一、VLAN的主要优势

1.限制广播域

广播域被限制在一个VLAN内，VLAN内设备发送的广播流量只能在本VLAN内传播，节省了宝贵的带宽资源，同时也提高了网络性能。

2.可以灵活组建虚拟工作组

VLAN中的用户可以位于网络中不同物理位置，既可以连接在各接入层的交换机上，又可以连接在汇聚层甚至核心交换机上，网络构建更加方便。

3.增强网络安全性

因为不同VLAN内的报文直接在二层隔离，所以虽然主机的IP地址在同意网段，但不同VLAN中的主机是不能直接互访的，安全性得到了增强。

二、VLAN帧格式

1.TPID：标签协议标识

取固定值0x8100，表明是一个携带802.1Q标签的帧，可以有一个或者多个，若不支持802.1Q的设备收到这样的帧，会将其丢弃 。

2.TCI：标签控制信息

分为一下三个部分：

PRI：优先级，取值范围0-7，值越大优先级越高，当交换机阻塞时，优先发送优先级高的数据帧。

CFI：标准格式指示器，表示MAC地址是否以标准格式封装。CFI取0时，MAC地址以标准格式进行封装（低位先传），取1时，按非标准格式封装（高位先传）。用于区分以太网帧、FDDI帧和令牌环网帧。

VLAN ID：VLAN标识符，取值范围0-4095比特，但是0和4095在协议种保留为VLAN ID，不能分配给用户使用。

VLAN帧种的data字段长度范围事不变的，仍为46-1500个字节，由此可以说明VLAN帧比普通的以太网帧要长，VLAN帧种的type字段固定为0x8100代表为IEEE802.1Q tag帧，若不持支IEEE 802.1Q的设备收到这样的帧，会将其丢弃。

3.以太网帧的形式

一般分为有标记帧（taggde)，它是加入了一个或多个4字节VLAN标签的帧，无标记帧（untagged)帧，它是原始的、未加入4字节VLAN标签的帧。常用设备中传输的帧类型如下：

（1）用户主机、服务器、Hub、傻瓜交换机（不可管理交换机）只能收发untagged帧

（2）交换机和AP（WLAN访问控制器）既能收发tagged帧，也能收发untagged帧

（3）语音终端可以同时收发一个tagged帧和一个untagged帧。

为了提高处理效率，在支持VLAN的交换机内部处理的数据帧都是tagged帧。

三、交换端口类型

端口类型一共有三种：access、trunk、hybrid。三种交换端口都涉及一种重要的概念——PVID（port VLAN ID,端口VLAN ID）

交换机从对端设备收到的帧有可能是untagged的数据帧，但是所有以太网帧在交换机种都是tagged的形式被处理转发的，因此交换机必须给端口收到的untagged数据帧打上tag。

网络人员必须为交换机配置默认VLAN ID，以便在该端口收到untagged数据帧时，交换机能给它加上默认VLAN ID的VLAN tag。这个默认VLAN ID就是PVID，即在默认情况下端口所属的VLAN。

1.access端口

这个端口一般用于不能识别tag的用户终端（主机、服务器）和网络设备（傻瓜交换机、集线器等）相连，因为access端口发送的数据帧，总是不带VLAN标签的。另外，access端口只允许携带一个指定的VLAN的标签帧通过，即一个access端口只能加入一个VLAN，这个VLAN ID就是该access端口的PVID。

access类型端口可以用于交换机间的连接，实现两个不同的VLAN（但必须在同一IP网段）的直接二层互通，但是只能实现最多两个VLAN间的直接互访，且这两个VLAN必须再不同网段上。

2.Trunk类型端口

Trunk端口一般用于连接交换机、路由器、AP，以及可同时收发tagged帧和untagged帧的语音终端，Trunk端口允许多个VLAN中的帧带tag通过，但仅仅允许帧中tag字段值与端口PVID相同的VLAN中的帧从该类型端口上发出去时去掉VLAN标签。

① 在trunk类型端口中，PVID仅当收到不带标签的帧，或者发送携带有PVID相同的VLAN标签的帧时起作用，其他情况下均不用考虑PVID。

②trunk端口在默认情况下仅允许VLAN 1的帧通过，因为默认PVID为VLAN 1，故发送VLAN 1中的帧时不带标签。

3.Hybrid类型端口

Hybrid端口可以被看作access和trunk端口的混合体，因为它允许端口发送一个或者多个VLAN中的帧时去掉标签，又允许端口发送一个或者多个VLAN中的帧时带上VLAN标签，因此Hybrid类型端口能连接不能识别VLAN标签的用户终端和网络设备，也能用于连接交换机、路由器、AP以及可同时收发带有VLAN标签的帧和不带有VLAN标签的帧的语音终端。

 ①在Hybrid端口种，PVID仅当收到不带标签的帧时起作用，其他情况下均不用考虑端口PVID。

 ②Hybrid端口默认情况下仅允许VLAN 1的帧通过，且发送VLAN 1中的帧时是去掉标签发送的。

 ③在Hybrid端口中，数据帧是否都会去掉标签发送与PVID无关，需要手工指定。

三、VLAN的划分方式

1.基于端口的划分

方法：根据以太网端口进行的LAN划分

有点：配置简单，是最常用的

缺点:不灵活，当VLAN中的成员接口发生变化时需要重新配置VLAN

场景：任何网络，但是网络位置要固定

2.基于MAC地址划分

方法：根据数据帧的源MAC地址划分加入VALN，事先配置MAC地址和VLAN ID的映射关系表，依据该映射表在帧中添加对应得VLAN ID，然后数据帧在指定VLAN中传输。

优点：用户变换物理位置无需重新划分VLAN，提高了终端用户得安全性和灵活性

缺点：工作量大

场景：经常移动位置但是不经常变换网卡得小型网络

3.基于子网划分

方法：根据数据帧中的源IP地址和子网掩码划分VLAN，事先配置IP地址和VLAN ID的映射关系，根据映射表在帧中添加对应的VLAN ID，然后数据帧在指定的VLAN中传输

优点：发生物理位置的改变只需要重新配置VLAN，可以减少网络通信量，使广播域跨越多个交换机

缺点：用户分布需要有规律，且多个用户在同一网段

场景：移动要求高和要求简易管理的

4.基于协议划分VLAN

方法：根据数据帧得协议（族）类型及封装格式来划分VLAN，事先配置以太网帧中得“协议”字段和“VLAN ID”字段得映射关系表，若交换机收到得是untagged帧，则依据该映射表在帧中添加对应得VLAN ID，然后数据帧将在指定VLAN中传输。

优点：方便维护和管理。

缺点：需要对网络中所有得协议类型和VLAN ID的映射关系表进行初始配置；需要分析各种协议的格式并进行相应的转换，这样会消耗交换机过多资源。

场景：同时运行多种协议的网络。

5.基于策略划分VLAN

方法：能实现多种组合的规划方式，包括接口，MAC地址，IP地址等，网络管理员预先配置策略，若收到的是untagged帧，且匹配配置策略时，则数据帧添加指定VLAN的tag，然后数据帧将在指定VLAN中传输。

优点：安全性高，用户不能改变IP地址和MAC地址；网络管理员可根据自己的管理模式或者需求选择划分方式。

缺点：每条策略都要手工配置，在VLAN较多时工作量大。

场景：适用于需求比较复杂的环境。