- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
MAC VLAN配置举例
Copyright © 2013杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
在移动办公或者无线接入的组网环境中,用户接入VLAN固定,但是接入端口不固定的情况下,通过MAC VLAN功能可以实现用户使用接入设备的任何端口接入网络时,均能划分到同一VLAN。
MAC VLAN有静态配置和动态配置两种方式。其中静态配置通常用于VLAN中用户相对较少的网络环境,而动态配置需和接入认证方式配合使用,可灵活配置于大型网络中。
本文档介绍MAC VLAN功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解基于MAC的VLAN特性。
· 如图1所示,Device A和Device C的Ethernet1/1端口分别连接到两个会议室,Laptop1和Laptop2是会议用笔记本电脑,会在两个会议室间移动使用。
· Laptop1属于部门1,Laptop2属于部门2。两个部门间使用VLAN 100和VLAN 200进行隔离。现要求基于MAC来划分VLAN,实现这两台笔记本电脑无论在哪个会议室使用,均只能访问自己部门的服务器,即Server1和Server2。
图1 MAC VLAN静态配置组网图
MAC VLAN只能在Hybrid端口使能,所以在使能MAC VLAN前,需要将端口的链路类型配置为Hybrid。
因为本例中只有两个接入终端,而且接入时不需要认证,所以采用静态配置的方式来划分MAC VLAN。
MAC VLAN有静态配置和动态配置两种方式,但是同一MAC地址只能绑定一个VLAN。因此,如果已进行了静态配置,而动态下发的绑定关系与静态配置不一致,则动态下发失败,用户不能通过认证;反之,如果动态下发已生效,而静态配置与动态下发的不一致,则静态配置失败。
# 创建VLAN 100和VLAN 200。
<DeviceA> system-view
[DeviceA] vlan 100
[DeviceA-vlan100] quit
[DeviceA] vlan 200
[DeviceA-vlan200] quit
# 配置Laptop1的MAC地址与VLAN 100关联,配置Laptop2的MAC地址与VLAN 200关联。
[DeviceA] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[DeviceA] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置终端的接入端口:Laptop1和Laptop2均可能从Ethernet1/1接入,将Ethernet1/1的端口类型配置为Hybrid,开启Ethernet1/1端口的MAC VLAN功能,并使其在发送VLAN 100和VLAN 200的报文时去掉VLAN Tag。
[DeviceA] interface ethernet 1/1
[DeviceA-Ethernet1/1] port link-type hybrid
[DeviceA-Ethernet1/1] mac-vlan enable
[DeviceA-Ethernet1/1] mac-vlan trigger enable
[DeviceA-Ethernet1/1] quit
# 为了终端能够访问Server1和Server2,需要将上行端口Ethernet1/2的端口类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。
[DeviceA] interface ethernet1/2
[DeviceA-Ethernet1/2] port link-type trunk
[DeviceA-Ethernet1/2] port trunk permit vlan 100 200
[DeviceA-Ethernet1/2] quit
# 创建VLAN 100和VLAN 200。
<DeviceC> system-view
[DeviceC] vlan 100
[DeviceC-vlan100] quit
[DeviceC] vlan 200
[DeviceC-vlan200] quit
# 配置Laptop1的MAC地址与VLAN 100关联,配置Laptop2的MAC地址与VLAN 200关联。
[DeviceC] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[DeviceC] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置终端的接入端口:Laptop1和Laptop2均可能从Ethernet1/1接入,将Ethernet1/1的端口类型配置为Hybrid,开启Ethernet1/1端口的MAC VLAN功能,并使其在发送VLAN 100和VLAN 200的报文时去掉VLAN Tag。
[DeviceC] interface ethernet 1/1
[DeviceC-Ethernet1/1] port link-type hybrid
[DeviceC-Ethernet1/1] mac-vlan enable
[DeviceC-Ethernet1/1] mac-vlan trigger enable
[DeviceC-Ethernet1/1] quit
# 为了终端能够访问Server1和Server2,需要将上行端口Ethernet1/2的端口类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。
[DeviceC] interface ethernet1/2
[DeviceC-Ethernet1/2] port link-type trunk
[DeviceC-Ethernet1/2] port trunk permit vlan 100 200
[DeviceC-Ethernet1/2] quit
# 创建VLAN 100和VLAN 200,并将Ethernet1/13加入VLAN 100,Ethernet1/14加入VLAN 200。
<DeviceB> system-view
[DeviceB] vlan 100
[DeviceB-vlan100] port ethernet 1/13
[DeviceB-vlan100] quit
[DeviceB] vlan 200
[DeviceB-vlan200] port ethernet 1/14
[DeviceB-vlan200] quit
# 配置Ethernet1/3和Ethernet1/4端口为Trunk端口,均允许VLAN 100和VLAN 200的报文通过。
[DeviceB] interface ethernet 1/3
[DeviceB-Ethernet1/3] port link-type trunk
[DeviceB-Ethernet1/3] port trunk permit vlan 100 200
[DeviceB-Ethernet1/3] quit
[DeviceB] interface ethernet 1/4
[DeviceB-Ethernet1/4] port link-type trunk
[DeviceB-Ethernet1/4] port trunk permit vlan 100 200
[DeviceB-Ethernet1/4] quit
(1) Laptop1只能访问Server1,不能访问Server2;Laptop2只能访问Server2,不能访问Server1。
(2) 在Device A和Device C上可以查看到Laptop1和VLAN 100、Laptop2和VLAN 200的静态MAC VLAN地址表项已经生成。以Device A为例:
[DeviceA] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000d-88f8-4e71 ffff-ffff-ffff 100 0 S
0014-222c-aa69 ffff-ffff-ffff 200 0 S
Total MAC VLAN address count:2
· Device A:
#
mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0
mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0
#
vlan 100
#
vlan 200
#
interface Ethernet1/1
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 200 untagged
mac-vlan enable
mac-vlan trigger enable
#
interface Ethernet1/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
· Device C:
#
mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0
mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0
#
vlan 100
#
vlan 200
#
interface Ethernet1/1
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 200 untagged
mac-vlan enable
mac-vlan trigger enable
#
interface Ethernet1/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
· Device B:
#
vlan 100
#
vlan 200
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
interface Ethernet1/4
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
interface Ethernet1/13
port link-mode bridge
port access vlan 100
#
interface Ethernet1/14
port link-mode bridge
port access vlan 200
#
· 如图2所示,某公司为了实现通信安全以及隔离广播报文,给不同的部门指定了不同的VLAN。销售部属于VLAN 2;技术支持部属于VLAN 3;研发部属于VLAN 4。
· Meeting room为员工提供了临时办公场所。现要求基于MAC来划分VLAN,实现终端可以通过Switch的任意端口接入公司网络,但接入后只能划分到自己部门所在的VLAN。Host A、Host B、Host C分别归属于VLAN 2、VLAN 3、VLAN 4。
· 为了通信安全,终端必须通过802.1X认证后才能接入网络。
图2 MAC VLAN动态配置组网图
MAC VLAN只能在Hybrid端口使能,所以在使能MAC VLAN前,需要将端口的链路类型配置为Hybrid。
因为本例要求接入终端必须通过802.1X认证,所以采用动态配置的方式来划分MAC VLAN。同时需要在RADIUS服务器上配置下发VLAN和接入用户等,并在Host上安装802.1X客户端。
MAC VLAN有静态配置和动态配置两种方式,但是同一MAC地址只能绑定一个VLAN。因此,如果已进行了静态配置,而动态下发的绑定关系与静态配置不一致,则动态下发失败,用户不能通过认证;反之,如果动态下发已生效,而静态配置与动态下发的不一致,则静态配置失败。
# 安装H3C iNode智能管理客户端。在iNode上创建一个新连接,选择接入认证协议类型为802.1X,选择连接类型为普通连接,用户名为usera,密码为aaa。
图3 新建连接向导
# 将PC的IP地址设定为1.1.2.2,子网掩码设定为255.255.255.0,默认网关的IP地址为1.1.2.1/24(也可以通过DHCP server动态分配IP地址和网关地址,其中IP地址在1.1.2.0/24网段即可)。
# 安装H3C iNode智能管理客户端。在iNode上创建一个新连接,选择接入认证协议类型为802.1X,选择连接类型为普通连接,用户名为userb,密码为bbb。
# 将PC的IP地址设定为1.1.3.2,子网掩码设定为255.255.255.0,默认网关的IP地址为1.1.3.1/24(也可以通过DHCP server动态分配IP地址和网关地址,其中IP地址在1.1.3.0/24网段即可)。
# 安装H3C iNode智能管理客户端。在iNode上创建一个新连接,选择接入认证协议类型为802.1X,选择连接类型为普通连接,用户名为userc,密码为ccc。
# 将PC的IP地址设定为1.1.4.2,子网掩码设定为255.255.255.0,默认网关的IP地址为1.1.4.1/24(也可以通过DHCP server动态分配IP地址和网关地址,其中IP地址在1.1.4.0/24网段即可)。
(1) 配置AAA认证、授权
# 创建RADIUS认证方案macvlan,指定认证和计费服务器的IP地址均为192.168.1.15,密钥均为expert(该参数需要和iMC服务器上的配置保持一致),认证时不需要携带域名。
<Switch> system-view
[Switch] radius scheme macvlan
New Radius scheme
[Switch-radius-macvlan] server-type extended
[Switch-radius-macvlan] primary authentication 192.168.1.15
[Switch-radius-macvlan] primary accounting 192.168.1.15
[Switch-radius-macvlan] key authentication expert
[Switch-radius-macvlan] key accounting expert
[Switch-radius-macvlan] user-name-format without-domain
[Switch-radius-macvlan] quit
# 配置域参数。因为所有用户上线都需要进行认证,所以直接使用缺省域system,在system下进行配置。
[Switch] domain system
[Switch-isp-system] authentication lan-access radius-scheme macvlan
[Switch-isp-system] authorization lan-access radius-scheme macvlan
[Switch-isp-system] accounting lan-access radius-scheme macvlan
[Switch-isp-system] quit
(2) 配置802.1X功能
# 全局使能802.1X功能。
[Switch] undo port-security enable
[Switch] dot1x
# 使能接口Ethernet1/2、Ethernet1/3和Ethernet1/4的802.1X功能。
[Switch] dot1x interface ethernet 1/2 to ethernet 1/4
(3) 配置MAC VLAN
# 分别在端口Ethernet1/2、Ethernet1/3和Ethernet1/4下进行如下配置:端口类型配置为Hybrid,使能MAC VLAN功能。
[Switch] interface ethernet 1/2
[Switch-Ethernet1/2] port link-type hybrid
[Switch-Ethernet1/2] mac-vlan enable
[Switch-Ethernet1/2] quit
[Switch] interface ethernet 1/3
[Switch-Ethernet1/3] port link-type hybrid
[Switch-Ethernet1/3] mac-vlan enable
[Switch-Ethernet1/3] quit
[Switch] interface ethernet 1/4
[Switch-Ethernet1/4] port link-type hybrid
[Switch-Ethernet1/4] mac-vlan enable
[Switch-Ethernet1/4] quit
# 将端口Ethernet1/5的端口类型配置为Trunk,允许VLAN 2、VLAN 3和VLAN 4通过。
[Switch] interface ethernet 1/5
[Switch-Ethernet1/5] port link-type trunk
[Switch-Ethernet1/5] port trunk permit vlan 2 to 4
[Switch-Ethernet1/5] quit
# Ethernet1/1是一个三层接口用于认证服务器的接入,IP地址为192.168.1.56。
<Device> system-view
[Device] interface Ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.56 24
[Device-Ethernet1/1] quit
# Ethernet1/2用于销售部的接入,属于VLAN 2;Ethernet1/3用于技术支持部的接入,属于VLAN 3;Ethernet1/4用于研发部的接入,属于VLAN 4。
[Device] vlan 2
[Device-vlan2] port ethernet 1/2
[Device-vlan2] vlan 3
[Device-vlan3] port ethernet 1/3
[Device-vlan3] vlan 4
[Device-vlan4] port ethernet 1/4
[Device-vlan4] quit
# 创建VLAN接口2、VLAN接口3和VLAN接口4,并分别配置IP地址,用于实现不同VLAN之间报文的三层互通。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 1.1.2.1 24
[Device-Vlan-interface2] interface vlan-interface 3
[Device-Vlan-interface3] ip address 1.1.3.1 24
[Device-Vlan-interface3] interface vlan-interface 4
[Device-Vlan-interface4] ip address 1.1.4.1 24
[Device-Vlan-interface4] quit
# 将端口Ethernet1/5的端口类型配置为Trunk,允许VLAN 2、VLAN 3和VLAN 4通过。
[Switch] interface ethernet 1/5
[Switch-Ethernet1/5] port link-type trunk
[Switch-Ethernet1/5] port trunk permit vlan 2 to 4
[Switch-Ethernet1/5] quit
(1) 增加接入设备
· 选择“业务”页签。
· 在界面左侧的导航栏中选择“用户接入管理 > 接入设备管理 > 接入设备配置”。
· 单击<增加>按钮,进入“增加接入设备”页面。
· 单击<选择>按钮,选择iMC平台中的设备。
· 使用查询功能快速定位设备,将符合条件的设备增加到“已选择的设备”区域。
· 选中设备,单击<确定>按钮。
图4 选取设备
· 配置共享密钥为expert,其它参数使用缺省值即可,单击<完成>按钮,接入设备增加成功。
(2) 增加接入规则
· 选择“业务”页签。
· 在界面左侧的导航栏中选择“用户接入管理 > 接入规则管理”。
· 单击<增加>按钮。
· 配置接入规则名为“下发VLAN 2”,下发VLAN为VLAN 2,其它参数使用缺省值即可。
· 单击<确定>按钮,接入规则增加成功。
图5 增加接入规则
· 参照以上步骤增加接入规则“下发VLAN 3”,下发VLAN为VLAN 3;增加接入规则“下发VLAN 4”,下发VLAN为VLAN 4。
(3) 增加服务
· 选择“业务”页签。
· 在界面左侧的导航栏中选择“用户接入管理 > 服务配置管理”。
· 单击<增加>按钮。
· 配置服务名为serverA,缺省接入规则选择“下发VLAN 2”,其它参数使用缺省值即可,单击<确定>按钮,服务增加成功。
图6 增加服务配置
· 参照以上步骤增加服务增加服务serverB,缺省接入规则选择“下发VLAN 3”;增加服务serverC,缺省接入规则选择“下发VLAN 4”。
· 选择“用户”页签。
· 在界面左侧的导航栏中选择“用户管理 > 增加用户”。
· 增加一个全新的用户。用户姓名可以是用户的代号,方便iMC管理员识别不同用户;证件号码可以输入用户的电话号码,方便iMC管理员联系用户,如下图所示。
· 单击<确定>按钮,用户增加成功。
图7 增加用户
· 在界面左侧的导航栏中选择“接入用户视图 > 所有接入用户”,单击<增加>按钮,进入“增加接入用户”页面。
· 单击<选择>按钮,在弹出的用户列表中根据“用户姓名”或“证件号码”查询用户,选择符合条件的用户,单击<确定>按钮完成接入用户选择。
· 设置帐号名(即用户上网用帐号)为usera、密码(即用户上网用密码)为aaa,选择关联的服务,其它参数使用缺省值,单击<确定>按钮,接入用户增加成功。
图8 增加接入用户
· 参照以上步骤增加帐号userb,密码为bbb;增加帐号userc,密码为ccc。
(1) 在Host A上使用802.1X连接,用户名usera,密码aaa,上线成功;在Host B上使用802.1X连接,用户名userb,密码bbb,上线成功;在Host C上使用802.1X连接,用户名userc,密码ccc,上线成功。
(2) 查看MAC VLAN列表,可以看出Host A和VLAN 2、Host B和VLAN 3、Host C和VLAN 4的表项已经动态生成。当Ethernet1/2收到Host A的报文时,会给它添加VLAN 2的Tag;当Ethernet1/3收到Host B的报文时,会给它添加VLAN 3的Tag;当Ethernet1/4收到Host C的报文时,会给它添加VLAN 4的Tag。
[Switch] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
0011-0020-0001 ffff-ffff-ffff 2 0 D
0011-0020-0002 ffff-ffff-ffff 3 0 D
0011-0020-0003 ffff-ffff-ffff 4 0 D
· Switch:
#
dot1x
#
radius scheme macvlan
server-type extended
primary authentication 192.168.1.15
primary accounting 192.168.1.15
key authentication expert
key accounting expert
user-name-format without-domain
#
domain system
authentication lan-access radius-scheme macvlan
authorization lan-access radius-scheme macvlan
accounting lan-access radius-scheme macvlan
#
interface Ethernet1/2
port link-type hybrid
port hybrid vlan 1 to 2 untagged
mac-vlan enable
dot1x
#
interface Ethernet1/3
port link-type hybrid
port hybrid vlan 1 3 untagged
mac-vlan enable
dot1x
#
interface Ethernet1/4
port link-type hybrid
port hybrid vlan 1 4 untagged
mac-vlan enable
dot1x
#
interface Ethernet1/5
port link-type trunk
port trunk permit vlan 1 to 4
#
· Device:
#
vlan 2 to 4
#
interface Vlan-interface2
ip address 1.1.2.1 255.255.255.0
#
interface Vlan-interface3
ip address 1.1.3.1 255.255.255.0
#
interface Vlan-interface4
ip address 1.1.4.1 255.255.255.0
#
interface Ethernet1/1
ip address 192.168.1.56 255.255.255.0
#
interface Ethernet1/2
port access vlan 2
#
interface Ethernet1/3
port access vlan 3
#
interface Ethernet1/4
port access vlan 4
#
interface Ethernet1/5
port link-type trunk
port trunk permit vlan 1 to 4
#
售前咨询
售后咨询
人工在线咨询
