- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-VLAN配置
本章节下载: 09-VLAN配置 (737.33 KB)
目 录
3.6 配置Primary VLAN和Secondary VLAN间的映射关系
3.9 配置Primary VLAN下指定Secondary VLAN间三层互通
3.11.1 Private VLAN配置举例(promiscuous模式)
3.11.2 Private VLAN配置举例(trunk promiscuous模式)
3.11.3 Private VLAN配置举例(trunk promiscuous & trunk secondary模式)
3.11.4 Secondary VLAN间三层互通配置举例
VLAN(Virtual Local Area Network,虚拟局域网)技术把一个物理LAN划分成多个逻辑的LAN——VLAN,处于同一VLAN的主机能直接互通,而处于不同VLAN的主机则不能直接互通,从而增强了局域网的安全性。划分VLAN后,广播报文被限制在同一个VLAN内,即每个VLAN是一个广播域,有效地限制了广播域的范围。通过VLAN可以将不同的主机划分到不同的工作组,同一工作组的主机可以位于不同的物理位置,网络构建和维护更方便灵活。
要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。IEEE 802.1Q协议规定,在以太网报文的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN Tag,用以标识VLAN的相关信息。
图1-1 VLAN Tag的组成字段
如图1-1所示,VLAN Tag包含四个字段,分别是TPID(Tag Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式指示位)和VLAN ID。
· TPID:协议规定TPID取值为0x8100时表示报文带有VLAN Tag,但各设备厂商可以自定义该字段的值。为了能够识别这样的报文,实现互通,必须确保与邻居设备的TPID值保持一致。如果报文的TPID值为配置值或0x8100,则该报文被认为带有VLAN Tag。
· Priority:用来表示报文的802.1p优先级,长度为3比特,相关内容请参见“ACL和QoS配置指导/QoS”中的“附录”。
· CFI:用来表示MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1比特。取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装。在以太网中,CFI取值为0。
· VLAN ID:用来表示该报文所属VLAN的编号,长度为12比特。由于0和4095为协议保留取值,所以VLAN ID的取值范围为1~4094。
网络设备根据报文是否携带VLAN Tag以及携带的VLAN Tag信息,来对报文进行处理,利用VLAN ID来识别报文所属的VLAN。
以太网支持Ethernet II、802.3/802.2 LLC、802.3/802.2 SNAP和802.3 raw封装格式,本文以Ethernet II型封装为例。802.3/802.2 LLC、802.3/802.2 SNAP和802.3 raw封装格式添加VLAN Tag字段的方式请参见相关协议规范。
对于携带有多层VLAN Tag的报文,设备会根据其最外层VLAN Tag进行处理,而内层VLAN Tag会被视为报文的普通数据部分。
VLAN根据划分方式不同可以分为不同类型,下面列出了几种最常见的VLAN类型:
· 基于端口的VLAN
· 基于MAC地址的VLAN
· 基于IP子网的VLAN
· 基于协议的VLAN
如果某个接口下同时使能以上四种VLAN,则缺省情况下VLAN的匹配将按照MAC VLAN、IP子网VLAN、协议VLAN、端口VLAN的先后顺序进行。
基于端口划分VLAN是最简单、最有效的VLAN划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,该端口就可以转发该VLAN的报文。
端口的链路类型分为三种,端口的链路类型决定了端口能否加入多个VLAN。不同链路类型的端口在转发报文时对VLAN Tag的处理方式不同:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。一般用于和不能识别VLAN Tag的用户终端设备相连,或者不需要区分不同VLAN成员时使用。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。通常用于网络传输设备之间的互连。
· Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在一些应用场景下,需要使用Hybrid端口的功能。比如在1:2 VLAN映射中,服务提供商网络的多个VLAN的报文在进入用户网络前,需要剥离外层VLAN Tag,此时Trunk端口不能实现该功能,因为Trunk端口只能使该端口缺省VLAN的报文不带VLAN Tag通过。有关1:2 VLAN映射的详细介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN映射”。
端口缺省VLAN简称为PVID(Port VLAN ID)。当端口收到Untagged报文时,会认为该报文所属的VLAN为PVID。
Access端口的PVID就是它所在的VLAN。
Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置端口PVID。
端口对报文的接收和发送的处理有几种不同情况,具体情况请参看表1-1。
|
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
||
|
Access端口 |
为报文添加端口PVID的Tag |
· 当报文的VLAN ID与端口的PVID相同时,接收该报文 · 当报文的VLAN ID与端口的PVID不同时,丢弃该报文 |
去掉Tag,发送该报文 |
|
Trunk端口 |
· 当端口的PVID在端口允许通过的VLAN ID列表里时,接收该报文,给报文添加PVID的Tag · 当端口的PVID不在端口允许通过的VLAN ID列表里时,丢弃该报文 |
· 当报文的VLAN ID在端口允许通过的VLAN ID列表里时,接收该报文 · 当报文的VLAN ID不在端口允许通过的VLAN ID列表里时,丢弃该报文 |
· 当报文的VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文 · 当报文的VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
|
Hybrid端口 |
当报文的VLAN ID是端口允许通过的VLAN ID时,发送该报文,并可以配置端口在发送该VLAN的报文时是否携带Tag |
||
基于MAC的VLAN是根据报文的源MAC地址来划分VLAN。设备维护的MAC VLAN表记录了MAC地址和VLAN的对应关系。这种划分方法的最大优点就是当用户物理位置发生变化,VLAN不用重新配置。所以这种根据MAC地址的划分方法也称为基于用户的VLAN。
手动配置静态MAC VLAN常用于VLAN中用户相对较少的网络环境。在该方式下,用户需要手动配置MAC VLAN表项,开启基于MAC地址的VLAN功能,并将端口加入MAC VLAN。其原理为:
· 当端口收到的报文为Untagged报文时,根据报文的源MAC地址匹配MAC VLAN表项。首先进行模糊匹配,即查询MAC VLAN表中掩码不是全F的表项,将源MAC地址和掩码相与运算后与MAC VLAN表项中的MAC地址匹配,如果完全相同,则模糊匹配成功,给报文添加表项中对应的VLAN Tag并转发该报文;如果模糊匹配失败,则进行精确匹配,即查询表中掩码为全F的表项。如果报文中的源MAC地址与某MAC VLAN表项中的MAC地址完全相同,则精确匹配成功,给报文添加表项中对应的VLAN Tag并转发该报文;如果没有找到匹配的MAC VLAN表项,则继续按照其他原则(基于IP子网的VLAN、基于协议的VLAN、基于端口的VLAN)确定报文所属的VLAN,给报文添加对应的VLAN Tag并转发该报文。
· 当端口收到的报文为Tagged报文时,如果报文的VLAN ID在该端口允许通过的VLAN ID列表里,则转发该报文;否则丢弃该报文。
基于IP子网的VLAN(简称子网VLAN)是根据报文源IP地址及子网掩码来进行划分的。设备从端口收到Untagged报文后,会根据报文的源IP地址来确定报文所属的VLAN,然后将报文自动划分到指定VLAN中传输。
此特性主要用于将指定网段或IP地址的报文划分到指定的VLAN中传送。
基于协议的VLAN(简称协议VLAN)是根据端口接收到的报文所属的协议(族)类型以及封装格式来给报文分配不同的VLAN ID。可用来划分VLAN的协议有IP、IPX、AT(AppleTalk,Apple计算机网络协议)等,封装格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP等。
此特性主要应用于将网络中提供的服务类型与VLAN相关联,方便管理和维护。
不同VLAN间的主机不能直接通信,通过在设备上创建并配置VLAN接口,可以实现VLAN间的三层互通。
VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,在为VLAN接口配置了IP地址后,该IP地址即可作为本VLAN内网络设备的网关地址,此时该VLAN接口能对需要跨网段的报文进行三层转发。
与VLAN相关的协议规范有:
· IEEE 802.1Q:IEEE Standard for Local and Metropolitan Area Networks-Virtual Bridged Local Area Networks
VLAN 1为系统缺省VLAN,用户不能手工创建和删除。
动态学习到的VLAN,以及被其他应用锁定不让删除的VLAN,都不能使用undo vlan命令直接删除。只有将相关配置删除之后,才能删除相应的VLAN。
(1) 进入系统视图。
system-view
(2) 创建VLAN。请至少选择其中一项进行配置。
¡ 创建一个VLAN,并进入VLAN视图。
vlan vlan-id
¡ 批量创建VLAN,然后进入VLAN视图。
vlan { vlan-id-list | all }
vlan vlan-id
缺省情况下,系统只有一个缺省VLAN(VLAN 1)。
(3) (可选)指定VLAN的名称。
name text
缺省情况下,VLAN的名称为“VLAN vlan-id”,其中vlan-id为该VLAN的四位数编号,如果该VLAN的编号不足四位,则会在编号前增加0,补齐四位。例如,VLAN 100的名称为“VLAN 0100”。
(4) (可选)配置VLAN的描述信息。
description text
缺省情况下,VLAN的描述信息为“VLAN vlan-id”,其中vlan-id为该VLAN的四位数编号,如果该VLAN的编号不足四位,则会在编号前增加0,补齐四位。例如,VLAN 100的描述信息为“VLAN 0100”。
· 当执行undo vlan命令删除的VLAN是某个端口的PVID时,对Access端口,端口的PVID会恢复到VLAN 1;对Trunk或Hybrid端口,端口的PVID配置不会改变,即它们可以使用已经不存在的VLAN作为端口PVID。
· 建议本端设备端口的PVID和相连的对端设备端口的PVID保持一致。
· 建议保证端口的PVID为端口允许通过的VLAN。如果端口不允许某VLAN通过,但是端口的PVID为该VLAN,则端口会丢弃收到的该VLAN的报文或者不带VLAN Tag的报文。
配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在接口视图下进行配置。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 向当前VLAN中添加一个或一组Access端口。
port interface-list
缺省情况下,系统将所有端口都加入到VLAN 1。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置端口的链路类型为Access类型。
port link-type access
缺省情况下,端口的链路类型为Access。
(4) 将Access端口加入到指定VLAN。
port access vlan vlan-id
缺省情况下,所有Access端口都属于VLAN 1。
在将Access端口加入到指定VLAN之前,该VLAN必须已经存在。
Trunk端口可以加入多个VLAN。基于Trunk端口的VLAN只能在接口视图下配置。
Trunk端口不能直接切换为Hybrid端口,只能先将Trunk端口配置为Access端口,再配置为Hybrid端口。
配置端口PVID后,必须使用port trunk permit vlan命令配置允许PVID的报文通过,接口才能转发PVID的报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置端口的链路类型为Trunk类型。
port link-type trunk
缺省情况下,端口的链路类型为Access类型。
(4) 允许指定的VLAN通过当前Trunk端口。
port trunk permit vlan { vlan-id-list | all }
缺省情况下,Trunk端口只允许VLAN 1的报文通过。
(5) (可选)配置Trunk端口的PVID。
port trunk pvid vlan vlan-id
缺省情况下,Trunk端口的PVID为VLAN 1。
Hybrid端口可以加入多个VLAN。基于Hybrid端口的VLAN只能在接口视图下配置。将Hybrid端口加入VLAN时,指定VLAN必须已经存在。
Hybrid端口不能直接切换为Trunk端口,只能先将Hybrid端口配置为Access端口,再配置为Trunk端口。
配置端口PVID后,必须使用port hybrid vlan命令配置允许PVID的报文通过,出接口才能转发PVID的报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置端口的链路类型为Hybrid类型。
port link-type hybrid
缺省情况下,端口的链路类型为Access类型。
(4) 允许指定的VLAN通过当前Hybrid端口。
port hybrid vlan vlan-id-list { tagged | untagged }
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过。
(5) (可选)配置Hybrid端口的PVID。
port hybrid pvid vlan vlan-id
缺省情况下,Hybrid端口的PVID为该端口在链路类型为Access时的所属VLAN。
· 基于MAC的VLAN只对Hybrid端口配置有效。
· Super VLAN不能作为MAC VLAN表项中的VLAN。
(1) 进入系统视图。
system-view
(2) 开启全局MAC VLAN功能
mac-base-vlan enable
缺省情况下,全局MAC VLAN功能处于关闭状态。
(3) 配置MAC VLAN表项。
mac-vlan mac-address mac-address vlan vlan-id
(4) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(5) 配置端口的链路类型为Hybrid类型。
port link-type hybrid
缺省情况下,所有端口的链路类型均为Access类型。
(6) 允许基于MAC的VLAN通过当前Hybrid端口。
port hybrid vlan vlan-id-list { tagged | untagged }
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过。
(7) 开启接口的MAC VLAN功能。
mac-vlan enable
缺省情况下,接口的MAC VLAN功能处于关闭状态。
(8) (可选)配置接口优先根据MAC地址来匹配VLAN。
vlan precedence mac-vlan
缺省情况下,对于基于MAC的VLAN和基于IP子网的VLAN,优先根据MAC地址来匹配VLAN。
(9) 退回系统视图。
quit
(10) 保存当前配置。
save
为了避免重启后配置丢失,请在重启设备前先将当前配置保存到下次启动配置文件。
(11) 退回用户视图。
quit
(12) 重启设备。
reboot
基于IP子网的VLAN只对Hybrid端口配置有效,只对Untagged报文应用。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置VLAN与指定的IP子网或IP地址关联。
ip-subnet-vlan [ ip-subnet-index ] ip ip-address [ mask ]
缺省情况下,VLAN未关联IP子网或IP地址。
VLAN关联的IP网段或IP地址不允许是组播网段或组播地址。
(4) 退回系统视图。
quit
(5) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(6) 配置端口的链路类型为Hybrid类型。
port link-type hybrid
缺省情况下,所有端口的链路类型均为Access类型。
(7) 允许子网VLAN通过当前端口。
port hybrid vlan vlan-id-list { tagged | untagged }
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过。
(8) 配置端口与子网VLAN关联。
port hybrid ip-subnet-vlan vlan vlan-id
缺省情况下,端口未关联子网VLAN。
协议VLAN由协议模板定义。协议模板是用来匹配报文所属协议类型的标准,由“协议类型+封装格式”组成。对于一个协议VLAN来说,其绑定的多个协议模板用协议索引(protocol-index)来区分;对于不同的协议VLAN来说,其绑定的协议模板用协议vlan-id和protocol-index来唯一标识。最后通过命令行将协议VLAN中的协议模板与端口绑定。
当端口收到Untagged报文时,如果该报文携带的协议类型和封装格式与某协议模板相匹配,则为其添加该协议模板绑定的协议vlan-id的VLAN Tag,否则为其添加PVID的VLAN Tag。
基于协议的VLAN只对Hybrid端口配置有效,只对Untagged报文应用。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置VLAN与指定的协议模板关联。
protocol-vlan [ protocol-index ] { at | ipv4 | ipv6 | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id [ ssap ssap-id ] | ssap ssap-id } | snap etype etype-id } }
缺省情况下,当前VLAN未关联协议模板。
(4) 退出VLAN视图。
quit
(5) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(6) 配置端口的链路类型为Hybrid类型。
port link-type hybrid
缺省情况下,所有端口的链路类型均为Access类型。
(7) 允许协议VLAN通过当前端口。
port hybrid vlan vlan-id-list { tagged | untagged }
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过。
(8) 配置端口与协议VLAN关联。
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-end ] | all }
缺省情况下,端口未关联协议VLAN。
配置VLAN接口基本属性时,需要注意的是不能对Sub VLAN及在Primary VLAN interface下配置了三层互通的Secondary VLAN创建对应的VLAN接口。有关Sub VLAN的详细介绍,请参见“二层技术-以太网交换配置指导”中的“Super VLAN”;有关Secondary VLAN的详细介绍,请参见“二层技术-以太网交换配置指导”中的“Private VLAN”。
VLAN接口配置任务如下:
(1) 创建VLAN接口
(2) (可选)恢复VLAN接口的缺省配置
在创建VLAN接口之前,对应的VLAN必须已经存在,否则将不能创建指定的VLAN接口。
(1) 进入系统视图。
system-view
(2) 创建VLAN接口,并进入VLAN接口视图。
interface vlan-interface interface-number
(3) 配置VLAN接口的IP地址。
ip address ip-address { mask | mask-length } [ sub ]
缺省情况下,未配置VLAN接口的IP地址。
(4) (可选)配置VLAN接口的描述信息。
description text
缺省情况下,VLAN接口的描述信息为该VLAN接口的接口名,如“Vlan-interface1 Interface”。
(5) (可选)配置VLAN接口的MTU值。
mtu size
缺省情况下,VLAN接口的MTU值为1500字节。
(6) (可选)配置VLAN接口的MAC地址。
mac-address mac-address
缺省情况下,未配置VLAN接口的MAC地址。
(7) (可选)配置VLAN接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。
(8) 取消手工关闭VLAN接口。
undo shutdown
缺省情况下,VLAN接口处于关闭状态。
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
(1) 进入系统视图。
(2) system-view
(3) 进入VLAN接口视图。
interface vlan-interface interface-number
(4) 恢复VLAN接口的缺省配置。
default
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。
系统共提供4094个三层接口硬件资源供各种类型三层接口使用。缺省情况下,4094个三层接口硬件资源分别分配给4094个VLAN接口使用。因此,在创建除VLAN接口外的其它类型三层接口/子接口前或配置需要使用三层接口硬件资源的特性前,需要先配置本功能预留VLAN接口资源。
预留VLAN接口资源分为两种类型:本地类型和全局类型。
进行以下配置前需要配置本地类型VLAN接口资源预留。
· 将二层以太网接口切换为三层以太网接口。
· 创建三层以太网子接口。
· 创建三层聚合接口/子接口。
· 在MPLS L3VPN网络的PE设备上创建VPN实例。有关MPLS L3VPN的详细介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。
每个三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口、VPN实例各需要占用一个三层接口硬件资源。例如:
· 创建一个三层以太网子接口需要预留两个本地类型VLAN接口资源,主接口和子接口各占用一个。
· 创建一个包括三个成员端口的三层聚合组,需要预留四个本地类型VLAN接口资源,每个成员端口占用一个,聚合接口占用一个。
· 创建一个包括两个成员端口的三层聚合组,同时在对应的三层聚合接口上创建四个三层聚合子接口,需要预留七个本地类型的VLAN接口资源,每个成员端口占用一个,聚合接口占用一个,每个子接口占用一个。
· 创建一个VPN实例需要预留一个本地类型VLAN接口资源。
当VXLAN隧道工作在三层转发模式时,在VSI视图创建VXLAN前,需要先配置全局类型VLAN接口资源预留。每创建一个VSI虚接口,需要预留一个全局类型VLAN接口资源。关于VXLAN功能的详细介绍,请参见“VXLAN配置指导”中的“VXLAN”。
在创建Tunnel接口前,需要先配置全局类型VLAN接口资源预留。每创建一个Tunnel接口,需要预留两个全局类型VLAN接口资源。关于Tunnel接口的详细介绍,请参见“隧道配置”。
· 仅S9800系列交换机、S12500-X系列交换机和S12500X-AF F系列单板在创建除VLAN接口外的其它类型三层接口/子接口前或配置需要使用三层接口硬件资源的特性前,需要先配置本功能预留VLAN接口资源。
· 创建VLAN与配置该VLAN的接口资源预留互斥。请根据实际情况选择不需要使用的VLAN预留VLAN接口资源。
· 创建编号为D的三层以太网子接口或三层聚合子接口,与配置预留VLAN D的接口资源互斥(三层以太网子接口的编号规则为interface type A/B/C.D,三层聚合子接口的编号规则为interface type A.D,D表示子接口编号)。这是因为三层以太网子接口或三层聚合子接口需要收发携带子接口编号的VLAN Tag的报文,因此需要使用对应VLAN接口的资源。
· 配置本地类型的VLAN接口资源预留,与配置相同编号VLAN接口的全局类型资源预留互斥。如果需要切换VLAN接口资源预留类型,需要先取消该VLAN的资源预留,然后重新配置。
· 如果预留的VLAN接口资源已经被使用,则不能取消该VLAN接口的资源预留。
· 为了便于管理和避免频繁配置VLAN接口资源预留,建议您一次预留一批编号连续的VLAN接口资源,在网络规划允许的情况下,建议优先考虑预留VLAN 3000~VLAN 3500接口资源。
· 软件版本由不支持配置VLAN接口资源预留的版本升级为支持配置VLAN接口资源预留的版本时,需要先查看已有配置中是否有需要预留VLAN接口资源的配置,如果有,需要先配置足够数量的VLAN接口资源预留才能使相关功能正常工作。
(1) 进入系统视图。
system-view
(2) 配置VLAN接口资源预留。
reserve-vlan-interface { vlan-interface-id1 [ to vlan-interface-id2 ] [ global ] }
不指定global参数时,预留的VLAN接口资源为本地类型;指定global参数时,预留的VLAN接口资源为全局类型。
在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除VLAN接口统计信息。
表1-2 VLAN显示和维护
|
操作 |
命令 |
|
|
显示VLAN接口相关信息 |
display interface vlan-interface [ interface-number ] [ brief [ description | down ] ] |
|
|
显示端口关联的子网VLAN的信息 |
display ip-subnet-vlan interface { interface-type interface-number1 [ to interface-type interface-number2 ] | all } |
|
|
显示指定的或所有子网VLAN的信息 |
display ip-subnet-vlan vlan { vlan-id1 [ to vlan-id2 ] | all } |
|
|
显示设备上存在的Hybrid或Trunk端口 |
display port { hybrid | trunk } |
|
|
显示端口关联的协议VLAN的信息 |
display protocol-vlan interface { interface-type interface-number1 [ to interface-type interface-number2 ] | all } |
|
|
显示指定的或所有协议VLAN的信息 |
display protocol-vlan vlan { vlan-id1 [ to vlan-id2 ] | all } |
|
|
显示VLAN接口资源预留信息 |
display reserve-vlan-interface [ global ] |
|
|
显示VLAN相关信息 |
display vlan [ vlan-id1 [ to vlan-id2 ] | all | dynamic | reserved | static ] |
|
|
显示设备上所有已创建VLAN的概要信息 |
display vlan brief |
|
|
显示创建的VLAN组及其VLAN成员列表 |
display vlan-group [ group-name ] |
|
|
清除VLAN接口的统计信息 |
reset counters interface vlan-interface [ interface-number ] |
|
· Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
· 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
图1-2 基于端口的VLAN组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
(1) 配置Device A
# 创建VLAN 100,并将FortyGigE1/0/1加入VLAN 100。
<DeviceA> system-view
[DeviceA] vlan 100
[DeviceA-vlan100] port fortygige 1/0/1
[DeviceA-vlan100] quit
# 创建VLAN 200,并将FortyGigE1/0/2加入VLAN 200。
[DeviceA] vlan 200
[DeviceA-vlan200] port fortygige 1/0/2
[DeviceA-vlan200] quit
# 为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B,将FortyGigE1/0/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。
[DeviceA] interface fortygige 1/0/3
[DeviceA-FortyGigE1/0/3] port link-type trunk
[DeviceA-FortyGigE1/0/3] port trunk permit vlan 100 200
(2) Device B上的配置与Device A上的配置相同,不再赘述。
(3) 将Host A和Host C配置在一个网段,比如192.168.100.0/24;将Host B和Host D配置在一个网段,比如192.168.200.0/24。
(1) Host A和Host C能够互相ping通,但是均不能ping通Host B和Host D。Host B和Host D能够互相ping通,但是均不能ping通Host A和Host C。
(2) 通过查看显示信息验证配置是否成功。
# 查看Device A上VLAN 100和VLAN 200的配置信息,验证以上配置是否生效。
[DeviceA-FortyGigE1/0/3] display vlan 100
VLAN ID: 100
VLAN type: Static
Route interface: Not configured
Description: VLAN 0100
Name: VLAN 0100
Tagged ports:
FortyGigE1/0/3
Untagged ports:
FortyGigE1/0/1
[DeviceA-FortyGigE1/0/3] display vlan 200
VLAN ID: 200
VLAN type: Static
Route interface: Not configured
Description: VLAN 0200
Name: VLAN 0200
Tagged ports:
FortyGigE1/0/3
Untagged ports:
FortyGigE1/0/2
如下图所示,办公区的主机属于不同的网段192.168.5.0/24和192.168.50.0/24,Device C在收到来自办公区主机的报文时,根据报文的源IP地址,使来自不同网段主机的报文分别在指定的VLAN中传输,其中,来自网段192.168.5.0/24的报文在VLAN 100中传输,来自网段192.168.50.0/24的报文在VLAN 200中传输。
图1-3 基于IP子网的VLAN组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
(1) 配置Device C
# 配置子网192.168.5.0/24与VLAN 100关联。
<DeviceC> system-view
[DeviceC] vlan 100
[DeviceC-vlan100] ip-subnet-vlan ip 192.168.5.0 255.255.255.0
[DeviceC-vlan100] quit
# 配置子网192.168.50.0/24与VLAN 200关联。
[DeviceC] vlan 200
[DeviceC-vlan200] ip-subnet-vlan ip 192.168.50.0 255.255.255.0
[DeviceC-vlan200] quit
# 配置端口FortyGigE1/0/2为Hybrid端口,允许VLAN 100通过,并且在发送VLAN 100的报文时携带VLAN Tag。
[DeviceC] interface fortygige 1/0/2
[DeviceC-FortyGigE1/0/2] port link-type hybrid
[DeviceC-FortyGigE1/0/2] port hybrid vlan 100 tagged
[DeviceC-FortyGigE1/0/2] quit
# 配置端口FortyGigE1/0/3为Hybrid端口,允许VLAN 200通过,并且在发送VLAN 200的报文时携带VLAN Tag。
[DeviceC] interface fortygige 1/0/3
[DeviceC-FortyGigE1/0/3] port link-type hybrid
[DeviceC-FortyGigE1/0/3] port hybrid vlan 200 tagged
[DeviceC-FortyGigE1/0/3] quit
# 配置端口FortyGigE1/0/1为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、200的报文时不携带VLAN Tag。
[DeviceC] interface fortygige 1/0/1
[DeviceC-FortyGigE1/0/1] port link-type hybrid
[DeviceC-FortyGigE1/0/1] port hybrid vlan 100 200 untagged
# 配置端口FortyGigE1/0/1和基于IP子网的VLAN 100、200关联。
[DeviceC-FortyGigE1/0/1] port hybrid ip-subnet-vlan vlan 100
[DeviceC-FortyGigE1/0/1] port hybrid ip-subnet-vlan vlan 200
[DeviceC-FortyGigE1/0/1] quit
(2) 配置Device A和Device B
配置Device A和Device B允许对应VLAN通过,配置过程略。
# 查看所有子网VLAN的信息。
[DeviceC] display ip-subnet-vlan vlan all
VLAN ID: 100
Subnet index IP address Subnet mask
0 192.168.5.0 255.255.255.0
VLAN ID: 200
Subnet index IP address Subnet mask
0 192.168.50.0 255.255.255.0
# 查看端口FortyGigE1/0/1关联的子网VLAN的信息。
[DeviceC] display ip-subnet-vlan interface fortygige 1/0/1
Interface: FortyGigE1/0/1
VLAN ID Subnet index IP address Subnet mask Status
100 0 192.168.5.0 255.255.255.0 Active
200 0 192.168.50.0 255.255.255.0 Active
如下图所示,实验室网络中大部分主机运行IPv4网络协议,另外为了教学需要还部署了IPv6实验局,因此,有些主机运行IPv6网络协议。为了避免互相干扰,将VLAN 100与IPv4协议、ARP协议关联,VLAN 200与IPv6协议关联,通过协议VLAN将IPv4流量和IPv6流量二层互相隔离。
图1-4 基于协议的VLAN组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
(1) 配置Device
# 创建VLAN 100,将端口FortyGigE1/0/3加入VLAN 100。
<Device> system-view
[Device] vlan 100
[Device-vlan100] description protocol VLAN for IPv4
[Device-vlan100] port fortygige 1/0/3
[Device-vlan100] quit
# 创建VLAN 200,将端口FortyGigE1/0/4加入VLAN 200。
[Device] vlan 200
[Device-vlan200] description protocol VLAN for IPv6
[Device-vlan200] port fortygige 1/0/4
# 将IPv6协议报文划分到VLAN 200中传输。
[Device-vlan200] protocol-vlan 1 ipv6
[Device-vlan200] quit
# 将IPv4协议报文和采用Ethernet II封装格式的ARP协议报文(ARP报文对应的封装格式为Ethernet II)划分到VLAN 100中传输。
[Device] vlan 100
[Device-vlan100] protocol-vlan 1 ipv4
[Device-vlan100] protocol-vlan 2 mode ethernetii etype 0806
[Device-vlan100] quit
# 配置端口FortyGigE1/0/1为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、200的报文时不携带VLAN Tag。
[Device] interface fortygige 1/0/1
[Device-FortyGigE1/0/1] port link-type hybrid
[Device-FortyGigE1/0/1] port hybrid vlan 100 200 untagged
# 配置端口FortyGigE1/0/1与VLAN 100的协议模板1(即IPv4协议模板)、协议模板2(即ARP协议模板)和VLAN 200的协议模板1(即IPv6协议模板)进行绑定。
[Device-FortyGigE1/0/1] port hybrid protocol-vlan vlan 100 1 to 2
[Device-FortyGigE1/0/1] port hybrid protocol-vlan vlan 200 1
[Device-FortyGigE1/0/1] quit
# 配置端口FortyGigE1/0/2为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、200的报文时不携带VLAN Tag。
[Device] interface fortygige 1/0/2
[Device-FortyGigE1/0/2] port link-type hybrid
[Device-FortyGigE1/0/2] port hybrid vlan 100 200 untagged
# 配置端口FortyGigE1/0/2与VLAN 100的协议模板1(即IPv4协议模板)、协议模板2(即ARP协议模板)和VLAN 200的协议模板1(即IPv6协议模板)进行绑定。
[Device-FortyGigE1/0/2] port hybrid protocol-vlan vlan 100 1 to 2
[Device-FortyGigE1/0/2] port hybrid protocol-vlan vlan 200 1
[Device-FortyGigE1/0/2] quit
(2) L2 switch A和L2 switch B采用缺省配置
(3) 配置Host和Server
将IPv4 Host A、IPv4 Host B和IPv4 Server配置在一个网段,比如192.168.100.0/24;将IPv6 Host A、IPv6 Host B和IPv6 Server配置在一个网段,比如2001::1/64。
(1) 通过ping命令查看
VLAN 100内的主机和服务器能够互相Ping通;VLAN 200内的主机和服务器能够互相Ping通。但VLAN 100内的主机/服务器与VLAN 200内的主机/服务器之间会Ping失败。
(2) 通过显示信息查看
# 查看所有协议VLAN的信息。
[Device] display protocol-vlan vlan all
VLAN ID: 100
Protocol index Protocol type
1 IPv4
2 Ethernet II Etype 0x0806
VLAN ID: 200
Protocol index Protocol type
1 IPv6
# 查看所有端口关联的协议VLAN的信息。
[Device] display protocol-vlan interface all
Interface: FortyGigE1/0/1
VLAN ID Protocol index Protocol type Status
100 1 IPv4 Active
100 2 Ethernet II Etype 0x0806 Active
200 1 IPv6 Active
Interface: FortyGigE1/0/2
VLAN ID Protocol index Protocol type Status
100 1 IPv4 Active
100 2 Ethernet II Etype 0x0806 Active
200 1 IPv6 Active
在交换局域网中,VLAN技术以其对广播域的灵活控制、部署方便而得到了广泛的应用。但是在一般的交换设备中,通常是采用一个VLAN对应一个VLAN接口的方式来实现广播域之间的互通,这在某些情况下导致了对IP地址的较大浪费。
Super VLAN可以对VLAN进行聚合,从而大幅缩减实际需要的VLAN接口数量,解决IP地址紧张的问题。其原理是一个Super VLAN和多个Sub VLAN关联,关联的Sub VLAN公用Super VLAN对应的VLAN接口(即Super VLAN interface)的IP地址作为三层通信的网关地址,此时Sub VLAN间的三层通信以及Sub VLAN与外部的三层通信均借用Super VLAN interface来实现,从而节省了IP地址资源。
· Super VLAN:支持创建VLAN接口,并配置接口IP地址,不能加入物理接口。
· Sub VLAN:不支持创建VLAN接口,可以加入物理端口,不同Sub VLAN之间二层相互隔离。
为了实现Sub VLAN之间的三层互通,在创建好Super VLAN及其Super VLAN interface之后,用户需要开启设备的本地代理功能:
· 对于IPv4网络环境,用户需要在Super VLAN interface上开启本地代理ARP功能,Super VLAN利用本地代理ARP,可以对Sub VLAN内用户发出的ARP请求和响应报文进行处理,从而实现Sub VLAN之间的三层互通。
· 对于IPv6网络环境,用户需要在Super VLAN interface上开启本地代理ND功能,Super VLAN利用本地代理ND,可以对Sub VLAN内用户发出的NS请求和NA响应报文进行处理,从而实现Sub VLAN之间的三层互通。
· MAC VLAN表项中的VLAN不能配为Super VLAN。
· 一个VLAN不能同时配置为Super VLAN和Sub VLAN。
· 在Super VLAN下可以配置二层组播功能,但是由于Super VLAN中没有物理端口,该配置将不会生效。
Super VLAN配置任务如下:
(1) 创建Sub VLAN
(2) 配置Super VLAN
(1) 进入系统视图。
system-view
(2) 创建VLAN用作Sub VLAN。
vlan vlan-id-list
缺省情况下,系统只有一个缺省VLAN(VLAN 1)。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置VLAN的类型为Super VLAN。
supervlan
缺省情况下,VLAN类型不为Super VLAN。
(4) 建立Super VLAN和Sub VLAN的映射关系。
subvlan vlan-id-list
建立Super VLAN和Sub VLAN的映射关系前,指定的Sub VLAN必须已经创建。
在Super VLAN interface下配置VRRP功能后,会对网络性能造成影响,建议不要这样配置。VRRP的详细描述请参见“可靠性配置指导”中的“VRRP”。
(1) 进入系统视图。
system-view
(2) 创建VLAN接口,并进入VLAN接口视图。
interface vlan-interface interface-number
interface-number的值必须等于Super VLAN ID。
(3) 配置VLAN接口的IP地址。
(IPv4网络)
ip address ip-address { mask-length | mask } [ sub ]
(IPv6网络)
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }
缺省情况下,没有配置VLAN接口的IP地址。
(4) 开启本地代理ARP功能或本地代理ND功能。
(IPv4网络)
local-proxy-arp enable
缺省情况下,本地代理ARP功能处于关闭状态。
本地代理ARP功能的相关介绍请参见“三层技术-IP业务配置指导”中的“代理ARP”。
(IPv6网络)
local-proxy-nd enable
缺省情况下,本地代理ND功能处于关闭状态。
本地代理ND功能的相关介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Super VLAN的运行情况,通过查看显示信息验证配置的效果。
表2-1 Super VLAN显示和维护
|
操作 |
命令 |
|
显示Super VLAN及其关联的Sub VLAN的信息 |
display supervlan [ supervlan-id ] |
Device A连接不同VLAN用户,其中,端口FortyGigE1/0/1和端口FortyGigE1/0/2属于VLAN 2,端口FortyGigE1/0/3和端口FortyGigE1/0/4属于VLAN 3,端口FortyGigE1/0/5和端口FortyGigE1/0/6属于VLAN 5。
为实现Device A连接的各VLAN用户(均在10.1.1.0/24网段)之间能够满足二层隔离和三层互通的同时,节省IP资源,创建Super VLAN,其关联的Sub VLAN公用Super VLAN interface的IP地址10.1.1.1/24作为三层通信的网关地址。
图2-1 配置Super VLAN组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
# 创建VLAN 10,配置VLAN接口的IP地址为10.1.1.1/24。
<DeviceA> system-view
[DeviceA] vlan 10
[DeviceA-vlan10] quit
[DeviceA] interface vlan-interface 10
[DeviceA-Vlan-interface10] ip address 10.1.1.1 255.255.255.0
# 开启设备的本地代理ARP功能。
[DeviceA-Vlan-interface10] local-proxy-arp enable
[DeviceA-Vlan-interface10] quit
# 创建VLAN 2,并向VLAN 2中添加端口FortyGigE1/0/1和端口FortyGigE1/0/2。
[DeviceA] vlan 2
[DeviceA-vlan2] port fortygige 1/0/1 fortygige 1/0/2
[DeviceA-vlan2] quit
# 创建VLAN 3,并向VLAN 3中添加端口FortyGigE1/0/3和端口FortyGigE1/0/4。
[DeviceA] vlan 3
[DeviceA-vlan3] port fortygige 1/0/3 fortygige 1/0/4
[DeviceA-vlan3] quit
# 创建VLAN 5,并向VLAN 5中添加端口FortyGigE1/0/5和端口FortyGigE1/0/6。
[DeviceA] vlan 5
[DeviceA-vlan5] port fortygige 1/0/5 fortygige 1/0/6
[DeviceA-vlan5] quit
# 配置VLAN 10为Super VLAN,其关联的Sub VLAN为VLAN 2、VLAN 3和VLAN 5。
[DeviceA] vlan 10
[DeviceA-vlan10] supervlan
[DeviceA-vlan10] subvlan 2 3 5
[DeviceA-vlan10] quit
[DeviceA] quit
# 查看Super VLAN的相关信息,验证以上配置是否生效。
<DeviceA> display supervlan
Super VLAN ID: 10
Sub-VLAN ID: 2-3 5
VLAN ID: 10
VLAN type: Static
It is a super VLAN.
Route interface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: None
Untagged ports: None
VLAN ID: 2
VLAN type: Static
It is a sub-VLAN.
Route interface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0002
Name: VLAN 0002
Tagged ports: None
Untagged ports:
FortyGigE1/0/1
FortyGigE1/0/2
VLAN ID: 3
VLAN type: Static
It is a sub-VLAN.
Route interface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0003
Name: VLAN 0003
Tagged ports: None
Untagged ports:
FortyGigE1/0/3
FortyGigE1/0/4
VLAN ID: 5
VLAN type: Static
It is a sub-VLAN.
Route unterface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0005
Name: VLAN 0005
Tagged ports: None
Untagged ports:
FortyGigE1/0/5
FortyGigE1/0/6
在采用以太网接入的场景中,基于用户安全和管理计费等方面的考虑,一般会要求接入用户互相隔离。VLAN是天然的隔离手段,于是很自然的想法是每个用户一个VLAN。但是,根据IEEE 802.1Q规定,最多可以提供4094个VLAN。如果每个用户一个VLAN,4094个VLAN远远不能满足需求。
Private VLAN采用二层VLAN结构,它在同一台设备上配置Primary VLAN和Secondary VLAN两类VLAN,既能够保证接入用户之间相互隔离,又能将接入的VLAN ID屏蔽掉,从而节省了VLAN资源。
· Primary VLAN:用于连接上行设备,一个Primary VLAN可以和多个Secondary VLAN相对应。上行连接的设备只需知道Primary VLAN,而不必关心Secondary VLAN,Primary VLAN下面的Secondary VLAN对上行设备不可见。
· Secondary VLAN:用于连接用户,Secondary VLAN之间二层报文互相隔离。如果希望实现同一Primary VLAN下Secondary VLAN用户之间报文的互通,可以通过配置上行设备(如图3-1中的L3 Device A)的本地代理ARP/ND功能来实现三层报文的互通。
如图3-1所示,L2 Device B上启动了Private VLAN功能。其中VLAN 10是Primary VLAN,VLAN 2、VLAN 5、VLAN 8是Secondary VLAN,VLAN 2、VLAN 5、VLAN 8都映射到VLAN 10,VLAN 2、VLAN 5、VLAN 8对L3 Device A不可见。
如果配置Private VLAN功能的设备为三层设备,Secondary VLAN间及Secondary VLAN与外部需要进行三层互通,则可以通过在本地设备上创建Secondary对应的VLAN接口(即Secondary VLAN interface),并在该Secondary VLAN interface上配置IP地址来实现;或者通过在本地设备上配置Primary VLAN下指定Secondary VLAN间三层互通,同时创建Primary VLAN interface(但不能创建Secondary VLAN interface),并在Primary VLAN interface上配置IP地址和本地代理ARP/ND功能来实现。
在完成Private VLAN的配置后,建议用户作如下确认:
· 对于工作模式为promiscuous的端口,确保该端口的PVID为Primary VLAN,该端口以Untagged方式加入Primary VLAN和Secondary VLAN;
· 对于工作模式为trunk promiscuous/trunk secondary的端口,确保该端口以Tagged方式加入Primary VLAN和Secondary VLAN;
· 对于工作模式为host的端口,确保该端口的PVID为Secondary VLAN,该端口以Untagged方式加入Primary VLAN和Secondary VLAN。
设备工作在bridgee模式(配置system-working-mode bridge命令)时,不支持Private VLAN功能。
系统缺省VLAN(VLAN 1)不支持Private VLAN相关配置。
Private VLAN配置任务如下:
(1) 创建Primary VLAN
(2) 创建Secondary VLAN
(3) 配置Primary VLAN和Secondary VLAN间的映射关系
(4) 配置上行端口
(5) 配置下行端口
(6) (可选)配置Primary VLAN下指定Secondary VLAN间三层互通
(1) 进入系统视图。
system-view
(2) 创建VLAN,并进入VLAN视图。
vlan vlan-id
(3) 配置VLAN的类型为Primary VLAN。
private-vlan primary
缺省情况下,VLAN的类型不是Primary VLAN。
(1) 进入系统视图。
system-view
(2) 创建一个或多个Secondary VLAN。
vlan { vlan-id-list | all }
(1) 进入系统视图。
system-view
(2) 进入Primary VLAN视图。
vlan vlan-id
(3) 建立Primary VLAN和Secondary VLAN的映射关系。
private-vlan secondary vlan-id-list
缺省情况下,未建立Primary VLAN和Secondary VLAN的映射关系。
当上行端口(如图3-1中L2 Device B上与L3 Device A相连的端口)只对应一个Primary VLAN时,配置该端口工作在promiscuous模式,可以实现上行端口加入Primary VLAN及同步加入对应的Secondary VLAN的功能;当上行端口对应多个Primary VLAN时,配置该端口工作在trunk promiscuous模式,可以实现上行端口加入多个Primary VLAN及同步加入各自对应的Secondary VLAN的功能。
(1) 进入系统视图。
system-view
(2) 进入上行端口视图。
interface interface-type interface-number
(3) 配置上行端口工作模式。请选择其中一项进行配置。
¡ 配置上行端口在指定VLAN中工作在promiscuous模式。
port private-vlan vlan-id promiscuous
¡ 配置上行端口在指定VLAN中工作在trunk promiscuous模式。
port private-vlan vlan-id-list trunk promiscuous
缺省情况下,端口在指定VLAN中不工作在promiscuous/trunk promiscuous模式。
当下行端口(如图3-1中L2 Device B上与用户相连的端口)只对应一个Secondary VLAN时,配置该端口工作在host模式,可以实现下行端口同步加入Secondary VLAN对应的Primary VLAN的功能;当下行端口对应多个Secondary VLAN时,配置该端口工作在trunk secondary模式,可以实现下行端口加入多个Secondary VLAN及同步加入各自对应的Primary VLAN的功能。
(1) 进入系统视图。
system-view
(2) 进入下行端口视图。
interface interface-type interface-number
(3) 配置端口的链路类型。
port link-type { access | hybrid | trunk }
(4) 配置下行端口加入Secondary VLAN。请选择其中一项进行配置。
¡ 将Access端口加入Secondary VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入Secondary VLAN。
port trunk permit vlan { vlan-id-list | all }
¡ 将Hybrid端口加入Secondary VLAN。
port hybrid vlan vlan-id-list { tagged | untagged }
(5) 配置下行端口的工作模式。请选择其中一项进行配置。
¡ 配置下行端口在指定VLAN中工作在trunk secondary模式。
port private-vlan vlan-id-list trunk secondary
¡ 配置下行端口工作在host模式。
port private-vlan host
缺省情况下,端口不工作在trunk secondary/host模式。
(1) 进入系统视图。
system-view
(2) 进入Primary VLAN interface视图。
interface vlan-interface interface-number
(3) 配置当前Primary VLAN下指定的Secondary VLAN间三层互通。
private-vlan secondary vlan-id-list
缺省情况下,Secondary VLAN之间三层不互通。
(4) 配置Primary VLAN接口的IP地址。
(IPv4网络)
ip address ip-address { mask-length | mask } [ sub ]
(IPv6网络)
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }
缺省情况下,没有配置VLAN接口的IP地址。
(5) 开启本地代理ARP功能或本地代理ND功能。
(IPv4网络)
local-proxy-arp enable
缺省情况下,本地代理ARP功能处于关闭状态。
本地代理ARP功能的相关介绍请参见“三层技术-IP业务配置指导”中的“代理ARP”。
(IPv6网络)
local-proxy-nd enable
缺省情况下,本地代理ND功能处于关闭状态。
本地代理ND功能的相关介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Private VLAN的运行情况,通过查看显示信息验证配置的效果。
表3-1 Private VLAN显示和维护
|
操作 |
命令 |
|
显示Primary VLAN和其包含的Secondary VLAN的信息 |
display private-vlan [ primary-vlan-id ] |
· Device B上的Primary VLAN 5包含上行端口FortyGigE1/0/5,并关联两个Secondary VLAN(VLAN 2和VLAN 3),其中,VLAN 2包含端口FortyGigE1/0/2,VLAN 3包含端口FortyGigE1/0/3。
· Device C上的Primary VLAN 6包含上行端口FortyGigE1/0/5,并关联两个Secondary VLAN(VLAN 3和VLAN 4),其中,VLAN 3包含端口FortyGigE1/0/3,VLAN 4包含端口FortyGigE1/0/4。
· 从Device A看,下接的Device B只有一个VLAN(VLAN 5),下接的Device C只有一个VLAN(VLAN 6)。
图3-2 组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
下面只列出Device B和Device C的配置过程。
(1) 配置Device B
# 配置VLAN 5为Primary VLAN。
<DeviceB> system-view
[DeviceB] vlan 5
[DeviceB-vlan5] private-vlan primary
[DeviceB-vlan5] quit
# 创建Secondary VLAN 2、3。
[DeviceB] vlan 2 to 3
# 配置Primary VLAN 5和Secondary VLAN 2、3的映射关系。
[DeviceB] vlan 5
[DeviceB-vlan5] private-vlan secondary 2 to 3
[DeviceB-vlan5] quit
# 配置上行端口FortyGigE1/0/5在VLAN 5中工作在promiscuous模式。
[DeviceB] interface fortygige 1/0/5
[DeviceB-FortyGigE1/0/5] port private-vlan 5 promiscuous
[DeviceB-FortyGigE1/0/5] quit
# 将下行端口FortyGigE1/0/2、FortyGigE1/0/3分别添加到VLAN 2、VLAN 3,并配置它们工作在host模式。
[DeviceB] interface fortygige 1/0/2
[DeviceB-FortyGigE1/0/2] port access vlan 2
[DeviceB-FortyGigE1/0/2] port private-vlan host
[DeviceB-FortyGigE1/0/2] quit
[DeviceB] interface fortygige 1/0/3
[DeviceB-FortyGigE1/0/3] port access vlan 3
[DeviceB-FortyGigE1/0/3] port private-vlan host
[DeviceB-FortyGigE1/0/3] quit
(2) 配置Device C
# 配置VLAN 6为Primary VLAN。
<DeviceC> system-view
[DeviceC] vlan 6
[DeviceC–vlan6] private-vlan primary
[DeviceC–vlan6] quit
# 创建Secondary VLAN 3、4。
[DeviceC] vlan 3 to 4
# 配置Primary VLAN 6和Secondary VLAN 3、4的映射关系。
[DeviceC] vlan 6
[DeviceC-vlan6] private-vlan secondary 3 to 4
[DeviceC-vlan6] quit
# 配置上行端口FortyGigE1/0/5在VLAN 6中工作在promiscuous模式。
[DeviceC] interface fortygige 1/0/5
[DeviceC-FortyGigE1/0/5] port private-vlan 6 promiscuous
[DeviceC-FortyGigE1/0/5] quit
# 将下行端口FortyGigE1/0/3、FortyGigE1/0/4分别添加到VLAN 3、VLAN 4,并配置它们工作在host模式。
[DeviceC] interface fortygige 1/0/3
[DeviceC-FortyGigE1/0/3] port access vlan 3
[DeviceC-FortyGigE1/0/3] port private-vlan host
[DeviceC-FortyGigE1/0/3] quit
[DeviceC] interface fortygige 1/0/4
[DeviceC-FortyGigE1/0/4] port access vlan 4
[DeviceC-FortyGigE1/0/4] port private-vlan host
[DeviceC-FortyGigE1/0/4] quit
# 显示Device B上的Private VLAN配置情况(Device C的显示结果类似,这里不再列出)。
[DeviceB] display private-vlan
Primary VLAN ID: 5
Secondary VLAN ID: 2-3
VLAN ID: 5
VLAN type: Static
Private VLAN type: Primary
Route interface: Not configured
Description: VLAN 0005
Name: VLAN 0005
Tagged ports: None
Untagged ports:
FortyGigE1/0/2
FortyGigE1/0/3
FortyGigE1/0/5
VLAN ID: 2
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0002
Name: VLAN 0002
Tagged ports: None
Untagged ports:
FortyGigE1/0/2
FortyGigE1/0/5
VLAN ID: 3
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0003
Name: VLAN 0003
Tagged Ports: None
Untagged Ports:
FortyGigE1/0/3
FortyGigE1/0/5
可以看到,工作在promiscuous模式的端口FortyGigE1/0/5和工作在host模式的端口FortyGigE1/0/2和FortyGigE1/0/3均以Untagged方式允许VLAN报文通过。
· Device B上的VLAN 5和VLAN 10为Primary VLAN,其上行端口FortyGigE1/0/1需要允许VLAN 5和VLAN 10的报文携带VLAN Tag通过。
· Device B的下行端口FortyGigE1/0/2允许Secondary VLAN 2通过,FortyGigE1/0/3允许Secondary VLAN 3通过,Secondary VLAN 2、3映射到Primary VLAN 5。
· Device B的下行端口FortyGigE1/0/4允许Secondary VLAN 6通过,FortyGigE1/0/5允许Secondary VLAN 8通过,Secondary VLAN 6、8映射到Primary VLAN 10。
· 从Device A看,下接的Device B只有VLAN 5和VLAN 10。
图3-3 组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
(1) 配置Device B
# 配置VLAN 5和VLAN 10为Primary VLAN。
<DeviceB> system-view
[DeviceB] vlan 5
[DeviceB-vlan5] private-vlan primary
[DeviceB-vlan5] quit
[DeviceB] vlan 10
[DeviceB-vlan10] private-vlan primary
[DeviceB-vlan10] quit
# 创建Secondary VLAN 2、3、6、8。
[DeviceB] vlan 2 to 3
[DeviceB] vlan 6
[DeviceB-vlan6] quit
[DeviceB] vlan 8
[DeviceB-vlan8] quit
# 配置Primary VLAN 5和Secondary VLAN 2、3的映射关系。
[DeviceB] vlan 5
[DeviceB-vlan5] private-vlan secondary 2 to 3
[DeviceB-vlan5] quit
# 配置Primary VLAN 10和Secondary VLAN 6、8的映射关系。
[DeviceB] vlan 10
[DeviceB-vlan10] private-vlan secondary 6 8
[DeviceB-vlan10] quit
# 配置上行端口FortyGigE1/0/1在VLAN 5和VLAN 10中工作在trunk promiscuous模式。
[DeviceB] interface fortygige 1/0/1
[DeviceB-FortyGigE1/0/1] port private-vlan 5 10 trunk promiscuous
[DeviceB-FortyGigE1/0/1] quit
# 将下行端口FortyGigE1/0/2加入VLAN 2,FortyGigE1/0/3加入VLAN 3,并配置它们工作在host模式。
[DeviceB] interface fortygige 1/0/2
[DeviceB-FortyGigE1/0/2] port access vlan 2
[DeviceB-FortyGigE1/0/2] port private-vlan host
[DeviceB-FortyGigE1/0/2] quit
[DeviceB] interface fortygige 1/0/3
[DeviceB-FortyGigE1/0/3] port access vlan 3
[DeviceB-FortyGigE1/0/3] port private-vlan host
[DeviceB-FortyGigE1/0/3] quit
# 将下行端口FortyGigE1/0/4加入VLAN 6,FortyGigE1/0/5加入VLAN 8,并配置它们工作在host模式。
[DeviceB] interface fortygige 1/0/4
[DeviceB-FortyGigE1/0/4] port access vlan 6
[DeviceB-FortyGigE1/0/4] port private-vlan host
[DeviceB-FortyGigE1/0/4] quit
[DeviceB] interface fortygige 1/0/5
[DeviceB-FortyGigE1/0/5] port access vlan 8
[DeviceB-FortyGigE1/0/5] port private-vlan host
[DeviceB-FortyGigE1/0/5] quit
(2) 配置Device A
# 创建VLAN 5和VLAN 10。
[DeviceA] vlan 5
[DeviceA-vlan5] quit
[DeviceA] vlan 10
[DeviceA-vlan10] quit
# 配置端口FortyGigE1/0/1为Hybrid端口,并允许VLAN 5和VLAN 10携带Tag通过。
[DeviceA] interface fortygige 1/0/1
[DeviceA-FortyGigE1/0/1] port link-type hybrid
[DeviceA-FortyGigE1/0/1] port hybrid vlan 5 10 tagged
[DeviceA-FortyGigE1/0/1] quit
# 显示Device B上的Primary VLAN 5配置情况(Primary VLAN 10的显示结果类似,这里不再列出)。
[DeviceB] display private-vlan 5
Primary VLAN ID: 5
Secondary VLAN ID: 2-3
VLAN ID: 5
VLAN type: Static
Private VLAN type: Primary
Route interface: Not configured
Description: VLAN 0005
Name: VLAN 0005
Tagged ports:
FortyGigE1/0/1
Untagged ports:
FortyGigE1/0/2
FortyGigE1/0/3
VLAN ID: 2
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0002
Name: VLAN 0002
Tagged ports:
FortyGigE1/0/1
Untagged ports:
FortyGigE1/0/2
VLAN ID: 3
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0003
Name: VLAN 0003
Tagged ports:
FortyGigE1/0/1
Untagged ports:
FortyGigE1/0/3
可以看到,工作在trunk promiscuous模式的端口FortyGigE1/0/1以Tagged方式允许VLAN报文通过,工作在host模式的端口FortyGigE1/0/2和FortyGigE1/0/3以Untagged方式允许VLAN报文通过。
· Device A上的VLAN 10和VLAN 20为Primary VLAN,上行端口FortyGigE1/0/5需要允许VLAN 10和VLAN 20的报文携带VLAN Tag通过。
· Device A上的VLAN 11、12、21、22为Secondary VLAN,下行端口FortyGigE1/0/2允许Secondary VLAN 11、21的报文携带VLAN Tag通过,下行端口FortyGigE1/0/1允许Secondary VLAN 22通过,下行端口FortyGigE1/0/3允许Secondary VLAN 12通过。
· Secondary VLAN 11、12映射到Primary VLAN 10;Secondary VLAN 21、22映射到Primary VLAN 20。
图3-4 组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
(1) 配置Device A
# 配置VLAN 10和VLAN 20为Primary VLAN。
<DeviceA> system-view
[DeviceA] vlan 10
[DeviceA-vlan10] private-vlan primary
[DeviceA-vlan10] quit
[DeviceA] vlan 20
[DeviceA-vlan20] private-vlan primary
[DeviceA-vlan20] quit
# 创建Secondary VLAN 11、12、21、22。
[DeviceA] vlan 11 to 12
[DeviceA] vlan 21 to 22
# 配置Primary VLAN 10和Secondary VLAN 11、12的映射关系。
[DeviceA] vlan 10
[DeviceA-vlan10] private-vlan secondary 11 12
[DeviceA-vlan10] quit
# 配置Primary VLAN 20和Secondary VLAN 21、22的映射关系。
[DeviceA] vlan 20
[DeviceA-vlan20] private-vlan secondary 21 22
[DeviceA-vlan20] quit
# 配置上行端口FortyGigE1/0/5在VLAN 10和VLAN 20中工作在trunk promiscuous模式。
[DeviceA] interface fortygige 1/0/5
[DeviceA-FortyGigE1/0/5] port private-vlan 10 20 trunk promiscuous
[DeviceA-FortyGigE1/0/5] quit
# 将下行端口FortyGigE1/0/1加入VLAN 22,并配置其工作在host模式。
[DeviceA] interface fortygige 1/0/1
[DeviceA-FortyGigE1/0/1] port access vlan 22
[DeviceA-FortyGigE1/0/1] port private-vlan host
[DeviceA-FortyGigE1/0/1] quit
# 将下行端口FortyGigE1/0/3加入VLAN 12,并配置其工作在host模式。
[DeviceA] interface fortygige 1/0/3
[DeviceA-FortyGigE1/0/3] port access vlan 12
[DeviceA-FortyGigE1/0/3] port private-vlan host
[DeviceA-FortyGigE1/0/3] quit
# 配置下行端口FortyGigE1/0/2在VLAN 11和VLAN 21中工作在trunk secondary模式。
[DeviceA] interface fortygige 1/0/2
[DeviceA-FortyGigE1/0/2] port private-vlan 11 21 trunk secondary
[DeviceA-FortyGigE1/0/2] quit
(2) 配置Device B
# 创建VLAN 11和VLAN 21。
<DeviceB> system-view
[DeviceB] vlan 11
[DeviceB-vlan11] quit
[DeviceB] vlan 21
[DeviceB-vlan21] quit
# 配置端口FortyGigE1/0/2为Hybrid端口,并允许VLAN 11和VLAN 21携带Tag通过。
[DeviceB] interface fortygige 1/0/2
[DeviceB-FortyGigE1/0/2] port link-type hybrid
[DeviceB-FortyGigE1/0/2] port hybrid vlan 11 21 tagged
[DeviceB-FortyGigE1/0/2] quit
# 将端口FortyGigE1/0/3加入VLAN 11。
[DeviceB] interface fortygige 1/0/3
[DeviceB-FortyGigE1/0/3] port access vlan 11
[DeviceB-FortyGigE1/0/3] quit
# 将端口FortyGigE1/0/4加入VLAN 21。
[DeviceB] interface fortygige 1/0/4
[DeviceB-FortyGigE1/0/4] port access vlan 21
[DeviceB-FortyGigE1/0/4] quit
(3) 配置Device C
# 创建VLAN 10和VLAN 20。
<DeviceC> system-view
[DeviceC] vlan 10
[DeviceC-vlan10] quit
[DeviceC] vlan 20
[DeviceC-vlan20] quit
# 配置端口FortyGigE1/0/5为Hybrid端口,并允许VLAN 10和VLAN 20携带Tag通过。
[DeviceC] interface fortygige 1/0/5
[DeviceC-FortyGigE1/0/5] port link-type hybrid
[DeviceC-FortyGigE1/0/5] port hybrid vlan 10 20 tagged
[DeviceC-FortyGigE1/0/5] quit
# 显示Device A上Primary VLAN 10的配置情况(Primary VLAN 20的显示结果类似,这里不再列出)。
[DeviceA] display private-vlan 10
Primary VLAN ID: 10
Secondary VLAN ID: 11-12
VLAN ID: 10
VLAN type: Static
Private-vlan type: Primary
Route interface: Not configured
Description: VLAN 0010
Name: VLAN 0010
Tagged ports:
FortyGigE1/0/2
FortyGigE1/0/5
Untagged ports:
FortyGigE1/0/3
VLAN ID: 11
VLAN type: Static
Private-vlan type: Secondary
Route interface: Not configured
Description: VLAN 0011
Name: VLAN 0011
Tagged ports:
FortyGigE1/0/2
FortyGigE1/0/5
Untagged ports: None
VLAN ID: 12
VLAN type: Static
Private-vlan type: Secondary
Route interface: Not configured
Description: VLAN 0012
Name: VLAN 0012
Tagged ports:
FortyGigE1/0/5
Untagged ports:
FortyGigE1/0/3
可以看到,工作在trunk promiscuous模式的端口FortyGigE1/0/5和工作在trunk secondary模式的端口FortyGigE1/0/2以Tagged方式允许VLAN报文通过,工作在host模式的端口FortyGigE1/0/3以Untagged方式允许VLAN报文通过。
· Device A上的VLAN 10为Primary VLAN,包含上行端口FortyGigE1/0/1并关联两个Secondary VLAN(VLAN 2和VLAN 3),VLAN 2包含端口FortyGigE1/0/2,VLAN 3包含端口FortyGigE1/0/3。VLAN接口10的IP地址为192.168.1.1/24。
· 实现各Secondary VLAN间二层隔离和三层互通。
图3-5 组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
# 配置VLAN 10为Primary VLAN。
<DeviceA> system-view
[DeviceA] vlan 10
[DeviceA-vlan10] private-vlan primary
[DeviceA-vlan10] quit
# 创建Secondary VLAN 2、3。
[DeviceA] vlan 2 to 3
# 配置Primary VLAN 10和Secondary VLAN 2、3的映射关系。
[DeviceA] vlan 10
[DeviceA-vlan10] private-vlan secondary 2 3
[DeviceA-vlan10] quit
# 配置上行端口FortyGigE1/0/1在VLAN 10中工作在promiscuous模式。
[DeviceA] interface fortygige 1/0/1
[DeviceA-FortyGigE1/0/1] port private-vlan 10 promiscuous
[DeviceA-FortyGigE1/0/1] quit
# 将下行端口FortyGigE1/0/2加入VLAN 2,并配置其工作在host模式。
[DeviceA] interface fortygige 1/0/2
[DeviceA-FortyGigE1/0/2] port access vlan 2
[DeviceA-FortyGigE1/0/2] port private-vlan host
[DeviceA-FortyGigE1/0/2] quit
# 将下行端口FortyGigE1/0/3加入VLAN 3,并配置其工作在host模式。
[DeviceA] interface fortygige 1/0/3
[DeviceA-FortyGigE1/0/3] port access vlan 3
[DeviceA-FortyGigE1/0/3] port private-vlan host
[DeviceA-FortyGigE1/0/3] quit
# 配置Primary VLAN 10下Secondary VLAN 2、3之间三层互通。
[DeviceA] interface vlan-interface 10
[DeviceA-Vlan-interface10] private-vlan secondary 2 3
# 配置VLAN接口10的IP地址为192.168.1.1/24。
[DeviceA-Vlan-interface10] ip address 192.168.1.1 255.255.255.0
# 开启本地代理ARP功能。
[DeviceA-Vlan-interface10] local-proxy-arp enable
[DeviceA-Vlan-interface10] quit
# 查看Private VLAN 10的相关信息,验证以上配置是否生效。
[DeviceA] display private-vlan 10
Primary VLAN ID: 10
Secondary VLAN ID: 2-3
VLAN ID: 10
VLAN type: Static
Private VLAN type: Primary
Route interface: Configured
IPv4 address: 192.168.1.1
IPv4 subnet mask: 255.255.255.0
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: None
Untagged ports:
FortyGigE1/0/1
FortyGigE1/0/2
FortyGigE1/0/3
VLAN ID: 2
VLAN type: Static
Private VLAN type: Secondary
Route interface: Configured
IPv4 address: 192.168.1.1
IPv4 subnet mask: 255.255.255.0
Description: VLAN 0002
Name: VLAN 0002
Tagged ports: None
Untagged ports:
FortyGigE1/0/1
FortyGigE1/0/2
VLAN ID: 3
VLAN type: Static
Private VLAN type: Secondary
Route interface: Configured
IPv4 address: 192.168.1.1
IPv4 subnet mask: 255.255.255.0
Description: VLAN 0003
Name: VLAN 0003
Tagged ports: None
Untagged ports:
FortyGigE1/0/1
FortyGigE1/0/3
可以看到,Secondary VLAN 2和Secondary VLAN 3的Route interface字段都显示为Configured,说明Secondary VLAN 2与Secondary VLAN 3间已配置三层互通。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
