基于MAC划分VLAN是VLAN的另一种划分方法。它按照报文的源MAC地址来定义VLAN成员,将指定报文加入该VLAN的Tag后发送。该功能通常会和安全(比如802.1X)技术联合使用,以实现终端的安全、灵活接入。
1. MAC VLAN的实现机制
如果端口采用基于MAC地址划分VLAN的机制,则当端口收到报文时,采用以下方法处理:
- 当收到的报文为untagged报文时,会以报文的源MAC为根据去匹配MAC-VLAN表项。精确查找,即查询表中MASK为全F的表项,如果该表项中的MAC地址和关键字完全相同,则查找成功,给报文添加表项中指定的VLAN ID。模糊匹配,即查询表中MASK不是全F的表项,将关键字和MASK相与后再与表项中的MAC地址匹配,如果完全相同,则查找成功,给报文添加表项中指定的VLAN ID。如果匹配失败,则按其它匹配原则进行匹配。
- 当收到的报文为tagged报文时,处理方式和基于端口的VLAN一样:如果端口允许携带该VLAN标记的报文通过,则正常转发;如果不允许,则丢弃该报文。
2. MAC VLAN的配置方式
基于MAC地址的VLAN可以通过如下两种方式来进行配置:
- 通过命令行静态配置。用户通过命令行来配置MAC地址和VLAN的关联关系。
- 通过认证服务器来自动配置(即VLAN下发)。设备根据认证服务器提供的信息,动态创建MAC地址和VLAN的关联关系。如果用户下线,系统将自动删除该对应关系。该方式下(只)需要在认证服务器上配置MAC地址和VLAN的关联。
MAC-VLAN表项可以同时支持两种配置方式,即在本地设备和认证服务器上都进行了配置,但是这两种配置必须一致配置才能生效;如果不一致的话,则先执行的配置生效。
