虛擬局域網(wǎng)是一種建構(gòu)于局域網(wǎng)交換技術(shù)(LAN Switch)的網(wǎng)絡(luò)管理的技術(shù)，網(wǎng)管人員可以借此通過(guò)控制交換機(jī)有效分派出入局域網(wǎng)的數(shù)據(jù)包到正確的出入端口，達(dá)到對(duì)不同實(shí)體局域網(wǎng)中的設(shè)備進(jìn)行邏輯分群(Grouping)管理，并降低局域網(wǎng)內(nèi)大量數(shù)據(jù)流通時(shí)，因無(wú)用數(shù)據(jù)包過(guò)多導(dǎo)致雍塞的問(wèn)題，以及提升局域網(wǎng)的信息安全保障。

在大型局域網(wǎng)中，VLAN技術(shù)給網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶(hù)都帶來(lái)了許多好處。歸納起來(lái)主要有以下幾點(diǎn)：

(1)減少移動(dòng)和改變的代價(jià)，即所說(shuō)的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶(hù)從一個(gè)位置移動(dòng)到另一個(gè)位置時(shí)，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)地完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來(lái)了極大的好處。一個(gè)用戶(hù)，無(wú)論他到哪里，他都能不作任何修改地接入網(wǎng)絡(luò)。當(dāng)然，并不是所有的VLAN定義方法都能做到這一點(diǎn)。

(2)虛擬工作組。使用VLAN的最終目標(biāo)就是建立虛擬工作組，例如，在企業(yè)網(wǎng)中，同一個(gè)部門(mén)好像在同一個(gè)LAN上一樣，很容易互相訪(fǎng)問(wèn)、交流信息，同時(shí)，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個(gè)人如果從一個(gè)辦公地點(diǎn)換到另外一個(gè)辦公地點(diǎn)，而他仍然在該部門(mén)，那么，該用戶(hù)的配置無(wú)須改變。同時(shí)，如果一個(gè)人雖然辦公地點(diǎn)沒(méi)有變，但他更換了部門(mén)，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶(hù)的配置即可。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境。

(3)VLAN的應(yīng)用解決了許多大型二層交換網(wǎng)絡(luò)產(chǎn)生的問(wèn)題：限制廣播包，提高帶寬的利用率，有效地解決了廣播風(fēng)暴帶來(lái)的性能下降問(wèn)題。一個(gè)VLAN形成一個(gè)小的廣播域，同一個(gè)VLAN成員都在由所屬VLAN確定的廣播域內(nèi)。那么，當(dāng)一個(gè)數(shù)據(jù)包沒(méi)有路由時(shí)，交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機(jī)的端V1，這樣，就將數(shù)據(jù)包限制在了一個(gè)VLAN內(nèi)，從而在一定程度上可以節(jié)省帶寬。

(4)增強(qiáng)通信的安全性。一個(gè)VLAN的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè)VLAN，這樣，其他VLAN用戶(hù)的網(wǎng)絡(luò)上收不到任何該VLAN的數(shù)據(jù)包，這樣就確保了該VLAN的信息不會(huì)被其他VLAN的人竊聽(tīng)，從而實(shí)現(xiàn)了信息的保密。

(5)由于VLAN是從邏輯上對(duì)網(wǎng)絡(luò)進(jìn)行劃分，組網(wǎng)方案靈活，配置管理簡(jiǎn)單，從而降低了管理維護(hù)的成本。

虛擬局域網(wǎng)的主要思想是：所有計(jì)算機(jī)組成一個(gè)大的物理局域網(wǎng)，即傳統(tǒng)局域網(wǎng)；將所有計(jì)算機(jī)設(shè)備按照功能和需求劃分為若干組，每組劃分為一個(gè)邏輯網(wǎng)段，每個(gè)邏輯網(wǎng)段是1個(gè)虛擬局域網(wǎng)；一個(gè)傳統(tǒng)局域網(wǎng)可劃分為多個(gè)邏輯網(wǎng)段，即多個(gè)VLAN；VLAN中的站點(diǎn)是通過(guò)軟件定義而不是硬件定義；站點(diǎn)可在多個(gè)VLAN之間移動(dòng)；一個(gè)VLAN中的廣播信息可以被該VLAN中的站點(diǎn)接收，該VLAN之外的站點(diǎn)接收不到該廣播信息，因此VLAN和傳統(tǒng)局域網(wǎng)一樣可以隔離廣播信息；連接在不同交換機(jī)上的站點(diǎn)可以使用VLAN技術(shù)組成一個(gè)或多個(gè)VLAN；VLAN中的站點(diǎn)之間通信時(shí)就像傳統(tǒng)局域網(wǎng)一樣；VLAN之間的相互通信必通過(guò)網(wǎng)絡(luò)層協(xié)議實(shí)現(xiàn)，不能直接相互通信。

采用VLAN技術(shù)可以很容易地解決前面提出的問(wèn)題。例如，某個(gè)單位擁有財(cái)物、開(kāi)發(fā)和辦公三個(gè)部門(mén)，出于安全和管理方面的考慮，希望每個(gè)部門(mén)的計(jì)算機(jī)可以無(wú)障礙通信，部門(mén)之間的通信則需要進(jìn)行控制。由于地理位置和設(shè)備限制，辦公、開(kāi)發(fā)和財(cái)物部門(mén)的共用相同交換機(jī)，建成為一個(gè)傳統(tǒng)局域網(wǎng)，如圖所示。財(cái)務(wù)機(jī)

采用VLAN技術(shù)可以容易地實(shí)現(xiàn)。根據(jù)需求，財(cái)物、開(kāi)發(fā)和辦公三個(gè)部門(mén)個(gè)分配1個(gè)VLAN，把各個(gè)部門(mén)所屬的計(jì)算機(jī)站點(diǎn)劃分到對(duì)應(yīng)的邏輯網(wǎng)段中形成VLAN；VLAN之間不能互相訪(fǎng)問(wèn)，隔離廣播信息；因此可以滿(mǎn)足該部門(mén)的用戶(hù)需求。

劃分虛擬網(wǎng)的方法主要有三種：

(1)基于交換機(jī)端口劃分基于端口劃分虛擬網(wǎng)，就是按交換機(jī)端口定義虛擬網(wǎng)成員，每個(gè)端口只能屬于一個(gè)虛擬網(wǎng)，這是一種最通用也是簡(jiǎn)單的方法。在配置完成后，再為交換機(jī)端口分配一個(gè)虛擬網(wǎng)，使交換機(jī)的端口成為某個(gè)虛擬網(wǎng)的成員。

(2)基于MAC地址劃分

這種方法是按每個(gè)連接到交換機(jī)設(shè)備的物理地址(即MAC地址)定義虛擬網(wǎng)成員。當(dāng)一個(gè)交換機(jī)端口上連接一臺(tái)集線(xiàn)器，在集線(xiàn)器上又連接了多臺(tái)設(shè)備，而這些設(shè)備需要?jiǎng)澣氩煌奶摂M網(wǎng)時(shí)，就可以使用這種方法定義虛擬網(wǎng)成員。因?yàn)樗梢园从脩?hù)劃分，所以也把這種方法稱(chēng)為基于用戶(hù)的虛擬網(wǎng)劃分。在使用基于MAC地址劃分時(shí)，一個(gè)交換機(jī)端El有可能屬于多個(gè)虛擬網(wǎng)，這樣端口就能接收多個(gè)虛擬網(wǎng)的廣播信息。

(3)基于第三層協(xié)議類(lèi)型或地址劃分

這種方法允許按照網(wǎng)絡(luò)層協(xié)議類(lèi)型組成VLAN，也可以按網(wǎng)絡(luò)地址(如TCP／IP的IP地址)定義虛擬網(wǎng)成員。這種方法的優(yōu)點(diǎn)是有利于組成基于應(yīng)用的虛擬網(wǎng)。