VLAN的劃分及劃分VLAN的意義

VLAN的劃分及劃分VLAN的意義VLAN的定義：VLAN是英文VirtualLocalAreaNetwork的簡(jiǎn)稱，又叫虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。要想劃分VLAN，必須購(gòu)買支持VLAN功能的網(wǎng)絡(luò)設(shè)備。劃分VLAN的作用：VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中。即使是處在同一網(wǎng)段的兩臺(tái)計(jì)算機(jī)，如果不在同一VLAN中，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)。劃分VLAN有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。由于VLAN隔離了廣播風(fēng)暴，也隔離了不同VLAN之間的通訊，因此，不同VLAN之間的通訊必須依靠路由器或者三層交換機(jī)來(lái)實(shí)現(xiàn)。VLAN的劃分方法：劃分VLAN有四種方法，每種方法各有長(zhǎng)短。在對(duì)網(wǎng)絡(luò)劃分VLAN時(shí)，必須根據(jù)網(wǎng)絡(luò)的實(shí)際情況，選擇一種合適的劃分方法。1、根據(jù)端口的劃分VLAN：許多網(wǎng)絡(luò)廠商都利用交換機(jī)的端口來(lái)劃分VLAN成員。顧名思義，基于端口劃分VLAN就是將交換機(jī)的某些端口定義為一個(gè)VLAN。根據(jù)端口劃分VLAN是最常用的一種VLAN劃分方法。根據(jù)端口劃分VLAN優(yōu)點(diǎn)是簡(jiǎn)單明了，管理也非常方便，缺點(diǎn)是維護(hù)相對(duì)繁瑣。2、根據(jù)MAC地址劃分VLAN：每塊網(wǎng)卡在全球都擁有唯一的一個(gè)物理地址，即MAC地址，根據(jù)網(wǎng)卡的MAC地址可以將若干臺(tái)計(jì)算機(jī)劃分在同一個(gè)VLAN中。這種方式的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置；缺點(diǎn)是某一VLAN初始化時(shí)，所有的用戶都必須進(jìn)行配置，操作人員的負(fù)擔(dān)比較重。3、根據(jù)網(wǎng)絡(luò)層劃分VLAN：這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型劃分，而不是根據(jù)路由劃分。注：這種VLAN劃分方式適合廣域網(wǎng)，基本不用在局域網(wǎng)。4、根據(jù)IP組播劃分VLAN：IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN。這種劃分方法將VLAN擴(kuò)大到了廣域網(wǎng)，不適合局域網(wǎng)，因?yàn)槠髽I(yè)網(wǎng)絡(luò)的規(guī)模尚未達(dá)到如此大的規(guī)模。顯而易見(jiàn)，所有的VLAN技術(shù)并不是完全適合一個(gè)網(wǎng)絡(luò)使用。對(duì)VLAN有了一個(gè)全面的認(rèn)識(shí)之后，我們應(yīng)該能夠根據(jù)自己所處的網(wǎng)絡(luò)環(huán)境做出是否需要?jiǎng)澐諺LAN的準(zhǔn)確判斷。選擇合適的VLAN劃分模式很多技術(shù)人員只知道劃分VLAN可以提升網(wǎng)絡(luò)傳輸性能，并不知道一個(gè)不合理的VLAN劃分模式會(huì)降低網(wǎng)絡(luò)的傳輸性能。由于各種網(wǎng)絡(luò)的環(huán)境不同，最適合其使用的VLAN劃分方式也不同。下面，我們結(jié)合實(shí)例詳細(xì)講一下企業(yè)網(wǎng)絡(luò)使用何種VLAN劃分模式更合理。舉例企業(yè)網(wǎng)絡(luò)：網(wǎng)絡(luò)中有43臺(tái)客戶機(jī)，其中35臺(tái)是臺(tái)式機(jī)，8臺(tái)筆記本。網(wǎng)絡(luò)流量并不是太大，由于財(cái)務(wù)部有一些敏感數(shù)據(jù)不想讓普通員工看到，為了提高網(wǎng)絡(luò)的安全性，網(wǎng)管決定對(duì)該網(wǎng)絡(luò)劃分VLAN，隔斷普通員工與財(cái)務(wù)部員工PC的通訊。應(yīng)用需求：從上文敘述可知，該企業(yè)劃分VLAN是為了提高安全性，提升網(wǎng)絡(luò)傳輸性能并非主要目的。由于該企業(yè)的客戶機(jī)數(shù)量不多，筆記本有很強(qiáng)的移動(dòng)性，日常辦公中，管理人員通常需要將筆記本移動(dòng)到會(huì)議室，滿足移動(dòng)辦公的需要。這種情況下，根據(jù)端口劃分VLAN的模式并不適合該企業(yè)，最合適的劃分VLAN方式是根據(jù)MAC地址劃分。所以對(duì)于企業(yè)而言，最適合的VLAN劃分模式是根據(jù)端口劃分VLAN和根據(jù)MAC地址劃分VLAN兩種模式。對(duì)于客戶機(jī)數(shù)量不大，而且又經(jīng)常需要移動(dòng)辦公的企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，根據(jù)MAC地址劃分VLAN是一種最佳的劃分模式。對(duì)于客戶機(jī)數(shù)量眾多，而且無(wú)需移動(dòng)辦公的企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，可以根據(jù)端口劃分VLAN?？傊?，根據(jù)網(wǎng)絡(luò)需求選擇一種合適的VLAN劃分模式。劃分VLAN一般出于如下幾個(gè)目的：把內(nèi)網(wǎng)劃分為不同的網(wǎng)段，可以提高內(nèi)網(wǎng)安全性，而且更加便于管理。比如：有線和無(wú)線處于不同的網(wǎng)段，不允許無(wú)線設(shè)備訪問(wèn)企業(yè)內(nèi)網(wǎng)，這樣可以保護(hù)內(nèi)部信息安全；而且可以對(duì)不同網(wǎng)段配置不同的上網(wǎng)策略和流控策略。分割廣播域，避免廣播風(fēng)暴。廣播風(fēng)暴這個(gè)現(xiàn)象，在無(wú)線時(shí)代更加突出，AP設(shè)備的發(fā)現(xiàn)、管理等操作都會(huì)產(chǎn)生廣播包。什么情況下需要?jiǎng)澐諺LAN呢？主要考慮以下幾點(diǎn)：內(nèi)網(wǎng)信息安全的需要。比如：是否需要限制訪問(wèn)內(nèi)網(wǎng)的服務(wù)器資源？尤其在提供了WiFi的情況下，外來(lái)設(shè)備很容易就可以接入到企業(yè)內(nèi)網(wǎng)導(dǎo)致安全隱患（安全不能依賴無(wú)線密碼）。管理需要。不同的部門(mén)之間劃分不同的網(wǎng)段會(huì)更加便于管理。廣播風(fēng)暴。傳統(tǒng)來(lái)說(shuō)，推薦一個(gè)VLAN不要超過(guò)255個(gè)終端，但是在無(wú)線時(shí)代，一般不建議超過(guò)200個(gè)終端。結(jié)束語(yǔ)：劃分VLAN似乎是一個(gè)老生常談的話題，可在實(shí)際應(yīng)用中卻罕有人能夠?qū)澐諺LAN