h3c交换机划分vlan配置_华为交换机基于MAC地址划分VLAN的配置示例

某个公司的基本网络结构如图所示。

为了提高部门内的信息安全，每个部门的员工划分到一个VLAN中。现假设在工程部中有PC1、PC2、PC3三个用户，现要求在该部门中仅这几台PC可以通过SwitchA、Switch访问公司网络，如换成其他PC则不能访问。 

图基于MAC地址的VLAN划分配置示例拓扑结构 根据以上要求，可以针对工程部的以上三台PC 配置基于MAC 地址划分的VLAN 10，将它们的MAC地址与VLAN绑定，从而可以防止非法PC访问公司网络。

1．配置思路分析 面对这样一个基于 MAC 地址的 VLAN 划分示例，大家最容易想到的是直接到SwitchA交换机上进行配置。但其实际通常不是这样配置的，还有一种更为简便的方法，那就是直接在Switch上启用基于MAC地址的VLAN划分功能。 本示例的基本配置思想如下。 

(1)因为华为交换机上所有二层以太网端口缺省都是 Hybrid 类型，并且发送数据帧时都是不带 VLAN 标签的，故其实完全可以让SwitchA全部采用缺省配置(当然如果该交换机的缺省配置有改变，需要重新恢复其缺省配置)，这样到达Switch交换机的数据帧都是不带VLAN标签的。

(2)然后通过在Switch交换机与SwitchA交换机连接的 Eth0/0/1 端口上配置不带标签发送特性的Hybrid类型，允许来自VLAN 10的数据帧通过，并且启用基于MAC地址划分VLAN功能，就可使得连接在SwitchA上的PC1、PC2和PC3发送的数据帧在到达 Switch后自动打 上对应的VLAN 10标签。

(3)最后将Switch交换机的Eth0/0/2端口配置为带标签的Hybrid类型，并允许VLAN 10的数据帧通过即可。

2．配置步骤 SwitchA交换机上全部采用缺省配置(所有二层以太网端口类型缺省为Hybrid，并且以Untagged方式加入到VLAN1)，所以无需另外配置(如果交换机上的缺省配置发生了改变，则需要先恢复到缺省配置)。现在只需要在 Switch 交换机上做如下配置。

(1)创建VLAN。这里要创建 PC1、PC2 和 PC3 这三个 PC 用户要通过 MAC-VLAN 功能加入的VLAN 10。

system-view 

[HUAWEI] vlan 10

(2)创建PC的MAC地址与VLAN 10关联。

[HUAWEI-Vlan10]mac-vlan mac-address 22-22-22

[HUAWEI-Vlan10]mac-vlan mac-address 33-33-33

[HUAWEI-Vlan10]mac-vlan mac-address 44-44-44

[HUAWEI-Vlan10]quit

(3)配置接口加入的VLAN。

[HUAWEI]interface ethernet 0/0/1

[HUAWEI-Ethernet0/0/1]port hybrid Untagged vlan 

10　!---指定允许VLAN 10的数据帧通过，且发送时不带VLAN标签 

[HUAWEI-Ethernet0/0/1]quit

[HUAWEI]interface ethernet 0/0/2

[HUAWEI-Ethernet0/0/2]port hybrid Tagged vlan 10　!---指定允许VLAN 10的数据帧通过，且发送时必须带有VLAN标签 

[HUAWEI-Ethernet0/0/2] quit

(4)在连接SwitchA的Eth0/0/1端口上使能基于MAC地址划分VLAN功能。

[HUAWEI]interface ethernet 0/0/1

[HUAWEI-Ethernet0/0/1]mac-vlan enable

[HUAWEI-Ethernet0/0/1]quit

通过以上配置就可以实现PC1、PC2、PC3成功访问公司网络，并且连接在SwitchA端口上的计算机换成其他外来人员的PC时不能访问，因为在Switch交换机上并没有配置对应的MAC地址与VLAN映射表项，提高了网络安全性能。