有人可以简单地解释一下什么是虚拟局域网以及它是如何工作的吗?
或者你可以澄清维基文章:
虚拟 LAN (VLAN) 是在数据链路层(OSI 第 2 层)的计算机网络中划分和隔离的任何广播域。LAN 是局域网的缩写,在这种情况下,虚拟是指通过附加逻辑重新创建和更改的物理对象。VLAN 通过网络数据包中的标签和网络系统中的标签处理工作 - 重新创建物理上位于单个网络上的网络流量的外观和功能,但就像在不同的网络之间拆分一样。这样,尽管 VLAN 连接到同一网络,也可以保持网络分离,并且不需要部署多组布线和网络设备。
LAN 是一组连接到同一网络的设备,可以在它们之间进行通信。
虚拟 LAN 是一组使用tag以太网帧中预定义的设备可以在它们之间进行通信。它们与同一网络中不使用相同标签的其他设备隔离。
在图中,所有设备都连接到同一交换机(单个网络),但有两个 VLAN(Sales和Finance),因此所有Sales设备都可以在它们之间通信,但不能与Finance设备通信。
设备(在本例中为 PC)不知道 VLAN 的存在。VLAN标签配置在交换机端口,交换机是VLAN感知的网络设备。
在介绍虚拟 LAN 的概念之前,让我先介绍几个术语:
所以本质上,当我们在网络中放置一个路由器并分配 IP 地址时,我们正在创建新的广播域。
那么,什么是 VLAN?
即使设备连接到第 2 层交换机,VLAN 也使我们能够创建单独的广播域。要使一个 vlan 中的设备与另一个 vlan 中的设备通信,我们需要路由器或第 3 层设备。
术语 VLAN 有点令人困惑,因为它以两种相关但略有不同的方式使用。根据上下文,它可以参考。
VLAN 让我们将单个物理以太网网络拆分为多个虚拟以太网网络。这是通过在数据包通过承载多个 VLAN 的“中继”链路时标记数据包来完成的。通常在将数据包发送到终端系统之前移除标签。
我们可能想要这样做的原因有很多,包括但不限于。
许多网络管理员在 VLAN 和 IP 子网之间保持 1:1 映射,这当然使生活更简单,但 VLAN 和子网在不同层是不同的概念,当然不必有 1:1 映射。
类似地,在许多较小的网络中,VLAN 标记号和虚拟以太网网络之间可能存在 1:1 映射,但随着网络增长超过特定规模,维护不再实用,因为只有大约 4000 个可用的 VLAN 标记号。
虚拟局域网可以定义为网络的逻辑分段。
网络流量可以根据业务需求进行隔离或隔离。由于这种隔离,大多数安全线程可以限制在相同的 VLAN 内。
VLAN 还可用于分隔流量以提高网络安全性。