虚拟网络 (VLAN) 通过划分网络来提高性能、安全性和流量管理。它们有助于 隔离设备和用户，降低未经授权访问的风险，并限制网络内潜在威胁的传播。本指南涵盖了使用 UniFi 和第三方网关创建 VLAN 及设备分配的方法。

创建 VLAN

UniFi 允许在 UniFi 网关 和 第三方网关 上创建 VLAN，对于较小的站点，可以使用 VLAN Magic 作为替代方案。

UniFi 网关上的 VLAN

这是 UniFi 部署的默认 VLAN 创建方法。

默认情况下，在 UniFi 网关上创建的 VLAN 不会自动将设备分配给 VLAN。有关分配选项，请参阅下一节。

如果使用第三方网关，必须先在网关上创建 VLAN，然后才能在 UniFi 中识别。

大多数第三方网关 默认禁止 VLAN 间通信。如果需要，请在 第三方网关上配置 VLAN 路由和防火墙规则。

VLAN Magic 通过 MAC 地址 直接一次性分配 VLAN，从而简化了 VLAN 的创建。

以下交换机下游不支持 VLAN Magic：

VLAN 划分网络以提高安全性、优化流量并简化管理。UniFi 根据网络需求提供静态和动态 VLAN 分配方法。

要设置 VLAN，请参考我们的创建虚拟网络指南。以下是按复杂程度和用例分类的 VLAN 分配方法。

这些方法根据 SSID 或交换机端口分配 VLAN，确保设备保持在固定的 VLAN 上，无需身份验证。

将 VLAN 分配给 WiFi SSID

每个 SSID 都可以 映射到单个 VLAN，确保所有连接的设备都保持在指定的 VLAN 内。为了获得更大的灵活性，PPSK (Per-Password VLAN) 允许在同一个 SSID 上使用多个 VLAN，所使用的 密码决定了 VLAN 分配。

此方法最适合需要基本无线细分而无需复杂身份验证的环境。在此处了解更多信息。

将 VLAN 分配给有线客户端

VLAN 可以 直接分配给交换机端口，确保连接到特定端口的任何设备都放置在指定的 VLAN 中。此方法非常适合固定位置的有线设备，例如需要一致 VLAN 分配的服务器、打印机或工作站。在此处了解更多信息。

动态 VLAN 分配通过使用身份验证机制，根据用户凭据或设备属性分配 VLAN，从而提供更大的灵活性。

这些方法最适合用户或设备可能在接入点或交换机端口之间移动，但仍需要保留特定 VLAN 分配的网络。

基于用户名和密码的 VLAN 分配

RADIUS 身份验证 (802.1X) 允许 根据用户凭据分配 VLAN。当用户登录时，RADIUS 服务器决定他们应该被放置在哪个 VLAN 中。

这种方法非常适合根据 角色需要不同 VLAN 访问权限的组织，例如将财务人员放置在“财务 VLAN”中。在此处了解更多信息。

通过 RADIUS 进行基于 MAC 的 VLAN 分配

除了用户凭据外，还可以 根据设备的 MAC 地址分配 VLAN。此方法可确保特定设备始终连接到同一个 VLAN，即使在不同的接入点、交换机端口或用户之间移动也是如此。这对于 IoT 设备、安防摄像头或任何必须保留一致 VLAN 分配的客户端非常有用。在此处了解更多信息。

这需要 UniFi 网关，是基于 MAC 地址分配 VLAN 的最常用方法。

通过虚拟网络覆盖进行基于 MAC 的 VLAN 分配

UniFi 网关支持虚拟网络覆盖 (VNO)，它在网关级别根据设备的 MAC 地址动态分配 VLAN。此方法简化了 VLAN 细分，无需在交换机或接入点上进行配置。

这同样需要 UniFi 网关，是一种简化的基于 MAC 地址分配 VLAN 的方法，适用于不支持 WPA3 Enterprise 的情况，或者作为 PPSK 的替代方案（PPSK 在 6 GHz 网络上不可用）。

VLAN 增强了 网络细分、安全性和流量管理。了解如何应用这些原则可确保您充分利用 VLAN 设置：