虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點： 網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。

在計算機網絡中，一個二層網絡可以被劃分為多個不同的廣播域，一個廣播域對應了一個特定的用戶組，默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。

虛擬局域網的工作原理

虛擬局域網的主要思想是：所有計算機組成一個大的物理局域網，即傳統局域網；將所有計算機設備按照功能和需求劃分為若干組，每組劃分為一個邏輯網段，每個邏輯網段是1個虛擬局域網；一個傳統局域網可劃分為多個邏輯網段，即多個VLAN；VLAN中的站點是通過軟件定義而不是硬件定義；站點可在多個VLAN之間移動；一個VLAN中的廣播信息可以被該VLAN中的站點接收，該VLAN之外的站點接收不到該廣播信息，因此VLAN和傳統局域網一樣可以隔離廣播信息；連接在不同交換機上的站點可以使用VLAN技術組成一個或多個VLAN；VLAN中的站點之間通信時就像傳統局域網一樣；VLAN之間的相互通信必通過網絡層協議實現，不能直接相互通信。

采用VLAN技術可以很容易地解決前面提出的問題。例如，某個單位擁有財物、開發和辦公三個部門，出于安全和管理方面的考慮，希望每個部門的計算機可以無障礙通信，部門之間的通信則需要進行控制。由于地理位置和設備限制，辦公、開發和財物部門的共用相同交換機，建成為一個傳統局域網，如圖所示。財務機

采用VLAN技術可以容易地實現。根據需求，財物、開發和辦公三個部門個分配1個VLAN，把各個部門所屬的計算機站點劃分到對應的邏輯網段中形成VLAN；VLAN之間不能互相訪問，隔離廣播信息；因此可以滿足該部門的用戶需求。

虛擬局域網的作用

VLAN網絡可以是有混合的網絡類型設備組成，比如：10M以太網、100M以太網、令牌網、FDDI、CDDI等等，可以是工作站、服務器、集線器、網絡上行主干等等。

VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網絡的拓撲結構變得非常靈活的優點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。

物理位置不同的多個主機如果劃分屬于同一個VLAN，則這些主機之間可以相互通信。物理位置相同的多個主機如果屬于不同的VLAN，則這些主機之間不能直接通信。VLAN通常在交換機或路由器上實現，在以太網幀中增加VLAN標簽來給以太網幀分類，具有相同VLAN標簽的以太網幀在同一個廣播域中傳送。

VLAN是為解決以太網的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。

虛擬局域網的應用

隨著網絡硬件性能的不斷提高和成本的不斷降低，目前新建立的局域網基本上都采用了性能先進的快速以太網或千兆網技術，其核心交換機采用三層交換機。而這種新型的交換機正好能很好地支持VLAN技術，這為企業部署VLAN網絡提供了前提基礎。目前，VLAN技術的應用主要是在一些較大型網絡中，如大中型企業網絡、行政機關網和大學校園網，當然這些用戶VLAN網絡的目的各不相同，下面簡要介紹幾種。

1．組建部門局域網

很多企業往往已經擁有一個相當規模的局域網，但是現在企業內部因為保密或者其他原因，要求各業務部門或者課題組獨立成為一個局域網，各業務部門或者課題組的人員不一定是在同一個辦公地點，各網絡之間不允許互相訪問。根據這種情況，可以有幾種解決方法，包括前面介紹的通過改變子網掩碼的方式劃分子網，但是采用VLAN技術可能是最好，也是最方便的。

采用VLAN，要做的工作主要是收集各部門或者課題組的人員組成、所在位置、與交換機連接的端口等信息。根據部門數量對交換機進行配置，創建VLAN，設置中繼，最后在一個公用的局域網內部劃分出若干個虛擬的局域網，同時減少了局域網內的廣播，提高了網絡傳輸性能。這樣的VLAN還可靈活地根據不斷變化的實際需要增加、改變和刪除VLAN子網。

這一應用還特別適用于政府網絡，可以把政府機構的各部門通過VLAN網絡連接起來，既可以做到相互獨立，又可以滿足各相關部門之間的資源共享。

2．組建校園網

在校園網中VLAN已被廣泛采用。在隔離網絡風暴提高網絡性能方面，有極好的性能價格比，使得它具有替代高端路由器的趨勢。在校園網中，除了以專線方式接入Intemet必需路由器之外，一般應盡量少用高端路由器，因為高端路由器的價格太高，并且在校園網中使用也不能發揮其強大的功能。在VLAN子網間可采用基于三層交換的交換機來完成路由功能，這樣不僅提高了其性能價格比，更重要的是還增加了網絡帶寬，提高了網絡性能。

在安全保密方面，VIAN技術可以發揮其強大的作用。比如，對于學校的財務部門或其他涉及保密信息的部門，可使用VLAN技術將這些部門的信息節點劃分在不同的VLAN中。通過權限設置對該VLAN的訪問權限，由于其信息傳輸只限制在VLAN內部，所以可防止大部分以網絡監聽為手段的入侵。 3．設置共享資源

在一些大型寫字樓或商業建筑（酒店、展覽中心等）中，經常存在這樣的現象；大樓出租給各個單位，并且大樓內部已經構建好了局域網，為入駐企業或客戶提供了網絡平臺，并通過共同的出口訪問Intemet或者大樓內部的綜合信息服務器。由于大樓的網絡平臺是統一的，因此使用的客戶不但有物業管理人員，還有其他不同單位的客戶。在這樣一個共享的網絡環境下，解決不同企業或單位對網絡的需求的同時，還要保證各企業間信息的獨立性。此時，虛擬局域網就是一個很好的解決方案。

大廈的系統管理員可以為入駐企業創建獨立的VLAN，保證企業內部的互相訪問和企業間信息的獨立，然后利用中繼技術，將提供接入服務的代理服務器或者路由器所對應的局域網接口配置成為中繼模式，實現共享接入。這種配置方式還有一個好處，就是可以根據需要設置中繼的訪問許可，靈活地允許或者拒絕某個VLAN的訪問。