vlan绑定_基于MAC的VLAN你了解吗?快来看看吧

最新推荐文章于 2025-09-22 15:50:48 发布
最新推荐文章于 2025-09-22 15:50:48 发布 · 2.8k 阅读 · 2
文章标签:

#vlan绑定

本文介绍了基于MAC的VLAN划分,包括静态和动态配置。静态MAC VLAN适合用户较少的环境,动态触发则允许端口自动加入VLAN。动态MAC VLAN与接入认证配合,实现安全灵活的终端接入。

基于MAC的VLAN是根据报文的源MAC地址来划分VLAN。设备维护的MAC VLAN表记录了MAC地址和VLAN的对应关系。这种划分方法的最大优点就是当用户物理位置发生变化,例如从一台设备换到其他设备时,VLAN不用重新配置。所以这种根据MAC地址的划分方法也称为基于用户的VLAN。

1. 手动配置静态MAC VLAN

手动配置静态MAC VLAN常用于VLAN中用户相对较少的网络环境。在该方式下,用户需要手动配置MAC VLAN表项,使能基于MAC地址的VLAN功能,并将端口加入MAC VLAN。其原理为:

· 当端口收到的报文为Untagged报文时,根据报文的源MAC地址匹配MAC VLAN表项。首先进行模糊匹配,即查询MAC VLAN表中掩码不是全F的表项,将源MAC地址和掩码相与运算后与MAC VLAN表项中的MAC地址匹配,如果完全相同,则模糊匹配成功,给报文添加表项中对应的VLAN Tag并转发该报文;如果模糊匹配失败,则进行精确匹配,即查询表中掩码为全F的表项。如果报文中的源MAC地址与某MAC VLAN表项中的MAC地址完全相同,则精确匹配成功,给报文添加表项中对应的VLAN Tag并转发该报文;如果没有找到匹配的MAC VLAN表项,则继续按照其他原则(基于IP子网的VLAN、基于协议的VLAN、基于端口的VLAN)确定报文所属的VLAN,给报文添加对应的VLAN Tag并转发该报文。

· 当端口收到的报文为Tagged报文时,如果报文的VLAN ID在该端口允许通过的VLAN ID列表里,则转发该报文;否则丢弃该报文。

2. 动态触发端口加入静态MAC VLAN

手动配置静态MAC VLAN时,如果不能确定从哪些端口收到指定VLAN的报文,就不能把相应端口加入到MAC VLAN。此时可以采用动态触发端口加入静态MAC VLAN的方式。在该方式下,配置MAC VLAN表项后,需要在端口上使能基于MAC的VLAN功能和MAC VLAN动态触发功能,不需要手动把端口加入MAC VLAN。

配置动态触发端口加入静态MAC VLAN后,端口在收到报文时,首先判断报文是否携带VLAN Tag,若带VLAN Tag,则直接获取报文源MAC地址;若不带VLAN Tag,则先进行报文VLAN选择(按照基于MAC的VLAN->基于IP子网的VLAN->基于协议的VLAN->基于端口的VLAN的优先次序为该Untagged报文添加对应的VLAN Tag,并获取该VLAN Tag),再获取报文源MAC地址,然后根据报文的源MAC地址和VLAN查询静态MAC VLAN表项:

·如果报文源MAC地址与MAC VLAN表项中的MAC地址精确匹配,再检查报文的VLAN ID是否与对应表项中的VLAN ID一致,若一致,通过该报文动态触发端口加入相应VLAN,同时转发该报文;否则丢弃该报文。

·如果报文源MAC地址与MAC VLAN表项的MAC地址不精确匹配,当报文VLAN ID为PVID,判断端口是否允许报文在PVID内转发,若允许,则在PVID中转发该报文,否则丢弃该报文。当报文VLAN ID不为PVID,判断是否报文VLAN ID为Primary VLAN ID且PVID为对应的Secondary VLAN ID,若是,则转发该报文;否则丢弃该报文。处理流程如图1-3所示:

图1-3 动态触发端口加入静态MAC VLAN的处理

98741bd6bea5d4c42e120002911a07f7.png

· 在端口自动加入MAC VLAN表项中相应的VLAN时,若端口此前未配置允许该VLAN通过,则端口自动以Untagged方式加入该VLAN;若端口此前已配置允许该VLAN通过,则不改变原有配置。

· 如果用户在同一端口上同时使能了手动配置MAC VLAN和动态触发端口加入MAC VLAN,此时该端口选择使用后者的功能。

· 当端口收到的报文与MAC VLAN表项匹配,对该报文进行转发时,根据MAC VLAN的优先级(MAC地址对应VLAN的802.1p优先级)高低来决定报文传输的优先程度。

3. 动态MAC VLAN

动态MAC VLAN是由接入认证过程来动态决定接入用户报文所属的VLAN。该功能需要和接入认证功能(比如端口接入控制方式为MAC-based的802.1X)配合使用,以实现终端的安全、灵活接入。在设备上配置动态MAC VLAN功能以后,还需要在接入认证服务器上配置用户名和VLAN的绑定关系。

如果用户发起认证请求,接入认证服务器先对用户名和密码进行验证,如果验证通过,服务器下发VLAN信息。此时设备根据请求报文的源MAC地址和下发的VLAN信息生成动态MAC VLAN表项(要求与已有的静态MAC VLAN表项不能冲突),并将MAC VLAN添加到端口允许通过的VLAN列表中。用户下线后,设备自动删除MAC VLAN表项,并将MAC VLAN从端口允许通过的VLAN列表中删除。

有关接入认证功能的详细介绍请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。

备注:内容来自华三官网!

VLAN-Mac地址与接口绑定
fenghuaqingjun的博客
08-13 793
VLAN-Mac地址与接口绑定
在debian上创建了一个基于vlanmacvlan网络,打算让该网络下的podman容器互相隔离,但是无论怎么样都不行
**My Coding Family**
01-16 1058
要让基于VLANmacvlan使用macvlan的隔离模式,特别是private模式,这可以阻止容器间的通信。使用防火墙规则,通过iptables明确拒绝容器之间的通信。你可以选择适合你需求的方案来实现容器间的隔离。希望这些建议能帮助你解决问题!如果还有其他问题,随时联系我。希望如上措施及解决方案能够帮到有需要的你。
动态VLAN和基于MACVLAN教程
10-15
HP交换机的动态VLAN和基于MAC动态VLAN的配置方法,服务器及网络交换机的设置方法教程。 目录 第一章 系统概述 一、拓扑图 二、组网说明 第二章 Server功能角色添加搭建 一、添加服务角色前的工作 二、添加 AD (Active Directory域服务 三、添加 IIS (Internet信息服务) 四、添加 CA (Active Dirctory证书服务) 五、添加 DHCP(DHCP 服务器 六、添加 IAS (网络策略和访问服务) 第三章 基于 802.1X 用户VLAN 交换机配置 一、系统架构 二、核心交换机配置HP Switch 2610-24 三、接入交换机配置 HP Switch 2610-48 第四章 基于 802.1X 用户 VLAN Radius服务架设 一、添加用户和组 二、设置 IIS 认证书服务 三、建设 802.1X Radius服务 四、导出证书到终端设备 第五章 基于 802.1X用户 VLAN 客户端设置 一、打开客户端验证功能 二、安装证书到“受信任的根颁发机构 ” 三、本地连接设置 第六章 测试 802.1X用户动态VLAN 第七章 基于 MAC 动态 VLAN交换机配置 一、核心交换机配置HP Switch 2610-24 二、 接入交换机配置HP Switch 2610-48 第八章 基于 802.1X MAC VLAN Radius服务架设 一、添加用户和组 二、修改服务器系统注册表 三、建设 802.1X Radius服务 第九章 测试 MAC 动态 VLAN
mac-vlan 概念及题目
weixin_42185241的博客
09-22 1025
摘要: MAC-VLAN是一种基于MAC地址划分VLAN的技术,区别于传统的端口VLAN。管理员需预先配置MAC地址与VLAN的映射表,当交换机收到未打标签的帧时,会根据源MAC地址分配到指定VLAN。主要应用于用户移动性管理、安全接入和设备共端口等场景。通过display mac-vlan命令可查看配置的绑定关系,包括MAC地址、VLAN ID等信息。该技术需在端口上启用mac-vlan功能才能生效,是Port-VLAN的有力补充。典型应用是让用户设备无论连接哪个端口,都能自动归入正确VLAN
基于eNSP的vlan实验(基于hybird的mac地址绑定
weixin_72756184的博客
09-29 1121
掌握基于mac地址划分vlan的方法(hybird)
VLAN静态绑定MAC(基于MAC划分VLAN
zi0jin的博客
09-25 1030
VLAN静态绑定MAC(基于MAC划分VLAN
vlan绑定_图文并茂深入了解VLAN工作原理,不能错过干货
weixin_39738667的博客
12-11 3944
在文章《5分钟让你熟悉VLAN并掌握基本的配置,新手入门必备》,介绍过VLAN的划分的几种方法和配置,我非常好奇VLAN是一个怎样的工作过程呢?它是如何做到隔离的功能,带着这些疑问,今天一起来看看吧VLAN基本通信原理为了提高处理效率,交换机内部的数据帧一律都带有VLAN Tag,已统一方式处理。当一个数据进入交换机接口时,如果没有带VLAN Tag标签,且该接口上配置了PVID,那么,该数据帧就...
配置基于mac地址的vlan划分示例
12-27
总的来说,华为HCIE的这个示例提供了一个实践平台,让学习者能够深入理解并应用基于MAC地址的VLAN配置,这对于提升网络管理能力,尤其是处理大型复杂网络的场景非常有帮助。通过实际操作和分析提供的文件,可以...
04-基于MAC地址划分VLAN(傅老师小知识库系列)有在eNSP中能做成功的方法
傅老师的运维技术空间
02-03 2266
傅老师带你速掌握基于MAC地址划分VLAN的方法。
锐捷交换机做vlan镜像_锐捷交换机如何配置?
weixin_39616855的博客
01-25 959
锐捷交换机最近挺火,这段时间有朋友多次提到锐捷交换机的配置,我们来了解锐捷交换机的配置。内容共分为两部分,第一部分是vlan的基础配置命令,第二部分是锐捷交换机的配置实例,我们一起来看下,如何一步步的连接及配置锐捷交换机。一、连接及远程登录用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。1、硬件连接:把Console线一端连接在计算机的串行口上,另一端连接在网络设备的...
基于RTK9310的VLAN驱动开发总结
weixin_45402928的博客
05-10 2282
文章目录一:VLAN的流程图二:VLAN基础知识三:基本VLAN配置四:可接受的帧类型五: VLAN入口决定(包括IVC和Vlan-classifier和Port-based Vlan)5.1 优先级列表5.2 Port-based VLAN5.3 IVC(ingress VLAN conversion)5.3.1 VlAN基于MAC与IP分类的流程5.3.2 VlAN映射六: VLAN入口过滤七:VLAN出口过滤八:VLAN profile(VLAN 属性)九:VLAN Remarking9.1出口vid
查看交换机的MACVLANMAC绑定【未完善】
lvhanghmm的博客
06-20 2707
查看交换机的MACVLANMAC绑定 #执行命令display mac-.address,查看所有的MAC地址表项 lvhanghmm> <lvhanghmm>disp <lvhanghmm>display ma <lvhanghmm>display mac-ad <lvhanghmm>display mac-address &l...
vlan绑定_【实验】多VLAN间通信
weixin_39977488的博客
11-22 876
关注我,你的眼睛会怀孕一、背景介绍交换是疏通领域另一个知识块,与路由一样有着举足轻重的地方,本片就通过不同vlan间通信的三个实现方式来讲解交换的通信过程。二、不同vlan间通信实现方法1.使用二层设备实现如下图所示,两个交换机之间使用端口绑定的方式以trunk连接,下联2台同网段的pc,但不属于同一个vlan,大部分的案例都是不同的vlan属于不同网段通过子接口进行通信,本示例则以纯二...
vlan高级配置之基于mac地址的vlan划分
Lovely_Xiaoguo的博客
09-21 2422
vlan高级配置之基于mac地址的vlan划分 当mac地址为0000-0000-0001的PC接入时,将其划分为vlan10,且可以与vlan10通信 当mac地址为0000-0000-0002的PC接入时,将其划分为vlan20,且可以与vlan20通信 SW1: <Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]un in en [Huawei]sysname SW1 [SW1]i
VLAN基本原理和配置实例,基于端口规划VLANmac规划VLAN、IP规划VLAN
weixin_41500064的博客
02-03 5991
如图2所示,PC1、PC2、PC3为本部门员工的PC,要求这几台PC可以通过SwitchA、Switch访问公司网络,如换成其他PC则不能访问。现需要将不同类型的业务划分到不同的VLAN中,通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。可以在交换机上配置基于端口划分VLAN,把业务相同的用户连接的端口划分到同一VLAN。某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN
基于MAC地址划分VLAN实验
qq_22792465的博客
06-10 3001
将PC9 PC10 PC11基于mac地址进行VLAN的划分,将指定的5号端口设置为混合端口,建立无标记帧与VLAN2、VLAN3和VLAN4之间的关联,在指定交换机端口中启动基于MAC地址划分VLAN的功能使得PC9 PC10 PC11划入VLAN2 VLAN3 VLAN4中。PC9因为属于了VLAN2,PC1也属于VLAN2所以可以ping通,需要注意的是当在书写mac地址时不要写错,否则会ping不通,因为所写的根本不是所对应主机的正确mac地址。1、建立MAC地址与VLAN之间的关联。
以太网 VLAN简介、MAC地址表与VLAN的关联内容
Hades_Ling的CSDN博客
12-05 4965
VLAN 虚拟局域网(Virtual Local Area Network),通过VLAN划分不同的网络,能够有效提升网络的稳定性、缓解广播风暴带来的影响。 不同VLAN表示不同的虚拟局域网,故不同VLAN下的终端设备在不进行路由转发、VLAN标签操作情况下不能实现互通。 交换机默认所有的端口都属于VLAN1,所以学习到的MAC地址默认都是属于VLAN1。 不同VLAN端口的MAC地址可以相同,并不会发生冲突(因为它们在虚拟的局域网中,无法感知另一个相同MAC地址的存在) 华为交换机通过命令进行查看MAC
端口 + MAC 地址绑定 VLAN 的配置
weixin_44739890的博客
08-10 516
需求:为了保证某特殊业务的信息安全,要求只有某些特殊 PC 才可以通过VLAN 2、3 进行网络访问思路:在局域网中,通过端口 + MAC 地址绑定 VLAN 的配置(即基于 MAC 地址的 VLAN 划分,并限定在特定端口生效),可以实现 “特定设备无论连接到指定端口的哪个位置,都固定属于某个 VLAN” 的需求,同时增强网络安全性。:一台华为 S5700 交换机(S1),连接 3 台 PC:PC1(MAC:00e0-fc11-1111)需划入 VLAN 10。
vlan绑定_vlan实战详解,轻松利用交换机管控局域网
weixin_39730671的博客
12-11 1981
提到vlan,大家都比较熟悉,说的就是虚拟局域网,就是在同一个vlan里面的形成一个局域网,这是将在物理上一个小的区域内的网络再次进行了逻辑上的划分,对网络的分组非常简单有效。vlan 的创建比较简单,仅以思科和华为为例说明。思科下vlan创建:创建vlan 3002vlan 接口可以设置ip地址设置vlan 接口ip地址华为下创建vlanvlan接口设置ip地址:vlan的划分有如下几种方式,...
ensp 扩展acl可以应用vlan上吗?
最新发布
10-23
<think>嗯,用户问的是在eNSP中扩展ACL能否应用到VLAN上。这个问题涉及到ACL的应用层级和VLAN的特性,需要仔细分析。 用户提供的引用材料很有帮助,特别是引用[2]详细说明了ACL的基本工作原理和规则匹配流程。从这些材料看,ACL通常是应用在接口方向的(inbound/outbound),而VLAN本身是二层的逻辑广播域。 让我想想网络协议栈的结构:标准ACL工作在第三层(IP层),而VLAN是第二层的概念。根据网络分层原则,三层功能通常无法直接作用于二层实体。不过华为设备可能有特殊实现? 回忆一下华为文档,VLANIF接口是三层虚拟接口,这可能是关键突破口。在引用[3][4]的配置示例中,ACL都是应用到物理接口或子接口的,没有直接提到VLAN。但VLANIF既然具有IP地址,就应该能像普通三层接口一样应用ACL。 用户可能是在配置园区网时遇到这个需求,想实现VLAN间的访问控制。ta应该已经掌握了基础ACL配置,现在想更精细化地控制VLAN间流量。值得提醒ta注意应用方向(inbound/outbound)对效果的影响。 需要特别说明风险点:直接应用在物理接口会影响所有VLAN流量,而VLANIF接口的ACL只影响该VLAN的三层流量。如果用户要过滤二层流量,可能需要结合其他技术如VLAN ACL(VACL),不过这在eNSP中可能不支持。 </think>在eNSP中,**扩展ACL可以直接应用在VLAN的虚拟接口(VLANIF接口)上,但无法直接应用在VLAN本身**。具体原因和操作如下: --- ### 1. **ACL的应用层级特性** - **标准ACL/扩展ACL**:工作在网络层(OSI第三层),基于IP地址、协议类型、端口号等过滤流量。 - **VLAN**:是数据链路层(OSI第二层)的广播域,本身不具备处理三层ACL的能力。 - **关键点**:扩展ACL需作用于**三层接口**(如物理接口、子接口或VLANIF接口),而VLAN本身属于二层概念,无法直接绑定ACL。 --- ### 2. **正确应用方式:绑定VLANIF接口** VLANIF接口是为VLAN创建的三层逻辑接口(需配置IP地址),此时扩展ACL可应用在其入/出方向: ```bash # 创建扩展ACL(示例:拒绝VLAN 10访问VLAN 20的Web服务) [Router] acl 3000 [Router-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 80 [Router-acl-adv-3000] quit # 将ACL 3000应用到VLANIF 20的入方向 [Router] interface vlanif 20 [Router-Vlanif20] ip address 192.168.20.1 24 [Router-Vlanif20] traffic-filter inbound acl 3000 ``` --- ### 3. **为何不能直接应用在VLAN上?** - **技术限制**:ACL规则依赖IP层信息(如源/目的IP、端口号),而纯VLAN环境无IP包头解析能力[^2]。 - **替代方案**: - 若需**二层过滤**,可使用**VLAN隔离**或**基于端口的ACL**(如`traffic-filter vlan-based`),但功能有限(仅支持基础MAC/IP过滤)[^2][^3]。 - 复杂策略(如协议/端口控制)必须通过VLANIF接口实现。 --- ### 4. **操作验证(eNSP环境)** 1. 创建VLAN 10和VLAN 20,配置对应VLANIF接口的IP地址。 2. 在上述ACL规则下,VLAN 10的主机无法访问VLAN 20的HTTP服务,但其他服务(如Ping)正常通行[^3]。 --- ### 总结 | **场景** | **是否支持** | **实现方式** | |-----------------------|------------|--------------------------| | 扩展ACL直接绑定VLAN | ❌ 否 | VLAN无三层处理能力 | | 扩展ACL绑定VLANIF接口 | ✅ 是 | 通过`traffic-filter`命令应用 | > 因此,**通过VLANIF接口可实现VLAN间流量的扩展ACL控制**,这是eNSP及华为设备的标准实践[^2][^3][^4]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值