• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-网络互通配置指导

目录

09-VLAN终结配置

本章节下载 09-VLAN终结配置  (312.56 KB)

09-VLAN终结配置


1 VLAN终结

1.1  VLAN终结简介

VLAN终结是指对接收到的报文,按照报文携带的VLAN Tag信息匹配对应的接口后,去除报文VLAN Tag,再将报文进行三层转发或交由其他业务处理。转发出去的报文是否带有VLAN Tag由出接口决定,对从配置了VLAN终结的接口发送的报文,按照该接口上的终结配置,将相应的VLAN Tag添加到报文中后发送该报文。

1.1.1  VLAN终结分类

根据对所终结的报文的不同处理方式,VLAN终结分为以下四种:

·     Dot1q终结:用来终结带有一层及以上VLAN Tag的报文(要求最外层VLAN ID必须匹配配置值),从配置了Dot1q终结的接口发送的报文,都添加一层VLAN Tag。

·     QinQ终结:用来终结带有两层及以上VLAN Tag的报文(要求最外两层VLAN ID必须匹配配置值),从配置了QinQ终结的接口发送的报文,都添加两层VLAN Tag。

·     Untagged终结:用来终结收到的不带VLAN Tag的报文,从配置了Untagged终结的接口发送的报文,都不添加VLAN Tag。

·     Default终结:用来终结同一主接口上其他子接口上无法处理的报文,从配置了Default终结的接口发送的报文,都不添加VLAN Tag。

说明

为便于描述,本特性部分内容对带有两层及以上VLAN Tag的报文,将其最外两层VLAN Tag按从外层到内层的方向,分别用第一层VLAN Tag、第二层VLAN Tag表示,对VLAN ID的描述类似。

 

1.1.2  VLAN终结工作机制

子接口(例如三层以太网子接口/三层聚合子接口)、VLAN接口可以终结匹配最外层VLAN ID的报文或匹配最外两层VLAN ID的报文。其中,VLAN接口只能终结最外层VLAN ID与接口编号相同的VLAN报文,例如Vlan-interface10只能终结最外层VLAN ID为10的报文。

主接口(例如三层以太网接口/三层聚合接口)本身不能对VLAN报文做终结处理,在主接口创建子接口后,由子接口来处理。

配置VLAN终结后,设备对收到的报文按如下优先级顺序匹配接口:

·     配置了QinQ终结的子接口

·     配置了Dot1q终结或者缺省支持Dot1q终结的子接口

·     配置了Untagged终结的子接口

·     配置了Default终结的子接口

·     主接口

当主接口的某个子接口配置了Default终结时,报文只能由主接口下的子接口处理,而不会匹配到主接口。

与VLAN接口绑定的主接口在收到VLAN报文后,根据VLAN接口的配置对报文进行处理。

1.1.3  VLAN终结应用场景

1. 指定VLAN间的互通

划分VLAN后,不同VLAN间的主机不能直接通信,使用三层路由技术可以实现所有VLAN间报文的互通。此时如果要对互通的VLAN范围做限制,即要求只有指定的部分VLAN间可以互通,可以借助VLAN终结功能来实现。目前可以通过子接口或VLAN接口实现指定VLAN间的互通。

图1-1 VLAN终结用于不同VLAN之间互通(通过三层以太网子接口)

 

图1-1所示,Host A属于VLAN 2,Host B属于VLAN 3。将Host A的网关地址指定为1.1.1.1/24,Host B的网关地址指定为1.1.2.1/24,在Device上创建三层以太网子接口Subinterface A.2和Subinterface A.3并配置Dot1q终结,可实现Host A和Host B之间的互通。

图1-2 VLAN终结用于不同VLAN之间互通(通过VLAN接口)

 

图1-2所示,Host A属于VLAN 2,Host B属于VLAN 3,Host C属于VLAN 4。将Host A的网关地址指定为1.1.1.1/24,Host B的网关地址指定为1.1.2.1/24,然后在Device上创建Vlan-interface2和Vlan-interface3并分别配置IP地址为Host A和Host B的网关地址,可实现Host A和Host B的三层报文互通:当Vlan-interface2收到Host A的VLAN 2报文时,去除VLAN Tag,再转发给Vlan-interface3,Vlan-interface3在发送该报文时添加该接口VLAN的 Tag(VLAN 3),使该报文能发送到VLAN 3内的Host B;反之亦然。

而Host C由于没有对应的VLAN接口终结VLAN 4的报文,不能与Host A或Host B互通。

说明

VLAN接口缺省支持终结VLAN ID等于该接口编号的最外层VLAN Tag。

 

2. 局域网和广域网的互联

局域网内的报文大多数都带有VLAN Tag,但一些广域网协议(例如PPP)并不能识别VLAN报文。这种情况下,如果局域网的VLAN报文要转发到广域网,需要在本地记录并去掉报文的VLAN信息后再转发,可以借助VLAN终结功能来实现。目前可以通过子接口或VLAN接口实现局域网和广域网的互联。

如下图所示,用户网络的私网VLAN为Customer VLAN,运营商为用户网络分配的公网VLAN为Service VLAN。当用户网内Customer VLAN的报文进入运营商网络时,报文外面就会被封装上Service VLAN的VLAN Tag,在运营商网络基于Service VLAN进行转发。如果报文要发往外部广域网,则需要在出口网关上对该报文进行QinQ终结处理,去掉两层VLAN Tag,再发送到广域网。

图1-3 VLAN终结用于LAN和WAN互联

 

1.2  VLAN终结配置限制和指导

注意

如果要在开启了Portal认证功能的接口上更改VLAN终结方式(例如从Dot1q终结更改为QinQ终结),必须先把该接口的在线Portal用户全部下线,否则会导致这些在线Portal用户无法正常下线也无法重新认证上线。有关Portal的介绍,请参见“用户接入与认证配置指导”中的“Portal”。

 

在子接口视图下修改已有的VLAN终结配置后,该子接口会down/up一次,设备ARP表中与该子接口相关的动态表项也会被全部删除。

1.3  VLAN终结与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

WX2500H-WiNet系列

WX2510H-PWR-WiNet

WX2560H-WiNet

支持

WX3500H-WiNet系列

WX3508H-WiNet

不支持

WAC系列

WAC380-30

WAC380-60

WAC380-90

WAC380-120

WAC381

WAC380-30支持

WAC380-60支持

WAC380-90支持

WAC380-120支持

WAC381不支持

WX2500H-LI系列

WX2540H-LI

WX2560H-LI

支持

WX3500H-LI系列

WX3510H-LI

WX3520H-LI

支持

AC1000系列

AC1016

AC1108

支持

 

1.4  VLAN终结配置任务简介

VLAN终结配置任务如下:

(1)     配置VLAN终结

请根据实际组网情况选择以下一种方式:

¡     配置模糊的Dot1q终结

¡     配置明确的Dot1q终结

¡     配置模糊的QinQ终结

¡     配置明确的QinQ终结

¡     配置Untagged终结

¡     配置Default终结

(2)     (可选)配置VLAN终结支持广播/组播

执行该任务后,配置了VLAN终结功能的接口才能发送广播/组播报文。

1.5  配置模糊的Dot1q终结

1. 功能简介

模糊的Dot1q终结只允许接口接收最外层VLAN ID在指定范围内的VLAN报文,不属于该范围的VLAN报文则不允许通过该接口。接口收到报文后,将报文最外层VLAN Tag剥离。发送报文时,会给报文添加一层VLAN Tag,VLAN ID字段取值为:

·     对于PPPoE报文,通过查找PPPoE会话表项获取相应的VLAN ID。

·     对于DHCP Relay转发的DHCP Server端报文,通过查找DHCP会话表项获取相应的VLAN ID。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

(3)     开启子接口的Dot1q终结功能,并指定子接口能够终结的VLAN报文的最外层VLAN ID范围。

vlan-type dot1q vid vlan-id-list

缺省情况下,子接口的Dot1q终结功能处于关闭状态。

1.6  配置明确的Dot1q终结

1. 功能简介

明确的Dot1q终结只允许接口接收最外层VLAN ID为指定值的VLAN报文,其他VLAN报文则不允许通过该接口。接口收到报文后,将报文最外层VLAN Tag剥离。发送报文时,给报文添加一层VLAN Tag,VLAN ID为指定值。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

(3)     开启子接口的Dot1q终结功能,并指定子接口能够终结的VLAN报文最外层VLAN ID。

vlan-type dot1q vid vlan-id

缺省情况下,子接口的Dot1q终结功能处于关闭状态。

1.7  配置模糊的QinQ终结

1.7.1  功能简介

模糊的QinQ终结只允许接口接收最外两层VLAN ID均在指定范围内的报文,不属于该范围的VLAN报文则不允许通过该接口。接口收到报文后,将报文最外两层VLAN Tag剥离。发送报文时,会给报文添加两层VLAN Tag。添加VLAN Tag后,报文的最外两层VLAN ID取值为:

·     对于PPPoE报文,通过查找PPPoE会话表项获取相应的VLAN ID。

·     对于DHCP Relay转发的DHCP Server端报文,通过查找DHCP中继用户地址表项获取相应的VLAN ID。

1.7.2  指定最外两层VLAN ID进行QinQ终结

1. 配置限制和指导

·     在同一主接口的不同子接口下配置QinQ终结功能时,如果指定的第一层VLAN ID相同,则第二层VLAN ID必须不同;如果指定的第一层VLAN ID不同,则第二层VLAN ID可以相同。

·     不同主接口下的子接口可以终结的VLAN报文可以相同也可以不同。

·     在同一子接口下多次执行vlan-type dot1q vid second-dot1q命令时,最终生效的第一层VLAN ID和第二层VLAN ID是多次配置的集合。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

(3)     开启子接口的QinQ终结功能,并指定子接口可以终结的VLAN报文的最外两层VLAN ID。

vlan-type dot1q vid vlan-id-list second-dot1q { vlan-id-list | any }

缺省情况下,子接口的QinQ终结功能处于关闭状态。

1.7.3  指定第二层VLAN ID进行QinQ终结

1. 配置限制和指导

在VLAN接口上配置QinQ终结后,与该VLAN接口绑定的二层以太网接口只处理该VLAN接口匹配的报文,当收到发往该VLAN接口的其他报文时,都会直接丢弃。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

¡     进入VLAN接口视图。

interface vlan-interface interface-number

(3)     开启接口的QinQ终结功能,并指定接口可以终结的VLAN报文的第二层VLAN ID范围。

second-dot1q { vlan-id-list | any }

第一层VLAN ID等于当前接口的编号,不能配置。

1.8  配置明确的QinQ终结

1.8.1  功能简介

明确的QinQ终结只允许接口接收最外两层VLAN ID均为指定值的报文,其他VLAN报文则不允许通过该接口。接口收到报文后,将报文最外两层VLAN Tag剥离。发送报文时,会给报文添加两层VLAN Tag,两层VLAN ID均为指定值。

1.8.2  指定最外两层VLAN ID进行QinQ终结

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

(3)     开启子接口的QinQ终结功能,并指定子接口可以终结的VLAN报文的最外两层VLAN ID。

vlan-type dot1q vid vlan-id second-dot1q vlan-id

缺省情况下,子接口的QinQ终结功能处于关闭状态。

1.8.3  指定第二层VLAN ID进行QinQ终结

1. 配置限制和指导

在VLAN接口上配置QinQ终结后,与该VLAN接口绑定的二层以太网接口只处理该VLAN接口匹配的报文,当收到发往该VLAN接口的其他报文时,都会直接丢弃。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

¡     进入VLAN接口视图。

interface vlan-interface interface-number

(3)     开启接口的QinQ终结功能,并指定接口可以终结的VLAN报文的第二层VLAN ID。

second-dot1q vlan-id

接口的QinQ终结功能未开启。

终结的第一层VLAN ID等于当前接口的编号,不能配置。

1.9  配置Untagged终结

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

(3)     开启子接口的Untagged终结功能。

vlan-type dot1q untagged

缺省情况下,子接口的Untagged终结功能处于关闭状态。

1.10  配置Default终结

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

(3)     开启子接口的Default终结功能。

vlan-type dot1q default

缺省情况下,子接口的Default终结功能处于关闭状态。

1.11  配置VLAN终结支持广播/组播

1. 功能简介

当接口下配置了模糊的Dot1q终结或者模糊的QinQ终结功能后,缺省情况下不允许发送广播/组播报文。只有配置了VLAN终结支持广播/组播功能,该接口才能发送广播/组播报文。

本功能允许接口遍历模糊终结范围内的VLAN ID,给报文分别添加这些VLAN ID对应的VLAN Tag后,再发送报文。例如,对于配置了模糊的QinQ终结的接口,报文添加VLAN Tag时,最外两层VLAN ID分别对应各自模糊终结范围内的VLAN ID。

2. 配置限制和指导

IPv6网络中,当接口下配置了模糊的Dot1q终结或者模糊的QinQ终结功能后,建议配置vlan-termination broadcast ra命令,以允许接口遍历模糊终结的范围发送RA(Router Advertisement,路由器通告消息)组播报文,其他类型的广播/组播报文则不允许发送。该命令与vlan-termination broadcast enable命令相比,能有效减少设备CPU负担。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

¡     进入三层以太网子接口视图。

interface interface-type interface-number.subnumber

¡     进入VLAN接口视图。

interface vlan-interface interface-number

(3)     配置允许接口发送广播/组播报文。请选择其中一项进行配置。

¡     允许接口发送广播和组播报文。

vlan-termination broadcast enable

¡     允许接口发送RA组播报文(IPv6环境)。

vlan-termination broadcast ra

缺省情况下,接口配置了模糊的Dot1q终结或者模糊的QinQ终结功能后,不允许发送广播/组播报文。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们