VLAN 是什么？如何用 VLAN 提高网络安全与效率？

VLAN 是什么？如何用 VLAN 提高网络安全与效率？

前言

肝文不易，点个免费的赞和关注，有错误的地方请指出，看个人主页有惊喜。 作者：神的孩子都在歌唱

一. VLAN 基础

1.1 VLAN 的概念

VLAN（Virtual Local Area Network，虚拟局域网），是一种逻辑上的子网划分技术，可以在同一个物理交换机上创建多个虚拟的局域网。不同 VLAN 之间默认不能直接通信，从而提升安全性和管理效率。

简单来说，VLAN 就像是在同一栋大楼里用“隐形的墙”把不同部门的设备隔开，它们只能在各自的 VLAN 内通信，除非通过特殊配置才能访问其他 VLAN。

1.2 VLAN 的工作原理

VLAN 主要通过交换机的端口划分来实现，常见的 VLAN 类型有：

• • 基于端口的 VLAN（Port-based VLAN）：按端口划分 VLAN，例如 1-5 号端口属于 VLAN 10，6-10 号端口属于 VLAN 20。
• • 基于 MAC 地址的 VLAN（MAC-based VLAN）：设备的 MAC 地址决定 VLAN 归属，即使更换交换机端口，仍然属于原来的 VLAN。
• • 基于协议的 VLAN（Protocol-based VLAN）：根据数据包协议类型划分 VLAN，比如 IPv4 和 IPv6 分别属于不同 VLAN。
• • 基于子网的 VLAN（Subnet-based VLAN）：按照 IP 地址段划分 VLAN，例如 192.168.1.0/24 属于 VLAN 100，192.168.2.0/24 属于 VLAN 200。

image-20250403225147215

二. VLAN 如何提升网络安全与效率

2.1 提高网络安全性

1. 1. 隔离不同部门或用户组
   • • 例如，公司财务部、研发部、市场部分别属于不同 VLAN，它们默认不能互相访问，防止未经授权的数据访问。
2. 2. 防止广播风暴（Broadcast Storm）
   • • 在普通局域网中，广播数据会扩散到整个网络，而 VLAN 限制了广播域的范围，从而减少广播风暴，提高网络稳定性。
3. 3. 减少 ARP 欺骗攻击
   • • VLAN 之间默认隔离，黑客难以在不同 VLAN 间发送伪造的 ARP 包，从而降低局域网被攻击的风险。

2.2 提高网络效率

1. 1. 减少无关数据流量 : 例如，市场部的打印机数据不会干扰研发部的服务器，避免带宽浪费。
2. 2. 提高数据传输速度 :VLAN 让数据流向更精准，避免无关数据传输，提高效率。
3. 3. 优化 IT 维护和管理 : VLAN 让网络结构更加清晰，管理员可以按业务需求划分网络，而不必频繁调整物理设备，运维更加轻松。

三. VLAN 实践

以 华为 eNSP（Enterprise Network Simulation Platform） 为例，介绍 VLAN 配置。

image-20250403224240384

目前PC1是可以ping的通PC2的

image-20250403224544722

将端口分配到 VLAN

<Huawei> system-view
[Huawei]sysname SW1
[SW1] interface GigabitEthernet 0/1  
[SW1-GigabitEthernet0/1] port link-type access  
[SW1-GigabitEthernet0/1] port default vlan 10  
[SW1-GigabitEthernet0/1] quit  

此操作将 0/1 端口 绑定到 VLAN 10,然后发现ping不通PC2了，因为它不属于Vlan10。

image-20250403224901982

作者：神的孩子都在歌唱 本人博客：https://blog.csdn.net/weixin_46654114 转载说明：务必注明来源，附带本人博客连接