12-L2PT配置
本章节下载: 12-L2PT配置 (304.50 KB)
目 录
L2PT(Layer 2 Protocol Tunneling,二层协议隧道)是一种二层协议报文处理技术,它可以使位于不同地域的用户网络的二层协议报文,通过运营商网络内的指定通道进行透明传输或被强制丢弃。
随着企业的不断发展壮大,当企业面临分支机构越来越多的情况时,需要运营商提供专线服务,来构建企业网络,使得各个分支机构都能方便地访问企业内部网络,共享内部资源。
如图1-1所示,用户A拥有属于相同VLAN的两个分支网络(分别为网络1和网络2),两个分支网络通过运营商网络相连接。当网络1和网络2中共同运行某种二层协议(如生成树协议)时,要求网络1和网络2中的二层协议报文能够穿越运营商网络,以完成二层协议的计算(如生成树的计算),但是当CE(Customer Edge,用户网络边缘)设备发送的二层协议报文到达PE(Provider Edge,服务提供商网络边缘)设备时,由于PE不区分该报文来自用户网络还是运营商网络,都会将该报文上送CPU进行处理。这样,用户网络与运营商网络的二层协议计算将相互影响,用户网络无法独立完成二层协议的计算。
图1-1 L2PT应用环境
为了解决上述问题,就要求在运营商网络中能够透传用户网络的二层协议报文。利用L2PT功能,即可实现上述要求。
L2PT功能具有如下作用:
· 对用户网络的二层协议报文进行透明传输:可以使同一个用户网络的二层协议报文在运营商网络内指定的VLAN进行组播发送,使不同地域的同一个用户网络可以跨越运营商网络进行统一协议计算。
· 由于不同用户网络的二层协议报文在运营商网络的不同VLAN中进行组播发送,所以不同用户网络的二层协议报文相互隔离,可以独立计算。
目前,支持以下协议的L2PT功能:
· CDP(Cisco Discovery Protocol,思科发现协议)
· DLDP(Device Link Detection Protocol,设备链路检测协议)
· EOAM(Ethernet Operation, Administration and Maintenance,以太网操作、管理和维护)
· GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)
· LACP(Link Aggregation Control Protocol,链路聚合控制协议)
· LLDP(Link Layer Discovery Protocol,链路层发现协议)
· MVRP(Multiple VLAN Registration Protocol,多VLAN注册协议)
· PAGP(Port Aggregation Protocol,端口聚合协议)
· PVST(Per-VLAN Spanning Tree,每VLAN生成树)
· STP(Spanning Tree Protocol,生成树协议)
· UDLD(Unidirectional Link Detection,单向链路检测协议)
· VTP(VLAN Trunking Protocol,VLAN中继协议)
本文中的STP包括STP、RSTP和MSTP。
如图1-2所示,L2PT报文转发过程如下:
(1) PE 1在用户侧收到二层协议报文后,将同时向网络侧及用户侧转发该报文。一方面,PE 1直接向其用户侧除报文接收口以外的其他所有同一VLAN的接口组播发送该报文;另一方面,PE 1将该报文的目的MAC地址更换为指定的组播MAC地址,然后将更改后的报文在其网络侧所有同一VLAN的接口进行组播发送,更改后的报文又称为Tunnel报文。
(2) PE 2在网络侧收到Tunnel报文后,将同时向网络侧及用户侧转发该报文。一方面,PE 2直接向其网络侧除报文接收口以外其他所有同一VLAN的接口组播发送该报文;另一方面,PE 2将该报文的目的MAC地址还原为原始的目的MAC地址,然后将还原后的报文在其用户侧所有同一VLAN的接口进行组播发送。
图1-2 L2PT报文转发
下面以STP为例具体介绍L2PT实现过程。
图1-3 L2PT组网示意图
如图1-3所示,通过在运营商网络两端的边缘设备PE 1和PE 2上配置L2PT功能,可实现网络1和网络2之间的BPDU(Bridge Protocol Data Unit,网桥协议数据单元)报文在运营商网络中的透明传输,且用户网络和运营商网络的生成树各自独立计算生成。举例来说,假设BPDU报文由网络1发往网络2:
(1) 在运营商网络输入端,PE 1为来自CE 1的BPDU报文封装特殊的组播MAC地址(缺省为010f-e200-0003)。在运营商网络中,修改后的Tunnel报文被当作数据报文在用户所属的VLAN中进行转发。
(2) 在运营商网络输出端,PE 2收到目的MAC地址为010f-e200-0003的Tunnel报文后,对其解封装,然后将解封装后的BPDU报文转发给CE 2。
通过L2PT,实现了运行STP功能的用户网络和运营商网络拥有各自的生成树,互不干扰。
L2PT功能仅需在PE设备上配置。
表1-1 L2PT配置任务简介
配置任务 |
说明 |
详细配置 |
开启L2PT功能 |
必选 |
|
配置Tunnel报文的组播目的MAC地址 |
可选 |
开启L2PT功能时,需要注意:
· 在接口上开启某协议的L2PT功能时,对应的CE上应启用该协议,同时当前接口必须关闭该协议。
· PE设备与运营商网络中间节点设备建立CDP邻居时,需要开启LLDP兼容CDP功能,由于该功能只能全局开启,用户侧接口不能单独关闭,此时PE上CDP协议的L2PT功能失效。如需CDP协议的L2PT功能在PE上生效,则必须使LLDP兼容CDP功能处于关闭状态,这将导致PE设备无法与运营商网络中间节点设备通过CDP协议进行通信。有关LLDP兼容CDP功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“LLDP”。
· 如果CE上与PE开启L2PT功能的接口相连的聚合接口上正在运行某协议(例如STP),则PE设备上对应的接口必须关闭该协议。
· L2PT功能仅需在用户侧接口上开启。如果在网络侧接口上开启了L2PT功能,则会将该接口认为是用户侧接口。
· 在二层聚合组的成员端口上配置L2PT功能不生效。
· 不能在业务环回组的成员端口上开启L2PT功能。
· 对于LLDP,L2PT功能只支持Nearest Bridge(最近桥代理)类型代理发送的LLDP报文。
· 开启L2PT功能后,需保证携带VLAN Tag的用户网络二层协议报文在运营商网络传输过程中,其VLAN Tag不被改变或删除,否则运营商网络将无法正确透传该用户网络的二层协议报文。
LACP、EOAM要求接口间的LACP、EOAM协议报文必须是点对点传输(即两台设备间,一端接口发出的LACP、EOAM协议报文只能到达对端设备接收侧的一个接口),否则会影响LACP、EOAM协议功能。
在二层以太网接口上开启L2PT功能后,当该接口收到用户网络的LACP、EOAM协议报文时,由于该接口所在设备会在用户侧和网络侧组播发送该报文,本设备其他用户侧接口会发出该LACP、EOAM协议报文,到达对端设备的Tunnel报文也会被还原为相应的协议报文从各用户侧接口组播发送,可能不满足接口间的LACP、EOAM协议报文的点对点传输要求,此时需要通过其他配置(比如VLAN配置)来保证接口之间LACP、EOAM协议报文的点对点传输。
表1-2 在二层以太网接口视图下开启L2PT功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
开启指定协议的L2PT功能 |
l2protocol { cdp | dldp | eoam | gvrp | lacp | lldp | mvrp | pagp | pvst | stp | udld | vtp } tunnel dot1q |
缺省情况下,各协议的L2PT功能均处于关闭状态 |
表1-3 在二层聚合接口视图下开启L2PT功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层聚合接口视图 |
interface bridge-aggregation interface-type interface-number |
- |
开启指定协议的L2PT功能 |
l2protocol { cdp | gvrp | lacp | lldp | mvrp | pagp | pvst | stp | udld | vtp } tunnel dot1q |
缺省情况下,各协议的L2PT功能均处于关闭状态 |
Tunnel报文的缺省组播目的MAC地址为010f-e200-0003,用户可以根据需要将其修改为0100-0ccd-cdd0、0100-0ccd-cdd1或0100-0ccd-cdd2。
表1-4 配置Tunnel报文的组播目的MAC地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Tunnel报文的组播目的MAC地址 |
l2protocol tunnel-dmac mac-address |
缺省情况下,Tunnel报文的组播目的MAC地址为010f-e200-0003 |
· 同一用户网络对应的运营商网络边缘设备上配置的Tunnel报文的组播目的MAC地址必须一致,否则这些边缘设备将无法正确识别Tunnel报文。
· 建议不同的用户网络对应的运营商网络边缘设备使用不同的Tunnel报文组播目的MAC地址,避免某用户网络的报文被转发到另一用户网络。
在完成上述配置后,在任意视图下执行display命令可以显示L2PT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除L2PT的信息。
表1-5 L2PT显示和维护
操作 |
命令 |
显示L2PT报文统计信息 |
display l2protocol statistics [ interface interface-type interface-number ] |
清除L2PT报文的统计信息 |
reset l2protocol statistics [ interface interface-type interface-number ] |
· CE 1和CE 2为用户A的处于不同地域的边缘设备,PE 1和PE 2为运营商网络的边缘设备。其中,CE 1的桥MAC地址为00e0-fc02-5800,CE 2的桥MAC地址为00e0-fc02-5802。
· PE与CE间相连的接口均为属于VLAN 2的Access接口;而运营商网络中各设备间相连的接口均为Trunk类型,并允许所有VLAN的报文通过。
· 用户A的网络中已启用MSTP功能,要求通过配置使CE 1和 CE 2可以跨越运营商网络进行统一的生成树计算,其中Tunnel报文的组播目的MAC地址为0100-0ccd-cdd0。
图1-4 STP协议L2PT配置组网图
(1) 配置PE 1
# 配置L2PT组播目的MAC地址为0100-0ccd-cdd0。
<PE1> system-view
[PE1] l2protocol tunnel-dmac 0100-0ccd-cdd0
# 创建VLAN 2。
[PE1] vlan 2
[PE1-vlan2] quit
# 配置接口GigabitEthernet1/0/1使用VLAN 2对用户报文进行传输。
[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port access vlan 2
# 在接口GigabitEthernet1/0/1上关闭STP协议,并开启STP协议的L2PT功能。
[PE1-GigabitEthernet1/0/1] undo stp enable
[PE1-GigabitEthernet1/0/1] l2protocol stp tunnel dot1q
[PE1-GigabitEthernet1/0/1] quit
# 为了使发往网络侧的报文保留用户的VLAN Tag,配置网络侧接口GigabitEthernet1/0/2为Trunk类型,并允许所有VLAN通过。
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] port link-type trunk
[PE1-GigabitEthernet1/0/2] port trunk permit vlan all
[PE1-GigabitEthernet1/0/2] quit
(2) 配置PE 2
PE 2上的配置与PE 1上的配置相同,不再赘述。
用户A网络中的MSTP采用缺省配置。
# 在CE 2上显示生成树的根桥信息。
<CE2> display stp root
MST ID Root Bridge ID ExtPathCost IntPathCost Root Port
0 32768.00e0-fc02-5800 0 0
从显示信息可以看出,CE 2上生成树的根桥为CE 1,说明CE 2参与了生成树计算,STP报文透传成功。
# 在PE 1上显示生成树的根桥信息。
[PE1] display stp root
MST ID Root Bridge ID ExtPathCost IntPathCost Root Port
0 32768.0cda-41c5-ba50 0 0
从显示信息可以看出,PE 1上生成树的根桥不为CE 1,说明运营商网络未参与CE 1和CE 2所在的生成树的计算。
· CE 1和CE 2为用户A的处于不同地域网络的边缘设备,PE 1和PE 2为运营商网络的边缘设备。其中,CE 1的桥MAC地址为0001-0000-0000,CE 2的桥MAC地址为0004-0000-0000。
· 在CE 1和CE 2上分别配置以太网链路聚合功能,并要求实现CE 1和CE 2可以跨越运营商网络进行链路聚合。其中,CE 1的接口GigabitEthernet1/0/1、GigabitEthernet1/0/2分别与CE 2的接口GigabitEthernet1/0/1、GigabitEthernet1/0/2组成链路。
图1-5 LACP协议L2PT配置组网图
运营商网络为用户A分配的VLAN为VLAN 2和VLAN 3。
为保证以太网链路聚合功能的正常工作,需通过配置VLAN保证聚合成员口之间点对点通讯:配置PE上与CE相连的接口为Trunk类型,PE上接口GigabitEthernet1/0/1的PVID为2,不允许VLAN 3通过,接口GigabitEthernet1/0/2的PVID为3,不允许VLAN 2通过。
同时,因为CE向PE发送的报文可能携带私网VLAN Tag(本例中用户VLAN均为VLAN 1),为使PE向CE发送的报文保留私网VLAN Tag且不被修改,需要在PE的接口GigabitEthernet1/0/1和GigabitEthernet1/0/2上开启QinQ功能,运营商网络中各设备间相连的接口均为Trunk类型,并允许所有VLAN通过。
(1) 配置CE 1
# 配置CE 1的接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入动态聚合口Bridge-Aggregation1。
<CE1> system-view
[CE1] interface bridge-aggregation 1
[CE1-Bridge-Aggregation1] port link-type access
[CE1-Bridge-Aggregation1] link-aggregation mode dynamic
[CE1-Bridge-Aggregation1] quit
[CE1] interface gigabitethernet 1/0/1
[CE1-GigabitEthernet1/0/1] port link-aggregation group 1
[CE1-GigabitEthernet1/0/1] quit
[CE1] interface gigabitethernet 1/0/2
[CE1-GigabitEthernet1/0/2] port link-aggregation group 1
[CE1-GigabitEthernet1/0/2] quit
(2) 配置CE 2
CE 2上的配置与CE 1上的配置相同,不再赘述。
(3) 配置PE 1
# 创建VLAN 2、VLAN 3。
<PE1> system-view
[PE1] vlan 2
[PE1-vlan2] quit
[PE1] vlan 3
[PE1-vlan3] quit
# 配置接口GigabitEthernet1/0/1为Trunk类型,缺省VLAN为2,并开启QinQ功能。
[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port link-mode bridge
[PE1-GigabitEthernet1/0/1] port link-type trunk
[PE1-GigabitEthernet1/0/1] port trunk permit vlan 2
[PE1-GigabitEthernet1/0/1] port trunk pvid vlan 2
[PE1-GigabitEthernet1/0/1] qinq enable
# 在接口GigabitEthernet1/0/1上开启LACP协议的L2PT功能。
[PE1-GigabitEthernet1/0/1] l2protocol lacp tunnel dot1q
[PE1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2为Trunk类型,缺省VLAN为3,并开启QinQ功能。
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] port link-mode bridge
[PE1-GigabitEthernet1/0/2] port link-type trunk
[PE1-GigabitEthernet1/0/2] port trunk permit vlan 3
[PE1-GigabitEthernet1/0/2] port trunk pvid vlan 3
[PE1-GigabitEthernet1/0/2] qinq enable
# 在接口GigabitEthernet1/0/2上开启LACP协议的L2PT功能。
[PE1-GigabitEthernet1/0/2] l2protocol lacp tunnel dot1q
[PE1-GigabitEthernet1/0/2] quit
(4) 配置PE 2
PE 2上的配置与PE 1上的配置相同,不再赘述。
# 在CE 1上显示成员端口上链路聚合的详细信息。
[CE1] display link-aggregation member-port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
GigabitEthernet1/0/1:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0004-0000-0000
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 23 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 26 packet(s)
GigabitEthernet1/0/2:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0004-0000-0000
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 10 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 13 packet(s)
# 在CE 2上显示成员端口上链路聚合的详细信息。
[CE2] display link-aggregation member-port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
GigabitEthernet1/0/1:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0001-0000-0000
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 23 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 26 packet(s)
GigabitEthernet1/0/2:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0001-0000-0000
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 10 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 13 packet(s)
从显示信息可以看出,CE 1与CE 2跨越运营商网络进行链路聚合成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!