【VLAN 虚拟局域网】

一、概念

1.VLAN将一个物理的局域网在逻辑上划分成多个广播域的通信技术。
2.每一个VLAN都包含一组拥有相同需求的计算机，与物理上形成的LAN 具有相同的属性。
3.由于VLAN是在逻辑划分而不是在物理上划分，所有同一个VLAN内的各个工作站无需放置在同一个物理空间。
4.VLAN内的主机间可以直接通信，而VLAN间不能直接互通，即使两台计算机有着同样的网段，但是它们不属于同一个VLAN，它们各自的广播流不会互相转发，从而将广播报文限制在一个VLAN内。

二、功能

【限制广播域】
广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力：
1.在大型企业网络中，如果没有VLAN划分，一个设备发出的广播报文会被网络中的所有设备接收，这会消耗大量的网络带宽。
2.而划分VLAN后，广播报文只在所属的VLAN内传播，减少了对其他VLAN网络带宽的占用。
【增强局域网的安全性】
不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信：
企业中财务部门的网络数据较为敏感，将财务部门的设备划分到一个单独的VLAN中，其他部门的用户就无法直接访问财务部门的网络资源，从而提高了网络安全性。
【提高了网络的健壮性】
故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作：
例如某个VLAN内的一台设备出现故障，如发生网络风暴，这个网络风暴只会影响该VLAN内的设备，不会扩散到其他VLAN，保障了其他VLAN的正常运行。
【灵活构建虚拟工作组】
用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活：
例如一个项目团队的成员可能分布在企业的不同楼层甚至不同办公区域，通过VLAN可以将这些成员的设备划分到同一个VLAN中，方便他们之间的网络通信和数据共享，而不需要考虑他们的物理位置。

三、协议

【802.1q/dot1q】
802.1q定义了关于VLAN连接介质访问控制层和IEEE 802.1D生成树协议的具体概念模型，这个模型允许各个独立的VLAN与以太网交换机的数据链路层或路由器互相连接，802.1q规定了VLAN的实现标准。IEEE 802.1q协议规定在目的mac地址和源mac地址之后封装4个字节的VLAN tag，用以标识VLAN的相关信息。
【LNP】
LNP，Link-type Negotiation Protocol，即链路类型协商协议，用来动态协商以太网接口的链路类型为Access或者Trunk，以太网接口的链路类型协商为Access，缺省情况下加入VLAN1；以太网接口的链路类型协商为Trunk，缺省情况下加入VLAN1～4094。

四、VLAN Tag

【什么是VLAN Tag】
交换机能够分辨不同VLAN报文的原因是：在报文中添加标识VLAN信息的4个字节的字段，VID字段代表VLAN ID，VLAN ID取值范围是0～4095，由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。
【有标记帧（Tagged帧）】
加入了4字节VLAN标签的帧。
【无标记帧（Untagged帧）】
未加入4字节VLAN标签的帧。
【接入链路（Access Link）】
接入链路用于连接交换机和用户终端（如用户主机、服务器等），只可以承载1个VLAN的数据帧，在接入链路（Access）上传输的帧都是Untagged帧。
【干道链路（Trunk Link）】
干道链路用于交换机间互连或连接交换机与路由器，可以承载多个不同VLAN的数据帧，在干道链路（Trunk）上传输的数据帧都是Tagged帧，交换机内部处理的数据帧一律都是Tagged帧，从用户终端接收无标记帧后，交换机会为无标记帧添加VLAN标签，重新计算帧校验序列(FCS)，然后通过干道链路发送帧，向用户终端发送帧前，交换机会去除VLAN标签，并通过接入链路向终端发送无标记帧。