随着移动办公的普及,终端设备可能要求不通过固定端口接入网络,它可能本次使用端口A接入网络,下次使用端口B接入网络。如果端口A和端口B的VLAN配置不同,则终端设备第2次接入后就会被划分到不同VLAN,导致无法使用原VLAN内的资源;如果端口A和端口B的VLAN配置相同,当端口B被分配给别的终端设备时,又会引入安全问题。如何在同一端口下,允许不同VLAN的主机自由接入呢?MAC VLAN 功能由此产生。
MAC VLAN是基于MAC地址划分的VLAN,是一种新的VLAN划分方法。该功能通常会和认证计费系统(如RG-SAM)802.1X下发VLAN功能结合使用,以实现802.1X终端的安全、灵活接入。当802.1X用户通过认证后,根据认证服务器下发的VLAN和用户MAC地址,由交换机自动生成MAC VLAN表项。网络管理员也可以预先在交换机上配置MAC地址和VLAN的关联关系。
MAC VLAN静态配置需要网络管理员通过命令行在本地交换机设备上手动配置MAC地址和VLAN的关联关系。在这种方式中,管理员需要手动配置MAC VLAN表项,启动基于MAC划分VLAN的功能,然后手动将对应的端口加入MAC VLAN。很显然这种方式工作量比较大,常用于MAC VLAN中用户相对较少的网络环境。
MAC VLAN的最大优点就是当用户物理位置发生移动时,即从一台交换机换到其他交换机时,不需要重新配置用户所在端口的VLAN。所以,可以认为这种根据MAC地址的VLAN划分方法是基于用户的 VLAN。
MAC VLAN静态配置步骤如下。
(1)交换机的端口在默认情况下关闭了MAC VLAN功能,首先需要在端口配置模式下启用此功能,启用MAC VLAN 功能的端口必须首先配置为Hybrid 模式,否则会提示“Error:MAC VLAN can be enabled on Hybrid port only.”错误。
(2)在全局模式下配置MAC地址和VLAN的关联关系,MAC VLAN表项仅对无标签的报文有效。
在图3-7中,某公司的部门A与部门B属于不同VLAN,两个部门的员工携带笔记本计算机共同在会议室开会的时候接入交换机的端口是不固定的,需要配置MAC VLAN功能,使部门A的用户无论接入交换机C的任何端口都属于VLAN 13,能访问SERVER1,不能访问SERVER2;部门B的用户无论接入交换机C的任何端口都属于VLAN 24,能访问SERVER2,不能访问SERVER1;外来接入终端无法访问SERVER1和SERVER2。
图3-7 静态MAC VLAN配置拓扑(www.xing528.com)
交换机A的配置如下:
交换机B的配置如下:
交换机C的配置如下:
配置完毕后使用ping命令测试连通性,PC1、PC2、PC3、PC4无论从交换机C的哪个端口接入,都属于固定的VLAN,PC1和PC3属于13号VLAN,能访问SERVER1,不能访问SERVER2;PC2和PC4属于24号VLAN,能访问SERVER2,不能访问SERVER1;其他计算机接入无法访问SERVER1和SERVER2。
使用下列指令可以查看或修改MAC地址和VLAN的关联关系。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
