1.VLAN概述

VLAN（虚拟局域网）是一种逻辑上划分网络设备的技术，用于将单个物理网络划分成多个虚拟网络。VLAN可以将网络中的设备分组，使得只有处于同一组内的设备能够相互通信，增强了网络的安全性、灵活性和管理效率。

VLAN的实现需要支持它的交换机或路由器，因为VLAN是通过交换机或路由器的端口来划分的。使用VLAN，管理员可以为不同的组设置不同的网络策略，如VLAN 100可以是财务部门的组，VLAN 200可以是市场部门的组，不同的组之间彼此隔离，不会产生彼此干扰，同时也方便了网络管理。

VLAN的主要优点如下：

提高网络的安全性：VLAN可以将敏感的网络流量隔离到特定的VLAN中，防止网络攻击和非法访问。
改善网络的性能：VLAN可以降低广播风暴，提高网络的吞吐量和运行效率。
提高网络的灵活性和可管理性：VLAN可以根据需要将设备当做一个整体来管理，以简化管理和维护过程。

图 1 局域网和虚拟局域网

2.VLAN帧格式

图 2 VLAN帧格式

VLAN标签占据12个字节，

TPID：Tag Protocol Identifier（标签协议标识符），2字节，用于标识该帧的VLAN类型，通常为0x8100表示标准的IEEE 802.1Q VLAN。

PRI：Priority（优先级），3比特，用于QoS/CoS（Quality of Service / Class of Service）。

CFI：Canonical Format Indicator（标准格式知识器），1比特，用于标识MAC地址是否为规范形式，一般设置为0。

VID：VLAN ID（VLAN标识），12比特，范围从0到4095，其中0和4095具有特殊的含义，分别表示未打Tag和全局性VLAN。

3.VLAN端口类型

VLAN的实现需要使用交换机和路由器等网络设备，这些设备都有不同的端口。

下面介绍几种常见的VLAN端口：

Access Port（访问端口）：该端口用于连接设备，只能属于一个VLAN。当数据包从该端口发送出去时，数据包会直接被发送到该端口所属的VLAN，其他VLAN不会接收到数据包。
Trunk Port（干道端口）：该端口用于连接交换机、路由器等网络设备，可以同时传输来自多个VLAN的数据包。在该端口上传输的数据包都会被打上标签，以便接收端口知道该数据包属于哪个VLAN。
Hybrid Port（混合端口）：该端口可以属于多个VLAN，可以同时作为Access Port和Trunk Port使用。一般用于连接需要多个VLAN的设备，比如服务器。

4.缺省VLAN

缺省VLAN是指交换机默认的VLAN ID，默认VLAN ID通常为1，所有类型的VLAN端口都需要设置VLAN ID，不同类型的VLAN端口缺省VLAN ID用处有区别。

缺省VLAN ID是指在交换机或路由器上未经配置的端口默认所属的VLAN编号。当一个端口连接到交换机上并被配置为未加入任何VLAN时，它就会成为缺省VLAN ID所代表的VLAN的一部分。缺省VLAN ID通常被设置为1，这是因为它是IEEE 802.1Q协议中最早定义的VLAN编号，也是许多交换机的默认设置。但是，在某些情况下，缺省VLAN ID可能会被配置为其他值。

缺省VLAN ID在网络中发挥重要作用。它为新设备提供了一种简单的方式来加入网络，而无需进行复杂的VLAN配置。当设备被插入交换机的端口时，它可以立即开始发送和接收数据，而无需进行任何其他设置。

然而，缺省VLAN ID也可能会导致网络安全问题。如果网络管理员没有将未分配VLAN的端口进行适当的配置，那么攻击者就可以利用这些端口来访问网络中的敏感信息。因此，网络管理员应该定期检查网络中的缺省VLAN ID配置，并根据需要进行必要的更改。