H3C交换机基于MAC地址VLAN配置教程
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。之前我们介绍过VLAN的创建和配置,本文将详细介绍H3C交换机MAC VLAN原理及配置过程,需要了解更多朋友可以参考下
具体配置
1. 手动配置静态MAC VLAN
在手动配置静态MAC VLAN方式中,管理员需要手动配置MAC VLAN表项,启动基于MAC划分VLAN的功能,然后手动将对应的端口加入MAC VLAN。这种方式显然工作量比较大,常用于MAC VLAN中用户相对较少的网络环境。在该方式下,MAC VLAN的划分原理如下:
l 当端口收到的报文为不带VLAN标记的报文时,会根据报文的源MAC匹配MAC VLAN表项。首先进行模糊匹配,即查询表中MASK(MAC地址掩码)不是全为F(只比较非F的位)的表项。将源MAC和MASK进行逻辑与运算后再与MAC VLAN表项中的MAC地址匹配,如果完全相同,则匹配成功,给报文添加表项中指定的VLAN ID并转发该报文;如果模糊匹配失败,则进行精确匹配,即查询表中MASK为全F的表项。如果报文中的源MAC与MAC VLAN表项中的MAC地址完全相同,则匹配成功,给报文添加表项中指定的VLAN ID并转发该报文;如果没有找到匹配MAC VLAN表项,则继续按照基于IP子网VLAN、协议VLAN、端口VLAN的先后顺序进行匹配。
l 当端口收到的报文为带有VLAN标记的报文时,如果VLAN ID在端口中允许通过的VLAN ID列表里时,则接收该报文;否则丢弃该报文。
2. 动态触发端口加入静态MAC VLAN
在手动配置静态MAC VLAN划分方式中,管理员需要把端口一一加入相应的MAC VLAN,但这里有一个问题,那就是我们有时往往根本不能确定交换机从哪些端口收到属于MAC VLAN的报文,这时我们就不能通过手动方式把相应端口加入到MAC VLAN。此时,就需要借助另一种更加智能的MAC VLAN配置方式,使用动态触发端口加入静态MAC VLAN中。在这种MAC VLAN配置方式中,配置MAC VLAN表项后,管理员只需在端口上启用基于MAC的VLAN划分功能和MAC VLAN动态触发功能,在端口收到与MAC VLAN表项匹配的报文后,可以通过此报文动态触发端口加入MAC VLAN。其划分原理如下:
l 当端口收到的报文为不带VLAN标记的报文时,按图19-11所示流程进行处理。
l 当收到的报文为带VLAN标记的报文时,处理方式和基于端口的VLAN一样:如果端口允许携带该VLAN标记的报文通过,则正常转发;如果不允许,则丢弃该报文。
【说明】如果用户在同一端口上同时启用了手动配置静态MAC VLAN和动态触发端口加入静态MAC VLAN,此时端口对收到的非精确匹配的报文将做丢弃处理。
图19-11 在收到不带VLAN标记报文时,动态触发端口加入静态MAC VLAN的处理流程
3. 动态MAC VLAN
动态MAC VLAN需要和接入认证(比如基于MAC地址的802.1x认证)配合使用,以实现终端的安全、灵活接入。用户在交换机上配置动态MAC VLAN功能以后,还需要在接入认证服务器上配置MAC地址和VLAN的关联关系,这种MAC VLAN的配置就比较麻烦了,本书不做介绍。
在动态MAC VLAN中,用户访问网络时,接入认证服务器先对用户进行认证,如果认证通过,服务器下发VLAN信息。交换机会根据用户报文的源MAC地址和下发的VLAN信息生成MAC VLAN表项,并将MAC VLAN添加到端口允许通过的VLAN列表中。用户下线后,交换机自动删除MAC VLAN表项,并将MAC VLAN从端口允许通过的VLAN列表中删除。
19.6.2 手动配置静态MAC VLAN配置(略)
19.6.3 动态触发端口加入静态MAC VLAN配置(略)
19.6.4 手动配置静态MAC VLAN配置示例 本示例拓扑结构如图19-11所示。SwitchA和SwitchB的GigabitEthernet1/0/1端口分别连接到两个会议室,Laptop1和Laptop2是会议用笔记本电脑,会在两个会议室间移动使用。Laptop1和Laptop2的MAC地址分别为000d-88f8-4e71、0014-222c-aa69。
使用时,Laptop1和Laptop2要分别用于两个部门的员工,两个部门间使用VLAN100和VLAN200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用,均只能访问自己部门的服务器,即Server1和Server2。
图19-11 手动配置静态MAC VLAN示例拓扑结构
本示例配置所适用的H3C交换机系列和对应的软/硬件版本如表19-18所示。
表19-18 示例适用的H3C交换机系列及软/硬件版本
H3C交换机系列
软件版本
硬件版本
S5500-SI系列以太网交换机
Release 1207软件版本
全系列硬件版本(除S5500-20TP-SI)
Release 1301软件版本
S5500-20TP-SI
S5500-EI系列以太网交换机
Release 2102软件版本
全系列硬件版本
S7500E系列以太网交换机
Release 6100,Release 6300软件版本
全系列硬件版本
1. SwitchA的配置
(1)创建VLAN100和VLAN200,并将GigabitEthernet1/0/2配置为Trunk端口,允许VLAN100和VLAN200的报文通过。
system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 100 200
[SwitchA-GigabitEthernet1/0/2] quit
(2)将GigabitEthernet1/0/1配置为Hybrid端口,并使其在发送VLAN 100和VLAN 200的报文时去掉VLAN Tag。
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid
[SwitchA-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
[SwitchA-GigabitEthernet1/0/1] quit
(3)创建Laptop1的MAC地址与VLAN 100的关联,创建Laptop2的MAC地址与VLAN 200的关联,开启GigabitEthernet1/0/1端口的MAC-VLAN功能。
[SwitchA] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[SwitchA] mac-vlan mac-address 0014-222c-aa69 vlan 200
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] mac-vlan enable
2. SwitchB的配置
SwitchB的配置与SwitchA完全一致,这里不再赘述。
3. Core Switch的配置
(1)创建VLAN100和VLAN200,并将GigabitEthernet1/0/13和GigabitVLANEthernet
1/0/14端口分别加入这两个VLAN。
system-view
[CoreSwitch] vlan 100
[CoreSwitch-vlan100] port gigabitethernet 1/0/13
[CoreSwitch-vlan100] quit
[CoreSwitch] vlan 200
[CoreSwitch-vlan200] port gigabitethernet 1/0/14
[CoreSwitch-vlan200] quit
(2)配置GigabitEthernet1/0/3和GigabitEthernet1/0/4端口为Trunk端口,均允许VLAN100和VLAN200的报文通过。从这里也可以看出,同一个VLAN中可以基于多种VLAN划分方式来添加端口,因为在VLAN 100和VLAN 200中,上一步已通过基于端口VLAN划分方式添加了gigabitethernet 1/0/13和gigabitethernet 1/0/14两个Access端口。而此处添加的了Trunk端口(在SwitchA和SwitchB中还通过基于MAC地址划分方式添加了Hybird端口)。
[CoreSwitch] interface GigabitEthernet1/0/3
[CoreSwitch-GigabitEthernet1/0/3] port link-type trunk
[CoreSwitch-GigabitEthernet1/0/3] port trunk permit vlan 100 200
[CoreSwitch-GigabitEthernet1/0/3] quit
[CoreSwitch] interface GigabitEthernet1/0/4
[CoreSwitch-GigabitEthernet1/0/4] port link-type trunk
[CoreSwitch-GigabitEthernet1/0/4] port trunk permit vlan 100 200
[CoreSwitch-GigabitEthernet1/0/4] quit
补充:交换机基本使用方法
作为基本核心交换机使用,连接多个有线设备使用:网络结构如下图,基本连接参考上面的【方法/步骤1:基本连接方式 】
作为网络隔离使用:对于一些功能好的交换机,可以通过模式选择开关选择网络隔离模式,实现网络隔离的作用,可以只允许普通端口和UPlink端口通讯,普通端口之间是相互隔离不可以通讯的
除了作为核心交换机(中心交换机)使用,还可以作为扩展交换机(接入交换机)来扩展网络
放在路由器上方,扩展网络供应商的网络线路(用于一条线路多个IP的网络),连接之后不同的路由器用不同的IP连接至公网
相关阅读:交换机硬件故障常见问题
电源故障:
由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止,从而不能正常工作。
由于电源缘故而导致机内其他部件损坏的事情也经常发生。
如果面板上的POWER指示灯是绿色的,就表示是正常的;如果该指示灯灭了,则说明交换机没有正常供电。
这类问题很容易发现,也很容易解决,同时也是最容易预防的。
针对这类故障,首先应该做好外部电源的供应工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。
如果条件允许,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注意。
在机房内设置专业的避雷措施,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。
H3C交换机基于MAC地址VLAN配置教程相关文章: