一、VLAN 基礎

1. VLAN 的概念

VLAN（Virtual Local Area Network，虛擬局域網），是一種邏輯上的子網劃分技術，可以在同一個物理交換機上創建多個虛擬的局域網。不同 VLAN 之間默認不能直接通信，從而提升安全性和管理效率。

簡單來說，VLAN 就像是在同一棟大樓里用“隱形的墻”把不同部門的設備隔開，它們只能在各自的 VLAN 內通信，除非通過特殊配置才能訪問其他 VLAN。

2. VLAN 的工作原理

VLAN 主要通過交換機的端口劃分來實現，常見的 VLAN 類型有：

• 基于端口的 VLAN（Port-based VLAN）：按端口劃分 VLAN，例如 1-5 號端口屬于 VLAN 10，6-10 號端口屬于 VLAN 20。
• 基于 MAC 地址的 VLAN（MAC-based VLAN）：設備的 MAC 地址決定 VLAN 歸屬，即使更換交換機端口，仍然屬于原來的 VLAN。
• 基于協議的 VLAN（Protocol-based VLAN）：根據數據包協議類型劃分 VLAN，比如 IPv4 和 IPv6 分別屬于不同 VLAN。
• 基于子網的 VLAN（Subnet-based VLAN）：按照 IP 地址段劃分 VLAN，例如 192.168.1.0/24 屬于 VLAN 100，192.168.2.0/24 屬于 VLAN 200。

二、VLAN 如何提升網絡安全與效率

1. 提高網絡安全性

(1) 隔離不同部門或用戶組

例如，公司財務部、研發部、市場部分別屬于不同 VLAN，它們默認不能互相訪問，防止未經授權的數據訪問。

(2) 防止廣播風暴（Broadcast Storm）

在普通局域網中，廣播數據會擴散到整個網絡，而 VLAN 限制了廣播域的范圍，從而減少廣播風暴，提高網絡穩定性。

(3) 減少 ARP 欺騙攻擊

VLAN 之間默認隔離，黑客難以在不同 VLAN 間發送偽造的 ARP 包，從而降低局域網被攻擊的風險。

2. 提高網絡效率

• 減少無關數據流量：例如，市場部的打印機數據不會干擾研發部的服務器，避免帶寬浪費。
• 提高數據傳輸速度：VLAN 讓數據流向更精準，避免無關數據傳輸，提高效率。
• 優化 IT 維護和管理：VLAN 讓網絡結構更加清晰，管理員可以按業務需求劃分網絡，而不必頻繁調整物理設備，運維更加輕松。

三、VLAN 實踐

以 華為 eNSP（Enterprise Network Simulation Platform） 為例，介紹 VLAN 配置。

目前PC1是可以ping的通PC2的：

將端口分配到 VLAN：

<Huawei> system-view
[Huawei]sysname SW1
[SW1] interface GigabitEthernet 0/1  
[SW1-GigabitEthernet0/1] port link-type access  
[SW1-GigabitEthernet0/1] port default vlan 10  
[SW1-GigabitEthernet0/1] quit

此操作將 0/1 端口 綁定到 VLAN 10,然后發現ping不通PC2了，因為它不屬于Vlan10。