网站模板 黑色,建设网站安全措施,网站侧栏设计,中国诚信建设网站学过思科交换机的朋友#xff0c;可能对基于策略划分VLAN的配置方法印象非常深#xff0c;感觉确实比较复杂#xff0c;先要配置VMPS以及VMPS数据库#xff0c;但在华为交换机中#xff0c;这种现象得到了彻底改变#xff0c;因为它有了一种特殊的端口类型——Hybrid。说… 学过思科交换机的朋友可能对基于策略划分VLAN的配置方法印象非常深感觉确实比较复杂先要配置VMPS以及VMPS数据库但在华为交换机中这种现象得到了彻底改变因为它有了一种特殊的端口类型——Hybrid。说它特殊是因为Hybrid端口既可以像Access类型端口那样在发送数据时不带VLAN标签又可以像Trunk类型端口那样在发送数据时带上VLAN标签且同时允许多个VLAN的帧通过。这就为华为在许多方面的配置优化打下了基础此处介绍的基于策略划分VLAN就是其中一个。通过下面的学习你一定会明显感觉到“很简单”。 6.6 基于策略划分VLAN 基于策略划分VLAN也可称为Policy VLAN是根据一定的策略来进行VLAN划分可实现用户终端的即插即用功能同时可为终端用户提供安全的数据隔离。这里的策略主要包括“基于MAC地址IP地址”组合策略和“基于MAC地址IP地址端口”组合策略两种。 6.6.1 配置基于策略划分VLAN 基于策略划分VLAN是指在交换机上绑定终端的MAC地址、IP地址或交换机端口并与VLAN关联以实证现只有符合条件的终端才能加入指定VLAN。符合策略的终端才可以加入到指定的VLAN相当于采用了IP地址与MAC地址双重绑定甚至再加上与所连接的交换机端口的三重绑定一旦配置就可以禁止用户修改IP地址或MAC地址甚至禁止改变所连接的交换机端口否则会导致终端从指定VLAN中退出可能访问不了指定的网络资源。 与前面介绍的基于MAC地址、基于IP子网、基于协议划分的VLAN一样基于策略划分的VLAN也只处理Untagged数据帧所以也只能在Hybrid端口上进行配置对于Tagged数据帧处理方式和基于端口划分的VLAN一样。当设备端口接收到Untagged数据帧时设备根据用户数据帧中的“源MAC地址”和“源IP地址”字段值与交换机上配置的“MAC地址和IP地址”或者“MAC地址和IP地址交换机端口”组合策略来确定数据帧所属的VLAN然后将数据帧自动划分到指定VLAN中传输。 1. 基本配置思路 基于策略划分VLAN的基本配置思路比较简单具体如下 1创建各策略所需关联的VLAN。 2在以上创建的VLAN视图下关联不同的策略建立特定策略与VLAN的映射表以确定哪些用户可划分到以上创建的VLAN中。 3配置各用户连接的交换机二层以太网端口类型为Hybrid并允许前面创建的基于策略划分的VLAN以不带VLAN标签方式通过当前端口。因为华为交换机的所有二层以太网端口缺省都是Hybrid类型所以缺省情况下端口类型是不用配置的。 2. 配置步骤 基于策略划分VLAN的具体配置步骤如表6-7所示。 表6-7 基于策略划分VLAN的配置步骤 配置任务 步骤 命令 说明 创建并进入VLAN视图 1 system-view 例如Quidway system-view 进入系统视图 2 vlan vlan-id 例如[Quidway] vlan 2 创建VLAN并进入VLAN视图。如果VLAN已经创建则直接进入VLAN视图。其它说明参见表6-3的第2步 配置策略与VLAN映射表项 3 policy-vlan mac-address mac-address ip ip-address [ interface interface-type interface-number ] [ priority priority ] 例如[Quidway-vlan2] policy-vlan mac-address 1-1-1 ip 10.10.10.1 priority 7 将以上创建的VLAN与特定的策略进行关联。命令中的参数说明如下 l mac-address mac-address指定策略VLAN依据的源MAC地址格式为H-H-H。其中H为4位的十六进制数可以输入1~4位如00e0、fc01。当输入不足4位时表示前面的几位为0如输入e0等同于00e0。MAC地址不可设置为0000-0000-0000、FFFF-FFFF-FFFF和组播地址 l ip ip-address指定策略VLAN依据的源IP地址格式为点分十进制格式 l interface interface-type interface-number可选参数指定应用MAC地址和IP地址组合策略的交换机端口注意可以是Eth-Trunk口。如果指定该参数MAC地址和IP地址组合策略只应用到指定VLAN中指定的端口上否则MAC地址和IP地址组合策略将应用到指定VLAN中所有的端口上 l priority priority可选参数指定以上策略所对应的VLAN的802.1p优先级取值范围为0~7的整数值越大优先级越高。缺省值是0 缺省情况下没有配置基于策略划分VLAN可用undo policy-vlan { all | mac-address mac-address ip ip-address [interface interface-type interface-number ] }命令删除基于策略划分的指定VLAN。二选一选项all用来指定删除所有基于策略划分的VLAN。如果要删除被设置为策略VLAN的VLAN需要先执行以上undo policy-vlan命令删除Policy VLAN后才能够删除该VLAN 如果有多个策略与VLAN映射表项则重复第3步。但要注意如果映射的VLAN不一样则一定要在对应的VLAN视图下配置映射 4 quit 例如[Quidway-vlan2] 退去VLAN视图返回系统视图 配置Hybrid端口属性并允许对应的策略VLAN通过 5 interface interface-type interface-number 例如[Quidway] interface gigabitethernet 0/0/1 键入要采用基于策略划分VLAN的交换机端口的接口类型和接口编号注意可以是Eth-Trunk口。接口类型和接口编号之间可以输入空格也可以不输入空格 6 port link-type hybrid 例如[Quidway-GigabitEthernet0/0/1]port link-type hybrid 配置以上二层以太网端口类型为Hybrid类型。其它说明参见表6-4的第6步 7 port hybrid Untagged vlan { { vlan-id1 [ to vlan-id2 ] } 1-10 | all } 例如[Quidway-GigabitEthernet0/0/1]port hybrid Untagged vlan 2 to 10 配置以上Hybrid类型端口以Untagged方式加入指定的VLAN中即指定这些VLAN帧将以Untagged方式去掉帧中原来的VLAN标签通过接口向外即向对端设备发送不是向本地交换机内部发送发送出去。其它说明参见表6-3的第5步 对其它需要采用基于策略划分VLAN的Hybrid端口重复以上第5~7步 【示例】配置基于组合策略把MAC地址为0–1–1IP地址为1.1.1.1的主机划分到VLAN 2中并配置该VLAN的802.1p优先级是7。 Quidway system-view [Quidway] vlan 2 [Quidway-vlan2] policy-vlan mac-address 0-1-1 ip 1.1.1.1 priority 7 6.6.2 基于策略划分VLAN的配置示例 本示例拓扑结构如图6-11所示。现要把User1MAC地址为1-1-1IP地址为1.1.1.1绑定在SwitchA的GE1/0/1端口上把User2MAC地址为2-2-2IP地址为2.2.2.2绑定在SwitchB的GE1/0/1端口上并把它们划分到VLAN 2中把User3MAC地址为3-3-3IP地址为3.3.3.3绑定在SwitchA的GE1/0/2端口上把User4MAC地址为4-4-4IP地址为4.4.4.4绑定在SwitchB的GE1/0/2端口上并把它们划分到VLAN 3中。 图6-11 基于策略划分VLAN配置示例拓扑结构 1. 配置思路分析 基于策略划分VLAN的配置很简单参照6.6.1节介绍的具体配置步骤可以得出本示例的以下三方面的基本配置任务 1创建所需的策略VLAN 2在对应的VLAN视图下配置基于用户计算机的MAC地址、IP地址的组合策略和应用策略的交换机端口 3配置应用组合策略的Hybrid类型交换机端口允许所加入的VLAN通过。 2. 配置步骤 通过以上配置思路分析后下面的具体配置就比较简单了。 SwitchA上的配置 1创建所需的策略协议VLAN 2和VLAN 3。 Quidway system-view Quidwaysysname SwitchA [SwitchA] vlan batch 2 3 2配置MAC地址、IP地址和交换机端口组合策略与以上策略VLAN的关联并为两个协议VLAN设置不同的802.1q的优先级值。 [SwitchA] vlan 2 [SwitchA –vlan2] policy-vlan mac-address 1-1-1 ip 1.1.1.1 gigabitEthernet1/0/1 priority 7 [SwitchA –vlan2] quit [SwitchA] vlan 3 [SwitchA -vlan20] policy-vlan mac-address 3-3-3 ip 3.3.3.3 gigabitEthernet1/0/2 priority 5 [SwitchA-vlan20] quit 3配置交换机端口类型并允许对应的策略VLAN通过。 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA -GigabitEthernet1/0/1] port link-type hybrid [SwitchA -GigabitEthernet1/0/1] port hybrid Untagged vlan 2 [SwitchA -GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA -GigabitEthernet1/0/2] port link-type trunk [SwitchA -GigabitEthernet1/0/2] port trunk allow-pass vlan 3 [SwitchA -GigabitEthernet1/0/2] quit SwitchB上的配置 SwitchB上的配置与SwitchA上的配置基本类似具体如下 Quidway system-view Quidwaysysname SwitchB [SwitchB] vlan batch 2 3 [SwitchB] vlan 2 [SwitchB –vlan2] policy-vlan mac-address 2-2-2 ip 2.2.2.2 gigabitEthernet1/0/1 priority 7 [SwitchB –vlan2] quit [SwitchB] vlan 3 [SwitchB -vlan20] policy-vlan mac-address 4-4-4 ip 4.4.4.4 gigabitEthernet1/0/2 priority 5 [SwitchB-vlan20] quit [SwitchB] interface gigabitethernet 1/0/1 [SwitchB -GigabitEthernet1/0/1] port link-type hybrid [SwitchB -GigabitEthernet1/0/1] port hybrid Untagged vlan 2 [SwitchB -GigabitEthernet1/0/1] quit [SwitchB] interface gigabitethernet 1/0/2 [SwitchB -GigabitEthernet1/0/2] port link-type trunk [SwitchB -GigabitEthernet1/0/2] port trunk allow-pass vlan 3 [SwitchB -GigabitEthernet1/0/2] quit 通过以上配置MAC地址为1-1-1IP地址为1.1.1.1的用户被自动划分到VLAN 2中并且只能接在SwitchA上的GE1/0/1端口上MAC地址为2-2-2IP地址为2.2.2.2的用户也被自动划分到VLAN 2中并且只能接在SwitchB上的GE1/0/1端口上否则将退出VLAN 2。而MAC地址为3-3-3IP地址为3.3.3.3的用户被自动划分到VLAN 3中并且只能接在SwitchA上的GE1/0/2端口上MAC地址为4-4-4IP地址为4.4.4.4的用户也被自动划分到VLAN 3中并且只能接在SwitchB上的GE1/0/2端口上否则将退出VLAN 3。 转载于:https://www.cnblogs.com/xujie2013/p/3470659.html
