VLAN详解

VLAN（虚拟局域网）详解

1. 基本概念

VLAN（Virtual Local Area Network）是一种通过逻辑划分而非物理连接实现的局域网技术，允许在同一物理网络基础设施上创建多个独立的广播域。

---

2. 核心功能

功能	说明
广播域隔离	不同VLAN间的设备无法直接通信（需三层路由），减少广播风暴风险。
安全隔离	财务部、研发部等敏感部门可划分不同VLAN，限制横向渗透。
灵活组网	跨物理位置的设备可划入同一VLAN（如分公司财务与总部财务同属VLAN 10）。
资源优化	避免为每个部门铺设独立物理网络，节省交换机端口和线缆成本。

---

3. VLAN类型

类型	实现方式	典型应用
基于端口	交换机端口静态绑定到VLAN（如端口1-8属于VLAN 10）。	传统企业网
基于MAC	根据终端MAC地址动态划分VLAN（需MAC-VLAN映射表）。	移动设备频繁接入的场景
基于协议	根据IP或ARP等协议类型划分（如IPv4和IPv6分属不同VLAN）。	多协议网络环境
基于子网	根据IP子网自动划分（需三层交换机支持）。	大规模网络自动化管理
802.1Q标签	通过以太网帧的VLAN Tag（12位ID，范围1-4094）标识，跨交换机传输需Trunk口。	多交换机互联环境

---

4. 关键协议与技术

• IEEE 802.1Q：
  标准VLAN标签协议，在以太网帧的源MAC和类型字段间插入4字节Tag（含VLAN ID和优先级）。

  | 目标MAC | 源MAC | 802.1Q Tag | 类型/长度 | 数据 | FCS |
  

• Native VLAN：
  Trunk端口上未打标签的流量所属的VLAN（默认为VLAN 1），需确保两端交换机Native VLAN一致。
• VLAN间路由：
  通过三层交换机或路由器（需子接口配置，如Gi0/0.10对应VLAN 10）实现跨VLAN通信。

---

5. 配置示例（Cisco交换机）

# 创建VLAN 10和20
Switch(config)# vlan 10
Switch(config-vlan)# name Finance
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Engineering# 将端口划入VLAN
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10# 配置Trunk端口（跨交换机传输多VLAN流量）
Switch(config)# interface gigabitethernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20

---

6. 典型拓扑

[PC1-VLAN10] ──[Access端口]── [交换机] ──[Trunk端口]── [路由器] ── Internet
[PC2-VLAN20] ──[Access端口]──        └──[Trunk端口]── [三层交换机]

---

7. 常见问题

• VLAN跳跃攻击：
  黑客伪造802.1Q标签绕过隔离，需禁用DTP（Dynamic Trunking Protocol）并手动配置Trunk。
• MTU问题：
  带VLAN Tag的帧长度超过1500字节，可能需调整MTU（如设置为1522字节）。
• 管理VLAN：
  建议将管理流量（如SSH）单独划入非VLAN 1的安全VLAN。

---

8. 与传统LAN对比

特性	传统LAN	VLAN
隔离方式	物理隔离（不同交换机）	逻辑隔离（同一交换机内）
扩展性	需新增硬件	通过配置即可扩展
成本	高（多设备、线缆）	低（复用现有基础设施）

---

9. 应用场景

• 企业网：部门隔离、访客网络隔离。
• 数据中心：租户多租户隔离（如OpenStack Neutron VLAN模式）。
• 物联网：将摄像头、传感器划分到独立VLAN，保障安全。

通过VLAN技术，网络管理员能够以更灵活、安全的方式管理现代复杂网络环境。