VLAN技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了，而最早的VLAN技术却是在1996年由Cisco（思科）公司就提出的。随着十多年来的发展，VLAN技术得到广泛的支持，在大大小小的企业网络中广泛应用，成为当前最为热门的一种以太局域网技术。IEEE802.1Q定义了VLAN网桥操作，从而允许在桥接单一局域网结构中实现定义、运行以及管理VLAN拓朴结构等操作。IEEE 802.1q主要用来解决如何将大型网络划分为多个小网络，这样广播和组播流量就不会占据更多带宽的问题。另外IEEE 802.1Q还提供更高的网络段间安全性，因为广播域缩小了。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费宝贵的带宽资源，而且广播对网络性能的影响随着广播域的增大而迅速增强。此时唯一的途经就是重新划分网络，把单一结构的大网划分成相互逻辑独立的小网。

VLAN网段划分方式的技术基础还是来源于普通的交换网络，在交换网络产生以前，企业网络往往都是基于集线器-路由器结构的。在共享式集线器网络中，各网络用户共享同一带宽，所以通常被称之为“共享网络”。而自交换机技术出现以后，集线器技术就受到极大的挑战，因为无论是网络性能，还是在网络组建灵活性等方面，交换机技术都较集线器技术有了极大地提高。更为可贵的是，在采用交换机的网络中，各设备都有自己的LAN，带宽并不是共享的，通常称之为“交换网络”。

交换技术的发展，也加快了VLAN技术的应用速度。通过将企业网络划分为虚拟的VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能收到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样加强了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址、IP地址，或者综合策略来划分VLAN的（具体划分方法将在本章后面介绍）。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围（如一个部门，一个办公室、一层/栋办公楼等）中。如图8-1就是一个对分布在各楼层的交换机划分不同VLAN的示例。示例中每个VLAN中成员都是分布在不同楼层，而不像像物理划分那样，仅在一个楼层或者一个部门。

图8-1 VLAN划分示例

VLAN相当于OSI参考模型的第二层的广播域（在没有VLAN前，广播域的控制只能通过第三层的网络地址来实现了），能够将广播风暴控制在一个VLAN网段内部。划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。同时，由于不同VLAN网段间不可直接通信，必须借助于位于OSI参考模型的第三层（网络层）的路由器或者第三层交换机来实现的，所以在一定程度上提高了各子网间的网络安全。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层/四层的交换结合使用能够为网络提供较好的安全措施。

VLAN技术允许网络管理员将一个物理的LAN逻辑地划分成多个不同的广播域（或称虚拟LAN，即VLAN）。而每一个VLAN都包含一组有着相同特性或需求的用户计算机，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个用户计算机无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段，如同一个办公室中的用户。一个VLAN内部的广播和单播流量都不会转发到其他VLAN用户计算机中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的。它在以太网帧的基础上增加了VLAN头，以其中的“VLAN ID”把用户划分为更小的工作组，限制不同VLAN组间的用户二层互访，每个VLAN组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

每个VLAN可以看作一个逻辑网络，不是发往VLAN内站点的数据包必须通过一个路由器或者支持Fallback桥接（Fallback Bridging）的交换机进行转发。VLAN也可以由交换机堆叠中的端口形成。因为一个VLAN可看作一个独立的逻辑网络，所以它包含它自己的桥接管理信息库（Management Information Base，MIB）信息，可以执行它自己的生成树（Span-Tree，ST）。

【说明】Fallback桥接转发交换机不能路由和转发的属于非路由协议（如DECnet）的通信流。对于像IP等可路由协议的数据包的VLAN间路由和转发则只能由路由器进行。通过Fallback桥接，交换机把两个或者多个VLAN，或路由端口桥接在一起，用于在一个桥接域（域接域由SVI（switch virtual interface，交换虚拟接口）接口代表，一组SVI接口和不属于任何VLAN的路由端口可以组成一个桥接组）中连接多个VLAN。

VLAN另外还经常与IP子网关联，这就是基于IP地址的VLAN划分方法。例如，所有在一个特定IP子网中的终端属于同一个VLAN。端口VLAN是依据交换机端口进行手动划分的。

在VLAN之间的通信必须经过路由或者Fallback桥接。交换机可以通过使用SVI路由VLAN间的通信。SVI必须明确指定一个分配的IP地址，以路由VLAN之间的通信。在你创建一个VLAN后，你可以在其管理域中设置以下参数：

n         VLAN号

n         VLAN名称

n         VLAN类型

n         VLAN状态（激活还是等待）

n         VLAN最大传输单元（MTU）

n         安全关联标识（SAID）

【说明】如果你计划在交换机上配置许多VLAN，并且禁止路由，你可以使用“sdm prefer vlan”全局配置命令来设置交换机数据库管理（Database Management，SDM）特征到VLAN模板中。VLAN模板配置系统资源支持最多的单播MAC地址。

综合起来，我们可以这样理解VLAN：

n         单一VLAN网段实际上是一个单一广播域；

n         任一用户发出的信息只被定义在同一域中的其它用户接收；

n         路由器或第三层交换机可以控制着VLAN域间的通信，可以灵活配置不同的用户访问权限，只对确实需要的一方或双方开放访问权限，可以确保关键子网的安全。

本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第八章