什麼是 VLAN : VLAN 簡介
LAN 是網路上兩個或多個設備的分組。VLAN 是虛擬 LAN,是本地網路中的一個區域網路。
VLAN 使網路管理員可以輕鬆地將單個交換網路分成多個組,以滿足其系統的功能和安全要求。但是,VLAN 是完全虛擬的。它們可以在不佈建新電纜或對現有網路基礎設施進行重大更改的情況下佈建。
在上圖中,一台交換機支援兩個虛擬網路 - 兩個 VLAN。VLAN-10 上的使用者無法進入VLAN-20 上的設備,反之亦然。
VLAN 的優點
- 它們透過減少廣播域的大小來提高網路效能。在廣播域中,每個設備都可以向其他設備發送資料包,並且所有資料封包都必須被接收和處理。當廣播域變得非常大時,由於廣播資料量很大,可能會降低網路交換器的效能。
- VLAN 能允許添加額外的安全層。例如,可以為具有特定安全許可的用戶建立特定的 VLAN。
- VLAN 使設備管理更加容易。如果用戶移動到新的物理位置,則無需重新配置該使用者的物理工作站。此外,如果使用者停留在同一位置但更改了作業,則只需更改工作站的 VLAN 成員資格。
閱讀更多資訊
* 了解Gigabit 交換器的優勢:使用者體驗、用例和應用
* 強固級 / 工業級 第 3 層乙太網路交換器
* 如何為關鍵網路選擇合適的工業級乙太網路交換器
多個VLAN之間需要透過路由器進行通訊。VLAN 之間的路由器可過濾廣播流量、增強 網路安全性 、執行位址匯總並緩解網路擁塞。
第二種VLAN 是建立在連接埠(未標記)和標記的區隔上。對於帶有標記的VLAN,會在封包中插入特殊的"標記",以便交換器和路由器正確轉送這些封包。大多數網路設備支援 乙太網路 架構上的 VLAN 的標準是 IEEE 802.1Q。此標準可向乙太網幀添加四個字節的標記。此額外資訊將幀標識為屬於 VLAN,並包含 VLAN ID 號(同一網路上最多可以有 4094 個 VLAN)。多個標記的 VLAN 可以使用交換機上的同一連接埠,稱為中繼連接埠。
未標記的 VLAN 是架設在交換器上的實體連接埠(稱為 存取連接埠),乙太網路幀中沒有添加額外的資訊。相反,交換器上的每個連接埠都被定義為屬於特定的 VLAN。這種方法將單一實體交換器劃分為多個邏輯交換器。如果設備僅連接到單一 VLAN 中的連接埠,則該連接埠應取消標記。
以連接埠為基礎的 VLAN (Port-based VLAN)
被標記的 VLAN (Tagged VLAN)
還有第三種類型的 VLAN 埠,稱為混合埠。此選項允許同時進行設備和中繼。無線存取點通常使用混合埠進行配置。
VLAN 的管理
管理 VLAN 是所有交換機共用的單一網路,無論網路上存在多少個其他 VLAN。為了安全起見,可以將特定埠分配給管理 VLAN,以便只有管理員才能登錄到該埠。可以列出特定的 MAC 位址(設備)以使其具有連接許可權。這可以防止入侵者僅通過連接新設備即可訪問網路。請注意,如果管理 VLAN 配置錯誤,管理員或技術人員可能會失去對該交換機的連接許可權,並且必須將交換機重置為出廠預設設置才能再次連結。
VLAN 是如何運作的呢?
VLAN常用在ITS (智慧交通系統) 應用程式中。ITS 網路傳輸數據包括關鍵交通控制信號、安防監控影像串流和數位看板資訊流。不同的數據類型具有不同的緊急性和數據安全要求。當不同類型的數據發生衝突時,關鍵交通控制信號必須具有最高的傳輸優先順序,並且不能丟棄這些數據。為此,建議使用 VLAN 進行數據分離和 QoS (Quality of Service) 分類。而流量控制信號數據,在其自己的VLAN上將被分配高優先順序,以便在網路流量很大時能被優先傳輸。
結論
VLAN 可以提高網路資訊交換的效能,而創建邏輯子網會限制工作組中的廣播流量或一組定義的使用者。
VLAN 增強了網路安全,因為 Frames 僅能傳送給預期的接收方,而 Broadcast Frames 僅發送給同一 VLAN 的成員。無論物理距離如何,都需要接收敏感訊息的使用者都可以從常規使用者組分段為獨立的 VLAN。
如果使用中繼埠連接多個交換器,則 VLAN 不限於單個交換器。一個 VLAN 可以具有不同交換器的不同數量的埠。中繼埠之間的鏈路提供每台交換器上的 VLAN 埠之間的連接。VLAN 即是大型網路的方便有效益,而且合乎邏輯的網路管理工具。