将每个 VLAN 视为单个交换机（或交换机组）。

VLAN 通过对单个物理基础设施进行逻辑分区来工作。每个端口在逻辑上连接到 VLAN 之一 = 虚拟交换机之一。只有连接到同一 VLAN 或虚拟交换机的设备才能直接相互通信。

不同 VLAN 中的设备需要路由器来转发其流量 - 路由器是您的控制点，您可以在其中允许或拒绝通信。

您无需为两台交换机之间的每个 VLAN 运行单独的电缆，而是使用 VLAN 中继端口：在线路上，每个帧都使用其 VLAN ID 进行标记。VLAN ID 告诉另一台交换机该帧所属的位置。（其中一个 VLAN - “本地”VLAN - 可以保持未标记状态，但两台交换机都需要对此达成一致）。

编辑：将流量分成 VLAN 时有几个目标：

• 减少广播域的大小
• 减少段/广播域中的节点数
• 出于安全原因将流量分开 - 一个 VLAN 中的节点不能简单地与另一个 VLAN 中的节点通信，它们需要一个路由器
• 出于优先级原因 (QoS) 的单独流量
• 在每个 VLAN 生成树方案（MSTP 或 RPVST）中利用冗余链路

在 VLAN 之前，我们曾经这样做过：

• 为每个区域（服务器、台式机等）使用单独的开关组
• 保持这些 LAN 完全不同（不同的 IP 地址范围并且中间没有电线）
• 用电缆扎带捆绑多条以太网电缆，并将所有 LAN 插入路由器的单独接口，在不同 LAN 和远程网络之间进行路由

现在已经虚拟化了

• 可以对交换机进行分区，以便给定的套接字位于特定的 VLAN 上
• 一束电缆现在是一个主干，电缆上的标签已被每个以太网框架上的“标签”取代

您可以想象的所有用途都是可能的：

• （某些）交换机能够根据传入的以太网地址将标签添加到帧中
• （某些）交换机使用其他信息（例如 Cisco 发现协议）来确定特定（以太网）主机是电话，并将其帧放入指定用于语音的 VLAN 上
• 如果某些帧在预期它们的接口上没有标记的情况下到达（它们进入默认 VLAN），则决定该怎么做是很复杂的
• （某些）交换机允许非常复杂的给定端口上的流量规则和分配这些权限的方法。