VLAN的作用

VLAN（Virtual Local Area Network），中文名為“虛擬局域網”，是在物理網絡上劃分出來的邏輯網絡。劃分VLAN可以實現廣播域的隔離，具有增強局域網安全性、節約帶寬、簡化網絡管理等優勢

發布時間：2022-10-28
點擊量：
點贊：

分享至

我想評論

1 背景

在VLAN（Virtual Local Area Network，虛擬局域網）技術出現之前，二層交換設備無法隔離廣播域。所謂廣播域，是指網絡中所有能接收到同樣廣播消息的設備集合，同一廣播域內的終端都能收到廣播報文。當二層交換設備收到一個目的地址未知的幀時，會向源接口以外的所有接口廣播此幀，交換設備的所有接口連接的節點屬于一個廣播域。假如不對廣播域進行適當分割，可能會導致兩個問題：

● 當網絡規模變大，接入的設備增多，廣播報文就會越來越多，從而浪費帶寬。

● 由于報文在局域網內廣播，廣播域內的每臺終端都可以收到整個局域網內的報文，通過報文捕獲可以截取這些報文，獲得報文內容信息，影響信息安全。

VLAN技術通過將物理局域網劃分成多個邏輯局域網的方式隔離廣播域，解決上述問題。

2 VLAN概述

VLAN是在物理網絡上劃分出來的邏輯網絡。每個VLAN具備獨立的廣播域，二層的單播、多播和廣播幀只在一個VLAN內轉發和擴散，而不會直接進入其它VLAN中。VLAN間的通信需要通過三層設備或三層接口實現。

3 VLAN的作用

通過背景可知，在未劃分VLAN之前，二層交換設備的所有接口在同一個廣播域中，會導致帶寬浪費和信息泄露等問題。VLAN技術通過將不同的接口加入不同的VLAN，并為每個VLAN添加Tag標識，可以將一個物理局域網劃分為多個虛擬局域網。對比圖4-1和圖4-2，802.1Q幀比傳統以太網數據幀多了4字節的Tag標識。在Tag中有一個VID（VLAN ID）字段，用于表示用戶所屬的VLAN。具有相同VID標識的用戶屬于同一個VLAN，可以直接進行二層通信，數據幀可以在VLAN內轉發和擴散，而不同VID標識的VLAN不能直接進行二層通信，實現了廣播域的隔離。

圖3-1 傳統以太網數據幀格式

圖3-2 802.1Q幀格式

VLAN帶來的優勢如下：

● 增強了局域網的安全性。不同VLAN的用戶之間不能通過二層報文進行通信，需要通過三層設備或三層接口實現三層通信。因此，利用VLAN可以將含有敏感數據的用戶組與其余網絡用戶隔離，從而降低泄露信息的可能性。

● 成本降低。隨著接入的終端越來越多，廣播數據占用網絡帶寬帶來的影響愈加明顯，為了提高通信性能，需要升級網絡帶寬等。劃分VLAN可以隔離廣播域，其他廣播域的報文不會出現在本廣播域內，因此節約了帶寬，帶寬利用率更高，網絡升級需求減少，節約了成本。

● 提高網絡設計靈活性，簡化網絡管理。借助VLAN技術可以根據實際需求將不同的主機劃分到不同的工作組，同一工作組的主機可以位于不同的物理位置，網絡構建、管理和維護更加方便靈活。

4 VLAN應用場景

在圖4-1場景中，假設某公司大樓的六層和七層均有技術部和財務部的辦公室。由于拓撲中不存在路由器，設備也未配置VLAN，所有設備均處在同一廣播域中，級聯的二層交換機組成一個巨大的廣播域。此時，所有用戶間均可以直接進行二層通信，不同部門的用戶可以互相訪問，可能造成敏感信息被竊取等安全問題。此外，由于交換機從所有接口泛洪廣播包，廣播數據在廣播域中泛洪，占用網絡帶寬，降低設備性能。隨著內部網絡主機數目增多，帶寬浪費和安全等問題愈發明顯。為了信息安全，提高通信的性能，現在要求部門內的設備之間可以互相訪問，但部門之間相互二層隔離。

圖4-1 未劃分VLAN

為實現以上需求，可以利用VLAN劃分網絡，如圖4-2所示。將六層和七層的技術部都劃分在VLAN20，將財務部都劃分在VLAN30中。劃分VLAN后，同一部門內的用戶可以直接互相通信，部門間不能直接進行二層通信，加強了安全性；每個部門是一個廣播域，二層廣播風暴不會蔓延到其他廣播域，節約了網絡帶寬。同時，可以將六層和七層相同部門劃分在一起管理，終端物理位置不受限，網絡構建和維護更方便靈活。

圖4-2 劃分VLAN