- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
MAC VLAN配置舉例
Copyright © 2013杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
在移動辦公或者無線接入的組網環境中,用戶接入VLAN固定,但是接入端口不固定的情況下,通過MAC VLAN功能可以實現用戶使用接入設備的任何端口接入網絡時,均能劃分到同一VLAN。
MAC VLAN有靜態配置和動態配置兩種方式。其中靜態配置通常用於VLAN中用戶相對較少的網絡環境,而動態配置需和接入認證方式配合使用,可靈活配置於大型網絡中。
本文檔介紹MAC VLAN功能的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解基於MAC的VLAN特性。
· 如圖1所示,Device A和Device C的Ethernet1/1端口分別連接到兩個會議室,Laptop1和Laptop2是會議用筆記本電腦,會在兩個會議室間移動使用。
· Laptop1屬於部門1,Laptop2屬於部門2。兩個部門間使用VLAN 100和VLAN 200進行隔離。現要求基於MAC來劃分VLAN,實現這兩台筆記本電腦無論在哪個會議室使用,均隻能訪問自己部門的服務器,即Server1和Server2。
圖1 MAC VLAN靜態配置組網圖
MAC VLAN隻能在Hybrid端口使能,所以在使能MAC VLAN前,需要將端口的鏈路類型配置為Hybrid。
因為本例中隻有兩個接入終端,而且接入時不需要認證,所以采用靜態配置的方式來劃分MAC VLAN。
MAC VLAN有靜態配置和動態配置兩種方式,但是同一MAC地址隻能綁定一個VLAN。因此,如果已進行了靜態配置,而動態下發的綁定關係與靜態配置不一致,則動態下發失敗,用戶不能通過認證;反之,如果動態下發已生效,而靜態配置與動態下發的不一致,則靜態配置失敗。
# 創建VLAN 100和VLAN 200。
<DeviceA> system-view
[DeviceA] vlan 100
[DeviceA-vlan100] quit
[DeviceA] vlan 200
[DeviceA-vlan200] quit
# 配置Laptop1的MAC地址與VLAN 100關聯,配置Laptop2的MAC地址與VLAN 200關聯。
[DeviceA] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[DeviceA] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置終端的接入端口:Laptop1和Laptop2均可能從Ethernet1/1接入,將Ethernet1/1的端口類型配置為Hybrid,開啟Ethernet1/1端口的MAC VLAN功能,並使其在發送VLAN 100和VLAN 200的報文時去掉VLAN Tag。
[DeviceA] interface ethernet 1/1
[DeviceA-Ethernet1/1] port link-type hybrid
[DeviceA-Ethernet1/1] mac-vlan enable
[DeviceA-Ethernet1/1] mac-vlan trigger enable
[DeviceA-Ethernet1/1] quit
# 為了終端能夠訪問Server1和Server2,需要將上行端口Ethernet1/2的端口類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。
[DeviceA] interface ethernet1/2
[DeviceA-Ethernet1/2] port link-type trunk
[DeviceA-Ethernet1/2] port trunk permit vlan 100 200
[DeviceA-Ethernet1/2] quit
# 創建VLAN 100和VLAN 200。
<DeviceC> system-view
[DeviceC] vlan 100
[DeviceC-vlan100] quit
[DeviceC] vlan 200
[DeviceC-vlan200] quit
# 配置Laptop1的MAC地址與VLAN 100關聯,配置Laptop2的MAC地址與VLAN 200關聯。
[DeviceC] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[DeviceC] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置終端的接入端口:Laptop1和Laptop2均可能從Ethernet1/1接入,將Ethernet1/1的端口類型配置為Hybrid,開啟Ethernet1/1端口的MAC VLAN功能,並使其在發送VLAN 100和VLAN 200的報文時去掉VLAN Tag。
[DeviceC] interface ethernet 1/1
[DeviceC-Ethernet1/1] port link-type hybrid
[DeviceC-Ethernet1/1] mac-vlan enable
[DeviceC-Ethernet1/1] mac-vlan trigger enable
[DeviceC-Ethernet1/1] quit
# 為了終端能夠訪問Server1和Server2,需要將上行端口Ethernet1/2的端口類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。
[DeviceC] interface ethernet1/2
[DeviceC-Ethernet1/2] port link-type trunk
[DeviceC-Ethernet1/2] port trunk permit vlan 100 200
[DeviceC-Ethernet1/2] quit
# 創建VLAN 100和VLAN 200,並將Ethernet1/13加入VLAN 100,Ethernet1/14加入VLAN 200。
<DeviceB> system-view
[DeviceB] vlan 100
[DeviceB-vlan100] port ethernet 1/13
[DeviceB-vlan100] quit
[DeviceB] vlan 200
[DeviceB-vlan200] port ethernet 1/14
[DeviceB-vlan200] quit
# 配置Ethernet1/3和Ethernet1/4端口為Trunk端口,均允許VLAN 100和VLAN 200的報文通過。
[DeviceB] interface ethernet 1/3
[DeviceB-Ethernet1/3] port link-type trunk
[DeviceB-Ethernet1/3] port trunk permit vlan 100 200
[DeviceB-Ethernet1/3] quit
[DeviceB] interface ethernet 1/4
[DeviceB-Ethernet1/4] port link-type trunk
[DeviceB-Ethernet1/4] port trunk permit vlan 100 200
[DeviceB-Ethernet1/4] quit
(1) Laptop1隻能訪問Server1,不能訪問Server2;Laptop2隻能訪問Server2,不能訪問Server1。
(2) 在Device A和Device C上可以查看到Laptop1和VLAN 100、Laptop2和VLAN 200的靜態MAC VLAN地址表項已經生成。以Device A為例:
[DeviceA] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000d-88f8-4e71 ffff-ffff-ffff 100 0 S
0014-222c-aa69 ffff-ffff-ffff 200 0 S
Total MAC VLAN address count:2
· Device A:
#
mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0
mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0
#
vlan 100
#
vlan 200
#
interface Ethernet1/1
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 200 untagged
mac-vlan enable
mac-vlan trigger enable
#
interface Ethernet1/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
· Device C:
#
mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0
mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0
#
vlan 100
#
vlan 200
#
interface Ethernet1/1
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 200 untagged
mac-vlan enable
mac-vlan trigger enable
#
interface Ethernet1/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
· Device B:
#
vlan 100
#
vlan 200
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
interface Ethernet1/4
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
interface Ethernet1/13
port link-mode bridge
port access vlan 100
#
interface Ethernet1/14
port link-mode bridge
port access vlan 200
#
· 如圖2所示,某公司為了實現通信安全以及隔離廣播報文,給不同的部門指定了不同的VLAN。銷售部屬於VLAN 2;技術支持部屬於VLAN 3;研發部屬於VLAN 4。
· Meeting room為員工提供了臨時辦公場所。現要求基於MAC來劃分VLAN,實現終端可以通過Switch的任意端口接入公司網絡,但接入後隻能劃分到自己部門所在的VLAN。Host A、Host B、Host C分別歸屬於VLAN 2、VLAN 3、VLAN 4。
· 為了通信安全,終端必須通過802.1X認證後才能接入網絡。
圖2 MAC VLAN動態配置組網圖
MAC VLAN隻能在Hybrid端口使能,所以在使能MAC VLAN前,需要將端口的鏈路類型配置為Hybrid。
因為本例要求接入終端必須通過802.1X認證,所以采用動態配置的方式來劃分MAC VLAN。同時需要在RADIUS服務器上配置下發VLAN和接入用戶等,並在Host上安裝802.1X客戶端。
MAC VLAN有靜態配置和動態配置兩種方式,但是同一MAC地址隻能綁定一個VLAN。因此,如果已進行了靜態配置,而動態下發的綁定關係與靜態配置不一致,則動態下發失敗,用戶不能通過認證;反之,如果動態下發已生效,而靜態配置與動態下發的不一致,則靜態配置失敗。
# 安裝H3C iNode智能管理客戶端。在iNode上創建一個新連接,選擇接入認證協議類型為802.1X,選擇連接類型為普通連接,用戶名為usera,密碼為aaa。
圖3 新建連接向導
# 將PC的IP地址設定為1.1.2.2,子網掩碼設定為255.255.255.0,默認網關的IP地址為1.1.2.1/24(也可以通過DHCP server動態分配IP地址和網關地址,其中IP地址在1.1.2.0/24網段即可)。
# 安裝H3C iNode智能管理客戶端。在iNode上創建一個新連接,選擇接入認證協議類型為802.1X,選擇連接類型為普通連接,用戶名為userb,密碼為bbb。
# 將PC的IP地址設定為1.1.3.2,子網掩碼設定為255.255.255.0,默認網關的IP地址為1.1.3.1/24(也可以通過DHCP server動態分配IP地址和網關地址,其中IP地址在1.1.3.0/24網段即可)。
# 安裝H3C iNode智能管理客戶端。在iNode上創建一個新連接,選擇接入認證協議類型為802.1X,選擇連接類型為普通連接,用戶名為userc,密碼為ccc。
# 將PC的IP地址設定為1.1.4.2,子網掩碼設定為255.255.255.0,默認網關的IP地址為1.1.4.1/24(也可以通過DHCP server動態分配IP地址和網關地址,其中IP地址在1.1.4.0/24網段即可)。
(1) 配置AAA認證、授權
# 創建RADIUS認證方案macvlan,指定認證和計費服務器的IP地址均為192.168.1.15,密鑰均為expert(該參數需要和iMC服務器上的配置保持一致),認證時不需要攜帶域名。
<Switch> system-view
[Switch] radius scheme macvlan
New Radius scheme
[Switch-radius-macvlan] server-type extended
[Switch-radius-macvlan] primary authentication 192.168.1.15
[Switch-radius-macvlan] primary accounting 192.168.1.15
[Switch-radius-macvlan] key authentication expert
[Switch-radius-macvlan] key accounting expert
[Switch-radius-macvlan] user-name-format without-domain
[Switch-radius-macvlan] quit
# 配置域參數。因為所有用戶上線都需要進行認證,所以直接使用缺省域system,在system下進行配置。
[Switch] domain system
[Switch-isp-system] authentication lan-access radius-scheme macvlan
[Switch-isp-system] authorization lan-access radius-scheme macvlan
[Switch-isp-system] accounting lan-access radius-scheme macvlan
[Switch-isp-system] quit
(2) 配置802.1X功能
# 全局使能802.1X功能。
[Switch] undo port-security enable
[Switch] dot1x
# 使能接口Ethernet1/2、Ethernet1/3和Ethernet1/4的802.1X功能。
[Switch] dot1x interface ethernet 1/2 to ethernet 1/4
(3) 配置MAC VLAN
# 分別在端口Ethernet1/2、Ethernet1/3和Ethernet1/4下進行如下配置:端口類型配置為Hybrid,使能MAC VLAN功能。
[Switch] interface ethernet 1/2
[Switch-Ethernet1/2] port link-type hybrid
[Switch-Ethernet1/2] mac-vlan enable
[Switch-Ethernet1/2] quit
[Switch] interface ethernet 1/3
[Switch-Ethernet1/3] port link-type hybrid
[Switch-Ethernet1/3] mac-vlan enable
[Switch-Ethernet1/3] quit
[Switch] interface ethernet 1/4
[Switch-Ethernet1/4] port link-type hybrid
[Switch-Ethernet1/4] mac-vlan enable
[Switch-Ethernet1/4] quit
# 將端口Ethernet1/5的端口類型配置為Trunk,允許VLAN 2、VLAN 3和VLAN 4通過。
[Switch] interface ethernet 1/5
[Switch-Ethernet1/5] port link-type trunk
[Switch-Ethernet1/5] port trunk permit vlan 2 to 4
[Switch-Ethernet1/5] quit
# Ethernet1/1是一個三層接口用於認證服務器的接入,IP地址為192.168.1.56。
<Device> system-view
[Device] interface Ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.56 24
[Device-Ethernet1/1] quit
# Ethernet1/2用於銷售部的接入,屬於VLAN 2;Ethernet1/3用於技術支持部的接入,屬於VLAN 3;Ethernet1/4用於研發部的接入,屬於VLAN 4。
[Device] vlan 2
[Device-vlan2] port ethernet 1/2
[Device-vlan2] vlan 3
[Device-vlan3] port ethernet 1/3
[Device-vlan3] vlan 4
[Device-vlan4] port ethernet 1/4
[Device-vlan4] quit
# 創建VLAN接口2、VLAN接口3和VLAN接口4,並分別配置IP地址,用於實現不同VLAN之間報文的三層互通。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 1.1.2.1 24
[Device-Vlan-interface2] interface vlan-interface 3
[Device-Vlan-interface3] ip address 1.1.3.1 24
[Device-Vlan-interface3] interface vlan-interface 4
[Device-Vlan-interface4] ip address 1.1.4.1 24
[Device-Vlan-interface4] quit
# 將端口Ethernet1/5的端口類型配置為Trunk,允許VLAN 2、VLAN 3和VLAN 4通過。
[Switch] interface ethernet 1/5
[Switch-Ethernet1/5] port link-type trunk
[Switch-Ethernet1/5] port trunk permit vlan 2 to 4
[Switch-Ethernet1/5] quit
(1) 增加接入設備
· 選擇“業務”頁簽。
· 在界麵左側的導航欄中選擇“用戶接入管理 > 接入設備管理 > 接入設備配置”。
· 單擊<增加>按鈕,進入“增加接入設備”頁麵。
· 單擊<選擇>按鈕,選擇iMC平台中的設備。
· 使用查詢功能快速定位設備,將符合條件的設備增加到“已選擇的設備”區域。
· 選中設備,單擊<確定>按鈕。
圖4 選取設備
· 配置共享密鑰為expert,其它參數使用缺省值即可,單擊<完成>按鈕,接入設備增加成功。
(2) 增加接入規則
· 選擇“業務”頁簽。
· 在界麵左側的導航欄中選擇“用戶接入管理 > 接入規則管理”。
· 單擊<增加>按鈕。
· 配置接入規則名為“下發VLAN 2”,下發VLAN為VLAN 2,其它參數使用缺省值即可。
· 單擊<確定>按鈕,接入規則增加成功。
圖5 增加接入規則
· 參照以上步驟增加接入規則“下發VLAN 3”,下發VLAN為VLAN 3;增加接入規則“下發VLAN 4”,下發VLAN為VLAN 4。
(3) 增加服務
· 選擇“業務”頁簽。
· 在界麵左側的導航欄中選擇“用戶接入管理 > 服務配置管理”。
· 單擊<增加>按鈕。
· 配置服務名為serverA,缺省接入規則選擇“下發VLAN 2”,其它參數使用缺省值即可,單擊<確定>按鈕,服務增加成功。
圖6 增加服務配置
· 參照以上步驟增加服務增加服務serverB,缺省接入規則選擇“下發VLAN 3”;增加服務serverC,缺省接入規則選擇“下發VLAN 4”。
· 選擇“用戶”頁簽。
· 在界麵左側的導航欄中選擇“用戶管理 > 增加用戶”。
· 增加一個全新的用戶。用戶姓名可以是用戶的代號,方便iMC管理員識別不同用戶;證件號碼可以輸入用戶的電話號碼,方便iMC管理員聯係用戶,如下圖所示。
· 單擊<確定>按鈕,用戶增加成功。
圖7 增加用戶
· 在界麵左側的導航欄中選擇“接入用戶視圖 > 所有接入用戶”,單擊<增加>按鈕,進入“增加接入用戶”頁麵。
· 單擊<選擇>按鈕,在彈出的用戶列表中根據“用戶姓名”或“證件號碼”查詢用戶,選擇符合條件的用戶,單擊<確定>按鈕完成接入用戶選擇。
· 設置帳號名(即用戶上網用帳號)為usera、密碼(即用戶上網用密碼)為aaa,選擇關聯的服務,其它參數使用缺省值,單擊<確定>按鈕,接入用戶增加成功。
圖8 增加接入用戶
· 參照以上步驟增加帳號userb,密碼為bbb;增加帳號userc,密碼為ccc。
(1) 在Host A上使用802.1X連接,用戶名usera,密碼aaa,上線成功;在Host B上使用802.1X連接,用戶名userb,密碼bbb,上線成功;在Host C上使用802.1X連接,用戶名userc,密碼ccc,上線成功。
(2) 查看MAC VLAN列表,可以看出Host A和VLAN 2、Host B和VLAN 3、Host C和VLAN 4的表項已經動態生成。當Ethernet1/2收到Host A的報文時,會給它添加VLAN 2的Tag;當Ethernet1/3收到Host B的報文時,會給它添加VLAN 3的Tag;當Ethernet1/4收到Host C的報文時,會給它添加VLAN 4的Tag。
[Switch] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
0011-0020-0001 ffff-ffff-ffff 2 0 D
0011-0020-0002 ffff-ffff-ffff 3 0 D
0011-0020-0003 ffff-ffff-ffff 4 0 D
· Switch:
#
dot1x
#
radius scheme macvlan
server-type extended
primary authentication 192.168.1.15
primary accounting 192.168.1.15
key authentication expert
key accounting expert
user-name-format without-domain
#
domain system
authentication lan-access radius-scheme macvlan
authorization lan-access radius-scheme macvlan
accounting lan-access radius-scheme macvlan
#
interface Ethernet1/2
port link-type hybrid
port hybrid vlan 1 to 2 untagged
mac-vlan enable
dot1x
#
interface Ethernet1/3
port link-type hybrid
port hybrid vlan 1 3 untagged
mac-vlan enable
dot1x
#
interface Ethernet1/4
port link-type hybrid
port hybrid vlan 1 4 untagged
mac-vlan enable
dot1x
#
interface Ethernet1/5
port link-type trunk
port trunk permit vlan 1 to 4
#
· Device:
#
vlan 2 to 4
#
interface Vlan-interface2
ip address 1.1.2.1 255.255.255.0
#
interface Vlan-interface3
ip address 1.1.3.1 255.255.255.0
#
interface Vlan-interface4
ip address 1.1.4.1 255.255.255.0
#
interface Ethernet1/1
ip address 192.168.1.56 255.255.255.0
#
interface Ethernet1/2
port access vlan 2
#
interface Ethernet1/3
port access vlan 3
#
interface Ethernet1/4
port access vlan 4
#
interface Ethernet1/5
port link-type trunk
port trunk permit vlan 1 to 4
#
售前谘詢
售後谘詢
人工在線谘詢
