03-VLAN操作

本章节下载 (348.31 KB)

03-VLAN操作

第1章 VLAN配置

1.1 VLAN简介

1.1.1 VLAN概述

为了解决以太网交换机在LAN中无法限制广播的问题，出现了VLAN（Virtual Local Area Network，虚拟局域网）技术。

如图1-1所示，VLAN把一个物理上的LAN划分成多个逻辑的上的LAN，每个VLAN是一个广播域。VLAN内主机间的通信方式与在一个LAN内一样，而不同VLAN内的主机之间不能直接通信。

图1-1 VLAN组网应用示例

VLAN的组成不受物理位置的限制。一个VLAN可以在一个交换机内，也可以跨越交换机，甚至可以跨越路由器。同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理网段。

VLAN相比传统的LAN，具有如下优点：

(1) 广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

(2) 增强了LAN的安全性。VLAN间不能直接通信，即一个VLAN内的用户和其它VLAN内的用户不能直接通信，如果要访问需要通过路由器或三层交换机等三层设备。

(3) 减少了数据配置。用VLAN可以划分不同的用户到不同的虚拟工作组中，当用户的物理位置改变时，不需要改变其网络的配置。

IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。

1.1.2 VLAN的划分

按照划分方式的不同，VLAN可以划分为以下四类：

l 基于端口划分的VLAN

l 基于MAC地址划分的VLAN

l 基于网络层协议划分的VLAN

l 基于IP组播划分的VLAN

以上划分方式中，基于端口划分的VLAN是按照以太网交换机的端口来定义VLAN的成员，用户可以把经常需要通信的主机所在的端口划分到同一个VLAN中。这也是最为简单有效的划分方法。

& 说明：

目前，E126交换机仅支持基于端口划分的VLAN。

1.2 VLAN配置

1.2.1 VLAN的基本配置

表1-1 VLAN的基本配置

操作	命令	说明
进入系统视图	system-view	-
创建VLAN并进入VLAN视图	vlan vlan-id	必选 vlan-id的取值范围为1～4094
指定当前VLAN的名称	name text	可选缺省情况下，VLAN的名称为该VLAN的VLAN ID
指定当前VLAN的描述字符串	description text	可选缺省情况下，VLAN的描述字符串为该VLAN的VLAN ID

注意：

当使用vlan命令创建VLAN时，如果目标VLAN已经存在且是动态VLAN，将自动将其转换为静态VLAN，同时交换机会输出提示信息。

1.2.2 批量创建VLAN配置

表1-2 批量创建VLAN配置

操作	命令	说明
进入系统视图	system-view	-
批量创建多个VLAN	vlan { vlan-id1 to vlan-id2 \| all }	可选

1.2.3 配置基于端口的VLAN

1. 配置准备

配置基于端口的VLAN之前，首先需要创建VLAN。

2. 配置步骤

表1-3 配置基于端口的VLAN

配置	命令	说明
进入系统视图	system-view	-
创建VLAN并进入VLAN视图	vlan vlan-id	必选 vlan-id的取值范围为1～4094
为指定的VLAN增加以太网端口	port interface-list	必选缺省情况下，所有端口都已加入到系统缺省的VLAN中

注意：

以上命令只对Access端口有效。将Trunk端口和Hybrid端口加入VLAN，只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现，配置步骤请参见《H3C E126以太网交换机操作手册》“端口基本配置操作”部分的介绍。

1.3 VLAN显示与维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后VLAN的运行情况，通过查看显示信息可以验证配置的效果。

表1-4 VLAN显示与维护

操作	命令	说明
显示VLAN相关信息	display vlan [ vlan-id1 [ to vlan-id2 ] \| all \| dynamic \| static ]	display命令可以在任意视图下执行

1.4 VLAN典型配置举例

1. 组网需求

l 创建VLAN2、VLAN3，指定VLAN2的名称为v2，描述字符串为home；

l 通过配置将端口Ethernet1/0/1和Ethernet1/0/2加入到VLAN2中，将端口Ethernet1/0/3和Ethernet1/0/4加入到VLAN3中。

2. 组网图

图1-2 VLAN配置示例图

3. 配置步骤

# 创建VLAN2并进入其视图。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] vlan 2

# 指定VLAN2的名称为v2。

[H3C-vlan2] name v2

# 指定VLAN2的描述字符串为home。

[H3C-vlan2] description home

# 向VLAN2中加入端口Ethernet1/0/1和Ethernet1/0/2。

[H3C-vlan2] port Ethernet1/0/1 Ethernet1/0/2

# 创建VLAN3并进入其视图。

[H3C-vlan2] quit

[H3C] vlan 3

# 向VLAN3中加入端口Ethernet1/0/3和Ethernet1/0/4。

[H3C-vlan3] port Ethernet1/0/3 Ethernet1/0/4

第2章 VLAN-VPN配置

2.1 VLAN-VPN配置

2.1.1 VLAN-VPN原理介绍

VLAN-VPN是指将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。在公网中报文只根据外层VLAN Tag（即公网VLAN Tag）传播，用户的私网VLAN Tag被屏蔽。

携带单层VLAN Tag的报文结构如图2-1所示。

图2-1 携带单层VLAN Tag的报文结构

携带双层VLAN Tag的报文结构如图2-2所示。

图2-2 携带双层VLAN Tag的报文结构

相对基于MPLS的二层VPN，VLAN-VPN具有如下特点：

l 为用户提供了一种更为简单的二层VPN隧道。

l 不需要信令协议的支持，可以通过纯静态配置实现。

VLAN-VPN主要可以解决如下几个问题：

l 缓解日益紧缺的公网VLAN ID资源问题。

l 用户可以规划自己的私网VLAN ID，不会导致和公网VLAN ID冲突。

l 为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

2.1.2 VLAN-VPN的实现方式

通过开启端口的VLAN-VPN特性功能，可以实现VLAN-VPN。

开启端口的VLAN-VPN功能后，当该端口接收到报文，无论报文是否带有VLAN Tag，交换机都会为该报文打上本端口缺省VLAN的VLAN Tag。这样，如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；如果接收到的是不带VLAN Tag的报文，该报文就成为带有端口缺省VLAN Tag的报文。

2.2 配置端口的VLAN-VPN特性

2.2.1 配置准备

l 端口的GVRP、NTDP、STP、802.1x或集中式MAC地址认证功能均未启动

l 此端口不能作为远程镜像反射端口

注意：

默认情况下，设备的STP和NTDP协议是开启的。需要在相应端口下应用stp disable命令和undo ntdp enable命令来关闭相应协议。

2.2.2 配置过程

表2-1 配置端口的VLAN-VPN特性

操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-type interface-number	-
开启端口的VLAN-VPN特性	vlan-vpn enable	必选缺省情况下，端口的VLAN-VPN特性处于关闭状态

注意：

l 如果某端口的GVRP、NTDP、STP、802.1x或集中式MAC地址认证功能中的任一个已经启动，则不允许用户开启端口的VLAN-VPN特性。

l 此端口如果为远程镜像反射端口，则不允许用户开启端口的VLAN-VPN特性。

2.3 VLAN-VPN显示与维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后VLAN-VPN的运行情况，通过查看显示信息可以验证配置的效果。

表2-2 VLAN显示与维护

操作	命令	说明
显示VLAN-VPN相关信息	display port vlan-vpn	display命令可以在任意视图下执行