一、基于接口划分VLAN:基于接口的VLAN划分依赖于交换机的接口类型,常见的接口类型分为三类:
1、Access接口。Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同VLAN成员时使用。
2、Trunk接口。Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。
3、Hybrid接口。Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。
二、基于MAC地址划分VLAN,基于MAC地址划分VLAN划分原则:
交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。当交换机接收到计算机发送的Untagged帧时,交换机将分析帧中的源MAC地址,然后查询MAC地址与VLAN ID的对应表,并根据对应关系把这个帧划分到相应的VLAN中。
特点:这种划分实现稍微复杂,但灵活性得到了提高。当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属不会发生变化(因为计算机的MAC地址没有变)。但这种类型的VLAN划分安全性不是很高,因为恶意计算机很容易伪造MAC地址。
三、基于IP子网划分VLAN
基于子网划分的VLAN是基于网络层划分的VLAN的一员,通过这样划分的VLAN可以减少人工工作量,保证用户可以自由增加、延迟和修改工作量。基于子网划分的VLAN,满足于标准低的安全要求、流动性和简单的管理方面的要求。VLAN基于ip网络,只处理非分类(untagged)的报文,而处理方式基于接口的VLAN也一样。当设备界面接收不带标签的报文时,设备将根据报文的源地址或指定的网络段,自动将报文导入指定的VLAN进行传输。
四、基于协议划分的VLAN
基于协议划分的VLAN,顾名思义,划分思想是把主机运行的协议与vlan进行绑定,当检测到匹配的协议报文则按照该协议号与配置协议VLAN传输。PS:基于协议划分vlan只处理不带标签的数据帧,同样只能在混合端口上进行配置。
五、基于策略划分VLAN
基于策略划分VLAN是根据多种方式组合形成的一种策略进行VLAN的划分,可以为终端用户提供安全的数据隔离。例如,我们可以用基于MAC地址+IP地址的组合策略,也可以用基于MAC地址+IP地址+接口组合策略。
交换机如何划分vlan?
1、基于端口划分。为了方便配置完成进行测试,将四台PC配置相同的网段192.168.100.0/24。(在企业中,一般来说把PC1和PC2配置成相同的网段,PC3和PC4配置成相同的网段,这里把四台PC配成相同的网段可以更直接的理解VLAN划分的意义。即允许PC1和PC2互通,禁止PC1和PC3/4互通)配置完IP地址后,接下来配置两台交换机,两台交换机的配置基本一致。
2、基于MAC地址划分
此方法,在本人实际工作中暂时还没有接触到。一般是在一个公司的网络中,需要将同一个部门的员工划分到同一个VLAN,从而提高部门内部的通信信息安全性,只用这个部门的内部员工才可以访问公司的网络。PC1、PC2为vlan10,其余依次为vlan20、vlan30,IP地址为192.168.1.1至192.168.1.6。在配置过程中,需要注意的地方有:VLAN标签的剥离和封装、交换机之间的端口放行对应的VLAN。