基于mac-vlan的网络准入控制方案
网络拓扑图如下:
SW1 配置
vlan 10 20 30 4000 #创建vlan
interface GigabitEthernet1/0/1 #进入接口
port link-type hybrid #接口模式设为hybrid
port hybrid vlan 10 20 30 4000 untagged #vlan 10 20 30 4000数据包没有tag
port hybrid pvid vlan 4000 #默认没有绑定mac地址设备进入vlan 4000
mac-vlan enable #接口下开启基于mac地址划分vlan
在需要开启mac-vlan功能的接口完成以上配置后,再在全局模式下基于mac地址绑定vlan,未绑定mac地址设备默认分配vlan4000地址(配置vlan4000不能上网即可),如下:
mac-vlan mac-address 5489-9853-0F31 vlan 10 #将这个mac地址设备划分至vlan10,分配vlan 10的ip地址
mac-vlan mac-address 5489-98DF-7CD5 vlan 20 #将这个mac地址设备划分至vlan20,分配vlan 20的ip地址
###### 如果这样一个个加非常繁琐,我们可以使用mac地址掩码只匹配前3个字节,即 5489-98 ######
mac-vlan mac-address 5489-9853-0F31 mask ffff-ff00-0000 vlan 30 #mac地址掩码为1位就做检查,掩码为0位就不做检查,所以这条命令只检查前3个字节位
SW2 不需要做任何配置,默认配置即可