VLAN（Virtual Local Area Network）是一种网络技术，它允许将一个物理的局域网（LAN）在逻辑上划分为多个虚拟的广播域。每个虚拟局域网（VLAN）包含一组特定的网络设备，这些设备之间的通信类似于在单个局域网（LAN）内部。VLAN通过将网络划分为不同的逻辑部分，有助于控制广播风暴、增强网络安全和管理网络资源。

VLAN的主要优势包括：

VLAN可以通过多种方式进行划分，包括基于端口、基于MAC地址或基于网络策略。交换机上的每个端口都可以分配给不同的VLAN，从而实现VLAN的创建和管理。VLAN的封装协议通常是802.1Q，它负责在数据帧中标记VLAN信息。

VLAN技术适用于各种规模的网络，从少数几台家用计算机构成的网络到数以百计的计算机构成的企业网络。使用VLAN，二层交换机能够构建多个广播域，而不是一个单一的广播域，这有助于提高网络的灵活性和可扩展性。

其实对于RouterOS来说，它具备路由功能的同时，当然也兼备了交换机的所有功能，所以它可以轻松实现三、二层的vlan配置管理。

本期仅是针对Routeros 二层vlan配置（网桥vlan）步骤进行梳理：

首先建立bridge1网桥，默认配置即可，目的将默认三层的端口建立二层网络环境，实现互访。

为了实现端口间的互通，还需要将相应的端口添加到刚建立的网桥中，相应的端口开启“Ingress Filtering"准入过滤选项。

添加完，此处同网桥的设备均可以ping通互访了，因为网桥默认在vlan1中。但是这个不是我们的终极目的，我们是要实现不同vlan划分，实现不同互访需求。

根据规划将实现互访的相应端口，定义成相同的PVID即可，本人就按PVID43为例，在端口的vlan的PVID指定特定的vlan值：

将端5口（干口）进入数据打上43的标签，从端口12（出口）出去之后剥离标签，应用确定。

到网桥的配置属性里选择VLAN，勾选开启VLAN Filtering过滤，默认网桥以太网类型8100，缺省PVID为43（vlan1将失去对此网桥的管理），数据帧类型admit all，全类型接受（干口网桥一般全类型帧都接受，否则无法通讯）。此时到VLANS时看网桥上的Current Tagged 和Current Untagged出就有对应的端口信息了。

好了，此时可以用ping测试vlan两端是否可以正常通讯了，后者可以通过对应vlan的网桥的DHCP服务器能够正确分配到对应的ip地址就说明vlan配置成功。

为了保障网桥安全，防止出口端口出现非法tag通过vlan网桥中进行广播服务，可用将对应出口的端口准入过滤帧数据类型修改为“admin only untagged and priority tagged”仅是接受没有数据标签和vlan标签为0的数据通过，这样有效阻断非法带标签的数据进入到网桥造成安全问题。