我來介紹下vlan的定義，vlan的作用，以及vlan是如何劃分的。

vlan的定義

vlan叫虛擬區域網，是一種透過區域網內的裝置邏輯地址劃分成一個一個網段從而實現虛擬工作組的新技術。

vlan的作用

透過劃分不同的vlan，相同vlan內的主機可以直接通訊，不同vlan之間的主機不能直接通訊，從而將廣播域限制在一個vlan內。

①增加區域網的安全性

不同vlan內的報文在傳輸時相互隔離。

②限制廣播域

廣播域限制在一個vlan內，避免中毒引起廣播風暴，既節省頻寬，又提高了網路處理能力。

用vlan劃分不同的使用者到不同的區域網，不必受限於固定的物理環境，組建區域網絡和維護網路更加方便靈活。

④提高網路的健壯性

故障限制在同一個vlan內，本vlan內的故障不會影響其他vlan的正常工作。

vlan的劃分

vlan劃分主要有基於埠劃分，基於mac地址劃分，基於協議劃分和基於子網劃分，下面來具體介紹。

①基於埠劃分

基於埠的vlan劃分是最常用的一種劃分防範，將一個或者幾個埠劃分到屬於一個vlan，這個埠下面的使用者也就屬於該vlan，優點就是配置比較方便，只要在交換機上將相應的埠加入相應的vlan即可。

②基於mac地址劃分

基於mac地址劃分的vlan就是在劃分的時候根據mac地址來劃分，不受地理位置的限制，不管PCA使用者接在哪個介面，只要網絡卡地址不變，都是同一個vlan，但配置比基於埠要繁瑣。

這種方法主要是根據子網來劃分，比如10.0.0.0/24屬於vlan10,20.0.0.0/24屬於vlan20，這種劃分方式在實際專案應用中較少。

④基於協議劃分

這種劃分方式是指運行於不同的協議劃分到相同的vlan，比如執行IP協議的劃到一個vlan，執行IPX協議的劃分到另外個vlan，實際應用較少，其實PC真正執行的協議沒有很多，劃分vlan有數量上的限制。

綜上所述，vlan是虛擬區域網的簡稱，在實際專案中劃分vlan有限制廣播域，增加網路安全性等作用，vlan的劃分方式主要有基於埠劃分，基於mac地址劃分，基於子網劃分，基於協議的劃分，其中基於埠劃分在實際專案中應用最多，需要重點掌握。

交換機在交換資料時是根據目的Mac地址確定其要轉發到哪個埠！它記憶體中維護著一張Mac轉發表！當一個新的Mac地址過來需要轉發時，交換機在查詢後並無此Mac對應的埠記錄，咋麼辦？它會構建一個ARP資料包，從除了接受到這個資料的所有埠轉發出去，叫做廣播，作用是得到目的Mac地址在哪個埠上連線著！

而每次收到一個新的資料時都會發送一次廣播，只要是這個交換機下的主機不管需不需要都得處理該ARP請求！當網路規模很大時，廣播將會很多，嚴重影響網路的效能！這時候VLAN就可以有很大的作用！

它的全稱是虛擬區域網，作用就是把連線在同一交換機下的主機分為更小的邏輯網段，以減少廣播的數量，不同的VLAN之間不能通訊，這樣廣播就被限制在同一個業務需求主機的VLAN裡，即便是連線在同一個交換機下，不同的VLAN也不會收到廣播的ARP請求！如果他們之間需要通訊，只能藉助路由器或三層交換機！

VLAN是什麼意思？有什麼作用？什麼情況下用到？

VLAN是什麼意思？

VLAN即虛擬區域網，指在區域網交換機裡採用網路管理軟體構建可跨越不同網路端、不同網路、不同位置的端到端的邏輯網路。VLAN是一個廣播域，與使用者物理位置沒任何關係，它是一個在物理網路上依據用途、工作組、應用等邏輯劃分的區域網絡。因此，VLAN是指網路中的站點不拘泥於所處的物理位置，而可以根據需要靈活的加入不同邏輯子網中的一種網路技術。

VLAN有什麼作用？

VLAN本質就是一個網段，且面對不同層次，其作用也具有一定的差異化。它的作用可以實現區域網中的子網劃分，實現子網間資訊共享，實現區域網交疊。總得來說，其作用就是區域劃分管理。它的應用價值；一、增加網路連線的靈活性。二、控制網路上的廣播風暴。三、增加網路的安全性。

VLAN在什麼情況下用到？

基於交換埠VLAN的應用；把VLAN交換機的某些埠集合作為VLAN的成員。基於MAC地址VLAN的應用；把交換機對站點的MAC地址和交換機埠進行跟蹤，在新站點入網時，根據實際需求將其劃入某一個VLAN。基於網路層VLAN的應用；其利用網路層業務屬性來自動生成VLAN，將使用不同的路由協議站點劃分在相對應的VLAN。

虛擬區域網（Virtual Local Area Network或簡寫VLAN, V-LAN）。

是一種建構於區域網交換技術的網路管理的技術，網管人員可以藉此透過控制交換機有效分派出入區域網的分組到正確的出入埠，達到對不同實體區域網中的裝置進行邏輯分群管理，並降低區域網內大量資料流通時，因無用分組過多導致壅塞的問題，以及提升區域網的資訊保安保障。

VLAN可以為網路提供以下作用：廣播控制、頻寬利用、降低延遲、安全性（非設計作用，本身功能所附加出的）。

VLAN技術的出現，使得管理員根據實際應用需求，把同一物理區域網內的不同使用者邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由於它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理範圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助於控制流量、減少裝置投資、簡化網路管理、提高網路的安全性。 VLAN除了能將網路劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網路的拓撲結構變得非常靈活的優點外，還可以用於控制網路中不同部門、不同站點之間的互相訪問。

VLAN在交換機上的實現方法，可以大致劃分為六類:1. 基於埠的VLAN2. 基於MAC地址的VLAN3. 基於網路層協議的VLAN4. 根據IP組播的VLAN5. 按策略劃分的VLAN6. 按使用者定義、非使用者授權劃分的VLAN

這問題正好今天小兄弟問過我，長話短說。

vlan是個二層概念，而且是乙太網中的概念，你要了解他你必須先熟悉乙太網是什麼東東。

vlan簡單說他隔離了乙太網匯流排，一個vlan包含一個乙太網匯流排，隔離一個廣播域。

同一個vlan連線的裝置，只能偵聽到相同vlan裝置傳送的資訊，同一vlan連線的裝置，只能在同一vlan中泛洪。

題外話，很多人吧vlan解釋為二層隔離，這也可以說對，但是非常不準確，不要脫離乙太網談vlan。

前言

•乙太網是一種基於CSMA/CD的資料網路通訊技術，其特徵是共享通訊介質。當主機數目較多時會導致安全隱患、廣播氾濫、效能顯著下降甚至造成網路不可用。

•在這種情況下出現了VLAN (Virtual Local Area Network)技術解決以上問題。

傳統乙太網的問題

•廣播域：

▫如圖是一個典型的交換網路，網路中只有終端計算機和交換機。在這樣的網路中，如果某一臺計算機發送了一個廣播幀，由於交換機對廣播幀執行泛洪操作，結果所有其他的計算機都會收到這個廣播幀。

▫把廣播幀所能到達的整個訪問範圍稱為二層廣播域，簡稱廣播域 (Broadcast Domain)。顯然，一個交換網路其實就是一個廣播域。

•網路安全問題和垃圾流量問題：

▫如圖：如果PC1向PC2傳送了一個單播幀。此時SW1、SW3、SW7的MAC地址表中存在關於PC2的MAC地址表項，但SW2和SW5不存在關於PC2的MAC地址表項。那麼，SW1和SW3將對該單播幀執行點對點的轉發操作，SW7將對該單播幀執行丟棄操作，SW2和SW5將對該單播幀執行泛洪操作。最後的結果是，PC2雖然收到了該單播幀，但網路中的很多其他非目的主機，同樣收到了不該接收的資料幀。

•顯然，廣播域越大，網路安全問題和垃圾流量問題就越嚴重。

•在典型交換網路中，當某臺主機發送一個廣播幀或未知單播幀時，該資料幀會被泛洪，甚至傳遞到整個廣播域。

•廣播域越大，產生的網路安全問題、垃圾流量問題，就越嚴重。

虛擬區域網 (VLAN, Virtual LAN)

•為了解決廣播域帶來的問題，人們引入了VLAN (Virtual Local Area Network)，即虛擬區域網技術：

▫透過在交換機上部署VLAN，可以將一個規模較大的廣播域在邏輯上劃分成若干個不同的、規模較小的廣播域，由此可以有效地提升網路的安全性，同時減少垃圾流量，節約網路資源。

•VLAN的特點：

▫一個VLAN就是一個廣播域，所以在同一個VLAN內部，計算機可以直接進行二層通訊；而不同VLAN內的計算機，無法直接進行二層通訊，只能進行三層通訊來傳遞資訊，即廣播報文被限制在一個VLAN內。

▫VLAN的劃分不受地域的限制。

•VLAN的好處：

▫靈活構建虛擬工作組：用VLAN可以劃分不同的使用者到不同的工作組，同一工作組的使用者也不必侷限於某一固定的物理範圍，網路構建和維護更方便靈活。

▫限制廣播域：廣播域被限制在一個VLAN內，節省了頻寬，提高了網路處理能力。

▫增強區域網的安全性：不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的使用者不能和其它VLAN內的使用者直接通訊。

▫提高了網路的健壯性：故障被限制在一個VLAN內，本VLAN內的故障不會影響其他VLAN的正常工作。

•注：二層，即資料鏈路層。

虛擬區域網VLAN可以隔離廣播域。

特點：

不受地域限制。

同一VLAN內的裝置才能直接進行二層通訊。

如何實現VLAN

•Switch1與Switch2同屬一個企業，該企業統一規劃了網路中的VLAN。其中VLAN10用於A部門，VLAN20用於B部門。A、B部門的員工在Switch1和Switch2上都有接入。

•PC1發出的資料經過Switch1和Switch2之間的鏈路到達了Switch2。如果不加處理，後者無法判斷該資料所屬的VLAN，也不知道應該將這個資料輸出到本地哪個VLAN中。

VLAN標籤 (VLAN Tag)

•交換機如何識別接收到的資料幀屬於哪個VLAN？

•如圖所示，SW1識別出某個幀是屬於哪個VLAN後，會在這個幀的特定位置上新增一個標籤。這個標籤明確地標明瞭這個幀是屬於哪個VLAN的。其他交換機（如SW2）收到這個帶標籤的資料幀後，就能輕而易舉地直接根據標籤資訊識別出這個幀屬於哪個VLAN。

•IEEE 802.1Q定義了這種帶標籤的資料幀的格式。滿足這種格式的資料幀稱為IEEE 802.1Q資料幀，也稱VLAN資料幀。

VLAN標籤：

•要使交換機能夠分辨不同VLAN的報文，需要在報文中新增標識VLAN資訊的欄位。

•IEEE 802.1Q協議規定，在乙太網資料幀中加入4個位元組的VLAN標籤，又稱VLAN Tag，簡稱Tag。

VLAN資料幀

•在一個VLAN交換網路中，乙太網幀主要有以下兩種形式：

▫有標記幀（Tagged幀）：IEEE 802.1Q協議規定，在乙太網資料幀的目的MAC地址和源MAC地址欄位之後、協議型別欄位之前加入4個位元組的VLAN標籤（又稱VLAN Tag，簡稱Tag）的資料幀。

▫無標記幀（Untagged幀）：原始的、未加入4位元組VLAN標籤的資料幀。 •VLAN資料幀中的主要欄位：

▫TPID：2位元組，Tag Protocol Identifier（標籤協議識別符號），表示資料幀型別。

▪取值為0x8100時表示IEEE 802.1Q的VLAN資料幀。如果不支援802.1Q的裝置收到這樣的幀，會將其丟棄。

▪各裝置廠商可以自定義該欄位的值。當鄰居裝置將TPID值配置為非0x8100時，為了能夠識別這樣的報文，實現互通，必須在本裝置上修改TPID值，確保和鄰居裝置的TPID值配置一致。 ▫PRI：3 bit，Priority，表示資料幀的優先順序，用於QoS。

▪取值範圍為0～7，值越大優先順序越高。當網路阻塞時，交換機優先發送優先順序高的資料幀。

VLAN的實現

•Switch1和Switch2之間的鏈路要承載多個VLAN的資料，需要一種基於VLAN的資料“標記”手段，以便對不同VLAN的資料幀進行區分。

•IEEE 802.1Q標準（也被稱為Dot1Q）定義了該“標記”方法。該標準對傳統的乙太網資料幀進行修改，在幀頭中插入802.1Q Tag，而在該Tag中，便可以寫入VLAN資訊。

VLAN的劃分方式

整個網路是如何劃分VLAN的？

VLAN劃分方式

VLAN 10

VLAN 20

基於介面

GE0/0/1，GE0/0/3

GE0/0/2，GE0/0/4

基於MAC地址

MAC 1，MAC 3

MAC 2，MAC 4

基於IP子網劃分

10.0.1.*

10.0.2.*

基於協議劃分

IP

IPv6

基於策略

10.0.1.* + GE0/0/1+ MAC 1

10.0.2.* + GE0/0/2 + MAC 2

基於介面的VLAN劃分

•劃分原則：

▫將VLAN ID配置到交換機的物理介面上，從某一個物理介面進入交換機的、由終端計算機發送的Untagged資料幀都被劃分到該介面的VLAN ID所表明的那個VLAN。

•特點：

▫這種劃分原則簡單而直觀，實現容易，是目前實際的網路應用中最為廣泛的劃分VLAN的方式。 ▫當計算機接入交換機的埠發生了變化時，該計算機發送的幀的VLAN歸屬可能會發生變化。

•預設VLAN，PVID (Port VLAN ID)

▫每個交換機的介面都應該配置一個PVID，到達這個埠的Untagged幀將一律被交換機劃分到PVID所指代的VLAN。 ▫預設情況下，PVID的值為1。

基於介面的VLAN劃分

•原理

▫根據交換機的介面來劃分VLAN。

▫網路管理員預先給交換機的每個介面配置不同的PVID，將該介面劃入PVID對應的VLAN。

▫當一個數據幀進入交換機時，如果沒有帶VLAN標籤，該資料幀就會被打上介面指定PVID的Tag，然後資料幀將在指定PVID中傳輸。

•預設VLAN，PVID

▫Port VLAN ID，是介面上的預設VLAN。

▫取值：1~4094。

基於MAC地址的VLAN劃分

SW1的MAC地址與VLAN表

MAC地址

VLAN ID

MAC 1

10

MAC 2

10

……

……

•劃分原則：

▫交換機內部建立並維護了一個MAC地址與VLAN ID的對應表。當交換機接收到計算機發送的Untagged幀時，交換機將分析幀中的源MAC地址，然後查詢MAC地址與VLAN ID的對應表，並根據對應關係把這個幀劃分到相應的VLAN中。

•特點：

▫這種劃分實現稍微複雜，但靈活性得到了提高。

▫當計算機接入交換機的埠發生了變化時，該計算機發送的幀的VLAN歸屬不會發生變化（因為計算機的MAC地址沒有變）。

▫但這種型別的VLAN劃分安全性不是很高，因為惡意計算機很容易偽造MAC地址。

基於MAC地址的VLAN劃分

•原理

▫根據資料幀的源MAC地址來劃分VLAN。

▫網路管理員預先配置MAC地址和VLAN ID對映關係表。

▫當交換機收到的是Untagged幀時，就依據該表給資料幀新增指定VLAN的Tag，然後資料幀將在指定VLAN中傳輸。

•對映表

▫記錄了MAC地址和VLAN ID的關聯情況。

乙太網二層介面型別

介面型別

•Access介面

交換機上常用來連線使用者PC、伺服器等終端裝置的介面。Access介面所連線的這些裝置的網絡卡往往只收發無標記幀。Access介面只能加入一個VLAN。

•Trunk介面

Trunk介面允許多個VLAN的資料幀透過，這些資料幀透過802.1Q Tag實現區分。Trunk介面常用於交換機之間的互聯，也用於連線路由器、防火牆等裝置的子介面。

•Hybrid介面

Hybrid介面與Trunk介面類似，也允許多個VLAN的資料幀透過，這些資料幀透過802.1Q Tag實現區分。使用者可以靈活指定Hybrid介面在傳送某個（或某些）VLAN的資料幀時是否攜帶Tag。

Access介面

•上文已經介紹了交換機如何識別資料幀屬於哪個VLAN以及VLAN的劃分方式，那交換機對於Untagged幀和Tagged幀又是如何處理的呢？

•Access介面特點：

▫僅允許VLAN ID與介面PVID相同的資料幀透過。

•Access介面接收資料幀：

▫當一個Tagged幀從本交換機的其他介面到達一個Access介面後，交換機會檢查這個幀的Tag中的VID是否與PVID相同：

▪如果相同，則將這個Tagged幀的Tag進行剝離，然後將得到的Untagged幀從鏈路上傳送出去；

▪如果不同，則直接丟棄這個Tagged幀。

Trunk介面

•對於Trunk介面，除了要配置PVID外，還必須配置允許透過的VLAN ID列表，其中VLAN 1是預設存在的。

•Trunk介面特點：

▫Trunk介面僅允許VLAN ID在允許透過列表中的資料幀透過。

▫Trunk介面可以允許多個VLAN的幀帶Tag透過，但只允許一個VLAN的幀從該類介面上發出時不帶Tag（即剝除Tag）。

•Trunk介面接收資料幀：

▫當Trunk介面從鏈路上收到一個Untagged幀，交換機會在這個幀中新增上VID為PVID的Tag，然後檢視PVID是否在允許透過的VLAN ID列表中。如果在，則對得到的Tagged幀進行轉發操作；如果不在，則直接丟棄得到的Tagged幀。

•Trunk介面傳送資料幀：

▫當一個Tagged幀從本交換機的其他介面到達一個Trunk介面後，如果這個幀的Tag中的VID不在允許透過的VLAN ID列表中，則該Tagged幀會被直接丟棄。

▫當一個Tagged幀從本交換機的其他介面到達一個Trunk介面後，如果這個幀的Tag中的VID在允許透過的VLAN ID列表中，則會比較該Tag中的VID是否與介面的PVID相同：

▪如果相同，則交換機會對這個Tagged幀的Tag進行剝離，然後將得到的Untagged幀從鏈路上傳送出去；

▪如果不同，則交換機不會對這個Tagged幀的Tag進行剝離，而是直接將它從鏈路上傳送出去。

Access介面與Trunk介面舉例

•請描述主機之間資料訪問的全流程。

SW1與SW2的Trunk介面

允許透過列表

VLAN ID

1

10

20

•在本例中，SW1和SW2連線主機的介面為Access介面，PVID如圖所示。SW1和SW2互連的介面為Trunk介面，PVID都為1，此Trunk介面的允許透過的VLAN ID列表也如圖所示。 •請描述主機之間資料互訪的全流程。

Hybrid介面

•對於Hybrid介面，除了要配置PVID外，還存在兩個允許透過的VLAN ID列表，一個是Untagged VLAN ID列表，另一個是Tagged VLAN ID列表，其中VLAN 1預設在Untagged VLAN列表中。這兩個允許透過列表中的所有VLAN的幀都是允許透過這個Hybrid介面的。

•Hybrid介面特點：

▫Hybrid介面僅允許VLAN ID在允許透過列表中的資料幀透過。

▫Hybrid介面可以允許多個VLAN的幀帶Tag透過，且允許從該類介面發出的幀根據需要配置某些VLAN的幀帶Tag、某些VLAN的幀不帶Tag。

▫與Trunk最主要的區別就是，能夠支援多個VLAN的資料幀，不帶標籤透過。

•Hybrid介面接收資料幀：

▫當Hybrid介面從鏈路上收到一個Untagged幀，交換機會在這個幀中新增上VID為PVID的Tag，然後檢視PVID是否在Untagged或Tagged VLAN ID列表中。如果在，則對得到的Tagged幀進行轉發操作；如果不在，則直接丟棄得到的Tagged幀。

•Hybrid介面傳送資料幀：

▫當一個Tagged幀從本交換機的其他介面到達一個Hybrid介面後，如果這個幀的Tag中的VID既不在Untagged VLAN ID列表中，也不在Tagged VLAN ID列表中，則該Tagged幀會被直接丟棄。 ▫當一個Tagged幀從本交換機的其他介面到達一個Hybrid介面後，如果這個幀的Tag中的VID在Untagged VLAN ID列表中，則交換機會對這個Tagged幀的Tag進行剝離，然後將得到的Untagged幀從鏈路上傳送出去。

▫當一個Tagged幀從本交換機的其他介面到達一個Hybrid介面後，如果這個幀的Tag中的VID在Tagged VLAN ID列表中，則交換機不會對這個Tagged幀的Tag進行剝離，而是直接將它從鏈路上傳送出去。

Hybrid介面舉例

•請描述主機訪問伺服器的全流程。

•在本例中，SW1和SW2連線主機的介面以及互連的介面均為Hybrid介面，PVID如圖所示，Hybrid介面的允許透過的VLAN ID列表也如圖所示。 •請描述兩個主機互訪伺服器的全流程。

交換機1的允許透過列表

交換機2的允許透過列表

小結