企业网络运维应该基于逻辑划分vlan还是应该基于物理位置划分vlan？

笔者认为目前在大中型园区网络中采用基于物理位置的vlan划分更合理：

一、从网络运维的角度分析

基于逻辑的vlan划分会造成ip地址资源分配不均匀的情况，也就是说，某些vlan下终端数量较多，某些vlan下终端数量少。这种基于逻辑的分配方式也会占用大量的子网资源，例如500个人分为50个部门，给每个部门创建一个vlan就需要50个子网，每个子网下50个终端，会造成ip地址资源的浪费，vlan数量也较大 。对企业ip地址规划造成负面影响。（此处不考虑vlsm，因为人员流动的不确定性，在企业网络运维中不太可能细化网络划分。）

基于逻辑的vlan划分在出现网络故障时，可以定位到故障发生的处室，个人认为这是没什么意义的，因为一个处室的人可能处于整个园区网的各个物理位置，依旧很难缩小故障域。运维人员需要到各个楼层、各个子项进行排错和测试，降低了故障处理的效率。而采用物理位置去划分vlan，可以迅速定位故障发生的子项、楼层。立即到现场进行处理。

二、从信息安全的角度分析

长期以来，基于逻辑划分vlan的一个最重要的目的是方便信息安全的访问控制策略的下发，但从目前企业对于信息安全产品的投入来说，这个安全控制的思想和思路是落伍的。在有准入控制、上网行为管理等丰富安全产品的今天，我们可以通过这些更先进的工具做到更细致、更精细化、颗粒度更高的安全管控，从而替换沉重的、死板的、不灵活的基于vlan的网络安全策略。

还有一个重要的理由是，基于逻辑划分的vlan准确性不高，任何人员变动或办公室调整都会造成偏差，而且目前没有一整套可靠的流程去应对这种变动，就算有，这也是一件长期的工作量巨大的变更工作。这种不准确性对于用户即插即用式的网络体验不会有任何感知和区别，对于网络运维也影响不大，但对于信息安全这种百密不能有一疏的工作来说，本来确信以为生效的策略，实际上因为这种“漏洞”达不到应有的管控效果，甚至可能因此造成严重的信息安全事件，后果不堪设想。

以上是本人的浅见，欢迎大家交流、沟通！