VLAN透传配置举例.docx
《VLAN透传配置举例.docx》由会员分享,可在线阅读,更多相关《VLAN透传配置举例.docx(14页珍藏版)》请在冰豆网上搜索。
VLAN透传配置举例
1介绍1.1特性简介1.2特性关键技术点2特性使用指南
2.1使用场合
2.2配置指南2.2.1配置混合模式桥组2.3注意事项3配置举例
3.1VLAN透传典型应用组网
3.1.1组网需求3.1.2物理连接图3.1.3配置步骤3.2SecPathF100-AVLAN透传组网3.2.1组网需求3.2.2物理连接图3.2.3配置步骤3.3故障排除3.3.1故障排除命令3.3.2故障现象举例4关键命令
4.1bridgeenable
4.2bridgebridge-setenable
4.3bridgevlanid-transparent-transmitenable4-4insulate0相关资料
5.1其它相关资料
1介绍
1.1特性简介
在混合模式下,桥支持VLANID透传特性是指:
通过对加入桥组的设备出接口配置支持VLAXID透传,可以使报文从该接口送出时,不对报文的VLANID做任何修改。
使能桥出接口VLAXID透传,则报文从该接口发出时保留报文入桥时的VLAXID,如果没有VLAXID不增加VLAXID。
1.2特性关键技术点
配置了VLAX透传后,防火墙不会对报文的VLANtag进行任何的修改和去除等操作。
从而可以实现VLANtag的透明传输,保证不同VLAN之间的隔离、同一VLAN之间的互通。
2
特性使用指南
当系统中存在VLAX部署,不同的VLAX之间需要进行隔离,而且所有VLAX的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。
2.2配置指南
混合模式下桥接功能的配置步骤分为以下儿步:
使能桥组功能
使能一个桥组。
将接口加入到桥组中
使能桥组下接口的VLAN透传功能
2.2.1配置混合模式桥组
步骤
操作说明
操作命令
1
使能桥组功能
[H3C]bridgeenable
2
使能一个桥组
[H3C]bridgebridge-setenable
步骤
操作说明
操作命令
3
进入接口视图
[H3C]interfacetypenumber
4
将接口加入到桥组中
[H3C-GigabitEthernet0/0]bridge-setbridge-set
5
在接口下配置VLAN透传
[H3C-GigabitEthernetO/O]bridgevlanid^transparent-transmitenable
2.3注意事项
当配置VLAX透传功能时,需要注意以下事项:
子接口不支持VLAN透传。
•F1OOA设备的四个LAX接口需要执行undoinsulate命令聚合成一个接口才能使用VLAX透传功能。
•VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,如果希望SecPath防火墙与交换机的管理VLAN互通,需要借助子接口来实现。
即将配置了与交换机管理VLAXID相同的子接口加入到桥组,并创建相应的桥组虚接口
(BVI接口),配置同一网段地址,则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。
3
配置举例
客户端PC,A、C属于VLAXlOO,客户端PC,B、D属于VLAN200,客户端PC,M属于VLAX99,用来模拟属于不同VLAN的用户。
在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带T鸥标记的报文能够透传。
交换机Switchl和Switch?
的管理VLAN为VLAN99。
要求VLAX100和VLAX200能够互相隔离,交换机可以通过管理VLAX99与防火墙互通。
3.1.2物理连接图
图1VLAX透传组网图
3.L3配置步骤
1.使用的版本
Comwaresoftware,Version3.40,ESS16222.支持产品
SecPathFIOOO-A/FIOOO-S/FIOO-E/FIOO-A3・配置防火«
当前视图
配置命令
简单说明
[H3C]
firewallpacket-filterdefaultpermit
防火墙包过滤默认改为允许
[H3C]
bridgeenable
使能桥组功能
[H3C]
bridge1enable
创建桥组1
[H3C]
bridge99enable
创建桥组99
[H3C]
interfaceBridge-1emplate99
创建桥组虚接口
BVI99
[H3C-Bridge-template99]
ipaddress99.1.1.2
255.255.255.0
配置管理地址
[H3C-Bridge-template99]
quit
退回系统视图
[H3C]
interfaceGigabitEthernet0/0
进入连接gO/0的接口视图
[H3C-GigabitEthernet0/0]
bridge-set1
将接口gO/0加入到桥组1
[H3C-GigabitEthernet0/0]
bridge
vlanid-transparent-transmit
enable
使能接口VLAN透
传
[H3C-GigabitEthernet0/0]
interfaceGigabitEthernet0/1
进入连接gO/l的接口视图
当前视图
配置命令
简单说明
[H3C-GigabitEthernetO/l]
bridge-set1
将接口gO/1加入到桥组1
[H3C-GigabitEthernetO/l]
bridge
vlanid-transparent-transmit
enable
使能接口VLAN透传
[H3C-GigabitEthernetO/l]
quit
退回系统视图
[H3C]
interfaceGigabitEthernet0/0.99
创建子接口gO/0.99
[H3C-GigabitEthernet0/0.99]
bridge-set99
将接口gO/0.99加入到桥组99
[H3C-GigabitEthernet0/0.99]
vlan-typedotlqvid99
设置接口封装类型并加入到VLAN99
[H3C-GigabitEthernet0/0.99]
quit
退回系统视图
[H3C]
interfaceGigabitEthernet0/1.99
创建子接口
gO/l.99
[H3C-GigabitEthernetO/l.99]
bridge-set99
将接口gO/l.99加入到桥组99
[H3C-GigabitEthernetO/l.99]
vlan-typedotlqvid99
设置接口封装类型并加入到VLAN99
[H3C-GigabitEthernetO/l.99]
quit
退回系统视图
[H3C]
firewallzonetrust
进入trust区域视图
[H3C-zone-trust]
addinterface
GigabitEthernetO/0
将接口g0,/0加入到trust区域
[H3C-zone-trust]
addinterface
GigabitEthernetO/0.99
将接口gO/0.99加入到trust区域
[H3C-zone-trust]
addinterface
Bridge-template99
将接口
Bridge-template99加入到trust区域
[H3C-zone-trust]
quit
退回系统视图
[H3C]
firewallzoneuntrust
进入untrust区域视图
[H3C-zone-untrust]
addinterface
GigabitEthernet0/1
将接口gO/1加入到untrust区域
[H3C-zone-untrust]
addinterface
GigabitEthernet0/1.99
将接口gO/1.99加入到untrust区域
[H3C-zone-untrust]
quit
退回系统视图
4.验证结果
(1)连通测试
同在VLAX100下的A和C能够透过防火墙连通,同样在VLAX200下的B和D也能透过防火墙连通。
不同VLAX之间不能互通。
(2)管理操作
通过客户端M可以ping通Switch]、Switch2的管理VLAN地址和SecPathFIOOO-A的BVI99接口地址,并且可以进行管理。
M无法与A、B、C、D互通。
图2APingC的抓包测试
从B向D进行ping包测试,
发现tag标记没有改变
图3BPingD的抓包测试
3.2SecPathF100-AVLAN透传组网
3.2.1组网需求
客户端PC,A、C属于VLAXlOO,客户端PC,B、D属于VLAN200,用来模拟属于不同VLAN的用户,在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。
3.2.2物理连接图
图4VLAX透传组网图
3.2.3配置步骤
1.使用的版本
Comwaresoftware,Version3.40,ESS16222.支持产品
SecPathFIOO-A
当前视图
配置命令
简单说明
[H3C]
firewallpacket-filterdefaultpermit
防火墙包过滤默认改为允许
[H3C]
undoinsulate
取消以太网接口隔离
[H3C]
bridgeenable
使能桥组功能
[H3C]
bridge1enable
创建桥组1
[H3C]
interfaceEthernet0/0
进入连接eO/O的接口视图
[H3C-Ethernet0/0]
bridge-set1
将接口eO/0加入到桥组1
[H3C-Ethernet0/0]
bridgevlanid-transparent-transmitenable
使能接口VLAX透传
[H3C-Ethernet0/0]
interfaceEthernet1/2
进入连接el/2的接口视图
[H3C-Ethernetl/2]
bridge-set1
将接口el/2加入到桥组1
[H3C-Ethernetl/2]
bridgevlanid-transparent-transmitenable
使能接口VLAX透传
[H3C-Ethernetl/2]
quit
退回系统视图
[H3C]
firewallzonetrust
进入trust区域视图
[H3C-zone-trust]
addinterfaceEthernetO/0
将接口eO/0加入到trust区域
[H3C-zone-trust]
quit
退回系统视图
[H3C]
firewallzoneuntrust
进入untrust区域视图
[H3C-zone-untrust]
addinterfaceEthernet1/2
将接口el/2加入到untrust区域
[H3C-zone-untrust]
quit
退回系统视图
连通测试
同在VLAX100下的A和C能够透过防火墙连通,同样在VLAX200下的B和D也能透过防火墙连通。
不同VLAX之间不能互通。
(2)在Switch2进行瑞口镜像,抓包测试
从A向C进行ping包测试,发现tag标记没有改变
图5SecPathF100-A上APingC的抓包测试
从B向D进行ping包测试,发现t豳标记没有改变
图6SecPathF100-A上BPingD的抓包测试
3.3
3.3.1故障排除命令
操作
命令
打开网桥的以太帧转发调试信息开关
debuggingbridgeeth-forwarding[interfaceinterface-typeinterface-number]
关闭网桥的以太帧转发调试信息开关
undodebuggingbridgeeth-forwarding[interfaceinterface-typeinterface^^number]
打开网桥的IP转发调试开关
debuggingbridgeip-forwarding
关闭网桥的IP转发调试开关
undodebuggingbridgeip-forwarding
显示网桥模块中所有或指定的桥组的信息
displaybridgeinformation[bridge-setbridge-set]
显示MAC地址转发表的信息
displaybridgeaddress-table
[bridge-setbridge-setinterfaceinterface-type
interface-numbermac
mac-address][staticdynamic]
显示桥组中接口的流量统计数据
displaybridgetraffic[bridge-setbridge-set/interfaceinterface-typeinterface-number]
显示接口上的以太帧过滤统计信息
displayfirewallethernet-frame-fiIter{allinterfaceinterface-typeinterface-number}
清除MAC地址转发表
resetbridgeaddress-table[bridge-setbridge-set1interfaceinterface-typeinterface-number]
清除桥组中接口的流量统计数据
resetbridgetraffic[bridge-setbridge-set/interfaceinterface-typeinterface-number]
清除ACL规则过滤悄况的统计信息
resetfirewallethernet-frame^fliter{allIinterfaceinterface-typeinterface-number}
3.3.2故障现象举例
在混合模式下使能VLAX透传的功能步骤比较少,如果VLAN透传不成功,可以从下面儿个方面来考虑:
防火墙默认包过滤规则为deny没有使能桥组功能
•没有在相应接口使能VLAN透传,例如,仅使能了一个方向的VLAN透传,
而另一个方向没有使能
没有将接口加入安全域
4关键命令
配置本特性的关键命令有:
bridgeenablebridgebridge-setenablebridgevlanid-transparent-transmitenable
另外,FIOO-A设备如果在LAN口上使能VLAN透传,还需要配置insulate命令。
4.1bridgeenable
【命令】
bridgeenable
undobridgeenable
【视图】
系统视图
【参数】
【描述】
bridgeenable命令用来使能网桥功能,undobridgeenable命令用来禁止网桥功能。
当存在已使能的桥组时,不能使用undobridgeenable命令来禁用网桥功能,需要先通过undobridgebridge-setenable命令删除桥组。
缺省情况下,系统禁止网桥功能。
只有使能网桥功能,网桥的配置才能生效。
【举例】
#使能网桥功能。
[H3C]bridgeenable
4.2bridgebridge-setenable
【命令】
bridgebridge-setenable
undobridgebridge-setenable
【视图】
系统视图
【参数】
bridge-set:
网桥组编号,取值范围为1〜255。
【描述】
bridgebridge-setenable命令用来使能桥组的桥接功能,undobridgebridge-setenable命令用来禁止桥组的桥接功能。
缺省悄况下,禁止桥组的桥接功能。
只有使能桥组的桥接功能,桥组的配置才能生效。
【举例】
#使能桥组1的桥接功能。
[H3C]bridge1enable
4・3bridgevlanid-transparent-transmitenable
【命令】
bridgevlanid-transparent^transmitenable
undobridgevlanid-transparent-transmitenable
【视图】
接口视图
【参数】
【描述】
bridgevlanid-transparent-transmitenable命令用来使能VLAXID透传功能。
undobridgevlanid-transparent-transmitenable命令用来关闭VLAXID透传功能。
VLANID透传是指通过对加入桥组设备的出接口配置支持VLANID透传,使接口直接转发报文,不对该报文中的VLAXID做任何处理。
通过VLAXID透传,可以使加入桥组的非以太出接口也能转发带有VLANID的报文,而不会因此丢失VLAXID,并且即使加入桥组设备的出接口上有VLANID的悄况下,也不会改变报文原有的VLAXID,从而实现不同VLAN的隔离。
当以太网子接口配置VLAXID后,该子接口只会接收这个VLAX的数据,这就决定了该桥组负责传输哪些VLAX的数据。
在使能了VLAXID透传功能以后,系统不对报文的VLANID做任何处理,两端相连的交换机可以看成是直接相连的。
为了正常通信,用户需要给两端交换机的trunk口配置相同的VLANID。
缺省情况下,关闭VLAXID透传功能。
【举例】
#在GigabitEthernetO/0口上使能VLAXID透传功能。
[H3C]interfaceGigabitEthernetO/0
[H3C-GigabitEthernet0/0]bridgevlanid-transparent-transmitenable
4.4insulate
【命令】
insulate
undoinsulate
【视图】
系统视图
【参数】
【描述】
insulate命令用来配置LAX以太网接口之间进行隔离,undoinsulate命令用来配置LAX以太网接口之间不进行隔离。
当LAX以太网接口处于隔离模式时,各个LAN以太网接口工作在第三层,作为可路山接口使用,即可以为其配置各种第三层属性,如IP地址等。
当LAX以太网接口处于非隔离模式时,各个LAN以太网接口工作在Hub方式,即工作在物理层,不能为其配置如IP地址等第三层属性。
当LAX以太网接口工作在非隔离模式下时,可以通过配置一个管理IP地址以对其进行管理或使其提供网络服务(例如Telnet、SNMP、NAT等)。
山于接口性质的因素,只能在第一个LAN口(即编号最小的)上配置子接口。
在隔离模式下扩展出来的另外三个LAX口都不能配置子接口,且第一个LAX口上配置的子接口只能在非隔离模式下工作。
仅SecPathF100-A防火墙、SecPathV100-S安全网关支持此命令。
缺省情况下,LAN以太网接口之间相互隔离。
【举例】
#将各个LAX以太网接口进行隔离。
[H3C]insulate
#当接口之间被隔离后,所有LAX以太网接口(EthernetO/0、EthernetO/l>Ethernet0/2.EthernetO/3)都可见,并可以为其进行单独配置如IP地址等第三层属性。
displayipinterfacebrief
*down:
administrativelydown
(S):
spoofing
#配置不将LAX以太网接口之间进行隔离。
[H3C]undoinsulate#当接口之间未被隔离时,可以看到只有一个管理接口EthernetO/O可见,其它所有LAX以太网接口都将不可见。
可以在管理接口上配置IP地址作为管理IP地址。
displayipinterfacebrief*down:
administrativelydown(s):
spoofing
Interface
Protocol
Description
AuxO
up(s)
Encrypt2/0
down
EthernetO/O
down
Ethernetl/0down
Ethernet1/1
down
Ethernetl/2down
IPAddress
unassigned
AuxOInte…
unassigned
Encrypt?
/.-.
unassigned
EthernetO...
Ethernet1...
Ethernet1...
Ethernet1...
Physical
down
up
dow
unassigned
unassigned
unassigned
down
down
down
将交换机互联端口设置为trunk口,并配置透传。
端口视图下配置:
portlink-typetrunk
trunkallow-passvlanXX
如果要是A和BZ间的同Vian想通
除了端口类型设置为trunk还要保证trunk允许这些Vian通过(华为的trunk口设置后默认只允许vlan1)
互联口配置命令可以参考如下:
interfaceEthernetO/0/1portlink-typetrunkporttrunkallow-passvlan1020304050
楼上正解,补充一下,vlamo端口设1[portlink-typeaccess
portdefultvlan10
2个交换机起好三层的SVI自动就通了
SW1intfacevlanit10ipadd192J68.100J24interfacevlanif20ipadd192.168.200.124
SW2interfacevlanif10ipadd192.168.100.224interfacevlanit20ipadd192J68.200.224int
升级会员 