VLAN划分
VLAN划分方式
可以基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN。不同方式的VLAN划分比较如表4-4所示。
划分方式 |
原理 |
优缺点 |
适用场景 |
|---|---|---|---|
基于接口 |
根据交换机的接口来划分VLAN。 网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag。然后数据帧将在指定PVID中传输。 |
优点:定义成员简单。 缺点:成员移动需重新配置VLAN。 |
适用于任何大小但位置比较固定的网络。 |
基于MAC地址 |
根据数据帧的源MAC地址来划分VLAN。 网络管理员预先配置MAC地址和VLAN ID映射关系表,当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
优点:当用户的物理位置发生改变,不需要重新配置VLAN,提高了用户的安全性和接入的灵活性。 缺点:需要预先定义网络中所有成员。 |
适用于位置经常移动但网卡不经常更换的小型网络,如移动PC。 |
基于子网 |
根据数据帧中的源IP地址和子网掩码来划分VLAN。 网络管理员预先配置IP地址和VLAN ID映射关系表,当交换机收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
优点:
缺点:网络中的用户分布需要有规律,且多个用户在同一个网段。 |
适用于对安全需求不高、对移动性和简易管理需求较高的场景中。比如,一台PC配置多个IP地址分别访问不同网段的服务器,以及PC切换IP地址后要求VLAN自动切换等场景。 |
基于协议 |
根据数据帧所属的协议(族)类型及封装格式来划分VLAN。 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
优点:将网络中提供的服务类型与VLAN相绑定,方便管理和维护。 缺点:
|
适用于需要同时运行多协议的网络。 |
基于匹配策略(MAC地址、IP地址、接口) |
根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。 网络管理员预先配置策略,如果收到的是Untagged帧,且匹配配置的策略时,给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
优点:
缺点:针对每一条策略都需要手工配置。 |
适用于需求比较复杂的环境。 |
VLAN划分方式的匹配优先级
如果入方向Untagged帧同时匹配多种划分VLAN的方式,则优先级顺序从高至低依次是:基于匹配策略划分VLAN->基于MAC地址划分VLAN或基于子网划分VLAN->基于协议划分VLAN->基于接口划分VLAN。
如果报文同时匹配了基于MAC地址划分VLAN和基于子网划分VLAN,缺省情况下,优先基于MAC地址划分VLAN。可以通过命令改变基于MAC地址划分VLAN和基于子网划分VLAN的优先级,从而决定优先划分VLAN的方式。
基于接口划分VLAN的优先级最低,但是最常用的VLAN划分方式。
划分VLAN方式的匹配顺序如图4-11所示。
