麒麟 Linux｜Linux VLAN 技术全解析：从原理到

VLAN 是企业网络架构的基石。

无论是减少广播风暴、增强安全隔离，还是灵活实现部门分组，掌握 VLAN 技术都能让网络工程师如虎添翼。

本文从 Linux VLAN 的概念与原理出发，结合 Cisco Packet Tracer 实战配置，带你从理论到实践一次打通。

VLAN 的概念与作用

**VLAN（Virtual Local Area Network，虚拟局域网）**是一种将局域网设备从逻辑上划分成多个网段的技术，从而实现虚拟工作组的新兴数据交换技术。

传统局域网中，广播域由物理网段决定，随着设备增多，广播风暴和安全性问题日益突出。

VLAN 通过在交换机上进行逻辑划分，将一个物理网络划分为多个互不干扰的虚拟子网，每个 VLAN 形成独立的广播域。

这样，广播和组播流量将被限制在各自 VLAN 内部，从而减少广播域大小、提升网络性能并增强安全性。

VLAN 的划分不受物理位置限制，可以根据部门、功能或应用等逻辑需求来分组设备。

例如，一个公司可以将财务部门的所有主机划分到 VLAN 10，研发部门的主机划分到 VLAN 20，即使这些主机分散连接在不同的物理交换机上，也能形成各自独立的局域网。

VLAN 使得网络管理更灵活：添加或移动设备到另一个 VLAN 只需配置变更，无需物理布线调整。

此外，不同 VLAN 之间默认无法直接通信，从而提供了必定的隔离和安全保障，需要借助三层设备（如路由器或三层交换机）才能实现 VLAN 间互访。

简而言之，VLAN 的作用包括：减少广播域（将大的广播域划分为小的，降低广播风暴风险）、提高网络性能（流量本地化，减少不必要的转发）、增强安全性（不同 VLAN 间隔离，限制未经授权的访问）、简化管理（按逻辑功能组织网络，便于策略应用和维护）。

VLAN 已经成为现代企业网络的基础组成部分，广泛应用于从园区网到数据中心的各种场景。

VLAN 的工作原理

VLAN 工作在 OSI 参考模型的第二层（数据链路层）。

传统以太网交换机基于 MAC 地址转发帧，所有端口默认属于同一广播域。

引入 VLAN 后，交换机为每个帧附加一个VLAN 标签来标识该帧属于哪个 VLAN，从而实现数据的隔离传输。

IEEE 802.1Q 是业界标准的 VLAN 标签协议，它在以太网帧头中插入 4 字节的标签字段，包含 12 位的 VLAN ID（范围 0–4095）用于标识 VLAN，以及优先级和令牌环标签协议 ID 等信息。

通过这种标签机制，交换机能够区分不同 VLAN 的流量，并仅在同 VLAN 的端口之间转发帧，从而将广播限制在各自 VLAN 内部。

当主机接入交换机端口时，可将该端口配置为接入端口（Access Port）或中继端口（Trunk Port）：

接入端口
一般用于连接终端设备（如 PC、服务器），该端口只属于一个****特定的 VLAN。
当终端发送帧时，接入端口不添加 VLAN 标签；接收帧时，会将所有收到的帧视为该端口所属 VLAN 的流量。
也就是说，接入端口处理的是未标记（untagged）帧，其所属 VLAN 一般称为该端口的 PVID（Port VLAN ID）。
中继端口
用于交换机之间或交换机与路由器/服务器之间的连接，可承载多个 VLAN 的流量。
中继端口在发送帧时会为不同 VLAN 的帧添加相应的 802.1Q 标签；接收帧时则根据标签识别 VLAN。
中继链路一般允许通过的 VLAN 集合需要在两端交换机上配置一致。
此外，802.1Q 中继可以有一个本地 VLAN（Native VLAN），该 VLAN 的帧在中继上传输时不打标签，默认一般为 VLAN 1。
两端交换机的中继端口本地 VLAN 必须一致，否则会出现流量错误转发的问题。

通过上述机制，VLAN 在交换网络中建立了逻辑隔离的通信域：同一 VLAN 内的设备可以像在同一物理局域网中一样通信，不同 VLAN 间的流量则被交换机隔离，需要借助三层路由设备才能互通。

因此，在交换网络中引入 VLAN 后，一般需要在网络层（第三层）提供路由功能，以便实现 VLAN 间的通信（这部分内容将在后续章节讨论）。

基于Cisco Packet Tracer VLAN

配置实验

实验目的

1）掌握 Cisco 交换机 VLAN 的创建（增）、删除（删）、属性修改（改） 操作命令。

2）理解 VLAN 对广播域的隔离作用，验证同 VLAN 互通、不同 VLAN 不通的特性。

3）熟悉 Cisco Packet Tracer 拓扑搭建、设备配置与连通性测试方法。

实验准备

设备清单

拓扑结构搭建

1）打开 Cisco Packet Tracer，从左侧 “设备库” 拖拽 1 台 2960 交换机和 3 台 PC 到工作区。

2）用直通线连接：

PC1 的 “FastEthernet0” → 交换机的 “FastEthernet0/1”（Fa0/1）
PC2 的 “FastEthernet0” → 交换机的 “FastEthernet0/2”（Fa0/2）
PC3 的 “FastEthernet0” → 交换机的 “FastEthernet0/3”（Fa0/3）
PC4 的 “FastEthernet0” → 交换机的 “FastEthernet0/4”（Fa0/4）

主机配置清单

麒麟 Linux｜Linux VLAN 技术全解析：从原理到

默认vlan信息

Switch>show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active

实验场景测试（分 “增、删、改” 三类）

基础说明：交换机默认配置

所有端口默认属于VLAN 1（默认 VLAN，不可删除）。
端口默认模式为 “Dynamic Auto”，需手动改为 “Access” 模式（连接 PC 的端口需为 Access 模式）。
配置前需进入 “特权模式（enable）” 和 “全局配置模式（configure terminal）”，命令缩写规则：enable→en，configure terminal→conf t。

场景 1：VLAN 新增（创建 VLAN 并划分端口）

目标

创建 VLAN 10（名称：Sales）和 VLAN 20（名称：Tech），将 Fa0/1 划到 VLAN 10，Fa0/2 划到 VLAN 20，Fa0/3 暂留 VLAN 1，验证同 VLAN 互通、不同 VLAN 不通。

步骤 1：配置交换机（创建 VLAN + 划分端口）

1）本地登录交换机：

右键点击 PC1 → 选择 “Desktop” → “Terminal”，波特率默认 “9600”，点击 “OK” 进入交换机命令行。

2）创建 VLAN 并设置名称：

Switch> en                  # 进入特权模式
Switch# conf t              # 进入全局配置模式
Switch(config)# vlan 10     # 创建VLAN 10
Switch(config-vlan)# name Sales  # 给VLAN 10命名为Sales
Switch(config-vlan)# exit   # 退出VLAN配置模式
Switch(config)# vlan 20     # 创建VLAN 20
Switch(config-vlan)# name Tech   # 给VLAN 20命名为Tech
Switch(config-vlan)# exit

3）将端口划到对应 VLAN（需先设为 Access 模式）：

# 配置Fa0/1（连接PC1）到VLAN 10
Switch(config)# int fa0/1   # 进入Fa0/1端口配置模式
Switch(config-if)# switchport mode access  # 设为Access模式
Switch(config-if)# switchport access vlan 10  # 划到VLAN 10
Switch(config-if)# exit

# 配置Fa0/2（连接PC2）到VLAN 20
Switch(config)# int fa0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# exit

# Fa0/3（连接PC3）默认在VLAN 1，无需额外配置

4）验证 VLAN 配置：

bash

Switch# show vlan brief  # 查看VLAN与端口对应关系

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/22
                                                Fa0/23, Fa0/24, Gig0/1, Gig0/2
10   sales                            active    Fa0/1
20   Tech                             active    Fa0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active

预期结果
VLAN 10 对应 Fa0/1，VLAN 20 对应 Fa0/2，VLAN 1 对应 Fa0/3，Fa0/4。

步骤 2：配置 PC 的 IP 地址

配置方法：右键 PC → “Desktop” → “IP Configuration”，手动输入 IP 和子网掩码。
下图以pc3为示例

步骤 3：连通性测试

1）同 VLAN 测试：

PC1（VLAN 10）ping PC3（VLAN 1）：ping 192.168.2.3→ 预期不通（不同 VLAN）。

C:>ping 192.168.2.3

Pinging 192.168.2.3 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.2.3:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC1 ping PC2（VLAN 20）
ping 192.168.2.2 → 预期不通（不同 VLAN）

C:>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.2.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC3 ping PC4：ping 192.168.2.4 → 预期通（同 VLAN）。

C:>ping 192.168.2.4

Pinging 192.168.2.4 with 32 bytes of data:

Reply from 192.168.2.4: bytes=32 time<1ms TTL=128
Reply from 192.168.2.4: bytes=32 time<1ms TTL=128
Reply from 192.168.2.4: bytes=32 time<1ms TTL=128
Reply from 192.168.2.4: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.2.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

场景 2：VLAN 删除（删除无用 VLAN）

目标

删除场景 1 中创建的 VLAN 20（假设 Tech 部门解散，VLAN 无用），验证 VLAN 20 及对应端口配置被清除。

**步骤 1：**删除 VLAN 20

1）进入交换机全局配置模式，执行删除命令：

Switch> en
Switch# conf t
Switch(config)# no vlan 20  # 用“no”前缀删除VLAN 20
Switch(config)# exit

2）验证删除结果：

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/22
                                                Fa0/23, Fa0/24, Gig0/1, Gig0/2
10   sales                            active    Fa0/1
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active

预期结果
VLAN 20 消失，原属于 VLAN 20 的 Fa0/2 端口自动回归VLAN 1（默认 VLAN）。

场景 3：VLAN 修改（修改 VLAN 属性 + 调整端口所属 VLAN）

目标

1）修改 VLAN 10 的名称（从 Sales 改为 Marketing）；

2）调整端口归属（将 Fa0/3 从 VLAN 1 改到 VLAN 10），验证修改后配置生效。

步骤 1：修改 VLAN 名称

1）进入 VLAN 配置模式修改名称：

bash

Switch> en
Switch# conf t
Switch(config)# vlan 10     # 进入已存在的VLAN 10
Switch(config-vlan)# name Marketing  # 覆盖原名称为Marketing
Switch(config-vlan)# exit

2）验证名称修改：

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/22
                                                Fa0/23, Fa0/24, Gig0/1, Gig0/2
10   Marketing                        active    Fa0/1
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active

预期结果
VLAN 10 的 “Name” 列显示为 “Marketing”。

**步骤 2：**修改端口所属 VLAN（Fa0/3 从 VLAN 1→VLAN 10）

1）配置 Fa0/3 端口：

Switch(config)# int fa0/3  #命令interface fastEthernet 0/3也可以
Switch(config-if)# switchport mode access  # 确保为Access模式
Switch(config-if)# switchport access vlan 10  # 改到VLAN 10
Switch(config-if)# exit

2）验证端口修改：

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/4, Fa0/5, Fa0/6, Fa0/7
                                                Fa0/8, Fa0/9, Fa0/10, Fa0/11
                                                Fa0/12, Fa0/13, Fa0/14, Fa0/15
                                                Fa0/16, Fa0/17, Fa0/18, Fa0/19
                                                Fa0/20, Fa0/21, Fa0/22, Fa0/23
                                                Fa0/24, Gig0/1, Gig0/2
10   Marketing                        active    Fa0/1, Fa0/3
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active

预期结果
Fa0/3 从 VLAN 1 移到 VLAN 10，与 Fa0/1 同属 VLAN 10。

实验关键命令总结

麒麟 Linux｜Linux VLAN 技术全解析：从原理到

VLAN 与网络桥接、路由的关系

VLAN 与桥接（Bridging）
在 Linux 中，桥接是一种将多个网络接口虚拟成一个交换设备的技术，常用于虚拟机网络和容器网络。
VLAN 和桥接可以结合使用以实现更灵活的网络拓扑。
例如，在虚拟化场景下，我们可以创建一个 Linux 网桥，将物理网卡的某个 VLAN 子接口加入该网桥，从而让连接到网桥的虚拟机直接访问对应 VLAN 的网络。
这种情况下，Linux 主机相当于充当了一个支持 VLAN 的虚拟交换机。
需要注意的是，默认情况下 Linux 网桥会丢弃带 VLAN 标签的帧（除非该帧的 VLAN ID 被明确允许通过网桥）。
因此，若希望网桥转发 VLAN 标签流量或将标签传递给虚拟机，需要启用桥接的 VLAN 过滤功能（通过 bridge vlan 命令配置）或使用特殊的 VLAN 感知桥接模式。
通过合理配置，Linux 网桥可以实现类似物理交换机中继端口的功能，允许一个网桥上承载多个 VLAN 的流量。
VLAN 与路由（Routing）
由于 VLAN 在本质上隔离了二层广播域，不同 VLAN 之间的主机要通信必须经过三层路由。
这一般由路由器或具备三层路由功能的设备（如三层交换机、Linux 网关服务器）来完成。
在 Linux 系统上，如果希望它充当 VLAN 间的路由器，可以通过以下两种方式实现：
1）单臂路由（Router-on-a-Stick）
在 Linux 网关上配置一个物理接口的多个 VLAN 子接口，每个子接口对应一个 VLAN，并为其分配该 VLAN 网段的 IP 地址作为网关地址。这样，Linux 网关的一个物理网卡就相当于连接到了多个 VLAN 网络，内核的 IP 路由模块会在这些子接口之间转发数据包，实现 VLAN 间路由。这种方案类似于在一台路由器上通过一条中继链路连接所有 VLAN，因此称为“单臂路由”。需要确保 Linux 已启用 IP 转发（通过设置 net.ipv4.ip_forward=1），以便内核能够转发跨接口的数据包。
2）三层交换（虚拟路由转发）
如果 Linux 主机连接有多块物理网卡或多个网桥，也可以将不同 VLAN 分别连接到不同的接口/网桥上，然后利用 Linux 的路由功能在接口之间转发流量。这种情况下，每个接口/网桥对应一个 VLAN 或一组 VLAN（如果使用桥接 VLAN 过滤），Linux 主机相当于一个多端口路由器。此外，高级的网络命名空间和策略路由技术也可以用于在 Linux 上实现更复杂的 VLAN 路由和隔离需求。

无论采用哪种方式，Linux 实现 VLAN 间路由的核心都是：为每个 VLAN 提供一个三层接口（IP 地址）并启用路由转发。

一旦配置完成，不同 VLAN 内的主机就可以通过 Linux 网关相互通信了。

例如，在之前 Netplan 配置示例中，如果我们在同一台 Linux 主机上同时配置了 VLAN 35 和 VLAN 390 的接口并启用 IP 转发，那么该主机将能够在这两个 VLAN 之间路由数据包，充当简易的三层交换机。

VLAN 的常见应用场景

VLAN 技术在现代网络中有着广泛的应用场景，以下列举几个典型的应用：

企业网络的部门隔离
企业一般按部门或功能划分 VLAN，例如财务、研发、人事各自属于不同 VLAN。
这样做的好处是各部门间的广播流量互不影响，且未经授权的跨部门访问受到限制，从而提升网络性能和安全性。
例如，财务部的主机在 VLAN 10，研发部在 VLAN 20，默认情况下两个 VLAN 无法直接通信，只有在路由器上开放相应访问控制策略后才能互访，这有助于保护敏感部门的数据。
数据中心的多租户隔离
在托管数据中心或云计算环境中，可能有多个租户共享同一套物理网络基础设施。
通过为每个租户分配独立的 VLAN，可以实现租户之间的二层隔离，防止不同租户的流量相互干扰或泄露。
例如，一个托管服务商可以给客户 A 分配 VLAN 100，客户 B 分配 VLAN 200，两台客户的服务器即使连接在同一交换机上，也只能通过各自 VLAN 通信，彼此不可见，从而保障了租户数据的安全。
如果需要跨租户通信，可通过在网络出口处的路由器或防火墙上进行访问控制来实现受控的互访。
校园网和运营商网络
在校园网、小区宽带等环境中，常利用 VLAN 来划分不同的用户组或服务。
例如，一些运营商为了区分宽带接入用户和 IPTV 机顶盒流量，会给宽带数据分配一个 VLAN，给 IPTV 视频流分配另一个 VLAN，在汇聚设备上分别处理，以保证关键业务（如 IPTV）的带宽和质量。
又如校园网中，不同学院或宿舍可能分配不同 VLAN，以方便管理和计费。
通过 VLAN 分段，网络管理者可以更精细地控制流量和应用策略。
虚拟局域网扩展
VLAN 还可用于在物理网络上模拟多个逻辑网络，从而实现网络的灵活扩展。
例如，在大型企业中，总部和分支机构之间通过广域网互联时，可以在广域网链路上配置 VLAN 中继，使得总部的不同部门 VLAN 可以延伸到分支，仿佛分支的某些主机直接连接到总部的交换机上一样。
这种跨越广域网的 VLAN 延伸需要对底层链路进行特殊配置（如 MPLS 或 GRE 隧道封装），但对于终端主机来说，他们依然处于各自的 VLAN 广播域内，感觉不到物理距离的存在。
服务器虚拟化和云计算
在服务器虚拟化环境（如 KVM、VMware）和容器云平台（如 Docker、Kubernetes）中，VLAN 常被用于实现不同虚拟机/容器网络之间的隔离。
例如，在 OpenStack 云平台中，可以为每个租户网络分配一个 VLAN ID，底层通过 Linux 网桥或 Open vSwitch 将不同租户的流量隔离在各自 VLAN 中传输。
又如在 Docker 中，可以通过创建 VLAN 驱动的网络，将容器绑定到特定的 VLAN 子接口上，从而让容器直接加入企业现有的 VLAN 网络中。
总之，VLAN 为虚拟化和云环境提供了一种与物理网络融合的简便方式，使得虚拟机和容器能够无缝地融入企业网络架构。

VLAN 的优点与局限性

VLAN 的优点：

广播控制
VLAN 有效分割了广播域，将广播限制在各自 VLAN 内部，从而减少了广播风暴发生的可能性并提升了网络带宽利用率。
每个 VLAN 内的广播流量不会传播到其他 VLAN，网络性能随规模增长的下降得到缓解。
安全性
不同 VLAN 之间默认二层隔离，无法直接通信，这提供了天然的安全边界。
敏感数据可以被隔离在特定 VLAN 内，只有经过授权的三层路由才能访问，降低了信息泄露和非法访问的风险。
此外，VLAN 隔离还能防止某些二层攻击在全网传播。
灵活性和可管理性
VLAN 允许根据需要灵活地划分逻辑网络，而不必思考物理位置。
这使得网络调整和重组变得更加容易——增加新部门、改变工作组组成都可以通过修改 VLAN 配置来实现，而无需重新布线。
网络管理员可以聚焦管理 VLAN 策略，例如在交换机上统一配置访问控制列表或服务质量策略应用于整个 VLAN，提高了管理效率。
成本效益
通过 VLAN 技术，企业可以用较少的物理设备实现原本需要多台交换机才能完成的网络分割功能，节省设备投资。
同时，VLAN 便于扩展网络规模，当需要新增网络分段时，只需在现有设备上创建新的 VLAN 即可，而不必添加额外的物理网络设备。

VLAN 的局限性

数量限制
IEEE 802.1Q 标准规定 VLAN ID 的范围是 0–4095，其中可用 VLAN ID 一般为 1–4094（0 和 4095 保留）。
这意味着在单个交换网络中最多只能划分约 4094 个 VLAN。
对于一般企业来说这已经足够，但在超大规模数据中心或运营商网络中，4094 个 VLAN 可能无法满足多租户隔离的需求。
这时候需要借助 VXLAN 等扩展技术来突破 VLAN ID 数量的限制。
配置和管理复杂度
随着 VLAN 数量增加，网络配置和管理的复杂度也随之上升。
管理员需要确保 VLAN 在所有相关交换机上的配置一致，包括 VLAN ID 的分配、中继链路的允许列表、本地 VLAN 的匹配等。
任何配置不一致都可能导致网络连通性问题（例如中继两端的 VLAN 允许列表不匹配会导致某些 VLAN 流量丢失）。
此外，跨设备的 VLAN 管理需要必定的专业知识，对运维人员的要求较高。
三层依赖
VLAN 隔离了二层流量，不同 VLAN 间通信必须经过三层路由。
如果网络中缺少路由设备或路由配置不当，VLAN 间的主机将无法互访。
因此在设计 VLAN 网络时，必须同时规划好三层互联方案，否则 VLAN 的划分可能导致网络割裂。
在大型网络中，过多的 VLAN 也会增加路由表的规模和路由设备的负担。
潜在的广播和风暴问题
虽然 VLAN 限制了广播的范围，但如果单个 VLAN 内的设备数量过多，依旧可能产生较大的广播域。
例如，一个 VLAN 包含上千台主机时，该 VLAN 内的广播流量依然可能影响性能。
此外，如果在 VLAN 网络中存在环路，也会导致单个 VLAN 内产生广播风暴，需要依赖生成树协议（STP）等机制来防范。
因此，VLAN 并非解决所有广播问题的万能药，仍需配合合理的网络设计和冗余协议。
安全性局限
VLAN 提供的是二层隔离，但并不能替代高层安全措施。
如果攻击者能够突破二层隔离（例如通过 VLAN 跳跃攻击等手段），或者获得了三层路由权限，那么 VLAN 的安全边界就被绕过了。
因此，在高安全要求的场景中，VLAN 一般需要和访问控制列表（ACL）、防火墙等配合使用，以提供纵深防御。
另外，同一 VLAN 内的所有设备处于同一广播域，如果没有进一步的隔离措施，一台主机上的 ARP 欺骗或嗅探工具可能影响或监听整个 VLAN 内的通信，这也是需要注意的安全隐患。

综上，VLAN 技术在带来诸多便利的同时，也存在必定局限。

在实际应用中，需要根据网络规模和需求权衡使用，并结合其他网络技术（如三层路由、访问控制、VXLAN 等）来克服 VLAN 的不足。

VLAN 的安全与隔离

VLAN 的主要目标之一就是实现网络的隔离与安全。

通过将网络划分为多个 VLAN，管理员可以限制不同组设备之间的直接通信，从而在必定程度上防止敏感信息的泄露和未授权访问。

不过，要充分发挥 VLAN 的安全效益，还需要正确的配置和额外的安全措施。

二层隔离
默认情况下，同一交换机上不同 VLAN 之间是二层隔离的，即属于 VLAN A 的主机无法直接向 VLAN B 的主机发送二层帧（广播、组播或单播）。
交换机不会将一个 VLAN 的帧转发到另一个 VLAN，除非通过三层路由设备。
这意味着，如果没有路由，VLAN A 内的主机甚至无法学习到 VLAN B 内主机的 MAC 地址。
这种二层隔离机制有效阻止了跨 VLAN 的嗅探和广播风暴传播，为网络提供了基本的安全边界。
访问控制
为了进一步控制 VLAN 间的通信，网络设备一般支持在三层路由时应用访问控制列表（ACL）或策略路由。
例如，在连接不同 VLAN 的路由器或三层交换机上，可以配置 ACL 只允许特定协议或IP地址段的流量通过，从而实现基于策略的跨 VLAN 访问控制。
这种做法可以在不牺牲 VLAN 灵活性的前提下，对关键网络区域提供保护。
例如，可允许研发 VLAN 访问服务器 VLAN 的某些端口，但禁止财务 VLAN 访问研发 VLAN，等等。
通过精细的 ACL 策略，管理员能够实现不同部门/用途 VLAN 之间的受控互访，满足业务需求的同时最小化安全风险。
安全加固措施
在使用 VLAN 时，还应注意一些交换机和主机的安全配置：
1)关闭不必要的端口和 VLAN
确保交换机上未使用的端口处于关闭或未分配 VLAN 的状态，防止未经授权的设备接入后自动获取某个 VLAN 的访问权限。
同时，默认 VLAN（如 VLAN 1）应尽量不用于承载用户流量，而将其用于管理或干脆禁用，由于许多设备默认对 VLAN 1 不做严格安全检查。
2)防范 VLAN 跳跃攻击
VLAN 跳跃（VLAN Hopping）是一种攻击者利用错误配置的中继端口或生成树协议漏洞，非法访问其他 VLAN 流量的攻击手段。
为防范此类攻击，应确保交换机端口配置正确：接入端口不应配置为中继模式，中继端口应只允许必要的 VLAN 通过，并正确设置本地 VLAN（Native VLAN）为一个未使用的 ID 或与相邻设备匹配。
此外，启用 DHCP 监听（DHCP Snooping）和动态 ARP 检测（DAI）等功能也有助于防止利用伪造 DHCP/ARP 报文进行的 VLAN 攻击。
3)主机侧安全
在 Linux 主机上，如果一个物理网卡承载多个 VLAN，要确保应用程序只绑定到所需的 VLAN 接口上，避免将敏感服务暴露在不必要的 VLAN 中。
另外，可以通过 iptables/nftables 等防火墙在主机上对不同 VLAN 接口的流量进行过滤，实现主机级别的访问控制。
例如，只允许来自管理 VLAN 的 SSH 连接，拒绝其他 VLAN 的 SSH 请求等，从而保护主机安全。
4) 加密和认证
对于通过广域网延伸的 VLAN 或对安全性要求极高的流量，应思考在网络层或应用层进行加密（如使用 IPsec VPN 封装跨公网的 VLAN 流量），以防止传输过程中的窃听和篡改。
此外，在接入层可以使用 802.1X 端口认证等技术，确保只有授权的用户/设备才能加入特定 VLAN，从源头上加强网络安全。