11-VLAN映射配置
本章节下载: 11-VLAN映射配置 (308.89 KB)
VLAN映射(VLAN Mapping)也叫做VLAN转换(VLAN Translation),它可以修改报文携带的VLAN Tag,实现不同VLAN ID之间的相互转换。目前设备提供下面两种映射关系:
· 1:1 VLAN映射:将来自某一特定VLAN的报文所携带的VLAN Tag替换为新的VLAN Tag。
· N:1 VLAN映射:将来自多个VLAN的报文所携带的不同VLAN Tag替换为相同的VLAN Tag。
1:1和N:1 VLAN映射的应用环境如图1-1所示,小区实现宽带上网业务。
图1-1 1:1和N:1 VLAN映射应用示意图
在图1-1中,进行了如下网络规划:
· 在家庭网关上,分别将电脑上网(PC)、视频点播(VoD)和语音电话(VoIP)业务依次划分到不同VLAN。
· 在楼道交换机上,为了隔离不同家庭的同类业务,需要将每个家庭的每种业务都划分到不同的VLAN,即进行1:1 VLAN映射,这就要用到大量的VLAN。
· 在园区交换机上,因为汇聚层网络接入设备可提供的VLAN数量有限,为了节省VLAN资源,需要进行VLAN的汇聚,将所有家庭的同类业务都划分到相同的VLAN,即进行N:1 VLAN映射。
如图1-2所示,VLAN映射有如下相关概念:
· 上行数据流:从用户网络发往汇聚层网络或SP网络的数据流。
· 下行数据流:从汇聚层网络或SP网络发往用户网络的数据流。
· 上行端口:发送上行数据流和接收下行数据流的端口。
· 下行端口:发送下行数据流和接收上行数据流的端口。
· CVLAN:Client VLAN。
· SVLAN:Server VLAN。
图1-2 VLAN映射相关概念示意图
图1-3 1:1 VLAN映射实现方式示意图
如图1-3所示,1:1 VLAN映射的实现方式如下:
· 对于上行数据流,通过在下行端口配置用户侧1:1 VLAN映射,设备将上行数据流的CVLAN的VLAN Tag替换为SVLAN的VLAN Tag。
· 对于下行数据流,通过在上行端口上配置网络侧1:1 VLAN映射,设备查找DHCP Snooping表项,将下行数据流的SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。有关DHCP Snooping的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP”。
图1-4 N:1 VLAN映射实现方式示意图
如图1-4所示,N:1 VLAN映射的实现方式如下:
· 对于上行数据流,通过在下行端口上配置用户侧N:1 VLAN映射,设备将来自多个CVLAN的报文所携带的不同VLAN Tag都替换为同一个SVLAN的VLAN Tag。
· 对于下行数据流,通过在上行端口上配置网络侧N:1 VLAN映射,设备查找DHCP Snooping表项,将报文中SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。有关DHCP Snooping的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP”。
在图1-1所示的组网中,需要完成以下配置:
· 在楼道交换机上配置1:1 VLAN映射,以便将不同用户的不同业务用不同的VLAN进行隔离;
· 在园区交换机上配置N:1 VLAN映射,以便将不同用户的相同业务用同一个VLAN进行发送,从而节省VLAN资源。
在配置VLAN映射前,需要先创建好原始VLAN和转换后VLAN。
配置VLAN映射时,需要注意:
· 设备同一端口上,不能同时配置VLAN映射和QinQ。有关QinQ的详细介绍,请参见“二层技术-以太网交换”中的“QinQ”。
· 若用户同时通过配置VLAN映射和QoS策略来修改或添加报文的VLAN Tag,且配置冲突时,QoS策略的配置生效。有关QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
VLAN映射配置中,DHCP Snooping相关命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCP”;ARP Detection相关命令的详细介绍,请参见“安全命令参考”中的“ARP攻击防御”。
表1-1 VLAN映射配置任务简介
缺省情况下,DHCP Snooping功能处于关闭状态 |
请在所有需要进行映射的VLAN(包括原始VLAN和转换后VLAN)上都使能ARP Detection功能。
进入VLAN视图 |
||
缺省情况下,ARP Detection功能处于关闭状态 |
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
||
配置允许原始VLAN及转换后VLAN通过当前端口 |
缺省情况下,Trunk端口只允许VLAN 1通过;Hybrid端口只允许VLAN 1的报文以Untagged方式通过 |
|||
vlan mapping uni single vlan-id translated-vlan vlan-id |
缺省情况下,接口上未配置VLAN映射 |
|||
配置用户侧N:1 VLAN映射 |
vlan mapping uni range vlan-range-list translated-vlan vlan-id |
|||
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
|
配置允许转换后VLAN通过当前端口 |
缺省情况下,Trunk端口只允许VLAN 1通过;Hybrid端口只允许VLAN 1的报文以Untagged方式通过 |
||
配置端口为DHCP信任端口 |
缺省情况下,在使能DHCP Snooping功能后,设备上所有支持DHCP Snooping功能的端口均为不信任端口 |
||
配置端口为ARP信任端口 |
缺省情况下,接口为ARP非信任接口 |
||
在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN映射的运行情况,通过查看显示信息验证配置的效果。
表1-6 VLAN映射显示和维护
操作 |
命令 |
显示VLAN映射信息 |
display vlan mapping [ | { begin | exclude | include } regular-expression ] |
· 在某小区,服务提供商为每个家庭都提供了PC、VoD和VoIP这三种数据服务,每个家庭都通过各自的家庭网关接入楼道交换机,并通过DHCP方式自动获取IP地址。
· 服务提供商希望实现以下网络规划:在家庭网关上,分别将PC、VoD和VoIP业务依次划分到VLAN 1~3;在楼道交换机上,为了隔离不同家庭的同类业务,将每个家庭的每种业务都划分到不同的VLAN;而在园区交换机上,为了节省VLAN资源,将所有家庭的同类业务都划分到相同的VLAN,即分别将PC、VoD和VoIP业务依次划分到VLAN 501~503。
图1-5 1:1和N:1 VLAN映射配置组网图
(1) 配置Switch A
# 开启全局的DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 创建原始VLAN和转换后VLAN,并开启上行端口VLAN内ARP检测功能。
[SwitchA] vlan 1 to 3
Please wait... Done.
[SwitchA] vlan 101
[SwitchA-vlan101] arp detection enable
[SwitchA-vlan101] vlan 102
[SwitchA-vlan102] arp detection enable
[SwitchA-vlan102] vlan 201
[SwitchA-vlan201] arp detection enable
[SwitchA-vlan201] vlan 202
[SwitchA-vlan202] arp detection enable
[SwitchA-vlan202] vlan 301
[SwitchA-vlan301] arp detection enable
[SwitchA-vlan301] vlan 302
[SwitchA-vlan302] arp detection enable
[SwitchA-vlan302] quit
# 配置下行端口Ethernet1/0/1和Ethernet1/0/2为Trunk端口且允许原始VLAN及转换后VLAN通过,同时在端口上配置1:1 VLAN映射。
<SwitchA> system-view
[SwitchA] interface ethernet 1/0/1
[SwitchA-Ethernet1/0/1] port link-type trunk
[SwitchA-Ethernet1/0/1] port trunk permit vlan 1 2 3 101 201 301
[SwitchA-Ethernet1/0/1] vlan mapping uni single 1 translated-vlan 101
[SwitchA-Ethernet1/0/1] vlan mapping uni single 2 translated-vlan 201
[SwitchA-Ethernet1/0/1] vlan mapping uni single 3 translated-vlan 301
[SwitchA-Ethernet1/0/1] quit
[SwitchA] interface ethernet 1/0/2
[SwitchA-Ethernet1/0/2] port link-type trunk
[SwitchA-Ethernet1/0/2] port trunk permit vlan 1 2 3 102 202 302
[SwitchA-Ethernet1/0/2] vlan mapping uni single 1 translated-vlan 102
[SwitchA-Ethernet1/0/2] vlan mapping uni single 2 translated-vlan 202
[SwitchA-Ethernet1/0/2] vlan mapping uni single 3 translated-vlan 302
[SwitchA-Ethernet1/0/2] quit
# 配置上行端口Ethernet1/0/3为Trunk端口,且允许转换后VLAN通过,并配置该端口为DHCP Snooping信任端口和ARP信任端口。
[SwitchA] interface ethernet 1/0/3
[SwitchA-Ethernet1/0/3] port link-type trunk
[SwitchA-Ethernet1/0/3] port trunk permit vlan 101 201 301 102 202 302
[SwitchA-Ethernet1/0/3] dhcp-snooping trust
[SwitchA-Ethernet1/0/3] arp detection trust
# 在上行端口Ethernet1/0/3上配置网络侧VLAN映射。
[SwitchA-Ethernet1/0/3] vlan mapping nni
[SwitchA-Ethernet1/0/3] quit
(2) 配置Switch B
Switch B的配置与Switch A相似,配置过程略。
(3) 配置Switch C
# 开启全局的DHCP Snooping功能。
[SwitchC] dhcp-snooping
# 创建原始VLAN和转换后VLAN,并开启上行端口VLAN内ARP检测功能。
[SwitchC] vlan 101 to 102
Please wait... Done.
[SwitchC] vlan 201 to 202
Please wait... Done.
[SwitchC] vlan 301 to 302
Please wait... Done.
[SwitchC] vlan 199 to 200
Please wait... Done.
[SwitchC] vlan 299 to 300
Please wait... Done.
[SwitchC] vlan 399 to 400
Please wait... Done.
[SwitchC] vlan 501
[SwitchC-vlan501] arp detection enable
[SwitchC-vlan501] vlan 502
[SwitchC-vlan502] arp detection enable
[SwitchC-vlan502] vlan 503
[SwitchC-vlan503] arp detection enable
[SwitchC-vlan503] quit
# 配置下行端口Ethernet1/0/1和Ethernet1/0/2为Trunk端口且允许原始VLAN及转换后VLAN通过,同时在端口上配置N:1 VLAN映射。
[SwitchC] interface ethernet 1/0/1
[SwitchC-Ethernet1/0/1] port link-type trunk
[SwitchC-Ethernet1/0/1] port trunk permit vlan 101 102 201 202 301 302 501 to 503
[SwitchC-Ethernet1/0/1] vlan mapping uni range 101 to 102 translated-vlan 501
[SwitchC-Ethernet1/0/1] vlan mapping uni range 201 to 202 translated-vlan 502
[SwitchC-Ethernet1/0/1] vlan mapping uni range 301 to 302 translated-vlan 503
[SwitchC-Ethernet1/0/1] quit
[SwitchC] interface ethernet 1/0/2
[SwitchC-Ethernet1/0/2] port link-type trunk
[SwitchC-Ethernet1/0/2] port trunk permit vlan 199 200 299 300 399 400 501 to 503
[SwitchC-Ethernet1/0/2] vlan mapping uni range 199 to 200 translated-vlan 501
[SwitchC-Ethernet1/0/2] vlan mapping uni range 299 to 300 translated-vlan 502
[SwitchC-Ethernet1/0/2] vlan mapping uni range 399 to 400 translated-vlan 503
[SwitchC-Ethernet1/0/2] quit
# 配置端口Ethernet1/0/3为Trunk端口且允许转换后VLAN通过,并配置该端口为DHCP Snooping信任端口和ARP信任端口。
[SwitchC-Ethernet1/0/3] port link-type trunk
[SwitchC-Ethernet1/0/3] port trunk permit vlan 501 to 503
[SwitchC-Ethernet1/0/3] dhcp-snooping trust
[SwitchC-Ethernet1/0/3] arp detection trust
# 在上行端口Ethernet1/0/3上配置网络侧N:1 VLAN映射。
[SwitchC-Ethernet1/0/3] vlan mapping nni
[SwitchC-Ethernet1/0/3] quit
(4) 配置Switch D
# 配置端口Ethernet1/0/1为Trunk端口且允许转换后VLAN通过。
<SwitchD> system-view
[SwitchD] vlan 501 to 503
Please wait... Done.
[SwitchD] interface ethernet 1/0/1
[SwitchD-Ethernet1/0/1] port link-type trunk
[SwitchD-Ethernet1/0/1] port trunk permit vlan 501 to 503
[SwitchD-Ethernet1/0/1] quit
(1) 查看Switch A上的VLAN映射配置信息
[SwitchA] display vlan mapping
Interface Ethernet1/0/1:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 1 N/A 101
N/A 2 N/A 201
N/A 3 N/A 301
Interface Ethernet1/0/2:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 1 N/A 102
N/A 2 N/A 202
N/A 3 N/A 302
(2) 查看Switch B上的VLAN映射配置信息
Switch B上的VLAN映射配置信息与Switch A相似,显示信息略。
(3) 查看Switch C上的VLAN映射配置信息
[SwitchC] display vlan mapping
Interface Ethernet1/0/1:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 101-102 N/A 501
N/A 201-202 N/A 502
N/A 301-302 N/A 503
Interface Ethernet1/0/2:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 199-200 N/A 501
N/A 299-300 N/A 502
N/A 399-400 N/A 503
以上信息表明,Switch A和Switch B上的1:1 VLAN映射,以及Switch C上的N:1 VLAN映射配置成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!