在交换机支持VLAN (Virtual Local Area Network， 虚拟局域网) 的场合下， 可以采取虚拟局域网隔离的方式， 通过使用VLAN 标签， 将事先指定的交换端口保留在各自广播区域中， 从而实现逻辑隔离网络的目的。

基于VLAN 隔离技术的网络管控措施在一些规模不大的小型局域网中得到了广泛应用。VLAN 是一个在物理网络上可以根据用途、 工作组、 应用等来进行逻辑划分的局域网络， 与用户的物理位置没有关系， 各组之间的网络设备在二层链路上互相隔离， 形成不同的广播域。 VLAN 中的网络用户通过LAN 交换机来通信， 一个VLAN 中的成员看不到另一个VLAN中的成员。

VLAN 的功能:

(1) 端口分隔。 即便在同一台交换机上， 处于不同VLAN 的端口也是不能通信的， 因此一台物理交换机可以当作多台逻辑交换机使用。

(2) 网络安全。 不同VLAN 不能直接通信， 从而杜绝了广播信息的不安全性。

(3) 灵活管理。 若需更改用户所属的网络， 则不必换端口和连线， 更改软件配置即可。

VLAN 在交换机上的实现方法大致有以下6 类划分方法。

1. 基于端口的划分

这种划分方法的优点是定义VLAN 成员时非常简单， 只要将所有端口都定义为相应的VLAN 组即可， 适合于任何大小的网络。 它的缺点是， 如果某用户离开了原来的端口， 到了一个新的交换机的某个端口， 就必须重新定义。

2. 基于MAC 地址

这种划分VLAN 的方法是根据每个主机的MAC 地址来划分， 即对每个MAC 地址的主机都配置其属于哪个组， 它实现的机制就是每块网卡都对应唯一的MAC 地址， VLAN 交换机跟踪属于VLAN MAC 的地址。 这种方式的VLAN 允许网络用户从一个物理位置移动到另一个物理位置时， 自动保留其所属VLAN 的成员身份。(www.daowen.com)

由这种划分的机制可以看出， 这种VLAN 的划分方法的最大优点就是: 当用户物理位置移动时(即从一个交换机换到其他交换机时)， VLAN 不用重新配置。 这种方法的缺点是， 在初始化时， 所有用户都必须进行配置， 如果有几百个甚至上千个用户， 配置工作将非常烦琐， 所以这种划分方法通常只适用于小型局域网。 而且， 这种划分的方法会导致交换机执行效率降低， 因为在每个交换机的端口都可能存在多个VLAN 组的成员， 保存许多用户的MAC 地址， 导致查询起来相当不容易。 另外， 对于使用笔记本计算机的用户来说，其网卡可能经常更换， 这样VLAN 就必须经常配置。

3. 基于网络层协议

按网络层协议来划分， VLAN 可分为IP、 IPX、 DECnet、 AppleTalk、 Banyan 等VLAN 网络。 这种按网络层协议来组成的VLAN， 可使广播域跨越多个VLAN 交换机。 此外， 用户可以在网络内部自由移动， 且其VLAN 成员身份仍然保留不变。

这种方法的优点是: 即使用户的物理位置改变了， 也不需要重新配置所属的VLAN， 而且可以根据协议类型来划分VLAN， 这对网络管理者来说很重要； 这种方法不需要附加的帧标签来识别VLAN， 这样可以减少网络的通信量。 这种方法的缺点是效率低， 因为检查每个数据包的网络层地址都需要消耗处理时间(相对于前两种方法)， 一般的交换机芯片都可以自动检查网络上数据包的以太网帧头， 但要让芯片能检查IP 帧头则需要更高的技术， 也更费时。 当然， 这与各个厂商的实现方法有关。

4. 基于IP 组播划分

IP 组播实际上也是一种VLAN 的定义， 即认为一个IP 组播组就是一个VLAN。 这种划分方法将VLAN 扩大到了广域网， 因此这种方法具有更大的灵活性， 而且很容易通过路由器进行扩展， 主要适合于不在同一地理范围的局域网用户组成一个VLAN， 但由于其效率不高， 因此不适合局域网。

5. 基于策略划分

基于策略组成的VLAN 能实现多种分配方法， 包括VLAN 交换机端口、 MAC 地址、 IP地址、 网络层协议等。 网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。

6. 按用户定义、 非用户授权划分

基于用户定义、 非用户授权来划分VLAN， 是指为了适应特别的VLAN 网络， 根据具体的网络用户的特别要求来定义和设计VLAN， 而且可以让非VLAN 群体用户访问VLAN， 但是需要提供用户密码， 在得到VLAN 管理的认证后才可以加入一个VLAN。