文章目录
传统VLAN划分流程(基于端口)
⏩规划阶段
- 场景需求:某公司划分为行政部(VLAN10)、技术部(VLAN20)、访客(VLAN30)
- IP规划: VLAN ID 网段 网关 10 192.168.10.0/24 192.168.10.1 20 192.168.20.0/24 192.168.20.1 30 192.168.30.0/24 192.168.30.1
⏩华为交换机配置步骤
# 创建VLAN<Huawei> system-view[Huawei] vlan batch 10 20 30# 配置接口模式[Huawei] interface GigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1] port link-type access[Huawei-GigabitEthernet0/0/1] port default vlan 10# 配置Trunk端口(连接核心交换机)[Huawei] interface GigabitEthernet0/0/24[Huawei-GigabitEthernet0/0/24] port link-type trunk[Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30
基于MAC地址的VLAN划分(动态VLAN)
⏩技术原理
- 动态绑定:交换机根据终端MAC地址自动分配VLAN
- 优势场景:
-
- 移动办公(笔记本在不同工位接入)
- IP电话与电脑共用端口(不同MAC不同VLAN)
⏩华为交换机配置
# 创建VLAN[Huawei] vlan batch 10 20# 配置MAC-VLAN映射[Huawei] mac-vlan mac-address 5489-98D3-1234 vlan 10[Huawei] mac-vlan mac-address 0011-2233-4455 vlan 20# 接口启用MAC-VLAN功能[Huawei] interface GigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1] port link-type hybrid[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20[Huawei-GigabitEthernet0/0/1] mac-vlanenable# 全局启用MAC-VLAN[Huawei] mac-vlanenable
混合模式:端口VLAN+MAC VLAN
⏩场景需求
- 默认所有设备进入VLAN30(访客网络)
- 认证设备根据MAC自动加入对应部门VLAN
⏩华为配置示例
# 默认VLAN设置[Huawei] interface GigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1] port default vlan 30# MAC-VLAN优先级设置(优先于端口VLAN)[Huawei] mac-vlan priority 7 # 优先级范围0-7,值越大优先级越高
⏩工作流程
- 设备接入端口时,首先尝试匹配MAC-VLAN
- 若MAC未注册,则进入端口默认VLAN30
- 管理员审批后,添加MAC到对应VLAN
关键注意事项与排错
⏩配置要点
- MAC地址格式:华为支持XXXX-XXXX-XXXX,思科需用XXXX.XXXX.XXXX
- Trunk端口配置:确保允许所有动态VLAN通过
- 安全风险:MAC地址易被伪造,建议结合802.1X认证
⏩常见故障排查
| 故障现象 | 排查方向 | 解决命令 |
|---|---|---|
| 设备未进入正确VLAN | 检查MAC-VLAN绑定表 | display mac-vlan all(华为) |
| 确认端口模式为hybrid/trunk | display port vlan(华为) | |
| 动态VLAN不生效 | 检查VMPS服务器连通性 | show vmps(思科) |
| 确认TFTP服务器文件格式正确 | 核对MAC地址与VLAN ID对应关系 |
⏩性能影响
- MAC-VLAN表大小:主流交换机支持1万+条MAC-VLAN条目
- 处理延迟:动态查询增加约50μs延迟
企业级应用案例
⏩医院移动查房系统
- 需求:
- 医生PAD在不同病区接入时自动进入医疗设备VLAN
- 访客设备进入互联网VLAN
- 方案:
# 华为核心配置mac-vlan mac-address 0001-0203-0405 vlan 100mac-vlan mac-address 0006-0708-090A vlan 100interface range GigabitEthernet0/0/1 to 48port hybrid pvid vlan 200port hybrid untagged vlan 100 200mac-vlanenable
⏩高校实验室网络
- 需求:
-
- 实验设备MAC固定绑定到隔离VLAN
- 学生电脑进入教学VLAN
- 思科配置:
! vmps.txtMAC=0011.2233.4455 VLAN=100MAC=0012.3456.789A VLAN=100MAC=* VLAN=200
END
发表回复