一文读懂虚拟局域网(VLAN)技术

　　什么是虚拟局域网(VLAN)，以及为什么使用它?

　　从技术上讲，VLAN也称为虚拟局域网。这项技术可以在逻辑上将一个或多个物理局域网划分和隔离为多个广播域。每个广播域被视为一个VLAN。一般情况下，只有同一VLAN下的设备才能互相通信。为什么要使用VLAN?在VLAN出现之前，指定的网络上只有一个广播域，称为LAN(局域网)。正如下面的LAN应用拓扑所示，为了与主机B进行通信，主机A将向同一局域网上的所有交换机和其他主机广播其ARP(地址解析协议)请求。

　　然而，当网络受到主机和交换机的轰炸时，很可能会导致广播风暴。因此，主机的CPU和整个网络的带宽将被大量消耗。为了解决这个问题，VLAN出现了。

　　通过配置VLAN，可以将网络划分为不同的广播域。一个网段上的工作站发出的数据包通过网桥或交换机进行转发，网桥或交换机不会转发冲突，而是广播到各个网络设备。这简化了LAN引起的许多潜在复杂情况，包括网络流量过多和冲突。这样，将大大节省网络资源和带宽，提高网络灵活性和性能。

　　VLAN类型

　　通常有五种基本VLAN类型：基于端口的VLAN、基于MAC地址的VLAN、基于IP子网的VLAN、基于协议的VLAN和基于策略的VLAN。

　　基于端口的VLAN

　　基于端口的VLAN，也称为基于接口的VLAN，是一种网络管理员可以为每个交换机端口手动分配VLAN的技术。适合小型网络，无需频繁更改网络基础设施。

　　基于MAC地址的VLAN

　　基于MAC地址的VLAN是指根据帧的源MAC地址来划分VLAN。应用该技术可以大大提高网络的安全性和灵活性。即使用户经常改变物理位置，网络管理员也不需要重新配置VLAN。

　　基于IP子网的VLAN

　　基于IP子网的VLAN可以根据设备的IP子网分配VLAN。对于移动性和简化管理要求较高、安全性要求较低的公网来说，这将是一种有效的解决方案。通过该技术，用户在IP改变后可以自动加入新的VLAN ID。

　　基于协议的VLAN

　　基于协议的VLAN适用于多种协议的网络，可以根据协议类型和帧的封装格式来划分VLAN。

　　基于策略的VLAN

　　基于策略的VLAN可以描述为上述内容的组合。其可以根据MAC地址和IP地址的组合等策略分配VLAN。通过策略组合来实现VLAN间的访问控制，网络的安全性和灵活性将大大增强。

　　VLAN是如何工作的?

　　VLAN内通信

　　VLAN内通信是指同一网段、同一VLAN内的用户之间的通信。此类VLAN一般应用于两种场景：同一设备的VLAN内通信和多个设备的VLAN内通信。无论哪种类型，整个传输过程主要经过以下两个步骤：

　　1、源主机发出的ARP请求：在发送之前，源主机会将自己的IP地址与指定的IP地址进行比较。如果源主机发现其在同一网段，则获取目的主机的MAC地址，并将获得的MAC地址填充到帧的目的字段MAC地址中。反之，则需要将广播包发送到网关。源主机将使用网关的MAC地址作为其目的MAC地址。

　　2、设备间通信时添加和删除VLAN标签：帧在交换机中处理时，需要携带VLAN标签。

　　VLAN间通信

　　由于广播报文被限制在同一VLAN内，不同VLAN内的主机无法直接进行二层通信。因此，可以通过将网络流量从一个VLAN转发到另一个VLAN的VLAN间路由来解决这一问题。可以使用三个选项来启用不同VLAN之间的路由：

　　具有独立物理接口的VLAN间路由

　　这种VLAN间路由方式是将每个VLAN的附加端口与路由器连接。每个VLAN需要路由器上有一个物理端口，这导致路由器的成本很高。因此，这种VLAN间路由由于成本高、扩展性差，已经很少使用。

　　单臂路由器VLAN间路由

　　这种类型的VLAN路由可以通过一个物理接口实现VLAN之间的流量转发。将路由器和交换机之间的连接配置为中继链路后，路由器可以在中继接口上接收来自所连接交换机的带有VLAN标记的帧，并通过同一接口将路由的数据包转发到带有VLAN标记的目的地。

　　使用第三层交换机进行VLAN间路由

　　最后一种方法是使用具有路由功能的第三层交换机。用户需要为每个VLAN创建一个SVI(交换机虚拟接口)并为其配置IP地址。此IP地址可用作计算机的默认网关。这样，来自一个VLAN的报文将被发送到SVI，并路由到其他VLAN，实现VLAN间的通信。

　　VLAN的优点

　　减少广播域的大小

　　通过限制广播域，可以防止VLAN上的终端监听或接收不适合其的广播。而且，如果VLAN之间没有连接路由器，则某个VLAN的终端无法与其他VLAN的终端通信。网络上广播域的限制显着减少了流量。

　　增强网络安全性

　　VLAN创建的虚拟边界只能被路由器跨越。因此，可以使用基于路由器的标准安全措施来限制对VLAN的访问。此外，VLAN还可以通过数据包过滤来增强网络安全性。网络管理员控制每个端口及其允许使用的任何资源，将具有敏感数据的组与网络的其余部分分开，并减少机密信息泄露的机会。

　　易于管理

　　VLAN使网络管理更加容易，因为具有相似网络需求的用户共享相同的VLAN。当有新交换机提供时，可以在交换机的Web管理页面快速添加或更改网络节点。为特定VLAN配置的所有策略和过程都会在分配端口时实施。IT人员还可以通过为其指定适当的名称来轻松识别VLAN的功能。

　　使管理其他设备变得容易

　　VLAN简化了项目和应用管理，并聚合用户和网络设备以支持业务或地理需求。拥有单独的功能可以更轻松地管理项目或使用专用应用，并且可以根据功能而不是位置对设备进行逻辑分组。