前面我们说到，用户可以根据自己的需要来选择不同的VLAN网段划分方式，但这并不是说用户可以不受限制地提出了网划分需求，还得受到VLAN技术本身所支持的划分方式限制。目前来说，常见的主要有以下五种VLAN网段划分方式，用户只能选择其中的一种。

n         按端口划分

这是一种从OSI/RM物理层角度进行种的VLAN划分方式。它是将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN网段。同一VLAN网段中的计算机属于同一个VLAN组，不同VLAN组之间的用户进行通信需要通过路由器或者三层交换机进行通信。

基于端口的划分方式是最简单也是最常用的。它的优点是配置起来非常方便，而且有许多二层交换机都支持这一技术，所以实现起来成本较低，配置也非常简单。这种划分方式适用于网络环境比较固定的情况。不足之处是不够灵活，当一台计算机需要从一个端口移动到另一个新的端口，而新端口与旧端口不属于同一个VLAN时，要修改端口的VLAN设置，或在用户计算机上重新配置网络地址，这样才能加入到新的VLAN中。否则，这台计算机将无法进行网络通信。

【注意】这种划分方式在第一代VLAN技术中只允许将虚拟网限制在了一台交换机上，而不能分布在几台交换机上。而在第二代VLAN技术中，则突破了这一限制，同一按端口划分的VLAN网段可以分布在多台交换机上。

采用这种划分方式，将属于不同交换机端口的物理网段分在一个VLAN中，通过网络管理软件，根据VLAN标识符将不同的端口分到相应的分组（VLAN）中。在第二代VLAN技术支持下，不同交换机的端口都可划分为同一VLAN网段中，更加灵活，更加实用了。例如同一学院的系办公室、教研室位于不同的楼宇中，连接的是不同的交换机，但仍然可以根据连接的端口将它们定义为同一个VLAN中。 

图8-2所示的是在一个网络中将第一个交换机的2~10号端口和第二台交换机的1~10号端口划分为同一个VLAN网段（在此标记为VLAN1）；而将第一个交换机的11~22号端口和第二个交换机的15~20号端口划分在另一个VLAN网段中（在此标记为VLAN2）的结构。

图8-2  基于端口的VLAN示图

基于端口方式划分VLAN网段虽然简单，但这种方式也有它固有的不足，那就是不允许多个VLAN共享一个物理网段或交换机端口，也就是一个端口只能属于一个VLAN网段中。而且，如果某一个用户从一个端口所在的VLAN移动到另一个端口所在的VLAN，网络管理员需要重新进行配置，管理起来比较麻烦。

n         按MAC地址划分VLAN

这是从OSI/RM数据链路层角度进行的VLAN划分了。每块网卡都有一个惟一的硬件物理地址，那就是MAC地址。MAC地址是连接在网络中的每个设备网卡的物理地址，由IEEE控制，虽然说MAC地址可以在网络中虚拟修改，但在同一网络中仍不允许存在同一MAC地址号的网卡设备，否则最终会只允许一个正常工作，所以无论如何，在同一网络中每个正常工作中的网卡MAC地址都是惟一的。

MAC地址属于数据链路层，以此作为划分VLAN的依据，能很好地独立于网络层上的各种应用。按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网卡上的，所以这种形式的VLAN允许网络用户从一个物理位置移动到另一个物理位置，并且自动保留其所属虚拟网段的成员身份。同时，这种方式独立于网络的高层协议（如TCP/IP，IP，IPX等）。因此，从某种意义上讲，利用MAC地址定义VLAN网段可以看成是一种基于用户的网络划分手段。

用此种方式构成的VLAN实际上就是一些MAC地址的集合，它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站来说，在它们初始化时，相应的交换机要在VLAN的管理信息库中检查MAC地址，从而动态地匹配该端口到相应的VLAN 中。

 这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN，而且只有在完成初始化配置工作后，设备才会实现对用户的自动跟踪。这样在一个拥有大量节点的大型网络中，如果要求管理员将每个用户都一一划分到某一个VLAN，并完成所有初始化配置，其工作量是可想而知的。

n         基于网络层划分VLAN

基于网络层来划分VLAN可以有两种方案：一种基于通信协议（如果网络中存在多协议）来划分；另一种是基于网络层地址（最常见的是TCP/IP中的子网段地址）来划分。

如果如果是基于协议来划分，则VLAN网段可以划分为IP子网、IPX子网、AppleTalk子网或者其他协议VLAN等，当然这通常只有大型网络中才可能存在。在这种划分方式中，同一协议的工作站被划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建-个新的VLAN。由此可看出，这种VLAN划分方式具有非常智能性，不但大大减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。

如果采用基于网络层地址来划分的话，通常是根据用户计算机的IP地址、子网掩码、IPX网络号等来划分的。同样它也具有以上采用网络协议划分VLAN网段的智能性，交换机会自动检查每个设备的IP地址、子网掩码或者IPX网络号，然后自动划分。

以上这种基于网络层来划分VLAN的方式具有以下两个主要优势：首先，网络用户可以在网络内部自由移动而不用重新配置自己的工作站，尤其是使用TCP/IP的用户；其次，这种类型的VLAN网络可以减少由于协议转换而造成的网络延迟。而且同一交换机端口可以被划分到多个VLAN网段中。

当然除了优势以外，同样具有自身的一些不足。与基于MAC地址划分VLAN方式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换，这要消耗交换机设备较多的资源，因此在速度上稍具劣势。

n         基于IP广播组划分

基于这种VLAN划分方式可将任何属于同一IP广播组的计算机划分到同一VLAN。任何一个工作站都有机会成为某一个广播组的成员，只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而，他们的这种成员身分可根据实际需求保留一定的时间。因此，利用IP广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且，在这种方式下，整个网络可以非常方便地通过路由器扩展网络规模。

n         基于策略的VLAN

策略的VLAN是最灵活的VLAN划分方式。这种方式具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络“。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被发现并“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。

采用这种方式，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。

本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第八章