43-VLAN Mapping典型配置指导
本章节下载 (179.17 KB)
VLAN Mapping也称为VLAN映射,其主要的功能是将用户报文中的私网VLAN Tag替换为公网的VLAN Tag,使其按照公网的网络规划进行传输。在报文被发送到对端用户私网时,再按照同样的规则将VLAN Tag恢复为原有的用户私网VLAN Tag,使报文正确到达目的地。
图1-1 VLAN Mapping典型组网示意图
用户两端的网络分别通过SwitchA和SwitchB接入公网,需要配置VLAN Mapping功能,使用户私网报文可以使用公网的VLAN规划进行传输。
l SwitchA的端口Ethernet1/0/11和Ethernet1/0/12分别连接用户的VLAN100和VLAN200内的终端设备;SwitchB的端口Ethernet1/0/15和Ethernet1/0/16分别连接用户VLAN100和VLAN200内的服务器。
l SwitchA的端口Ethernet1/0/10和SwitchB的端口Ethernet1/0/17分别在公网两端将用户网络接入公共网络。
l 要求用户的VLAN100和VLAN200的报文在公网上传输时,分别使用VLAN500和VLAN600作为报文的VLAN标识。
目前低端系列以太网交换机不同系列,实现VLAN Mapping功能的方式有所不同,具体分为两大类:
通过引用ACL进行流识别,将匹配的报文中携带的VLAN编号映射为指定的VLAN编号。用户可以在连接用户网络和运营商网络的交换机上配置VLAN Mapping功能,将用户网络中特定报文的VLAN编号映射为运营商网络中指定的VLAN编号,满足运营商网络规划的要求。
表1-1 配置适用的交换机产品与软硬件版本关系(通过ACL进行流识别实现)
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
E152 |
Release 1500、Release 1602软件版本 |
E152 |
用户可以通过配置VLAN的映射规则,指定用户网络中待替换的VLAN编号以及替换后发送到运营商网络的VLAN编号,实现VLAN Mapping功能。
表1-2 配置适用的交换机产品与软硬件版本关系(通过手工配置VLAN间映射规则实现)
产品 |
软件版本 |
硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
# 在SwitchA上创建用户网络的VLAN100和VLAN200,以及公网的VLAN500和VLAN600。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] vlan 500
[SwitchA-vlan500] quit
[SwitchA] vlan 600
[SwitchA-vlan600] quit
# 配置SwitchA的端口Ethernet1/0/11为Trunk类型,缺省VLAN为VLAN100,允许通过VLAN有VLAN100和VLAN500。端口Ethernet1/0/12类似。
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] port link-type trunk
[SwitchA-Ethernet1/0/11] port trunk pvid vlan 100
[SwitchA-Ethernet1/0/11] port trunk permit vlan 100 500
[SwitchA-Ethernet1/0/11] quit
[SwitchA] interface Ethernet 1/0/12
[SwitchA-Ethernet1/0/12] port link-type trunk
[SwitchA-Ethernet1/0/12] port trunk pvid vlan 200
[SwitchA-Ethernet1/0/12] port trunk permit vlan 200 600
[SwitchA-Ethernet1/0/12] quit
# 配置SwitchA的Ethernet1/0/10端口为Trunk端口,允许VLAN100、VLAN200、VLAN500和VLAN600的报文通过。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link-type trunk
[SwitchA-Ethernet1/0/10] port trunk permit vlan 100 200 500 600
[SwitchA-Ethernet1/0/10] quit
# 配置二层ACL。其中,ACL4000允许来自VLAN100的报文通过,ACL4001允许来自VLAN200的报文通过,ACL4002允许来自VLAN500的报文通过,ACL4003允许来自VLAN600的报文通过。
[SwitchA] acl number 4000
[SwitchA-acl-ethernetframe-4000] rule permit source 100
[SwitchA] quit
[SwitchA] acl number 4001
[SwitchA-acl-ethernetframe-4001] rule permit source 200
[SwitchA] quit
[SwitchA] acl number 4002
[SwitchA-acl-ethernetframe-4002] rule permit source 500
[SwitchA] quit
[SwitchA] acl number 4003
[SwitchA-acl-ethernetframe-4003] rule permit source 600
[SwitchA] quit
# 配置Ethernet1/0/11端口的VLAN Mapping功能,将VLAN100的报文中的VLAN Tag替换为VLAN500。
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] traffic-remark-vlanid inbound link-group 4000 remark-vlan 500
[SwitchA-Ethernet1/0/11] quit
# 配置Ethernet1/0/12端口的VLAN Mapping功能,将VLAN200的报文中的VLAN Tag替换为VLAN600。
[SwitchA] interface Ethernet 1/0/12
[SwitchA-Ethernet1/0/12] traffic-remark-vlanid inbound link-group 4001 remark-vlan 600
[SwitchA-Ethernet1/0/12] quit
# 配置Ethernet1/0/10端口的VLAN Mapping功能,将VLAN500的报文中的VLAN Tag替换为VLAN100,将VLAN600的报文中的VLAN Tag替换为VLAN200。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] traffic-remark-vlanid inbound link-group 4002 remark-vlan 100
[SwitchA-Ethernet1/0/10] traffic-remark-vlanid inbound link-group 4003 remark-vlan 200
[SwitchA-Ethernet1/0/10] quit
公网对端的SwitchB上也需要做相同的VLAN Mapping映射规则,配置与SwitchA类似,这里不再赘述。
#
acl number 4000
rule 0 permit source 100
acl number 4001
rule 0 permit source 200
acl number 4002
rule 0 permit source 500
acl number 4003
rule 0 permit source 600
#
vlan 100
#
vlan 200
#
vlan 500
#
vlan 600
#
interface Ethernet1/0/10
port link-type trunk
port trunk permit vlan 1 100 200 500 600
traffic-remark-vlanid inbound link-group 4002 rule 0 remark-vlan 100
traffic-remark-vlanid inbound link-group 4003 rule 0 remark-vlan 200
#
interface Ethernet1/0/11
port link-type trunk
port trunk permit vlan 1 100 500
port trunk pvid vlan 100
traffic-remark-vlanid inbound link-group 4000 rule 0 remark-vlan 500
#
interface Ethernet1/0/12
port link-type trunk
port trunk permit vlan 1 200 600
port trunk pvid vlan 200
traffic-remark-vlanid inbound link-group 4001 rule 0 remark-vlan 600
& 说明:
S3100-EI及E126A交换机可以使用全局映射规则和端口映射规则来配置VLAN Mapping功能,下面以基于端口映射规则的VLAN Mapping配置为例描述配置步骤。
# 在SwitchA上创建用户网络的VLAN100和VLAN200,以及公网中的VLAN500和VLAN600。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] vlan 500
[SwitchA-vlan500] quit
[SwitchA] vlan 600
[SwitchA-vlan600] quit
# 由于SwitchA的Ethernet1/0/11需要接收用户VLAN的报文,同时还要转发运营商网络发来的报文,因此这两个端口需要配置为Trunk和Hybrid端口。下面以Hybrid端口为例,配置该端口允许VLAN100和VLAN500的报文携带VLAN Tag通过。
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] port link-type hybrid
[SwitchA-Ethernet1/0/11] port hybrid vlan 100 tagged
[SwitchA-Ethernet1/0/11] port hybrid vlan 500 tagged
[SwitchA-Ethernet1/0/11] quit
# 同理,配置端口Ethernet1/0/12以同样的方式加入VLAN200和VLAN600。
[SwitchA] interface Ethernet 1/0/12
[SwitchA-Ethernet1/0/12] port link-type hybrid
[SwitchA-Ethernet1/0/12] port hybrid vlan 200 tagged
[SwitchA-Ethernet1/0/12] port hybrid vlan 600 tagged
[SwitchA-Ethernet1/0/12] quit
& 说明:
l 如果将Ethernet1/0/11和Ethernet1/0/12端口设置成Trunk端口,同样需要将端口加入相应的用户VLAN和运营商VLAN。
l 以上举例中默认所有端口的缺省VLAN均为VLAN1,且端口允许VLAN1通过。如果用户更改了端口的缺省VLAN,则必须配置端口允许缺省VLAN通过。
# 配置SwitchA的Ethernet1/0/10端口为Trunk端口,同时可以传输VLAN500和VLAN600的报文。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link-type trunk
[SwitchA-Ethernet1/0/10] port trunk permit vlan 500 600
[SwitchA-Ethernet1/0/10] quit
# 配置Ethernet1/0/11端口的VLAN Mapping功能,将VLAN100的报文中的VLAN Tag替换为VLAN500。
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] vlan-mapping vlan 100 remark 500
[SwitchA-Ethernet1/0/11] quit
# 配置Ethernet1/0/12端口的VLAN Mapping功能,将VLAN200的报文中的VLAN Tag替换为VLAN600。
[SwitchA] interface Ethernet 1/0/12
[SwitchA-Ethernet1/0/12] vlan-mapping vlan 200 remark 600
经过以上配置,SwitchA接收到用户私网报文后,会自动将报文的VLAN Tag根据映射规则进行替换后发送到公网进行传输。为保证用户报文的正确交互,在公网对端的SwitchB上也需要做相同的VLAN Mapping映射规则,配置与SwitchA类似,这里不再赘述。
#
vlan 100
#
vlan 200
#
vlan 500
#
vlan 600
#
interface Ethernet1/0/10
poe enable
port link-type trunk
port trunk permit vlan 1 500 600
#
interface Ethernet1/0/11
poe enable
port link-type hybrid
port hybrid vlan 100 500 tagged
port hybrid vlan 1 untagged
vlan-mapping 100 remark 500
#
interface Ethernet1/0/12
poe enable
port link-type hybrid
port hybrid vlan 200 600 tagged
port hybrid vlan 1 untagged
vlan-mapping 200 remark 600
#
l 如果端口已经处在某个聚合组中,将不能开启该端口的VLAN Mapping功能。
l VLAN Mapping功能与协议VLAN功能不能同时配置。
l 在配置基于全局映射规则的VLAN Mapping功能时,开启当前端口的VLAN Mapping功能的操作将同时开启该端口的灵活QinQ功能。
l 基于全局映射规则的VLAN Mapping功能和基于端口映射规则的VLAN Mapping功能不能同时配置。
l 当VLAN Mapping功能与ARP入侵检测功能配合使用时,需要在原始VLAN和映射后的VLAN内同时开启ARP入侵检测功能,以保证该功能的正确实现。
l VLAN Mapping和IP过滤功能不能同时配置,关于IP过滤功能请参见 “DHCP典型配置指导”部分的介绍。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!