VLAN的作用

VLAN（Virtual Local Area Network），中文名为“虚拟局域网”，是在物理网络上划分出来的逻辑网络。划分VLAN可以实现广播域的隔离，具有增强局域网安全性、节约带宽、简化网络管理等优势

发布时间：2022-10-28
点击量：
点赞：

分享至

我想评论

1 背景

在VLAN（Virtual Local Area Network，虚拟局域网）技术出现之前，二层交换设备无法隔离广播域。所谓广播域，是指网络中所有能接收到同样广播消息的设备集合，同一广播域内的终端都能收到广播报文。当二层交换设备收到一个目的地址未知的帧时，会向源接口以外的所有接口广播此帧，交换设备的所有接口连接的节点属于一个广播域。假如不对广播域进行适当分割，可能会导致两个问题：

● 当网络规模变大，接入的设备增多，广播报文就会越来越多，从而浪费带宽。

● 由于报文在局域网内广播，广播域内的每台终端都可以收到整个局域网内的报文，通过报文捕获可以截取这些报文，获得报文内容信息，影响信息安全。

VLAN技术通过将物理局域网划分成多个逻辑局域网的方式隔离广播域，解决上述问题。

2 VLAN概述

VLAN是在物理网络上划分出来的逻辑网络。每个VLAN具备独立的广播域，二层的单播、多播和广播帧只在一个VLAN内转发和扩散，而不会直接进入其它VLAN中。VLAN间的通信需要通过三层设备或三层接口实现。

3 VLAN的作用

通过背景可知，在未划分VLAN之前，二层交换设备的所有接口在同一个广播域中，会导致带宽浪费和信息泄露等问题。VLAN技术通过将不同的接口加入不同的VLAN，并为每个VLAN添加Tag标识，可以将一个物理局域网划分为多个虚拟局域网。对比图4-1和图4-2，802.1Q帧比传统以太网数据帧多了4字节的Tag标识。在Tag中有一个VID（VLAN ID）字段，用于表示用户所属的VLAN。具有相同VID标识的用户属于同一个VLAN，可以直接进行二层通信，数据帧可以在VLAN内转发和扩散，而不同VID标识的VLAN不能直接进行二层通信，实现了广播域的隔离。

图3-1 传统以太网数据帧格式

图3-2 802.1Q帧格式

VLAN带来的优势如下：

● 增强了局域网的安全性。不同VLAN的用户之间不能通过二层报文进行通信，需要通过三层设备或三层接口实现三层通信。因此，利用VLAN可以将含有敏感数据的用户组与其余网络用户隔离，从而降低泄露信息的可能性。

● 成本降低。随着接入的终端越来越多，广播数据占用网络带宽带来的影响愈加明显，为了提高通信性能，需要升级网络带宽等。划分VLAN可以隔离广播域，其他广播域的报文不会出现在本广播域内，因此节约了带宽，带宽利用率更高，网络升级需求减少，节约了成本。

● 提高网络设计灵活性，简化网络管理。借助VLAN技术可以根据实际需求将不同的主机划分到不同的工作组，同一工作组的主机可以位于不同的物理位置，网络构建、管理和维护更加方便灵活。

4 VLAN应用场景

在图4-1场景中，假设某公司大楼的六层和七层均有技术部和财务部的办公室。由于拓扑中不存在路由器，设备也未配置VLAN，所有设备均处在同一广播域中，级联的二层交换机组成一个巨大的广播域。此时，所有用户间均可以直接进行二层通信，不同部门的用户可以互相访问，可能造成敏感信息被窃取等安全问题。此外，由于交换机从所有接口泛洪广播包，广播数据在广播域中泛洪，占用网络带宽，降低设备性能。随着内部网络主机数目增多，带宽浪费和安全等问题愈发明显。为了信息安全，提高通信的性能，现在要求部门内的设备之间可以互相访问，但部门之间相互二层隔离。

图4-1 未划分VLAN

为实现以上需求，可以利用VLAN划分网络，如图4-2所示。将六层和七层的技术部都划分在VLAN20，将财务部都划分在VLAN30中。划分VLAN后，同一部门内的用户可以直接互相通信，部门间不能直接进行二层通信，加强了安全性；每个部门是一个广播域，二层广播风暴不会蔓延到其他广播域，节约了网络带宽。同时，可以将六层和七层相同部门划分在一起管理，终端物理位置不受限，网络构建和维护更方便灵活。

图4-2 划分VLAN