虚拟局域网

虚拟局域网

编辑锁定

本词条由“科普中国”百科科学词条编写与应用工作项目审核。

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置

的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们

在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参

考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层

的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了

一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要

通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。

中文名

虚拟局域网

外文名

VLAN

协议

802.1Q

硬件

交换机，路由器

目录

1. 1VLAN

2. ▪目的

3. ▪优点

4. ▪安全

5. ▪灵活性

1. 2组建

2. 3标准

3. 4技术

4. 5分类

1. 6常见应用

2. 7发展趋势

虚拟局域网VLAN

IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。VLAN

技术的出现，使得管理员根据

Vlan网卡 Intel82573

实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限

制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减

少设备投资、简化网络管理、提高网络的安全性。

交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划

分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共

享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意

选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪

个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只

有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必

要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加

了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面

管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，

他都可以与VLAN内其他用户自如通讯。

VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、

令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。

VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网

络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的

互相访问。

物理位置不同的多个主机如果划分属于同一个VLAN，则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN，则这些主机之间不能直接通信。VLAN

通常在交换机或路由器上实现，在以太网帧中增加VLAN标签来给以太网帧分类，具有相

同VLAN标签的以太网帧在同一个广播域中传送。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

虚拟局域网目的

VLAN（Virtual Local Area Network，虚拟局域网）的目的非常的多。通过认识VLAN的本质，将可以了解到其用处究竟在哪些地方。

第一，要知道192.168.1.2/30和192.168.2.6/30都属于不同的网段，都必须要通过路由器才能进行访问，凡是不同网段间要互相访问，都必须通过路由器。

第二，VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的网段。

下面，给予说明。比如一个路由器只有一个用于终端连接的端口（当然这种情况基本不可能发生，只不过简化举例），这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门，一个销售部，一个企划部，每个部门要求单独成为一个子网，有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址，那怎样来区分不同网段了？这就可以在这个物理端口下，创建两个子接口---逻辑接口实现。

比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25，用于销售部，而F0/0.2就分配IP地址192.168.1.129/25，用于企划部。这样就等于用一个物理端口却实现了两个逻辑接口的功能，这样就将原本只能划分一个网段的情形，扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的，所以称之为虚拟局域网VLAN。

这是在路由器的层次上阐述了VLAN的目的。

第三，将在交换机的层次上阐述VLAN的目的。

在现实中，由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机，然后接入路由器的一个端口，把企划部全部接入一个交换机，然后接入一个路由器端口。这种情况是LAN。然而正如上面所说，如果路由器就一个用于终端的接口，那么这两个交换机就必须接入这同一个路由器的接口，这个时候，如果还想保持原来的网段的划分，那么就必须使用路由器的子接口，创建VLAN.

同样，比如两个交换机，如果你想要每个交换机上的端口都分别属于不同的网段，那么你有几个网段，就提供几个路由器的接口，这个时候，虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段，但是在交换机的层次上，它并不能区分哪个端口属于哪