VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應用等因素將他們組織起來，相互之間的通信就好像它們在同一網(wǎng)段中一樣，因此稱為虛擬局域網(wǎng)。

設置VLAN的主要目的是限制廣播包的傳播范圍和降低廣播包的影響。所有以太網(wǎng)數(shù)據(jù)包，如單播（unicast）、組播（multicast）、廣播（broadcast），以及未知（unknown）的數(shù)據(jù)包，都將只在VLAN內(nèi)傳送。這樣在一定程度上可以提高網(wǎng)絡的安全性。

如圖1中，是一個由3臺二層交換機（交換機1~3）連接了大量客戶機構(gòu)成的網(wǎng)絡，每臺交換機有多個端口。我們知道，在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標MAC地址才能實現(xiàn)終端設備間的正常通信，即當計算機A要與計算機B通信時，計算機A必須先廣播“ARP Request”信息，來嘗試獲取計算機B的MAC地址。交換機1收到ARP請求后，會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，這個過程即Flooding。接著，交換機2、3在收到廣播幀后也會Flooding。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡中的所有客戶機上。

這個ARP請求原本是為了獲得計算機B的MAC地址而發(fā)出的，可事實上，數(shù)據(jù)幀卻傳遍了整個網(wǎng)絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網(wǎng)絡整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。這造成了網(wǎng)絡帶寬和CPU運算能力的大量無謂消耗。

如果整個網(wǎng)絡中只有一個廣播域，那么一旦發(fā)出廣播信息，就會傳遍整個網(wǎng)絡，并且對網(wǎng)絡中的主機帶來額外的負擔。因此，設置VLAN對限制廣播包的傳播范圍和降低廣播包對整個網(wǎng)絡的影響就顯得尤為重要。

首先，在一臺未設置任何VLAN的二層交換機上，任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口。例如，計算機A發(fā)送廣播信息后，會被轉(zhuǎn)發(fā)給端口2、3、4。

這是，如果在交換機上生成紅、藍兩組VLAN；同時設置端口1、2屬于紅色VLAN；端口3、4屬于藍色VLAN。再從A發(fā)出廣播幀時，交換機就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口，即端口2。同理，計算機C發(fā)送廣播信息時，只會被轉(zhuǎn)發(fā)給端口4，而不會被轉(zhuǎn)發(fā)給端口1和端口2。

就這樣，VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍兩色識別不同的VLAN，在實際使用中則是用“VLAN ID”來區(qū)分的。為了更直觀地描述VLAN，也可以將圖中的一臺交換機看做是紅、藍兩臺虛擬的交換機；若要在已有的VLAN外生成新的VLAN，則可以看做是又添加了新的交換機。

VLAN生成的邏輯上的交換機是互不相通的。那么，我們要如何實現(xiàn)不同的VLAN間的通信呢？我們知道，VLAN是廣播域，而通常兩個廣播域之間由路由器連接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務，這被稱作“VLAN間路由”。

（1）廣播風暴防范

限制網(wǎng)絡上的廣播，將網(wǎng)絡劃分為多個VLAN可減少參與廣播風暴的設備數(shù)量。LAN分段可以防止廣播風暴波及整個網(wǎng)絡。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)路的過量廣播。使用VLAN，可以將某個交換端口或用戶賦予某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產(chǎn)生。

（2）安全

增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡的其余部分隔離，從而降低信息泄露的可能性。不同的VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其他VLAN內(nèi)的用戶直接通信，如果不同VLAN間要進行通信，則需要通過路由器或三層交換機等三層設備。

（3）降低成本

現(xiàn)有帶寬和上行鏈路的利用率更高，減少網(wǎng)絡升級的需求，從而節(jié)約成本。

（4）性能提高

將第二層平面網(wǎng)絡劃分為多個邏輯工作組（廣播域）可以減少網(wǎng)絡上不必要的流量并提高性能。

（5）提高用戶工作效率

擁有相似網(wǎng)絡需求的用戶將共享同一個VLAN可以使得網(wǎng)絡管理更加方便，提高用戶工作效率。

（6）簡化項目管理或應用管理

VLAN將用戶和網(wǎng)絡設備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能劃分，項目管理或特殊應用的處理都變得十分方便。此外，也很容易確定升級網(wǎng)絡服務的影響范圍。

（7）增加網(wǎng)絡連接的靈活性

借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡環(huán)境，就像使用本地LAN一樣方便、靈活、有效。LAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業(yè)務情況有經(jīng)常性變動的公司使用VLAN后，這部分管理費用會大大降低。