- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-VLAN映射配置
本章节下载: 13-VLAN映射配置 (275.06 KB)
VLAN映射(即VLAN Mapping)功能可以修改报文携带的VLAN Tag,提供下面两种映射关系:
l 1:1 VLAN映射:将报文携带VLAN Tag中的VLAN ID修改为另一个VLAN ID。
l N:1 VLAN映射:将来自多个VLAN(VLAN的数量N大于等于2)的报文所携带VLAN Tag中的VLAN ID修改为同一个VLAN ID。
这两种映射方式的基本原理是一致的,仅是匹配的原始VLAN数量有所不同,1:1 VLAN映射相当于在N:1映射中N等于1的情况。下面将详细介绍这几种映射关系的应用以及工作原理。
1:1 VLAN映射和N:1 VLAN映射主要用于图1-1所示的园区组网环境。
图1-1 1:1 VLAN映射和N:1 VLAN映射应用示意图
在这种组网环境下,每个家庭用户的不同业务(PC、IPTV、VoIP)分别采用不同的VLAN进行发送,为了区分不同的家庭用户,需要在楼道交换机处将不同家庭用户的相同业务采用不同的VLAN进行发送,即进行1:1 VLAN映射。这样,就需要提供大量的VLAN来隔离不同用户的不同业务,而汇聚层网络接入设备可以提供的VLAN数量有限,所以需要在园区交换机上完成VLAN的汇聚功能,将由多个VLAN发送的不同用户的相同业务采用同一个VLAN进行发送,即进行N:1 VLAN映射。
为了更好的理解后面的配置过程,此处定义几个概念:
l 上行数据流:从家庭用户网络发往汇聚层网络的数据流、或者从用户网络发往SP网络的数据流,都称之为上行数据流。
l 下行数据流:从汇聚层网络发往家庭用户的数据流、或者从SP网络发往用户网络的数据流,都称之为下行数据流。
l 上行端口:发送上行数据流、接收下行数据流的端口称为上行端口。
l 下行端口:发送下行数据流、接收上行数据流的端口称为下行端口。
l 上行策略:负责上行数据流VLAN映射规则的QoS策略。
l 下行策略:负责下行数据流VLAN映射规则的QoS策略。
(1) 1:1 VLAN映射实现方式
l 对于上行数据流,通过在下行端口上应用上行策略,将用户网络中的原始VLAN(以下简称为CVLAN)映射到指定的VLAN(以下简称为SVLAN)。
l 对于下行数据流,通过查找SVLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址、以及CVLAN的绑定表项,将报文的SVLAN修改为原来的CVLAN。
(2) N:1 VLAN映射实现方式
l 对于上行数据流,通过在下行端口上应用上行策略,将原来的多个CVLAN映射到指定的SVLAN。
l 对于下行数据流,通过查找SVLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址、以及CVLAN的绑定表项,将报文的SVLAN修改为原来的CVLAN。
l 关于DHCP Snooping功能的介绍请参见“IP业务分册”中的“DHCP配置”。
l 关于QoS策略的介绍请参见“QoS分册”中的“QoS配置”。
用户需要根据网络规划,在不同的设备上进行不同的VLAN映射配置。
表1-1 VLAN映射配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置1:1 VLAN映射 |
可选 在图1-1所示的楼道交换机上需要进行此配置 |
|
|
配置N:1 VLAN映射 |
可选 在图1-1所示的园区交换机上需要进行此配置 |
在具体的配置过程中会用到一些其他特性,先简单介绍一下这些配置的作用:
l 正常的ARP报文处理流程无法修改ARP报文所属的VLAN,所以需要启用ARP Detection功能,让ARP报文上送CPU进行处理,这样就可以对ARP报文进行VLAN映射。关于ARP Detection功能的介绍请参见“IP业务分册”中的“ARP配置”。
l 为了对端口转发的报文进行过滤控制,防止非法报文通过端口,提高端口的安全性,需要将端口与源IP和源MAC地址进行动态绑定,关于此功能的介绍请参见“安全分册”中的“IP Source Guard配置”。
l 为了节省系统资源,对于转发DHCP报文的DHCP Snooping信任端口不需要记录用户绑定信息。关于此功能的介绍请参见“IP业务分册”中的“DHCP配置”。
在图1-1所示的楼道交换机上需要进行1:1 VLAN映射配置,以便将不同用户的不同业务用不同的VLAN进行隔离。
l 要求家庭用户中不同业务终端都是通过DHCP方式获取IP地址。关于如何通过DHCP方式获取IP地址,请参见“IP业务分册”中的“DHCP配置”。
l 需要事先规划好CVLAN和SVLAN的映射关系。
表1-2 配置1:1 VLAN映射
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
使能DHCP Snooping功能 |
dhcp-snooping |
必选 缺省情况下,DHCP Snooping功能处于关闭状态 |
|
|
在每个进行映射的VLAN上都使能ARP Detection功能(包括CVLAN和SVLAN) |
创建VLAN,并进入VLAN视图 |
vlan vlan-id |
必选 缺省情况下,ARP Detection功能处于关闭状态 |
|
使能ARP Detection功能 |
arp detection enable |
||
|
退回系统视图 |
quit |
||
|
配置上行策略,将不同用户的不同业务VLAN(CVLAN)映射到不同的VLAN(SVLAN) |
必选 |
||
|
进入下行端口的接口视图 |
interface interface-type interface-number |
- |
|
|
配置下行端口的链路类型为Trunk类型 |
port link-type trunk |
必选 |
|
|
允许CVLAN通过当前Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
必选 缺省情况下,所有Trunk端口只允许VLAN 1通过 |
|
|
配置下行端口与源IP和源MAC地址进行动态绑定 |
ip check source ip-address mac-address |
必选 |
|
|
在下行端口上应用上行策略 |
qos apply policy policy-name inbound |
必选 |
|
|
退回系统视图 |
quit |
- |
|
|
进入上行端口的接口视图 |
interface interface-type interface-number |
- |
|
|
配置上行端口为DHCP Snooping信任端口 |
dhcp-snooping trust |
必选 缺省情况下,在使能DHCP Snooping功能后,设备的所有端口均为不信任端口 |
|
|
配置上行端口为ARP信任端口 |
arp detection trust |
必选 缺省情况下,所有端口均为ARP不信任端口 |
|
|
配置上行端口的链路类型为Trunk类型 |
port link-type trunk |
必选 |
|
|
允许SVLAN通过当前Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
必选 缺省情况下,所有Trunk端口只允许VLAN 1通过 |
|
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义类并进入类映射视图 |
traffic classifier tcl-name operator or |
必选 |
|
定义匹配家庭用户不同业务VLAN(CVLAN)的规则 |
if-match customer-vlan-id vlan-id-value |
必选 |
|
退回系统视图 |
quit |
- |
|
定义一个流行为并进入流行为视图 |
traffic behavior behavior-name |
必选 |
|
配置重标记后报文的VLAN ID值(SVLAN) |
remark service-vlan-id vlan-id-value |
必选 |
|
退回系统视图 |
quit |
- |
|
定义QoS策略并进入QoS策略视图 |
qos policy policy-name |
必选 |
|
在策略中为类指定采用的流行为和绑定模式 |
classifier tcl-name behavior behavior-name mode dot1q-tag-manipulation |
必选 |
|
退回系统视图 |
quit |
- |
l 在完成上述配置之后,用户再上线,VLAN映射功能才能生效。
l 如果用户想要改变VLAN映射关系,必须先用reset dhcp-snooping命令来清除DHCP Snooping表项(请参见“IP业务分册”中的“DHCP命令”)或者先取消下行端口与源IP和源MAC地址的动态绑定关系后再重新进行绑定(请参见“安全分册”中的“IP Source Guard命令”),然后再修改QoS策略中的VLAN映射关系。
在图1-1所示的园区交换机上需要进行N:1 VLAN映射配置,以便将不同用户的相同业务用同一个VLAN进行发送,节省VLAN资源。
需要事先规划好CVLAN和SVLAN的映射关系。
表1-4 配置N:1 VLAN映射
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
使能DHCP Snooping功能 |
dhcp-snooping |
必选 缺省情况下,DHCP Snooping功能处于关闭状态 |
|
|
在每个进行映射的VLAN上都使能ARP Detection功能(包括CVLAN和SVLAN) |
创建VLAN,并进入VLAN视图 |
vlan vlan-id |
必选 缺省情况下,ARP Detection功能处于关闭状态 |
|
使能ARP Detection功能 |
arp detection enable |
||
|
退回系统视图 |
quit |
||
|
配置上行策略,将不同用户的相同业务VLAN(CVLAN)映射到同一个VLAN(SVLAN) |
必选 |
||
|
进入下行端口的接口视图 |
interface interface-type interface-number |
- |
|
|
配置下行端口的链路类型为Trunk类型 |
port link-type trunk |
必选 |
|
|
允许CVLAN通过当前Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
必选 缺省情况下,所有Trunk端口只允许VLAN 1通过 |
|
|
配置下行端口与源IP和源MAC地址进行动态绑定 |
ip check source ip-address mac-address |
必选 |
|
|
在下行端口上应用上行策略 |
qos apply policy policy-name inbound |
必选 |
|
|
退回系统视图 |
quit |
- |
|
|
进入上行端口的接口视图 |
interface interface-type interface-number |
- |
|
|
配置上行端口为DHCP Snooping信任端口 |
dhcp-snooping trust |
必选 缺省情况下,在使能DHCP Snooping功能后,设备的所有端口均为不信任端口 |
|
|
配置上行端口为ARP信任端口 |
arp detection trust |
必选 缺省情况下,所有端口均为ARP不信任端口 |
|
|
配置上行端口的链路类型为Trunk类型 |
port link-type trunk |
必选 |
|
|
允许SVLAN通过当前Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
必选 缺省情况下,所有Trunk端口只允许VLAN 1通过 |
|
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义类并进入类映射视图 |
traffic classifier tcl-name operator or |
必选 |
|
定义匹配不同家庭用户相同业务的VLAN(CVLAN)的规则 |
if-match customer-vlan-id { vlan-id-list | vlan-id1 to vlan-id2 } |
必选 |
|
退回系统视图 |
quit |
- |
|
定义一个流行为并进入流行为视图 |
traffic behavior behavior-name |
必选 |
|
配置重标记后报文的VLAN ID值(SVLAN) |
remark service-vlan-id vlan-id-value |
必选 |
|
退回系统视图 |
quit |
- |
|
定义QoS策略并进入QoS策略视图 |
qos policy policy-name |
必选 |
|
在策略中为类指定采用的流行为和绑定模式 |
classifier tcl-name behavior behavior-name mode dot1q-tag-manipulation |
必选 |
|
退回系统视图 |
quit |
- |
如果用户想要改变VLAN映射关系,必须先用reset dhcp-snooping命令来清除DHCP Snooping表项(请参见“IP业务分册”中的“DHCP命令”)或者先取消下行端口与源IP和源MAC地址的动态绑定关系后再重新进行绑定(请参见“安全分册”中的“IP Source Guard命令”),然后再修改QoS策略中的VLAN映射关系。
l 用户希望从园区交换机Switch C发出去的相同业务的报文可以用同一个VLAN进行发送,以便节省VLAN资源:PC业务通过VLAN 501发送;IPTV业务通过VLAN 502发送;VoIP业务通过VLAN 503发送。
l 同时,不同家庭的相同业务报文之间要进行隔离,不能产生混淆。
图1-2 配置1:1 VLAN映射和N:1 VLAN映射组网图
(1) 配置Switch A
<SwitchA> system-view
# 使能DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 在每个进行映射的VLAN上都使能ARP Detection功能。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
[SwitchA-vlan1] vlan 2
[SwitchA-vlan2] arp detection enable
[SwitchA-vlan2] vlan 3
[SwitchA-vlan3] arp detection enable
[SwitchA-vlan3] vlan 101
[SwitchA-vlan101] arp detection enable
[SwitchA-vlan101] vlan 201
[SwitchA-vlan201] arp detection enable
[SwitchA-vlan201] vlan 301
[SwitchA-vlan301] arp detection enable
[SwitchA-vlan301] vlan 102
[SwitchA-vlan102] arp detection enable
[SwitchA-vlan102] vlan 202
[SwitchA-vlan202] arp detection enable
[SwitchA-vlan202] vlan 302
[SwitchA-vlan302] arp detection enable
[SwitchA-vlan302] quit
# 配置上行策略,将不同用户的不同业务CVLAN映射到不同的SVLAN。
[SwitchA] traffic classifier c1 operator or
[SwitchA-classifier-c1] if-match customer-vlan-id 1
[SwitchA-classifier-c1] traffic classifier c2 operator or
[SwitchA-classifier-c2] if-match customer-vlan-id 2
[SwitchA-classifier-c2] traffic classifier c3 operator or
[SwitchA-classifier-c3] if-match customer-vlan-id 3
[SwitchA-classifier-c3] quit
[SwitchA] traffic behavior b1
[SwitchA-behavior-b1] remark service-vlan-id 101
[SwitchA-behavior-b1] traffic behavior b2
[SwitchA-behavior-b2] remark service-vlan-id 201
[SwitchA-behavior-b2] traffic behavior b3
[SwitchA-behavior-b3] remark service-vlan-id 301
[SwitchA-behavior-b3] traffic behavior b4
[SwitchA-behavior-b4] remark service-vlan-id 102
[SwitchA-behavior-b4] traffic behavior b5
[SwitchA-behavior-b5] remark service-vlan-id 202
[SwitchA-behavior-b5] traffic behavior b6
[SwitchA-behavior-b6] remark service-vlan-id 302
[SwitchA-behavior-b6] quit
[SwitchA] qos policy p1
[SwitchA-policy-p1] classifier c1 behavior b1 mode dot1q-tag-manipulation
[SwitchA-policy-p1] classifier c2 behavior b2 mode dot1q-tag-manipulation
[SwitchA-policy-p1] classifier c3 behavior b3 mode dot1q-tag-manipulation
[SwitchA-policy-p1] quit
[SwitchA] qos policy p2
[SwitchA-policy-p2] classifier c1 behavior b4 mode dot1q-tag-manipulation
[SwitchA-policy-p2] classifier c2 behavior b5 mode dot1q-tag-manipulation
[SwitchA-policy-p2] classifier c3 behavior b6 mode dot1q-tag-manipulation
[SwitchA-policy-p2] quit
# 配置端口Ethernet1/0/1允许CVLAN的报文通过。
[SwitchA] interface ethernet 1/0/1
[SwitchA-Ethernet1/0/1] port link-type trunk
[SwitchA-Ethernet1/0/1] port trunk permit vlan 1 2 3
# 在端口Ethernet1/0/1上应用上行策略p1。
[SwitchA-Ethernet1/0/1] qos apply policy p1 inbound
# 配置端口Ethernet1/0/1与源IP和源MAC地址进行动态绑定。
[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address
[SwitchA-Ethernet1/0/1] quit
# 配置端口Ethernet1/0/2允许CVLAN的报文通过。
[SwitchA] interface ethernet 1/0/2
[SwitchA-Ethernet1/0/2] port link-type trunk
[SwitchA-Ethernet1/0/2] port trunk permit vlan 1 2 3
# 在端口Ethernet1/0/2上应用上行策略p2。
[SwitchA-Ethernet1/0/2] qos apply policy p2 inbound
# 配置端口Ethernet1/0/2与源IP和源MAC地址进行动态绑定。
[SwitchA-Ethernet1/0/2] ip check source ip-address mac-address
[SwitchA-Ethernet1/0/2] quit
# 配置端口Ethernet1/0/3允许SVLAN的报文通过。
[SwitchA] interface ethernet 1/0/3
[SwitchA-Ethernet1/0/3] port link-type trunk
[SwitchA-Ethernet1/0/3] port trunk permit vlan 101 201 301 102 202 302
# 配置端口Ethernet1/0/3为DHCP Snooping信任端口。
[SwitchA-Ethernet1/0/3] dhcp-snooping trust
# 配置端口Ethernet1/0/3为ARP信任端口。
[SwitchA-Ethernet1/0/3] arp detection trust
(2) 配置Switch B
<SwitchB> system-view
# 使能DHCP Snooping功能。
[SwitchB] dhcp-snooping
# 在每个进行映射的VLAN上都使能ARP Detection功能。
[SwitchB] vlan 1
[SwitchB-vlan1] arp detection enable
[SwitchB-vlan1] vlan 2
[SwitchB-vlan2] arp detection enable
[SwitchB-vlan2] vlan 3
[SwitchB-vlan3] arp detection enable
[SwitchB-vlan3] vlan 111
[SwitchB-vlan111] arp detection enable
[SwitchB-vlan111] vlan 211
[SwitchB-vlan211] arp detection enable
[SwitchB-vlan211] vlan 311
[SwitchB-vlan311] arp detection enable
[SwitchB-vlan311] vlan 112
[SwitchB-vlan112] arp detection enable
[SwitchB-vlan112] vlan 212
[SwitchB-vlan212] arp detection enable
[SwitchB-vlan212] vlan 312
[SwitchB-vlan312] arp detection enable
[SwitchB-vlan312] quit
# 配置上行策略,将不同用户的不同业务CVLAN映射到不同的SVLAN。
[SwitchB] traffic classifier c1 operator or
[SwitchB-classifier-c1] if-match customer-vlan-id 1
[SwitchB-classifier-c1] traffic classifier c2 operator or
[SwitchB-classifier-c2] if-match customer-vlan-id 2
[SwitchB-classifier-c2] traffic classifier c3 operator or
[SwitchB-classifier-c3] if-match customer-vlan-id 3
[SwitchB-classifier-c3] quit
[SwitchB] traffic behavior b1
[SwitchB-behavior-b1] remark service-vlan-id 111
[SwitchB-behavior-b1] traffic behavior b2
[SwitchB-behavior-b2] remark service-vlan-id 211
[SwitchB-behavior-b2] traffic behavior b3
[SwitchB-behavior-b3] remark service-vlan-id 311
[SwitchB-behavior-b3] traffic behavior b4
[SwitchB-behavior-b4] remark service-vlan-id 112
[SwitchB-behavior-b4] traffic behavior b5
[SwitchB-behavior-b5] remark service-vlan-id 212
[SwitchB-behavior-b5] traffic behavior b6
[SwitchB-behavior-b6] remark service-vlan-id 312
[SwitchB-behavior-b6] quit
[SwitchB] qos policy p1
[SwitchB-policy-p1] classifier c1 behavior b1 mode dot1q-tag-manipulation
[SwitchB-policy-p1] classifier c2 behavior b2 mode dot1q-tag-manipulation
[SwitchB-policy-p1] classifier c3 behavior b3 mode dot1q-tag-manipulation
[SwitchB-policy-p1] quit
[SwitchB] qos policy p2
[SwitchB-policy-p2] classifier c1 behavior b4 mode dot1q-tag-manipulation
[SwitchB-policy-p2] classifier c2 behavior b5 mode dot1q-tag-manipulation
[SwitchB-policy-p2] classifier c3 behavior b6 mode dot1q-tag-manipulation
[SwitchB-policy-p2] quit
# 配置端口Ethernet1/0/1允许CVLAN的报文通过。
[SwitchB] interface ethernet 1/0/1
[SwitchB-Ethernet1/0/1] port link-type trunk
[SwitchB-Ethernet1/0/1] port trunk permit vlan 1 2 3
# 在端口Ethernet1/0/1上应用上行策略p1。
[SwitchB-Ethernet1/0/1] qos apply policy p1 inbound
# 配置端口Ethernet1/0/1与源IP和源MAC地址进行动态绑定。
[SwitchB-Ethernet1/0/1] ip check source ip-address mac-address
[SwitchB-Ethernet1/0/1] quit
# 配置端口Ethernet1/0/2允许CVLAN的报文通过。
[SwitchB] interface ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port link-type trunk
[SwitchB-Ethernet1/0/2] port trunk permit vlan 1 2 3
# 在端口Ethernet1/0/2上应用上行策略p2。
[SwitchB-Ethernet1/0/2] qos apply policy p2 inbound
# 配置端口Ethernet1/0/2与源IP和源MAC地址进行动态绑定。
[SwitchB-Ethernet1/0/2] ip check source ip-address mac-address
[SwitchB-Ethernet1/0/2] quit
# 配置端口Ethernet1/0/3允许SVLAN的报文通过。
[SwitchB] interface ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port link-type trunk
[SwitchB-Ethernet1/0/3] port trunk permit vlan 111 211 311 112 212 312
# 配置端口Ethernet1/0/3为DHCP Snooping信任端口。
[SwitchB-Ethernet1/0/3] dhcp-snooping trust
# 配置端口Ethernet1/0/3为ARP信任端口。
[SwitchB-Ethernet1/0/3] arp detection trust
(3) 配置Switch C
<SwitchC> system-view
# 使能DHCP Snooping功能。
[SwitchC] dhcp-snooping
# 在每个进行映射的VLAN上都使能ARP Detection功能。
[SwitchC] vlan 101
[SwitchC-vlan101] arp detection enable
[SwitchC-vlan101] vlan 201
[SwitchC-vlan201] arp detection enable
[SwitchC-vlan201] vlan 301
[SwitchC-vlan301] arp detection enable
[SwitchC-vlan301] vlan 102
[SwitchC-vlan102] arp detection enable
[SwitchC-vlan102] vlan 202
[SwitchC-vlan202] arp detection enable
[SwitchC-vlan202] vlan 302
[SwitchC-vlan302] arp detection enable
[SwitchC-vlan302] vlan 111
[SwitchC-vlan111] arp detection enable
[SwitchC-vlan111] vlan 211
[SwitchC-vlan211] arp detection enable
[SwitchC-vlan211] vlan 311
[SwitchC-vlan311] arp detection enable
[SwitchC-vlan311] vlan 112
[SwitchC-vlan112] arp detection enable
[SwitchC-vlan112] vlan 212
[SwitchC-vlan212] arp detection enable
[SwitchC-vlan212] vlan 312
[SwitchC-vlan312] arp detection enable
[SwitchC-vlan312] vlan 501
[SwitchC-vlan501] arp detection enable
[SwitchC-vlan501] vlan 502
[SwitchC-vlan502] arp detection enable
[SwitchC-vlan502] vlan 503
[SwitchC-vlan503] arp detection enable
[SwitchC-vlan503] quit
# 配置上行策略,将不同用户的相同业务VLAN(CVLAN)映射到同一个VLAN(SVLAN)。
[SwitchC] traffic classifier c1 operator or
[SwitchC-classifier-c1] if-match customer-vlan-id 101 to 200
[SwitchC-classifier-c1] traffic classifier c2 operator or
[SwitchC-classifier-c2] if-match customer-vlan-id 201 to 300
[SwitchC-classifier-c2] traffic classifier c3 operator or
[SwitchC-classifier-c3] if-match customer-vlan-id 301 to 400
[SwitchC-classifier-c3] traffic classifier c4 operator or
[SwitchC-classifier-c4] if-match customer-vlan-id 111 to 210
[SwitchC-classifier-c4] traffic classifier c5 operator or
[SwitchC-classifier-c5] if-match customer-vlan-id 211 to 310
[SwitchC-classifier-c5] traffic classifier c6 operator or
[SwitchC-classifier-c6] if-match customer-vlan-id 311 to 410
[SwitchC-classifier-c6] quit
[SwitchC] traffic behavior b1
[SwitchC-behavior-b1] remark service-vlan-id 501
[SwitchC-behavior-b1] traffic behavior b2
[SwitchC-behavior-b2] remark service-vlan-id 502
[SwitchC-behavior-b2] traffic behavior b3
[SwitchC-behavior-b3] remark service-vlan-id 503
[SwitchC-behavior-b3] quit
[SwitchC] qos policy p1
[SwitchC-policy-p1] classifier c1 behavior b1 mode dot1q-tag-manipulation
[SwitchC-policy-p1] classifier c2 behavior b2 mode dot1q-tag-manipulation
[SwitchC-policy-p1] classifier c3 behavior b3 mode dot1q-tag-manipulation
[SwitchC-policy-p1] quit
[SwitchC] qos policy p2
[SwitchC-policy-p2] classifier c4 behavior b1 mode dot1q-tag-manipulation
[SwitchC-policy-p2] classifier c5 behavior b2 mode dot1q-tag-manipulation
[SwitchC-policy-p2] classifier c6 behavior b3 mode dot1q-tag-manipulation
[SwitchC-policy-p2] quit
# 配置端口Ethernet1/0/1允许CVLAN的报文通过。
[SwitchC] interface ethernet 1/0/1
[SwitchC-Ethernet1/0/1] port link-type trunk
[SwitchC-Ethernet1/0/1] port trunk permit vlan 101 201 301 102 202 302
# 在端口Ethernet1/0/1上应用上行策略p1。
[SwitchC-Ethernet1/0/1] qos apply policy p1 inbound
# 配置端口Ethernet1/0/1与源IP和源MAC地址进行动态绑定。
[SwitchC-Ethernet1/0/1] ip check source ip-address mac-address
[SwitchC-Ethernet1/0/1] quit
# 配置端口Ethernet1/0/2允许CVLAN的报文通过。
[SwitchC] interface ethernet 1/0/2
[SwitchC-Ethernet1/0/2] port link-type trunk
[SwitchC-Ethernet1/0/2] port trunk permit vlan 111 211 311 112 212 312
# 在端口Ethernet1/0/2上应用上行策略p2。
[SwitchC-Ethernet1/0/2] qos apply policy p2 inbound
# 配置端口Ethernet1/0/2与源IP和源MAC地址进行动态绑定。
[SwitchC-Ethernet1/0/2] ip check source ip-address mac-address
[SwitchC-Ethernet1/0/2] quit
# 配置端口Ethernet1/0/3允许SVLAN的报文通过。
[SwitchC] interface ethernet 1/0/3
[SwitchC-Ethernet1/0/3] port link-type trunk
[SwitchC-Ethernet1/0/3] port trunk permit vlan 501 502 503
# 配置端口Ethernet1/0/3为DHCP Snooping信任端口。
[SwitchC-Ethernet1/0/3] dhcp-snooping trust
# 配置端口Ethernet1/0/3为ARP信任端口。
[SwitchC-Ethernet1/0/3] arp detection trust
(4) 配置Switch D
<SwitchD> system-view
# 使能DHCP Snooping功能。
[SwitchD] dhcp-snooping
# 配置端口Ethernet1/0/1允许SVLAN的报文通过。
[SwitchD] interface ethernet 1/0/1
[SwitchD-Ethernet1/0/1] port link-type trunk
[SwitchD-Ethernet1/0/1] port trunk permit vlan 501 502 503
# 配置端口Ethernet1/0/1为信任端口,但为了节省系统资源,不记录客户端IP地址和MAC地址的绑定关系。
[SwitchD-Ethernet1/0/1] dhcp-snooping trust no-user-binding
如果PC(发送不带VLAN Tag的报文)直接连接在楼道交换机上,则需把楼道交换机连接PC的端口配置成access端口或者trunk端口。当配置成Access端口时,要把端口加入到SVLAN;当配置成trunk端口时,要把端口的缺省VLAN配置成SVLAN。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
