「緯育 2026-0313」修訂間的差異

虛擬區域網路 VLAN

本講座介紹了虛擬區域網路（VLAN）與子網路分割的核心概念。講師先說明本次主題重點：VLAN、子網路分割、網路遮罩與進位制轉換。接著，分析未使用VLAN的傳統區域網路（LAN）在頻寬浪費與安全性上的問題，並比較物理隔離（多台Switch）與邏輯隔離（VLAN）的優缺點。隨後，深入解釋VLAN的運作原理、跨交換器通訊的Trunk Port機制，以及802.1Q標籤在封包中的作用與結構。最後預告後續課程將涵蓋VLAN設定實務與子網路切割計算。

課程內容綱要

• 主要目標
  • 介紹兩大核心內容：虛擬區域網路（VLAN）及其設定，以及子網路分割。
• 前置知識
  • 在學習子網路分割前，必須先了解網路遮罩（Network Mask）。
  • 在學習網路遮罩前，必須先了解進位制轉換，以便將二進位的網路遮罩（如/8代表8個1）轉換為人類可讀的十進位格式。
• 子網路分割的計算
  • 學習如何將一個網段（如/24）分割成更小的網段（如/26）。
  • 計算內容包含分割後有幾段、每一段的網路ID範圍等細節。
• 延伸主題（進階，有興趣可自行研究）
  • 變動長度子網路遮罩 (VLSM)：允許將網路分割成大小不同的子網段，例如第一段16個IP，第二段32個，依此類推。
  • 無類別域間路由 (CIDR)：路由器使用的技術，相關資料與範例已提供給學員。

傳統LAN的問題與VLAN的引入

• 傳統LAN的廣播問題（第2層）
  • 在單一LAN（所有主機接在同一台Switch）中，存在多種廣播行為，造成頻寬浪費。
  • Switch處理封包的行為：

   1. 單播（Unicast）* 目的地MAC已知：Switch將封包送到目標所在的特定Port。
   2. 單播（Unicast）* 目的地MAC未知：Switch會將封包泛洪（Flooding）到所有連接的Port（除了來源Port）。
   3. 廣播（Broadcast）* 目的地為FFFF.FFFF.FFFF：Switch會將封包傳送給所有連接的Port。
   4. 多播（Multicast）* 目的地MAC第一個bit為1：Switch同樣會將封包傳送給所有連接的Port。

• • 這些廣播行為（如ARP、DHCP請求）會佔用網路頻寬，即使與主機無關仍會收到，導致實際可用效能下降（例如1G網路實際用不到1G）。
• 傳統LAN的安全性問題
  • 部門間無隔離：所有設備接在同一Switch下，不同部門（如RD、會計、管理）可互相存取，若有設備中毒風險易擴散。
  • 竊聽風險：重要伺服器（如機房VIP封包、Email伺服器）容易被辦公室其他電腦存取。
  • 訪客/實驗網路風險：提供給客戶或訪客的免費網路（如7-11、麥當勞）若未與公司內部網路隔離，會造成嚴重安全漏洞。

解決方案比較

• 方法一：物理隔離（購買多台Switch）
  • 作法：為每個需要隔離的部門或網路購買獨立的Switch。
  • 優點：技術門檻低、易於理解與管理（可貼標籤區分）。
  • 缺點：
  • 設備成本高。
  • Port容易浪費（例如11台電腦也需買24-Port的Switch）。
  • 接線複雜、管理困難、修改架構麻煩（人員調動需重新拉線）。
  • 接線錯誤可能導致網路異常或無法連線。
• 方法二：邏輯隔離（使用VLAN）
  • 作法：在單一台支援VLAN的Switch上，以邏輯方式劃分多個虛擬LAN。
  • 優點：
  • 降低設備成本。
  • Port使用更有效率。
  • 接線簡單、易於管理。
  • 架構修改方便，可遠端設定或僅更換Port插槽。
  • 缺點：需要相關網路知識才能正確設定。

VLAN運作原理與通訊

• VLAN基本概念
  • 將一個實體LAN在邏輯上分割成多個獨立的LAN。
  • 設定VLAN後，不同VLAN成員預設無法互通，猶如接在兩台未連接的獨立Switch。
  • 每個VLAN都是獨立廣播域，一個VLAN內的廣播風暴不會影響其他VLAN。
• VLAN成員管理
  • 加入或移除VLAN成員很簡單，只需將設備網路線插入對應VLAN的Port。
  • 終端設備（如電腦、印表機）不需要也無法識別VLAN。
• 跨Switch的VLAN通訊
  • 需求：當單一Switch的Port不足時，可在多台Switch上設定相同VLAN ID並互相溝通。
  • 作法：使用一條網路線連接兩台Switch，並將連接的兩個Port設定為Trunk Port（Cisco術語，也稱Tag Port）。
  • 原理：不同Switch上相同VLAN ID（如VLAN 10）的成員可互通，不同VLAN ID（如VLAN 10與VLAN 20）仍相互隔離。
• VLAN間通訊
  • 需求：不同VLAN之間需要互通或連上網路。
  • 作法：為每個VLAN設定對外閘道器（Gateway），並在閘道器（如路由器）上設定路由規則，允許不同VLAN網段間的流量轉發。
  • 重點：VLAN間能否互通或上網由第3層的閘道器決定，與VLAN本身無關。

802.1Q協定與封包結構

• 用途
  • 當封包需要跨越Switch的Trunk Port時，會在原始乙太網路框架（Frame）中插入一個802.1Q標籤（Tag），標示封包屬於哪個VLAN。
• 封包結構
  • 802.1Q標籤是4-byte欄位，插入於來源MAC位址（SA）與類型（Type/Length）之間。
  • TPID（Tag Protocol Identifier）：固定值0x8100，告知Switch此封包帶有VLAN標籤。僅支援VLAN的Switch能識別0x8100。
  • PCP（Priority Code Point）：3位元，用於設定服務品質（QoS）優先權。
  • DEI（Drop Eligible Indicator）：1位元，指示在網路壅塞時此封包可被優先丟棄。
  • VLAN ID（VID）：12位元，最重要欄位，用於標示封包所屬VLAN，範圍0至4095，提供大量可用VLAN。
• Tagging流程
  • 終端設備（如電腦A）發送的封包不帶Tag。
  • 封包進入Access Port後，若需經由Trunk Port傳送到另一台Switch，Switch會加上對應的VLAN Tag。
  • 封包到達目的Switch後，在送往終端設備（如電腦E）前，Switch會移除Tag，因終端設備無法識別帶Tag的封包。

802.1Q VLAN Tag 原理與識別

• 802.1Q Tag的結構與插入位置
  • 802.1Q tag，俗稱VLAN tag，是在既有的乙太網路框架（frame）中，於來源MAC位址與類型（Type）欄位之間插入的一個區塊。
  • 它可以被識別的原因是，其協定ID（Protocol ID, PID）欄位使用了8100這個特定的十六進位值。
  • 這個PID欄位與原本的Type欄位一樣都是2個位元組（bytes），因此支援802.1Q的交換器（switch）讀到8100時，便知道這是一個VLAN tag，並能接著解析後續的優先級（PCP）與VLAN ID（VID）資訊。
• 終端設備與VLAN Tag的相容性
  • 一般的終端設備，如電腦、手機、印表機等，其網路卡理論上無法識別8100這個PID，因此看不懂VLAN tag。
  • 之前有同學用Wireshark抓到含tag的封包，是因為Wireshark軟體看得懂，但作業系統層級的網路堆疊或硬體網卡本身通常不具備此功能，除非網卡有特別設定或驅動程式支援。

VLAN Tag 的使用情境與通訊原理

• 單一交換器內通訊
  • 當兩個端點設備連接在同一台交換器、同一個VLAN底下時，它們之間的通訊是標準的乙太網路封包，不需要VLAN tag。
  • 如果這兩個端點分屬不同的VLAN，它們之間根本無法通訊，與tag無關。
• 跨交換器間同VLAN通訊
  • 步驟 1 (傳送端): 當VLAN 1的設備要傳送封包到另一台交換器的VLAN 1時，封包會先送至Switch 1的Trunk Port。Switch 1識別到目的地在另一台交換器，便會為封包貼上對應的VLAN ID標籤。
  • 步驟 2 (傳輸中): 帶有標籤的封包會從Switch 1的Trunk Port經由實體網路線，傳送到Switch 2的Trunk Port。在傳輸過程中，VLAN標籤會一直被保留。
  • 步驟 3 (接收端): Switch 2從其Trunk Port收到帶有標籤的封包。交換器的中央處理器會讀取標籤上的VLAN ID，並在內部尋找對應的VLAN群組。
  • 步驟 4 (轉發): 找到目標VLAN後，Switch 2會移除VLAN標籤，然後根據封包中的目的地MAC位址，將封包轉發到該VLAN內的正確連接埠。最終接收到封包的終端設備，收到的仍然是沒有tag的封包。

可管理型交換器 (Managed Switch) 與連接埠類型

• 可管理型交換器
  • 能夠看懂並處理802.1Q tag的設備，通常是可管理型（Managed）或智慧型（Smart）交換器，在台灣常被稱為「網管型交換器」。
  • 其功能包括：辨識VLAN、決定封包轉發路徑、決定何時加上或移除VLAN tag。
• Access Port (存取埠)
  • 又稱為Untagged Port或Basics Port，用於連接終端設備（如電腦、印表機）。
  • 封包離開此port時不會帶有VLAN tag。交換器會移除傳入的tag或為傳出的封包移除tag。
  • 廠商用詞可能為「Access Mode」或「Access Link」。
• Trunk Port (主幹埠)
  • 又稱為Tagged Port、802.1Q Port，或簡稱T Port，「Trunk」一詞源於思科（Cisco）。
  • 功能是允許不同交換器上相同VLAN的封包進行傳輸。一般會將兩台交換器的Trunk Port以實體線路對接。
• Hybrid Port (混合埠)
  • 同時具備Access Port與Trunk Port的特性。
  • 若收到無標籤的封包，會將其送到預設VLAN；若收到有標籤的封包，則根據標籤送到指定VLAN。
• Tunnel Port (通道埠)
  • 較少見，用於特殊場景如Q-in-Q，允許跨越廣域網路（如網際網路）連接地理位置不同但屬同一VLAN的網路，需與ISP協調。

VLAN 設定相關名詞與概念

• VLAN的建立與命名
  • 在設定介面中建立新VLAN，並設定VLAN ID（一個數字）。大多數設備有預設VLAN 1。
  • 部分廠商允許為VLAN取描述性名稱，但此非802.1Q標準。
• VLAN 成員 (VLAN Member) 的劃分方式
  • By Port (基於埠)：最基本且常見的方式，將交換器的特定port劃歸給一個VLAN，相對安全。
  • By MAC Address (基於MAC位址)：將特定MAC位址劃歸給一個VLAN，設備不論插入哪個port都會自動歸屬，但可透過修改MAC位址破解。
  • By IP Subnet (基於IP網段)：根據設備IP位址劃分VLAN，使用者若自行更改IP可能跳到不同VLAN，安全性較低。
  • By Protocol (基於協定)：根據網路層協定（如IP、IPX）劃分，較少見。
• VLAN ID (VID)
  • 指802.1Q標頭中那個12位元的識別碼數字，與建立的VLAN設定相對應。
• PVID (Port VLAN ID)
  • 指以Port為基礎的VLAN ID，代表該port預設屬於哪個VLAN。
  • 為避免混亂，強烈建議將VLAN ID、VID和PVID設定為同一個數字。

VLAN 實務應用案例

• 案例一：單一交換器內的部門隔離
  • 情境: 將不同部門（如辦公室、業務、會計）的網路完全隔離開。
  • 作法: 在一台網管型交換器上建立多個VLAN，並將不同port群組分別指派給對應的VLAN。
  • 結果: 各部門之間網路完全隔離，無法互通。
• 案例二：VLAN 網路擴充
  • 情境: 原有交換器的連接埠不敷使用。
  • 作法 (推薦): 添購新的網管型交換器，在新舊交換器上各設定一個Trunk Port並對接，即可讓兩台交換器上相同VLAN的設備互相通訊。
  • 作法 (省錢): 將一台無VLAN功能的舊交換器，直接連接到主交換器上已劃分給某VLAN的Access Port，即可延伸該VLAN的連接埠。
• 案例三：部分互通與上網權限控制
  • 情境: 複雜需求，如辦公室與業務部可互通並上網；會計與設計部獨立且不能上網；訪客可上網但不能存取內部網路。
  • 作法: 需一台支援VLAN的路由器。在路由器上設定Inter-VLAN Routing（跨VLAN路由），針對不同VLAN設定允許/阻擋互通、允許/阻擋存取網際網路的規則。
• 案例四：在既有舊式網路中導入VLAN（低成本方案）
  • 情境: 公司設備皆不支援VLAN，但希望實現網路控制。
  • 作法: 添購一台具備VLAN功能的多功能路由器，將所有舊的普通Switch都連接到這台新設備下方。在新設備上將其LAN port指派給不同VLAN，並為各VLAN設定獨立的IP網段、閘道器及互通規則。
  • 效能限制: 所有部門的流量都集中通過單一線路連到新路由器，易形成頻寬瓶頸，但對非高強度使用的公司是經濟實惠的方案。