虛擬局域網(wǎng)（Virtual Local Area Network,簡稱VLAN)是基于IEEE 802.1q技術(shù)標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議，于1999年6月由IEEE委員會正式頒布實(shí)施，VLAN技術(shù)最早由Cisco（思科）公司于1996年提出，經(jīng)過十多年的發(fā)展，已經(jīng)成為最熱門的以太網(wǎng)局域網(wǎng)技術(shù)，VLAN屬于OSI/RM二層技術(shù)。

VLAN技術(shù)主要用于將大的交換網(wǎng)絡(luò)通過相應(yīng)的設(shè)置劃分為多個小的交換網(wǎng)絡(luò)，用于隔離二層通信，使得不同VLAN中的主機(jī)不能直接通過二層進(jìn)行通信，從而達(dá)到縮小廣播域的作用，能夠有效的抑制網(wǎng)絡(luò)廣播風(fēng)暴，保證正常的數(shù)據(jù)交換不受影響。

要理解VLAN技術(shù)的形成以及作用，必須先要從廣播風(fēng)暴說起，在交換網(wǎng)絡(luò)中，當(dāng)交換機(jī)接收到數(shù)據(jù)幀時，會通過交換機(jī)緩存ARP表項(xiàng)中查找目的MAC地址，一旦找不到幀中的目的MAC地址的話，就對交換機(jī)除源端口以外的其他所有端口進(jìn)行“泛洪”轉(zhuǎn)發(fā)。當(dāng)交換網(wǎng)絡(luò)比較大，網(wǎng)絡(luò)節(jié)點(diǎn)比較多的時候，所產(chǎn)生的廣播幀也會比較多，就會導(dǎo)致廣播幀泛濫從而導(dǎo)致廣播風(fēng)暴給整個網(wǎng)絡(luò)帶來沉重的負(fù)載，從而導(dǎo)致網(wǎng)絡(luò)通信延時加大甚至網(wǎng)絡(luò)出現(xiàn)癱瘓的情況。解決廣播風(fēng)暴的主導(dǎo)思想是：將沒有互訪需求的主機(jī)隔離開來，劃分廣播域，廣播通信只在同一網(wǎng)段內(nèi)進(jìn)行，不能通過路由器或其他三層設(shè)備跨網(wǎng)段進(jìn)行廣播，所以人們最早是利用端口分組方式來劃分廣播域（即同一物理交換機(jī)的VLAN，后文詳細(xì)描述，但是其只能在一臺交換機(jī)上實(shí)現(xiàn)），而后來的VLAN技術(shù)則能夠不考慮用戶的物理位置，可以聚合不在同一物理網(wǎng)段的主機(jī)。

用類比的方式來比喻虛擬局域網(wǎng)：某個公司組織年會，有多個部門同時參加，比如生產(chǎn)部，銷售部，技術(shù)部等部門，各個部門的人都要在年會上討論相關(guān)的問題，公司的所有人都安排在同一個會場內(nèi)，各人提出相應(yīng)的問題并且要求相應(yīng)的解決辦法，如果知道解決問題的人選則會走過去一對一進(jìn)行討論，如果沒有確定的交談對象或者不知道交談對象在哪里，則使用高音喇叭（要讓所有人聽見）詢問會場內(nèi)所有人，可以想象，當(dāng)公司的人員比較少的情況下，會場秩序還可以基本維持，當(dāng)公司人員超過一定程度，會場內(nèi)就會嘈雜不已，完全不能進(jìn)行對話。而就公司的具體情況，一般而言，大多數(shù)問題都是部門內(nèi)部的問題或者針對一些特定的話題，將會場劃分為多個獨(dú)立的小區(qū)間，針對各個部門或者某個特定話題將人員歸類至小區(qū)間進(jìn)行會議。如果會議中發(fā)現(xiàn)有問題超出自己的范疇，將相關(guān)的問題上交至公司領(lǐng)導(dǎo)層，由其分發(fā)至相關(guān)的部門進(jìn)行處理。

VLAN技術(shù)源于端口分組，其實(shí)也就是在同一物理交換機(jī)上的VLAN，就是將交換機(jī)的端口進(jìn)行分組，劃分為多個VLAN，每個VLAN都可以看作是一臺交換機(jī)，其與物理交換機(jī)具有相同的基本屬性，不同VLAN之間的不能直接相互通信，即使他們處于同一網(wǎng)段內(nèi)，只能通過路由或者網(wǎng)關(guān)配置來實(shí)現(xiàn)相互通信。這樣就將廣播幀限制在較小的廣播域中，從而達(dá)到抑制廣播風(fēng)暴的效果。不同物理交換機(jī)的VLAN，其 VLAN的端口成員不是依據(jù)成員的物理位置劃分，可以位于不同的交換機(jī)上，即一個VLAN可以跨越多個物理交換機(jī)。位于不同物理交換機(jī)上的相同VLAN可以直接進(jìn)行二層通信，只要物理交換機(jī)的連接端口允許相應(yīng)的VLAN數(shù)據(jù)包通過即可。VLAN之間的相互連接就像兩個獨(dú)立交換網(wǎng)絡(luò)之間的連接，有兩種方式：A.通過網(wǎng)關(guān)實(shí)現(xiàn)。B.通過路由實(shí)現(xiàn)。

IEEE802.1Q幀頭部格式：作為一個二層協(xié)議，交換機(jī)在啟用VLAN之后就會在以太網(wǎng)幀上進(jìn)行封裝，添加VLAN協(xié)議頭,也就是在以太網(wǎng)幀數(shù)據(jù)字段前加上用于標(biāo)記幀VLAN信息的四個字段（共四個字節(jié)），分別為：TPID,Priority,CFI,VLAN ID. 其中Priority,CFI,VLAN ID三個字段統(tǒng)稱為標(biāo)簽控制信息(Tag Control Information，簡稱TCI).四個字段的具體說明如下：

TPID:標(biāo)簽協(xié)議標(biāo)識符字段（Tag Protocol IDentifier)占2個字節(jié)（16位），表明是添加了IEEE 802.1Q 標(biāo)簽的幀，值固定為0x8100（表示封裝了802.1Q VLAN協(xié)議）.Priority:用戶優(yōu)先級字段（User Priority)占3位，表示8個優(yōu)先級，主要用于交換機(jī)阻塞時，優(yōu)先發(fā)送哪個數(shù)據(jù)幀，是服務(wù)質(zhì)量（QoS）的應(yīng)用，其在IEEE 80.21p規(guī)范中詳細(xì)定義（IEEE 802.1p是IEEE 802.1Q規(guī)范的擴(kuò)充協(xié)議，與IEEE 802.1Q規(guī)范協(xié)同工作，其使得二層交換機(jī)提供動態(tài)組播過濾和流量優(yōu)先級服務(wù)）。CFI:標(biāo)準(zhǔn)格式指示器字段（Canonical Format Idicator)占1位，主要用于兼容以太網(wǎng)和令牌環(huán)網(wǎng)，在以太網(wǎng)中取值總是為0，表示MAC地址在傳輸介質(zhì)中以標(biāo)準(zhǔn)格式進(jìn)行封裝，1表示為非標(biāo)準(zhǔn)格式封裝。VLAN ID：VLAN標(biāo)識字段（VLAN IDentified)，占12位，表明VLAN的ID，表明自己屬于哪一個VLAN,共有4096個,每個支持IEEE 802.1Q協(xié)議的交換機(jī)發(fā)送出去的數(shù)據(jù)包都會包含這個域。