基于mac-vlan的网络准入控制方案

网络拓扑图如下：

SW1 配置

vlan 10 20 30 4000        #创建vlan
interface GigabitEthernet1/0/1        #进入接口
port link-type hybrid        #接口模式设为hybrid
port hybrid vlan 10 20 30 4000 untagged        #vlan 10 20 30 4000数据包没有tag
port hybrid pvid vlan 4000        #默认没有绑定mac地址设备进入vlan 4000
mac-vlan enable        #接口下开启基于mac地址划分vlan

 

在需要开启mac-vlan功能的接口完成以上配置后，再在全局模式下基于mac地址绑定vlan，未绑定mac地址设备默认分配vlan4000地址（配置vlan4000不能上网即可），如下：

mac-vlan mac-address 5489-9853-0F31 vlan 10            #将这个mac地址设备划分至vlan10，分配vlan 10的ip地址
mac-vlan mac-address 5489-98DF-7CD5 vlan 20            #将这个mac地址设备划分至vlan20，分配vlan 20的ip地址


###### 如果这样一个个加非常繁琐，我们可以使用mac地址掩码只匹配前3个字节，即 5489-98 ######
mac-vlan mac-address 5489-9853-0F31 mask ffff-ff00-0000 vlan 30        #mac地址掩码为1位就做检查，掩码为0位就不做检查，所以这条命令只检查前3个字节位

 

SW2 不需要做任何配置，默认配置即可