VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
VLAN示意图
按部门创建VLAN而不是按位置。
一个VLAN就是一个广播域,同一个VLAN中的计算机IP地址在同一个网段。
销售部,研发部,财务部的电脑在每间办公室都有,如果将这三个部门放在一个网段,这样是不安全的,这个时候使用交换机组网的时候,就可以将同一个部门的计算机放到一个网段,不管其地理位置,这样创建网段更加灵活,因为可以根据部门的划分,或者服务器的功能划分网段。
上面就将部门和网段对应起来了,而不是和位置对应起来了。
这样管理起来更加方便,当vlan1当中计算机发广播的时候,那么会广播到valn1当中其他的计算机,但是不会广播到其他的vlan,也就是其他的部门。
总结一下也就是一个vlan是一个网段,一个广播域,这样比较安全一些。不同vlan之间的计算机瑶互相访问那么要过路由,在路由器上面可以进行访问控制,定义那些计算机是可以相互访问的。
VLAN的优势
- 广播风暴防范
- 安全
- 成本降低
- 性能提高
- 提高人员工作效率
理解VLAN
交换机端口默认属于VLAN1 交换机的所有端口默认都属于VLAN 1,VLAN 1是默认VLAN,不能删除。
交换机S1的所有端口都在VLAN 1中,进入交换机端口的帧自动加上端口所属VLAN的标记,出交换机端口则会去掉VLAN标记。
默认情况下,交换机所有的口都属于vlan1,这个valn1是默认vlan,是不能够删除的。
当计算机发帧到接口的时候,那么这个接口属于vlan1,那么会在帧的某个位置插入一个标记,然后从另外一个口出来,出来的时候就将这个vlan1的标记去掉了。在交换机内部带着vlan标记的,
A发送帧和D接收到帧这件事,这两个计算机谁都不知道,只有交换机知道,所有的口都有归属的vlan,帧进去会加上所属vlan的标记。
交换机上同一VLAN通信过程
如果将交换机上面划分两个vlan,也就是两个部门,这个时候就需要在交换机上面创建两个vlan,创建不同的valn之后,就将不同的口放到不同的vlan里面。
计算机A的帧来到进入交换机带了vlan1,如果它发广播的话,那么也是广播到vlan1的这些口,不会广播到vlan2的这些口。
vlan2的计算机发广播,就带着vlan2的标记,会广播到vlan2的这些口,不会广播到vlan1。
VLAN等价图
等价于一个交换机创建两个vlan之后,交换机从中间咔嚓一刀切成了两个交换机。在逻辑意义上已经是两个交换机了,那么A和E计算机是无法通信的,中间必须放一个路由器这样的设备。路由器的一端接到vlan1的接口,另外一个接口接到vlan2。
跨交换机VLAN
现在相对于两个部门,分别有四台电脑在两台交换机上面连着。两个交换机的口要通过线连起来。
可以看到连了这么多线
计算机连接交换机的链路称为接入(Access)链路。
能够通过多个VLAN的交换机之间的链路称为干道(Trunk)链路。 (跑多个vlan的数据)
现在交换机和交换机连的时候只需要一根线,这根线要配置为干道链路,配置为干道链路就可以跑多个vlan的数据了。
VLAN的类型
计算机发送的帧都是不带Tag的。对于一个支持VLAN特性的交换网络来说,当计算机发送的Untagged帧一旦进入交换机后,交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。根据划分原则的不同,VLAN便有了不同的类型。
1.基于端口的VLAN(Port-based VLAN)(不同的端口接不同的计算机,那么根据对应的端口来划分vlan,在通常情况下一般是使用基于端口的vlan,对于固定的端口连接的计算机就是属于某个vlan)
2.基于MAC地址的VLAN(MAC-based VLAN)(根据计算机的MAC地址来确定属于哪个vlan,这样对于移动你的计算机就非常发方便)
3.基于协议的VLAN(Protocol-based VLAN)(ipv4的包属于vlan1,ipv6的包属于vlan2)