[数通网络基础]——VLAN——提高网络性能、安全性和灵活性的利器

牛逼的路上跑了一半

已于 2024-07-30 15:09:05 修改

阅读量2.4k

点赞数

分类专栏：计算机网络经验分享文章标签：网络运维网络协议 tcp/ip 信息与通信

于 2023-06-05 15:19:20 首次发布

本文链接：https://blog.csdn.net/nbdlsplyb/article/details/131048306

版权

计算机网络同时被 2 个专栏收录

18 篇文章

订阅专栏

经验分享

5 篇文章

订阅专栏

VLAN技术原理及优缺点

前言
总结

前言

VLAN是Virtual Local Area Network的缩写，它是一种通过网络交换机虚拟划分局域网的技术。VLAN可以将一个物理局域网划分成多个逻辑上的虚拟局域网，各个虚拟局域网之间相互独立，彼此隔离，进而提高网络性能、灵活性和安全性。本文将为大家介绍VLAN的工作原理、优点及应用场景。

一、VLAN的工作原理

VLAN的工作原理是利用交换机的端口进行逻辑划分，将同一网段中不同的网络设备划分到不同的 VLAN。每个 VLAN 通过交换机端口之间的虚拟链路进行通信，不同 VLAN 之间的通信需要通过路由器进行实现。

例如，我们可以将一个企业的网络划分为不同的VLAN，其中财务部门的主机属于VLAN 10，销售部门的主机属于VLAN 20。这样，不同部门的主机相互隔离，互相之间不能访问，从而提高了安全性。同时，VLAN可以限制广播域和减少广播量，降低了冲突域，减少网络拥塞，提高了网络性能。

交换机只能分割冲突域，但是不能分割广播域
VLAN的作用就是分割广播域

二、VLAN的优缺点

优点：

安全性强
在VLAN中，不同的网络设备可以被划分为不同的网络域，从而增强了安全性。被授权的设备可以访问相应的VLAN，而未授权的设备无法访问。此外，VLAN还可以提供更好的隔离性，限制网络攻击影响到其他设备。
管理灵活
通过VLAN，网络管理员可以根据需要进行分组和调整，随着网络规模和业务需求的变化，可以根据情况进行动态调整。这些组可以按需设置，而无需考虑实际的物理位置或网络拓扑结构，这让管理网络变得更加容易。
节省成本
使用VLAN可以减少硬件设备的数量和维护成本。VLAN不需要单独的物理设备，而是使用现有的网络设备来实现逻辑分割，进行网络资源优化和网络设备的多重用途，提高了资源的利用率。
优化网络性能
通过VLAN，网络管理员可以通过优化网络流量，将网络分割成更小的广播域和冲突域，从而提高网络性能和带宽利用率。

缺点：

管理复杂性
VLAN需要进行复杂的设置和管理。网络管理员必须精确地配置VLAN，以确保正确地分割广播域、正确地引导数据流量、保持跨网络的通信并确保安全性。这需要专业技能、时间和耗费精力。
安全风险
如果VLAN配置不当，则会引起安全隐患。例如，未授权的设备可能会接入到VLAN中，从而导致网络安全泄漏。
数据包延迟
使用VLAN会增加数据包的处理时间，从而增加延迟。这是由于每个数据包必须经过交换机上的额外处理，这一处理会占用计算力和带宽，从而导致略微的延迟。

综上所述，VLAN技术具有优秀的安全性和管理灵活性等优点，可以有效地优化网络性能和节省成本。但要注意的是，在VLAN的配置和管理方面可能存在一些复杂性和安全风险。

三、VLAN的应用场景

VLAN可以应用于各种复杂的网络环境中，以下是几个典型的应用场景：

隔离不同部门或团队
可以将不同部门或团队的主机放到不同的 VLAN 中，达到网络隔离和安全管理的目的。
划分不同业务用途
可以将不同业务用途的主机放到不同的 VLAN 中，例如 VoIP 服务、视频服务、数据服务等。
针对不同的网络位置及安全级别的设备，进行不同的 VLAN 划分。
例如，对于公共 Wi-Fi 网络，可以划分为访客 VLAN 和管理员 VLAN，保证客人的隔离和安全。
组成虚拟网段（VLAN Trunk）
对于多个交换机之间进行互联时，可以通过 VLAN Trunk 形成虚拟网段，实现 VLAN 之间的数据传输。

四、如何区分不同的VLAN数据

要使交换机能够区分不同VLAN的数据报文，需要在报文中添加标识VLAN信息的字段
IEEE 802.1Q协议规定：在以太网数据帧的源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用以标识VLAN信息。
VLAN数据帧：目的地址+源地址+【Vlan-Tag】+类型+数据+帧校验序列

Vlan-Tag : 共4个字节，分为4个字段，只需要记住最后一个字段 VID即可
VID：可以理解为VLAN编号，是vlan-tag中的第四个字段，大小12个bit
2的12次方是4096 ，所以可以创建（0~4095）个vlan,但是0和4095 是被保留了，所以一个交换机中可以创建的vlan编号范围是 1 ~ 4094

在一个VLAN交换网络中，以太网帧分类

有标记帧（Tagged帧）：加入了4字节VLAN标签的帧
目的地址+源地址+【Vlan-Tag】+类型+数据+帧校验序列
无标记帧（Untagged帧）：原始的、没有加入4字节VLAN标签的帧
目的地址+源地址+类型+数据+帧校验序列

常用设备中：
用户主机、服务器只能收发Untagged帧。
交换机、路由器既能收发Tagged帧，也能收发Untagged帧。

五、VLAN接口的三种模式

1、Access接口模式

工作场景：通常用于交换机连接终端设备（主机、服务器）。
特点：

同时只能属于一个vlan，同一时间只能允许一个vlan数据流通过
公有的协议，任何厂商的交换机都支持此模式
接收数据帧时，若该帧不带VLAN标签，用接口PVID的数值作为标签，给数据帧打标签
接收数据帧时，若该帧带VLAN标签，判断VLAN标签和本接口的PVID是否一致，一致则接收数据，不一致则丢弃数据
发送数据帧时，一律剥离VLAN标签

2、Trunk接口模式

工作场景：通常用于交换机与交换机、路由器互联。
特点：

同时可以属于多个vlan ，可以同时允许多个vlan数据流通过
公有的协议，任何厂商的交换机都支持此模式
接收数据帧时，若该帧不带VLAN标签，用接口PVID的数值作为标签，给数据帧打标签，然后判断是否允许这个vlan标签通过，如果允许，则接收数据，如果不允许则丢弃数据
接收数据帧时，若该帧带VLAN标签，判断是否允许这个vlan标签通过，如果允许则接收数据，如果不允许则丢弃数据
trunk 发送数据帧时，一般不剥离vlan标签，通常都是携带vlan标签通过
例外：当数据帧的vlan标签和这个trunk接口的pvid相同时，会剥离vlan标签

3、Hybrid接口模式

工作场景：可以用于交换机连接终端，也可以用于交换机连接交换机
特点

接收数据帧的时候
- 打VLAN标签（打上接口的PVID值作为VLAN标签），然后判断接口是否允许该VLAN标签通过，允许通过则接收该数据帧，不允许通过则丢弃数据帧
- 接收有标记帧的时候，查看是否允许通过，允许通过就接收数据帧，不允许通过就丢弃数据帧
发送的数据帧的时候：可以灵活控制是否要剥离VLAN标签

总结

总之，VLAN是一种通过交换机虚拟划分局域网的技术，在提高网络性能、网络安全性和网络灵活性方面具有很多优点。VLAN最大的益处是可以隔离网络流量，从而提高网络安全性，同时通过限制广播域，减少广播量，降低冲突域，提高了网络的性能。除此之外，VLAN还可以根据业务需求和网络规模的变化，进行动态调整和管理，提高了网络设备的资源利用率。在复杂的网络环境中，VLAN是一种非常有用的网络配置和管理工具。