04-VLAN操作
本章节下载 (352.01 KB)
目 录
传统的以太网是一个广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB是物理层设备,没有交换功能,接收的报文会向所有端口转发;交换机是链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除报文入端口之外的所有端口转发。
上述情况使网络中的主机会收到大量并非以自身为目的地的报文,在浪费大量带宽资源的同时,也造成了严重的安全隐患。
隔离广播域的传统方法是使用路由器,但是路由器成本较高,而且端口较少,无法划分细致的网络。
为解决以太网交换机在LAN中无法限制广播的问题,出现了VLAN(Virtual Local Area Network,虚拟局域网)技术。
如图1-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。VLAN内的主机间通信就和在一个LAN内一样,而不同VLAN内的主机不能直接通信。
VLAN的组成不受物理位置的限制。一个VLAN可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。同一VLAN内的各台计算机无须被放置在同一物理空间里,即这些计算机不一定属于同一个物理网段。
与传统以太网相比,VLAN具有如下的优点:
l 广播被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
l 增强了LAN的安全性。VLAN间不能直接通信,即一个VLAN内的主机无法直接访问另一个VLAN内的资源,如果要访问需要通过路由器或三层交换机等三层设备。
l 减少了用户端的网络配置。使用VLAN可以划分不同的用户到不同的虚拟工作组中,当用户的物理位置在VLAN覆盖范围内移动时,不需要改变其网络的配置。
要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在第二层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,如果添加识别字段,也需要添加到数据链路层封装中。
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN标识的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图1-2所示
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文所属协议类型。
IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
如图1-3所示,VLAN Tag包含四个字段,分别是TPID,Priority,CFI和VLAN ID。
l TPID用来标识本数据帧是带有VLAN Tag的数据,长度为16bit,在H3C系列以太网交换机上默认取值为0x8100。
l Priority表示802.1P的优先级,长度为3bit,相关内容请参见“QoS&QoS Profile”部分的介绍。
l CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装,在本章中不进行具体描述,长度1bit。
l VLAN ID标识该报文所属VLAN的编号,长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。
交换机利用VLAN ID来识别报文所属的VLAN,当接收到的报文不携带VLAN Tag时,交换机会为该报文封装带有接收端口缺省VLAN ID的VLAN Tag,将报文划分到接收端口的缺省VLAN中传输。有关端口缺省VLAN设置的内容,请参见本手册“端口基本配置”部分的介绍。
基于端口的VLAN是最简单的一种VLAN划分方法。通过将设备上连接用户的端口划分到不同VLAN,实现用户间的隔离和虚拟工作组的划分。
这种划分方法具有实现简单,易于管理的优点,适用于连接位置比较固定的用户。
基于协议的VLAN也称为协议VLAN,是区别于基于端口的VLAN的另一种VLAN划分方法。通过配置基于协议的VLAN,交换机可以分析端口上收到的不携带VLAN Tag的报文,根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配,自动为匹配成功的报文添加相应的VLAN Tag,实现将属于指定协议的数据自动分发到相应的VLAN中传输。
此特性主要用于将网络中提供的服务类型与VLAN相绑定,方便管理和维护。
为清楚的了解交换机对报文协议的识别过程,先简要介绍一下以太网常用的数据封装格式。
目前链路层的报文封装主要有两种类型,分别为Ethernet II型和802.2/802.3型。两种报文的封装格式如下:
Ethernet II型
802.2/802.3型
DA、SA分别表示报文的目的MAC地址和源MAC地址,括号中的数字表示此字段的长度,单位为字节。
由于以太网报文的最大长度为1500字节,转换成16进制数字为5DC,所以802.2/802.3型封装的Length字段取值范围为0x0000~0x05DC。
而Ethernet II型封装中的Type字段取值范围为0x0600~0xFFFF。
& 说明:
目前H3C S3600系列以太网交换机将Length字段取值为0x05DD~0x05FF的报文认为是802.2/802.3封装的报文。
交换机根据这两个字段的取值范围的不同来区分Ethernet II型和802.2/802.3型报文。
802.2/802.3封装分为3种封装格式:
l 802.3 raw封装:在源、目的地址后只封装Length字段,之后即是上层数据,没有类型字段。
目前只有IPX协议支持802.3 raw封装,用Length字段之后两个字节的取值为0xFFFF作为标识。
l 802.2 LLC(Logic Link Control,逻辑链路控制)封装:在源、目的地址后封装Length、DSAP(Destination Service Access Point,目的服务访问点)、SSAP(Source Service Access Point,源服务访问点)和Control字段。
LLC部分中的DSAP和SSAP用来标识上层协议的字段。例如这两个字节取值均为0xE0,则表示上层协议为IPX。
l 802.2 SNAP(Sub-Network Access Protocol,子网接入协议)封装:按802.2/802.3型报文进行封装,包含Length、DSAP、SSAP、Control、OUI及PID字段。
在802.2 SNAP封装中,DSAP和SSAP字段的取值均固定为AA,Control字段取值固定为3。
交换机根据DSAP和SSAP字段的取值区分802.2 LLC和802.2 SNAP封装
& 说明:
在802.2 SNAP封装中,当OUI为00-00-00时,PID字段有和Ethernet II封装的Type字段同样的意义,即被解释为全局唯一的协议号。这种封装称为SNAP RFC1042封装,是标准的SNAP封装,本文中出现的“SNAP封装”就是指“SNAP RFC1042封装”。
封装
协议 |
Ethernet II |
802.3 raw |
802.2 LLC |
802.2 SNAP |
Type值 |
IP |
支持 |
不支持 |
不支持 |
支持 |
0x0800 |
IPX |
支持 |
支持 |
支持 |
支持 |
0x8137 |
AppleTalk |
支持 |
不支持 |
不支持 |
支持 |
0x809B |
S3600系列以太网交换机通过协议模板来匹配报文,实现根据协议将报文划分到VLAN中。
协议模板是用来匹配报文所属协议类型的标准,协议模板分为标准模板和自定义模板两种:
l 标准模板是指以RFC标准规定的报文封装格式和特殊字段数值作为匹配条件的模板。
l 自定义模板是指以用户在命令中指定的封装格式和特殊字段数值作为匹配条件的模板。
配置协议模板完成后,需要为协议VLAN添加端口并建立该端口与协议模板的关联。由于协议VLAN内的端口需要连接到客户端,普通客户端无法处理携带VLAN Tag的报文,而且根据用户的报文协议不同,该端口将为各种报文添加多个VLAN的VLAN Tag。为使客户端能正常处理此端口发出的报文,需要将协议VLAN内的端口配置为Hybrid端口,并配置该端口在转发所有VLAN的报文时采取去除VLAN Tag的操作。
& 说明:
有关Hybrid端口在发送报文时去除VLAN Tag的操作,请参见本手册“端口基本配置”部分的介绍。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
批量创建多个VLAN |
vlan { vlan-id1 to vlan-id2 | all } |
可选 |
创建VLAN并进入VLAN视图 |
vlan vlan-id |
必选 vlan-id的取值范围为1~4094 |
指定当前VLAN的名称 |
name text |
可选 缺省情况下,VLAN的名称为该VLAN的VLAN ID |
指定当前VLAN的描述字符串 |
description text |
可选 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID |
注意:
当使用vlan命令创建VLAN时,如果目标VLAN已经存在且是动态VLAN,将自动将其转换为静态VLAN,同时交换机会输出提示信息。
配置VLAN接口之前,首先要创建VLAN。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建VLAN接口并进入VLAN接口视图 |
interface Vlan-interface vlan-id |
必选 vlan-id的取值范围为1~4094 |
指定当前VLAN接口的描述字符串 |
description text |
可选 缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名 |
关闭VLAN接口 |
shutdown |
可选 |
打开VLAN接口 |
undo shutdown |
可选 |
需要注意的是,打开/关闭VLAN接口的操作对属于该VLAN的以太网端口的打开/关闭状态没有影响。
缺省情况下,VLAN接口的管理状态为打开,此时VLAN接口物理状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态为DOWN时,VLAN接口为DOWN状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于UP状态,则VLAN接口处于UP状态。
如果将VLAN接口的管理状态设置为关闭,则VLAN接口的物理状态始终为DOWN,不受VLAN中端口状态的影响。
完成上述配置后,在任意视图下执行display命令,可以显示配置VLAN后的运行情况。通过查看显示信息,用户可以验证配置的效果。
操作 |
命令 |
说明 |
显示VLAN接口相关信息 |
display interface Vlan-interface [ vlan-id ] |
display命令可以在任意视图下执行 |
显示VLAN相关信息 |
display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static ] |
配置基于端口的VLAN之前,首先要创建VLAN。
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
为指定的VLAN增加以太网端口 |
port interface-list |
必选 缺省情况下,所有端口都已加入到系统缺省的VLAN中 |
注意:
以上命令只对Access端口有效。将Trunk端口和Hybrid端口加入VLAN,只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现,配置步骤请参见《H3C S3600 系列以太网交换机 操作手册》“端口基本配置操作”部分的介绍。
l 创建VLAN2、VLAN3,指定VLAN2的描述字符串为home;
l 通过配置将端口Ethernet1/0/1和Ethernet1/0/2加入到VLAN2中,将端口Ethernet1/0/3和Ethernet1/0/4加入到VLAN3中。
# 创建VLAN2并进入其视图。
<H3C> system-view
[H3C] vlan 2
# 指定VLAN2的描述字符串为home。
[H3C-vlan2] description home
# 向VLAN2中加入端口Ethernet1/0/1和Ethernet1/0/2。
[H3C-vlan2] port Ethernet 1/0/1 Ethernet 1/0/2
# 创建VLAN3并进入其视图。
[H3C-vlan2] vlan 3
# 向VLAN3中加入端口Ethernet1/0/3和Ethernet1/0/4。
[H3C-vlan3] port Ethernet 1/0/3 Ethernet 1/0/4
配置基于协议的VLAN之前,首先要创建VLAN。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入vlan视图 |
vlan vlan-id |
必选 |
创建VLAN协议模板 |
protocol-vlan [ protocol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id ssap ssap-id } | snap etype etype-id } } |
必选 |
在创建协议VLAN的协议模板命令中,使用at、ip、ipx参数来创建标准模板;使用mode参数创建自定义模板。
注意:
l 由于IP协议与ARP协议关系密切,建议用户在VLAN下配置IP协议类型时,同时配置ARP协议类型,并将这两种协议类型关联到相同的端口,避免因ARP报文与IP报文未划分到同一VLAN,而造成无法解析IP地址的情况。
l 由于mode llc dsap ff ssap ff的匹配报文格式与ipx raw的报文格式相同,而系统优先匹配ipx raw,如匹配不成功,则不再继续匹配,故配置protocol-vlan mode llc dsap ff ssap ff不会生效。
l 当dsap-id和ssap-id的取值是AA时,报文的封装类型将不再是llc,而将变为snap。
l 在使用mode参数配置协议VLAN时,如果将ethernetii型报文的etype参数值配置为0x0800、0x809b、0x8137,则分别与IP、IPX和AppleTalk协议的报文格式相同。为避免两条命令对同种协议进行重复设定,交换机将提示用户不能配置ethernetii报文的etype参数为上述三个数值。
l 已经创建协议VLAN的协议模板。
l 将端口配置为Hybrid类型,并配置在转发协议VLAN的报文时去除VLAN Tag。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入端口视图 |
interface interface-type interface-number |
必选 |
创建端口与基于协议的VLAN关联 |
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-end ] | all } |
必选 |
注意:
有关端口以untag方式加入VLAN的操作,请参见本手册“端口基本配置”部分的介绍。
完成上述配置后,在任意视图下执行display命令,可以显示配置协议VLAN后的运行情况。通过查看显示信息,用户可以验证配置的效果。
操作 |
命令 |
说明 |
显示协议VLAN的基本信息 |
display vlan [ vlan-id [ to vlan-id ] | all | static | dynamic ] |
display命令可以在任意视图执行 |
显示指定VLAN上配置的协议信息及协议的索引 |
display protocol-vlan vlan { vlan-id [ to vlan-id ] | all } |
|
显示指定端口上配置的协议信息及协议的索引 |
display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all } |
(1) 组网需求
l 创建VLAN 5,并配置为基于协议的VLAN。创建索引值1,协议类型为IP。
l 配置Ethernet1/0/5端口与协议VLAN相关联,由此端口进入的IP数据流自动加上VLAN 5的VLAN标识,在VLAN 5中传输。
(2) 配置步骤
# 创建VLAN 5并进入其视图
<H3C> system-view
[H3C] vlan 5
[H3C-vlan5]
# 配置VLAN 5的索引值1关联的协议类型为IP
[H3C-vlan5] protocol-vlan 1 ip
# 进入Ethernet1/0/5的端口视图
[H3C-vlan5] interface Ethernet 1/0/5
# 配置端口为Hybrid端口
[H3C-Ethernet1/0/5] port link-type hybrid
# 将端口加入VLAN 5,并将VLAN 5添加到端口允许通过的untagged VLAN列表
[H3C-Ethernet1/0/5] port hybrid vlan 5 untagged
# 将端口与协议VLAN的索引值1相关联
[H3C-Ethernet1/0/5] port hybrid protocol-vlan vlan 5 1
(1) 组网需求
l 创建VLAN 7为协议VLAN。
l 在VLAN 7中创建2个索引。索引1用来匹配802.2 LLC封装中DSAP与SSAP字段取值分别为01和ac的报文;索引2用来匹配802.2 SNAP封装中Type字段取值为0xabcd的报文。
l 将端口Ethernet1/0/7与协议VLAN 7的两个索引关联。当符合其中一个索引的报文从此端口进入时,自动添加VLAN 7的VLAN Tag。
(2) 配置步骤
# 创建VLAN 7并进入其视图
<H3C> system-view
[H3C] vlan 7
[H3C-vlan7]
# 根据组网需求配置VLAN 7的索引值1
[H3C-vlan7] protocol-vlan 1 mode llc dsap 01 ssap ac
# 根据组网需求配置VLAN 7的索引值2
[H3C-vlan7] protocol-vlan 2 mode snap etype abcd
# 进入Ethernet1/0/7的端口视图
[H3C-vlan7] interface Ethernet 1/0/7
# 配置端口为Hybrid端口
[H3C-Ethernet1/0/7] port link-type hybrid
# 将端口加入VLAN 7,并将VLAN 7添加到端口允许通过的untagged VLAN列表
[H3C-Ethernet1/0/7] port hybrid vlan 7 untagged
# 将端口与协议VLAN 7的两个索引相关联
[H3C-Ethernet1/0/7] port hybrid protocol-vlan vlan 7 1 to 2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!