使用CLI的Sx350或Sx550交換機上基於MAC的VLAN組
簡介
虛擬區域網路(VLAN)允許您以邏輯方式將區域網路(LAN)劃分為不同的廣播網域。在敏感資料可能在網路上廣播的情況下,可以建立VLAN,通過將廣播指定到特定VLAN來增強安全性。只有屬於VLAN的使用者才能訪問和操作該VLAN上的資料。VLAN還可用於通過將廣播和組播傳送到不必要目的地的需要降低來提高效能。
附註:要瞭解如何通過基於Web的實用程式配置交換機上的VLAN設定,請按一下此處。有關基於CLI的說明,請按一下此處。
運行多個協定的網路裝置無法分組到公共VLAN。非標準裝置用於在不同的VLAN之間傳遞流量,以包括參與特定協定的裝置。因此,您無法利用VLAN的許多功能。
VLAN組用於第2層網路上的流量負載均衡。封包會根據不同的分類進行分配,並指派給VLAN。存在許多不同的分類,如果定義了多個分類方案,則資料包將按以下順序分配給VLAN:
- 標籤 — 從標籤中識別VLAN編號。
- MAC型VLAN — 從輸入介面的來源媒體存取控制(MAC)到VLAN的對映中識別VLAN。
- 基於子網的VLAN — 從入口介面的源子網到VLAN對映中識別VLAN。
- 基於協定的VLAN — 從輸入介面的乙太網型別協定到VLAN對映中識別VLAN。
- PVID — 從埠預設VLAN ID識別VLAN。
1.建立VLAN。要瞭解如何通過基於Web的實用程式配置交換機上的VLAN設定,請按一下此處。有關基於CLI的說明,請按一下此處。
2.將介面配置為VLAN。有關如何通過交換機的基於Web的實用程式將介面分配給VLAN的說明,請按一下此處。有關基於CLI的說明,請按一下此處。
附註:如果該介面不屬於該VLAN,則基於MAC的VLAN組配置設定將不會生效。
3.在交換機上配置基於MAC的VLAN組。有關如何通過交換機的基於Web的實用程式配置基於MAC的VLAN組的說明,請按一下此處。
4.(可選)您還可以配置以下內容:
- 基於子網的VLAN組概述 — 有關如何通過交換機的基於Web的實用程式配置基於子網的VLAN組的說明,請點選此處。有關基於CLI的說明,請按一下此處。
- 基於協定的VLAN組概述 — 有關如何通過交換機的基於Web的實用程式配置基於協定的VLAN組的說明,請按一下此處。有關基於CLI的說明,請按一下此處。
目標
基於MAC的VLAN分類允許根據資料包的源MAC地址對其進行分類。然後,您可以定義每個介面的MAC到VLAN對映。您還可以定義多個基於MAC的VLAN組,每個組包含不同的MAC地址。可以將這些基於MAC的組分配給特定埠或LAG。基於MAC的VLAN組不能在同一埠上包含重疊的MAC地址範圍。
根據裝置的MAC地址轉發資料包需要設定MAC地址組,然後將這些組對映到VLAN。您最多可以配置256個MAC地址、主機或範圍,這些地址可以對映到一個或多個基於MAC的VLAN組。
本文提供有關如何通過CLI在交換機上配置基於MAC的組的說明。
適用裝置
- Sx350系列
- SG350X系列
- Sx500系列
- Sx550X系列
軟體版本
- 1.4.7.06 — Sx500
- 2.2.8.04 — Sx350、SG350X、Sx550X
通過CLI在交換機上配置基於MAC的VLAN組
建立基於MAC的VLAN組
步驟1.登入到交換機控制檯。預設使用者名稱和密碼為cisco/cisco。如果您已配置新的使用者名稱或密碼,請改為輸入憑據。
附註:這些命令可能會因交換機的確切型號而異。在本示例中,通過Telnet訪問SG350X交換機。
步驟2.在交換機的特權執行模式下,輸入以下命令進入全域性配置模式:
SG350X#configure步驟3.在全域性配置模式下,通過輸入以下內容配置基於MAC的分類規則:
SG350X(config)#vlan database
步驟4.要將MAC地址或MAC地址範圍對映到一組MAC地址,請輸入以下內容:
SG350X(config-vlan)#map mac [mac-address] [prefix-mask | host] macs-group [group-id]選項包括:
- mac-address — 指定要對映到VLAN組的MAC地址。無法將此MAC地址分配給任何其他VLAN組。
- prefix-mask — 指定MAC地址的字首。僅檢視MAC地址的一部分(從左到右),然後將其放入組中。長度數越小,所檢視的位就越少。這表示您可以一次為VLAN組分配大量MAC地址。
- host — 指定MAC地址的源主機。檢視整個48位MAC地址並將其放入一個組中。
- group-id — 指定要建立的組編號。組ID的範圍從1到2147483647。
附註:在本示例中,建立基於MAC的VLAN組1和2。組1過濾完整的MAC地址0a:1b:2c:4d:5e:6f,而組2過濾00:11:00:22:00:00 MAC地址的前32位。
步驟5.要退出介面配置上下文,請輸入以下內容:
SG350X(config-vlan)#exit
現在,您應該已經通過CLI在交換機上配置基於MAC的VLAN組。
將基於MAC的VLAN組對映到VLAN
步驟1.在全域性配置模式下,通過輸入以下內容進入介面配置上下文:
SG350X#Interface [interface-id | range interface-range]選項包括:
- interface-id — 指定要配置的介面ID。
- range interface-range — 指定VLAN清單。使用逗號分隔非連續的VLAN,且沒有空格。使用連字型大小指定VLAN範圍。
附註:本範例中使用的是介面ge1/0/12。
步驟2.在介面配置上下文中,使用switchport mode命令配置VLAN成員模式:
SG350X(config-if)#switchport mode general- 常規 — 介面可支援IEEE 802.1q規範中定義的所有功能。該介面可以是一個或多個VLAN的已標籤或未標籤成員。
步驟3.(可選)若要將連線埠還原為預設的VLAN,請輸入以下內容:
SG350X(config-if)#no switchport mode general步驟4.要配置基於MAC的分類規則,請輸入以下內容:
SG350X(config-if)#switchport general map macs-group [group] vlan [vlan-id]選項包括:
- group — 指定用於過濾通過埠的流量的基於MAC的組ID。範圍從1到2147483647。
- vlan-id — 指定將來自VLAN組的流量轉發到的VLAN ID。範圍為1至4094。
附註:在本例中,該介面分配給對映到VLAN 20的基於MAC的組1。
步驟5.要退出介面配置上下文,請輸入以下內容:
SG350X(config-if)#exit
步驟6。(可選)要從埠或埠範圍刪除分類規則,請輸入以下內容:
SG350X(config-if)#no switchport general map mac-groups group步驟7.(可選)重複步驟1至6,配置更通用的埠並分配給相應的基於MAC的VLAN組。
附註:在本示例中,範圍從ge1/0/13到20的介面被分配到基於MAC的組2,並分配到VLAN 30。
步驟8.輸入end命令返回特權執行模式:
SG350X(config-if-range)#end
現在,您應該已經通過CLI將基於MAC的VLAN組對映到交換機上的VLAN。
顯示基於MAC的VLAN組
步驟1。要顯示屬於定義的基於MAC的分類規則的MAC地址,請在特權EXEC模式下輸入以下命令:
SG350X#show vlan macs-groups
步驟2.(可選)要顯示VLAN上特定埠的分類規則,請輸入以下內容:
SG350X#show interfaces switchport [interface-id]- interface-id — 指定介面ID。
附註:每個埠模式都有自己的專用配置。show interfaces switchport命令會顯示所有這些配置,但只有與顯示在管理模式區域中的當前埠模式對應的埠模式配置處於活動狀態。
附註:在此示例中,顯示了介面ge1/0/13的管理和操作狀態。分類規則表顯示,該介面已對映到基於MAC的VLAN組2,其流量將轉發到VLAN 30。
步驟3.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
SG350X#copy running-config startup-config
步驟4.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經顯示了交換機上基於MAC的VLAN組和埠配置設定。
重要事項:要繼續配置交換機上的VLAN組設定,請遵循上述准則。
意見