虚拟局域网（vlan，8021q）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样。vlan是一种比较新的技术，工作在osi(open system interconnect，开放式系统互联)参考模型的第2层和第3层，一个vlan就是一个广播域。vlan通常在交换机或路由器上实现，在以太网帧中增加vlan标签来给以太网帧分类，具有相同vlan标签的以太网帧在同一个广播域中传送。8021q定义的32位标签位于分组包头的目的地址与源地址之后，包括3个优先位用于标识8021q交换、1个识别位用于可选的令牌环网的外部、12个虚拟局域网id位用于标识虚拟局域网的成员资格、16位用于修改ether type"帧。vlan内部成员间的通信可通过第3层的路由器来完成的，用户可以自由地在网络中移动办公，不论他在何处接入交换网络，他都可以与vlan内其他用户自如通讯。在计算机网络中，一个网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组。vlan具有以下优点：nvme转接卡
网络设备的移动、添加和修改的管理开销减少。
可以控制广播活动。
可提高网络的安全性。
在共享网络中，一个物理的网段就是一个广播域；在交换网络中，广播域可以是由一组任意选定的mac地址组成的虚拟网段，使得网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。
同一个vlan中的用户间通信就和在一个局域网内一样，同一个vlan中的广播只有vlan中的 成员才能听到，而不会传输到其他的vlan中去，从而控制不必要的广播风暴的产生。同时， 若没有路由，不同vlan之间不能相互通信，从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置vlan之间的路由来全面管理网络内部不同工作组之间的信息互访。
vlan-vpn 隧道技术通过在运营商接入端为用户的私网报文封装外层vlan tag，使报文携带两层vlan tag 穿越公网；在公网中，报文只根据外层vlan tag（即公网vlan tag）进行传输，用户的私网vlan tag 则当作报文中的数据部分来进行传输。
ubuntu上发起vpn连接
注：当在ubuntu 16（host）装virtualbox运行window 10时，window 10系统可重用host已经建立起来的vpn连接。如果要刷新路由表，可执行sudo ip route flush cache。当同时连接多个vpn时，先连接的vpn如果添加的路由与后连接vpn路由冲突，可以改变vpn联接顺序重试，或关闭冲突vpn。
一、openconnect发起连接：如anyconnect(wwwedacukinformation-servicescomputingdesktop-personalvpnvpn-cisco-client，softwareciscocomdownloadhome286281283type282364313release)，服务端为openconnect vpn server(ocserv)
1sudo apt-get install network-manager-openconnect-gnome。
2 创建vpn-script文件，并添加可执行权限：:gitinfradeadorgusersdwmw2vpnc-scriptsgitblob_plainhead:vpnc-script。
3sudo openconnect -u {username} --script={pathtovpn-script} --no-dtls {vpnserver}。
4 在profile追加下列行：
echo 'password' | sudo openconnect -b -u{username} --script={pathtovpn-script} --no-dtls {vpnserver} 2>&1 > devnull
在etcsudoer中设置：
%sudo all=(all:all) nopasswd:usrbindocker,usrbingedit,usrsbinopenvpn,usrbinsvn,usrsbinopenconnect
可让系统自动连接到vpnserver
二、openvpn发起连接：
1 sudo apt install -y openvpn，复制相关证书至etcopenvpn目录下。
2 创建password文件，用户名和密码分别占用一行：
[username]
[password]
3 创建配置文件openvpnconf，并写入相关配置内容如下：
# openvpn client linux configuration sample
client
dev tun
proto udp
remote [ip] [port]
resolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
ca [xxcrt]
cert [xxcrt]
key [xxkey]
tls-auth [xxtakey] 1
auth-user-pass [password-file]
cipher aes-256-cbc
comp-lzo
mssfix 1400
4 sudo service openvpn start。
技术特点：(1)端口的分隔。即便在同一个交换机上，处于不同vlan的端口也是不能通信的。这样一个物理的 交换机 可以当作多个逻辑的交换机使用。 (2)网络的安全。不同vlan不能直接通信，杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。
物理网卡：子网卡(虚拟网卡)、vlan网卡之间的区别；指实体网络接口设备，如系统中的eth0、eth1等就属于这一类。
子网卡(虚拟网卡、逻辑网卡、物理网卡别名)：依赖于一块物理网卡而存在(不是实际存在的单体网络接口设备)，拥有独立的ip地址和配置文件，可以作为网络接口在系统中出现，如系统中eth0:1就是物理网卡eth0的一张子网卡；但当所依赖的物理网卡不启用时（down状态），子网卡也不能工作。为应用配置单独的(虚拟)ip地址，以达到主机与应用的分离,在应用切换与迁移过程中可以做到动态切换，此时创建一张虚拟网卡便可轻松实现该目的。
vlan光纤网卡：它也不是实际存在的网络接口设备，也可以作为网络接口在系统中出现，但没有自己的配置文件，如系统中的eth01是与物理网卡eth0关联的vlan网卡。如果将一个物理网卡通过vconfig命令添加到多个vlan当中去的话，就会有多个vlan虚拟网卡出现，所产生的相关vlan信息都保存在procnetvlanconfig这个临时文件中的，而没有独立的配置文件。
三层交换机的内网限制功能更加强大，路由器上划分vlan更方便。如果不同网段之间的数据交换比较多，需要用三层交换机划分；否则的话，直接用路由器划分vlan就可以满足。如下图
有需要了解更多信息的可查询unicaca；需要合作与咨询搭建方案请联系上的在线客服，嘉华众力自2000年成立以来一直在网络存储、传输这方面积累、沉淀；经过多年发展与全新的品牌定位，(unicaca)嘉华众力品牌已成为国内外极具实力的数据通讯产品及方案提供商。
材料来自于：博客园