交换机划分 VLAN(Virtual Local Area Network,虚拟局域网) 的目的,其实就是在二层网络里人为地“划分逻辑边界”,避免整个网络混在一起。
为什么要划分 VLAN
广播域隔离
不划 VLAN 时,交换机里所有端口默认都属于同一个广播域。
一台主机发 ARP 广播,全网都会收到,网络规模大了以后广播风暴就会拖垮网络。
划分 VLAN 后,每个 VLAN 就是一个独立的广播域,广播只在本 VLAN 内传播。
提升网络安全性
- 不同部门(如财务、人事、研发)如果全在同一网段,任何人都能直接互访。
- VLAN 可以把部门网络隔开,互访必须通过三层设备(路由器/三层交换机)并加上策略控制。
提高管理灵活性
- 可以根据逻辑需求划分,而不是物理位置。
- 比如研发人员分散在不同楼层,但都可以划进同一个 VLAN,方便统一管理。
减少冲突、提升性能
- VLAN 限制了广播范围,减少了不必要的流量,整体效率更高。
- 在大型企业网中,划 VLAN 是必要手段,否则交换机性能和带宽会被浪费在无用广播上。
支持网络规划与扩展
- 当网络规模扩大时,可以通过 VLAN 快速调整,不需要频繁改布线。
- 结合 ACL、防火墙、QoS,还能做更精细的策略和流量管理。
VLAN的使用场景
VLAN的常见使用场景包括:VLAN间用户的二层隔离,VLAN间用户的三层互访。
VLAN 的实际作用总结
一句话:VLAN 的作用就是把一个物理网络,划分成多个逻辑小网络,每个小网络独立、安全、可控,互相通信需要三层转发。