详解交换机VLAN划分的几种实现方式

VLAN即Virtual Local Area Network，虚拟局域网，是计算机网络中一个很重要和很强大的功能，通过VLAN能够在逻辑上把一个广播域划分成多个广播域，一个广播域对应了一个特定的用户组，已满足不同部门、群组用户上网需求。相比传统的局域网技术，VLAN技术有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN在交换机上的实现方法，可以大致分为静态VLAN和动态VLAN两种，其中动态VLAN又可以继续细分成几个小类。下表总结了静态VLAN和动态VLAN的相关信息。

1. 基于端口划分的VLAN

这是最常应用的一种VLAN划分方法，应用也较为广泛、较有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

对于不同部门需要互访时，可通过路由器或者三层交换机实现转发。

从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

2. 基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个VLAN，这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

假定有一个MAC地址“A”被交换机设定为属于VLAN “10”，那么不论MAC地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN 10中去。计算机A连在端口1时，端口1属于VLAN 10；而计算机A连在端口2时，则是端口2属于VLAN 10。

由这种划分的机制可以看出，这种VLAN的划分方法的优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户MAC，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网或者针对安全性要求比较高的部分终端。

3. 基于IP地址/网段划分VLAN

基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。

因此，与基于MAC地址的VLAN相比，能够更为简便地改变网络结构。IP地址是OSI参照模型中第三层的信息，所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。

4.基于计算机用户的VLAN

基于计算机用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。

5.扩展阅读1：Voice VLAN

Voice VLAN是为用户的语音数据流划分的VLAN。用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN，可以使语音数据集中在Voice VLAN中进行传输，便于对语音流进行有针对性的 QoS（Quality of Service，服务质量）配置，提高语音流量的传输优先级，保证通话质量。

6.扩展阅读2：GUEST  VLAN

GUEST VLAN，是指用户在802.1x 认证前属于缺省VLAN（即Guest VLAN），用户访问该VLAN 内的资源不需要认证，只能访问有限的网络资源，但此时不能够访问其他网络资源 。这个VLAN就是GUEST VLAN。

当802.1x认证通过后重新划分到正式的VLAN中，通常用在校园网或者是企业网中。

7.扩展阅读3：QinQ技术

QinQ也称StackedVLAN 或Double VLAN。

QinQ是在802.1q协议标签前再次封装802.1q协议标签，其中一层标识用户系统网络，一层标识网络运营网络，将其扩展实现用户线路标识。运营商VLAN标记在IPDSLAM网络侧插入，在用户侧删除。BAS通过识别用户的第二个VLAN确定用户线路标识。

QinQ 允许运营商为每个用户分配最大到4K的第二个VLAN ID，很好地解决了VLAN（最大4k） 数量不足问题。