VLAN可以把網(wǎng)絡(luò)劃分成多個(gè)廣播域，可以有效的控制廣播風(fēng)暴，還可以控制網(wǎng)絡(luò)中不同部門和網(wǎng)段之間的互相訪問。如果您已經(jīng)有了三層交換機(jī)，可以直接在三層交換機(jī)上劃分VLAN，請(qǐng)參閱：多VLAN三層交換機(jī)如何連接WFilter上網(wǎng)行為管理系統(tǒng)？

在沒有三層交換機(jī)的環(huán)境下，您可以直接用WFilter NGF（WSG網(wǎng)關(guān)）來劃分VLAN。支持兩種VLAN的劃分方式：

1. 基于端口的VLAN劃分。每個(gè)端口一個(gè)VLAN接二層交換機(jī)。
   

2. 802.1Q VLAN（單臂路由）。和交換機(jī)的trunk口連接，通過一個(gè)端口實(shí)現(xiàn)多個(gè)VLAN的封裝。

本文將介紹這兩種方式如何配置。

1. 基于端口劃分VLAN

如圖，在“接口設(shè)置”的“未分類”中，點(diǎn)擊網(wǎng)卡右側(cè)的“編輯”圖標(biāo)，選擇“內(nèi)網(wǎng)”的“不同網(wǎng)段”，即可設(shè)置新網(wǎng)段。

對(duì)新網(wǎng)段啟用DHCP服務(wù)（可選）

這樣就可以在該接口上啟用一個(gè)新的網(wǎng)段，把一個(gè)交換機(jī)接在該接口上即可。基于端口的VLAN，對(duì)交換機(jī)設(shè)備沒有要求。其缺陷是只能一個(gè)端口一個(gè)VLAN，需要在NGF設(shè)備上有多個(gè)端口支持。

2. 802.1Q VLAN（單臂路由）

802.1Q VLAN，相對(duì)于基于端口的VLAN而言，對(duì)交換機(jī)的要求較高，配置也相對(duì)比較復(fù)雜。但是可以在一個(gè)接口上實(shí)現(xiàn)多個(gè)VLAN，也是一種重要的VLAN劃分方式。這種模式，也稱為“單臂路由”模式。需要注意幾點(diǎn)：

1. 網(wǎng)關(guān)設(shè)備需要接在交換機(jī)的trunk口。

2. 還需要在交換機(jī)上劃分VLAN。

3. 交換機(jī)連接網(wǎng)關(guān)設(shè)備的接口應(yīng)該是二層trunk口。

以下是WFilter NGF（WSG網(wǎng)關(guān)）的相關(guān)配置，交換機(jī)的配置不再贅述。

首先在“VLAN設(shè)置”中添加對(duì)應(yīng)的VLAN。

然后到“接口設(shè)置”中，編輯新添加的VLAN，設(shè)置IP地址和DHCP服務(wù)。如圖：

以上列出了WFilter NGF（WSG網(wǎng)關(guān)）的兩種VLAN劃分方案。合理的VLAN劃分，可以給局域網(wǎng)的管理帶來極大的好處，建議您根據(jù)您的實(shí)際環(huán)境需要，選擇最適合自己的方案。