虚拟局域网（VLAN）是网络的逻辑划分，它使设备之间能够进行通信，就像连接到单个交换机一样。对于网络安全、性能和组织而言，这些划分至关重要。

本文将解释VLAN可解决的问题，并概述VLAN配置步骤。

为什么要使用VLAN？

在网络配置过程的早期，大多数管理员会将网络划分为更小、更易管理的部分。网络管理员出于各种性能和设计原因划分网络，例如：

• 安全。隔离到特定网络段的流量可以减轻窃听攻击。
• 性能。隔离到特定网络段的流量可以缓解网络拥堵问题。
• 可管理性。更易于管理的网络提供了更灵活的物理网络基础设施，更容易按部门下放行政权力，并更容易整合远程物理地点，例如分支机构。

传统的网络分隔使用路由器来隔离子网，每个分段都有自己的地址，例如192.168.2.0/24。同一子网中的客户端通过交换机进行通信，而子网间通信需要路由器或第3层交换机。

这种分隔在子网之间建立了逻辑分离。但是，根据网络的划分方式，基于物理布线、楼层或部门，分隔可能会导致物理连接问题。例如，考虑一下，如果公司销售副总裁想搬到角落办公室，而团队的其他成员在地下室工作。在网络方面，子网设计在OSI第3层运行，在那里发生IP寻址和路由。

那么，VLAN如何帮助解决这些问题，它们的配置步骤是怎样的呢？与典型的子网不同，VLAN在OSI第2层运行。VLAN使用基于分配给网络接口卡（NIC）的物理MAC地址的数据，而不是通过逻辑IP地址识别流量。

简单来说，VLAN按MAC地址而不是IP地址对系统进行分组。

VLAN的工作原理

网络管理员必须了解使用VLAN的环境的一般用途和结构，然后才能配置交换机来支持它们。

离开计算机的网络数据包含四个地址：

1. 源MAC地址。NIC的MAC地址。
2. 源IP地址。NIC的IP地址。
3. 目的地MAC地址。处理数据包的下一个设备的MAC地址，通常是交换机或路由器。
4. 目标IP地址。目标系统的IP地址。

通常，只有一个设备连接到每个物理交换机端口。

网络管理员必须在交换机上定义两个或多个VLAN，为每个VLAN分配一个网络ID，并将适当的物理端口连接到其中一个VLAN。

例如，管理员可能会决定为业务网络中的部门创建 VLAN：

1. 开发者团队. 出于安全原因，网络管理员通常会隔离此部门。

VLAN 10: Network ID 192.168.10.0/24, name dev-vlan.

2. 财务部门。出于安全原因，网络管理员通常会隔离此部门。

VLAN 20: Network ID 192.168.20.0/24, name fin-vlan.

3. 营销团队。网络管理员通常会隔离此部门，出于容量规划考虑，因为该团队经常会生成大型多媒体文件，导致网络性能下降。

VLAN 30: Network ID 192.168.30.0/24, name mar-vlan.

4. 所有其余员工电脑。网络管理员会将其余的电脑分到普通组。

VLAN 40: Network ID 192.168.40.0/24, name prod-vlan.

接下来，网络管理员决定哪些计算机连接到每个交换机上的物理端口。如果计算机Dev1连接到SwitchA上的端口9，请将该端口连接到VLAN 10。如果计算机Fin3连接到SwitchA上的端口8，请将该端口加入VLAN 20。如果计算机Mar7连接到SwitchA上的端口10，请将其添加到VLAN 30中。

网络管理员必须对每个交换机都这样做。他们还会在交换机之间配置中继连接，从而实现VLAN内的跨交换机通信。

使用VLAN的好处之一是，VLAN中的设备级别只能与同一段中的其他设备通信。例如，连接到分配给VLAN 10的交换机端口的客户端仅与VLAN 10上的其他设备通信，无论主机使用哪个交换机。如有必要，网络管理员还可以连接为所有子网配置的路由器，以启用和控制它们之间的流量。

开始使用VLAN

最初的VLAN配置步骤有助于网络管理员规划和绘制网络配置图。这些步骤对VLAN配置成功至关重要。

1. 规划VLAN配置

首先了解网络分割目标。为什么企业想要隔离开发者团队？为什么企业应该限制从营销部门到某些机器的网络传输？

答案可能与网络安全和性能有关，但管理员在开始细分过程之前必须了解他们的目标。考虑环境独特的网络流量控制需求。

2. 映射网络，并修复任何错误配置或意外设备

准确的网络地图对网络管理至关重要。网络地图对规划、安全事件响应和故障排除很有用。使用Nmap等工具来全面了解网络。

从那里，网络管理员应该创建一个网络图，显示每个路由器、交换机和IP子网。它们必须包括相关的网络服务，例如DNS名称解析和动态主机配置协议IP地址分配。

如何设置VLAN

使用安全外壳（SSH）或HTTPS连接到交换机。网络管理员可以在命令提示符上使用基于Web的GUI或命令，具体取决于交换机接口。

验证每个交换机，并根据网络地图创建VLAN。这些命令类似于以下步骤。

要创建新的VLAN并选择其配置界面，请键入以下内容：

switch(config)# vlan 10

switch(config-vlan)# name dev-vlan

要确认VLAN设置，请键入以下内容：

switch# show vlan

对每台交换机重复这些步骤。

通过指定中继来创建交换机之间的VLAN连接。进入接口的配置模式，并将其指定为中继。

switch(config)# interface gigabitethernet 1/0/1

switch(config-if)# switchport mode trunk

要指定哪些VLAN可以使用中继，请键入以下内容：

switch(config-if)# switchport trunk allowed vlan 10,20,30,40

此示例启用所有VLAN。

请确认中继配置：

switch# show interfaces trunk

接下来，使用GUI或CLI将每个物理交换机端口加入到VLAN。该命令因交换机到操作系统而异，但应该类似于以下示例。要启用访问模式并将接口GigabitEthernet 0/1添加到VLAN 10，请键入以下内容：

switch(config)# interface gigabitethernet 0/1

switch(config-if)# switchport mode access

switch(config-if)# switchport access vlan 10

使用针对交换机的相应命令保存更改，例如，键入以下内容：

switch# copy running-config startup-config

不要忘记使用Wireshark和tcpdump等工具测试配置，以拦截流量，并确保寻址和VLAN标记工作如预期进行。

基于网络的管理

大多数交换机允许基于网络的管理来执行创建VLAN等任务。这些接口通常更容易使用。

网络管理员应记得使用HTTPS连接来管理他们的交换机，以保证安全，而不是使用普通的HTTP会话。VLAN配置的界面各不相同，但一般步骤保持不变。

VLAN监控

网络管理员应该持续监控VLAN配置，以确保交换机端口分配保持准确，并且中继正常工作。他们还必须添加新的交换机、子网或主机到整体VLAN结构中，作为变更管理流程的一部分。如果不这样做，可能会危及隔离的主机或子网，这可能会触发服务台工单和故障诊断事件。

VLAN和交换机安全选项

现在有很多安全选项来帮助管理VLAN和交换机。需要研究和考虑的VLAN安全选项包括以下：

• 部署端口安全。将MAC地址分配给特定的交换机端口，以避免未知和未经授权的设备。
• 保护管理连接。控制对VLAN基础设施的管理员连接和权限。
• 使用SSH和HTTPS进行管理连接。不要使用未加密的管理员连接来交换机，并更改默认帐户名称和密码。
• 管理VLAN中继分配。仅将VLAN分配给它们需要的特定中继，以避免在每个接口上不必要地传递流量。
• 配置管理员VLAN。将管理和配置流量与生产流量隔离。
• 配置来宾VLAN。管理和隔离网络上的来宾设备。
• 禁用未使用的端口。禁用未使用的端口，以避免空端口上出现意外和未经授权的设备。大多数开关都启用了此功能。

VLAN 故障诊断

大多数 VLAN 故障排除涉及确认配置。从主机级别开始，然后到整体的VLAN架构。网络管理员可以按照以下一般步骤操作：

1. 确认客户端的网卡工作正常，并且与交换机的连接稳定。
2. 检查端口是否已分配给正确的 VLAN。在某些故障诊断情况后，这一点尤其重要。例如，假设网络管理员将客户端的网络连接从一个交换机端口移动到另一个交换机端口——他们可能无意中将其移动到另一个VLAN。
3. 确认VLAN中继设置，以确保交换机能够有效通信。
4. 验证所有交换机上的 VLAN 名称的准确性。
5. 检查路由问题，特别是准确的数据包过滤器和路由表。

如果网络管理员使用MAC地址过滤器将特定的NIC分配给特定的交换机端口，则应特别小心。如果桌面支持技术人员更换网卡进行故障诊断，网络团队可能会遇到 VLAN 端口分配问题。

总结

VLAN是当今网络基础设施的重要组成部分。VLAN显著增强网络管理员管理流量、提高安全性和优化性能的能力。大多数交换机提供相对简单的接口，以帮助创建VLAN，为VLAN分配端口，并在交换机之间建立VLAN中继，从而实现灵活的配置。

网络管理员必须检查他们的网络，看看VLAN如何改善他们当前的配置。如果企业已经使用VLAN来管理网络流量，网络团队应审核配置，以确保其以最佳性能运行。