Vlan通过将二层数据帧打上Vlan标签（打上Vlan标签也就是封装Vlan），正常情况下，不同Vlan Tag的数据包是无法二层直接互访的，以此来实现广播域的隔离

　　可以理解为一个Vlan对应一个广播域，同一Vlan内的主机可以二层直接通信，不同Vlan间的主机无法二层直接通信

　　动态Vlan ：配置VMPS服务器，可以根据连接到交换机端口的设备的源MAC地址，动态将端口分配给Vlan（即将MAC地址与Vlan绑定）

　　Vlan有两种封装模式，一种是ISL协议（思科私有的协议），一种是802.1Q（业界标准协议）

　　ISL 协议成为交换链路内协议，是通过使用ISL协议头和协议尾封装整个第2层的以太帧实现Vlan封装的；正因为此，ISL 被认为是一种能在交换机间传送第2层任何类型的帧或上层协议的独立协议（即 不仅可以为以太网数据帧打Vlan标签，还可以对ATM等数据帧打Vlan标签）

　　CRC表示循环冗余校算法，FEC表示帧校验序列（存放通过CRC校验得到的值 32位，4字节）

　　是ISL数据包的源地址，应设置为传输帧的交换机端口的 MAC地址（接收设备可能忽略帧的SA字段）

　　存储原始数据包的实际大小，不包括DA、TYPE、USER、SA、LEN、FCS字段，总共18字节

　　IEEE802.1Q协议规定，通过在以太网帧的源目的MAC字段之后、协议类型之前加入4字节的802.1Q Tag实现Vlan封装的

　　VlD：Vlan标识符（0表示没有Vlan标签，但是设置了以太网帧的优先级，一般在QOS中出现）

　　一个端口可以属于多个Vlan，但是只有一个PVID（PVID是华为的叫法，思科的叫法为本帧Vlan）

　　接口收到带Tag帧，如果该Tag与PVID一致则允许其进入交换机内部；如果该Tag与PVID不一致则丢弃

　　如果要发送的此帧带Tag，并且该Tag与PVID一致时，剥离掉此Tag，并允许此帧从交换机内部通过此接口发送出去；如果该Tag与PVID不一致，则禁止此帧从交换机内部通过此接口发送出去

　　接口收到带Tag帧，如果此Tag在接口所属Vlan中则允许其进入交换机内部；如果此Tag不在接口所属Vlan中则丢弃（无论Tag是否与PVID相同，只要此Tag不在允许通过的Vlan中都丢弃）

　　接口收到带UnTag帧，当PVID在接口所属Vlan中时，允许其进入交换机内部，并打上PVID；当PVID不在接口所属Vlan中时则丢弃

　　要发送的此帧带Tag，此Tag不在接口所属Vlan中，则禁止此帧从交换机内部通过此接口发送出去

　　要发送的此帧带Tag，此Tag在接口所属Vlan中，并且该Tag与PVID一致，则剥离此Tag标签，并允许此帧从交换机内部通过此接口发送出去；此Tag在接口所属Vlan中，并且该Tag与PVID不一致，则允许此帧从交换机内部通过此接口发送出去

　　同Trunk接口接收帧时的处理动作，只不过接口所属Vlan范围扩大了，只要在Untag Vlan ID列表或Tag Vlan ID列表中的任意一个都可以

　　接口收到带Tag帧，如果此Tag不在接口所属Vlan中；则丢弃（无论Tag是否与PVID相同，只要此Tag不在允许通过的Vlan中都丢弃）

　　接口收到带UnTag帧，当PVID在接口所属Vlan中时，允许其进入交换机内部，并打上PVID；当PVID不在接口所属Vlan中时则丢弃

　　要发送的此帧带Tag，此Tag不在接口所属Vlan中，则禁止此帧从交换机内部通过此接口发送出去

　　要发送的此帧带Tag，此Tag在接口所属Vlan中，如果是在Untag Vlan ID列表中时，则剥离此Tag标签，并允许此帧从交换机内部通过此接口发送出去

　　要发送的此帧带Tag，此Tag在接口所属Vlan中，如果是在Tag Vlan ID列表中，则允许此帧从交换机内部通过此接口发送出去

　　一般来说，不同的Vlan为不同的网段，如果为不同网段不同Vlan下的通信，实现方式有以下三种

　　1、在交换机上配置三层Vlan接口（也就是Vlanif接口--是一个虚拟接口，与Vlan对应）

　　2、通过单臂路由实现，交换机只需要为二层交换机（通过在路由器上的某个物理接口创建多个虚拟的子接口通过ip找到vps代理商，每个子接口都有对应的Vlan编号，该接口只能接受对应Vlan编号的数据）