锐捷网管交换机基于MAC地址划分VLAN配置举例

一、 组网需求
公司在会议室提供了临时办公场所,会议室公用接口按照员工笔记本电脑的MAC地址划分VLAN,使员工从任意接口接入,都会被自动划分到部门所在VLAN中。

二、组网图
PC-A1、PC-A2属于部门A,规划为VLAN 100;PC-B1、PC-B2属于部门B,规划为VLAN 200。会议室为公用接口,PC-A1、A2接入后只能划分到VLAN 100,PC-B1、B2接入后只能划分到VLAN 200。
MAC VLAN 配置组网图

三、配置要点
● 配置Device D与接入设备相连的接口为TRUNK口。
●在Device C上创建MAC VLAN;配置全局静态MAC VLAN规则:
A部门申请在会议室接入的电脑MAC地址为54bf.6450.dd10,分配到VLAN 100中,优先级为1。
B部门有多人申请在会议室接入,MAC地址为54bf.6450.dd20到54bf.6450.dd2F,用54bf.6440.dd20加掩码ffff.ffff.fff0表示,分配到VLAN 200中,优先级为2。
● 配置Device C与终端相连的接口为Hybrid口,将MAC VLAN加入接口许可通过的Untagged VLAN列表。配置接口信任报文的CoS优先级。开启接口的MAC VLAN功能。
●Deviec A和Device B的上联口配置为Trunk口,连接终端的接口配置为Access口。Device A上配置接口加入VLAN 100,Device B上配置接口加入VLAN 200。

四、配置步骤
(1) 创建VLAN。
# 在Device D上配置VLAN 100、200。
DeviceD> enable
DeviceD# configure terminal
DeviceD(config)# vlan range 100,200
DeviceD(config-vlan-range)# exit

# 在Device C上配置VLAN 100、200。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# vlan rang 100,200
DeviceC(config-vlan-range)# exit

# 在Device A上配置VLAN 100。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# vlan 100
DeviceA(config-vlan-range)# exit

# 在Device B上配置VLAN 200。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# vlan 200
DeviceB(config-vlan-range)# exit

(2) 配置干道接口。
# 将Device D的下联口GigabitEthernet 0/1~3配置为Trunk口。
DeviceD(config)# interface range gigabitethernet 0/1-3
DeviceD(config-if-range)# switchport
DeviceD(config-if-range)# switchport mode trunk
DeviceD(config-if-range)# switchport trunk native vlan 1
DeviceD(config-if-range)# switchport trunk allowed vlan all
DeviceD(config-if-range)# end
DeviceD# write

# 将Device A、B、C的上联口GigabitEthernet 0/1配置为Trunk口。A、B、C配置类似,以Device A为例。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# switchport
DeviceA(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceA(config-if-GigabitEthernet 0/1)# switchport trunk native vlan 1
DeviceA(config-if-GigabitEthernet 0/1)# switchport trunk allowed vlan all
DeviceA(config-if-GigabitEthernet 0/1)# exit

(3) 配置Office中连接用户的接口加入固定VLAN。
# Device A上连接用户的接口GigabitEthernet 0/2~3加入VLAN 100。
DeviceA(config)# interface range gigabitethernet 0/2-3
DeviceA(config-if-range)# switchport
DeviceA(config-if-range)# switchport mode access
DeviceA(config-if-range)# switchport access vlan 100
DeviceA(config-if-range)# end
DeviceA# write

# Device B上连接用户的接口GigabitEthernet 0/2~3加入VLAN 200。
DeviceB(config)# interface range gigabitethernet 0/2-3
DeviceB(config-if-range)# switchport
DeviceB(config-if-range)# switchport mode access
DeviceB(config-if-range)# switchport access vlan 200
DeviceB(config-if-range)# end
DeviceB# write

(4) 配置Device C上连接用户的接口GigabitEthernet 0/2,根据用户MAC地址的不同,加入不同VLAN。
# 配置全局静态MAC VLAN规则。
DeviceC(config)# mac-vlan mac-address 54bf.6450.dd10 vlan 100 priority 1
DeviceC(config)# mac-vlan mac-address 54bf.6450.dd20 mask ffff.ffff.fff0 vlan 200 priority 2

# 配置下联口GigabitEthernet 0/2为Hybrid口,将MAC VLAN加入Hybrid口许可通过的Untagged VLAN列表。
DeviceC(config)# interface gigabitethernet 0/2
DeviceC(config-if-GigabitEthernet 0/2)# switchport
DeviceC(config-if-GigabitEthernet 0/2)# switchport mode hybrid
DeviceC(config-if-GigabitEthernet 0/2)# switchport hybrid native vlan 1
DeviceC(config-if-GigabitEthernet 0/2)# switchport hybrid allowed vlan add untagged 1,100,200

# 配置接口信任报文的CoS优先级。
DeviceC(config-if-GigabitEthernet 0/2)# mls qos trust cos

# 开启接口MAC VLAN功能。
DeviceC(config-if-GigabitEthernet 0/2)# mac-vlan enable
DeviceC(config-if-GigabitEthernet 0/2)# end
DeviceC# write

五、 验证配置结果
(1) 通过show mac-vlan interface命令查看开启MAC VLAN功能的接口信息。
DeviceC# show mac-vlan interface
MAC VLAN is enabled on following interface:
—————————————
GigabitEthernet 0/2
(2) 通过show interface命令查看接口GigabitEthernet 0/2发送MAC VLAN的报文不带Tag。
DeviceC(config-if-GigabitEthernet 0/2)# show interface gigabitethernet 0/2
Bridge attributes:
Port-type: hybrid
Tagged vlan id: 2-99,101-199,201-4094
Untagged vlan id: 1,100,200
(3) 在Device C上查看静态(Static)MAC VLAN表项。
DeviceC# show mac-vlan static
The following MAC VLAN address exist:
S: Static D: Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
——————————————————-
54bf.6450.dd10 ffff.ffff.ffff 100 1 S
54bf.6450.dd20 ffff.ffff.fff0 200 2 S
Total MAC VLAN address count: 2
(4) 为了验证MAC VLAN功能将终端划分到不同VLAN中实现二层隔离,将PC-A1、PC-A2、PC-B2配置到同一
网段中,验证只有同VLAN中的终端可以ping通。
# PC-A2在Office A接入,属于VLAN 100,配置其IP地址和掩码为192.168.5.12/24。
PC-A2> enable
PC-A2# configure terminal
PC-A2(config)# interface gigabitethernet 0/1
PC-A2(config-if-GigabitEthernet 0/1)# no switchport
PC-A2(config-if-GigabitEthernet 0/1)# ip address 192.168.5.12/24
# PC-B2在Office B接入,属于VLAN 200,配置其IP地址和掩码为192.168.5.22/24。
PC-B2> enable
PC-B2# configure terminal
PC-B2(config)# interface gigabitethernet 0/1
PC-B2(config-if-GigabitEthernet 0/1)# no switchport
PC-B2(config-if-GigabitEthernet 0/1)# ip address 192.168.5.22/24
# PC-A1在会议室接入,配置其IP地址和掩码为192.168.5.11/24。验证PC-A1能ping通VLAN 100中的PCA2,不能ping通VLAN 200中的PC-B2,说明PC-A1被MAC VLAN功能分配到VLAN 100中。
PC-A1> enable
PC-A1# configure terminal
PC-A1(config)# interface gigabitethernet 0/1
PC-A1(config-if-GigabitEthernet 0/1)# no switchport
PC-A1(config-if-GigabitEthernet 0/1)# ip address 192.168.5.11/24
PC-A1(config-if-GigabitEthernet 0/1)# end
PC-A1# ping 192.168.5.12
Sending 5, 100-byte ICMP Echoes to 192.168.5.12, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/22/103 ms.
PC-A1# ping 192.168.5.22
Sending 5, 100-byte ICMP Echoes to 192.168.5.22, timeout is 2 seconds:
< press Ctrl+C to break >
….
Success rate is 0 percent (0/5).

六、配置文件
● Device C的配置文件
vlan range 1,100,200
!
mac-vlan mac-address 54bf.645c.dd10 vlan 100 priority 1
mac-vlan mac-address 54bf.6450.dd20 mask ffff.ffff.fff0 vlan 200 priority 2
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk

switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode hybrid
switchport hybrid native vlan 1
switchport hybrid allowed vlan only tagged 2-99,101-199,201-4094
switchport hybrid allowed vlan add untagged 1,100,200
mls qos trust cos
mac-vlan enable

● Device A的配置文件
vlan range 1,100
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode access
switchport access vlan 100
!
interface GigabitEthernet 0/3
switchport
switchport mode access
switchport access vlan 100

● Device B的配置文件
vlan range 1,200
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/3

switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094

● Device D的配置文件
vlan range 1,100,200
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/3
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094

七、 常见错误
● 配置接口MAC VLAN功能时,未将以太网接口或聚合接口先配置为二层接口。
● QoS不信任接口修改报文优先级,导致MAC VLAN优先级配置不生效。

退出移动版
ICP备案号:晋ICP备18007549号-1
站长微信:15534641008