廣播域和VLAN之間到底有著什么關(guān)系呢？

聰明的你一定明白什么是廣播域啦~

那廣播域和VLAN之間到底有著什么關(guān)系呢？

01 為什么要用VLAN？

根據(jù)上文的對話，我們知道廣播域內(nèi)所有的用戶都會監(jiān)聽到廣播包。

假設(shè)一個公司里邊有很多部門：技術(shù)部，研發(fā)部，市場部等。

但是各個部門中的計算機(jī)都是部門內(nèi)打交道較多，跨部門打交道較少。

那么就需要對不同部門進(jìn)行隔離，也就是將廣播域變小。

我們用三臺交換機(jī)代表三個部門，形成連接少量計算機(jī)構(gòu)成的網(wǎng)絡(luò)。

假設(shè)這時，A需要與B通信。

如果沒有對不同部門進(jìn)行隔離會怎么樣呢？

A必須先廣播“ARP請求信息”，來嘗試獲取B的MAC地址。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信。

技術(shù)部交換機(jī)收到A的“ARP請求信息”后，會將“ARP請求信息”轉(zhuǎn)發(fā)給除A外的其他所有與其相連的設(shè)備（B和研發(fā)部交換機(jī)）。

研發(fā)部交換機(jī)收到廣播后向C、D和市場部交換機(jī)發(fā)廣播。

市場部交換機(jī)收到廣播后向E和F發(fā)廣播，最終“ARP請求信息”會被轉(zhuǎn)發(fā)至網(wǎng)絡(luò)中的所有計算機(jī)上。

除B外的計算機(jī)，收到信息之后會直接丟棄。

只有B進(jìn)行回應(yīng)，將自己的MAC地址信息發(fā)送給技術(shù)部交換機(jī)，再由技術(shù)部交換機(jī)發(fā)送給A。

注意：

這里原本是為了獲得計算機(jī)B的MAC地址。只要計算機(jī)B能收到就萬事大吉了。

實際上卻是數(shù)據(jù)幀傳遍整個網(wǎng)絡(luò)，所有計算機(jī)都收到了ARP請求信息…

如此一來，造成如以下不好的后果：

網(wǎng)絡(luò)整體帶寬被占用。

潛在的信息安全風(fēng)險。

占用CPU資源。

因此，VLAN應(yīng)運(yùn)而生！

02 什么是VLAN?

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是在LAN（Local Area Network，局域網(wǎng)）的基礎(chǔ)上發(fā)展而來。

LAN：是指在某一區(qū)域內(nèi)由多臺計算機(jī)互聯(lián)成的計算機(jī)組，實現(xiàn)數(shù)據(jù)傳輸和資源共享的計算機(jī)網(wǎng)絡(luò)。通過地理位置劃分，一般是方圓幾千米以內(nèi)。

VLAN：是指局域網(wǎng)從邏輯上劃分成一個個更小的局域網(wǎng)，VLAN之間在數(shù)據(jù)鏈路層上是隔離的，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。

因此，在上面的例子中，我們需要將計算機(jī)A和計算機(jī)B劃分到同一個VLAN中。 如下圖所示，計算機(jī)A和計算機(jī)B都劃分到VLAN1中，和其他計算機(jī)隔離開，那么計算機(jī)A發(fā)送廣播也就只有計算機(jī)B能接收到啦~

除此以外，跨交換機(jī)劃分VLAN也是一樣。 假設(shè)技術(shù)部交換機(jī)和研發(fā)部交換機(jī)在兩個辦公樓，可以從邏輯上劃分VLAN，使得位于兩個樓里的同一部門的人也能組成相同VLAN。

好的，接下來看看，VLAN是如何實現(xiàn)的呢？

03VLAN如何實現(xiàn)？

【基于端口劃分VLAN】

基于端口劃分即根據(jù)以太網(wǎng)交換機(jī)的端口來劃分VLAN。

端口與VLAN對應(yīng)關(guān)系如下：

如此一來，同一個VLAN連接的計算機(jī)彼此能夠互相通信。

舉個栗子：

計算機(jī)192.168.0.1和計算機(jī)192.168.0.3能彼此通信。

計算機(jī)192.168.0.1和計算機(jī)192.168.0.2間不能通信。

這就是基于端口劃分VLAN，也是我們最常用的VLAN實現(xiàn)方法。

基于端口劃分VLAN的方法特點(diǎn)如下：

【基于MAC地址劃分VLAN】

交換機(jī)根據(jù)報文的MAC地址決定報文應(yīng)該在哪個VLAN中進(jìn)行轉(zhuǎn)發(fā)，因此交換機(jī)需要知道MAC和VLAN的映射關(guān)系。

MAC地址與VLAN對應(yīng)關(guān)系如下：

基于MAC地址劃分VLAN配置起來較麻煩，需要記錄所有計算機(jī)MAC地址。但是這種劃分方法在用戶端口變化時，VLAN劃分不變。

基于MAC地址劃分VLAN的方法特點(diǎn)如下：

【基于網(wǎng)絡(luò)層劃分VLAN】

基于網(wǎng)絡(luò)層劃分VLAN即根據(jù)每個計算機(jī)的網(wǎng)絡(luò)層地址或者協(xié)議地址（如果支持多協(xié)議）劃分VLAN。

網(wǎng)絡(luò)協(xié)議與VLAN對應(yīng)關(guān)系如下：

ICMP協(xié)議：Internet Control Message Protocol，Internet控制報文協(xié)議。

基于網(wǎng)絡(luò)層劃分VLAN的方法特點(diǎn)如下：

【基于子網(wǎng)地址劃分VLAN】

基于子網(wǎng)地址劃分VLAN即一個網(wǎng)段就是一個VLAN。

圖中交換機(jī)下有的計算機(jī)屬于1.0網(wǎng)段，有的計算機(jī)屬于2.0網(wǎng)段，那么通過配置可以把不同網(wǎng)段的用戶劃分到不同VLAN。

子網(wǎng)地址與VLAN對應(yīng)關(guān)系如下：

基于子網(wǎng)地址劃分VLAN的方法特點(diǎn)如下：

04 總結(jié)

講了這么多，最后我們來總結(jié)一下VLAN的優(yōu)點(diǎn)：

控制廣播風(fēng)暴

一個VLAN就是一個邏輯的廣播域，通過對VLAN的創(chuàng)建及劃分，隔離了廣播域，可以控制廣播風(fēng)暴的產(chǎn)生。

提高網(wǎng)絡(luò)整體安全性

通過端口和MAC地址等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分到不同VLAN中，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

網(wǎng)絡(luò)管理簡單、直觀

采用VLAN技術(shù)，可以根據(jù)不同需求將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低網(wǎng)絡(luò)維護(hù)費(fèi)用。

審核編輯：劉清