很多人刚接触网络,都会对VLAN一头雾水,其实不用怕,咱们从最熟悉的家用路由器说起,一步步拆解开,就能彻底弄明白什么是VLAN。
一、先搞懂家用路由器:WAN口和LAN口是什么?
咱们家里用的路由器,背面都能看到两种接口,标注着WAN口和LAN口,这是理解VLAN的基础,先把它俩说清楚。
WAN口:全称是Wide Area Network,翻译过来就是广域网口,简单说就是接外网的口。家里的网线、光猫出来的线,必须插在WAN口上,路由器才能连上互联网,这个口是路由器通往外网的唯一通道。
LAN口:全称是Local Area Network,翻译过来就是局域网口,也就是接内网设备的口。家里的电脑、电视、手机(无线也算)、打印机,都是通过LAN口(无线连接等价于连LAN口)组成家庭内部小网络,这些设备之间互相传文件、连打印机,靠的就是LAN口构建的局域网,不用走外网。
二、LAN懂了,那VLAN里的V是什么意思?
咱们已经知道LAN是局域网,那VLAN前面的V,是Virtual的缩写,意思是虚拟的。
所以VLAN合起来,就是Virtual Local Area Network,全称虚拟局域网。
先别急着觉得抽象,先想一个问题:什么是真实的局域网,又为什么需要虚拟的?
三、为什么要做虚拟局域网?真实局域网太费钱了!
先说说真实的物理局域网:假设一个公司有20台电脑,想分成办公、设备、访客三组,互相之间不能随便访问,按照真实物理组网的方式,就需要买3台独立的交换机,每台交换机接一组电脑,三台交换机互相不连通,这样就形成了三个独立的真实局域网。
但问题来了,一台24口的企业交换机就要不少钱,买三台完全是浪费成本,占地方还难维护,太不划算。
而VLAN虚拟局域网,就是为了解决这个问题诞生的!它不用多买交换机,只用一台24口的物理交换机,通过软件设置,就能把这一台交换机,虚拟分割成好几个互相隔离的“小交换机”,相当于花一台设备的钱,实现了多台物理交换机的效果,省钱又省事。
四、VLAN的核心作用:隔离分组,安全又规整
还是拿24口交换机举例,不用额外买设备,直接通过设置,把24个端口分成三组:
1-8口,虚拟成第一组,办公专用;
9-16口,虚拟成第二组,车间设备专用;
17-24口,虚拟成第三组,外来访客专用。
这三组就是三个VLAN,同一组内的设备可以互相通信,不同组之间默认完全隔离,办公电脑访问不了设备组,访客也碰不到公司内部资料,既保障了网络安全,又能让网络管理更规整。
五、VLAN基础配置:记住这个关键命令就够了
对于新手来说,不用记复杂命令,配置VLAN端口,记住用access模式就够了,这是最常用、最基础的配置方式,专门用来把交换机的普通端口,划分到指定的VLAN里。
简单操作流程就是:登录交换机→创建对应的VLAN→把每个端口设置为access模式,再绑定到对应的VLAN编号上,最后保存配置,就完成了基础的VLAN划分。
六、必知的VLAN常识:默认VLAN1删不掉,编号别用2、3、4
1. 交换机自带默认VLAN1,永远删不掉
所有交换机出厂时,都默认自带VLAN1,这个VLAN是系统预留的,不能删除、不能改名,而且交换机所有端口,刚买回来的时候,全都默认在VLAN1里。
当我们创建VLAN10、VLAN20、VLAN30,把端口划分进去后,交换机里其实一共存在4个VLAN:VLAN1、VLAN10、VLAN20、VLAN30。只不过企业组网里,VLAN1一般闲置不用,专门用我们手动创建的这三个VLAN跑业务,端口划到新VLAN后,就自动脱离VLAN1了。
2. 为什么不用VLAN2、3、4,要用10、20、30?
首先明确:技术上用VLAN2、3、4完全没问题,网络也能正常用,但行业里没人这么做,这是约定俗成的规范。
一是为了扩容和分类,公司后期会加监控、服务器、无线等更多VLAN,用10、20、30这样的分段编号,一看编号就知道用途(10段办公、20段设备、30段访客),后续加新VLAN也不会乱;
二是为了和默认VLAN1区分开,避免被当成系统默认的临时VLAN,显得更专业,符合主流组网习惯,要是用2、3、4,会显得不规范,脱离行业主流。
七、交换机与路由器的分工(必看)
这里要把核心分工说清楚:交换机只负责做VLAN分组,路由器负责给每个VLAN定权限。
我们在交换机上划分好VLAN10、VLAN20、VLAN30,只是把端口分成了三个独立的虚拟小组,完成了物理层面的分组隔离;而每个小组具体能做什么、能不能上网、能访问哪些资源,都是在路由器(或防火墙)上配置的。
比如在路由器里设置:VLAN10办公组,可以正常上外网、访问内网服务器;VLAN20设备组,只能在内网互通,禁止访问外网;VLAN30访客组,只能连接外网,不能访问公司内部任何设备和资料。简单来说,交换机管“分小组”,路由器管“定规矩”,两者配合才能完成完整的网络配置。
说到这里,VLAN的核心逻辑其实就非常清晰了。它本质上就是用软件虚拟的方式,把一台物理交换机变成多台独立的“小交换机”,既省成本、又好管理,还能提升网络安全。从家用路由器的WAN口、LAN口,到企业里的虚拟局域网,再到交换机上的分组、路由器上的权限控制,整套流程其实一环扣一环,并不神秘。
只要记住:交换机负责分VLAN、划小组,路由器负责定权限、管上网,再避开默认的VLAN 1、不使用不规范的2、3、4,从10、20、30这类行业通用段号开始规划,哪怕是零基础,也能把VLAN理解得明明白白、用得稳稳当当。