基于MAC地址VLAN劃分的實際應用

高強 葛先雷 權循忠

摘要：基于MAC地址的VLAN是通過查詢并記錄端口所連計算機上網卡的MAC地址來決定端口的所屬。其可以根據每個端口所連的計算機，隨時改變端口所屬的VLAN，避免靜態VLAN的頻繁更改設定的操作，且由于計算機上網卡的MAC地址是全球唯一的，可以避免非法計算機的入侵登陸。結果表明，基于MAC地址劃分的VLAN使得計算機不會因連接端口變化導致VLAN變化，增加了連接的靈活性；劃分到特定VLAN的計算機只能訪問相同VLAN的服務器，未被綁定MAC地址的計算機無法訪問服務器，增強了計算機網絡的安全性。

關鍵詞：交換機；MAC地址：VLAN；安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）28-0015-02

1 引言

VLAN是指一種將局域網設備從邏輯上劃分為一個個網段，從而實現虛擬工作組的數據交換技術。[1] 基于MAC地址的VLAN是通過查詢并記錄端口所連計算機上網卡的MAC地址來決定端口的所屬，其可以根據每個端口所連的計算機，隨時改變端口所屬的VLAN，避免靜態VLAN的頻繁更改設定的操作。[2]由于計算機上網卡的MAC地址是全球唯一的，這樣就可以避免非法計算機的入侵登陸。

2 設計原理

假定MAC地址“A”被交換機設定為屬于VLAN “10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，該計算機都會被劃分到VLAN 10。計算機連在端口1時，端口1屬于VLAN 10；而計算機連在端口2時，則是端口2屬于VLAN 10，相對于基于端口劃分VLAN的靜態方式，增加了連接的靈活性，而未被劃分VLAN的MAC地址計算機是無法登陸訪問的。

3 項目設計

組網場景：某公司財務部文件服務器IP地址為192.168.1.133/24，技術部文件服務器IP地址為192.168.1.199/24，兩服務器連接在交換機上，財務部使用VLAN 10，技術部使用VLAN 20，為保證部門文件安全，要求只有經過MAC地址認證的計算機才能訪問本部門的文件服務器，其他部門或未經過MAC地址認證的計算機均無法訪問本部門文件服務器。（以烽火S5800交換機為例）。組網拓撲圖如圖1所示。

如圖1所示，交換機1到10端口設置為混合端口，財務部和技術部計算機均可以連接，PC1為財務部計算機，PC2為技術部計算機，PC3為未劃分VLAN的外來計算機。PC4為財務部文件服務器，PC5為技術部門文件服務器，PC4連接在22端口，PC5連接在24端口。

（1） 按照拓撲圖連接各設備，設置各PC的IP地址、子網掩碼如表1所示。

4 測試結果

測試使用Ping命令來檢測網絡的連通性。

（1）使用MAC地址為74：D0：2B：17：FF：C3的計算機即PC1，設置IP地址和子網掩碼，通過2端口分別訪問PC4和PC5，結果如圖2所示。PC1連接到4端口再次訪問PC4和PC5，結果如圖3所示。

圖2和圖3表明，無論PC1連接到端口2或者端口4，擁有此MAC地址的計算機都會被交換機自動劃分到VLAN 10，因此可以訪問財務文件服務器PC4，不能訪問技術文件服務器PC5。

（2）使用MAC地址38：2C：4A：03：85：60的計算機即PC2，設置IP地址和子網掩碼，通過6端口分別訪問PC4和PC5，結果如圖4所示。PC2連接到8端口再次訪問PC4和PC5，結果如圖5所示。

圖4和圖5表明，無論PC2連接到端口6或者端口8，擁有此MAC地址的計算機會被交換機自動劃分到VLAN 20，因此可以訪問技術部文件服務器PC5，不能訪問財務部文件服務器PC4。

（3）使用未綁定MAC地址的計算機即PC3，設置IP地址和子網掩碼，通過端口5分別訪問PC4和PC5，測試結果如圖6所示。 （下轉第25頁）

圖6表明，PC3既不能訪問財務文件服務器PC4，也不能訪問技術文件服務器PC5。

測試結果表明，基于MAC地址的劃分VLAN使得計算機不會因連接端口變化導致VLAN變化，增加了連接的靈活性，劃分到特定VLAN的計算機只能訪問屬于相同VLAN的服務器，未被綁定MAC地址的計算機無法訪問服務器，增加了計算機網絡的安全性。

參考文獻：

[1] 鄧秀慧，袁宗福.路由與交換技術[M].北京：電子工業出版社，2012：78-79.

[2] 楊姝. VLAN 技術實驗的設計與仿真實現研究[J]. 實驗技術與管理， 2014：114-117.

【通聯編輯：代影】