端口vlan官网

H3CS9500系列路由交换机操作手册VLAN-QinQ目录i目录第1章VLAN配置1-11.
1VLAN简介1-11.
2VLAN公共配置1-11.
2.
1创建/删除VLAN.
1-11.
2.
2为VLAN或VLAN接口指定描述字符1-21.
2.
3为当前VLAN命名.
1-21.
2.
4创建/删除VLAN接口1-31.
2.
5打开/关闭VLAN接口1-31.
3基于端口的VLAN配置1-31.
3.
1为VLAN指定以太网端口.
1-31.
4基于协议的VLAN配置1-41.
4.
1创建/删除VLAN的协议类型1-41.
4.
2创建/删除端口所下发的基于协议的VLAN.
1-41.
5配置VLAN内的CPU端口1-51.
6VLAN显示和调试.
1-51.
7VLAN典型配置举例.
1-6第2章GARP/GVRP配置2-12.
1GARP配置.
2-12.
1.
1GARP协议简介.
2-12.
1.
2配置GARP定时器参数.
2-22.
1.
3GARP显示和调试2-32.
2GVRP配置.
2-32.
2.
1GVRP协议简介.
2-32.
2.
2全局开启/关闭GVRP2-42.
2.
3端口开启/关闭GVRP2-52.
2.
4配置GVRP注册类型2-52.
2.
5GVRP显示和调试2-52.
2.
6GVRP典型配置举例2-6第3章SuperVLAN配置.
3-13.
1SuperVLAN简介.
3-13.
2SuperVLAN配置.
3-13.
2.
1SuperVLAN的配置任务3-13.
2.
2SuperVLAN的配置举例3-3H3CS9500系列路由交换机操作手册VLAN-QinQ目录ii第4章isolate-user-vlan配置4-14.
1isolate-user-vlan简介4-14.
2isolate-user-vlan配置任务简介.
4-14.
2.
1配置isolate-user-vlan.
4-24.
2.
2配置SecondaryVLAN4-24.
2.
3配置isolate-user-vlan和SecondaryVLAN间的映射关系.
4-34.
3isolate-user-vlan显示和调试4-44.
4isolate-user-vlan典型配置举例.
4-4第5章QinQ配置5-15.
1QinQ简介5-15.
1.
1原理介绍.
5-15.
1.
2QinQ的实现方式.
5-15.
1.
3QinQ报文的TPID值可调功能.
5-25.
2配置端口的VLANVPN特性功能.
5-25.
2.
1配置准备.
5-25.
2.
2配置过程.
5-35.
3配置基于流分类的NestedVLAN5-35.
3.
1配置准备.
5-35.
3.
2配置过程.
5-45.
3.
3配置过程举例.
5-45.
4配置端口的QinQ报文TPID值可调功能.
5-75.
4.
1配置准备.
5-75.
4.
2配置过程.
5-75.
4.
3配置过程举例.
5-8H3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-1第1章VLAN配置1.
1VLAN简介VLAN(VirtualLocalAreaNetwork,虚拟局域网),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术.
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE802.
1Q协议标准草案.
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理LAN网段.
VLAN在交换机上的实现方法,有基于端口划分的VLAN;基于MAC地址划分的VLAN;基于IP组播划分的VLAN,即一个组播组就是一个VLAN;基于网络层划分的VLAN,根据每个主机的网络层地址或协议类型来划分.
VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性.
1.
2VLAN公共配置对VLAN进行配置时,首先应根据需求创建VLAN.
VLAN公共配置包括:z创建/删除VLANz为VLAN或VLAN接口指定描述字符z为当前VLAN命名z创建/删除VLAN接口z打开/关闭VLAN接口1.
2.
1创建/删除VLAN可以使用下面的命令来创建/删除VLAN.
创建单个VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN视图.
请在系统视图下进行下列配置.
H3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-2表1-1创建/删除VLAN操作命令创建单个VLAN并进入VLAN视图vlanvlan-id创建多个VLANvlanvlan-id-list删除已创建的VLANundovlan{vlan-id[tovlan-id]|all}注意:z缺省VLAN即VLAN1不能被删除.
zVLAN内如果有端口使能了VLANVPN,则不允许删除此VLAN.
z如果该VLAN为GuestVLAN,则也不允许删除.
z下发了协议的VLAN,也不允许被删除.
1.
2.
2为VLAN或VLAN接口指定描述字符可以使用下面的命令来指定VLAN或VLAN接口的描述字符.
请在VLAN或VLAN接口视图下进行下列配置.
表1-2为VLAN或VLAN接口指定描述字符操作命令为VLAN或VLAN接口指定一个描述字符串descriptionstring恢复VLAN或VLAN接口的描述字符串为缺省描述undodescription缺省情况下,VLAN缺省描述字符串为该VLAN的VLANID,例如"VLAN0001".
VLAN接口缺省描述字符串为该VLAN接口的接口名,例如"Vlan-interface1Interface".
1.
2.
3为当前VLAN命名可以使用下面的命令来为当前的VLAN命名.
请在VLAN视图下进行下列配置.
表1-3为当前VLAN命名操作命令为当前VLAN命名name恢复当前VLAN名称的缺省值undonameH3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-3缺省情况下,当前VLAN的名称为该VLAN的VLANID.
1.
2.
4创建/删除VLAN接口可以使用下面的命令来创建/删除VLAN接口.
为了实现VLAN接口上的网络层功能,需要为VLAN接口指定IP地址和掩码,这些配置请参见本手册"网络协议"中的介绍.
请在系统视图下进行下列配置.
表1-4创建/删除VLAN接口操作命令创建或进入VLAN接口视图interfacevlan-interfacevlan-id删除VLAN接口undointerfacevlan-interfacevlan-id创建一个VLAN接口前,必须先创建其对应的VLAN.
1.
2.
5打开/关闭VLAN接口可以使用下面的命令来打开/关闭VLAN接口.
请在VLAN接口视图下进行下列配置.
表1-5打开或关闭VLAN接口操作命令关闭VLAN接口shutdown打开VLAN接口undoshutdown需要注意的是,关闭和打开VLAN接口不影响属于这个VLAN的任何一个以太网端口的状态.
缺省情况下,当VLAN内所有以太网端口状态为Down时,VLAN接口为Down状态,即关闭状态;当VLAN内有一个或一个以上的以太网端口处于UP状态,VLAN接口处于UP状态,即打开状态.
1.
3基于端口的VLAN配置1.
3.
1为VLAN指定以太网端口可以使用下面的命令为VLAN指定以太网端口.
请在VLAN视图下进行下列配置.
H3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-4表1-6为VLAN指定端口操作命令为指定的VLAN增加以太网端口portinterface-list删除指定的VLAN的某些以太网端口undoportinterface-list缺省情况下,系统将所有端口都加入到一个缺省的VLAN中,该VLAN的ID为1.
需要注意的是,Trunk和Hybrid端口只能通过以太网端口视图下的port和undoport命令加入VLAN或从VLAN中删除,而不能通过本命令实现.
1.
4基于协议的VLAN配置基于协议的VLAN配置包括:z创建/删除VLAN的协议类型z创建/删除端口下所下发的基于协议的VLAN1.
4.
1创建/删除VLAN的协议类型可以使用下面的命令来创建/删除VLAN的协议类型.
请在VLAN视图下进行下列配置.
表1-7创建/删除VLAN的协议类型操作命令创建VLAN协议类型protocol-vlan[protocol-index]{at|ipx{ethernetii|llc|raw|snap}{ipv4ip-address[net-mask]|mode{ethernetiietypeetype-id|llcdsapdsap-idssapssap-id|snapetypeetype-id}}删除已创建的VLAN协议类型undoprotocol-vlan{protocol-index[toprotocol-end]|all}1.
4.
2创建/删除端口所下发的基于协议的VLAN请在端口视图下进行下列配置.
表1-8创建/删除端口所下发的基于协议的VLAN操作命令创建端口下所下发的协议VLANporthybridprotocol-vlanvlanvlan-id{vlan-protocol-list|all}删除端口下所下发的协议VLANundoporthybridprotocol-vlanvlan{vlan-id{vlan-protocol-list|all}|all}H3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-5注意:z端口必须是Hybrid类型,而且端口要属于该基于协议的VLAN.
z同一个VLAN下不能配置相同的协议,不同的VLAN下可以配置相同的协议.
z不同VLAN上配置的相同协议不能下发到同一端口.
z如果VLAN内已经下发了协议,则该VLAN不能被删除.
z如果端口上已经下发了该VLAN的协议,则该VLAN不能从端口上被删除.
1.
5配置VLAN内的CPU端口在S9500系列路由交换机中,CPU是一个特殊的端口.
由于CPU端口默认是在VLAN内,当普通广播报文和未知组播报文在VLAN内广播时,这些报文也会向CPU广播.
为了不浪费CPU资源,用户可以将CPU端口从VLAN内移出,从而不把一般的普通广播报文和未知组播报文交由CPU处理.
可以使用下面的命令把CPU端口移出VLAN.
请在VLAN视图下进行下列配置.
表1-9在VLAN内移动CPU端口操作命令把CPU端口移出VLANtrap-to-cpudisable把CPU端口移入VLANundotrap-to-cpudisable缺省情况下,CPU端口在VLAN内.
用户也可以一次性对多个或者所有的VLAN进行CPU端口的移动操作.
请在系统视图下进行下列配置.
表1-10在指定的VLAN内移动CPU端口操作命令把CPU端口移出指定的VLANtrap-to-cpudisablevlan{vlan_list|all}把CPU端口移入指定的VLANundotrap-to-cpudisablevlan{vlan_list|all}1.
6VLAN显示和调试在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN的运行情况,通过查看显示信息验证配置的效果.
H3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-6表1-11VLAN的显示和调试操作命令显示VLAN接口相关信息displayinterfacevlan-interface[vlan-id]显示VLAN相关信息displayvlan[vlan-idtovlan-id|all|static|dynamic]显示指定VLAN上配置的协议信息及协议的索引displayprotocol-vlanvlan{vlan-list|all}显示指定端口上配置的协议信息及协议的索引displayprotocol-vlaninterface{interface-list|all}显示VLAN内CPU端口信息displaytrap-to-cpu1.
7VLAN典型配置举例1.
组网需求z创建VLAN2、VLAN3z将端口Ethernet3/1/1和Ethernet4/1/1加入到VLAN2中z将端口Ethernet3/1/2和Ethernet4/1/2加入到VLAN3中2.
组网图SwitchE3/1/2E4/1/1vlan2E4/1/2E3/1/1SwitchSwitchE3/1/2E4/1/1E4/1/2E3/1/1SwitchSwitchE3/1/2E4/1/1E4/1/2E3/1/1Switchvlan3SwitchE3/1/2E4/1/1vlan2E4/1/2E3/1/1SwitchSwitchE3/1/2E4/1/1E4/1/2E3/1/1SwitchSwitchE3/1/2E4/1/1E4/1/2E3/1/1Switchvlan3图1-1VLAN配置示例图3.
配置步骤#创建VLAN2并进入其视图.
[H3C]vlan2#向VLAN2中加入端口Ethernet3/1/1和Ethernet4/1/1.
[H3C-vlan2]portethernet3/1/1ethernet4/1/1#创建VLAN3并进入其视图.
[H3C-vlan2]vlan3H3CS9500系列路由交换机操作手册VLAN-QinQ第1章VLAN配置1-7#向VLAN3中加入端口Ethernet3/1/2和Ethernet4/1/2.
[H3C-vlan3]portethernet3/1/2ethernet4/1/2H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-1第2章GARP/GVRP配置2.
1GARP配置2.
1.
1GARP协议简介GARP(GenericAttributeRegistrationProtocol)是一种通用的属性注册协议,该协议提供了一种机制用于协助同一个交换网内的交换成员之间分发、传播和注册某种信息(如VLAN、组播地址等).
GARP本身不作为一个实体存在于交换机中,遵循GARP协议的应用实体称为GARP应用,目前主要的GARP应用为GVRP和GMRP.
当GARP应用实体存在于交换机的某个端口上时,该端口对应于一个GARP应用实体.
通过GARP机制,一个GARP成员上的配置信息会迅速传播到整个交换网.
GARP成员可以是终端工作站或网桥.
GARP成员通过声明或回收声明通知其它的GARP成员注册或注销自己的属性信息,并根据其它GARP成员的声明或回收声明注册或注销对方的属性信息.
GARP成员之间的信息交换借助于消息完成,GARP起主要作用的消息类型有三类,分别为Join、Leave和LeaveAll.
当一个GARP应用实体希望其它交换机注册自己的某属性信息时,将对外发送Join消息.
当一个GARP应用实体希望其它交换机注销自己的某属性信息时,将对外发送Leave消息.
每个GARP应用实体启动后,将同时启动LeaveAll定时器,当超时后将对外发送LeaveAll消息.
Join消息与Leave消息配合确保消息的注销或重新注册.
通过消息交互,所有待注册的属性信息可以传播到同一交换网的所有交换机上.
GARP应用实体的协议数据报文的目的MAC地址都是特定的组播MAC地址.
支持GARP特性的交换机在接收到GARP应用实体的报文后,会根据其目的MAC地址加以区分并交给不同的GARP应用(如GVRP或GMRP)去处理.
GARP(以及GMRP)在IEEE802.
1p标准(现已合入IEEE802.
1D标准)文本中有详细的表述.
H3C系列交换机对符合IEEE标准的GARP提供完备的支持.
GARP配置包括:z配置GARP定时器参数H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-2说明:zGARP定时器的值将应用于所有在同一交换网内运行的GARP应用,包括GVRP和GMRP.
z在同一交换网内的所有交换设备的GARP定时器必须设置为相同的值,否则GARP应用将不能正常工作.
2.
1.
2配置GARP定时器参数GARP的定时器包括Hold定时器、Join定时器、Leave定时器和LeaveAll定时器.
GARP应用实体在Join定时器超时后将对外发送Join消息,以使其它GARP应用实体注册自己的信息.
当一个GARP应用实体希望注销某属性信息时,将对外发送Leave消息,接收到该消息的GARP应用实体启动Leave定时器,如果在该定时器超时之前没有再次收到Join消息,则注销该属性信息.
每个GARP应用实体启动后,将同时启动LeaveAll定时器,当该定时器超时后,GARP应用实体将对外发送LeaveAll消息,以使其它GARP应用实体重新注册本实体上所有的属性信息.
随后再启动LeaveAll定时器,开始新的一轮循环.
当GARP应用实体接收到某注册信息时,不立即对外发送Join消息,而是启动Hold定时器,当该定时器超时后,再对外发送Join消息,以便在Hold定时器时间内收到的所有注册信息可以放在同一帧中发送,从而节省带宽资源.
请在以太网端口视图下配置Hold定时器、Join定时器和Leave定时器;在系统视图下配置LeaveAll定时器.
表2-1配置GARP定时器操作命令配置GARP的Hold定时器、Join定时器和Leave定时器garptimer{hold|join|leave}timer-value配置GARP的LeaveAll定时器garptimerleavealltimer-value将GARP的Hold定时器、Join定时器和Leave定时器恢复为缺省值undogarptimer{hold|join|leave}将GARP的LeaveAll定时器恢复为缺省值undogarptimerleaveall缺省情况下,Hold定时器为10厘秒,Join定时器为20厘秒,Leave定时器为60厘秒,LeaveAll定时器为1000厘秒.
H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-3需要注意的是,Join定时器的值应大于等于2倍Hold定时器的值;Leave定时器的值应大于2倍Join定时器的值并小于LeaveAll定时器的值,同时Join定时器为5厘秒的倍数,否则系统会报错.
各个定时器的取值范围会由于其他定时器取值的改变而改变.
如果用户想要设置的定时器的值不在当前的取值范围内,可以通过改变相关定时器的取值实现.
zHold定时器取值范围的下限为10厘秒,上限可以通过改变Join定时器的取值改变;zJoin定时器取值范围的下限可以通过改变Hold定时器的取值实现,上限可以通过改变Leave定时器的取值改变;zLeave定时器取值范围的下限可以通过改变Join定时器的取值实现,上限可以通过改变LeaveAll定时器的取值改变;zLeaveAll定时器取值范围的下限可以通过改变Leave定时器的取值改变,上限为32765厘秒.
2.
1.
3GARP显示和调试在完成上述配置后,在任意视图下执行display命令可以显示配置后GARP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可清除GARP相关配置;执行debugging命令可对GARP进行调试.
表2-2GARP的显示和调试操作命令显示GARP的统计信息displaygarpstatistics[interfaceinterface-list]显示GARP定时器参数displaygarptimer[interfaceinterface-list]清除GARP统计信息resetgarpstatistics[interfaceinterface-list]开启GARP的事件调试开关debugginggarpevent关闭GARP的事件调试开关undodebugginggarpevent2.
2GVRP配置2.
2.
1GVRP协议简介GVRP(GARPVLANRegistrationProtocol)是GARP的一种应用,它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中.
所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息,并H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-4动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等.
而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致.
GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息.
GVRP在IEEE802.
1Q标准文本中有详细的表述.
H3C系列交换机对符合IEEE标准的GVRP提供完备的支持.
GVRP配置包括:z全局开启/关闭GVRPz端口开启/关闭GVRPz配置GVRP注册类型在上述各项配置任务中,必须先启动全局GVRP,才能开启端口GVRP;而GVRP注册类型在启动了端口GVRP以后才能生效.
此外,GVRP必须在Trunk端口上进行设置.
说明:z配置端口汇聚组时,主端口的GVRP特性配置保持不变,从端口的GVRP特性将被关闭.
z向已经存在的端口汇聚组添加端口时,所添加端口上的GVRP特性将被关闭.
z端口汇聚组的主端口离开汇聚组时,GVRP特性状态在主端口和汇聚组上保持不变;从端口离开汇聚组时,从端口的GVRP特性处于关闭状态.
z配置端口汇聚组中任意端口的GVRP特性时,这些配置将映射到汇聚组的主端口上.
z查询端口汇聚组中任意端口的GVRP特性配置时,返回的查询结果是对汇聚组主端口的查询结果.
2.
2.
2全局开启/关闭GVRP可以使用下面的命令配置全局开启/关闭GVRP.
请在系统视图下进行下列配置.
表2-3全局开启/关闭GVRP操作命令全局开启GVRPgvrp将全局GVRP恢复为缺省关闭状态undogvrp缺省情况下,全局GVRP处于关闭状态.
H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-52.
2.
3端口开启/关闭GVRP可以使用下面的命令配置端口开启/关闭GVRP.
请在以太网端口视图下进行下列配置.
表2-4端口开启/关闭GVRP操作命令开启端口GVRPgvrp将端口GVRP恢复为缺省关闭状态undogvrp需要注意的是,在开启端口GVRP之前,必须先开启全局GVRP,并且开启/关闭端口GVRP必须在Trunk端口操作.
缺省情况下,端口GVRP处于关闭状态.
2.
2.
4配置GVRP注册类型GVRP的注册类型包括:Normal、Fixed和Forbidden(请参考IEEE802.
1Q).
z当一个端口被配置为Normal注册模式时,允许在该端口动态或手工创建、注册和注销VLAN.
z当把一个Trunk端口设置为Fixed模式时,禁止该端口动态注册、注销VLAN,只传播手动配置的静态VLAN信息,不传播动态VLAN信息,也就是说被设置为Fixed模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN也只能是手动配置的那部分.
z当一个端口被配置为Forbidden注册模式时,在该端口将注销除VLAN1之外的所有VLAN,并且禁止在该端口创建和注册任何其它VLAN.
请在以太网端口视图下进行下列配置.
表2-5配置GVRP注册类型操作命令配置GVRP注册类型gvrpregistration{normal|fixed|forbidden}将GVRP注册类型恢复为缺省值undogvrpregistration缺省情况下,GVRP注册类型为Normal.
2.
2.
5GVRP显示和调试在完成上述配置后,在任意视图下执行display命令可以显示配置后GVRP的运行情况,通过查看显示信息验证配置的效果.
H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-6在用户视图下,执行debugging命令可对GVRP进行调试.
表2-6GVRP的显示和调试操作命令显示GVRP统计信息displaygvrpstatistics[interfaceinterface-list]显示GVRP全局状态信息displaygvrpstatus开启GVRP的数据包或事件调试开关debugginggvrp{packet|event}关闭GVRP的数据包或事件调试开关undodebugginggvrp{packet|event}2.
2.
6GVRP典型配置举例1.
组网需求为了实现交换机之间VLAN信息的动态注册和更新,需要在交换机上启动GVRP.
2.
组网图E3/1/1SwitchASwitchBE4/1/1SwitchASwitchBE3/1/1SwitchASwitchBE4/1/1SwitchASwitchB图2-1GVRP配置示例图3.
配置步骤配置SwitchA:#开启全局GVRP.
[H3C]gvrp#将以太网端口Ethernet3/1/1配置为Trunk端口,并允许所有VLAN通过.
[H3C]interfaceethernet3/1/1[H3C-Ethernet3/1/1]portlink-typetrunk[H3C-Ethernet3/1/1]porttrunkpermitvlanall#在Trunk端口上开启GVRP.
[H3C-Ethernet3/1/1]gvrp配置SwitchB:#开启全局GVRP.
[H3C]gvrp#将以太网端口Ethernet4/1/1配置为Trunk端口,并允许所有VLAN通过.
[H3C]interfaceethernet4/1/1H3CS9500系列路由交换机操作手册VLAN-QinQ第2章GARP/GVRP配置2-7[H3C-Ethernet4/1/1]portlink-typetrunk[H3C-Ethernet4/1/1]porttrunkpermitvlanall#在Trunk端口上开启GVRP.
[H3C-Ethernet4/1/1]gvrpH3CS9500系列路由交换机操作手册VLAN-QinQ第3章SuperVLAN3-1第3章SuperVLAN配置3.
1SuperVLAN简介SuperVLAN又称为VLAN聚合(VLANAggregation),其原理是一个SuperVLAN包含多个SubVLAN,SuperVLAN可配置虚接口的IP地址.
每个SubVLAN是一个广播域,不同SubVLAN之间二层相互隔离,SubVLAN不能配置虚接口IP地址.
当SubVLAN内的用户需要进行三层通信时,将使用SuperVLAN的虚接口的IP地址作为网关地址,这样多个VLAN共享一个IP地址,从而节省了IP地址资源.
同时,为了实现不同SubVLAN间的三层互通及SubVLAN与其他网络的互通,需要利用ARP代理功能.
通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通.
缺省状态下,SubVLAN下的ARP代理功能是关闭的.
3.
2SuperVLAN配置SuperVLAN的主要配置包括:z配置VLAN类型为SuperVLANz配置SubVLANz配置SuperVLAN和SubVLAN之间的映射关系z使能SubVLAN的ARP代理功能3.
2.
1SuperVLAN的配置任务说明:一台交换机可以有多个SuperVLAN.
当配置VLAN为SuperVLAN后,相应的VLAN接口和IP地址的配置与普通VLAN一样.
配置SubVLAN的操作与配置普通VLAN的操作一样,具体配置命令如下,详细介绍请参见"第1章VLAN配置".
SuperVLAN的配置过程如下:H3CS9500系列路由交换机操作手册VLAN-QinQ第3章SuperVLAN3-2表3-1SuperVLAN的配置配置项命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id必选设置VLAN类型为SuperVLANsupervlan必选,其中VLAN视图中的VLAN-ID为已经配置的VLANID,取值范围为1~4094退出SuperVLAN视图quit-创建SubVLAN并进入SubVLAN视图vlanvlan-id必选为SubVLAN添加以太网端口portinterface-list可选退出SubVLAN视图quit-进入SuperVLAN视图vlanvlan-id-配置SuperVLAN和SubVLAN间的映射关系subvlansub-vlan-list必选进入SubVLAN视图vlanvlan-id-使能SubVLAN的ARP代理功能arpproxyenable可选,当各个SubVLAN之间需要互通的时候,必须配置此命令显示配置的信息displaysupervlan[supervlan-id]可选,display命令可以在任意视图执行注意:zSuperVLAN中不能包含端口.
z当设置VLAN类型为SuperVLAN后,该VLAN接口上的ARP代理自动开启,无需配置.
z在SuperVLAN存在时,其对应的VLAN接口的ARP代理不能关闭.
默认的VLAN不能被创建成SuperVLAN.
可以向每一个SubVLAN中添加多个端口(非上行端口).
zSubVLAN不能配虚接口.
undosubvlanvlan-id命令如果不带vlan-id的话,就解除所有SubVLAN和指定SuperVLAN之间的映射关系;如果带有vlan-id的话就解除指定的SubVLAN和指定SuperVLAN之间的映射关系.
zSuperVLAN下请不要使能组播VLAN和igmp-snooping.
H3CS9500系列路由交换机操作手册VLAN-QinQ第3章SuperVLAN3-33.
2.
2SuperVLAN的配置举例1.
组网需求需要创建SuperVLAN10和SubVLAN:VLAN2、VLAN3、VLAN5.
端口1和端口2属于VLAN2;端口3和端口4属于VLAN3;端口5和端口6属于VLAN5,由于VLAN之间能够满足二层隔离,现要求SubVLAN两两之间三层互通.
2.
组网图略.
3.
配置步骤system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]vlan10[H3C-vlan10]supervlan[H3C-vlan10]vlan2[H3C-vlan2]portethernet3/1/1ethernet3/1/2[H3C-vlan2]arpproxyenable[H3C-vlan2]vlan3[H3C-vlan3]portEthernet3/1/3ethernet3/1/4[H3C-vlan3]arpproxyenable[H3C-vlan3]vlan5[H3C-vlan5]portethernet3/1/5ethernet3/1/6[H3C-vlan5]arpproxyenable[H3C-vlan5]vlan10[H3C-vlan10]subvlan235[H3C-vlan10]interfacevlan10[H3C-Vlan-interface10]ipaddress10.
110.
1.
1255.
255.
255.
0H3CS9500系列路由交换机操作手册VLAN-QinQ第4章isolate-user-vlan配置4-1第4章isolate-user-vlan配置4.
1isolate-user-vlan简介isolate-user-vlan特性可实现网络中VLAN资源的节约.
isolate-user-vlan采用二层VLAN结构,第一层为isolate-user-vlan,第二层为SecondaryVLAN.
如下图4-1所示.
z一个isolate-user-vlan和多个SecondaryVLAN对应,isolate-user-vlan包含所对应的所有SecondaryVLAN中包含的端口和上行端口,这样对上层交换机来说,只需识别下层交换机中的isolate-user-vlan,而不必关心isolate-user-vlan中包含的SecondaryVLAN,简化了网络配置,节省了VLAN资源.
zisolate-user-vlan可实现用户二层报文的隔离,即为每个用户分配一个SecondaryVLAN,每个SecondaryVLAN中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个SecondaryVLAN中即可.
(SecondaryVLAN)VLAN4VLAN6VLAN3VLAN2(isolate-user-vlan)(SecondaryVLAN)(SecondaryVLAN)(SecondaryVLAN)VLAN3VLAN5(isolate-user-vlan)(SecondaryVLAN)VLAN4VLAN6VLAN3VLAN2(isolate-user-vlan)(SecondaryVLAN)(SecondaryVLAN)(SecondaryVLAN)VLAN3VLAN5(isolate-user-vlan)VLAN6VLAN3VLAN2(isolate-user-vlan)(SecondaryVLAN)(SecondaryVLAN)(SecondaryVLAN)VLAN3VLAN5(isolate-user-vlan)图4-1isolate-user-vlan和SecondaryVLAN示意图4.
2isolate-user-vlan配置任务简介表4-1isolate-user-vlan配置任务简介配置任务说明详细配置配置isolate-user-vlan必选详见4.
2.
1配置SecondaryVLAN必选详见4.
2.
2H3CS9500系列路由交换机操作手册VLAN-QinQ第4章isolate-user-vlan配置4-2配置任务说明详细配置配置isolate-user-vlan和SecondaryVLAN间的映射关系必选详见4.
2.
34.
2.
1配置isolate-user-vlan表4-2配置isolate-user-vlan操作命令说明进入系统视图system-view-创建VLANvlanvlan-id必选设置VLAN类型为isolate-user-vlanisolate-user-vlanenable必选VLAN1不能设为isolate-user-vlan向isolate-user-vlan中添加端口portinterface-list可选isolate-user-vlan可以包含多个端口,包括与其它交换机相连的上行端口.
不过只能包含Access端口或者Hybrid端口,不允许有Trunk端口4.
2.
2配置SecondaryVLAN表4-3配置SecondaryVLAN操作命令说明进入系统视图system-view-创建VLAN为SecondaryVLANvlanvlan-id必选VLAN1不能设为SecondaryVLAN向SecondaryVLAN中添加端口portinterface-list可选可以向每一个SecondaryVLAN中添加多个端口(不能为上行端口)H3CS9500系列路由交换机操作手册VLAN-QinQ第4章isolate-user-vlan配置4-3说明:z一个isolate-user-vlan和最多可以和64个SecondaryVLAN对应;z系统最多允许配置32个isolate-user-vlan;z系统最多允许配置的SecondaryVLAN总数为1024.
zisolate-user-vlan对应的SecondaryVLAN中不能配置相同的MAC地址.
z如果VLAN是isolate-user-vlan或SecondaryVLAN,则不允许用户配置vlan-interface;配置了Vlan-interface的VLAN,不能被配置为isolate-user-vlan或SecondaryVLAN.
4.
2.
3配置isolate-user-vlan和SecondaryVLAN间的映射关系表4-4配置isolate-user-vlan和SecondaryVLAN间的映射关系操作命令说明进入系统视图system-view-配置isolate-user-vlan和SecondaryVLAN间的映射关系isolate-user-vlanisolate-user-vlan-numsecondarysecondary-vlan-numlist[tosecondary-vlan-numlist]必选1.
配置isolate-user-vlan和SecondaryVLAN间的映射关系时(1)如果isolate-user-vlan内包含端口z对于Hybrid端口,如果端口的缺省的VLANID与isolate-user-vlan一致,且端口以Untagged方式属于isolate-user-vlan,则符合该条件的所有Hybrid端口将同时以Untagged方式加入SecondaryVLAN,如果不符合上述条件,则不做其他处理.
z对于Access端口,系统将端口类型设为Hybrid端口,设置端口缺省的VLANID与isolate-user-vlan一致,且以Untagged方式加入isolate-user-vlan和SecondaryVLAN.
(2)如果SecondaryVLAN内包含端口z对于Hybrid端口,如果端口的缺省的VLANID与SecondaryVLAN一致,且端口以Untagged方式属于SecondaryVLAN,则符合该条件的所有Hybrid口将同时以Untagged方式加入isolate-user-vlan,如果不符合上述条件,则不做其他处理.
z对于Access端口,系统将端口类型设为Hybrid口,设置端口缺省的VLANID与SecondaryVLAN一致,且以Untagged方式加入isolate-user-vlan和SecondaryVLAN.
H3CS9500系列路由交换机操作手册VLAN-QinQ第4章isolate-user-vlan配置4-42.
建立isolate-user-vlan和SecondaryVLAN映射关系后zTrunk端口和Access端口不能加入isolate-user-vlan以及SecondaryVLAN;zHybrid端口可加入或者退出isolate-user-vlan以及SecondaryVLAN.
.
说明:z不能直接将isolate-user-vlan/SecondaryVLAN设置为除一般VLAN以外其它类型的VLAN,如组播VLAN、Super/SubVLAN、GuestVLAN以及运行L2VPN业务的VLAN等;z将一般VLAN设为isolate-user-vlan/SecondaryVLAN时,VLAN内不能包含Trunk端口.
4.
3isolate-user-vlan显示和调试在完成上述配置后,在所有视图下执行display命令可以显示配置后isolate-user-vlan的运行情况,通过查看显示信息验证配置的效果.
表4-5isolate-user-vlan的显示与调试操作命令显示isolate-user-vlan和SecondaryVLAN的映射关系displayisolate-user-vlan[isolate-user-vlan-num]4.
4isolate-user-vlan典型配置举例1.
组网需求SwitchA交换机下接SwitchB、SwitchC交换机.
(1)SwitchB上VLAN5为isolate-user-vlan,包含上行端口Ethernet2/1/1和两个SecondaryVLAN:VLAN2和VLAN3,VLAN2包含端口Ethernet2/1/2,VLAN3包含端口Ethernet2/1/3;(2)SwitchC上VLAN6为isolate-user-vlan,包含上行端口Ethernet2/1/1和两个SecondaryVLAN:VLAN3和VLAN4,VLAN3包含端口Ethernet2/1/3,VLAN4包含端口Ethernet2/1/4.
从SwitchA看,下接的SwitchB、SwitchC都只有一个VLAN:VLAN5和VLAN6.
H3CS9500系列路由交换机操作手册VLAN-QinQ第4章isolate-user-vlan配置4-52.
组网图SwitchCvlan5vlan6vlan3SwitchAE2/1/1E2/1/3E2/1/4E2/1/1SwitchBE2/1/3E2/1/2vlan2vlan4vlan3SwitchCvlan5vlan6vlan3SwitchAE2/1/1E2/1/3E2/1/1SwitchBE2/1/3E2/1/2vlan2vlan4vlan3SwitchCvlan5vlan6vlan3SwitchAE2/1/1E2/1/3E2/1/4E2/1/1SwitchBE2/1/3E2/1/2vlan2vlan4vlan3SwitchCvlan5vlan6vlan3SwitchAE2/1/1E2/1/3E2/1/1SwitchBE2/1/3E2/1/2vlan2vlan4vlan3图4-2isolate-user-vlan配置组网图3.
配置步骤下面只列出SwitchB和SwitchC的配置过程.
(1)配置SwitchB#配置isolate-user-vlan.
system-view[H3C]vlan5[H3C-vlan5]isolate-user-vlanenable[H3C-vlan5]portethernet2/1/1#配置SecondaryVLAN.
[H3C-vlan5]vlan3[H3C-vlan3]portethernet2/1/3[H3C-vlan3]vlan2[H3C-vlan2]portethernet2/1/2#配置isolate-user-vlan和SecondaryVLAN间的映射关系.
[H3C-vlan2]quit[H3C]isolate-user-vlan5secondary2to3(2)配置SwitchC#配置isolate-user-vlan.
system-view[H3C]vlan6[H3C-vlan6]isolate-user-vlanenable[H3C-vlan6]portethernet2/1/1#配置SecondaryVLAN.
[H3C-vlan6]vlan3[H3C-vlan3]portethernet2/1/3H3CS9500系列路由交换机操作手册VLAN-QinQ第4章isolate-user-vlan配置4-6[H3C-vlan3]vlan4[H3C-vlan4]portethernet2/1/4#配置isolate-user-vlan和SecondaryVLAN间的映射关系.
[H3C-vlan4]quit[H3C]isolate-user-vlan6secondary3to4H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-1第5章QinQ配置5.
1QinQ简介5.
1.
1原理介绍QinQ是指将用户私网VLANTag封装在公网VLANTag中,使报文带着两层VLANTag穿越运营商的骨干网络(公网).
在公网中报文只根据外层VLANTag(即公网VLANTag)传播,用户的私网VLANTag被屏蔽.
带单层VLANTag的报文结构如下所示:DA(6B)SA(6B)ETYPE(8100)(2B)(2B)ETYPE(2B)DATA(0~1500B)FCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)(2B)ETYPE(2B)DATAFCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)(2B)ETYPE(2B)DATA(0~1500B)FCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)用户VLANTAG(2B)ETYPE(2B)DATAFCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)(2B)ETYPE(2B)DATA(0~1500B)FCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)(2B)ETYPE(2B)DATAFCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)(2B)ETYPE(2B)DATA(0~1500B)FCS(4B)DA(6B)SA(6B)ETYPE(8100)(2B)用户VLANTAG(2B)ETYPE(2B)DATAFCS(4B)图5-1带用户VLANTag的报文带双层VLANTag的报文结构如下所示:DA(6B)SA(6B)(2B)NestedVLANTAG(2B)ETYPE(2B)DATAUserVLANTAG(2B)ETYPE(2B)DA(6B)SA(6B)(2B)(2B)(2B)DATA(0~1500B)FCS(4B)(2B)(2B)DA(6B)SA(6B)(2B)(2B)(2B)DATA(2B)(2B)DA(6B)SA(6B)(2B)(2B)(2B)DATA(0~1500B)FCS(4B)(2B)(2B)DA(6B)SA(6B)(2B)(2B)(2B)DATA(2B)(2B)DA(6B)SA(6B)(2B)(2B)(2B)DATA(0~1500B)FCS(4B)(2B)(2B)DA(6B)SA(6B)ETYPE(2B)(2B)(2B)DATA(2B)(2B)DA(6B)SA(6B)(2B)(2B)DATA(0~1500B)FCS(4B)图5-2封装了外层VLANTag的报文相对基于MPLS的二层VPN,QinQ具有如下特点:z为用户提供了一种更为简单的二层VPN隧道.
z不需要信令协议的支持,可以通过纯静态配置实现.
由于QinQ的实现是基于802.
1Q协议中的Trunk端口概念,要求隧道上的设备都必须支持802.
1Q协议,所以QinQ只适用于小型的、以三层交换机为骨干的企业网或小规模的城域网.
QinQ主要可以解决如下几个问题:z缓解日益紧缺的公网VLANID资源问题.
z用户可以规划自己的私网VLANID,不会导致和公网VLANID冲突.
z为小型城域网或企业网提供一种较为简单的二层VPN解决方案.
5.
1.
2QinQ的实现方式S9500系列路由交换机通过以下两种方式实现QinQ:(1)开启端口的VLANVPN特性功能H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-2开启端口的VLANVPN功能后,当该端口接收到报文,无论报文是否带有VLANTag,交换机都会为该报文打上本端口缺省VLAN的VLANTag.
这样,如果接收到的是已经带有VLANTag的报文,该报文就成为双Tag的报文;如果接收到的是Untagged的报文,该报文就成为带有端口缺省VLANTag的报文.
(2)配置基于流分类的NestedVLAN基于流分类的NestedVLAN特性是对QinQ的一种更灵活的实现.
用户可以对端口下匹配特定ACL流规则的报文进行如下操作:z设置报文的外层VLANTagz修改报文的外层VLANTag5.
1.
3QinQ报文的TPID值可调功能TPID(TagProtocolIdentifier,标签协议标识)是VLANTag中的一个字段,IEEE802.
1Q协议规定该字段的取值为0x8100.
IEEE802.
1Q协议定义的以太网帧的Tag报文结构如下:DASATagFrameLoadFCS6bytes6bytes4bytes46~1500bytes4bytesTPIDUserPriorityCFIVLANID2bytes3bits1bit12bitsDASATagFrameLoadFCS4bytesTPIDUserPriorityCFIVLANID2bytes3bits1bit12bitsDASATagFrameLoadFCS6bytes6bytes4bytes46~1500bytes4bytesTPIDUserPriorityCFIVLANID2bytes3bits1bit12bitsDASATagFrameLoadFCS4bytesTPIDUserPriorityCFIVLANID2bytes3bits1bit12bits图5-3以太网帧的Tag报文结构S9500系列交换机缺省采用协议规定的TPID值(0x8100).
某些厂商的设备将QinQ报文外层Tag的TPID值设置为0x9100或0x9200.
为了和这些设备兼容,S9500系列交换机提供了基于端口的QinQ报文TPID值可调功能.
用户可以将连接公网侧的端口设置为VLAN-VPNuplink端口,这些端口的TPID值可以由用户自行配置.
VLAN-VPNUplink端口收到报文时会将报文外层VLANTag中的TPID值替换为用户设定值再进行发送,从而使发送到公网中的QinQ报文可以被其他厂商的设备识别.
5.
2配置端口的VLANVPN特性功能5.
2.
1配置准备z端口的GVRP、STP或802.
1x协议均未启动H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-3z端口所属的VLAN关闭了IGMPSnoopingz端口所属的VLAN接口上未开启IGMPz此端口必须为Access端口.
5.
2.
2配置过程表5-1配置端口的VLANVPN特性配置步骤命令说明进入系统视图system-view-进入以太网端口视图interfaceinterface-typeinterface-number-开启端口的VLANVPN特性vlan-vpnenable缺省情况下,端口VLANVPN特性是关闭的.
使能该特性的端口应该为Access端口显示系统中所有端口的VLANVPN配置信息displayportvlan-vpn显示信息包括:当前的TPID值、VLAN-VPN端口信息、VLAN-VPNUplink端口信息注意:z如果某端口的GVRP、STP或802.
1x协议中的任一个已经启动,则不允许用户开启端口的VLANVPN特性.
z如果端口所属的VLAN已经使能了IGMPSnooping或者端口所属的VLAN接口下使能了IGMP,则不允许开启端口的VLANVPN特性.
反之亦然.
z使能了VLANVPN的端口如果要加入VLAN,此VLAN上不能开启IGMPSnooping,其VLAN接口也不能开启IGMP.
zVLAN内如果有端口使能了VLANVPN,则不允许删除此VLAN.
5.
3配置基于流分类的NestedVLAN5.
3.
1配置准备z要引用的访问控制列表和子规则已经定义znested-vlanid指定的VLAN已经存在H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-45.
3.
2配置过程表5-2基于流分类的NestedVLAN配置过程配置步骤命令说明进入系统视图system-view-进入以太网端口视图或端口组视图interfaceinterface-typeinterface-number或port-groupindex-下发三层流分类规则的命令形式traffic-redirectinboundip-group{acl-number|acl-name}[rulerule[system-indexindex]]nested-vlannested-vlanid同时下发二层和三层流分类规则的命令形式traffic-redirectinboundip-group{acl-number|acl-name}[rulerule]link-group{acl-number|acl-name}[rulerule]nested-vlannested-vlanid对匹配ACL流规则的报文设置外层VLANTag下发二层流分类规则的命令形式traffic-redirectinboundlink-group{acl-number|acl-name}[rulerule[system-indexindex]]nested-vlannested-vlanidNested-vlanid必须是已存在的VLAN,否则报文将因找不到出口而被丢弃下发三层流分类规则的命令形式traffic-redirectinboundip-group{acl-number|acl-name}[rulerule[system-indexindex]]modified-vlanmodified-vlanid同时下发二层和三层流分类规则的命令形式traffic-redirectinboundip-group{acl-number|acl-name}[rulerule]link-group{acl-number|acl-name}[rulerule]modified-vlanmodified-vlanid对匹配ACL流规则的报文修改外层VLANTag下发二层流分类规则的命令形式traffic-redirectinboundlink-group{acl-number|acl-name}[rulerule[system-indexindex]]modified-vlanmodified-vlanid该命令修改的是报文最外层的VLANTag注意:目前只有LSB1GP24D、LSB1GT24D、LSB1GV48D单板支持traffic-redirect{nested-vlan|modified-vlan}命令.
5.
3.
3配置过程举例1.
组网需求zSwitchA、SwitchB、SwitchC为三台S9500路由交换机zSwitchA和SwitchC分别与两侧的用户网络相连zSwitchB只允许VLAN11的报文通过H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-5z要求SwitchA和SwitchC之间能够互通非VLAN11所连接的用户网络之间能够互通VLAN10的报文说明:SwitchA和SwitchC的2号槽插LSB1GP24D单板,SwitchB的3号槽可插任意GE口的单板.
2.
组网图SwitchASwitchCSwitchBSwitchASwitchCGE3/1/1(hybridpermitVLAN11untagged)SwitchBGE3/1/2(hybridpermitVLAN11untagged)GE2/1/2(trunkpermitVLAN10,11)GE2/1/1(accessVLAN10)GE2/1/2(trunkpermitVLAN10,11)GE2/1/1(accessVLAN10)SwitchASwitchCSwitchBSwitchASwitchCGE3/1/1(hybridpermitVLAN11untagged)SwitchBGE3/1/2(hybridpermitVLAN11untagged)GE2/1/2(trunkpermitVLAN10,11)GE2/1/1(accessVLAN10)GE2/1/2(trunkpermitVLAN10,11)GE2/1/1(accessVLAN10)图5-4基于流分类的NestedVLAN配置3.
配置步骤(1)配置SwitchA、SwitchC.
由于SwitchA和SwitchC的配置完全相同,以下仅以SwitchA上的配置为例.
#定义访问控制列表和子规则.
system-viewSystemView:returntoUserViewwithCtrl+Z.
[SwitchA]vlan11[SwitchA-vlan11]quit[SwitchA]flow-templateuser-definedslot2vlanid[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rule0permitingress10[SwitchA-acl-link-4000]quit#配置SwitchA的端口GigabitEthernet2/1/1.
H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-6[SwitchA]interfaceGigabitEthernet2/1/1[SwitchA-GigabitEthernet2/1/1]portaccessvlan10[SwitchA-GigabitEthernet2/1/1]traffic-redirectinboundlink-group4000rule0nested-vlan11[SwitchA-GigabitEthernet2/1/1]quit#配置SwitchA的端口GigabitEthernet2/1/2.
[SwitchA]interfaceGigabitEthernet2/1/2[SwitchA-GigabitEthernet2/1/2]portlink-typetrunk[SwitchA-GigabitEthernet2/1/2]porttrunkpermitvlan10to11(2)配置SwitchB.
#配置SwitchB的端口GigabitEthernet3/1/1.
system-viewSystemView:returntoUserViewwithCtrl+Z.
[SwitchB]vlan11[SwitchB-vlan11]quit[SwitchB]interfaceGigabitEthernet3/1/1[SwitchB-GigabitEthernet3/1/1]portlink-typehybrid[SwitchB-GigabitEthernet3/1/1]porthybridvlan11untagged[SwitchB-GigabitEthernet3/1/1]quit#配置SwitchB的端口GigabitEthernet3/1/2.
[SwitchB]interfaceGigabitEthernet3/1/2[SwitchB-GigabitEthernet3/1/2]portlink-typehybrid[SwitchB-GigabitEthernet3/1/2]porthybridvlan11untagged说明:报文从SwitchA=>SwitchC的转发过程如下:z来自VLAN10的报文进入SwitchA的端口GigabitEthernet2/1/1后,匹配上了4000号ACL的0号子规则,交换机为它打上两层VLANTag,外层VLANID为11,内层为10.
zSwitchA将带双层VLANTag的报文从GigabitEthernet2/1/2转发出去.
z报文进入SwitchB的GigabitEthernet3/1/2.
SwitchB将该报文在VLAN11内转发,发送到GigabitEthernet3/1/1;由于GigabitEthernet3/1/1是Hybrid端口,VLAN11在该端口上是Untagged属性,报文从GigabitEthernet3/1/1发送出去的时候被剥去外层VLAN11的Tag.
z报文进入SwitchC的端口GigabitEthernet2/1/2时只带一个VLAN10的Tag.
SwitchC将该报文在VLAN10内转发,发送至端口GigabitEthernet2/1/1.
反方向的转发过程相同.
H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-74.
配置验证配置完成以后,如果SwitchA和SwitchC所连接的用户网络彼此能够收到对端发来的数据包,则说明配置成功.
5.
4配置端口的QinQ报文TPID值可调功能5.
4.
1配置准备由于VLAN-VPNUplink端口通常与VLANVPN端口配合使用,因此配置前请确认,要使能VLAN-VPNUplink端口满足条件:端口上未使能VLANVPN5.
4.
2配置过程表5-3配置QinQ报文的TPID值可调功能配置步骤命令说明进入系统视图system-view-设置端口采用的TPID值vlan-vpntpidvaluevalue取值范围是1~0xFFFF,缺省值为0x8100请不要设置可能引起冲突的TPID值,比如已知的协议类型进入以太网端口视图interfaceinterface-typeinterface-number-将端口设置为VLAN-VPNuplink端口vlan-vpnuplinkenable缺省情况下,端口的VLAN-VPNUplink特性是关闭的显示系统中所有端口的VLANVPN配置信息displayportvlan-vpn显示信息包括:当前的TPID值、VLAN-VPN端口信息、VLAN-VPNUplink端口信息注意:zLSB1XP4以及LSB1TGX1型单板目前不支持该命令.
zvlan-vpnuplinkenable命令和vlan-vpnenable命令互斥,即端口执行了vlan-vpnenable就不能执行vlan-vpnuplinkenable,反之亦然.
H3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-85.
4.
3配置过程举例1.
组网需求zSwitchA、SwitchC为S9500路由交换机,SwitchB为其他厂商的交换机(假设采用的TPID值为0x9100)zSwitchA和SwitchC的端口GigabitEthernet2/1/1分别与两侧的用户网络相连zSwitchB只允许VLAN10的报文通过z要求SwitchA和SwitchC所连接的用户网络之间能够互通非VLAN10的报文2.
组网图SwitchASwitchCSwitchBGE2/1/1(accessVLAN10,VLANVPNport)GE3/1/1(trunkpermitVLAN10andTPIDis0x9100)GE3/1/2(trunkpermitVLAN10andTPIDis0x9100)GE2/1/2(trunkpermitVLAN10,VLAN-VPNuplinkport)GE2/1/1(accessVLAN10,VLANVPNport)GE2/1/2(trunkpermitVLAN10,VLAN-VPNuplinkport)SwitchASwitchCSwitchBGE2/1/1(accessVLAN10,VLANVPNport)GE3/1/1(trunkpermitVLAN10andTPIDis0x9100)GE3/1/2(trunkpermitVLAN10andTPIDis0x9100)GE2/1/2(trunkpermitVLAN10,VLAN-VPNuplinkport)GE2/1/1(accessVLAN10,VLANVPNport)GE2/1/2(trunkpermitVLAN10,VLAN-VPNuplinkport)图5-5配置端口的QinQ报文TPID值可调3.
配置步骤(1)配置SwitchA、SwitchC.
由于SwitchA和SwitchC的配置完全相同,以下仅以SwitchA上的配置为例.
#配置SwitchA上VLAN-VPNuplink端口的TPID值为0x9100.
system-viewSystemView:returntoUserViewwithCtrl+Z.
[SwitchA]vlan-vpntpid9100[SwitchA]vlan10[SwitchA-vlan10]quitH3CS9500系列路由交换机操作手册VLAN-QinQ第5章QinQ配置5-9#配置SwitchA的端口GigabitEthernet2/1/2为VLAN-VPNUplink端口,端口属于VLAN10.
[SwitchA]interfaceGigabitEthernet2/1/2[SwitchA-GigabitEthernet2/1/2]portlink-typetrunk[SwitchA-GigabitEthernet2/1/2]porttrunkpermitvlan10[SwitchA-GigabitEthernet2/1/2]vlan-vpnuplinkenable#配置SwitchA的端口GigabitEthernet2/1/1为VLANVPN端口,端口属于VLAN10.
[SwitchA]interfaceGigabitEthernet2/1/1[SwitchA-GigabitEthernet2/1/1]portaccessvlan10[SwitchA-GigabitEthernet2/1/1]vlan-vpnenable[SwitchA-GigabitEthernet2/1/1]quit(2)配置SwitchB.
由于SwitchB为其他厂商的设备,此处只介绍一下配置要求:将SwitchB的端口GigabitEthernet3/1/1和GigabitEthernet3/1/2配置为Trunk端口,且都属于VLAN10.
说明:报文从SwitchA=>SwitchC的转发过程如下:z来自用户私网侧的报文进入SwitchA的端口GigabitEthernet2/1/1后,由于此端口为VLANVPN端口,报文外层被打上了端口缺省的VLANTag(VLANID为10),然后转发至GigabitEthernet2/1/2.
z由于GigabitEthernet2/1/2为VLAN-VPNuplink端口,交换机将报文外层VLANTag中的TPID值改为用户设定值0x9100,然后发送到公网网络.
z报文进入公网中SwitchB的端口GigabitEthernet3/1/2.
SwitchB将该报文在VLAN10内转发,发送到端口GigabitEthernet3/1/1.
z报文从SwitchB的端口GigabitEthernet3/1/1发送到另一侧的用户网络,进入SwitchC的端口GigabitEthernet2/1/2.
SwitchC将该报文在VLAN10内转发,发送至端口GigabitEthernet2/1/1.
由于端口GigabitEthernet2/1/1为Access端口,交换机去掉报文的外层VLANTag,恢复原来的报文.
反方向的转发过程相同.
4.
配置验证配置完成以后,如果SwitchA和SwitchC所连接的用户网络彼此能够收到对端发来的数据包,则说明配置成功.