VLAN：Virtual Local Area Network，即"虛擬局域網(wǎng)"；vlan主要是為了解決隨著網(wǎng)絡中終端的數(shù)量越來越多，面臨的沖突、廣播、以及安全性問題越來越多。通過vlan將一個物理局域網(wǎng)在邏輯上劃分成不同的廣播域，從而實現(xiàn)同一個vlan內(nèi)主機可以互相通信，不同vlan的主機在二層上是相互隔離的，這樣就達到了隔離廣播域，將廣播的風險控制在個別vlan里不會對全網(wǎng)造成影響，進而提升了網(wǎng)絡的安全性。同樣例如ARP、DHCP等廣播類的請求效也被限定在vlan內(nèi)，進而提升了網(wǎng)絡性能。

一、VLAN實現(xiàn)機制

在一臺沒有配置VLAN的二層交換機上，根據(jù)廣播的轉發(fā)規(guī)則，任何廣播幀都會轉發(fā)到除了接收端口以外的所有其他端口。如下圖，A發(fā)送廣播信息后，會被交換機轉發(fā)給2、3、4端口。

如果將端口1、2劃到一個vlan，3、4劃分到另一個vlan，這時候A發(fā)出的廣播幀只會在端口2進行轉發(fā)，C發(fā)出的廣播幀只會在端口4進行轉發(fā)，不同vlan的端口不會收到跨vlan的廣播幀，兩個vlan之間形成隔離域。在實際配置使用中就是通過vlan ID來區(qū)分不同的vlan；

二、端口類型

基于端口劃分VLAN是最簡單有效的一種方式，在端口轉發(fā)報文時，根據(jù)對vlan tag的處理，將端口劃分為三種類型：Access、Trunk和Hybrid。下面介紹下不同端口對報文處理的區(qū)別

1、ACCESS端口：

端口只發(fā)送一個vlan的報文，發(fā)出去的報文會去掉vlan tag標簽，一般用于和不需要tag的終端連接。

2、Trunk端口：

可以發(fā)送多個vlan的報文，發(fā)送的缺省vlan的報文不帶tag，其他的vlan的報文都會帶相應的tag。通常在網(wǎng)絡設備之間互聯(lián)使用。

3、Hybrid端口：

跟Trunk一樣，也可以發(fā)送多個vlan的報文，區(qū)別是可以配置某些vlan的報文帶tag，某些vlan的報文不帶tag，有這種需求的場景可以使用Hybrid端口。

一般Access和Trunk就滿足大多數(shù)場景使用了。

三、實驗舉例

SW1和SW2之間使用Trunk鏈路互聯(lián)，PC1和PC3在同一個vlan可以互相通信，PC2和PC4在同一個vlan可以互相通信，不同vlan之間的設備二層隔離，不能互相通信；

1、在SW1上配置VLAN10和VLAN20，并將PC1和PC2的端口分別加入vlan10和vlan20

system-view

System View: return to User View with Ctrl+Z.

[H3C]vlan 10 20

[H3C]interface GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port access vlan 20

2、SW1上將互聯(lián)端口配置為Trunk端口，并放行vlan10和vlan20；

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1

3、同上在SW2上配置vlan10和vlan20，并將PC3和PC4的端口分別加入vlan10和vlan20；

system-view

System View: return to User View with Ctrl+Z.

[H3C]vlan 10 20

[H3C]int g 1/0/2

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port access vlan 20

4、SW2上將互聯(lián)端口配置為Trunk端口，并放行vlan10和vlan20；

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1

5、配置PC1和PC3，分別將網(wǎng)卡IP配置為10.1.1.1和10.1.1.2，將PC2和PC4網(wǎng)卡分別配置為20.1.1.1和20.1.1.2；

PC1

PC2

PC3

PC4

6、結果測試

PC1 ping PC2，不可達；

PC1 ping PC3，可達；

PC2 ping PC3，不可達；

PC2 ping PC4，可達；

6、查看配置

分別查看vlan10和vlan20配置信息；

[H3C]display vlan 10

[H3C]display vlan 20

查看mac信息SW1可以看到4個Mac地址分別是sw1上兩個PC（一個vlan10下的，一個vlan20下的）的以及兩個從1口學過來的，是對端交換機下的兩個PC的Mac；