一、什么是VLAN？

VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。

VLAN工作在OSI參考模型的第2層和第3層，一個VLAN就是一個 廣播域，VLAN之間的通信是通過第3層的路由器來完成的。

具有以下優(yōu)點：

網(wǎng)絡(luò)設(shè)備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡(luò)的安全性。

二、為什么要劃分VLAN？

1. 提高安全性：沒有劃分VLAN前，交換機(jī)端口連接下的所有主機(jī)都處于一個LAN中，即一個廣播域中，實現(xiàn)ARP中間人攻擊太簡單了。

劃分了VLAN之后，縮小了ARP攻擊的范圍。ARP報文是一個2.5層的報文，只能在同一個VLAN中傳播。

2. 提高性能：不劃分VLAN，整個交換機(jī)都處于一個廣播域，隨便一臺PC發(fā)送的廣播報文都能傳送整個廣域播，占用了很多帶寬（引起廣播風(fēng)暴）。

劃分了VLAN，縮小的廣播域的大小，縮小了廣播報文能夠到達(dá)的范圍。

三、有哪些劃分VLAN的方法？

1. 基于端口劃分：這種方法明確指定各端口屬于哪個VLAN。

優(yōu)點: 操作簡單。

缺點：主機(jī)較多時，重復(fù)工作量大；主機(jī)端口變動的時候，需要同時改變該端口所屬的VLAN。

2. 基于MAC地址的劃分：根據(jù)主機(jī)網(wǎng)卡的MAC地址進(jìn)行劃分（每個網(wǎng)卡都有世界上唯一的MAC地址）。通過檢查并記錄端口所連接網(wǎng)卡的MAC地址，來決定端口所屬的VALN。

優(yōu)點：當(dāng)用戶主機(jī)物理地址改變的時候，不需要重新配置VLAN。

缺點：初始化的時候需要對所有用戶進(jìn)行配置，當(dāng)主機(jī)數(shù)很大時工作量較大；由于交換機(jī)每個端口可能需要保存多個主機(jī)的MAC地址，從而降低了交換機(jī)的執(zhí)行效率。

3. 基于網(wǎng)絡(luò)協(xié)議的劃分：基于所用的網(wǎng)絡(luò)層協(xié)議劃分VLAN，可以劃分為IP/IPX/DECnet/AppleTalk/Banyan等VLAN網(wǎng)絡(luò)。

這種按照網(wǎng)絡(luò)層協(xié)議劃分的方式可以使廣播域跨越多個交換機(jī)，對希望針對應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員具有很大的吸引力。

優(yōu)點：用戶主機(jī)物理位置改變后，不需要重新配置所屬的VLAN網(wǎng)絡(luò)；適用于需要針對不同應(yīng)用和服務(wù)來組織用戶的場景。

缺點：檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址需要消耗處理時間，效率較低。

4. 基于IP地址劃分：將任何屬于同一IP廣播組的主機(jī)認(rèn)為屬于同一VLAN。

優(yōu)點：良好的靈活性和可擴(kuò)展性，可以方便的通過路由器擴(kuò)展網(wǎng)絡(luò)。

缺點：不適合局域網(wǎng)，效率不高。

5. 基于策略的劃分：一種根據(jù)不同的情況，將多種（上面提到的）劃分VLAN的技術(shù)按照一定的安全策略進(jìn)行綜合運用的劃分技術(shù)。

優(yōu)點：這種方式具有自動配置的能力，自動化程度高；可以非常方便的擴(kuò)展網(wǎng)絡(luò)規(guī)模。

缺點：對設(shè)備要求較高。