VLAN 教程

1. 什麼是VLANVLAN

（Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，採用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處於不同地理位置的網絡用戶加入到一個邏輯子網中。

2.直觀地描述VLAN

如果要更為直觀地描述VLAN的話，我們可以把它理解為將一台交換機在邏輯上分割成了數台交換機。在一台交換機上生成紅、藍兩個VLAN，也可以看作是將一台交換機換做一紅一藍兩台虛擬的交換機。

在紅、藍兩個VLAN之外生成新的VLAN時，可以想像成又添加了新的交換機。

但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設置VLAN後，如果未做其他處理，VLAN間是無法通信的。

明明接在同一台交換機上，但卻偏偏無法通信——這個事實也許讓人難以接受。但它既是VLAN方便易用的特徵，又是使VLAN令人難以理解的原因。

3.組建VLAN的條件

VLAN是建立在物理網絡基礎上的一種邏輯子網，因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可採用路由器，也可採用三層交換機來完成（這個更難理解， 你可以先記住）

4.劃分VLAN的基本策略

從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法：

a、基於端口的VLAN劃分

這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。

b、基於MAC地址的VLAN劃分

MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一且固化在網卡上的。 MAC地址由12位16進制數表示，前8位為廠商標識，後4位為網卡標識。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。

c、基於路由的VLAN劃分

路由協議工作在網絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位於多個VLAN中。

就目前來說，對於VLAN的劃分主要採取上述第1、3種方式，第2種方式為輔助性的方案。

5.使用VLAN優點

使用VLAN具有以下優點：

5.1、控制廣播風暴

一個VLAN就是一個邏輯廣播域，通過對VLAN的創建，隔離了廣播，縮小了廣播範圍，可以控制廣播風暴的產生。

5.2、提高網絡整體安全性

通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網絡的整體性能和安全性。

5.3、網絡管理簡單、直觀

對於交換式以太網，如果對某些用戶重新進行網段分配，需要網絡管理員對網絡系統的物理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。而對於採用VLAN技術的網絡來說，一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用。在一個交換網絡中，VLAN提供了網段和機構的彈性組合機制。

6.VLAN的物理存在形式（在交換機上的端口模式）

交換機的端口，可以分為以下兩種：

(1)訪問鏈接(Access Link) 通常我們叫access口，直接連主機，或者下面連普通交換機，連一組主機

(2)匯聚鏈接(Trunk Link) 通常我們的叫trunk口，用於互聯兩個交換機，可以傳遞多個VLAN，不管多少個VLAN傳遞，只需要一根網線。

擴展知識

三層交換技術

傳統的路由器在網絡中有路由轉發、防火牆、隔離廣播等作用，而在一個劃分了VLAN以後的網絡中，邏輯上劃分的不同網段之間通信仍然要通過路由器轉發。由於在局域網上，不同VLAN之間的通信數據量是很大的，這樣，如果路由器要對每一個數據包都路由一次，隨著網絡上數據量的不斷增大，路由器將不堪重負，路由器將成為整個網絡運行的瓶頸。

在這種情況下，出現了第三層交換技術，它是將路由技術與交換技術合二為一的技術。三層交換機在對第一個數據流進行路由後，會產生一個MAC地址與IP地址的映射表，當同樣的數據流再次通過時，將根據此表直接從二層通過而不是再次路由，從而消除了路由器進行路由選擇而造成網絡的延遲，提高了數據包轉發的效率，消除了路由器可能產生的網絡瓶頸問題。可見，三層交換機集路由與交換於一身，在交換機內部實現了路由，提高了網絡的整體性能。

在以三層交換機為核心的千兆網絡中，為保證不同職能部門管理的方便性和安全性以及整個網絡運行的穩定性，可採用VLAN技術進行虛擬網絡劃分。 VLAN子網隔離了廣播風暴，對一些重要部門實施了安全保護；且當某一部門物理位置發生變化時，只需對交換機進行設置，就可以實現網絡的重組，非常方便、快捷，同時節約了成本。