04-VLAN终结配置
本章节下载: 04-VLAN终结配置 (205.23 KB)
目 录
VLAN终结是指对接收到的报文,按照报文携带的VLAN Tag信息匹配对应的接口后,去除报文VLAN Tag,再将报文进行三层转发或交由其他业务处理。转发出去的报文是否带有VLAN Tag由出接口决定,对从配置了VLAN终结的接口发送的报文,按照该接口上的终结配置,将相应的VLAN Tag添加到报文中后发送该报文。
根据对所终结的报文的不同处理方式,VLAN终结分为以下三种:
· Dot1q终结:用来终结带有一层及以上VLAN Tag的报文(要求最外层VLAN ID必须匹配配置值),从配置了Dot1q终结的接口发送的报文,都添加一层VLAN Tag。
· Untagged终结:用来终结收到的不带VLAN Tag的报文,从配置了Untagged终结的接口发送的报文,都不添加VLAN Tag。
· Default终结:用来终结同一主接口上其他子接口上无法处理的报文,从配置了Default终结的接口发送的报文,都不添加VLAN Tag。
划分VLAN后,不同VLAN间的主机不能直接通信,使用三层路由技术可以实现所有VLAN间报文的互通。此时如果要对互通的VLAN范围做限制,即要求只有指定的部分VLAN间可以互通,可以借助VLAN终结功能来实现。目前可以通过子接口实现指定VLAN间的互通。
如下图所示,Host A属于VLAN 2,Host B属于VLAN 3,将Host A的网关地址指定为1.1.1.1/24,Host B的网关地址指定为1.1.2.1/24,就可以通过在三层以太网子接口GigabitEthernet1/0/1.1和GigabitEthernet1/0/2.1上配置VLAN终结来实现Host A和Host B之间的互通了。
图1-1 VLAN终结用于不同VLAN之间互通
· 如果要在开启了Portal认证功能的接口上更改VLAN终结方式,必须先把该接口的在线Portal用户全部下线,否则会导致这些在线Portal用户无法正常下线也无法重新认证上线。有关Portal的介绍,请参见“安全配置指导”中的“Portal”。
· 主接口本身不能对VLAN报文做终结处理,在主接口创建子接口后,由子接口来处理。
· 子接口(例如三层以太网子接口/三层聚合子接口/以太网冗余子接口)可以终结匹配最外层VLAN ID的报文或匹配最外两层VLAN ID的报文。
· 在三层以太网子接口/三层聚合子接口视图下修改已有的VLAN终结配置后,该子接口会down/up一次,设备ARP表中与该子接口相关的动态表项也会被全部删除。
· 配置VLAN终结后,设备对收到的报文按照如下优先级顺序匹配接口:
¡ 配置Dot1q终结或者缺省支持Dot1q终结的子接口
¡ 配置Untagged终结的子接口
¡ 配置Default终结的子接口
¡ 主接口
需要注意的是:当主接口的某个子接口配置了Default终结时,报文只能由主接口下的子接口处理,而不会匹配到主接口。
表1-1 VLAN终结配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置Dot1q终结 |
配置明确的Dot1q终结 |
请根据设备的支持情况选择一种方式 |
|
配置模糊的Dot1q终结 |
|||
配置Untagged终结 |
|||
配置Default终结 |
|||
配置VLAN终结支持广播/组播 |
可选 |
||
配置VLAN Tag的TPID值 |
可选 |
根据每个子接口所能终结的VLAN报文中最外层VLAN ID范围的不同,Dot1q终结分为:
· 明确的Dot1q终结:只允许接收最外层VLAN ID为指定值的VLAN报文,其他VLAN报文则不允许通过该子接口。收到报文后,将报文最外层VLAN Tag剥离。发送报文时,给报文添加一层VLAN Tag,VLAN ID为指定值。
· 模糊的Dot1q终结:只允许接收最外层VLAN ID在指定范围内的VLAN报文,不属于该范围的VLAN报文则不允许通过该子接口。收到报文后,将报文最外层VLAN Tag剥离。发送报文时,会给报文添加一层VLAN Tag,VLAN ID字段取值为:对于PPPoE报文,通过查找PPPoE会话表项获取相应的VLAN ID;对于DHCP Relay转发的DHCP Server端报文,通过查找DHCP会话表项获取相应的VLAN ID。
表1-2 配置明确的Dot1q终结
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
三层以太网子接口视图 |
interface interface-type interface-number.subnumber |
- |
三层聚合子接口视图 |
interface route-aggregation interface-number.subnumber |
||
以太网冗余子接口视图 |
interface reth interface-number.subnumber |
||
开启当前接口的Dot1q终结功能,并指定当前子接口能够终结的VLAN报文最外层VLAN ID |
vlan-type dot1q vid vlan-id |
表1-3 配置模糊的Dot1q终结
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
三层以太网子接口视图 |
interface interface-type interface-number.subnumber |
- |
三层聚合子接口视图 |
interface route-aggregation interface-number.subnumber |
||
以太网冗余子接口视图 |
interface reth interface-number.subnumber |
||
开启当前接口的Dot1q终结功能,并指定当前子接口能够终结的VLAN报文的最外层VLAN ID范围 |
vlan-type dot1q vid vlan-id-list |
缺省情况下,未开启接口的Dot1q终结功能 |
表1-4 配置Untagged终结
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
三层以太网子接口视图 |
interface interface-type interface-number.subnumber |
- |
三层聚合子接口视图 |
interface route-aggregation interface-number.subnumber |
||
以太网冗余子接口视图 |
interface reth interface-number.subnumber |
||
开启当前接口的Untagged终结功能,使当前接口可以处理不带VLAN Tag的报文 |
vlan-type dot1q untagged |
表1-5 配置Default终结
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
三层以太网子接口视图 |
interface interface-type interface-number.subnumber |
- |
三层聚合子接口视图 |
interface route-aggregation interface-number.subnumber |
||
以太网冗余子接口视图 |
interface reth interface-number.subnumber |
||
开启当前接口的Default终结功能,使当前接口可以处理其他子接口都无法处理的报文 |
vlan-type dot1q default |
缺省情况下,未开启接口的Default终结功能 |
当接口下配置了模糊的Dot1q终结功能后,不允许发送广播、组播报文。只有配置了VLAN终结支持广播/组播功能,这些接口才能发送广播/组播报文。
IPv6网络中,当接口下配置了模糊的Dot1q终结功能后,建议配置vlan-termination broadcast ra命令,以允许接口遍历模糊终结的范围发送RA(Router Advertisement,路由器通告消息)组播报文,其他类型的广播/组播报文则不允许发送。该命令与vlan-termination broadcast enable命令相比,能有效减少设备CPU负担。
表1-6 配置VLAN终结支持广播/组播
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
三层以太网子接口视图 |
interface interface-type interface-number.subnumber |
- |
三层聚合子接口视图 |
interface route-aggregation interface-number.subnumber |
||
以太网冗余子接口视图 |
interface reth interface-number.subnumber |
||
配置允许当前接口发送广播/组播报文 |
允许接口发送广播和组播报文 |
vlan-termination broadcast enable |
二者选其一 缺省情况下,当前接口配置了模糊的Dot1q终结功能后,不允许发送广播、组播报文 |
允许接口发送RA组播报文(IPv6环境) |
vlan-termination broadcast ra |
在子接口上使用VLAN终结功能时,可以通过以下配置指定接口接收和发送报文的最外层VLAN Tag的TPID值。在配置TPID值后,当接收报文时,只有报文最外层VLAN Tag的TPID值为0x8100或者指定值的报文才会作为VLAN报文来处理;发送报文时,会给报文最外层VLAN Tag的TPID值填入指定值,如果报文带有两层及以上VLAN Tag,则给报文其他层VLAN Tag的TPID值都填入0x8100。
表1-7 配置VLAN Tag的TPID值
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
三层以太网接口视图 |
interface interface-type interface-number |
在三层以太网接口、三层聚合接口或以太网冗余接口视图下配置,会对相应接口的所有子接口生效 |
三层聚合接口视图 |
interface route-aggregation interface-number |
||
以太网冗余接口视图 |
interface reth interface-number |
||
配置当前接口接收和发送的报文最外层VLAN Tag的TPID值 |
dot1q ethernet-type hex-value |
缺省情况下,当前接口接收和发送的报文最外层VLAN Tag的TPID值均为0x8100 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!