VLAN 简单解释 | AI生成和翻译
什么是 VLAN (虚拟局域网)?
VLAN 是一种技术,它允许你在同一个物理网络交换机上创建多个独立的 LAN(广播域),而无需单独的交换机或电缆。
可以这样理解:
通常,连接到同一个交换机的所有设备都在同一个网络上,可以自由通信(同一个广播域)。
通过 VLAN,你可以在逻辑上将一个物理交换机分成许多隔离的网络——即使设备连接到同一个交换机。
为什么使用 VLAN?(主要优点)
| 优点 | 解释 |
|---|---|
| 安全性 | 除非你通过路由器/防火墙明确允许,否则不同 VLAN 中的设备不能直接通信(即使在同一个交换机上)。 |
| 广播控制 | 减少不必要的流量——VLAN 10 中的广播不会到达 VLAN 20。 |
| 组织管理 | 按部门、功能或敏感度对设备进行分组(例如,HR、访客、IoT、服务器、语音)。 |
| 灵活性 | 将用户移动到新办公桌?只需更改交换机端口的 VLAN——无需重新布线。 |
| 成本节约 | 一个大型交换机取代多个小型交换机。 |
VLAN 的实际工作原理
支持 VLAN 的交换机(几乎所有托管交换机)会在以太网帧中添加一个 VLAN 标签(通常是 802.1Q 标签)。
- 交换机上的每个端口都可以配置为:
- Access port → 属于一个且仅一个 VLAN(通常用于 PC、打印机、IP 电话等终端设备)。
- Trunk port → 承载多个 VLAN 的流量(用于连接交换机或连接到路由器)。Trunk port 会添加/移除 4 字节的 802.1Q 标签。
该标签包含一个 VLAN ID (VID),通常为 1–4094。
示例:
VLAN 10 → 员工
VLAN 20 → 访客 (仅限互联网)
VLAN 30 → VoIP 电话
VLAN 99 → 管理
即使访客的笔记本电脑和员工的笔记本电脑都插入到同一个 48 端口交换机中,它们也在完全不同的网络中,除非你在它们之间进行路由,否则它们无法相互看到。
常见 VLAN 类型 / 标记方法
| 类型 | 描述 |
|---|---|
| Port-based VLANs | 最简单——将每个交换机端口分配给一个 VLAN(最常见)。 |
| MAC-based VLANs | 设备的 MAC 地址决定其 VLAN(罕见,在某些 BYOD 场景中使用)。 |
| Protocol-based | 基于第 3 层协议的旧方法(现在几乎不用)。 |
| Tagged (802.1Q) | 帧带有 VLAN 标签——在 trunk 链路上必需。 |
| Untagged | 普通以太网帧——在 access port 上使用(交换机添加/移除标签)。 |
实际示例
一个典型中小型企业交换机设置:
楼层交换机端口:
端口 1–20 → VLAN 10 (员工) – untagged
端口 21–30 → VLAN 20 (访客) – untagged
端口 31–40 → VLAN 30 (VoIP) – untagged
端口 48 → 到路由器/防火墙的 Trunk (承载 VLAN 10,20,30 tagged)
路由器/防火墙具有子接口(例如,GigabitEthernet0/0.10, .20, .30)并应用不同的策略:
- VLAN 10 → 完全内部访问
- VLAN 20 → 仅限互联网,无内部访问
- VLAN 30 → 语音 QoS 优先级
重要提示
- VLAN 1 是大多数交换机上的默认 VLAN——避免将其用于实际流量。
- 不同 VLAN 中的设备需要第 3 层设备(路由器或第 3 层交换机)才能通信。
- “Inter-VLAN routing”可以在同一设备上(router-on-a-stick)或在第 3 层交换机上进行,以获得更好的性能。
简而言之:VLAN = 在同一物理基础设施上对网络进行逻辑分离,以实现安全性、性能和简易性。它们几乎是每个现代企业网络的基本组成部分。