- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-VLAN配置
本章節下載: 03-VLAN配置 (418.03 KB)
以太網是一種基於CSMA/CD(Carrier Sense Multiple Access/Collision Detect,帶衝突檢測的載波偵聽多路訪問)技術的共享通訊介質。采用以太網技術構建的局域網,既是一個衝突域,又是一個廣播域,當網絡中主機數目較多時會導致衝突嚴重,廣播泛濫、性能顯著下降,甚至網絡不可用等問題。通過在以太網中部署網橋或二層交換機,可以解決衝突嚴重的問題,但仍然不能隔離廣播報文。在這種情況下出現了VLAN(Virtual Local Area Network,虛擬局域網)技術,這種技術可以把一個物理LAN劃分成多個邏輯的LAN——VLAN。處於同一VLAN的主機能直接互通,而處於不同VLAN的主機則不能直接互通。這樣,廣播報文被限製在同一個VLAN內,即每個VLAN是一個廣播域。如圖1-1所示,VLAN 2內的主機可以互通,但與VLAN 5內的主機不能互通。
圖1-1 VLAN示意圖
VLAN的劃分不受物理位置的限製:不在同一物理位置範圍的主機可以屬於同一個VLAN;一個VLAN包含的用戶可以連接在同一個交換機上,也可以跨越交換機,甚至可以跨越路由器。
VLAN的優點如下:
· 限製廣播域。廣播域被限製在一個VLAN內,節省了帶寬,提高了網絡處理能力。
· 增強局域網的安全性。VLAN間的二層報文是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需通過路由器或三層交換機等三層設備。
· 靈活構建虛擬工作組。通過VLAN可以將不同的主機劃分到不同的工作組,同一工作組的主機可以位於不同的物理位置,網絡構建和維護更方便靈活。
要使網絡設備能夠分辨不同VLAN的報文,需要在報文中添加標識VLAN的字段。由於二層交換機工作在OSI模型的數據鏈路層,隻能對報文的數據鏈路層封裝進行識別。因此,如果添加識別字段,也需要添加到數據鏈路層封裝中。
IEEE(Institute of Electrical and Electronics Engineers,電氣和電子工程師學會)於1999年頒布了用以標準化VLAN實現方案的IEEE 802.1Q協議標準草案,對帶有VLAN標識的報文結構進行了統一規定。
傳統的以太網報文在目的MAC地址和源MAC地址之後封裝的是上層協議的類型字段,如圖1-2所示,其中DA表示目的MAC地址,SA表示源MAC地址,Type表示上層協議的類型。
IEEE 802.1Q協議規定,在以太網報文的目的MAC地址和源MAC地址之後、協議類型字段之前加入4個字節的VLAN Tag,用以標識VLAN的相關信息,如圖1-3所示。
圖1-3 VLAN Tag的組成字段
如圖1-3所示,VLAN Tag包含四個字段,分別是TPID(Tag Protocol Identifier,標簽協議標識符)、Priority、CFI(Canonical Format Indicator,標準格式指示位)和VLAN ID。
· TPID用來表示報文是否帶有VLAN Tag,長度為16比特,缺省情況下,TPID取值為0x8100,表示數據幀中包括VLAN Tag。但各設備廠商可以自定義該字段的值。當鄰居設備將TPID值配置為非0x8100時,為了能夠識別這樣的報文,實現互通,必須在本設備上修改TPID值,確保和鄰居設備的TPID值配置一致。如果報文的TPID值為配置值或0x8100,則該報文被認為帶有VLAN Tag。
· Priority用來表示報文的802.1p優先級,長度為3比特,相關內容請參見“ACL和QoS配置指導”中的“QoS”。
· CFI用來表示MAC地址在不同的傳輸介質中是否以標準格式進行封裝,長度為1比特。取值為0表示MAC地址以標準格式進行封裝,為1表示以非標準格式封裝,缺省取值為0。
· VLAN ID用來表示該報文所屬VLAN的編號,長度為12比特,取值範圍為0~4095。由於0和4095為協議保留取值,所以VLAN ID的取值範圍為1~4094。
網絡設備根據報文是否攜帶VLAN Tag以及攜帶的VLAN Tag信息,來對報文進行處理,利用VLAN ID來識別報文所屬的VLAN。詳細的處理方式請參見“1.4.1 基於端口的VLAN簡介”。
· 以太網支持Ethernet II、802.3/802.2 LLC、802.3/802.2 SNAP和802.3 raw封裝格式,本文以Ethernet II型封裝為例。802.3/802.2 LLC、802.3/802.2 SNAP和802.3 raw封裝格式添加VLAN Tag字段的方式請參見相關協議規範。
· 對於帶有多層VLAN Tag的報文,設備會根據其最外層VLAN Tag進行處理,而內層VLAN Tag會被視為報文的普通數據部分。
VLAN根據劃分方式不同可以分為不同類型,下麵列出了幾種最常見的VLAN類型:
· 基於MAC地址的VLAN
· 基於IP子網的VLAN
設備目前僅支持基於端口和基於MAC地址的VLAN。本章將分別介紹基於端口的VLAN、基於MAC地址的VLAN。如果某個接口下同時使能以上兩種VLAN,則缺省情況下VLAN的匹配將按照MAC VLAN、端口VLAN的先後順序進行。
與VLAN相關的協議規範有:
· IEEE 802.1Q:IEEE Standard for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks
表1-1 配置VLAN基本屬性
|
創建一個VLAN並進入VLAN視圖,或批量創建VLAN |
缺省情況下,係統隻有一個缺省VLAN(VLAN 1) |
|
|
進入VLAN視圖 |
批量創建VLAN時,為必選;否則,無需執行本命令 |
|
|
指定當前VLAN的名稱 |
缺省情況下,VLAN的名稱為“VLAN vlan-id”,其中vlan-id為該VLAN的編號。例如,VLAN 100的名稱為“VLAN 0100” |
|
|
配置當前VLAN的描述信息 |
缺省情況下,VLAN的描述信息為“VLAN vlan-id”,其中vlan-id為該VLAN的編號。例如,VLAN 100的描述信息為“VLAN 0100” |
· VLAN 1為係統缺省VLAN,用戶不能手工創建和刪除。
· 保留VLAN是係統為實現特定功能預留的VLAN,用戶也不能手工創建和刪除。
· 協議保留的VLAN、管理VLAN、動態學習到的VLAN、配置有QoS策略的VLAN,都不能使用undo vlan命令直接刪除。隻有將相關配置刪除之後,才能刪除相應的VLAN。
不同VLAN間的主機不能直接通信,通過在設備上配置VLAN接口,可以實現VLAN間的三層互通。
VLAN接口是一種三層的虛擬接口,它不作為物理實體存在於設備上。每個VLAN對應一個VLAN接口,在為VLAN接口配置了IP地址後,該IP地址即可作為本VLAN內網絡設備的網關地址,對需要跨網段的報文進行基於IP地址的三層轉發。
表1-2 配置VLAN接口基本屬性
|
創建VLAN接口並進入VLAN接口視圖 |
如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
|
配置VLAN接口的IP地址 |
缺省情況下,沒有配置VLAN接口的IP地址 |
|
|
配置當前VLAN接口的描述信息 |
缺省情況下,VLAN接口的描述信息為該VLAN接口的接口名,如“Vlan-interface1 Interface” |
|
|
配置VLAN接口的MTU值 |
缺省情況下,VLAN接口的MTU值為1500字節 |
|
|
恢複VLAN接口的缺省配置 |
||
|
缺省情況下,未手工關閉VLAN接口。此時VLAN接口狀態受VLAN中端口狀態的影響,即:當VLAN中所有以太網端口狀態均為down時,VLAN接口為down狀態,即關閉狀態;當VLAN中有一個或一個以上的以太網端口處於up狀態時,則VLAN接口處於up狀態 |
在創建VLAN接口之前,對應的VLAN必須已經存在,否則將不能創建指定的VLAN接口。
l 該配置舉例中對於AC設備的以太網接口的配置,請參見表1-3。實際使用中會有XGE口和GE口的情況,本配置舉例以GigabitEthernet接口為例,實際使用中請以設備的實際情況為準。
表1-3 AC以太網接口配置說明
|
LSUM1WCME0 |
||
|
WX3510E WX3540E |
||
|
WX5510E |
||
|
WX2540E |
對於無線相關的特性,請直接在設備的LAN口上配置 對於路由相關的特性,比如PPPoE、RIP等,請直接在設備的WAN口配置 |
|
|
WAC360 WAC361 |
||
|
WX6100E(包括EWPXM2WCMD0、EWPXM3WCMD0、EWPXM1WCME0) |
請直接在WX6100E的無線控製器業務板與交換板相連的內部以太網接口上配置(無線控製器業務板插在WX6100E無線控製器的擴展插槽上) |
|
如圖1-4所示,PC A、PC B與AC組網。其中PC A、PC B分別屬於VLAN 5、VLAN 10,且處於不同網段,不能直接通信。通過在AC上創建並配置VLAN接口,實現不同網段的PC A與PC B跨VLAN三層互通。
圖1-4 通過VLAN接口實現VLAN間互通
# 創建VLAN 5,並向VLAN 5中添加端口GE1/0/1。
[AC] vlan 5
[AC-vlan5] port GigabitEthernet 1/0/1
# 創建VLAN 10,並向VLAN 10中添加端口GE1/0/2。
[AC-vlan10] port GigabitEthernet 1/0/2
[AC-vlan10] quit
# 創建Vlan-interface5,並配置其IP地址為192.168.0.10/24。
[AC] interface vlan-interface 5
[AC-Vlan-interface5] ip address 192.168.0.10 24
[AC-Vlan-interface5] quit
# 創建Vlan-interface10,並配置其IP地址為192.168.1.20/24。
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 192.168.1.20 24
[AC-Vlan-interface10] return
# 將其默認網關配為192.168.0.10。
# 將其默認網關配為192.168.1.20。
(1) PC A與PC B可以相互ping通。
# 查看AC上三層接口的IP基本配置信息,驗證以上配置是否生效。
<AC> display ip interface brief
*down: administratively down
(s): spoofing (l): loopback
Interface Physical Protocol IP Address Description
M-GE1/0/0 up up -- --
Vlan5 up up 192.168.0.10 Vlan-inte...
Vlan10 up up 192.168.1.20 Vlan-inte...
基於端口劃分VLAN是最簡單、最有效的VLAN劃分方法。它按照設備端口來定義VLAN成員,將指定端口加入到指定VLAN中之後,端口就可以轉發該VLAN的報文。
根據端口在轉發報文時對VLAN Tag的不同處理方式,可將端口的鏈路類型分為三種:
· Access連接:端口發出去的報文不帶VLAN Tag。一般用於和不能識別VLAN Tag的終端設備相連,或者不需要區分不同VLAN成員時使用。如圖1-5所示,Device A和普通的PC相連,PC不能識別帶VLAN Tag的報文,所以需要將Device A和PC相連端口的鏈路類型設置為Access。
· Trunk連接:端口發出去的報文,端口缺省VLAN內的報文不帶Tag,其它VLAN內的報文都必須帶Tag。通常用於網絡傳輸設備之間的互連。如圖1-5所示,Device A和Device B之間需要傳輸VLAN 2和VLAN 3的報文,所以,需要將Device A和Device B相連端口的鏈路類型設置為Trunk,並允許VLAN 2和VLAN 3通過。
· Hybrid連接:端口發出去的報文可根據需要配置某些VLAN內的報文帶Tag,某些VLAN內的報文不帶Tag。通常在不確定相連的設備是否支持VLAN Tag(即是否可以識別攜帶VLAN Tag的報文)時,配置某些VLAN內的報文不帶Tag。如圖1-5所示,Device C與一個小局域網相連,局域網中有些PC屬於VLAN 2,有些PC屬於VLAN 3,此時Device B不確定Device C是否支持VLAN Tag,需要將與Device C相連端口的鏈路類型設置為Hybrid,並允許VLAN 2和VLAN 3的報文不帶Tag通過。
除了可以設置端口允許通過的VLAN外,還可以設置端口的缺省VLAN,即PVID(Port VLAN ID,端口VLAN ID)。在缺省情況下,所有端口的缺省VLAN均為VLAN 1,但用戶可以根據需要進行配置。
· Access端口的缺省VLAN就是它所在的VLAN。
· Trunk端口和Hybrid端口可以允許多個VLAN通過,能夠配置缺省VLAN。
· 當執行undo vlan命令刪除的VLAN是某個端口的缺省VLAN時,對Access端口,端口的缺省VLAN會恢複到VLAN 1;對Trunk或Hybrid端口,端口的缺省VLAN配置不會改變,即它們可以使用已經不存在的VLAN作為缺省VLAN。
· 建議本端設備端口的缺省VLAN ID和相連的對端設備端口的缺省VLAN ID保持一致。
· 建議保證端口的缺省VLAN為端口允許通過的VLAN。如果端口不允許某VLAN通過,但是端口的缺省VLAN為該VLAN,則端口會丟棄收到的該VLAN的報文或者不帶VLAN Tag的報文。
在配置了端口鏈路類型和缺省VLAN後,端口對報文的接收和發送的處理有幾種不同情況,具體情況請參看表1-4。
|
Access端口 |
為報文添加缺省VLAN的Tag |
· 當VLAN ID與缺省VLAN ID相同時,接收該報文 · 當VLAN ID與缺省VLAN ID不同時,丟棄該報文 |
去掉Tag,發送該報文 |
|
Trunk端口 |
· 當缺省VLAN ID在端口允許通過的VLAN ID列表裏時,接收該報文,給報文添加缺省VLAN的Tag · 當缺省VLAN ID不在端口允許通過的VLAN ID列表裏時,丟棄該報文 |
· 當VLAN ID在端口允許通過的VLAN ID列表裏時,接收該報文 · 當VLAN ID不在端口允許通過的VLAN ID列表裏時,丟棄該報文 |
· 當VLAN ID與缺省VLAN ID相同,且是該端口允許通過的VLAN ID時:去掉Tag,發送該報文 · 當VLAN ID與缺省VLAN ID不同,且是該端口允許通過的VLAN ID時:保持原有Tag,發送該報文 |
|
Hybrid端口 |
當報文中攜帶的VLAN ID是該端口允許通過的VLAN ID時,發送該報文,並可以通過port hybrid vlan命令配置端口在發送該VLAN(包括缺省VLAN)的報文時是否攜帶Tag |
||
配置基於Access端口的VLAN有兩種方法:一種是在VLAN視圖下進行配置,另一種是在接口視圖下進行配置。
表1-5 配置基於Access端口的VLAN(在VLAN視圖下)
|
進入VLAN視圖 |
||
|
向當前VLAN中添加一個或一組Access端口 |
表1-6 配置基於Access端口的VLAN(在接口視圖下)
|
· WLAN-ESS接口和二層以太網接口視圖下的配置都隻對當前接口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|||
|
將當前Access端口加入到指定VLAN |
port access vlan vlan-id |
缺省情況下,所有Access端口都屬於且隻屬於VLAN 1 |
|
· 在將Access端口加入到指定VLAN之前,要加入的VLAN必須已經存在。
· 在VLAN視圖下向VLAN中添加端口時,隻能添加二層以太網端口。
Trunk端口可以允許多個VLAN通過,隻能在接口視圖下進行配置。
表1-7 配置基於Trunk端口的VLAN
|
· 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|||
|
允許指定的VLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
缺省情況下,Trunk端口隻允許VLAN 1的報文通過 |
|
|
設置Trunk端口的缺省VLAN |
port trunk pvid vlan vlan-id |
缺省情況下,Trunk端口的缺省VLAN為VLAN 1 |
|
· Trunk端口和Hybrid端口之間不能直接切換,隻能先設為Access端口,再設置為其它類型端口。
· 配置缺省VLAN後,必須使用port trunk permit vlan命令配置允許缺省VLAN的報文通過,出接口才能轉發缺省VLAN的報文。
Hybrid端口可以允許多個VLAN通過,隻能在接口視圖下進行配置。
表1-8 配置基於Hybrid端口的VLAN
|
· WLAN-ESS接口和二層以太網接口視圖下的配置都隻對當前端口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|||
|
允許指定的VLAN通過當前Hybrid端口 |
缺省情況下,Hybrid端口隻允許VLAN 1的報文以Untagged方式通過(即VLAN 1的報文從該端口發送出去後不攜帶VLAN Tag) |
||
|
設置Hybrid端口的缺省VLAN |
port hybrid pvid vlan vlan-id |
缺省情況下,Hybrid端口的缺省VLAN為VLAN 1 |
|
· Trunk端口和Hybrid端口之間不能直接切換,隻能先設為Access端口,再設置為其它類型端口。
· 在設置允許指定的VLAN通過Hybrid端口之前,允許通過的VLAN必須已經存在。
· 配置缺省VLAN後,必須使用port hybrid vlan命令配置允許缺省VLAN的報文通過,出接口才能轉發缺省VLAN的報文。
l 該配置舉例中對於AC設備的以太網接口的配置,請參見表1-9。實際使用中會有XGE口和GE口的情況,本配置舉例以GigabitEthernet接口為例,實際使用中請以設備的實際情況為準。
表1-9 AC以太網接口配置說明
|
LSUM1WCME0 |
||
|
WX3510E WX3540E |
||
|
WX5510E |
||
|
WX2540E |
對於無線相關的特性,請直接在設備的LAN口上配置 對於路由相關的特性,比如PPPoE、RIP等,請直接在設備的WAN口配置 |
|
|
WAC360 WAC361 |
||
|
WX6100E(包括EWPXM2WCMD0、EWPXM3WCMD0、EWPXM1WCME0) |
請直接在WX6100E的無線控製器業務板與交換板相連的內部以太網接口上配置(無線控製器業務板插在WX6100E無線控製器的擴展插槽上) |
|
· Host A和Host C屬於部門A,但是通過不同的設備接入公司網絡;Host B和Host D屬於部門B,也通過不同的設備接入公司網絡。
· 為了通信的安全性,也為了避免廣播報文泛濫,公司網絡中使用VLAN技術來隔離部門間的二層流量。其中部門A使用VLAN 100,部門B使用VLAN 200。
· 現要求不管是否使用相同的設備接入公司網絡,同一VLAN內的主機能夠互通。即Host A和Host C能夠互通,Host B和Host D能夠互通。
# 創建VLAN 100,並將GE1/0/2加入VLAN 100。
[AC1] vlan 100
[AC1-vlan100] port Gigabitethernet 1/0/2
[AC1-vlan100] quit
# 創建VLAN 200,並將GE1/0/3加入VLAN 200。
[AC1-vlan200] port GigabitEthernet 1/0/3
[AC1-vlan200] quit
# 為了使AC 1上VLAN 100和VLAN 200的報文能發送給AC 2,將GE1/0/4的鏈路類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。
[AC1] interface GigabitEthernet 1/0/4
[AC1-GigabitEthernet1/0/4] port link-type trunk
[AC1-GigabitEthernet1/0/4] port trunk permit vlan 100 200
Please wait... Done.
(2) AC 2上的配置與AC 1上的配置完全一樣,不再贅述。
(3) 將Host A和Host C配置在一個網段,比如192.168.100.0/24;將Host B和Host D配置在一個網段,比如192.168.200.0/24。
(1) Host A和Host C能夠互相ping通,但是均不能ping通Host B。Host B和Host D能夠互相ping通,但是均不能ping通Host A。
# 查看AC 1上VLAN 100和VLAN 200的配置信息,驗證以上配置是否生效。
[AC1-GigabitEthernet1/0/4] display vlan 100
VLAN ID: 100
VLAN Type: static
Route Interface: not configured
Description: VLAN 0100
Name: VLAN 0100
Broadcast MAX-ratio: 100%
Tagged Ports:
GigabitEthernet1/0/4
Untagged Ports:
GigabitEthernet1/0/2
[AC1-GigabitEthernet1/0/4] display vlan 200
VLAN ID: 200
VLAN Type: static
Route Interface: not configured
Description: VLAN 0200
Name: VLAN 0200
Broadcast MAX-ratio: 100%
Tagged Ports:
GigabitEthernet1/0/4
Untagged Ports:
GigabitEthernet1/0/3
基於MAC劃分VLAN是VLAN的另一種劃分方法。它按照報文的源MAC地址來定義VLAN成員,將指定報文加入該VLAN的Tag後發送。該功能通常會和安全(比如802.1X)技術聯合使用,以實現終端的安全、靈活接入。
手動配置靜態MAC VLAN常用於VLAN中用戶相對較少的網絡環境。在該方式下,用戶需要手動配置MAC VLAN表項,使能基於MAC地址的VLAN功能,並將端口加入MAC VLAN。其原理為:
· 當端口收到的報文為Untagged報文時,根據報文的源MAC匹配MAC VLAN表項。首先進行模糊匹配,即查詢表中MASK不是全F的表項,將源MAC和MASK相與後與MAC VLAN表項中的MAC地址匹配,如果完全相同,則模糊匹配成功,給報文添加表項中指定的VLAN ID並轉發該報文;如果模糊匹配失敗,則進行精確匹配,即查詢表中MASK為全F的表項。如果報文中的源MAC與MAC VLAN表項中的MAC地址完全相同,則精確匹配成功,給報文添加表項中指定的VLAN ID並轉發該報文;在對與MAC VLAN表項匹配成功的報文進行轉發時,根據MAC VLAN的優先級(MAC地址對應VLAN的802.1p優先級)高低來決定報文的轉發策略。如果沒有找到匹配MAC VLAN表項,則繼續按照其它原則(如IP子網、協議等)進行匹配。如果匹配成功,則轉發報文;如果匹配均失敗,則給報文添加端口的缺省VLAN ID並轉發該報文。
· 當端口收到的報文為Tagged報文時,如果報文的VLAN ID在該端口允許通過的VLAN ID列表裏,則轉發該報文;如果報文的VLAN ID不在端口允許通過的VLAN ID列表裏,則丟棄該報文。
· 在端口加入MAC VLAN表項中相應的VLAN時,若端口未配置允許該VLAN通過,則端口自動以Untagged方式加入該VLAN。
· 當端口收到的報文與MAC VLAN表項匹配,對該報文進行轉發時,根據MAC VLAN的優先級(MAC地址對應VLAN的802.1p優先級)高低來決定報文的轉發策略。
動態MAC VLAN需要和接入認證(比如基於MAC地址的802.1X認證)配合使用,以實現終端的安全、靈活接入。用戶在設備上配置動態MAC VLAN功能以後,還需要在接入認證服務器上配置用戶名和VLAN的綁定關係。
如果用戶發起認證請求,接入認證服務器先對用戶名和密碼進行驗證,如果驗證通過,服務器下發VLAN信息。此時設備根據請求報文的源MAC地址和下發的VLAN信息生成MAC VLAN表項,並將MAC VLAN添加到端口允許通過的VLAN列表中。用戶下線後,設備自動刪除MAC VLAN表項,並將MAC VLAN從端口允許通過的VLAN列表中刪除。
接入認證的相關內容請參見“安全配置指導”中的“802.1X”、“MAC地址認證”和“Portal”。
|
配置MAC地址與VLAN關聯 |
mac-vlan mac-address mac-address [ mask mac-mask ] vlan vlan-id [ priority priority ] |
||
|
· WLAN-ESS接口和以太網接口視圖下的配置隻對當前端口生效 |
|||
|
允許基於MAC的VLAN通過當前Hybrid端口 |
缺省情況下,所有Hybrid端口隻允許VLAN 1通過 |
||
|
使能基於MAC地址劃分VLAN的功能 |
缺省情況下,未使能基於MAC地址劃分VLAN的功能 |
||
|
· WLAN-ESS接口和以太網接口視圖下的配置隻對當前端口生效 |
|||
|
允許基於MAC的VLAN通過當前Hybrid端口 |
缺省情況下,所有Hybrid端口隻允許VLAN 1通過 |
||
|
使能基於MAC地址劃分VLAN的功能 |
缺省情況下,未使能基於MAC地址劃分VLAN的功能 |
||
|
配置MAC地址認證 |
請參見“安全命令參考”中的“MAC地址認證” |
||
l 該配置舉例中對於AC設備的以太網接口的配置,請參見表1-12。實際使用中會有XGE口和GE口的情況,本配置舉例以GigabitEthernet接口為例,實際使用中請以設備的實際情況為準。
表1-12 AC以太網接口配置說明
|
LSUM1WCME0 |
||
|
WX3510E WX3540E |
||
|
WX5510E |
||
|
WX2540E |
對於無線相關的特性,請直接在設備的LAN口上配置 對於路由相關的特性,比如PPPoE、RIP等,請直接在設備的WAN口配置 |
|
|
WAC360 WAC361 |
||
|
WX6100E(包括EWPXM2WCMD0、EWPXM3WCMD0、EWPXM1WCME0) |
請直接在WX6100E的無線控製器業務板與交換板相連的內部以太網接口上配置(無線控製器業務板插在WX6100E無線控製器的擴展插槽上) |
|
· 如圖1-7所示,AC 1和AC 2的WLAN-ESS 1端口分別連接到兩個會議室,Client1和Client 2是會議用筆記本電腦,會在兩個會議室間移動使用。
· Client 1和Client 2分別屬於兩個部門,兩個部門間使用VLAN 100和VLAN 200進行隔離。現要求這兩台筆記本電腦無論在哪個會議室使用,均隻能訪問自己部門的服務器,即Server1和Server2。
· Client 1和Client 2的MAC地址分別為000d-88F8-4E71和0014-222C-AA69。
圖1-7 基於MAC的VLAN組網圖
· 創建VLAN 100、VLAN 200。
· 配置AC 1和AC 2的上行端口為Trunk端口,並允許VLAN 100和VLAN 200的報文通過。
· 配置 Device 的下行端口為Trunk端口,並允許VLAN 100和VLAN 200的報文通過;上行端口分別加入VLAN 100、VLAN 200。
· Client 1和Client 2的MAC地址分別與VLAN 100、VLAN 200關聯。
(1) AC 1的配置
# 創建VLAN 100和VLAN 200。
[AC1] vlan 100
[AC1-vlan100] quit
[AC1] vlan 200
[AC1-vlan200] quit
# 將Client1的MAC地址與VLAN 100關聯,Client2的MAC地址與VLAN 200關聯。
[AC1] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[AC1] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置終端的接入端口:Client 1和Client 2均可能從WLAN-ESS 1接入,將WLAN-ESS 1的端口類型配置為Hybrid,並使其在發送VLAN 100和VLAN 200的報文時去掉VLAN Tag;開啟WLAN-ESS 1端口的MAC-VLAN功能。
[AC1-WLAN-ESS1] port link-type hybrid
[AC1-WLAN-ESS1] port hybrid vlan 100 200 untagged
Please wait... Done.
[AC1-WLAN-ESS1] mac-vlan enable
[AC1-WLAN-ESS1] quit
# 創建服務配置模板,配置SSID為vlan100
[AC1]wlan service-template 2 clear
[AC1-wlan-st-2]ssid vlan100
[AC1-wlan-st-2]bind wlan-ess 1
[AC1-wlan-st-2]authentication-method open-system
[AC1-wlan-st-2]service-template enable
[AC1-wlan-st-2]quit
# 創建ap1模板,
[AC1]wlan ap ap1 model wa1208e-gnp
[AC1-wlan-ap-ap1]serial-id 210235A0C509B001138
[AC1-wlan-ap-ap1]radio 1
# 將服務模板2綁定到ap1的radio1口
[AC1-wlan-ap-ap1]service-template 2
[AC1-wlan-ap-ap1]radio enable
[AC1-wlan-ap-ap1]quit
# 為了終端能夠訪問Server1和Server2,需要將上行端口GE1/0/2的端口類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。
[AC1] interface GigabitEthernet 1/0/2
[AC1-GigabitEthernet1/0/2] port link-type trunk
[AC1-GigabitEthernet1/0/2] port trunk permit vlan 100 200
[AC1-GigabitEthernet1/0/2] quit
(2) Device的配置
# 創建VLAN 100和VLAN 200,並將Ethernet1/13加入VLAN 100,Ethernet1/14加入VLAN 200。
[Device] vlan 100
[Device-vlan100] port ethernet 1/13
[Device-vlan100] quit
[Device] vlan 200
[Device-vlan200] port ethernet 1/14
[Device-vlan200] quit
# 配置Ethernet1/3和Ethernet1/4端口為Trunk端口,均允許VLAN 100和VLAN 200的報文通過。
[Device] interface ethernet 1/3
[Device-Ethernet1/3] port link-type trunk
[Device-Ethernet1/3] port trunk permit vlan 100 200
[Device-Ethernet1/3] quit
[Device] interface ethernet 1/4
[Device-Ethernet1/4] port link-type trunk
[Device-Ethernet1/4] port trunk permit vlan 100 200
[Device-Ethernet1/4] quit
(3) AC 2的配置
AC 2的配置與AC 1完全一致,這裏不再贅述。
(1) Client 1隻能訪問Server1,不能訪問Server2;Client 2隻能訪問Server2,不能訪問Server1。
(2) 在AC 1和AC 2上可以查看到Client1和VLAN 100、Client2和VLAN 200的靜態MAC VLAN地址表項已經生成。
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000d-88f8-4e71 ffff-ffff-ffff 100 0 S
0014-222c-aa69 ffff-ffff-ffff 200 0 S
Total MAC VLAN address count:2
· 基於MAC的VLAN隻能在Hybrid端口上配置。
· 基於MAC的VLAN的配置主要用於在用戶的接入設備的下行端口上進行配置,因此不能與聚合功能同時使用。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後VLAN的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除接口統計信息。
表1-13 VLAN顯示和維護
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
