本期給大家分享VLAN相關(guān)知識(shí)。

組網(wǎng)需求

某個(gè)公司的網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理者將同一部門的用戶劃分到同一VLAN。為了提高部門內(nèi)的信息安全，要求只有本部門的用戶才可以訪問公司網(wǎng)絡(luò)。如圖1所示，User1、User2和User3接入公司安全性較高的機(jī)要部門，要求只有這三個(gè)用戶可以通過Switch訪問公司的網(wǎng)絡(luò)，如換成其他外來的用戶則不能訪問公司網(wǎng)絡(luò)。

為了提高機(jī)要部門的信息安全，可以配置基于MAC地址劃分VLAN，將User1、User2和User3的MAC地址與VLAN綁定，從而實(shí)現(xiàn)該需求。

圖1 配置基于MAC地址的VLAN劃分組網(wǎng)圖

配置思路

采用如下的思路配置基于MAC地址的VLAN劃分：

• 創(chuàng)建VLAN，確定用戶所屬的VLAN。
• 配置各以太網(wǎng)接口以正確的方式加入VLAN，實(shí)現(xiàn)接口允許VLAN報(bào)文通過。
• 配置User1、User2、User3的MAC地址與VLAN關(guān)聯(lián)，實(shí)現(xiàn)根據(jù)報(bào)文中的源MAC地址確定VLAN。

操作步驟

第一步：Switch創(chuàng)建VLAN

<HUAWEI> system-view
[~HUAWEI] sysname Switch
[*HUAWEI] commit
[~Switch] vlan batch 10
[*Switch] commit

第二步：配置接口加入VLAN

10GE1/0/3、10GE1/0/4的配置與10GE1/0/2類似，不再贅述。

[~Switch] interface 10ge 1/0/1
[~Switch-10GE1/0/1] port link-type hybrid
[*Switch-10GE1/0/1] port hybrid tagged vlan 10
[*Switch-10GE1/0/1] quit
[*Switch] interface 10ge 1/0/2
[*Switch-10GE1/0/2] port link-type hybrid
[*Switch-10GE1/0/2] port hybrid untagged vlan 10
[*Switch-10GE1/0/2] quit
[*Switch] commit

第三步：User的MAC地址與VLAN10關(guān)聯(lián)

[~Switch] vlan 10
[~Switch-vlan10] mac-vlan mac-address 22-22-22
[*Switch-vlan10] mac-vlan mac-address 33-33-33
[*Switch-vlan10] mac-vlan mac-address 44-44-44
[*Switch-vlan10] quit
[*Switch] commit

第四步：使能接口的基于MAC地址劃分VLAN功能

10GE1/0/3、10GE1/0/4的配置與10GE1/0/2類似，不再贅述。

[~Switch] interface 10ge 1/0/2
[~Switch-10GE1/0/2] mac-vlan enable
[*Switch-10GE1/0/2] quit
[*Switch] commit

檢查配置結(jié)果

User1、User2、User3可以訪問公司網(wǎng)絡(luò)，如換成其他外來用戶則不能訪問。