四、基于协议划分VLAN
基于协议划分VLAN是指基于数据帧中的上层(网络层)协议类型进行的VLAN划分。也只处理Untagged数据帧,且也只能在Hybrid端口上进行配置
划分思想是把用户计算机上运行的网络层协议与某个VLAN进行关联(是“用户计算机网络层协议”与“VLAN”之间的映射,不考虑用户计算机所连接的交换机端口)
基本配置思路
需要事先创建不同网络层协议与VLAN的映射表项,同时还要在交换机Hybrid端口上配置与对应的协议VLAN进行关联,以限定交换机端口仅可加入特定的协议VLAN中。
(1)创建各网络层协议所需关联的VLAN
(2)在以上创建的VLAN视图下关联用户所用的网络层协议类型,建立网络层协议与VLAN的映射表,以确定哪些用户可划分到以上创建的VLAN中。
(3)配置各用户连接的交换机二层以太网端口类型为Hybrid,并允许前面创建的基于协议划分的VLAN以不带VLAN标签方式通过当前端口。
(4)配置交换机Hybrid端口与对应的协议VLAN进行关联。
想把PC1PC2配成IPv4,PC3PC4配成IPv6,在LSW1上启用按协议划分VLAN,在G0/0/1口进行打标签,即对于从对端来的无标签帧,判断是IPv4协议,打上VLAN2标签,判断是IPv6协议,打上vlan3标签,然后可以各自与PC5或PC6互通。
实际测试并不成功,PC1PC2与PC5不通,PC3PC4也不知道怎么模拟IPv6,只是做了如下设置:
不知道正确与否,连通性测试使用:
ping 2000:0:0:0:0:0:0:2 -6也不知道对不对
上例是在LSW1的G0/0/1端口启用基于协议的VLAN划分,在LSW1上对上送来的无标签帧进行区分打标签。
在网上查到另外一种配置方法,在LSW2的各个端口进行基于协议的VLAN划分,如下:
按这种配置PC1PC2互通,但与PC5还是不通。
五、基于策略划分VLAN
基于策略划分VLAN也可称为Policy VLAN,这里的策略主要包括“基于MAC地址+IP地址”组合策略和“基于MAC地址+IP地址+端口”组合策略两种。
基于策略划分VLAN是指在交换机上绑定终端的MAC地址、IP地址或交换机端口,并与VLAN关联,以证实只有符合条件的终端才能加入指定VLAN。一旦配置就可以禁止用户修改IP地址或MAC地址,甚至禁止改变所连接的交换机端口,否则或导致终端从指定VLAN中退出。
基于策略划分VLAN也只处理Untagged数据帧(所以也只能在Hybrid端口上进行配置),当设备接口接收到Untagged数据帧时,设备根据用户数据帧中的“源MAC地址”和“源IP地址”字段值与交换机上配置的“MAC地址和IP地址”,或者“MAC地址和IP地址+交换机端口”组合策略来确定数据帧所属的VLAN。
配置思路
(1)创建各策略所需关联的VLAN。
(2)在以上创建的VLAN视图下关联不同的策略,建立特定策略与VLAN的映射表,以确定哪些用户可划分到以上创建的VLAN中。
(3)配置各用户连接的交换机二层以太网端口烈性为Hybrid,并允许前面创建的基于策略划分的VLAN以不带VLAN标签方式通过当前端口。
此时,PC1PC3PC4之间是互通的,PC2PC5PC6之间互通。
修改PC3的MAC地址
以上所做修改后,实际上PC1PC3PC4之间一直是互通的,这里主要还是前面说过的默认VLAN1的问题,通过上面的dis mac-add命令,可以看出,当不符合策略时,帧被默认打上VLAN1的标签,而G0/0/1端口为trunk类型,允许VLAN2、3通过,默认VLAN1也会被去掉标签以不带标签帧通过,因为G0/0/1的PVID是VLAN1,修改G0/0/1的默认PVID,发现PC1PC3PC4之间还是通的,只有在设置对应PC1PC3PC4的端口的PVID为除去默认的1和策略需要映射的VLAN(如这里的2、3)后,才能达到相互不通的效果。原因不得而知。