- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-VLAN配置
本章節下載: 09-VLAN配置 (774.71 KB)
目 錄
以太網是一種基於CSMA/CD(Carrier Sense Multiple Access/Collision Detect,載波偵聽多路訪問/衝突檢測)的共享通訊介質的數據網絡通訊技術,當主機數目較多時會導致衝突嚴重、廣播泛濫、性能顯著下降甚至使網絡不可用等問題。通過交換機實現LAN互聯雖然可以解決衝突(Collision)嚴重的問題,但仍然不能隔離廣播報文。在這種情況下出現了VLAN(Virtual Local Area Network,虛擬局域網)技術,這種技術可以把一個LAN劃分成多個虛擬的LAN——VLAN,每個VLAN是一個廣播域,VLAN內的主機間通信就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文被限製在一個VLAN內,如圖1-1所示。
圖1-1 VLAN示意圖
VLAN的劃分不受物理位置的限製:不在同一物理位置範圍的主機可以屬於同一個VLAN;一個VLAN包含的用戶可以連接在同一個交換機上,也可以跨越交換機,甚至可以跨越路由器。
VLAN的優點如下:
· 限製廣播域。廣播域被限製在一個VLAN內,節省了帶寬,提高了網絡處理能力。
· 增強局域網的安全性。VLAN間的二層報文是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需通過路由器或三層交換機等三層設備。
· 靈活構建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必局限於某一固定的物理範圍,網絡構建和維護更方便靈活。
要使網絡設備能夠分辨不同VLAN的報文,需要在報文中添加標識VLAN的字段。由於普通交換機工作在OSI模型的數據鏈路層,隻能對報文的數據鏈路層封裝進行識別。因此,如果添加識別字段,也需要添加到數據鏈路層封裝中。
IEEE(Institute of Electrical and Electronics Engineers,電氣和電子工程師學會)於1999年頒布了用以標準化VLAN實現方案的IEEE 802.1Q協議標準草案,對帶有VLAN標識的報文結構進行了統一規定。
傳統的以太網數據幀在目的MAC地址和源MAC地址之後封裝的是上層協議的類型字段,如圖1-2所示。
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示報文所屬協議類型。
IEEE 802.1Q協議規定在目的MAC地址和源MAC地址之後封裝4個字節的VLAN Tag,用以標識VLAN的相關信息。
圖1-3 VLAN Tag的組成字段
如圖1-3所示,VLAN Tag包含四個字段,分別是TPID(Tag Protocol Identifier,標簽協議標識符)、Priority、CFI(Canonical Format Indicator,標準格式指示位)和VLAN ID。
· TPID用來判斷本數據幀是否帶有VLAN Tag,長度為16bit,缺省取值為0x8100。各設備廠商可以自定義該字段的值。當鄰居設備將TPID值配置為非0x8100時,為了能夠識別這樣的報文,實現互通,必須在本設備上修改TPID值,確保和鄰居設備的TPID值配置一致。如果報文的TPID值為配置值或0x8100,則該報文被認為帶有VLAN Tag。配置TPID值的相關命令請參見“二層技術-以太網交換命令參考”中的“QinQ”。
· Priority表示報文的802.1P優先級,長度為3bit。
· CFI字段標識MAC地址在不同的傳輸介質中是否以標準格式進行封裝,長度為1bit,取值為0表示MAC地址以標準格式進行封裝,為1表示以非標準格式封裝,缺省取值為0。
· VLAN ID標識該報文所屬VLAN的編號,長度為12bit,取值範圍為0~4095。由於0和4095為協議保留取值,所以VLAN ID的取值範圍為1~4094。
網絡設備根據報文是否攜帶VLAN Tag以及攜帶的VLAN Tag信息,來對報文進行處理,利用VLAN ID來識別報文所屬的VLAN。詳細的處理方式請參見“1.4.1 基於端口的VLAN簡介”。
· 這裏的幀格式以Ethernet II型封裝為例,以太網還支持802.2 LLC、802.2 SNAP和802.3 raw封裝格式。對於這些封裝格式的報文,也會添加VLAN Tag字段,用來區分不同VLAN的報文。
· 對於多VLAN Tag報文,設備會根據其最外層VLAN Tag進行處理,而內層VLAN Tag會被視為報文的普通數據部分。
VLAN根據劃分方式不同可以分為不同類型,下麵列出了幾種最常見的VLAN類型:
· 基於端口的VLAN
· 基於MAC地址的VLAN
· 基於協議的VLAN
· 基於IP子網的VLAN
· 基於策略的VLAN
· 其它VLAN
本章將分別介紹基於端口的VLAN、基於MAC地址的VLAN、基於協議的VLAN和基於IP子網的VLAN。如果某個接口下同時使能以上四種VLAN,則缺省情況下VLAN的匹配將按照MAC VLAN、IP子網VLAN、協議VLAN、端口VLAN的先後順序進行。
與VLAN相關的協議規範有:
· IEEE 802.1Q:IEEE Standard for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks
表1-1 配置VLAN基本屬性
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個VLAN並進入VLAN視圖,或批量創建VLAN |
vlan { vlan-id1 [ to vlan-id2 ] | all } |
可選 缺省情況下,係統隻有一個缺省VLAN(VLAN 1) |
|
進入VLAN視圖 |
vlan vlan-id |
必選 批量創建VLAN時,為必選;否則,無需執行本命令 |
|
指定當前VLAN的名稱 |
name text |
可選 缺省情況下,VLAN的名稱為該VLAN的VLAN ID,如“VLAN 0001” |
|
配置當前VLAN的描述信息 |
description text |
可選 缺省情況下,VLAN的描述字符串為該VLAN的VLAN ID,如“VLAN 0001” |
· VLAN 1為係統缺省VLAN,用戶不能手工創建和刪除。
· 保留VLAN是係統為實現特定功能預留的VLAN,用戶也不能手工創建和刪除。
· 協議保留的VLAN、Voice VLAN、管理VLAN、動態學習到的VLAN、配置有QoS策略的VLAN、Smart Link的控製VLAN、RRPP的控製VLAN、遠程鏡像VLAN等,都不能使用undo vlan命令直接刪除。隻有將相關配置刪除之後,才能刪除相應的VLAN。
不同VLAN間的主機不能直接通信,通過在設備上配置VLAN接口,可以實現VLAN間的三層互通。
VLAN接口是一種三層的虛擬接口,它不作為物理實體存在於設備上。每個VLAN對應一個VLAN接口,在為VLAN接口配置了IP地址後,該IP地址即可作為本VLAN內網絡設備的網關地址,對需要跨網段的報文進行基於IP地址的三層轉發。
表1-2 配置VLAN接口基本屬性
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 S5500-EI: · 空配置啟動時,使用軟件功能缺省值,設備上沒有任何VLAN接口 · 缺省配置啟動時,使用軟件功能出廠值,設備上已創建VLAN1接口 · 關於空配置啟動和缺省配置啟動,請參見“基礎配置指導”中的“配置文件管理” S5500-SI:缺省情況下,設備上沒有任何VLAN接口 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } [ sub ] |
可選 S5500-EI: · 空配置啟動時,使用軟件功能缺省值,沒有配置VLAN接口的IP地址 · 缺省配置啟動時,使用軟件功能出廠值,VLAN1接口使用DHCP方式自動獲取IP地址 S5500-SI:缺省情況下,沒有配置VLAN接口的IP地址 |
|
配置當前VLAN接口的描述信息 |
description text |
可選 缺省情況下,VLAN接口的描述信息為該VLAN接口的接口名,如“Vlan-interface1 Interface” |
|
配置VLAN接口的MTU值 |
mtu size |
可選 缺省情況下,VLAN接口的MTU值為1500字節 |
|
恢複VLAN接口的缺省配置 |
default |
可選 |
|
打開VLAN接口 |
undo shutdown |
可選 缺省情況下,未手工關閉VLAN接口。此時VLAN接口狀態受VLAN中端口狀態的影響,即:當VLAN中所有以太網端口狀態均為down時,VLAN接口為down狀態,即關閉狀態;當VLAN中有一個或一個以上的以太網端口處於up狀態時,則VLAN接口處於up狀態。 如果將VLAN接口的狀態通過shutdown命令設置為DOWN(Administratively),則VLAN接口的狀態始終為DOWN(Administratively),不受VLAN中端口狀態的影響 |
在創建VLAN接口之前,對應的VLAN必須已經存在,否則將不能創建指定的VLAN接口。
如圖1-4所示,PC A、PC B與Switch A組網。其中PC A、PC B分別屬於VLAN 5、VLAN 10,且處於不同網段,不能直接通信。通過在Switch A上創建並配置VLAN接口,實現不同網段的PC A與PC B跨VLAN三層互通。
圖1-4 通過VLAN接口實現VLAN間互通
(1) 配置Switch A
# 創建VLAN 5,並向VLAN 5中添加端口GigabitEthernet1/0/1。
<SwitchA> system-view
[SwitchA] vlan 5
[SwitchA-vlan5] port GigabitEthernet 1/0/1
# 創建VLAN 10,並向VLAN 10中添加端口GigabitEthernet1/0/2。
[SwitchA-vlan5] vlan 10
[SwitchA-vlan10] port GigabitEthernet 1/0/2
[SwitchA-vlan10] quit
# 創建Vlan-interface5,並配置其IP地址為192.168.0.10/24。
[SwitchA] interface vlan-interface 5
[SwitchA-Vlan-interface5] ip address 192.168.0.10 24
[SwitchA-Vlan-interface5] quit
# 創建Vlan-interface10,並配置其IP地址為192.168.1.20/24。
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ip address 192.168.1.20 24
[SwitchA-Vlan-interface10] return
(2) 配置PC A
# 將其默認網關配為192.168.0.10。
(3) 配置PC B
# 將其默認網關配為192.168.1.20。
(1) PC A與PC B可以相互ping通。
(2) 通過查看顯示信息驗證配置是否成功。
# 查看Switch A上三層接口的IP基本配置信息,驗證以上配置是否生效。
<SwitchA> display ip interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IP Address Description
Vlan-interface5 up up 192.168.0.10 Vlan-inte...
Vlan-interface10 up up 192.168.1.20 Vlan-inte...
基於端口劃分VLAN是最簡單、最有效的VLAN劃分方法。它按照設備端口來定義VLAN成員,將指定端口加入到指定VLAN中之後,端口就可以轉發指定VLAN的報文。
根據端口在轉發報文時對VLAN Tag的不同處理方式,可將端口的鏈路類型分為三種:
· Access連接:端口發出去的報文不帶VLAN Tag。一般用於和不能識別VLAN Tag的終端設備相連,或者不需要區分不同VLAN成員時使用。
· Trunk連接:端口發出去的報文,端口缺省VLAN內的報文不帶Tag,其它VLAN內的報文都必須帶Tag。通常用於網絡傳輸設備之間的互連。
· Hybrid連接:端口發出去的報文可根據需要設置某些VLAN內的報文帶Tag,某些VLAN內的報文不帶Tag。Hybrid類型端口既可以用於網絡傳輸設備之間的互連,又可以直接連接終端設備。
除了可以設置端口允許通過的VLAN,還可以設置端口的缺省VLAN,即PVID(Port VLAN ID,端口VLAN ID)。在缺省情況下,所有端口的缺省VLAN均為VLAN 1,但用戶可以根據需要進行配置。
· Access端口的缺省VLAN就是它所在的VLAN。
· Trunk端口和Hybrid端口可以允許多個VLAN通過,能夠配置缺省VLAN。
· 當執行undo vlan命令刪除的VLAN是某個端口的缺省VLAN時,對Access端口,端口的缺省VLAN會恢複到VLAN 1;對Trunk或Hybrid端口,端口的缺省VLAN配置不會改變,即它們可以使用已經不存在的VLAN作為缺省VLAN。
· 當Voice VLAN工作模式為自動模式時,不能將缺省VLAN設置為Voice VLAN。有關Voice VLAN的相關內容,請參見“4 Voice VLAN配置”。
· 建議本端設備端口的缺省VLAN ID和相連的對端設備端口的缺省VLAN ID保持一致。
· 建議保證端口的缺省VLAN為端口允許通過的VLAN。如果端口不允許某VLAN通過,但是端口的缺省VLAN為該VLAN,則端口會丟棄收到的該VLAN的報文或者不帶VLAN Tag的報文。
在配置了端口鏈路類型和缺省VLAN後,端口對報文的接收和發送的處理有幾種不同情況,具體情況請參看表1-3。
|
端口類型 |
對接收報文的處理 |
對發送報文的處理 |
|
|
當接收到的報文不帶Tag時 |
當接收到的報文帶有Tag時 |
||
|
Access端口 |
為報文添加缺省VLAN的Tag |
· 當VLAN ID與缺省VLAN ID相同時,接收該報文 · 當VLAN ID與缺省VLAN ID不同時,丟棄該報文 |
去掉Tag,發送該報文 |
|
Trunk端口 |
· 當缺省VLAN ID在端口允許通過的VLAN ID列表裏時,接收該報文,給報文添加缺省VLAN的Tag · 當缺省VLAN ID不在端口允許通過的VLAN ID列表裏時,丟棄該報文 |
· 當VLAN ID在端口允許通過的VLAN ID列表裏時,接收該報文 · 當VLAN ID不在端口允許通過的VLAN ID列表裏時,丟棄該報文 |
· 當VLAN ID與缺省VLAN ID相同,且是該端口允許通過的VLAN ID時:去掉Tag,發送該報文 · 當VLAN ID與缺省VLAN ID不同,且是該端口允許通過的VLAN ID時:保持原有Tag,發送該報文 |
|
Hybrid端口 |
當報文中攜帶的VLAN ID是該端口允許通過的VLAN ID時,發送該報文,並可以通過port hybrid vlan命令配置端口在發送該VLAN(包括缺省VLAN)的報文時是否攜帶Tag |
||
配置基於Access端口的VLAN有兩種方法:一種是在VLAN視圖下進行配置,另一種是在二層以太網端口視圖/端口組視圖/二層聚合接口視圖下進行配置。
表1-4 配置基於Access端口的VLAN(在VLAN視圖下)
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
必選 如果指定的VLAN不存在,則該命令先完成VLAN的創建,然後再進入該VLAN的視圖 |
|
向當前VLAN中添加一個或一組Access端口 |
port interface-list |
必選 缺省情況下,係統將所有端口都加入到VLAN 1 |
表1-5 配置基於Access端口的VLAN(在二層以太網端口視圖/端口組視圖/二層聚合接口視圖)
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
四者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口的鏈路類型為Access類型 |
port link-type access |
可選 缺省情況下,端口的鏈路類型為Access類型 |
|
|
將當前Access端口加入到指定VLAN |
port access vlan vlan-id |
可選 缺省情況下,所有Access端口均屬於且隻屬於VLAN 1 |
|
· 在將Access端口加入到指定VLAN之前,要加入的VLAN必須已經存在。
· 在VLAN視圖下向VLAN中添加端口時,隻能添加二層以太網端口。
Trunk端口可以允許多個VLAN通過,隻能在二層以太網端口視圖/端口組視圖/二層聚合接口視圖下進行配置。
表1-6 配置基於Trunk端口的VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
四者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
|
允許指定的VLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
必選 缺省情況下,Trunk端口隻允許VLAN 1的報文通過 |
|
|
設置Trunk端口的缺省VLAN |
port trunk pvid vlan vlan-id |
可選 缺省情況下,Trunk端口的缺省VLAN為VLAN 1 |
|
· Trunk端口和Hybrid端口之間不能直接切換,隻能先設為Access端口,再設置為其它類型端口。例如:Trunk端口不能直接被設置為Hybrid端口,隻能先設為Access端口,再設置為Hybrid端口。
· 配置缺省VLAN後,必須使用port trunk permit vlan命令配置允許缺省VLAN的報文通過,出接口才能轉發缺省VLAN的報文。
Hybrid端口可以允許多個VLAN通過,隻能在二層以太網端口視圖/端口組視圖/二層聚合接口視圖下進行配置。
表1-7 配置基於Hybrid端口的VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
四者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
|
允許指定的VLAN通過當前Hybrid端口 |
port hybrid vlan vlan-list { tagged | untagged } |
必選 缺省情況下,Hybrid端口隻允許VLAN 1的報文以Untagged方式通過(即VLAN 1的報文從該端口發送出去後不攜帶VLAN Tag) |
|
|
設置Hybrid端口的缺省VLAN |
port hybrid pvid vlan vlan-id |
可選 缺省情況下,Hybrid端口的缺省VLAN為VLAN 1 |
|
· Trunk端口和Hybrid端口之間不能直接切換,隻能先設為Access端口,再設置為其它類型端口。例如:Trunk端口不能直接被設置為Hybrid端口,隻能先設為Access端口,再設置為Hybrid端口。
· 在設置允許指定的VLAN通過Hybrid端口之前,允許通過的VLAN必須已經存在。
· 配置缺省VLAN後,必須使用port hybrid vlan命令配置允許缺省VLAN的報文通過,出接口才能轉發缺省VLAN的報文。
· Host A和Host C屬於部門A,但是通過不同的設備接入公司網絡;Host B和Host D屬於部門B,也通過不同的設備接入公司網絡。
· 為了通信的安全性,也為了避免廣播報文泛濫,公司網絡中使用VLAN技術來隔離部門間的二層流量。其中部門A使用VLAN 100,部門B使用VLAN 200。
· 現要求不管是否使用相同的設備接入公司網絡,同一VLAN內的主機能夠互通。即Host A和Host C能夠互通,Host B和Host D能夠互通。
圖1-5 基於端口的VLAN組網圖
(1) 配置Device A
# 創建VLAN 100,並將GigabitEthernet1/0/1加入VLAN 100。
<DeviceA> system-view
[DeviceA] vlan 100
[DeviceA-vlan100] port gigabitethernet 1/0/1
[DeviceA-vlan100] quit
# 創建VLAN 200,並將GigabitEthernet1/0/2加入VLAN 200。
[DeviceA] vlan 200
[DeviceA-vlan200] port gigabitethernet 1/0/2
[DeviceA-vlan200] quit
# 為了使Device A上VLAN 100和VLAN 200的報文能發送給Device B,將GigabitEthernet1/0/3的鏈路類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] port link-type trunk
[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 100 200
Please wait... Done.
(2) Device B上的配置與Device A上的配置完全一樣,不再贅述。
(3) 將Host A和Host C配置在一個網段,比如192.168.100.0/24;將Host B和Host D配置在一個網段,比如192.168.200.0/24。
(1) Host A和Host C能夠互相ping通,但是均不能ping通Host B。Host B和Host D能夠互相ping通,但是均不能ping通Host A。
(2) 通過查看顯示信息驗證配置是否成功。
# 查看Device A上VLAN 100和VLAN 200的配置信息,驗證以上配置是否生效。
[DeviceA-GigabitEthernet1/0/3] display vlan 100
VLAN ID: 100
VLAN Type: static
Route Interface: not configured
Description: VLAN 0100
Name: VLAN 0100
Tagged Ports:
GigabitEthernet1/0/3
Untagged Ports:
GigabitEthernet1/0/1
[DeviceA-GigabitEthernet1/0/3] display vlan 200
VLAN ID: 200
VLAN Type: static
Route Interface: not configured
Description: VLAN 0200
Name: VLAN 0200
Tagged Ports:
GigabitEthernet1/0/3
Untagged Ports:
GigabitEthernet1/0/2
基於MAC劃分VLAN是VLAN的另一種劃分方法。它按照報文的源MAC地址來定義VLAN成員,將指定報文加入該VLAN的Tag後發送。該功能通常會和安全(比如802.1X)技術聯合使用,以實現終端的安全、靈活接入。
手動配置靜態MAC VLAN常用於VLAN中用戶相對較少的網絡環境。在該方式下,用戶需要手動配置MAC VLAN表項,使能基於MAC地址的VLAN功能,並將端口加入MAC VLAN。其原理為:
· 當端口收到的報文為Untagged報文時,根據報文的源MAC匹配MAC VLAN表項。首先進行模糊匹配,即查詢表中MASK不是全F的表項,將源MAC和MASK相與後與MAC VLAN表項中的MAC地址匹配,如果完全相同,則模糊匹配成功,給報文添加表項中指定的VLAN ID並轉發該報文;如果模糊匹配失敗,則進行精確匹配,即查詢表中MASK為全F的表項,如果報文中的源MAC與MAC VLAN表項中的MAC地址完全相同,則精確匹配成功,給報文添加表項中指定的VLAN ID並轉發該報文;如果沒有找到匹配MAC VLAN表項,則繼續按照其它原則(如IP子網、協議等)進行匹配,如果匹配成功,則轉發報文,如果匹配均失敗,則給報文添加端口的缺省VLAN ID並轉發該報文。需要注意的是,僅S5500-EI係列交換機支持模糊匹配。
· 當端口收到的報文為Tagged報文時,如果報文的VLAN ID在該端口允許通過的VLAN ID列表裏,則轉發該報文;如果報文的VLAN ID不在端口允許通過的VLAN ID列表裏,則丟棄該報文。
手動配置靜態MAC VLAN時,用戶需要把端口分別加入相應的MAC VLAN,當用戶不能確定從哪些端口收到指定VLAN的報文時,就不能把相應端口加入到MAC VLAN,在這種情況下,手動配置靜態MAC VLAN無法滿足用戶的需求。此時可以動態觸發端口加入靜態MAC VLAN。在該方式下,用戶在配置MAC VLAN表項後,需要在端口上使能基於MAC的VLAN功能和MAC VLAN動態觸發功能。其原理為:
端口在收到報文時,首先判斷報文是否攜帶VLAN Tag,若帶Tag,則直接上送報文源MAC地址;若不帶Tag,則先進行報文VLAN選擇(按照基於MAC的 VLAN->基於IP子網的VLAN->基於協議的VLAN->基於端口的VLAN的優先次序為該Untagged報文添加對應的Tag,並獲取該Tag),再上送報文的源MAC地址。然後根據報文的源MAC查詢MAC VLAN表項:
· 如果報文源MAC地址與MAC VLAN表項中的MAC地址精確匹配,檢查報文的VLAN ID是否與對應表項中的VLAN ID一致,若一致,通過此報文動態觸發端口加入相應VLAN,同時轉發報文,否則丟棄該報文。
· 如果報文源MAC地址與MAC VLAN表項的MAC地址不精確匹配,當報文VLAN ID為端口PVID,判斷端口是否允許報文在PVID內轉發,若允許,則在PVID中轉發該報文,否則丟棄該報文。當報文VLAN ID不為端口PVID,報文繼續按照其它原則(如IP子網、協議等)進行匹配,若匹配成功,則轉發該報文;若匹配均失敗,則丟棄該報文。處理流程如圖1-6所示:
· 在端口加入MAC VLAN表項中相應的VLAN時,若端口未配置允許該VLAN通過,則端口自動以Untagged方式加入該VLAN。
· 如果用戶在同一端口上同時使能了手動配置MAC VLAN和動態觸發端口加入MAC VLAN,此時該端口選擇使用後者的功能。
· 當端口收到的報文與MAC VLAN表項匹配,對該報文進行轉發時,根據MAC VLAN的優先級(MAC地址對應VLAN的802.1p優先級)高低來決定報文的轉發策略。
動態MAC VLAN需要和接入認證(比如基於MAC地址的802.1X認證)配合使用,以實現終端的安全、靈活接入。用戶在設備上配置動態MAC VLAN功能以後,還需要在接入認證服務器上配置用戶名和VLAN的綁定關係。
如果用戶發起認證請求,接入認證服務器先對用戶名和密碼進行驗證,如果驗證通過,服務器下發VLAN信息。此時設備根據請求報文的源MAC地址和下發的VLAN信息生成MAC VLAN表項,並將MAC VLAN添加到端口允許通過的VLAN列表中。用戶下線後,設備自動刪除MAC VLAN表項,並將MAC VLAN從端口允許通過的VLAN列表中刪除。
接入認證的相關內容請參見“安全配置指導”中的“802.1X”、“MAC地址認證”和“Portal”。
· 基於MAC的VLAN功能隻能在Hybrid端口配置。
· Super VLAN不能作為MAC VLAN表項中的VLAN。
· 基於MAC的VLAN動態觸發使能後,報文會上送CPU處理。由於該處理的優先級最高,會導致MAC地址最大學習數和MAC地址禁止學習功能不生效,因此不建議MAC VLAN動態觸發功能和上述兩個功能同時使用。
· 基於MAC的VLAN動態觸發功能不和802.1X和MAC認證功能同時使用。
· 基於MAC的VLAN動態觸發功能要求源MAC所匹配的VLAN必須是靜態VLAN才能完成觸發功能。
· 基於MAC的VLAN功能主要用於在用戶的接入設備的下行端口上進行配置,因此不和聚合功能同時使用。
· 配置MSTP多實例情況下,如果端口在要加入的VLAN對應的MSTP實例中是阻塞狀態,則端口會丟棄收到的報文,造成MAC地址不能上送,不能完成動態觸發功能。基於MAC的動態VLAN的使用場景為接入側,不建議和多實例MSTP同時使用。
· 配置PVST情況下,如果端口要加入的VLAN不為端口允許通過的VLAN,則端口處於阻塞狀態,會丟棄收到的報文,造成MAC地址不能上送,不能完成動態觸發功能。基於MAC的動態VLAN的使用場景為接入側,不建議和PVST同時使用。
· 配置MAC-VLAN表項時,如果指定了MAC地址對應VLAN的802.1p優先級,則用戶還需要在相應端口視圖下執行qos trust dot1p命令,使該端口信任報文的802.1p優先級,該配置才能生效。關於qos trust dot1p命令的詳細介紹請參見“ACL和QoS命令參考”中的“優先級映射配置命令”。
表1-8 手工配置靜態MAC VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置MAC地址與VLAN關聯 |
mac-vlan mac-address mac-address [ mask mac-mask ] vlan vlan-id [ priority priority ] |
必選 僅S5500-EI係列交換機支持mask參數 |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
二者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
|
允許基於MAC的VLAN通過當前Hybrid端口 |
port hybrid vlan vlan-list { tagged | untagged } |
必選 缺省情況下,所有Hybrid端口隻允許VLAN 1通過 |
|
|
使能基於MAC地址劃分VLAN的功能 |
mac-vlan enable |
必選 缺省情況下,未使能基於MAC地址劃分VLAN的功能 |
|
|
配置VLAN匹配優先級 |
vlan precedence { mac-vlan | ip-subnet-vlan } |
可選 缺省情況下,優先根據單個MAC地址來匹配VLAN |
|
表1-9 動態觸發端口加入靜態MAC VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置MAC地址與VLAN關聯 |
mac-vlan mac-address mac-address vlan vlan-id [ priority priority ] |
必選 使能MAC VLAN的動態觸發功能後,隻有端口接收的報文的源MAC地址匹配了Mask為全F的MAC VLAN表項,才會動態觸發該端口加入相應VLAN |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
使能基於MAC地址劃分VLAN的功能 |
mac-vlan enable |
必選 缺省情況下,未使能基於MAC地址劃分VLAN的功能 |
|
使能MAC VLAN的動態觸發功能 |
mac-vlan trigger enable |
必選 缺省情況下,未使能MAC VLAN的動態觸發功能。 |
|
配置VLAN匹配優先級 |
vlan precedence mac-vlan |
可選 缺省情況下,優先根據單個MAC地址來匹配VLAN |
|
配置PVID禁止功能 |
port pvid disable |
可選 缺省情況下,對於沒有匹配到MAC VLAN表項的未知源MAC會在PVID內進行轉發通過 |
使用mac-vlan trigger enable命令配置MAC VLAN的動態觸發功能後,建議用戶配置vlan precedence mac-vlan使報文優先根據單個MAC地址來匹配VLAN,請不要配置vlan precedence ip-subnet-vlan命令使報文優先匹配IP子網-VLAN表,該配置不能生效。
表1-10 配置動態MAC VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
二者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
|
允許基於MAC的VLAN通過當前Hybrid端口 |
port hybrid vlan vlan-list { tagged | untagged } |
必選 缺省情況下,所有Hybrid端口隻允許VLAN 1通過 |
|
|
使能基於MAC地址劃分VLAN的功能 |
mac-vlan enable |
必選 缺省情況下,未使能基於MAC地址劃分VLAN的功能 |
|
|
配置認證功能 |
配置802.1X |
請參見“安全命令參考”中的“802.1X” |
三者至少選其一 |
|
配置MAC地址認證 |
請參見“安全命令參考”中的“MAC地址認證” |
||
|
配置Portal |
請參見“安全命令參考”中的“Portal” |
||
· 如圖1-7所示,Device A和Device C的GigabitEthernet1/0/1端口分別連接到兩個會議室,Laptop1和Laptop2是會議用筆記本電腦,會在兩個會議室間移動使用。
· Laptop1和Laptop2分別屬於兩個部門,兩個部門間使用VLAN 100和VLAN 200進行隔離。現要求這兩台筆記本電腦無論在哪個會議室使用,均隻能訪問自己部門的服務器,即Server1和Server2。
· Laptop1和Laptop2的MAC地址分別為000d-88F8-4E71和0014-222C-AA69。
圖1-7 基於MAC的VLAN組網圖
· 創建VLAN 100、VLAN 200。
· 配置Device A和Device C的上行端口為Trunk端口,並允許VLAN 100和VLAN 200的報文通過。
· 配置 Device B 的下行端口為Trunk端口,並允許VLAN 100和VLAN 200的報文通過;上行端口分別加入VLAN 100、VLAN 200。
· Laptop1和Laptop2的MAC地址分別與VLAN 100、VLAN 200關聯。
(1) Device A的配置
# 創建VLAN 100和VLAN 200。
<DeviceA> system-view
[DeviceA] vlan 100
[DeviceA-vlan100] quit
[DeviceA] vlan 200
[DeviceA-vlan200] quit
# 將Laptop1的MAC地址與VLAN 100關聯,Laptop2的MAC地址與VLAN 200關聯。
[DeviceA] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[DeviceA] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置終端的接入端口:Laptop1和Laptop2均可能從GigabitEthernet1/0/1接入,將GigabitEthernet1/0/1的端口類型配置為Hybrid,並使其在發送VLAN 100和VLAN 200的報文時去掉VLAN Tag;開啟GigabitEthernet1/0/1端口的MAC-VLAN功能。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
[DeviceA-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
Please wait... Done.
[DeviceA-GigabitEthernet1/0/1] mac-vlan enable
[DeviceA-GigabitEthernet1/0/1] quit
# 為了終端能夠訪問Server1和Server2,需要將上行端口GigabitEthernet1/0/2的端口類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-type trunk
[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 100 200
[DeviceA-GigabitEthernet1/0/2] quit
(2) Device B的配置
# 創建VLAN 100和VLAN 200,並將GigabitEthernet1/0/13加入VLAN 100,GigabitEthernet 1/0/14加入VLAN 200。
<DeviceB> system-view
[DeviceB] vlan 100
[DeviceB-vlan100] port gigabitethernet 1/0/13
[DeviceB-vlan100] quit
[DeviceB] vlan 200
[DeviceB-vlan200] port gigabitethernet 1/0/14
[DeviceB-vlan200] quit
# 配置GigabitEthernet1/0/3和GigabitEthernet1/0/4端口為Trunk端口,均允許VLAN 100和VLAN 200的報文通過。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] port link-type trunk
[DeviceB-GigabitEthernet1/0/3] port trunk permit vlan 100 200
[DeviceB-GigabitEthernet1/0/3] quit
[DeviceB] interface gigabitethernet 1/0/4
[DeviceB-GigabitEthernet1/0/4] port link-type trunk
[DeviceB-GigabitEthernet1/0/4] port trunk permit vlan 100 200
[DeviceB-GigabitEthernet1/0/4] quit
(3) Device C的配置
Device C的配置與Device A完全一致,這裏不再贅述。
(1) Laptop1隻能訪問Server1,不能訪問Server2;Laptop2隻能訪問Server2,不能訪問Server1。
(2) 在Device A和Device C上可以查看到Laptop1和VLAN 100、Laptop2和VLAN 200的靜態MAC VLAN地址表項已經生成。
[DeviceA] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000d-88f8-4e71 ffff-ffff-ffff 100 0 S
0014-222c-aa69 ffff-ffff-ffff 200 0 S
Total MAC VLAN address count:2
· 基於MAC的VLAN隻能在Hybrid端口上配置。
· 基於MAC的VLAN的配置主要用於在用戶的接入設備的下行端口上進行配置,因此不能與聚合功能同時使用。
基於協議的VLAN隻對Hybrid端口配置才有效。
基於協議的VLAN是根據端口接收到的報文所屬的協議(族)類型以及封裝格式來給報文分配不同的VLAN ID。可用來劃分VLAN的協議有IP、IPX、AT(AppleTalk,Apple計算機網絡協議),封裝格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP等。
“協議類型 + 封裝格式”又稱為協議模板,一個協議VLAN下可以綁定多個協議模板,不同的協議模板再用協議索引(protocol-index)來區分。因此,一個協議模板可以用“協議vlan-id + protocol-index”來唯一標識。然後通過命令行將“協議vlan-id + protocol-index”和端口綁定。這樣,對於從端口接收到Untagged報文(沒有攜帶VLAN標記的報文)會做如下處理:
· 如果該報文攜帶的協議類型和封裝格式與“協議vlan-id + protocol-index”標識的協議模板相匹配,則為其打上協議vlan-id。
· 如果該報文攜帶的協議類型和封裝格式與“協議vlan-id + protocol-index”標識的協議模板不匹配,則為其打上端口的缺省VLAN ID。
對於端口接收到的Tagged報文(攜帶VLAN標記的報文),處理方式和基於端口的VLAN一樣:如果端口允許攜帶該VLAN標記的報文通過,則正常轉發;如果不允許,則丟棄該報文。
此特性主要應用於將網絡中提供的服務類型與VLAN相綁定,方便管理和維護。
表1-11 配置基於協議的VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入VLAN視圖 |
vlan vlan-id |
必選 如果指定的VLAN不存在,則該命令先完成VLAN的創建,然後再進入該VLAN的視圖 |
|
|
配置基於協議的VLAN,並指定協議模板 |
protocol-vlan [ protocol-index ] { at | ipv4 | ipv6 | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id [ ssap ssap-id ] | ssap ssap-id } | snap etype etype-id } } |
必選 缺省情況下,沒有配置任何協議模板 |
|
|
退出VLAN視圖 |
quit |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
四者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
|
允許基於協議的VLAN通過當前Hybrid端口 |
port hybrid vlan vlan-list { tagged | untagged } |
必選 缺省情況下,所有Hybrid端口隻允許VLAN 1通過 |
|
|
配置Hybrid端口與基於協議的VLAN關聯 |
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-end ] | all } |
必選 |
|
· 在使用protocol-vlan mode llc命令配置自定義協議模板時,命令中的dsap-id和ssap-id不能同時設置成0xe0,同時設置為0xe0對應的是ipx llc協議模板;dsap-id和ssap-id也不能同時設置成0xff,同時設置為0xff對應的是ipx raw協議模板。
· 在使用mode參數配置協議VLAN時,如果將ethernetii型報文的etype參數值配置為0x0800、0x8137、0x809b、0x86dd,則分別與ipv4、ipx、appletalk和ipv6協議模板相同,因此不允許配置ethernetii報文的etype參數為這四個數值。
· 協議VLAN特性要求Hybrid入端口的報文格式為Untagged的,而自動模式下的Voice VLAN隻支持Hybrid端口對Tagged的語音流進行處理(詳情請參見“4 Voice VLAN配置”),因此,不能將某個VLAN同時設置為協議VLAN和Voice VLAN。
實驗室網絡中大部分主機運行IPv4網絡協議,另外為了教學需要還布置了IPv6實驗局,因此,同時有些主機運行著IPv6網絡協議。為了避免互相幹擾,現要求基於網絡協議將IPv4流量和IPv6流量二層互相隔離。
圖1-8 基於協議的VLAN組網圖
創建VLAN 100及VLAN 200。讓VLAN 100與IPv4協議綁定,VLAN 200與IPv6協議綁定,通過協議VLAN來實現IPv4流量和IPv6流量二層互相隔離。
(1) 配置Device
# 創建VLAN 100,將端口GigabitEthernet1/0/11加入VLAN 100。
<Device> system-view
[Device] vlan 100
[Device-vlan100] description protocol VLAN for IPv4
[Device-vlan100] port gigabitethernet 1/0/11
[Device-vlan100] quit
# 創建VLAN 200,將端口GigabitEthernet1/0/12加入VLAN 200。
[Device] vlan 200
[Device-vlan200] description protocol VLAN for IPv6
[Device-vlan200] port gigabitethernet 1/0/12
# 在VLAN 200和VLAN 100視圖下,分別為IPv4和IPv6協議創建協議模板。
[Device-vlan200] protocol-vlan 1 ipv6
[Device-vlan200] quit
[Device] vlan 100
[Device-vlan100] protocol-vlan 1 ipv4
[Device-vlan100] quit
# 配置端口GigabitEthernet1/0/1為Hybrid端口,並在轉發VLAN 100和VLAN 200的報文時去掉VLAN Tag。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port link-type hybrid
[Device-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
Please wait... Done.
# 配置端口GigabitEthernet1/0/1與VLAN 100的協議模板1(即IPv4協議模板)、VLAN 200的協議模板1(即IPv6協議模板)進行綁定。
[Device-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 100 1
[Device-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 200 1
[Device-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet1/0/2為Hybrid端口,在轉發VLAN 100和VLAN 200的報文時去掉VLAN Tag,與VLAN 100的協議模板1(即IPv4協議模板)、VLAN 200的協議模板1(即IPv6協議模板)進行綁定。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] port link-type hybrid
[Device-GigabitEthernet1/0/2] port hybrid vlan 100 200 untagged
Please wait... Done.
[Device-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 100 1
[Device-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 200 1
(2) L2 Switch A和L2 Switch B采用缺省配置。
(3) 將IPv4 Host A、IPv4 Host B和IPv4 Server配置在一個網段,比如192.168.100.0/24;將IPv6 Host A、IPv6 Host B和IPv6 Server配置在一個網段,比如2001::1/64。
(1) VLAN 100內的主機和服務器能夠互相ping通;VLAN 200內的主機和服務器能夠互相ping通。但VLAN 100內的主機/服務器和VLAN 200內的主機/服務器會ping失敗。
(2) 通過查看Device上的顯示信息,驗證配置是否生效。
# 查看Device上協議VLAN的配置。
[Device-GigabitEthernet1/0/2] display protocol-vlan vlan all
VLAN ID:100
Protocol Index Protocol Type
======================================================
1 ipv4
VLAN ID:200
Protocol Index Protocol Type
======================================================
1 ipv6
# 查看Device端口上已配置的協議VLAN的相關信息。
[Device-GigabitEthernet1/0/2] display protocol-vlan interface all
Interface: GigabitEthernet 1/0/1
VLAN ID Protocol Index Protocol Type
======================================================
100 1 ipv4
200 1 ipv6
Interface: GigabitEthernet 1/0/2
VLAN ID Protocol Index Protocol Type
======================================================
100 1 ipv4
200 1 ipv6
基於協議的VLAN隻對Hybrid端口配置才有效。
基於IP子網的VLAN是根據報文源IP地址及子網掩碼來進行劃分的。設備從端口接收到Untagged報文後,會根據報文的源地址來確定報文所屬的VLAN,然後將報文自動劃分到指定VLAN中傳輸。
此特性主要用於將指定網段或IP地址發出的報文在指定的VLAN中傳送。
基於IP子網的VLAN隻對Hybrid端口配置有效。
表1-12 配置基於IP子網的VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
|
配置IP子網與當前VLAN關聯 |
ip-subnet-vlan [ ip-subnet-index ] ip ip-address [ mask ] |
必選 配置的IP網段或IP地址不能是組播網段或組播地址 |
|
|
退回係統視圖 |
quit |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
四者必選其一 · 二層以太網端口視圖下的配置隻對當前端口生效 · 端口組視圖下的配置對當前端口組中的所有端口生效 · 二層聚合接口視圖下的配置對當前二層聚合接口及其所有成員端口都生效,若配置二層聚合接口時失敗,則不再配置其成員端口,若配置某成員端口時失敗,係統會自動跳過該成員端口繼續配置其它成員端口 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
必選 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
|
允許基於IP子網的VLAN通過當前Hybrid端口 |
port hybrid vlan vlan-list { tagged | untagged } |
必選 缺省情況下,Hybrid端口隻允許VLAN 1的報文以Untagged方式通過,即VLAN 1的報文從該端口發送出去後不攜帶VLAN Tag |
|
|
配置Hybrid端口和基於IP子網的VLAN關聯 |
port hybrid ip-subnet-vlan vlan vlan-id |
必選 缺省情況下,Hybird端口和基於IP子網的VLAN沒有任何關聯關係 |
|
如圖1-9所示,辦公區的主機屬於不同的網段192.168.5.0/24和192.168.50.0/24,Device C在收到來自辦公區主機的報文時,根據報文的源IP地址,使來自不同網段主機的報文分別在指定的VLAN中傳輸。
圖1-9 基於IP子網的VLAN組網圖
創建VLAN100、VLAN200,配置子網與VLAN的關聯關係,並配置端口與VLAN的關聯關係。
<DeviceC> system-view
# 配置子網192.168.5.0/24與VLAN 100關聯。
[DeviceC] vlan 100
[DeviceC-vlan100] ip-subnet-vlan ip 192.168.5.0 255.255.255.0
[DeviceC-vlan100] quit
# 配置子網192.168.50.0/24與VLAN 200關聯。
[DeviceC] vlan 200
[DeviceC-vlan200] ip-subnet-vlan ip 192.168.50.0 255.255.255.0
[DeviceC-vlan200] quit
# 配置端口GigabitEthernet 1/0/11,使其允許通過VLAN 100的報文。
[DeviceC] interface gigabitethernet 1/0/11
[DeviceC-GigabitEthernet1/0/11] port link-type hybrid
[DeviceC-GigabitEthernet1/0/11] port hybrid vlan 100 tagged
Please wait... Done.
[DeviceC-GigabitEthernet1/0/11] quit
# 配置端口GigabitEthernet 1/0/12,使其允許通過VLAN 200的報文。
[DeviceC] interface gigabitethernet 1/0/12
[DeviceC-GigabitEthernet1/0/12] port link-type hybrid
[DeviceC-GigabitEthernet1/0/12] port hybrid vlan 200 tagged
Please wait... Done.
[DeviceC-GigabitEthernet1/0/12] quit
# 配置端口GigabitEthernet 1/0/1,使其和基於IP子網的VLAN 100、VLAN 200關聯。
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] port link-type hybrid
[DeviceC-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
Please wait... Done.
[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 100
[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 200
[DeviceC-GigabitEthernet1/0/1] return
# 查看所有VLAN的IP子網信息。
<Device C> display ip-subnet-vlan vlan all
VLAN ID: 100
Subnet Index IP Address Subnet Mask
====================================================
0 192.168.5.0 255.255.255.0
VLAN ID: 200
Subnet Index IP Address Subnet Mask
====================================================
0 192.168.50.0 255.255.255.0
# 查看端口GigabitEthernet 1/0/1上所配置的IP子網VLAN信息。
<DeviceC> display ip-subnet-vlan interface gigabitethernet 1/0/1
Interface: GigabitEthernet1/0/1
VLAN ID Subnet-Index IP ADDRESS NET MASK
=======================================================
100 0 192.168.5.0 255.255.255.0
200 0 192.168.50.0 255.255.255.0
基於IP子網的VLAN隻對Hybrid端口配置才有效。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後VLAN的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除接口統計信息。
表1-13 VLAN顯示和維護
|
操作 |
命令 |
|
顯示VLAN相關信息 |
display vlan [ vlan-id1 [ to vlan-id2 ] | all | dynamic | reserved | static ] [ | { begin | exclude | include } regular-expression ] |
|
顯示VLAN接口相關信息 |
display interface [ vlan-interface ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ] display interface vlan-interface vlan-interface-id [ brief ] [ | { begin | exclude | include } regular-expression ] |
|
顯示設備上當前存在的Hybrid或Trunk端口 |
display port { hybrid | trunk } [ | { begin | exclude | include } regular-expression ] |
|
顯示MAC-VLAN表項(僅S5500-EI係列交換機支持mask參數) |
display mac-vlan { all | dynamic | mac-address mac-address [ mask mac-mask ] | static | vlan vlan-id } [ | { begin | exclude | include } regular-expression ] |
|
顯示所有使能了MAC VLAN功能的接口 |
display mac-vlan interface [ | { begin | exclude | include } regular-expression ] |
|
顯示指定VLAN上配置的協議信息及協議的索引 |
display protocol-vlan vlan { vlan-id [ to vlan-id ] | all } [ | { begin | exclude | include } regular-expression ] |
|
顯示指定端口上已配置的協議VLAN的相關信息 |
display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all } [ | { begin | exclude | include } regular-expression ] |
|
顯示指定VLAN上配置的IP子網VLAN信息及IP子網的索引 |
display ip-subnet-vlan vlan { vlan-id [ to vlan-id ] | all } [ | { begin | exclude | include } regular-expression ] |
|
顯示指定端口上配置的IP子網VLAN信息及IP子網的索引 |
display ip-subnet-vlan interface { interface-type interface-number1 [ to interface-type interface-number2 ] | all } [ | { begin | exclude | include } regular-expression ] |
|
清除接口的統計信息 |
reset counters interface vlan-interface [ vlan-interface-id ] |
僅S5500-EI係列交換機支持Super VLAN功能
隨著網絡的發展,網絡地址資源日趨緊張,為了節省IP地址,Super VLAN的概念被提出來。Super VLAN又稱為VLAN聚合(VLAN Aggregation),其原理是一個Super VLAN和多個Sub VLAN關聯,Super VLAN內不能加入物理端口,但可以創建對應的VLAN接口,VLAN接口下可以配置IP地址;Sub VLAN可以加入物理端口,但不能創建對應的VLAN接口,所有Sub VLAN內的端口共用Super VLAN的VLAN接口IP地址,不同Sub VLAN之間二層相互隔離。當Sub VLAN內的用戶需要進行三層通信時,將使用Super VLAN的IP地址作為網關地址,這樣多個Sub VLAN共享一個網關地址,從而節省了IP地址資源。
為了實現Sub VLAN之間的三層互通,在創建好Super VLAN和VLAN接口之後,用戶需要開啟設備的本地代理功能:
· 對於IPv4網絡環境,用戶需要在Super VLAN的VLAN接口上開啟本地代理ARP功能,Super VLAN利用本地代理ARP可以進行ARP請求和響應報文的轉發與處理,從而實現了Sub VLAN之間的三層互通。
· 對於IPv6網絡環境,用戶需要在Super VLAN的VLAN接口上開啟本地代理ND功能,Super VLAN利用本地代理ND可以進行ND請求和響應報文的轉發與處理,從而實現了Sub VLAN之間的三層互通。
Super VLAN功能的配置包括三個必選步驟:
(1) 配置Sub VLAN,主要是創建Sub VLAN。
(2) 配置Super VLAN,主要是創建Super VLAN,並將Super VLAN和Sub VLAN關聯起來。
(3) 配置Super VLAN對應的VLAN接口,該接口主要用於接入用戶和Sub VLAN之間的通信。
表2-1 配置Sub VLAN
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建VLAN用作Sub VLAN,並進入VLAN視圖 |
vlan vlan-id |
必選 如果指定的VLAN不存在,則該命令先完成VLAN的創建,然後再進入該VLAN的視圖 |
表2-2 配置Super VLAN
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
必選 如果指定的VLAN不存在,則該命令先完成VLAN的創建,然後再進入該VLAN的視圖 |
|
設置VLAN類型為Super VLAN |
supervlan |
必選 缺省情況下,用戶創建的VLAN不是Super VLAN類型的VLAN |
|
配置Super VLAN和Sub VLAN間的映射關係 |
subvlan vlan-list |
必選 vlan-list必須是當前已創建的準備用作Sub VLAN的VLAN |
· 一個VLAN不能同時設置為Super VLAN和Sub VLAN。
· 當端口上使能了動態觸發端口加入MAC VLAN功能,此時MAC VLAN表項中的VLAN不能配置為Super VLAN。
· 當VLAN類型為Isolate-user-VLAN,或配置了該VLAN和Secondary VLAN間的映射關係,則該VLAN不能配置為Super VLAN。
表2-3 配置Super VLAN對應的VLAN接口
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建VLAN接口,並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 vlan-interface-id的值必須等於Super VLAN ID |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } [ sub ] |
二者必選其一 缺省情況下,沒有配置VLAN接口的IP地址 |
|
ipv6 address { ipv6-address { prefix-length | link-local } | ipv6-address/prefix-length [ anycast | eui-64 ] | auto [ link-local ] } |
||
|
開啟本地代理ARP功能 |
local-proxy-arp enable |
二者必選其一 缺省情況下,本地代理ARP功能和本地代理ND功能均處於關閉狀態 |
|
開啟本地代理ND功能 |
local-proxy-nd enable |
· 以上步驟中配置的VLAN接口的IP地址就是對應的Super VLAN的IP地址。
· 本地代理ARP功能的相關介紹請參見“三層技術-IP業務配置指導”中的“ARP”;local-proxy-arp enable命令的相關描述請參見“三層技術-IP業務命令參考”中的“代理ARP”。
· 本地代理ND功能的相關介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”;local-proxy-nd enable命令的相關描述請參見“三層技術-IP業務命令參考”中的“IPv6基礎”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的Guest VLAN,則該VLAN不能被指定為Super VLAN。Guest VLAN的相關內容請參見“安全配置指導”中的“802.1X”。
· 在Super VLAN下可以配置二層組播功能,但是該配置將不會生效。
· 在Super VLAN對應的VLAN接口下可以配置DHCP、三層組播、動態路由等功能,但是隻有DHCP的配置生效,其它配置將不會生效。
· 在Super VLAN對應的VLAN接口下配置VRRP功能後,會對網絡性能造成影響,建議不要這樣配置。VRRP的詳細描述請參見“可靠性配置指導”中的“VRRP”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Super VLAN的運行情況,通過查看顯示信息驗證配置的效果。
表2-4 Super VLAN顯示和維護
|
操作 |
命令 |
|
顯示Super VLAN和Sub VLAN之間的映射關係 |
display supervlan [ supervlan-id ] [ | { begin | exclude | include } regular-expression ] |
· 創建Super VLAN 10,VLAN接口的IP地址為10.0.0.1/24。
· 創建Sub VLAN:VLAN 2、VLAN 3、VLAN 5。
· 端口GigabitEthernet1/0/1和端口GigabitEthernet1/0/2屬於VLAN 2,端口GigabitEthernet1/0/3和端口GigabitEthernet1/0/4屬於VLAN 3,端口GigabitEthernet1/0/5和端口GigabitEthernet1/0/6屬於VLAN 5。
· 各Sub VLAN的用戶之間能夠滿足二層隔離和三層互通。
圖2-1 配置Super-vlan組網圖
# 創建VLAN 10,配置VLAN接口的IP地址為10.0.0.1/24。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ip address 10.0.0.1 255.255.255.0
# 為實現Super VLAN特性,開啟設備的本地代理功能。
[Sysname-Vlan-interface10] local-proxy-arp enable
[Sysname-Vlan-interface10] quit
# 創建VLAN 2,並添加端口GigabitEthernet1/0/1和端口GigabitEthernet1/0/2。
[Sysname] vlan 2
[Sysname-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2
[Sysname-vlan2] quit
# 創建VLAN 3,並添加端口GigabitEthernet1/0/3和端口GigabitEthernet1/0/4。
[Sysname] vlan 3
[Sysname-vlan3] port gigabitethernet 1/0/3 gigabitethernet 1/0/4
[Sysname-vlan3] quit
# 創建VLAN 5,並添加端口GigabitEthernet1/0/5和端口GigabitEthernet1/0/6。
[Sysname] vlan 5
[Sysname-vlan5] port gigabitethernet 1/0/5 gigabitethernet 1/0/6
[Sysname-vlan5] quit
# 指定VLAN 10為Super VLAN,VLAN 2、VLAN 3和VLAN 5為Sub VLAN。
[Sysname] vlan 10
[Sysname-vlan10] supervlan
[Sysname-vlan10] subvlan 2 3 5
[Sysname-vlan10] quit
[Sysname] quit
# 查看Super VLAN的相關信息,驗證以上配置是否生效。
<Sysname> display supervlan
SuperVLAN ID : 10
SubVLAN ID : 2-3 5
VLAN ID: 10
VLAN Type: static
It is a Super VLAN.
Route Interface: configured
IPv4 Address: 10.0.0.1
IPv4 Subnet Mask: 255.255.255.0
Description: VLAN 0010
Name:VLAN 0010
Tagged Ports: none
Untagged Ports: none
VLAN ID: 2
VLAN Type: static
It is a Sub VLAN.
Route Interface: configured
IPv4 Address: 10.0.0.1
IPv4 Subnet Mask: 255.255.255.0
Description: VLAN 0002
Name:VLAN 0002
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
VLAN ID: 3
VLAN Type: static
It is a Sub VLAN.
Route Interface: configured
IPv4 Address: 10.0.0.1
IPv4 Subnet Mask: 255.255.255.0
Description: VLAN 0003
Name:VLAN 0003
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/3 GigabitEthernet1/0/4
VLAN ID: 5
VLAN Type: static
It is a Sub VLAN.
Route Interface: configured
IPv4 Address: 10.0.0.1
IPv4 Subnet Mask: 255.255.255.0
Description: VLAN 0005
Name:VLAN 0005
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/5 GigabitEthernet1/0/6
Isolate-user-VLAN采用兩層VLAN結構,它在同一台設備上設置Isolate-user-VLAN和Secondary VLAN兩類VLAN。
· Isolate-user-VLAN用於上行,不同的Secondary VLAN關聯到同一個Isolate-user-VLAN。上行連接的設備隻知道Isolate-user-VLAN,而不必關心Secondary VLAN,簡化了網絡配置,節省了VLAN資源。
· Secondary VLAN用於連接用戶,Secondary VLAN之間二層報文互相隔離。如果希望實現同一Isolate-user-VLAN下Secondary VLAN用戶之間報文的互通,可以通過配置上行設備(如圖3-1中Device A)的本地ARP代理功能來實現三層報文的互通。
· 一個Isolate-user-VLAN可以和多個Secondary VLAN相對應。Isolate-user-VLAN下麵的Secondary VLAN對上行設備不可見。
如下圖所示,設備Device B上啟動了Isolate-user-VLAN功能。其中VLAN 10是Isolate-user-VLAN;VLAN 2、VLAN 5、VLAN 8是Secondary VLAN;VLAN 2、VLAN 5、VLAN 8都映射到VLAN 10;VLAN 2、VLAN 5、VLAN 8對Device A不可見。
Isolate-user-VLAN配置主要包括下麵幾個步驟:
(1) 配置Isolate-user-VLAN。
(2) 配置Secondary VLAN。
(3) 配置Isolate-user-VLAN和Secondary VLAN間的映射關係。
(4) 配置上行/下行端口:配置上行端口(如圖3-1中Device B上與Device A相連的端口)在指定VLAN中工作在promiscuous模式,可以實現上行端口加入指定的Isolate-user-VLAN和及同步加入對應的Secondary VLAN的功能;配置下行端口(如圖3-1中Device B上與用戶相連的端口)工作在host模式,可以實現下行端口同步加入Secondary VLAN對應的Isolate-user-VLAN的功能。有關promiscuous/host模式的詳細介紹,請參見“二層技術-以太網交換命令參考”中的“VLAN”的相關命令。
表3-1 配置Isolate-user-VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建Isolate-user-VLAN,並進入VLAN視圖 |
vlan vlan-id |
- |
|
|
設置VLAN類型為Isolate-user-VLAN |
isolate-user-vlan enable |
必選 缺省情況下,用戶創建的VLAN不是Isolate-user-VLAN類型的VLAN |
|
|
退回係統視圖 |
quit |
- |
|
|
創建Secondary VLAN |
vlan { vlan-id1 [ to vlan-id2 ] | all } |
必選 |
|
|
設置同一Secondary VLAN內各端口二層隔離 |
isolated-vlan enable |
可選 缺省情況下,同一Secondary VLAN內的端口能夠二層互通 當同一Secondary VLAN內各端口的工作模式均為host模式,且Isolate-user-VLAN和Secondary VLAN建立映射關係後才能生效 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置Isolate-user-VLAN和Secondary VLAN間的映射關係 |
isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ] |
必選 缺省情況下,用戶創建的Isolate-user-VLAN和Secondary VLAN沒有任何映射關係 |
|
|
配置Isolate-user-VLAN上行端口 |
進入二層以太網端口視圖或二層聚合接口視圖 |
Interface interface-type interface-number |
二者必選其一 |
|
Interface bridge-aggregation interface-number |
|||
|
配置上行端口在指定VLAN中工作在promiscuous模式 |
port isolate-user-vlan vlan-id promiscuous |
必選 缺省情況下,端口既不工作在promiscuous模式也不工作在host模式 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置Isolate-user-VLAN下行端口 |
進入二層以太網端口視圖或二層聚合接口視圖 |
Interface interface-type interface-number |
二者必選其一 |
|
Interface bridge-aggregation interface-number |
|||
|
設置端口的鏈路類型 |
port link-type { access | hybrid | trunk } |
- |
|
|
將下行端口加入到Secondary VLAN中 |
當端口類型為Access時: port access vlan vlan-id 當端口類型為Hybrid時: port hybrid vlan vlan-list { tagged | untagged } 當端口類型為Trunk時: port trunk permit vlan { vlan-list | all } |
三者必選其一 |
|
|
配置下行端口工作在host模式 |
port isolate-user-vlan host |
必選 缺省情況下,端口不工作在host模式 |
|
· 如果Isolate-user-VLAN中的用戶需要與其它網絡進行三層互通,則需要配置:1)創建Isolate-user-VLAN接口,並在Isolate-user-VLAN接口上配置網關的IP地址;2)創建Secondary VLAN接口,Secondary VLAN接口上不需要配置IP地址;3)至少有一個Secondary VLAN需要配置同一Secondary VLAN內各端口二層隔離(isolated-vlan enable)。
· Isolate-user-VLAN內學習到的動態MAC地址將自動同步到所有的Secondary VLAN內;Secondary VLAN內學習到的動態MAC地址自動同步到Isolate-user-VLAN內。需要注意的是,靜態MAC地址不進行自動同步,為了避免廣播,如果在Isolate-user-VLAN內配置了靜態MAC地址,則需要在對應的Secondary VLAN中也配置相同的靜態MAC地址,反之亦然。
· 業務環回組成員端口不能配置為isolate-user-vlan上行端口(promiscuous端口)或下行端口(host端口),有關業務環回組的詳細介紹請參見“二層技術-以太網交換配置指導”中的“業務環回組配置”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Isolate-user-VLAN的運行情況,通過查看顯示信息驗證配置的效果。
表3-2 Isolate-user-VLAN顯示和維護
|
操作 |
命令 |
|
顯示Isolate-user-VLAN和Secondary VLAN的映射關係 |
display isolate-user-vlan [ isolate-user-vlan-id ] [ | { begin | exclude | include } regular-expression ] |
· Device A下接Device B、Device C。
· Device B上的VLAN 5為Isolate-user-VLAN,包含上行端口GigabitEthernet1/0/5和兩個Secondary VLAN(VLAN 2和VLAN 3),VLAN 2包含端口GigabitEthernet1/0/2,VLAN 3包含端口GigabitEthernet1/0/1。
· Device C上的VLAN 6為Isolate-user-VLAN,包含上行端口GigabitEthernet1/0/5和兩個Secondary VLAN(VLAN 3和VLAN 4),VLAN 3包含端口GigabitEthernet1/0/3,VLAN 4包含端口GigabitEthernet1/0/4。
· 從Device A看,下接的Device B隻有一個VLAN(VLAN 5),下接的設備C隻有一個VLAN(VLAN 6)。
圖3-2 配置Isolate-user-VLAN組網圖
下麵隻列出Device B和Device C的配置過程。
(1) 配置Device B
# 配置VLAN 5為Isolate-user-VLAN。
<DeviceB> system-view
[DeviceB] vlan 5
[DeviceB-vlan5] isolate-user-vlan enable
[DeviceB-vlan5] quit
# 創建Secondary VLAN。
[DeviceB] vlan 2 to 3
# 配置Isolate-user-VLAN和Secondary VLAN間的映射關係。
[DeviceB] isolate-user-vlan 5 secondary 2 to 3
# 配置上行端口GigabitEthernet 1/0/5在VLAN 5中工作在promiscuous模式。
[DeviceB] interface gigabitethernet 1/0/5
[DeviceB-GigabitEthernet1/0/5] port isolate-user-vlan 5 promiscuous
[DeviceB-GigabitEthernet1/0/5] quit
# 將下行端口GigabitEthernet 1/0/1、GigabitEthernet 1/0/2分別添加到VLAN 3、VLAN 2,並配置它們工作在host模式。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port access vlan 3
[DeviceB-GigabitEthernet1/0/1] port isolate-user-vlan host
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port access vlan 2
[DeviceB-GigabitEthernet1/0/2] port isolate-user-vlan host
[DeviceB-GigabitEthernet1/0/2] quit
(2) 配置Device C
# 配置VLAN 6為Isolate-user-VLAN。
<DeviceC> system-view
[DeviceC] vlan 6
[DeviceC–vlan6] isolate-user-vlan enable
[DeviceC–vlan6] quit
# 創建Secondary VLAN。
[DeviceC] vlan 3 to 4
# 配置Isolate-user-VLAN和Secondary VLAN間的映射關係。
[DeviceC] isolate-user-vlan 6 secondary 3 to 4
# 配置上行端口GigabitEthernet 1/0/5在VLAN 6中工作在promiscuous模式。
[DeviceC] interface gigabitethernet 1/0/5
[DeviceC-GigabitEthernet1/0/5] port isolate-user-vlan 6 promiscuous
[DeviceC-GigabitEthernet1/0/5] quit
# 將下行端口GigabitEthernet 1/0/3、GigabitEthernet 1/0/4分別添加到VLAN 3、VLAN 4,並配置它們工作在host模式。
[DeviceC] interface gigabitethernet 1/0/3
[DeviceC-GigabitEthernet1/0/3] port access vlan 3
[DeviceC-GigabitEthernet1/0/3] port isolate-user-vlan host
[DeviceC-GigabitEthernet1/0/3] quit
[DeviceC] interface gigabitethernet 1/0/4
[DeviceC-GigabitEthernet1/0/4] port access vlan 4
[DeviceC-GigabitEthernet1/0/4] port isolate-user-vlan host
[DeviceC-GigabitEthernet1/0/4] quit
# 顯示Device B上的Isolate-user-VLAN配置情況。
[DeviceB] display isolate-user-vlan
Isolate-user-VLAN VLAN ID : 5
Secondary VLAN ID : 2-3
VLAN ID: 5
VLAN Type: static
Isolate-user-VLAN type : isolate-user-VLAN
Route Interface: not configured
Description: VLAN 0005
Name:VLAN 0005
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/5
VLAN ID: 2
VLAN Type: static
Isolate-user-VLAN type : secondary
Route Interface: not configured
Description: VLAN 0002
Name:VLAN 0002
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/5
VLAN ID: 3
VLAN Type: static
Isolate-user-VLAN type : secondary
Route Interface: not configured
Description: VLAN 0003
Name:VLAN 0003
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/5
隨著語音技術的日益發展,語音設備應用越來越廣泛,尤其在寬帶小區,網絡中經常同時存在語音數據和業務數據兩種流量。通常,語音數據在傳輸時需要具有比業務數據更高的優先級,以減少傳輸過程中可能產生的時延和丟包現象。
Voice VLAN是為用戶的語音數據流而專門劃分的VLAN。通過劃分Voice VLAN並將連接語音設備的端口加入Voice VLAN,係統自動為語音報文修改QoS(Quality of Service,服務質量)參數,來提高語音數據報文優先級、保證通話質量。
常見的語音設備有IP電話、IAD(Integrated Access Device,綜合接入設備)等。本文中以IP電話為例進行說明。
當IP電話接入設備時,需要設備完成以下兩個任務:
(1) 識別IP電話,獲取IP電話的MAC,從而進行安全認證及提高語音報文的優先級;
(2) 將Voice VLAN信息通告給IP電話,IP電話能夠根據收到的Voice VLAN信息完成自動配置,使IP電話發出的語音報文在Voice VLAN內傳輸。
設備可以根據進入端口的數據報文中的源MAC地址字段來判斷該數據流是否為語音數據流。源MAC地址符合係統設置的語音設備OUI(Organizationally Unique Identifier,全球統一標識符)地址的報文被認為是語音數據流。
用戶可以預先設置OUI地址,也可以使用缺省的OUI地址作為判斷標準。設備缺省的OUI地址如表4-1所示。目前,S5500-EI係列交換機最多支持配置128個OUI地址,S5500-SI係列交換機最多支持配置16個OUI地址。
|
序號 |
OUI地址 |
生產廠商 |
|
1 |
0001-E300-0000 |
Siemens phone |
|
2 |
0003-6B00-0000 |
Cisco phone |
|
3 |
0004-0D00-0000 |
Avaya phone |
|
4 |
00D0-1E00-0000 |
Pingtel phone |
|
5 |
0060-B900-0000 |
Philips/NEC phone |
|
6 |
00E0-7500-0000 |
Polycom phone |
|
7 |
00E0-BB00-0000 |
3Com phone |
· 通常意義下,OUI地址指的是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。本文中的OUI地址有別於通常意義的OUI地址,它是設備判斷收到的報文是否為語音報文的依據,是voice vlan mac-address命令中的mac-address和oui-mask參數相與的結果。
· 設備缺省的OUI地址可以手工刪除,刪除之後也可再次手工添加。
通過設備上配置的OUI地址識別IP電話的方法受限於設備上可配置的OUI地址的數量,並且當網絡中IP電話數量眾多時,管理員的配置工作量較大。如果IP電話支持LLDP功能,可以配置LLDP自動識別IP電話功能。有關該功能的詳細介紹,請參見“4.6 通過LLDP自動發現IP電話功能”。
如果IP電話支持LLDP,設備可以通過LLDP報文中的LLDP-MED TLV將Voice VLAN信息通告給IP電話。
如果IP電話隻支持CDP,不支持LLDP,可以通過配置LLDP兼容CDP功能使設備將Voice VLAN信息封裝在CDP報文中通告給IP電話。
有關LLDP和LLDP兼容CDP的詳細信息,請參見“二層技術-以太網交換配置指導”中的“LLDP”。
· 端口配置Voice VLAN,請參見“4.5 端口配置Voice VLAN”。
· 當IP電話配合認證功能使用時,可以將授權VLAN信息通告給IP電話,請參見“4.8 通過LLDP動態發布授權VLAN功能介紹”。
· 指定LLDP發布的Voice VLAN信息,請參見“4.7 指定LLDP發布的Voice VLAN信息”。
這三種方法的通告順序如圖4-1所示。
圖4-1 設備向IP電話發布Voice VLAN信息的過程
如圖4-2所示,主機連接到IP電話,IP電話連接到接入設備。在串聯接入的環境下,需要將主機和IP電話劃分到不同的VLAN,且需要IP電話能發出攜帶VLAN Tag的報文,從而區分業務數據流和語音數據流。同時,端口需要允許Voice VLAN和PVID的報文通過。
圖4-2 主機與IP電話串聯接入組網圖
如圖4-3所示,IP電話單獨接入設備。單獨接入適用於IP電話發出Untagged語音報文的情況,此時需要配置Voice VLAN為PVID並配置端口允許PVID的報文通過。
圖4-3 IP電話單獨接入組網圖
Voice VLAN的工作模式包括自動模式和手動模式,這個自動和手動指的是端口加入Voice VLAN的方式。
自動模式適用於PC-IP電話串聯接入(端口同時傳輸語音數據和普通業務數據)的組網方式,如圖4-2所示。
係統利用IP電話上電時發出的協議報文,通過識別報文的源MAC,匹配OUI地址。匹配成功後,係統將自動把語音報文的入端口加入Voice VLAN,並下發ACL規則、配置報文的優先級。用戶可以在設備上設置Voice VLAN的老化時間,當在老化時間內,係統沒有從入端口收到任何語音報文時,係統將把該端口從Voice VLAN中刪除。端口的添加/刪除到Voice VLAN的過程由係統自動實現。當Voice VLAN正常工作時,如果遇到設備重新啟動的情況,為保證已經建立的語音連接能夠正常工作,係統會在重新啟動完成後,將配置為自動模式的端口重新加入Voice VLAN,而不需要再次通過語音流觸發。
手動模式適用於IP電話單獨接入(端口僅傳輸語音報文)的組網方式,如圖4-3所示。該組網方式可以使該端口專用於傳輸語音數據,最大限度避免業務數據對語音數據傳輸的影響。
手動模式下,需要通過手工把IP電話接入端口加入Voice VLAN中。再通過識別報文的源MAC,匹配OUI地址。匹配成功後,係統將下發ACL規則、配置報文的優先級。端口的添加/刪除到Voice VLAN的過程由管理員手動實現。
IP電話類型較多,有些電話能發出攜帶VLAN Tag的報文,有些電話隻能發出Untagged報文。因此需要用戶保證端口的鏈路類型與IP電話能夠匹配,不同Voice VLAN工作模式下的詳細配合關係請見表4-2和表4-3:
· IP電話發送Tagged語音數據
表4-2 不同類型端口支持Tagged語音數據配置要求
|
Voice VLAN工作模式 |
端口類型 |
是否支持Tagged語音數據 |
配置要求 |
|
自動模式 |
Access |
不支持 |
- |
|
Trunk |
支持 |
缺省VLAN不能為Voice VLAN |
|
|
Hybrid |
|||
|
手工模式 |
Access |
不支持 |
- |
|
Trunk |
支持 |
缺省VLAN不能為Voice VLAN,需要配置端口允許Voice VLAN的報文通過 |
|
|
Hybrid |
支持 |
缺省VLAN不能為Voice VLAN,需要配置端口允許Voice VLAN的報文攜帶Tag通過 |
· IP電話發送Untagged語音數據
當IP電話發送Untagged語音數據,則端口的Voice VLAN工作模式隻能為手工模式,不能為自動模式。
表4-3 不同類型端口支持Untagged語音數據配置要求
|
Voice VLAN工作模式 |
端口類型 |
是否支持Untagged語音數據 |
配置要求 |
|
自動模式 |
Access |
不支持 |
- |
|
Trunk |
|||
|
Hybrid |
|||
|
手工模式 |
Access |
支持 |
將缺省VLAN配置為Voice VLAN |
|
Trunk |
支持 |
接入端口的缺省VLAN必須是Voice VLAN,且接入端口允許該VLAN通過 |
|
|
Hybrid |
支持 |
接入端口的缺省VLAN必須是Voice VLAN,且允許Voice VLAN的報文不帶Tag通過 |
· 如果用戶的IP Phone發出的是Tagged語音流,且接入的端口上使能了802.1X認證和Guest VLAN/Auth-Fail VLAN/Critical VLAN,為保證各種功能的正常使用,請為Voice VLAN、端口的缺省VLAN和802.1X的Guest VLAN/Auth-Fail VLAN/Critical VLAN分配不同的VLAN ID。
· 如果用戶的IP Phone發出的是Untagged語音流,為實現Voice VLAN功能,隻能將接入端口的缺省VLAN配置為Voice VLAN,此時將不能實現802.1X認證功能。
根據使能了Voice VLAN功能的端口對接收到的數據包的過濾機製又可以將Voice VLAN的工作模式分為普通模式和安全模式:
· 普通模式下,端口加入Voice VLAN後,設備對於接收的語音報文不再一一進行識別,凡是帶有Voice VLAN Tag的報文,設備將不再檢查其源MAC地址是否為語音設備的OUI地址,均接收並在Voice VLAN中轉發。對於缺省VLAN就是Voice VLAN的手工模式端口,會導致任意的Untagged報文都可以在Voice VLAN中傳輸。這樣的處理方式很容易使Voice VLAN收到惡意用戶的流量攻擊。惡意用戶可以構造大量帶有Voice VLAN Tag或Untagged的報文,占用Voice VLAN的帶寬,影響正常的語音通信。
· 安全模式下,設備將對每一個要進入Voice VLAN傳輸的報文進行源MAC匹配檢查,對於不能匹配OUI地址的報文,則將其丟棄。
對於比較安全的網絡,用戶可以配置Voice VLAN的普通模式,以減少檢查報文的工作對係統資源的占用。
建議用戶盡量不要在Voice VLAN中同時傳輸語音和業務數據。如確有此需要,請確認Voice VLAN的安全模式已關閉。
表4-4 Voice VLAN的安全/普通模式對報文的處理
|
Voice VLAN工作模式 |
報文類型 |
處理方式 |
|
安全模式 |
Untagged報文 |
當該報文源MAC地址是可識別的OUI地址時,允許該報文在Voice VLAN內傳輸,否則將該報文丟棄 |
|
帶有Voice VLAN Tag的報文 |
||
|
帶有其他VLAN Tag的報文 |
根據指定端口是否允許該VLAN通過來對報文進行轉發和丟棄的處理,不受Voice VLAN安全/普通模式的影響 |
|
|
普通模式 |
Untagged報文 |
不對報文的源MAC地址進行檢查,所有報文均可以在Voice VLAN內進行傳輸 |
|
帶有Voice VLAN Tag的報文 |
||
|
帶有其他VLAN Tag的報文 |
根據指定端口是否允許該VLAN通過來對報文進行轉發和丟棄的處理,不受Voice VLAN安全/普通模式的影響 |
(1) 創建VLAN
配置Voice VLAN之前,須先創建對應的VLAN。
(2) 確定語音報文的QoS優先級
配置語音報文的QoS優先級,需要關閉接口上的Voice VLAN功能。當Voice VLAN使能時,不允許修改語音報文的QoS優先級。語音報文的QoS優先級的配置請參見4.5.4 配置語音報文的QoS優先級。
(3) 確定將要配置的Voice VLAN的工作模式
· 配置自動模式的Voice VLAN,請參見4.5.5 配置自動模式下的Voice VLAN;
· 配置手動模式的Voice VLAN,請參見4.5.6 配置手動模式下的Voice VLAN。
Voice VLAN在實現中,通過提高語音報文的QoS優先級(CoS和DSCP值)來保證語音通信的質量。語音報文會自帶QoS優先級,通過配置,用戶可以選擇在語音報文通過設備時修改或者不修改報文的QoS優先級。
表4-5 配置語音報文的QoS優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置接口信任語音報文的優先級,即接口不會修改Voice VLAN內語音報文自帶的CoS和DSCP值 |
voice vlan qos trust |
二者任選其一 缺省情況下,接口會將Voice VLAN內語音報文的CoS值修改為6,DSCP值修改為46 在同一接口多次執行這兩條命令,則最新配置將覆蓋舊配置,最新的配置生效 |
|
將Voice VLAN內語音報文的CoS和DSCP修改為指定值 |
voice vlan qos cos-value dscp-value |
在Voice VLAN使能的情況下,不允許配置/修改語音報文的QoS優先級。必須禁用Voice VLAN後,才能配置/修改。
· 自動模式下的Voice VLAN隻支持Hybrid端口對Tagged的語音流進行處理,而協議VLAN特性要求Hybrid入端口的報文格式為Untagged的(詳情請參見“1.6.2 配置基於協議的VLAN”),因此,不能將某個VLAN同時設置為Voice VLAN和協議VLAN。
· 配置MSTP多實例情況下,如果端口在要加入的Voice VLAN對應的MSTP實例中是阻塞狀態,則端口會丟棄收到的報文,造成MAC地址不能上送,不能完成動態觸發功能。自動模式Voice VLAN的使用場景為接入側,不建議和多實例MSTP同時使用。
· 配置PVST情況下,如果端口要加入的Voice VLAN不為端口允許通過的VLAN,則端口處於阻塞狀態,會丟棄收到的報文,造成MAC地址不能上送,不能完成動態觸發功能。自動模式Voice VLAN的使用場景為接入側,不建議和PVST同時使用。
表4-6 配置自動模式下的Voice VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置Voice VLAN的老化時間 |
voice vlan aging minutes |
可選 缺省情況下,老化時間為1440分鍾,老化時間隻對自動模式下的端口有效 |
|
使能Voice VLAN的安全模式 |
voice vlan security enable |
可選 缺省情況下,Voice VLAN工作在安全模式 |
|
設置Voice VLAN識別的OUI地址 |
voice vlan mac-address oui mask oui-mask [ description text ] |
可選 Voice VLAN啟動後將有缺省的OUI地址,請參見“表4-1設備缺省的OUI地址” |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口的鏈路類型 |
port link-type trunk |
二者必選其一 |
|
port link-type hybrid |
||
|
設置端口Voice VLAN的工作模式為自動模式 |
voice vlan mode auto |
可選 缺省情況下,Voice VLAN工作在自動模式 各個端口Voice VLAN的工作模式相互獨立,不同的端口可以設置成不同的模式 |
|
使能端口的Voice VLAN功能 |
voice vlan vlan-id enable |
必選 缺省情況下,端口沒有使能Voice VLAN功能 |
表4-7 配置手動模式下的Voice VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能Voice VLAN的安全模式 |
voice vlan security enable |
可選 缺省情況下,Voice VLAN工作在安全模式 |
|
|
設置Voice VLAN識別的OUI地址 |
voice vlan mac-address oui mask oui-mask [ description text ] |
可選 Voice VLAN啟動後將有缺省的OUI地址,請參見“表4-1設備缺省的OUI地址” |
|
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
|
配置端口的Voice VLAN工作模式為手動模式 |
undo voice vlan mode auto |
必選 缺省情況下,端口的Voice VLAN工作在自動模式 |
|
|
將手動模式端口加入Voice VLAN |
Access端口 |
請參見“1.4.2 配置基於Access端口的VLAN” |
三者必選其一 將Access端口加入Voice VLAN後,Voice VLAN會自動成為Access端口的缺省VLAN |
|
Trunk端口 |
請參見“1.4.3 配置基於Trunk端口的VLAN” |
||
|
Hybrid端口 |
請參見“1.4.4 配置基於Hybrid端口的VLAN” |
||
|
設置Voice VLAN為端口的缺省VLAN |
Trunk端口 |
請參見“1.4.3 配置基於Trunk端口的VLAN” |
可選 當輸入的語音流是Untagged語音流時,需要進行該項配置;當輸入的語音流是Tagged語音流時,不能將Voice VLAN設置為端口的缺省VLAN |
|
Hybrid端口 |
請參見“1.4.4 配置基於Hybrid端口的VLAN” |
||
|
使能端口的Voice VLAN功能 |
voice vlan vlan-id enable |
必選 缺省情況下,端口沒有使能Voice VLAN功能 |
|
· 同一設備同一時刻可以給不同的端口配置不同的Voice VLAN,但一個端口隻能配置一個Voice VLAN,而且這些VLAN必須是已經存在的靜態VLAN。
· 不允許在聚合組的成員端口上使能Voice VLAN功能。有關聚合組的成員端口的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“以太網鏈路聚合”。
· 當端口使能了Voice VLAN並工作在手工模式時,必須手工將端口加入Voice VLAN,才能保證Voice VLAN功能生效。
傳統的Voice VLAN是通過手工配置的OUI地址作為IP電話的匹配規則和接入條件,由於可配置的OUI地址數量有限,這種方式限製了可接入網絡的IP電話的類型(將源MAC匹配同一OUI地址的IP電話視為一個類型)。
在設備上配置了通過LLDP自動發現IP電話功能後,設備將通過LLDP自動發現對端設備,並與對端設備通過LLDP的TLV進行信息交互。如果通過端口收到的LLDP System Capabilities TLV中的信息發現對端設備具有電話能力,則認為對端設備是IP電話並將設備上配置的Voice VLAN信息通過LLDP發送給對端設備。這種方式使接入網絡的IP電話類型不再受限於OUI地址的數量。
在完成IP電話的發現過程後,端口將繼續完成Voice VLAN的其餘功能,即端口將自動加入Voice VLAN,並提高從該IP電話發出的語音數據的優先級。為防止IP電話無法通過端口上配置的認證功能,設備還會將IP電話的MAC地址添加到MAC地址表中。
在配置通過LLDP自動發現IP電話功能之前,需完成以下任務:
· 在全局和端口使能LLDP功能。
· 完成Voice VLAN功能的配置。
表4-8 配置通過LLDP自動發現IP電話功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置通過LLDP自動發現IP電話功能 |
voice vlan track lldp |
必選 缺省情況下,通過LLDP自動發現IP電話功能處於關閉狀態 |
· 設備開啟了通過LLDP自動發現IP電話功能後,每個端口最多可以接入5台IP電話。
· 通過LLDP自動發現IP電話功能與LLDP兼容CDP功能不能同時配置。
指定LLDP發布的Voice VLAN信息功能適用於與支持LLDP協議的IP電話配合使用,配置LLDP兼容CDP功能之後,也可以與支持CDP的IP電話配合使用,請確認對端IP電話的支持情況。
當有IP電話接入設備時,需要設備將Voice VLAN信息通告給IP電話,使IP電話完成Voice VLAN的自動配置,從而在Voice VLAN中轉發語音數據流。缺省情況下,設備通過LLDP-MED中的Network Policy TLV將接入端口上配置的Voice VLAN信息發布給IP電話。
端口上配置Voice VLAN後,設備通過軟件學習MAC地址,從而將匹配OUI地址的MAC學習到Voice VLAN中,並為語音報文提高優先級。但是在IRF設備上,軟件學習的MAC需要較長時間才能在IRF成員設備間完成同步,延遲了語音報文的發送時間。在這種情況下,可以通過命令行指定LLDP發布給IP電話的Voice VLAN ID(端口不需要配置Voice VLAN),使設備通過硬件學習MAC地址,避免對語音報文造成時延。
通過配置本功能,可以指定LLDP向IP電話發布的Voice VLAN信息。配置本功能後,設備向IP電話發布Voice VLAN信息的過程如下:
圖4-4 設備向IP電話發布Voice VLAN信息的過程
IP電話根據收到的信息(VLAN ID、是否攜帶Tag、優先級信息)完成自動配置:
· 如果IP電話根據設備通過命令行指定的Voice VLAN信息完成自動配置,會發送攜帶指定VLAN Tag的報文,語音數據流將在指定VLAN中轉發。在設備上通過命令行指定LLDP發布的Voice VLAN信息的配置方法見4.7.2 。
· 如果IP電話根據認證服務器下發的授權VLAN信息完成自動配置,會發送攜帶授權VLAN Tag的報文,語音數據流將在授權VLAN中轉發。相關內容見4.8 通過LLDP動態發布授權VLAN功能。
· 如果IP電話根據設備接入端口配置的Voice VLAN信息完成自動配置,語音數據流將在端口上配置的Voice VLAN中轉發,是否攜帶Tag由端口上Voice VLAN的配置決定。
LLDP-MED Network Policy TLV中的信息可以通過display lldp local-information顯示信息中的MED information相關字段查看。
表4-9 配置指定LLDP發布的Voice VLAN信息
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
二者必選其一 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
配置指定LLDP發布的Voice VLAN信息 |
lldp voice-vlan vlan-id |
必選 缺省情況下,LLDP發布端口配置的Voice VLAN信息 |
|
· 當設備配置LLDP兼容CDP功能之後,在發送給IP電話的CDP報文中也發送指定的Voice VLAN ID,此時本功能也可以與支持CDP的IP電話配合使用。
· 設備發送給IP電話的LLDP報文中包含優先級信息,CDP報文中不包含優先級信息。
· 本功能適用於與支持LLDP協議的IP電話配合使用,請確認對端IP電話是否支持LLDP功能。
· 如果設備配置802.1X功能對接入設備進行認證,請確認接入的IP電話是否支持進行802.1X認證。
通過LLDP動態發布授權VLAN功能是指LLDP在配合802.1X認證或者MAC地址認證使用時,會將服務器下發的授權VLAN的信息通過LLDP-MED Network Policy TLV發送給通過認證的鄰居IP電話。同時,設備連接IP電話的端口會加入授權VLAN。
IP電話根據認證服務器下發的授權VLAN信息完成自動配置後,會發送攜帶授權VLAN Tag的報文,語音數據流將在授權VLAN中轉發。
本功能無配置命令,僅需完成以下功能的配置:
· 請在全局和端口上開啟LLDP功能。
· 完成安全認證功能的配置,使IP電話能夠通過安全認證。
· 在服務器上配置給通過認證的IP電話下發的授權VLAN。
· 有關802.1X和MAC地址認證的內容請參見“安全配置指導”中的對應章節。
· 授權VLAN相關信息請參見“安全配置指導”中“802.1X配置”中1.2節802.1X擴展功能部分的支持VLAN下發章節和“MAC地址認證配置“中1.1.4.1下發VLAN章節。
如圖4-5的組網中,在Device上配置802.1X對主機和IP電話進行認證(IP電話需要支持802.1X功能)。在認證服務器上配置給主機下發Untag類型授權VLAN,給IP電話下發Tag類型授權VLAN。主機和IP電話通過認證後,設備連接IP電話的端口會以Untag方式加入主機所在授權VLAN,以Tag方式加入IP電話所在授權VLAN。同時,設備發給IP電話的LLDP-MED TLV中攜帶下發給IP電話的授權VLAN信息,使IP電話發出的語音報文攜帶Tag在授權VLAN內轉發。
需要注意的是,由於802.1X協議定義的EAPOL報文不帶VLAN Tag,因此當服務器上指定了給IP電話下發帶Tag的授權VLAN時,需要在設備連接IP電話的端口上配置端口發送802.1X協議報文不帶Tag(dot1x eapol untag)。
圖4-5 使用802.1X對IP電話進行認證
目前僅802.1X認證支持下發帶Tag類型授權VLAN。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Voice VLAN的運行情況,通過查看顯示信息驗證配置的效果。
表4-10 Voice VLAN顯示和維護
|
操作 |
命令 |
|
顯示Voice VLAN的狀態 |
display voice vlan state [ | { begin | exclude | include } regular-expression ] |
|
顯示係統當前支持的OUI地址 |
display voice vlan oui [ | { begin | exclude | include } regular-expression ] |
· IP phone A的MAC地址為0011-1100-0001,下行連接PC A(MAC地址為0022-1100-0002),上行連接到Device A的GigabitEthernet1/0/1端口。
· IP phone B的MAC地址為0011-2200-0001,下行連接PC B(MAC地址為0022-2200-0002),上行連接到Device A的GigabitEthernet1/0/2端口。
· Device A使用Voice VLAN 2傳輸IP phone A產生的語音報文;使用Voice VLAN 3傳輸IP phone B產生的語音報文。
· GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在自動模式,如果它們在30分鍾內沒有收到語音流,就將相應的Voice VLAN老化。
圖4-6 配置自動模式下Voice VLAN組網圖
# 創建VLAN 2和VLAN 3。
<DeviceA> system-view
[DeviceA] vlan 2 to 3
Please wait... Done.
# 設置Voice VLAN的老化時間為30分鍾。
[DeviceA] voice vlan aging 30
# 由於GigabitEthernet1/0/1端口可能會同時收到語音和數據兩種流量,為了保證語音報文的質量以及帶寬的高效利用,設置Voice VLAN工作在安全模式,即Voice VLAN隻用於傳輸語音報文。(此步驟可省略,缺省情況下,Voice VLAN工作在安全模式)
[DeviceA] voice vlan security enable
# 設置允許通過的OUI地址為MAC地址前綴為0011-1100-0000和0011-2200-0000,即當報文的前綴為0011-1100-0000或0011-2200-0000時,Device A會把它當成語音報文來處理。
[DeviceA] voice vlan mac-address 0011-1100-0001 mask ffff-ff00-0000 description IP phone A
[DeviceA] voice vlan mac-address 0011-2200-0001 mask ffff-ff00-0000 description IP phone B
# 將端口GigabitEthernet1/0/1設定為Hybrid端口。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
# 將端口GigabitEthernet1/0/1上Voice VLAN的工作模式設置為自動模式。(可選,缺省情況下,端口的Voice VLAN工作在自動模式。)
[DeviceA-GigabitEthernet1/0/1] voice vlan mode auto
# 使能端口Voice VLAN功能。
[DeviceA-GigabitEthernet1/0/1] voice vlan 2 enable
[DeviceA-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上進行相應的配置。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-type hybrid
[DeviceA-GigabitEthernet1/0/2] voice vlan mode auto
[DeviceA-GigabitEthernet1/0/2] voice vlan 3 enable
# 顯示當前係統支持的OUI地址、OUI地址掩碼和描述信息。
<DeviceA> display voice vlan oui
Oui Address Mask Description
0001-e300-0000 ffff-ff00-0000 Siemens phone
0003-6b00-0000 ffff-ff00-0000 Cisco phone
0004-0d00-0000 ffff-ff00-0000 Avaya phone
0011-1100-0000 ffff-ff00-0000 IP phone A
0011-2200-0000 ffff-ff00-0000 IP phone B
0060-b900-0000 ffff-ff00-0000 Philips/NEC phone
00d0-1e00-0000 ffff-ff00-0000 Pingtel phone
00e0-7500-0000 ffff-ff00-0000 Polycom phone
00e0-bb00-0000 ffff-ff00-0000 3com phone
# 顯示當前Voice VLAN的狀態。
<DeviceA> display voice vlan state
Maximum of Voice VLANs: 8
Current Voice VLANs: 2
Voice VLAN security mode: Security
Voice VLAN aging time: 30 minutes
Voice VLAN enabled port and its mode:
PORT VLAN MODE COS DSCP
--------------------------------------------------------------------
GigabitEthernet1/0/1 2 AUTO 6 46
GigabitEthernet1/0/2 3 AUTO 6 46
· 創建VLAN 2為Voice VLAN,隻允許語音報文通過。
· IP Phone類型為Untagged,接入端口是Hybrid類型端口GigabitEthernet1/0/1。
· 端口GigabitEthernet1/0/1工作在手動模式,且允許OUI地址是0011-2200-0000、掩碼是ffff-ff00-0000的語音報文通過,描述字符為test。
圖4-7 配置手動模式下Voice VLAN組網圖
# 設置Voice VLAN為安全模式,使得Voice VLAN端口隻允許合法的語音報文通過。(可選,係統缺省為安全模式)
<DeviceA> system-view
[DeviceA] voice vlan security enable
# 設置OUI地址0011-2200-0000是Voice VLAN的合法地址。
[DeviceA] voice vlan mac-address 0011-2200-0000 mask ffff-ff00-0000 description test
# 創建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 設置端口GigabitEthernet1/0/1工作在手動模式。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] undo voice vlan mode auto
# 設置端口GigabitEthernet1/0/1為Hybrid類型。
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
# 設置Voice VLAN是端口GigabitEthernet1/0/1的缺省VLAN,且在該端口允許通過的Untagged VLAN列表中。
[DeviceA-GigabitEthernet1/0/1] port hybrid pvid vlan 2
[DeviceA-GigabitEthernet1/0/1] port hybrid vlan 2 untagged
# 使能端口GigabitEthernet1/0/1的Voice VLAN功能。
[DeviceA-GigabitEthernet1/0/1] voice vlan 2 enable
# 顯示當前係統支持的OUI地址、OUI地址掩碼和描述信息。
<DeviceA> display voice vlan oui
Oui Address Mask Description
0001-e300-0000 ffff-ff00-0000 Siemens phone
0003-6b00-0000 ffff-ff00-0000 Cisco phone
0004-0d00-0000 ffff-ff00-0000 Avaya phone
0011-2200-0000 ffff-ff00-0000 test
00d0-1e00-0000 ffff-ff00-0000 Pingtel phone
0060-b900-0000 ffff-ff00-0000 Philips/NEC phone
00e0-7500-0000 ffff-ff00-0000 Polycom phone
00e0-bb00-0000 ffff-ff00-0000 3com phone
# 顯示當前Voice VLAN的狀態。
<DeviceA> display voice vlan state
Maximum of Voice VLANs: 8
Current Voice VLANs: 1
Voice VLAN security mode: Security
Voice VLAN aging time: 1440 minutes
Voice VLAN enabled port and its mode:
PORT VLAN MODE COS DSCP
--------------------------------------------------------------------
GigabitEthernet1/0/1 2 MANUAL 6 46
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
