优势说明

1、配置简化：

现在MAC-VLAN的配置直接写到了汇聚层交换机上，起到了很好简化配置的作用；

2、建设维护方便：

IT人员不用再考虑下端用户下挂交换机带来的认证问题，MAC-VLAN的好处在于MAC地址在二层都是透传的，VLAN标签都在汇聚层上打；

3、安全可靠：

为了能让IP话机通过动态获取IP方式工作，在voice-vlan时期担心在用户下挂交换机上配置MAC地址列表带来MAC地址表外泄风险，现在MAC-VLAN直接配置在汇聚层上，下面交换机无论挂多少都可以“0”配置，避免此风险；

4、支持设备广泛：

MAC-VLAN在下面级联交换机测试，华为S5720、S5710、华三S3900都可以做到“0”配置；

5、后期使用扩展：

MAC-VLAN技术可以用作所有有线笨终端设备认证的临时方案，TC、网络打印机等等。

组网结构如下：

配置比较简单，只需在汇聚层交换机上面配置即可，接入层交换机无需启用MAC-VLAN

1、创建vlan，例如语音流的vlan为20，将IP Phone的mac地址和vlan 20关联；用户vlan为45；

2、在vlan中配置mac地址和vlan关联；

3、使能下行接口的MAC-VLAN功能；

4、MSCG上面相应子接口需要配置vlan 20终结，并关联到认证后域。

小汇聚交换机配置：

vlan 20

 description IPPhone_VLAN

 mac-vlan mac-address e86a-6453-9520 priority 0     //例行维护

 dhcp snooping enable

 dhcp snooping trusted interface GigabitEthernet0/0/1

上行端口将vlan 20允许放通

 interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 45 20

在6号（下行端口）上开启mac-vlan认证功能

interface GigabitEthernet0/0/6

 port hybrid pvid vlan 45

 port hybrid untagged vlan 45 20

 mac-vlan enable

立夏

2020.5.5