日常工作中，我们往往会针对固定端口设置VLAN，确定的电脑连接确定的交换机的端口属于确定的VLAN，获得确定的访问权限，用来做内部网络安全规划，及划分网络安全域，对于日常工作业务不涉及的网络资源或业务系统通过VLAN间的ACL进行安全管控。

但是这种传统的VLAN划分方式在面对现在的项目型企业的业务需求时就捉襟见肘了，比如说某研发型企业，平时工作属于项目制，大家的岗位角色随项目而动，如小李，今天参加a项目需要a项目资源服务器，一周之后从a项目调离，完全不需要访问a项目资源服务器，需要访问b项目资源服务器，同时工位也是动态的调整变化，这种情况下传统的基于端口的VLAN划分方式就无法满足需求了，而且当运维人员根据人员的岗位变动，工位变动，不断进行着端口属性更改的时候，规范性根本就无法存在，同时也容易产生误操作，将不正确的网络资源开发给相应人员，造成网络安全风险隐患，甚至导致数据泄密的情况发生。

这时我们就需要基于端口的VLAN配置来满足以上需求。基于MAC地址划分VLAN可以使无论用户计算机连接在哪台交换机，也无论是连接在哪个个交换机端口上，对应交换机端口都将成为该用户计算机网卡MAC地址所映射的VLAN的成员，而不需要在用户计算机改变所连接的端口时重新划分VLAN。这样就可以进一步提高终端用户的安全性（不会轻易被非法改变所属VLAN配置）和接入的灵活性（用户计算机可以在网络中根据实际需要随意移动）。

下面以华为交换机为例，对基于端口的VLAN划分进行说明（SwitchA为核心交换机，SwitchB为服务器交换机，SwitchC为客户端接入交换机）

1.核心交换机创建VLAN，添加mac地址

SwitchA

vlan 100

mac-vlan mac-address 00xx-00aa-00cc

2.配置与接入层交换机连接端口，配置与服务器交换机连接端口

SwitchA

interface GigabitEthernet0/0/1连接接入层交换机端口

 port hybrid untagged vlan 100

 mac-vlan enable

interface GigabitEthernet0/0/2连接服务器交换机端口

port link-type trunk

port trunk allow-pass vlan 100

3.配置服务器交换机端口

SwitchB

interface GigabitEthernet0/0/5连接核心交换机端口

port link-type trunk

port trunk allow-pass vlan 100

相应交换机配置相应vlan access口

4.SwitchC

无需配置直接接入即可。

如对于基于MAC地址VLAN划分有进一步了解请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟  IT外包专家

• 上一篇: 蓝盟IT外包一站式解决方案：引入航空级SOP标准，实现网络与服务器从被动应急到主动运维的全面升级
  下一篇: 蓝盟祝您端午安康，诸事如意！

• 分享到：