一、VLAN 基礎(chǔ)

1. VLAN 的概念

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），是一種邏輯上的子網(wǎng)劃分技術(shù)，可以在同一個(gè)物理交換機(jī)上創(chuàng)建多個(gè)虛擬的局域網(wǎng)。不同 VLAN 之間默認(rèn)不能直接通信，從而提升安全性和管理效率。

簡(jiǎn)單來(lái)說(shuō)，VLAN 就像是在同一棟大樓里用“隱形的墻”把不同部門的設(shè)備隔開(kāi)，它們只能在各自的 VLAN 內(nèi)通信，除非通過(guò)特殊配置才能訪問(wèn)其他 VLAN。

2. VLAN 的工作原理

VLAN 主要通過(guò)交換機(jī)的端口劃分來(lái)實(shí)現(xiàn)，常見(jiàn)的 VLAN 類型有：

• 基于端口的 VLAN（Port-based VLAN）：按端口劃分 VLAN，例如 1-5 號(hào)端口屬于 VLAN 10，6-10 號(hào)端口屬于 VLAN 20。
• 基于 MAC 地址的 VLAN（MAC-based VLAN）：設(shè)備的 MAC 地址決定 VLAN 歸屬，即使更換交換機(jī)端口，仍然屬于原來(lái)的 VLAN。
• 基于協(xié)議的 VLAN（Protocol-based VLAN）：根據(jù)數(shù)據(jù)包協(xié)議類型劃分 VLAN，比如 IPv4 和 IPv6 分別屬于不同 VLAN。
• 基于子網(wǎng)的 VLAN（Subnet-based VLAN）：按照 IP 地址段劃分 VLAN，例如 192.168.1.0/24 屬于 VLAN 100，192.168.2.0/24 屬于 VLAN 200。

二、VLAN 如何提升網(wǎng)絡(luò)安全與效率

1. 提高網(wǎng)絡(luò)安全性

(1) 隔離不同部門或用戶組

例如，公司財(cái)務(wù)部、研發(fā)部、市場(chǎng)部分別屬于不同 VLAN，它們默認(rèn)不能互相訪問(wèn)，防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)。

(2) 防止廣播風(fēng)暴（Broadcast Storm）

在普通局域網(wǎng)中，廣播數(shù)據(jù)會(huì)擴(kuò)散到整個(gè)網(wǎng)絡(luò)，而 VLAN 限制了廣播域的范圍，從而減少?gòu)V播風(fēng)暴，提高網(wǎng)絡(luò)穩(wěn)定性。

(3) 減少 ARP 欺騙攻擊

VLAN 之間默認(rèn)隔離，黑客難以在不同 VLAN 間發(fā)送偽造的 ARP 包，從而降低局域網(wǎng)被攻擊的風(fēng)險(xiǎn)。

2. 提高網(wǎng)絡(luò)效率

• 減少無(wú)關(guān)數(shù)據(jù)流量：例如，市場(chǎng)部的打印機(jī)數(shù)據(jù)不會(huì)干擾研發(fā)部的服務(wù)器，避免帶寬浪費(fèi)。
• 提高數(shù)據(jù)傳輸速度：VLAN 讓數(shù)據(jù)流向更精準(zhǔn)，避免無(wú)關(guān)數(shù)據(jù)傳輸，提高效率。
• 優(yōu)化 IT 維護(hù)和管理：VLAN 讓網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，管理員可以按業(yè)務(wù)需求劃分網(wǎng)絡(luò)，而不必頻繁調(diào)整物理設(shè)備，運(yùn)維更加輕松。

三、VLAN 實(shí)踐

以 華為 eNSP（Enterprise Network Simulation Platform） 為例，介紹 VLAN 配置。

目前PC1是可以ping的通PC2的：

將端口分配到 VLAN：

<Huawei> system-view
[Huawei]sysname SW1
[SW1] interface GigabitEthernet 0/1  
[SW1-GigabitEthernet0/1] port link-type access  
[SW1-GigabitEthernet0/1] port default vlan 10  
[SW1-GigabitEthernet0/1] quit

此操作將 0/1 端口 綁定到 VLAN 10,然后發(fā)現(xiàn)ping不通PC2了，因?yàn)樗粚儆赩lan10。