FeelingLife
xuqil
2025-05-13
目录

VLAN

# VLAN(Virtual Local Area Network,虚拟局域网)

# 一、VLAN 是什么?

VLAN 是一种在物理网络基础上实现逻辑隔离的技术,允许将一个物理局域网(LAN)划分为多个独立的虚拟局域网。

  • 核心功能:通过软件配置而非物理布线,将设备划分到不同的广播域中,实现网络流量的逻辑隔离。
  • 工作层级:属于 OSI 模型中的 数据链路层(Layer 2),依赖交换机实现。

示例
假设一个企业有财务部和研发部共用同一台物理交换机,通过 VLAN 技术可以将财务部设备划入 VLAN 10,研发部划入 VLAN 20,即使物理连接在同一交换机上,双方也无法直接通信。

# 二、为什么会有 VLAN?

传统局域网存在以下问题,VLAN 通过逻辑隔离解决了这些痛点:

  1. 减少广播风暴

    • 传统 LAN 中,所有设备处于同一广播域,广播流量可能占满带宽。
    • VLAN 将广播域分割为多个小型域,限制广播范围,提升网络效率。

  2. 提升安全性

    • 未划分 VLAN 时,同一 LAN 内的设备可以互相访问,存在数据泄露风险。
    • VLAN 隔离不同部门的流量(如财务部与普通员工),增强安全性。

  3. 灵活的网络管理

    • 无需调整物理线路,通过配置即可将设备划分到不同逻辑网络中。
    • 例如:跨楼层的设备可以划入同一 VLAN,实现逻辑上的“近邻”通信。

  4. 优化资源利用

    • 不同业务(如视频会议、文件传输)可以分配到不同 VLAN,避免相互干扰。

# 三、VLAN 与 VPC 的关系

# 1. 相似点

  • 逻辑隔离:两者均通过虚拟化技术实现网络资源的逻辑隔离。
  • 灵活配置:无需依赖物理设备,通过软件定义策略即可调整网络架构。

# 2. 核心区别

特性 VLAN VPC
工作层级 数据链路层(Layer 2) 网络层及以上(Layer 3+)
应用场景 传统本地网络(企业内网) 云计算环境(公有云/私有云)
隔离范围 同一物理网络内的设备隔离 跨物理服务器、跨区域的隔离
管理对象 交换机端口、MAC 地址 子网、路由表、安全组、云资源
扩展性 依赖物理交换机数量与性能 弹性扩展,支持大规模云环境

# 3. 实际关系

  • 互补场景
    • 在混合云中,本地数据中心可能使用 VLAN 划分部门网络,而云上资源通过 VPC 隔离,再通过 VPN/专线互联。
    • 云服务器内部可能使用 VLAN 进一步隔离容器或虚拟机(例如 Kubernetes 网络)。
  • 技术结合
    • VPC 的底层可能依赖类似 VLAN 的技术实现虚拟网络隔离,但 VPC 是更高层次的抽象(包含 IP 分配、路由、安全组等)。

# 四、总结

  • VLAN:解决传统局域网中的广播风暴、安全性和管理灵活性问题,聚焦于二层网络的逻辑隔离
  • VPC:解决云计算环境中多租户资源隔离、跨区域组网和混合云连接问题,提供完整的网络架构管理能力
  • 关系:两者均实现逻辑隔离,但 VLAN 是网络分层中的基础技术,而 VPC 是面向云计算的综合网络服务,可结合使用以满足复杂场景需求。

# 一、VLAN 的原理

VLAN(虚拟局域网)的核心原理是通过 逻辑隔离 将一个物理局域网划分为多个独立的广播域,其实现依赖于 交换机VLAN 标签(Tagging),具体原理如下:

# 1. VLAN 的标识方式

  • VLAN ID:每个 VLAN 分配一个唯一的标识符(范围 1~4094),用于区分不同的逻辑网络。
  • 帧格式:在以太网帧的头部插入 802.1Q 标签(4 字节),包含 VLAN ID 和其他控制信息。
    (注:原始以太网帧的 Type/Length 字段前插入 VLAN 标签)

# 2. VLAN 的实现方式

  • 基于端口的 VLAN(Port-Based VLAN)
    将交换机的物理端口静态划分到不同 VLAN,接入该端口的设备自动归属对应 VLAN(最常用)。
    示例

    • 端口 1-8 属于 VLAN 10(财务部)
    • 端口 9-16 属于 VLAN 20(研发部)

  • 基于 MAC 地址的 VLAN
    根据设备的 MAC 地址动态分配 VLAN,适合移动设备场景(如会议室终端)。

  • 基于协议或子网的 VLAN
    根据 IP 子网或协议类型(如 IPv4/IPv6)划分 VLAN,需交换机支持高级功能。

# 3. VLAN 的数据转发流程

  1. 入方向(Ingress)

    • 当交换机收到数据帧时,根据接收端口配置的 VLAN ID 为帧打上标签(Tagging)。
    • 若未配置 VLAN,则默认属于 Native VLAN(通常为 VLAN 1)。

  2. 转发决策

    • 交换机仅将数据帧转发给同一 VLAN 内的端口,不同 VLAN 的流量默认隔离。

  3. 出方向(Egress)

    • 根据目标端口的配置决定是否剥离 VLAN 标签(Untagging)。
    • 普通终端设备不支持 VLAN 标签,因此出口端口需剥离标签;Trunk 端口保留标签用于跨交换机传输。

# 二、VLAN 的互通情况与原理

# 1. 同一 VLAN 内的互通

  • 原理:同一 VLAN 的设备处于同一广播域,可直接通过二层交换通信(基于 MAC 地址)。
  • 示例
    PC1(VLAN 10)和 PC2(VLAN 10)连接到同一交换机,可直接通信。

# 2. 不同 VLAN 间的隔离

  • 原理:不同 VLAN 默认属于不同的广播域,二层隔离,无法直接通信。
  • 示例
    PC1(VLAN 10)无法直接访问 PC3(VLAN 20),需通过三层设备(路由器或三层交换机)路由。

# 3. 不同 VLAN 间的互通方案

不同 VLAN 间若需通信,必须借助 三层设备 实现路由功能,常见方案如下:

# 三、VLAN 互通的实现方案

# 方案 1:单臂路由(Router-on-a-Stick)

  • 原理
    通过一个物理路由器接口连接交换机的 Trunk 端口,利用子接口(Sub-Interface)为每个 VLAN 分配逻辑接口,实现 VLAN 间路由。
  • 配置要点
    • 交换机 Trunk 端口允许所有需互通的 VLAN 流量。
    • 路由器子接口配置不同 VLAN 的网关 IP。
  • 示例
    // 交换机配置
interface GigabitEthernet0/1
  switchport mode trunk
  switchport trunk allowed vlan 10,20

// 路由器配置
interface GigabitEthernet0/0.10
  encapsulation dot1Q 10
  ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0.20
  encapsulation dot1Q 20
  ip address 192.168.20.1 255.255.255.0
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13

# 方案 2:三层交换机(SVI 接口)

  • 原理
    使用三层交换机的 SVI(Switch Virtual Interface) 作为 VLAN 的网关,直接通过交换机的三层路由模块转发流量。
  • 配置要点
    • 为每个 VLAN 创建 SVI 接口并配置 IP 地址(作为网关)。
    • 启用 IP 路由功能(如 Cisco 的 ip routing 命令)。
  • 示例
    // 创建 VLAN 并分配接口
vlan 10
  name Finance
vlan 20
  name R&D

interface GigabitEthernet0/1
  switchport access vlan 10

// 配置 SVI 接口
interface Vlan10
  ip address 192.168.10.1 255.255.255.0
interface Vlan20
  ip address 192.168.20.1 255.255.255.0

// 启用路由功能
ip routing
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17

# 方案 3:Hybrid 端口(华为设备)

  • 原理
    Hybrid 端口可同时处理 Tagged 和 Untagged 流量,通过灵活配置 VLAN 标签实现互通。
  • 配置示例
    // 允许 VLAN 10 和 20 的流量通过,VLAN 10 的流量剥离标签
interface GigabitEthernet0/0/1
  port link-type hybrid
  port hybrid pvid vlan 10
  port hybrid untagged vlan 10
  port hybrid tagged vlan 20
    1
    2
    3
    4
    5
    6

# 四、VLAN 互通的底层原理

# 1. 路由过程

  • 跨 VLAN 通信本质是三层路由
    当 PC1(VLAN 10)访问 PC3(VLAN 20)时:
    1. PC1 发送 ARP 请求网关(VLAN 10 的 SVI 或路由器接口)的 MAC 地址。
    2. 数据帧被路由到目标 VLAN(VLAN 20)的网关。
    3. 目标网关通过 ARP 解析 PC3 的 MAC 地址并转发数据。

# 2. 流量路径

  • 单臂路由
    PC1 → 交换机(VLAN 10)→ 路由器子接口(VLAN 10)→ 路由器子接口(VLAN 20)→ 交换机(VLAN 20)→ PC3。
  • 三层交换机
    PC1 → 交换机三层模块 → 交换机三层模块 → PC3(无需经过外部路由器)。

# 五、总结

场景 方案 适用场景 优缺点
少量 VLAN 互通 单臂路由 小型网络,成本低 带宽瓶颈,性能受限
大规模 VLAN 互通 三层交换机(SVI) 企业内网,高性能需求 成本高,需支持三层功能的交换机
灵活标签管理 Hybrid 端口(华为) 多业务混合接入场景 配置复杂,依赖设备厂商支持

核心要点

  • VLAN 的隔离是二层行为,互通需依赖三层路由。
  • 三层交换机是高性能跨 VLAN 通信的首选方案。
  • VLAN 标签(802.1Q)是实现逻辑隔离和跨设备传输的关键技术。
上次更新: 2025/05/13, 13:10:35
veth-pair容器中的网络
VXLAN

VXLAN

最近更新
01
VXLAN互通实验
05-13
02
VXLAN
05-13
03
ip命令的使用
11-02
更多文章>
Theme by Vdoing | Copyright © 2018-2025 FeelingLife | 粤ICP备2022093535号-1