VLAN透传配置举例.docx

上传人:b****3 文档编号:4234718 上传时间:2022-11-28 格式:DOCX 页数:14 大小:21.67KB
下载 相关 举报
VLAN透传配置举例.docx_第1页
第1页 / 共14页
VLAN透传配置举例.docx_第2页
第2页 / 共14页
VLAN透传配置举例.docx_第3页
第3页 / 共14页
VLAN透传配置举例.docx_第4页
第4页 / 共14页
VLAN透传配置举例.docx_第5页
第5页 / 共14页
点击查看更多>>
下载资源
资源描述

VLAN透传配置举例.docx

《VLAN透传配置举例.docx》由会员分享,可在线阅读,更多相关《VLAN透传配置举例.docx(14页珍藏版)》请在冰豆网上搜索。

VLAN透传配置举例.docx

VLAN透传配置举例

目 录

 

1 介绍

1.1 特性简介

在混合模式下,桥支持VLANID透传特性是指:

通过对加入桥组的设备出接口配置支持VLANID透传,可以使报文从该接口送出时,不对报文的VLANID做任何修改。

使能桥出接口VLANID透传,则报文从该接口发出时保留报文入桥时的VLANID,如果没有VLANID不增加VLANID。

1.2 特性关键技术点

配置了VLAN透传后,防火墙不会对报文的VLANtag进行任何的修改和去除等操作。

从而可以实现VLANtag的透明传输,保证不同VLAN之间的隔离、同一VLAN之间的互通。

2 特性使用指南

2.1 使用场合

当系统中存在VLAN部署,不同的VLAN之间需要进行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。

2.2 配置指南

混合模式下桥接功能的配置步骤分为以下几步:

●             使能桥组功能

●             使能一个桥组。

●             将接口加入到桥组中

●             使能桥组下接口的VLAN透传功能

2.2.1 配置混合模式桥组

步骤

操作说明

操作命令

1

使能桥组功能

[H3C]bridgeenable

2

使能一个桥组

[H3C]bridgebridge-setenable

3

进入接口视图

[H3C]interfacetypenumber

4

将接口加入到桥组中

[H3C-GigabitEthernet0/0]bridge-setbridge-set

5

在接口下配置VLAN透传

[H3C-GigabitEthernet0/0]bridgevlanid-transparent-transmitenable

 

2.3 注意事项

当配置VLAN透传功能时,需要注意以下事项:

●             子接口不支持VLAN透传。

●             F100A设备的四个LAN接口需要执行undoinsulate命令聚合成一个接口才能使用VLAN透传功能。

●             VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,如果希望SecPath防火墙与交换机的管理VLAN互通,需要借助子接口来实现。

即将配置了与交换机管理VLANID相同的子接口加入到桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

3 配置举例

3.1 VLAN透传典型应用组网

3.1.1 组网需求

客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,客户端PC,M属于VLAN99,用来模拟属于不同VLAN的用户。

在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。

交换机Switch1和Switch2的管理VLAN为VLAN99。

要求VLAN100和VLAN200能够互相隔离,交换机可以通过管理VLAN99与防火墙互通。

3.1.2 物理连接图

图1VLAN透传组网图

3.1.3 配置步骤

1.使用的版本

Comwaresoftware,Version3.40,ESS1622

2.支持产品

SecPathF1000-A/F1000-S/F100-E/F100-A

3.配置防火墙

当前视图

配置命令

简单说明

[H3C]

firewallpacket-filterdefaultpermit

防火墙包过滤默认改为允许

[H3C]

bridgeenable

使能桥组功能

[H3C]

bridge1enable

创建桥组1

[H3C]

bridge99enable

创建桥组99

[H3C]

interfaceBridge-template99

创建桥组虚接口BVI99

[H3C-Bridge-template99] 

ipaddress99.1.1.2255.255.255.0

配置管理地址

[H3C-Bridge-template99]

quit

退回系统视图

[H3C]

interfaceGigabitEthernet0/0

进入连接g0/0的接口视图

[H3C-GigabitEthernet0/0]

bridge-set1

将接口g0/0加入到桥组1

[H3C-GigabitEthernet0/0]

bridgevlanid-transparent-transmitenable

使能接口VLAN透传

[H3C-GigabitEthernet0/0]

interfaceGigabitEthernet0/1

进入连接g0/1的接口视图

[H3C-GigabitEthernet0/1]

bridge-set1

将接口g0/1加入到桥组1

[H3C-GigabitEthernet0/1]

bridgevlanid-transparent-transmitenable

使能接口VLAN透传

[H3C-GigabitEthernet0/1]

quit

退回系统视图

[H3C]

interfaceGigabitEthernet0/0.99

创建子接口g0/0.99

[H3C-GigabitEthernet0/0.99]

bridge-set99

将接口g0/0.99加入到桥组99

[H3C-GigabitEthernet0/0.99]

vlan-typedot1qvid99

设置接口封装类型并加入到VLAN99

[H3C-GigabitEthernet0/0.99]

quit

退回系统视图

[H3C]

interfaceGigabitEthernet0/1.99

创建子接口g0/1.99

[H3C-GigabitEthernet0/1.99]

bridge-set99

将接口g0/1.99加入到桥组99

[H3C-GigabitEthernet0/1.99]

vlan-typedot1qvid99

设置接口封装类型并加入到VLAN99

[H3C-GigabitEthernet0/1.99]

quit

退回系统视图

[H3C]

firewallzonetrust

进入trust区域视图

[H3C-zone-trust]

addinterfaceGigabitEthernet0/0

将接口g0/0加入到trust区域

[H3C-zone-trust]

addinterfaceGigabitEthernet0/0.99

将接口g0/0.99加入到trust区域

[H3C-zone-trust]

addinterfaceBridge-template99

将接口Bridge-template99加入到trust区域

[H3C-zone-trust]

quit

退回系统视图

[H3C]

firewallzoneuntrust

进入untrust区域视图

[H3C-zone-untrust]

addinterfaceGigabitEthernet0/1

将接口g0/1加入到untrust区域

[H3C-zone-untrust]

addinterfaceGigabitEthernet0/1.99

将接口g0/1.99加入到untrust区域

[H3C-zone-untrust]

quit

退回系统视图

 

4.验证结果

(1)       连通测试

同在VLAN100下的A和C能够透过防火墙连通,同样在VLAN200下的B和D也能透过防火墙连通。

不同VLAN之间不能互通。

(2)       管理操作

通过客户端M可以ping通Switch1、Switch2的管理VLAN地址和SecPathF1000-A的BVI99接口地址,并且可以进行管理。

M无法与A、B、C、D互通。

(3)       在Switch2进行端口镜像,抓包测试

从A向C进行ping包测试,发现tag标记没有改变

图2APingC的抓包测试

从B向D进行ping包测试,发现tag标记没有改变

图3BPingD的抓包测试

3.2 SecPathF100-AVLAN透传组网

3.2.1 组网需求

客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,用来模拟属于不同VLAN的用户,在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。

3.2.2 物理连接图

图4VLAN透传组网图

3.2.3 配置步骤

1.使用的版本

Comwaresoftware,Version3.40,ESS1622

2.支持产品

SecPathF100-A

3.配置防火墙

当前视图

配置命令

简单说明

[H3C]

firewallpacket-filterdefaultpermit

防火墙包过滤默认改为允许

[H3C]

undoinsulate

取消以太网接口隔离

[H3C]

bridgeenable

使能桥组功能

[H3C]

bridge1enable

创建桥组1

[H3C]

interfaceEthernet0/0

进入连接e0/0的接口视图

[H3C-Ethernet0/0]

bridge-set1

将接口e0/0加入到桥组1

[H3C-Ethernet0/0]

bridgevlanid-transparent-transmitenable

使能接口VLAN透传

[H3C-Ethernet0/0]

interfaceEthernet1/2

进入连接e1/2的接口视图

[H3C-Ethernet1/2]

bridge-set1

将接口e1/2加入到桥组1

[H3C-Ethernet1/2]

bridgevlanid-transparent-transmitenable

使能接口VLAN透传

[H3C-Ethernet1/2]

quit

退回系统视图

[H3C]

firewallzonetrust

进入trust区域视图

[H3C-zone-trust]

addinterfaceEthernet0/0

将接口e0/0加入到trust区域

[H3C-zone-trust]

quit

退回系统视图

[H3C]

firewallzoneuntrust

进入untrust区域视图

[H3C-zone-untrust]

addinterfaceEthernet1/2

将接口e1/2加入到untrust区域

[H3C-zone-untrust]

quit

退回系统视图

 

4.验证结果

(1)       连通测试

同在VLAN100下的A和C能够透过防火墙连通,同样在VLAN200下的B和D也能透过防火墙连通。

不同VLAN之间不能互通。

(2)       在Switch2进行端口镜像,抓包测试

从A向C进行ping包测试,发现tag标记没有改变

图5SecPathF100-A上APingC的抓包测试

从B向D进行ping包测试,发现tag标记没有改变

图6SecPathF100-A上BPingD的抓包测试

3.3 故障排除

3.3.1 故障排除命令

操作

命令

打开网桥的以太帧转发调试信息开关

debuggingbridgeeth-forwarding[interfaceinterface-typeinterface-number]

关闭网桥的以太帧转发调试信息开关

undodebuggingbridgeeth-forwarding[interfaceinterface-typeinterface-number]

打开网桥的IP转发调试开关

debuggingbridgeip-forwarding

关闭网桥的IP转发调试开关

undodebuggingbridgeip-forwarding

显示网桥模块中所有或指定的桥组的信息

displaybridgeinformation[bridge-setbridge-set]

显示MAC地址转发表的信息

displaybridgeaddress-table[bridge-setbridge-set|interfaceinterface-typeinterface-number|macmac-address][static|dynamic]

显示桥组中接口的流量统计数据

displaybridgetraffic[bridge-setbridge-set|interfaceinterface-typeinterface-number]

显示接口上的以太帧过滤统计信息

displayfirewallethernet-frame-filter{all|interfaceinterface-typeinterface–number}

清除MAC地址转发表

resetbridgeaddress-table[bridge-setbridge-set|interfaceinterface-typeinterface-number]

清除桥组中接口的流量统计数据

resetbridgetraffic[bridge-setbridge-set|interfaceinterface-typeinterface-number]

清除ACL规则过滤情况的统计信息

resetfirewallethernet-frame-filter{all|interfaceinterface-typeinterface–number}

 

3.3.2 故障现象举例

在混合模式下使能VLAN透传的功能步骤比较少,如果VLAN透传不成功,可以从下面几个方面来考虑:

●             防火墙默认包过滤规则为deny

●             没有使能桥组功能

●             没有在相应接口使能VLAN透传,例如,仅使能了一个方向的VLAN透传,而另一个方向没有使能

●             没有将接口加入安全域

4 关键命令

配置本特性的关键命令有:

●             bridgeenable

●             bridgebridge-setenable

●             bridgevlanid-transparent-transmitenable

另外,F100-A设备如果在LAN口上使能VLAN透传,还需要配置insulate命令。

4.1 bridgeenable

【命令】

bridgeenable

undobridgeenable

【视图】

系统视图

【参数】

【描述】

bridgeenable命令用来使能网桥功能,undobridgeenable命令用来禁止网桥功能。

当存在已使能的桥组时,不能使用undobridgeenable命令来禁用网桥功能,需要先通过undobridgebridge-setenable命令删除桥组。

缺省情况下,系统禁止网桥功能。

只有使能网桥功能,网桥的配置才能生效。

【举例】

#使能网桥功能。

[H3C]bridgeenable

4.2 bridgebridge-setenable

【命令】

bridgebridge-setenable

undobridgebridge-setenable

【视图】

系统视图

【参数】

bridge-set:

网桥组编号,取值范围为1~255。

【描述】

bridgebridge-setenable命令用来使能桥组的桥接功能,undobridgebridge-setenable命令用来禁止桥组的桥接功能。

缺省情况下,禁止桥组的桥接功能。

只有使能桥组的桥接功能,桥组的配置才能生效。

【举例】

#使能桥组1的桥接功能。

[H3C]bridge1enable

4.3 bridgevlanid-transparent-transmitenable

【命令】

bridgevlanid-transparent-transmitenable

undobridgevlanid-transparent-transmitenable

【视图】

接口视图

【参数】

【描述】

bridgevlanid-transparent-transmitenable命令用来使能VLANID透传功能。

undobridgevlanid-transparent-transmitenable命令用来关闭VLANID透传功能。

VLANID透传是指通过对加入桥组设备的出接口配置支持VLANID透传,使接口直接转发报文,不对该报文中的VLANID做任何处理。

通过VLANID透传,可以使加入桥组的非以太出接口也能转发带有VLANID的报文,而不会因此丢失VLANID,并且即使加入桥组设备的出接口上有VLANID的情况下,也不会改变报文原有的VLANID,从而实现不同VLAN的隔离。

当以太网子接口配置VLANID后,该子接口只会接收这个VLAN的数据,这就决定了该桥组负责传输哪些VLAN的数据。

在使能了VLANID透传功能以后,系统不对报文的VLANID做任何处理,两端相连的交换机可以看成是直接相连的。

为了正常通信,用户需要给两端交换机的trunk口配置相同的VLANID。

缺省情况下,关闭VLANID透传功能。

【举例】

#在GigabitEthernet0/0口上使能VLANID透传功能。

[H3C]interfaceGigabitEthernet0/0

[H3C-GigabitEthernet0/0]bridgevlanid-transparent-transmitenable

4.4 insulate

【命令】

insulate

undoinsulate

【视图】

系统视图

【参数】

【描述】

insulate命令用来配置LAN以太网接口之间进行隔离,undoinsulate命令用来配置LAN以太网接口之间不进行隔离。

当LAN以太网接口处于隔离模式时,各个LAN以太网接口工作在第三层,作为可路由接口使用,即可以为其配置各种第三层属性,如IP地址等。

当LAN以太网接口处于非隔离模式时,各个LAN以太网接口工作在Hub方式,即工作在物理层,不能为其配置如IP地址等第三层属性。

当LAN以太网接口工作在非隔离模式下时,可以通过配置一个管理IP地址以对其进行管理或使其提供网络服务(例如Telnet、SNMP、NAT等)。

由于接口性质的因素,只能在第一个LAN口(即编号最小的)上配置子接口。

在隔离模式下扩展出来的另外三个LAN口都不能配置子接口,且第一个LAN口上配置的子接口只能在非隔离模式下工作。

仅SecPathF100-A防火墙、SecPathV100-S安全网关支持此命令。

缺省情况下,LAN以太网接口之间相互隔离。

【举例】

#将各个LAN以太网接口进行隔离。

[H3C]insulate

#当接口之间被隔离后,所有LAN以太网接口(Ethernet0/0、Ethernet0/1、Ethernet0/2、Ethernet0/3)都可见,并可以为其进行单独配置如IP地址等第三层属性。

displayipinterfacebrief

*down:

administrativelydown

(s):

spoofing

 Interface              IPAddress     PhysicalProtocol    Description

 Aux0                   unassigned     down    up(s)       Aux0Inte...

 Encrypt2/0             unassigned     down    down        Encrypt2/...

 Ethernet0/0            unassigned     up      down        Ethernet0...

 Ethernet0/1            unassigned     up      down        Ethernet0...

 Ethernet0/2            unassigned     down    down        Ethernet0...

 Ethernet0/3            unassigned     down    down        Ethernet0...

 Ethernet1/0            unassigned     down    down        Ethernet1...

 Ethernet1/1            unassigned     down    down        Ethernet1...

 Ethernet1/2            unassigned     down    down        Ethernet1...

#配置不将LAN以太网接口之间进行隔离。

[H3C]undoinsulate

#当接口之间未被隔离时,可以看到只有一个管理接口Ethernet0/0可见,其它所有LAN以太网接口都将不可见。

可以在管理接口上配置IP地址作为管理IP地址。

displayipinterfacebrief

*down:

administrativelydown

(s):

spoofing

 Interface              IPAddress     PhysicalProtocol    Description

 Aux0                   unassigned     down    up(s)       Aux0Inte...

 Encrypt2/0             unassigned     down    down        Encrypt2/...

 Ethernet0/0            unassigned     up      down        Ethernet0...

 Ethernet1/0 

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > PPT模板 > 动物植物

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1