VLAN基础详解（三）

 VLAN 的访问链接交换机的端口交换机的端口，可以分为以下两种：l 访问链接（Access Link）l

汇聚链接（Trunk Link）访问链接访问链接，指的是“只属于一个 VLAN，且仅向该 VLAN
转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。通常设置 VLAN 的顺序是：l 生成 VLANSwitch(config)#vlan vlan-idSwitch(config-vlan)#name vlan-namel
设定访问链接（决定各端口属于哪一个 VLAN）可以同时将多个端口添加到某个VLAN中：Switch(config)# interface
range f0/1 – 10Switch(config-if-range)# switchport access vlan
vlan-id设定访问链接的手法，可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态 VLAN”、后者自然就是“动态
VLAN”了。静态 VLAN静态 VLAN 又被称为基于端口的 VLAN（Port Based
VLAN）。顾名思义，就是明确指定各端口属于哪个 VLAN 的设定方法.图1：

由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属
VLAN的设定——这显然不适合那些需要频繁改变拓补结构的网络。动态 VLAN另一方面，动态 VLAN
则是根据每个端口所连的计算机，随时改变端口所属的 VLAN。这就可以避免上述的更改设定之类的操作。动态 VLAN 可以大致分为 3 类：l 基于
MAC 地址的 VLAN（MAC Based VLAN）l 基于子网的 VLAN（Subnet Based VLAN）l 基于用户的
VLAN（User Based VLAN）其间的差异，主要在于根据 OSI 参照模型哪一层的信息决定端口所属的 VLAN。基于 MAC
地址的 VLAN，就是通过查询并记录端口所连计算机上网卡的 MAC 地址来决定端口的所属。假定有一个 MAC 地址“A”被交换机设定为属于
VLAN“10”，那么不论 MAC 地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到 VLAN10 中去。计算机连在端口 1时，端口 1 属于 VLAN10；而计算机连在端口 2 时，则是端口 2 属于 VLAN10。

由于是基于 MAC 地址决定所属 VLAN 的，因此可以理解为这是一种在 OSI 的第二层设定访问链接的办法。但是，基于 MAC 地址的
VLAN，在设定时必须调查所连接的所有计算机的 MAC
地址并加以登录。而且如果计算机交换了网卡，还是需要更改设定。[只是这种情况一般在办公用网卡坏的还是比较少的，但不排除大面积要淘汰的机器]基于子网的
VLAN，则是通过所连计算机的 IP 地址，来决定端口所属 VLAN 的。不像基于 MAC地址的 VLAN，即使计算机因为交换了网卡或是其他原因导致
MAC 地址改变，只要它的 IP 地址不变，就仍可以加入原先设定的 VLAN。图3：

因此，与基于 MAC 地址的 VLAN 相比，能够更为简便地改变网络结构。IP 地址是 OSI 参照模型中第三层的信息，所以我们可以理解为基于子网的
VLAN 是一种在 OSI 的第三层设定访问链接的方法。基于用户的
VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个
VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是 Windows 域中使用的用户名。这些用户名信息，属于 OSI
第四层以上的信息。总的来说，决定端口所属 VLAN 时利用的信息在 OSI
中的层面越高，就越适于构建灵活多变的网络。综上所述，设定访问链接的手法有静态 VLAN 和动态 VLAN 两种，其中动态 VLAN
又可以继续细分成几个小类。其中基于子网的 VLAN 和基于用户的 VLAN
有可能是网络设备厂商使用独有的协议实现的，不同厂商的设备之间互联有可能出现兼容性问题；因此在选择交换机时，一定要注意事先确认。目前思科交换机之支持，基于静态的VLAN划分，默认不支持下面动态的VLAN划分，可以基于dot1x的方式来做。而华为
H3C则支持下表总结了静态 VLAN 和动态 VLAN 的相关信息图4：