VLAN和子网之间的区别与联系

通常来说，子网和VLAN的相似之处在于它们都处理网络的一部分的分段或分区。但是，VLAN是数据链路层（OSI L2）的构造，而子网是网络层（OSI L3）的IP构造，它们解决网络上的不同问题。尽管在VLAN和子网之间创建一对一关系是一种常见的做法，但是它们是独立的第2层和第3层构造，这在设计网络时增加了灵活性。

子网（IPv4实现）
IP地址可以在逻辑上划分（也称为子网划分）为两个部分：网络号(路由前缀)和主机标识符。属于子网的网络设备在其IP地址中共享公共网络前缀。网络前缀是通过在IP地址和子网掩码（通常为255.255.255.0）之间应用按位与运算来确定的。使用示例地址192.168.5.130，网络前缀（子网）为192.168.5.0，而主机标识符为0.0.0.130。

当源地址和目的地址的网络 前缀不同时，流量将通过路由器在子网之间交换或路由（许多现代交换机还具有路由器功能）。路由器构成子网之间的逻辑和物理边界。

子网划分网络的好处因每个部署方案而异。在大型组织或使用无类域间路由（CIDR）的组织中，必须有效地分配地址空间。当子网由不同的内部组管理时，它还可以提高路由效率，或在网络管理中具有优势。子网可以按层次结构进行逻辑排列，将组织的网络地址空间划分为树状路由结构。

VLAN
VLAN具有与物理局域网相同的属性，但是即使设备未连接在同一网络交换机上，它也允许将设备更容易地组合在一起。通过VLAN组分隔的端口可以以类似于将设备连接到它们自己的单独交换机的 方式分隔流量。VLAN可以以相对较低的成本提供非常高的安全性和极大的灵活性。

网络架构师使用VLAN对流量进行分段，以解决可伸缩性，安全性和网络管理等问题。交换机不能（或至少不应该）在VLAN之间桥接IP流量，因为这样做会破坏VLAN广播域的完整性，因此，如果一个VLAN以某种方式被破坏，则不会妨碍网络的其余部分。服务质量方案可以针对实时（VoIP）或低延迟要求（SAN）优化VLAN上的流量。

如果没有VLAN，则交换机会认为该交换机上的所有设备都在同一广播域中，因此VLAN实质上可以在单个物理基础架构上创建多个第3层网络。例如，如果将DHCP服务器插入交换机，它将为该交换机上配置为DHCP的任何主机提供服务。通过使用VLAN，可以轻松地拆分网络，因此某些主机将不使用该DHCP服务器，并且将获取本地链接地址，或从其他DHCP服务器获取地址。

其他想法
您可以拥有一个物理网络并通过简单地分配不同的子网（例如192.168.0.0和192.168.1.0）来配置两个或多个逻辑网络。但是，问题在于两个子网都通过同一交换机传输数据。所有其他主机（无论它们位于哪个子网）都可以看到通过交换机的流量。结果是安全性很低，并且由于所有流量都使用相同的主干，因此可用带宽更少。

或者，您可以为每个逻辑网络创建一个VLAN。每个VLAN（或逻辑网络）的带宽可用性不再共享，并且由于连接每个VLAN网络的交换机将不允许流量在VLAN之间交叉，因此提高了安全性。

通常，VLAN是许多应用程序（包括音频）的较好选择，但有时子网划分是有意义的。主要原因是：

1. 缓解性能问题，因为LAN不能无限扩展。广播过多或帧泛滥到未知的目的地将限制其规模。这两种情况中的任何一种都可能由于使以太网LAN中的单个广播域太大而引起。但是，带宽耗尽（除非它是由广播数据包或帧泛滥引起的）通常无法通过VLAN和子网划分来解决，因为它们不会增加可用带宽量。通常由于缺乏物理连接（服务器上的NIC太少，组中的端口太少，需要提高端口速度等原因而发生这种情况）。第一步是监视网络流量并确定故障点。一旦了解了流量如何在LAN上移动，就可以出于性能原因开始考虑子网划分。
2. 限制/控制在第3层或更高层的主机之间移动的流量的需求。如果要控制主机之间的IP（或TCP或UDP等）流量，而不是攻击第2层的问题，则可以考虑子网划分子网，并在子网之间添加具有ACL的防火墙/路由器。