虛擬局域網(wǎng)是一種建構于局域網(wǎng)交換技術(LAN Switch)的網(wǎng)絡管理的技術，網(wǎng)管人員可以借此通過控制交換機有效分派出入局域網(wǎng)的數(shù)據(jù)包到正確的出入端口，達到對不同實體局域網(wǎng)中的設備進行邏輯分群(Grouping)管理，并降低局域網(wǎng)內大量數(shù)據(jù)流通時，因無用數(shù)據(jù)包過多導致雍塞的問題，以及提升局域網(wǎng)的信息安全保障。

在大型局域網(wǎng)中，VLAN技術給網(wǎng)絡管理員和網(wǎng)絡用戶都帶來了許多好處。歸納起來主要有以下幾點：

(1)減少移動和改變的代價，即所說的動態(tài)管理網(wǎng)絡，也就是當一個用戶從一個位置移動到另一個位置時，他的網(wǎng)絡屬性不需要重新配置，而是動態(tài)地完成，這種動態(tài)管理網(wǎng)絡給網(wǎng)絡管理者和使用者都帶來了極大的好處。一個用戶，無論他到哪里，他都能不作任何修改地接入網(wǎng)絡。當然，并不是所有的VLAN定義方法都能做到這一點。

(2)虛擬工作組。使用VLAN的最終目標就是建立虛擬工作組，例如，在企業(yè)網(wǎng)中，同一個部門好像在同一個LAN上一樣，很容易互相訪問、交流信息，同時，所有的廣播包也都限制在該虛擬LAN上，而不影響其他VLAN的人。一個人如果從一個辦公地點換到另外一個辦公地點，而他仍然在該部門，那么，該用戶的配置無須改變。同時，如果一個人雖然辦公地點沒有變，但他更換了部門，那么，只需網(wǎng)絡管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態(tài)的組織環(huán)境。

(3)VLAN的應用解決了許多大型二層交換網(wǎng)絡產(chǎn)生的問題：限制廣播包，提高帶寬的利用率，有效地解決了廣播風暴帶來的性能下降問題。一個VLAN形成一個小的廣播域，同一個VLAN成員都在由所屬VLAN確定的廣播域內。那么，當一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機的端V1，這樣，就將數(shù)據(jù)包限制在了一個VLAN內，從而在一定程度上可以節(jié)省帶寬。

(4)增強通信的安全性。一個VLAN的數(shù)據(jù)包不會發(fā)送到另一個VLAN，這樣，其他VLAN用戶的網(wǎng)絡上收不到任何該VLAN的數(shù)據(jù)包，這樣就確保了該VLAN的信息不會被其他VLAN的人竊聽，從而實現(xiàn)了信息的保密。

(5)由于VLAN是從邏輯上對網(wǎng)絡進行劃分，組網(wǎng)方案靈活，配置管理簡單，從而降低了管理維護的成本。

虛擬局域網(wǎng)的主要思想是：所有計算機組成一個大的物理局域網(wǎng)，即傳統(tǒng)局域網(wǎng)；將所有計算機設備按照功能和需求劃分為若干組，每組劃分為一個邏輯網(wǎng)段，每個邏輯網(wǎng)段是1個虛擬局域網(wǎng)；一個傳統(tǒng)局域網(wǎng)可劃分為多個邏輯網(wǎng)段，即多個VLAN；VLAN中的站點是通過軟件定義而不是硬件定義；站點可在多個VLAN之間移動；一個VLAN中的廣播信息可以被該VLAN中的站點接收，該VLAN之外的站點接收不到該廣播信息，因此VLAN和傳統(tǒng)局域網(wǎng)一樣可以隔離廣播信息；連接在不同交換機上的站點可以使用VLAN技術組成一個或多個VLAN；VLAN中的站點之間通信時就像傳統(tǒng)局域網(wǎng)一樣；VLAN之間的相互通信必通過網(wǎng)絡層協(xié)議實現(xiàn)，不能直接相互通信。

采用VLAN技術可以很容易地解決前面提出的問題。例如，某個單位擁有財物、開發(fā)和辦公三個部門，出于安全和管理方面的考慮，希望每個部門的計算機可以無障礙通信，部門之間的通信則需要進行控制。由于地理位置和設備限制，辦公、開發(fā)和財物部門的共用相同交換機，建成為一個傳統(tǒng)局域網(wǎng)，如圖所示。財務機

采用VLAN技術可以容易地實現(xiàn)。根據(jù)需求，財物、開發(fā)和辦公三個部門個分配1個VLAN，把各個部門所屬的計算機站點劃分到對應的邏輯網(wǎng)段中形成VLAN；VLAN之間不能互相訪問，隔離廣播信息；因此可以滿足該部門的用戶需求。

劃分虛擬網(wǎng)的方法主要有三種：

(1)基于交換機端口劃分基于端口劃分虛擬網(wǎng)，就是按交換機端口定義虛擬網(wǎng)成員，每個端口只能屬于一個虛擬網(wǎng)，這是一種最通用也是簡單的方法。在配置完成后，再為交換機端口分配一個虛擬網(wǎng)，使交換機的端口成為某個虛擬網(wǎng)的成員。

(2)基于MAC地址劃分

這種方法是按每個連接到交換機設備的物理地址(即MAC地址)定義虛擬網(wǎng)成員。當一個交換機端口上連接一臺集線器，在集線器上又連接了多臺設備，而這些設備需要劃入不同的虛擬網(wǎng)時，就可以使用這種方法定義虛擬網(wǎng)成員。因為它可以按用戶劃分，所以也把這種方法稱為基于用戶的虛擬網(wǎng)劃分。在使用基于MAC地址劃分時，一個交換機端El有可能屬于多個虛擬網(wǎng)，這樣端口就能接收多個虛擬網(wǎng)的廣播信息。

(3)基于第三層協(xié)議類型或地址劃分

這種方法允許按照網(wǎng)絡層協(xié)議類型組成VLAN，也可以按網(wǎng)絡地址(如TCP／IP的IP地址)定義虛擬網(wǎng)成員。這種方法的優(yōu)點是有利于組成基于應用的虛擬網(wǎng)。