H3C交换机关于MAC地址VLAN的配置教程

在支持基于MAC地址划分VLAN的H3C交换机中，划分方式又有三种形式：手动配置静态MAC VLAN、动态触发端口加入静态MAC VLAN和动态MAC VLAN。下面我为大家整理了H3C交换机关于MAC地址VLAN的配置教程，希望对你有所帮助。

1 手动配置静态MAC VLAN

在手动配置静态MAC VLAN方式中，管理员需要手动配置MAC VLAN表项，启动基于MAC划分VLAN的功能，然后手动将对应的端口加入MAC VLAN。这种方式显然工作量比较大，常用于MAC VLAN中用户相对较少的网络环境。在该方式下，MAC VLAN的划分原理如下：

l 当端口收到的报文为不带VLAN标记的报文时，会根据报文的源MAC匹配MAC VLAN表项。首先进行模糊匹配，即查询表中MASK(MAC地址掩码)不是全为F(只比较非F的位)的表项。将源MAC和MASK进行逻辑与运算后再与MAC VLAN表项中的MAC地址匹配，如果完全相同，则匹配成功，给报文添加表项中指定的VLAN ID并转发该报文;如果模糊匹配失败，则进行精确匹配，即查询表中MASK为全F的表项。如果报文中的源MAC与MAC VLAN表项中的MAC地址完全相同，则匹配成功，给报文添加表项中指定的VLAN ID并转发该报文;如果没有找到匹配MAC VLAN表项，则继续按照基于IP子网VLAN、协议VLAN、端口VLAN的先后顺序进行匹配。

l 当端口收到的报文为带有VLAN标记的报文时，如果VLAN ID在端口中允许通过的VLAN ID列表里时，则接收该报文;否则丢弃该报文。

2 动态触发端口加入静态MAC VLAN

在手动配置静态MAC VLAN划分方式中，管理员需要把端口一一加入相应的MAC VLAN，但这里有一个问题，那就是我们有时往往根本不能确定交换机从哪些端口收到属于MAC VLAN的报文，这时我们就不能通过手动方式把相应端口加入到MAC VLAN。此时，就需要借助另一种更加智能的MAC VLAN配置方式，使用动态触发端口加入静态MAC VLAN中。在这种MAC VLAN配置方式中，配置MAC VLAN表项后，管理员只需在端口上启用基于MAC的VLAN划分功能和MAC VLAN动态触发功能，在端口收到与MAC VLAN表项匹配的报文后，可以通过此报文动态触发端口加入MAC VLAN。其划分原理如下：

l 当端口收到的报文为不带VLAN标记的报文时，按图19-11所示流程进行处理。

l 当收到的报文为带VLAN标记的报文时，处理方式和基于端口的VLAN一样：如果端口允许携带该VLAN标记的报文通过，则正常转发;如果不允许，则丢弃该报文。

说明如果用户在同一端口上同时启用了手动配置静态MAC VLAN和动态触发端口加入静态MAC VLAN，此时端口对收到的非精确匹配的报文将做丢弃处理。

图19-11 在收到不带VLAN标记报文时，动态触发端口加入静态MAC VLAN的处理流程

3 动态MAC VLAN

动态MAC VLAN需要和接入认证(比如基于MAC地址的8021x认证)配合使用，以实现终端的安全、灵活接入。用户在交换机上配置动态MAC VLAN功能以后，还需要在接入认证服务器上配置MAC地址和VLAN的关联关系，这种MAC VLAN的配置就比较麻烦了，本书不做介绍。

在动态MAC VLAN中，用户访问网络时，接入认证服务器先对用户进行认证，如果认证通过，服务器下发VLAN信息。交换机会根据用户报文的源MAC地址和下发的VLAN信息生成MAC VLAN表项，并将MAC VLAN添加到端口允许通过的VLAN列表中。用户下线后，交换机自动删除MAC VLAN表项，并将MAC VLAN从端口允许通过的VLAN列表中删除。

1962 手动配置静态MAC VLAN配置(略)

1963 动态触发端口加入静态MAC VLAN配置(略)

1964 手动配置静态MAC VLAN配置示例 本示例拓扑结构如图19-11所示。SwitchA和SwitchB的GigabitEthernet1/0/1端口分别连接到两个会议室，Laptop1和Laptop2是会议用笔记本电脑，会在两个会议室间移动使用。Laptop1和Laptop2的MAC地址分别为000d-88f8-4e71、0014-222c-aa69。

使用时，Laptop1和Laptop2要分别用于两个部门的员工，两个部门间使用VLAN100和VLAN200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1和Server2。

图19-11 手动配置静态MAC VLAN示例拓扑结构

本示例配置所适用的H3C交换机系列和对应的软/硬件版本如表19-18所示。

表19-18 示例适用的H3C交换机系列及软/硬件版本

有两种做法：
1、只使用2层交换机，必须支持VLAN Trunk，做法是：三个VLAN按照端口划分，服务器的网卡使用VLAN Trunk连接，相当于把服务器的网卡划分出3个逻辑的网卡，分别有自己的地址，也就是设置3个IP地址，分别对应3个VLAN；因为你禁止三个VLAN互访，所以，2层交换机就可以了；
2、如果使用3层交换机，开启路由功能，这样，缺省时3个VLAN是可以互相访问的，当然3层交换机上，必须设置对应3个VLAN的端口地址，服务器可以放在任何一个VLAN里，或者再建一个VLAN房服务器；但是需要建访问控制，做到3个VLAN不能互访，还要开放服务器。
3、还有一种方式，就是服务器端口可以使用MultiHome方式，但交换机必须支持，就是此端口可以同时访问3个VLAN，具体我没有使用过，可能需要服务器设置3个IP地址。

下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机（不一定具备三层交换能力）。我们假设核心交换机名称为：COM；分支交换机分别为：PAR1、PAR2、PAR3……，分别通过Port1的光线模块与核心交换机相连；并且假设VLAN名称分别为COUNTER、MARKET、MANAGING……。
需要做的工作：
1、设置VTP DOMAIN称为管理域
2、配置中继
3、创建VLAN
4、将交换机端口划入VLAN
5、配置三层交换
1、设置VTP DOMAIN VTP DOMAIN称为管理域。
交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。
COM#vlan database 进入VLAN配置模式
COM(vlan)#vtp domain COM 设置VTP管理域名称COM
COM(vlan)#vtp server 设置交换机为服务器模式
PAR1#vlan database 进入VLAN配置模式
PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR1(vlan)#vtp Client 设置交换机为客户端模式
PAR2#vlan database 进入VLAN配置模式
PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR2(vlan)#vtp Client 设置交换机为客户端模式
PAR3#vlan database 进入VLAN配置模式
PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR3(vlan)#vtp Client 设置交换机为客户端模式
注意：这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。
　2、配置中继
为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL（Inter－Switch link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。
在核心交换机端配置如下：
COM(config)#interface gigabitEthernet 2/1
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/2
　 COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
　 COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/3
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
在分支交换机端配置如下：
PAR1(config)#interface gigabitEthernet 0/1
PAR1(config-if)#switchport mode trunk
PAR2(config)#interface gigabitEthernet 0/1
PAR2(config-if)#switchport mode trunk
PAR3(config)#interface gigabitEthernet 0/1
PAR3(config-if)#switchport mode trunk
　 此时，管理域算是设置完毕了。
　3、创建VLAN
一旦建立了管理域，就可以创建VLAN了。
COM(vlan)#Vlan 10 name COUNTER 创建了一个编号为10名字为COUNTER的 VLAN
COM(vlan)#Vlan 11 name MARKET 创建了一个编号为11名字为MARKET的 VLAN
COM(vlan)#Vlan 12 name MANAGING 创建了一个编号为12名字为MANAGING的 VLAN
　注意，这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但是如果要将交换机的端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。
4、将交换机端口划入VLAN
例如，要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN，端口2划入MARKET VLAN，
端口3划入MANAGING VLAN……
PAR1(config)#interface fastEthernet 0/1 配置端口1
PAR1(config-if)#switchport access vlan 10 归属COUNTER VLAN M
PAR1(config)#interface fastEthernet 0/2 配置端口2
　 PAR1(config-if)#switchport access vlan 11 归属MARKET VLAN
　 PAR1(config)#interface fastEthernet 0/3 配置端口3
PAR1(config-if)#switchport access vlan 12 归属MANAGING VLAN
PAR2(config)#interface fastEthernet 0/1 配置端口1
　 PAR2(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR2(config)#interface fastEthernet 0/2 配置端口2
PAR2(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR2(config)#interface fastEthernet 0/3 配置端口3
PAR2(config-if)#switchport access vlan 12 归属MANAGING VLAN
PAR3(config)#interface fastEthernet 0/1 配置端口1
PAR3(config-if)#switchport access vlan 10 归属COUNTER VLAN
　 PAR3(config)#interface fastEthernet 0/2 配置端口2
PAR3(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR3(config)#interface fastEthernet 0/3 配置端口3
PAR3(config-if)#switchport access vlan 12 归属MANAGING VLAN
5、配置三层交换
到这里，VLAN已经基本划分完毕。但是，VLAN间如何实现三层（网络层）交换呢？这时就要给各VLAN分配网络（IP）地址了。给VLAN分配IP地址分两种情况，其一，给VLAN所有的节点分配静态IP地址；其二，给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。
我们假设给VLAN COUNTER分配的接口Ip地址为17216581/24，网络地址为：17216580，VLAN MARKET分配的接口Ip地址为17216591/24，网络地址为17216590，VLAN MANAGING分配的接口Ip地址为17216601/24，网络地址为17216600……。如果动态分配IP地址，则设网络上的DHCP服务器IP地址为17216111。
（1）给VLAN所有的节点分配静态IP地址
　 首先在核心交换机上分别设置各VLAN的接口IP地址，如下所示：
　 COM(config)#interface vlan 10
COM(config-if)#ip address 17216581 2552552550 VLAN10接口IP
COM(config)#interface vlan 11
　 COM(config-if)#ip address 17216591 2552552550 VLAN11接口IP
COM(config)#interface vlan 12
COM(config-if)#ip address 17216601 2552552550 VLAN12接口IP
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN也可以互访了。
(2)给VLAN所有的节点分配动态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址，如下所示：
COM(config)#interface vlan 10
COM(config-if)#ip address 17216581 2552552550 VLAN10接口IP
COM(config-if)#ip helper-address 17216111 DHCP Server IP
COM(config)#interface vlan 11
COM(config-if)#ip address 17216591 2552552550 VLAN11接口IP
COM(config-if)#ip helper-address 17216111 DHCP Server IP
　 COM(config)#interface vlan 12
COM(config-if)#ip address 17216601 2552552550 VLAN12接口IP
COM(config-if)#ip helper-address 17216111 DHCP Server IP
再在DHCP服务器上设置网络地址分别为17216580，17216590，17216600的作用域，并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样，可以保证所有的VLAN也可以互访了。
　最后在各接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获得IP地址即可。

有两种做法：
1、只使用2层交换机，必须支持vlan
trunk，做法是：三个vlan按照端口划分，服务器的网卡使用vlan
trunk连接，相当于把服务器的网卡划分出3个逻辑的网卡，分别有自己的地址，也就是设置3个ip地址，分别对应3个vlan；因为你禁止三个vlan互访，所以，2层交换机就可以了；
2、如果使用3层交换机，开启路由功能，这样，缺省时3个vlan是可以互相访问的，当然3层交换机上，必须设置对应3个vlan的端口地址，服务器可以放在任何一个vlan里，或者再建一个vlan房服务器；但是需要建访问控制，做到3个vlan不能互访，还要开放服务器。
3、还有一种方式，就是服务器端口可以使用multihome方式，但交换机必须支持，就是此端口可以同时访问3个vlan，具体我没有使用过，可能需要服务器设置3个ip地址。

---