VLAN原理#

我们知道在一个网络中，我们会根据物理位置对用户进行分组，不同用户组会在不同的子网中，这就需要每个用户组的位置相对固定，不够灵活。

而 虚拟局域网(Virtual LAN, VLAN)是基于逻辑关联而不是物理位置来分隔用户，从而允许管理员以逻辑方式组织局域网。例如：

在交换式网络中，交换机的所有端口都处于同一广播域内，属于同一个IP子网。而VLAN允许多个IP子网存在于一台交换机中或跨多台交换机。这使得不同的终端设备在同一个交换机上逻辑上分隔。例如根据VLAN划分的交换机端口，将一个交换机分成了三个部分，它们可以是不同的子网。

初始情况下，交换机的所有端口均属于VLAN1。

逻辑上分隔的不同端口，即端口处于不同的VLAN， 它们处于不同的广播域，广播无法穿越VLAN 。

VLAN是在L2层上，基于交换机的端口、MAC地址等信息对网络进行划分不同的小广播域。 它与第三层路由器分隔的广播域有所不同，如图：

拥有VLAN功能的交换机的交换表中会记录每个终端设备所处的VLAN，而终端设备不会知道它处于哪个VLAN中。如下表是一个带有VLAN功能的Switching Table：

交换端口#

在拥有VLAN功能的交换机中，交换机的端口称为 交换端口(switched ports)，它有两种基本类型：

• Access Port ：用来连接用户PC、服务器等终端设备的端口。
• Trunk Port ：用于交换机或其他设备 (路由器、防火墙等)之间的互联端口。

我们知道，交换机的不同端口可以属于不同VLAN。Access Port连接着终端设备，它们可以属于不同VLAN，而 Trunk Port连接着不同的交换机，它属于所有VLAN，意味着可以通过它与不同VLAN进行交流 。如下图的例子：

它的交换表可以是这样：

初始情况下，Truck Port只会知道本路由器中的所有VLAN，如1, 11, 22。但是当未被Truck Port记录的未知VLAN，交换机会默认拒绝请求。 不利于多VLAN之间交流。

所以，为了防止出现数据无法通过Trunk Port的问题，在建立VLAN时Trunk口会自动学习与其相连的其他交换机的VLAN信息。 最后所有的交换机都会学习到整个网络所有的VLAN。

VLAN间通信#

不同VLAN之间默认是无法直接通信的，因为它们处于不同的广播域。如果需要实现VLAN间通信，需要通过 路由器 或 三层交换机 来实现。