- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
33-VLAN-VPN操作
本章節下載 (400.61 KB)
VPN(Virtual Private Network,虛擬私有網絡)是近年來隨著Internet的廣泛應用而迅速發展起來的一種新技術,用以實現在公用網絡上構建私人專用網絡。通過在客戶端或運營商接入端對用戶報文進行特殊處理,使公網設備可以為用戶報文建立專用的傳輸隧道,保證數據的安全。
VLAN-VPN是一種簡單、靈活的二層VPN隧道技術,它通過在運營商接入端為用戶的私網報文封裝外層VLAN Tag,使報文攜帶兩層VLAN Tag穿越運營商的骨幹網絡(公網)。在公網中,報文隻根據外層VLAN Tag(即公網VLAN Tag)進行傳輸,用戶的私網VLAN Tag則當作報文中的數據部分來進行傳輸。
攜帶單層VLAN Tag的報文結構如圖1-1所示:
圖1-1 攜帶單層VLAN Tag的報文結構
攜帶雙層VLAN Tag的報文結構如圖1-2所示:
圖1-2 攜帶雙層VLAN Tag的報文結構
相對於基於MPLS的二層VPN,VLAN-VPN具有如下特點:
l
為用戶提供了一種更為簡單的二層VPN隧道。
l
不需要在公網上配置自動學習的信令協議,可以通過簡單的手工配置實現。
VLAN-VPN主要可以解決以下問題:
l
緩解日益緊缺的公網VLAN ID資源問題。
l
用戶可以規劃自己的私網VLAN ID,不會導致和公網VLAN ID衝突。
l
為小型城域網或企業網提供一種較為簡單的二層VPN解決方案。
在開啟端口的VLAN-VPN功能後,當該端口接收報文時,無論報文是否帶有VLAN Tag,交換機都會為該報文封裝本端口缺省VLAN的VLAN Tag,並將源MAC地址學習到缺省VLAN的MAC地址表中。因此,在接收報文時:
l
如果原報文是已經帶有VLAN Tag的報文,在進入交換機後將成為帶有雙層Tag的報文
l
如果原報文是不帶VLAN Tag的報文,在進入交換機後將成為帶有端口缺省VLAN Tag的報文
TPID(Tag Protocol Identifier,標簽協議標識)是VLAN Tag中的一個字段,IEEE 802.1q協議規定該字段的取值為0x8100。
IEEE 802.1q協議定義的以太網幀的Tag報文結構如圖1-3所示:
圖1-3 以太網幀的Tag報文結構
S5100-SI/EI係列交換機缺省采用協議規定的TPID值(0x8100)。某些廠商將設備可識別的TPID值設置為0x9100或其他數值。
為了和這些設備兼容,S5100-SI/EI係列交換機提供了全局的VLAN-VPN報文TPID值可調功能,用戶可以自行配置TPID值。VLAN-VPN Uplink端口在轉發報文時會將報文外層VLAN Tag中的TPID值替換為用戶設定值再進行發送,從而使發送到公網中的VLAN-VPN報文可以被其他廠商的設備識別。
由於TPID字段在以太網報文中所處位置與不帶VLAN Tag的報文中協議類型字段所處位置相同,為避免網絡中報文轉發和接收造成混亂,用戶在配置VLAN-VPN時,交換機將不允許用戶配置TPID為表1-1中列舉的常用協議類型值。
表1-1 常用以太網幀協議類型值
|
協議類型 |
對應取值 |
|
ARP |
0x0806 |
|
IP |
0x0800 |
|
MPLS |
0x8847/0x8848 |
|
IPX |
0x8137 |
|
IS-IS |
0x8000 |
|
LACP |
0x8809 |
|
802.1x |
0x888E |
表1-2 VLAN-VPN配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置VLAN-VPN端口 |
必選 |
|
|
配置全局TPID |
可選 |
l
此端口不是VLAN-VPN Uplink端口
l
此端口不能作為遠程鏡像反射端口
表1-3 配置端口的VLAN-VPN功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
開啟端口的VLAN-VPN功能 |
vlan-vpn enable |
必選 缺省情況下,端口VLAN-VPN功能處於關閉狀態 |
如果需要將全局TPID值設為不同於0x8100的其它值,則需要指定設備上的某個端口作為VLAN-VPN Uplink端口,在配置前,請確認該端口沒有開啟VLAN-VPN功能。
為保證報文的正確傳輸,在配置TPID值之前,請確認對端公網設備的TPID值。
表1-4 配置VLAN-VPN報文的TPID值可調功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置TPID值 |
vlan-vpn tpid value |
必選 請不要設置可能引起衝突的TPID值,例如表1-1中列出的協議類型值 缺省情況下,H3C係列交換機采用的TPID值為0x8100 |
|
進入以太網端口視圖 |
interface interface-type interface-number
|
- |
|
將端口設置為VLAN-VPN Uplink端口 |
vlan-vpn uplink enable |
可選 缺省情況下,端口的VLAN-VPN Uplink功能是關閉的 |
注意:
l
一個端口不能同時被配置為VLAN-VPN端口和VLAN-VPN Uplink端口。
l
當TPID為缺省值0x8100時,所有端口都可以做VLAN-VPN Uplink口使用;但是如果TPID不是缺省值時,則必須使用vlan-vpn uplink enable命令指定VLAN-VPN Uplink端口。
l
VLAN-VPN Uplink端口在發送報文時,需要保留報文的外層Tag,因此需要配置為Trunk或Hybrid端口,且在發送外層VLAN的報文時保留外層VLAN Tag。
完成上述配置後,在任意視圖下執行display命令,可以顯示配置VLAN-VPN後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。
表1-5 VLAN-VPN配置顯示
|
操作 |
命令 |
說明 |
|
顯示係統中所有端口的VLAN-VPN配置信息 |
display port vlan-vpn |
display命令可以在任意視圖下執行 |
l
如圖1-4所示,SwitchA和SwitchB為S5100-SI/EI交換機,通過公共網絡將用戶的工作站與服務器相連。
l
用戶的PC工作站和服務器劃分在私有VLAN100,終端工作站和服務器劃分在私有VLAN200。用戶通過公共網絡中的VLAN1040進行VPN連接。
l
公共網絡中使用其他廠商的設備,TPID值為0x9200。
l
要求配置SwitchA和SwitchB的VLAN-VPN功能,使用戶的PC工作站/服務器和終端工作站/服務器能通過VPN連接,並進行正常通信。
圖1-4 VLAN-VPN典型配置舉例組網圖
l
配置Switch A
# 配置Switch A的端口GigabitEthernet1/0/11為VLAN-VPN端口,為進入該端口的報文封裝VLAN1040的外層VLAN Tag。
<SwitchA> system-view
[SwitchA] vlan 1040
[SwitchA-vlan1040] port GigabitEthernet 1/0/11
[SwitchA-vlan1040] quit
[SwitchA] interface GigabitEthernet 1/0/11
[SwitchA-GigabitEthernet1/0/11] vlan-vpn enable
# 為與公共網絡中的設備進行互通,配置Switch A的全局TPID值為0x9200,並指定GigabitEthernet1/0/12為VLAN-VPN Uplink端口。
[SwitchA-GigabitEthernet1/0/11] quit
[SwitchA] vlan-vpn tpid 9200
[SwitchA] interface GigabitEthernet1/0/12
[SwitchA-GigabitEthernet1/0/12] port link-type trunk
[SwitchA-GigabitEthernet1/0/12] port trunk permit vlan 1040
[SwitchA-GigabitEthernet1/0/12] vlan-vpn uplink enable
l
配置Switch B
# 配置SwitchB的端口GigabitEthernet1/0/21為VLAN-VPN端口,為進入該端口的報文封裝VLAN1040的外層VLAN Tag。
<SwitchB> system-view
[SwitchB] vlan 1040
[SwitchB-vlan1040] port GigabitEthernet 1/0/21
[SwitchB-vlan1040] quit
[SwitchB] interface GigabitEthernet 1/0/21
[SwitchB-GigabitEthernet1/0/21] vlan-vpn enable
# 為與公共網絡中的設備進行互通,配置SwitcB的全局TPID值為0x9200,並指定GigabitEthernet1/0/22為VLAN-VPN Uplink端口。
[SwitchB-GigabitEthernet1/0/21] quit
[SwitchB] vlan-vpn tpid 9200
[SwitchB] interface GigabitEthernet1/0/22
[SwitchB-GigabitEthernet1/0/22] port link-type trunk
[SwitchB-GigabitEthernet1/0/22] port trunk permit vlan 1040
[SwitchB-GigabitEthernet1/0/22] vlan-vpn uplink enable
& 說明:
l 請不要配置VLAN1040為SwitchA的GigabitEthernet1/0/12端口和SwitchB的GigabitEthernet1/0/22端口的缺省VLAN,以免外層Tag在發送時被去除。
l 此例中介紹了在SwitchA的GigabitEthernet1/0/11端口和SwitchB的GigabitEthernet1/0/21端口均為Access端口時的配置。當兩個端口為Trunk和Hybrid端口時,請通過命令配置這兩個端口的缺省VLAN為1040,且在發送VLAN1040的報文時去除外層Tag,具體操作請參考“端口基本配置”部分。
l
配置公共網絡設備
# 由於公共網絡使用其他廠商的設備,這裏隻介紹基本原理。配置公共網絡中與SwitchA的GigabitEthernet1/0/12和SwitchB的GigabitEthernet1/0/22端口連接的設備,使其相應的端口允許VLAN1040的報文攜帶VLAN Tag進行發送即可。
& 說明:
報文從SwitchA轉發至SwitcB的過程如下:
l 來自用戶私網側的報文進入SwitchA的端口GigabitEthernet1/0/11後,由於此端口為VLAN-VPN端口,在用戶私有VLAN100和VLAN200的報文外層封裝上端口缺省的VLAN Tag(VLAN ID為1040)。
l 交換機將報文外層VLAN Tag中的TPID值改為用戶設定值0x9200,然後通過VLAN-VPN Uplink端口(GigabitEthernet1/0/12)發送到公網網絡。
l 公共網絡中的設備將保持外層VLAN Tag,將報文發送到SwitchB的GigabitEthernet1/0/22端口。
l SwitchB接收報文後,轉發至GigabitEthernet1/0/21端口,由於該端口是以Access端口的形式加入到VLAN1040,因此在轉發時會去除外層VLAN1040的VLAN Tag,從而將報文恢複為帶有用戶私有VLAN Tag的報文轉發到相應的用戶網絡。
l 反方向的轉發過程相同。
& 說明:
在H3C S5100-SI/EI係列以太網交換機中,隻有S5100-EI設備支持靈活QinQ功能。
靈活QinQ是VLAN-VPN功能的一種增強應用,使用靈活QinQ,用戶可以配置內外層Tag映射規則,為具有不同內層Tag的報文按映射規則封裝不同的外層Tag。
靈活QinQ功能使運營商的網絡構架更為靈活,在連接接入層設備的端口上可以根據VLAN Tag對不同的終端用戶進行分類,為各類用戶封裝不同的外層Tag,並在公網中按外層Tag配置QoS策略,靈活配置數據的傳輸優先級,使各類用戶獲得相應的服務。以圖2-1為例。
圖2-1 靈活QinQ典型應用
SwitchA為運營商的接入設備,接入用戶分為普通用戶(VLAN8~100)、大客戶(VLAN101~200)及IP電話用戶(VLAN201~300)。這三類用戶的報文全部由Switch A轉發到公共網絡。
在SwitchA連接用戶的端口上配置了靈活QinQ及相應的內外層標簽映射規則後,該端口將根據內層VLAN Tag為報文封裝外層Tag。例如,將IP電話用戶(內層Tag為201~300)的數據外層封裝VLAN1002的Tag,並傳送到負責IP電話業務的VoIP設備進行處理。
為保證語音報文的傳輸質量,可以在公共網絡配置QoS策略,對VLAN1002的報文采取保留帶寬、優先發送的規則。
該方法可以對不同類型用戶的數據配置轉發策略,提高網絡管理靈活性;而且能夠節省了公網VLAN資源,又使同類用戶之間因內層VLAN Tag的不同而保持隔離狀態,保證了一定的安全性。
IEEE 802.1Q協議定義的以太網幀的Tag報文結構如圖2-2所示:
圖2-2 以太網幀的Tag報文結構
其中Priority即該標簽的802.1p優先級,長度3bit,取值範圍為0~7。在開啟VLAN-VPN功能的端口上,可以通過配置內外層優先級映射關係,根據報文內層優先級的不同,為報文封裝具有不同優先級的外層標簽。
有關優先級的具體配置,請參見本手冊“QoS-QoS Profile”部分的介紹。
表2-1 靈活QinQ配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置端口的靈活QinQ功能 |
必選 |
|
|
配置VLAN-VPN內外層標簽優先級映射功能 |
可選 |
l
開啟端口的VLAN-VPN功能;
l
設置當前端口允許特定VLAN的報文通過,至少應包括私網報文的VLAN和添加的外層標簽對應的VLAN
表2-2 靈活QinQ配置過程
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置需要封裝的外層Tag,並進入QinQ視圖 |
vlan-vpn vid vlan-id |
必選 |
|
配置對指定內層標簽的報文添加外層VLAN Tag |
raw-vlan-id inbound vlan-id-list |
必選 缺省情況下,沒有配置對指定內層標簽的報文添加外層VLAN Tag |
& 說明:
建議用戶不要在交換機上同時配置靈活QinQ功能和DHCP Snooping功能,否則可能導致DHCP-Snooping功能無法正常使用。
端口開啟VLAN-VPN功能。
表2-3 配置VLAN-VPN內層標簽優先級映射功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number
|
- |
|
配置內外層標簽優先級映射功能 |
vlan-vpn priority old-priority remark new-priority |
必選 缺省情況下,沒有配置內外層標簽優先級映射關係 |
l
SwitchA的端口GigabitEthernet1/0/3連接了PC用戶和IP電話用戶。其中PC用戶位於VLAN100~VLAN108範圍內,IP電話用戶位於VLAN200~VLAN230範圍內。SwitchA的端口GigabitEthernet1/0/5連接到公共網絡,對端為SwitchB。
l
SwitchB的GigabitEthernet1/0/11端口接入公共網絡,GigabitEthernet1/0/12和GigabitEthernet1/0/13端口分別接入PC用戶服務器所在VLAN100~VLAN108和IP電話用戶語音網關所在VLAN200~VLAN230。
l
公共網絡中允許VLAN1000和VLAN1200的報文通過,並配置了QoS策略,對VLAN1200的報文配置有帶寬保留等優先傳輸策略,而VLAN1000的報文傳輸優先級較低。
l
在SwitchA和SwitchB上配置靈活QinQ功能,將PC用戶和IP電話用戶的流量分別在公網的VLAN1000和VLAN1200內傳輸,以利用QoS策略保證語音數據的傳輸優先級。
圖2-3 靈活QinQ配置圖
l
配置SwitchA
# 在SwitchA上創建VLAN1000、VLAN1200和GigabitEthernet1/0/3的缺省VLAN5。
<SwitchA> system-view
[SwitchA] vlan 1000
[SwitchA-vlan1000] quit
[SwitchA] vlan 1200
[SwitchA-vlan1200] quit
[SwitchA] vlan 5
[SwitchA-vlan5] quit
# 配置端口GigabitEthernet1/0/5為Hybrid端口,缺省VLAN為VLAN5、並在轉發VLAN5、VLAN1000和VLAN1200的報文時保留VLAN Tag。
[SwitchA] interface GigabitEthernet 1/0/5
[SwitchA-GigabitEthernet1/0/5] port link-type hybrid
[SwitchA-GigabitEthernet1/0/5] port hybrid pvid vlan 5
[SwitchA-GigabitEthernet1/0/5] port hybrid vlan 5 1000 1200 tagged
[SwitchA-GigabitEthernet1/0/5] quit
# 配置端口GigabitEthernet1/0/3為Hybrid端口,並在轉發VLAN5、VLAN1000和VLAN1200的報文時去除VLAN Tag。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid
[SwitchA-GigabitEthernet1/0/3] port hybrid vlan 5 1000 1200 untagged
#
開啟端口GigabitEthernet1/0/3的VLAN-VPN功能。
[SwitchA-GigabitEthernet1/0/3] vlan-vpn enable
#
配置該端口的靈活QinQ功能,為內層VLAN是100至108的報文封裝VLAN1000的外層Tag;為內層VLAN是200至230的報文封裝VLAN1200的外層Tag。
[SwitchA-GigabitEthernet1/0/3] vlan-vpn vid 1000
[SwitchA-GigabitEthernet1/0/3-vid-1000] raw-vlan-id inbound 100 to 108
[SwitchA-GigabitEthernet1/0/3-vid-1000] quit
[SwitchA-GigabitEthernet1/0/3] vlan-vpn vid 1200
[SwitchA-GigabitEthernet1/0/3-vid-1200] raw-vlan-id inbound 200 to 230
經過上述配置,在SwitchA向公共網絡轉發報文時,會自動將VLAN100~VLAN108(PC用戶)的報文封裝外層Tag為VLAN1000,將VLAN200~VLAN230(IP電話用戶)的報文封裝外層Tag為VLAN1200。
l
配置SwitchB
# 創建VLAN1000、VLAN1200以及GigabitEthernet1/0/12和GigabitEthernet1/0/13端口的缺省VLAN12和VLAN13。
<SwitchB> system-view
[SwitchB] vlan 1000
[SwitchB-vlan1000] quit
[SwitchB] vlan 1200
[SwitchB-vlan1200] quit
[SwitchB] vlan 12 to 13
# 配置端口GigabitEthernet1/0/11為Hybrid端口,並在發送VLAN12、VLAN13、VLAN1000和VLAN1200的報文時保留VLAN Tag。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet 1/0/11
[SwitchB-GigabitEthernet1/0/11] port link-type hybrid
[SwitchB-GigabitEthernet1/0/11] port hybrid vlan 12 13 1000 1200 tagged
# 配置端口GigabitEthernet1/0/12為Hybrid端口,缺省VLAN為VLAN12,在發送VLAN12和VLAN1000的報文時去掉VLAN Tag。
[SwitchB] interface GigabitEthernet 1/0/12
[SwitchB-GigabitEthernet1/0/12] port link-type hybrid
[SwitchB-GigabitEthernet1/0/12] port hybrid pvid vlan 12
[SwitchB-GigabitEthernet1/0/12] port hybrid vlan 12 1000 untagged
[SwitchB-GigabitEthernet1/0/12] quit
# 配置端口GigabitEthernet1/0/13為Hybrid端口,缺省VLAN為VLAN13,在發送VLAN13和VLAN1200的報文時去掉VLAN Tag。
[SwitchB] interface GigabitEthernet 1/0/13
[SwitchB-GigabitEthernet1/0/13] port link-type hybrid
[SwitchB-GigabitEthernet1/0/13] port hybrid pvid vlan 13
[SwitchB-GigabitEthernet1/0/13] port hybrid vlan 13 1200 untagged
經過上述配置,SwitchB可以將公網中VLAN1000和VLAN1200的數據分別通過GigabitEthernet1/0/12和GigabitEthernet1/0/13端口發送到相應的服務器。
為使服務器端返回的數據能夠使用同樣的傳輸方式返回客戶端,需要在SwitchB的GigabitEthernet1/0/12和GigabitEthernet1/0/13端口也配置相應的靈活QinQ功能,配置方法與SwitchA類似,這裏不再贅述。
& 說明:
l
SwitchB上的端口配置隻以達到組網需求的某一種方法為例,也可以配置為Access或Trunk端口,隻要能夠接收和轉發相應VLAN的報文即可。具體操作請參見“端口基本配置”的介紹,這裏不再贅述。
l 由於開啟靈活QinQ的設備在封裝外層Tag時忽略用戶報文的VLAN Tag,因此不需要在設備上配置用戶的VLAN。
l
在啟動了靈活QinQ的端口必須允許本端口的缺省VLAN通過,同時,接入公網的端口也必須允許該VLAN通過。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
