VLAN划分方式设计

VLAN划分方式设计VLAN划分方式包括5种，匹配顺序由高到低依次为：

基于匹配策略划分VLAN->基于MAC地址或基于子网划分VLAN（缺省MAC地址方式优于子网方式，可修改缺省配置使子网方式优于MAC地址方式）->基于协议划分VLAN->基于接口划分VLAN。

其中，最常用的划分方式是基于接口。

VLAN划分方式说明表 VLAN划分方式 适用场景 优点 缺点

基于接口 适用于任何大小但位置比较固定的网络。 定义成员简单。 成员移动需重新配置VLAN。

基于MAC地址 适用于位置经常移动但网卡不经常更换的小型网络，如移动PC。 当终端用户的物理位置发生改变，不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性。 只适用于网卡不经常更换、网络环境较简单的场景中。需要预先定义网络中所有成员。

基于子网 适用于对安全需求不高、对移动性和简易管理需求较高的场景中。 当用户的物理位置发生改变，不需要重新配置VLAN。 可以减少网络通信量，可使广播域跨越多个交换机。

基于协议 适用于需要同时运行多协议的网络。 将网络中提供的服务类型与VLAN相绑定，方便管理和维护。 需要对网络中所有的协议类型和VLAN ID的映射关系表进行初始配置。

基于匹配策略 适用于需求比较复杂的环境。 安全性高，VLAN划分后，用户不能改变IP地址或MAC地址。 网络管理人员可根据自己的管理模式或需求选择划分方式。

进行园区网VLAN划分时，如无特殊需求，推荐基于接口划分VLAN。

管理VLAN和互联VLAN设计二层交换机无法直接创建三层接口，需要创建VLANIF来进行管理，这时需要定义管理VLAN。

通常，二层交换机使用VLANIF接口地址作为管理地址，三层交换机使用Loopback接口地址作为管理地址。

如果网络规模不大，建议所有的二层交换机使用同一管理VLAN，管理IP处于同一网段即可；如果网络规模很大，可为同一网关下的二层交换机分配同一管理VLAN，管理IP处于同一网段。

互联VLAN一般用在两台三层交换机之间或三层交换机与路由器之间，创建VLANIF接口进行三层互联。

如果交换机支持切换接口的二三层模式，建议切换为三层模式来配置互联地址。

如果交换机不支持切换接口的二三层模式，必须使用互联VLAN时，建议互联VLAN和业务VLAN严格区分；每条互联链路分配一个VLAN，且互联物理接口配置为Trunk模式。

VLAN规划原则与建议

一个二层网络规划的基本原则：

区分业务VLAN、管理VLAN和互联VLAN

按照业务区域划分不同的VLAN

同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLAN

VLAN需连续分配，以保证VLAN资源合理利用

预留一定数目VLAN方便后续扩展

VLAN可以根据多种原则组合划分。

按照逻辑区域划分VLAN范围：

例如：

核心网络区：100～199

服务器区：200～999，预留1000～1999

接入网络：2000～3499

业务网络：3500～3999

按照地理区域划分VLAN范围

例如：

接入网络A的地理区域使用2000～2199

接入网络B的地理区域使用2200～2399

按照人员结构划分VLAN范围

例如：

接入网络A地理区域A部门使用2000～2009

接入网络A地理区域B部门使用2010～2019

按照业务功能划分VLAN范围（当采用业务随行之后，VLAN无需与人员身份关联，故可以不再考虑该因素）

例如：

Web服务器区域：200～299

APP服务器区域：300～399

DB服务器区域：400～499