释放双眼,带上耳机,听听看~!
VLAN(Virtual Local Area Network,虚拟局域网)是一种将物理局域网(LAN)逻辑划分为多个独立广播域的技术。它通过在交换机上配置逻辑分组,使得不同VLAN的设备即使连接在同一台交换机上,也无法直接通信(除非通过路由器或三层交换机),从而实现网络隔离、安全控制和广播域优化。
1. VLAN的核心作用
- 广播域隔离:每个VLAN是一个独立的广播域,减少不必要的广播流量(如ARP、DHCP等)。
- 安全隔离:不同VLAN的设备默认无法直接通信,必须通过路由,可结合ACL(访问控制列表)进行访问控制。
- 灵活组网:不受物理位置限制,同一VLAN的设备可以跨交换机部署(如财务部在不同楼层的PC可划入同一VLAN)。
2. VLAN的工作原理
(1)基于802.1Q标准的VLAN标签(Tagging)
- 普通以太网帧(无VLAN):
带VLAN标签的帧(802.1Q):
- VLAN ID(1-4094):标识数据帧属于哪个VLAN(0和4095保留)。
- TPID(0x8100):标识这是一个带VLAN标签的帧。
(2)交换机端口的VLAN处理方式
| 端口类型 | 作用 | 处理方式 | 典型应用 |
|---|---|---|---|
| Access端口 | 连接终端设备(PC、打印机等) | 收数据:打上PVID(Port VLAN ID) 发数据:剥离VLAN标签 |
终端设备接入 |
| Trunk端口 | 连接交换机或路由器 | 收数据:保留VLAN标签 发数据:携带VLAN标签 |
跨交换机VLAN通信 |
| Hybrid端口(混合模式) | 可同时处理带标签和不带标签的帧 | 可手动配置哪些VLAN带标签/不带标签 | 特殊场景(如VoIP) |
(3)VLAN间通信
不同VLAN的设备默认不能直接通信,必须通过:
- 路由器(传统方式):每个VLAN连接一个物理接口(低效)。
- 三层交换机(推荐):启用SVI(Switch Virtual Interface),为每个VLAN配置虚拟接口(如
interface vlan 10),并设置IP地址作为网关。
3. VLAN的划分方式
| 划分方式 | 说明 | 适用场景 |
|---|---|---|
| 基于端口 | 手动将交换机端口划分到VLAN | 最常见,适用于固定设备 |
| 基于MAC地址 | 根据设备的MAC地址自动分配VLAN | 移动设备(如笔记本) |
| 基于协议/IP子网 | 根据IP地址或协议类型划分 | 特殊网络需求 |
| 基于802.1X认证 | 用户认证后动态分配VLAN | 企业无线网络 |
4. 典型VLAN应用
- 部门隔离:财务部(VLAN 10)、研发部(VLAN 20)不能互访。
- 语音和数据分离:VoIP电话(VLAN 30)和普通数据(VLAN 40)分开管理。
- 访客网络:访客Wi-Fi(VLAN 100)不能访问内部网络(VLAN 10)。
- 跨交换机扩展VLAN:通过Trunk链路让不同交换机的相同VLAN互通。
总结
VLAN的核心是通过802.1Q标签在物理网络上划分逻辑子网,实现广播隔离、安全控制、灵活组网。
- Access端口用于终端设备,Trunk端口用于交换机互联。
- 不同VLAN通信必须通过三层设备(路由器/三层交换机)。
- 合理规划VLAN可提升网络性能、安全性和管理效率。
湘公网安备43310102000345号