局域网协议-MAC VLAN典型配置举例-D

1、，局域网协议-MAC VLAN典型配置举例MAC VLAN 配置举例杭州华三通信技术有限公司第 PAGE 18页，共18页 HYPERLINK / MAC VLAN 配置举例关键词：MAC VLAN、802.1X缩略语英文全名中文解释MAC VLANMAC address-based VLAN基于 MAC 地址的 VLAN，一种根据报文的源 MAC 地址来确定untagged 报文所属 VLAN 的划分方法802.1X802.1X802.1X 协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”

2、是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源摘 要：本文介绍了基于 MAC 划分 VLAN（以下简称 MAC VLAN）的典型应用及其配置。缩略语：目 录 HYPERLINK l _bookmark0 特性简介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 使用场合 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 注意事项 HYPERLINK l _bookmark0 3

3、 HYPERLINK l _bookmark1 静态配置举例 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 组网需求 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 使用版本 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 配置步骤 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 SwitchA的配

4、置 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 SwitchB的配置 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 Core Switch的配置 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 验证结果 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 动态配置举例 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 组网需求 HYPERLINK l _bo

5、okmark4 7 HYPERLINK l _bookmark5 使用版本 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 配置思路 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 配置步骤 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 Host A的配置 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 Host B的配置 HYPERLINK l _bookmark7 10 HYPERLINK l _b

6、ookmark7 Host C的配置 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark8 Switch的配置 HYPERLINK l _bookmark8 11 HYPERLINK l _bookmark9 Device的配置 HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark10 RADIUS server的配置 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark11 验证结果 HYPERLINK l _bookmark11 17 HYPERLINK l _

7、bookmark11 相关资料 HYPERLINK l _bookmark11 17特性简介MAC VLAN 是一种基于 MAC 地址来划分 VLAN 的方式。当端口收到一个 untagged 报文后，设备将以报文的源 MAC 地址为匹配关键字，通过查找 MAC VLAN 表项来获知该终端绑定的 VLAN， 从而实现将指定终端的报文在指定 VLAN 中转发。该方式能够精确、灵活的实现用户终端与VLAN 的绑定。MAC VLAN 表项有两种生成方式：静态配置和动态配置。静态配置：通过命令行将终端的 MAC 地址和 VLAN 进行绑定，生成一条 MAC VLAN 表项。动态配置：和基于 MAC 的

8、接入认证方式（比如 MAC 地址认证或者基于 MAC 的 802.1X 认证）联合使用。如果用户发起认证请求，认证服务器会对认证用户名和密码进行验证，如果通过，则会下发 VLAN 信息。此时设备就可根据认证请求报文的源 MAC 地址和下发的VLAN 信息生成 MAC VLAN 表项，并自动将 MAC VLAN 添加到端口允许通过的 untagged VLAN 列表中。用户下线后，设备又自动删除 MAC VLAN 表项，并将 MAC VLAN 从端口允许通过的 VLAN 列表中删除。使用场合移动或者无线接入的组网环境中，用户接入 VLAN 固定，但是接入端口不固定。要求用户使用接入设备的任何端口

9、接入网络时，均能划分到同一 VLAN。注意事项MAC VLAN 只能在 Hybrid 端口使能，所以在使能 MAC VLAN 前，请将端口的链路类型配置为 hybrid。MAC VLAN 有静态配置和动态配置两种方式，但是同一 MAC 地址只能绑定一个 VLAN。因此，如果已进行了静态配置，而动态下发的绑定关系与静态配置不一致，则动态下发失败， 用户不能通过认证；反之，如果动态下发已生效，而静态配置与动态下发的不一致，则静态配置失败。采用动态方式配置 MAC VLAN 时需要基于 MAC 地址的 AAA 远程认证的配合，网络中需要部署 AAA 认证服务器，服务器必须能够下发 VLAN。MAC

10、VLAN 的配置会影响聚合成员端口的选中状态，所以，建议不要在聚合成员端口上配置MAC VLAN 功能。静态配置举例组网需求如 HYPERLINK l _bookmark1 图 1所示，SwitchA和SwitchB的GigabitEthernet1/1 端口分别连接到两个会议室，Laptop1 和Laptop2 是会议用笔记本电脑，会在两个会议室间移动使用。Laptop1 属于部门 1，Laptop2 属于部门 2。两个部门间使用 VLAN 100 和 VLAN 200 进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1 和 Server2。L

11、aptop1 和 Laptop2 的 MAC 地址分别为 000d-88f8-4e71、0014-222c-aa69。图1 MAC VLAN 静态配置组网图VLAN 100Server1 IP: /24VLAN 200Server2 IP: /24GE1/13GE1/14GE1/3Core switchGE1/4GE1/2GE1/2SwitchAGE1/1SwitchBGE1/1VLAN 100VLAN 200Laptop1 IP: /24MAC: 000d-88f8-4e71Laptop2 IP: /24MAC: 0014-222c-aa69使用版本本举例是在 COMWAREV500R002

12、B74D001 版本上进行配置和验证的。配置思路两台终端使用同一端口接入公司网络，但是需要划分到不同 VLAN。所以本案例基于 MAC来划分 VLAN，而不能基于端口来划分 VLAN。因为本案例中只有两个接入终端，而且终端的 MAC 地址已知，接入时不需要认证，所以采用静态配置的方式来划分 MAC VLAN。配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。SwitchA 的配置配置步骤# 创建 VLAN 100 和 VLAN 200。 system-view Switc

13、hA vlan 100 SwitchA-vlan100 quit SwitchA vlan 200 SwitchA-vlan200 quit# 创建 Laptop1 的 MAC 地址与 VLAN 100 的关联，创建 Laptop2 的 MAC 地址与 VLAN 200 的关联。SwitchA mac-vlan mac-address 000d-88f8-4e71 vlan 100 SwitchA mac-vlan mac-address 0014-222c-aa69 vlan 200# 配置终端的接入端口： Laptop1 和 Laptop2 均可能从 GigabitEthernet1/1

14、接入，将GigabitEthernet1/1 的端口类型配置为 Hybrid，并使其在发送 VLAN 100 和 VLAN 200 的报文时去掉 VLAN Tag；开启 GigabitEthernet1/1 端口的 MAC-VLAN 功能。SwitchA interface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1 port link-type hybrid SwitchA-GigabitEthernet1/1 mac-vlan trigger enable SwitchA-GigabitEthernet1/1 mac-vlan enable

15、SwitchA-GigabitEthernet1/1 quit# 为了终端能够访问 Server1 和 Server2，需要将上行端口 GigabitEthernet1/2 的端口类型配置为Trunk，并允许 VLAN 100 和 VLAN 200 的报文通过。SwitchA interface GigabitEthernet1/2SwitchA-GigabitEthernet1/2 port link-type trunkSwitchA-GigabitEthernet1/2 port trunk permit vlan 100 200 SwitchA-GigabitEthernet1/2 q

16、uit配置文件#mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0 mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0#vlan 100#vlan 200 #interface GigabitEthernet1/1 port link-mode bridgeport link-type hybrid mac-vlan enablemac-vlan trigger enable #interface GigabitEthernet1/2 port link-mode bridg

17、eport link-type trunkport trunk permit vlan 1 100 200SwitchB 的配置SwitchB 的配置与 SwitchA 完全一致，这里不再赘述。Core Switch 的配置配置步骤# 创建 VLAN 100 和 VLAN 200，并将 GigabitEthernet1/13 加入 VLAN 100，GigabitEthernet1/14加入 VLAN 200。 system-view CoreSwitch vlan 100CoreSwitch-vlan100 port gigabitethernet 1/13 CoreSwitch-vlan1

18、00 quitCoreSwitch vlan 200CoreSwitch-vlan200 port gigabitethernet 1/14 CoreSwitch-vlan200 quit# 配置 GigabitEthernet1/3 和 GigabitEthernet1/4 端口为 Trunk 端口，均允许 VLAN 100 和 VLAN 200 的报文通过。CoreSwitch interface gigabitethernet 1/3 CoreSwitch-GigabitEthernet1/3 port link-type trunkCoreSwitch-GigabitEthernet1

19、/3 port trunk permit vlan 100 200 CoreSwitch-GigabitEthernet1/3 quitCoreSwitch interface gigabitethernet 1/4 CoreSwitch-GigabitEthernet1/4 port link-type trunkCoreSwitch-GigabitEthernet1/4 port trunk permit vlan 100 200 CoreSwitch-GigabitEthernet1/4 quit配置文件#vlan 100 #vlan 200 #interface GigabitEthe

20、rnet1/3 port link-mode bridgeport link-type trunkport trunk permit vlan 1 100 200 #interface GigabitEthernet1/4 port link-mode bridgeport link-type trunkport trunk permit vlan 1 100 200 #interface GigabitEthernet1/13 port link-mode bridgeport access vlan 100 #interface GigabitEthernet1/14 port link-

21、mode bridgeport access vlan 200验证结果Laptop1 只能访问 Server1，不能访问 Server2；Laptop2 只能访问 Server2，不能访问Server1。在 SwitchA 和 SwitchB 上可以查看到 Laptop1 和 VLAN 100、Laptop2 和 VLAN 200 的静态MAC VLAN 地址表项已经生成。SwitchA display mac-vlan allThe following MAC VLAN addresses exist:S:StaticD:DynamicMAC ADDRMASKVLAN IDPRIOSTATE

22、000d-88f8-4e71ffff-ffff-ffff1000S0014-222c-aa69ffff-ffff-ffff2000STotal MAC VLAN address count:2动态配置举例组网需求某公司为了实现通信安全以及隔离广播报文，给不同的部门指定了不同的 VLAN。销售部属于 VLAN 2；技术支持部属于 VLAN 3；研发部属于 VLAN 4。Meeting room为员工提供了临时办公场所。终端可以通过Switch的任意端口接入公司网络， 但接入后只能划分到自己部门所在的VLAN。如 HYPERLINK l _bookmark5 图 2所示，Host A、Host B

23、、Host C分别归属于VLAN 2、VLAN 3、VLAN 4。为了通信安全，终端必须通过 802.1X 认证后才能接入网络。图2 MAC VLAN 动态配置组网图销售部VLAN 2RADIUS server5/24技术支持部VLAN 3Eth1/2Eth1/1 6/24Eth1/3研发部VLAN 4Eth1/4IP networkEth1/5DeviceVlan-int2: /24 Vlan-int3: /24 Vlan-int4: /24Meeting roomEth1/5SwitchEth1/2Eth1/4Eth1/3VLAN 2VLAN 4VLAN 3Host A IP: /24Ga

24、teway: Host B IP: /24Gateway: Host C IP: /24Gateway: 使用版本本举例中：Switch 和 Device 设备使用的是 COMWAREV500R002B74D001 版本。iMC使用的版本信息如 HYPERLINK l _bookmark6 图 3所示。图3 iMC 版本信息配置思路因为终端可能使用同一端口接入公司网络，但是需要划分到不同 VLAN。所以本案例基于MAC 来划分VLAN，而不能基于端口来划分 VLAN。因为本案例接入终端的 MAC 地址未知，而且要求进行 802.1X 接入认证，所以采用动态配置的方式来划分 MAC VLAN。配

25、置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。Host A 的配置# 在 PC 机上安装 H3C iNode 智能管理客户端。# 在 iNode 上创建一个新连接，选择接入认证协议类型为 802.1X，选择连接类型为普通连接，用户名为 UserA，密码为 aaa。# 将 PC 的 IP 地址设定为 （也可以通过 DHCP server 动态分配，/24 网段即可）， 子网掩码设定为 ，默认网关的 IP 地址为 /24。Host B 的配置# 在 PC 机上安装 H3C

26、iNode 智能管理客户端。# 在 iNode 上创建一个新连接，选择接入认证协议类型为 802.1X，选择连接类型为普通连接，用户名为 UserB，密码为 bbb。# 将 PC 的 IP 地址设定为 （也可以通过 DHCP server 动态分配，/24 网段即可）， 子网掩码设定为 ，默认网关的 IP 地址为 /24。Host C 的配置# 在 PC 机上安装 H3C iNode 智能管理客户端。# 在 iNode 上创建一个新连接，选择接入认证协议类型为 802.1X，选择连接类型为普通连接，用户名为 UserC，密码为 ccc。# 将 PC 的 IP 地址设定为 （也可以通过 DHCP

27、 server 动态分配，/24 网段即可）， 子网掩码设定为 ，默认网关的 IP 地址为 /24。Switch 的配置配置步骤配置 AAA 认证、授权。# 创建 RADIUS 认证方案 macvlan，指定认证和计费服务器的 IP 地址均为 5，密钥均为 expert（该参数需要和 iMC 服务器上的配置保持一致），认证时不需要携带域名。 system-viewSwitch radius scheme macvlan New Radius schemeSwitch-radius-macvlan server-type extendedSwitch-radius-macvlan primary

28、 authentication 5 Switch-radius-macvlan primary accounting 5 Switch-radius-macvlan key authentication expertSwitch-radius-macvlan key accounting expertSwitch-radius-macvlan user-name-format without-domain Switch-radius-macvlan quit# 配置域参数。因为所有用户上线都需要进行认证，所以直接使用缺省域 system，在 system 下进行配置。Switch domain

29、 systemSwitch-isp-system authentication lan-access radius-scheme macvlan Switch-isp-system authorization lan-access radius-scheme macvlan Switch-isp-system accounting lan-access radius-scheme macvlan Switch-isp-system quit配置 802.1X 功能。# 全局使能 802.1X 功能。Switch undo port-security enable Switch dot1x802

30、.1X is enabled globally.# 使能接口 Ethernet1/2、Ethernet1/3 和 Ethernet1/4 的 802.1X 功能。Switch dot1x interface ethernet 1/2 to ethernet 1/4 802.1x is enabled on port Ethernet1/2.802.1x is enabled on port Ethernet1/3. 802.1x is enabled on port Ethernet1/4.配置 MAC VLAN# 分别在端口 Ethernet1/2 、Ethernet1/3 和 Ethern

31、et1/4 下进行如下配置： 端口类型配置为Hybrid，使能 MAC VLAN 功能。Switch interface ethernet 1/2Switch-Ethernet1/2 port link-type hybrid Switch-Ethernet1/2 mac-vlan enable Switch-Ethernet1/2 quitSwitch interface ethernet 1/3Switch-Ethernet1/3 port link-type hybridSwitch-Ethernet1/3 mac-vlan enable Switch-Ethernet1/3 quitS

32、witch interface ethernet 1/4Switch-Ethernet1/4 port link-type hybrid Switch-Ethernet1/4 mac-vlan enable Switch-Ethernet1/4 quit# 将端口 Ethernet1/5 的端口类型配置为 Trunk，允许 VLAN 2、VLAN 3 和 VLAN 4 通过。Switch interface ethernet 1/5Switch-Ethernet1/5 port link-type trunkSwitch-Ethernet1/5 port trunk permit vlan 2

33、 to 4 Please wait. Done.Switch-Ethernet1/5 quit配置文件#dot1x #radius scheme macvlan server-type extendedprimary authentication 5primary accounting 5 key authentication expertkey accounting expertuser-name-format without-domain #domain systemauthentication lan-access radius-scheme macvlan authorization

34、lan-access radius-scheme macvlan accounting lan-access radius-scheme macvlan#interface Ethernet1/2 port link-type hybridport hybrid vlan 1 untagged mac-vlan enabledot1x #interface Ethernet1/3 port link-type hybridport hybrid vlan 1 untagged mac-vlan enabledot1x #interface Ethernet1/4 port link-type

35、hybridport hybrid vlan 1 untaggedmac-vlan enable dot1x#interface Ethernet1/5 port link-type trunkport trunk permit vlan 1 to 4Device 的配置配置步骤# Ethernet1/1 是一个三层接口用于认证服务器的接入，IP 地址为 6。 system-viewDevice interface Ethernet 1/1Device-Ethernet1/1 ip address 6 24 Device-Ethernet1/1 quit# Ethernet1/2 用于销售部的

36、接入，属于 VLAN 2；Ethernet1/3 用于技术支持部的接入，属于VLAN 3；Ethernet1/4 用于研发部的接入，属于 VLAN 4。Device vlan 2Device-vlan2 port ethernet 1/2 Device-vlan2 vlan 3Device-vlan3 port ethernet 1/3 Device-vlan3 vlan 4Device-vlan4 port ethernet 1/4 Device-vlan4 quit# 创建Vlan-interface2、Vlan-interface3 和Vlan-interface4，并分别配置IP地址（

37、如 HYPERLINK l _bookmark5 图 2所示）， 用于实现不同VLAN之间报文的三层互通。Device interface vlan-interface 2Device-Vlan-interface2 ip address 24 Device-Vlan-interface2 interface vlan-interface 3 Device-Vlan-interface3 ip address 24 Device-Vlan-interface3 interface vlan-interface 4 Device-Vlan-interface4 ip address 24 Dev

38、ice-Vlan-interface4 quit# 将端口 Ethernet1/5 的端口类型配置为 Trunk，允许 VLAN 2、VLAN 3 和 VLAN 4 通过。Switch interface ethernet 1/5Switch-Ethernet1/5 port link-type trunkSwitch-Ethernet1/5 port trunk permit vlan 2 to 4 Please wait. Done.Switch-Ethernet1/5 quit配置文件#vlan 2 to 4 #interface Vlan-interface2ip address #i

39、nterface Vlan-interface3ip address #interface Vlan-interface4ip address #interface Ethernet1/1ip address 6 #interface Ethernet1/2 port access vlan 2#interface Ethernet1/3 port access vlan 3#interface Ethernet1/4 port access vlan 4#interface Ethernet1/5 port link-type trunkport trunk permit vlan 1 to 4RADIUS server 的配置增加接入设备选择“业务”页签。单击接