09-VLAN配置
本章节下载: 09-VLAN配置 (786.13 KB)
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,带冲突检测的载波侦听多路访问)技术的共享通讯介质。采用以太网技术构建的局域网,既是一个冲突域,又是一个广播域。当网络中主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题。通过在以太网中部署网桥或二层交换机,可以解决冲突严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virtual Local Area Network,虚拟局域网)技术,这种技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN。处于同一VLAN的主机能直接互通,而处于不同VLAN的主机则不能直接互通。这样,广播报文被限制在同一个VLAN内,即每个VLAN是一个广播域。如图1-1所示,VLAN 2内的主机可以互通,但与VLAN 5内的主机不能互通。
图1-1 VLAN示意图
VLAN的划分不受物理位置的限制:物理位置不在同一范围的主机可以属于同一个VLAN;一个VLAN包含的主机可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由器。
VLAN根据划分方式不同可以分为不同类型。基于端口划分VLAN是其中最简单、最有效的VLAN划分方式。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。本章将介绍基于端口的VLAN。
VLAN的优点如下:
· 限制广播域。广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
· 增强局域网的安全性。VLAN间的二层报文是相互隔离的,即一个VLAN内的主机不能和其他VLAN内的主机直接通信,如果不同VLAN要进行通信,则需通过路由器或三层交换机等三层设备。
· 灵活构建虚拟工作组。通过VLAN可以将不同的主机划分到不同的工作组,同一工作组的主机可以位于不同的物理位置,网络构建和维护更方便灵活。
要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。IEEE 802.1Q协议规定,在以太网报文的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN Tag,用以标识VLAN的相关信息。
图1-2 VLAN Tag的组成字段
如图1-2所示,VLAN Tag包含四个字段,分别是TPID(Tag Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式指示位)和VLAN ID。
· TPID:协议规定TPID取值为0x8100时表示报文带有VLAN Tag,但各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时,为了能够识别这样的报文,实现互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值配置一致。如果报文的TPID值为配置值或0x8100,则该报文被认为带有VLAN Tag。配置TPID值的相关命令请参见“二层技术-以太网交换命令参考”中的“QinQ”。
· Priority:用来表示报文的802.1p优先级,长度为3比特,相关内容请参见“ACL和QoS配置指导\QoS”中的“附录”。
· CFI:用来表示MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1比特。取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装。在以太网中,CFI取值为0。
· VLAN ID:用来表示该报文所属VLAN的编号,长度为12比特。由于0和4095为协议保留取值,所以VLAN ID的取值范围为1~4094。
网络设备根据报文是否携带VLAN Tag以及携带的VLAN Tag信息,来对报文进行处理,利用VLAN ID来识别报文所属的VLAN。详细的处理方式请参见“1.4.1 基于端口的VLAN简介”。
· 以太网支持Ethernet II、802.3/802.2 LLC、802.3/802.2 SNAP和802.3 raw封装格式,本文以Ethernet II型封装为例。802.3/802.2 LLC、802.3/802.2 SNAP和802.3 raw封装格式添加VLAN Tag字段的方式请参见相关协议规范。
· 对于带有多层VLAN Tag的报文,设备会根据其最外层VLAN Tag进行处理,而内层VLAN Tag会被视为报文的普通数据部分。
与VLAN相关的协议规范有:
· IEEE 802.1Q:IEEE Standard for Local and Metropolitan Area Networks-Virtual Bridged Local Area Networks
表1-1 配置VLAN基本属性
(可选)创建一个VLAN并进入VLAN视图,或批量创建VLAN |
缺省情况下,系统只有一个缺省VLAN(VLAN 1) |
|
进入VLAN视图 |
批量创建VLAN时,为必选;否则,无需执行本命令 |
|
指定当前VLAN的名称 |
缺省情况下,VLAN的名称为“VLAN vlan-id”,其中vlan-id为该VLAN的编号。例如,VLAN 100的名称为“VLAN 0100” |
|
配置当前VLAN的描述信息 |
缺省情况下,VLAN的描述信息为“VLAN vlan-id”,其中vlan-id为该VLAN的编号。例如,VLAN 100的描述信息为“VLAN 0100” |
· VLAN 1为系统缺省VLAN,用户不能手工创建和删除。
· 动态学习到的VLAN、配置有QoS策略的VLAN、被其他应用锁定不让删除的VLAN,都不能使用undo vlan命令直接删除。只有将相关配置删除之后,才能删除相应的VLAN。
不同VLAN间的主机不能直接通信,通过在设备上创建并配置VLAN接口,可以实现VLAN间的三层互通。
VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,在为VLAN接口配置了IP地址后,该IP地址即可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。
配置VLAN接口基本属性时,需要注意:
· 在创建VLAN接口之前,对应的VLAN必须已经存在,否则将不能创建指定的VLAN接口。
· Sub VLAN及在Primary VLAN interface下配置了三层互通的Secondary VLAN不能创建对应的VLAN接口。有关Sub VLAN的详细介绍,请参见“二层技术-以太网交换配置指导”中的“Super VLAN”;有关Secondary VLAN的详细介绍,请参见“二层技术-以太网交换配置指导”中的“Private VLAN”。
表1-2 配置VLAN接口基本属性
创建VLAN接口并进入VLAN接口视图 |
如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
配置VLAN接口的IP地址 |
缺省情况下,未配置VLAN接口的IP地址 |
|
配置当前VLAN接口的描述信息 |
缺省情况下,VLAN接口的描述信息为该VLAN接口的接口名,如“Vlan-interface1 Interface” |
|
配置VLAN接口的MTU值 |
缺省情况下,VLAN接口的MTU值为1500字节 |
|
(可选)配置VLAN接口的期望带宽 |
||
(可选)恢复当前VLAN接口的缺省配置 |
||
(可选)取消手工关闭VLAN接口 |
缺省情况下,未手工关闭VLAN接口。此时VLAN接口状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态均为down时,VLAN接口为down状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于up状态时,则VLAN接口处于up状态 |
基于端口划分VLAN是最简单、最有效的VLAN划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,该端口就可以转发该VLAN的报文。
根据端口在转发报文时对VLAN Tag的不同处理方式,可将端口的链路类型分为三种:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。一般用于和不能识别VLAN Tag的用户终端设备相连,或者不需要区分不同VLAN成员时使用。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。通常用于网络传输设备之间的互连。
· Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在一些应用场景下,需要使用Hybrid端口的功能。比如在1:2 VLAN映射中,服务提供商网络的多个VLAN的报文在进入用户网络前,需要剥离外层VLAN Tag,此时Trunk端口不能实现该功能,因为Trunk端口只能使该端口缺省VLAN的报文不带VLAN Tag通过。有关1:2 VLAN映射的详细介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN映射”。
除了可以配置端口允许通过的VLAN外,还可以配置端口的缺省VLAN,即端口VLAN ID(Port VLAN ID,PVID)。
· Access端口的缺省VLAN就是它所在的VLAN。
· Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置端口缺省VLAN。
· 当执行undo vlan命令删除的VLAN是某个端口的缺省VLAN时,对Access端口,端口的缺省VLAN会恢复到VLAN 1;对Trunk或Hybrid端口,端口的缺省VLAN配置不会改变,即它们可以使用已经不存在的VLAN作为端口缺省VLAN。
· 建议本端设备端口的缺省VLAN ID和相连的对端设备端口的缺省VLAN ID保持一致。
· 建议保证端口的缺省VLAN为端口允许通过的VLAN。如果端口不允许某VLAN通过,但是端口的缺省VLAN为该VLAN,则端口会丢弃收到的该VLAN的报文或者不带VLAN Tag的报文。
在配置了端口链路类型和端口缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参看表1-3。
Access端口 |
为报文添加端口缺省VLAN的Tag |
· 当报文的VLAN ID与端口的缺省VLAN ID相同时,接收该报文 · 当报文的VLAN ID与端口的缺省VLAN ID不同时,丢弃该报文 |
去掉Tag,发送该报文 |
Trunk端口 |
· 当端口的缺省VLAN ID在端口允许通过的VLAN ID列表里时,接收该报文,给报文添加端口缺省VLAN的Tag · 当端口的缺省VLAN ID不在端口允许通过的VLAN ID列表里时,丢弃该报文 |
· 当报文的VLAN ID在端口允许通过的VLAN ID列表里时,接收该报文 · 当报文的VLAN ID不在端口允许通过的VLAN ID列表里时,丢弃该报文 |
· 当报文的VLAN ID与端口的缺省VLAN ID相同,且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文 · 当报文的VLAN ID与端口的缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
Hybrid端口 |
当报文的VLAN ID是端口允许通过的VLAN ID时,发送该报文,并可以通过port hybrid vlan命令配置端口在发送该VLAN(包括缺省VLAN)的报文时是否携带Tag |
缺省情况下,端口对于Untagged报文的处理顺序为:基于MAC的VLAN->基于IP子网的VLAN->基于协议的VLAN->基于端口的VLAN。
配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在接口视图下进行配置。
表1-4 配置基于Access端口的VLAN(在VLAN视图下)
进入VLAN视图 |
||
向当前VLAN中添加一个或一组Access端口 |
表1-5 配置基于Access端口的VLAN(在接口视图下)
将当前Access端口加入到指定VLAN |
缺省情况下,所有Access端口都属于VLAN 1 在将Access端口加入到指定VLAN之前,该VLAN必须已经存在 |
Trunk端口可以允许多个VLAN通过,只能在接口视图下进行配置。
配置基于Trunk端口的VLAN时,需要注意:
· Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再配置为其他类型端口。
· 配置端口缺省VLAN后,必须使用port trunk permit vlan命令配置允许端口缺省VLAN的报文通过,出接口才能转发端口缺省VLAN的报文。
表1-6 配置基于Trunk端口的VLAN
允许指定的VLAN通过当前Trunk端口 |
缺省情况下,Trunk端口只允许VLAN 1的报文通过 |
||
(可选)配置Trunk端口的缺省VLAN |
缺省情况下,Trunk端口的缺省VLAN为VLAN 1 |
Hybrid端口可以允许多个VLAN通过,只能在接口视图下进行配置。
配置基于Hybrid端口的VLAN时,需要注意:
· Hybrid端口和Trunk端口之间不能直接切换,只能先设为Access端口,再配置为其他类型端口。
· 在配置允许指定的VLAN通过Hybrid端口之前,允许通过的VLAN必须已经存在。
· 配置端口缺省VLAN后,必须使用port hybrid vlan命令配置允许端口缺省VLAN的报文通过,出接口才能转发端口缺省VLAN的报文。
表1-7 配置基于Hybrid端口的VLAN
允许指定的VLAN通过当前Hybrid端口 |
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过 |
||
(可选)配置Hybrid端口的缺省VLAN |
缺省情况下,Hybrid端口的缺省VLAN为该端口在链路类型为Access时的所属VLAN |
基于MAC的VLAN只对Hybrid端口配置有效。
基于MAC划分VLAN是VLAN的另一种划分方法。它按照报文的源MAC地址来定义VLAN成员,将指定报文加入该VLAN的Tag后发送。该功能通常会和安全(比如802.1X)技术联合使用,以实现终端的安全、灵活接入。
手动配置静态MAC VLAN常用于VLAN中用户相对较少的网络环境。在该方式下,用户需要手动配置MAC VLAN表项,使能基于MAC地址的VLAN功能,并将端口加入MAC VLAN。其原理为:
· 当端口收到的报文为Untagged报文时,根据报文的源MAC匹配MAC VLAN表项。首先进行模糊匹配,即查询表中MASK不是全F的表项,将源MAC和MASK相与后与MAC VLAN表项中的MAC地址匹配,如果完全相同,则模糊匹配成功,给报文添加表项中指定的VLAN ID并转发该报文;如果模糊匹配失败,则进行精确匹配,即查询表中MASK为全F的表项。如果报文中的源MAC与MAC VLAN表项中的MAC地址完全相同,则精确匹配成功,给报文添加表项中指定的VLAN ID并转发该报文;如果没有找到匹配MAC VLAN表项,则继续按照其它原则(如IP子网、协议等)进行匹配。如果匹配成功,则转发报文;如果匹配均失败,则给报文添加端口的缺省VLAN ID并转发该报文。
· 当端口收到的报文为Tagged报文时,如果报文的VLAN ID在该端口允许通过的VLAN ID列表里,则转发该报文;如果报文的VLAN ID不在端口允许通过的VLAN ID列表里,则丢弃该报文。
手动配置静态MAC VLAN时,用户需要把端口分别加入相应的MAC VLAN,当用户不能确定从哪些端口收到指定VLAN的报文时,就不能把相应端口加入到MAC VLAN,在这种情况下,手动配置静态MAC VLAN无法满足用户的需求。此时可以动态触发端口加入静态MAC VLAN。在该方式下,用户在配置MAC VLAN表项后,需要在端口上使能基于MAC的VLAN功能和MAC VLAN动态触发功能,不需要手动把端口加入MAC VLAN。
配置动态触发端口加入静态MAC VLAN后,端口在收到的报文时,首先判断报文是否携带VLAN Tag,若带Tag,则直接上送报文源MAC地址;若不带Tag,则先进行报文VLAN选择(按照基于MAC的VLAN->基于IP子网的VLAN->基于协议的VLAN->基于端口的VLAN的优先次序为该Untagged报文添加对应的Tag,并获取该Tag),再获取报文源MAC地址,然后根据报文的源MAC地址和VLAN查询静态MAC VLAN表项:
· 如果报文源MAC地址与MAC VLAN表项中的MAC地址精确匹配,再检查报文的VLAN ID是否与对应表项中的VLAN ID一致,若一致,通过此报文动态触发端口加入相应VLAN,同时转发报文;否则丢弃该报文。
· 如果报文源MAC地址与MAC VLAN表项的MAC地址不精确匹配,当报文VLAN ID为端口PVID,判断端口是否允许报文在PVID内转发,若允许,则在PVID中转发该报文,否则丢弃该报文。当报文VLAN ID不为PVID,判断是否报文VLAN ID为Primary VLAN ID且PVID为对应的Secondary VLAN ID,若是,则转发该报文;否则丢弃该报文。处理流程如图1-3所示:
· 在端口加入MAC VLAN表项中相应的VLAN时,若端口未配置允许该VLAN通过,则端口自动以Untagged方式加入该VLAN。
· 如果用户在同一端口上同时使能了手动配置MAC VLAN和动态触发端口加入MAC VLAN,此时该端口选择使用后者的功能。
· 当端口收到的报文与MAC VLAN表项匹配,对该报文进行转发时,根据MAC VLAN的优先级(MAC地址对应VLAN的802.1p优先级)高低来决定报文的转发策略。
动态MAC VLAN需要和接入认证(比如基于MAC地址的802.1X认证)配合使用,以实现终端的安全、灵活接入。用户在设备上配置动态MAC VLAN功能以后,还需要在接入认证服务器上配置用户名和VLAN的绑定关系。
如果用户发起认证请求,接入认证服务器先对用户名和密码进行验证,如果验证通过,服务器下发VLAN信息。此时设备根据请求报文的源MAC地址和下发的VLAN信息生成MAC VLAN表项,并将MAC VLAN添加到端口允许通过的VLAN列表中。用户下线后,设备自动删除MAC VLAN表项,并将MAC VLAN从端口允许通过的VLAN列表中删除。
有关接入认证的详细介绍请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。
配置基于MAC的VLAN时,需要注意:
· Super VLAN不能作为MAC VLAN表项中的VLAN。
· 不建议MAC VLAN的动态触发功能与MAC地址禁止学习功能或MAC地址数学习上限功能同时使用,否则部分流量可能被丢弃:
¡ 同时配置MAC VLAN的动态触发功能与MAC地址禁止学习功能时,仅精确匹配了MAC VLAN的报文能够正常转发,未精确匹配的报文将被丢弃。
¡ 同时配置MAC VLAN的动态触发功能与MAC地址数学习上限功能时,当接口学习到的MAC地址到达所配置的上限后,仅匹配MAC地址表中已学习到的表项的报文能够正常转发,其余报文将被丢弃。
· 基于MAC的VLAN动态触发功能不和802.1X和MAC认证功能同时使用。
· 基于MAC的VLAN动态触发功能要求源MAC所匹配的VLAN必须是静态VLAN才能完成触发功能。
· 基于MAC的VLAN功能主要用于在用户的接入设备的下行端口上进行配置,因此不和聚合功能同时使用。
· 配置MSTP多实例情况下,如果端口在要加入的VLAN对应的MSTP实例中是阻塞状态,则端口会丢弃收到的报文,造成MAC地址不能上送,不能完成动态触发功能。基于MAC的动态VLAN的使用场景为接入侧,不建议和多实例MSTP同时使用。
· 配置PVST情况下,如果端口要加入的VLAN不为端口允许通过的VLAN,则端口处于阻塞状态,会丢弃收到的报文,造成MAC地址不能上送,不能完成动态触发功能。基于MAC的动态VLAN的使用场景为接入侧,不建议和PVST同时使用。
· 当端口配置了自动模式下的Voice VLAN,又配置了动态触发端口加入静态MAC VLAN时,两个功能可能会相互影响,导致其中某个功能不可用。当端口同时配置了动态触发端口加入静态MAC VLAN和自动模式下的Voice VLAN,再取消其中任何一个功能的配置,会导致另一个功能不可用。因此不建议同一端口同时配置动态触发端口加入静态MAC VLAN和自动模式下的Voice VLAN。
配置MAC地址与VLAN关联 |
mac-vlan mac-address mac-address [ mask mac-mask ] vlan vlan-id [ dot1q priority ] |
|
允许基于MAC的VLAN通过当前Hybrid端口 |
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过 |
|
使能基于MAC地址划分VLAN的功能 |
缺省情况下,未使能基于MAC地址划分VLAN的功能 |
|
(可选)配置VLAN匹配优先级 |
缺省情况下,优先根据MAC地址来匹配VLAN |
配置MAC地址与VLAN关联 |
mac-vlan mac-address mac-address vlan vlan-id [ dot1q priority ] |
使能MAC VLAN的动态触发功能后,只有端口接收的报文的源MAC地址匹配了Mask为全F的MAC VLAN表项,才会动态触发该端口加入相应VLAN |
使能基于MAC地址划分VLAN的功能 |
缺省情况下,未使能基于MAC地址划分VLAN的功能 |
|
使能MAC VLAN的动态触发功能 |
缺省情况下,未使能MAC VLAN的动态触发功能。 |
|
(可选)配置VLAN匹配优先级 |
缺省情况下,优先根据MAC地址来匹配VLAN |
|
(可选)配置PVID禁止功能 |
缺省情况下,对于没有匹配到MAC VLAN表项的未知源MAC会在PVID内进行转发通过 |
当使用mac-vlan trigger enable命令使能MAC VLAN的动态触发功能后,建议用户在配置VLAN匹配优先级时,使用vlan precedence mac-vlan命令,使报文优先根据MAC地址来匹配VLAN;建议不要使用vlan precedence ip-subnet-vlan命令,使报文优先根据IP子网来匹配VLAN,该配置不能生效。
允许基于MAC的VLAN通过当前Hybrid端口 |
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过 |
||
使能基于MAC地址划分VLAN的功能 |
缺省情况下,未使能基于MAC地址划分VLAN的功能 |
||
配置MAC地址认证 |
请参见“安全命令参考”中的“MAC地址认证” |
基于IP子网的VLAN只对Hybrid端口配置有效,只对Untagged报文应用。
基于IP子网的VLAN(简称子网VLAN)是根据报文源IP地址及子网掩码来进行划分的。设备从端口收到Untagged报文后,会根据报文的源IP地址来确定报文所属的VLAN,然后将报文自动划分到指定VLAN中传输。
此特性主要用于将指定网段或IP地址的报文划分到指定的VLAN中传送。
表1-11 配置基于IP子网的VLAN
进入VLAN视图 |
||||
配置当前VLAN与指定的IP子网或IP地址关联 |
缺省情况下,VLAN没有与任何IP子网或IP地址关联 VLAN关联的IP网段或IP地址不允许是组播网段或组播地址 |
|||
|
||||
|
||||
允许子网VLAN通过当前端口 |
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过 |
|||
基于协议的VLAN只对Hybrid端口配置有效,只对Untagged报文应用。
基于协议的VLAN(简称协议VLAN)是根据端口接收到的报文所属的协议(族)类型以及封装格式来给报文分配不同的VLAN ID。可用来划分VLAN的协议有IP、IPX、AT(AppleTalk,Apple计算机网络协议)等,封装格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP等。
此特性主要应用于将网络中提供的服务类型与VLAN相关联,方便管理和维护。
协议VLAN由协议模板定义。协议模板是用来匹配报文所属协议类型的标准,由“协议类型+封装格式”组成。对于一个协议VLAN来说,其绑定的多个协议模板用协议索引(protocol-index)来区分;对于不同的协议VLAN来说,其绑定的协议模板用协议vlan-id和protocol-index来唯一标识。最后通过命令行将协议VLAN中的协议模板与端口绑定。
当端口收到Untagged报文时,如果该报文携带的协议类型和封装格式与某协议模板相匹配,则为其添加该协议模板绑定的协议vlan-id的VLAN Tag,否则为其添加PVID的VLAN Tag。
需要注意的是,协议VLAN特性要求Hybrid入端口的报文格式为Untagged的,而自动模式下的Voice VLAN只支持Hybrid端口对Tagged的语音流进行处理,因此,不能将某个VLAN同时配置为协议VLAN和Voice VLAN。
进入VLAN视图 |
如果指定的VLAN不存在,则该命令先完成VLAN的创建,然后再进入该VLAN的视图 |
|||
配置当前VLAN与指定的协议模板关联 |
|
缺省情况下,当前VLAN没有与任何协议模板关联 |
||
退出VLAN视图 |
||||
|
||||
|
||||
允许协议VLAN通过当前端口 |
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过 |
|||
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-end ] | all } |
在接入设备上配置VLAN组并指定VLAN组成员后,认证服务器可以通过下发该VLAN组组名的方式为通过认证的802.1X用户下发一组授权VLAN。有关802.1X的详细介绍,请参见“安全配置指导”中的“802.1X”。
创建一个VLAN组,并进入VLAN组视图 |
||
在当前VLAN组内添加VLAN成员 |
缺省情况下,当前VLAN组中不存在任何VLAN成员 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN的运行情况,通过查看显示信息验证配置的效果。
表1-14 VLAN显示和维护
· Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
· 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
· 现要求不管是否使用相同的设备接入公司网络,同一VLAN内的主机能够互通,即Host A和Host C能够互通,Host B和Host D能够互通。
# 创建VLAN 100,并将GigabitEthernet1/0/1加入VLAN 100。
[DeviceA] vlan 100
[DeviceA-vlan100] port gigabitethernet 1/0/1
[DeviceA-vlan100] quit
# 创建VLAN 200,并将GigabitEthernet1/0/2加入VLAN 200。
[DeviceA-vlan200] port gigabitethernet 1/0/2
[DeviceA-vlan200] quit
# 为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B,将GigabitEthernet1/0/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] port link-type trunk
[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 100 200
(2) Device B上的配置与Device A上的配置相同,不再赘述。
(3) 将Host A和Host C配置在一个网段,比如192.168.100.0/24;将Host B和Host D配置在一个网段,比如192.168.200.0/24。
(1) Host A和Host C能够互相ping通,但是均不能ping通Host B。Host B和Host D能够互相ping通,但是均不能ping通Host A。
# 查看Device A上VLAN 100和VLAN 200的配置信息,验证以上配置是否生效。
[DeviceA-GigabitEthernet1/0/3] display vlan 100
VLAN ID: 100
VLAN type: Static
Route interface: Not configured
Description: VLAN 0100
Name: VLAN 0100
Tagged ports:
GigabitEthernet1/0/3
Untagged ports:
GigabitEthernet1/0/1
[DeviceA-GigabitEthernet1/0/3] display vlan 200
VLAN ID: 200
VLAN type: Static
Route interface: Not configured
Description: VLAN 0200
Name: VLAN 0200
Tagged ports:
GigabitEthernet1/0/3
Untagged ports:
GigabitEthernet1/0/2
· 如下图所示,Device A和Device C的GigabitEthernet1/0/1端口分别连接到两个会议室,Laptop1和Laptop2是会议用笔记本电脑,会在两个会议室间移动使用。
· Laptop1和Laptop2分别属于两个部门,两个部门间使用VLAN 100和VLAN 200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用,均只能访问自己部门的服务器,即Server1和Server2。
· Laptop1和Laptop2的MAC地址分别为000d-88F8-4E71和0014-222C-AA69。
图1-5 基于MAC的VLAN组网图
(1) Device A的配置
# 创建VLAN 100和VLAN 200。
[DeviceA] vlan 100
[DeviceA-vlan100] quit
[DeviceA] vlan 200
[DeviceA-vlan200] quit
# 将Laptop1的MAC地址与VLAN 100关联,Laptop2的MAC地址与VLAN 200关联。
[DeviceA] mac-vlan mac-address 000d-88f8-4e71 vlan 100
[DeviceA] mac-vlan mac-address 0014-222c-aa69 vlan 200
# 配置终端的接入端口:Laptop1和Laptop2均可能从GigabitEthernet1/0/1接入,将GigabitEthernet1/0/1的端口类型配置为Hybrid,并使其在发送VLAN 100和VLAN 200的报文时去掉VLAN Tag;开启GigabitEthernet1/0/1端口的MAC VLAN功能。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
[DeviceA-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
[DeviceA-GigabitEthernet1/0/1] mac-vlan enable
[DeviceA-GigabitEthernet1/0/1] quit
# 为了终端能够访问Server1和Server2,需要将上行端口GigabitEthernet1/0/2的端口类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-type trunk
[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 100 200
[DeviceA-GigabitEthernet1/0/2] quit
(2) Device B的配置
# 创建VLAN 100和VLAN 200,并将GigabitEthernet1/0/13加入VLAN 100,GigabitEthernet1/0/14加入VLAN 200。
[DeviceB] vlan 100
[DeviceB-vlan100] port gigabitethernet 1/0/13
[DeviceB-vlan100] quit
[DeviceB] vlan 200
[DeviceB-vlan200] port gigabitethernet 1/0/14
[DeviceB-vlan200] quit
# 配置GigabitEthernet1/0/3和GigabitEthernet1/0/4端口为Trunk端口,均允许VLAN 100和VLAN 200的报文通过。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] port link-type trunk
[DeviceB-GigabitEthernet1/0/3] port trunk permit vlan 100 200
[DeviceB-GigabitEthernet1/0/3] quit
[DeviceB] interface gigabitethernet 1/0/4
[DeviceB-GigabitEthernet1/0/4] port link-type trunk
[DeviceB-GigabitEthernet1/0/4] port trunk permit vlan 100 200
[DeviceB-GigabitEthernet1/0/4] quit
(3) Device C的配置
Device C的配置与Device A完全一致,这里不再赘述。
(1) Laptop1只能访问Server1,不能访问Server2;Laptop2只能访问Server2,不能访问Server1。
(2) 在Device A和Device C上可以查看到Laptop1和VLAN 100、Laptop2和VLAN 200的静态MAC VLAN地址表项已经生成。以Device A为例:
[DeviceA] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC address Mask VLAN ID Dot1q State
000d-88f8-4e71 ffff-ffff-ffff 100 0 S
0014-222c-aa69 ffff-ffff-ffff 200 0 S
Total MAC VLAN address count: 2
如下图所示,办公区的主机属于不同的网段192.168.5.0/24和192.168.50.0/24,Device C在收到来自办公区主机的报文时,根据报文的源IP地址,使来自不同网段主机的报文分别在指定的VLAN中传输,其中,来自网段192.168.5.0/24的报文在VLAN 100中传输,来自网段192.168.50.0/24的报文在VLAN 200中传输。
图1-6 基于IP子网的VLAN组网图
# 配置子网192.168.5.0/24与VLAN 100关联。
[DeviceC] vlan 100
[DeviceC-vlan100] ip-subnet-vlan ip 192.168.5.0 255.255.255.0
[DeviceC-vlan100] quit
# 配置子网192.168.50.0/24与VLAN 200关联。
[DeviceC-vlan200] ip-subnet-vlan ip 192.168.50.0 255.255.255.0
[DeviceC-vlan200] quit
# 配置端口GigabitEthernet1/0/11为Hybrid端口,允许VLAN 100通过,并且在发送VLAN 100的报文时携带VLAN Tag。
[DeviceC] interface gigabitethernet 1/0/11
[DeviceC-GigabitEthernet1/0/11] port link-type hybrid
[DeviceC-GigabitEthernet1/0/11] port hybrid vlan 100 tagged
[DeviceC-GigabitEthernet1/0/11] quit
# 配置端口GigabitEthernet1/0/12为Hybrid端口,允许VLAN 200通过,并且在发送VLAN 200的报文时携带VLAN Tag。
[DeviceC] interface gigabitethernet 1/0/12
[DeviceC-GigabitEthernet1/0/12] port link-type hybrid
[DeviceC-GigabitEthernet1/0/12] port hybrid vlan 200 tagged
[DeviceC-GigabitEthernet1/0/12] quit
# 配置端口GigabitEthernet1/0/1为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、200的报文时不携带VLAN Tag。
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] port link-type hybrid
[DeviceC-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
# 配置端口GigabitEthernet1/0/1和基于IP子网的VLAN 100、200关联。
[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 100
[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 200
[DeviceC-GigabitEthernet1/0/1] quit
(2) 配置Device A和Device B
配置Device A和Device B允许对应VLAN通过,配置过程略。
# 查看所有子网VLAN的信息。
[DeviceC] display ip-subnet-vlan vlan all
VLAN ID: 100
Subnet index IP address Subnet mask
0 192.168.5.0 255.255.255.0
VLAN ID: 200
Subnet index IP address Subnet mask
0 192.168.50.0 255.255.255.0
# 查看端口GigabitEthernet1/0/1关联的子网VLAN的信息。
[DeviceC] display ip-subnet-vlan interface gigabitethernet 1/0/1
Interface: GigabitEthernet1/0/1
VLAN ID Subnet index IP address Subnet mask Status
100 0 192.168.5.0 255.255.255.0 Active
200 0 192.168.50.0 255.255.255.0 Active
如下图所示,实验室网络中大部分主机运行IPv4网络协议,另外为了教学需要还部署了IPv6实验局,因此,同时有些主机运行着IPv6网络协议。为了避免互相干扰,将VLAN 100与IPv4协议、ARP协议关联,VLAN 200与IPv6协议关联,通过协议VLAN将IPv4流量和IPv6流量二层互相隔离。
# 创建VLAN 100,将端口GigabitEthernet1/0/11加入VLAN 100。
[Device] vlan 100
[Device-vlan100] description protocol VLAN for IPv4
[Device-vlan100] port gigabitethernet 1/0/11
[Device-vlan100] quit
# 创建VLAN 200,将端口GigabitEthernet1/0/12加入VLAN 200。
[Device-vlan200] description protocol VLAN for IPv6
[Device-vlan200] port gigabitethernet 1/0/12
# 将IPv6协议报文划分到VLAN 200中传输。
[Device-vlan200] protocol-vlan 1 ipv6
[Device-vlan200] quit
# 将IPv4协议报文和采用Ethernet II封装格式的ARP协议报文(ARP报文对应的封装格式为Ethernet II)划分到VLAN 100中传输。
[Device-vlan100] protocol-vlan 1 ipv4
[Device-vlan100] protocol-vlan 2 mode ethernetii etype 0806
[Device-vlan100] quit
# 配置端口GigabitEthernet1/0/1为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、200的报文时不携带VLAN Tag。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port link-type hybrid
[Device-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged
# 配置端口GigabitEthernet1/0/1与VLAN 100的协议模板1(即IPv4协议模板)、协议模板2(即ARP协议模板)和VLAN 200的协议模板1(即IPv6协议模板)进行绑定。
[Device-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 100 1 to 2
[Device-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 200 1
[Device-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet1/0/2为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、200的报文时不携带VLAN Tag。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] port link-type hybrid
[Device-GigabitEthernet1/0/2] port hybrid vlan 100 200 untagged
# 配置端口GigabitEthernet1/0/2与VLAN 100的协议模板1(即IPv4协议模板)、协议模板2(即ARP协议模板)和VLAN 200的协议模板1(即IPv6协议模板)进行绑定。
[Device-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 100 1 to 2
[Device-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 200 1
[Device-GigabitEthernet1/0/2] quit
(2) L2 Switch A和L2 Switch B采用缺省配置。
(3) 配置Host和Server
将IPv4 Host A、IPv4 Host B和IPv4 Server配置在一个网段,比如192.168.100.0/24;将IPv6 Host A、IPv6 Host B和IPv6 Server配置在一个网段,比如2001::1/64。
(1) 通过ping命令查看
VLAN 100内的主机和服务器能够互相Ping通;VLAN 200内的主机和服务器能够互相Ping通。但VLAN 100内的主机/服务器与VLAN 200内的主机/服务器之间会Ping失败。
# 查看所有协议VLAN的信息。
[Device] display protocol-vlan vlan all
VLAN ID: 100
Protocol index Protocol type
1 IPv4
2 Ethernet II Etype 0x0806
VLAN ID: 200
Protocol index Protocol type
1 IPv6
# 查看所有端口关联的协议VLAN的信息。
[Device] display protocol-vlan interface all
Interface: GigabitEthernet1/0/1
VLAN ID Protocol index Protocol type Status
100 1 IPv4 Active
100 2 Ethernet II Etype 0x0806 Active
200 1 IPv6 Active
Interface: GigabitEthernet 1/0/2
VLAN ID Protocol index Protocol type Status
100 1 IPv4 Active
100 2 Ethernet II Etype 0x0806 Active
200 1 IPv6 Active
在交换局域网中,VLAN技术以其对广播域的灵活控制、部署方便而得到了广泛的应用。但是在一般的交换设备中,通常是采用一个VLAN对应一个VLAN接口的方式来实现广播域之间的互通,这在某些情况下导致了对IP地址的较大浪费。
Super VLAN可以对VLAN进行聚合,从而大幅缩减实际需要的VLAN接口数量,解决IP地址紧张的问题。其原理是一个Super VLAN和多个Sub VLAN关联,关联的Sub VLAN公用Super VLAN对应的VLAN接口(即Super VLAN interface)的IP地址作为三层通信的网关地址,此时Sub VLAN间的三层通信以及Sub VLAN与外部的三层通信均借用Super VLAN interface来实现,从而节省了IP地址资源。
· Super VLAN:支持创建VLAN接口,并配置接口IP地址,不能加入物理接口。
· Sub VLAN:不支持创建VLAN接口,可以加入物理端口,不同Sub VLAN之间二层相互隔离。
为了实现Sub VLAN之间的三层互通,在创建好Super VLAN及其Super VLAN interface之后,用户需要开启设备的本地代理功能:
· 对于IPv4网络环境,用户需要在Super VLAN interface上开启本地代理ARP功能,Super VLAN利用本地代理ARP,可以对Sub VLAN内用户发出的ARP请求和响应报文进行处理,从而实现Sub VLAN之间的三层互通。
· 对于IPv6网络环境,用户需要在Super VLAN interface上开启本地代理ND功能,Super VLAN利用本地代理ND,可以对Sub VLAN内用户发出的NS请求和NA响应报文进行处理,从而实现Sub VLAN之间的三层互通。
Super VLAN配置包括三个必选步骤:
(2) 创建Super VLAN,并将Super VLAN和Sub VLAN关联起来。
(3) 配置Super VLAN interface。
创建VLAN用作Sub VLAN |
缺省情况下,系统只有一个缺省VLAN(VLAN 1) |
配置Super VLAN功能时,需要注意:
· MAC VLAN表项中的VLAN不能配为Super VLAN。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不建议被指定为某个端口的Guest VLAN/Auth-Fail VLAN/Critical VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN/Auth-Fail VLAN/Critical VLAN,则该VLAN不建议被指定为Super VLAN。Guest VLAN/Auth-Fail VLAN/Critical VLAN的相关内容请参见“安全配置指导”中的“802.1X”。
· 一个VLAN不能同时配置为Super VLAN和Sub VLAN。
· 在Super VLAN下可以配置二层组播功能,但是由于Super VLAN中没有物理端口,该配置将不会生效。
进入VLAN视图 |
||
配置当前VLAN的类型为Super VLAN |
缺省情况下,VLAN类型不为Super VLAN |
|
建立Super VLAN和Sub VLAN的映射关系 |
缺省情况下,未建立Super VLAN和Sub VLAN的映射关系 建立Super VLAN和Sub VLAN的映射关系前,指定的Sub VLAN必须已经创建 |
需要注意的是,在Super VLAN interface下配置VRRP功能后,会对网络性能造成影响,建议不要这样配置。VRRP的详细描述请参见“可靠性配置指导”中的“VRRP”。
创建VLAN接口,并进入VLAN接口视图 |
vlan-interface-id的值必须等于Super VLAN ID |
|
配置VLAN接口的IP地址 |
缺省情况下,没有配置VLAN接口的IP地址 |
|
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
||
开启本地代理ARP功能(IPv4环境) |
缺省情况下,本地代理ARP/ND功能处于关闭状态 · 本地代理ARP功能的相关介绍请参见“三层技术-IP业务配置指导”中的“代理ARP”;local-proxy-arp enable命令的相关描述请参见“三层技术-IP业务命令参考”中的“代理ARP” · 本地代理ND功能的相关介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”;local-proxy-nd enable命令的相关描述请参见“三层技术-IP业务命令参考”中的“IPv6基础” |
|
开启本地代理ND功能(IPv6环境) |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Super VLAN的运行情况,通过查看显示信息验证配置的效果。
表2-4 Super VLAN显示和维护
显示Super VLAN及其关联的Sub VLAN的信息 |
Device A连接不同VLAN用户,端口GigabitEthernet1/0/1和端口GigabitEthernet1/0/2属于VLAN 2,端口GigabitEthernet1/0/3和端口GigabitEthernet1/0/4属于VLAN 3,端口GigabitEthernet1/0/5和端口GigabitEthernet1/0/6属于VLAN 5。
为实现Device A连接的各VLAN用户(均在10.1.1.0/24网段)之间能够满足二层隔离和三层互通的同时,节省IP资源,创建Super VLAN,其关联的Sub VLAN公用Super VLAN interface的IP地址10.1.1.1/24作为三层通信的网关地址。
# 创建VLAN 10,配置VLAN接口的IP地址为10.1.1.1/24。
[DeviceA] vlan 10
[DeviceA-vlan10] quit
[DeviceA] interface vlan-interface 10
[DeviceA-Vlan-interface10] ip address 10.1.1.1 255.255.255.0
# 开启设备的本地代理ARP功能。
[DeviceA-Vlan-interface10] local-proxy-arp enable
[DeviceA-Vlan-interface10] quit
# 创建VLAN 2,并添加端口GigabitEthernet1/0/1和端口GigabitEthernet1/0/2。
[DeviceA-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2
[DeviceA-vlan2] quit
# 创建VLAN 3,并添加端口GigabitEthernet1/0/3和端口GigabitEthernet1/0/4。
[DeviceA-vlan3] port gigabitethernet 1/0/3 gigabitethernet 1/0/4
[DeviceA-vlan3] quit
# 创建VLAN 5,并添加端口GigabitEthernet1/0/5和端口GigabitEthernet1/0/6。
[DeviceA-vlan5] port gigabitethernet 1/0/5 gigabitethernet 1/0/6
[DeviceA-vlan5] quit
# 配置VLAN 10为Super VLAN,其关联的Sub VLAN为VLAN 2、VLAN 3和VLAN 5。
[DeviceA-vlan10] supervlan
[DeviceA-vlan10] subvlan 2 3 5
[DeviceA-vlan10] quit
[DeviceA] quit
# 查看Super VLAN的相关信息,验证以上配置是否生效。
Super VLAN ID: 10
Sub-VLAN ID: 2-3 5
VLAN ID: 10
VLAN type: Static
It is a super VLAN.
Route interface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: none
Untagged ports: none
VLAN ID: 2
VLAN type: Static
It is a sub-VLAN.
Route interface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0002
Name: VLAN 0002
Tagged ports: none
Untagged ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
VLAN ID: 3
VLAN type: Static
It is a sub-VLAN.
Route interface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0003
Name: VLAN 0003
Tagged ports: none
Untagged ports:
GigabitEthernet1/0/3 GigabitEthernet1/0/4
VLAN ID: 5
VLAN type: Static
It is a sub-VLAN.
Route unterface: Configured
Ipv4 address: 10.1.1.1
Ipv4 subnet mask: 255.255.255.0
Description: VLAN 0005
Name: VLAN 0005
Tagged ports: none
Untagged ports:
GigabitEthernet1/0/5 GigabitEthernet1/0/6
Private VLAN采用Primary VLAN和Secondary VLAN两层VLAN结构,用于简化网络配置,节省VLAN资源。
· Primary VLAN用于上行,一个Primary VLAN可以和多个Secondary VLAN相对应。上行连接的设备只知道Primary VLAN,而不必关心Secondary VLAN,Primary VLAN下面的Secondary VLAN对上行设备不可见。
· Secondary VLAN用于连接用户,Secondary VLAN之间二层报文互相隔离。如果希望实现同一Primary VLAN下Secondary VLAN用户之间报文的互通,可以通过配置上行设备(如图3-1中的Device A)的本地代理ARP/ND功能来实现三层报文的互通;或者通过在本地设备(如图3-1中的Device B)上配置Primary VLAN下指定Secondary VLAN间三层互通,并在Primary VLAN interface上配置IP地址和本地代理ARP/ND功能。
如图3-1所示,设备Device B上启动了Private VLAN功能。其中VLAN 10是Primary VLAN;VLAN 2、VLAN 5、VLAN 8是Secondary VLAN;VLAN 2、VLAN 5、VLAN 8都映射到VLAN 10;VLAN 2、VLAN 5、VLAN 8对Device A不可见。
Private VLAN配置主要包括下面几个步骤:
(3) 配置上行/下行端口。
· 当上行端口(如图3-1中Device B上与Device A相连的端口)只对应一个Primary VLAN,配置该端口工作在promiscuous模式,可以实现上行端口加入Primary VLAN及同步加入对应的Secondary VLAN的功能;当上行端口对应多个Primary VLAN,配置该端口工作在trunk promiscuous模式,可以实现上行端口加入多个Primary VLAN及同步加入对应的Secondary VLAN的功能。
· 当下行端口(如图3-1中Device B上与用户相连的端口)只对应一个Secondary VLAN,配置该端口工作在host模式,可以实现下行端口同步加入Secondary VLAN对应的Primary VLAN的功能;当下行端口对应多个Secondary VLAN,配置该端口工作在trunk secondary模式,可以实现下行端口加入多个Secondary VLAN及同步加入对应的Primary VLAN的功能。
有关promiscuous/trunk promiscuous/host/trunk secondary模式的详细介绍,请参见“二层技术-以太网交换命令参考”中的“Private VLAN”的相关命令。
(4) 配置Primary VLAN和Secondary VLAN间的映射关系。
(5) 配置Primary VLAN下指定Secondary VLAN间三层互通。
配置Private VLAN时,需要注意:
· 在完成表3-1中的配置后,建议用户作如下配置:对于工作模式为promiscuous的端口,确保端口的缺省VLAN为Primary VLAN,端口以Untagged方式加入Primary VLAN和Secondary VLAN;对于工作模式为host的端口,确保缺省VLAN为Secondary VLAN,端口以Untagged方式加入Primary VLAN和Secondary VLAN;对于工作模式为trunk promiscuous和trunk secondary的端口,确保端口以Tagged方式加入Primary VLAN和Secondary VLAN。
· 默认VLAN(VLAN 1)不支持Private VLAN相关配置。
|
||||||
|
||||||
创建VLAN,并进入VLAN视图 |
|
|||||
设置VLAN类型为Primary VLAN |
缺省情况下,VLAN的类型不是Primary VLAN |
|
||||
|
||||||
|
||||||
设置同一Secondary VLAN内各端口二层互通 |
缺省情况下,同一Secondary VLAN内的端口能够二层互通 当同一Secondary VLAN内各端口的工作模式均为host模式,且Primary VLAN与Secondary VLAN之间建立映射关系后该配置才生效 |
|
||||
|
||||||
|
||||||
|
||||||
配置上行端口在指定VLAN中工作在promiscuous模式 |
缺省情况下,在指定VLAN中端口不工作在promiscuous/trunk promiscuous模式 |
|
||||
配置上行端口在指定VLAN中工作在trunk promiscuous模式 |
|
|||||
|
||||||
|
||||||
|
||||||
Access端口 |
|
|||||
Trunk端口 |
|
|||||
Hybrid端口 |
|
|||||
|
||||||
|
||||||
配置下行端口在指定VLAN中工作在trunk secondary模式 |
||||||
|
||||||
配置当前Primary VLAN和指定Secondary VLAN间的映射关系 |
缺省情况下,用户创建的Primary VLAN和Secondary VLAN没有任何映射关系 |
|
||||
(可选)配置Primary VLAN下指定Secondary VLAN间三层互通 |
进入Primary VLAN对应的VLAN接口视图 |
|||||
配置当前Primary VLAN下指定Secondary VLAN间三层互通 |
缺省情况下,Secondary VLAN之间三层不互通 |
|||||
配置Primary VLAN接口的IP地址 |
缺省情况下,没有配置VLAN接口的IP地址 |
|||||
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
||||||
缺省情况下,本地代理ARP功能和本地代理ND功能均处于关闭状态 |
||||||
开启本地代理ND功能 |
||||||
在完成上述配置后,在任意视图下执行display命令可以显示配置后Private VLAN的运行情况,通过查看显示信息验证配置的效果。
表3-2 Private-VLAN显示和维护
显示Primary VLAN和其包含的Secondary VLAN的信息 |
· Device B上的VLAN 5为Primary VLAN,包含上行端口GigabitEthernet1/0/5和两个Secondary VLAN(VLAN 2和VLAN 3),VLAN 2包含端口GigabitEthernet1/0/2,VLAN 3包含端口GigabitEthernet1/0/1。
· Device C上的VLAN 6为Primary VLAN,包含上行端口GigabitEthernet1/0/5和两个Secondary VLAN(VLAN 3和VLAN 4),VLAN 3包含端口GigabitEthernet1/0/3,VLAN 4包含端口GigabitEthernet1/0/4。
· 从Device A看,下接的Device B只有一个VLAN(VLAN 5),下接的设备C只有一个VLAN(VLAN 6)。
下面只列出Device B和Device C的配置过程。
# 配置VLAN 5为Primary VLAN。
[DeviceB] vlan 5
[DeviceB-vlan5] private-vlan primary
[DeviceB-vlan5] quit
# 创建Secondary VLAN。
# 配置上行端口GigabitEthernet1/0/5在VLAN 5中工作在promiscuous模式。
[DeviceB] interface gigabitethernet 1/0/5
[DeviceB-GigabitEthernet1/0/5] port private-vlan 5 promiscuous
[DeviceB-GigabitEthernet1/0/5] quit
# 将下行端口GigabitEthernet1/0/1、GigabitEthernet1/0/2分别添加到VLAN 3、VLAN 2,并配置它们工作在host模式。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port access vlan 3
[DeviceB-GigabitEthernet1/0/1] port private-vlan host
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port access vlan 2
[DeviceB-GigabitEthernet1/0/2] port private-vlan host
[DeviceB-GigabitEthernet1/0/2] quit
# 配置Primary VLAN和Secondary VLAN间的映射关系。
[DeviceB-vlan5] private-vlan secondary 2 to 3
[DeviceB-vlan5] quit
# 配置VLAN 6为Primary VLAN。
[DeviceC] vlan 6
[DeviceC–vlan6] private-vlan primary
[DeviceC–vlan6] quit
# 创建Secondary VLAN。
# 配置上行端口GigabitEthernet1/0/5在VLAN 6中工作在promiscuous模式。
[DeviceC] interface gigabitethernet 1/0/5
[DeviceC-GigabitEthernet1/0/5] port private-vlan 6 promiscuous
[DeviceC-GigabitEthernet1/0/5] quit
# 将下行端口GigabitEthernet1/0/3、GigabitEthernet1/0/4分别添加到VLAN 3、VLAN 4,并配置它们工作在host模式。
[DeviceC] interface gigabitethernet 1/0/3
[DeviceC-GigabitEthernet1/0/3] port access vlan 3
[DeviceC-GigabitEthernet1/0/3] port private-vlan host
[DeviceC-GigabitEthernet1/0/3] quit
[DeviceC] interface gigabitethernet 1/0/4
[DeviceC-GigabitEthernet1/0/4] port access vlan 4
[DeviceC-GigabitEthernet1/0/4] port private-vlan host
[DeviceC-GigabitEthernet1/0/4] quit
# 配置Primary VLAN和Secondary VLAN间的映射关系。
[DeviceC-vlan6] private-vlan secondary 3 to 4
[DeviceC-vlan6] quit
# 显示Device B上的Private VLAN配置情况(Device C的显示结果类似,这里不再列出)。
[DeviceB] display private-vlan
Primary VLAN ID: 5
Secondary VLAN ID: 2-3
VLAN ID: 5
VLAN type: Static
Private VLAN type: Primary
Route interface: Not configured
Description: VLAN 0005
Name: VLAN 0005
Tagged ports: None
Untagged ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/5
VLAN ID: 2
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0002
Name: VLAN 0002
Tagged ports: None
Untagged ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/5
VLAN ID: 3
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0003
Name: VLAN 0003
Tagged Ports: None
Untagged Ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/5
· Device B上的VLAN 5和VLAN 10为Primary VLAN,其上行端口GigabitEthernet1/0/1需要允许VLAN 5和VLAN 10的报文携带VLAN Tag通过。
· Device B的下行端口GigabitEthernet1/0/2允许Secondary VLAN 2通过,GigabitEthernet1/0/3允许Secondary VLAN 3通过,VLAN 2和VLAN 3映射到Primary VLAN 5。
· Device B的下行端口GigabitEthernet1/0/6允许Secondary VLAN 6通过,GigabitEthernet1/0/8允许Secondary VLAN 8通过,VLAN 6和VLAN 8映射到Primary VLAN 10。
· 从Device A看,下接的Device B只有VLAN 5和VLAN 10。
# 配置VLAN 5和VLAN 10为Primary VLAN。
[DeviceB] vlan 5
[DeviceB-vlan5] private-vlan primary
[DeviceB-vlan5] quit
[DeviceB] vlan 10
[DeviceB-vlan10] private-vlan primary
[DeviceB-vlan10] quit
# 创建Secondary VLAN 2、3、6、8。
[DeviceB] vlan 6
[DeviceB-vlan6] quit
[DeviceB] vlan 8
[DeviceB-vlan8] quit
# 配置上行端口GigabitEthernet1/0/1在VLAN 5和VLAN 10中工作在trunk promiscuous模式。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port private-vlan 5 10 trunk promiscuous
[DeviceB-GigabitEthernet1/0/1] quit
# 将下行端口GigabitEthernet1/0/2加入VLAN 2,GigabitEthernet1/0/3加入VLAN 3,并配置他们工作在host模式。
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port access vlan 2
[DeviceB-GigabitEthernet1/0/2] port private-vlan host
[DeviceB-GigabitEthernet1/0/2] quit
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] port access vlan 3
[DeviceB-GigabitEthernet1/0/3] port private-vlan host
[DeviceB-GigabitEthernet1/0/3] quit
# 配置Primary VLAN 5和Secondary VLAN 2、3间的映射关系。
[DeviceB-vlan5] private-vlan secondary 2 to 3
[DeviceB-vlan5] quit
# 将下行端口GigabitEthernet1/0/6加入VLAN 6,GigabitEthernet1/0/8加入VLAN 8,并配置它们工作在host模式。
[DeviceB] interface gigabitethernet 1/0/6
[DeviceB-GigabitEthernet1/0/6] port access vlan 6
[DeviceB-GigabitEthernet1/0/6] port private-vlan host
[DeviceB-GigabitEthernet1/0/6] quit
[DeviceB] interface gigabitethernet 1/0/8
[DeviceB-GigabitEthernet1/0/8] port access vlan 8
[DeviceB-GigabitEthernet1/0/8] port private-vlan host
[DeviceB-GigabitEthernet1/0/8] quit
# 配置Primary VLAN 10和Secondary VLAN 6、8间的映射关系。
[DeviceB-vlan10] private-vlan secondary 6 8
[DeviceB-vlan10] quit
# 创建VLAN 5和VLAN 10。
[DeviceA-vlan5] quit
[DeviceA] vlan 10
[DeviceA-vlan10] quit
# 配置端口GigabitEthernet1/0/1为Hybrid端口,并允许VLAN 5和VLAN 10携带Tag通过。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
[DeviceA-GigabitEthernet1/0/1] port hybrid vlan 5 10 tagged
[DeviceA-GigabitEthernet1/0/1] quit
# 显示Device B上的Primary VLAN 5配置情况(Primary VLAN 10的显示结果类似,这里不再列出)。
[DeviceB] display private-vlan 5
Primary VLAN ID: 5
Secondary VLAN ID: 2-3
VLAN ID: 5
VLAN type: Static
Private VLAN type: Primary
Route interface: Not configured
Description: VLAN 0005
Name: VLAN 0005
Tagged ports:
GigabitEthernet1/0/1
Untagged ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/3
VLAN ID: 2
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0002
Name: VLAN 0002
Tagged ports:
GigabitEthernet1/0/1
Untagged ports:
GigabitEthernet1/0/2
VLAN ID: 3
VLAN type: Static
Private VLAN type: Secondary
Route interface: Not configured
Description: VLAN 0003
Name: VLAN 0003
Tagged ports:
GigabitEthernet1/0/1
Untagged ports:
GigabitEthernet1/0/3
· Device A上的VLAN 10和VLAN 20为Primary VLAN,上行端口GigabitEthernet1/0/5需要允许VLAN 10和VLAN 20的报文携带VLAN Tag通过。
· Device A上的VLAN 11、12、21、22为Secondary VLAN,下行端口GigabitEthernet1/0/2允许VLAN 11和VLAN 21的报文携带VLAN Tag通过,下行端口GigabitEthernet1/0/1允许VLAN 22通过,下行端口GigabitEthernet1/0/3允许VLAN 12通过。
· Secondary VLAN 11和Secondary VLAN 12映射到Primary VLAN 10;Secondary VLAN 21和Secondary VLAN 22映射到Primary VLAN 20。
# 配置VLAN 10和VLAN 20为Primary VLAN。
[DeviceA] vlan 10
[DeviceA-vlan10] private-vlan primary
[DeviceA-vlan10] quit
[DeviceA] vlan 20
[DeviceA-vlan20] private-vlan primary
[DeviceA-vlan20] quit
# 创建VLAN 11、12、21、22。
[DeviceA] vlan 21 to 22
# 配置Primary VLAN 10和Secondary VLAN 11、12间的映射关系。
[DeviceA-vlan10] private-vlan secondary 11 12
[DeviceA-vlan10] quit
# 配置Primary VLAN 20和Secondary VLAN 21、22间的映射关系。
[DeviceA-vlan20] private-vlan secondary 21 22
[DeviceA-vlan20] quit
# 配置上行端口GigabitEthernet1/0/5在VLAN 10和VLAN 20中工作在trunk promiscuous模式。
[DeviceA] interface gigabitethernet 1/0/5
[DeviceA-GigabitEthernet1/0/5] port private-vlan 10 20 trunk promiscuous
[DeviceA-GigabitEthernet1/0/5] quit
# 将下行端口GigabitEthernet1/0/1加入VLAN 22,并配置工作在host模式。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port access vlan 22
[DeviceA-GigabitEthernet1/0/1] port private-vlan host
[DeviceA-GigabitEthernet1/0/1] quit
# 将下行端口GigabitEthernet1/0/3加入VLAN 12,并配置工作在host模式。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] port access vlan 12
[DeviceA-GigabitEthernet1/0/3] port private-vlan host
[DeviceA-GigabitEthernet1/0/3] quit
# 配置下行端口GigabitEthernet1/0/2在VLAN 11和VLAN 21中工作在trunk secondary模式。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port private-vlan 11 21 trunk secondary
[DeviceA-GigabitEthernet1/0/2] quit
# 创建VLAN 11和VLAN 21。
[DeviceB] vlan 11
[DeviceB-vlan11] quit
[DeviceB] vlan 21
[DeviceB-vlan21] quit
# 配置端口GigabitEthernet1/0/2为Hybrid端口,并允许VLAN 11和VLAN 21携带Tag通过。
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port link-type hybrid
[DeviceB-GigabitEthernet1/0/2] port hybrid vlan 11 21 tagged
[DeviceB-GigabitEthernet1/0/2] quit
# 将端口GigabitEthernet1/0/4加入VLAN 11。
[DeviceB] interface gigabitethernet 1/0/4
[DeviceB-GigabitEthernet1/0/4] port access vlan 11
[DeviceB-GigabitEthernet1/0/4] quit
# 将端口GigabitEthernet1/0/3加入VLAN 21。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] port access vlan 21
[DeviceB-GigabitEthernet1/0/3] quit
# 创建VLAN 10和VLAN 20。
[DeviceC] vlan 10
[DeviceC-vlan10] quit
[DeviceC] vlan 20
[DeviceC-vlan20] quit
# 配置端口GigabitEthernet1/0/5为Hybrid端口,并允许VLAN 10和VLAN 20携带Tag通过。
[DeviceC] interface gigabitethernet 1/0/5
[DeviceC-GigabitEthernet1/0/5] port link-type hybrid
[DeviceC-GigabitEthernet1/0/5] port hybrid vlan 10 20 tagged
[DeviceC-GigabitEthernet1/0/5] quit
# 显示Device A上Primary VLAN 10的配置情况。
[DeviceA] display private-vlan 10
Primary VLAN ID: 10
Secondary VLAN ID: 11-12
VLAN ID: 10
VLAN type: Static
Private-vlan type: Primary
Route interface: Not configured
Description: VLAN 0010
Name: VLAN 0010
Tagged ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/5
Untagged ports:
GigabitEthernet1/0/3
VLAN ID: 11
VLAN type: Static
Private-vlan type: Secondary
Route interface: Not configured
Description: VLAN 0011
Name: VLAN 0011
Tagged ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/5
Untagged ports: None
VLAN ID: 12
VLAN type: Static
Private-vlan type: Secondary
Route interface: Not configured
Description: VLAN 0012
Name: VLAN 0012
Tagged ports:
GigabitEthernet1/0/5
Untagged ports:
GigabitEthernet1/0/3
# 显示Device A上Primary VLAN 20的配置情况。
[DeviceA] display private-vlan 20
Primary VLAN ID: 20
Secondary VLAN ID: 21-22
VLAN ID: 20
VLAN type: Static
Private-vlan type: Primary
Route interface: Not configured
Description: VLAN 0020
Name: VLAN 0020
Tagged ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/5
Untagged ports:
GigabitEthernet1/0/1
VLAN ID: 21
VLAN type: Static
Private-vlan type: Secondary
Route interface: Not configured
Description: VLAN 0021
Name: VLAN 0021
Tagged ports:
GigabitEthernet1/0/2 GigabitEthernet1/0/5
Untagged ports: None
VLAN ID: 22
VLAN type: Static
Private-vlan type: Secondary
Route interface: Not configured
Description: VLAN 0022
Name: VLAN 0022
Tagged ports:
GigabitEthernet1/0/5
Untagged ports:
GigabitEthernet1/0/1
· Device B上的VLAN 10为Primary VLAN,包含上行端口GigabitEthernet1/0/1并关联两个Secondary VLAN(VLAN 2和VLAN 3),VLAN 2包含端口GigabitEthernet1/0/2,VLAN 3包含端口GigabitEthernet1/0/3。VLAN接口10的IP地址为192.168.1.1/24。
· 实现各Secondary VLAN间二层隔离和三层互通。
# 创建VLAN 2和VLAN 3。
[DeviceB] vlan 2 to 3
# 配置VLAN 10为Primary VLAN,其对应的Secondary VLAN为VLAN 2、VLAN 3。
[DeviceB-vlan10] private-vlan primary
[DeviceB-vlan10] private-vlan secondary 2 3
[DeviceB-vlan10] quit
# 配置上行端口GigabitEthernet1/0/1工作在promiscuous模式。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port private-vlan 10 promiscuous
[DeviceB-GigabitEthernet1/0/1] quit
# 将下行端口GigabitEthernet1/0/2加入VLAN 2,并配置工作在host模式。
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port access vlan 2
[DeviceB-GigabitEthernet1/0/2] port private-vlan host
[DeviceB-GigabitEthernet1/0/2] quit
# 将下行端口GigabitEthernet1/0/3加入VLAN 3,并配置工作在host模式。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] port access vlan 3
[DeviceB-GigabitEthernet1/0/3] port private-vlan host
[DeviceB-GigabitEthernet1/0/3] quit
# 配置Primary VLAN 10下Secondary VLAN 2、3之间三层互通。
[DeviceB] interface vlan-interface 10
[DeviceB-Vlan-interface10] private-vlan secondary 2 3
# 配置VLAN接口10的IP地址为192.168.1.1/24。
[DeviceB-Vlan-interface10] ip address 192.168.1.1 255.255.255.0
# 开启本地代理ARP功能。
[DeviceB-Vlan-interface10] local-proxy-arp enable
[DeviceB-Vlan-interface10] quit
# 查看Private VLAN 10的相关信息,验证以上配置是否生效。
[DeviceB] display private-vlan 10
Primary VLAN ID: 10
Secondary-VLAN ID: 2-3
VLAN ID: 10
VLAN type: Static
Private VLAN type: Primary
Route interface: Configured
IPv4 address: 192.168.1.1
IPv4 subnet mask: 255.255.255.0
Description: VLAN 0010
Name: VLAN 0010
Tagged ports: None
Untagged ports:
GigabitEthernet1/0/1
GigabitEthernet1/0/2
GigabitEthernet1/0/3
VLAN ID: 2
VLAN type: Static
Private VLAN type: Secondary
Route interface: Configured
IPv4 address: 192.168.1.1
IPv4 subnet mask: 255.255.255.0
Description: VLAN 0002
Name: VLAN 0002
Tagged ports: None
Untagged ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
VLAN ID: 3
VLAN type: Static
Private VLAN type: Secondary
Route interface: Configured
IPv4 address: 192.168.1.1
IPv4 subnet mask: 255.255.255.0
Description: VLAN 0003
Name: VLAN 0003
Tagged ports: None
Untagged ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/3
可以看到,Secondary VLAN 2和Secondary VLAN 3的Route interface字段都显示为Configured,说明Secondary VLAN 2与Secondary VLAN 3间已配置三层互通。
Voice VLAN是为用户的语音数据流而专门划分的VLAN。通过划分Voice VLAN并将连接语音设备的端口加入Voice VLAN,系统自动为语音报文修改QoS(Quality of Service,服务质量)参数,来提高语音数据报文优先级、保证通话质量。
常见的语音设备有IP电话、IAD(Integrated Access Device,综合接入设备)等。本文中以IP电话为例进行说明。
当IP电话接入设备时,需要设备完成以下两个任务:
(1) 识别IP电话,获取IP电话的MAC,从而进行安全认证及提高语音报文的优先级;
(2) 将Voice VLAN信息通告给IP电话,IP电话能够根据收到的Voice VLAN信息完成自动配置,使IP电话发出的语音报文在Voice VLAN内传输。
设备可以根据进入端口的数据报文中的源MAC地址字段来判断该数据流是否为语音数据流。源MAC地址符合系统设置的语音设备OUI(Organizationally Unique Identifier,全球统一标识符)地址的报文被认为是语音数据流。
用户可以预先设置OUI地址,也可以使用缺省的OUI地址作为判断标准。设备缺省的OUI地址如表4-1所示。目前本系列设备支持配置128个OUI地址。
OUI地址 |
||
· 通常意义下,OUI地址指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。本文中的OUI地址有别于通常意义的OUI地址,它是设备判断收到的报文是否为语音报文的依据,是voice vlan mac-address命令中的mac-address和oui-mask参数相与的结果。
· 设备缺省的OUI地址可以手工删除,删除之后也可再次手工添加。
通过设备上配置的OUI地址识别IP电话的方法受限于设备上可配置的OUI地址的数量,并且当网络中IP电话数量众多时,管理员的配置工作量较大。如果IP电话支持LLDP功能,可以配置LLDP自动识别IP电话功能。有关该功能的详细介绍,请参见“4.6 通过LLDP自动发现IP电话功能”。
如果IP电话支持LLDP,设备可以通过LLDP报文中的LLDP-MED TLV将Voice VLAN信息通告给IP电话。
如果IP电话只支持CDP,不支持LLDP,可以通过配置LLDP兼容CDP功能使设备将Voice VLAN信息封装在CDP报文中通告给IP电话。
有关LLDP和LLDP兼容CDP的详细信息,请参见“二层技术-以太网交换配置指导”中的“LLDP”。
· 指定LLDP或CDP发布的Voice VLAN信息,请参见“4.7 指定LLDP/CDP发布的Voice VLAN信息”。
· 当IP电话配合认证功能使用时,可以将授权VLAN信息通告给IP电话,请参见“4.8 通过LLDP/CDP动态发布授权VLAN功能介绍”。
· 端口配置Voice VLAN,请参见“4.5 端口配置Voice VLAN”。
这三种方法的通告顺序如图4-1所示。
图4-1 设备向IP电话发布Voice VLAN信息的过程
如图4-2所示,主机连接到IP电话,IP电话连接到接入设备。在串联接入的环境下,需要将主机和IP电话划分到不同的VLAN,且需要IP电话能发出携带VLAN Tag的报文,从而区分业务数据流和语音数据流。同时,端口需要允许Voice VLAN和PVID的报文通过。
图4-2 主机与IP电话串联接入组网图
如图4-3所示,IP电话单独接入设备。单独接入适用于IP电话发出Untagged语音报文的情况,此时需要配置Voice VLAN为PVID并配置端口允许PVID的报文通过。
图4-3 IP电话单独接入组网图
Voice VLAN的工作模式包括自动模式和手动模式,这个自动和手动指的是端口加入Voice VLAN的方式。
自动模式适用于PC-IP电话串联接入(端口同时传输语音数据和普通业务数据)的组网方式,如图4-2所示。
系统利用IP电话上电时发出的协议报文,通过识别报文的源MAC,匹配OUI地址。匹配成功后,系统将自动把语音报文的入端口加入Voice VLAN,并下发ACL规则、配置报文的优先级。用户可以在设备上设置Voice VLAN的老化时间,当在老化时间内,系统没有从入端口收到任何语音报文时,系统将把该端口从Voice VLAN中删除。端口的添加/删除到Voice VLAN的过程由系统自动实现。当Voice VLAN正常工作时,如果遇到设备重新启动的情况,为保证已经建立的语音连接能够正常工作,系统会在重新启动完成后,将配置为自动模式的端口重新加入Voice VLAN,而不需要再次通过语音流触发。
手动模式适用于IP电话单独接入(端口仅传输语音报文)的组网方式,如图4-3所示。该组网方式可以使该端口专用于传输语音数据,最大限度避免业务数据对语音数据传输的影响。
手动模式下,需要通过手工把IP电话接入端口加入Voice VLAN中。再通过识别报文的源MAC,匹配OUI地址。匹配成功后,系统将下发ACL规则、配置报文的优先级。端口的添加/删除到Voice VLAN的过程由管理员手动实现。
IP电话类型较多,有些电话能发出携带VLAN Tag的报文,有些电话只能发出Untagged报文。因此需要用户保证端口的链路类型与IP电话能够匹配,不同Voice VLAN工作模式下的详细配合关系请见表4-2和表4-3:
· IP电话发送Tagged语音数据
表4-2 不同类型端口支持Tagged语音数据配置要求
Voice VLAN工作模式 |
是否支持Tagged语音数据 |
||
缺省VLAN不能为Voice VLAN |
|||
缺省VLAN不能为Voice VLAN,需要配置端口允许Voice VLAN的报文通过 |
|||
缺省VLAN不能为Voice VLAN,需要配置端口允许Voice VLAN的报文携带Tag通过 |
· IP电话发送Untagged语音数据
当IP电话发送Untagged语音数据,则端口的Voice VLAN工作模式只能为手工模式,不能为自动模式。
表4-3 不同类型端口支持Untagged语音数据配置要求
Voice VLAN工作模式 |
是否支持Untagged语音数据 |
||
将缺省VLAN配置为Voice VLAN |
|||
接入端口的缺省VLAN必须是Voice VLAN,且接入端口允许该VLAN通过 |
|||
接入端口的缺省VLAN必须是Voice VLAN,且允许Voice VLAN的报文不带Tag通过 |
· 如果用户的IP Phone发出的是Tagged语音流,且接入的端口上使能了802.1X认证和Guest VLAN/Auth-Fail VLAN/Critical VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Guest VLAN/Auth-Fail VLAN/Critical VLAN分配不同的VLAN ID。
· 如果用户的IP Phone发出的是Untagged语音流,为实现Voice VLAN功能,只能将接入端口的缺省VLAN配置为Voice VLAN,此时将不能实现802.1X认证功能。
根据使能了Voice VLAN功能的端口对接收到的数据包的过滤机制又可以将Voice VLAN的工作模式分为普通模式和安全模式:
· 普通模式下,端口加入Voice VLAN后,设备对于接收的语音报文不再一一进行识别,凡是带有Voice VLAN Tag的报文,设备将不再检查其源MAC地址是否为语音设备的OUI地址,均接收并在Voice VLAN中转发。对于缺省VLAN就是Voice VLAN的手工模式端口,会导致任意的Untagged报文都可以在Voice VLAN中传输。这样的处理方式很容易使Voice VLAN收到恶意用户的流量攻击。恶意用户可以构造大量带有Voice VLAN Tag或Untagged的报文,占用Voice VLAN的带宽,影响正常的语音通信。
· 安全模式下,设备将对每一个要进入Voice VLAN传输的报文进行源MAC匹配检查,对于不能匹配OUI地址的报文,则将其丢弃。
对于比较安全的网络,用户可以配置Voice VLAN的普通模式,以减少检查报文的工作对系统资源的占用。
建议用户尽量不要在Voice VLAN中同时传输语音和业务数据。如确有此需要,请确认Voice VLAN的安全模式已关闭。
表4-4 Voice VLAN的安全/普通模式对报文的处理
Voice VLAN工作模式 |
||
Untagged报文 |
当该报文源MAC地址是可识别的OUI地址时,允许该报文在Voice VLAN内传输,否则将该报文丢弃 |
|
带有其他VLAN Tag的报文 |
根据指定端口是否允许该VLAN通过来对报文进行转发和丢弃的处理,不受Voice VLAN安全/普通模式的影响 |
|
Untagged报文 |
不对报文的源MAC地址进行检查,所有报文均可以在Voice VLAN内进行传输 |
|
带有其他VLAN Tag的报文 |
根据指定端口是否允许该VLAN通过来对报文进行转发和丢弃的处理,不受Voice VLAN安全/普通模式的影响 |
配置Voice VLAN之前,须先创建对应的VLAN。
(2) 确定语音报文的QoS优先级
配置语音报文的QoS优先级,需要关闭接口上的Voice VLAN功能。当Voice VLAN使能时,不允许修改语音报文的QoS优先级。语音报文的QoS优先级的配置请参见4.5.4 配置语音报文的QoS优先级。
· 配置自动模式的Voice VLAN,请参见4.5.5 配置自动模式下的Voice VLAN;
· 配置手动模式的Voice VLAN,请参见4.5.6 配置手动模式下的Voice VLAN。
Voice VLAN在实现中,通过提高语音报文的QoS优先级(CoS和DSCP值)来保证语音通信的质量。语音报文会自带QoS优先级,通过配置,用户可以选择在语音报文通过设备时修改或者不修改报文的QoS优先级。
将Voice VLAN内语音报文的CoS和DSCP修改为指定值时可选 |
||
配置接口信任语音报文的优先级,即接口不会修改Voice VLAN内语音报文自带的CoS和DSCP值 |
缺省情况下,接口会将Voice VLAN内语音报文的CoS值修改为6,DSCP值修改为46 |
|
将Voice VLAN内语音报文的CoS和DSCP修改为指定值 |
· 在Voice VLAN使能的情况下,不允许配置/修改语音报文的QoS优先级。必须禁用Voice VLAN后,才能配置/修改。
· 有关qos trust dot1p命令的详细介绍请参见“ACL和QoS命令参考”中的“QoS命令\优先级映射配置命令”。
· 自动模式下的Voice VLAN只支持Hybrid端口对Tagged的语音流进行处理,而协议VLAN特性要求Hybrid入端口的报文格式为Untagged的(详情请参见“1.7.2 配置基于协议的VLAN”),因此,不能将某个VLAN同时设置为Voice VLAN和协议VLAN。
· 配置MSTP多实例情况下,如果端口在要加入的Voice VLAN对应的MSTP实例中是阻塞状态,则端口会丢弃收到的报文,造成MAC地址不能上送,不能完成动态触发功能。自动模式Voice VLAN的使用场景为接入侧,不建议和多实例MSTP同时使用。
· 配置PVST情况下,如果端口要加入的Voice VLAN不为端口允许通过的VLAN,则端口处于阻塞状态,会丢弃收到的报文,造成MAC地址不能上送,不能完成动态触发功能。自动模式Voice VLAN的使用场景为接入侧,不建议和PVST同时使用。
· 当端口配置了动态触发端口加入静态MAC VLAN,又配置自动模式下的Voice VLAN时,两个功能可能会相互影响,导致其中某个功能不可用。当端口同时配置了自动模式下的Voice VLAN和动态触发端口加入静态MAC VLAN,再取消其中任何一个功能的配置,会导致另一个功能不可用。因此不建议同一端口同时配置自动模式下的Voice VLAN和动态触发端口加入静态MAC VLAN。
设置Voice VLAN的老化时间 |
缺省情况下,老化时间为1440分钟,老化时间只对自动模式下的端口有效 |
|
使能Voice VLAN的安全模式 |
缺省情况下,Voice VLAN工作在安全模式 |
|
设置Voice VLAN识别的OUI地址 |
voice-vlan mac-address oui mask oui-mask [ description text ] |
Voice VLAN启动后将有缺省的OUI地址,请参见“表4-1设备缺省的OUI地址” |
设置端口Voice VLAN的工作模式为自动模式 |
缺省情况下,Voice VLAN工作在自动模式 各个端口Voice VLAN的工作模式相互独立,不同的端口可以设置成不同的模式 |
|
表4-7 配置手动模式下的Voice VLAN
使能Voice VLAN的安全模式 |
缺省情况下,Voice VLAN工作在安全模式 |
||
设置Voice VLAN识别的OUI地址 |
voice-vlan mac-address oui mask oui-mask [ description text ] |
Voice VLAN启动后将有缺省的OUI地址,请参见“表4-1设备缺省的OUI地址” |
|
配置端口的Voice VLAN工作模式为手动模式 |
缺省情况下,端口的Voice VLAN工作在自动模式 |
||
Access端口 |
将Access端口加入Voice VLAN后,Voice VLAN会自动成为Access端口的缺省VLAN |
||
Trunk端口 |
|||
Hybrid端口 |
|||
设置Voice VLAN为端口的缺省VLAN |
Trunk端口 |
当输入的语音流是Untagged语音流时,需要进行该项配置;当输入的语音流是Tagged语音流时,不能将Voice VLAN设置为端口的缺省VLAN |
|
Hybrid端口 |
|||
· 同一设备同一时刻可以给不同的端口配置不同的Voice VLAN,但一个端口只能配置一个Voice VLAN,而且这些VLAN必须是已经存在的静态VLAN。
· 不允许在聚合组的成员端口上使能Voice VLAN功能。有关聚合组的成员端口的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
· 当端口使能了Voice VLAN并工作在手工模式时,必须手工将端口加入Voice VLAN,才能保证Voice VLAN功能生效。
传统的Voice VLAN是通过手工配置的OUI地址作为IP电话的匹配规则和接入条件,由于可配置的OUI地址数量有限,这种方式限制了可接入网络的IP电话的类型(将源MAC匹配同一OUI地址的IP电话视为一个类型)。
在设备上配置了通过LLDP自动发现IP电话功能后,设备将通过LLDP自动发现对端设备,并与对端设备通过LLDP的TLV进行信息交互。如果通过端口收到的LLDP System Capabilities TLV中的信息发现对端设备具有电话能力,则认为对端设备是IP电话并将设备上配置的Voice VLAN信息通过LLDP发送给对端设备。这种方式使接入网络的IP电话类型不再受限于OUI地址的数量。
在完成IP电话的发现过程后,端口将继续完成Voice VLAN的其余功能,即端口将自动加入Voice VLAN,并提高从该IP电话发出的语音数据的优先级。为防止IP电话无法通过端口上配置的认证功能,设备还会将IP电话的MAC地址添加到MAC地址表中。
在配置通过LLDP自动发现IP电话功能之前,需完成以下任务:
· 完成Voice VLAN功能的配置。
表4-8 配置通过LLDP自动发现IP电话功能
配置通过LLDP自动发现IP电话功能 |
缺省情况下,通过LLDP自动发现IP电话功能处于关闭状态 |
· 通过LLDP自动发现IP电话功能只能与Voice VLAN自动模式配合使用,不能与手动模式配合使用。
· 设备开启了通过LLDP自动发现IP电话功能后,每个端口最多可以接入5台IP电话。
· 通过LLDP自动发现IP电话功能与LLDP兼容CDP功能不能同时配置。
当有IP电话接入设备时,需要设备将Voice VLAN信息通告给IP电话,使IP电话完成Voice VLAN的自动配置,从而在Voice VLAN中转发语音数据流。
对于支持LLDP的IP电话,设备开启LLDP功能后,通过LLDP-MED中的Network Policy TLV将Voice VLAN信息发布给IP电话。对于只支持CDP,不支持LLDP的IP电话,在设备上配置LLDP兼容CDP功能后,设备将Voice VLAN信息封装在CDP报文中通告给IP电话。
缺省情况下,设备将端口配置的Voice VLAN信息通告给IP电话。端口上配置Voice VLAN后,设备通过软件学习MAC地址,从而将匹配OUI地址的MAC学习到Voice VLAN中,并为语音报文提高优先级。但是在IRF设备上,软件学习的MAC需要较长时间才能在IRF成员设备间完成同步,延迟了语音报文的发送时间。在这种情况下,可以通过命令行指定LLDP/CDP发布给IP电话的Voice VLAN ID(端口不需要配置Voice VLAN),使设备通过硬件学习MAC地址,避免对语音报文造成时延。
本功能也适用于其它需要指定LLDP/CDP发布的Voice VLAN信息的情况。
配置本功能后,设备向IP电话发布Voice VLAN信息的过程如图4-4所示:
IP电话根据收到的信息(VLAN ID、是否携带Tag、优先级信息)完成自动配置:
· 如果IP电话根据设备通过命令行指定的Voice VLAN信息完成自动配置,会发送携带指定VLAN Tag的报文,语音数据流将在指定VLAN中转发。在设备上通过命令行指定LLDP/CDP发布的Voice VLAN信息的配置方法见4.7.2 配置指定LLDP/CDP发布的Voice VLAN信息。
· 如果IP电话根据认证服务器下发的授权VLAN信息完成自动配置,会发送携带授权VLAN Tag的报文,语音数据流将在授权VLAN中转发。相关内容见4.8 通过LLDP/CDP动态发布授权VLAN功能介绍。
· 如果IP电话根据设备接入端口配置的Voice VLAN信息完成自动配置,语音数据流将在端口上配置的Voice VLAN中转发,是否携带Tag由端口上Voice VLAN的配置决定。
LLDP-MED Network Policy TLV中的信息可以通过display lldp local-information命令查看。
表4-9 配置指定LLDP/CDP发布的Voice VLAN信息
二者必选其一 缺省情况下,LLDP/CDP发布端口配置的Voice VLAN信息 |
|||
指定CDP发布的Voice VLAN信息(当IP电话只支持CDP,不支持LLDP时使用) |
指定CDP发布的Voice VLAN信息 |
||
配置LLDP兼容CDP功能 |
有关LLDP兼容CDP的配置方法,请参见“二层技术-以太网交换配置指导”中的“LLDP”。 |
· 有关lldp tlv-enable med-tlv network-policy命令的详细介绍请参见“二层技术—以太网交换命令参考”中的“LLDP命令”
· 本功能适用于与支持LLDP协议或CDP协议的IP电话配合使用,请确认对端IP电话的支持情况。
· 如果设备配置802.1X功能对接入设备进行认证,请确认接入的IP电话是否支持进行802.1X认证。
通过LLDP/CDP动态发布授权VLAN功能是指LLDP/CDP在配合802.1X认证或者MAC地址认证使用时,会将服务器下发的授权VLAN的信息通过LLDP-MED Network Policy TLV或CDP报文发送给通过认证的邻居IP电话。同时,设备连接IP电话的端口会加入授权VLAN。
IP电话根据认证服务器下发的授权VLAN信息完成自动配置后,会发送携带授权VLAN Tag的报文,语音数据流将在授权VLAN中转发。
· 请在全局和连接IP电话的端口上开启LLDP功能。
· 如果IP电话只支持CDP,不支持LLDP,在设备上配置LLDP兼容CDP功能。
· 完成安全认证功能的配置,使IP电话能够通过安全认证。
· 在服务器上配置给通过认证的IP电话下发的授权VLAN。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Voice VLAN的运行情况,通过查看显示信息验证配置的效果。
表4-10 Voice VLAN显示和维护
显示Voice VLAN的状态 |
|
· IP phone A的MAC地址为0011-1100-0001,下行连接PC A(MAC地址为0022-1100-0002),上行连接到Device A的GigabitEthernet1/0/1端口。
· IP phone B的MAC地址为0011-2200-0001,下行连接PC B(MAC地址为0022-2200-0002),上行连接到Device A的GigabitEthernet1/0/2端口。
· Device A使用Voice VLAN 2传输IP phone A产生的语音报文;使用Voice VLAN 3传输IP phone B产生的语音报文。
· Device A的端口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在自动模式,如果它们在30分钟内没有收到语音流,就将相应的Voice VLAN老化。
# 创建VLAN 2和VLAN 3。
[DeviceA] vlan 2 to 3
# 配置Voice VLAN的老化时间为30分钟。
# 由于端口GigabitEthernet1/0/1可能会同时收到语音和数据两种流量,为了保证语音报文的质量以及带宽的高效利用,配置Voice VLAN工作在安全模式,即Voice VLAN只用于传输语音报文。(可选,缺省情况下,Voice VLAN工作在安全模式)
[DeviceA] voice-vlan security enable
# 配置允许通过的OUI地址为MAC地址前缀为0011-1100-0000和0011-2200-0000,即当报文的前缀为0011-1100-0000或0011-2200-0000时,Device A会把它当成语音报文来处理。
[DeviceA] voice-vlan mac-address 0011-1100-0001 mask ffff-ff00-0000 description IP phone A
[DeviceA] voice-vlan mac-address 0011-2200-0001 mask ffff-ff00-0000 description IP phone B
# 配置端口GigabitEthernet1/0/1为Hybrid类型端口。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
# 将端口GigabitEthernet1/0/1上Voice VLAN的工作模式配置为自动模式。(可选,缺省情况下,端口的Voice VLAN工作在自动模式。)
[DeviceA-GigabitEthernet1/0/1] voice-vlan mode auto
# 使能端口Voice VLAN功能。
[DeviceA-GigabitEthernet1/0/1] voice-vlan 2 enable
[DeviceA-GigabitEthernet1/0/1] quit
# 在端口GigabitEthernet1/0/2上进行相应的配置。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-type hybrid
[DeviceA-GigabitEthernet1/0/2] voice-vlan mode auto
[DeviceA-GigabitEthernet1/0/2] voice-vlan 3 enable
[DeviceA-GigabitEthernet1/0/2] quit
# 显示当前系统支持的OUI地址、OUI地址掩码和描述信息。
[DeviceA] display voice-vlan mac-address
OUI Address Mask Description
0001-e300-0000 ffff-ff00-0000 Siemens phone
0003-6b00-0000 ffff-ff00-0000 Cisco phone
0004-0d00-0000 ffff-ff00-0000 Avaya phone
000f-e200-0000 ffff-ff00-0000 H3C Aolynk phone
0011-1100-0000 ffff-ff00-0000 IP phone A
0011-2200-0000 ffff-ff00-0000 IP phone B
0060-b900-0000 ffff-ff00-0000 Philips/NEC phone
00d0-1e00-0000 ffff-ff00-0000 Pingtel phone
00e0-7500-0000 ffff-ff00-0000 Polycom phone
00e0-bb00-0000 ffff-ff00-0000 3Com phone
# 显示当前Voice VLAN的状态。
[DeviceA] display voice-vlan state
Current Voice VLANs: 2
Voice VLAN security mode: Security
Voice VLAN aging time: 30 minutes
Voice VLAN enabled ports and their modes:
Port VLAN Mode COS DSCP
GigabitEthernet1/0/1 2 AUTO 6 46
GigabitEthernet1/0/2 3 AUTO 6 46
· VLAN 2为Voice VLAN,只允许语音报文通过。
· IP Phone A发出的报文类型为Untagged,接入端口为Device A的Hybrid类型端口GigabitEthernet1/0/1。
· Device A的端口GigabitEthernet1/0/1工作在手动模式,且允许OUI地址是0011-2200-0000、掩码是ffff-ff00-0000的语音报文通过,描述字符为test。
# 配置Voice VLAN为安全模式,使得Voice VLAN端口只允许合法的语音报文通过。(可选,缺省情况下,Voice VLAN工作在安全模式)
[DeviceA] voice-vlan security enable
# 配置OUI地址0011-2200-0000是Voice VLAN的合法地址。
[DeviceA] voice-vlan mac-address 0011-2200-0000 mask ffff-ff00-0000 description test
# 创建VLAN 2。
[DeviceA-vlan2] quit
# 配置端口GigabitEthernet1/0/1工作在手动模式。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] undo voice-vlan mode auto
# 配置端口GigabitEthernet1/0/1为Hybrid类型。
[DeviceA-GigabitEthernet1/0/1] port link-type hybrid
# 配置Voice VLAN是端口GigabitEthernet1/0/1的缺省VLAN,且在该端口允许通过的Untagged VLAN列表中。
[DeviceA-GigabitEthernet1/0/1] port hybrid pvid vlan 2
[DeviceA-GigabitEthernet1/0/1] port hybrid vlan 2 untagged
# 使能端口GigabitEthernet1/0/1的Voice VLAN功能。
[DeviceA-GigabitEthernet1/0/1] voice-vlan 2 enable
[DeviceA-GigabitEthernet1/0/1] quit
# 显示当前系统支持的OUI地址、OUI地址掩码和描述信息。
[DeviceA] display voice-vlan mac-address
OUI Address Mask Description
0001-e300-0000 ffff-ff00-0000 Siemens phone
0003-6b00-0000 ffff-ff00-0000 Cisco phone
0004-0d00-0000 ffff-ff00-0000 Avaya phone
000f-e200-0000 ffff-ff00-0000 H3C Aolynk phone
0011-2200-0000 ffff-ff00-0000 test
0060-b900-0000 ffff-ff00-0000 Philips/NEC phone
00d0-1e00-0000 ffff-ff00-0000 Pingtel phone
00e0-7500-0000 ffff-ff00-0000 Polycom phone
00e0-bb00-0000 ffff-ff00-0000 3Com phone
# 显示当前Voice VLAN的状态。
[DeviceA] display voice-vlan state
Current Voice VLANs: 1
Voice VLAN security mode: Security
Voice VLAN aging time: 1440 minutes
Voice VLAN enabled ports and their modes:
Port VLAN Mode CoS DSCP
GigabitEthernet1/0/1 2 Manual 6 46
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!