仔细的回想了一下这些年读的资料，包括实体书、官方网站手册等等，应该是没有见到过“user based vlan”这个概念，怕自己记忆有误，又去网站上核实了一下 S1720, S2700, S5700, S6720 V200R012C00 配置指南-以太网交换H3C S5560S-EI&S5130S-HI[EI]&S5110V2&S3100V3-EI配置指导-R611x系列-6W103_二层技术-以太网交换配置指导_VLAN配置-新华三集团-H3C国内两家 华为提到vlan划分依据，是端口、MAC、子网、协议四个 H3C提到划分依据，是端口、MAC、协议三个 另外vlan划分的方式，有静态划分和动态下发两种 思科的资料懒得翻了，但是确认我读过的NA和NP的交换的培训资料里面，是没有user based vlan类似的概念的 然后百度翻阅了六七页资料 反反复复就那两篇文章提到user based vlan，但是讲到user based vlan时都是语焉不详 小白都能看明白的VLAN原理解释（超详细） - cwm_meng的专栏 - CSDN博客在bing国际版搜索的时候，搜索到论坛上一些相关的讨论以及思科的一篇资料 Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controller Configuration Example 这样就清楚了：user based vlan，应该就是基于mac的vlan与动态下发vlan的结合 恰巧在项目上做过类似的案例 回到这个问题上来，就是：交换机根本不去识别用户，识别用户的工作交给radius服务器或者其他AAA服务器来做 过程是这样： 接入设备向交换机发起认证，向交换机提交了用户名和口令 交换机接收到用户名和口令，转交给AAA服务器（二层交换机有管理地址，可以配置管理路由，以此与AAA服务器通讯） AAA服务器验证接入设备提交的用户名和口令是否正确（认证，Authentication,AAA服务器的第一个A） 在确认了用户名和口令无误后，AAA服务器找出该用户名关联的准入策略，其中就有该用户关联的vlan（授权，Authorization，AAA服务器的第二个A） AAA服务器将认证与授权信息反馈给交换机 交换机根据认证与授权信息生成一条动态的基于MAC划分VLAN的记录，将接入设备的流量转发到指定的vlan