网络基础知识:从原理到应用,轻松搞懂VLAN
一、什么是VLAN?
按以下场景为例:假如你住在一个大杂院,所有住户共用一个大门(网络)。
没划分 VLAN 时:你喊一声“谁借我酱油”,全院几百户都能听见(广播风暴),不仅吵(占用带宽),还可能被坏人听到隐私(信息不安全)。
划分 VLAN 后:把大杂院分成几个“虚拟小区”(如按楼层、兴趣分组),每个小区有独立的“对讲机”(广播域)。你在自己小区喊“借酱油”,只有同小区的人能听见,其他小区完全听不到,既安静又安全。
【VLAN 是“虚拟局域网”】通过交换机把物理网络分成多个逻辑隔离的小组,组内可自由通信,组间需“门卫”(路由器)中转,就像小区之间串门要走大门登记一样。
二、如何给网络“划分 VLAN ”
第一种方式:静态VLAN
给交换机端口贴“门牌号”(静态 VLAN)
操作:直接设置:交换机“1 号端口属于(VLAN1),
2 号端口属于(VLAN2)”。 第二种方式:动态VLAN
自动识别“住户身份”(动态 VLAN)
第一类:按 MAC 地址(网卡身份证)设定VLAN:交换机记住“小明的电脑(MAC 地址 A)属于美食小区”,不管小明插哪个端口,都自动划入美食小区,像小区门禁识别业主指纹。
第二类:按 IP 地址(网络地址)设定VLAN:只要电脑的 IP 是“192.168.1.x”,就属于 VLAN1,适合按部门分组(如销售部统一用 192.168.1 段 IP)。
第三类:按用户名(登录账号)设定VLAN:小明用账号“xiaoming”登录,就属于 VLAN1;小红用“hong”登录,属于 VLAN2,适合需要灵活权限控制的场景(如学校实验室)。
三、多台交换机VLAN如何连接?
(一) 同一VLAN端口互联
(二)汇聚链路端口互联(常用)
在汇聚链路下,这种情况下,交换机的接口需要同时识别和发送多个VLAN的数据帧。根据接口连接对象以及对收发数据帧处理的不同,当前有VLAN的多种接口类型,以适应不同的连接和组网。我们以华为的设备举例,最常见的VLAN接口有三种,包括Access、Trunk和Hybrid。
- Access接口
· 核心场景:连接不支持VLAN的设备(如普通电脑、打印机、旧服务器)
· 工作逻辑:
输入:自动剥离数据帧的VLAN Tag,以Untagged形式转发给终端
输出:将终端发来的Untagged帧打上接口所属的默认VLAN Tag
· 典型应用:用户终端直接接入网络的端口
- Trunk接口
· 核心场景:连接支持VLAN的网络设备(如交换机之间、交换机与路由器/AP)
· 工作逻辑:
输入:允许通过多个VLAN的Tagged帧,但会丢弃未知VLAN的数据
输出:根据配置决定是否为数据帧添加/剥离Tag
· 关键特性:
默认允许一个本征VLAN(Native VLAN)以Untagged形式传输
需明确配置允许通过的VLAN列表(如port trunk allow-pass vlan 10 20)
- Hybrid接口
· 核心场景:需灵活混合Tagged/Untagged传输的复杂环境(如华为设备特有场景)
· 工作逻辑:
输入/输出:可独立配置每个VLAN的帧处理方式(打Tag、去Tag或丢弃)
灵活性:突破Trunk接口对本征VLAN的限制,支持更细粒度控制
· 典型应用:
连接同时需要访问多个VLAN的服务端
跨厂商设备互联时的兼容性需求
(三)汇聚链路端口互联的VLAN的工作原理
1、同一VLAN内的通信如图所示
我们假设黄色VLAN的网络地址为192.168.1.0/24.绿色VLAN的网络地址为192.168.2.0/24。计算机的物理地址(MAC)为A/B/C/D。路由器汇聚端口(端口5)的物理地址为R。那么交换机通过对各端口所连接的计算机MAC地址的读取,生成的MAC地址列表为:
当计算机A与同一VLAN内的计算机B之间通信时,计算机A发出ARP请求信息,请求解析B的MAC地址。交换机收到数据帧后,检索MAC地址列表中与B属于一个VLAN(即属于黄色VLAN)的项,发现计算机B在端口2上。
于是交换机将数据帧转发给端口2,最后计算机B收到该帧。由于收发双方同属于一个VLAN,所以一切处理均在交换机内完成。
2、不同VLAN间通信时
过程1:计算机A从目标设备的IP地址得出两者不在同一个VLAN中,因此需要路由器的介入。那么计算机A首先先从交换机的ARP表获取路由器的MAC地址。然后向设定的默认网关(GW)转发数据帧。
过程2:得到路由器的MAC地址R后,接下来就是从交换机走一步到路由器。此时数据帧中目标MAC地址是路由器的R,但目标IP地址仍是最终要通信的对象C的地址。
过程3:交换机在端口1上收到计算机A发出的数据帧,先检索MAC地址列表与端口1属于用一个VLAN的表项。而汇聚链路会被看作属于所有的VLAN,因此这时数据帧就发送到路由器了,并且附带着黄色VLAN的信息。
过程4:路由器收到数据帧后,根据路由器内部的路由表,判断应该向绿色VLAN的地方中继。于是再中继回交换机,交换机匹配绿色VLAN中目标为C,交换机去除一些没用的数据帧后,转发给端口3,最终计算机C成功的接收到这个数据帧。
总结来说就是:进行VLAN间的通信时,即使通信双方都连接在同一台交换机上,但也必须走以下通信链路:
发送方—交换机—路由器—交换机—接收方。
四、VLAN的使用场景
(一)VLAN间用户的二层隔离:
在某一个写字楼内,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问internet。
为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的VLAN,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的虚拟路由器,每个VLAN就是一个“虚拟工作组”。
(二) VLAN间用户的三层互访
某小型公司的两个部门分别通过二层交换机接入到一台三层交换机,所属的VLAN为VLAN2和VLAN3,部门1和部门2的用户间互通时,需要经过三层交换机。
可在交换机1和交换机2上划分VLAN并将VLAN透传到交换机3上,然后在交换机3上为每个VLAN配置一个VLANIF接口,实现VLAN2和VLAN3的之间路由。
五、VLAN的优点
1、缩小了广播域范围,减少带宽占用,提升数据传输效率;
2、构建起逻辑隔离环境,跨VLAN用户无法直接通信,有效防范数据泄露风险;
3、故障影响范围被严格限制,单个VLAN故障不扩散,保障网络整体稳定性;
4、突破了物理位置限制,按需组建跨区域的虚拟工作组,显著降低网络重构成本,提升运维管理效率。该技术已成为现代园区/办公楼网络的基础架构方案。
