化繁為簡: 虛擬區域網路(VLAN)
區域網路(LAN)指的是一種網路架構,將兩個或多個設備有效地分組在一起的架構。而虛擬區域網(VLAN)是一種在LAN中實現區隔的技術,它允許將不同的設備根據其特定需求或屬性,劃分為不同的虛擬網路,以實現更有效的管理和資源劃分。
網路管理員透過 虛擬區域網路(VLAN)可以將單一交換網路細分為多個群組,以滿足系統的功能和安全需求。這一技術的優勢在於,無需進行新的電纜佈建或對現有網路基礎設施進行重大更改,就可實現不同屬性的細分。
在這張圖中,一台交換機內有兩個虛擬網(VLAN)。VLAN-10 上的使用者無法進入VLAN-20 上的設備,反之亦然
VLANs vs. LAN
| Network Parameters | LAN (Local Area Network) | VLAN (Virtual Local Area Network) |
|---|---|---|
| Latency | High | Low |
| Devices | Hubs, switches, and routers | Switches and bridges |
| Network Segmentation | Not allowed | Allowed |
| Broadcast Traffic | Prone to broadcast congestion | Reduces broadcast traffic |
| Management | Simple (Single network) | Advanced (Multiple network) |
| Isolation | Lacks inherent isolation | Provides isolation between multiple VLANs |
| Security Configuration | Basic (Relying on external measures) | Offers granular security control through policies |
| Flexibility | Confined to physical infrastructure | Circumvents the physical limitations |
| Scalability | Requires extensive infrastructure changes | No infrastructure changes needed |
| Resource Allocation | Inefficient | Enhances resource and network efficiency |
| Failure Domain | Single | Multiple |
VLAN 中標記 (tagged) 與未標記 (untagged) 的差異:
不同VLAN之間需要透過交換器或路由器來進行通訊。VLAN之間的路由器具有多項功能,包括過濾廣播流量、增強網路安全性、實現位址匯總,並有助於緩解網路擁塞。
簡單來說,VLAN可分為未標記和已標記兩種類型。已標記的VLAN會在數據包中添加一個特殊的"標記",這樣交換器和路由器才能正確處理它們。大多數網絡設備都使用IEEE 802.1Q標準,它在數據包中加入四個位元組的標籤,這個額外的信息告訴我們這個數據包屬於哪個VLAN,同時還有一個VLAN ID號碼(在同一網絡上最多可以有4094個VLAN)。已標記的VLAN可以可共用同一交換器埠,就是所謂的中繼埠。
未標記的VLAN是建立在交換器的實體連接埠上,通常稱為存取連接埠。這種VLAN在數據包中不添加額外的標記資訊,實際上,每個連接埠都被分配給特定的VLAN,就像將單一實體交換器分成多個虛擬小交換器。當某設備僅連接到某個VLAN的連接埠時,該連接埠將被視為未標記的,因此不會在封包中添加額外的標記。这種方式能有效管理不同VLAN。
以連接埠為基礎的 VLAN (Port-based VLAN)
被標記的 VLAN (Tagged VLAN)
虛擬區域網路(VLAN)的管理
管理VLAN就是所有交換機共用的網路,不論網路上存在多少其他VLAN。為了提高安全性,可以將特定的連接埠分配給管理VLAN,這樣只有管理員才能登錄到這些連接埠。此外,還可以指定特定的MAC位址以允許其登入網路,以確保只有這些已認可的設備可以連接。這有助於防止未經授權的設備隨意被加入到系統中。然而,如果管理VLAN的配置出現問題,將會因為配置錯誤可能導致管理員或技術人員失去對交換機的管理權限,必須將其重置為出廠設定以恢復連結。
虛擬區域網路(VLAN)的運作原理
VLAN常用於智慧交通運輸系統(ITS)應用中。ITS網路需要傳輸多種數據,包括重要的交通控制信號、安全監控影像串流以及數位看板資訊。不同類型的數據有不同的緊急性和安全性需求。當不同類型的數據在傳輸中發生衝突時,關鍵的交通控制信號必須擁有最高的優先順序,且不能遺失。因此,建議使用VLAN進行數據隔離和 QoS(服務品質)分類。這樣,控制信號數據可以被分配到其專用的VLAN上,以確保在網路流量擁擠時能夠獲得優先傳輸。
虛擬區域網路(VLAN)的優點:
- 提高網路效能:
VLAN透過縮小廣播域的範圍,減少了廣播資料的數量。當廣播域過大時,廣播資料量可能會對網路交換器性能造成負擔。 - 增加安全性:
您可以為具有特定安全許可的使用者建立特定的VLAN,從而實現更精細的安全控制。 - 簡化設備管理:
VLAN讓設備管理更加容易。當使用者需要移動到新的地點時,無需重新配置其實體工作站。此外,即使使用者保持在相同位置但更換工作,只需調整工作站的VLAN成員身份即可實現設備配置的簡便管理。
VLAN(Virtual Local Area Network)是網路管理中一個強大的工具,它可以區分一個大型網路,使其更有效率。也可以將不同的裝置或使用者分組到不同的虛擬子網中,減少不必要的廣播流量。此外,VLAN提供了更高的安全性,確保資料只傳送到預期的接收方,同時防止資料被不相關的使用者讀取。如果網路跨越多個交換器,VLAN可以跨越不同的交換器,這樣不同地點的使用者可以透過這些虛擬子網,簡化整個網路的管理。
延伸閱讀
* 了解Gigabit 交換器的優勢:使用者體驗、用例和應用
* 強固級 / 工業級 第 3 層乙太網路交換器
* 如何為關鍵網路選擇合適的工業級乙太網路交換器