通常來說,子網和VLAN的相似之處在於它們都處理網絡的一部分的分段或分區。但是,VLAN是數據鏈路層(OSI L2)的構造,而子網是網絡層(OSI L3)的IP構造,它們解決網絡上的不同問題。盡管在VLAN和子網之間創建一對一關系是一種常見的做法,但是它們是獨立的第2層和第3層構造,這在設計網絡時增加了靈活性。
子網(IPv4實現)
IP地址可以在邏輯上划分(也稱為子網划分)為兩個部分:網絡號(路由前綴)和主機標識符。屬於子網的網絡設備在其IP地址中共享公共網絡前綴。網絡前綴是通過在IP地址和子網掩碼(通常為255.255.255.0)之間應用按位與運算來確定的。使用示例地址192.168.5.130,網絡前綴(子網)為192.168.5.0,而主機標識符為0.0.0.130。
當源地址和目的地址的網絡 前綴不同時,流量將通過路由器在子網之間交換或路由(許多現代交換機還具有路由器功能)。路由器構成子網之間的邏輯和物理邊界。
子網划分網絡的好處因每個部署方案而異。在大型組織或使用無類域間路由(CIDR)的組織中,必須有效地分配地址空間。當子網由不同的內部組管理時,它還可以提高路由效率,或在網絡管理中具有優勢。子網可以按層次結構進行邏輯排列,將組織的網絡地址空間划分為樹狀路由結構。
VLAN
VLAN具有與物理局域網相同的屬性,但是即使設備未連接在同一網絡交換機上,它也允許將設備更容易地組合在一起。通過VLAN組分隔的端口可以以類似於將設備連接到它們自己的單獨交換機的 方式分隔流量。VLAN可以以相對較低的成本提供非常高的安全性和極大的靈活性。
網絡架構師使用VLAN對流量進行分段,以解決可伸縮性,安全性和網絡管理等問題。交換機不能(或至少不應該)在VLAN之間橋接IP流量,因為這樣做會破壞VLAN廣播域的完整性,因此,如果一個VLAN以某種方式被破壞,則不會妨礙網絡的其余部分。服務質量方案可以針對實時(VoIP)或低延遲要求(SAN)優化VLAN上的流量。
如果沒有VLAN,則交換機會認為該交換機上的所有設備都在同一廣播域中,因此VLAN實質上可以在單個物理基礎架構上創建多個第3層網絡。例如,如果將DHCP服務器插入交換機,它將為該交換機上配置為DHCP的任何主機提供服務。通過使用VLAN,可以輕松地拆分網絡,因此某些主機將不使用該DHCP服務器,並且將獲取本地鏈接地址,或從其他DHCP服務器獲取地址。
其他想法
您可以擁有一個物理網絡並通過簡單地分配不同的子網(例如192.168.0.0和192.168.1.0)來配置兩個或多個邏輯網絡。但是,問題在於兩個子網都通過同一交換機傳輸數據。所有其他主機(無論它們位於哪個子網)都可以看到通過交換機的流量。結果是安全性很低,並且由於所有流量都使用相同的主干,因此可用帶寬更少。
或者,您可以為每個邏輯網絡創建一個VLAN。每個VLAN(或邏輯網絡)的帶寬可用性不再共享,並且由於連接每個VLAN網絡的交換機將不允許流量在VLAN之間交叉,因此提高了安全性。
通常,VLAN是許多應用程序(包括音頻)的較好選擇,但有時子網划分是有意義的。主要原因是:
- 緩解性能問題,因為LAN不能無限擴展。廣播過多或幀泛濫到未知的目的地將限制其規模。這兩種情況中的任何一種都可能由於使以太網LAN中的單個廣播域太大而引起。但是,帶寬耗盡(除非它是由廣播數據包或幀泛濫引起的)通常無法通過VLAN和子網划分來解決,因為它們不會增加可用帶寬量。通常由於缺乏物理連接(服務器上的NIC太少,組中的端口太少,需要提高端口速度等原因而發生這種情況)。第一步是監視網絡流量並確定故障點。一旦了解了流量如何在LAN上移動,就可以出於性能原因開始考慮子網划分。
- 限制/控制在第3層或更高層的主機之間移動的流量的需求。如果要控制主機之間的IP(或TCP或UDP等)流量,而不是攻擊第2層的問題,則可以考慮子網划分子網,並在子網之間添加具有ACL的防火牆/路由器。