资源，各公司别离衔接到一台二层交流机的不同接口，并经过一致的出口拜访Internet。

  为了确保各公司事务的独立和安全，可将每个公司所衔接的接口区分到不同的VLAN，完成公司间事务数据的彻底阻隔。可以以为每个企业具有独立的“虚拟路由器”，每个VLAN便是一个“虚拟作业组”。

  如图 2 所示，某公司有两处作业区域，别离经过接入交流机Switch_2和Switch_3接入公司网络，公司部分职工因作业原因常常来往两地作业。

  为了确保职工在改动作业地址后，依然可以拜访公司的网络资源（如服务器），可在Switch_2和Switch_3上别离装备依据MAC地址区分VLAN。这样，只需User_1的MAC地址不变，User_1改动接入方位时，区分的VLAN不变，就持续可以拜访公司的网络资源。

  如图 3 所示，某公司有两个部分：部分1和部分2，别离分配了固定的IP网段。为加强职工间的学习与沟通，职工的方位有时会彼此调集，但公司期望各部分职工拜访的网络资源的权限不变。

  为了确保部分内职工的方位调整后，拜访网络资源的权限不变，可在公司的中心交流机上装备依据IP子网区分VLAN。这样，服务器的不同网段就区分到不同的VLAN，拜访服务器不同运用服务的数据流就会阻隔，提高了安全性。

  依据归于不同VLAN的用户互通时需求跨过的三层设备数，经过VLANIF完成VLAN间三层互访主要有两种场景：同设备三层互访和跨设备三层互访。

  如图 4 所示，某小型公司的部分1和部分2别离经过二层交流机接入到一台三层交流机Switch，所属VLAN别离为VLAN2和VLAN3，部分1和部分2的用户互通时，需求经过一台三层交流机Switch。

  如图 5 所示，某大中型公司的部分1和部分2之间跨过两台或多台三层交流机，所属VLAN别离为VLAN2和VLAN3，部分1和部分2的用户互通时，需求经过两台或多台三层交流机。

  可在二层交流机上区分VLAN并将VLAN透传到三层交流机；在三层交流机Switch_1和上Switch_2为每个用户VLAN装备一个VLANIF接口，并为互联VLAN装备VLANIF接口；在其他三层设备上为互联VLAN装备VLANIF接口。除此以外，还需求在Switch_1和上Switch_2之间装备静态路由或运转动态路由协议（跨两台以上三层交流机时，主张运转动态路由协议）。

  如图 6 所示，为了通讯的安全性，某公司将访客区、职工区、服务器区别离区分到VLAN10、VLAN20、VLAN30中。公司期望职工、服务器主机、访客均能拜访Internet，但访客不能与职工互通，且只能拜访服务器区的服务器_1。

  在公司中心交流机Switch上装备VLANIF10、VLANIF20、VLANIF30、VLANIF100，并装备到Router的路由后，职工、服务器主机、访客均能拜访Internet，且职工、服务器主机、访客之间可以相互拜访。为了操控访客的拜访，可在Switch上装备流战略，匹配规矩如下：

  ACL规矩1：制止源IP为访客的IP网段，意图IP为职工地点的IP网段。

  ACL规矩2：答应源IP为访客的IP网段，意图IP为服务器_1的IP，制止源IP为访客的IP网段，意图IP为服务器地点的IP网段。

  ACL规矩3：制止源IP为职工的IP网段，意图IP为访客地点的IP网段。

  ACL规矩4：制止源IP为服务器的IP网段，意图IP为访客的地点的IP网段。

  然后在Switch衔接访客区的接口的入、出方向上运用该流战略，即可使访客不能与职工互通，且只能拜访服务器区的服务器_1。

  为降低成本，大都企业内部运用交流机互联，而经过出口路由器与外部ISP网络树立衔接，如图 7所示。

  为了可以拜访外部ISP网络，中心交流机（三层）与出口路由器之间需求三层互通。因为大都三层交流机不支撑路由接口或支撑的路由接口有限，一般经过装备VLANIF接口作为三层接口与出口路由器的三层子接口完成三层互联，然后装备静态路由或运转动态路由协议，完成中心交流机与出口路由器之间的三层互通。