热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

基本VLAN特性配置与管理——2

基于MAC地址划分VLAN这是一种动态VLAN划分方式。划分思想是把用户计算机网卡上的MAC地址配置与某个VLAN进行关联(是“用户计算机网卡MAC地址”与“VLA

基于MAC地址划分VLAN

这是一种动态VLAN划分方式。划分思想是把用户计算机网卡上的MAC地址配置与某个VLAN进行关联(是“用户计算机网卡MAC地址”与“VLAN”之间的映射,不考虑用户计算机所连接的交换机端口),这样就可实现无论该用户计算机连接在哪台交换机的二层以太网端口上都将保持所属的VLAN不变。

基于MAC地址划分VLAN可以使无论用户计算机接在哪台交换机,也无论是连接在哪个交换机端口上,对应交换机端口都将成为该用户计算机网卡MAC地址所映射的VLAN成员,而不需要在用户计算机改变所连接的端口时重新划分VLAN。进一步提高终端用户的安全性和接入的灵活性。

基于MAC地址的VLAN划分方式只能在Hybrid交换机端口上进行,不能对其他类型端口上连接的用户计算机采用这种VLAN划分方式。  

一、配置基于MAC地址划分VLAN

基于MAC地址划分的VLAN只处理Untagged数据帧,因为这里所介绍的VLAN都是单层VLAN标签(QinQ可以实现双层VLAN标签),只有收到的数据帧中原来没有VLAN标签才可以根据交换机上所配置的MAC地址与VLAN ID映射关系,在数据帧中添加对应的VLAN标签。另外,基于MAC地址划分VLAN仅可在Hybrid端口上进行。这样一来就可使得基于MAC地址划分VLAN主要是针对终端用户设备,而非针对其他网络设备,因为在其他网络设备间连接的端口上发送的数据帧通常都是带有VLAN标签的,即使是Hybrid类型端口。

当交换机Hybrid端口收到的数据帧为Untagged数据帧时,端口会以数据帧的源MAC地址为根据去匹配MAC-VLAN映射表项。如果匹配成功,则在对应的数据帧中添加所匹配到的VLAN ID标签,然后按照对应的VLAN ID和优先级进行转发;如果匹配失败,则按其他匹配原则进行匹配。当交换机端口收到的是Tagged数据帧(仅在设备间连接的端口上才有可能),其处理方式和基于端口的VLAN一样,根据Hybrid类型端口的数据收、发规则进行。

1、基本配置思路

(1)创建要用于与用户主机MAC地址关联的VLAN

(2)在以上创建的VLAN视图下关联用户MAC地址,建立MAC地址与VLAN的映射表,以确定哪些用户MAC地址可划分到以上创建的VLAN中。

(3)配置各用户连接的交换机二层以太网端口类型为Hybrid,并允许前面创建的基于MAC地址划分的VLAN以不带VLAN标签方式通过当前端口。

(4)(可选)配置VLAN划分方式的优先级,确保优先基于MAC地址划分VLAN。缺省情况下是优先基于MAC地址划分VLAN,但是可通过配置改变优先划分的方式。

(5)在Hybrid交换机端口上(注意,不一定要在连接用户计算机的Hybrid端口上配置)使能基于MAC地址划分VLAN功能,完成基于MAC地址划分VLAN

2、配置步骤


如果某VLAN配置为MAC VLAN,要删除该VLAN,必须先使用undo mac-vlan mac-address { all | mac-address [mac-address-mask | mac-address-mask-length]}命令删除所有MAC地址与VLAN的关联NMAC-VLANMUX-VLAN冲突,不允许在同一接口上同时配置这两种VLAN,且MAC-VLAN对接收到的VLAN ID0的数据帧不生效。

示例:配置MAC地址22-33-44VLAN100关联。

system-view

[HUAWEI]vlan 100

[HAUWEI-vlan100]mac-vlan mac-address 22-33-44

    示例:配置GE0/0/1端口优先采用基于MAC地址划分VLAN,并使能基于MAC地址的VLAN划分功能。

system-view

[HUAWEI]interface gigabitethernet 0/0/1

[HAUWEI-GigabitEthernet0/0/1]vlan precedence mac-vlan

[HAUWEI-GigabitEthernet0/0/1]mac-vlan enable

二、基于MAC地址划分VLAN的配置示例

如上拓扑,每个部门的员工划分到一个VLAN中,现假设在工程部中有PC1PC2PC3三个用户,现在要求在该部门中仅这几台PC可以通过SwitchASwitch访问公司网络,如果换成其他PC则不能访问。则针对工程部的三台PC配置基于MAC地址划分的VLAN10,将它们的MAC地址与VLAN绑定,从而防止非法PC访问公司网络。

1、配置思路

面对这样一个基于MAC地址的VLAN划分,最容易想到的是直接到SwitchA交换机上进行配置。实际通常不是这样配置,更简便的方法,是直接在Switch上启用基于MAC地址的VLAN划分功能。

(1)因为华为交换机所有二层以太网端口缺省都是Hybrid类型,并且发送数据帧时都是不带VLAN标签的。故可以让SwitchA全部采用缺省配置,这样到达Switch交换机的数据帧都是不带VLAN标签的。

(2)然后通过在Switch交换机与SwitchA交换机连接的Eth0/0/1端口上配置不带标签发送特性的Hybrid类型,允许来自VLAN10的数据帧通过,并且启用基于MAC地址划分VLAN功能,就可使得连接在SwitchA上的PC1PC2PC3发送的数据帧在到达Switch后自动打上对应的VLAN10标签。

(3)最后将Switch交换机的Eth0/0/2端口配置为带标签的Hybrid类型,并允许VLAN10的数据帧通过即可。

2、配置步骤

SwtichA交换机全部采用缺省配置,只需在Switch交换机上做如下配置:

(1)创建VLAN:   [Switch]vlan 10

(2)创建PCMAC地址与VLAN10关联

[Switch-Vlan10]mac-vlan mac-address 22-22-22

[Switch-Vlan10]mac-vlan mac-address 33-33-33

[Switch-Vlan10]mac-vlan mac-address 44-44-44

[Switch-Vlan10]quit

    (3)配置接口加入的VLAN

[Switch]interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1]port hybrid untagged vlan 10

[Switch-GigabitEthernet0/0/1]quit

[Switch]interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2]port hybrid tagged vlan 10  !—指定允许VLAN10数据帧通过,且发送时必须带有VLAN标签。

[Switch-GigabitEthernet0/0/2]quit

    (4)在连接SwitchAEth0/0/1端口上使能基于MAC地址划分VLAN功能。

[SwitchA]interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1]mac-vlan enable

[SwitchA-GigabitEthernet0/0/1]quit

关于示例的实际配置测试,如下图拓扑:

经过测试,第4步应该是在SwitchGE0/0/1设置。

数据帧在整个链路过程中的变化过程:以PC1为例:

格式说明:DF(DA:PC5,SA:PC1,TG:UT)——DF:Data Frame数据帧,DA:目的地址,SA:源地址,TG:标签标记,UT代表无标签,有标签,则为VLANID

从PC1到PC5的帧变化过程:

PC5PC1的帧变化过程:

如上的拓扑按上述设置后,SwitchA4台交换机实际是处于一个VLAN的,即默认的VLAN1,他们之间可以互相访问,只是对于Switch来说,PC1~PC3是在VLAN10中,PC7是在默认的VLAN1中。

如下拓扑

如下配置

PC1PC2基于MAC地址划分VLAN,并且在一个VLAN2中,可以互访,PC4也在VLAN2中,PC1PC2PC4都可以互访,PC3不可以访问VLAN2中的设备。

基于MAC的子网划分现在看来最实用的就是第一个配置示例的拓扑,一般在级联的交换机端口上(Switch交换机)启用MAC-VLAN,来过滤哪些主机可以通过,而被级联的交换机(SwitchA)不需要配置,其上的设备之间可以互访。

基于子网划分VLAN

基于子网划分VLAN是基于数据帧中上层(网络层)IP地址或所属IP网段进行的VLAN划分,与“基于协议划分VLAN”统称为“基于网络层划分VLAN”,也属于动态VLAN划分方式。适用于对安全性需求不高,对移动性和简易管理需求较高的场景中。

基于子网VLAN的划分思想是把用户计算机网卡上的IP地址配置与某个VLAN进行关联(是“用户计算机网卡IP地址”与“VLAN”之间的映射,不考虑用户计算机所连接的交换机端口)。基于IP子网划分的VLAN也只处理Untagged数据帧,所以也只能在Hybrid类型端口上进行划分。

一、配置基于IP子网划分VLAN

当设备端口接收到Untagged数据帧时,设备根据数据帧的源IP地址或指定网段来确定数据帧所属的VLAN,并在数据帧中添加对应的VLANID标签,然后自动将数据帧自动划分到指定VLAN中传输。

1、基本配置思路、

(1)创建用于与用户主机IP地址关联的VLAN

(2)在以上创建的VLAN视图下关联用户IP地址,建立IP地址与VLAN的映射表,以确定哪些用户IP地址可划分到以上创建的VLAN中。

(3)配置各用户连接的交换机二层以太网端口类型为Hybrid,并允许前面创建的基于IP地址划分的VLAN以不带标签方式通过当前端口。

(4)(可选)配置VLAN划分方式的优先级,确保优先基于IP地址划分VLAN

(5)在Hybrid交换机端口上(注意,不一定在连接用户计算机的Hybrid端口上)使能基于IP地址划分VLAN功能,完成基于IP地址划分VLAN

2、配置步骤



示例:将10.10.10.0/24网段与VLAN3进行关联,采用基于IP子网的方式划分VLAN,使得源IP地址在该网段的报文可以分发到VLAN3中传输。}

system-view

[HUAWEI]vlan 3

[HUAWEI-Vlan3]ip-subnet-vlan ip 10.10.10.0 255.255.255.0

示例:配置GE0/0/1端口优先采用基于IP子网的VLAN划分方式,使能基于IP子网划分VLAN的功能。

system-view

[HAUWEI]interface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1]vlan precedence ip-subnet-vlan

[HUAWEI-GigabitEthernet0/0/1]ip-subnet-vlan enable

二、基于IP子网划分VLAN配置示例

如上公司拓扑,公司拥有IPTVVoIPInternet等多种业务,且使用每种业务的用户IP地址网段各不相同。为便于管理,现需要将同一类型业务划分到同一VLAN中,不同类型业务划分VLAN100VLAN200VLAN300。当Switch接收到这些业务数据帧时根据帧中封装的源IP地址网段的不同自动为帧添加对应的VLAN ID标签,最终实现通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。

    1、配置思路

    仅在Switch上配置,SwitchA保持缺省

(1)创建VLAN,确定每种业务所属的VLAN

(2)关联IP子网和VLAN

(3)以正确的类型把各端口加入对应的VLAN,实现基于IP子网的VLAN通过当前端口。

(4)配置VLAN划分方式的优先级,确保优先选择基于IP子网划分VLAN。然后使能基于IP子网划分VLAN

2、配置步骤

(1)位各业务用户创建所需的VLAN,即在Switch上创建VLAN100200300

(2)关联IP子网与VLAN,并设置不同优先级(优先级是可选配置)

[HUAWEI]vlan 100

[HAUWEI-Vlan100]ip-subnet-vlan 1 ip 192.168.1.2 24 prority 2

[HUAWEI-Vlan100]quit

[HUAWEI]vlan 200

[HAUWEI-Vlan200]ip-subnet-vlan 1 ip 192.168.2.2 24 prority 3

[HUAWEI-Vlan200]quit

[HUAWEI]vlan 300

[HAUWEI-Vlan300]ip-subnet-vlan 1 ip 192.168.3.2 24 prority 4

[HUAWEI-Vlan300]quit

(3)配置各端口类型及允许加入的VLAN。注意在启用基于IP子网划分VLANGE0/0/1端口上要采用Untagged方式的Hybrid类型端口,并允许所有业务的VLAN数据帧通过;其他连接各数据服务器的端口可以是Trunk端口,也可以是Tagged方式的Hybrid类型端口,并仅允许对应的VLAN数据帧通过。

[HUAWEI]ingterface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1]port link-type hybrid

[HUAWEI-GigabitEthernet0/0/1]port hybrid untagged vlan 100 200 300

[HUAWEI-GigabitEthernet0/0/1]quit

[HUAWEI]ingterface gigabitethernet 0/0/2

[HUAWEI-GigabitEthernet0/0/2]port link-type trunk

[HUAWEI-GigabitEthernet0/0/2]port trunk allow-pass vlan 100

[HUAWEI-GigabitEthernet0/0/2]quit

[HUAWEI]ingterface gigabitethernet 0/0/3

[HUAWEI-GigabitEthernet0/0/3]port link-type trunk

[HUAWEI-GigabitEthernet0/0/3]port trunk allow-pass vlan 200

[HUAWEI-GigabitEthernet0/0/3]quit

[HUAWEI]ingterface gigabitethernet 0/0/4

[HUAWEI-GigabitEthernet0/0/4]port link-type trunk

[HUAWEI-GigabitEthernet0/0/4]port trunk allow-pass vlan 300

[HUAWEI-GigabitEthernet0/0/4]quit

    (4)在Switch上配置接口GE0/0/1优先采用基于IP子网进行VLAN划分,并使能基于IP子网划分VLAN功能。

[HUAWEI]ingterface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1]vlan precedence ip-subnet-vlan

[HUAWEI-GigabitEthernet0/0/1]ip-subnet-vlan enable

[HUAWEI-GigabitEthernet0/0/1]quit


推荐阅读
  • 网卡工作原理及网络知识分享
    本文介绍了网卡的工作原理,包括CSMA/CD、ARP欺骗等网络知识。网卡是负责整台计算机的网络通信,没有它,计算机将成为信息孤岛。文章通过一个对话的形式,生动形象地讲述了网卡的工作原理,并介绍了集线器Hub时代的网络构成。对于想学习网络知识的读者来说,本文是一篇不错的参考资料。 ... [详细]
  • 三层交换机的原理和设计
    三层交换机的原理和设计1.引言传统路由器在网络中起到隔离网络、隔离广播、路由转发以及防火墙的作业,并且随着网络的不断发展,路由器的负荷也在迅速增长。其中一个重要原因是出于安全和管理方便等方 ... [详细]
  • [软件工具]最新最好最全的软件大全一起打包下载了[永远留种]
    软件下载列表:  安全防毒/QQ病毒专杀工具XPQQKav2006新春版.exe805.14KB  安全防毒/SymantecAntiVirus10. ... [详细]
  • 42VERSE & 圆圈徽章,Web3 社交的流派之争——针对两个国内案例的调研
    01 行业分析本文所研究的细分赛道为:Web3应用层——社交与内容场景——DID/创新场景(以元宇宙3D空间为 ... [详细]
  • 互联网世界 9 种基本的商业模式
    互联网世界9种基本的商业模式一个商业模式是运行一个公司的方法;通过该模式的运作,一个公司能维持自己的生存,就是说,能有收益。商业模式意味着一个公司是如何通过在价值链中定位自己,从而获 ... [详细]
  • 计算机网络四
    大三上结束之际,从网上找来一些关于计算机网络的知识作为总结,本文四篇笔记全部转自猪头任(博客地址:http:www.cnbl ... [详细]
  • 这是一份详细 & 清晰的计算机网络基础 学习指南
    前言计算机网络基础该是程序猿需掌握的知识,但往往会被忽略今天,我将献上一份详细&清晰的计算机网络基础学习指南,涵盖TCPUDP协议、Http协议、Socket等,希望你们会喜欢。目 ... [详细]
  • 阿里p8用端午节3天假期整理出了Spring Cloud知识点大全,太全了
     前言:今天一觉起来,发现我们开工的日期又延迟了,虽然已经在家办公一个多礼拜了,但是由于家里的环境还是不能有很高的效率。于是干脆就对SpringCloud的一些知识点做了一些整理。 ... [详细]
  • 本文介绍了计算机网络的定义和通信流程,包括客户端编译文件、二进制转换、三层路由设备等。同时,还介绍了计算机网络中常用的关键词,如MAC地址和IP地址。 ... [详细]
  • 本文详细解析了vlan接口类型和划分的相关知识,包括access、trunk和hybrid接口类型的特点和功能,以及它们在数据包发送和接收过程中的处理方式。同时介绍了pvid的作用和使用方法,以及trunk接口在发送数据包时的处理规则。最后,还介绍了如何使所有vlan生效的方法。 ... [详细]
  • 本文详细介绍了在Linux虚拟化部署中进行VLAN配置的方法。首先要确认Linux系统内核是否已经支持VLAN功能,然后配置物理网卡、子网卡和虚拟VLAN网卡的关系。接着介绍了在Linux配置VLAN Trunk的步骤,包括将物理网卡添加到VLAN、检查添加的VLAN虚拟网卡信息以及重启网络服务等。最后,通过验证连通性来确认配置是否成功。 ... [详细]
  • crossorigin注解添加了解决不了跨域问题_CORS与@CrossOrigin详解
    1、跨域的基本概念a、跨域的解释要了解跨域,首先需要知晓浏览器的同源策略,简单的说就是两个请求协议、端口、主机都相同,则两个请求具有相同的 ... [详细]
  • Linux提权之suid篇
    Linux提权之suid篇不知攻,焉知防一个在安服路上摸索的大三生,记录平时学习笔记suid前言:1.只有可以执行的二进制程序文件才 ... [详细]
  • DDOSDDOS的中文名叫分布式拒绝服务***,俗称洪水***DDoS***概念DoS的***方式有很多种,最基本的DoS***就是利用合理的服务请求来 ... [详细]
  • 猪猪猫.CNWINXPSP2电脑城装机12DVD[豪华版]
    直接下载地址http:bt.jujumao.cn点击下载种子下载信息[点击浏览该文件:2007-12-19猪猪猫.cn-winxpsp2电脑城装机12豪华版.torrent]| ... [详细]
author-avatar
继续不插电的名单
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有