VLAN(Virtual Local Area Network)是一種虛擬局域網(wǎng),可以將一個物理網(wǎng)絡(luò)劃分為多個邏輯上互相隔離的子網(wǎng),在這些子網(wǎng)上可以有不同的網(wǎng)絡(luò)設(shè)備,并能控制彼此之間的通信。
1.什么是VLAN
VLAN是一種邏輯上的網(wǎng)絡(luò)劃分方法,它利用交換機(jī)或路由器等網(wǎng)絡(luò)設(shè)備根據(jù)網(wǎng)絡(luò)層次進(jìn)行分組,使得位于同一VLAN內(nèi)的計算機(jī)和設(shè)備可以像在同一個網(wǎng)絡(luò)中一樣互相通信,而位于不同VLAN的設(shè)備則不能直接通信,需要經(jīng)過路由器或三層交換機(jī)的轉(zhuǎn)發(fā)。通過劃分VLAN可以實現(xiàn)網(wǎng)絡(luò)流量管理、提高網(wǎng)絡(luò)安全性以及更精細(xì)化地控制網(wǎng)絡(luò)訪問權(quán)限等。
2.VLAN的作用:
利用VLAN技術(shù)可以實現(xiàn)以下功能:
· 網(wǎng)絡(luò)流量隔離:通過將物理網(wǎng)絡(luò)劃分成不同的VLAN,在不同的VLAN之間設(shè)置ACL訪問控制列表,可達(dá)到有效控制和限制每個VLAN間數(shù)據(jù)的流向,并節(jié)省帶寬的目的。
· 提高網(wǎng)絡(luò)安全性:通過VLAN劃分可以抑制廣播風(fēng)暴、減少不必要的廣播,IP地址綁定MAC地址等安全機(jī)制保證網(wǎng)絡(luò)設(shè)備不被攻擊。
· 網(wǎng)絡(luò)管理方便:VLAN的劃分并不取決于地理位置,可以實現(xiàn)更靈活快速的端口管理,增加和刪除設(shè)備方便,同時可以對每個VLAN進(jìn)行更靈活精確的配置。
3.VLAN劃分方法及配置:
VLAN的劃分方法主要有以下幾種:
· 端口方式(Port-based VLANs):將物理交換機(jī)中的不同端口劃分到不同的VLAN,根據(jù)端口專用標(biāo)記對數(shù)據(jù)包進(jìn)行過濾。
· MAC地址方式(MAC-based VLANs):以MAC地址為依據(jù)將計算機(jī)設(shè)置為某一VLAN,只要計算機(jī)連接到物理交換機(jī)之后,就會進(jìn)入所對應(yīng)的VLAN中。
· 802.1Q方式(802.1q VLANs):是基于IEEE 802.1Q標(biāo)準(zhǔn)的VLAN劃分方法,用于在多個VLAN之間傳遞數(shù)據(jù)。數(shù)據(jù)幀中添加802.1Q VLAN 標(biāo)簽,并建立VLAN ID 與端口號之間一一對應(yīng)的映射表。
VLAN的配置主要包括兩個步驟:VLAN的創(chuàng)建和VLAN的端口配置。VLAN的創(chuàng)建是指在交換機(jī)中新建一個VLAN,如設(shè)置VLAN ID和VLAN名等基本信息。VLAN的端口配置是指將交換機(jī)物理端口與某一特定的VLAN綁定,并轉(zhuǎn)發(fā)該VLAN下一切數(shù)據(jù)幀。這兩步一般通過交換機(jī)的Web界面、Telnet或Console接口來完成。