华为基于策略划分VLAN的配置方法及示例

学过思科交换机的朋友，可能对基于策略划分VLAN的配置方法印象非常深，感觉确实比较复杂，先要配置VMPS以及VMPS数据库，但在华为交换机中，这种现象得到了彻底改变，因为它有了一种特殊的端口类型——Hybrid。说它特殊是因为Hybrid端口既可以像Access类型端口那样在发送数据时不带VLAN标签，又可以像Trunk类型端口那样在发送数据时带上VLAN标签，且同时允许多个VLAN的帧通过。这就为华为在许多方面的配置优化打下了基础，此处介绍的基于策略划分VLAN就是其中一个。通过下面的学习，你一定会明显感觉到“很简单”。

6.6 基于策略划分VLAN

基于策略划分VLAN也可称为Policy VLAN，是根据一定的策略来进行VLAN划分，可实现用户终端的即插即用功能，同时可为终端用户提供安全的数据隔离。这里的策略主要包括“基于MAC地址+IP地址”组合策略和“基于MAC地址+IP地址+端口”组合策略两种。

6.6.1 配置基于策略划分VLAN

基于策略划分VLAN是指在交换机上绑定终端的MAC地址、IP地址或交换机端口，并与VLAN关联，以实证现只有符合条件的终端才能加入指定VLAN。符合策略的终端才可以加入到指定的VLAN，相当于采用了IP地址与MAC地址双重绑定，甚至再加上与所连接的交换机端口的三重绑定，一旦配置就可以禁止用户修改IP地址或MAC地址，甚至禁止改变所连接的交换机端口，否则会导致终端从指定VLAN中退出，可能访问不了指定的网络资源。

与前面介绍的基于MAC地址、基于IP子网、基于协议划分的VLAN一样，基于策略划分的VLAN也只处理Untagged数据帧（所以也只能在Hybrid端口上进行配置），对于Tagged数据帧处理方式和基于端口划分的VLAN一样。当设备端口接收到Untagged数据帧时，设备根据用户数据帧中的“源MAC地址”和“源IP地址”字段值与交换机上配置的“MAC地址和IP地址”，或者“MAC地址和IP地址+交换机端口”组合策略来确定数据帧所属的VLAN，然后将数据帧自动划分到指定VLAN中传输。

1. 基本配置思路

基于策略划分VLAN的基本配置思路比较简单，具体如下：

（1）创建各策略所需关联的VLAN。

（2）在以上创建的VLAN视图下关联不同的策略，建立特定策略与VLAN的映射表，以确定哪些用户可划分到以上创建的VLAN中。

（3）配置各用户连接的交换机二层以太网端口类型为Hybrid，并允许前面创建的基于策略划分的VLAN以不带VLAN标签方式通过当前端口。因为华为交换机的所有二层以太网端口缺省都是Hybrid类型，所以缺省情况下，端口类型是不用配置的。

2. 配置步骤

基于策略划分VLAN的具体配置步骤如表6-7所示。

表6-7 基于策略划分VLAN的配置步骤

配置任务	步骤	命令	说明
创建并进入VLAN视图	1	system-view 例如：<Quidway> system-view	进入系统视图
创建并进入VLAN视图	2	vlan vlan-id 例如：[Quidway] vlan 2	创建VLAN并进入VLAN视图。如果VLAN已经创建，则直接进入VLAN视图。其它说明参见表6-3的第2步
配置策略与VLAN映射表项	3	policy-vlan mac-address mac-address ip ip-address [ interface interface-type interface-number ] [ priority priority ] 例如：[Quidway-vlan2] policy-vlan mac-address 1-1-1 ip 10.10.10.1 priority 7	将以上创建的VLAN与特定的策略进行关联。命令中的参数说明如下： l mac-address mac-address：指定策略VLAN依据的源MAC地址，格式为H-H-H。其中H为4位的十六进制数，可以输入1~4位，如00e0、fc01。当输入不足4位时，表示前面的几位为0，如：输入e0，等同于00e0。MAC地址不可设置为0000-0000-0000、FFFF-FFFF-FFFF和组播地址 l ip ip-address：指定策略VLAN依据的源IP地址，格式为点分十进制格式 l interface interface-type interface-number：可选参数，指定应用MAC地址和IP地址组合策略的交换机端口（注意：可以是Eth-Trunk口）。如果指定该参数，MAC地址和IP地址组合策略只应用到指定VLAN中指定的端口上，否则MAC地址和IP地址组合策略将应用到指定VLAN中所有的端口上 l priority priority：可选参数，指定以上策略所对应的VLAN的802.1p优先级，取值范围为0~7的整数，值越大优先级越高。缺省值是0 缺省情况下，没有配置基于策略划分VLAN，可用undo policy-vlan { all \| mac-address mac-address ip ip-address [interface interface-type interface-number ] }命令删除基于策略划分的指定VLAN。二选一选项all用来指定删除所有基于策略划分的VLAN。如果要删除被设置为策略VLAN的VLAN，需要先执行以上undo policy-vlan命令删除Policy VLAN后，才能够删除该VLAN
	如果有多个策略与VLAN映射表项，则重复第3步。但要注意，如果映射的VLAN不一样，则一定要在对应的VLAN视图下配置映射
	4	quit 例如：[Quidway-vlan2]	退去VLAN视图，返回系统视图
配置Hybrid端口属性并允许对应的策略VLAN通过	5	interface interface-type interface-number 例如：[Quidway] interface gigabitethernet 0/0/1	键入要采用基于策略划分VLAN的交换机端口的接口类型和接口编号（注意：可以是Eth-Trunk口）。接口类型和接口编号之间可以输入空格也可以不输入空格
	6	port link-type hybrid 例如：[Quidway-GigabitEthernet0/0/1]port link-type hybrid	配置以上二层以太网端口类型为Hybrid类型。其它说明参见表6-4的第6步
	7	port hybrid Untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> \| all } 例如：[Quidway-GigabitEthernet0/0/1]port hybrid Untagged vlan 2 to 10	配置以上Hybrid类型端口以Untagged方式加入指定的VLAN中，即指定这些VLAN帧将以Untagged方式（去掉帧中原来的VLAN标签）通过接口向外（即向对端设备发送，不是向本地交换机内部发送）发送出去。其它说明参见表6-3的第5步
	对其它需要采用基于策略划分VLAN的Hybrid端口重复以上第5~7步

【示例】配置基于组合策略，把MAC地址为0–1–1，IP地址为1.1.1.1的主机划分到VLAN 2中，并配置该VLAN的802.1p优先级是7。

<Quidway> system-view

[Quidway] vlan 2

[Quidway-vlan2] policy-vlan mac-address 0-1-1 ip 1.1.1.1 priority 7

6.6.2 基于策略划分VLAN的配置示例

本示例拓扑结构如图6-11所示。现要把User1（MAC地址为1-1-1，IP地址为1.1.1.1）绑定在SwitchA的GE1/0/1端口上，把User2（MAC地址为2-2-2，IP地址为2.2.2.2）绑定在SwitchB的GE1/0/1端口上，并把它们划分到VLAN 2中；把User3（MAC地址为3-3-3，IP地址为3.3.3.3）绑定在SwitchA的GE1/0/2端口上，把User4（MAC地址为4-4-4，IP地址为4.4.4.4）绑定在SwitchB的GE1/0/2端口上，并把它们划分到VLAN 3中。

图6-11 基于策略划分VLAN配置示例拓扑结构

1. 配置思路分析

基于策略划分VLAN的配置很简单，参照6.6.1节介绍的具体配置步骤可以得出本示例的以下三方面的基本配置任务：

（1）创建所需的策略VLAN；

（2）在对应的VLAN视图下配置基于用户计算机的MAC地址、IP地址的组合策略和应用策略的交换机端口；

（3）配置应用组合策略的Hybrid类型交换机端口允许所加入的VLAN通过。

2. 配置步骤

通过以上配置思路分析后，下面的具体配置就比较简单了。

SwitchA上的配置：

（1）创建所需的策略协议VLAN 2和VLAN 3。

<Quidway> system-view

<Quidway>sysname SwitchA

[SwitchA] vlan batch 2 3

（2）配置MAC地址、IP地址和交换机端口组合策略与以上策略VLAN的关联，并为两个协议VLAN设置不同的802.1q的优先级值。

[SwitchA] vlan 2

[SwitchA –vlan2] policy-vlan mac-address 1-1-1 ip 1.1.1.1 gigabitEthernet1/0/1 priority 7

[SwitchA –vlan2] quit

[SwitchA] vlan 3

[SwitchA -vlan20] policy-vlan mac-address 3-3-3 ip 3.3.3.3 gigabitEthernet1/0/2 priority 5

[SwitchA-vlan20] quit

（3）配置交换机端口类型并允许对应的策略VLAN通过。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA -GigabitEthernet1/0/1] port link-type hybrid

[SwitchA -GigabitEthernet1/0/1] port hybrid Untagged vlan 2

[SwitchA -GigabitEthernet1/0/1] quit

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA -GigabitEthernet1/0/2] port link-type trunk

[SwitchA -GigabitEthernet1/0/2] port trunk allow-pass vlan 3

[SwitchA -GigabitEthernet1/0/2] quit

SwitchB上的配置：

SwitchB上的配置与SwitchA上的配置基本类似，具体如下：

<Quidway> system-view

<Quidway>sysname SwitchB

[SwitchB] vlan batch 2 3

[SwitchB] vlan 2

[SwitchB –vlan2] policy-vlan mac-address 2-2-2 ip 2.2.2.2 gigabitEthernet1/0/1 priority 7

[SwitchB –vlan2] quit

[SwitchB] vlan 3

[SwitchB -vlan20] policy-vlan mac-address 4-4-4 ip 4.4.4.4 gigabitEthernet1/0/2 priority 5

[SwitchB-vlan20] quit

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB -GigabitEthernet1/0/1] port link-type hybrid

[SwitchB -GigabitEthernet1/0/1] port hybrid Untagged vlan 2

[SwitchB -GigabitEthernet1/0/1] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB -GigabitEthernet1/0/2] port link-type trunk

[SwitchB -GigabitEthernet1/0/2] port trunk allow-pass vlan 3

[SwitchB -GigabitEthernet1/0/2] quit

通过以上配置MAC地址为1-1-1，IP地址为1.1.1.1的用户被自动划分到VLAN 2中，并且只能接在SwitchA上的GE1/0/1端口上；MAC地址为2-2-2，IP地址为2.2.2.2的用户也被自动划分到VLAN 2中，并且只能接在SwitchB上的GE1/0/1端口上，否则将退出VLAN 2。而MAC地址为3-3-3，IP地址为3.3.3.3的用户被自动划分到VLAN 3中，并且只能接在SwitchA上的GE1/0/2端口上；MAC地址为4-4-4，IP地址为4.4.4.4的用户也被自动划分到VLAN 3中，并且只能接在SwitchB上的GE1/0/2端口上，否则将退出VLAN 3。