VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 802委员会制定的VLAN标准：IEEE 802．1Q
　　VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。由于VLAN可以分离广播域，所以它为网络提供大量的好处，主要包括：（1）提高网络的整体性能；（2）成本效率高；（3）网络安全性好；（4）可简化网络的管理。

 VLAN在交换机上的实现方法，可以大致划分为3类:  

 这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。   

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。   

基于端口划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。   

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。              

由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN 组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。  

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。  

基于网络层协议划分VLAN优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

解决VLAN之间的通信主要采用路由器技术。VLAN之间通信一般采用两种路由策略，即集中式路由和分布式路由。

集中式路由策略是指所有VLAN都通过一个中心路由器实现互联。对于同一交换机（一般指二层交换机）上的两个端口，如果它们属于两个不同的VLAN，尽管它们在同一交换机上，则在数据交换时也要通过中心路由器来选择路由。

分布式路由策略是将路由选择功能适当地分布在带有路由功能的交换机上（指三层交换机），同一交换机上的不同VLAN可以直接实现互通。

802.1Q是在以太网帧的源MAC个和Type字段之间插入4个字节的Tag字段，并将原有的FCS重写。TAG字段里包括priority和VLANID，TPID=0X8100表示是以太网帧。具体802.1Q的帧结构如下：

                                     图3-8 802.1Q的帧结构图

(1) TPID标签协议标识，VLAN Tag中的一个字段，IEEE 802．1Q协议规定该字段的取值为0x8100。

(2) 802.1P用户优先级:用3个比特标识，可以有8种，0是最低，7是最高。

(3) CFI位指示MAC数据域的MAC地址是否是规范格式。

    CFI=0表示是规范格式，CFI=1表示是非规范。

(4) 802.1QVID域指示帧属于的VLAN标识，占12bit，最大可以有4094个VLAN,0不表示VLAN标识。

QinQ（802.1Q-in-802.1Q）协议是基于IEEE 802.1Q 技术的一种二层隧道协议。由于在公网中传递的帧有两层802.1QTag（一个公网Tag，一个私网Tag），所以称之为QinQ协议。

设备提供的端口QINQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。QINQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。不同用户网络的报文在公网传输时被完全分开，即使两个用户网络的VLAN范围存在重叠，在公网传输时也不会产生混淆。

QINQ特性使网络最多可以提供4094X4094个VLAN，满足城域网对VLAN数量的需求，它主要解决了如下几个问题:

（1）、缓解日益紧缺的公网VLAN ID资源问题。

（2）、用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突。
    （3）、为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

QinQ实现方式可分为两种:一种是基于端口的QinQ;一种是基于流分类的灵活QinQ。 基于端口的QinQ的实现机理如下： 当该设备端口接收到报文，无论报文是否带有VLAN Tag，交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样，如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；如果接收到的是untagged的报文，该报文就成为带有端口缺省VLAN Tag的报文。由于基于端口的QinQ比较容易实现，所以业界主流厂家的三层交换机都支持。 基于端口的QinQ的缺点是外层Vlan Tag封装方式死板，不能根据业务种类选择外层Vlan Tag封装的方式，从而很难有效支持多业务的灵活运营。基于流分类的灵活QinQ实现机理如下： 基于流的QinQ特性（Selective QinQ），可灵活根据流分类的结果选择是否打外层VLAN tag、打上何种外层VLAN TAG：如根据用户Vlan tag、MAC地址、IP协议、源地址、目的地址、优先级、或应用程序的业务、不同优先级等对报文进行外层VLAN tag封装，对多种业务实施不同承载的方案。

QinQ是对802.1Q的扩展，其核心思想是将用户私网VLAN tag封装到公网VLAN tag中，报文带着两层tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。其特点是基于802.1Q协议中的Trunk端口概念，要求隧道上的设备都必须支持802.1Q协议, QinQ的帧结构在其802.1Q的帧格式中增加了4字节的VLAN 标签，其帧结构如下图：

        图3-9 QinQ的帧结构