MAC_VLAN典型配置举例

1MACVLAN典型配置举例MACVLAN配置举例关键词：MACVLAN、802.1X摘要：本文介绍了基于MAC划分VLAN（以下简称MACVLAN）的典型应用及其配置。缩略语：缩略语英文全名中文解释MACVLANMACaddress-basedVLAN基于MAC地址的VLAN，一种根据报文的源MAC地址来确定untagged报文所属VLAN的划分方法802.1X802.1X802.1X协议是一种基于端口的网络接入控制协议（portbasednetworkaccesscontrolprotocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源2目录1特性简介2使用场合3注意事项4静态配置举例4.1组网需求4.2使用版本4.3配置思路4.4配置步骤4.4.1SwitchA的配置4.4.2SwitchB的配置4.4.3CoreSwitch的配置4.4.4验证结果5动态配置举例5.1组网需求5.2使用版本5.3配置思路5.4配置步骤5.4.1HostA的配置5.4.2HostB的配置5.4.3HostC的配置5.4.4Switch的配置5.4.5Device的配置5.4.6RADIUSserver的配置35.4.7验证结果6相关资料41特性简介MACVLAN是一种基于MAC地址来划分VLAN的方式。当端口收到一个untagged报文后，设备将以报文的源MAC地址为匹配关键字，通过查找MACVLAN表项来获知该终端绑定的VLAN，从而实现将指定终端的报文在指定VLAN中转发。该方式能够精确、灵活的实现用户终端与VLAN的绑定。MACVLAN表项有两种生成方式：静态配置和动态配置。静态配置：通过命令行将终端的MAC地址和VLAN进行绑定，生成一条MACVLAN表项。动态配置：和基于MAC的接入认证方式（比如MAC地址认证或者基于MAC的802.1X认证）联合使用。如果用户发起认证请求，认证服务器会对认证用户名和密码进行验证，如果通过，则会下发VLAN信息。此时设备就可根据认证请求报文的源MAC地址和下发的VLAN信息生成MACVLAN表项，并自动将MACVLAN添加到端口允许通过的untaggedVLAN列表中。用户下线后，设备又自动删除MACVLAN表项，并将MACVLAN从端口允许通过的VLAN列表中删除。2使用场合移动或者无线接入的组网环境中，用户接入VLAN固定，但是接入端口不固定。要求用户使用接入设备的任何端口接入网络时，均能划分到同一VLAN。3注意事项MACVLAN只能在Hybrid端口使能，所以在使能MACVLAN前，请将端口的链路类型配置为hybrid。MACVLAN有静态配置和动态配置两种方式，但是同一MAC地址只能绑定一个VLAN。因此，如果已进行了静态配置，而动态下发的绑定关系与静态配置不一致，则动态下发失败，用户不能通过认证；反之，如果动态下发已生效，而静态配置与动态下发的不一致，则静态配置失败。采用动态方式配置MACVLAN时需要基于MAC地址的AAA远程认证的配合，网络中需要部署AAA认证服务器，服务器必须能够下发VLAN。MACVLAN的配置会影响聚合成员端口的选中状态，所以，建议不要在聚合成员端口上配置MACVLAN功能。4静态配置举例54.1组网需求如图1所示，SwitchA和SwitchB的GigabitEthernet1/1端口分别连接到两个会议室，Laptop1和Laptop2是会议用笔记本电脑，会在两个会议室间移动使用。Laptop1属于部门1，Laptop2属于部门2。两个部门间使用VLAN100和VLAN200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1和Server2。Laptop1和Laptop2的MAC地址分别为000d-88f8-4e71、0014-222c-aa69。图1MACVLAN静态配置组网图4.2使用版本本举例是在COMWAREV500R002B74D001版本上进行配置和验证的。4.3配置思路两台终端使用同一端口接入公司网络，但是需要划分到不同VLAN。所以本案例基于MAC来划分VLAN，而不能基于端口来划分VLAN。因为本案例中只有两个接入终端，而且终端的MAC地址已知，接入时不需要认证，所以采用静态配置的方式来划分MACVLAN。64.4配置步骤以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。4.4.1SwitchA的配置1.配置步骤#创建VLAN100和VLAN200。SwitchAsystem-view[SwitchA]vlan100[SwitchA-vlan100]quit[SwitchA]vlan200[SwitchA-vlan200]quit#创建Laptop1的MAC地址与VLAN100的关联，创建Laptop2的MAC地址与VLAN200的关联。[SwitchA]mac-vlanmac-address000d-88f8-4e71vlan100[SwitchA]mac-vlanmac-address0014-222c-aa69vlan200#配置终端的接入端口：Laptop1和Laptop2均可能从GigabitEthernet1/1接入，将GigabitEthernet1/1的端口类型配置为Hybrid，并使其在发送VLAN100和VLAN200的报文时去掉VLANTag；开启GigabitEthernet1/1端口的MAC-VLAN功能。[SwitchA]interfaceGigabitEthernet1/1[SwitchA-GigabitEthernet1/1]portlink-typehybrid[SwitchA-GigabitEthernet1/1]mac-vlantriggerenable[SwitchA-GigabitEthernet1/1]mac-vlanenable7[SwitchA-GigabitEthernet1/1]quit#为了终端能够访问Server1和Server2，需要将上行端口GigabitEthernet1/2的端口类型配置为Trunk，并允许VLAN100和VLAN200的报文通过。[SwitchA]interfaceGigabitEthernet1/2[SwitchA-GigabitEthernet1/2]portlink-typetrunk[SwitchA-GigabitEthernet1/2]porttrunkpermitvlan100200[SwitchA-GigabitEthernet1/2]quit2.配置文件#mac-vlanmac-address000d-88f8-4e71vlan100priority0mac-vlanmac-address0014-222c-aa69vlan200priority0#vlan100#vlan200#interfaceGigabitEthernet1/1portlink-modebridgeportlink-typehybridmac-vlanenablemac-vlantriggerenable#interfaceGigabitEthernet1/2portlink-modebridge8portlink-typetrunkporttrunkpermitvlan11002004.4.2SwitchB的配置SwitchB的配置与SwitchA完全一致，这里不再赘述。4.4.3CoreSwitch的配置1.配置步骤#创建VLAN100和VLAN200，并将GigabitEthernet1/13加入VLAN100，GigabitEthernet1/14加入VLAN200。CoreSwitchsystem-view[CoreSwitch]vlan100[CoreSwitch-vlan100]portgigabitethernet1/13[CoreSwitch-vlan100]quit[CoreSwitch]vlan200[CoreSwitch-vlan200]portgigabitethernet1/14[CoreSwitch-vlan200]quit#配置GigabitEthernet1/3和GigabitEthernet1/4端口为Trunk端口，均允许VLAN100和VLAN200的报文通过。[CoreSwitch]interfacegigabitethernet1/3[CoreSwitch-GigabitEthernet1/3]portlink-typetrunk[CoreSwitch-GigabitEthernet1/3]porttrunkpermitvlan100200[CoreSwitch-GigabitEthernet1/3]quit[CoreSwitch]interfacegigabitethernet1/4[CoreSwitch-GigabitEthernet1/4]portlink-typetrunk[CoreSwitch-GigabitEthernet1/4]porttrunkpermitvlan1002009[CoreSwitch-GigabitEthernet1/4]quit2.配置文件#vlan100#vlan200#interfaceGigabitEthernet1/3portlink-modebridgeportlink-typetrunkporttrunkpermitvlan1100200#interfaceGigabitEthernet1/4portlink-modebridgeportlink-typetrunkporttrunkpermitvlan1100200#interfaceGigabitEthernet1/13portlink-modebridgeportaccessvlan100#interfaceGigabitEthernet1/14portlink-modebridgeportaccessvlan200104.4.4验证结果(1)Laptop1只能访问Server1，不能访问Server2；Laptop2只能访问Server2，不能访问Server1。(2)在SwitchA和SwitchB上可以查看到Laptop1和VLAN100、Laptop2和VLAN200的静态MACVLAN地址表项已经生成。[SwitchA]displaymac-vlanallThefollowingMACVLANaddressesexist:S:StaticD:DynamicMACADDRMASKVLANIDPRIOSTATE--------------------------------------------------------000d-88f8-4e71ffff-ffff-ffff1000S0014-222c-aa69ffff-ffff-ffff2000STotalMACVLANaddresscount:25动态配置举例5.1组网需求某公司为了实现通信安全以及隔离广播报文，给不同的部门指定了不同的VLAN。销售部属于VLAN2；技术支持部属于VLAN3；研发部属于VLAN4。Meetingroom为员工提供了临时办公场所。终端可以通过Switch的任意端口接入公司网络，但接入后只能划分到自己部门所在的VLAN。如图2所示，HostA、HostB、HostC分别归属于VLAN2、VLAN3、VLAN4。为了通信安全，终端必须通过802.1X认证后才能接入网络。图2MACVLAN动态配置组网图115.2使用版本本举例中：Switch和Device设备使用的是C