基本VLAN特性配置与管理——2

来源：互联网发布：js 弧线运动编辑：程序博客网时间：2024/05/09 03:20

基于MAC地址划分VLAN

这是一种动态VLAN划分方式。划分思想是把用户计算机网卡上的MAC地址配置与某个VLAN进行关联（是“用户计算机网卡MAC地址”与“VLAN”之间的映射，不考虑用户计算机所连接的交换机端口），这样就可实现无论该用户计算机连接在哪台交换机的二层以太网端口上都将保持所属的VLAN不变。

基于MAC地址划分VLAN可以使无论用户计算机接在哪台交换机，也无论是连接在哪个交换机端口上，对应交换机端口都将成为该用户计算机网卡MAC地址所映射的VLAN成员，而不需要在用户计算机改变所连接的端口时重新划分VLAN。进一步提高终端用户的安全性和接入的灵活性。

基于MAC地址的VLAN划分方式只能在Hybrid交换机端口上进行，不能对其他类型端口上连接的用户计算机采用这种VLAN划分方式。

一、配置基于MAC地址划分VLAN

基于MAC地址划分的VLAN只处理Untagged数据帧，因为这里所介绍的VLAN都是单层VLAN标签（QinQ可以实现双层VLAN标签），只有收到的数据帧中原来没有VLAN标签才可以根据交换机上所配置的MAC地址与VLAN ID映射关系，在数据帧中添加对应的VLAN标签。另外，基于MAC地址划分VLAN仅可在Hybrid端口上进行。这样一来就可使得基于MAC地址划分VLAN主要是针对终端用户设备，而非针对其他网络设备，因为在其他网络设备间连接的端口上发送的数据帧通常都是带有VLAN标签的，即使是Hybrid类型端口。

当交换机Hybrid端口收到的数据帧为Untagged数据帧时，端口会以数据帧的源MAC地址为根据去匹配MAC-VLAN映射表项。如果匹配成功，则在对应的数据帧中添加所匹配到的VLAN ID标签，然后按照对应的VLAN ID和优先级进行转发；如果匹配失败，则按其他匹配原则进行匹配。当交换机端口收到的是Tagged数据帧（仅在设备间连接的端口上才有可能），其处理方式和基于端口的VLAN一样，根据Hybrid类型端口的数据收、发规则进行。

1、基本配置思路

（1）创建要用于与用户主机MAC地址关联的VLAN。

（2）在以上创建的VLAN视图下关联用户MAC地址，建立MAC地址与VLAN的映射表，以确定哪些用户MAC地址可划分到以上创建的VLAN中。

（3）配置各用户连接的交换机二层以太网端口类型为Hybrid，并允许前面创建的基于MAC地址划分的VLAN以不带VLAN标签方式通过当前端口。

（4）（可选）配置VLAN划分方式的优先级，确保优先基于MAC地址划分VLAN。缺省情况下是优先基于MAC地址划分VLAN，但是可通过配置改变优先划分的方式。

（5）在Hybrid交换机端口上（注意，不一定要在连接用户计算机的Hybrid端口上配置）使能基于MAC地址划分VLAN功能，完成基于MAC地址划分VLAN。

2、配置步骤

如果某VLAN配置为MAC VLAN，要删除该VLAN，必须先使用undo mac-vlan mac-address { all | mac-address [mac-address-mask | mac-address-mask-length]}命令删除所有MAC地址与VLAN的关联N。MAC-VLAN与MUX-VLAN冲突，不允许在同一接口上同时配置这两种VLAN，且MAC-VLAN对接收到的VLAN ID为0的数据帧不生效。

示例：配置MAC地址22-33-44与VLAN100关联。

<HUAWEI>system-view

[HUAWEI]vlan 100

[HAUWEI-vlan100]mac-vlan mac-address 22-33-44

示例：配置GE0/0/1端口优先采用基于MAC地址划分VLAN，并使能基于MAC地址的VLAN划分功能。

<HUAWEI>system-view

[HUAWEI]interface gigabitethernet 0/0/1

[HAUWEI-GigabitEthernet0/0/1]vlan precedence mac-vlan

[HAUWEI-GigabitEthernet0/0/1]mac-vlan enable

二、基于MAC地址划分VLAN的配置示例

如上拓扑，每个部门的员工划分到一个VLAN中，现假设在工程部中有PC1、PC2、PC3三个用户，现在要求在该部门中仅这几台PC可以通过SwitchA、Switch访问公司网络，如果换成其他PC则不能访问。则针对工程部的三台PC配置基于MAC地址划分的VLAN10，将它们的MAC地址与VLAN绑定，从而防止非法PC访问公司网络。

1、配置思路

面对这样一个基于MAC地址的VLAN划分，最容易想到的是直接到SwitchA交换机上进行配置。实际通常不是这样配置，更简便的方法，是直接在Switch上启用基于MAC地址的VLAN划分功能。

（1）因为华为交换机所有二层以太网端口缺省都是Hybrid类型，并且发送数据帧时都是不带VLAN标签的。故可以让SwitchA全部采用缺省配置，这样到达Switch交换机的数据帧都是不带VLAN标签的。

（2）然后通过在Switch交换机与SwitchA交换机连接的Eth0/0/1端口上配置不带标签发送特性的Hybrid类型，允许来自VLAN10的数据帧通过，并且启用基于MAC地址划分VLAN功能，就可使得连接在SwitchA上的PC1、PC2、PC3发送的数据帧在到达Switch后自动打上对应的VLAN10标签。

（3）最后将Switch交换机的Eth0/0/2端口配置为带标签的Hybrid类型，并允许VLAN10的数据帧通过即可。

2、配置步骤

SwtichA交换机全部采用缺省配置，只需在Switch交换机上做如下配置：

（1）创建VLAN： [Switch]vlan 10

（2）创建PC的MAC地址与VLAN10关联

[Switch-Vlan10]mac-vlan mac-address 22-22-22

[Switch-Vlan10]mac-vlan mac-address 33-33-33

[Switch-Vlan10]mac-vlan mac-address 44-44-44

[Switch-Vlan10]quit

（3）配置接口加入的VLAN

[Switch]interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1]port hybrid untagged vlan 10

[Switch-GigabitEthernet0/0/1]quit

[Switch]interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2]port hybrid tagged vlan 10 !—指定允许VLAN10数据帧通过，且发送时必须带有VLAN标签。

[Switch-GigabitEthernet0/0/2]quit

（4）在连接SwitchA的Eth0/0/1端口上使能基于MAC地址划分VLAN功能。

[SwitchA]interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1]mac-vlan enable

[SwitchA-GigabitEthernet0/0/1]quit

关于示例的实际配置测试，如下图拓扑：

经过测试，第4步应该是在Switch的GE0/0/1设置。

数据帧在整个链路过程中的变化过程：以PC1为例：

格式说明：DF（DA：PC5，SA：PC1，TG：UT）——DF：Data Frame数据帧，DA：目的地址，SA：源地址，TG：标签标记，UT代表无标签，有标签，则为VLANID。

从PC1到PC5的帧变化过程：

从PC5到PC1的帧变化过程：

如上的拓扑按上述设置后，SwitchA的4台交换机实际是处于一个VLAN的，即默认的VLAN1，他们之间可以互相访问，只是对于Switch来说，PC1~PC3是在VLAN10中，PC7是在默认的VLAN1中。

如下拓扑

如下配置

PC1与PC2基于MAC地址划分VLAN，并且在一个VLAN2中，可以互访，PC4也在VLAN2中，PC1、PC2、PC4都可以互访，PC3不可以访问VLAN2中的设备。

基于MAC的子网划分现在看来最实用的就是第一个配置示例的拓扑，一般在级联的交换机端口上（Switch交换机）启用MAC-VLAN，来过滤哪些主机可以通过，而被级联的交换机（SwitchA）不需要配置，其上的设备之间可以互访。

基于子网划分VLAN

基于子网划分VLAN是基于数据帧中上层（网络层）IP地址或所属IP网段进行的VLAN划分，与“基于协议划分VLAN”统称为“基于网络层划分VLAN”，也属于动态VLAN划分方式。适用于对安全性需求不高，对移动性和简易管理需求较高的场景中。

基于子网VLAN的划分思想是把用户计算机网卡上的IP地址配置与某个VLAN进行关联（是“用户计算机网卡IP地址”与“VLAN”之间的映射，不考虑用户计算机所连接的交换机端口）。基于IP子网划分的VLAN也只处理Untagged数据帧，所以也只能在Hybrid类型端口上进行划分。

一、配置基于IP子网划分VLAN

当设备端口接收到Untagged数据帧时，设备根据数据帧的源IP地址或指定网段来确定数据帧所属的VLAN，并在数据帧中添加对应的VLANID标签，然后自动将数据帧自动划分到指定VLAN中传输。

1、基本配置思路、

（1）创建用于与用户主机IP地址关联的VLAN

（2）在以上创建的VLAN视图下关联用户IP地址，建立IP地址与VLAN的映射表，以确定哪些用户IP地址可划分到以上创建的VLAN中。

（3）配置各用户连接的交换机二层以太网端口类型为Hybrid，并允许前面创建的基于IP地址划分的VLAN以不带标签方式通过当前端口。

（4）（可选）配置VLAN划分方式的优先级，确保优先基于IP地址划分VLAN。

（5）在Hybrid交换机端口上（注意，不一定在连接用户计算机的Hybrid端口上）使能基于IP地址划分VLAN功能，完成基于IP地址划分VLAN。

2、配置步骤

示例：将10.10.10.0/24网段与VLAN3进行关联，采用基于IP子网的方式划分VLAN，使得源IP地址在该网段的报文可以分发到VLAN3中传输。}

<HUAWEI>system-view

[HUAWEI]vlan 3

[HUAWEI-Vlan3]ip-subnet-vlan ip 10.10.10.0 255.255.255.0

示例：配置GE0/0/1端口优先采用基于IP子网的VLAN划分方式，使能基于IP子网划分VLAN的功能。

<HUAWEI>system-view

[HAUWEI]interface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1]vlan precedence ip-subnet-vlan

[HUAWEI-GigabitEthernet0/0/1]ip-subnet-vlan enable

二、基于IP子网划分VLAN配置示例

如上公司拓扑，公司拥有IPTV、VoIP、Internet等多种业务，且使用每种业务的用户IP地址网段各不相同。为便于管理，现需要将同一类型业务划分到同一VLAN中，不同类型业务划分VLAN100、VLAN200和VLAN300。当Switch接收到这些业务数据帧时根据帧中封装的源IP地址网段的不同自动为帧添加对应的VLAN ID标签，最终实现通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。

1、配置思路

仅在Switch上配置，SwitchA保持缺省

（1）创建VLAN，确定每种业务所属的VLAN

（2）关联IP子网和VLAN。

（3）以正确的类型把各端口加入对应的VLAN，实现基于IP子网的VLAN通过当前端口。

（4）配置VLAN划分方式的优先级，确保优先选择基于IP子网划分VLAN。然后使能基于IP子网划分VLAN。

2、配置步骤

（1）位各业务用户创建所需的VLAN，即在Switch上创建VLAN100、200、300

（2）关联IP子网与VLAN，并设置不同优先级（优先级是可选配置）

[HUAWEI]vlan 100

[HAUWEI-Vlan100]ip-subnet-vlan 1 ip 192.168.1.2 24 prority 2

[HUAWEI-Vlan100]quit

[HUAWEI]vlan 200

[HAUWEI-Vlan200]ip-subnet-vlan 1 ip 192.168.2.2 24 prority 3

[HUAWEI-Vlan200]quit

[HUAWEI]vlan 300

[HAUWEI-Vlan300]ip-subnet-vlan 1 ip 192.168.3.2 24 prority 4

[HUAWEI-Vlan300]quit

（3）配置各端口类型及允许加入的VLAN。注意在启用基于IP子网划分VLAN的GE0/0/1端口上要采用Untagged方式的Hybrid类型端口，并允许所有业务的VLAN数据帧通过；其他连接各数据服务器的端口可以是Trunk端口，也可以是Tagged方式的Hybrid类型端口，并仅允许对应的VLAN数据帧通过。