- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-VLAN映射配置
本章節下載: 12-VLAN映射配置 (406.92 KB)
目 錄
僅S5500-EI係列交換機支持VLAN映射功能。
VLAN映射(VLAN Mapping)功能可以修改報文攜帶的VLAN Tag,提供下麵3種映射關係:
· 1:1 VLAN映射:將來自某一特定VLAN的報文所攜帶的VLAN Tag替換為新的VLAN Tag。
· N:1 VLAN映射:將來自兩個或多個VLAN的報文所攜帶的不同VLAN Tag替換為相同的VLAN Tag。
· 2:2 VLAN映射:將攜帶有兩層VLAN Tag的報文的內、外層VLAN Tag都替換為新的VLAN Tag。
下麵將詳細介紹這幾種映射關係的應用以及工作原理。
如圖1-1所示,是1:1和N:1 VLAN映射的應用環境,其中用不同的VLAN來承載各家庭用戶不同類型的業務(包括PC、VoD和VoIP)。
圖1-1 1:1和N:1 VLAN映射應用示意圖
為了區分不同的用戶,需要在樓道交換機處用不同的VLAN來承載不同用戶的相同業務,即進行1:1 VLAN映射,這就要用到大量的VLAN。但彙聚層網絡接入設備可提供的VLAN數量有限,因此需要在園區交換機上來進行VLAN的彙聚,用一個VLAN來承載原本由多個VLAN承載的不同用戶的相同業務,即進行N:1 VLAN映射。
如圖1-2所示,是2:2 VLAN映射的應用環境,VPN A中處於不同地理位置(Site 1和Site 2)的用戶跨越了兩個SP(Service Provider,服務提供商)——SP 1和SP 2的網絡進行互通。
圖1-2 2:2 VLAN映射應用示意圖
在圖1-2中,Site 1和Site 2中的用戶所在的VLAN分別為VLAN 2和VLAN 3,SP 1和SP 2分配給VPN A的VLAN分別為VLAN 10和VLAN 20。當Site 1中的報文進入SP 1的網絡後,SP1通過QinQ或靈活QinQ功能,在報文外層封裝上了VLAN 10的VLAN Tag。這樣,VPN用戶就可以自由規劃自己網絡中的VLAN ID,而不用擔心與SP的VLAN ID相衝突,同時也緩解了SP的網絡中VLAN ID緊缺的問題。
當上述報文繼續由SP 1的網絡進入SP 2的網絡後,由於SP 2分配給VPN A的VLAN與SP 1不同,因此需將該報文的外層VLAN Tag替換為VLAN 20的VLAN Tag,同時為了與Site 2中的用戶互通,還需將其內層VLAN Tag替換為VLAN 3的VLAN Tag。這種同時修改內、外兩層VLAN Tag的過程就是2:2 VLAN映射。
QinQ和靈活QinQ的具體介紹及配置過程請參見“二層技術-以太網交換配置指導”中的“QinQ配置”。
圖1-3 VLAN映射基本概念示意圖
如圖1-3所示,為了更好的理解後麵的配置過程,此處定義幾個概念:
· 上行數據流:從用戶網絡發往彙聚層網絡或SP網絡的數據流,都稱為上行數據流。
· 下行數據流:從彙聚層網絡或SP網絡發往用戶網絡的數據流,都稱為下行數據流。
· 上行端口:發送上行數據流和接收下行數據流的端口稱為上行端口。
· 下行端口:發送下行數據流和接收上行數據流的端口稱為下行端口。
· 上行策略:負責上行數據流VLAN映射規則的QoS策略。
· 下行策略:負責下行數據流VLAN映射規則的QoS策略。
圖1-4 1:1 VLAN映射實現方式示意圖
如圖1-4所示,1:1 VLAN映射的實現方式如下:
· 對於上行數據流,通過在下行端口上應用上行策略,將報文中CVLAN的VLAN Tag替換為SVLAN的VLAN Tag。
· 對於下行數據流,通過在下行端口上應用下行策略,將報文中SVLAN的VLAN Tag替換為CVLAN的VLAN Tag。
圖1-5 N:1 VLAN映射實現方式示意圖
如圖1-5所示,N:1 VLAN映射的實現方式如下:
· 對於上行數據流,通過在下行端口上應用上行策略,將來自兩個或多個CVLAN的報文所攜帶的不同VLAN Tag都替換為SVLAN的VLAN Tag。
· 對於下行數據流,通過查找SVLAN對應的DHCP Snooping表項中DHCP客戶端的IP地址、MAC地址和CVLAN的綁定表項,將報文中SVLAN的VLAN Tag替換為CVLAN的VLAN Tag。
圖1-6 2:2 VLAN映射實現方式示意圖
如圖1-6所示,2:2 VLAN映射的實現方式如下:
· 對於上行數據流,通過在下行端口上應用上行策略,將報文的外層VLAN Tag替換為新的VLAN Tag;通過在上行端口上應用上行策略,將報文的內層VLAN Tag替換為新的VLAN Tag。
· 對於下行數據流,通過在下行端口上應用下行策略,將報文的內、外層VLAN Tag都替換為各自的原始VLAN Tag。
· 有關DHCP Snooping的詳細介紹,請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”。
· 有關QoS策略的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS配置方式”。
用戶需要根據網絡規劃,在不同的設備上進行不同的VLAN映射配置。
表1-1 VLAN映射配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置1:1 VLAN映射 |
在圖1-1所示的組網中,需要在樓道交換機上進行此配置 |
|
|
配置N:1 VLAN映射 |
在圖1-1所示的組網中,需要在園區交換機上進行此配置 |
|
|
配置2:2 VLAN映射 |
在圖1-2所示的組網中,需要在SP 2網絡的邊緣設備PE 3上進行此配置 |
在圖1-1所示的組網中,需要在樓道交換機上進行1:1 VLAN映射的配置,以便將不同用戶的不同業務用不同的VLAN進行隔離。
表1-2 1:1 VLAN映射配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置上行策略 |
必選 |
|
|
配置下行策略 |
必選 |
|
|
配置下行端口 |
必選 |
|
|
配置上行端口 |
必選 |
在配置1:1 VLAN映射之前,需完成以下任務:
· 創建好CVLAN和SVLAN,並規劃好CVLAN和SVLAN的映射關係。
通過配置上行策略,將不同用戶的不同業務VLAN(CVLAN)映射到不同的VLAN(SVLAN)上。
表1-3 配置上行策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義類,並進入類視圖 |
traffic classifier tcl-name [ operator { and | or } ] |
必選 |
|
定義匹配用戶不同業務VLAN(CVLAN)的規則 |
if-match customer-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 |
|
配置重標記報文的SVLAN |
remark service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 |
|
為類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 |
通過配置下行策略,將SVLAN映射回原來的CVLAN上。
表1-4 配置下行策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義類,並進入類視圖 |
traffic classifier tcl-name [ operator { and | or } ] |
必選 |
|
定義匹配SVLAN的規則 |
if-match service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 |
|
配置重標記報文的CVLAN |
remark customer-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 |
|
為類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 |
表1-5 配置下行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
配置端口鏈路類型 |
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
二者必選其一 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
||
|
允許CVLAN和SVLAN通過當前端口 |
允許CVLAN和SVLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
二者必選其一 缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|
允許CVLAN和SVLAN以Tagged方式通過當前Hybrid端口 |
port hybrid vlan vlan-list tagged |
||
|
使能端口的基本QinQ功能 |
qinq enable |
必選 缺省情況下,端口的基本QinQ功能處於關閉狀態 |
|
|
在端口的入方向上應用上行策略 |
qos apply policy policy-name inbound |
必選 |
|
|
在端口的出方向上應用下行策略 |
qos apply policy policy-name outbound |
必選 |
|
表1-6 配置上行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口鏈路類型 |
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
二者必選其一 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
||
|
允許SVLAN通過當前端口 |
允許SVLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
二者必選其一 缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|
允許SVLAN以Tagged方式通過當前Hybrid端口 |
port hybrid vlan vlan-list tagged |
||
在圖1-1所示的組網中,需要在園區交換機上進行N:1 VLAN映射的配置,以便將不同用戶的相同業務用同一個VLAN進行發送,從而節省VLAN資源。
表1-7 N:1 VLAN映射配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
使能DHCP Snooping功能 |
必選 |
|
|
使能ARP Detection功能 |
必選 |
|
|
配置上行策略 |
必選 |
|
|
配置下行端口 |
必選 |
|
|
配置上行端口 |
必選 |
如果用戶想改變VLAN映射關係,必須先用reset dhcp-snooping命令(請參見“三層技術-IP業務命令參考”中的“DHCP Snooping”)清除DHCP Snooping表項,然後再修改QoS策略中的VLAN映射關係。
在配置N:1 VLAN映射之前,需完成以下任務:
· 要求家庭用戶中不同的業務終端都通過DHCP方式獲取IP地址。有關通過DHCP方式獲取IP地址的方法,請參見“三層技術-IP業務配置指導”中的“DHCP概述”。
· 創建好CVLAN和SVLAN,並規劃好CVLAN和SVLAN的映射關係。
表1-8 使能DHCP Snooping功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能DHCP Snooping功能 |
dhcp-snooping |
必選 缺省情況下,DHCP Snooping功能處於關閉狀態 |
正常的ARP報文處理流程無法修改ARP報文所屬的VLAN,因此需要使用ARP Detection功能將ARP報文上送CPU進行處理,這樣就可以對ARP報文進行VLAN映射。有關ARP Detection功能的詳細介紹,請參見“安全配置指導”中的“ARP攻擊防禦”。
請在所有SVLAN上都使能ARP Detection功能。
表1-9 使能ARP Detection功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP Detection功能 |
arp detection enable |
必選 缺省情況下,ARP Detection功能處於關閉狀態 |
建議在所有CVLAN上也都使能ARP Detection功能,以起到防攻擊的作用。
通過配置上行策略,將不同用戶的相同業務VLAN(CVLAN)映射到同一個VLAN(SVLAN)上。
表1-10 配置上行策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義類,並進入類視圖 |
traffic classifier tcl-name operator or |
必選 |
|
定義匹配不同用戶相同業務VLAN(CVLAN)的規則 |
if-match customer-vlan-id { vlan-list | vlan-id1 to vlan-id2 } |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 |
|
配置重標記報文的SVLAN |
remark service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 |
|
為類指定采用的流行為和綁定模式 |
classifier tcl-name behavior behavior-name mode dot1q-tag-manipulation |
必選 |
表1-11 配置下行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
配置端口的鏈路類型 |
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
二者必選其一 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
||
|
允許CVLAN和SVLAN通過當前端口 |
允許CVLAN和SVLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
二者必選其一 缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|
允許CVLAN和SVLAN以Tagged方式通過當前Hybrid端口 |
port hybrid vlan vlan-list tagged |
||
|
使能端口的用戶側QinQ功能 |
qinq enable downlink |
必選 缺省情況下,端口的用戶側QinQ功能處於關閉狀態 |
|
|
在端口的入方向上應用上行策略 |
qos apply policy policy-name inbound |
必選 |
|
在下行端口上應用QoS策略之前,需要先使能端口的用戶側QinQ功能;在下行端口上關閉用戶側QinQ功能之前,需要先解除QoS策略與該端口的綁定。
表1-12 配置上行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置端口的鏈路類型 |
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
二者必選其一 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
||
|
允許SVLAN通過當前端口 |
允許SVLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
二者必選其一 缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|
允許SVLAN以Tagged方式通過當前Hybrid端口 |
port hybrid vlan vlan-list tagged |
||
|
配置端口為DHCP Snooping信任端口 |
dhcp-snooping trust |
必選 缺省情況下,端口為DHCP Snooping非信任端口 |
|
|
配置端口為ARP信任端口 |
arp detection trust |
必選 缺省情況下,端口為ARP非信任端口 |
|
|
使能端口的網絡側QinQ功能 |
qinq enable uplink |
必選 缺省情況下,端口的網絡側QinQ功能處於關閉狀態 |
|
在圖1-2所示的組網中,需要在SP 2網絡的邊緣設備PE 3上進行2:2 VLAN映射的配置,以便使得報文外層VLAN Tag為新SP網絡分配給用戶的VLAN,而內層的VLAN Tag可以和不同VLAN的同一VPN用戶進行互通。
表1-13 2:2 VLAN映射配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置下行端口的上行策略 |
必選 |
|
|
配置下行端口的下行策略 |
必選 |
|
|
配置上行端口的上行策略 |
必選 |
|
|
配置下行端口 |
必選 |
|
|
配置上行端口 |
必選 |
通過配置下行端口的上行策略,來修改SVLAN的值。
表1-14 配置下行端口的上行策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義類,並進入類視圖 |
traffic classifier tcl-name [ operator and ] |
必選 |
|
定義匹配CVLAN的規則 |
if-match customer-vlan-id vlan-id |
必選 |
|
定義匹配SVLAN的規則 |
if-match service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 |
|
配置重標記報文的SVLAN |
remark service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 |
|
為類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 |
通過配置下行端口的下行策略,來將SVLAN和CVLAN的值都修改為原來的值。
表1-15 配置下行端口的下行策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義類,並進入類視圖 |
traffic classifier tcl-name [ operator and ] |
必選 |
|
定義匹配CVLAN的規則 |
if-match customer-vlan-id vlan-id |
必選 |
|
定義匹配SVLAN的規則 |
if-match service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 |
|
配置重標記報文的CVLAN |
remark customer-vlan-id vlan-id |
必選 |
|
配置重標記報文的SVLAN |
remark service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 |
|
為類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 |
通過配置上行端口的上行策略,來修改CVLAN的值。
表1-16 配置上行端口的上行策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義類,並進入類視圖 |
traffic classifier tcl-name [ operator and ] |
必選 |
|
定義匹配CVLAN的規則 |
if-match customer-vlan-id vlan-id |
必選 |
|
定義匹配SVLAN的規則 |
if-match service-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 |
|
配置重標記報文的CVLAN |
remark customer-vlan-id vlan-id |
必選 |
|
退回係統視圖 |
quit |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 |
|
為類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 |
表1-17 配置下行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
進入端口組視圖 |
port-group manual port-group-name |
|
|
|
配置端口的鏈路類型 |
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
二者必選其一 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
||
|
允許SVLAN通過當前端口 |
允許SVLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
二者必選其一 缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|
允許SVLAN以Tagged方式通過當前Hybrid端口 |
port hybrid vlan vlan-list tagged |
||
|
在端口的入方向上應用上行策略 |
qos apply policy policy-name inbound |
必選 |
|
|
在端口的出方向上應用下行策略 |
qos apply policy policy-name outbound |
必選 |
|
表1-18 配置上行端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
配置端口的鏈路類型 |
配置端口的鏈路類型為Trunk類型 |
port link-type trunk |
二者必選其一 缺省情況下,所有端口的鏈路類型均為Access類型 |
|
配置端口的鏈路類型為Hybrid類型 |
port link-type hybrid |
||
|
允許SVLAN通過當前端口 |
允許SVLAN通過當前Trunk端口 |
port trunk permit vlan { vlan-list | all } |
二者必選其一 缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|
允許SVLAN以Tagged方式通過當前Hybrid端口 |
port hybrid vlan vlan-list tagged |
||
|
在端口的出方向上應用上行策略 |
qos apply policy policy-name outbound |
必選 |
|
· 在某小區,服務提供商為每個家庭都提供了電腦上網(PC)、視頻點播(VoD)和語音電話(VoIP)這三種數據服務,每個家庭都通過各自的家庭網關接入樓道交換機,並通過DHCP方式自動獲取IP地址。
· 服務提供商希望實現以下網絡規劃:在家庭網關上,分別將PC、VoD和VoIP業務依次劃分到VLAN 1~3;在樓道交換機上,為了隔離不同家庭的同類業務,將每個家庭的每種業務都劃分到不同的VLAN;而在園區交換機上,為了節省VLAN資源,將所有家庭的同類業務都劃分到相同的VLAN,即分別將PC、VoD和VoIP業務依次劃分到VLAN 501~503。
圖1-7 1:1和N:1 VLAN映射配置組網圖
(1) 配置Switch A
# 創建CVLAN和SVLAN。
<SwitchA> system-view
[SwitchA] vlan 2 to 3
[SwitchA] vlan 101 to 102
[SwitchA] vlan 201 to 202
[SwitchA] vlan 301 to 302
# 配置上行策略p1和p2:將不同用戶的不同業務CVLAN映射到不同的SVLAN上。
[SwitchA] traffic classifier c1
[SwitchA-classifier-c1] if-match customer-vlan-id 1
[SwitchA-classifier-c1] traffic classifier c2
[SwitchA-classifier-c2] if-match customer-vlan-id 2
[SwitchA-classifier-c2] traffic classifier c3
[SwitchA-classifier-c3] if-match customer-vlan-id 3
[SwitchA-classifier-c3] quit
[SwitchA] traffic behavior b1
[SwitchA-behavior-b1] remark service-vlan-id 101
[SwitchA-behavior-b1] traffic behavior b2
[SwitchA-behavior-b2] remark service-vlan-id 201
[SwitchA-behavior-b2] traffic behavior b3
[SwitchA-behavior-b3] remark service-vlan-id 301
[SwitchA-behavior-b3] traffic behavior b4
[SwitchA-behavior-b4] remark service-vlan-id 102
[SwitchA-behavior-b4] traffic behavior b5
[SwitchA-behavior-b5] remark service-vlan-id 202
[SwitchA-behavior-b5] traffic behavior b6
[SwitchA-behavior-b6] remark service-vlan-id 302
[SwitchA-behavior-b6] quit
[SwitchA] qos policy p1
[SwitchA-policy-p1] classifier c1 behavior b1
[SwitchA-policy-p1] classifier c2 behavior b2
[SwitchA-policy-p1] classifier c3 behavior b3
[SwitchA-policy-p1] quit
[SwitchA] qos policy p2
[SwitchA-policy-p2] classifier c1 behavior b4
[SwitchA-policy-p2] classifier c2 behavior b5
[SwitchA-policy-p2] classifier c3 behavior b6
[SwitchA-policy-p2] quit
# 配置下行策略p11和p22:將SVLAN映射回原來的CVLAN上。
[SwitchA] traffic classifier c11
[SwitchA-classifier-c11] if-match service-vlan-id 101
[SwitchA-classifier-c11] traffic classifier c22
[SwitchA-classifier-c22] if-match service-vlan-id 201
[SwitchA-classifier-c22] traffic classifier c33
[SwitchA-classifier-c33] if-match service-vlan-id 301
[SwitchA-classifier-c33] traffic classifier c44
[SwitchA-classifier-c44] if-match service-vlan-id 102
[SwitchA-classifier-c44] traffic classifier c55
[SwitchA-classifier-c55] if-match service-vlan-id 202
[SwitchA-classifier-c55] traffic classifier c66
[SwitchA-classifier-c66] if-match service-vlan-id 302
[SwitchA-classifier-c66] quit
[SwitchA] traffic behavior b11
[SwitchA-behavior-b11] remark customer-vlan-id 1
[SwitchA-behavior-b11] traffic behavior b22
[SwitchA-behavior-b22] remark customer-vlan-id 2
[SwitchA-behavior-b22] traffic behavior b33
[SwitchA-behavior-b33] remark customer-vlan-id 3
[SwitchA-behavior-b33] quit
[SwitchA] qos policy p11
[SwitchA-policy-p11] classifier c11 behavior b11
[SwitchA-policy-p11] classifier c22 behavior b22
[SwitchA-policy-p11] classifier c33 behavior b33
[SwitchA-policy-p11] quit
[SwitchA] qos policy p22
[SwitchA-policy-p22] classifier c44 behavior b11
[SwitchA-policy-p22] classifier c55 behavior b22
[SwitchA-policy-p22] classifier c66 behavior b33
[SwitchA-policy-p22] quit
# 配置下行端口GigabitEthernet1/0/1為Trunk端口且允許CVLAN和SVLAN通過,使能該端口的基本QinQ功能,在該端口的入方向上應用上行策略p1,並在該端口的出方向上應用下行策略p11。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 1 2 3 101 201 301
[SwitchA-GigabitEthernet1/0/1] qinq enable
[SwitchA-GigabitEthernet1/0/1] qos apply policy p1 inbound
[SwitchA-GigabitEthernet1/0/1] qos apply policy p11 outbound
[SwitchA-GigabitEthernet1/0/1] quit
# 配置下行端口GigabitEthernet1/0/2為Trunk端口且允許CVLAN和SVLAN通過,使能該端口的基本QinQ功能,在該端口的入方向上應用上行策略p2,並在該端口的出方向上應用下行策略p22。
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 1 2 3 102 202 302
[SwitchA-GigabitEthernet1/0/2] qinq enable
[SwitchA-GigabitEthernet1/0/2] qos apply policy p2 inbound
[SwitchA-GigabitEthernet1/0/2] qos apply policy p22 outbound
[SwitchA-GigabitEthernet1/0/2] quit
# 配置上行端口GigabitEthernet1/0/3為Trunk端口且允許SVLAN通過。
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 101 201 301 102 202 302
如果PC(發送不帶VLAN Tag的報文)直接連接在樓道交換機上,則需把樓道交換機連接PC的端口配置成Access端口或者Trunk端口:
· 當配置成Access端口時,要把端口加入到SVLAN;
· 當配置成Trunk端口時,要把端口的缺省VLAN配置成SVLAN。
(2) 配置Switch B
Switch B的配置與Switch A相似,配置過程略。
(3) 配置Switch C
# 使能DHCP Snooping功能。
<SwitchC> system-view
[SwitchC] dhcp-snooping
# 創建CVLAN和SVLAN,並在這些VLAN上分別使能ARP Detection功能。
[SwitchC] vlan 101
[SwitchC-vlan101] arp detection enable
[SwitchC-vlan101] vlan 201
[SwitchC-vlan201] arp detection enable
[SwitchC-vlan201] vlan 301
[SwitchC-vlan301] arp detection enable
[SwitchC-vlan301] vlan 102
[SwitchC-vlan102] arp detection enable
[SwitchC-vlan102] vlan 202
[SwitchC-vlan202] arp detection enable
[SwitchC-vlan202] vlan 302
[SwitchC-vlan302] arp detection enable
[SwitchC-vlan302] vlan 103
[SwitchC-vlan103] arp detection enable
[SwitchC-vlan103] vlan 203
[SwitchC-vlan203] arp detection enable
[SwitchC-vlan203] vlan 303
[SwitchC-vlan303] arp detection enable
[SwitchC-vlan303] vlan 104
[SwitchC-vlan104] arp detection enable
[SwitchC-vlan104] vlan 204
[SwitchC-vlan204] arp detection enable
[SwitchC-vlan204] vlan 304
[SwitchC-vlan304] arp detection enable
[SwitchC-vlan304] vlan 501
[SwitchC-vlan501] arp detection enable
[SwitchC-vlan501] vlan 502
[SwitchC-vlan502] arp detection enable
[SwitchC-vlan502] vlan 503
[SwitchC-vlan503] arp detection enable
[SwitchC-vlan503] quit
# 配置上行策略p1和p2:將不同用戶的相同業務VLAN(CVLAN)映射到同一個VLAN(SVLAN)上。
[SwitchC] traffic classifier c1
[SwitchC-classifier-c1] if-match customer-vlan-id 101 to 102
[SwitchC-classifier-c1] traffic classifier c2
[SwitchC-classifier-c2] if-match customer-vlan-id 201 to 202
[SwitchC-classifier-c2] traffic classifier c3
[SwitchC-classifier-c3] if-match customer-vlan-id 301 to 302
[SwitchC-classifier-c3] traffic classifier c4
[SwitchC-classifier-c4] if-match customer-vlan-id 103 to 104
[SwitchC-classifier-c4] traffic classifier c5
[SwitchC-classifier-c5] if-match customer-vlan-id 203 to 204
[SwitchC-classifier-c5] traffic classifier c6
[SwitchC-classifier-c6] if-match customer-vlan-id 303 to 304
[SwitchC-classifier-c6] quit
[SwitchC] traffic behavior b1
[SwitchC-behavior-b1] remark service-vlan-id 501
[SwitchC-behavior-b1] traffic behavior b2
[SwitchC-behavior-b2] remark service-vlan-id 502
[SwitchC-behavior-b2] traffic behavior b3
[SwitchC-behavior-b3] remark service-vlan-id 503
[SwitchC-behavior-b3] quit
[SwitchC] qos policy p1
[SwitchC-policy-p1] classifier c1 behavior b1 mode dot1q-tag-manipulation
[SwitchC-policy-p1] classifier c2 behavior b2 mode dot1q-tag-manipulation
[SwitchC-policy-p1] classifier c3 behavior b3 mode dot1q-tag-manipulation
[SwitchC-policy-p1] quit
[SwitchC] qos policy p2
[SwitchC-policy-p2] classifier c4 behavior b1 mode dot1q-tag-manipulation
[SwitchC-policy-p2] classifier c5 behavior b2 mode dot1q-tag-manipulation
[SwitchC-policy-p2] classifier c6 behavior b3 mode dot1q-tag-manipulation
[SwitchC-policy-p2] quit
# 配置下行端口GigabitEthernet1/0/1為Trunk端口且允許CVLAN和SVLAN通過,使能該端口的用戶側QinQ功能,並在該端口的入方向上應用上行策略p1。
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 101 201 301 102 202 302 501 502 503
[SwitchC-GigabitEthernet1/0/1] qinq enable downlink
[SwitchC-GigabitEthernet1/0/1] qos apply policy p1 inbound
[SwitchC-GigabitEthernet1/0/1] quit
# 配置下行端口GigabitEthernet1/0/2為Trunk端口且允許CVLAN和SVLAN通過,使能該端口的用戶側QinQ功能,並在該端口的入方向上應用上行策略p2。
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 103 203 303 104 204 304 501 502 503
[SwitchC-GigabitEthernet1/0/2] qinq enable downlink
[SwitchC-GigabitEthernet1/0/2] qos apply policy p2 inbound
[SwitchC-GigabitEthernet1/0/2] quit
# 配置上行端口GigabitEthernet1/0/3為Trunk端口且允許SVLAN通過,配置該端口為DHCP Snooping信任端口和ARP信任端口,並使能該端口的網絡側QinQ功能。
[SwitchC] interface gigabitethernet 1/0/3
[SwitchC-GigabitEthernet1/0/3] port link-type trunk
[SwitchC-GigabitEthernet1/0/3] port trunk permit vlan 501 502 503
[SwitchC-GigabitEthernet1/0/3] dhcp-snooping trust
[SwitchC-GigabitEthernet1/0/3] arp detection trust
[SwitchC-GigabitEthernet1/0/3] qinq enable uplink
(4) 配置Switch D
# 使能DHCP Snooping功能。
<SwitchD> system-view
[SwitchD] dhcp-snooping
# 配置端口GigabitEthernet1/0/1為Trunk端口且允許SVLAN通過。
<SwitchD> system-view
[SwitchD] interface gigabitethernet 1/0/1
[SwitchD-GigabitEthernet1/0/1] port link-type trunk
[SwitchD-GigabitEthernet1/0/1] port trunk permit vlan 501 502 503
· VPN A中的站點1和站點2是某公司的兩個分支機構,且分別利用VLAN 10和VLAN 30承載業務。由於分處不同地域,這兩個分支機構采用了不同的服務提供商所提供的VPN接入服務,且SP 1和SP 2分別將VLAN 100和VLAN 200分配給這兩個分支機構使用。
· 該公司希望其下屬的這兩個分支機構可以跨越SP 1和SP 2的網絡實現互通。
圖1-8 2:2 VLAN映射配置組網圖
(1) 配置PE 1
# 配置GigabitEthernet1/0/1端口的QinQ功能,為VLAN 10報文添加VLAN ID為100的外層VLAN Tag。
<PE1> system-view
[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port access vlan 100
[PE1-GigabitEthernet1/0/1] qinq enable
[PE1-GigabitEthernet1/0/1] quit
# 配置上行端口GigabitEthernet1/0/2允許VLAN 100的報文通過。
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] port link-type trunk
[PE1-GigabitEthernet1/0/2] port trunk permit vlan 100
(2) 配置PE 2
# 配置端口GigabitEthernet1/0/1為Trunk端口且允許VLAN 100通過。
<PE2> system-view
[PE2] interface gigabitethernet 1/0/1
[PE2-GigabitEthernet1/0/1] port link-type trunk
[PE2-GigabitEthernet1/0/1] port trunk permit vlan 100
[PE2-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet1/0/2為Trunk端口且允許VLAN 100通過。
[PE2] interface gigabitethernet 1/0/2
[PE2-GigabitEthernet1/0/2] port link-type trunk
[PE2-GigabitEthernet1/0/2] port trunk permit vlan 100
(3) 配置PE 3
# 配置下行端口的上行策略downlink_in:即下行端口對入方向報文的匹配規則流行為。
<PE3> system-view
[PE3] traffic classifier downlink_in
[PE3-classifier-downlink_in] if-match customer-vlan-id 10
[PE3-classifier-downlink_in] if-match service-vlan-id 100
[PE3-classifier-downlink_in] quit
[PE3] traffic behavior downlink_in
[PE3-behavior-downlink_in] remark service-vlan-id 200
[PE3-behavior-downlink_in] quit
[PE3] qos policy downlink_in
[PE3-qospolicy-downlink_in] classifier downlink_in behavior downlink_in
[PE3-qospolicy-downlink_in] quit
# 配置下行端口的下行策略downlink_out:即下行端口對出方向報文的匹配規則和流行為。
[PE3] traffic classifier downlink_out
[PE3-classifier-downlink_out] if-match customer-vlan-id 30
[PE3-classifier-downlink_out] if-match service-vlan-id 200
[PE3-classifier-downlink_out] quit
[PE3] traffic behavior downlink_out
[PE3-behavior-downlink_out] remark customer-vlan-id 10
[PE3-behavior-downlink_out] remark service-vlan-id 100
[PE3-behavior-downlink_out] quit
[PE3] qos policy downlink_out
[PE3-qospolicy-downlink_out] classifier downlink_out behavior downlink_out
[PE3-qospolicy-downlink_out] quit
# 配置上行端口的上行策略uplink_out:即上行端口對出方向報文的匹配規則和流行為。
[PE3] traffic classifier uplink_out
[PE3-classifier-uplink_out] if-match customer-vlan-id 10
[PE3-classifier-uplink_out] if-match service-vlan-id 200
[PE3-classifier-uplink_out] quit
[PE3] traffic behavior uplink_out
[PE3-behavior-uplink_out] remark customer-vlan-id 30
[PE3-behavior-uplink_out] quit
[PE3] qos policy uplink_out
[PE3-qospolicy-uplink_out] classifier uplink_out behavior uplink_out
[PE3-qospolicy-uplink_out] quit
# 配置下行端口GigabitEthernet1/0/1為Trunk端口且允許VLAN 200通過,在該端口的入方向上應用上行策略downlink_in,並在該端口的出方向上應用下行策略downlink_out。
[PE3] interface gigabitethernet 1/0/1
[PE3-GigabitEthernet1/0/1] port link-type trunk
[PE3-GigabitEthernet1/0/1] port trunk permit vlan 200
[PE3-GigabitEthernet1/0/1] qos apply policy downlink_in inbound
[PE3-GigabitEthernet1/0/1] qos apply policy downlink_out outbound
[PE3-GigabitEthernet1/0/1] quit
# 配置上行端口GigabitEthernet1/0/2為Trunk端口且允許VLAN 200通過,並在該端口的出方向上應用下行策略uplink_out。
[PE3] interface gigabitethernet 1/0/2
[PE3-GigabitEthernet1/0/2] port link-type trunk
[PE3-GigabitEthernet1/0/2] port trunk permit vlan 200
[PE3-GigabitEthernet1/0/2] qos apply policy uplink_out outbound
[PE3-GigabitEthernet1/0/2] quit
(4) 配置PE 4
# 配置GigabitEthernet1/0/2的QinQ功能,為VLAN 30報文添加VLAN ID為200的外層VLAN Tag。
<DeviceD> system-view
[DeviceD] interface gigabitethernet 1/0/2
[DeviceD-GigabitEthernet1/0/2] port access vlan 200
[DeviceD-GigabitEthernet1/0/2] qinq enable
# 配置端口GigabitEthernet1/0/1允許VLAN 200的報文通過。
[DeviceD] interface gigabitethernet 1/0/1
[DeviceD-GigabitEthernet1/0/1] port link-type trunk
[DeviceD-GigabitEthernet1/0/1] port trunk permit vlan 200
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
