三層交換機下的VLAN劃分，本身就已經做到了隔離，無法通信，VLAN的作用是可以隔離沖突域和廣播域。那么，同一交換機不同VLAN如何隔離呢？

什么是VLAN？

VLAN也叫虛擬局域網，是一組邏輯上的設備和用戶，它們并不受物理位置的限制。相互之間的通信類似在同一個網段中，VLAN是一種新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。

如果一個局域網內有幾百臺主機，一旦產生廣播風暴，整個網絡可能就會出現癱瘓。所以通過vlan劃分廣播域，使得廣播被限制在每一個vlan里面，而不會跨VLAN傳播。不同vlan之間的主機在沒有三層路由的前提下是不能互訪的，從而做到了隔離，這也是出于安全的考慮。

如何劃分VLAN？

1、通過端口的劃分VLAN

是利用交換機的端口來劃分VLAN，就是將交換機的某些端口定義為一個VLAN，端口劃分VLAN是最常用的一種VLAN劃分方法，簡單明了，管理非常方便。

2、通過MAC地址劃分VLAN

采用全球有唯一的一個物理地址MAC地址，根據網卡設備的MAC地址可以將若干臺計算機劃分在同一個VLAN中。

3、通過網絡協議劃分VLAN

根據每個主機的網絡層地址或協議類型劃分VLAN，將運行相同協議的主機劃分到相同的vlan中，適合廣域網中。

4、通過子網劃分VLAN

基于子網的VLAN，是通過所連計算機的IP地址，來決定端口所屬VLAN的。即使計算機因為換了網卡或是其他原因導致MAC地址改變，只要它的IP地址不變，就仍可以加入原先設定的VLAN。

VLAN之間如何通信

VLAN是廣播域，兩個廣播域之間由路由器連接，廣播域之間的數據包都是由路由器中繼的。因此VLAN間的通信也需要路由器提供中繼服務。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。

綜上所述，使用VLAN最大的好處就是控制廣播風暴，隔離了廣播，提高網絡整體安全性，使網絡管理簡單。

責任編輯：gt