- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
MAC VLAN技術白皮書
關鍵詞:MAC VLAN、802.1X、MAC地址認證
摘 要:MAC VLAN根據MAC地址來靈活的確定untagged報文所屬的VLAN,從而實現對用戶的靈活控製。本文介紹了基於MAC的VLAN(以下稱為MAC VLAN)的原理以及技術特點。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
MAC VLAN | MAC address-based VLAN | 基於MAC地址的VLAN,一種根據報文的源MAC地址來確定untagged報文所屬VLAN的劃分方法 |
802.1X | 802.1X | 802.1X協議是一種基於端口的網絡接入控製協議(port based network access control protocol)。“基於端口的網絡接入控製”是指在局域網接入設備的端口這一級對所接入的用戶設備進行認證和控製。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源。 |
目 錄
VLAN最常用的劃分方式是基於端口劃分,該方式對從同一端口進入的untagged報文添加相同的VLAN標簽,在同一VLAN內進行轉發處理。該方式配置簡單,適用於終端設備物理位置比較固定的組網環境。隨著移動辦公和無線接入的普及,終端設備不再通過固定端口接入設備,它可能本次使用端口A接入網絡,下次使用端口B接入網絡。如果端口A和端口B的VLAN配置不同,則終端設備第二次接入後就會被劃分到另一VLAN,導致無法使用原VLAN內的資源;如果端口A和端口B的VLAN配置相同,當端口B被分配給別的終端設備時,又會引入安全問題。如何在這樣靈活多變的網絡環境中部署VLAN呢?MAC VLAN應運而生。
MAC VLAN就是基於MAC劃分VLAN,它是VLAN的另一種劃分方法。它根據報文的源MAC地址來決定給報文添加某個VLAN的標簽。該功能通常和安全技術(比如802.1X)聯合使用,以實現終端的安全、靈活接入。
MAC VLAN具有以下優點:
l MAC VLAN能夠實現精確的接入控製,它能精確定義某個終端和VLAN的綁定關係,從而實現將指定終端的報文在指定VLAN中轉發。
l MAC VLAN能夠實現靈活的接入控製,同一終端通過不同端口接入設備時,設備會給終端分配相同的VLAN;而不同終端通過同一端口接入設備時,設備可以給不同終端分配不同的VLAN。
設備是如何根據MAC地址來劃分VLAN的呢?當端口收到一個untagged報文後,以報文的源MAC地址為匹配關鍵字,通過查找MAC VLAN表項來獲知該終端綁定的VLAN,從而實現將指定終端的報文在指定VLAN中轉發。
l 對於沒有找到MAC VLAN表項的untagged報文,設備會基於其它方式給報文劃分VLAN。如果端口還配置了IP子網VLAN,設備會根據報文源地址所在IP子網來劃分VLAN;如果端口還配置了協議VLAN,設備會根據報文使用的三層協議類型來劃分VLAN;如果沒有配置IP子網VLAN和協議VLAN或者根據IP子網和協議都沒有匹配到VLAN,則會將該報文在端口的缺省VLAN中轉發。
l 對於tagged報文,如果報文攜帶的VLAN ID在端口允許通過的VLAN列表中,則允許報文通過,否則直接丟棄。
MAC VLAN表項有兩種生成方式:靜態配置和動態配置。
該方式下,需要用戶通過命令行將終端的MAC地址和VLAN進行綁定,設備會生成一條相應的MAC VLAN表項。手工配置綁定關係時,如果指定MASK的值為全1,則綁定的是單個MAC地址和VLAN。如果指定的MASK高位為連續的1,低位為0,則綁定的是一類MAC地址和VLAN,通常用於將某一廠商的通信設備劃分到同一VLAN。
該方式實現簡單,隻涉及接入設備,但該方式下需要在終端可能接入的端口手工配置允許終端的MAC VLAN通過,配置量大。
該方式下,需要在設備上同時配置MAC VLAN和基於MAC的接入認證方式(比如MAC地址認證或者基於MAC的802.1X認證)。如果用戶發起認證請求,認證服務器會對認證用戶名和密碼進行驗證,如果通過,則會下發VLAN信息。此時設備就可根據認證請求報文的源MAC地址和下發的VLAN信息生成MAC VLAN表項,並自動將MAC VLAN添加到端口允許通過的untagged VLAN列表中。用戶下線後,設備又自動刪除MAC VLAN表項,並將MAC VLAN從端口允許通過的VLAN列表中刪除。
該方式的優點是靈活、安全。
l 它能夠自動識別MAC地址,能夠自動創建MAC VLAN表項,能夠自動允許MAC VLAN通過接入端口。因此該方式應用於大型網絡時能夠大大簡化配置,使用靈活。
l 隻有用戶接入認證成功,才能通過指定的VLAN接入網絡,因此提高了網絡的安全性。
l MAC VLAN隻能在Hybrid端口使能,所以在使能MAC VLAN前,請將端口的鏈路類型配置為hybrid。
l MAC VLAN有靜態配置和動態配置兩種方式,但是同一MAC地址隻能綁定一個VLAN。因此,如果已進行了靜態配置,而動態下發的綁定關係與靜態配置不一致,則動態下發失敗,用戶不能通過認證;反之,如果動態下發已生效,而靜態配置與動態下發的不一致,則靜態配置失敗。
l 采用動態方式配置MAC VLAN時需要基於MAC地址的AAA遠程認證的配合,網絡中需要部署AAA認證服務器,服務器必須能夠下發VLAN。
l MAC VLAN的配置會影響聚合成員端口的選中狀態,所以,建議不要在聚合成員端口上配置MAC VLAN功能。
圖1 MAC VLAN靜態配置組網圖
某公司為了實現通信安全以及隔離廣播報文,給不同的部門指定了不同的VLAN。銷售部的辦公區在1002房間,部門所有資產屬於VLAN 2;技術支持部門的辦公區在1003房間,部門所有資產屬於VLAN 3。因為人員的流動性很大,公司在Meeting room裏提供了臨時辦公場所,職員可以通過無線接入公司網絡,但要求接入後隻能劃分到自己部門所在的VLAN,比如Host A到Meeting room辦公後必須歸屬於VLAN 2,Host D到Meeting room辦公後必須歸屬於VLAN 3。
基於以上需求,在1002房間和1003房間因為人員和工位比較穩定,可以采用基於端口的方式劃分VLAN。但是在Meeting room裏,因為人員流動性比較大,人員接入網絡的端口不確定,所以可以通過MAC VLAN,將MAC地址和員工所在部門的VLAN綁定。從而不管員工從哪個接口接入,不需要修改配置,就能被劃分到部門所在的VLAN。
圖2 MAC VLAN動態配置組網圖
用戶通過無線接入點AP 1和AP n接入網絡,在AP 1和AP n上同時使能MAC VLAN和基於MAC的802.1X方式認證,就能很簡便的實現:
l 用戶接入前需先通過認證,從而防止非法用戶占用網絡資源;
l 用戶通過任意AP的任意端口接入網絡,仍能屬於原來的VLAN。
l MAC VLAN典型配置舉例
Copyright © 2009 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
