使用CLI的Sx350或Sx550交换机上基于MAC的VLAN组

简介

虚拟局域网(VLAN)允许您将局域网(LAN)逻辑分段到不同的广播域。在敏感数据可以在网络上广播的情况下，可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。

注意：要了解如何通过基于Web的实用程序在交换机上配置VLAN设置，请单击此处。有关基于CLI的说明，请单击此处。

运行多个协议的网络设备不能分组到通用VLAN。非标准设备用于在不同VLAN之间传递流量，以便包括参与特定协议的设备。因此，您无法利用VLAN的许多功能。

VLAN组用于对第2层网络上的流量进行负载均衡。数据包根据不同的分类进行分配，并分配给VLAN。存在许多不同的分类，如果定义了多个分类方案，则按以下顺序将数据包分配给VLAN:

• 标记 — 从标记中识别VLAN编号。
• 基于MAC的VLAN — 从入口接口的源介质访问控制(MAC)到VLAN映射识别VLAN。
• 基于子网的VLAN — 从入口接口的源子网到VLAN映射中识别VLAN。
• 基于协议的VLAN — 从入口接口的以太网类型协议到VLAN的映射中识别VLAN。
• PVID — 从端口默认VLAN ID识别VLAN。

在交换机上配置VLAN组，请遵循以下准则：

1. 创建 VLAN。要了解如何通过基于Web的实用程序在交换机上配置VLAN设置，请单击此处。有关基于CLI的说明，请单击此处。

2.配置VLAN的接口。有关如何通过交换机的基于Web的实用程序将接口分配给VLAN的说明，请单击此处。有关基于CLI的说明，请单击此处。

注意：如果接口不属于VLAN，则基于MAC的组到VLAN的配置设置将不会生效。

3.在交换机上配置基于MAC的VLAN组。有关如何通过交换机的基于Web的实用程序配置基于MAC的VLAN组的说明，请单击此处。

4.（可选）您还可以配置以下内容：

• 基于子网的VLAN组概述 — 有关如何通过交换机的基于Web的实用程序配置基于子网的VLAN组的说明，请单击此处。有关基于CLI的说明，请单击此处。
• 基于协议的VLAN组概述 — 有关如何通过交换机的基于Web的实用程序配置基于协议的VLAN组的说明，请单击此处。有关基于CLI的说明，请单击此处。

目标

基于MAC的VLAN分类使数据包能够根据其源MAC地址进行分类。然后，您可以为每个接口定义MAC到VLAN的映射。您还可以定义多个基于MAC的VLAN组，每个组包含不同的MAC地址。这些基于MAC的组可以分配给特定端口或LAG。基于MAC的VLAN组不能包含同一端口上的重叠MAC地址范围。

根据设备的MAC地址转发数据包需要设置MAC地址组，然后将这些组映射到VLAN。您最多可以配置256个MAC地址、主机或范围，这些地址可以映射到一个或多个基于MAC的VLAN组。

本文介绍如何通过CLI在交换机上配置基于MAC的组。

适用设备

• Sx350 系列
• SG350X 系列
• Sx500系列
• Sx550X 系列

软件版本

• 1.4.7.06 — Sx500
• 2.2.8.04 — Sx350、SG350X、Sx550X

通过CLI在交换机上配置基于MAC的VLAN组

创建基于MAC的VLAN组

步骤1.登录交换机控制台。默认用户名和密码为cisco/cisco。如果已配置新的用户名或密码，请改为输入凭证。

注意：命令可能因交换机的确切型号而异。在本例中，SG350X交换机通过Telnet访问。

步骤2.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

SG350X#configure

步骤3.在全局配置模式下，输入以下命令，配置基于MAC的分类规则：

SG350X(config)#vlan database

步骤4.要将MAC地址或MAC地址范围映射到一组MAC地址，请输入以下命令：

SG350X(config-vlan)#map mac [mac-address] [prefix-mask | host] macs-group [group-id]

选项有：

• mac-address — 指定要映射到VLAN组的MAC地址。此MAC地址不能分配给任何其他VLAN组。
• prefix-mask — 指定MAC地址的前缀。只查看MAC地址的一部分（从左到右），然后放入组中。长度数值越低，查看的位就越少。这意味着您可以一次为VLAN组分配大量MAC地址。
• host — 指定MAC地址的源主机。整个48位MAC地址将被查看并放入一个组中。
• group-id — 指定要创建的组编号。组ID的范围可以是1到2147483647。

注意：在本示例中，创建基于MAC的VLAN组1和2。组1过滤完整的MAC地址0a:1b:2c:4d:5e:6f，而组2过滤00:11:00:22:00:00 MAC地址的前32位。

步骤5.要退出接口配置上下文，请输入以下命令：

SG350X(config-vlan)#exit

您现在应该已通过CLI在交换机上配置基于MAC的VLAN组。

将基于MAC的VLAN组映射到VLAN

步骤1.在全局配置模式下，输入以下命令进入接口配置情景：

SG350X#Interface [interface-id | range interface-range]

选项有：

• interface-id — 指定要配置的接口ID。
• range interface-range — 指定VLAN列表。用逗号和空格分隔非连续VLAN。使用连字符指定VLAN范围。

注意：在本例中，使用接口ge1/0/12。

步骤2.在接口配置情景中，使用switchport mode命令配置VLAN成员模式：

SG350X(config-if)#switchport mode general

• 常规 — 接口可支持IEEE 802.1q规范中定义的所有功能。接口可以是一个或多个VLAN的有标记或无标记成员。

步骤3.（可选）要将端口恢复为默认VLAN，请输入以下命令：

SG350X(config-if)#no switchport mode general

步骤4.要配置基于MAC的分类规则，请输入以下命令：

SG350X(config-if)#switchport general map macs-group [group] vlan [vlan-id]

选项有：

• group — 指定基于MAC的组ID以过滤通过端口的流量。范围从1到2147483647。
• vlan-id — 指定VLAN组中的流量转发到的VLAN ID。范围为1到4094。

注意：在本例中，接口被分配到基于MAC的组1，该组被映射到VLAN 20。

步骤5.要退出接口配置上下文，请输入以下命令：

SG350X(config-if)#exit

步骤6.（可选）要从端口或端口范围中删除分类规则，请输入以下命令：

SG350X(config-if)#no switchport general map mac-groups group

步骤7.（可选）重复步骤1至6以配置更多常规端口并分配给相应的基于MAC的VLAN组。

注意：在本例中，从ge1/0/13到20的接口被分配给基于MAC的组2并分配给VLAN 30。

步骤8.输入end命令返回特权执行模式：

SG350X(config-if-range)#end

现在，您应该已通过CLI将基于MAC的VLAN组映射到交换机上的VLAN。

显示基于MAC的VLAN组

步骤1.要显示属于已定义的基于MAC的分类规则的MAC地址，请在特权EXEC模式下输入以下命令：

SG350X#show vlan macs-groups

步骤2.（可选）要显示VLAN上特定端口的分类规则，请输入以下命令：

SG350X#show interfaces switchport [interface-id]

• interface-id — 指定接口ID。

注意：每个端口模式都有其自己的专用配置。show interfaces switchport命令显示所有这些配置，但只有与“管理模式”区域中显示的当前端口模式对应的端口模式配置处于活动状态。

注意：在本例中，显示了接口ge1/0/13的管理和运行状态。分类规则表显示接口已映射到基于MAC的VLAN组2，其流量将转发到VLAN 30。

步骤3.（可选）在交换机的特权执行模式下，输入以下命令，将配置的设置保存到启动配置文件：

SG350X#copy running-config startup-config

第4步。（可选）出现“Overwrite file [startup-config].....”提示后，在键盘上按Y表示“Yes”或N表示“No”。

现在，您应该已经在交换机上显示了基于MAC的VLAN组和端口配置设置。

重要信息：要继续在交换机上配置VLAN组设置，请遵循上述指南。