access網(wǎng)絡(luò )servicebasic服務(wù)器擴展VLAN的好處在于有效地限制了L2的廣播域。對于有線(xiàn)網(wǎng)絡(luò )，常見(jiàn)的VLAN劃分方法包括基于交換機端口的劃分、基于MAC地址的劃分、基于L3的IP劃分以及基于802.1x的安全憑證劃分等，這方面的資料比較多，支持的產(chǎn)品也很多，應用很成熟。

但對于WLAN，該如何劃分VLAN呢?

WLAN的網(wǎng)絡(luò )結構基本單位是BSS。BSS有兩種形態(tài)：獨立基礎結構(IBSS，也叫自組網(wǎng)Adhoc)和基礎結構 Infrastructure。自組網(wǎng)就是多個(gè)站點(diǎn)自發(fā)組成一個(gè)可以互通的WLAN，而基礎結構模式則以AP為中心，其它站點(diǎn)都先與AP關(guān)聯(lián)，然后才能與 BSS中的其它站點(diǎn)進(jìn)行通信。以下所提到的BSS僅指基礎結構。

Infrastructure是一種整合有線(xiàn)與無(wú)線(xiàn)局域網(wǎng)絡(luò )架構的應用模式，透過(guò)此種架構模式，即可達成網(wǎng)絡(luò )資源的共享，此應用需透過(guò)Access Point。

而Ad-hoc是一種特殊的無(wú)線(xiàn)網(wǎng)絡(luò )應用模式，一群計算機接上無(wú)線(xiàn)網(wǎng)絡(luò )卡，即可相互連接，資源共享，無(wú)需透過(guò)Access Point。

WLAN中的BSS:一種特殊的Ad-hoc LAN的應用，稱(chēng)為Basic Service Set (BSS)，一群計算機設定相同的BSS名稱(chēng)，即可自成一個(gè)group，而此BSS名稱(chēng)，即所謂BSSID。

ESS (Extended Service Set 擴展服務(wù)集合)DS和多個(gè)BSS允許IEEE802.11構成一個(gè)任意大小和復雜的無(wú)線(xiàn)網(wǎng)絡(luò )。IEEE802.11b把這種網(wǎng)絡(luò )稱(chēng)為擴展服務(wù)集網(wǎng)絡(luò )。同樣，ESS也有一個(gè)標識的名稱(chēng)，即ESSID

ESS中兩個(gè)ap之間使用不同頻率信道，怕之間重疊區域要在10%到15%之間。

BSS / ESS

BSS 使用相同身份識別碼( ssid )的一個(gè)單一訪(fǎng)問(wèn)點(diǎn)(single ap) 以及一個(gè)無(wú)線(xiàn)設備群組，組成一個(gè)基本服務(wù)組( basic service set ， bss )。 必須使用相同的 ssid 。使用不同 ssid 的設備彼此之間不能進(jìn)行通信。

ESS 使用相同身份識別碼( ssid )的多個(gè)訪(fǎng)問(wèn)點(diǎn)(multi ap) 以及一個(gè)無(wú)線(xiàn)設備群組，組成一個(gè)擴展服務(wù)組( extended service set ， ess )。 同一 ess 內的不同訪(fǎng)問(wèn)點(diǎn)可以使用不同的信道。實(shí)際上，為了減少干擾，我們強烈推薦相近的訪(fǎng)問(wèn)點(diǎn)之間使用不同的信道。 當無(wú)線(xiàn)設備在 ess 所覆蓋的區域內進(jìn)行實(shí)體移動(dòng)時(shí)，它們將自動(dòng)切換到干擾最小、連接效果最好的訪(fǎng)問(wèn)點(diǎn)。我們把這一功能稱(chēng)為漫游功能。(訪(fǎng)問(wèn)點(diǎn)本身不具備，也不要求具備漫游功能。)

WLAN中的VLAN劃分必須要有AP的支持。每一個(gè)VLAN由一個(gè)VLAN ID來(lái)標示，因此以什么作為VLAN ID的依據，決定了VLAN在哪個(gè)層次劃分。根據VLAN與BSS的關(guān)系，WLAN中的VLAN劃分有幾種情況。

以MAC層依據作為VLAN ID

一個(gè)AP至少可以組建一個(gè)BSS，而且不少實(shí)際的產(chǎn)品還支持同時(shí)虛擬出多個(gè)BSS，每個(gè)BSS擁有不同的BSSID。對于每個(gè)BSS，一些AP產(chǎn)品 還可以同時(shí)支持多個(gè)SSID，不同的SSID共享大部分的BSS配置和Radio接口配置，可以有少部分配置不一樣(比如密鑰)。

1、以SSID或BSSID為劃分依據

一種容易實(shí)現的VLAN劃分方法就是以SSID為劃分依據，每個(gè)SSID對應一個(gè)VLAN ID。這種劃分依據完全來(lái)自于802.11 MAC層的SSID，因此可以完全在A(yíng)P內部實(shí)現。根據AP對多SSID支持情況的不同，具體情況又有所不同。

● AP支持多個(gè)BSS，每個(gè)BSS又支持多個(gè)SSID

這種情況下按照SSID來(lái)劃分VLAN，所有連接到該SSID的站點(diǎn)都屬于同一個(gè)VLAN。每個(gè)SSID提供給STATION的接入端口均為VLAN的Access端口，是不帶tag的端口。

由于一個(gè)BSS內有多個(gè)SSID，因此一個(gè)BSS內就會(huì )有多個(gè)VLAN。由于這些SSID均屬于同一BSS，因此如果位于兩個(gè)VLAN內的STATION要通信，只需要經(jīng)過(guò)AP內部的轉發(fā)橋接即可。

● AP僅支持一個(gè)BSS，每個(gè)BSS支持多SSID

這種情況下按照SSID來(lái)劃分VLAN，跟上面的情況類(lèi)似。

● AP支持多個(gè)BSS，每個(gè)BSS僅支持一個(gè)SSID

這種情況下SSID與BSSID一一對應，因此根據SSID來(lái)劃分VLAN與根據BSSID來(lái)劃分是一樣的。這種情況下屬于同一個(gè)BSS的站點(diǎn)屬于同一個(gè)VLAN，位于兩個(gè)VLAN內的STATION要通信，只需要經(jīng)過(guò)AP內部的轉發(fā)橋接即可也僅僅需要AP內部的轉發(fā)。

● AP僅支持BSS，每個(gè)BSS僅支持一個(gè)SSID

這種情況下如果按照SSID或BSSID來(lái)劃分VLAN，則整個(gè)BSS均屬于同一VLAN。由于不存在多個(gè)VLAN，因此不存在VLAN互通的問(wèn)題。

可見(jiàn)，如果在同一AP內部劃分不同的VLAN，那么這些VLAN間的互通僅需要AP內部的MAC橋接即可實(shí)現，而不需要將數據交到更高層進(jìn)行轉發(fā)或橋接。

2、以MAC地址為劃分依據

這種情況根據STATION的MAC地址在BSS內劃分VLAN。AP根據從STATION發(fā)來(lái)的幀中的源地址決定該STATION所屬的VLAN，從而可以保證同一VLAN的互通和不同VLAN的橋接。

上面的兩種劃分均是以802.11 MAC層的信息作為VLAN ID的劃分依據，因此同一VLAN內部的轉發(fā)和不同VLAN之間的橋接均可在A(yíng)P內部實(shí)現，而不需要分發(fā)。

在上面的兩種情況下，在A(yíng)P內部只需要維護兩張表即可：一張表是VLAN ID與VLAN依據(SSID/BSSID或MAC地址)之間的對應表，另一張表示VLAN ID與VLAN接口之間的對應表。Access端口上的數據收發(fā)情況如下：

進(jìn)入Access端口的數據：可以不帶tag。如果需要分發(fā)到AP外(目的地址不是BSSID且不是任何BSS中的其它站點(diǎn))，則加上tag通過(guò)分發(fā)接口分發(fā);如果不需要分發(fā)到AP外，則有幾種情況：

● DA為BSSID，則由AP接收并處理;

● DA為同一VLAN中的其它STATION，則MAC層轉發(fā);

● DA為不同VLAN，但同一AP中的其它STATION，則執行VLAN之間的橋接協(xié)議。

從Access端口發(fā)出的數據：不帶tag，直接發(fā)到STATION。

這種劃分的缺點(diǎn)僅適合于較小的網(wǎng)絡(luò )，靈活性較差。比如，無(wú)法實(shí)現跨AP的VLAN，也就是連接到不同AP的兩個(gè)STATION無(wú)法劃分到同一個(gè)VLAN。

動(dòng)態(tài)VLAN劃分方式

動(dòng)態(tài)劃分方式并不由AP來(lái)決定VLAN ID，而是由其它更高級的設備來(lái)決定。一種方法是由RADIUS服務(wù)器來(lái)劃分。當一個(gè)STATION與AP關(guān)聯(lián)時(shí)，AP中的RADIUS客戶(hù)端與 RADIUS服務(wù)器進(jìn)行通信，從而得到該STATION所屬的VLAN ID。RADIUS決定STATION服務(wù)器所屬VLAN的依據可以是用戶(hù)名、IP地址等，因此具有很大的靈活性。當用戶(hù)的位置改變后，他所屬的VLAN 仍然不變。

采用動(dòng)態(tài)VLAN方式后，同一個(gè)AP的同一個(gè)SSID中的兩個(gè)STATION可能屬于不同的VLAN，而連接到兩個(gè)不同AP中的STATION卻可 能屬于同一VLAN。因此這種情況下，要實(shí)現同一VLAN中不同STATION之間的互通，需要更高層的轉發(fā)和橋接，可能需要經(jīng)過(guò)位于WDS接口或以太網(wǎng) DS接口等接口之上的VLAN trunk、hybrid端口。