檢視緯育 2026-0313 的原始碼

== 虛擬區域網路 VLAN == 
本講座介紹了虛擬區域網路（VLAN）與子網路分割的核心概念。講師先說明本次主題重點：VLAN、子網路分割、網路遮罩與進位制轉換。接著，分析未使用VLAN的傳統區域網路（LAN）在頻寬浪費與安全性上的問題，並比較物理隔離（多台Switch）與邏輯隔離（VLAN）的優缺點。隨後，深入解釋VLAN的運作原理、跨交換器通訊的Trunk Port機制，以及802.1Q標籤在封包中的作用與結構。最後預告後續課程將涵蓋VLAN設定實務與子網路切割計算。
=== 課程內容綱要 ===
* 主要目標
** 介紹兩大核心內容：虛擬區域網路（VLAN）及其設定，以及子網路分割。
* 前置知識
** 在學習子網路分割前，必須先了解網路遮罩（Network Mask）。
** 在學習網路遮罩前，必須先了解進位制轉換，以便將二進位的網路遮罩（如/8代表8個1）轉換為人類可讀的十進位格式。
* 子網路分割的計算
** 學習如何將一個網段（如/24）分割成更小的網段（如/26）。
** 計算內容包含分割後有幾段、每一段的網路ID範圍等細節。
* 延伸主題（進階，有興趣可自行研究）
** 變動長度子網路遮罩 (VLSM)：允許將網路分割成大小不同的子網段，例如第一段16個IP，第二段32個，依此類推。
** 無類別域間路由 (CIDR)：路由器使用的技術，相關資料與範例已提供給學員。
=== 傳統LAN的問題與VLAN的引入 ===
* 傳統LAN的廣播問題（第2層）
** 在單一LAN（所有主機接在同一台Switch）中，存在多種廣播行為，造成頻寬浪費。
** Switch處理封包的行為：
    1. 單播（Unicast）* 目的地MAC已知：Switch將封包送到目標所在的特定Port。
    2. 單播（Unicast）* 目的地MAC未知：Switch會將封包泛洪（Flooding）到所有連接的Port（除了來源Port）。
    3. 廣播（Broadcast）* 目的地為FFFF.FFFF.FFFF：Switch會將封包傳送給所有連接的Port。
    4. 多播（Multicast）* 目的地MAC第一個bit為1：Switch同樣會將封包傳送給所有連接的Port。
** 這些廣播行為（如ARP、DHCP請求）會佔用網路頻寬，即使與主機無關仍會收到，導致實際可用效能下降（例如1G網路實際用不到1G）。
* 傳統LAN的安全性問題
** 部門間無隔離：所有設備接在同一Switch下，不同部門（如RD、會計、管理）可互相存取，若有設備中毒風險易擴散。
** 竊聽風險：重要伺服器（如機房VIP封包、Email伺服器）容易被辦公室其他電腦存取。
** 訪客/實驗網路風險：提供給客戶或訪客的免費網路（如7-11、麥當勞）若未與公司內部網路隔離，會造成嚴重安全漏洞。
=== 解決方案比較 ===
* 方法一：物理隔離（購買多台Switch）
** 作法：為每個需要隔離的部門或網路購買獨立的Switch。
** 優點：技術門檻低、易於理解與管理（可貼標籤區分）。
** 缺點：
** 設備成本高。
** Port容易浪費（例如11台電腦也需買24-Port的Switch）。
** 接線複雜、管理困難、修改架構麻煩（人員調動需重新拉線）。
** 接線錯誤可能導致網路異常或無法連線。
* 方法二：邏輯隔離（使用VLAN）
** 作法：在單一台支援VLAN的Switch上，以邏輯方式劃分多個虛擬LAN。
** 優點：
** 降低設備成本。
** Port使用更有效率。
** 接線簡單、易於管理。
** 架構修改方便，可遠端設定或僅更換Port插槽。
** 缺點：需要相關網路知識才能正確設定。
=== VLAN運作原理與通訊 ===
* VLAN基本概念
** 將一個實體LAN在邏輯上分割成多個獨立的LAN。
** 設定VLAN後，不同VLAN成員預設無法互通，猶如接在兩台未連接的獨立Switch。
** 每個VLAN都是獨立廣播域，一個VLAN內的廣播風暴不會影響其他VLAN。
* VLAN成員管理
** 加入或移除VLAN成員很簡單，只需將設備網路線插入對應VLAN的Port。
** 終端設備（如電腦、印表機）不需要也無法識別VLAN。
* 跨Switch的VLAN通訊
** 需求：當單一Switch的Port不足時，可在多台Switch上設定相同VLAN ID並互相溝通。
** 作法：使用一條網路線連接兩台Switch，並將連接的兩個Port設定為Trunk Port（Cisco術語，也稱Tag Port）。
** 原理：不同Switch上相同VLAN ID（如VLAN 10）的成員可互通，不同VLAN ID（如VLAN 10與VLAN 20）仍相互隔離。
* VLAN間通訊
** 需求：不同VLAN之間需要互通或連上網路。
** 作法：為每個VLAN設定對外閘道器（Gateway），並在閘道器（如路由器）上設定路由規則，允許不同VLAN網段間的流量轉發。
** 重點：VLAN間能否互通或上網由第3層的閘道器決定，與VLAN本身無關。
=== 802.1Q協定與封包結構 ===
* 用途
** 當封包需要跨越Switch的Trunk Port時，會在原始乙太網路框架（Frame）中插入一個802.1Q標籤（Tag），標示封包屬於哪個VLAN。
* 封包結構
** 802.1Q標籤是4-byte欄位，插入於來源MAC位址（SA）與類型（Type/Length）之間。
** TPID（Tag Protocol Identifier）：固定值0x8100，告知Switch此封包帶有VLAN標籤。僅支援VLAN的Switch能識別0x8100。
** PCP（Priority Code Point）：3位元，用於設定服務品質（QoS）優先權。
** DEI（Drop Eligible Indicator）：1位元，指示在網路壅塞時此封包可被優先丟棄。
** VLAN ID（VID）：12位元，最重要欄位，用於標示封包所屬VLAN，範圍0至4095，提供大量可用VLAN。
* Tagging流程
** 終端設備（如電腦A）發送的封包不帶Tag。
** 封包進入Access Port後，若需經由Trunk Port傳送到另一台Switch，Switch會加上對應的VLAN Tag。
** 封包到達目的Switch後，在送往終端設備（如電腦E）前，Switch會移除Tag，因終端設備無法識別帶Tag的封包。
[[檔案:2026-0313-07.png|800px]]