- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-VLAN操作
本章节下载: 04-VLAN操作 (453.42 KB)
目 录
传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:
l HUB是物理层设备,没有交换功能,接收到的报文会向除接收端口外的所有端口转发;
l 交换机是数据链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除接收端口之外的所有端口转发。
上述情况会造成以下的网络问题:
l 网络中可能存在着大量广播和未知单播报文,浪费网络资源。
l 网络中的主机收到大量并非以自身为目的地的报文,造成了严重的安全隐患。
解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器,因为路由器是依据目的IP地址对报文进行转发,不会转发链路层的广播报文。但是路由器的成本较高,而且端口较少,无法细致地划分网络,所以使用路由器隔离广播域有很大的局限性。
为了解决以太网交换机在局域网中无法限制广播的问题,VLAN(Virtual Local Area Network,虚拟局域网)技术应运而生。
VLAN的组成不受物理位置的限制,因此同一VLAN内的主机也无须放置在同一物理空间里。
如图1-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互,而处在不同VLAN内的主机之间如果需要通信,则必须通过路由器或三层交换机等网络层设备才能够实现。
图1-1 VLAN组网示意图
与传统以太网相比,VLAN具有如下的优点:
l 控制广播域的范围:局域网内的广播报文被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
l 增强了LAN的安全性:由于报文在数据链路层被VLAN划分的广播域所隔离,因此各个VLAN内的主机间不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。
l 灵活创建虚拟工作组:使用VLAN可以创建跨物理网络范围的虚拟工作组,当用户的物理位置在虚拟工作组范围内移动时,不需要更改网络配置即可以正常访问网络。
为使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,识别字段需要添加到数据链路层封装中。
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN Tag的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图1-2所示。
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报上层协议的类型字段。
IEEE 802.1Q协议规定,在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
图1-3 VLAN Tag的组成字段
如图1-3所示,VLAN Tag包含四个字段,分别是TPID(Tag Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式指示位)和VLAN ID。
l TPID:用来标识本数据帧是带有VLAN Tag的数据帧。该字段长度为16bit,在H3C系列以太网交换机上缺省取值为协议规定的0x8100。
l Priority:用来表示802.1P的优先级。该字段长度为3bit,相关介绍和应用请参见本手册“QoS-QoS Profile”部分的介绍。
l CFI:用来标识MAC地址是否以标准格式进行封装。该字段长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。
l VLAN ID:用来标识该报文所属VLAN的编号。该字段长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。
这里的帧格式以Ethernet II型封装为例,以太网还支持802.2/802.3型封装。对于802.2/802.3型封装,VLAN Tag也会在目的MAC和源MAC地址字段之后进行封装。802.2/802.3封装的具体格式请参见“1.3.2 以太网数据的封装格式”。
交换机利用VLAN ID来识别报文所属的VLAN,当接收到的报文不携带VLAN Tag时,交换机会为该报文封装带有接收端口缺省VLAN ID的VLAN Tag,将报文在接收端口的缺省VLAN中进行传输。有关端口缺省VLAN设置的内容,请参见1.2.2 部分的介绍。
交换机是根据报文的目的MAC地址对报文进行转发的,因此交换机维护了一种记录MAC地址与端口对应关系的转发表来指导交换机进行转发,这个表称为MAC地址转发表。交换机将接收到的报文的源MAC地址以及接收端口记录到该表中,供后续报文转发使用,这个记录过程称为MAC地址的学习过程。
在配置了VLAN后,交换机的MAC地址学习方式分为两种:
l SVL(Shared VLAN Learning,共享VLAN学习):交换机将所有VLAN中的端口学习到的MAC地址表项全部记录到一张共享的MAC地址转发表内,从任意VLAN内的任意端口接收的报文都参照此表中的信息进行转发。
l IVL(Independent VLAN Learning,独立VLAN学习):交换机为每个VLAN维护独立的MAC地址转发表。由某个VLAN内的端口接收的报文,其源MAC地址只被记录到该VLAN的MAC地址转发表中,且报文的转发只以该表中的信息作为依据。
H3C S3600系列以太网交换机目前只采用IVL方式进行MAC地址学习。有关MAC地址转发表的更多内容,请参见本手册“MAC地址转发表管理”部分的介绍。
位于不同VLAN内的主机之间不能直接通信,需要通过路由器或三层交换机等网络层设备进行转发,S3600系列以太网交换机支持通过配置VLAN接口实现对报文进行三层转发。
VLAN接口是一种三层模式下的虚拟接口,主要用于实现VLAN间的三层互通,它不作为物理实体存在于交换机上。每个VLAN对应一个VLAN接口,该接口可以为本VLAN内端口收到的报文根据其目的IP地址在网络层进行转发。通常情况下,由于VLAN能够隔离广播域,因此每个VLAN也对应一个IP网段,VLAN接口将作为该网段的网关对需要跨网段转发的报文进行基于IP地址的三层转发。
根据划分方式的不同,可以将VLAN分为不同类型,下面列出了6种最常见的VLAN类型:
l 基于端口的VLAN
l 基于MAC地址的VLAN
l 基于协议的VLAN
l 基于IP子网的VLAN
l 基于策略的VLAN
l 其它VLAN
目前S3600系列交换机支持基于端口的VLAN和基于协议的VLAN。
基于端口的VLAN是最简单的一种VLAN划分方法。用户可以将设备上的端口划分到不同的VLAN中,此后从某个端口接收的报文将只能在相应的VLAN内进行传输,从而实现广播域的隔离和虚拟工作组的划分。
基于端口的VLAN具有实现简单,易于管理的优点,适用于连接位置比较固定的用户。
以太网交换机的端口链路类型可以分为三种:Access、Trunk、Hybrid。这三种端口在加入VLAN和对报文进行转发时会进行不同的处理。
S3600系列以太网交换机支持的以太网端口链路类型有三种:
l Access类型:端口只能属于1个VLAN,一般用于交换机与终端用户之间的连接;
l Trunk类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;
l Hybrid类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
Hybrid端口可以允许多个VLAN的报文发送时不携带标签,而Trunk端口只允许缺省VLAN的报文发送时不携带标签。
三种类型的端口可以共存在一台设备上。
用户可以将当前以太网端口加入到指定的VLAN中。执行该配置以后,以太网端口就可以转发指定VLAN的报文,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。
Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN中。
在将Access端口或Hybrid端口加入到指定的VLAN前,指定的VLAN必须已经创建。
当以太网端口接收到不带VLAN Tag的报文时,端口将在缺省VLAN的范围内传输该报文。
Access端口只能属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Hybrid端口和Trunk端口可以属于多个VLAN,所以需要设置端口的缺省VLAN ID。
将端口加入VLAN并指定了端口的缺省VLAN后,三类端口对报文的接收和发送会有不同的处理方式,具体描述请参见表1-1、表1-2和表1-3。
表1-1 Access端口收发报文的处理
|
接收报文时的处理 |
发送报文时的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
|
|
接收该报文,并为报文添加缺省VLAN的Tag |
l 当VLAN ID与缺省VLAN ID相同时:接收该报文 l 当VLAN ID与缺省VLAN ID不同时:丢弃该报文 |
由于VLAN ID就是缺省VLAN ID,不用设置,去掉Tag后发送 |
表1-2 Trunk端口收发报文的处理
|
接收报文时的处理 |
发送报文时的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
|
|
l 当端口已经加入缺省VLAN时,为报文封装缺省VLAN的Tag并转发 l 当端口没有加入缺省VLAN时,丢弃该报文 |
l 当VLAN ID是该端口允许通过的VLAN ID时:接收该报文 l 当VLAN ID不是该端口允许通过的VLAN ID时:丢弃该报文 |
l 当VLAN ID与缺省VLAN ID相同时:去掉Tag,发送该报文 l 当VLAN ID与缺省VLAN ID不同时:保持原有Tag,发送该报文 |
表1-3 Hybrid端口收发报文的处理
|
接收报文时的处理 |
发送报文时的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
|
|
l 当端口已经加入缺省VLAN时,为报文封装缺省VLAN的Tag并转发 l 当端口没有加入缺省VLAN时,丢弃该报文 |
l 当VLAN ID是该端口允许通过的VLAN ID时:接收该报文 l 当VLAN ID不是该端口允许通过的VLAN ID时:丢弃该报文 |
当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过port hybrid vlan命令配置端口在发送该VLAN(包括缺省VLAN)的报文时是否携带Tag |
基于协议的VLAN也称为协议VLAN(为方便描述,下文将统称为协议VLAN),是另一种VLAN划分方法。通过配置协议VLAN,交换机可以对端口上收到的未携带VLAN Tag的报文进行分析,根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配,为匹配成功的报文添加相应的VLAN Tag,实现将属于指定协议的数据自动分发到特定的VLAN中传输的功能。
此特性主要用于将网络中提供的服务类型与VLAN相绑定,方便管理和维护。
为清楚地了解交换机对报文协议的识别过程,先简要介绍一下以太网常用的数据封装格式。
目前以太网的报文封装主要有两种类型,分别为Ethernet II型和802.2/802.3型,分别由RFC894和RFC1042规定。两种报文的封装格式如下:
l Ethernet II型
图1-4 Ethernet II型报文封装格式
l 802.2/802.3型
图1-5 802.2/802.3型报文封装格式
DA、SA分别表示报文的目的MAC地址和源MAC地址,括号中的数字表示此字段的长度,单位为字节。
由于以太网报文的最大长度为1500字节,转换成16进制数字为0x05DC,所以802.2/802.3封装的Length字段取值范围为0x0000~0x05DC。
而Ethernet II型封装中的Type字段取值范围为0x0600~0xFFFF。
目前H3C S3600系列以太网交换机将Length字段取值为0x05DD~0x05FF的报文认为是802.2/802.3封装的报文。
交换机根据这两个字段的取值范围的不同来区分Ethernet II型和802.2/802.3型报文。
802.2/802.3封装有3种扩展封装格式:
l 802.3 raw封装:在源地址和目的地址之后只封装Length字段,之后即是上层数据,没有其他字段。
图1-6 802.3 raw封装格式
目前只有IPX协议支持802.3 raw封装,特点是Length字段之后两个字节的取值固定为0xFFFF。
l 802.2 LLC(Logic Link Control,逻辑链路控制)封装:在源、目的地址后封装Length、DSAP(Destination Service Access Point,目的服务访问点)、SSAP(Source Service Access Point,源服务访问点)和Control字段,其中Control字段的取值固定为3。
图1-7 802.2 LLC封装格式
802.2 LLC封装中的DSAP和SSAP是用来标识上层协议类型的字段。例如,当两个字段同时取值为0xE0时,表示上层协议为IPX。
l 802.2 SNAP(Sub-Network Access Protocol,子网接入协议)封装:按802.3标准型报文进行封装,包含Length、DSAP、SSAP、Control、OUI(Organizationally Unique Identifier,全球统一标识符)及PID(Protocol-ID,协议类型)字段。
图1-8 802.2 SNAP封装格式
在802.2 SNAP封装中,DSAP和SSAP字段的取值均固定为0xAA,Control字段取值固定为3。
交换机根据DSAP和SSAP字段的取值区分802.2 LLC和802.2 SNAP封装。
在802.2 SNAP封装中,当OUI为00-00-00时,PID字段和Ethernet II封装的Type字段有同样的意义,即被解释为全局唯一的协议号。这种封装称为SNAP RFC1042封装,是标准的SNAP封装,本文中出现的“SNAP封装”就是指“SNAP RFC1042封装”。
表1-4列出了各种协议所支持的封装格式,括号中为该协议的协议类型值。
|
封装 协议 |
Ethernet II |
802.3 raw |
802.2 LLC |
802.2 SNAP |
|
IP(0x0800) |
支持 |
不支持 |
不支持 |
支持 |
|
IPX(0x8137) |
支持 |
支持 |
支持 |
支持 |
|
AppleTalk(0x809B) |
支持 |
不支持 |
不支持 |
支持 |
S3600系列以太网交换机通过协议模板来匹配报文,实现根据报文的协议将报文划分到不同VLAN中传输的功能。
协议模板是用来匹配报文所属协议类型的标准,协议模版由“封装格式+协议类型”组成,分为标准模板和自定义模板两种:
l 标准模板是指以RFC标准规定的协议封装格式和类型字段取值作为匹配条件的模板。
l 自定义模板是指以用户在命令中指定的封装格式和标识类型字段的取值作为匹配条件的模板。
配置协议模板完成后,需要为协议VLAN添加端口并建立该端口与协议模板的关联。协议VLAN内的端口需要根据报文协议的不同,为各种报文封装不同VLAN的Tag,即该端口需要属于多个VLAN。而且,由于该端口连接客户端,普通客户端无法处理携带VLAN Tag的报文,所以需要该端口在发送所有报文时去掉VLAN Tag。综上所述,在向协议VLAN内添加端口并建立端口与协议模板的关联之前,需要将端口配置为Hybrid端口,并配置该端口在转发来自所有协议VLAN的报文时采取去除VLAN Tag的操作。
表2-1 VLAN配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
VLAN的基本配置 |
必选 |
|
|
VLAN接口的基本配置 |
可选 |
|
|
VLAN配置显示 |
可选 |
表2-2 VLAN的基本配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
批量创建多个VLAN |
vlan { vlan-id1 to vlan-id2 | all } |
可选 |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
必选 缺省情况下,系统只有一个缺省VLAN(VLAN1) |
|
指定当前VLAN的名称 |
name text |
可选 缺省情况下,VLAN的名称为该VLAN的VLAN ID,例如“VLAN 0001” |
|
指定当前VLAN的描述字符串 |
description text |
可选 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001” |
l VLAN1是系统的缺省VLAN,无需创建,也不能删除。
l 使用以上方法创建的是静态VLAN,交换机中还可以存在动态VLAN,是指通过GVRP功能注册的VLAN,详情请参见本手册“GVRP”部分的介绍。
l 当使用vlan命令创建VLAN时,如果目标VLAN已经存在且是动态VLAN,交换机会自动将其转换为静态VLAN,同时输出提示信息。
配置VLAN接口之前,首先要创建对应的VLAN。
表2-3 VLAN接口的基本配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN接口并进入VLAN接口视图 |
interface Vlan-interface vlan-id |
必选 缺省情况下,在交换机上不存在VLAN接口 |
|
指定当前VLAN接口的描述字符串 |
description text |
可选 缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-interface1 Interface” |
|
将VLAN接口的管理状态设置为关闭 |
shutdown |
可选 缺省情况下,VLAN接口的管理状态为打开,此时VLAN接口状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态为Down时,VLAN接口为Down状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于Up状态时,则VLAN接口处于Up状态。 如果将VLAN接口的管理状态设置为关闭,则VLAN接口的状态始终为Administratively Down,不受VLAN中端口状态的影响。 |
|
将VLAN接口的管理状态设置为打开 |
undo shutdown |
打开/关闭VLAN接口的操作对属于该VLAN的以太网端口的物理状态没有影响。
完成上述配置后,在任意视图下执行display命令,可以显示配置VLAN后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表2-4 VLAN配置显示
|
操作 |
命令 |
说明 |
|
显示VLAN接口相关信息 |
display interface Vlan-interface [ vlan-id ] |
display命令可以在任意视图下执行 |
|
显示VLAN相关信息 |
display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static ] |
表2-5 基于端口的VLAN配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置端口的链路类型 |
可选 |
|
|
将端口加入指定的VLAN |
必选 |
|
|
配置端口的缺省VLAN |
可选 |
|
|
基于端口的VLAN配置显示 |
可选 |
表2-6 配置端口的链路类型
|
配置 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口的链路类型 |
port link-type { access | hybrid | trunk } |
可选 缺省情况下,所有端口的链路类型均为Access类型 |
l Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
l port link-type irf-fabric命令用来配置交换机的Fabric端口,相关介绍请参见本手册“IRF Fabric”部分。
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
|
将当前端口加入到指定VLAN |
Access端口 |
port access vlan vlan-id |
必选 缺省情况下,所有端口均只加入VLAN1 |
|
Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
||
|
Hybrid端口 |
port hybrid vlan vlan-id-list { tagged | untagged } |
||
在将Access端口和Hybrid端口加入到指定VLAN之前,要加入的VLAN必须已经存在。
需要注意的是:将Access端口加入指定的VLAN除了使用表2-7中介绍的方法外,用户还可以在VLAN视图下进行配置。
表2-8 将Access端口加入指定的VLAN(VLAN视图下)
|
配置 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
必选 如果指定的VLAN不存在,则该命令先完成VLAN的创建,然后再进入该VLAN的视图 |
|
将指定Access端口加入到当前VLAN中 |
port interface-list |
必选 缺省情况下,系统将所有端口都加入到VLAN1 |
Access端口只能加入一个VLAN,这个VLAN就是它的缺省VLAN,因此不用配置。本节只介绍如何配置Trunk端口和Hybrid端口的缺省VLAN。
表2-9 配置端口的缺省VLAN
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
|
配置端口的缺省VLAN |
Trunk端口 |
port trunk pvid vlan vlan-id |
可选 缺省情况下,端口的缺省VLAN为VLAN1 |
|
Hybrid端口 |
port hybrid pvid vlan vlan-id |
||
建议将本端Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID配置为一致,否则端口可能无法正确转发报文。
完成上述配置后,在任意视图下执行display命令,可以显示配置系统中当前存在的Trunk和Hybrid端口。
表2-10 基于端口的VLAN配置显示
|
操作 |
命令 |
说明 |
|
显示系统当前存在的指定类型的端口 |
display port { hybrid | trunk } |
display命令可以在任意视图下执行 |
l 如图2-1所示,Switch A和Switch B分别连接了不同部门使用的PC1/PC2和Server1/Server2。
l 为保证部门间数据的二层隔离,现要求将PC1和Server1划分到VLAN100中,PC2和Server2划分到VLAN200中。并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”。
l 在SwitchA上配置VLAN接口,对PC1发往Server2的数据进行三层转发。两个部门分别使用192.168.1.0/24和192.168.2.0/24两个网段
图2-1 VLAN配置示例图
l 配置Switch A
# 创建VLAN100,并配置VLAN100的描述字符串为“Dept1”,将端口Ethernet1/0/1加入到VLAN100。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] description Dept1
[SwitchA-vlan100] port Ethernet 1/0/1
[SwitchA-vlan100] quit
# 创建VLAN200,并配置VLAN200的描述字符串为“Dept2”。
[SwitchA] vlan 200
[SwitchA-vlan200] description Dept2
[SwitchA-vlan200] quit
# 创建VLAN100和VLAN200的接口,IP地址分别配置为192.168.1.1和192.168.2.1,用来对PC1发往Server2的报文进行三层转发。
[SwitchA] interface Vlan-interface 100
[SwitchA-Vlan-interface100] ip address 192.168.1.1 24
[SwitchA-Vlan-interface100] quit
[SwitchA] interface Vlan-interface 200
[SwitchA-Vlan-interface200] ip address 192.168.2.1 24
l 配置Switch B
# 创建VLAN100,并配置VLAN100的描述字符串为“Dept1”,将端口Ethernet1/0/13加入到VLAN100。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] description Dept1
[SwitchB-vlan100] port Ethernet 1/0/13
[SwitchB-vlan103] quit
# 创建VLAN200,并配置VLAN200的描述字符串为“Dept2”,将端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。
[SwitchB] vlan 200
[SwitchB-vlan200] description Dept2
[SwotchB-vlan200] port Ethernet1/0/11 Ethernet 1/0/12
[SwitchB-vlan200] quit
l 配置Switch A和Switch B之间的链路
由于Switch A和Switch B之间的链路需要同时传输VLAN100和VLAN200的数据,所以可以配置两端的端口为Trunk端口,且允许这两个VLAN的报文通过。
# 配置Switch A的Ethernet1/0/2端口。
[SwitchA] interface Ethernet 1/0/2
[SwitchA-Ethernet1/0/2] port link-type trunk
[SwitchA-Ethernet1/0/2] port trunk permit vlan 100
[SwitchA-Ethernet1/0/2] port trunk permit vlan 200
# 配置Switch B的Ethernet1/0/10端口。
[SwitchB] interface Ethernet 1/0/10
[SwitchB-Ethernet1/0/10] port link-type trunk
[SwitchB-Ethernet1/0/10] port trunk permit vlan 100
[SwitchB-Ethernet1/0/10] port trunk permit vlan 200
表2-11 协议VLAN配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置协议VLAN的协议模板 |
必选 |
|
|
配置端口与协议VLAN的关联 |
必选 |
|
|
协议VLAN配置显示 |
可选 |
配置协议VLAN之前,首先要创建VLAN。
表2-12 配置VLAN的协议模板
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
配置VLAN协议模板 |
protocol-vlan [ protocol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc dsap dsap-id ssap ssap-id | snap etype etype-id } } |
必选 缺省情况下,没有配置VLAN的协议模板 |
在配置协议VLAN的协议模板命令中,使用at、ip、ipx参数来配置标准模板,分别匹配AppleTalk、IP、IPX协议的报文;使用mode参数配置自定义模板。
l 由于IP协议与ARP协议关系密切,建议用户在VLAN下配置IP协议类型时,同时配置ARP协议类型,并将这两种协议类型关联到相同的端口,避免因ARP报文与IP报文未划分到同一VLAN,而造成无法解析IP地址的情况。
l 当配置llc封装的自定义模板时,如果将dsap-id与ssap-id参数取值为某些特殊数值,将与一些标准封装格式相同:当dsap-id与ssap-id同取0xFF时,将与ipx raw型报文格式相同;同取0xE0时,将与ipx llc型报文格式相同;同取0xAA时,将与snap型报文格式相同。为避免出现两条命令对同种协议报文做不同配置的情况,系统将不允许用户配置dsap-id和ssap-id参数的取值同时为0xFF、0xE0、0xAA。
l 在使用mode参数配置自定义协议模板时,如果将ethernetii或snap型报文的etype-id参数值配置为0x0800、0x8137、0x809B,则该模板分别与IP、IPX和AppleTalk协议的标准协议模板相同。为避免两条命令对同种协议做不同配置的情况,交换机将提示用户不能配置ethernetii或snap报文的etype-id参数为上述三个数值。
l 已经配置协议VLAN的协议模板
l 将端口配置为Hybrid类型,并配置在转发协议VLAN的报文时去除VLAN Tag。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口与协议VLAN关联 |
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-index-end ] | all } |
必选 缺省情况下,端口没有与任何协议VLAN关联 |
完成上述配置后,在任意视图下执行display命令,可以显示配置协议VLAN后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表2-14 协议VLAN配置显示
|
操作 |
命令 |
说明 |
|
显示协议VLAN的基本信息 |
display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static] |
display命令可以在任意视图下执行 |
|
显示指定VLAN上配置的协议信息及协议的索引 |
display protocol-vlan vlan { vlan-id [ to vlan-id ] | all } |
|
|
显示指定端口上配置的协议信息及协议的索引 |
display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all } |
l 如图2-2所示,工作室Workroom通过S3600交换机的Ethernet1/0/10端口连接到局域网内。
l 工作室中使用IP网络和AppleTalk网络的工作站共存。
l S3600交换机通过Ethernet1/0/11和Ethernet1/0/12端口分别连接到使用IP网络的VLAN100和使用AppleTalk网络的VLAN200。
l 配置交换机将工作室中使用IP网络和AppleTalk网络的报文自动划分到指定的VLAN内进行传输,以保证工作站与服务器的正常连接。
图2-2 协议VLAN典型配置举例组网示意图
# 创建VLAN100和VLAN200,并将端口Ethernet1/0/11和Ethernet1/0/12加入到指定VLAN中。
<Sysname> system-view
[Sysname] vlan 100
[Sysname-vlan100] port Ethernet 1/0/11
[Sysname-vlan100] quit
[Sysname] vlan 200
[Sysname-vlan200] port Ethernet 1/0/12
# 创建VLAN200和VLAN100的协议模板,分别匹配AppleTalk和IP协议。
[Sysname-vlan200] protocol-vlan at
[Sysname-vlan200] quit
[Sysname] vlan 100
[Sysname-vlan100] protocol-vlan ip
# 为保证IP网络正常通信,还需要创建VLAN100的自定义协议模板来匹配ARP协议,这里假设使用Ethernet II型封装。
[Sysname-vlan100] protocol-vlan mode ethernetii etype 0806
# 显示当前已经创建的协议VLAN及其模板。
[Sysname-vlan100] display protocol-vlan vlan all
VLAN ID: 100
VLAN Type: Protocol-based VLAN
Protocol Index Protocol Type
0 ip
1 ethernetii etype 0x0806
VLAN ID: 200
VLAN Type: Protocol-based VLAN
Protocol Index Protocol Type
0 at
# 配置端口Ethernet1/0/10为Hybrid端口,并在转发VLAN100和VLAN200的报文时去掉VLAN Tag。
[Sysname-vlan100] quit
[Sysname] interface Ethernet 1/0/10
[Sysname-Ethernet1/0/10] port link-type hybrid
[Sysname-Ethernet1/0/10] port hybrid vlan 100 200 untagged
# 配置端口Ethernet1/0/10分别与VLAN100的协议模板0和1,VLAN200的协议模板0进行绑定。
[Sysname-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 0 to 1
[Sysname-Ethernet1/0/10] port hybrid protocol-vlan vlan 200 0
# 显示端口Ethernet1/0/10与各协议VLAN的协议模板的绑定情况,以确认配置结果。
[Sysname-Ethernet1/0/10] display protocol-vlan interface Ethernet 1/0/10
Interface:Ethernet1/0/10
VLAN ID Protocol-Index Protocol-Type
100 0 ip
100 1 ethernetii etype 0x0806
200 0 at
上述显示信息表示,端口Ethernet1/0/10已经与VLAN100和VLAN200的相应协议模板进行了绑定,此后IP工作站和AppleTalk工作站发送的报文,通过匹配协议模板,即可自动划分到指定的VLAN中进行传输,实现工作站与服务器的正常通信。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
