一、VLAN 基礎(chǔ)

1. VLAN 的概念

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），是一種邏輯上的子網(wǎng)劃分技術(shù)，可以在同一個物理交換機上創(chuàng)建多個虛擬的局域網(wǎng)。不同 VLAN 之間默認不能直接通信，從而提升安全性和管理效率。

簡單來說，VLAN 就像是在同一棟大樓里用“隱形的墻”把不同部門的設(shè)備隔開，它們只能在各自的 VLAN 內(nèi)通信，除非通過特殊配置才能訪問其他 VLAN。

2. VLAN 的工作原理

VLAN 主要通過交換機的端口劃分來實現(xiàn)，常見的 VLAN 類型有：

• 基于端口的 VLAN（Port-based VLAN）：按端口劃分 VLAN，例如 1-5 號端口屬于 VLAN 10，6-10 號端口屬于 VLAN 20。
• 基于 MAC 地址的 VLAN（MAC-based VLAN）：設(shè)備的 MAC 地址決定 VLAN 歸屬，即使更換交換機端口，仍然屬于原來的 VLAN。
• 基于協(xié)議的 VLAN（Protocol-based VLAN）：根據(jù)數(shù)據(jù)包協(xié)議類型劃分 VLAN，比如 IPv4 和 IPv6 分別屬于不同 VLAN。
• 基于子網(wǎng)的 VLAN（Subnet-based VLAN）：按照 IP 地址段劃分 VLAN，例如 192.168.1.0/24 屬于 VLAN 100，192.168.2.0/24 屬于 VLAN 200。

二、VLAN 如何提升網(wǎng)絡(luò)安全與效率

1. 提高網(wǎng)絡(luò)安全性

(1) 隔離不同部門或用戶組

例如，公司財務(wù)部、研發(fā)部、市場部分別屬于不同 VLAN，它們默認不能互相訪問，防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。

(2) 防止廣播風(fēng)暴（Broadcast Storm）

在普通局域網(wǎng)中，廣播數(shù)據(jù)會擴散到整個網(wǎng)絡(luò)，而 VLAN 限制了廣播域的范圍，從而減少廣播風(fēng)暴，提高網(wǎng)絡(luò)穩(wěn)定性。

(3) 減少 ARP 欺騙攻擊

VLAN 之間默認隔離，黑客難以在不同 VLAN 間發(fā)送偽造的 ARP 包，從而降低局域網(wǎng)被攻擊的風(fēng)險。

2. 提高網(wǎng)絡(luò)效率

• 減少無關(guān)數(shù)據(jù)流量：例如，市場部的打印機數(shù)據(jù)不會干擾研發(fā)部的服務(wù)器，避免帶寬浪費。
• 提高數(shù)據(jù)傳輸速度：VLAN 讓數(shù)據(jù)流向更精準(zhǔn)，避免無關(guān)數(shù)據(jù)傳輸，提高效率。
• 優(yōu)化 IT 維護和管理：VLAN 讓網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，管理員可以按業(yè)務(wù)需求劃分網(wǎng)絡(luò)，而不必頻繁調(diào)整物理設(shè)備，運維更加輕松。

三、VLAN 實踐

以 華為 eNSP（Enterprise Network Simulation Platform） 為例，介紹 VLAN 配置。

目前PC1是可以ping的通PC2的：

將端口分配到 VLAN：

<Huawei> system-view
[Huawei]sysname SW1
[SW1] interface GigabitEthernet 0/1  
[SW1-GigabitEthernet0/1] port link-type access  
[SW1-GigabitEthernet0/1] port default vlan 10  
[SW1-GigabitEthernet0/1] quit

此操作將 0/1 端口 綁定到 VLAN 10,然后發(fā)現(xiàn)ping不通PC2了，因為它不屬于Vlan10。