1.5.1 基于MAC的VLAN简介.doc

1.5.1? 基于MAC的VLAN简介 基于MAC划分VLAN是VLAN的另一种划分方法，它根据报文的源MAC地址来决定报文从哪个VLAN中转发。根据端口加入MAC VLAN方式，MAC VLAN分为以下几种： 1. 手动配置静态MAC VLAN 手动配置静态MAC VLAN常用于VLAN中用户相对较少的网络环境。在该方式下，用户需要手动配置MAC VLAN表项，使能基于MAC的VLAN功能，并将端口加入MAC VLAN。其原理为： l????????????? 当端口收到的报文为untagged报文时，根据报文的源MAC匹配MAC VLAN表项。首先进行模糊匹配，即查询表中MASK不是全F的表项。将源MAC和MASK相与后再与MAC VLAN表项中的MAC地址匹配，如果完全相同，则匹配成功，给报文添加表项中指定的VLAN ID并转发该报文；如果模糊匹配失败，则进行精确匹配，即查询表中MASK为全F的表项。如果报文中的源MAC与MAC VLAN表项中的MAC地址完全相同，则匹配成功，给报文添加表项中指定的VLAN ID并转发该报文；如果没有找到匹配MAC VLAN表项，则继续按照基于IP子网VLAN、协议VLAN、端口VLAN的先后顺序进行匹配。 l????????????? 当端口收到的报文为tagged报文时，如果VLAN ID在端口允许通过的VLAN ID列表里时，则接收该报文；如VLAN ID不在端口允许通过的VLAN ID列表里时，则丢弃该报文。 2. 动态触发端口加入静态MAC VLAN 手动配置静态MAC VLAN时，用户需要把端口一一加入相应的MAC VLAN，当用户不能确定交换机从哪些端口收到属于MAC VLAN的报文时，就不能把相应端口加入到MAC VLAN。在这种情况下，手动配置的静态MAC VLAN无法满足用户的需求，此时，可以使用动态触发端口加入静态MAC VLAN功能。在配置MAC VLAN表项以后，用户只需在端口上使能基于MAC的VLAN功能和MAC VLAN动态触发功能，当端口收到与MAC VLAN表项匹配的报文后，可以通过此报文动态触发端口加入MAC VLAN。其原理为： l????????????? 当端口收到的报文为untagged报文时，流程如图1-5： 图1-5 MAC VLAN处理流程 ? l????????????? 当收到的报文为tagged报文时，处理方式和基于端口的VLAN一样：如果端口允许携带该VLAN标记的报文通过，则正常转发；如果不允许，则丢弃该报文。 如果用户在同一端口上同时使能了手动配置静态MAC VLANMAC VLAN，此时端口对收到的非精确匹配的报文将做丢弃处理。 ? 3. 动态MAC VLAN 动态MAC VLAN需要和接入认证（比如基于MAC地址的802.1x认证）配合使用，以实现终端的安全、灵活接入。用户在交换机上配置动态MAC VLAN功能以后，还需要在接入认证服务器上配置MAC地址和VLAN的关联关系。 用户访问网络时，接入认证服务器先对用户进行认证，如果认证通过，服务器下发VLAN信息。交换机根据用户报文的源MAC地址和下发的VLAN信息生成MAC VLAN表项，并将MAC VLAN添加到端口允许通过的VLAN列表中。用户下线后，交换机自动删除MAC VLAN表项，并将MAC VLAN从端口允许通过的VLAN列表中删除。 1.5.2? 配置基于MAC的VLAN l??? 基于MAC的VLAN功能只能在Hybrid端口配置。 l??? 基于MAC的VLAN的配置主要用于在用户的接入设备的下行端口上进行配置，因此不和聚合功能同时使用。 ? 1. 手动配置静态MAC VLAN 表1-8 MAC VLAN 操作 命令 说明 进入系统视图 system-view - 配置MAC地址与VLAN的关联 mac-vlan mac-address mac-address [ mask mac-mask ] vlan vlan-id [ priority priority ] 必选 进入以太网端口视图或端口组视图 进入以太网端口视图 interface interface-type interface-number 二者必选其一 进入以太网端口视图后，下面进行的配置只在当前端口下生效；进入端口组视图后，下面进行的配置将在端口组中的所有端口下生效 进入端口组视图 port-group manual port-group-name 配置端口的链路类型为Hybrid类型 port link-type hybrid 必选 允许基于MAC的VLAN报文通过当前Hybrid端口 port hybrid vlan vlan-id-list { tagged | un