為了避免用戶之間的相互影響，可以通過網絡中匯聚層和接入層交換機的VLAN劃分，實現不同用戶、不同應用之間的二層隔離。

VLAN的細分可以實現不同的用戶與業務之間的邏輯隔離，便于實現細粒度的流量管理、控制功能，同時也避免了用戶、業務之間的相互影響，如ARP欺騙等問題。

在選擇控制的細粒度時，在網絡的接入層面，用戶/業務之間的隔離需要通過VLAN來實現。這要求網絡中的二層設備能夠支持標準的802.1Q VLAN，將不同用戶的VLAN通過TRUNK的方式上聯。這種方式下，需要考慮的是接入交換機的以下幾個功能：

l VLAN功能的支持

l  支持的可劃分的VLAN數量

l VLAN ID的范圍

目前對于主流的接入交換機而言，都能夠支持標準的802.1Q的VLAN功能，并且都能夠支持1K以上的VLAN數量支持，很多交換機可以支持到4K的VLAN數量，VLAN ID范圍為1-4K。

采用802.1Q VLAN實現用戶隔離時，隨著用戶數量進一步增加，匯聚交換機4K VLAN也不能滿足時，可以通過QinQ的方式實現VLAN數量的有效擴展。

采用QinQ方式時，需要匯聚層交換機的支持。即接入層交換機為隔離不同的用戶/應用打上一層標簽，而接入層的上聯的匯聚層交換機則為不同的接入交換機再打上一層外層標簽，用于識別不同的接入層交換機，從而形成2個VLAN標簽4K x 4K的VLAN支持。

在采用這種方式時，一方面需要匯聚交換機支持QinQ的功能，還需要核心路由器同時提供QinQ的終結和控制功能，從而大大提高了對密集用戶的隔離和接入控制的支持。

另外，由于采用了雙層標簽來標識信息點或用戶，邊緣交換機的配置可以完全一致，如均為1-24，這一點非常有利于網絡今后的故障分析和維護，且有利于減少大量接入層設備的配置工作量。

在扁平化網絡架構中，用戶和服務器都是終結在核心的業務控制層面上，實現統一的地址規劃管理和控制。如下圖所示，服務器和客戶端均需要通過核心路由器實現三層的終結和相應的控制。客戶端訪問服務器的流量將經過核心路由器。這種方式帶來的優勢是控制層面集中，對用戶和網絡中流量的控制能力更強，管理維護更加簡化。

這種方式相應的要求是核心設備的處理能力要足夠強，并能夠提供大量用戶的并發終結。同時要求提供所有端口的全線速轉發，從而不會導致網絡性能的下降。

另外這種方式下，對于終結在同一臺核心路由器上的客戶端和服務器的互訪流量對匯聚到核心之間的帶寬占用也有所增加。由于整個校園網匯聚和核心之間都采用了萬兆的互聯，因此這部分帶寬的占用也基本對網絡整體的帶寬不會產生影響。此外，這種方式下，用戶之間的互訪，如文件共享或打印機共享，均可以通過三層方式實現，即基于IP地址的共享來實現。

當采用扁平化的網絡架構方案時，無線的部署可以和有線網絡一樣，都只是提供一個校園網的接入通道，所有的控制功能均由校園網的業務控制層面實現，從而實現真正意義上的有線無線一體化校園網。

和交換機等有線網絡設備一樣，無線AP僅是提供了一個無線的二層通道，這類似于交換機提供的有線二層通道。在無線二層通道上可以支持IPoE/L2TP報文，能夠提供DHCP接入，L2TP認證等機制，從而簡化了無線網絡設備的成本和管理維護需求。

在網絡核心的業務控制層設備上，可以實現在用戶通過WLAN實現接入時，向radius系統發送相應的屬性信息，實現對用戶無線接入的識別，并進行相應的控制或計費策略。