VLAN (虚拟局域网)2025年03月17日 | 阅读 9 分钟 什么是VLAN(虚拟局域网)?虚拟局域网(VLAN)是一种逻辑覆盖网络,用于隔离共享物理局域网的单个设备组的流量。  局域网(LAN)是位于同一区域(例如同一栋建筑或园区)并共享通用物理网络的计算机或其他设备的集合。局域网(LAN)通常与以太网(第2层)广播域相关联,该域涵盖了以太网广播数据包可能到达的网络设备范围。 LAN上的计算机通过交换机直接连接,或者通过也连接到该交换机的无线接入点(AP)连接。此外,计算机还可以连接到一组互连的交换机中的任何一个,例如连接到骨干交换机的接入交换机组。即使所有内容都位于同一栋建筑或楼层,一旦流量经过路由器并参与第3层(与IP相关)操作,就不再被视为同一LAN。因此,一个站点可能有多个互连的LAN。 与它所在的LAN类似,VLAN在网络的数据链路层(第2层)或以太网级别运行。通过将单个交换网络划分为一组覆盖的虚拟网络,VLAN可以满足各种功能和安全需求。通过分区,无需为每种用例设置单独的物理网络。 VLAN的目的网络工程师出于多种目的使用VLAN,例如:
 VLAN可以减少特定端点看到的和处理的流量量,从而提高其上设备的性能。通过分割广播域,VLAN可以减少单个设备可能接收广播的主机总数。例如,如果所有台式VoIP电话连接到一个VLAN,所有工作站连接到另一个VLAN,那么电话将不会接收到任何工作站生成的广播流量。每个都可以将网络流量限制为仅与自身相关的内容。 工程师可以为每个VLAN定义不同的流量处理规则。为了确保电话会议设备的功能,他们可以实施规则,优先处理连接会议室设备的VLAN上的视频流量。 提高安全性
简化管理
VLAN类型VLAN可以是基于使用(通常称为动态)或基于端口(有时称为静态)的。 1. 静态或基于端口的VLAN通过将网络交换机的端口分配给VLAN,网络工程师可以创建基于端口的VLAN。每个端口仅属于一个VLAN,并且它们只能在指定的VLAN上通信。尽管基于端口的VLAN有时被称为静态VLAN,但重要的是要记住,它们并非真正静态,因为分配给端口的VLAN可以随时进行修改,无论是手动还是由网络自动修改。  2. 动态或基于使用情况的VLAN通过根据流量类型或生成流量的设备动态地将流量分配给VLAN,网络工程师可以创建基于使用情况的VLAN。根据所使用的网络协议或连接的设备的标识(通过安全证书显示),一个端口可能被分配给一个VLAN。一个端口可以连接到多个动态VLAN。分配给端口的VLAN可能会根据连接到它的设备,甚至设备当前的使用方式而有所不同。 VLAN的应用某些VLAN有简单的目标,例如分离打印机访问。管理员可以配置它们,以便VLAN内的计算机可以查看该VLAN上的打印机,但不能查看VLAN外的打印机。 其他VLAN具有更复杂的用途。例如,零售银行部门的计算机无法直接与交易部门的计算机通信。网络工程师可以通过为每个部门设置不同的VLAN来强制执行这种细分。 VLAN如何工作?在网络交换机上,VLAN可以通过其VLAN ID进行标识。交换机的端口可以分配一个或多个VLAN ID;如果未设置,则端口将默认为默认VLAN。每个VLAN为连接到已设置了其唯一VLAN ID的交换机端口的所有主机提供数据链路连接。  发送到特定VLAN的每个以太网帧的头部数据中都有一个12位字段。 VLAN标签,相当于VLAN ID。由于标签由12位组成,因此每个交换域最多可以创建4,096个VLAN。IEEE在802.1Q标准中定义了VLAN标记。 当从连接的主机接收到以太网传输时,它没有VLAN标签。交换机会添加VLAN标签。在静态VLAN中,交换机插入与入口端口的VLAN ID关联的标签。在动态VLAN中,它会插入与该设备ID或其生成的流量类型相关联的标签。 在转发标记的数据包到其目标介质访问控制地址时,交换机仅转发到连接到该VLAN的端口。被归类为广播、未知单播和多播的流量将被路由到VLAN内的所有端口。干道连接允许接受和转发干道两侧使用的任何VLAN的任何流量,并且它们知道哪些VLAN跨越了交换机。在帧到达其目标交换机端口后,在将其发送到目标设备之前,会从帧中删除VLAN标签。 每个第2层域的交换机使用生成树协议(STP)配置成无环拓扑。为每个VLAN使用STP实例允许使用不同的第2层拓扑。如果多个VLAN的拓扑相同,也可以使用多实例STP来降低STP的开销。 VLAN的缺点VLAN提供了更好的性能、更易于管理、更高的安全性和对广播流量的控制。但是,它们也有一些缺点。  1. 每个交换域的VLAN数量限制为4,096个 在现代数据中心或云架构中,VLAN的一个缺点是每个交换域有4,096个VLAN的限制。单个网络段可能托管数万甚至数十万台系统以及数百个甚至数千个不同的租户组织,每个租户可能需要数十个甚至数百个VLAN。 已经开发了其他协议,例如通用网络虚拟化封装(GNVE)、虚拟可扩展LAN(VXLAN)和使用通用路由封装的网络虚拟化(NVGRE)。它们通过将第2层帧封装在第3层数据包中并使用更大的标签来实现这一点,从而允许创建更多的VLAN。 2. 管理生成树结构 另一个缺点是,当存在大量大型VLAN时,网络可能难以维护为避免流量环路所需的生成树结构。解决此问题的最简单方法是从网络中删除不必要的连接。不幸的是,这使得网络在冗余链路被消除的位置容易出现单点故障。 3. 通过AP和墙壁插孔检测VLAN VLAN的另一个问题是,可能难以确保可以轻松地识别AP或墙壁插孔连接到哪个VLAN。这使得最终用户和现场服务支持人员更难将新设备连接到网络。 糟糕的规划导致整个VLAN设计过于复杂、脆弱且难以维护,当需求和底层网络设备发生变化时。此缺点并非VLAN独有,但仍然影响VLAN。 如何在企业网络上配置VLAN?虚拟局域网(VLAN)用于分割网络电缆上的流量并对其进行优先级排序。它们设计了离散的子网,允许特定设备协同工作,即使它们在物理上未连接到同一个局域网。 企业使用VLAN来分割和控制流量。例如,一家公司可能为来自工程部门和会计部门的数据流量指定不同的VLAN,以将它们隔离开。即使两个或多个应用程序在同一台服务器上运行,但具有不同的需求,它们也可以共享连接。一个性能需求较低的应用程序可以与一个具有严格吞吐量和延迟要求的应用程序共享连接,例如语音或视频应用程序。 配置VLAN尽管设置VLAN可能很复杂且耗时,但企业网络可以从VLAN中获得巨大的好处,包括提高安全性。以下是配置VLAN的过程。  1. 首先配置VLAN 承载VLAN的所有交换机都必须相应地进行配置。每当对网络配置进行更改时,团队都必须仔细更新交换机设置、更换交换机或添加额外的VLAN。 2. 建立访问控制列表 VLAN受ACL(访问控制列表)的约束,ACL控制允许连接到网络的每个用户的访问。特别是,VLAN ACL(VACL)在VLAN穿过交换机的所有点以及数据包进出VLAN的点控制对VLAN的访问。网络团队在创建VACL时应非常小心,因为设置过程可能很复杂。如果在VACL的配置或修改过程中出现错误,可能会危及网络安全。 3. 使用命令行界面访问数据库 每个操作系统和交换机制造商都提供一组CLI命令,以便在其产品上设置和修改VLAN。某些管理员会创建包含这些命令的文件,然后修改这些文件以根据需要更改设置。单个错误可能会导致一个或多个应用程序出现故障。 4. 考虑管理账户包 第三方和设备提供商提供管理软件包,这些软件包可以简化和自动化任务,从而降低出错的可能性。在出现问题的情况下,这些程序可以快速重新安装最近有效的配置,因为它们通常会保留每组配置参数的详细记录。 通过标记识别VLANIEEE 802.1Q标准定义了识别VLAN的方法。 以太网数据包以目标和源介质访问控制地址开头,然后包含32位的VLAN标识字段。 标签过程的识别
标签控制信息
PCP字段指定了使用VLAN的应用程序所期望的服务质量。IEEE 802.1p标准定义了以下级别:
基于以太网的VLAN借助专为基于以太网的设置设计的VLAN感知接入点(AP),VLAN可以扩展到Wi-Fi网络。这些AP利用与每个VLAN关联的子网地址来有效地细分传入的有线流量。因此,只有与指定子网相关的数据才会到达终端节点。 然而,与有线设置相比,在无线连接上强制执行安全措施存在挑战。在某些情况下,会使用具有唯一密码的单独的访客网络或服务集标识符(SSID)来解决此问题。尽管存在这些挑战,VLAN最初是为了简化广播管理和流量优先级而设计的。随着网络的规模和复杂性的增加,VLAN在优化网络性能和管理方面继续发挥其价值。 下一话题无线网状网络(WMN) |
我们请求您订阅我们的新闻通讯以获取最新更新。
我们提供所有技术(如 Java 教程、Android、Java 框架)的教程和面试问题
G-13, 2nd Floor, Sec-3, Noida, UP, 201301, India
Python
Java
JavaScript
SQL
C
C++
HTML
CSS
React
Node.js
Spring Boot
C#
PHP
MySQL
MongoDB
AI
ML
DSA
DBMS
OS
Aptitude
Reasoning