36-VLAN-VPN典型配置指导
本章节下载 (336.24 KB)
目 录
通过配置VLAN-VPN功能,设备在接收用户私网报文时,可以在外层封装公网的VLAN Tag,并按照公网VLAN划分进行传输,使用户私网报文可以携带两层Tag穿过骨干网络。直至发送到对端用户私网,再将外层公网Tag去除,使用内层用户私网Tag进行转发。
VLAN-VPN以简单的方法实现了用户报文在骨干网络的隧道传输功能。
图1-1 VLAN-VPN典型组网示意图
如图1-1所示,Switch A和Switch B通过公共网络将用户的工作站与服务器相连。
l 用户的PC工作站和服务器划分在私有VLAN100,终端工作站和服务器划分在私有VLAN200。现要求运营商利用公共网络的VLAN1040,使用户网络之间通过VPN方式进行连接。
l 公共网络中使用其他厂商的设备,TPID值为0x9200。(不支持配置TPID值的产品无法实现该需求)
要求配置Switch A和Switch B的VLAN-VPN功能,使用户的PC工作站/服务器和终端工作站/服务器能通过VPN连接,并进行正常通信。
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S5100-SI/EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
E152 |
Release 1500、Release 1602软件版本 |
E152 |
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
& 说明:
l S3600系列交换机、S3100-52P交换机、E152交换机和E352&E328交换机支持在端口上配置TPID值
l S5100-SI/EI系列、S3100-EI系列、S2000-EA和E126A交换机支持全局配置TPID值
l S5600系列、S3100-SI系列、S2126-EI和E126交换机不支持配置TPID值
& 说明:
VLAN-VPN功能与以下功能不能同时配置:
l GVRP
l NTDP
l STP
l 802.1x
l MAC地址认证
l IRF Fabric
其中在端口上缺省启动的特性有NTDP和STP,因此在开启端口的VLAN-VPN功能之前,需要先使用undo ntdp enable和stp disable命令关闭这两个功能。
l 配置Switch A
# 配置SwitchA的端口Ethernet1/0/11为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag。
<SwitchA> system-view
[SwitchA] vlan 1040
[SwitchA-vlan1040] port Ethernet 1/0/11
[SwitchA-vlan1040] quit
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] undo ntdp enable
[SwitchA-Ethernet1/0/11] stp disable
[SwitchA-Ethernet1/0/11] vlan-vpn enable
# 为与公共网络中的设备进行互通,设置TPID值为0x9200。
[SwitchA-Ethernet1/0/11] vlan-vpn tpid 9200
[SwitchA-Ethernet1/0/11] quit
# 配置端口Ethernet1/0/12为Trunk端口,并允许VLAN1040的报文携带VLAN Tag发送。
[SwitchA] interface Ethernet 1/0/12
[SwitchA-Ethernet1/0/12] port link-type trunk
[SwitchA-Ethernet1/0/12] port trunk permit vlan 1040
# 配置端口Ethernet1/0/12的TPID值为0x9200。
[SwitchA-Ethernet1/0/12] vlan-vpn tpid 9200
l 配置Switch B
# 配置SwitchB的端口Ethernet1/0/21为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag。
<SwitchB> system-view
[SwitchB] vlan 1040
[SwitchB-vlan1040] port Ethernet 1/0/21
[SwitchB-vlan1040] quit
[SwitchB] interface Ethernet 1/0/21
[SwitchB-Ethernet1/0/21] undo ntdp enable
[SwitchB-Ethernet1/0/21] stp disable
[SwitchB-Ethernet1/0/21] vlan-vpn enable
# 为与公共网络中的设备进行互通,设置TPID值为0x9200。
[SwitchB-Ethernet1/0/21] vlan-vpn tpid 9200
[SwitchB-Ethernet1/0/21] quit
# 配置端口Ethernet1/0/22为Trunk端口,并允许VLAN1040的报文携带VLAN Tag发送。
[SwitchA] interface Ethernet 1/0/22
[SwitchA-Ethernet1/0/22] port link-type trunk
[SwitchA-Ethernet1/0/22] port trunk permit vlan 1040
# 配置端口Ethernet1/0/22的TPID值为0x9200。
& 说明:
各产品对该命令的支持情况和执行视图存在差异,请参考各产品的操作手册。
[SwitchA-Ethernet1/0/22] vlan-vpn tpid 9200
l 配置公共网络设备
# 由于公共网络使用的设备可能来自于其他厂商,这里只介绍基本原理。配置公共网络中与SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口连接的设备,使其相应的端口允许VLAN1040的报文携带VLAN Tag进行发送即可。
l SwitchA上的配置
#
vlan 1040
#
interface Ethernet1/0/11
port access vlan 1040
undo ntdp enable
stp disable
vlan-vpn enable
vlan-vpn tpid 9200
#
interface Ethernet1/0/12
port link-type trunk
port trunk permit vlan 1 1040
vlan-vpn tpid 9200
l SwitchB上的配置
#
vlan 1040
#
interface Ethernet1/0/21
port access vlan 1040
undo ntdp enable
stp disable
vlan-vpn enable
vlan-vpn tpid 9200
#
interface Ethernet1/0/22
port link-type trunk
port trunk permit vlan 1 1040
vlan-vpn tpid 9200
l 请勿配置VLAN1040为SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口的缺省VLAN,以免外层Tag在发送时被去除。
l 此例中介绍了在SwitchA的Ethernet1/0/11端口和SwitchB的Ethernet1/0/21端口均为Access端口时的配置。当两个端口为Trunk或Hybrid端口时,请通过命令配置这两个端口的缺省VLAN为1040,且在发送VLAN1040的报文时去除外层Tag,具体操作请参考“以太网端口基本配置指导”部分。
灵活QinQ是VLAN-VPN功能的一种增强应用,使用灵活QinQ,用户可以配置内外层Tag映射规则,为具有不同内层Tag的报文按映射规则封装不同的外层Tag。
灵活QinQ功能可以使运营商的网络构架更为灵活,在连接接入层设备的端口上可以根据VLAN Tag对不同的终端用户进行分类,为各类用户封装不同的外层Tag,并在公网中按外层Tag配置QoS策略,灵活配置数据的传输优先级,使各类用户获得相应的服务。
图1-2 灵活QinQ典型组网示意图
l SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。其中PC用户位于VLAN100~VLAN108范围内,IP电话用户位于VLAN200~VLAN230范围内。SwitchA的端口Ethernet1/0/5连接到公共网络,对端为SwitchB。
l SwitchB的Ethernet1/0/11端口接入公共网络,Ethernet1/0/12和Ethernet1/0/13端口分别接入PC用户服务器所在VLAN100~VLAN108和IP电话用户语音网关所在VLAN200~VLAN230。
l 公共网络中允许VLAN1000和VLAN1200的报文通过,并配置了QoS策略,对VLAN1200的报文配置有带宽保留等优先传输策略,而VLAN1000的报文传输优先级较低。
l 在SwitchA和SwitchB上配置灵活QinQ功能,将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输,以利用QoS策略保证语音数据的传输优先级。
l 为避免大量的广播报文,配置灵活QinQ的VLAN间MAC地址复制功能。
表1-2 配置适用的交换机产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
E152 |
Release 1500、Release 1602软件版本 |
E152 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
& 说明:
仅S5600系列、S3600-SI/EI系列、E352&E328、S3100-52P和E152交换机支持VLAN间MAC地址复制功能。
l 配置SwitchA
# 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。
<SwitchA> system-view
[SwitchA] vlan 1000
[SwitchA-vlan1000] quit
[SwitchA] vlan 1200
[SwitchA-vlan1200] quit
[SwitchA] vlan 5
[SwitchA-vlan5] quit
# 配置端口Ethernet1/0/5为Hybrid端口,并在转发VLAN5、VLAN1000和VLAN1200的报文时保留VLAN Tag。
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] port link-type hybrid
[SwitchA-Ethernet1/0/5] port hybrid vlan 5 1000 1200 tagged
[SwitchA-Ethernet1/0/5] quit
# 配置端口Ethernet1/0/3为Hybrid端口,缺省VLAN为VLAN5,并在转发VLAN5、VLAN1000和VLAN1200的报文时去除VLAN Tag。
[SwitchA] interface Ethernet 1/0/3
[SwitchA-Ethernet1/0/3] port link-type hybrid
[SwitchA-Ethernet1/0/3] port hybrid pvid vlan 5
[SwitchA-Ethernet1/0/3] port hybrid vlan 5 1000 1200 untagged
# 开启端口Ethernet1/0/3的VLAN-VPN功能。
[SwitchA-Ethernet1/0/3] vlan-vpn enable
# 配置该端口的灵活QinQ功能,为内层VLAN是100至108的报文封装VLAN1000的外层Tag;为内层VLAN是200至230的报文封装VLAN1200的外层Tag。
[SwitchA-Ethernet1/0/3] vlan-vpn vid 1000
[SwitchA-Ethernet1/0/3-vid-1000] raw-vlan-id inbound 100 to 108
[SwitchA-Ethernet1/0/3-vid-1000] quit
[SwitchA-Ethernet1/0/3] vlan-vpn vid 1200
[SwitchA-Ethernet1/0/3-vid-1200] raw-vlan-id inbound 200 to 230
# 配置VLAN间MAC地址复制功能,将外层VLAN与缺省VLAN的MAC地址表项进行复制。
[SwitchA-Ethernet1/0/3-vid-1200] quit
[SwitchA-Ethernet1/0/3] mac-address-mapping 0 source-vlan 5 destination-vlan 1000
[SwitchA-Ethernet1/0/3] mac-address-mapping 1 source-vlan 5 destination-vlan 1200
[SwitchA-Ethernet1/0/3] quit
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] mac-address-mapping 0 source-vlan 1000 1200 destination-vlan 5
经过上述配置,在SwitchA向公共网络转发报文时,会自动将VLAN100~VLAN108(PC用户)的报文封装外层Tag为VLAN1000,将VLAN200~VLAN230(IP电话用户)的报文封装外层Tag为VLAN1200。
l 配置SwitchB
# 创建VLAN1000、VLAN1200以及Ethernet1/0/12和Ethernet1/0/13端口的缺省VLAN12和VLAN13。
<SwitchB> system-view
[SwitchB] vlan 1000
[SwitchB-vlan1000] quit
[SwitchB] vlan 1200
[SwitchB-vlan1200] quit
[SwitchB] vlan 12 to 13
# 配置端口Ethernet1/0/11为Hybrid端口,并在发送VLAN12、VLAN13、VLAN1000和VLAN1200的报文时保留VLAN Tag。
<SwitchB> system-view
[SwitchB] interface Ethernet 1/0/11
[SwitchB-Ethernet1/0/11] port link-type hybrid
[SwitchB-Ethernet1/0/11] port hybrid vlan 12 13 1000 1200 tagged
# 配置端口Ethernet1/0/12为Hybrid端口,缺省VLAN为VLAN12,在发送VLAN12和VLAN1000的报文时去掉VLAN Tag。
[SwitchB] interface Ethernet 1/0/12
[SwitchB-Ethernet1/0/12] port link-type hybrid
[SwitchB-Ethernet1/0/12] port hybrid pvid vlan 12
[SwitchB-Ethernet1/0/12] port hybrid vlan 12 1000 untagged
[SwitchB-Ethernet1/0/12] quit
#配置端口Ethernet1/0/13为Hybrid端口,缺省VLAN为VLAN13,在发送VLAN13和VLAN1200的报文时去掉VLAN Tag。
[SwitchB] interface Ethernet 1/0/13
[SwitchB-Ethernet1/0/13] port link-type hybrid
[SwitchB-Ethernet1/0/13] port hybrid pvid vlan 13
[SwitchB-Ethernet1/0/13] port hybrid vlan 13 1200 untagged
经过上述配置,SwitchB可以将公网中VLAN1000和VLAN1200的数据分别通过Ethernet1/0/12和Ethernet1/0/13端口发送到相应的服务器。
为使服务器端返回的数据能够使用同样的传输方式返回客户端,需要在SwitchB的Ethernet1/0/12和Ethernet1/0/13端口也配置相应的灵活QinQ功能和MAC地址复制功能,配置方法与SwitchA类似,这里不再赘述。
l SwitchA上的配置
#
vlan 5
#
vlan 1000
#
vlan 1200
#
interface Ethernet1/0/3
port link-type hybrid
port hybrid vlan 1 5 1000 1200 untagged
port hybrid pvid vlan 5
vlan-vpn enable
mac-address-mapping 0 source-vlan 5 destination-vlan 1000
mac-address-mapping 1 source-vlan 5 destination-vlan 1200
vlan-vpn vid 1000
raw-vlan-id inbound 100 to 108
vlan-vpn vid 1200
raw-vlan-id inbound 200 to 230
#
interface Ethernet1/0/5
port link-type hybrid
port hybrid vlan 5 1000 1200 tagged
port hybrid vlan 1 untagged
port hybrid pvid vlan 5
mac-address-mapping 0 source-vlan 1000 1200 destination-vlan 5
l SwitchB上的配置
#
vlan 12 to 13
#
vlan 1000
#
vlan 1200
#
interface Ethernet1/0/11
port link-type hybrid
port hybrid vlan 12 to 13 1000 1200 tagged
port hybrid vlan 1 untagged
#
interface Ethernet1/0/12
port link-type hybrid
port hybrid vlan 1 12 1000 untagged
port hybrid pvid vlan 12
#
interface Ethernet1/0/13
port link-type hybrid
port hybrid vlan 1 13 1200 untagged
port hybrid pvid vlan 13
l 如果设备已经启动IRF Fabric功能,则不能在任何端口上配置VLAN-VPN及灵活QinQ功能。
l 建议用户不要在交换机上同时配置灵活QinQ功能和DHCP Snooping功能,否则可能导致DHCP-Snooping功能无法正常使用。
l VLAN4093是设备为IRF Fabric功能保留的特殊VLAN,不支持作为MAC地址复制功能的目的VLAN接收来自其他VLAN的MAC地址表项。
通过配置BPDU Tunnel功能,可以使用户私网内部的二层协议报文(例如STP)以隧道的形式在公网上进行传输,使公网两端的私网网络可以进行统一的网络计算和维护。
图1-3 BPDU Tunnel典型组网示意图
l Customer1、Customer2为用户网络设备;Provider1和Provider2为运营商网络边缘设备,分别通过Ethernet1/0/1和Ethernet1/0/4端口接收用户端的数据。
l Provider1和Provider2之间使用Trunk链路进行连接,并允许所有VLAN的报文通过。
l 配置运营商网络可以使用BPDU Tunnel对用户网络的STP协议报文进行隧道传输,使用组播地址010f-e233-8b22作为隧道报文的目的MAC地址。
l 启用运营商网络的VLAN-VPN功能,使用VLAN100来对用户网络的数据报文进行隧道传输。
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
E152 |
Release 1500、Release 1602软件版本 |
E152 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
l Provider1的配置
# 在Ethernet1/0/1端口关闭STP功能。
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] stp disable
# 在Ethernet1/0/1端口配置BPDU Tunnel功能,对STP协议的BPDU进行透明传输。
[Sysname-Ethernet1/0/1] bpdu-tunnel stp
# 配置Ethernet1/0/1端口的VLAN-VPN功能,使用VLAN100对用户的数据报文进行隧道传输。
[Sysname-Ethernet1/0/1] port access vlan 100
[Sysname-Ethernet1/0/1] vlan-vpn enable
# 配置协议报文在TUNNEL中传输的目的MAC地址。
[Sysname-Ethernet1/0/1] quit
[Sysname] bpdu-tunnel tunnel-dmac 010f-e233-8b22
# 配置端口Ethernet1/0/2为Trunk端口,且允许VLAN100的报文通过。
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] port link-type trunk
[Sysname-Ethernet1/0/2] port trunk permit vlan 100
l Provider2的配置
# 在Ethernet1/0/4端口关闭STP功能。
<Sysname> system-view
[Sysname] interface Ethernet 1/0/4
[Sysname-Ethernet1/0/4] stp disable
# 在Ethernet1/0/4端口配置STP协议的BPDU Tunnel功能。
[Sysname-Ethernet1/0/4] bpdu-tunnel stp
# 配置Ethernet1/0/4端口的VLAN-VPN功能,使用VLAN100对用户的数据报文进行隧道传输。
[Sysname-Ethernet1/0/4] port access vlan 100
[Sysname-Ethernet1/0/4] vlan-vpn enable
# 配置协议报文在TUNNEL中传输的目的MAC地址。
[Sysname-Ethernet1/0/4] quit
[Sysname] bpdu-tunnel tunnel-dmac 010f-e233-8b22
# 配置端口Ethernet1/0/3为Trunk端口,且允许VLAN100的报文通过。
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] port link-type trunk
[Sysname-Ethernet1/0/3] port trunk permit vlan 100
l Provider1的完整配置
#
bpdu-tunnel tunnel-dmac 010f-e233-8b22
#
interface Ethernet1/0/1
stp disable
port access vlan 100
vlan-vpn enable
bpdu-tunnel stp
#
interface Ethernet1/0/2
port link-type trunk
port trunk permit vlan 1 100
#
l Provider2的完整配置
#
bpdu-tunnel tunnel-dmac 010f-e233-8b22
#
interface Ethernet1/0/3
port link-type trunk
port trunk permit vlan 1 100
#
interface Ethernet1/0/4
stp disable
port access vlan 100
vlan-vpn enable
bpdu-tunnel stp
#
l bpdu-tunnel stp命令与vlan-vpn tunnel命令配置的STP协议报文隧道功能不能同时配置。相关内容请参见各产品操作手册中“MSTP”部分的介绍。
l bpdu-tunnel cdp命令与voice vlan legacy命令不能同时配置,相关内容请参见各产品操作手册中“Voice VLAN”部分的介绍。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!