當(dāng)前報(bào)道:給我兩分鐘，VLAN 入門(mén)很輕松

2022-12-26 13:15:01|

來(lái)源：作者：

打印

VLAN 為啥會(huì)存在？

VLAN 是啥？

(資料圖)

VLAN 咋用？

這些要想整明白，咱得先弄懂“廣播域”

聰明的你一定明白什么是廣播域啦~

那廣播域和 VLAN 之間到底有著什么關(guān)系呢？

01、為什么要用 VLAN？

根據(jù)上文的對(duì)話，我們知道廣播域內(nèi)所有的用戶(hù)都會(huì)監(jiān)聽(tīng)到廣播包。

假設(shè)一個(gè)公司里邊有很多部門(mén)：技術(shù)部，研發(fā)部，市場(chǎng)部等。

但是各個(gè)部門(mén)中的計(jì)算機(jī)都是部門(mén)內(nèi)打交道較多，跨部門(mén)打交道較少。那么就需要對(duì)不同部門(mén)進(jìn)行隔離，也就是將廣播域變小。

我們用三臺(tái)交換機(jī)代表三個(gè)部門(mén)，形成連接少量計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò)。

假設(shè)這時(shí)，A 需要與 B 通信。

如果沒(méi)有對(duì)不同部門(mén)進(jìn)行隔離會(huì)怎么樣呢？

1.A必須先廣播“ARP 請(qǐng)求信息”，來(lái)嘗試獲取 B的 MAC 地址。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo) MAC 地址才能正常通信。

2.技術(shù)部交換機(jī)收到 A的“ARP 請(qǐng)求信息”后，會(huì)將“ARP 請(qǐng)求信息”轉(zhuǎn)發(fā)給除 A 外的其他所有與其相連的設(shè)備（B和研發(fā)部交換機(jī)）。

3.研發(fā)部交換機(jī)收到廣播后向 C、D和市場(chǎng)部交換機(jī)發(fā)廣播。

4.市場(chǎng)部交換機(jī)收到廣播后向 E和 F發(fā)廣播，最終“ARP 請(qǐng)求信息”會(huì)被轉(zhuǎn)發(fā)至網(wǎng)絡(luò)中的所有計(jì)算機(jī)上。

除 B外的計(jì)算機(jī)，收到信息之后會(huì)直接丟棄。

只有 B進(jìn)行回應(yīng)，將自己的 MAC 地址信息發(fā)送給技術(shù)部交換機(jī)，再由技術(shù)部交換機(jī)發(fā)送給 A。

注意：

這里原本是為了獲得計(jì)算機(jī) B 的 MAC 地址。只要計(jì)算機(jī) B 能收到就萬(wàn)事大吉了。

實(shí)際上卻是數(shù)據(jù)幀傳遍整個(gè)網(wǎng)絡(luò)，所有計(jì)算機(jī)都收到了 ARP 請(qǐng)求信息…

如此一來(lái)，造成如以下不好的后果：

1.網(wǎng)絡(luò)整體帶寬被占用。

2.潛在的信息安全風(fēng)險(xiǎn)。

3.占用 CPU 資源。

因此，VLAN 應(yīng)運(yùn)而生！

02、什么是 VLAN?

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是在 LAN（Local Area Network，局域網(wǎng)）的基礎(chǔ)上發(fā)展而來(lái)。

LAN：是指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組，實(shí)現(xiàn)數(shù)據(jù)傳輸和資源共享的計(jì)算機(jī)網(wǎng)絡(luò)。通過(guò)地理位置劃分，一般是方圓幾千米以?xún)?nèi)。

VLAN：是指局域網(wǎng)從邏輯上劃分成一個(gè)個(gè)更小的局域網(wǎng)，VLAN 之間在數(shù)據(jù)鏈路層上是隔離的，從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。

因此，在上面的例子中，我們需要將計(jì)算機(jī) A 和計(jì)算機(jī) B 劃分到同一個(gè) VLAN 中。

如下圖所示，計(jì)算機(jī) A 和計(jì)算機(jī) B 都劃分到 VLAN1中，和其他計(jì)算機(jī)隔離開(kāi)，那么計(jì)算機(jī) A 發(fā)送廣播也就只有計(jì)算機(jī) B 能接收到啦~

除此以外，跨交換機(jī)劃分 VLAN 也是一樣。

假設(shè)技術(shù)部交換機(jī)和研發(fā)部交換機(jī)在兩個(gè)辦公樓，可以從邏輯上劃分 VLAN，使得位于兩個(gè)樓里的同一部門(mén)的人也能組成相同 VLAN。

好的，接下來(lái)看看，VLAN 是如何實(shí)現(xiàn)的呢？

03、VLAN 如何實(shí)現(xiàn)？

【基于端口劃分 VLAN】

基于端口劃分即根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分 VLAN。

端口與 VLAN 對(duì)應(yīng)關(guān)系如下：

gei-1/1/0/1	VLAN 10
gei-1/1/0/3
gei-1/1/0/2	VLAN 20
gei-1/1/0/4

如此一來(lái)，同一個(gè) VLAN 連接的計(jì)算機(jī)彼此能夠互相通信。

舉個(gè)栗子：

計(jì)算機(jī) 192.168.0.1 和計(jì)算機(jī) 192.168.0.3 能彼此通信。

計(jì)算機(jī) 192.168.0.1 和計(jì)算機(jī) 192.168.0.2 間不能通信。

這就是基于端口劃分 VLAN，也是我們最常用的 VLAN 實(shí)現(xiàn)方法。

基于端口劃分 VLAN 的方法特點(diǎn)如下：

優(yōu)點(diǎn)	定義 VLAN 操作非常簡(jiǎn)單，指定端口就可以了。
缺點(diǎn)	如果 VLAN 10 的用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，就需要重新定義。

【基于 MAC 地址劃分 VLAN】

交換機(jī)根據(jù)報(bào)文的 MAC 地址決定報(bào)文應(yīng)該在哪個(gè) VLAN 中進(jìn)行轉(zhuǎn)發(fā)，因此交換機(jī)需要知道 MAC 和 VLAN 的映射關(guān)系。

MAC 地址與 VLAN 對(duì)應(yīng)關(guān)系如下：

00-00-00-00-00-00-01	VLAN 10
00-00-00-00-00-00-03
00-00-00-00-00-00-02	VLAN 20
00-00-00-00-00-00-04

基于 MAC 地址劃分 VLAN 配置起來(lái)較麻煩，需要記錄所有計(jì)算機(jī) MAC 地址。但是這種劃分方法在用戶(hù)端口變化時(shí)，VLAN 劃分不變。

基于 MAC 地址劃分 VLAN 的方法特點(diǎn)如下：

優(yōu)點(diǎn)

當(dāng)計(jì)算機(jī)連接的交換機(jī)發(fā)生變化時(shí)，不需要重新配置。

缺點(diǎn)

所有計(jì)算機(jī)都必須劃分 VLAN，如果計(jì)算機(jī)數(shù)多，工作量將會(huì)特別大。

無(wú)法限制廣播域而導(dǎo)致交換機(jī)執(zhí)行效率降低。

筆記本電腦的用戶(hù)，當(dāng)更換網(wǎng)卡時(shí)，需要重新配置。

【基于網(wǎng)絡(luò)層劃分 VLAN】

基于網(wǎng)絡(luò)層劃分 VLAN 即根據(jù)每個(gè)計(jì)算機(jī)的網(wǎng)絡(luò)層地址或者協(xié)議地址（如果支持多協(xié)議）劃分 VLAN。

網(wǎng)絡(luò)協(xié)議與 VLAN 對(duì)應(yīng)關(guān)系如下：

192.168.0.1	ICMP 協(xié)議	VLAN 10
192.168.0.3
192.168.0.2	IP 協(xié)議	VLAN 20
192.168.0.4

ICMP 協(xié)議：Internet Control Message Protocol，Internet 控制報(bào)文協(xié)議。

基于網(wǎng)絡(luò)層劃分 VLAN 的方法特點(diǎn)如下：

優(yōu)點(diǎn)	物理位置改變不需要重新配置 VLAN，是根據(jù)協(xié)議類(lèi)型來(lái)劃分 VLAN。
缺點(diǎn)	效率低，需要消耗時(shí)間檢查每個(gè)網(wǎng)絡(luò)層地址。

【基于子網(wǎng)地址劃分 VLAN】

基于子網(wǎng)地址劃分 VLAN 即一個(gè)網(wǎng)段就是一個(gè) VLAN。

圖中交換機(jī)下有的計(jì)算機(jī)屬于 1.0 網(wǎng)段，有的計(jì)算機(jī)屬于 2.0 網(wǎng)段，那么通過(guò)配置可以把不同網(wǎng)段的用戶(hù)劃分到不同 VLAN。

子網(wǎng)地址與 VLAN 對(duì)應(yīng)關(guān)系如下：

192.168.1.1	VLAN 10
192.168.1.2
192.168.1.3
192.168.2.1	VLAN 20
192.168.2.2
192.168.2.3

基于子網(wǎng)地址劃分 VLAN 的方法特點(diǎn)如下：

優(yōu)點(diǎn)	有更大靈活性，容易通過(guò)路由器進(jìn)行擴(kuò)展。
缺點(diǎn)	不適合局域網(wǎng)，效率不高。