- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-VLAN映射配置
本章節下載: 11-VLAN映射配置 (278.59 KB)
目 錄
VLAN映射(VLAN Mapping)也叫做VLAN轉換(VLAN Translation),它可以修改報文攜帶的VLAN Tag,實現不同VLAN ID之間的相互轉換。目前設備提供下麵兩種映射關係:
· 1:1 VLAN映射:將來自某一特定VLAN的報文所攜帶的VLAN Tag替換為新的VLAN Tag。
· N:1 VLAN映射:將來自多個VLAN的報文所攜帶的不同VLAN Tag替換為相同的VLAN Tag。
1:1和N:1 VLAN映射的應用環境如圖1-1所示,小區實現寬帶上網業務。
圖1-1 1:1和N:1 VLAN映射應用示意圖
在圖1-1中,進行了如下網絡規劃:
· 在家庭網關上,分別將電腦上網(PC)、視頻點播(VoD)和語音電話(VoIP)業務依次劃分到不同VLAN。
· 在樓道交換機上,為了隔離不同家庭的同類業務,需要將每個家庭的每種業務都劃分到不同的VLAN,即進行1:1 VLAN映射,這就要用到大量的VLAN。
· 在園區交換機上,因為彙聚層網絡接入設備可提供的VLAN數量有限,為了節省VLAN資源,需要進行VLAN的彙聚,將所有家庭的同類業務都劃分到相同的VLAN,即進行N:1 VLAN映射。
如圖1-2所示,VLAN映射有如下相關概念:
· 上行數據流:從用戶網絡發往彙聚層網絡或SP網絡的數據流。
· 下行數據流:從彙聚層網絡或SP網絡發往用戶網絡的數據流。
· 上行端口:發送上行數據流和接收下行數據流的端口。
· 下行端口:發送下行數據流和接收上行數據流的端口。
· CVLAN:Client VLAN。
· SVLAN:Server VLAN。
圖1-2 VLAN映射相關概念示意圖
圖1-3 1:1 VLAN映射實現方式示意圖
如圖1-3所示,1:1 VLAN映射的實現方式如下:
· 對於上行數據流,通過在下行端口配置用戶側1:1 VLAN映射,設備將上行數據流的CVLAN的VLAN Tag替換為SVLAN的VLAN Tag。
· 對於下行數據流,通過在上行端口上配置網絡側1:1 VLAN映射,設備查找DHCP Snooping表項,將下行數據流的SVLAN的VLAN Tag替換為CVLAN的VLAN Tag。有關DHCP Snooping的詳細介紹,請參見“三層技術-IP業務配置指導”中的“DHCP”。
圖1-4 N:1 VLAN映射實現方式示意圖
如圖1-4所示,N:1 VLAN映射的實現方式如下:
· 對於上行數據流,通過在下行端口上配置用戶側N:1 VLAN映射,設備將來自多個CVLAN的報文所攜帶的不同VLAN Tag都替換為同一個SVLAN的VLAN Tag。
· 對於下行數據流,通過在上行端口上配置網絡側N:1 VLAN映射,設備查找DHCP Snooping表項,將報文中SVLAN的VLAN Tag替換為CVLAN的VLAN Tag。有關DHCP Snooping的詳細介紹,請參見“三層技術-IP業務配置指導”中的“DHCP”。
在圖1-1所示的組網中,需要完成以下配置:
· 在樓道交換機上配置1:1 VLAN映射,以便將不同用戶的不同業務用不同的VLAN進行隔離;
· 在園區交換機上配置N:1 VLAN映射,以便將不同用戶的相同業務用同一個VLAN進行發送,從而節省VLAN資源。
在配置VLAN映射前,需要先創建好原始VLAN和轉換後VLAN。
配置VLAN映射時,需要注意:
· 設備同一端口上,不能同時配置VLAN映射和QinQ。有關QinQ的詳細介紹,請參見“二層技術-以太網交換”中的“QinQ”。
· 若用戶同時通過配置VLAN映射和QoS策略來修改或添加報文的VLAN Tag,且配置衝突時,QoS策略的配置生效。有關QoS策略的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS”。
VLAN映射配置中,DHCP Snooping相關命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“DHCP”;ARP Detection相關命令的詳細介紹,請參見“安全命令參考”中的“ARP攻擊防禦”。
表1-1 VLAN映射配置任務簡介
|
缺省情況下,DHCP Snooping功能處於關閉狀態 |
請在所有需要進行映射的VLAN(包括原始VLAN和轉換後VLAN)上都使能ARP Detection功能。
|
進入VLAN視圖 |
||
|
缺省情況下,ARP Detection功能處於關閉狀態 |
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
||
|
配置允許原始VLAN及轉換後VLAN通過當前端口 |
缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
|||
|
vlan mapping uni single vlan-id translated-vlan vlan-id |
缺省情況下,接口上未配置VLAN映射 |
|||
|
配置用戶側N:1 VLAN映射 |
vlan mapping uni range vlan-range-list translated-vlan vlan-id |
|||
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
|
|
配置允許轉換後VLAN通過當前端口 |
缺省情況下,Trunk端口隻允許VLAN 1通過;Hybrid端口隻允許VLAN 1的報文以Untagged方式通過 |
||
|
配置端口為DHCP信任端口 |
缺省情況下,在使能DHCP Snooping功能後,設備上所有支持DHCP Snooping功能的端口均為不信任端口 |
||
|
配置端口為ARP信任端口 |
缺省情況下,接口為ARP非信任接口 |
||
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後VLAN映射的運行情況,通過查看顯示信息驗證配置的效果。
表1-6 VLAN映射顯示和維護
|
操作 |
命令 |
|
顯示VLAN映射信息 |
display vlan mapping [ | { begin | exclude | include } regular-expression ] |
· 在某小區,服務提供商為每個家庭都提供了PC、VoD和VoIP這三種數據服務,每個家庭都通過各自的家庭網關接入樓道交換機,並通過DHCP方式自動獲取IP地址。
· 服務提供商希望實現以下網絡規劃:在家庭網關上,分別將PC、VoD和VoIP業務依次劃分到VLAN 1~3;在樓道交換機上,為了隔離不同家庭的同類業務,將每個家庭的每種業務都劃分到不同的VLAN;而在園區交換機上,為了節省VLAN資源,將所有家庭的同類業務都劃分到相同的VLAN,即分別將PC、VoD和VoIP業務依次劃分到VLAN 501~503。
圖1-5 1:1和N:1 VLAN映射配置組網圖
(1) 配置Switch A
# 開啟全局的DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 創建原始VLAN和轉換後VLAN,並開啟上行端口VLAN內ARP檢測功能。
[SwitchA] vlan 1 to 3
Please wait... Done.
[SwitchA] vlan 101
[SwitchA-vlan101] arp detection enable
[SwitchA-vlan101] vlan 102
[SwitchA-vlan102] arp detection enable
[SwitchA-vlan102] vlan 201
[SwitchA-vlan201] arp detection enable
[SwitchA-vlan201] vlan 202
[SwitchA-vlan202] arp detection enable
[SwitchA-vlan202] vlan 301
[SwitchA-vlan301] arp detection enable
[SwitchA-vlan301] vlan 302
[SwitchA-vlan302] arp detection enable
[SwitchA-vlan302] quit
# 配置下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2為Trunk端口且允許原始VLAN及轉換後VLAN通過,同時在端口上配置1:1 VLAN映射。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 1 2 3 101 201 301
[SwitchA-GigabitEthernet1/0/1] vlan mapping uni single 1 translated-vlan 101
[SwitchA-GigabitEthernet1/0/1] vlan mapping uni single 2 translated-vlan 201
[SwitchA-GigabitEthernet1/0/1] vlan mapping uni single 3 translated-vlan 301
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 1 2 3 102 202 302
[SwitchA-GigabitEthernet1/0/2] vlan mapping uni single 1 translated-vlan 102
[SwitchA-GigabitEthernet1/0/2] vlan mapping uni single 2 translated-vlan 202
[SwitchA-GigabitEthernet1/0/2] vlan mapping uni single 3 translated-vlan 302
[SwitchA-GigabitEthernet1/0/2] quit
# 配置上行端口GigabitEthernet1/0/3為Trunk端口,且允許轉換後VLAN通過,並配置該端口為DHCP Snooping信任端口和ARP信任端口。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 101 201 301 102 202 302
[SwitchA-GigabitEthernet1/0/3] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/3] arp detection trust
# 在上行端口GigabitEthernet1/0/3上配置網絡側VLAN映射。
[SwitchA-GigabitEthernet1/0/3] vlan mapping nni
[SwitchA-GigabitEthernet1/0/3] quit
(2) 配置Switch B
Switch B的配置與Switch A相似,配置過程略。
(3) 配置Switch C
# 開啟全局的DHCP Snooping功能。
[SwitchC] dhcp-snooping
# 創建原始VLAN和轉換後VLAN,並開啟上行端口VLAN內ARP檢測功能。
[SwitchC] vlan 101 to 102
Please wait... Done.
[SwitchC] vlan 201 to 202
Please wait... Done.
[SwitchC] vlan 301 to 302
Please wait... Done.
[SwitchC] vlan 199 to 200
Please wait... Done.
[SwitchC] vlan 299 to 300
Please wait... Done.
[SwitchC] vlan 399 to 400
Please wait... Done.
[SwitchC] vlan 501
[SwitchC-vlan501] arp detection enable
[SwitchC-vlan501] vlan 502
[SwitchC-vlan502] arp detection enable
[SwitchC-vlan502] vlan 503
[SwitchC-vlan503] arp detection enable
[SwitchC-vlan503] quit
# 配置下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2為Trunk端口且允許原始VLAN及轉換後VLAN通過,同時在端口上配置N:1 VLAN映射。
[SwitchC] interface GigabitEthernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 101 102 201 202 301 302 501 to 503
[SwitchC-GigabitEthernet1/0/1] vlan mapping uni range 101 to 102 translated-vlan 501
[SwitchC-GigabitEthernet1/0/1] vlan mapping uni range 201 to 202 translated-vlan 502
[SwitchC-GigabitEthernet1/0/1] vlan mapping uni range 301 to 302 translated-vlan 503
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface GigabitEthernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 199 200 299 300 399 400 501 to 503
[SwitchC-GigabitEthernet1/0/2] vlan mapping uni range 199 to 200 translated-vlan 501
[SwitchC-GigabitEthernet1/0/2] vlan mapping uni range 299 to 300 translated-vlan 502
[SwitchC-GigabitEthernet1/0/2] vlan mapping uni range 399 to 400 translated-vlan 503
[SwitchC-GigabitEthernet1/0/2] quit
# 配置端口GigabitEthernet1/0/3為Trunk端口且允許轉換後VLAN通過,並配置該端口為DHCP Snooping信任端口和ARP信任端口。
[SwitchC-GigabitEthernet1/0/3] port link-type trunk
[SwitchC-GigabitEthernet1/0/3] port trunk permit vlan 501 to 503
[SwitchC-GigabitEthernet1/0/3] dhcp-snooping trust
[SwitchC-GigabitEthernet1/0/3] arp detection trust
# 在上行端口GigabitEthernet1/0/3上配置網絡側N:1 VLAN映射。
[SwitchC-GigabitEthernet1/0/3] vlan mapping nni
[SwitchC-GigabitEthernet1/0/3] quit
(4) 配置Switch D
# 配置端口GigabitEthernet1/0/1為Trunk端口且允許轉換後VLAN通過。
<SwitchD> system-view
[SwitchD] vlan 501 to 503
Please wait... Done.
[SwitchD] interface GigabitEthernet 1/0/1
[SwitchD-GigabitEthernet1/0/1] port link-type trunk
[SwitchD-GigabitEthernet1/0/1] port trunk permit vlan 501 to 503
[SwitchD-GigabitEthernet1/0/1] quit
(1) 查看Switch A上的VLAN映射配置信息
[SwitchA] display vlan mapping
Interface GigabitEthernet1/0/1:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 1 N/A 101
N/A 2 N/A 201
N/A 3 N/A 301
Interface GigabitEthernet1/0/2:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 1 N/A 102
N/A 2 N/A 202
N/A 3 N/A 302
(2) 查看Switch B上的VLAN映射配置信息
Switch B上的VLAN映射配置信息與Switch A相似,顯示信息略。
(3) 查看Switch C上的VLAN映射配置信息
[SwitchC] display vlan mapping
Interface GigabitEthernet1/0/1:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 101-102 N/A 501
N/A 201-202 N/A 502
N/A 301-302 N/A 503
Interface GigabitEthernet1/0/2:
Outer VLAN Inner VLAN Translated Outer VLAN Translated Inner VLAN
N/A 199-200 N/A 501
N/A 299-300 N/A 502
N/A 399-400 N/A 503
以上信息表明,Switch A和Switch B上的1:1 VLAN映射,以及Switch C上的N:1 VLAN映射配置成功。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
