• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S2126-EI以太网交换机 操作手册-Release 21XX系列(V1.05)

31-VLAN-VPN操作

本章节下载  (179.76 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S2100/S2126-EI/Configure/Operation_Manual/S2126-EI_OM_(V1.05)/200807/610215_30005_0.htm

31-VLAN-VPN操作


第1章  VLAN-VPN配置

1.1  VLAN-VPN简介

1.1.1  VLAN-VPN原理介绍

VPN(Virtual Private Network,虚拟私有网络)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。通过在客户端或运营商接入端对用户报文进行特殊处理,使公网设备可以为用户报文建立专用的传输隧道,保证数据的安全。

VLAN-VPN是一种简单、灵活的二层VPN隧道技术,它通过在运营商接入端为用户的私网报文封装外层VLAN Tag,使报文携带两层VLAN Tag穿越运营商的骨干网络(公网)。在公网中,报文只根据外层VLAN Tag(即公网VLAN Tag)进行传输,用户的私网VLAN Tag则当作报文中的数据部分来进行传输。

携带单层VLAN Tag的报文结构如图1-1所示:

图1-1 携带单层VLAN Tag的报文结构

携带双层VLAN Tag的报文结构如图1-2所示:

图1-2 携带双层VLAN Tag的报文结构

相对于基于MPLS的二层VPN,VLAN-VPN具有如下特点:

l              为用户提供了一种更为简单的二层VPN隧道。

l              不需要在公网上配置自动学习的信令协议,可以通过简单的手工配置实现。

VLAN-VPN主要可以解决以下问题:

l              缓解日益紧缺的公网VLAN ID资源问题。

l              用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突。

l              为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

1.1.2  VLAN-VPN的实现方式

在开启端口的VLAN-VPN功能后,当该端口接收报文时,无论报文是否带有VLAN Tag,交换机都会为该报文封装本端口缺省VLAN的VLAN Tag,并将源MAC地址学习到缺省VLAN的MAC地址表中。因此,在接收报文时:

l              如果原报文是已经带有VLAN Tag的报文,在进入交换机后将成为带有双层Tag的报文

l              如果原报文是不带VLAN Tag的报文,在进入交换机后将成为带有端口缺省VLAN Tag的报文

1.2  VLAN-VPN配置

1.2.1  配置端口的VLAN-VPN功能

表1-1 配置端口的VLAN-VPN功能

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

开启端口的VLAN-VPN功能

vlan-vpn enable

必选

缺省情况下,端口VLAN-VPN功能处于关闭状态

 

1.3  VLAN-VPN配置显示

完成上述配置后,在任意视图下执行display命令,可以显示配置VLAN-VPN后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表1-2 VLAN-VPN配置显示

操作

命令

说明

显示系统中所有端口的VLAN-VPN配置信息

display port vlan-vpn

display命令可以在任意视图下执行

 

1.4  VLAN-VPN典型配置举例

1.4.1  利用VLAN-VPN功能实现用户报文在公网中的隧道传输

1. 组网需求

图1-3所示,Switch A和Switch B为S2126-EI交换机,通过公共网络将用户的工作站与服务器相连。

l              用户的PC工作站和服务器划分在私有VLAN100,终端工作站和服务器划分在私有VLAN200。现要求运营商利用公共网络的VLAN1040,使用户网络之间通过VPN方式进行连接。

l              要求配置Switch A和Switch B的VLAN-VPN功能,使用户的PC工作站/服务器和终端工作站/服务器能通过VPN连接,并进行正常通信。

2. 组网图

图1-3 VLAN-VPN典型配置举例组网图

3. 配置步骤

l              配置Switch A

# 配置SwitchA的端口Ethernet1/0/11为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag。

<SwitchA> system-view

[SwitchA] vlan 1040

[SwitchA-vlan1040] port Ethernet 1/0/11

[SwitchA-vlan1040] quit

[SwitchA] interface Ethernet 1/0/11

[SwitchA-Ethernet1/0/11] vlan-vpn enable

[SwitchA-Ethernet1/0/11] quit

#设置Ethernet1/0/12的端口类型为Trunk,允许VLAN 1040的报文通过。

[SwitchA] interface Ethernet1/0/12

[SwitchA-Ethernet1/0/12] port link-type trunk

[SwitchA-Ethernet1/0/12] port trunk permit vlan 1040

l              配置Switch B

# 配置SwitchB的端口Ethernet1/0/21为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag。

<SwitchB> system-view

[SwitchB] vlan 1040

[SwitchB-vlan1040] port Ethernet 1/0/21

[SwitchB-vlan1040] quit

[SwitchB] interface Ethernet 1/0/21

[SwitchB-Ethernet1/0/21] vlan-vpn enable

#设置Ethernet1/0/22端口类型为Trunk,允许VLAN 1040的报文通过。

[SwitchB-Ethernet1/0/21] quit

[SwitchB] interface Ethernet 1/0/22

[SwitchB-Ethernet1/0/22] port link-type trunk

[SwitchB-Ethernet1/0/22] port trunk permit vlan 1040

&  说明:

l      请勿配置VLAN1040为SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口的缺省VLAN,以免外层Tag在发送时被去除。

l      此例中介绍了在SwitchA的Ethernet1/0/11端口和SwitchB的Ethernet1/0/21端口均为Access端口时的配置。当两个端口为Trunk和Hybrid端口时,请通过命令配置这两个端口的缺省VLAN为1040,且在发送VLAN1040的报文时去除外层Tag,具体操作请参考本手册“VLAN”部分。

 

l              配置公共网络设备

# 由于公共网络使用的设备可能来自于其他厂商,这里只介绍基本原理。配置公共网络中与SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口连接的设备,使其相应的端口允许VLAN1040的报文携带VLAN Tag进行发送即可。

4. 数据报文传输过程

报文从SwitchA转发至SwitchB的过程如下:

(1)        来自用户私网侧的报文进入SwitchA的端口Ethernet1/0/11后,由于此端口为VLAN-VPN端口,在用户私有VLAN100和VLAN200的报文外层封装端口缺省的VLAN Tag(VLAN ID为1040)。

(2)        交换机通过端口Ethernet1/0/12发送到公网网络。

(3)        公共网络中的设备将保持外层VLAN Tag,将报文发送到SwitchB的Ethernet1/0/22端口。

(4)        SwitchB接收报文后,转发至Ethernet1/0/21端口,由于该端口是Access端口,因此在转发时会去除外层VLAN1040的VLAN Tag,从而将报文恢复为带有用户私有VLAN Tag的报文,并转发到相应的用户网络。

(5)        反方向的转发过程相同。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们