從技術上講,VLAN(虛擬局域網)也稱為虛擬局域網。該技術可以在邏輯上將一個或多個物理 LAN 劃分和隔離為多個廣播域。每個廣播域被視為一個VLAN。一般情況下,只有同一 VLAN 下的設備才能相互通信。為什么使用 VLAN?在 VLAN 之前,在指定的網絡上有一個單一的廣播域,稱為 LAN(局域網工作)。就像下面的 LAN 應用拓撲所示,為了與主機 B 通信,主機 A 將向同一局域網上的所有交換機和其他主機廣播其 ARP(地址解析協議)請求。
但是,當網絡被主機和交換機轟炸時,很可能會導致廣播風暴。因此,主機的CPU和整個網絡的帶寬將被大量消耗。為了解決這個問題,VLAN 出現了。
通過配置 VLAN,您可以將網絡劃分為不同的廣播域。從一個網段上的工作站發送的數據包由不轉發沖突但廣播到每個網絡設備的網橋或交換機傳輸。這簡化了許多由 LAN 引起的潛在并發癥,包括過多的網絡流量和沖突。這樣,將大大節省網絡資源和帶寬,提高網絡靈活性和性能。
通常,有五種基本的 VLAN 類型: 基于接口的 VLAN、基于 MAC 地址的 VLAN、基于 IP 子網的 VLAN、基于協議的 VLAN 和基于策略的 VLAN。
基于端口的 VLAN
基于端口的 VLAN,也稱為基于接口的 VLAN,是一種使網絡管理員能夠為每個交換機端口手動分配 VLAN 的技術。它適用于小型網絡,無需頻繁更改網絡基礎設施。
基于 MAC 地址的 VLAN
基于MAC地址的VLAN是指根據幀的源MAC地址分配VLAN。應用這項技術可以大大提高網絡的安全性和靈活性。即使用戶經常改變他們的物理位置,網絡管理員也不需要重新配置 VLAN。
基于 IP 子網的 VLAN
基于 IP 子網的 VLAN可以根據設備的 IP 子網分配 VLAN。對于移動性和簡化管理要求較高、對安全性要求較低的公網來說,這將是一個有效的解決方案。通過這項技術,用戶可以在 IP 更改后自動加入新的 VLAN ID。
基于協議的 VLAN
應用于多協議的網絡,基于協議的VLAN可以根據協議類型和幀的封裝格式分配VLAN。
基于策略的 VLAN
基于策略的 VLAN 可以描述為上述的組合。它可以根據MAC地址和IP地址組合等策略分配VLAN。通過策略組合實現VLAN間的訪問控制,網絡的安全性和靈活性將大大增強。
VLAN內通信是指同一網段、同一VLAN內的用戶之間的通信。這種VLAN一般應用于兩種場景:同一設備的VLAN內通信和多個設備的VLAN內通信。不管是哪種類型,整個傳輸過程主要經過以下兩個步驟:
1、源主機發送的ARP請求:發送前,源主機將自己的IP地址與指定的IP地址進行比較。如果源主機發現它們在同一個網段,就會得到目的主機的MAC地址,并用得到的MAC地址填充幀的目的域MAC地址。相反,廣播包需要發送到網關。網關的 MAC 地址將被源主機用作其目標 MAC 地址。
2、設備間通信時添加和去除VLAN標簽:在交換機處理幀時,需要攜帶VLAN標簽。
由于廣播報文被限制在同一個 VLAN 中,不同 VLAN 中的主機之間無法在二層直接通信。因此,可以通過 VLAN 間路由將網絡流量從一個 VLAN 轉發到另一個 VLAN 來解決這個問題。有三個選項可用于啟用不同 VLAN 之間的路由:
這種 VLAN 間路由方式是將每個 VLAN 的附加端口與路由器連接起來。每個 VLAN 都需要路由器上的一個物理端口,這造成了路由器的巨大成本。因此,由于成本高、可擴展性差,這種VLAN間路由已經很少使用。
這種類型的 VLAN 路由使單個物理接口能夠實現 VLAN 之間的流量轉發。將路由器和交換機之間的連接配置為中繼鏈路后,路由器可以在中繼接口上從連接的交換機接收帶有 VLAN 標簽的幀,并將路由的數據包通過同一接口轉發到帶有 VLAN 標簽的目的地。
最后一種方法是使用具有路由功能的三層交換機。用戶需要為每個 VLAN 創建一個 SVI(Switch Virtual Interface),并為其配置一個 IP 地址。此 IP 地址可用作計算機的默認網關。這樣,來自一個 VLAN 的數據包將被發送到 SVI 以路由到其他 VLAN,從而實現 VLAN 間通信。
通過限制廣播域,可以防止 VLAN 上的終端站收聽或接收不適合它們的廣播。此外,如果 VLAN 之間沒有連接路由器,則 VLAN 的終端站無法與其他 VLAN 的終端站通信。網絡上廣播域的限制顯著減少了流量。
VLAN 創建的虛擬邊界只能由路由器跨越。因此,可以使用基于路由器的標準安全措施來限制對 VLAN 的訪問。此外,VLANS 可以通過包過濾增強網絡安全性。網絡管理員控制每個端口和他們允許使用的任何資源,將敏感數據組與網絡的其余部分分開,并減少機密信息泄露的機會。
VLAN 使網絡管理更容易,因為具有相似網絡要求的用戶共享相同的 VLAN。當提供新交換機時,您可以在交換機的Web管理頁面上快速添加或更改網絡節點。為特定 VLAN 配置的所有策略和過程在分配端口時實施。IT 人員還可以通過給它一個適當的名稱來輕松識別 VLAN 的功能。
VLAN 簡化了項目和應用程序管理,并聚合用戶和網絡設備以支持業務或地理需求。擁有單獨的功能可以更輕松地管理項目或使用專用應用程序,并且可以根據功能而不是位置對設備進行邏輯分組。