- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-VLAN扩展应用操作
本章节下载 (310.88 KB)
1.4.1 自动模式下Voice VLAN的配置举例.. 1-5
1.4.2 手动模式下Voice VLAN的配置举例.. 1-6
第2章 isolate-user-VLAN配置... 2-1
2.1.1 isolate-user-VLAN概述.. 2-1
2.1.2 isolate-user-VLAN的报文传输过程.. 2-1
2.2.1 isolate-user-VLAN配置任务.. 2-2
2.2.2 配置isolate-user-VLAN. 2-3
2.2.4 向isolate-user-VLAN和Secondary VLAN中添加端口.. 2-4
2.2.5 配置isolate-user-VLAN和Secondary VLAN间的映射关系.. 2-4
2.3 isolate-user-VLAN配置显示.. 2-5
2.4 isolate-user-VLAN典型配置举例.. 2-5
3.2.4 配置Super VLAN和Sub VLAN间的映射关系.. 3-2
3.2.5 配置Super VLAN支持DHCP Relay. 3-3
3.4.2 Super VLAN支持DHCP Relay配置举例.. 3-6
Voice VLAN指为用户的语音数据流而专门划分的VLAN。通过划分Voice VLAN并将连接语音设备的端口加入Voice VLAN,可以为语音数据配置QoS(Quality of Service,服务质量),提高语音流量的传输优先级,保证通话质量。
S7500系列以太网交换机可以根据进入端口的数据报文中的源MAC地址字段来判断该数据流是否为语音数据流,源MAC地址符合系统设置的语音设备OUI(Organizationally Unique Identifier,全球统一标识符)地址的报文被认为是语音数据流,被划分到Voice VLAN中传输。
用户可以预先设置OUI地址,也可以使用缺省的OUI地址作为判断标准。
& 说明:
OUI地址为MAC地址的前24位,是IEEE为不同设备供应商分配的一个全球唯一的标识符,从OUI地址可以判断出该设备是哪一个厂商的产品。
交换机缺省的OUI地址共有五个,如表1-1所示:
序号 | OUI地址 | 生产厂商 |
1 | 00e0-bb00-0000 | 3com phone |
2 | 0003-6b00-0000 | Cisco phone |
3 | 00e0-7500-0000 | Polycom phone |
4 | 00d0-1e00-0000 | Pingtel phone |
5 | 000f-e200-0000 | H3C Aolynk phone |
用户可根据每个端口数据流的实际情况设定端口的Voice VLAN的工作模式,包括自动模式和手动模式:
l 自动模式下,系统利用IP语音设备上电时发出的untag报文,学习源MAC地址并自动将连接IP语音设备的端口加入Voice VLAN;达到老化时间而不能更新OUI地址的端口将自动从Voice VLAN 中删除;用户不能手工将端口加入或退出Voice VLAN。
l 手动模式下,需要通过命令将端口加入Voice VLAN或从Voice VLAN中删除。
Voice VLAN支持使用Trunk和Hybrid端口传输,交换机上原属于其它VLAN的Trunk和Hybrid端口可以通过使能Voice VLAN功能,同时传输语音和业务数据。
由于IP语音设备类型较多,因此需要用户保证端口的模式与IP语音设备发出的语音流类型能够匹配,详细匹配关系请见表1-2所示:
表1-2 端口模式与IP语音设备语音流类型配合关系表
端口Voice VLAN模式 | 语音流类型 | 端口类型 | 支持程度 |
自动模式 | tagged语音流 | Access | 不支持 |
Trunk | 支持,但接入端口的缺省VLAN必须存在且不能是Voice VLAN,同时接入端口允许该缺省VLAN通过 | ||
Hybrid | 支持,但接入端口的缺省VLAN必须存在且在接入端口允许通过的tagged VLAN列表中 | ||
untagged语音流 | Access | 不支持,由于必须保证接入端口的缺省VLAN为Voice VLAN,且接入端口在Voice VLAN中,相当于通过手工方式将端口加入了Voice VLAN | |
Trunk | |||
Hybrid | |||
手动模式 | tagged语音流 | Access | 不支持 |
Trunk | 支持,但接入端口的缺省VLAN必须存在且不能是Voice VLAN,同时接入端口允许该缺省VLAN通过 | ||
Hybrid | 支持,但接入端口的缺省VLAN必须存在且在接入端口允许通过的tagged VLAN列表中 | ||
untagged语音流 | Access | 支持,但接入端口的缺省VLAN必须是Voice VLAN | |
Trunk | 支持,但接入端口的缺省VLAN必须是Voice VLAN,且接入端口允许该VLAN通过 | ||
Hybrid | 支持,但接入端口的缺省VLAN必须是Voice VLAN,且在接入端口允许通过的untagged VLAN列表中 |
注意:
l 如果用户的IP语音设备发出的是tagged语音流,且接入的端口上使能了802.1x认证和Guest VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1x的Guest VLAN分配不同的VLAN ID。
l 如果用户的IP语音设备发出的是untagged语音流,为实现Voice VLAN功能,只能将接入端口的缺省VLAN配置为Voice VLAN,此时将不能实现802.1x认证功能。
l 配置Voice VLAN之前,须先创建对应的VLAN。
l VLAN 1是默认VLAN,无需创建,但VLAN 1不支持使能Voice VLAN。
表1-3 端口Voice VLAN自动模式下配置
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入以太网端口视图 | interface interface-type interface-number | 必选 |
使能端口Voice VLAN功能 | voice vlan enable | 必选 缺省情况下,端口的Voice VLAN处于关闭状态 |
设定端口Voice VLAN的工作模式为自动模式 | voice vlan mode auto | 可选 缺省情况下,端口的Voice VLAN工作模式为自动模式 |
退回到系统视图 | quit | - |
设置Voice VLAN可识别的其他OUI地址 | voice vlan mac-address oui mask oui-mask [ description text ] | 可选 如不设置,则交换机按照缺省的OUI地址来判断语音流 |
使能Voice VLAN的安全模式 | voice vlan security enable | 可选 缺省情况下,端口的Voice VLAN安全模式开启 |
设置Voice VLAN的老化时间 | voice vlan aging minutes | 可选 缺省情况下,老化时间为1440分钟 |
使能全局Voice VLAN | voice vlan vlan-id enable | 必选 |
& 说明:
当Voice VLAN正常工作时,如果遇到设备重新启动的情况,为保证已经建立的语音连接能够正常工作,系统会在重新启动后,将配置为自动模式的端口重新加入本地设备的Voice VLAN,而不需要再次通过语音流的触发。
操作 | 命令 | 说明 | ||
进入系统视图 | system-view | - | ||
进入端口视图 | interface interface-type interface-number | 必选 | ||
使能端口Voice VLAN功能 | voice vlan enable | 必选 缺省情况下,端口的Voice VLAN处于关闭状态 | ||
设定端口Voice VLAN的工作模式为手动模式 | undo voice vlan mode auto | 必选 缺省情况下,端口的Voice VLAN工作模式为自动模式 | ||
退回到系统视图 | quit | - | ||
将手动模式端口加入VLAN | Access端口 | 进入VLAN视图 | vlan vlan-id | 必选 |
将端口加入VLAN | port interface-list | |||
Trunk或Hybrid端口 | 进入端口视图 | interface interface-type interface-number | ||
将端口加入VLAN | port trunk permit vlan vlan-id port hybrid vlan vlan-id { tagged | untagged } | |||
设定Voice VLAN为端口默认VLAN | port trunk pvid vlan vlan-id port hybrid pvid vlan vlan-id | 可选 Trunk和Hybrid端口的默认VLAN是否需要设定为Voice VLAN依据表1-2中语音流类型与端口类型对应关系而定 | ||
退回到系统视图 | quit | - | ||
设置Voice VLAN识别的其他OUI地址 | voice vlan mac-address oui mask oui-mask [ description text ] | 可选 如不设置,则交换机按照缺省的OUI地址来判断语音流 | ||
使能Voice VLAN的安全模式 | voice vlan security enable | 可选 缺省情况下,端口的Voice VLAN安全模式开启 | ||
设置Voice VLAN的老化时间 | voice vlan aging minutes | 可选 缺省情况下,老化时间为1440分钟 | ||
使能全局Voice VLAN | voice vlan vlan-id enable | 必选 | ||
注意:
l 同一时刻只能有一个VLAN使能Voice VLAN。
l 如果端口已经使能LACP(Link Aggregation Control Protocol,链路汇聚控制协议),则不能使能Voice VLAN特性。
l 如果端口上已经开启了QinQ功能,则不能再启动Voice VLAN功能。
l 如果将要使能Voice VLAN的VLAN是动态VLAN,在使能Voice VLAN后会自动更改为静态VLAN。
l 当Voice VLAN工作在安全模式时,设备只允许源地址是可识别的语音OUI地址的数据通过,源地址不合法的报文将直接被丢弃(包括一些认证报文,如802.1x认证报文)。建议用户尽量不要在Voice VLAN中同时传输语音和业务数据。如确有此需要,请确认Voice VLAN的安全模式已关闭。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Voice VLAN的运行情况,通过查看显示信息可以验证配置的效果。
表1-5 Voice VLAN显示和维护
操作 | 命令 | 说明 |
显示Voice VLAN的配置状态 | display voice vlan status | display命令可以在任意视图下执行 |
显示当前系统支持的OUI地址 | display voice vlan oui | |
显示当前Voice VLAN中工作的端口 | display vlan vlan-id |
l 创建VLAN 2为Voice VLAN。
l 端口Ethernet 2/0/1为Trunk端口,缺省VLAN为VLAN 6。
l 交换机可以根据从端口Ethernet2/0/1进入的数据流自动将此端口加入/退出Voice VLAN。
# 创建VLAN 2
<H3C> system-view
[H3C] vlan 2
# 将端口Ethernet2/0/1设定为Trunk端口,缺省VLAN为VLAN 6,并允许缺省VLAN的报文通过。
[H3C-vlan2] quit
[H3C] interface Ethernet 2/0/1
[H3C-Ethernet2/0/1] port link-type trunk
[H3C-Ethernet2/0/1] port trunk pvid vlan 6
[H3C-Ethernet2/0/1] port trunk permit vlan 6
# 使能端口Voice VLAN特性,并设定为自动模式
[H3C-Ethernet2/0/1] voice vlan enable
[H3C-Ethernet2/0/1] voice vlan mode auto
# 使能全局Voice VLAN特性
[H3C-Ethernet2/0/1] quit
[H3C] voice vlan 2 enable
l 创建VLAN 3为Voice VLAN。
l 要求端口Ethernet 2/0/3为Trunk型端口,能够手动加入/退出Voice VLAN。
l 指定OUI地址是0011-2200-0000,描述字符为“test”
# 创建VLAN 3。
<H3C> system-view
[H3C] vlan 3
[H3C-vlan3] quit
# 将端口Ethernet 2/0/3设定为Trunk端口并加入VLAN 3。
[H3C] interface Ethernet 2/0/3
[H3C-Ethernet2/0/3] port link-type trunk
[H3C-Ethernet2/0/3] port trunk permit vlan 3
# 使能端口Voice VLAN并设为手动模式。
[H3C-Ethernet2/0/3] voice vlan enable
[H3C-Ethernet2/0/3] undo voice vlan mode auto
[H3C-Ethernet2/0/3] quit
# 指定OUI地址。
[H3C] voice vlan mac-address 0011-2200-0000 mask ffff-ff00-0000 description test
# 使能全局Voice VLAN。
[H3C] voice vlan 3 enable
# 显示配置结果。
[H3C] display voice vlan status
Voice Vlan status: ENABLE
Voice Vlan ID: 3
Voice Vlan security mode: Security
Voice Vlan aging time: 1440 minutes
Current voice vlan enabled port mode:
PORT MODE
----------------------------------------
Ethernet2/0/3 MANUAL
# 将端口Ethernet 2/0/3退出Voice VLAN。
[H3C] interface Ethernet2/0/3
[H3C-Ethernet2/0/3] undo port trunk permit vlan 3
isolate-user-VLAN是利用Hybrid端口对多个VLAN的报文去除VLAN Tag的特性,通过对MAC地址表项在各VLAN的MAC地址表间进行复制的方法,实现对网络中VLAN资源的节约。
isolate-user-VLAN采用二层VLAN结构,在交换机上需要设置isolate-user-VLAN和Secondary vlan两类VLAN。
一个isolate-user-VLAN可以和多个Secondary VLAN对应。通过设定端口的Hybrid属性,可以使所有Secondary VLAN中包含的端口和交换机的上行端口都属于isolate-user-VLAN。同时在上行端口处设定在转发所有Secondary VLAN的报文时都去掉VLAN Tag。
这样对上层交换机来说,从下层设备收到的报文全部是不携带VLAN Tag的,所以不必关心下层的VLAN配置,可以在本地重新规划VLAN结构,节约了VLAN资源。
图2-1是isolate-user-VLAN的典型应用组网图,下面以该图为例说明isolate-user-VLAN的报文传输过程。
l 配置Ethernet2/0/4端口为Hybrid端口,缺省VLAN ID为3,该端口同时属于VLAN 3和VLAN 5,对VLAN 3和VLAN 5的报文采取untag操作;
l 配置Ethernet2/0/3端口为Hybrid端口,缺省VLAN ID为5,该端口同时属于VLAN 3和VLAN 5,对VLAN 3和VLAN 5的报文采取untag操作。
为保证Switch A发回的报文在Switch B上能够按下层设备的VLAN设置进行转发,需要配置Switch A上与Switch B相连的端口,使其在向Switch B转发报文时进行去除Tag的操作。
图2-1 isolate-user-VLAN典型应用组网图
(1) 当PC发出的报文到达Ethernet2/0/4端口后,自动被添加缺省VLAN ID即VLAN 3的VLAN Tag。
(2) Switch B学到PC的MAC地址,并记录到VLAN 3的MAC地址转发表中,同时复制该表项到VLAN 5的MAC地址转发表中。
(3) 由于Ethernet2/0/3属于VLAN 3,所以报文可以从此端口发送,同时去除VLAN 3的Tag,到达Switch A的报文是不带有VLAN Tag的。
(1) 当Switch A发出的报文(经过配置,该报文不携带VLAN Tag)到达Switch B的端口Ethernet2/0/3时,自动添加缺省VLAN ID即VLAN 5的Tag。
(2) 根据外出过程中复制的VLAN 5的MAC地址转发表,系统可以找到该报文的出端口为Ethernet2/0/4。
(3) 由于Ethernet2/0/4属于VLAN 5,因此可以正常转发VLAN 5的报文,将报文以不带VLAN Tag的方式转发到到PC。
表2-1 isolate-user-VLAN配置任务
配置任务 | 说明 | 详细配置 |
配置isolate-user-VLAN | 必选 | 2.2.2 |
配置Secondary VLAN | 必选 | 2.2.3 |
向isolate-user-VLAN和Secondary VLAN中添加端口并配置端口对报文的untag操作 | 必选 | 2.2.4 |
配置isolate-user-VLAN和Secondary VLAN间的映射关系 | 必选 | 2.2.5 |
可以使用下面的命令为一个交换机创建一个isolate-user-VLAN。
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建VLAN并进入VLAN视图 | vlan vlan-id | 必选 |
设置VLAN类型为isolate-user-VLAN | isolate-user-vlan enable | 必选 |
注意:
l 一台交换机可以配置多个isolate-user-VLAN。
l 如果交换机已经启动GVRP功能,则不能使能isolate-user-VLAN功能。
l isolate-user-VLAN不支持对组播业务数据进行转发。
l isolate-user-VLAN和Super VLAN特性不能同时存在,如果一个VLAN已经被设定为isolate-user-VLAN或Secondary VLAN,则不能再配置该VLAN为Super VLAN或Sub VLAN。
配置Secondary VLAN的过程与创建普通VLAN相同。
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建Secondary VLAN | vlan vlan-id | 必选 |
为实现报文的正常传输,要求isolate-user-VLAN和Secondary VLAN中包含的端口都为Hybrid端口,且所有端口对所有VLAN的报文都要采取untag操作。
表2-4 向isolate-user-VLAN和Secondary VLAN中添加端口并配置untag操作
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入以太网端口视图 | interface interface-type interface-number | - |
配置端口为Hybrid端口 | port link-type hybrid | 必选 |
将端口添加到isolate-user-VLAN和Secondary VLAN中 | port hybrid vlan vlan-id untagged | 必选 |
配置端口的缺省VLAN ID | port hybrid pvid vlan vlan-id | 必选 |
注意:
在使用port hybrid pvid vlan命令配置端口的缺省VLAN ID时,对下行端口,vlan-id参数要指定为Secondary VLAN;对上行端口,要指定为isolate-user-VLAN。
使用下面的命令来建立isolate-user-VLAN和Secondary VLAN之间的映射关系。
表2-5 配置isolate-user-VLAN和Secondary VLAN间的映射关系
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
配置isolate-user-VLAN和Secondary VLAN间的映射关系 | isolate-user-vlan vlan-id secondary vlan-list | 必选 |
注意:
一个isolate-user-VLAN可以与多个Secondary VLAN建立映射关系,但一个Secondary VLAN只能与一个isolate-user-VLAN建立映射关系。
在完成上述配置后,在任意视图下执行display命令可以显示配置isolate-user-VLAN后的运行情况。通过查看显示信息,用户可以验证配置的效果。
操作 | 命令 | 说明 |
显示isolate-user-VLAN和Secondary VLAN的映射关系 | display isolate-user-vlan [ vlan-id ] | display命令可以在任意视图下执行 |
l Switch A交换机下接Switch B、Switch C交换机,要求从Switch A上看,Switch B、Switch C发出的报文都是不带VLAN Tag的,无需考虑下层交换机的VLAN配置。
l Switch B上的VLAN 5为isolate-user-VLAN,包含上行端口Ethernet2/0/1和两个Secondary VLAN:VLAN 2和VLAN 3,VLAN 3包含端口Ethernet2/0/2,VLAN 2包含端口Ethernet2/0/5。
l Switch C上的VLAN 6为isolate-user-VLAN,包含上行端口Ethernet2/0/1和两个Secondary VLAN:VLAN 3和VLAN 4,VLAN 3包含端口Ethernet2/0/3,VLAN 4包含端口Ethernet2/0/4。
l 配置Switch B:
# 配置isolate-user-VLAN。
<SwitchB> system-view
[SwitchB] vlan 5
[SwitchB-vlan5] isolate-user-vlan enable
# 配置Secondary VLAN。
[SwitchB-vlan5] quit
[SwitchB] vlan 3
[SwitchB-vlan3] quit
[SwitchB] vlan 2
# 将端口Ethernet2/0/2从VLAN1中退出,添加到isolate-user-VLAN和Secondary VLAN中,并配置untag操作
[SwitchB-vlan2] quit
[SwitchB] interface Ethernet 2/0/2
[SwitchB-Ethernet2/0/2] port link-type hybrid
[SwitchB-Ethernet2/0/2] undo port hybrid vlan 1
[SwitchB-Ethernet2/0/2] port hybrid vlan 3 untagged
[SwitchB-Ethernet2/0/2] port hybrid vlan 5 untagged
[SwitchB-Ethernet2/0/2] port hybrid pvid vlan 3
# 将端口Ethernet2/0/5从VLAN1中退出,添加到isolate-user-VLAN和Secondary VLAN中,并配置untag操作
[SwitchB-Ethernet2/0/2] quit
[SwitchB] interface Ethernet 2/0/5
[SwitchB-Ethernet2/0/5] port link-type hybrid
[SwitchB-Ethernet2/0/5] undo port hybrid vlan 1
[SwitchB-Ethernet2/0/5] port hybrid vlan 2 untagged
[SwitchB-Ethernet2/0/5] port hybrid vlan 5 untagged
[SwitchB-Ethernet2/0/5] port hybrid pvid vlan 2
# 将端口Ethernet2/0/1从VLAN1中退出,添加到isolate-user-VLAN和Secondary VLAN中,并配置untag操作
[SwitchB-Ethernet2/0/5] quit
[SwitchB] interface Ethernet 2/0/1
[SwitchB-Ethernet2/0/1] port link-type hybrid
[SwitchB-Ethernet2/0/1] undo port hybrid vlan 1
[SwitchB-Ethernet2/0/1] port hybrid vlan 2 untagged
[SwitchB-Ethernet2/0/1] port hybrid vlan 3 untagged
[SwitchB-Ethernet2/0/1] port hybrid vlan 5 untagged
[SwitchB-Ethernet2/0/1] port hybrid pvid vlan 5
# 配置isolate-user-VLAN和Secondary VLAN间的映射关系。
[SwitchB-Ethernet2/0/1] quit
[SwitchB] isolate-user-vlan 5 secondary 2 to 3
l 配置Switch C:
# 配置isolate-user-VLAN。
<SwitchC> system-view
[SwitchC] vlan 6
[SwitchC-vlan6] isolate-user-vlan enable
# 配置Secondary VLAN。
[SwitchC-vlan6] quit
[SwitchC] vlan 3
[SwitchC-vlan3] vlan 4
# 将端口Ethernet2/0/3从VLAN1中退出,添加到isolate-user-VLAN和Secondary VLAN中,并配置untag操作
[SwitchC-vlan4] quit
[SwitchC] interface Ethernet 2/0/3
[SwitchC-Ethernet2/0/3] port link-type hybrid
[SwitchB-Ethernet2/0/3] undo port hybrid vlan 1
[SwitchC-Ethernet2/0/3] port hybrid vlan 3 untagged
[SwitchC-Ethernet2/0/3] port hybrid vlan 6 untagged
[SwitchC-Ethernet2/0/3] port hybrid pvid vlan 3
#将端口Ethernet2/0/4从VLAN1中退出,添加到isolate-user-VLAN和Secondary VLAN中,并配置untag操作
[SwitchC-Ethernet2/0/3] quit
[SwitchC] interface Ethernet2/0/4
[SwitchC-Ethernet2/0/4] port link-type hybrid
[SwitchB-Ethernet2/0/4] undo port hybrid vlan 1
[SwitchC-Ethernet2/0/4] port hybrid vlan 4 untagged
[SwitchC-Ethernet2/0/4] port hybrid vlan 6 untagged
[SwitchC-Ethernet2/0/4] port hybrid pvid vlan 4
# 将端口Ethernet2/0/1从VLAN1中退出,添加到isolate-user-VLAN和Secondary VLAN中,并配置untag操作
[SwitchC-Ethernet2/0/4] quit
[SwitchC] interface Ethernet 2/0/1
[SwitchC-Ethernet2/0/1] port link-type hybrid
[SwitchB-Ethernet2/0/1] undo port hybrid vlan 1
[SwitchC-Ethernet2/0/1] port hybrid vlan 3 untagged
[SwitchC-Ethernet2/0/1] port hybrid vlan 4 untagged
[SwitchC-Ethernet2/0/1] port hybrid vlan 6 untagged
[SwitchC-Ethernet2/0/1] port hybrid pvid vlan 6
# 配置isolate-user-VLAN和Secondary VLAN间的映射关系。
[SwitchC-Ethernet2/0/1] quit
[SwitchC] isolate-user-vlan 6 secondary 3 to 4
经过上述配置,Switch A可以接收到Switch B和Switch C发出的报文,而且全部是不携带VLAN Tag的报文。Switch B和Switch C各自配置的VLAN 3之间由于在到达A处理时已经去除了VLAN Tag,所以不能够通信,这就使下层交换机拥有仅本地有效的VLAN配置,从而达到了节约全局VLAN资源的目的。
& 说明:
只有Salience III系列引擎支持本特性。
Super VLAN又称为VLAN聚合(VLAN Aggregation),其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
同时,为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通,需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。
表3-1 Super VLAN配置任务
配置任务 | 说明 | 详细配置 |
配置Super VLAN | 必选 | 3.2.2 |
配置Sub VLAN | 必选 | 3.2.3 |
配置Super VLAN和Sub VLAN间的映射关系 | 必选 | 3.2.4 |
配置Super VLAN支持DHCP Relay | 可选 | 3.2.5 |
一台交换机可以有多个Super VLAN。可以使用下面的命令配置指定VLAN为Super VLAN。当配置VLAN为Super VLAN后,相应的VLAN接口和IP地址的配置与普通VLAN一样。
表3-2 配置VLAN类型为Super VLAN
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入VLAN视图 | vlan vlan-id | - |
配置当前VLAN为Super VLAN | supervlan | 必选 |
注意:
l VLAN被设置成Super VLAN前,不能包含任何以太网端口;被设置为Super VLAN后,也不能向其中添加以太网端口。
l 当设置VLAN类型为Super VLAN后,该VLAN接口上的ARP代理自动开启,无需配置,且不能关闭。
配置Sub VLAN的操作与配置普通VLAN的操作一样,具体配置命令如下,详细介绍请参见本手册“VLAN”部分的介绍。
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建Sub VLAN | vlan vlan-id | 必选 |
向Sub VLAN中添加以太网端口 | port interface-list | 必选 |
注意:
port命令只适用于将Access端口加入Sub VLAN。如果需要将Trunk端口和Hybrid端口加入Sub VLAN,只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现,配置步骤请参见本手册“VLAN”部分的介绍。
需要注意的是,可以向每一个Sub VLAN中添加多个端口(非上行端口)。
可以使用下面的命令在Super VLAN和Sub VLAN之间建立映射关系。
请在Super VLAN的VLAN视图下进行下列配置。
表3-4 配置Super VLAN和Sub VLAN间的映射关系
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入Super VLAN的VLAN视图 | vlan vlan-id | - |
建立Super VLAN和Sub VLAN的映射关系 | subvlan vlan-list | 必选 |
注意:
l 配置Super VLAN和Sub VLAN间的映射关系前,Sub VLAN必须已经存在。
l 在与Super VLAN建立映射关系时,如果Sub VLAN配置有VLAN接口,系统将提示用户需要删除接口才能正常建立映射关系。
l 在建立了Sub VLAN和Super VLAN的映射关系后,仍可以向Sub VLAN中添加或删除端口。
l 系统最多允许建立1024个Sub VLAN。
通过在Super VLAN的VLAN接口上使能DHCP Relay功能,可以使Super VLAN所对应的所有Sub VLAN中的主机动态地从外部网络获取IP地址。
当Super VLAN的VLAN接口使能DHCP Relay功能后,可以在本接口对应的Sub VLAN的主机与另一网段的DHCP服务器之间转发DHCP报文,协助Sub VLAN内的主机完成动态配置IP地址的过程。
l 配置Super VLAN和Sub VLAN,并建立Super VLAN和Sub VLAN之间的映射关系。
l 配置Super VLAN的IP地址,使Sub VLAN内的主机能够与外部网络通信。
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入Super VLAN的VLAN接口视图 | interface Vlan-interface vlan-id | - |
配置接口与DHCP服务器组的归属关系 | dhcp-server groupNo | 必选 缺省情况下,VLAN接口没有与任何一个DHCP服务器组建立归属关系 |
& 说明:
l 每个Super VLAN接口只能对应一个DHCP服务器组。
l 如果多次执行dhcp-server groupNo命令,新的配置会覆盖已有配置。
l dhcp-server groupNo命令中所指定的组号,需事先通过系统视图下的dhcp-server ip命令进行配置。相关操作请参见本手册“DHCP”部分的介绍。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Super VLAN的运行情况,通过查看显示信息验证配置的效果。
操作 | 命令 | 说明 |
显示Super VLAN和Sub VLAN之间的映射关系 | display supervlan [ supervlan-id ] | display命令可以在任意视图下执行 |
l Switch A作为汇聚层交换机,下面通过接入层交换机(例如Switch B)连接了大量的客户端,这些客户端都使用了10.0.0.0/24网段的地址。现要求按图3-1所示,将主机划分到三个VLAN中进行管理,保证不同VLAN内的主机之间二层隔离。
l 为节约IP地址,不对三个VLAN分别划分子网,要求使用SwitchA的Vlan-interface10接口作为所有主机的网关,转发主机对外网的访问需求,同时通过ARP代理实现VLAN间主机的三层互通。
l SwitchA通过Vlan-interface20接口连接到外部网络。
图3-1 Super VLAN典型配置组网图
# 创建VLAN20,将GigabitEthernet 2/0/20加入VLAN20,并配置Vlan-interface20接口的地址为10.0.1.1/24。
<SwitchA> system-view
[SwitchA] vlan 20
[SwitchA-vlan20] port gigabitethernet 2/0/20
[SwitchA-vlan20] quit
[SwitchA] interface vlan-interface 20
[SwitchA-Vlan-interface20] ip address 10.0.1.1 255.255.255.0
[SwitchA-Vlan-interface20] quit
# 创建VLAN10,并配置VLAN10接口的IP地址为10.0.0.1/24。
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ip address 10.0.0.1 255.255.255.0
[SwitchA-Vlan-interface10] quit
# 创建VLAN2,并添加端口GigabitEthernet2/0/1和端口GigabitEthernet2/0/2。
[SwitchA] vlan 2
[SwitchA-vlan2] port GigabitEthernet 2/0/1 GigabitEthernet 2/0/2
[SwitchA-vlan2] quit
# 创建VLAN3,并添加端口GigabitEthernet2/0/3和端口GigabitEthernet2/0/4。
[SwitchA] vlan 3
[SwitchA-vlan3] port GigabitEthernet 2/0/3 GigabitEthernet 2/0/4
[SwitchA-vlan3] quit
# 创建VLAN5,并添加端口GigabitEthernet2/0/5和端口GigabitEthernet2/0/6。
[SwitchA] vlan 5
[SwitchA-vlan5] port GigabitEthernet 2/0/5 GigabitEthernet 2/0/6
# 指定VLAN10为Super VLAN,VLAN2、VLAN3和VLAN5为Sub VLAN。
[SwitchA-vlan5] quit
[SwitchA] vlan 10
[SwitchA-vlan10] supervlan
[SwitchA-vlan10] subvlan 2 3 5
& 说明:
l 缺省状态下,Super VLAN的VLAN接口的ARP代理功能是开启的,而且不允许关闭。
l 以上配置均以Switch A的下行端口为Access类型为例进行配置,如果用户将下行端口配置为其它链路类型,则需要在接入层交换机上也进行相应的配置,使其能够正常接收SwitchA发送的报文,并以不带Tag的方式转发给用户即可。具体配置可参考本手册“VLAN”部分的介绍。
l 创建VLAN6为Super VLAN,创建VLAN2、VLAN3为Sub VLAN并与VLAN 6建立映射关系。
l 配置VLAN6接口的IP地址为10.1.1.1,子网掩码255.255.255.0。
l 配置VLAN6接口的DHCP Relay功能,并与远程DHCP服务器组2建立归属关系,使VLAN2、VLAN3内的主机能从DHCP服务器组2动态获得IP地址。
# 创建VLAN6,并配置为Super VLAN。
<H3C> system-view
[H3C]vlan 6
[H3C-vlan6] supervlan
# 创建VLAN2、VLAN3,并与VLAN6建立映射关系。
[H3C-vlan6] vlan 2
[H3C-vlan2] vlan 3
[H3C-vlan3] vlan 6
[H3C-vlan6] subvlan 2 3
# 创建VLAN6的VLAN接口并配置IP地址
[H3C-vlan6] interface Vlan-interface 6
[H3C-Vlan-interface6] ip addess 10.1.1.1 255.255.255.0
# 使能VLAN6接口的DHCP Relay功能,即与DHCP服务器组2建立归属关系。
[H3C-Vlan-interface6] dhcp-server 2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
