VLAN 配置實例:需要將特定 MAC 地址的設備加入指定 VLAN,怎么做?
作者:小云君網絡
某個公司的網絡中,網絡管理者將同一部門的用戶劃分到同一VLAN。為了提高部門內的信息安全,要求只有本部門的用戶才可以訪問公司網絡。
本期給大家分享VLAN相關知識。
組網需求
某個公司的網絡中,網絡管理者將同一部門的用戶劃分到同一VLAN。為了提高部門內的信息安全,要求只有本部門的用戶才可以訪問公司網絡。如圖1所示,User1、User2和User3接入公司安全性較高的機要部門,要求只有這三個用戶可以通過Switch訪問公司的網絡,如換成其他外來的用戶則不能訪問公司網絡。
為了提高機要部門的信息安全,可以配置基于MAC地址劃分VLAN,將User1、User2和User3的MAC地址與VLAN綁定,從而實現該需求。
圖1 配置基于MAC地址的VLAN劃分組網圖
配置思路
采用如下的思路配置基于MAC地址的VLAN劃分:
- 創建VLAN,確定用戶所屬的VLAN。
- 配置各以太網接口以正確的方式加入VLAN,實現接口允許VLAN報文通過。
- 配置User1、User2、User3的MAC地址與VLAN關聯,實現根據報文中的源MAC地址確定VLAN。
操作步驟
第一步:Switch創建VLAN
<HUAWEI> system-view
[~HUAWEI] sysname Switch
[*HUAWEI] commit
[~Switch] vlan batch 10
[*Switch] commit第二步:配置接口加入VLAN
10GE1/0/3、10GE1/0/4的配置與10GE1/0/2類似,不再贅述。
[~Switch] interface 10ge 1/0/1
[~Switch-10GE1/0/1] port link-type hybrid
[*Switch-10GE1/0/1] port hybrid tagged vlan 10
[*Switch-10GE1/0/1] quit
[*Switch] interface 10ge 1/0/2
[*Switch-10GE1/0/2] port link-type hybrid
[*Switch-10GE1/0/2] port hybrid untagged vlan 10
[*Switch-10GE1/0/2] quit
[*Switch] commit第三步:User的MAC地址與VLAN10關聯
[~Switch] vlan 10
[~Switch-vlan10] mac-vlan mac-address 22-22-22
[*Switch-vlan10] mac-vlan mac-address 33-33-33
[*Switch-vlan10] mac-vlan mac-address 44-44-44
[*Switch-vlan10] quit
[*Switch] commit第四步:使能接口的基于MAC地址劃分VLAN功能
10GE1/0/3、10GE1/0/4的配置與10GE1/0/2類似,不再贅述。
[~Switch] interface 10ge 1/0/2
[~Switch-10GE1/0/2] mac-vlan enable
[*Switch-10GE1/0/2] quit
[*Switch] commit檢查配置結果
User1、User2、User3可以訪問公司網絡,如換成其他外來用戶則不能訪問。
責任編輯:趙寧寧
來源:
小云君網絡
