三層交換機(jī)下的VLAN劃分，本身就已經(jīng)做到了隔離，無(wú)法通信，VLAN的作用是可以隔離沖突域和廣播域。那么，同一交換機(jī)不同VLAN如何隔離呢？

什么是VLAN？

VLAN也叫虛擬局域網(wǎng)，是一組邏輯上的設(shè)備和用戶(hù)，它們并不受物理位置的限制。相互之間的通信類(lèi)似在同一個(gè)網(wǎng)段中，VLAN是一種新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。

如果一個(gè)局域網(wǎng)內(nèi)有幾百臺(tái)主機(jī)，一旦產(chǎn)生廣播風(fēng)暴，整個(gè)網(wǎng)絡(luò)可能就會(huì)出現(xiàn)癱瘓。所以通過(guò)vlan劃分廣播域，使得廣播被限制在每一個(gè)vlan里面，而不會(huì)跨VLAN傳播。不同vlan之間的主機(jī)在沒(méi)有三層路由的前提下是不能互訪(fǎng)的，從而做到了隔離，這也是出于安全的考慮。

如何劃分VLAN？

1、通過(guò)端口的劃分VLAN

是利用交換機(jī)的端口來(lái)劃分VLAN，就是將交換機(jī)的某些端口定義為一個(gè)VLAN，端口劃分VLAN是最常用的一種VLAN劃分方法，簡(jiǎn)單明了，管理非常方便。

2、通過(guò)MAC地址劃分VLAN

采用全球有唯一的一個(gè)物理地址MAC地址，根據(jù)網(wǎng)卡設(shè)備的MAC地址可以將若干臺(tái)計(jì)算機(jī)劃分在同一個(gè)VLAN中。

3、通過(guò)網(wǎng)絡(luò)協(xié)議劃分VLAN

根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類(lèi)型劃分VLAN，將運(yùn)行相同協(xié)議的主機(jī)劃分到相同的vlan中，適合廣域網(wǎng)中。

4、通過(guò)子網(wǎng)劃分VLAN

基于子網(wǎng)的VLAN，是通過(guò)所連計(jì)算機(jī)的IP地址，來(lái)決定端口所屬VLAN的。即使計(jì)算機(jī)因?yàn)閾Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變，就仍可以加入原先設(shè)定的VLAN。

VLAN之間如何通信

VLAN是廣播域，兩個(gè)廣播域之間由路由器連接，廣播域之間的數(shù)據(jù)包都是由路由器中繼的。因此VLAN間的通信也需要路由器提供中繼服務(wù)。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機(jī)。

綜上所述，使用VLAN最大的好處就是控制廣播風(fēng)暴，隔離了廣播，提高網(wǎng)絡(luò)整體安全性，使網(wǎng)絡(luò)管理簡(jiǎn)單。

責(zé)任編輯：gt