轉自:http://bbs.51cto.com/thread-1514066-1.html
經常看到論壇裏有新手上來發貼說已經弄了VLAN了,爲什麼還要劃分IP子網的問題。今天詳細講一下。
VLAN與IP子網(劃分)的區別。有點類似於重量和質量的區別: 重量的的單位是牛頓,質量的單位是克(千克(公斤))。但是我們在使用中,我們說某物體質量的時候都是說重量是多少公斤(千克),而不說重量是多少牛頓。質量往往說的是產品的品質好壞,是否達標等。 而VLAN和子網在使用中,就很容易被混淆。 但是在學術定義上是完全不同的東西。
VLAN和IP子網劃分的目的是隔離廣播包數據和訪問控制。VLAN隔離的是二層廣播包(廣播地址是全FF:FF:FF:FF:FF:FF的MAC地址),IP子網隔離的是三層IP廣播包,廣播地址是IP子網的最後一個IP地址或全網廣播地址(255.255.255.255)。 訪問控制根據不同的人員來進行隔離,比如財務的敏感數據之類,除財務外,不容許其他人訪問之類。
VLAN是虛擬局域網的英文單詞首字母拼寫 Virtual Local Area Network。意爲虛擬局域網。VLAN是個二層概念,它工作在網絡參考模型的第二層,每個VLAN都有一個VLAN號最大是4094。 子網劃分是劃分的IP地址。在網絡參考模型中,是工作在第三層. 所以說,在嚴格的學術定義上,它們是完全不同的東西。
VLAN經常是和IP子網劃分一起使用的,一個VLAN配一個IP子網。但是,並不是說 它們的關係類似於腳與腿的關係。我們說腿麻的時候,都是包含了腳的。 在使用中,通常我們說劃分VLAN,其實是把兩者放在一起說了。對於一個有工作經驗的人,都是說劃分一下VLAN,或者說劃分一下子網。 任意的一個說法其實都包括了VLAN和子網了,有工作經驗的一聽就懂說的是什麼,絕不會質疑說你爲啥只劃分VLAN卻不劃分IP子網。不用再去解釋,需要解釋的都是新手,沒有用心學習或者悟性不高的。 IP子網劃分和VLAN在學習書籍中根本就完全不是在同一章節的內容,你還分不清楚它們到底有什麼區別。
一個交換機就是一個局域網,內部每個端口之間是可以直接通訊的。兩個交換機就是兩個局域網.如果把兩個交換機通過網線連接在一起工作,變成了一個局域網.也就是LAN。這個局域網(LAN)環境中不需要路由器就能工作,因爲它們是在一個網絡內。這是物理上的。
用思科,華爲等網管型的交換機,把一個交換機劃分出兩個不同的LAN,不同的端口之間雖然在一臺交換機內,卻不能互相通訊,因爲它們不屬於同一個局域網。這在外觀上看還是同一個交換機,而是通過交換機的操作系統設置成了兩個不同的局域網,這是不是物理上的,所以是虛擬局域網(VLAN).
子網劃分是把一個大的連續的IP地址段,劃分成若干個大小不等的IP地址段. 比如10.0.0.0/255.0.0.0 這個IP段包含1600萬個IP從10.0.0.0到10.255.255.255。那麼在使用中,哪裏會可能用這麼大的IP網絡在一起使用?光是廣播包數據就能充塞整個網絡,根本不可能正常通訊使用。 劃分成小的後,比如10.1.1.1/255.255.255.0 ,這個IP段就只有256個IP了,廣播信息足夠少,多出來的帶寬就可以正常工作了。
需要強調的是,創建VLAN不一定非要進行子網劃分。要不要進行子網劃分,取決於你的IP設置. 兩者並不是一定要同時使用的。
示例 :VLAN1使用IP 10.10.10.1/255.255.255.0 / VLAN2 使用IP 10.10.11.1/255.255.255.0 / VLAN3 使用IP 10.10.12.1/255.255.255.0 這個是把A類10.0.0.0/8 IP劃分成小的。 如果 VLAN1 使用IP 192.168.1.0/255.255.255.0 這樣的,這種不是子網劃分。因爲這用的都是默認的子網掩碼。
在實際使用中,我們幾乎每一個網絡工程師都是一個子網IP和一個VLAN配合一起使用。所以,網工們在工作中都會說劃分一下VLAN或者說劃分一下子網,其實就是說把兩者設計劃分一下。