如果员工不经常换工位，可以使用基于端口的VLAN划分，如果员工经常换工位，可以使用基于MAC地址的VLAN划分，但是基于MAC的VLAN划分有的设备不支持，使用时要考虑设备问题。建议使用基于端口的VLAN划分，可以把一个部门划分到一个VLAN中，而且易于管理，将来也易于使用拓展功能。

假如是我 会优先把视频监控的300多个点 物理隔离成一个网络 与办公分离
因为视频监控 分分钟都是大流量的视频占用了交换机的带宽 会影响办公网络 VLAN隔离不了这种带宽占用
剩下的办公电脑 我会看用户有没有业务需求 例如财务要求别的部门不能访问 就给财务隔离一个VLAN
假如没有用户的业务需要隔离 我就一个VLAN
再假如我感觉可能会有广播风暴 我就平均隔离成两个VLAN 再把这两个vlan对应一下业务 例如上互联网的VLAN1 不上互联网的VLAN2

1、基于端口划分；

2、基于MAC地址划分；

3、基于第三层地址划分；

4、基于策略划分；

一般都是基于端口划分，这种划分较简单也最常用。

为了安全和管理便利一般还是划vlan比较好 ~因为公司的电脑并不多,可以考虑把192.168.1.0网段拿出来给管理部和生产部用,如果没有部门变动,就把1.0划成两个vlan即可: 例如~管理部设vlan10, vlan的interface IP 设为192.168.1.1/25,,同样的生产部设vlan20,网关IP设为192.168.1.129/25, 都是25的掩码每个vlan有126个可用地址,足够了~~而192.168.0.0网段可以划出一小段地址当几个交换机的管理地址用, 方便以后的管理还能留一部分地址备用~~
至于部门之间的禁止访问,需要在你的核心交换机上作控制列表了~具体命令你查下命令手册把~3COM型号交换机不熟悉=.=
路由器上需要做NAT地址转换~肯定有登陆的网页设置界面的~不需要敲命令应该比较容易的~这个你得查操作手册或者直接打电话给厂家~~你先登陆上路由设备看看界面

1. 基于端口划分的VLAN

这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

2. 基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

3. 基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的 VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4. 根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

5. 按策略划分VLAN

基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。

6. 按用户定义、非用户授权划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。