基于mac-vlan的网络准入控制方案

网络拓扑图如下:

SW1 配置

vlan 10 20 30 4000        #创建vlan
interface GigabitEthernet1/0/1        #进入接口
port link-type hybrid        #接口模式设为hybrid
port hybrid vlan 10 20 30 4000 untagged        #vlan 10 20 30 4000数据包没有tag
port hybrid pvid vlan 4000        #默认没有绑定mac地址设备进入vlan 4000
mac-vlan enable        #接口下开启基于mac地址划分vlan

 

在需要开启mac-vlan功能的接口完成以上配置后,再在全局模式下基于mac地址绑定vlan,未绑定mac地址设备默认分配vlan4000地址(配置vlan4000不能上网即可),如下:

mac-vlan mac-address 5489-9853-0F31 vlan 10            #将这个mac地址设备划分至vlan10,分配vlan 10的ip地址
mac-vlan mac-address 5489-98DF-7CD5 vlan 20            #将这个mac地址设备划分至vlan20,分配vlan 20的ip地址


###### 如果这样一个个加非常繁琐,我们可以使用mac地址掩码只匹配前3个字节,即 5489-98 ######
mac-vlan mac-address 5489-9853-0F31 mask ffff-ff00-0000 vlan 30        #mac地址掩码为1位就做检查,掩码为0位就不做检查,所以这条命令只检查前3个字节位

 

SW2 不需要做任何配置,默认配置即可

 

posted @ 2024-06-04 15:19  凡是過往;皆為序章  阅读(80)  评论(0编辑  收藏  举报