VLAN隔离技术的知识分享

　　在网络安全隔离技术当中，之前我们有讲到过最常见的一种——网络隔离。在这里，我们来讲讲另外的一种——VLAN隔离。在本文中，小编主要从其概念、作用、优点以及分类这四个方面来展开说明，大家跟着小编来一起学习下吧。

　　概念

　　VLAN隔离是一种划分相互隔离子网的技术，通过将网内设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组。VLAN一方面为了避免当一个网络系统的设备数量增加到一定规模后，大量的广播报文消耗大量的网络宽带，从而影响有效数据的传递;另一方面确保部分安全性较为敏感的部门不被随意访问浏览。

　　作用

　　通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域。由于 VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。

　　使用VLAN隔离技术也有一个明显的缺点，那就是要求网络管理员必须明确交换机的每一个物理端口上所连接的设备的MAC地址或者IP地址，根据需求划分不同的工作组并对交换机进行配置。当某一网络终端的网卡、IP地址或是物理位置发生变化时，需要对整个网络系统中多个相关的网络设备进行重新配置，这加重了网络管理员的维护工作量，所以也只适用于小型网络。

　　优点

　　1.增加了网络的连接灵活性

　　借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

　　2.控制网络上的安全

　　VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

　　3.增加网络的安全性

　　因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组， 网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

　　分类

　　1.基于MAC地址的VLAN

　　这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其属于VLAN的成员身份。

　　2.基于端口的VLAN

  这是最常用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换多扣来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分为若干组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机，如下图所示。

　　3.基于第3层的VLAN

　　基于第3层的VLAN是采用在路由器中常用的方法：IP子网和IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。

　　4.基于策略的VLAN

　　基于策略的VLAN是一种比较灵活有效的VLAN划分方法，它能够实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。该方法的核心是采用什么样的策略?目前，常用的策略有(与厂商设备的支持有关)：按MAC地址, 按IP地址, 按以太网协议类型, 按网络的应用等。

　　VLAN隔离技术的应用主要是在小型企业和校园网当中，基于它具有一定的安全隐患，因此在一些大型的网络当中并没有广泛应用。当然啦，也许以后VLAN隔离技术的越发成熟，它的安全隐患问题也会得以解决，那么它在大型网络当中会广泛应用也有可能，对于这个期望，我们就拭目以待吧。如果大家觉得小编的这篇文章有给您提供一点点帮助的话，可以给小编点一个赞哦!