虚拟局域网（VLAN）

虚拟局域网（VLAN）是一种对第2层网络进行逻辑分割的方法。它可以将各种设备划分为独立的逻辑网络，而这些网络与设备的物理位置无关。与依赖物理拓扑结构的传统局域网不同，VLAN是通过使用IEEE 802.1Q帧标记技术来在交换机上实现这种分割的。

通过将一个物理交换机网络划分为多个逻辑广播域，VLAN能够减少不必要的广播流量，增强安全性，同时提升网络的性能、灵活性和管理性。传统上，广播域是通过第3层设备（路由器）来划分的，而VLAN则可以在第2层直接实现广播的隔离功能。

• 相同的VLAN：这些设备在同一个广播域内直接进行通信。
• 不同的VLAN：通信需要通过路由器或第3层交换机来实现不同VLAN之间的路由功能。

注意：在没有VLAN的常规局域网中，所有连接到交换机的设备都属于同一个广播域。因此，广播帧会被发送到所有的端口上，这会导致不必要的网络开销，同时也会增加系统的安全风险。

VLAN ID范围（思科标准）

• VLAN 0和VLAN 4095：
  保留的VLAN ID由以下方式定义：IEEE 802.1Q这些VLAN主要用于内部协议操作，无法被配置或分配给具体的端口。
• VLAN 1（默认VLAN）：
  在Cisco交换机上，默认情况下所有端口都被分配给VLAN 1。这个VLAN无法被删除，通常用于实现诸如STP、CDP和VTP等控制和管理协议。
• VLAN 2到VLAN 1001（普通VLAN范围）：
  这个范围用于常规的VLAN配置。在这个范围内的VLAN是可以完全进行配置、编辑和删除的，它们会被存储在交换机的VLAN数据库中。
• VLAN 1002到VLAN 1005：
  这些VLAN是为那些仍在使用中的网络技术而预留的，比如FDDI和令牌环网络。这些VLAN是预先定义好的，即使这些技术不再被使用，这些VLAN也无法被删除。
• VLAN 1006到VLAN 4094（扩展VLAN范围）：
  该解决方案适用于需要大量VLAN的大规模网络环境。这些VLAN被存储在……中。运行配置通常，这些设备要求交换机以VTP透明模式来运行。

VLAN配置示例

创建VLAN
Switch(config) 设置 VLAN 为 2

Switch(config-vlan) 命令用于设置VLAN的名称，此处设置为“Accounts”。

Switch(config) 设置 VLAN 为 3

Switch(config-vlan) 名称：HR
将交换机端口分配给不同的VLAN。
Switch(config) 接口 fa0/0

Switch(config-if) switchport mode access

Switch(config-if) switchport access vlan 2

Switch(config) 接口 fa0/1

Switch(config-if) switchport mode access

Switch(config-if) switchport access vlan 3

在这里，端口Fa0/0被分配给VLAN 2，而端口Fa0/1则被分配给VLAN 3。由于这些VLAN属于不同的广播域，因此，不同VLAN中的设备需要借助VLAN间路由来实现相互通信。

VLAN连接的类型

• 访问链接：它将那些不识别VLAN的终端设备（例如PC）与能够识别VLAN的交换机相连。通过接入链路传输的数据帧不会被标记，它们都属于同一个VLAN。
• 主干链接：它能够连接那些支持VLAN功能的设备，比如交换机与交换机之间的连接，或者交换机与路由器之间的连接。它利用IEEE 802.1Q标签来传输来自多个VLAN的流量。
• 混合链接：它支持在同一链路上同时存在带有标签的帧和没有标签的帧。这一特性通常是各厂商自行定义的，并不属于IEEE 802.1Q标准的一部分。

VLAN功能

• VLAN标记技术（IEEE 802.1Q）：在以太网帧中插入一个4字节的VLAN标签，以标识该帧所属的VLAN。
• VLAN成员资格：设备可以根据交换机端口、MAC地址或协议类型被分配到不同的VLAN中。
• VLAN中继：允许多个VLAN共享一个物理连接，从而实现在支持VLAN的设备之间实现通信。
• 动态VLAN：设备所属的VLAN类别是根据预定义的策略或认证机制来自动确定的。

VLAN的实时应用

• VoIP（基于IP的语音通信技术）：专用的语音VLAN能够通过对语音流量进行优先处理，从而确保服务的质量。
• 视频会议：VLAN优先级设置有助于降低延迟和抖动，从而提升通话质量。
• 云和数据中心：VLAN技术能够实现租户工作负载的逻辑隔离，从而提升安全性并分离不同流量的传输路径。
• 物联网网络：VLAN技术可以将物联网设备分割成多个子网络，从而限制其访问权限，降低安全风险。
• 游戏网络：VLAN可以优先处理游戏流量，从而最大限度地减少延迟和丢包现象。
• 远程访问：安全的VLAN功能能够支持VPN用户以及外部连接，同时还能保持网络的独立性。

VLAN技术的优点

• 安全性得到提升：敏感流量被隔离在独立的VLAN中。
• 性能提升：限制了广播和多播流量的传输，从而减少了不必要的网络负担。
• 简化的管理流程：将用户或部门进行逻辑分组（例如，人力资源部门、财务部门等），可以简化管理流程。
• 灵活性：能够灵活应对各种情况的能力。设备可以在不同的VLAN之间移动，而无需更换物理连接线。
• 成本效益：减少了对多个物理网络以及大量路由硬件的需求。
• 可扩展性：大型网络可以被划分为多个易于管理的部分。

VLAN的缺点/局限性

• 配置复杂度增加：需要仔细的规划和配置。
• VLAN ID的限制：标准的VLAN ID数量是有限的，这可能会影响到那些规模非常大的网络。
• 安全风险：配置错误可能会导致VLAN跳跃攻击的发生。
• 互操作性问题：对于非标准或旧式的设备来说，可能会出现兼容性问题。
• 故障排除的难易程度：孤立的交通流会导致故障诊断变得更加复杂。