数据通讯之终端数量就那几十台还需要划分vlan吗

欢迎大家来到IT世界,在知识的湖畔探索吧!

数据通讯之终端数量就那几十台还要划分vlan吗

“我想把我们公司的二十多台电脑和三台打印机及无线网络划分为5个vlan，可以吗？”，客户这边负责人提出的需求。

“可以，可以。”我答复到。

“就二十多台电脑还要划分vlan”，身后新来的助手默默的嘟囔着。

是啊，就二十多台电脑，我们真的要给划分vlan吗？这就是本文要探讨的问题。

规划一个局域网络，是否要划分vlan，不是取决于网内有多少台终端，也不是网内终端多就必须划分vlan，而是取决于这个网络中业务的需求。

客户这边虽然只有二十多台电脑加三台打印机，外加无线移动终端，最多同时在线的终端数量也就五六十个吧。如果按照终端数量来定义vlan的话，确实不需要划分vlan。但是经过沟通，了解到客户的网络内隐含了三个部门（老板、财务、普通员工），加两组无线网络（内部无线网络、访客无线网络），这样一来，确实需要划分5个vlan。

客户这边是根据业务部门不同来规划vlan的（具体vlan理论及配置在此不作阐述，有需求的可以评论追加或私聊我），那网络中还有哪些场景需要划分vlan呢？

我们来深究一下划分vlan到底能给局域网络带来哪些好处。

一、Vlan可以实现vlan内端口二层隔离或vlan间端口二层隔离

Super VLAN可以实现不同Sub VLAN之间二层相互隔离，三层互通。Super VLAN即VLAN聚合，其每个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层彼此相互隔离。Super VLAN用于配置三层接口，所有物理端口不能属于Super VLAN，Sub VLAN不能配置三层接口，所有物理端口配置属于相应的Sub VLAN。当Sub VLAN内的用户需要进行三层通讯时，使用Super VLAN三层接口IP地址作为默认网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

华为私有的Mux vlan可以vlan内端口间二层隔离或vlan间端口二层隔离。Mux vlan分为主vlan和从vlan，从vlan又分为互通型vlan和隔离型vlan。主vlan可以和所有从vlan端口间相互通讯，同一互通型vlan端口之间可以相互通讯，不同互通型vlan端口之间不可以相互通讯，隔离型vlan端口之间不可以相互通讯。

那么二层隔离的原理是什么呢？我们都知道二层设备的大脑记忆的都是MAC地址，交换设备就是根据是否分享MAC地址表来实现是否可以通讯。

思科也有自己的私有技术，目前已不提倡使用思科设备，所以在此不作阐述。

有人会说啦，不通过vlan也可以实现端口隔离啊？对，可以，比如端口隔离。

对于有些生产环境中，网络本身不需要规划vlan，比如一个小的监控局域网络，只需要内网通讯正常即可，就没有必要配置vlan了，如果出于安全需要，采用端口隔离功能，也一样可以实现不同端口之间的二层隔离。

端口隔离功能是交换机端口之间的一种访问安全控制机制，通过将端口加入隔离组，实现相同隔离组内端口之间二层数据的隔离；不同隔离组的端口之间二层数据可以通讯；在隔离组内的端口和不在隔离组内的端口之间二层数据可以通讯。由于端口隔离的端口之间无法相互通讯，所以端口隔离功能为用户网络提供了安全的解决方案。

端口隔离的二层隔离与vlan实现的二层有一定的区别：

1、端口隔离的端口之间无法相互通讯，但可以与网关通讯；VLAN是端口之间可以选择允许通讯还是不允许通讯；

2、端口隔离功能是最原始的隔离，不能跨交换机实现；VLAN功能可以跨交换机实现。

二、Vlan可以实现vlan间三层隔离

在vlan下应用策略路由或QoS可以实现vlan间三层隔离。

三、Vlan可以隔离广播

隔离广播不是vlan作用中最主要的一个功能。通常一个VLAN，一个子网，即一个广播域，每个vlan都是一个广播域是源于vlan虚接口，而vlan虚接口衍生于路由器的物理接口，通常路由器的每个物理接口都是一个广播域。为什么一提起vlan时，讲解者们都强调vlan的功能是隔离广播呢，那是因为广播隔离更容易理解，是快速传授vlan技术知识的切入点。

Vlan存在的意义是保障网络安全，控制网络流量、简化网络管理、提供更为可靠的通讯，同时隔离了广播风暴。

本节内容适合基础进阶者参阅，欢迎拍砖指正。