到目标 VLAN 的设备。
二、VLAN 的优势1.提高网络效率:通过划分 VLAN,可以减少广播流量。在传统局域网中,广播数据包会在整个网络中传播,占用大量带宽资源。而 VLAN 将网络划分为多个广播域,广播数据包仅在所属 VLAN 内传播,从而释放更多带宽给用户应用,提高了网络的整体性能。2.增强网络安全性:不同 VLAN 之间相互隔离,即使某个 VLAN 内的设备遭受攻击,攻击者也难以直接访问其他 VLAN 的设备和资源,大大提高了网络的安全性。例如,企业可以将财务部门、研发部门等重要部门的设备划分到不同 VLAN,防止敏感信息泄露。3.降低管理成本:VLAN 可以降低移动或变更工作站地理位置的管理费用。管理员可以根据需要,通过软件配置将物理网络中的设备划分到不同的 VLAN,而无需重新布线或更改网络硬件配置。例如,员工从一个办公室搬到另一个办公室,只需要在交换机上重新配置其所属的 VLAN,而不需要重新调整网络连接。
三、VLAN 的类型1.基于端口的 VLAN:将交换机的物理端口直接划分到不同的 VLAN 中。这种方式简单直观,易于配置和管理。例如,将交换机的 1 - 5 端口划分到 VLAN10,6 - 10 端口划分到 VLAN20。每个端口固定属于一个 VLAN,端口之间的 VLAN 划分清晰明确。但这种方式灵活性较差,当设备位置发生变化时,需要重新配置端口所属的 VLAN。2.基于 MAC 地址的 VLAN:根据设备的 MAC 地址来划分 VLAN。交换机通过学习设备的 MAC 地址,将其划分到相应的 VLAN 中。这种方式的优点是设备移动时无需重新配置 VLAN,因为 MAC 地址是设备的唯一标识,无论设备连接到哪个端口,都能自动划分到对应的 VLAN。但缺点是需要交换机学习大量的 MAC 地址,配置和管理相对复杂,且不适用于大规模网络。3.基于 IP 地址的 VLAN:按照设备的 IP 地址来划分 VLAN。交换机根据数据帧中的源 IP 地址或目的 IP 地址,将其划分到不同的 VLAN。这种方式适用于网络中设备 IP 地址规划比较规范的场景,例如企业网络中不同部门的设备使用不同的 IP 地址段,就可以根据 IP 地址段来划分 VLAN。它的优点是灵活性高,便于管理,但对交换机的性能要求较高,因为需要对每个数据帧的 IP 地址进行解析和判断。4.基于协议的 VLAN:根据网络层协议类型来划分 VLAN,如 TCP/IP、IPX 等。交换机根据数据帧所使用的协议类型,将其划分到相应的 VLAN 中。这种方式适用于网络中存在多种协议的场景,例如企业网络中既有使用 TCP/IP 协议的办公设备,又有使用 IPX 协议的特定业务系统,就可以通过基于协议的 VLAN 划分,将不同协议的设备隔离开来,提高网络的稳定性和安全性。
四、VLAN 的应用场景1.企业网络:企业可以将不同部门或团队的主机放到不同的 VLAN 中,达到网络隔离和安全管理的目的。例如,将财务部门、销售部门、研发部门的设备分别划分到不同的 VLAN,防止部门之间的信息泄露和非法访问。同时,对于企业的访客网络,也可以划分到独立的 VLAN,保证企业内部网络的安全。2.校园网络:校园网络中用户众多,应用场景复杂。通过划分 VLAN,可以将教学区、办公区、宿舍区等不同区域的网络隔离开来,提高网络的安全性和性能。例如,教学区的设备可以划分到一个 VLAN,限制学生对教学资源的访问权限;办公区的设备划分到另一个 VLAN,保障办公网络的稳定和安全。3.数据中心:在数据中心,不同的业务系统和应用可能需要相互隔离。通过 VLAN,可以将不同的业务系统划分到不同的 VLAN 中,实现业务隔离和资源的高效利用。例如,将电商业务的前端服务器、后端数据库服务器等划分到不同的 VLAN,确保业务的安全性和稳定性。同时,对于多个交换机之间进行互联时,可以通过 VLAN Trunk 形成虚拟网段,实现 VLAN 之间的数据传输,提高数据中心的网络灵活性和扩展性。4.公共场所网络:对于公共场所的网络,如酒店、商场、机场等,为了保障用户的隐私和网络安全,可以将不同用户的设备划分到不同的 VLAN。例如,酒店可以将客人的设备划分到访客 VLAN,将酒店内部管理设备划分到管理 VLAN,防止客人对酒店内部网络的非法访问。
五、VLAN 的配置方法(以 Cisco 交换机为例)1.登录交换机管理界面:通过 Console 线将电脑与交换机的 Console 口连接,打开终端仿真软件(如 SecureCRT、Putty 等),设置好端口参数(如波特率 9600、数据位 8、停止位 1、无奇偶校验等),然后登录到交换机的命令行界面。2.创建 VLAN:在特权模式下,输入命令 “vlan vlan - id”(vlan - id 为要创建的 VLAN ID,取值范围 1 - 4095),例如 “vlan 10”,然后输入 “name vlan - name”(vlan - name 为 VLAN 的名称,可自定义),例如 “name Sales”,这样就创建了一个 ID 为 10,名称为 Sales 的 VLAN。3.配置 VLAN 接口:进入 VLAN 接口配置模式,输入命令 “interface vlan vlan - id”,例如 “interface vlan 10”,然后为该 VLAN 接口配置 IP 地址和子网掩码,输入命令 “ip address ip - address subnet - mask”,例如 “ip address 192.168.10.1 255.255.255.0”,配置完成后,该 VLAN 接口就可以与其他网络进行通信。4.分配端口到 VLAN:进入要分配到 VLAN 的端口配置模式,输入命令 “interface interface - type interface - number”,例如 “interface fastethernet 0/1”,然后将该端口加入到指定的 VLAN 中,输入命令 “switchport access vlan vlan - id”,例如 “switchport access vlan 10”,这样就将 FastEthernet 0/1 端口加入到了 VLAN10 中。如果要将端口设置为 Trunk 模式,用于连接其他交换机或路由器,输入命令 “switchport mode trunk”。5.保存配置:配置完成后,在特权模式下输入命令 “write memory” 或 “copy running - config startup - config”,将配置保存到交换机的非易失性存储器中,以便交换机重启后配置仍然生效。6.验证配置:使用命令 “show vlan brief” 查看 VLAN 的配置情况,确保 VLAN 已经创建并且端口已经正确分配到相应的 VLAN 中。使用命令 “ping” 测试不同 VLAN 之间的通信是否正常,如果通信正常,说明 VLAN 配置成功。
拓展阅读1.什么是 802.1Q 协议?:802.1Q 是一种 VLAN 标记协议,在以太网帧中插入 4 字节的标签字段,用于标识 VLAN ID,实现不同 VLAN 间的数据传输与识别。2.VLAN 和子网有什么区别?:VLAN 是数据链路层(OSI 层 2)的概念,通过划分逻辑广播域隔离网络;子网是网络层(OSI 层 3)概念,通过子网掩码划分 IP 地址范围,用于管理和分配 IP 地址。3.如何在华为交换机上配置 VLAN?:登录华为交换机管理界面,进入系统视图,用 “vlan batch vlan - id” 命令创建 VLAN,用 “interface gigabitethernet x/x/x” 进入端口视图,再用 “port link - type access” 和 “port default vlan vlan - id” 命令将端口加入 VLAN,最后保存配置。
