15-L2PT配置
本章节下载: 15-L2PT配置 (324.01 KB)
L2PT(Layer 2 Protocol Tunneling,二层协议隧道)是一种二层协议报文处理技术,它可以使位于不同地域的用户网络的二层协议报文,通过运营商网络内的指定通道进行透明传输或被强制丢弃。
如图1-1所示,用户A拥有属于相同VLAN的两个分支网络(分别为网络1和网络2),两个分支网络通过运营商网络相连接。当网络1和网络2中共同运行某种二层协议(如生成树协议)时,要求网络1和网络2中的二层协议报文能够穿越运营商网络,以完成二层协议的计算(如生成树的计算),但是当CE(Customer Edge,用户网络边缘)设备发送的二层协议报文到达PE(Provider Edge,服务提供商网络边缘)设备时,由于PE不区分该报文来自用户网络还是运营商网络,都会将该报文上送CPU进行处理。这样,用户网络与运营商网络的二层协议计算将相互影响,用户网络无法独立完成二层协议的计算。
图1-1 L2PT应用环境
为了解决上述问题,就要求在运营商网络中能够透传用户网络的二层协议报文。利用L2PT功能,即可实现上述要求。
L2PT功能具有如下作用:
· 对用户网络的二层协议报文进行透明传输:可以使同一个用户网络的二层协议报文在运营商网络内指定的VLAN进行组播发送,使不同地域的同一个用户网络可以跨越运营商网络进行统一协议计算。
· 由于不同用户网络的二层协议报文在运营商网络的不同VLAN中进行组播发送,所以不同用户网络的二层协议报文相互隔离,可以独立计算。
目前,支持以下协议的L2PT功能:
· CDP(Cisco Discovery Protocol,思科发现协议)
· DLDP(Device Link Detection Protocol,设备链路检测协议)
· EOAM(Ethernet Operation, Administration and Maintenance,以太网操作、管理和维护)
· GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)
· LACP(Link Aggregation Control Protocol,链路聚合控制协议)
· LLDP(Link Layer Discovery Protocol,链路层发现协议)
· MVRP(Multiple VLAN Registration Protocol,多VLAN注册协议)
· PAGP(Port Aggregation Protocol,端口聚合协议)
· PVST(Per-VLAN Spanning Tree,每VLAN生成树)
· STP(Spanning Tree Protocol,生成树协议)
· UDLD(Unidirectional Link Detection,单向链路检测协议)
· VTP(VLAN Trunking Protocol,VLAN中继协议)
· 用户自定义二层协议
本文中的STP包括STP、RSTP和MSTP。
如图1-2所示,L2PT报文转发过程如下:
(1) PE 1在用户侧收到二层协议报文后,将同时向网络侧及用户侧转发该报文。一方面,PE 1直接向其用户侧除报文接收口以外的其他所有同一VLAN的接口组播发送该报文;另一方面,PE 1为该报文封装指定的组播MAC地址,然后将封装后的报文在其网络侧所有同一VLAN的接口进行组播发送,封装后的报文又称为BPDU Tunnel报文。
(2) PE 2在网络侧收到Tunnel报文后,将同时向网络侧及用户侧转发该报文。一方面,PE 2直接向其网络侧除报文接收口以外其他所有同一VLAN的接口组播发送该报文;另一方面,PE 2对该报文解封装,然后将解封装后的报文在其用户侧所有同一VLAN的接口进行组播发送。
图1-2 L2PT报文转发
下面以STP为例具体介绍L2PT实现过程。
图1-3 L2PT组网示意图
如图1-3所示,通过在运营商网络两端的边缘设备PE 1和PE 2上配置L2PT功能,可实现网络1和网络2之间的BPDU(Bridge Protocol Data Unit,网桥协议数据单元)报文在运营商网络中的透明传输,且用户网络和运营商网络的生成树各自独立计算生成。举例来说,假设BPDU报文由网络1发往网络2:
(1) 在运营商网络输入端,PE 1为来自CE 1的BPDU报文封装特殊的组播MAC地址(缺省为010f-e200-0003)。在运营商网络中,修改后的Tunnel报文被当作数据报文在用户所属的VLAN中进行转发。
(2) 在运营商网络输出端,PE 2收到目的MAC地址为010f-e200-0003的Tunnel报文后,对其解封装,然后将解封装后的BPDU报文转发给CE 2。
通过L2PT,实现了运行STP功能的用户网络和运营商网络拥有各自的生成树,互不干扰。
L2PT配置任务如下:
· (可选)配置L2PT功能的用户自定义二层协议
· 开启L2PT功能
本功能仅适用于用户侧接口。
· (可选)配置Tunnel报文的组播目的MAC地址
· (可选)配置指定协议在开启了L2PT功能接口上透传的最大速率
当需要在运营商网络中透传特定类型的二层协议报文时,可配置本功能,通过协议名称、报文封装类型、报文目的MAC地址等信息定义需要被透传的二层协议。
用户自定义的协议有三种报文封装类型,分别为EthernetII封装、SNAP封装和LLC封装。其中EthernetII封装和SNAP封装使用目的MAC地址以及以太封装类型值进行匹配;LLC封装使用目的MAC地址、目的服务接入点以及源服务接入点进行匹配。
配置需要透传的自定义二层协议时,需要注意:
· 指定的自定义二层协议的名称不能与设备已支持L2PT功能的其他协议相同。
· 指定的目的组播MAC地址不能与其他协议已定义的组播目的MAC地址相同。
· 不能指定仅名称不同,其他匹配规则均相同的多个自定义二层协议。
· 最多可配置20个需要透传的自定义二层协议。
· 不能通过重复执行protocol-name相同、其他参数不同的l2protocol user-defined命令,来修改已配置的用户自定义二层协议。只能先删除对应用户自定义二层协议,再重新配置。
· 指定的自定义二层协议的名称只能由大小写字母以及下划线组成。
· 指定的目的组播MAC地址取值范围是0180-c200-0000~0180-c200-0013、0180-c200-0016~0180-c200-002f、010f-e200-0001、0100-0ccc-cccc和0100-0ccc-cccd。
· 如果协议报文同时匹配上用户自定义的二层协议的匹配规则和系统协议(如STP,LACP等),由于用户自定义的二层协议优先级较低,目的端网络侧接口会将目的MAC地址还原为协议报文指定的MAC。
(1) 进入系统视图。
system-view
(2) 配置用户自定义二层协议。
l2protocol user-defined protocol-name protocol-mac protocol-mac [ encap-type { { ethernetii | snap } protocol-type protocol-type-value | llc dsap dsap-value ssap ssap-value } ]
缺省情况下,未配置用户自定义二层协议。
· 在接口上开启某协议的L2PT功能时,对应的CE上应启用该协议,同时当前接口必须关闭该协议。
· PE设备与运营商网络中间节点设备建立CDP邻居时,需要开启LLDP兼容CDP功能,由于该功能只能全局开启,用户侧接口不能单独关闭,此时PE上CDP协议的L2PT功能失效。如需CDP协议的L2PT功能在PE上生效,则必须使LLDP兼容CDP功能处于关闭状态,这将导致PE设备无法与运营商网络中间节点设备通过CDP协议进行通信。有关LLDP兼容CDP功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“LLDP”。
· 如果CE上与PE开启L2PT功能的接口相连的聚合接口上正在运行某协议(例如STP),则PE设备上对应的接口必须关闭该协议。
· L2PT功能仅需在PE设备的用户侧接口上开启。如果在网络侧接口上开启了L2PT功能,则会将该接口认为是用户侧接口。
· 保证携带VLAN Tag的用户网络二层协议报文在运营商网络传输过程中,其VLAN Tag不被改变或删除,否则运营商网络将无法正确透传该用户网络的二层协议报文。
对于LLDP,L2PT功能只支持Nearest Bridge(最近桥代理)类型代理发送的LLDP报文。
在二层聚合组的成员端口上配置L2PT功能不生效。
不能在业务环回组的成员端口上开启L2PT功能。
LACP、EOAM要求接口间的LACP、EOAM协议报文必须是点对点传输(即两台设备间,一端接口发出的LACP、EOAM协议报文只能到达对端设备接收侧的一个接口),否则会影响LACP、EOAM协议功能。
在二层以太网接口上开启L2PT功能后,当该接口收到用户网络的LACP、EOAM协议报文时,由于该接口所在设备会在用户侧和网络侧组播发送该报文,本设备其他用户侧接口会发出该LACP、EOAM协议报文,到达对端设备的Tunnel报文也会被还原为相应的协议报文从各用户侧接口组播发送,可能不满足接口间的LACP、EOAM协议报文的点对点传输要求,此时需要通过其他配置(比如VLAN配置)来保证接口之间LACP、EOAM协议报文的点对点传输。
(1) 进入系统视图。
system-view
(2) 进入二层以太网接口视图。
interface interface-type interface-number
(3) 开启指定协议的L2PT功能。
l2protocol { cdp | dldp | eoam | gvrp | lacp | lldp | mvrp | pagp | pvst | stp | udld | user-defined protocol-name | vtp } tunnel dot1q
缺省情况下,各协议的L2PT功能均处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 开启指定协议的L2PT功能。
l2protocol {cdp gvrp | lacp | lldp | mvrp | pagp | pvst | stp | udld | user-defined protocol-name | vtp } tunnel dot1q
缺省情况下,各协议的L2PT功能均处于关闭状态。
Tunnel报文的缺省组播目的MAC地址为010f-e200-0003,用户可以根据需要修改Tunnel报文的组播目的MAC地址。
对于同一协议,同一用户网络对应的运营商网络边缘设备上配置的Tunnel报文的组播目的MAC地址必须一致,否则这些边缘设备将无法正确识别Tunnel报文。
建议不同的用户网络对应的运营商网络边缘设备使用不同的Tunnel报文组播目的MAC地址,避免某用户网络的报文被转发到另一用户网络。
(1) 进入系统视图。
system-view
(2) 配置所有协议的Tunnel报文的组播目的MAC地址。
l2protocol tunnel-dmac mac-address
缺省情况下,所有协议的Tunnel报文的组播目的MAC地址均为010f-e200-0003。
用户侧协议报文较多时,开启L2PT功能的接口带宽资源可能被少数几种协议占满,导致其他协议的报文拥塞、无法被透传。通过配置本命令限制各个协议的报文在透传时的最大速率,可以方便用户规划各协议占用带宽的比例,更充分地利用接口的带宽资源。
(1) 进入系统视图。
system-view
(2) 进入二层以太网接口视图或二层聚合接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置指定协议在开启了L2PT功能接口上透传的最大速率。
¡ 二层以太网接口视图下:
l2protocol rate-limit rate [ cdp | dldp | eoam | gvrp | lacp | lldp | mvrp | pagp | pvst | stp | udld | user-defined protocol-name | vtp ]
¡ 二层聚合接口视图下:
l2protocol rate-limit rate [ cdp gvrp | lacp | lldp | mvrp | pagp | pvst | stp | udld | user-defined protocol-name | vtp ]
缺省情况下,设备对各协议的L2PT透传均不进行限速。
未指定任何参数时,表示同时配置所有协议的L2PT透传最大速率。
在完成上述配置后,在任意视图下执行display命令可以显示L2PT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除L2PT的信息。
表1-1 L2PT显示和维护
操作 |
命令 |
显示L2PT报文统计信息 |
display l2protocol statistics [ interface interface-type interface-number ] |
清除L2PT报文的统计信息 |
reset l2protocol statistics [ interface interface-type interface-number ] |
· CE 1和CE 2为用户A的处于不同地域的边缘设备,PE 1和PE 2为运营商网络的边缘设备。其中,CE 1的桥MAC地址为00e0-fc02-5800,CE 2的桥MAC地址为00e0-fc02-5802。
· PE与CE间相连的接口均为属于VLAN 2的Access接口;而运营商网络中各设备间相连的接口均为Trunk类型,并允许所有VLAN的报文通过。
· 用户A的网络中已启用MSTP功能,要求通过配置使CE 1和 CE 2可以跨越运营商网络进行统一的生成树计算,其中Tunnel报文的组播目的MAC地址为0100-0ccd-cdd0。
图1-4 STP协议L2PT配置组网图
(1) 配置PE 1
# 配置L2PT组播目的MAC地址为0100-0ccd-cdd0。
<PE1> system-view
[PE1] l2protocol tunnel-dmac 0100-0ccd-cdd0
# 创建VLAN 2。
[PE1] vlan 2
[PE1-vlan2] quit
# 配置接口Twenty-FiveGigE1/0/1使用VLAN 2对用户报文进行传输。
[PE1] interface twenty-fivegige 1/0/1
[PE1-Twenty-FiveGigE1/0/1] port access vlan 2
# 在接口Twenty-FiveGigE1/0/1上关闭STP协议,并开启STP协议的L2PT功能。
[PE1-Twenty-FiveGigE1/0/1] undo stp enable
[PE1-Twenty-FiveGigE1/0/1] l2protocol stp tunnel dot1q
[PE1-Twenty-FiveGigE1/0/1] quit
# 为了使发往网络侧的报文保留用户的VLAN Tag,配置网络侧接口Twenty-FiveGigE1/0/2为Trunk类型,并允许所有VLAN通过。
[PE1] interface twenty-fivegige 1/0/2
[PE1-Twenty-FiveGigE1/0/2] port link-type trunk
[PE1-Twenty-FiveGigE1/0/2] port trunk permit vlan all
[PE1-Twenty-FiveGigE1/0/2] quit
(2) 配置PE 2
PE 2上的配置与PE 1上的配置相同,不再赘述。
用户A网络中的MSTP采用缺省配置。
# 在CE 2上显示生成树的根桥信息。
<CE2> display stp root
MST ID Root Bridge ID ExtPathCost IntPathCost Root Port
0 32768.00e0-fc02-5800 0 0
从显示信息可以看出,CE 2上生成树的根桥为CE 1,说明CE 2参与了生成树计算,STP报文透传成功。
# 在PE 1上显示生成树的根桥信息。
[PE1] display stp root
MST ID Root Bridge ID ExtPathCost IntPathCost Root Port
0 32768.0cda-41c5-ba50 0 0
从显示信息可以看出,PE 1上生成树的根桥不为CE 1,说明运营商网络未参与CE 1和CE 2所在的生成树的计算。
· CE 1和CE 2为用户A的处于不同地域网络的边缘设备,PE 1和PE 2为运营商网络的边缘设备。其中,CE 1的桥MAC地址为0001-0000-0000,CE 2的桥MAC地址为0004-0000-0000。
· 在CE 1和CE 2上分别配置以太网链路聚合功能,并要求实现CE 1和CE 2可以跨越运营商网络进行链路聚合。其中,CE 1的接口Twenty-FiveGigE1/0/1、Twenty-FiveGigE1/0/2分别与CE 2的接口Twenty-FiveGigE1/0/1、Twenty-FiveGigE1/0/2组成链路。
图1-5 LACP协议L2PT配置组网图
运营商网络为用户A分配的VLAN为VLAN 2和VLAN 3。
为保证以太网链路聚合功能的正常工作,需通过配置VLAN保证聚合成员口之间点对点通信:配置PE上与CE相连的接口为Trunk类型,PE上接口Twenty-FiveGigE1/0/1的PVID为2,不允许VLAN 3通过,接口Twenty-FiveGigE1/0/2的PVID为3,不允许VLAN 2通过。
同时,因为CE向PE发送的报文可能携带私网VLAN Tag(本例中用户VLAN均为VLAN 1),为使PE向CE发送的报文保留私网VLAN Tag且不被修改,需要在PE的接口Twenty-FiveGigE1/0/1和Twenty-FiveGigE1/0/2上开启QinQ功能,运营商网络中各设备间相连的接口均为Trunk类型,并允许所有VLAN通过。
(1) 配置CE 1
# 配置CE 1的接口Twenty-FiveGigE1/0/1和Twenty-FiveGigE1/0/2加入动态聚合口Bridge-Aggregation1。
<CE1> system-view
[CE1] interface bridge-aggregation 1
[CE1-Bridge-Aggregation1] port link-type access
[CE1-Bridge-Aggregation1] link-aggregation mode dynamic
[CE1-Bridge-Aggregation1] quit
[CE1] interface twenty-fivegige 1/0/1
[CE1-Twenty-FiveGigE1/0/1] port link-aggregation group 1
[CE1-Twenty-FiveGigE1/0/1] quit
[CE1] interface twenty-fivegige 1/0/2
[CE1-Twenty-FiveGigE1/0/2] port link-aggregation group 1
[CE1-Twenty-FiveGigE1/0/2] quit
(2) 配置CE 2
CE 2上的配置与CE 1上的配置相同,不再赘述。
(3) 配置PE 1
# 创建VLAN 2、VLAN 3。
<PE1> system-view
[PE1] vlan 2
[PE1-vlan2] quit
[PE1] vlan 3
[PE1-vlan3] quit
# 配置接口Twenty-FiveGigE1/0/1为Trunk类型,缺省VLAN为2,并开启QinQ功能。
[PE1] interface twenty-fivegige 1/0/1
[PE1-Twenty-FiveGigE1/0/1] port link-mode bridge
[PE1-Twenty-FiveGigE1/0/1] port link-type trunk
[PE1-Twenty-FiveGigE1/0/1] port trunk permit vlan 2
[PE1-Twenty-FiveGigE1/0/1] port trunk pvid vlan 2
[PE1-Twenty-FiveGigE1/0/1] qinq enable
# 在接口Twenty-FiveGigE1/0/1上开启LACP协议的L2PT功能。
[PE1-Twenty-FiveGigE1/0/1] l2protocol lacp tunnel dot1q
[PE1-Twenty-FiveGigE1/0/1] quit
# 配置接口Twenty-FiveGigE1/0/2为Trunk类型,缺省VLAN为3,并开启QinQ功能。
[PE1] interface twenty-fivegige 1/0/2
[PE1-Twenty-FiveGigE1/0/2] port link-mode bridge
[PE1-Twenty-FiveGigE1/0/2] port link-type trunk
[PE1-Twenty-FiveGigE1/0/2] port trunk permit vlan 3
[PE1-Twenty-FiveGigE1/0/2] port trunk pvid vlan 3
[PE1-Twenty-FiveGigE1/0/2] qinq enable
# 在接口Twenty-FiveGigE1/0/2上开启LACP协议的L2PT功能。
[PE1-Twenty-FiveGigE1/0/2] l2protocol lacp tunnel dot1q
[PE1-Twenty-FiveGigE1/0/2] quit
(4) 配置PE 2
PE 2上的配置与PE 1上的配置相同,不再赘述。
# 在CE 1上显示成员端口上链路聚合的详细信息。
[CE1] display link-aggregation member-port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Twenty-FiveGigE1/0/1:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0004-0000-0000
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 23 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 26 packet(s)
Twenty-FiveGigE1/0/2:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0004-0000-0000
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 10 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 13 packet(s)
# 在CE 2上显示成员端口上链路聚合的详细信息。
[CE2] display link-aggregation member-port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Twenty-FiveGigE1/0/1:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0001-0000-0000
Port Number: 3
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 23 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 26 packet(s)
Twenty-FiveGigE1/0/2:
Aggregate Interface: Bridge-Aggregation1
Local:
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Remote:
System ID: 0x8000, 0001-0000-0000
Port Number: 4
Port Priority: 32768
Oper-Key: 1
Flag: {ACDEF}
Received LACP Packets: 10 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 13 packet(s)
从显示信息可以看出,CE 1与CE 2跨越运营商网络进行链路聚合成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!