局域网协议-MAC VLAN典型配置举例-D

1、，局域网协议-MAC VLAN典型配置举例MAC VLAN 配置举例MAC VLAN 配置举例关键词：MAC VLAN、802.1X缩略语英文全名中文解释MAC VLANMAC address-based VLAN基于 MAC 地址的 VLAN，一种根据报文的源 MAC 地址来确定untagged 报文所属 VLAN 的划分方法802.1X802.1X802.1X 协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源摘 要：本文介绍了基于 MAC 划分 VLAN（以下简称 MAC VLAN）的典型应用及其配置。缩略语：杭州华三通信技术有限公司第18页，共18页目 录1 特性简介32 使用场合33 注意事项34 静态配置举例44.1 组网需求44.2 使用版本44.3 配置思路44.4 配置步骤54.4.1 Switch

2、A的配置54.4.2 SwitchB的配置64.4.3 Core Switch的配置64.4.4 验证结果75 动态配置举例75.1 组网需求75.2 使用版本85.3 配置思路95.4 配置步骤95.4.1 Host A的配置95.4.2 Host B的配置105.4.3 Host C的配置105.4.4 Switch的配置115.4.5 Device的配置135.4.6 RADIUS server的配置145.4.7 验证结果176 相关资料171 特性简介MAC VLAN 是一种基于 MAC 地址来划分 VLAN 的方式。当端口收到一个 untagged 报文后，设备将以报文的源 MAC 地址为匹配关键字，通过查找 MAC VLAN 表项来获知该终端绑定的 VLAN， 从而实现将指定终端的报文在指定 VLAN 中转发。该方式能够精确、灵活的实现用户终端与VLAN 的绑定。MAC VLAN 表项有两种生成方式：静态配置和动态配置。 静态配置：通过命令行将终端的 MAC 地址和 VLAN 进行绑定，生成一条 MAC VLAN 表项。 动态配置：和基于 MAC 的接入认证方式（比如 M

3、AC 地址认证或者基于 MAC 的 802.1X 认证）联合使用。如果用户发起认证请求，认证服务器会对认证用户名和密码进行验证，如果通过，则会下发 VLAN 信息。此时设备就可根据认证请求报文的源 MAC 地址和下发的VLAN 信息生成 MAC VLAN 表项，并自动将 MAC VLAN 添加到端口允许通过的 untagged VLAN 列表中。用户下线后，设备又自动删除 MAC VLAN 表项，并将 MAC VLAN 从端口允许通过的 VLAN 列表中删除。2 使用场合移动或者无线接入的组网环境中，用户接入 VLAN 固定，但是接入端口不固定。要求用户使用接入设备的任何端口接入网络时，均能划分到同一 VLAN。3 注意事项 MAC VLAN 只能在 Hybrid 端口使能，所以在使能 MAC VLAN 前，请将端口的链路类型配置为 hybrid。 MAC VLAN 有静态配置和动态配置两种方式，但是同一 MAC 地址只能绑定一个 VLAN。因此，如果已进行了静态配置，而动态下发的绑定关系与静态配置不一致，则动态下发失败， 用户不能通过认证；反之，如果动态下发已生效，而静态配置与动态下

4、发的不一致，则静态配置失败。 采用动态方式配置 MAC VLAN 时需要基于 MAC 地址的 AAA 远程认证的配合，网络中需要部署 AAA 认证服务器，服务器必须能够下发 VLAN。 MAC VLAN 的配置会影响聚合成员端口的选中状态，所以，建议不要在聚合成员端口上配置MAC VLAN 功能。4 静态配置举例4.1 组网需求 如 图 1所示，SwitchA和SwitchB的GigabitEthernet1/1 端口分别连接到两个会议室，Laptop1 和Laptop2 是会议用笔记本电脑，会在两个会议室间移动使用。 Laptop1 属于部门 1，Laptop2 属于部门 2。两个部门间使用 VLAN 100 和 VLAN 200 进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1 和 Server2。 Laptop1 和 Laptop2 的 MAC 地址分别为 000d-88f8-4e71、0014-222c-aa69。图1 MAC VLAN 静态配置组网图VLAN 100Server1 IP: 1.1.1.1/24VLAN 200S

5、erver2 IP: 1.1.2.1/24GE1/13GE1/14GE1/3Core switchGE1/4GE1/2GE1/2SwitchAGE1/1SwitchBGE1/1VLAN 100VLAN 200Laptop1 IP: 1.1.1.2/24MAC: 000d-88f8-4e71Laptop2 IP: 1.1.2.2/24MAC: 0014-222c-aa694.2 使用版本本举例是在 COMWAREV500R002B74D001 版本上进行配置和验证的。4.3 配置思路 两台终端使用同一端口接入公司网络，但是需要划分到不同 VLAN。所以本案例基于 MAC来划分 VLAN，而不能基于端口来划分 VLAN。 因为本案例中只有两个接入终端，而且终端的 MAC 地址已知，接入时不需要认证，所以采用静态配置的方式来划分 MAC VLAN。4.4 配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。4.4.1 SwitchA 的配置1. 配置步骤# 创建 VLAN

6、 100 和 VLAN 200。 system-view SwitchA vlan 100 SwitchA-vlan100 quit SwitchA vlan 200 SwitchA-vlan200 quit# 创建 Laptop1 的 MAC 地址与 VLAN 100 的关联，创建 Laptop2 的 MAC 地址与 VLAN 200 的关联。SwitchA mac-vlan mac-address 000d-88f8-4e71 vlan 100 SwitchA mac-vlan mac-address 0014-222c-aa69 vlan 200# 配置终端的接入端口： Laptop1 和 Laptop2 均可能从 GigabitEthernet1/1 接入，将GigabitEthernet1/1 的端口类型配置为 Hybrid，并使其在发送 VLAN 100 和 VLAN 200 的报文时去掉 VLAN Tag；开启 GigabitEthernet1/1 端口的 MAC-VLAN 功能。SwitchA interface GigabitEthernet 1/1SwitchA-G

7、igabitEthernet1/1 port link-type hybrid SwitchA-GigabitEthernet1/1 mac-vlan trigger enable SwitchA-GigabitEthernet1/1 mac-vlan enable SwitchA-GigabitEthernet1/1 quit# 为了终端能够访问 Server1 和 Server2，需要将上行端口 GigabitEthernet1/2 的端口类型配置为Trunk，并允许 VLAN 100 和 VLAN 200 的报文通过。SwitchA interface GigabitEthernet1/2SwitchA-GigabitEthernet1/2 port link-type trunkSwitchA-GigabitEthernet1/2 port trunk permit vlan 100 200 SwitchA-GigabitEthernet1/2 quit2. 配置文件#mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0

8、 mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0#vlan 100#vlan 200 #interface GigabitEthernet1/1 port link-mode bridgeport link-type hybrid mac-vlan enablemac-vlan trigger enable #interface GigabitEthernet1/2 port link-mode bridgeport link-type trunkport trunk permit vlan 1 100 2004.4.2 SwitchB 的配置SwitchB 的配置与 SwitchA 完全一致，这里不再赘述。4.4.3 Core Switch 的配置1. 配置步骤# 创建 VLAN 100 和 VLAN 200，并将 GigabitEthernet1/13 加入 VLAN 100，GigabitEthernet1/14加入 VLAN 200。 system-view CoreSwitch vlan 100CoreSwitch-vlan100 port gigabitethernet 1/13 CoreSwitch-vlan100 quitCoreSwitch vlan 200CoreSwitch-vlan200 port gigabitethernet 1/14 CoreSwitch-vlan200 quit# 配置 GigabitEthernet1/3 和 GigabitEthernet1/4 端口为 Trunk 端口，均允许 VLAN 100 和 VLAN 200 的报文通过。CoreSwitch interface gigabitethernet 1/3 CoreSwitch-GigabitEthernet1/3 port link-type trunkCoreSwitch-GigabitEthernet1/3 port trunk permit vlan 100 200 CoreSwitch-GigabitEthernet1/3 quitCoreSwitch interface gigabitethernet 1/4 CoreSwitch-GigabitEthernet1/4 port lin

《局域网协议-MAC VLAN典型配置举例-D》由会员I***分享，可在线阅读，更多相关《局域网协议-MAC VLAN典型配置举例-D》请在金锄头文库上搜索。