VLAN(Virtual LAN 虚拟局域网)
1、广播/广播域
2、广播的危害:增加网络/终端负担,传播病毒,
3、如何控制广播??
控制广播=隔离广播域
路由器物理隔离广播
路由器隔离广播缺点:成本高、不灵活
采用VLAN技术来控制广播,VLAN技术是在交换机上实现的,且是通过逻辑隔离划分的广播域
4、VLAN是干什么的?
控制广播、逻辑隔离广播域
5、一个VLAN=一个广播域=一个网段
6、VLAN的类型:
1、静态VLAN
手工配置
基于端口划分的VLAN
2.动态VLAN
手工配置
基于MAC地址划分的VLAN
- 公司中一般都是静态的
基于端口划分VLAN的原理
基于端口划分VLAN的原理是将交换机的端口划分到不同的VLAN中,每个端口只能属于一个VLAN。同一VLAN内的设备可以互相通信,不同VLAN内的设备需要经过路由器才能相互通信。
具体实现过程如下:
- 配置交换机的VLAN信息:首先需要在交换机中创建VLAN,为每个VLAN分配一个唯一的VLAN ID,通常情况下,VLAN ID是一个数字,范围为1~4094。然后将每个端口与相应的VLAN绑定,使其成为该VLAN的成员。
- 数据帧的转发:当交换机收到一个数据帧时,它会查看该数据帧的目的MAC地址,根据MAC地址表将数据帧转发到相应的端口。如果目的MAC地址所对应的端口与数据帧所在的端口在同一个VLAN中,那么交换机会直接将数据帧转发到目的端口。否则,交换机会将数据帧转发到与目的MAC地址所在的VLAN相连的端口上,如果目的MAC地址所在的VLAN与数据帧所在的VLAN不同,那么需要经过路由器才能实现通信。
- VLAN间的通信:当数据需要在不同的VLAN之间传输时,交换机需要将数据帧交给路由器进行转发。路由器将数据帧解析出IP包,根据IP包的目的地址进行路由选择,然后将数据帧转发到目标VLAN所在的端口上。
通过基于端口划分VLAN,可以实现对不同的设备进行分组管理,提高网络的性能和安全性。同时,还可以实现对不同VLAN的流量进行限制、控制和监控,提高网络的可靠性和可管理性。
基于MAC地址划分的VLAN
基于MAC地址划分的VLAN原理是将同一VLAN内的设备的MAC地址范围划分到相同的VLAN中。交换机将收到的数据帧的源MAC地址与已知的MAC地址表进行比对,根据比对结果将数据帧转发到相应的VLAN中。
具体实现过程如下:
-
配置交换机的VLAN信息:首先需要在交换机中创建VLAN,为每个VLAN分配一个唯一的VLAN ID。然后将每个端口与相应的VLAN绑定,使其成为该VLAN的成员。
-
学习MAC地址:当交换机收到一个数据帧时,它会查看该数据帧的源MAC地址,将该地址和所在的端口记录在MAC地址表中。如果该MAC地址在MAC地址表中不存在,则会将该MAC地址和端口信息添加到MAC地址表中。
-
数据帧的转发:当交换机收到一个数据帧时,它会查看该数据帧的目的MAC地址。如果该地址在MAC地址表中存在,则交换机会将数据帧转发到该地址所在的端口上。否则,交换机会将数据帧广播到所有的端口上,以便学习新的MAC地址。
-
VLAN间的通信:当数据需要在不同的VLAN之间传输时,交换机需要将数据帧交给路由器进行转发。路由器将数据帧解析出IP包,根据IP包的目的地址进行路由选择,然后将数据帧转发到目标VLAN所在的端口上。
两者区别:
-
实现方式:基于端口划分的VLAN是将交换机的端口划分到不同的VLAN中,每个端口只能属于一个VLAN;而基于MAC地址划分的VLAN是将同一VLAN内的设备的MAC地址范围划分到相同的VLAN中。
-
管理方式:基于端口划分的VLAN需要将每个端口与相应的VLAN绑定,因此管理起来比较简单;而基于MAC地址划分的VLAN需要对每个MAC地址进行分类,管理起来相对复杂。
-
灵活性:基于端口划分的VLAN灵活性较低,无法对同一设备的不同网卡进行VLAN划分;而基于MAC地址划分的VLAN可以将同一设备的不同网卡划分到不同的VLAN中。
-
安全性:基于MAC地址划分的VLAN可以通过VLAN间的访问控制列表(VACL)来限制不同VLAN之间的通信,提高网络的安全性。
-
性能:基于端口划分的VLAN可以在交换机硬件上进行实现,不需要进行路由操作,因此性能较好;而基于MAC地址划分的VLAN需要进行路由操作,因此性能相对较差。
基于端口划分的VLAN适用于较小规模的网络环境,管理简单,性能好;而基于MAC地址划分的VLAN适用于较大规模的网络环境,对安全性要求较高,但管理和性能方面会有一定的挑战。
