VLAN为什么要划分VLAN？

　　有时候在外面实施工程,总是听到一些系统集成商的工程师要求划分几个VLAN。三栋楼,划分三个VLAN,或者四个部门,划分在四个VLAN当中使它们分离....

　　有些人会认为划分VLAN的目的就是为了隔离不同VLAN不让他们互访(其实这是非常多人的误区,小编也慢慢变成这样的想法了,当然这可以通过ACL做到,但并不是划分VLAN的目的,这个最多可以理解成这是划分VLAN之后的一种应用并不是最终目的。),如果你是一位CCNP,问下自己是不是这样?如果你也同意,相信NP理论一定不够扎实。小编今天翻了下书,其实划分VLAN的目的就两个:

　　1.提高安全性----------举个例子:没有划分VLAN前,交换机端口连接下的所有PC都处于一个VLAN中即一个广播域中,实现ARP中间人攻击太简单了.划分了VLAN之后,缩小了ARP攻击的范围.ARP报文是一个2.5层的报文,只能在同一个VLAN中传播。

　　2.提高性能-----------不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广域播,占用了很多带宽.划分了VLAN,缩小的广播域的大小,缩小了广播报文能够到达的范围。

　　误区解释:划分VLAN的目的根本没有隔离VLAN不让VLAN间互访这么一说:划分VLAN如果真是为了隔离,怎么还要使用单bi路由或者三层设备来实现他们不同VLAN间的互联呢,这不是多此一举吗?,更何况现在的三层交换机,划分了vlan,如果配置了VLAN的三层接口即intvlanif并且将这个三层接口作为接在该VLAN下的PC的网关时,所有VLAN下的PC在默认没有作三层VLANIF接口间流量访问控制时是完全可以互访的,要隔离还得使用ACL...........这个只是划分VLAN之间可以实现的一种应用(并不是划分VLAN的最终目的)

　　小编结语：划分VLAN是为了控制广播域。减少广播风暴的影响。间接提高了安全性。只是划分VLAN在实际表现中就是端口之间不能正常通信（ARP泛洪接收不到）所以就会被认为是起到了隔离的作用。