虚拟局域网 (VLAN)
虚拟 LAN (VLAN)是一个概念,我们可以在第 2 层(数据链路层)上对设备进行逻辑划分。一般三层设备划分广播域,但广播域可以通过交换机使用VLAN的概念来划分。
广播域是一个网段,如果一个设备广播一个数据包,那么同一广播域中的所有设备都会接收到它。同一广播域中的设备将接收所有广播数据包,但仅限于交换机,因为路由器不会转发广播数据包。要将数据包转发到不同的 VLAN(从一个 VLAN 到另一个 VLAN)或广播域,需要 VLAN 间路由。通过VLAN,可以创建不同的小型子网,比较容易处理。
VLAN 范围 –
- VLAN 0、4095:这些是保留的 VLAN,无法看到或使用。
- VLAN 1:交换机的默认 VLAN。默认情况下,所有交换机端口都在 VLAN 中。此 VLAN 不能删除或编辑,但可以使用。
- VLAN 2-1001:这是一个正常的 VLAN 范围。我们可以创建、编辑和删除这些 VLAN。
- VLAN 1002-1005:这些是 fddi 和令牌环的 CISCO 默认值。这些 VLAN 无法删除。
- Vlan 1006-4094:这是Vlan的扩展范围。
配置 -
我们可以通过简单地分配 vlan-id 和 Vlan 名称来简单地创建 VLAN。
#switch1(config)#vlan 2
#switch1(config-vlan)#vlan accounts
在这里,2 是我要的 Vlan,accounts 是 Vlan 名称。现在,我们将 Vlan 分配给交换机端口。例如-
Switch(config)#int fa0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access Vlan 2
此外,可以将交换机端口范围分配给所需的 vlan。
Switch(config)#int range fa0/0-2
Switch(config-if)#switchport mode access
Switch(config-if) #switchport access Vlan 2
这样,交换机端口 fa0/0、fa0/1、fa0-2 将被分配到 Vlan 2。
例子 -
为 PC 分配 IP 地址 192.168.1.1/24、192.168.1.2/24 和 192.168.2.1/24。现在,我们将在交换机上创建 Vlan 2 和 3。
Switch(config)#vlan 2
Switch(config)#vlan 3
我们已经创建了 VLAN,但最重要的部分是将交换机端口分配给 VLAN。
Switch(config)#int fa0/0
Switch(config-if)#switchport mode access
Switch(config-if) #switchport access Vlan 2
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if) #switchport access Vlan 3
Switch(config)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if) #switchport access Vlan 2
如图所示,我们已将 Vlan 2 分配给 fa0/0、fa0/2,并将 Vlan 3 分配给 fa0/1。
VLAN 中的连接类型 –
有三种方式可以在 VLAN 上连接设备,连接类型取决于连接的设备,即它们是可识别 VLAN(理解 VLAN 格式和 VLAN 成员资格的设备)还是不识别 VLAN(不识别 VLAN 的设备)了解 VLAN 格式和 VLAN 成员资格)。
- 中继链路 –
所有连接到中继链路的设备都必须支持 VLAN。这上面的所有帧都应该有一个特殊的标题,称为标记帧。 - 访问链接——
它将不支持 VLAN 的设备连接到支持 VLAN 的网桥。接入链路上的所有帧都必须是未标记的。 - 混合链接 –
它是Trunk 链路和Access 链路的组合。此处连接了不支持 VLAN 和支持 VLAN 的设备,并且它可以同时具有标记和未标记的帧。
好处 -
- 表现 -
网络流量充满了广播和多播。 VLAN 减少了将此类流量发送到不必要的目的地的需要。例如,如果流量是针对 2 个用户的,但由于 10 个设备存在于同一个广播域中,因此,所有设备都会收到流量,即浪费带宽,但是如果我们创建 VLAN,那么广播或多播数据包将转到预期的仅限用户。 - 虚拟团体的形成——
由于每个组织都有不同的部门,即销售、财务等,VLAN 非常有用,可以根据部门对设备进行逻辑分组。 - 安全 -
在同一个网络中,可以广播敏感数据,外部可以访问,但是通过创建VLAN,我们可以控制广播域,设置防火墙,限制访问。此外,VLAN 可用于通知网络管理员入侵。因此,VLAN 极大地增强了网络安全性。 - 灵活性——
VLAN 提供了添加、删除我们想要的主机数量的灵活性。 - 降低成本 -
VLAN 可用于创建广播域,从而无需昂贵的路由器。
通过使用Vlan,可以增加小型广播域的数量,与较大的广播域相比,易于处理。