MAC_VLAN典型配置举例

1、MAC VLAN典型配置举例MAC VLAN配置举例关键词：MAC VLAN、802.1X摘 要：本文介绍了基于MAC划分VLAN（以下简称MAC VLAN）的典型应用及其配置。缩略语：缩略语英文全名中文解释MAC VLANMAC address-based VLAN基于MAC地址的VLAN，一种根据报文的源MAC地址来确定untagged报文所属VLAN的划分方法802.1X802.1X802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用

2、户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源目 录1 特性简介. 32 使用场合. 33 注意事项. 34 静态配置举例. 44.1 组网需求. 44.2 使用版本. 44.3 配置思路. 44.4 配置步骤. 54.4.1 SwitchA的配置. 54.4.2 SwitchB的配置. 64.4.3 Core Switch的配置. 64.4.4 验证结果. 75 动态配置举例. 75.1 组网需求. 75.2 使用版本. 85.3 配置思路. 95.4 配置步骤. 95.4.1 Host A的配置. 95.4.

3、2 Host B的配置. 105.4.3 Host C的配置. 105.4.4 Switch的配置. 115.4.5 Device的配置. 135.4.6 RADIUS server的配置. 145.4.7 验证结果. 176 相关资料. 171 特性简介MAC VLAN是一种基于MAC地址来划分VLAN的方式。当端口收到一个untagged报文后，设备将以报文的源MAC地址为匹配关键字，通过查找MAC VLAN表项来获知该终端绑定的VLAN，从而实现将指定终端的报文在指定VLAN中转发。该方式能够精确、灵活的实现用户终端与VLAN的绑定。MAC VLAN表项有两种生成方式：静态配置和动态配置

4、。l 静态配置：通过命令行将终端的MAC地址和VLAN进行绑定，生成一条MAC VLAN表项。l 动态配置：和基于MAC的接入认证方式（比如MAC地址认证或者基于MAC的802.1X认证）联合使用。如果用户发起认证请求，认证服务器会对认证用户名和密码进行验证，如果通过，则会下发VLAN信息。此时设备就可根据认证请求报文的源MAC地址和下发的VLAN信息生成MAC VLAN表项，并自动将MAC VLAN添加到端口允许通过的untagged VLAN列表中。用户下线后，设备又自动删除MAC VLAN表项，并将MAC VLAN从端口允许通过的VLAN列表中删除。2 使用场合移动或者无线接入的组网环境

5、中，用户接入VLAN固定，但是接入端口不固定。要求用户使用接入设备的任何端口接入网络时，均能划分到同一VLAN。3 注意事项l MAC VLAN只能在Hybrid端口使能，所以在使能MAC VLAN前，请将端口的链路类型配置为hybrid。l MAC VLAN有静态配置和动态配置两种方式，但是同一MAC地址只能绑定一个VLAN。因此，如果已进行了静态配置，而动态下发的绑定关系与静态配置不一致，则动态下发失败，用户不能通过认证；反之，如果动态下发已生效，而静态配置与动态下发的不一致，则静态配置失败。l 采用动态方式配置MAC VLAN时需要基于MAC地址的AAA远程认证的配合，网络中需要部署AA

6、A认证服务器，服务器必须能够下发VLAN。l MAC VLAN的配置会影响聚合成员端口的选中状态，所以，建议不要在聚合成员端口上配置MAC VLAN功能。4 静态配置举例4.1 组网需求l 如图1所示，SwitchA和SwitchB的GigabitEthernet1/1端口分别连接到两个会议室，Laptop1和Laptop2是会议用笔记本电脑，会在两个会议室间移动使用。l Laptop1属于部门1，Laptop2属于部门2。两个部门间使用VLAN 100和VLAN 200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1和Server2。l La

7、ptop1和Laptop2的MAC地址分别为000d-88f8-4e71、0014-222c-aa69。图1 MAC VLAN静态配置组网图4.2 使用版本本举例是在COMWAREV500R002B74D001版本上进行配置和验证的。4.3 配置思路l 两台终端使用同一端口接入公司网络，但是需要划分到不同VLAN。所以本案例基于MAC来划分VLAN，而不能基于端口来划分VLAN。l 因为本案例中只有两个接入终端，而且终端的MAC地址已知，接入时不需要认证，所以采用静态配置的方式来划分MAC VLAN。4.4 配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的

8、缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。4.4.1 SwitchA的配置1. 配置步骤# 创建VLAN 100和VLAN 200。 system-viewSwitchA vlan 100SwitchA-vlan100 quitSwitchA vlan 200SwitchA-vlan200 quit# 创建Laptop1的MAC地址与VLAN 100的关联，创建Laptop2的MAC地址与VLAN 200的关联。SwitchA mac-vlan mac-address 000d-88f8-4e71 vlan 100SwitchA mac-vlan

9、mac-address 0014-222c-aa69 vlan 200# 配置终端的接入端口：Laptop1和Laptop2均可能从GigabitEthernet1/1接入，将GigabitEthernet1/1的端口类型配置为Hybrid，并使其在发送VLAN 100和VLAN 200的报文时去掉VLAN Tag；开启GigabitEthernet1/1端口的MAC-VLAN功能。SwitchA interface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1 port link-type hybridSwitchA-GigabitEtherne

10、t1/1 mac-vlan trigger enableSwitchA-GigabitEthernet1/1 mac-vlan enableSwitchA-GigabitEthernet1/1 quit# 为了终端能够访问Server1和Server2，需要将上行端口GigabitEthernet1/2的端口类型配置为Trunk，并允许VLAN 100和VLAN 200的报文通过。SwitchA interface GigabitEthernet1/2SwitchA-GigabitEthernet1/2 port link-type trunkSwitchA-GigabitEthernet1/

11、2 port trunk permit vlan 100 200SwitchA-GigabitEthernet1/2 quit2. 配置文件#mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0#vlan 100#vlan 200#interface GigabitEthernet1/1port link-mode bridgeport link-type hybridmac-vlan enablemac-vlan trigge

12、r enable#interface GigabitEthernet1/2port link-mode bridgeport link-type trunkport trunk permit vlan 1 100 2004.4.2 SwitchB的配置SwitchB的配置与SwitchA完全一致，这里不再赘述。4.4.3 Core Switch的配置1. 配置步骤# 创建VLAN 100和VLAN 200，并将GigabitEthernet1/13加入VLAN 100，GigabitEthernet1/14加入VLAN 200。 system-viewCoreSwitch vlan 100Co

13、reSwitch-vlan100 port gigabitethernet 1/13CoreSwitch-vlan100 quitCoreSwitch vlan 200CoreSwitch-vlan200 port gigabitethernet 1/14CoreSwitch-vlan200 quit# 配置GigabitEthernet1/3和GigabitEthernet1/4端口为Trunk端口，均允许VLAN 100和VLAN 200的报文通过。CoreSwitch interface gigabitethernet 1/3CoreSwitch-GigabitEthernet1/3 p

14、ort link-type trunkCoreSwitch-GigabitEthernet1/3 port trunk permit vlan 100 200CoreSwitch-GigabitEthernet1/3 quitCoreSwitch interface gigabitethernet 1/4CoreSwitch-GigabitEthernet1/4 port link-type trunkCoreSwitch-GigabitEthernet1/4 port trunk permit vlan 100 200CoreSwitch-GigabitEthernet1/4 quit2.

15、配置文件#vlan 100#vlan 200#interface GigabitEthernet1/3port link-mode bridgeport link-type trunkport trunk permit vlan 1 100 200#interface GigabitEthernet1/4port link-mode bridgeport link-type trunkport trunk permit vlan 1 100 200# interface GigabitEthernet1/13port link-mode bridgeport access vlan 100#i

16、nterface GigabitEthernet1/14port link-mode bridgeport access vlan 2004.4.4 验证结果(1) Laptop1只能访问Server1，不能访问Server2；Laptop2只能访问Server2，不能访问Server1。(2) 在SwitchA和SwitchB上可以查看到Laptop1和VLAN 100、Laptop2和VLAN 200的静态MAC VLAN地址表项已经生成。SwitchA display mac-vlan all The following MAC VLAN addresses exist: S:Stati

17、c D:Dynamic MAC ADDR MASK VLAN ID PRIO STATE - 000d-88f8-4e71 ffff-ffff-ffff 100 0 S 0014-222c-aa69 ffff-ffff-ffff 200 0 S Total MAC VLAN address count:25 动态配置举例5.1 组网需求某公司为了实现通信安全以及隔离广播报文，给不同的部门指定了不同的VLAN。l 销售部属于VLAN 2；技术支持部属于VLAN 3；研发部属于VLAN 4。l Meeting room为员工提供了临时办公场所。终端可以通过Switch的任意端口接入公司网络，但接入

18、后只能划分到自己部门所在的VLAN。如图2所示，Host A、Host B、Host C分别归属于VLAN 2、VLAN 3、VLAN 4。l 为了通信安全，终端必须通过802.1X认证后才能接入网络。图2 MAC VLAN动态配置组网图5.2 使用版本本举例中：l Switch和Device设备使用的是COMWAREV500R002B74D001版本。l iMC使用的版本信息如图3所示。图3 iMC版本信息5.3 配置思路l 因为终端可能使用同一端口接入公司网络，但是需要划分到不同VLAN。所以本案例基于MAC来划分VLAN，而不能基于端口来划分VLAN。l 因为本案例接入终端的MAC地址未

19、知，而且要求进行802.1X接入认证，所以采用动态配置的方式来划分MAC VLAN。5.4 配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。5.4.1 Host A的配置# 在PC机上安装H3C iNode智能管理客户端。# 在iNode上创建一个新连接，选择接入认证协议类型为802.1X，选择连接类型为普通连接，用户名为UserA，密码为aaa。# 将PC的IP地址设定为1.1.2.2（也可以通过DHCP server动态分配，1.1.2.1/24网段即可），子网掩码

20、设定为255.255.255.0，默认网关的IP地址为1.1.2.1/24。5.4.2 Host B的配置# 在PC机上安装H3C iNode智能管理客户端。# 在iNode上创建一个新连接，选择接入认证协议类型为802.1X，选择连接类型为普通连接，用户名为UserB，密码为bbb。# 将PC的IP地址设定为1.1.3.2（也可以通过DHCP server动态分配，1.1.3.1/24网段即可），子网掩码设定为255.255.255.0，默认网关的IP地址为1.1.3.1/24。5.4.3 Host C的配置# 在PC机上安装H3C iNode智能管理客户端。# 在iNode上创建一个新连接

21、，选择接入认证协议类型为802.1X，选择连接类型为普通连接，用户名为UserC，密码为ccc。# 将PC的IP地址设定为1.1.4.2（也可以通过DHCP server动态分配，1.1.4.1/24网段即可），子网掩码设定为255.255.255.0，默认网关的IP地址为1.1.4.1/24。5.4.4 Switch的配置1. 配置步骤(1) 配置AAA认证、授权。# 创建RADIUS认证方案macvlan，指定认证和计费服务器的IP地址均为192.168.1.15，密钥均为expert（该参数需要和iMC服务器上的配置保持一致），认证时不需要携带域名。 system-viewSwitch

22、radius scheme macvlanNew Radius schemeSwitch-radius-macvlan server-type extendedSwitch-radius-macvlan primary authentication 192.168.1.15Switch-radius-macvlan primary accounting 192.168.1.15Switch-radius-macvlan key authentication expertSwitch-radius-macvlan key accounting expertSwitch-radius-macvla

23、n user-name-format without-domainSwitch-radius-macvlan quit# 配置域参数。因为所有用户上线都需要进行认证，所以直接使用缺省域system，在system下进行配置。Switch domain systemSwitch-isp-system authentication lan-access radius-scheme macvlanSwitch-isp-system authorization lan-access radius-scheme macvlanSwitch-isp-system accounting lan-access

24、 radius-scheme macvlanSwitch-isp-system quit(2) 配置802.1X功能。# 全局使能802.1X功能。Switch undo port-security enableSwitch dot1x802.1X is enabled globally.# 使能接口Ethernet1/2、Ethernet1/3和Ethernet1/4的802.1X功能。Switch dot1x interface ethernet 1/2 to ethernet 1/4802.1x is enabled on port Ethernet1/2.802.1x is enabl

25、ed on port Ethernet1/3.802.1x is enabled on port Ethernet1/4.(3) 配置MAC VLAN# 分别在端口Ethernet1/2、Ethernet1/3和Ethernet1/4下进行如下配置：端口类型配置为Hybrid，使能MAC VLAN功能。Switch interface ethernet 1/2Switch-Ethernet1/2 port link-type hybridSwitch-Ethernet1/2 mac-vlan enableSwitch-Ethernet1/2 quitSwitch interface ether

26、net 1/3Switch-Ethernet1/3 port link-type hybridSwitch-Ethernet1/3 mac-vlan enableSwitch-Ethernet1/3 quitSwitch interface ethernet 1/4Switch-Ethernet1/4 port link-type hybridSwitch-Ethernet1/4 mac-vlan enableSwitch-Ethernet1/4 quit# 将端口Ethernet1/5的端口类型配置为Trunk，允许VLAN 2、VLAN 3和VLAN 4通过。Switch interfac

27、e ethernet 1/5Switch-Ethernet1/5 port link-type trunkSwitch-Ethernet1/5 port trunk permit vlan 2 to 4Please wait. Done.Switch-Ethernet1/5 quit2. 配置文件#dot1x#radius scheme macvlanserver-type extendedprimary authentication 192.168.1.15primary accounting 192.168.1.15key authentication expertkey accounti

28、ng expertuser-name-format without-domain#domain systemauthentication lan-access radius-scheme macvlanauthorization lan-access radius-scheme macvlanaccounting lan-access radius-scheme macvlan#interface Ethernet1/2port link-type hybridport hybrid vlan 1 untaggedmac-vlan enabledot1x#interface Ethernet1

29、/3port link-type hybridport hybrid vlan 1 untaggedmac-vlan enabledot1x#interface Ethernet1/4port link-type hybridport hybrid vlan 1 untaggedmac-vlan enabledot1x#interface Ethernet1/5port link-type trunkport trunk permit vlan 1 to 45.4.5 Device的配置1. 配置步骤# Ethernet1/1是一个三层接口用于认证服务器的接入，IP地址为192.168.1.5

30、6。 system-viewDevice interface Ethernet 1/1Device-Ethernet1/1 ip address 192.168.1.56 24Device-Ethernet1/1 quit# Ethernet1/2用于销售部的接入，属于VLAN 2；Ethernet1/3用于技术支持部的接入，属于VLAN 3；Ethernet1/4用于研发部的接入，属于VLAN 4。Device vlan 2Device-vlan2 port ethernet 1/2Device-vlan2 vlan 3Device-vlan3 port ethernet 1/3Device

31、-vlan3 vlan 4Device-vlan4 port ethernet 1/4Device-vlan4 quit# 创建Vlan-interface2、Vlan-interface3和Vlan-interface4，并分别配置IP地址（如图2所示），用于实现不同VLAN之间报文的三层互通。Device interface vlan-interface 2Device-Vlan-interface2 ip address 1.1.2.1 24Device-Vlan-interface2 interface vlan-interface 3Device-Vlan-interface3 ip

32、 address 1.1.3.1 24Device-Vlan-interface3 interface vlan-interface 4Device-Vlan-interface4 ip address 1.1.4.1 24Device-Vlan-interface4 quit# 将端口Ethernet1/5的端口类型配置为Trunk，允许VLAN 2、VLAN 3和VLAN 4通过。Switch interface ethernet 1/5Switch-Ethernet1/5 port link-type trunkSwitch-Ethernet1/5 port trunk permit v

33、lan 2 to 4Please wait. Done.Switch-Ethernet1/5 quit2. 配置文件#vlan 2 to 4#interface Vlan-interface2ip address 1.1.2.1 255.255.255.0#interface Vlan-interface3ip address 1.1.3.1 255.255.255.0#interface Vlan-interface4ip address 1.1.4.1 255.255.255.0#interface Ethernet1/1ip address 192.168.1.56 255.255.25

34、5.0#interface Ethernet1/2port access vlan 2#interface Ethernet1/3port access vlan 3#interface Ethernet1/4port access vlan 4#interface Ethernet1/5port link-type trunkport trunk permit vlan 1 to 45.4.6 RADIUS server的配置(1) 增加接入设备l 选择“业务”页签。l 单击接入设备配置菜单项。l 单击按钮。l 单击按钮，选择iMC平台中的设备。l 使用查询功能快速定位设备；选中设备，单击按钮。l 配置共享密钥为expert，其它参数使用缺省值即可，单击按钮，接入设备增加成功。(2) 增加服务l 选择“业务”页签。l 单击服务配置管理菜单项。l 单击按钮。l 配置服务名和下发，为了方便记忆可