VLAN：Virtual Local Area Network，即"虚拟局域网"；vlan主要是为了解决随着网络中终端的数量越来越多，面临的冲突、广播、以及安全性问题越来越多。通过vlan将一个物理局域网在逻辑上划分成不同的广播域，从而实现同一个vlan内主机可以互相通信，不同vlan的主机在二层上是相互隔离的，这样就达到了隔离广播域，将广播的风险控制在个别vlan里不会对全网造成影响，进而提升了网络的安全性。同样例如ARP、DHCP等广播类的请求效也被限定在vlan内，进而提升了网络性能。

一、VLAN实现机制

在一台没有配置VLAN的二层交换机上，根据广播的转发规则，任何广播帧都会转发到除了接收端口以外的所有其他端口。如下图，A发送广播信息后，会被交换机转发给2、3、4端口。

如果将端口1、2划到一个vlan，3、4划分到另一个vlan，这时候A发出的广播帧只会在端口2进行转发，C发出的广播帧只会在端口4进行转发，不同vlan的端口不会收到跨vlan的广播帧，两个vlan之间形成隔离域。在实际配置使用中就是通过vlan ID来区分不同的vlan；

二、端口类型

基于端口划分VLAN是最简单有效的一种方式，在端口转发报文时，根据对vlan tag的处理，将端口划分为三种类型：Access、Trunk和Hybrid。下面介绍下不同端口对报文处理的区别

1、ACCESS端口：

端口只发送一个vlan的报文，发出去的报文会去掉vlan tag标签，一般用于和不需要tag的终端连接。

2、Trunk端口：

可以发送多个vlan的报文，发送的缺省vlan的报文不带tag，其他的vlan的报文都会带相应的tag。通常在网络设备之间互联使用。

3、Hybrid端口：

跟Trunk一样，也可以发送多个vlan的报文，区别是可以配置某些vlan的报文带tag，某些vlan的报文不带tag，有这种需求的场景可以使用Hybrid端口。

一般Access和Trunk就满足大多数场景使用了。

三、实验举例

SW1和SW2之间使用Trunk链路互联，PC1和PC3在同一个vlan可以互相通信，PC2和PC4在同一个vlan可以互相通信，不同vlan之间的设备二层隔离，不能互相通信；

1、在SW1上配置VLAN10和VLAN20，并将PC1和PC2的端口分别加入vlan10和vlan20

system-view

System View: return to User View with Ctrl+Z.

[H3C]vlan 10 20

[H3C]interface GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port access vlan 20

2、SW1上将互联端口配置为Trunk端口，并放行vlan10和vlan20；

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1

3、同上在SW2上配置vlan10和vlan20，并将PC3和PC4的端口分别加入vlan10和vlan20；

system-view

System View: return to User View with Ctrl+Z.

[H3C]vlan 10 20

[H3C]int g 1/0/2

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port access vlan 20

4、SW2上将互联端口配置为Trunk端口，并放行vlan10和vlan20；

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1

5、配置PC1和PC3，分别将网卡IP配置为10.1.1.1和10.1.1.2，将PC2和PC4网卡分别配置为20.1.1.1和20.1.1.2；

PC1

PC2

PC3

PC4

6、结果测试

PC1 ping PC2，不可达；

PC1 ping PC3，可达；

PC2 ping PC3，不可达；

PC2 ping PC4，可达；

6、查看配置

分别查看vlan10和vlan20配置信息；

[H3C]display vlan 10

[H3C]display vlan 20

查看mac信息SW1可以看到4个Mac地址分别是sw1上两个PC（一个vlan10下的，一个vlan20下的）的以及两个从1口学过来的，是对端交换机下的两个PC的Mac；