一、什么是VLAN？

VLAN（Virtual Local Area Network）的中文名為"虛擬局域網"。

虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。

VLAN工作在OSI參考模型的第2層和第3層，一個VLAN就是一個 廣播域，VLAN之間的通信是通過第3層的路由器來完成的。

具有以下優點：

網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。

二、為什么要劃分VLAN？

1. 提高安全性：沒有劃分VLAN前，交換機端口連接下的所有主機都處于一個LAN中，即一個廣播域中，實現ARP中間人攻擊太簡單了。

劃分了VLAN之后，縮小了ARP攻擊的范圍。ARP報文是一個2.5層的報文，只能在同一個VLAN中傳播。

2. 提高性能：不劃分VLAN，整個交換機都處于一個廣播域，隨便一臺PC發送的廣播報文都能傳送整個廣域播，占用了很多帶寬（引起廣播風暴）。

劃分了VLAN，縮小的廣播域的大小，縮小了廣播報文能夠到達的范圍。

三、有哪些劃分VLAN的方法？

1. 基于端口劃分：這種方法明確指定各端口屬于哪個VLAN。

優點: 操作簡單。

缺點：主機較多時，重復工作量大；主機端口變動的時候，需要同時改變該端口所屬的VLAN。

2. 基于MAC地址的劃分：根據主機網卡的MAC地址進行劃分（每個網卡都有世界上唯一的MAC地址）。通過檢查并記錄端口所連接網卡的MAC地址，來決定端口所屬的VALN。

優點：當用戶主機物理地址改變的時候，不需要重新配置VLAN。

缺點：初始化的時候需要對所有用戶進行配置，當主機數很大時工作量較大；由于交換機每個端口可能需要保存多個主機的MAC地址，從而降低了交換機的執行效率。

3. 基于網絡協議的劃分：基于所用的網絡層協議劃分VLAN，可以劃分為IP/IPX/DECnet/AppleTalk/Banyan等VLAN網絡。

這種按照網絡層協議劃分的方式可以使廣播域跨越多個交換機，對希望針對應用和服務來組織用戶的網絡管理員具有很大的吸引力。

優點：用戶主機物理位置改變后，不需要重新配置所屬的VLAN網絡；適用于需要針對不同應用和服務來組織用戶的場景。

缺點：檢查每一個數據包的網絡層地址需要消耗處理時間，效率較低。

4. 基于IP地址劃分：將任何屬于同一IP廣播組的主機認為屬于同一VLAN。

優點：良好的靈活性和可擴展性，可以方便的通過路由器擴展網絡。

缺點：不適合局域網，效率不高。

5. 基于策略的劃分：一種根據不同的情況，將多種（上面提到的）劃分VLAN的技術按照一定的安全策略進行綜合運用的劃分技術。

優點：這種方式具有自動配置的能力，自動化程度高；可以非常方便的擴展網絡規模。

缺點：對設備要求較高。