问：如何在WLAN连接中配置VLAN交换机？

答：虚拟局域网（VLAN）用于把一个局域网从逻辑上分成几个独立的广播域、独立的物理扑拓。被分成逻辑碎片的局域网可以是任何种类的局域网，包括以太网和Wi-Fi。

基于端点的VLAN依靠交换机或AP配置加强VLAN 成员关系。举个例子来说，一台交换机的端口1到8组成VLAN #1，端口9到16组成VLAN #2。在VLAN #1中的每一个站点都能接收到同样的LAN广播，但VLAN #2中的站点不会接收到该广播。与此类似，可以设置一个无线AP在VLAN #1和一个命名网络（SSID）中传递流量，或者在VLAN #2和更外一个命名网络（SSID）中传递流量。该技术一般用来区分客户无线流量和有线网络的其他（私人）无线流量。

802.1Q采用LAN架构内部的标签（VLAN ID）来区分流量。VLAN标签使支持2.1Q的装置如交换机、AP、路由器和防火墙通过数据包的整个路径加强VLAN区分。

如上面的描述，可以配置一个无线AP向一个特定的SSID 架构提供VLAN标签。或者在802.1X认证过程中，无线AP能够为每一个站点接收VLAN标签分配。802.1X认证是应用RFC 3580的RADIUS服务器要求的。这项技术能够基于认证身份，而非他们连接的SSID将个人用户放到正确的VLAN中。

VLAN能够延伸到整个公司的网络，从分支机构，通过WAN，到总部。一个VLAN标签不会穿过整个路径，因为VLAN只支持局域网。不过可以配置路由器和防火墙将VLAN标签映射到网络子接口上。

举个例子来说，VLAN #1中流量在Internet中流过时可能被指向VPN通道A。而VLAN #2中的流量从VPN通道B中流过。两个VPN通道中的流量很可能从相同的WAN连接中传播。换句话说，VPN通道能够将第三层中的流量从IP网络中分离出来，就像VLAN将第二层中的流量从LAN中分离一样。