什么是VLAN？
VLAN，翻译成中文是“虚拟局域网”，是一组逻辑上的设备或用户，在一个VLAN中的设备互相通信就好像在一个网段中一样。虚拟局域网中的LAN特指由路由器分割开来的网络，也就是广播域。

什么是广播域？
广播域是指广播帧（目标MAC地址全为1）能传达的范围，在一个广播域内的设备可以直接通过通信。

VLAN的应用
在应用VLAN之前一个二层交换机只能构建一个单一的广播域。任何端口发出的广播报文都会被转发到其他所有端口

划分VLAN后，如在交换机上划分红、蓝两个VLAN，端口1、2属于红色VLAN，端口3、4属于蓝色VLAN。从任一端口发出的广播报文只能被转发到同属一个VLAN的其他端口，如从A发出的广播报文，只能转发到B，而不能转发到C和D。

应用VLAN的优点应用VLAN的优点
1、控制广播风暴。在一个VLAN中的设备发送的广播数据包仅在VLAN内部传送，不影响其他网段。
2、增强网络安全性。VLAN限定了特定用户访问，控制广播的范围，可以限制未经安全许可的用户和网络成员对网络的使用。
3、增强网络管理。VLAN可以跨越地理因素的影响，将有着相同需求的计算机以虚拟局域网的方式形成与局域网有着相同属性的网络。
VLAN间的通信
上图中划分为红蓝两个VLAN，A和C之间无法通信，需要设置路由连接两个VLAN。如下图，路由器的端口设置IP（VLANif），将红色端口连接红色VLAN，蓝色端口连接蓝色VLAN，A和C之间通信通过VLAN的IP查路由表后转发。有路由功能的交换机就是三层交换机。

交换机的三种端口状态
VID（VLAN ID），表示端口所处的VLAN编号，是VLAN属性。
PVID（Port VLAN ID），表示缺省端口的VLAN编号，是端口属性。
每个端口都有默认的VLAN，即端口PVID对应的VLAN。当端口接收到没有标记的报文时，该端口将此报文发往PVID标识的VLAN。
交换机VLAN中的端口，可以分为三种：Access、Trunk、Hybrid
1、Access端口
只有PVID一个字段
收报文：接收报文时，如果报文不带tag，则打上缺省的PVID tag；如果接收的是带tag的报文，则默认丢弃。
发报文：发送报文时，如果报文tag与端口PVID一样则剥离报文tag后发送，否则丢弃。
2、Trunk端口
有PVID与允许通过的VLAN范围两个字段
收报文：接收报文时，如果报文不带tag，则打上该Trunk端口的PVID tag；如果带，则判断tag是否在该Trunk端口允许通过的范围，如果在则直接转发，否则丢弃。
发报文：发送报文时，首先比较报文tag与Trunk端口的PVID是否相同。如果相同，则从报文中剥离tag后发送；如果不相同，则判断该报文tag是否在Trunk端口允许通过的范围，如果允许则带着tag标签直接转发，否则丢弃。
3、Hybrid端口
有PVID，Untagged和Tagged三个字段
收报文：接收报文时，如果报文不带tag，则打上Hybrid端口的PVID；如果报文带tag，则判断该tag是否在允许通过的范围（Untagged字段+Tagged字段），如果在则接收，否则丢弃。
发报文：发送报文时，如果报文tag是在端口Untagged范围，剥离tag后转发；如果报文tag是在端口Tagged范围，则带tag转发。
端口的应用

由三种端口的转发机制，可知：
Access口只有一个PVID字段，只能配置属于一个VLAN，因此一般用于连接计算机端口；
Trunk口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文，一般用于交换机与交换机之间连接的端口；
Hybrid口可以允许多个VLAN通过，可以接收和发送多个VLAN报文，可以用于交换机之间的连接也可以用于计算机的连接。