一、什么是VLAN?
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN工作在OSI参考模型的第2层和第3层,一个VLAN就是一个 广播域,VLAN之间的通信是通过第3层的路由器来完成的。
具有以下优点:
网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
二、为什么要划分VLAN?
1. 提高安全性:没有划分VLAN前,交换机端口连接下的所有主机都处于一个LAN中,即一个广播域中,实现ARP中间人攻击太简单了。
划分了VLAN之后,缩小了ARP攻击的范围。ARP报文是一个2.5层的报文,只能在同一个VLAN中传播。
2. 提高性能:不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽(引起广播风暴)。
划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围。
三、有哪些划分VLAN的方法?
1. 基于端口划分:这种方法明确指定各端口属于哪个VLAN。
优点: 操作简单。
缺点:主机较多时,重复工作量大;主机端口变动的时候,需要同时改变该端口所属的VLAN。
2. 基于MAC地址的划分:根据主机网卡的MAC地址进行划分(每个网卡都有世界上唯一的MAC地址)。通过检查并记录端口所连接网卡的MAC地址,来决定端口所属的VALN。
优点:当用户主机物理地址改变的时候,不需要重新配置VLAN。
缺点:初始化的时候需要对所有用户进行配置,当主机数很大时工作量较大;由于交换机每个端口可能需要保存多个主机的MAC地址,从而降低了交换机的执行效率。
3. 基于网络协议的划分:基于所用的网络层协议划分VLAN,可以划分为
IP/IPX/DECnet/AppleTalk/Banyan等VLAN网络。
这种按照网络层协议划分的方式可以使广播域跨越多个交换机,对希望针对应用和服务来组织用户的网络管理员具有很大的吸引力。
优点:用户主机物理位置改变后,不需要重新配置所属的VLAN网络;适用于需要针对不同应用和服务来组织用户的场景。
缺点:检查每一个数据包的网络层地址需要消耗处理时间,效率较低。
4. 基于IP地址划分:将任何属于同一IP广播组的主机认为属于同一VLAN。
优点:良好的灵活性和可扩展性,可以方便的通过路由器扩展网络。
缺点:不适合局域网,效率不高。
5. 基于策略的划分:一种根据不同的情况,将多种(上面提到的)划分VLAN的技术按照一定的安全策略进行综合运用的划分技术。
优点:这种方式具有自动配置的能力,自动化程度高;可以非常方便的扩展网络规模。
缺点:对设备要求较高。