什么是VLAN?
VLAN也叫虚拟局域网,是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网,由于交换机端口有两种VLAN属性,其一是VLANID,其二是VLANTAG,分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG(标签)数据包,不同VLANID端口,可以通过相互允许VLANTAG,构建VLAN。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN不一定是一个广播域,VLAN之间的通信并不一定需要路由网关,其本身可以通过对VLANTAG的相互允许,组成不同访问控制属性的VLAN,当然也可以通过第3层的路由器来完成的,但是,通过VLANID和VLANTAG的允许,VLAN可以为几乎局域网内任何信息集成系统架构逻辑拓扑和访问控制,并且与其它共享物理网路链路的信息系统实现相互间无扰共享。
简单来说,同一个VLAN中的用户间通信就和在一个局域网内一样,同一个VLAN中的广播只有VLAN中的 成员才能听到,而不会传输到其他的VLAN中去,从而控制不必要的广播风暴的产生。同时,若没有路由,不同VLAN之间不能相互通信,从而提高了不同工作组之间的信息安全性。网络管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。
如果一个局域网内有几百台主机,一旦产生广播风暴,整个网络可能就会出现瘫痪。所以通过vlan划分广播域,使得广播被限制在每一个vlan里面,而不会跨VLAN传播。不同vlan之间的主机在没有三层路由的前提下是不能互访的,从而做到了隔离,这也是出于安全的考虑。
![简析VLAN在以太网交换机中的作用及划分方法]( "简析VLAN在以太网交换机中的作用及划分方法")
VLAN作用
限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健康性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
三层交换机下的VLAN划分,本身就已经做到了隔离,无法通信,VLAN的作用是可以隔离冲突域和广播域。那么,同一交换机不同VLAN如何划分呢?主要有以下几种方法:
以太网交换机如何划分VLAN?
1、通过端口的划分VLAN
这是最常应用的一种 VLAN 划分方法,应用也最为广泛、最有效,目前绝大多数 VLAN 协议的交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的,它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的 VLAN 交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于 MAC 地址的端口过滤。
2、通过MAC地址划分VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的 MAC 地址,VLAN 交换机跟踪属于 VLAN MAC 的地址。
这种方式的 VLAN 允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属 VLAN 的成员身份。
3、通过网络协议划分VLAN
根据每个主机的网络层地址或协议类型划分VLAN,将运行相同协议的主机划分到相同的vlan中,适合广域网中。
4、根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个 IP 组播组就是一个 VLAN。这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个 VLAN,不适合局域网,主要是效率不高。
5、按策略划分 VLAN。
基于策略组成的 VLAN 能实现多种分配方法,包括 VLAN 交换机端口、MAC 地址、IP 地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的 VLAN 。
6.按用户定义、非用户授权划分 VLAN。
基于用户定义、非用户授权来划分 VLAN,是指为了适应特别的 VLAN 网络,根据具体的网络用户的特别要求来定义和设计 VLAN,而且可以让非 VLAN 群体用户访问 VLAN,但是需要提供用户密码,在得到 VLAN 管理的认证后才可以加入一个 VLAN。
VLAN之间如何通信?
VLAN是广播域,两个广播域之间由路由器连接,广播域之间的数据包都是由路由器中继的。因此VLAN间的通信也需要路由器提供中继服务。VLAN间路由,可以使用普通的路由器,也可以使用三层交换机。
综上所述,VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。