VLAN简介：

VLAN(Virtual LAN)可以隔离广播域。VLAN工作在OSI的第2层，VLAN是交换机端口的逻辑组合，可以把在同一交换上的端口组合成一个VLAN，也可以把在不同交换机上的端口组合成一个VLAN，一个VLAN就是一个广播域，VLAN间的通信如果不通过第三层的路由功能是无法通信的。

说明：VLAN间的通信在特殊情况下不借助第三层的路由功能也可以实现。例如：

1：sw1的F0/1和F0/2都是Access模式，都处于Vlan2；sw2的F0/1和F0/2都是Access模式，都处于Vlan3；PC1和

   PC2也都均处于同一网段，那么这时PC1就可以ping通PC2。

原因：当接口都为Access时，两台交换机都不涉及打、拆标签工作；只有在Trunk的时候交换机才打、拆标签。

2：sw1的F0/1口接入Vlan2，sw2的F0/1口接入Vlan3；sw1和sw2间配置Trunk模式，指定sw1的Native VLAN为

   Vlan 2，sw2的Native VLAN为Vlan3；关闭sw1 Vlan2和sw2上Vlan3的spanning-tree。PC1和PC2也都均处于同

   一网段，那么这时PC1就可以ping通PC2。

    
原因：Trunk链路发送Native VLAN的数据时不打标签，Trunk链路收到Native VLAN数据时交付到本地的Native

      VLAN；另外启用spanning-tree时会阻塞某个端口，需要关闭掉阻塞方的spanning-tree。

二层交换网络的缺点：

极易引起广播碰撞/广播风暴/通信效率低/管理效率低/安全性不高
VLAN的特点：

VLAN能够最大限度地控制广播的影响以及减少由于共享介质所造成的安全隐患
VLAN允许一组不限物理位置的用户群共享一个独立的广播域
一个VLAN中的所有设备都是同一广播域的成员
一个VLAN是一个逻辑的子网，共享一个网络地址，且VLAN间的通信必须经过路由器，就像真正的两个网段一样
VLAN可以基于端口或MAC地址来划分
交换机允许在同一台交换机上可存在多个VLAN，也允许这些VLAN跨越其它交换机
划分VLAN的目的：
1.提高安全性：缩小ARP攻击范围，ARP报文是一个2.5层的报文，划分VLAN后只能在同一个VLAN中传播

2.提高性能：隔离广播域，缩小广播域的大小缩小了广播报文能达到的范围

VLAN的创建

VLAN的基本配置：

命令：

sw1(config-if)#switchport mode access        //把端口模式设置为Access，默认时即为Access模式

sw1(config-if)#switchport access vlan 10        //把该端口F0/1划分到Vlan10中

基于端口的VLAN(静态VLAN)：
优点是划分简单；缺点是当用户一个端口移动到另一个端口时，网络管理员必对VLAN进行配置。
Switch(config)#hostname sw1
sw1(config)#vlan 10
sw1(config-vlan)#name one

sw1(config)#vl 20
sw1(config-vlan)#name two
sw1(config)#vl 30
sw1(config-vlan)#name three
sw1(config)#int f0/1

sw1(config-if)#switchport mode access

sw1(config-if)#switchport access vlan 10

sw1(config)#int f0/2

sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 20
sw1(config)#int f0/3

sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 30

sw1#show int f0/1 switchport        //查看查看F0/1端口作为交换端口的信息

sw1#show vlan        //查看VLAN信息(active或act：激活，unsup：非挂起)

sw1#show vlan brief        //显示VLAN的简要信息

sw1#show vlan id 10        //显示指定id vlan10配置
sw1#show vlan name one        //显示指定name vlan one配置

sw1#show vlan summary        //查看VLAN汇总信息(全部VLAN数量，普通VLAN数量，扩展VLAN数量)

说明：在实际应用中，不同VLAN分配不同IP地址子网。
基于MAC地址的VLAN(动态VLAN)：
1.pc机连接到交换机的某个端口，该端口被激活，交换机缓存该pc的MAC地址与端口的对应表；
2.交换机向VMPS(VLAN管理策略服务器，对于Cisco设备，要使用Cisco Work2000作为VLAN管理策略服务器)请求

  下载VLAN和MAC地址映射对应表的文件；
3.对pc的MAC地址进行查询比较，把该端口分配到对应的VLAN中间；如果没有该MAC地址的映射，该端口不激活。