VLAN映射配置.docx
《VLAN映射配置.docx》由会员分享,可在线阅读,更多相关《VLAN映射配置.docx(39页珍藏版)》请在冰点文库上搜索。
VLAN映射配置
1VLAN映射配置
SC、SD、EB单板支持所有4种VLAN映射,SA、EA单板只支持1:
1VLAN映射。
有关单板的介绍请参见安装手册。
1.1 VLAN映射简介
VLAN映射(VLANMapping)功能可以修改报文携带的VLANTag,提供下面4种映射关系:
● 1:
1VLAN映射:
将来自某一特定VLAN的报文所携带的VLANTag替换为新的VLANTag。
● N:
1VLAN映射:
将来自两个或多个VLAN的报文所携带的不同VLANTag替换为相同的VLANTag。
● 1:
2VLAN映射:
为携带有一层VLANTag的报文打上外层VLANTag,使报文携带两层VLANTag。
● 2:
2VLAN映射:
将携带有两层VLANTag的报文的内、外层VLANTag都替换为新的VLANTag。
下面将详细介绍这几种映射关系的应用以及工作原理。
1.1.1 1:
1和N:
1VLAN映射的应用
如图1-1所示,是1:
1和N:
1VLAN映射的应用环境,其中用不同的VLAN来承载各家庭用户不同类型的业务(包括PC、VoD和VoIP)。
图1-11:
1和N:
1VLAN映射应用示意图
为了区分不同的用户,需要在楼道交换机处用不同的VLAN来承载不同用户的相同业务,即进行1:
1VLAN映射,这就要用到大量的VLAN。
但汇聚层网络接入设备可提供的VLAN数量有限,因此需要在园区交换机上来进行VLAN的汇聚,用一个VLAN来承载原本由多个VLAN承载的不同用户的相同业务,即进行N:
1VLAN映射。
1.1.2 1:
2和2:
2VLAN映射的应用
如图1-2所示,是1:
2和2:
2VLAN映射的应用环境,VPNA中处于不同地理位置(Site1和Site2)的用户跨越了两个SP(ServiceProvider,服务提供商)——SP1和SP2的网络进行互通。
图1-21:
2和2:
2VLAN映射应用示意图
在图1-2中,Site1和Site2中的用户所在的VLAN分别为VLAN2和VLAN3,SP1和SP2分配给VPNA的VLAN分别为VLAN10和VLAN20。
当Site1中的报文进入SP1的网络后,外层被打上了VLAN10的VLANTag,这个过程就是1:
2VLAN映射。
这样,VPN用户就可以自由规划自己网络中的VLANID,而不用担心与SP的VLANID相冲突,同时也缓解了SP的网络中VLANID紧缺的问题。
当上述报文继续由SP1的网络进入SP2的网络后,由于SP2分配给VPNA的VLAN与SP1不同,因此需将该报文的外层VLANTag替换为VLAN20的VLANTag,同时为了与Site2中的用户互通,还需将其内层VLANTag替换为VLAN3的VLANTag。
这种同时修改内、外两层VLANTag的过程就是2:
2VLAN映射。
通过配置QinQ也可以实现1:
2VLAN映射,具体介绍及配置过程请参见“二层技术-以太网交换配置指导”中的“QinQ”。
1.1.3 VLAN映射的基本概念
图1-3VLAN映射基本概念示意图
如图1-3所示,为了更好的理解后面的配置过程,此处定义几个概念:
● 上行数据流:
从用户网络发往汇聚层网络或SP网络的数据流,都称为上行数据流。
● 下行数据流:
从汇聚层网络或SP网络发往用户网络的数据流,都称为下行数据流。
● 上行端口:
发送上行数据流和接收下行数据流的端口称为上行端口。
● 下行端口:
发送下行数据流和接收上行数据流的端口称为下行端口。
● 上行策略:
负责上行数据流VLAN映射规则的QoS策略。
● 下行策略:
负责下行数据流VLAN映射规则的QoS策略。
1.1.4 VLAN映射实现方式
1.1:
1VLAN映射实现方式
图1-41:
1VLAN映射实现方式示意图
如图1-4所示,1:
1VLAN映射的实现方式如下:
● 对于上行数据流,通过在下行端口上应用上行策略,将报文中CVLAN的VLANTag替换为SVLAN的VLANTag。
● 对于下行数据流,通过在下行端口上应用下行策略,将报文中SVLAN的VLANTag替换为CVLAN的VLANTag。
2.N:
1VLAN映射实现方式
图1-5N:
1VLAN映射实现方式示意图
如图1-5所示,N:
1VLAN映射的实现方式如下:
● 对于上行数据流,通过在下行端口上应用上行策略,将来自两个或多个CVLAN的报文所携带的不同VLANTag都替换为SVLAN的VLANTag。
● 对于下行数据流,通过查找SVLAN对应的DHCPSnooping表项中DHCP客户端的IP地址、MAC地址和CVLAN的绑定表项,将报文中SVLAN的VLANTag替换为CVLAN的VLANTag。
3.1:
2VLAN映射实现方式
图1-61:
2VLAN映射实现方式示意图
如图1-6所示,1:
2VLAN映射的实现方式如下:
● 对于上行数据流,通过在下行端口上应用上行策略,为端口收到的来自指定CVLAN的报文再加上一层SVLAN的VLANTag。
● 对于下行数据流,通过将下行端口配置成Hybrid类型,并配置当端口发送SVLAN报文时不带VLANTag的方式,来将外层VLANTag剥离。
4.2:
2VLAN映射实现方式
图1-72:
2VLAN映射实现方式示意图
如图1-7所示,2:
2VLAN映射的实现方式如下:
● 对于上行数据流,通过在下行端口上应用上行策略,将报文的外层VLANTag替换为新的VLANTag;通过在上行端口上应用上行策略,将报文的内层VLANTag替换为新的VLANTag。
● 对于下行数据流,通过在下行端口上应用下行策略,将报文的内、外层VLANTag都替换为各自的原始VLANTag。
● 在2:
2VLAN映射的实现中,根据实际的组网需要,也可以只替换外层VLANTag,或只替换内层VLANTag。
● 有关DHCPSnooping的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCPSnooping”。
● 有关QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。
1.2 VLAN映射配置任务简介
用户需要根据网络规划,在不同的设备上进行不同的VLAN映射配置。
表1-1VLAN映射配置任务简介
配置任务
说明
详细配置
配置1:
1VLAN映射
在图1-1所示的组网中,需要在楼道交换机上进行此配置
1.3.1
配置N:
1VLAN映射
在图1-1所示的组网中,需要在园区交换机上进行此配置
1.3.2
配置1:
2VLAN映射
在图1-2所示的组网中,需要在用户进入SP网络的边缘设备PE1和PE4上进行此配置
1.3.3
配置2:
2VLAN映射
在图1-2所示的组网中,需要在SP2网络的边缘设备PE3上进行此配置
1.3.4
1.3 配置VLAN映射
1.3.1 配置1:
1VLAN映射
在图1-1所示的组网中,需要在楼道交换机上进行1:
1VLAN映射的配置,以便将不同用户的不同业务用不同的VLAN进行隔离。
1.配置任务简介
表1-21:
1VLAN映射配置任务简介
配置任务
说明
详细配置
配置上行策略
必选
1.3.1 3.
配置下行策略
必选
1.3.1 4.
配置下行端口
必选
1.3.1 5.
配置上行端口
必选
1.3.1 6.
2.配置准备
在配置1:
1VLAN映射之前,需完成以下任务:
● 创建好CVLAN和SVLAN,并规划好CVLAN和SVLAN的映射关系。
3.配置上行策略
通过配置上行策略,将不同用户的不同业务VLAN(CVLAN)映射到不同的VLAN(SVLAN)上。
表1-3配置上行策略
操作
命令
说明
进入系统视图
system-view
-
定义类,并进入类视图
trafficclassifiertcl-name[operator{and|or}]
必选
定义匹配用户不同业务VLAN(CVLAN)的规则
if-matchcustomer-vlan-idvlan-id
必选
退回系统视图
quit
-
定义流行为,并进入流行为视图
trafficbehaviorbehavior-name
必选
配置重标记报文的SVLAN
remarkservice-vlan-idvlan-id
必选
退回系统视图
quit
-
定义QoS策略,并进入QoS策略视图
qospolicypolicy-name
必选
为类指定采用的流行为
classifiertcl-namebehaviorbehavior-name
必选
4.配置下行策略
通过配置下行策略,将SVLAN映射回原来的CVLAN上。
表1-4配置下行策略
操作
命令
说明
进入系统视图
system-view
-
定义类,并进入类视图
trafficclassifiertcl-name[operator{and|or}]
必选
定义匹配SVLAN的规则
if-matchservice-vlan-idvlan-id
必选
退回系统视图
quit
-
定义流行为,并进入流行为视图
trafficbehaviorbehavior-name
必选
配置重标记报文的CVLAN
remarkcustomer-vlan-idvlan-id
必选
退回系统视图
quit
-
定义QoS策略,并进入QoS策略视图
qospolicypolicy-name
必选
为类指定采用的流行为
classifiertcl-namebehaviorbehavior-name
必选
5.配置下行端口
表1-5配置下行端口
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置端口的链路类型为Trunk类型
portlink-typetrunk
必选
缺省情况下,端口的链路类型为Access类型
允许CVLAN和SVLAN通过当前Trunk端口
porttrunkpermitvlan{vlan-id-list|all}
必选
缺省情况下,Trunk端口只允许VLAN1通过
使能端口的基本QinQ功能
qinqenable
必选
缺省情况下,端口的基本QinQ功能处于关闭状态
在端口的入方向上应用上行策略
qosapplypolicypolicy-nameinbound
必选
在端口的出方向上应用下行策略
qosapplypolicypolicy-nameoutbound
必选
6.配置上行端口
表1-6配置上行端口
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置端口的链路类型为Trunk类型
portlink-typetrunk
必选
缺省情况下,端口的链路类型为Access类型
允许SVLAN通过当前Trunk端口
porttrunkpermitvlan{vlan-id-list|all}
必选
缺省情况下,Trunk端口只允许VLAN1通过
1.3.2 配置N:
1VLAN映射
在图1-1所示的组网中,需要在园区交换机上进行N:
1VLAN映射的配置,以便将不同用户的相同业务用同一个VLAN进行发送,从而节省VLAN资源。
1.配置任务简介
表1-7N:
1VLAN映射配置任务简介
配置任务
说明
详细配置
使能DHCPSnooping功能
必选
1.3.2 3.
使能ARPDetection功能
必选
1.3.2 4.
配置上行策略
必选
1.3.2 5.
配置下行端口
必选
1.3.2 6.
配置上行端口
必选
1.3.2 7.
如果用户想改变VLAN映射关系,必须先用resetdhcp-snooping命令(请参见“三层技术-IP业务命令参考”中的“DHCPSnooping”)清除DHCPSnooping表项,然后再修改QoS策略中的VLAN映射关系。
2.配置准备
在配置N:
1VLAN映射之前,需完成以下任务:
● 要求家庭用户中不同的业务终端都通过DHCP方式获取IP地址。
有关通过DHCP方式获取IP地址的方法,请参见“三层技术-IP业务配置指导”中的“DHCP概述”。
● 创建好CVLAN和SVLAN,并规划好CVLAN和SVLAN的映射关系。
3.使能DHCPSnooping功能
表1-8使能DHCPSnooping功能
操作
命令
说明
进入系统视图
system-view
-
使能DHCPSnooping功能
dhcp-snooping
必选
缺省情况下,DHCPSnooping功能处于关闭状态
4.使能ARPDetection功能
正常的ARP报文处理流程无法修改ARP报文所属的VLAN,因此需要使用ARPDetection功能将ARP报文上送CPU进行处理,这样就可以对ARP报文进行VLAN映射。
有关ARPDetection功能的详细介绍,请参见“安全配置指导”中的“ARP攻击防御”。
请在所有SVLAN上都使能ARPDetection功能。
表1-9使能ARPDetection功能
操作
命令
说明
进入系统视图
system-view
-
进入VLAN视图
vlanvlan-id
-
使能ARPDetection功能
arpdetectionenable
必选
缺省情况下,ARPDetection功能处于关闭状态
建议在所有CVLAN上也都使能ARPDetection功能,以起到防攻击的作用。
5.配置上行策略
通过配置上行策略,将不同用户的相同业务VLAN(CVLAN)映射到同一个VLAN(SVLAN)上。
表1-10配置上行策略
操作
命令
说明
进入系统视图
system-view
-
定义类,并进入类视图
trafficclassifiertcl-name[operatoror]
必选
定义匹配不同用户相同业务VLAN(CVLAN)的规则
if-matchcustomer-vlan-id{vlan-id-list|vlan-id1tovlan-id2}
必选
退回系统视图
quit
-
定义流行为,并进入流行为视图
trafficbehaviorbehavior-name
必选
配置重标记报文的SVLAN
remarkservice-vlan-idvlan-id
必选
退回系统视图
quit
-
定义QoS策略,并进入QoS策略视图
qospolicypolicy-name
必选
为类指定采用的流行为和绑定模式
classifiertcl-namebehaviorbehavior-namemodedot1q-tag-manipulation
必选
6.配置下行端口
表1-11配置下行端口
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置端口的链路类型为Trunk类型
portlink-typetrunk
必选
缺省情况下,端口的链路类型为Access类型
允许CVLAN和SVLAN通过当前Trunk端口
porttrunkpermitvlan{vlan-id-list|all}
必选
缺省情况下,Trunk端口只允许VLAN1通过
使能端口的用户侧QinQ功能
qinqenabledownlink
必选
缺省情况下,端口的用户侧QinQ功能处于关闭状态
在端口的入方向上应用上行策略
qosapplypolicypolicy-nameinbound
必选
在下行端口上应用QoS策略之前,需要先使能端口的用户侧QinQ功能;在下行端口上关闭用户侧QinQ功能之前,需要先解除QoS策略与该端口的绑定。
7.配置上行端口
表1-12配置上行端口
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置端口的链路类型为Trunk类型
portlink-typetrunk
必选
缺省情况下,端口的链路类型为Access类型
允许SVLAN通过当前Trunk端口
porttrunkpermitvlan{vlan-id-list|all}
必选
缺省情况下,Trunk端口只允许VLAN1通过
配置端口为DHCPSnooping信任端口
dhcp-snoopingtrust
必选
缺省情况下,端口为DHCPSnooping非信任端口
配置端口为ARP信任端口
arpdetectiontrust
必选
缺省情况下,端口为ARP非信任端口
使能端口的网络侧QinQ功能
qinqenableuplink
必选
缺省情况下,端口的网络侧QinQ功能处于关闭状态
1.3.3 配置1:
2VLAN映射
在图1-2所示的组网中,需要在用户进入SP网络的边缘设备PE1和PE4上进行1:
2VLAN映射的配置,以便为报文外面打上一层SP分配给用户的外层VLANTag,使得不同用户的报文在SP网络中传输时被完全隔离。
1.配置任务简介
表1-131:
2VLAN映射配置任务简介
配置任务
说明
详细配置
配置上行策略
必选
1.3.3 2.
配置下行端口
必选
1.3.3 3.
配置上行端口
必选
1.3.3 4.
2.配置上行策略
表1-14配置上行策略
操作
命令
说明
进入系统视图
system-view
-
定义类,并进入类视图
trafficclassifiertcl-name[operatoror]
必选
定义匹配用户VLAN(CVLAN)的规则
if-matchcustomer-vlan-id{vlan-id-list|vlan-id1tovlan-id2}
必选
退回系统视图
quit
-
定义流行为,并进入流行为视图
trafficbehaviorbehavior-name
必选
配置插入VLANTag的动作
nesttop-mostvlan-idvlan-id
必选
退回系统视图
quit
-
定义QoS策略,并进入QoS策略视图
qospolicypolicy-name
必选
为类指定采用的流行为
classifiertcl-namebehaviorbehavior-name
必选
3.配置下行端口
表1-15配置下行端口
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置端口的链路类型为Hybrid类型
portlink-typehybrid
必选
缺省情况下,端口的链路类型为Access类型
允许SVLAN通过当前Hybrid端口,且发送时不携带VLANTag
porthybridvlanvlan-id-listuntagged
必选
缺省情况下,Hybrid端口只允许VLAN1通过
使能端口的基本QinQ功能
qinqenable
必选
缺省情况下,端口的基本QinQ功能处于关闭状态
在端口的入方向上应用上行策略
qosapplypolicypolicy-nameinbound
必选
4.配置上行端口
表1-16配置上行端口
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置端口的链路类型为Trunk类型
portlink-typetrunk
必选
缺省情况下,端口的链路类型为Access类型
允许SVLAN通过当前Trunk端口
porttrunkpermitvlan{vlan-id-list|all}
必选
缺省情况下,Trunk端口只允许VLAN1通过
1.3.4 配置2:
2VLAN映射
在图1-2所示的组网中,需要在SP2网络的边缘设备PE3上进行2:
2VLAN映射的配置,以便使得报文外层VLANTag为新SP网络分配给用户的VLAN,而内层的VLANTag可以和不同VLAN的同一VPN用户进行互通。
1.配置任务简介
表1-172:
2VLAN映射配置任务简介
配置任务
说明
详细配置
配置下行端口的上行策略
必选
1.3.4 2.
配置下行端口的下行策略
必选
1.3.4 3.
配置上行端口的上行策略
必选
1.3.4 4.
配置下行端口
必选
1.3.4 5.
配置上行端口
必选
1.3.4 6.
2.配置下行端口的上行策略
通过配置下行端口的上行策略,来修改SVLAN的值。
根据实际的组网需要,如果只需要修改CVLAN的值,不需要修改SVLAN的值,可以不配置此策略。