什么是VLAN，它的作用是什么？它用在哪些方面？

一、虚拟局域网（Virtual Local Area Network或简写VLAN, V-LAN）。

是一种建构于局域网交换技术的网络管理的技术，网管人员可以借此透过控制交换机有效分派出入局域网的分组到正确的出入端口，达到对不同实体局域网中的设备进行逻辑分群管理，并降低局域网内大量数据流通时，因无用分组过多导致壅塞的问题，以及提升局域网的信息安全保障。

二、VLAN可以为网络提供以下作用，广播控制、带宽利用、降低延迟、安全性（非设计作用，本身功能所附加出的）。

三、

1、物理层（physical layer）

直接以交换机上的端口做为划分VLAN的基础。

这个方式的优点是简单与直观，因此，运用这种设置VLAN的情况十分普遍。但因为是物理层的设置，所以比较适合在规模不大的组织。

2、数据链接层（data link layer）

以每台主机的MAC地址做为划分VLAN的基础。方法是先创建一个比较复杂的数据库，通常为某网络设备的MAC地址与VLAN的映射关系数据库。当该网络设备连接到端口后，交换机会向VMPS（VLAN管理策略服务器）来请求这个数据库。找到相应映射关系，完成端口到VLAN的分配。

这个方式的优点是即使计算机在实体上的位置不同，也不影响VLAN的运作。但缺点是网管人员必须在交换机中设置组织内每一台设备MAC地址与VLAN间的映射关系数据库。因此，这种设置策略的管理复杂度会随着越来越多的设备、与实体位置的群落、和不同工作任务需要而增加。

3、网络层（network layer）

以每台设备的IP地址做为划分VLAN的基础，以子网视为VLAN设置的依据。

这个方式的优点是当网管人员已经将内部网段做好规划与分配的情况下，将可大辐降低网管人员规划并设置VLANs架构的复杂度。

但缺点是原本传统交换机不需要对讯框作任何处理，但在这个机制下，交换机不但必须剖析讯框（Frame），还必须进一步取出Source IP与Destination IP进行比对，连带降低交换机接收与分派分组的效率。

扩展资料：

为实现交换机以太网络的广播隔离，一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络用户的逻辑分段技术实现非常灵活，它可以不受用户物理位置限制，根据用户需求进行VLAN划分；可在一个交换机上实现，也可跨交换机实现；可以根据网络用户的位置、作用、部门或根据使用的应用程序、上层协议或者以太网通信端口硬件地址来进行划分。

一个VLAN相当于OSI模型第2层的广播域，它能将广播控制在一个VLAN内部。而不同VLAN之间或VLAN与LAN / WAN的数据通信必须通过第3层（网络层）完成。

否则，即便是同一交换机上的通信端口，假如它们不处于同一个VLAN，正常情况下也无法进行数据通信，特例是由于某著名厂商生产的交换机带有VLAN穿越漏洞，外来分组以广播进到该交换机时，它仍然会流入所有连至交换机上的计算机，而导致信息可能外泄的潜藏风险。

为了解决上述信息安全议题，1995年IEEE 802委员会发表了802.1Q VLAN技术的实现标准与讯框结构，希望能透过设置逻辑地址（TPID、TCI），对实体局域网区隔成独立虚拟网段，以规范分组广播时的最大范围。

参考资料：百度百科 虚拟局域网

1) VLAN是虚拟局域网或虚拟的以太网。局域网和虚拟局域网的关系类似物理计算机和虚拟机的关系。

2）虚拟局域网是可以在以太网上进行逻辑拓扑设计和访问控制设计（专利：一种基于VLAN构造的访问控制方法）。不仅对TCP/IP协议有效，而且对在以太网上非TCP/IP传输协议也同样有效

3）由于ACL主要是为TCP/IP协议工作的，因此对于ARP广播寻址等功能不能进行良好的隔离。故需要系统在二层隔离时（以太网层），需要VLAN。

VLAN的含义：相同VLANID的交换机端口（或网卡MAC、IP）或不同VLANID，若允许本身或彼此携带VLAN标签（TAG）的数据包通过，这些端口就构成VLAN。由于不同VLANID的端口可以允许不同的VLAN标签（TAG）通过。所以每种VLANID端口的广播域可以不一样。

虚拟局域网的定义：

1）按端口的PVID定义，即相同的VLANID为同一个VLAN（VLANID为端口打印的虚拟局域网标签）。每个端口只允许携带该VLAN标签的数据包通过。

2)不同VLANTAG（标签）也被允许通过，当某个VLANID（列如：VLAN100的端口，允许VLAN200端口打印的数据包也能通过），这样如果VLAN100和VLAN200 都允许彼此打印的数据包通过。则VLAN100和VLAN200构成一个VLAN。同理如下图：

简单实现一个虚拟网络的访问控制逻辑拓扑

习惯上VLANID，即VLAN100、VLAN200中数字100、200代表了每个VLAN号。尊重这种习惯，在此、我们用“组VLAN”来代表一个虚拟局域网，我们设置VLAN100 不仅允许自身VLANID的IP包通过，也允许VLAN200的数据包(VLANTAG)通过，同时设置VLAN200也允许VLAN100的数据包通过。VLAN100和VLAN200就构成了一个虚拟局域网。同理，如果我们设置VLAN100和VLAN300互通，VLAN200和VLAN400互通。如图1所示：由于，端口对VLANTAG的选择性限制，VLAN100与VLAN400不能互通、VLAN200不能与VLAN300互通。VLAN300也不能与VLAN400互通。

MAC-VLAN ,IP-VLAN.主要是网卡设置，即通过网卡设置MAC和IP和VLAN成员的对应关系，此地就不再重复说明。

VLAN逻辑拓扑设计和VLAN直接访问控制目前是最新的技术，可以按照服务器及其服务对象（客户端）划入同个VLAN。服务器和客户端都可以加入不同的组“VLAN”。如下图所示：

愿能帮助到你！

可以。一个vlan是可以同时5个pppoe服务器的，其中也包括2个。vlan（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。

---