• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C低端以太网交换机 典型配置指导(V1.01)

36-VLAN-VPN典型配置指导

本章节下载  (336.24 KB)

36-VLAN-VPN典型配置指导


第1章  VLAN-VPN典型配置指导

1.1  VLAN-VPN典型配置指导

通过配置VLAN-VPN功能,设备在接收用户私网报文时,可以在外层封装公网的VLAN Tag,并按照公网VLAN划分进行传输,使用户私网报文可以携带两层Tag穿过骨干网络。直至发送到对端用户私网,再将外层公网Tag去除,使用内层用户私网Tag进行转发。

VLAN-VPN以简单的方法实现了用户报文在骨干网络的隧道传输功能。

1.1.1  组网图

图1-1 VLAN-VPN典型组网示意图

1.1.2  应用要求

图1-1所示,Switch A和Switch B通过公共网络将用户的工作站与服务器相连。

l              用户的PC工作站和服务器划分在私有VLAN100,终端工作站和服务器划分在私有VLAN200。现要求运营商利用公共网络的VLAN1040,使用户网络之间通过VPN方式进行连接。

l              公共网络中使用其他厂商的设备,TPID值为0x9200。(不支持配置TPID值的产品无法实现该需求)

要求配置Switch A和Switch B的VLAN-VPN功能,使用户的PC工作站/服务器和终端工作站/服务器能通过VPN连接,并进行正常通信。

1.1.3  适用产品、版本

表1-1 配置适用的交换机产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1510、Release 1602软件版本

全系列硬件版本

S5100-SI/EI系列

Release 2200、Release 2201软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1510、Release 1602软件版本

全系列硬件版本

S3100-EI系列

Release 2104、Release 2107软件版本

全系列硬件版本

S3100-C-SI系列

S3100-T-SI系列

Release 0011、Release 2102、Release 2107软件版本

全系列硬件版本

S3100-TP-SI系列

Release 2102、Release 2107软件版本

全系列硬件版本

(除S3100-52TP-SI)

S3100-52TP-SI

Release 2106、Release 2107软件版本

S3100-52TP-SI

S3100-52P

Release 1500、Release 1602软件版本

S3100-52P

S2126-EI

Release 2102、Release 2106、Release 2107软件版本

S2126-EI

S2000-EA系列

Release 2107软件版本

全系列硬件版本

E352&E328

Release 1510、Release 1602软件版本

E352&E328

E152

Release 1500、Release 1602软件版本

E152

E126

Release 0011、Release 2102、Release 2107软件版本

E126

E126A

Release 2104、Release 2107软件版本

E126A

 

&  说明:

l      S3600系列交换机、S3100-52P交换机、E152交换机和E352&E328交换机支持在端口上配置TPID值

l      S5100-SI/EI系列、S3100-EI系列、S2000-EA和E126A交换机支持全局配置TPID值

l      S5600系列、S3100-SI系列、S2126-EI和E126交换机不支持配置TPID值

 

1.1.4  配置过程和解释

&  说明:

VLAN-VPN功能与以下功能不能同时配置:

l      GVRP

l      NTDP

l      STP

l      802.1x

l      MAC地址认证

l      IRF Fabric

其中在端口上缺省启动的特性有NTDP和STP,因此在开启端口的VLAN-VPN功能之前,需要先使用undo ntdp enablestp disable命令关闭这两个功能。

 

l              配置Switch A

# 配置SwitchA的端口Ethernet1/0/11为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag

<SwitchA> system-view

[SwitchA] vlan 1040

[SwitchA-vlan1040] port Ethernet 1/0/11

[SwitchA-vlan1040] quit

[SwitchA] interface Ethernet 1/0/11

[SwitchA-Ethernet1/0/11] undo ntdp enable

[SwitchA-Ethernet1/0/11] stp disable

[SwitchA-Ethernet1/0/11] vlan-vpn enable

# 为与公共网络中的设备进行互通,设置TPID值为0x9200。

[SwitchA-Ethernet1/0/11] vlan-vpn tpid 9200

[SwitchA-Ethernet1/0/11] quit

# 配置端口Ethernet1/0/12为Trunk端口,并允许VLAN1040的报文携带VLAN Tag发送。

[SwitchA] interface Ethernet 1/0/12

[SwitchA-Ethernet1/0/12] port link-type trunk

[SwitchA-Ethernet1/0/12] port trunk permit vlan 1040

# 配置端口Ethernet1/0/12的TPID值为0x9200。

[SwitchA-Ethernet1/0/12] vlan-vpn tpid 9200

l              配置Switch B

# 配置SwitchB的端口Ethernet1/0/21为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag

<SwitchB> system-view

[SwitchB] vlan 1040

[SwitchB-vlan1040] port Ethernet 1/0/21

[SwitchB-vlan1040] quit

[SwitchB] interface Ethernet 1/0/21

[SwitchB-Ethernet1/0/21] undo ntdp enable

[SwitchB-Ethernet1/0/21] stp disable

[SwitchB-Ethernet1/0/21] vlan-vpn enable

# 为与公共网络中的设备进行互通,设置TPID值为0x9200。

[SwitchB-Ethernet1/0/21] vlan-vpn tpid 9200

[SwitchB-Ethernet1/0/21] quit

# 配置端口Ethernet1/0/22为Trunk端口,并允许VLAN1040的报文携带VLAN Tag发送。

[SwitchA] interface Ethernet 1/0/22

[SwitchA-Ethernet1/0/22] port link-type trunk

[SwitchA-Ethernet1/0/22] port trunk permit vlan 1040

# 配置端口Ethernet1/0/22的TPID值为0x9200。

&  说明:

各产品对该命令的支持情况和执行视图存在差异,请参考各产品的操作手册。

 

[SwitchA-Ethernet1/0/22] vlan-vpn tpid 9200

l              配置公共网络设备

# 由于公共网络使用的设备可能来自于其他厂商,这里只介绍基本原理。配置公共网络中与SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口连接的设备,使其相应的端口允许VLAN1040的报文携带VLAN Tag进行发送即可。

1.1.5  完整配置

l              SwitchA上的配置

#

vlan 1040

#

interface Ethernet1/0/11

 port access vlan 1040

 undo ntdp enable

 stp disable

 vlan-vpn enable

 vlan-vpn tpid 9200

#

interface Ethernet1/0/12

 port link-type trunk

 port trunk permit vlan 1 1040

 vlan-vpn tpid 9200

l              SwitchB上的配置

#

vlan 1040

#

interface Ethernet1/0/21

 port access vlan 1040

 undo ntdp enable

 stp disable

 vlan-vpn enable

 vlan-vpn tpid 9200

#

interface Ethernet1/0/22

 port link-type trunk

 port trunk permit vlan 1 1040

 vlan-vpn tpid 9200

1.1.6  配置注意事项

l              请勿配置VLAN1040为SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口的缺省VLAN,以免外层Tag在发送时被去除。

l              此例中介绍了在SwitchA的Ethernet1/0/11端口和SwitchB的Ethernet1/0/21端口均为Access端口时的配置。当两个端口为Trunk或Hybrid端口时,请通过命令配置这两个端口的缺省VLAN为1040,且在发送VLAN1040的报文时去除外层Tag,具体操作请参考“以太网端口基本配置指导”部分。

1.2  灵活QinQ典型配置指导

灵活QinQ是VLAN-VPN功能的一种增强应用,使用灵活QinQ,用户可以配置内外层Tag映射规则,为具有不同内层Tag的报文按映射规则封装不同的外层Tag。

灵活QinQ功能可以使运营商的网络构架更为灵活,在连接接入层设备的端口上可以根据VLAN Tag对不同的终端用户进行分类,为各类用户封装不同的外层Tag,并在公网中按外层Tag配置QoS策略,灵活配置数据的传输优先级,使各类用户获得相应的服务。

1.2.1  组网图

图1-2 灵活QinQ典型组网示意图

1.2.2  应用要求

l              SwitchA的端口Ethernet1/0/3连接了PC用户和IP电话用户。其中PC用户位于VLAN100~VLAN108范围内,IP电话用户位于VLAN200~VLAN230范围内。SwitchA的端口Ethernet1/0/5连接到公共网络,对端为SwitchB。

l              SwitchB的Ethernet1/0/11端口接入公共网络,Ethernet1/0/12和Ethernet1/0/13端口分别接入PC用户服务器所在VLAN100~VLAN108和IP电话用户语音网关所在VLAN200~VLAN230。

l              公共网络中允许VLAN1000和VLAN1200的报文通过,并配置了QoS策略,对VLAN1200的报文配置有带宽保留等优先传输策略,而VLAN1000的报文传输优先级较低。

l              在SwitchA和SwitchB上配置灵活QinQ功能,将PC用户和IP电话用户的流量分别在公网的VLAN1000和VLAN1200内传输,以利用QoS策略保证语音数据的传输优先级。

l              为避免大量的广播报文,配置灵活QinQ的VLAN间MAC地址复制功能。

1.2.3  适用产品、版本

表1-2 配置适用的交换机产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1510、Release 1602软件版本

全系列硬件版本

S5100-EI系列

Release 2200、Release 2201软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1510、Release 1602软件版本

全系列硬件版本

S3100-EI系列

Release 2104、Release 2107软件版本

全系列硬件版本

S3100-52P

Release 1500、Release 1602软件版本

S3100-52P

S2000-EA系列

Release 2107软件版本

全系列硬件版本

E352&E328

Release 1510、Release 1602软件版本

E352&E328

E152

Release 1500、Release 1602软件版本

E152

E126A

Release 2104、Release 2107软件版本

E126A

 

&  说明:

仅S5600系列、S3600-SI/EI系列、E352&E328、S3100-52P和E152交换机支持VLAN间MAC地址复制功能。

 

1.2.4  配置过程和解释

l              配置SwitchA

# 在SwitchA上创建VLAN1000、VLAN1200和Ethernet1/0/3的缺省VLAN5。

<SwitchA> system-view

[SwitchA] vlan 1000

[SwitchA-vlan1000] quit

[SwitchA] vlan 1200

[SwitchA-vlan1200] quit

[SwitchA] vlan 5

[SwitchA-vlan5] quit

# 配置端口Ethernet1/0/5为Hybrid端口,并在转发VLAN5、VLAN1000和VLAN1200的报文时保留VLAN Tag。

[SwitchA] interface Ethernet 1/0/5

[SwitchA-Ethernet1/0/5] port link-type hybrid

[SwitchA-Ethernet1/0/5] port hybrid vlan 5 1000 1200 tagged

[SwitchA-Ethernet1/0/5] quit

# 配置端口Ethernet1/0/3为Hybrid端口,缺省VLAN为VLAN5,并在转发VLAN5、VLAN1000和VLAN1200的报文时去除VLAN Tag。

[SwitchA] interface Ethernet 1/0/3

[SwitchA-Ethernet1/0/3] port link-type hybrid

[SwitchA-Ethernet1/0/3] port hybrid pvid vlan 5

[SwitchA-Ethernet1/0/3] port hybrid vlan 5 1000 1200 untagged

# 开启端口Ethernet1/0/3的VLAN-VPN功能。

[SwitchA-Ethernet1/0/3] vlan-vpn enable

# 配置该端口的灵活QinQ功能,为内层VLAN是100至108的报文封装VLAN1000的外层Tag;为内层VLAN是200至230的报文封装VLAN1200的外层Tag。

[SwitchA-Ethernet1/0/3] vlan-vpn vid 1000

[SwitchA-Ethernet1/0/3-vid-1000] raw-vlan-id inbound 100 to 108

[SwitchA-Ethernet1/0/3-vid-1000] quit

[SwitchA-Ethernet1/0/3] vlan-vpn vid 1200

[SwitchA-Ethernet1/0/3-vid-1200] raw-vlan-id inbound 200 to 230

# 配置VLAN间MAC地址复制功能,将外层VLAN与缺省VLAN的MAC地址表项进行复制。

[SwitchA-Ethernet1/0/3-vid-1200] quit

[SwitchA-Ethernet1/0/3] mac-address-mapping 0 source-vlan 5 destination-vlan 1000

[SwitchA-Ethernet1/0/3] mac-address-mapping 1 source-vlan 5 destination-vlan 1200

[SwitchA-Ethernet1/0/3] quit

[SwitchA] interface Ethernet 1/0/5

[SwitchA-Ethernet1/0/5] mac-address-mapping 0 source-vlan 1000 1200 destination-vlan 5

经过上述配置,在SwitchA向公共网络转发报文时,会自动将VLAN100~VLAN108(PC用户)的报文封装外层Tag为VLAN1000,将VLAN200~VLAN230(IP电话用户)的报文封装外层Tag为VLAN1200。

l              配置SwitchB

# 创建VLAN1000、VLAN1200以及Ethernet1/0/12和Ethernet1/0/13端口的缺省VLAN12和VLAN13。

<SwitchB> system-view

[SwitchB] vlan 1000

[SwitchB-vlan1000] quit

[SwitchB] vlan 1200

[SwitchB-vlan1200] quit

[SwitchB] vlan 12 to 13

# 配置端口Ethernet1/0/11为Hybrid端口,并在发送VLAN12、VLAN13、VLAN1000和VLAN1200的报文时保留VLAN Tag。

<SwitchB> system-view

[SwitchB] interface Ethernet 1/0/11

[SwitchB-Ethernet1/0/11] port link-type hybrid

[SwitchB-Ethernet1/0/11] port hybrid vlan 12 13 1000 1200 tagged

# 配置端口Ethernet1/0/12为Hybrid端口,缺省VLAN为VLAN12,在发送VLAN12和VLAN1000的报文时去掉VLAN Tag。

[SwitchB] interface Ethernet 1/0/12

[SwitchB-Ethernet1/0/12] port link-type hybrid

[SwitchB-Ethernet1/0/12] port hybrid pvid vlan 12

[SwitchB-Ethernet1/0/12] port hybrid vlan 12 1000 untagged

[SwitchB-Ethernet1/0/12] quit

#配置端口Ethernet1/0/13为Hybrid端口,缺省VLAN为VLAN13,在发送VLAN13和VLAN1200的报文时去掉VLAN Tag。

[SwitchB] interface Ethernet 1/0/13

[SwitchB-Ethernet1/0/13] port link-type hybrid

[SwitchB-Ethernet1/0/13] port hybrid pvid vlan 13

[SwitchB-Ethernet1/0/13] port hybrid vlan 13 1200 untagged

经过上述配置,SwitchB可以将公网中VLAN1000和VLAN1200的数据分别通过Ethernet1/0/12和Ethernet1/0/13端口发送到相应的服务器。

为使服务器端返回的数据能够使用同样的传输方式返回客户端,需要在SwitchB的Ethernet1/0/12和Ethernet1/0/13端口也配置相应的灵活QinQ功能和MAC地址复制功能,配置方法与SwitchA类似,这里不再赘述。

1.2.5  完整配置

l              SwitchA上的配置

#

vlan 5

#

vlan 1000

#

vlan 1200

#

interface Ethernet1/0/3

 port link-type hybrid

 port hybrid vlan 1 5 1000 1200 untagged

 port hybrid pvid vlan 5

 vlan-vpn enable

 mac-address-mapping 0 source-vlan 5 destination-vlan 1000

 mac-address-mapping 1 source-vlan 5 destination-vlan 1200

 vlan-vpn vid 1000

  raw-vlan-id inbound 100 to 108

 vlan-vpn vid 1200

  raw-vlan-id inbound 200 to 230

#

interface Ethernet1/0/5

 port link-type hybrid

 port hybrid vlan 5 1000 1200 tagged

 port hybrid vlan 1 untagged

 port hybrid pvid vlan 5

 mac-address-mapping 0 source-vlan 1000 1200 destination-vlan 5

l              SwitchB上的配置

#

vlan 12 to 13

#

vlan 1000

#

vlan 1200

#

interface Ethernet1/0/11

 port link-type hybrid

 port hybrid vlan 12 to 13 1000 1200 tagged

 port hybrid vlan 1 untagged

#

interface Ethernet1/0/12

 port link-type hybrid

 port hybrid vlan 1 12 1000 untagged

 port hybrid pvid vlan 12

#

interface Ethernet1/0/13

 port link-type hybrid

 port hybrid vlan 1 13 1200 untagged

 port hybrid pvid vlan 13

1.2.6  配置注意事项

l              如果设备已经启动IRF Fabric功能,则不能在任何端口上配置VLAN-VPN及灵活QinQ功能。

l              建议用户不要在交换机上同时配置灵活QinQ功能和DHCP Snooping功能,否则可能导致DHCP-Snooping功能无法正常使用。

l              VLAN4093是设备为IRF Fabric功能保留的特殊VLAN,不支持作为MAC地址复制功能的目的VLAN接收来自其他VLAN的MAC地址表项。

1.3  BPDU Tunnel典型配置指导

通过配置BPDU Tunnel功能,可以使用户私网内部的二层协议报文(例如STP)以隧道的形式在公网上进行传输,使公网两端的私网网络可以进行统一的网络计算和维护。

1.3.1  组网图

图1-3 BPDU Tunnel典型组网示意图

1.3.2  应用要求

l              Customer1、Customer2为用户网络设备;Provider1和Provider2为运营商网络边缘设备,分别通过Ethernet1/0/1和Ethernet1/0/4端口接收用户端的数据。

l              Provider1和Provider2之间使用Trunk链路进行连接,并允许所有VLAN的报文通过。

l              配置运营商网络可以使用BPDU Tunnel对用户网络的STP协议报文进行隧道传输,使用组播地址010f-e233-8b22作为隧道报文的目的MAC地址。

l              启用运营商网络的VLAN-VPN功能,使用VLAN100来对用户网络的数据报文进行隧道传输。

1.3.3  适用产品、版本

表1-3 配置适用的交换机产品与软硬件版本关系

产品

软件版本

硬件版本

S5600系列

Release 1510、Release 1602软件版本

全系列硬件版本

S3600-SI/EI系列

Release 1510、Release 1602软件版本

全系列硬件版本

S3100-EI系列

Release 2104、Release 2107软件版本

全系列硬件版本

S3100-52P

Release 1500、Release 1602软件版本

S3100-52P

S2000-EA系列

Release 2107软件版本

全系列硬件版本

E352&E328

Release 1510、Release 1602软件版本

E352&E328

E152

Release 1500、Release 1602软件版本

E152

E126A

Release 2104、Release 2107软件版本

E126A

 

1.3.4  配置过程和解释

l              Provider1的配置

# 在Ethernet1/0/1端口关闭STP功能。

<Sysname> system-view

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] stp disable

# 在Ethernet1/0/1端口配置BPDU Tunnel功能,对STP协议的BPDU进行透明传输。

[Sysname-Ethernet1/0/1] bpdu-tunnel stp

# 配置Ethernet1/0/1端口的VLAN-VPN功能,使用VLAN100对用户的数据报文进行隧道传输。

[Sysname-Ethernet1/0/1] port access vlan 100

[Sysname-Ethernet1/0/1] vlan-vpn enable

# 配置协议报文在TUNNEL中传输的目的MAC地址。

[Sysname-Ethernet1/0/1] quit

[Sysname] bpdu-tunnel tunnel-dmac 010f-e233-8b22

# 配置端口Ethernet1/0/2Trunk端口,且允许VLAN100的报文通过。

[Sysname] interface Ethernet 1/0/2

[Sysname-Ethernet1/0/2] port link-type trunk

[Sysname-Ethernet1/0/2] port trunk permit vlan 100

l              Provider2的配置

# Ethernet1/0/4端口关闭STP功能。

<Sysname> system-view

[Sysname] interface Ethernet 1/0/4

[Sysname-Ethernet1/0/4] stp disable

# Ethernet1/0/4端口配置STP协议的BPDU Tunnel功能。

[Sysname-Ethernet1/0/4] bpdu-tunnel stp

# 配置Ethernet1/0/4端口的VLAN-VPN功能,使用VLAN100对用户的数据报文进行隧道传输。

[Sysname-Ethernet1/0/4] port access vlan 100

[Sysname-Ethernet1/0/4] vlan-vpn enable

# 配置协议报文在TUNNEL中传输的目的MAC地址。

[Sysname-Ethernet1/0/4] quit

[Sysname] bpdu-tunnel tunnel-dmac 010f-e233-8b22

# 配置端口Ethernet1/0/3Trunk端口,且允许VLAN100的报文通过。

[Sysname] interface Ethernet 1/0/3

[Sysname-Ethernet1/0/3] port link-type trunk

[Sysname-Ethernet1/0/3] port trunk permit vlan 100

1.3.5  完整配置

l              Provider1的完整配置

#

bpdu-tunnel tunnel-dmac 010f-e233-8b22

#

interface Ethernet1/0/1

 stp disable

 port access vlan 100

 vlan-vpn enable

 bpdu-tunnel stp

#

interface Ethernet1/0/2

 port link-type trunk

 port trunk permit vlan 1 100

#          

l              Provider2的完整配置

#

bpdu-tunnel tunnel-dmac 010f-e233-8b22

#

interface Ethernet1/0/3

 port link-type trunk

 port trunk permit vlan 1 100

#          

interface Ethernet1/0/4

 stp disable

 port access vlan 100

 vlan-vpn enable

 bpdu-tunnel stp

#

1.3.6  配置注意事项

l               bpdu-tunnel stp命令与vlan-vpn tunnel命令配置的STP协议报文隧道功能不能同时配置。相关内容请参见各产品操作手册中“MSTP”部分的介绍。

l              bpdu-tunnel cdp命令与voice vlan legacy命令不能同时配置,相关内容请参见各产品操作手册中“Voice VLAN”部分的介绍。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们