虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性MAC VLAN配置MAC VLAN配置简介1.1概述常用的ⅥLAN划分方式是通过端口进行划分,虽然这种划分ⅥLAN的方式设置比较很简单,但仅适用于终端设备物理位置比较固定的组网环境。随着移动办公的普及,终端设备可能不再通过固定端口接入交换机,这就会增加网络管理的工作量。比如,一个用户可能本次接入交换机的端口1,而下一次接入交换机的端口2,由于端口1和端口2属于不同的VLAN,若用户想要接入原来的ⅥLAN中,网管就必须重新对交换机进行配置。显然,这种划分方式不适合那些需要频繁改变拓扑结构的网络。而MACⅥLAN则可以有效解决这个问题,它根据终端设备的MAC地址来划分ⅥLAN。这样,即使用户改变了接入端口,也仍然处在原ⅥAN中。图1-1所示为MACⅥAN常见的一种应用场景。笔记本电脑A和服务器A同属一个部门笔记本电脑B和服务器B同属一个部门。若我们希望笔记本电脑A和笔记本电脑B无论在哪个会议室接入网络,都只能访问自己部门的服务器,则可以通过 MAC VLAN来实现。在交换机上将笔记本电脑A和笔记本电脑B的MAC地址分别和各自部门的ⅥLAN绑定,并对各端口进行相应设置即可。这样,两台笔记本电脑无论从哪个端口接入,都只能访问本部门的服务器,因为在设置了 MAC VLAN之后,终端设备所属ⅥLAN不再由它所接入的端口决定,而是由它的MAC地址决定。图1-1 MAC VLAN常用拓扑服务器A服务器RA交换机3交换机1交换机2笔记本MC也1会议1会识罕笔记本MA地址MACⅥAN配置简介■1-3MAC VLAN配置在MACⅥLAN中,交换机对数据包按以下方式进行处理当端口收到∪NTAG数据包时,首先查看该数据包的源MAC地址是否绑定了MACVLAN。若绑定了 MAC VLAN,则给数据包插入相应的TAG,并在该ⅥLAN内转发;若没有绑定MACⅥAN,则继续按照其它规则(例如协议ⅥLAN)进行匹配,如果匹配成功,则转发报文,如果匹配均失败,则棖据该接收端口的PD值给数据包插入TAG,并将数据包在该缺省ⅥLAN内转发。当端口收到TAG数据包时,交换机按照802.1QⅥAN的方式处理该数据包。即如果接收端口允许该ⅥLAN的数据包通过,则正常转发;如果不允许,则丢弃该数据包。1.2配置策略MAC VLAN的总体配置思路为:1)为保证开启MACⅥLAN功能之后端口之间能正常通信,首先应进行8021QⅥAN配置创建802.1QⅥAN,并将需要开启MACⅥAN功能的端口加入相应LAN2)配置 MAC VLAN,将终端设备的MAC地址和相应的ⅥLAN绑定3)通过端口使能开启MACⅥAN功能。MACⅥAN配置简介■1-2MAC VLAN配置配置方法2.1通过Web界面配置 MAC VLAN2.1.1802.1 Q VLAN配置在进行MACⅥLAN配置之前需先进行8021QⅥLAN配置,详情请见《802.1QⅥLAN配置指南》配置步骤1)在VLAN>>80210VLAN>端口配置页面设置端口类型。请将需要启月 MAC VLAN功能的端口类型设置为 Genera,并选择出口规则为 UNTAG。2)在VLAN>>80210VLAN>>VLAN配置贞面创建ⅥLAN,并将相应端口加入ⅥLAN中2.1.2将MAC地址和VLAN绑定进入界面:VLAN>> MAC VLAN>> MAC VLAN图2-1 MAC VLAN配置MACⅥA配置AC也址946A57D2742格式为:0000000/AC茁术PC218个字符)添加清空VLAN D(1-4094MACⅥAN列表MAC地址MAC也MAC描述VLAN D操作64-27-A5-n-2-36PC1编辑匚全选『「赴除」匚韩当前MACⅥAN总数:配置方法■2-1MAC VLAN配置配置步骤1)在“MAC地址”文本框中,输入需要加入MACⅥLAN的设备的MAC地址。在“MAC描述”文本框中,输入相应MAC地址的描述(可选)。2)在“VLAN|D”文本框中输入ⅥLAND,将该MAC地址和该ⅥLAN绑定。3)点击<添加>按键,即可创建 MAC VLAN条目解释MAC地址输入需要加入MACⅥAN的MAC地址,格式为0000-00-00-00-01。MAC描述输入对该MAC地址的描述,便于区分各个MAC地址。VLAN ID输入该MACⅥLAN对应的Ⅵ LAN ID,此ⅥLAN必须是启用MACⅥAN功能的端口所在的8021QⅥLAN。说明:个MAC地址只能和一个AN绑定。2.1.3端口使能默认情况下所有端口MACⅦLAN功能均已关闭,需通过端口使能来开启端口的 MAC VLAN功能。进入界面:VLAN>> MAC VLAN>>端口使能图2-2端口使能口使□1v 4□7□89□10□11□12□13□14□15□17□19□20□21□24□25□26□27□28匚提交]匚全远匚清空匚帮助」配置步骤勾选需要开启MACⅥLAN功能的端口,点击<提交>按键,以启用 MAC VLAN功能。说明·对汇聚组中的某个成员端口使能MACⅥLAN将同时使能所有成员的 MAC VLAN使能了 MAC VLAN的端口不可与未使能MACⅥLAN的端口形成汇聚组。配置方法MAC VLAN配置2.2通过C凵配置 MAC VLAN2.2.1802.1 Q VLAN配置在MACⅥAN配置前,先进行8021QⅥLAN配置。创建ⅥAN,将相应端口加入ⅥLAN中,并将需要启用 MAC VLAN功能的端口类型设置为 Genera,出口规则为设置为∪NTAG。具体步骤如下Step 1cOnifigure进入全局配置模式Step 2vlan vlan-ist输八ⅥLAND,创建∨LANStep 3xit返回全局配置模式。Step 4interface [fastEthernet port range fastEthernet port-list gigabitEthernetport range gigabitEthernet port-list]入端口配置模式。Step 5switchport mode general配置端口类型为 generalStep 6copy running-config startup-config保存当前配置Step 6switchport general allowed vlan vlan-list untagged将 Genera端口加入VLAN,并配置出口规则为∪NTAGStep 7switchport pvid vlan-id设置端口的PVD(可选)。缺省情况下,默认值为1Step 8end返回特权配置模式。Step 9copy running-config startup-config保存当前配置2.22将MAC地址和VLAN绑定将MAC地址和相应VLAN绑定的步骤如下Step 1configure诖入全局配置模式。配置方法MAC VLAN配置Step 2mac-vlan mac-address mac-addr vlan vlan-id [description descript]将MAC地址加入相应VL_AN中mac-add—MAC地址,输入格式为 XXXX XX××xXXX。Vlan-l该MAC地址对应的 VLAN D,此ⅥAN必须是启用 MAC VLAN功能的端口所在的802.QMAN。descript一对该 MAC VLAN条目的描述,最大为8个字符。该参数缺省时,描达字符为空Step 3show mac-vlan i all I mac-address mac-addr vlan vlan-id y显示MAGⅥLAN条目信息(可选)。可选择显示全部信息或显示根据MAG地址和VLAN ID过滤后的信息Step 4end返回特权模式。Step 5copy running-config startup-config保存当前配置22.3端口使能在端口上使能MACⅥLAN功能的步骤如下:Step 1configure进入全局配置模式。Step 2interface [fastEthernet port I range fastEthernet port-list I gigabitEthernetport range gigabitEthernet port-list]诖入端口配置模式。Step 3mac-vlan开启该端口的MAGⅥLAN功能Step 4show mac-vlan interface显示 MAC VLAN所有端口的使能状态(可选)。Step 5end返回特权模式。Step 6copy running-config startup-config保存当前配置。配置方法■2-4MAC VLAN配置3MAC VLAN配置举例3.1组网需求交换机1和交换机2分别连接到两个会议室,两个会议室为部门A和部门B共用;笔记本A和笔记本B是会议室的专用电脑,分别属于不同部门两个部门分别属于ⅥLAN10和ⅥAN20。现要求这两台笔记本电脑无论在哪个会议室使用,均只能访问自己部门的服务器。交换机1和交换机2以TL-SL5428为例,交换机3以T-SG5428为例。32网络拓扑该组网的拓扑如下所示:图3-1组网拓扑服务器A服务器BLaNIc1/34交换机31/01/01/0121没0/2交换1交换机21/0/110/1笔记-56-3A-4C-7」会议室1会议室2笔记本B-19-b6-泌一3B-0MACⅥAN配置举例■3-1MAC VLAN配置33配置思路该组网需求可以通过MACⅥAN来实现,先进行8021QVAN配置,再将两台笔记本电脑的MAC地址和相应ⅥAN绑定。分别在三合交换机上为两个部门创建不同的的ⅥLAN,设置不同的端口类型,注意将接笔记本电脑的端口设置为 Genera,出口规则为 UNTAG,然后将各端口加入相应ⅥLAN中。在交换机1和交换机2上将两台笔记本电脑的MAC地址分别和各自部门的ⅥLAN绑定,并通过端口使能来开启相应端口的MACⅥAN功能。这样,不同部门的笔记本电脑接入交换机后都只能访问自己部门的服务器34配置步骤(Web)配置交换机1(交换机2的配置同交换机1)1)设置端口类型进入界面:VLAN>802.10ⅥLA№>>端口配置,设置端口1/0/1的类型为 Genera,出口规则默认为∪NTAG,设置端口1/0/2的类型为 TRUNK。图3-2端口配置ⅥLAN端口配芹端口择择端口类型PVID所属LANACCESS YⅥLAND查询GENERAL查询T2)配置802.1QVLA进入界面:ⅥLAN>>802.10VLAN>>VLAN配置,创建VLAN10和ⅥLAN20,并将端口1/0/1和1/0/2同时加入VLAN10和VLAN2O。图3-3802.1VLAN配置ⅥLAN配置列表VLAN D选择选择MAND名称端口成员操作□Default vlan128娠辑|查看department A12妇查看department日编辑新逗匚全选匚删除了□帮助当前MLAN总数:3MACⅥAN配置举例■3-2