VLAN（虚拟局域网）是一种在一个物理交换机内创建多个虚拟交换机的方法。因此，例如配置为使用 VLAN 10 的端口就好像它们连接到完全相同的交换机一样。VLAN 20 中的端口不能直接与 VLAN 10 中的端口通信。它们必须在两者之间路由（或具有桥接两个 VLAN 的链路）。

实施 VLAN 的原因有很多。通常，这些原因中最不重要的原因是网络的大小。我将列出几个原因，然后将每个原因都打开。

• 安全
• 链接利用率
• 服务分离
• 服务隔离
• 子网大小

安全性： 安全性本身并不是通过创建 VLAN 来实现的；但是，如何将该 VLAN 连接到其他子网可以让您过滤/阻止对该子网的访问。例如，如果您的办公楼有 50 台计算机和 5 台服务器，您可以为服务器创建一个 VLAN，为计算机创建一个 VLAN。对于与服务器通信的计算机，您可以使用防火墙来路由和过滤该流量。这将允许您应用 IPS/IDS、ACL 等。到服务器和计算机之间的连接。

链接利用率： （编辑）我不敢相信我第一次忽略了这个。我猜是脑放屁。链路利用率是使用 VLAN 的另一个重要原因。按功能生成树通过第 2 层网络构建单一路径以防止循环（哦，天哪！）。如果您有多个连接到聚合设备的冗余链接，那么其中一些链接将不再使用。为了解决这个问题，您可以使用不同的 VLAN 构建多个 STP 拓扑。这是通过 Cisco 专有 PVST、RPVST 或基于标准的 MST 实现的。这使您可以使用多种 STP 类型来利用以前未使用的链接。例如，如果我有 50 个桌面，我可以将其中的 25 个放在 VLAN 10 中，将其中的 25 个放在 VLAN 20 中。然后我可以让 VLAN 10 占据网络的“左侧”，而 VLAN 20 中的其余 25 个将占据网络的“右侧”。

服务分离： 这个非常简单。如果您的 IP 安全摄像头、IP 电话和台式机都连接到同一交换机，则将这些服务分离到它们自己的子网中可能会更容易。这也将允许您基于 VLAN 而不是某些更高层服务（例如：NBAR）将 QOS 标记应用于这些服务。您还可以在执行 L3 路由的设备上应用 ACL，以防止可能不需要的 VLAN 之间的通信。例如，我可以阻止桌面直接访问电话/安全摄像头。

服务隔离： 如果您在单个机架中有一对 TOR 交换机，该机架有几个 VMWare 主机和一个 SAN，您可以创建一个保持未路由的 iSCSI VLAN。这将允许您拥有一个完全隔离的 iSCSI 网络，以便其他设备无法尝试访问 SAN 或中断主机与 SAN 之间的通信。这只是服务隔离的一个例子。

子网大小： 如前所述，如果单个站点变得太大，您可以将该站点分解为不同的 VLAN，这将减少需要处理每个广播的主机数量。

VLAN 肯定有更多的用途（我可以想到几种我专门用作 Internet 服务提供商的方法），但我觉得这些是最常见的，应该让您对我们如何/为什么使用它们有一个很好的了解。还有一些具有特定用例的专用 VLAN，这里值得一提。

随着网络变得越来越大，可扩展性成为一个问题。为了通信，每个设备都需要发送广播，广播发送到广播域中的所有设备。随着越来越多的设备添加到广播域，更多的广播开始使网络饱和。在这一点上，出现了多个问题，包括广播流量的带宽饱和、每个设备上的处理增加（CPU 使用率），甚至安全问题。将这个大型广播域拆分为更小的广播域变得越来越必要。

输入 VLAN。

VLAN 或虚拟 LAN 虚拟地创建独立的广播域，无需创建完全独立的硬件 LAN 来克服大型广播域问题。相反，交换机可以包含多个 VLAN，每个 VLAN 充当一个单独的自治广播域。实际上，如果没有路由器等第 3 层设备的干预，两个 VLAN 之间是无法相互通信的，这就是第 3 层交换的意义所在。

总之，在最基本的层面上，VLAN 将大型广播域划分为更小、更易于管理的广播域，以提高不断扩展的网络的可扩展性。

VLAN 是在物理网络中创建的逻辑网络。它们的主要用途是提供隔离，通常作为减少网络内广播域大小的一种手段，但它们也可用于许多其他目的。

它们是任何网络工程师都应该熟悉的工具，就像任何工具一样，它们可能会被错误地和/或在错误的时间使用。在所有网络和所有情况下，没有一种工具是正确的，因此您可以使用的工具越多，您就越能在更多环境中工作。了解更多有关 VLAN 的信息可以让您在需要时使用它们，并在需要时正确使用它们。

如何使用它们的一个例子是，我目前在 SCADA（监督控制和数据采集）设备被广泛使用的环境中工作。SCADA 设备通常相当简单，并且长期以来一直没有出色的软件开发，通常会提供重大的安全漏洞。

我们已将 SCADA 设备设置在没有 L3 网关的单独 VLAN 中。对他们逻辑网络的唯一访问是通过他们与之通信的服务器（它有两个接口，一个在 SCADA VLAN 中），可以通过它自己的基于主机的安全性来保护，这在 SCADA 设备上是不可能的。SCADA 设备与网络的其余部分隔离，即使连接到相同的物理设备，因此可以减轻任何漏洞。

在设计原则方面，最常见的实现是使您的 VLAN 与您的组织结构保持一致，即一个 VLAN 中的工程人员，另一个中的营销人员，另一个中的 IP 电话等。其他设计包括利用 VLAN 作为单独网络的“传输”跨一个（或多个）内核运行。在某些设备上也可以使用 VLAN 的第 3 层终止（Cisco 中的“SVI”，Brocade 中的“VE”等），这消除了在适用时需要单独的硬件来进行 VLAN 间通信的需要。

VLAN 的规模管理和维护变得很麻烦，因为您可能已经在 NESE 上看到过这样的案例。在服务提供商领域，有PB（Provider Bridging——俗称“QinQ”、双标签、堆叠标签等）、PBB（Provider Backbone Bridging——“MAC-in-MAC”）和PBB-TE。旨在尝试减轻可用 VLAN ID 数量的限制。PBB-TE 更旨在消除对动态学习、泛洪和生成树的需求。只有 12 位可用作 C-TAG/S-TAG 中的 VLAN ID（0x000 和 0xFFF 被保留），这是 4,094 限制的来源。

VPLS 或 PBB 可用于消除与 PB 相关的传统缩放上限。