VLAN 是什麼？如何用 VLAN 提高網路安全與效率？

一、VLAN 基礎
1. VLAN 的概念
VLAN（Virtual Local Area Network，虛擬區域網路），是一種邏輯上的子網路劃分技術，可在同一個實體交換器上建立多個虛擬的區域網路。不同 VLAN 之間預設不能直接通信，從而提升安全性和管理效率。

簡單來說，VLAN 就像是在同一棟大樓裡用「隱形的牆」把不同部門的設備隔開，它們只能在各自的 VLAN 內通信，除非透過特殊配置才能存取其他 VLAN。

2. VLAN 的工作原理
VLAN 主要透過交換器的連接埠劃分來實現，常見的 VLAN 類型有：

基於連接埠的 VLAN（Port-based VLAN）：按連接埠劃分 VLAN，例如 1-5 號連接埠屬於 VLAN 10，6-10 號連接埠屬於 VLAN 20。
基於 MAC 位址的 VLAN（MAC-based VLAN）：設備的 MAC 位址決定 VLAN 歸屬，即使更換交換器端口，仍然屬於原來的 VLAN。
基於協定的 VLAN（Protocol-based VLAN）：根據封包協定類型劃分 VLAN，例如 IPv4 和 IPv6 分別屬於不同 VLAN。
基於子網路的 VLAN（Subnet-based VLAN）：依照 IP 位址段劃分 VLAN，例如 192.168.1.0/24 屬於 VLAN 100，192.168.2.0/24 屬於 VLAN 200。


二、VLAN 如何提升網路安全與效率
1. 提高網路安全性
(1) 隔離不同部門或使用者群組

例如，公司財務部、研發部、市場部分別屬於不同 VLAN，它們預設不能互相訪問，防止未經授權的資料存取。

(2) 防止廣播風暴（Broadcast Storm）

在普通區域網路中，廣播資料會擴散到整個網絡，而 VLAN 限制了廣播域的範圍，從而減少廣播風暴，並提高網路穩定性。

(3) 減少 ARP 欺騙攻擊

VLAN 之間預設隔離，駭客難以在不同 VLAN 間發送偽造的 ARP 包，從而降低區域網路被攻擊的風險。



2. 提高網路效率
減少無關資料流量：例如，行銷部的印表機資料不會幹擾研發部的伺服器，避免頻寬浪費。
提高資料傳輸速度：VLAN 讓資料流向更精準，避免無關資料傳輸，提高效率。
最佳化 IT 維護與管理：VLAN 讓網路結構更清晰，管理員可以依業務需求劃分網絡，而不必頻繁調整實體設備，維運更輕鬆。
三、VLAN 實踐
以 華為 eNSP（Enterprise Network Simulation Platform） 為例，介紹 VLAN 設定。


目前PC1是可以ping的通PC2的：

將連接埠分配到 VLAN：

此操作將 0/1 連接埠 綁定到 VLAN 10,然後發現ping不通PC2了，因為它不屬於Vlan10。