VLAN透传配置举例讲解Word文档下载推荐.docx

1、 介绍1.1 特性简介在混合模式下，桥支持VLAN ID透传特性是指：通过对加入桥组的设备出接口配置支持VLAN ID透传，可以使报文从该接口送出时，不对报文的VLAN ID做任何修改。使能桥出接口VLAN ID透传，则报文从该接口发出时保留报文入桥时的VLAN ID，如果没有VLAN ID不增加VLAN ID。1.2 特性关键技术点配置了VLAN透传后，防火墙不会对报文的VLAN tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输，保证不同VLAN之间的隔离、同一VLAN之间的互通。2 特性使用指南2.1 使用场合当系统中存在VLAN部署，不同的VLAN之间需要进行隔离

2、，而且所有VLAN的防火墙策略（比如配置在接口上的防火墙包过滤）是一样的。2.2 配置指南混合模式下桥接功能的配置步骤分为以下几步： 使能桥组功能 使能一个桥组。 将接口加入到桥组中 使能桥组下接口的VLAN透传功能2.2.1 配置混合模式桥组步骤操作说明操作命令1使能桥组功能H3C bridge enable2使能一个桥组H3C bridge bridge-set enable 3进入接口视图H3C interface type number4将接口加入到桥组中H3C-GigabitEthernet0/0 bridge-set bridge-set 5在接口下配置VLAN透传H3C-Giga

3、bitEthernet0/0 bridge vlanid-transparent-transmit enable2.3 注意事项当配置VLAN透传功能时，需要注意以下事项： 子接口不支持VLAN透传。 F100A设备的四个LAN接口需要执行undo insulate命令聚合成一个接口才能使用VLAN透传功能。 VLAN透传与交换机的Trunk功能并不相同，当与交换机互通时，如果希望SecPath防火墙与交换机的管理VLAN 互通，需要借助子接口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚接口就可以与

4、交换机管理VLAN接口互通。3 配置举例3.1 VLAN透传典型应用组网3.1.1 组网需求客户端PC，A、C属于VLAN100，客户端PC，B、D属于VLAN200，客户端PC，M属于VLAN99，用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。交换机Switch1和Switch2的管理VLAN为VLAN99。要求VLAN100和VLAN200能够互相隔离，交换机可以通过管理VLAN99与防火墙互通。3.1.2 物理连接图图1 VLAN透传组网图3.1.3 配置步骤1. 使用的版本Comware software

5、, Version 3.40, ESS 16222. 支持产品SecPath F1000-A/F1000-S/F100-E/F100-A3. 配置防火墙当前视图配置命令简单说明H3Cfirewall packet-filter default permit防火墙包过滤默认改为允许bridge enablebridge 1 enable创建桥组1bridge 99 enable创建桥组99interface Bridge-template 99创建桥组虚接口BVI99H3C-Bridge-template99 ip address 99.1.1.2 255.255.255.0配置管理地址H3C-

6、Bridge-template99quit退回系统视图interface GigabitEthernet 0/0进入连接g0/0的接口视图H3C-GigabitEthernet0/0bridge-set 1将接口g0/0加入到桥组1bridge vlanid-transparent-transmit enable使能接口VLAN透传interface GigabitEthernet 0/1进入连接g0/1的接口视图H3C-GigabitEthernet0/1将接口g0/1加入到桥组1interface GigabitEthernet 0/0.99创建子接口g0/0.99H3C-GigabitE

7、thernet0/0.99bridge-set 99将接口g0/0.99加入到桥组99vlan-type dot1q vid 99设置接口封装类型并加入到VLAN99interface GigabitEthernet 0/1.99创建子接口g0/1.99H3C-GigabitEthernet0/1.99将接口g0/1.99加入到桥组99firewall zone trust进入trust区域视图H3C-zone-trustadd interface GigabitEthernet0/0将接口g0/0加入到trust区域add interface GigabitEthernet0/0.99将接口

8、g0/0.99加入到trust区域add interface Bridge-template 99将接口Bridge-template 99加入到trust区域firewall zone untrust进入untrust区域视图H3C-zone-untrustadd interface GigabitEthernet 0/1将接口g0/1加入到untrust区域add interface GigabitEthernet 0/1.99将接口g0/1.99加入到untrust区域4. 验证结果（1） 连通测试同在VLAN100下的A和C能够透过防火墙连通，同样在VLAN200下的B和D也能透过防火

9、墙连通。不同VLAN之间不能互通。（2） 管理操作通过客户端M可以ping通Switch1、Switch2的管理VLAN地址和SecPath F1000-A的BVI99接口地址，并且可以进行管理。M无法与A、B、C、D互通。（3） 在Switch2进行端口镜像，抓包测试从A向C进行ping包测试，发现tag标记没有改变图2 A Ping C的抓包测试从B向D进行ping包测试，发现tag标记没有改变图3 B Ping D的抓包测试3.2 SecPath F100-A VLAN透传组网3.2.1客户端PC，A、C属于VLAN100，客户端PC，B、D属于VLAN200，用来模拟属于不同VLAN的

10、用户，在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。3.2.2图4 VLAN透传组网图3.2.3SecPath F100-Aundo insulate取消以太网接口隔离interface Ethernet 0/0进入连接e0/0的接口视图H3C-Ethernet0/0将接口e0/0加入到桥组1interface Ethernet 1/2进入连接e1/2的接口视图H3C-Ethernet1/2将接口e1/2加入到桥组1add interface Ethernet0/0将接口e0/0加入到trust区域add interface Ethernet

11、1/2将接口e1/2加入到untrust区域图5 SecPath F100-A 上 A Ping C 的抓包测试图6 SecPath F100-A上B Ping D 的抓包测试3.3 故障排除3.3.1 故障排除命令操作命令打开网桥的以太帧转发调试信息开关debugging bridge eth-forwarding interface interface-type interface-number 关闭网桥的以太帧转发调试信息开关undo debugging bridge eth-forwarding interface interface-type interface-number 打开网

12、桥的IP转发调试开关debugging bridge ip-forwarding关闭网桥的IP转发调试开关undo debugging bridge ip-forwarding显示网桥模块中所有或指定的桥组的信息display bridge information bridge-set bridge-set 显示MAC地址转发表的信息display bridge address-table bridge-set bridge-set | interface interface-type interface-number | mac mac-address static | dynamic 显示

13、桥组中接口的流量统计数据display bridge traffic bridge-set bridge-set | interface interface-type interface-number 显示接口上的以太帧过滤统计信息display firewall ethernet-frame-filter all | interface interface-type interfacenumber 清除MAC地址转发表reset bridge address-table bridge-set bridge-set | interface interface-type interface-nu

14、mber 清除桥组中接口的流量统计数据reset bridge traffic bridge-set bridge-set | interface interface-type interface-number 清除ACL规则过滤情况的统计信息reset firewall ethernet-frame-filter all | interface interface-type interfacenumber 3.3.2 故障现象举例在混合模式下使能VLAN透传的功能步骤比较少，如果VLAN透传不成功，可以从下面几个方面来考虑： 防火墙默认包过滤规则为deny 没有使能桥组功能 没有在相应接口使

15、能VLAN透传，例如，仅使能了一个方向的VLAN透传，而另一个方向没有使能 没有将接口加入安全域4 关键命令配置本特性的关键命令有： bridge enable bridge bridge-set enable bridge vlanid-transparent-transmit enable另外，F100-A设备如果在LAN口上使能VLAN透传，还需要配置insulate命令。4.1【命令】undo bridge enable【视图】系统视图【参数】无【描述】bridge enable命令用来使能网桥功能，undo bridge enable命令用来禁止网桥功能。当存在已使能的桥组时，不能使

16、用undo bridge enable命令来禁用网桥功能，需要先通过undo bridge bridge-set enable命令删除桥组。缺省情况下，系统禁止网桥功能。只有使能网桥功能，网桥的配置才能生效。【举例】# 使能网桥功能。4.2bridge bridge-set enableundo bridge bridge-set enablebridge-set：网桥组编号，取值范围为1255。bridge bridge-set enable命令用来使能桥组的桥接功能，undo bridge bridge-set enable命令用来禁止桥组的桥接功能。缺省情况下，禁止桥组的桥接功能。只有使

17、能桥组的桥接功能，桥组的配置才能生效。# 使能桥组1的桥接功能。H3C bridge 1 enable4.3undo bridge vlanid-transparent-transmit enable接口视图bridge vlanid-transparent-transmit enable命令用来使能VLAN ID透传功能。undo bridge vlanid-transparent-transmit enable命令用来关闭VLAN ID透传功能。VLAN ID透传是指通过对加入桥组设备的出接口配置支持VLAN ID透传，使接口直接转发报文，不对该报文中的VLAN ID做任何处理。通过VLA

18、N ID透传，可以使加入桥组的非以太出接口也能转发带有VLAN ID的报文，而不会因此丢失VLAN ID，并且即使加入桥组设备的出接口上有VLAN ID的情况下，也不会改变报文原有的VLAN ID，从而实现不同VLAN的隔离。当以太网子接口配置VLAN ID后，该子接口只会接收这个VLAN的数据，这就决定了该桥组负责传输哪些VLAN的数据。在使能了VLAN ID透传功能以后，系统不对报文的VLAN ID做任何处理，两端相连的交换机可以看成是直接相连的。为了正常通信，用户需要给两端交换机的trunk口配置相同的VLAN ID。缺省情况下，关闭VLAN ID透传功能。# 在GigabitEther

19、net0/0口上使能VLAN ID透传功能。H3C interface GigabitEthernet0/04.4 insulateinsulateinsulate命令用来配置LAN以太网接口之间进行隔离，undo insulate命令用来配置LAN以太网接口之间不进行隔离。当LAN以太网接口处于隔离模式时，各个LAN以太网接口工作在第三层，作为可路由接口使用，即可以为其配置各种第三层属性，如IP地址等。当LAN以太网接口处于非隔离模式时，各个LAN以太网接口工作在Hub方式，即工作在物理层，不能为其配置如IP地址等第三层属性。当LAN以太网接口工作在非隔离模式下时，可以通过配置一个管理IP地

20、址以对其进行管理或使其提供网络服务（例如Telnet、SNMP、NAT等）。由于接口性质的因素，只能在第一个LAN口（即编号最小的）上配置子接口。在隔离模式下扩展出来的另外三个LAN口都不能配置子接口，且第一个LAN口上配置的子接口只能在非隔离模式下工作。仅SecPath F100-A防火墙、SecPath V100-S安全网关支持此命令。缺省情况下，LAN以太网接口之间相互隔离。# 将各个LAN以太网接口进行隔离。H3C insulate# 当接口之间被隔离后，所有LAN以太网接口（Ethernet0/0、Ethernet0/1、Ethernet0/2、Ethernet0/3）都可见，并可以

21、为其进行单独配置如IP地址等第三层属性。 display ip interface brief*down: administratively down（s）: spoofingInterface IP Address Physical Protocol DescriptionAux0unassigned down up（s） Aux0 Inte.Encrypt2/0 Encrypt2/.Ethernet0/0 unassigned up Ethernet0.Ethernet0/1Ethernet0/2Ethernet0/3Ethernet1/0 Ethernet1.Ethernet1/1Ethernet1/2# 配置不将