H3C交换机基于MAC地址的VLAN配置教程 h3c mac-vlan

很多读者对MAC VLAN比较陌生，它并不是很常用。 QQ群里经常看到读者提到这个问题，希望我能解答一下。 现摘自作者编写的目前畅销全国的《Cisco/H3C交换机配置与管理完全手册》（第二版）一书（随附配套卷为《Cisco/H3C交换机高级配置与管理技术手册》）我摘录了部分H3C交换机MAC VLAN内容，希望对这些读者有所帮助。 如需全面了解Cisco、H3C交换机MAC VLAN相关知识和配置方法，请参考《Cisco/H3C交换机配置与管理完全手册（第二版）》。

19.6 H3C 交换机上基于MAC 地址的VLAN 配置与Cisco IOS 上基于MAC 地址的VLAN 相同。 H3C交换机上基于MAC地址的VLAN也是一种动态划分VLAN的方法。 它不是静态地将端口分配到特定的VLAN，而是根据所连接主机的MAC地址动态选择加入相应的VLAN。

在之一篇文章中，我们了解到Cisco IOS交换机是根据MAC地址划分VLAN的。 总体来说还是比较麻烦的。 需要配置VMPS服务器和VPMS客户端，VMPS服务器目前只能由CatOS系统配置。 交换机负责，所以要根据MAC地址划分VLAN，网络中必须有同时具有两种操作系统的Cisco交换机，条件比较苛刻。 相比之下，本节介绍的H3C交换机根据MAC地址划分VLAN要简单得多。 它根据报文的源MAC地址定义VLAN成员，并将指定的报文添加到VLAN标签上，然后发送。 然而，目前支持基于MAC地址VLAN的H3C以太网交换机并不多。 像前面介绍的基于IP子网的VLAN，主要有S5500、S5510等交换机系列。

与前面介绍的基于协议的VLAN和基于IP子网的VLAN一样，基于MAC地址的VLAN功能只能在端口上配置，主要用于用户接入设备的下行端口上的配置（基于协议的VLAN）基于IP子网的VLAN也只配置在接入设备的下行端口上），因此不能与汇聚功能同时使用。

基于MAC地址的VLAN的实现机制

在支持基于MAC地址分类VLAN的H3C交换机中，分类有三种形式：手动配置静态MAC VLAN、动态触发端口加入静态MAC VLAN和动态MAC VLAN。

1、手动配置静态MAC VLAN

静态MAC VLAN的手动配置方法中，管理员需要手动配置MAC VLAN表项，启用基于MAC划分VLAN的功能，然后手动将对应的端口添加到MAC VLAN中。 这种方法显然工作量比较大，常用于MAC VLAN用户比较少的网络环境中。 该模式下MAC VLAN划分原则如下：

l 当端口收到的报文是不带VLAN Tag的报文时，端口将根据报文的源MAC来匹配MAC VLAN表项。 首先进行模糊匹配，即查询表中MASK（MAC地址掩码）不全为F的表项（只比较非F位）。 将源MAC和MASK进行逻辑与运算，然后与MAC VLAN表项中的MAC地址进行匹配。 如果完全相同，则匹配成功，将表项中指定的VLAN ID添加到报文中，并转发该报文； 如果模糊匹配失败，则进行精确匹配，即查询表中MASK全为F的表项。如果报文中的源MAC与MAC中的MAC地址完全相同VLAN表项，匹配成功。 将表项中指定的VLAN ID添加到数据包中并转发数据包； 如果没有找到匹配的MAC VLAN表项，则按照IP子网VLAN、协议VLAN、端口VLAN的顺序继续匹配。

l 当端口接收到的报文是带有VLAN标签的报文时，如果该VLAN ID在该端口允许通过的VLAN ID列表中，则接收该报文； 否则，数据包将被丢弃。

2、动态触发端口加入静态MAC VLAN

在手动配置静态MAC VLAN划分时，管理员需要将端口一一添加到对应的MAC VLAN中，但是这里有一个问题，就是我们有时无法确定交换机从哪些端口接收到属于该MAC VLAN的报文。 MAC VLAN。 此时我们无法手动将对应的端口添加到MAC VLAN中。 这时，就需要使用另一种更智能的MAC VLAN配置方法，利用动态触发端口加入静态MAC VLAN。 在该MAC VLAN配置方法中，管理员配置MAC VLAN表项后，只需在端口上开启基于MAC的VLAN划分功能和MAC VLAN动态触发功能，并在端口上接收与MAC VLAN表项匹配的报文即可。 之后，可以使用该数据包动态触发端口加入 MAC VLAN。 划分原则如下：

l 当端口收到的报文为不带VLAN Tag的报文时，按图19-11所示流程进行处理。

l 当收到的报文是带VLAN标签的报文时，处理方法与基于端口的VLAN相同：如果端口允许带VLAN标签的报文通过，则正常转发； 如果不允许，数据包将被丢弃。 。

[说明] 如果用户在同一端口上同时启用手动配置静态 MAC VLAN 和动态触发端口加入静态 MAC VLAN，则该端口将丢弃接收到的不完全匹配的报文。

图19-11 端口收到不带VLAN Tag的报文动态触发加入静态MAC VLAN的流程。

3. 动态MAC VLAN

动态MAC VLAN需要与接入认证（如基于MAC地址的802.1x认证）配合使用，实现终端安全、灵活的接入。 用户在交换机上配置动态MAC VLAN功能后，还需要在接入认证服务器上配置MAC地址与VLAN的对应关系。 这种MAC VLAN配置比较麻烦，本书不再介绍。

在动态MAC VLAN中，当用户接入网络时，接入认证服务器首先对用户进行认证。 如果认证通过，服务器下发VLAN信息。 交换机根据用户报文的源MAC地址和下发的VLAN信息生成MAC VLAN表项，并将该MAC VLAN添加到该端口允许通过的VLAN列表中。 用户下线后，交换机会自动删除该MAC VLAN表项，并将该MAC VLAN从该端口允许的VLAN列表中删除。

19.6.2 手动配置静态MAC VLAN配置（略）

19.6.3 动态触发端口加入静态MAC VLAN配置（略）

19.6.4 手动配置静态MAC VLAN 配置示例 本示例的拓扑如图19-11 所示。 和 的/0/1端口分别连接两个会议室。 和 是用于会议的笔记本电脑，将在两个会议室之间移动。 和 的 MAC 地址分别为 000d-88f8-4e71 和 0014-222c-aa69。

使用时， 和 应分别用于两个部门的员工，并应用于两个部门之间的隔离。 现在要求这两台笔记本电脑，无论在哪个会议室使用，都只能访问自己部门的服务器，即，和。

图19-11 手动配置静态MAC VLAN示例拓扑

本配置示例适用的H3C交换机系列及对应的软硬件版本如表19-18所示。

表19-18 示例适用的H3C交换机系列及软硬件版本

H3C交换机系列

软件版本

硬件版本

S5500-SI系列以太网交换机

1207软件版本

全系列硬件版本（S5500-20TP-SI除外）

1301软件版本

S5500-20TP-SI

S5500-EI系列以太网交换机

2102软件版本

全系列硬件版本

系列以太网交换机

6100、6300软件版本

全系列硬件版本

1. 配置

(1) 创建并配置/0/2为Trunk端口，允许报文通过。

-看法

[]VLAN 100

[-] 辞职

[]VLAN 200

[-] 辞职

[]/0/2

[-/0/2]端口链路类型Trunk

[-/0/2] 端口 trunk vlan 100 200

[-/0/2] 退出

(2) 配置/0/1为端口，发送VLAN 100和VLAN 200报文时去掉VLAN Tag。

[]/0/1

[-/0/1]端口链路类型

[-/0/1] 端口 VLAN 100 200

[-/0/1] 退出

(3) 将创建的MAC地址与VLAN 100关联，将创建的MAC地址与VLAN 200关联，并启用/0/1端口的MAC-VLAN功能。

[] mac-vlan mac-000d-88f8-4e71 vlan 100

[] mac-vlan mac-0014-222c-aa69 vlan 200

[] 1/0/1

[-/0/1] mac-vlan

2. 配置

配置完全相同，这里不再赘述。

3、核心配置

(1)创建求和求和/0/13

端口1/0/14分别加入这两个VLAN。

-看法

[]VLAN 100

[-] 端口 1/0/13

[-] 辞职

[]VLAN 200

[-] 端口 1/0/14

[-] 辞职

(2) 将/0/3和/0/4端口配置为Trunk端口，允许报文通过。 从这里也可以看出，同一个VLAN内可以基于多种VLAN划分方式来添加端口，因为在VLAN 100和VLAN 200中，上一步已经根据端口VLAN添加了1/0/13和1/划分方法。 0/14 两个端口。 这里添加的是Trunk端口（和中也是根据MAC地址划分端口添加的）。

[]/0/3

[-/0/3]端口链路类型Trunk

[-/0/3] 端口 trunk vlan 100 200

[-/0/3] 退出

[]/0/4

[-/0/4]端口链路类型Trunk

[-/0/4] 端口 trunk vlan 100 200

[-/0/4] 退出