你误解了 VLAN 标签。以太网帧可以标记在中继线上。这让中继链路两端的交换机可以将中继上的帧分离到正确的 VLAN 中。

访问连接（终端设备连接的地方）不标记帧，并且大多数终端设备不理解 VLAN 标记。您可以将接入端口配置为位于 VLAN 中，但通过这些端口的帧不会被标记。仅当帧必须穿过中继时才会被标记，如果帧通过接入端口离开，则标记会被移除。您的终端设备应该不知道它们甚至在 VLAN 上。

学生不应有权更改交换机配置以更改其接入端口的 VLAN，因此他的 PC 将仅位于为其配置接入端口的 VLAN 中。

编辑：

根据您对使用 Wi-Fi 的评论，Wi-Fi 客户端只知道他们连接到的 SSID。每个 SSID 代表一个不同的网络。WAP 是一个转换桥（它在以太网和 Wi-Fi 之间转换）。当 Wi-Fi 帧进入 WAP，需要发送到有线网络时，WAP 可以通过中继连接到有线网络，每个 SSID 可以分配到不同的 VLAN。当来自有线网络的带有 VLAN 标记的帧到达 WAP 时，会发生相反的情况。

旧设备有限（设备端口或中继端口，永远不能相遇。）

较新的（我不是指新的）设备受到的限制较少，并且可以在其上具有未标记和标记流量（来自不同 VLAN）的端口。我有这两种口味的 3com（所以你知道它们不是新的）开关，旧的在架子上。

在“现代”方案下，端口有几个控制它们行为的设置——传入的未标记流量可以分配给一个 VLAN，而传入的标记流量则留在它所在的 VLAN 上；或者可以丢弃传入的未标记流量（这更类似于旧的中继端口设置。）在任何情况下都会丢弃未分配给端口的 VLAN 标记的流量。来自一个 VLAN 的传出流量在离开端口时可以不加标签——任何其他流量都需要被标记，或者所有流量都可以被标记（类似于旧的中继端口）。

虽然大多数最终用户使用（或理解）该功能并不常见，但“最终用户”计算机实际上可以处理 VLAN 标记，并且假设他们不能（不要相信某些东西向最终用户公开某些东西是愚蠢的）他们无法触摸它。）我有一台 2006 年的 MacBook 笔记本电脑，它已经愉快地连接到 VLAN1（未标记）和 VLAN4（标记）几个月了，因为我希望它可以从两个网络访问。在 Windows 中找到相同的功能很容易（我只是没有真正在那里使用它。）

大多数“企业”WiFi 会（或可以）为 VLAN 分配 SSID。当用户登录 RADIUS 服务器时，更高级/更新的实现将（或可以）分配一个 VLAN（因此同一 SSID 上的两个用户可以根据他们的登录凭据分配到不同的 VLAN。）无论您是否使用动态 VLAN，使用 RADIUS 服务器（WPA2 企业）使“学生”更难访问“教员”网络，并且如果他们这样做，还可以让您知道与哪些教员进行聊天，因为每个用户都有一个唯一的密码，而不是“任何知道TheSecret123FacultyPa55w0rd 的人都可以进入教师网络”。

在正常安装中，您将有线终端使用端口分配给一个 VLAN 并取消它们的标记（老式方法）。AP 获取端口标记有 SSID 分配到的 VLAN，或者是用户将要使用的各种动态 VLAN分配给。交换机之间的中继线被标记。

VLAN 的分配是由网络完成的，而不是由端点完成的。在有线局域网（交换机）上，这是按端口配置的，默认值通常是 VLAN 1。在无线局域网 (AP) 上，这是按 SSID（据说是每个 WiFi 网络）配置的。

AP 通过承载所有 VLAN 的中继端口插入交换机。该链路称为中继链路。据说这些帧被标记为特定的 VLAN。因此，AP 可能会广播多个 VLAN。也许教师 VLAN 有密码，而学生 VLAN 有。