虛擬局域網(wǎng)是一種建構(gòu)于局域網(wǎng)交換技術(shù)(LAN Switch)的網(wǎng)絡(luò)管理的技術(shù)，網(wǎng)管人員可以借此通過控制交換機(jī)有效分派出入局域網(wǎng)的數(shù)據(jù)包到正確的出入端口，達(dá)到對不同實(shí)體局域網(wǎng)中的設(shè)備進(jìn)行邏輯分群(Grouping)管理，并降低局域網(wǎng)內(nèi)大量數(shù)據(jù)流通時，因無用數(shù)據(jù)包過多導(dǎo)致雍塞的問題，以及提升局域網(wǎng)的信息安全保障。

在大型局域網(wǎng)中，VLAN技術(shù)給網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶都帶來了許多好處。歸納起來主要有以下幾點(diǎn)：

(1)減少移動和改變的代價，即所說的動態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個用戶從一個位置移動到另一個位置時，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)地完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處。一個用戶，無論他到哪里，他都能不作任何修改地接入網(wǎng)絡(luò)。當(dāng)然，并不是所有的VLAN定義方法都能做到這一點(diǎn)。

(2)虛擬工作組。使用VLAN的最終目標(biāo)就是建立虛擬工作組，例如，在企業(yè)網(wǎng)中，同一個部門好像在同一個LAN上一樣，很容易互相訪問、交流信息，同時，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個人如果從一個辦公地點(diǎn)換到另外一個辦公地點(diǎn)，而他仍然在該部門，那么，該用戶的配置無須改變。同時，如果一個人雖然辦公地點(diǎn)沒有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個功能的目標(biāo)就是建立一個動態(tài)的組織環(huán)境。

(3)VLAN的應(yīng)用解決了許多大型二層交換網(wǎng)絡(luò)產(chǎn)生的問題：限制廣播包，提高帶寬的利用率，有效地解決了廣播風(fēng)暴帶來的性能下降問題。一個VLAN形成一個小的廣播域，同一個VLAN成員都在由所屬VLAN確定的廣播域內(nèi)。那么，當(dāng)一個數(shù)據(jù)包沒有路由時，交換機(jī)只會將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機(jī)的端V1，這樣，就將數(shù)據(jù)包限制在了一個VLAN內(nèi)，從而在一定程度上可以節(jié)省帶寬。

(4)增強(qiáng)通信的安全性。一個VLAN的數(shù)據(jù)包不會發(fā)送到另一個VLAN，這樣，其他VLAN用戶的網(wǎng)絡(luò)上收不到任何該VLAN的數(shù)據(jù)包，這樣就確保了該VLAN的信息不會被其他VLAN的人竊聽，從而實(shí)現(xiàn)了信息的保密。

(5)由于VLAN是從邏輯上對網(wǎng)絡(luò)進(jìn)行劃分，組網(wǎng)方案靈活，配置管理簡單，從而降低了管理維護(hù)的成本。

虛擬局域網(wǎng)的主要思想是：所有計(jì)算機(jī)組成一個大的物理局域網(wǎng)，即傳統(tǒng)局域網(wǎng)；將所有計(jì)算機(jī)設(shè)備按照功能和需求劃分為若干組，每組劃分為一個邏輯網(wǎng)段，每個邏輯網(wǎng)段是1個虛擬局域網(wǎng)；一個傳統(tǒng)局域網(wǎng)可劃分為多個邏輯網(wǎng)段，即多個VLAN；VLAN中的站點(diǎn)是通過軟件定義而不是硬件定義；站點(diǎn)可在多個VLAN之間移動；一個VLAN中的廣播信息可以被該VLAN中的站點(diǎn)接收，該VLAN之外的站點(diǎn)接收不到該廣播信息，因此VLAN和傳統(tǒng)局域網(wǎng)一樣可以隔離廣播信息；連接在不同交換機(jī)上的站點(diǎn)可以使用VLAN技術(shù)組成一個或多個VLAN；VLAN中的站點(diǎn)之間通信時就像傳統(tǒng)局域網(wǎng)一樣；VLAN之間的相互通信必通過網(wǎng)絡(luò)層協(xié)議實(shí)現(xiàn)，不能直接相互通信。

采用VLAN技術(shù)可以很容易地解決前面提出的問題。例如，某個單位擁有財(cái)物、開發(fā)和辦公三個部門，出于安全和管理方面的考慮，希望每個部門的計(jì)算機(jī)可以無障礙通信，部門之間的通信則需要進(jìn)行控制。由于地理位置和設(shè)備限制，辦公、開發(fā)和財(cái)物部門的共用相同交換機(jī)，建成為一個傳統(tǒng)局域網(wǎng)，如圖所示。財(cái)務(wù)機(jī)

采用VLAN技術(shù)可以容易地實(shí)現(xiàn)。根據(jù)需求，財(cái)物、開發(fā)和辦公三個部門個分配1個VLAN，把各個部門所屬的計(jì)算機(jī)站點(diǎn)劃分到對應(yīng)的邏輯網(wǎng)段中形成VLAN；VLAN之間不能互相訪問，隔離廣播信息；因此可以滿足該部門的用戶需求。

劃分虛擬網(wǎng)的方法主要有三種：

(1)基于交換機(jī)端口劃分基于端口劃分虛擬網(wǎng)，就是按交換機(jī)端口定義虛擬網(wǎng)成員，每個端口只能屬于一個虛擬網(wǎng)，這是一種最通用也是簡單的方法。在配置完成后，再為交換機(jī)端口分配一個虛擬網(wǎng)，使交換機(jī)的端口成為某個虛擬網(wǎng)的成員。

(2)基于MAC地址劃分

這種方法是按每個連接到交換機(jī)設(shè)備的物理地址(即MAC地址)定義虛擬網(wǎng)成員。當(dāng)一個交換機(jī)端口上連接一臺集線器，在集線器上又連接了多臺設(shè)備，而這些設(shè)備需要劃入不同的虛擬網(wǎng)時，就可以使用這種方法定義虛擬網(wǎng)成員。因?yàn)樗梢园从脩魟澐郑砸舶堰@種方法稱為基于用戶的虛擬網(wǎng)劃分。在使用基于MAC地址劃分時，一個交換機(jī)端El有可能屬于多個虛擬網(wǎng)，這樣端口就能接收多個虛擬網(wǎng)的廣播信息。

(3)基于第三層協(xié)議類型或地址劃分

這種方法允許按照網(wǎng)絡(luò)層協(xié)議類型組成VLAN，也可以按網(wǎng)絡(luò)地址(如TCP／IP的IP地址)定義虛擬網(wǎng)成員。這種方法的優(yōu)點(diǎn)是有利于組成基于應(yīng)用的虛擬網(wǎng)。