- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-VLAN終結配置
本章節下載: 05-VLAN終結配置 (288.32 KB)
目 錄
VLAN終結是指對接收到的報文,按照報文攜帶的VLAN Tag信息匹配對應的接口後,去除報文VLAN Tag,再將報文進行三層轉發或交由其他業務處理。轉發出去的報文是否帶有VLAN Tag由出接口決定,對從配置了VLAN終結的接口發送的報文,按照該接口上的終結配置,將相應的VLAN Tag添加到報文中後發送該報文。
根據對所終結的報文的不同處理方式,VLAN終結分為:
· Dot1q終結:用來終結帶有一層及以上VLAN Tag的報文(要求最外層VLAN ID必須匹配配置值),從配置了Dot1q終結的接口發送的報文,都添加一層VLAN Tag。
· Untagged終結:用來終結收到的不帶VLAN Tag的報文,從配置了Untagged終結的接口發送的報文,都不添加VLAN Tag。
· Default終結:用來終結同一主接口上其他子接口上無法處理的報文,從配置了Default終結的接口發送的報文,都不添加VLAN Tag。
為便於描述,本特性部分內容對帶有兩層及以上VLAN Tag的報文,將其最外兩層VLAN Tag按從外層到內層的方向,分別用第一層VLAN Tag、第二層VLAN Tag表示,對VLAN ID的描述類似。
子接口(例如三層以太網子接口/三層聚合子接口)、VLAN接口可以終結匹配最外層VLAN ID的報文或匹配最外兩層VLAN ID的報文。其中,VLAN接口隻能終結最外層VLAN ID與接口編號相同的VLAN報文,例如Vlan-interface10隻能終結最外層VLAN ID為10的報文。
主接口(例如三層以太網接口/三層聚合接口)本身不能對VLAN報文做終結處理,在主接口創建子接口後,由子接口來處理。
配置VLAN終結後,設備對收到的報文按如下優先級順序匹配接口:
· 配置了Dot1q終結或者缺省支持Dot1q終結的子接口
· 配置了Untagged終結的子接口
· 配置了Default終結的子接口
· 主接口
當主接口的某個子接口配置了Untagged終結時,不帶VLAN Tag的報文隻能由主接口下的子接口處理,而不會匹配到主接口。
當主接口的某個子接口配置了Default終結時,報文隻能由主接口下的子接口處理,而不會匹配到主接口。
與VLAN接口綁定的主接口在收到VLAN報文後,根據VLAN接口的配置對報文進行處理。
劃分VLAN後,不同VLAN間的主機不能直接通信,使用三層路由技術可以實現所有VLAN間報文的互通。此時如果要對互通的VLAN範圍做限製,即要求隻有指定的部分VLAN間可以互通,可以借助VLAN終結功能來實現。目前可以通過子接口或VLAN接口實現指定VLAN間的互通。
圖1-1 VLAN終結用於不同VLAN之間互通(通過三層以太網子接口)
如圖1-1所示,Host A屬於VLAN 2,Host B屬於VLAN 3。將Host A的網關地址指定為1.1.1.1/24,Host B的網關地址指定為1.1.2.1/24,在Device上創建三層以太網子接口Subinterface A.2和Subinterface A.3並配置Dot1q終結,可實現Host A和Host B之間的互通。
圖1-2 VLAN終結用於不同VLAN之間互通(通過VLAN接口)
如圖1-2所示,Host A屬於VLAN 2,Host B屬於VLAN 3,Host C屬於VLAN 4。將Host A的網關地址指定為1.1.1.1/24,Host B的網關地址指定為1.1.2.1/24,然後在Device上創建Vlan-interface2和Vlan-interface3並分別配置IP地址為Host A和Host B的網關地址,可實現Host A和Host B的三層報文互通:當Vlan-interface2收到Host A的VLAN 2報文時,去除VLAN Tag,再轉發給Vlan-interface3,Vlan-interface3在發送該報文時添加該接口VLAN的 Tag(VLAN 3),使該報文能發送到VLAN 3內的Host B;反之亦然。
而Host C由於沒有對應的VLAN接口終結VLAN 4的報文,不能與Host A或Host B互通。
VLAN接口缺省支持終結VLAN ID等於該接口編號的最外層VLAN Tag。
如果要在開啟了Portal認證功能的接口上更改VLAN終結方式,必須先把該接口的在線Portal用戶全部下線,否則會導致這些在線Portal用戶無法正常下線也無法重新認證上線。有關Portal的介紹,請參見“安全配置指導”中的“Portal”。
在子接口視圖下修改已有的VLAN終結配置後,該子接口會down/up一次,設備ARP表中與該子接口相關的動態表項也會被全部刪除。
VLAN終結配置任務如下:
(1) 配置VLAN終結
請根據實際組網情況選擇以下一種方式:
(2) (可選)配置VLAN終結支持廣播/組播
執行該任務後,配置了VLAN終結功能的接口才能發送廣播/組播報文。
(3) (可選)配置VLAN Tag的TPID值
模糊的Dot1q終結隻允許接口接收最外層VLAN ID在指定範圍內的VLAN報文,不屬於該範圍的VLAN報文則不允許通過該接口。接口收到報文後,將報文最外層VLAN Tag剝離。發送報文時,會給報文添加一層VLAN Tag,VLAN ID字段取值為:
· 對於PPPoE報文,通過查找PPPoE會話表項獲取相應的VLAN ID。
· 對於DHCP Relay轉發的DHCP Server端報文,通過查找DHCP會話表項獲取相應的VLAN ID。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入三層以太網子接口視圖。
interface interface-type interface-number.subnumber
¡ 進入三層聚合子接口視圖。
interface route-aggregation interface-number.subnumber
¡ 進入以太網冗餘子接口視圖。
interface reth interface-number.subnumber
(3) 開啟子接口的Dot1q終結功能,並指定子接口能夠終結的VLAN報文的最外層VLAN ID範圍。
vlan-type dot1q vid vlan-id-list
缺省情況下,子接口的Dot1q終結功能處於關閉狀態。
明確的Dot1q終結隻允許接口接收最外層VLAN ID為指定值的VLAN報文,其他VLAN報文則不允許通過該接口。接口收到報文後,將報文最外層VLAN Tag剝離。發送報文時,給報文添加一層VLAN Tag,VLAN ID為指定值。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入三層以太網子接口視圖。
interface interface-type interface-number.subnumber
¡ 進入三層聚合子接口視圖。
interface route-aggregation interface-number.subnumber
¡ 進入以太網冗餘子接口視圖。
interface reth interface-number.subnumber
(3) 開啟子接口的Dot1q終結功能,並指定子接口能夠終結的VLAN報文最外層VLAN ID。
vlan-type dot1q vid vlan-id
缺省情況下,子接口的Dot1q終結功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入三層以太網子接口視圖。
interface interface-type interface-number.subnumber
¡ 進入三層聚合子接口視圖。
interface route-aggregation interface-number.subnumber
¡ 進入以太網冗餘子接口視圖。
interface reth interface-number.subnumber
(3) 開啟子接口的Untagged終結功能。
vlan-type dot1q untagged
缺省情況下,子接口的Untagged終結功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入三層以太網子接口視圖。
interface interface-type interface-number.subnumber
¡ 進入三層聚合子接口視圖。
interface route-aggregation interface-number.subnumber
¡ 進入以太網冗餘子接口視圖。
interface reth interface-number.subnumber
(3) 開啟子接口的Default終結功能。
vlan-type dot1q default
缺省情況下,子接口的Default終結功能處於關閉狀態。
當接口下配置了模糊的Dot1q終結功能後,缺省情況下不允許發送廣播/組播報文。隻有配置了VLAN終結支持廣播/組播功能,該接口才能發送廣播/組播報文。
本功能允許接口遍曆模糊終結範圍內的VLAN ID,給報文分別添加這些VLAN ID對應的VLAN Tag後,再發送報文。
IPv6網絡中,當接口下配置了模糊的Dot1q終結功能後,建議配置vlan-termination broadcast ra命令,以允許接口遍曆模糊終結的範圍發送RA(Router Advertisement,路由器通告消息)組播報文,其他類型的廣播/組播報文則不允許發送。該命令與vlan-termination broadcast enable命令相比,能有效減少設備CPU負擔。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入三層以太網子接口視圖。
interface interface-type interface-number.subnumber
¡ 進入三層聚合子接口視圖。
interface route-aggregation interface-number.subnumber
¡ 進入以太網冗餘子接口視圖。
interface reth interface-number.subnumber
(3) 配置允許接口發送廣播/組播報文。請選擇其中一項進行配置。
¡ 允許接口發送廣播和組播報文。
vlan-termination broadcast enable
¡ 允許接口發送RA組播報文(IPv6環境)。
vlan-termination broadcast ra
缺省情況下,接口配置了模糊的Dot1q終結功能後,不允許發送廣播/組播報文。
在子接口/VLAN接口上使用VLAN終結功能時,可以通過以下配置指定接口接收和發送報文的最外層VLAN Tag的TPID值。在配置TPID值後,當接收報文時,隻有報文最外層VLAN Tag的TPID值為0x8100或者指定值的報文才會作為VLAN報文來處理;發送報文時,會給報文最外層VLAN Tag的TPID值填入指定值,如果報文帶有兩層及以上VLAN Tag,則給報文其他層VLAN Tag的TPID值都填入0x8100。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入三層以太網接口視圖。
interface interface-type interface-number
¡ 進入三層聚合接口視圖。
interface route-aggregation interface-number
¡ 進入以太網冗餘接口視圖。
interface reth interface-number
在VLAN接口視圖下配置,會對該VLAN接口生效;在其他接口視圖下配置,會對相應接口的所有子接口生效。
(3) 配置接口接收和發送的報文最外層VLAN Tag的TPID值。
dot1q ethernet-type hex-value
缺省情況下,接口接收和發送的報文最外層VLAN Tag的TPID值均為0x8100。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
