VLAN虚拟局域网VLAN （Virtual Local Area Network，虚拟局域网）是一种通过软件逻辑划分网

VLAN （Virtual Local Area Network，虚拟局域网）是一种通过软件逻辑划分网络的技术，它将物理上分散的设备连接到一个虚拟的局域网中，实现与传统物理 LAN 相同的功能，但更灵活、高效。

1.VLAN的核心原理

物理 LAN 限制：传统LAN 中，所有设备处于同一个广播域，广播包会泛洪到所有端口。

VLAN 逻辑划分：通过 VLAN 技术，将设备划分到不同的虚拟广播域中，广播仅在VLAN 内传播。

帧标签：交换机在数据帧中添加4字节的VLAN 标签（包含 VID, VLAN ID），标识数据所属的 VLAN。

标签传递：支持 802.1Q 的交换机之间通过带标签的帧通信，而终端设备（如 PC）接收的帧通常是无标签的。

基于端口：将交换机端口静态分配到特定VLAN（如端口 1-4 属于 VLAN 10）。

基于 MAC 地址：根据设备 MAC 地址动态分配 VLAN（如特定 MAC 地址的设备自动加入 VLAN 20）。

基于协议/IP 子网：根据数据包的协议类型或IP 地址划分 VLAN（如所有IP为192.168.1.0/24 的设备属于 VLAN 30）。

每个 VLAN是独立的广播域，缩小广播范围，提升网络性能。

不同VLAN之间默认无法直接通信，需通过三层设备（路由器或三层交换机）转发，降低跨部门数据泄露风险。

设备移动时无需重新布线，只需调整VLAN 配置（如员工从A 部门转到B部门，仅需修改端口 VLAN 标签）。

按业务需求划分 VLAN，不同 VLAN 可配置独立的 QoS 策略、访问控制列表（ACL）。

通过 VLAN 共享物理交换机，減少企业对路由器、交换机的硬件投入。

二层隔离：同一交换机内不同 VLAN 的设备无法直接通信。

路由器：通过子接口连接多个 VLAN，实现路由。

三层交换机：内置路由功能，直接在交换机上配置 SVI（Switch Virtual Interface）行 VLAN 同通信。

定义：仅允许单个 VLAN 的无标签帧通过，通常连接终端设备（如 PC、打印机）。

接收数据：若帧无标签，添加端口的默认 VLAN（PVID）标签；若有标签且与 PVID 不一致，则丢弃。

发送数据：剥离所有帧的 VLAN 标签，以普通帧形式转发。

应用场景：

终端设备接入、单 VLAN 网络环境。

定义：允许多个 VLAN 的带标签帧通过，用于交换机之间或交换机与路由器的互联。

接收数据：若帧无标签，添加端口的默认 VLAN（PVID）标签；若有标签且属于允许的VLAN 列表，则转发，否则丢弃。

发送数据：若帧的 VLAN与 PVID 相同，剥离标签；否则保留标签发送。

应用场景：