VLAN在交换机上的实现方法，可以大致划分为六类:

　　1. 基于端口划分的VLAN

　　这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

　　对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

　　从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

　　2. 基于MAC地址划分VLAN

　　这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

　　由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

　　3. 基于网络层协议划分VLAN

　　VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的 VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

　　这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

　　4. 根据IP组播划分VLAN

　　IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

　　5. 按策略划分VLAN

　　基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。

　　6. 按用户定义、非用户授权划分VLAN

　　基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

 基于端口划分的VLAN，基于MAC地址划分VLAN，基于网络层协议划分VLAN，根据IP组播划分VLAN， 按策略划分VLAN，按用户定义、非用户授权划分VLAN

1、基于端口划分。

这种方法明确指定各端口属于哪个VLAN，操作简单，但主机较多时，重复工作量大，主机端口变动的时候，需要同时改变该端口所属的VLAN。

2、基于MAC地址的划分。

根据主机网卡的MAC地址进行划分（每个网卡都有世界上唯一的MAC地址）。通过检查并记录端口所连接的网卡的MAC地址来决定端口所属的VALN。

3、基于IP地址划分。

将任何属于同一IP广播组的主机认为属于同一VLAN，有良好的灵活性和可扩展性，可以方便的通过路由器扩展网络，但是不适合局域网，效率不高。

划分vlan的目的就是虚拟局域网，192.168.1.1-192.168.1.37，192.168.1.37-192.168.1.40都在一个网段内（除非192.168.1这个网段划分了子网，要给掩码）。

设置VLAN名称。因四个VLAN分属于不同的交换机，VLAN命名的命令为" vlan vlan号 name vlan名称 ，在Switch1、Switch2、Switch3、交换机上配置2、3、4、5号VLAN的代码为：

Switch1 (config)#vlan 2 name Prod

Switch2 (config)#vlan 3 name Fina

Switch3 (config)#vlan 4 name Huma

Switch3 (config)#vlan 5 name Info

扩展资料：

模式命令：

1、用户模式：Switch>

2、特权模式：Switch>enable

Switch#

3、全局配置模式：Switch#config terminal

Switch（config）#

4、接口配置模式：Switch（config）#interface fastethernet0/1

Switch（config-if）#

5、Line模式：Switch（config）#line console 0

Switch（config-line）#

基于端口划分，基于MAC地址的划分，基于IP地址划分。

一、基于端口的VLAN分为两种情况：

1、多交换机端口定义VLAN

2、单交换机端口定义VLAN

二、基于MAC地址的VLAN也分为两种情况：

1、基于路由的VLAN

2、基于策略的VLAN

  什么是VLAN

    虚拟网技术（VLAN，Virtual Local Area Network）的诞生主要源于广播。广播在网络中起着非常重要的作用，如发现新设备、调整网络路径、IP地址租赁等等，许多网络协议都要用到广播，如。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，当广播包的数量占到通讯总量的30%时，网络的传输效率将会明显下降。所以，当局域网内的计算机达到一定数量后（通常限制在150~200台以内），通常采用划分VLAN的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，以减小广播可能造成的损害。

    如何分隔大的广播域呢？最简单的方案就是物理分隔，即将一个完整的网络物理地分隔成两个或多个子网络，然后，再通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法之外，就是在交换机上采用逻辑分隔的方式，将一个大的局域网划分为若干个小的虚拟子网（如图2所示），即VLAN，从而使每一个子网都成为一个单独的广播域，子网之间进行通信必须通过三层设备。当VLAN在交换机上划分后，不同VLAN间的设备就如同是被物理地分割。也就是说，连接到同一交换机、然而处于不同VLAN的设备，就如同被物理地连接到两个位于不同网段的交换机上一样，彼此之间的通信一定要经过路由设备，否则，他们之间将无法得知对方的存在，将无法进行任何通信?

虽然划分VLAN的方式有许多种，但是，使用最多的仍然是基于端口的VLAN。不同厂商的交换机大多支持以下几种VLAN的划分方式：

    1. 基于端口的VLAN

    基于端口的VLAN是最常使用的划分VLAN的方式，几乎被所有的交换机所支持。所谓基于端口的VLAN，是指由网络管理员使用网管软件或直接设置交换机，将某些端口直接地、强制性地分配给某个VLAN。除非网管人员重新设置，否则，这些端口将一直保持对该VLAN的从属性，即属于该VLAN，因此，这种划分方式也称为静态VLAN。这种方法虽然在网络管理员进行VLAN划分操作时会比较麻烦，但相对安全，并且容易配置和维护。同时，由于不同VLAN间的端口不能直接相互通讯，因此，每个VLAN都有自己独立的生成树。此外，交换机之间在不同VLAN中可以有多个并行链路，以提高VLAN内部的交换速率，增加交换机之间的带宽。

    需要注意的是，不仅可以将同一交换机的不同端口划分为同一VLAN，而且还可以设置跨越交换机的VLAN（如图3所示），即将不同交换机的不同端口划分至同一VLAN，这就完全解决了位于不同物理位置、连接至不同交换机中的用户如何使之处于同一VLAN的难题。例如，在一个拥有数百台计算机的校园网中，为了提高网络传输效率，可以将所有用户划分为行政和教学两个VLAN。虽然各学院、系、教研室位于不同的建筑物内，连接至不同的交换机，但仍然能够根据其连接的端口将其划分至同一VLAN。

需要注意的是，如果交换机某端口连接至一个集线器，那么，该集线器以及其连接的所有计算机都将属于该端口的VLAN。

    2. 基于MAC的VLAN

    所谓基于MAC的VLAN，是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。也就是说，当端口连接至集线器或交换机时，该种划分方式并不适用。端口借助网络包的MAC地址、逻辑地址或协议类型来确定其VLAN的从属，将端口划分至不同VLAN。当一网络节点刚连接到交换机时，此时交换机端口尚未分配，于是，交换机通过读取网络节点的MAC地址，动态地将该端口划入某个虚拟网。一旦网管人员配置好后，用户的计算机就可以随意改变其连接的交换机端口，而不会由此而改变自己的VLAN。当网络中出现未定义的MAC地址，交换机可以按照预先设定的方式向网管人员报警，再由网管人员作相应的处理。例如，网络管理员有一台笔记本电脑，由于工作性质的关系，他需要经常到各部门联机工作。当该笔记本电脑从端口A移动到端口B时，交换机能够自动识别经过端口B的源MAC地址，自动把端口A从当前VLAN中删除，而把端口B定义到当前VLAN中。这种定义方法的优点是当终端在交换式网络中移动时，不必重新定义虚拟网，交换机能够自动进行识别和定义。因此，基于MAC的VLAN也称为动态VLAN。由于MAC地址具有世界唯一性，因此，该VLAN划分方式的安全性也较高。

3. 基于IP的VLAN

    所谓基于IP的VALN，是指根据IP地址来划分的VLAN。交换机属OSI第二层，因此，普通交换机不能识别帧中的网络层报文，但随着第三层交换机的出现，将第二层的交换功能和第三层的路由功能结合在一起，从而使交换机也能够识别网络层报文，可以使用报文中的IP地址来定义VLAN。因此，当某一用户设置有多个IP地址时，或该端口连接到的集线器中拥有多个TCP/IP用户时，通过基于IP的VLAN，该用户或该端口就可以同时访问多个虚拟网。在该模式下，位于不同VLAN的多个部门（每种业务设置成一个虚拟网）均可同时访问同一台网络服务器，也可以同时访问多个虚拟网的资源，还可让多个虚拟网间的连接只需一个路由端口即可完成。这种定义方法的优点是当某一终端使用的网络层协议或IP地址改变时，交换机能够自动识别，重新定义VLAN，不需要管理员干预。但由于IP地址可以人为地、不受约束地自由设置，因此，使用该方式划分VLAN也会带来安全上的隐患。

    4. 基于组播的VLAN

    组播作为一点对多点的通信，是节省网络带宽的有效方法之一。在多媒体应用中，当需要将一个节点的多媒体信号传送到多个节点时，无论是采用重复点对点通信方式，还是采用广播的方式，都会严重浪费网络带宽，而只有组播才是最好的选择。组播能够使一个或多个发送者将帧发送给组地址，而不是单个主机。其中，那些希望参加某一特定组的接收者，需要将含有组地址的IGMP“加入消息”发送给最邻近的路由器，然后，路由器使用多点广播路由协议（例如DVMRP、PIM等）建立从源到所有接收者的分发树。接收者在任何时候都可以动态地参加或离开某个多点广播组。支持IP多点广播的应用包括：音频/视频会议、“push”技术（如股票行情、运动记分、报文）和虚拟现实游戏。基于组播的VLAN，就是动态地把那些需要同时通信的端口定义到一个VLAN中，并在VLAN中用广播的方法解决点对多点通信的问题。

VLAN的重要意义

    VLAN中的成员与其物理位置无关，既可连接至同一台交换机，也可连接至不同交换机。

    ● 降低移动和变更的管理成本

    使用VLAN，当需要把一台计算机从一个子网转移到另一个子网时，只需在交换机上重新定义一下VLAN成员即可。尤其是在采用MAC地址动态划分VLAN时，当用户将计算机从一个交换机端口移动到另一个交换机端口，由于其网卡的MAC地址并不改变，所以，交换机能够自动跟踪该终端的MAC地址，并自动将其纳入定义的VLAN中。

    ● 控制广播

    由于所有的广播都只在本VLAN内进行，而不再扩散到其他VLAN上，所以，把校园网络适当地划分成若干较小的VLAN，将大大减少广播对网络带宽的占用，从而提高网络传输效率，并有效地避免广播风暴的产生以及在整个网络的蔓延。

    ● 支持多媒体技术和高效组播控制

    组播技术是支持多媒体应用的有效手段，在交换机中用组播组动态定义VLAN，并自动把组播报文只复制给同一VLAN中的终端，大大提高了多媒体数据传输的实时性，更有效地使用了带宽，降低了网络因拥挤而阻塞的可能性。

    ● 增强安全性

    由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接相互访问。同时，可以在Trunk（中继）中设置允许访问的VLAN，从而限制未经允许的VLAN访问，保证VLAN只被授权的用户访问。因此，通过划分VLAN，可以有效地提高网络安全性，防止某些非授权用户对敏感数据的访问。

    ● 网络监督和管理的自动化

    由于可以通过网管软件查看VLAN间和VLAN内的各类通信信息，而这些信息对于确定网络拓朴与路由，以及设置服务器的位置都十分有用。通过划分VLAN，可以使网络管理变得更简单、更轻松、更有效。

实现VLAN需要的设备

    若欲在校园网络中实现VLAN，首先需要支持VLAN的交换机。当然，并不要求所有的交换机都支持VLAN，但是，网络内必须至少有一台交换机支持VLAN，否则，VLAN的划分就是不可能的。在选择支持VLAN的设置时，应当注意以下几个方面的问题：

    第一，中心交换机必须支持VLAN，并且拥有三层交换功能。由于VLAN之间的通讯必须借助三层设备才能实现，因此，如果没有三层设备，VLAN的划分将失去其原有的意义。原因很简单，我们的目的不是阻隔通信，而是试图使通信变得更快捷、更安全。若欲实现VLAN间的无阻塞线速传输，就必须采用集网桥和路由于一身的三层交换机，而不能采用传输的路由器。否则，VLAN间的传输将成为制约网络效率的瓶颈。

    第二，若欲在一台交换机上划分两个或两个以上的VLAN，那么，该交换机也必须支持VLAN划分功能。如果交换机上只有一个VLAN，那么，完全可以将该VLAN划分在第三层交换机或所级联交换机的端口上。但是，如果若欲在交换机划分两个以上的VLAN，那么，该交换机就必须是可网管的，而且必须支持VLAN。

    第三，网络内所有划分有VLAN的交换机必须支持同一种VLAN和中继协议，即IEEE 802.1Q和802.3ad网络协议。否则，将无法实现VLAN在不同交换机之间的跨越。

    第四，应当尽量采用同一品牌的交换机，以保证产品和技术的兼容性，并可采用同一网络管理软件，实现对网络设备的统一管理，简化网络配置操作。尽管不同厂商都执行相同的国际标准和协议，但同时也大量采有独特的协议和技术（如Cisco的ISL），因此，在交换机间实现VLAN中继时，会遇到许多困难，产生许多莫名其妙的通信故障。所以，对于大中型校园网络而言，为了将来管理上的方便，应当尽量购置相同品牌的产品。

    作为网络核心的模块化三层交换机价格较高，国产产品（如神洲数码、华为、海湾、等）大致在20万，美国产品如（Cisco、3Com、Foundry、Bay等）产品则通常在25万。作为分布层的骨干交换机价格相对便宜，国产大致3.5万，美产大致在5万。用于实现计算机接入的、支持VLAN的可网管工作组交换机，国产大致4000元，美产大致1.2万左右。