相关数据包
VLAN 是什麼?讓你的網路變聰明的魔法
FacebookLinkedInTweet更新日期: 2025 年 10 月 28 日
想像一下你們公司的情況:
會計部在處理員工薪水
客服部在處理客戶資料
物流部在處理出貨單
這三個部門的人分散在三層樓,但大家的電腦都插在同一台大交換器上。
問題來了
當會計部的小陳想要列印薪資報表時,他的電腦需要找到印表機在哪裡,所以會發出一種叫「廣播」的訊號,就像在辦公室裡大喊:「印表機在哪裡?我要印東西!」
因為所有電腦都接在同一台交換器上,這個「大喊」會傳到每一台電腦:
客服部小美的電腦會收到:「咦?有人在找印表機」
物流部阿明的電腦也會收到:「咦?有人在找印表機」
雖然他們不需要印東西,但訊號還是會傳到他們的電腦,他們的電腦還是要處理這個訊號。
更嚴重的是,如果有人想偷看,在同一個網路裡,理論上可以攔截到其他人的資料。會計在傳薪水資料、客服在傳客戶個資,這些資料在網路上「裸奔」,沒有隔開。
傳統解決方案
你可能會想:「那簡單啊!把會計集中到3樓、客服集中到2樓、物流集中到1樓,每層樓用獨立的交換器和網路線,這樣不就分開了?」
理論上可以,但實際上要:
💰 花錢買三台新的交換器
💰 買一大堆新的網路線
😓 請工人重新拉線(可能要鑿牆、走天花板)
📦 員工要搬位子、搬電腦(超麻煩)
⏰ 公司可能要停工好幾天
🤯 以後組織調整又要再來一次
更聰明的方法:VLAN
有沒有不用搬家、不用拉線的方法?
有!答案就是 VLAN(Virtual Local Area Network,虛擬區域網路)。
不用搬位子、不用拉新線、不用買新設備,只要在交換器的管理介面上「動動手指改設定」,5分鐘就能把網路虛擬地隔開:
會計部的電腦:設定成「VLAN 10」
客服部的電腦:設定成「VLAN 20」
物流部的電腦:設定成「VLAN 30」
設定完之後,會計的「大喊」只有會計部的電腦聽得到,客服和物流完全收不到!
聽起來像魔法吧?繼續看下去你就懂了!
什麼是 VLAN?
最簡單的解釋
VLAN 就是「虛擬」的區域網路。
傳統的網路是「實體」的:
同一條線接起來的電腦 = 同一個網路
要分開網路 = 要分開線路
但 VLAN 是「虛擬」的:
就算接同一台交換器
就算用同一條線
還是可以把電腦「邏輯上」分成不同網路
用比喻來理解
想像一棟公寓大樓:
沒有 VLAN 的情況
整棟樓的住戶都用同一個對講機系統
任何人按對講機,全部住戶都會聽到
很吵、沒隱私
有 VLAN 的情況
還是同一個對講機系統(同一條網路線)
但系統設定成:1樓只聽得到1樓的、2樓只聽得到2樓的
清靜、有隱私
VLAN 就是這樣:用同一套實體設備,但虛擬地隔開成不同的網路。
為什麼需要 VLAN?
實際場景:三層樓的辦公室
讓我們看一個真實的例子:
辦公室狀況
3樓:會計💰 + 客服📞 + 物流📦
2樓:會計💰 + 客服📞 + 物流📦
1樓:會計💰 + 客服📞 + 物流📦
三個部門的人混在三層樓,所有電腦都接到同一台交換器。
沒有 VLAN 的問題
graph TD
A[💰 會計電腦] --> S[交換器]
B[📞 客服電腦] --> S
C[📦 物流電腦] --> S
D[💰 會計電腦] --> S
E[📞 客服電腦] --> S
F[📦 物流電腦] --> S
S --> G[所有廣播封包
全部部門都看得到!]
style S fill:#faa,stroke:#333,stroke-width:2px
style G fill:#fcc,stroke:#333,stroke-width:2px
問題來了:
會計在傳送薪資資料 → 客服和物流都看得到
客服在處理客戶資料 → 會計和物流都看得到
物流在查詢出貨資料 → 會計和客服都看得到
隱私?不存在的!安全?堪憂!網路效率?一團亂!
傳統解決方案:搬家 + 拉線
你可能會想:「那就把同部門的人集中在同一層樓啊!」
會計全部搬到 3 樓客服全部搬到 2 樓物流全部搬到 1 樓
然後:
重新規劃辦公室座位(累)
重新拉網路線(貴)
買更多交換器(更貴)
員工要搬東西(抱怨)
這樣做的缺點:
💰 成本高:要買新設備、拉新線路
😓 很麻煩:員工要搬位子、IT 要重新佈線
⏰ 浪費時間:可能要停工好幾天
🔒 不靈活:以後組織調整又要再搬一次
VLAN 的聰明解決方案
不用搬、不用拉線
有了 VLAN,你只需要:
在交換器上動動手指設定
5 分鐘搞定
完全不用動到實體設備
VLAN 如何運作
步驟 1:在交換器上建立虛擬網路
graph TB
Switch[交換器]
subgraph VLAN10[VLAN 10 - 會計部]
A1[💰 Port 1]
A2[💰 Port 5]
A3[💰 Port 9]
end
subgraph VLAN20[VLAN 20 - 客服部]
B1[📞 Port 2]
B2[📞 Port 6]
B3[📞 Port 10]
end
subgraph VLAN30[VLAN 30 - 物流部]
C1[📦 Port 3]
C2[📦 Port 7]
C3[📦 Port 11]
end
VLAN10 --> Switch
VLAN20 --> Switch
VLAN30 --> Switch
style VLAN10 fill:#fdd,stroke:#f00,stroke-width:2px
style VLAN20 fill:#ddf,stroke:#00f,stroke-width:2px
style VLAN30 fill:#dfd,stroke:#0f0,stroke-width:2px
實際操作:
把 Port 1, 5, 9 設定成「VLAN 10(會計)」
把 Port 2, 6, 10 設定成「VLAN 20(客服)」
把 Port 3, 7, 11 設定成「VLAN 30(物流)」
步驟 2:把電腦接到對應的 Port
會計部的電腦插到 Port 1, 5, 9
客服部的電腦插到 Port 2, 6, 10
物流部的電腦插到 Port 3, 7, 11
步驟 3:搞定!
現在:
✅ 會計只看得到會計的流量
✅ 客服只看得到客服的流量
✅ 物流只看得到物流的流量
雖然大家還是用同一台交換器、同一條網路線,但在邏輯上已經被分成三個獨立的網路了!
流量隔離示意圖
sequenceDiagram
participant A as 💰 會計電腦
(VLAN 10)
participant SW as 交換器
participant B as 📞 客服電腦
(VLAN 20)
participant C as 📦 物流電腦
(VLAN 30)
Note over A,SW: 會計傳送薪資資料
A->>SW: 廣播封包 (VLAN 10)
Note over SW: 交換器檢查 VLAN 標籤
SW-->>A: ✅ 轉發給 VLAN 10 的其他電腦
SW--xB: ❌ 不轉發給 VLAN 20
SW--xC: ❌ 不轉發給 VLAN 30
Note over B,C: 客服和物流完全看不到
VLAN 的三大好處
1. 安全性提升 🔒
問題:
會計處理薪資資料,不想讓其他部門看到
客服處理客戶個資,不能外洩
物流的出貨資料需要保密
VLAN 解決:
每個部門只看得到自己的流量
就算有人想偷聽,也只能聽到自己部門的
大幅降低資料外洩風險
2. 流量管理 🚦
問題:當網路上的裝置越來越多,廣播封包會像這樣:
沒有 VLAN:100 台電腦 = 100 台都收到所有廣播
→ 網路超級塞!
VLAN 解決:
有 VLAN:100 台電腦分成 4 個 VLAN(每個 25 台)
→ 廣播只在各自的 VLAN 內
→ 流量減少 75%!
想像一下:
沒有 VLAN:像是大賣場用一個大喇叭,所有廣播全店都聽得到,超吵
有 VLAN:像是分區廣播,1樓只聽1樓的,2樓只聽2樓的,清爽多了
3. 管理超方便 🛠️
情境 1:新人報到
會計部來了新人
只要把他的電腦插到「VLAN 10」的任何一個 Port
搞定!不用重新拉線、不用改設定
情境 2:部門調整
某個員工從客服調到物流
只要在交換器上把他的 Port 從「VLAN 20」改成「VLAN 30」
5 秒鐘搞定!
情境 3:組織重組
公司要新增一個「行銷部」
在交換器上建立一個新的「VLAN 40」
完全不用買新設備、不用拉新線
VLAN 的運作原理
如何指定 VLAN?
交換器是透過 Port(埠) 來分配 VLAN 的:
graph LR
subgraph Switch[交換器]
P1[Port 1
VLAN 10]
P2[Port 2
VLAN 20]
P3[Port 3
VLAN 30]
P4[Port 4
VLAN 10]
P5[Port 5
VLAN 20]
P6[Port 6
VLAN 30]
end
C1[💰 會計] --> P1
C2[📞 客服] --> P2
C3[📦 物流] --> P3
C4[💰 會計] --> P4
C5[📞 客服] --> P5
C6[📦 物流] --> P6
style P1 fill:#fdd
style P4 fill:#fdd
style P2 fill:#ddf
style P5 fill:#ddf
style P3 fill:#dfd
style P6 fill:#dfd
設定方式:
進入交換器的管理介面
選擇 Port 1
設定為 VLAN 10
完成!
VLAN 標籤(Tag)
當封包在交換器裡傳送時,會被「貼上標籤」:
graph LR
A[電腦發送封包] --> B[交換器加上
VLAN 標籤]
B --> C[交換器檢查標籤]
C --> D{是同一個 VLAN 嗎?}
D -->|是| E[✅ 轉發]
D -->|否| F[❌ 丟棄]
style E fill:#dfd
style F fill:#fdd
舉例:
會計電腦發送封包 → 交換器貼上「VLAN 10」的標籤
交換器檢查:「這個封包是 VLAN 10 的」
交換器只轉發給其他 VLAN 10 的 Port
其他 VLAN 的 Port 完全收不到
VLAN 的實際應用場景
場景 1:學校
VLAN 10 = 教職員網路(可以存取成績系統)
VLAN 20 = 學生網路(只能上網,不能存取成績系統)
VLAN 30 = 訪客網路(只能上網,不能存取任何內部資源)
好處:
學生無法偷看成績
訪客無法進入內部系統
管理清楚明瞭
場景 2:醫院
VLAN 10 = 醫師網路(可存取病歷系統)
VLAN 20 = 護理師網路(可存取部分病歷)
VLAN 30 = 行政網路(不能存取病歷)
VLAN 40 = 訪客網路(只能上網)
好處:
保護病患隱私
符合醫療法規
權限管理清楚
場景 3:飯店
VLAN 10 = 管理網路(櫃台、訂房系統)
VLAN 20 = 員工網路(員工上網)
VLAN 30 = 客房網路(房客上網)
好處:
客人無法存取訂房系統
管理系統更安全
每個 VLAN 可以設定不同的網速限制
VLAN 的限制
1. 需要支援 VLAN 的交換器
不是所有交換器都支援 VLAN:
家用交換器:通常不支援(便宜貨)
企業級交換器:都支援(比較貴)
2. 不同 VLAN 之間無法直接通訊
如果會計部(VLAN 10)要跟客服部(VLAN 20)通訊怎麼辦?
需要透過「路由器」或「Layer 3 交換器」來幫忙轉發。
graph LR
A[VLAN 10
會計] --> R[路由器]
B[VLAN 20
客服] --> R
R --> C[可以互相通訊了!]
style R fill:#f9f,stroke:#333,stroke-width:2px
3. 需要規劃
VLAN 雖然方便,但也需要好好規劃:
哪些部門要分開?
每個 VLAN 要用什麼 ID?
哪些 Port 要分配給哪個 VLAN?
如果沒規劃好,之後會很亂。
總結
VLAN 一句話總結
VLAN 就是用軟體的方式,把一個實體網路虛擬地分成多個獨立的網路。
為什麼要用 VLAN?
✅ 安全:部門之間的流量隔離✅ 效能:減少廣播流量,網路更順暢✅ 方便:不用實體搬遷就能重新規劃網路✅ 省錢:不用買一堆交換器和拉一堆線✅ 靈活:組織調整時,改設定就好
什麼時候該用 VLAN?
公司有多個部門,需要隔離流量
網路裝置越來越多,廣播封包太多
想要提升網路安全性
需要靈活調整網路架構
不想花大錢重拉線路
記住這三個重點
VLAN 是虛擬的:不用實體分開,用設定就能分開
VLAN 靠交換器:在交換器的 Port 上設定
VLAN 隔離流量:不同 VLAN 之間看不到彼此的封包
寫在最後
VLAN 看起來很複雜,但其實概念很簡單:就是把一個網路虛擬地分成好幾個。
就像把一間大教室用隔板隔開成幾個小教室,實體上還是同一間,但邏輯上已經是獨立的空間了。
下次看到公司的交換器時,想想看裡面有幾個 VLAN 正在默默地幫你管理網路吧!💻✨