从技术上讲,VLAN(虚拟局域网)也称为虚拟局域网。该技术可以在逻辑上将一个或多个物理 LAN 划分和隔离为多个广播域。每个广播域被视为一个VLAN。一般情况下,只有同一 VLAN 下的设备才能相互通信。为什么使用 VLAN?在 VLAN 之前,在指定的网络上有一个单一的广播域,称为 LAN(局域网工作)。就像下面的 LAN 应用拓扑所示,为了与主机 B 通信,主机 A 将向同一局域网上的所有交换机和其他主机广播其 ARP(地址解析协议)请求。
但是,当网络被主机和交换机轰炸时,很可能会导致广播风暴。因此,主机的CPU和整个网络的带宽将被大量消耗。为了解决这个问题,VLAN 出现了。
通过配置 VLAN,您可以将网络划分为不同的广播域。从一个网段上的工作站发送的数据包由不转发冲突但广播到每个网络设备的网桥或交换机传输。这简化了许多由 LAN 引起的潜在并发症,包括过多的网络流量和冲突。这样,将大大节省网络资源和带宽,提高网络灵活性和性能。
通常,有五种基本的 VLAN 类型: 基于接口的 VLAN、基于 MAC 地址的 VLAN、基于 IP 子网的 VLAN、基于协议的 VLAN 和基于策略的 VLAN。
基于端口的 VLAN
基于端口的 VLAN,也称为基于接口的 VLAN,是一种使网络管理员能够为每个交换机端口手动分配 VLAN 的技术。它适用于小型网络,无需频繁更改网络基础设施。
基于 MAC 地址的 VLAN
基于MAC地址的VLAN是指根据帧的源MAC地址分配VLAN。应用这项技术可以大大提高网络的安全性和灵活性。即使用户经常改变他们的物理位置,网络管理员也不需要重新配置 VLAN。
基于 IP 子网的 VLAN
基于 IP 子网的 VLAN可以根据设备的 IP 子网分配 VLAN。对于移动性和简化管理要求较高、对安全性要求较低的公网来说,这将是一个有效的解决方案。通过这项技术,用户可以在 IP 更改后自动加入新的 VLAN ID。
基于协议的 VLAN
应用于多协议的网络,基于协议的VLAN可以根据协议类型和帧的封装格式分配VLAN。
基于策略的 VLAN
基于策略的 VLAN 可以描述为上述的组合。它可以根据MAC地址和IP地址组合等策略分配VLAN。通过策略组合实现VLAN间的访问控制,网络的安全性和灵活性将大大增强。
VLAN内通信是指同一网段、同一VLAN内的用户之间的通信。这种VLAN一般应用于两种场景:同一设备的VLAN内通信和多个设备的VLAN内通信。不管是哪种类型,整个传输过程主要经过以下两个步骤:
1、源主机发送的ARP请求:发送前,源主机将自己的IP地址与指定的IP地址进行比较。如果源主机发现它们在同一个网段,就会得到目的主机的MAC地址,并用得到的MAC地址填充帧的目的域MAC地址。相反,广播包需要发送到网关。网关的 MAC 地址将被源主机用作其目标 MAC 地址。
2、设备间通信时添加和去除VLAN标签:在交换机处理帧时,需要携带VLAN标签。
由于广播报文被限制在同一个 VLAN 中,不同 VLAN 中的主机之间无法在二层直接通信。因此,可以通过 VLAN 间路由将网络流量从一个 VLAN 转发到另一个 VLAN 来解决这个问题。有三个选项可用于启用不同 VLAN 之间的路由:
这种 VLAN 间路由方式是将每个 VLAN 的附加端口与路由器连接起来。每个 VLAN 都需要路由器上的一个物理端口,这造成了路由器的巨大成本。因此,由于成本高、可扩展性差,这种VLAN间路由已经很少使用。
这种类型的 VLAN 路由使单个物理接口能够实现 VLAN 之间的流量转发。将路由器和交换机之间的连接配置为中继链路后,路由器可以在中继接口上从连接的交换机接收带有 VLAN 标签的帧,并将路由的数据包通过同一接口转发到带有 VLAN 标签的目的地。
最后一种方法是使用具有路由功能的三层交换机。用户需要为每个 VLAN 创建一个 SVI(Switch Virtual Interface),并为其配置一个 IP 地址。此 IP 地址可用作计算机的默认网关。这样,来自一个 VLAN 的数据包将被发送到 SVI 以路由到其他 VLAN,从而实现 VLAN 间通信。
通过限制广播域,可以防止 VLAN 上的终端站收听或接收不适合它们的广播。此外,如果 VLAN 之间没有连接路由器,则 VLAN 的终端站无法与其他 VLAN 的终端站通信。网络上广播域的限制显着减少了流量。
VLAN 创建的虚拟边界只能由路由器跨越。因此,可以使用基于路由器的标准安全措施来限制对 VLAN 的访问。此外,VLANS 可以通过包过滤增强网络安全性。网络管理员控制每个端口和他们允许使用的任何资源,将敏感数据组与网络的其余部分分开,并减少机密信息泄露的机会。
VLAN 使网络管理更容易,因为具有相似网络要求的用户共享相同的 VLAN。当提供新交换机时,您可以在交换机的Web管理页面上快速添加或更改网络节点。为特定 VLAN 配置的所有策略和过程在分配端口时实施。IT 人员还可以通过给它一个适当的名称来轻松识别 VLAN 的功能。
VLAN 简化了项目和应用程序管理,并聚合用户和网络设备以支持业务或地理需求。拥有单独的功能可以更轻松地管理项目或使用专用应用程序,并且可以根据功能而不是位置对设备进行逻辑分组。