VLAN（虛擬區域網）是對連線到的第二層交換機埠的網路使用者的邏輯分段，不受網路使用者的物理位置限制而根據使用者需求進行網路分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網路使用者的位置、作用、部門或者根據網路使用者所使用的應用程式和協議來進行分組。基於交換機的虛擬區域網能夠為區域網解決衝突域、廣播域、頻寬問題。

一、VLAN技術概況VLAN（Virtual Local Area Network）的中文名為"虛擬區域網"，注意不是"VPN"（虛擬專用網）。VLAN是一種將區域網裝置從邏輯上劃分（注意，不是從物理上劃分）成一個個網段，從而實現虛擬工作組的新興資料交換技術。這一新興技術主要應用於交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以檢視相應交換機的說明書即可得知。

VLAN技術的出現，使得管理員根據實際應用需求，把同一物理區域網內的不同使用者邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

交換技術的發展，也加快了新的交換技術（VLAN）的應用速度。透過將企業網路劃分為虛擬網路VLAN網段，可以強化網路管理和網路安全，控制不必要的資料廣播。在共享網路中，一個物理的網段就是一個廣播域。而在交換網路中，廣播域可以是有一組任意選定的第二層網路地址（MAC地址）組成的虛擬網段。這樣，網路中工作組的劃分可以突破共享網路中的地理位置限制，而完全根據管理功能來劃分。這種基於工作流的分組模式，大大提高了網路規劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連線，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網路中不同部門之間的安全性。網路管理員可以透過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的資訊互訪。交換機是根據使用者工作站的MAC地址來劃分VLAN的。所以，使用者可以自由的在企業網路中移動辦公，不論他在何處接入交換網路，他都可以與VLAN內其他使用者自如通訊。

VLAN網路可以是有混合的網路型別裝置組成，比如：10M乙太網、100M乙太網、令牌網、FDDI、CDDI等等，可以是工作站、伺服器、集線器、網路上行主幹等等。

二、VLAN在交換機上的實現方法，可以大致劃分為六類:1. 基於埠劃分的VLAN2. 基於MAC地址劃分VLAN3. 基於網路層協議劃分VLAN4. 根據IP組播劃分VLAN5. 按策略劃分VLAN6. 按使用者定義、非使用者授權劃分VLAN

三、VLAN實現原理1、靜態VLAN在VLAN管理員最初配置交換機Port和VLAN ID的對應關係時，就已經固定了這種對應關係，即這個Port只能對應這個VLAN ID，之後無法進行更改，除非管理員再重新配置。當一臺裝置接到這個Port上的時候，怎麼判斷該主機的VLAN ID與Port對應呢，這裡是根據IP配置決定的，我們知道每個VLAN都有一個子網號，並對應著哪些Port，如果裝置要求的IP地址和該Port對應的VLAN的子網號不匹配，則連線失敗，該裝置將無法正常通訊。所以除了連線到正確的Port外，也必須給裝置分配屬於該VLAN網路段的IP地址，這樣才能加入到該VLAN中。2、動態VLAN交換機自動配置Port為主機所屬的VLAN。這裡有三種分類：基於MAC，基於IP，基於使用者3、基於MAC的VLAN（例如二層交換機）將所有主機的硬體地址都加入到VALN的管理資料庫中，例如，一主機隨便連線到交換機的一個動態VLAN的Port時，管理資料庫將根據主機的MAC地址查詢到該主機要加入VLAN 2中，然後自動設定該Port為VLAN 2。缺點是當主機更換了網絡卡之後，管理資料庫需要重新設定。4、基於IP的VLAN（例如三層交換機）與基於MAC不同，這種方法會記錄子網ID與VLAN ID的對映，而不論主機的網絡卡怎麼變換，只要他的IP不變，交換機就可以根據主機的子網ID自動設定對應的VLAN ID。5、基於使用者的VLAN根據作業系統的登入使用者決定VLAN。6、Access介面和Trunk介面交換機中，有兩種型別的介面：接入埠（Access）和中繼埠（Trunk），Access介面只能用來連線使用者主機，只能屬於一個VLAN，因此該介面只傳輸本VLAN的資料。

以上介紹的都是基於一臺交換機劃分VLAN的情況，當要實現跨兩臺甚至更多交換機呢，基於Access介面已經無法實現了，我們需要加入Trunk介面連線交換機。

四、VLAN的優越性1. 增加了網路連線的靈活性藉助VLAN技術，能將不同地點、不同網路、不同使用者組合在一起，形成一個虛擬的網路環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

2. 控制網路上的廣播VLAN可以提供建立防火牆的機制，防止交換網路的過量廣播。使用VLAN，可以將某個交換埠或使用者賦於某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機， 在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的埠不會收到其他VLAN產生的廣播。這樣可以減少廣播流量，釋放頻寬給使用者應用，減少廣播的產生。

3. 增加網路的安全性因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網路的利用率，確保了網路的安全保密性。人們在LAN上經常傳送一些保密的、關鍵性的資料。保密的資料應 提供訪問控制等安全手段。一個有效和容易實現的方法是將網路分段成幾個不同的廣播組，網路管理員限制了VLAN中使用者的數量，禁止未經允許而訪問VLAN中的應用。交換埠可以基於應用型別和訪問特權來進行分組，被限制的應用程式和資源一般置於安全性VLAN中。

“VLAN（虛擬區域網）是對連線到的第二層交換機埠的網路使用者的邏輯分段，不受網路使用者的物理位置限制而根據使用者需求進行網路分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網路使用者的位置、作用、部門或者根據網路使用者所使用的應用程式和協議來進行分組。基於交換機的虛擬區域網能夠為區域網解決衝突域、廣播域、頻寬問題。”

VLAN是英文Virtual Local Area Network的簡稱，又叫虛擬區域網，是一種透過將區域網內的裝置邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的技術。要想劃分VLAN，必須購買支援VLAN功能的網路裝置。

劃分VLAN的作用：

劃分VLAN有助於控制流量、減少裝置投資、簡化網路管理、提高網路的安全性。由於VLAN隔離了廣播風暴，也隔離了不同VLAN之間的通訊，因此，不同VLAN之間的通訊必須依靠路由器或者三層交換機來實現。

VLAN的劃分方法：

劃分VLAN有四種方法，每種方法各有長短。在對網路劃分VLAN時，必須根據網路的實際情況，選擇一種合適的劃分方法。

1、根據埠的劃分VLAN：許多網路廠商都利用交換機的埠來劃分VLAN成員。顧名思義，基於埠劃分VLAN就是將交換機的某些埠定義為一個VLAN。

根據埠劃分VLAN是最常用的一種VLAN劃分方法。根據埠劃分VLAN優點是簡單明瞭，管理也非常方便，缺點是維護相對繁瑣。

2、根據MAC地址劃分VLAN：每塊網絡卡在全球都擁有唯一的一個物理地址，即MAC地址，根據網絡卡的MAC地址可以將若干臺計算機劃分在同一個VLAN中。

這種方式的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置；缺點是某一VLAN初始化時，所有的使用者都必須進行配置，操作人員的負擔比較重。

3、根據網路層劃分VLAN：這種劃分VLAN的方法是根據每個主機的網路層地址或協議型別劃分，而不是根據路由劃分。注：這種VLAN劃分方式適合廣域網，基本不用在區域網。

4、根據IP組播劃分VLAN：IP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN。這種劃分方法將VLAN擴大到了廣域網，不適合區域網，因為企業網路的規模尚未達到如此大的規模。