VLAN透?jìng)髋渲门e例

1、目  錄1 介紹. 11.1 特性簡(jiǎn)介. 11.2 特性關(guān)鍵技術(shù)點(diǎn). 12 特性使用指南. 12.1 使用場(chǎng)合. 12.2 配置指南. 12.2.1 配置混合模式橋組. 12.3 注意事項(xiàng). 23 配置舉例. 23.1 VLAN透?jìng)鞯湫蛻?yīng)用組網(wǎng). 23.1.1 組網(wǎng)需求. 23.1.2 物理連接圖. 33.1.3 配置步驟. 33.2 SecPath F100-A VLAN透?jìng)鹘M網(wǎng). 63.2.1 組網(wǎng)需求. 63.2.2 物理連接圖. 63.2.3 配置步驟. 73.3 故障排除. 93.3.1 故障排除命令. 93.3.2 故障現(xiàn)象舉例. 94 關(guān)鍵命令. 94.1 bridge

2、 enable. 104.2 bridge bridge-set enable. 114.3 bridge vlanid-transparent-transmit enable. 114.4 insulate. 125 相關(guān)資料. 145.1 其它相關(guān)資料. 14 1  介紹1.1  特性簡(jiǎn)介在混合模式下，橋支持VLAN ID透?jìng)魈匦允侵福和ㄟ^(guò)對(duì)加入橋組的設(shè)備出接口配置支持VLAN ID透?jìng)鳎梢允箞?bào)文從該接口送出時(shí)，不對(duì)報(bào)文的VLAN ID做任何修改。使能橋出接口VLAN ID透?jìng)?，則報(bào)文從該接口發(fā)出時(shí)保留報(bào)文入橋時(shí)的VLAN ID，如果沒(méi)有VLAN ID不增加

3、VLAN ID。1.2  特性關(guān)鍵技術(shù)點(diǎn)配置了VLAN透?jìng)骱螅阑饓Σ粫?huì)對(duì)報(bào)文的VLAN tag進(jìn)行任何的修改和去除等操作。從而可以實(shí)現(xiàn)VLAN tag的透明傳輸，保證不同VLAN之間的隔離、同一VLAN之間的互通。2  特性使用指南2.1  使用場(chǎng)合當(dāng)系統(tǒng)中存在VLAN部署，不同的VLAN之間需要進(jìn)行隔離，而且所有VLAN的防火墻策略（比如配置在接口上的防火墻包過(guò)濾）是一樣的。2.2  配置指南混合模式下橋接功能的配置步驟分為以下幾步：l         

4、0;    使能橋組功能l              使能一個(gè)橋組。l              將接口加入到橋組中l(wèi)              使能橋組下接口的VLAN透?jìng)鞴δ?

5、.2.1  配置混合模式橋組步驟操作說(shuō)明操作命令1使能橋組功能H3C bridge enable2使能一個(gè)橋組H3C bridge bridge-set enable 3進(jìn)入接口視圖H3C interface type number4將接口加入到橋組中H3C-GigabitEthernet0/0 bridge-set bridge-set 5在接口下配置VLAN透?jìng)鱄3C-GigabitEthernet0/0 bridge vlanid-transparent-transmit enable 2.3  注意事項(xiàng)當(dāng)配置VLAN透?jìng)鞴δ軙r(shí)，需要注意以下事項(xiàng)：l

6、0;             子接口不支持VLAN透?jìng)?。l              F100A設(shè)備的四個(gè)LAN接口需要執(zhí)行undo insulate命令聚合成一個(gè)接口才能使用VLAN透?jìng)鞴δ?。l             

7、; VLAN透?jìng)髋c交換機(jī)的Trunk功能并不相同，當(dāng)與交換機(jī)互通時(shí)，如果希望SecPath防火墻與交換機(jī)的管理VLAN 互通，需要借助子接口來(lái)實(shí)現(xiàn)。即將配置了與交換機(jī)管理VLAN ID相同的子接口加入到橋組，并創(chuàng)建相應(yīng)的橋組虛接口（BVI接口），配置同一網(wǎng)段地址，則防火墻的橋組虛接口就可以與交換機(jī)管理VLAN接口互通。3  配置舉例3.1  VLAN透?jìng)鞯湫蛻?yīng)用組網(wǎng)3.1.1  組網(wǎng)需求客戶端PC，A、C屬于VLAN100，客戶端PC，B、D屬于VLAN200，客戶端PC，M屬于VLAN99，用來(lái)模擬屬于不同VLAN的用戶。在交換機(jī)1和交換機(jī)2與防火墻相連接口上都

8、要配置成Trunk模式，保證帶Tag標(biāo)記的報(bào)文能夠透?jìng)?。交換機(jī)Switch1和Switch2的管理VLAN為VLAN99。要求VLAN100和VLAN200能夠互相隔離，交換機(jī)可以通過(guò)管理VLAN99與防火墻互通。3.1.2  物理連接圖圖1 VLAN透?jìng)鹘M網(wǎng)圖3.1.3  配置步驟1. 使用的版本Comware software, Version 3.40, ESS 16222. 支持產(chǎn)品SecPath F1000-A/F1000-S/F100-E/F100-A3. 配置防火墻當(dāng)前視圖配置命令簡(jiǎn)單說(shuō)明H3Cfirewall packet-filter default pe

9、rmit防火墻包過(guò)濾默認(rèn)改為允許H3Cbridge enable使能橋組功能H3Cbridge 1 enable創(chuàng)建橋組1H3Cbridge 99 enable創(chuàng)建橋組99H3Cinterface Bridge-template 99創(chuàng)建橋組虛接口BVI99H3C-Bridge-template99  ip address 99.1.1.2 255.255.255.0配置管理地址H3C-Bridge-template99quit退回系統(tǒng)視圖H3Cinterface GigabitEthernet 0/0進(jìn)入連接g0/0的接口視圖H3C-GigabitEthernet0/0bridge

10、-set 1將接口g0/0加入到橋組1H3C-GigabitEthernet0/0bridge vlanid-transparent-transmit enable使能接口VLAN透?jìng)鱄3C-GigabitEthernet0/0interface GigabitEthernet 0/1進(jìn)入連接g0/1的接口視圖H3C-GigabitEthernet0/1bridge-set 1將接口g0/1加入到橋組1H3C-GigabitEthernet0/1bridge vlanid-transparent-transmit enable使能接口VLAN透?jìng)鱄3C-GigabitEthernet0/1qu

11、it退回系統(tǒng)視圖H3Cinterface GigabitEthernet 0/0.99創(chuàng)建子接口g0/0.99H3C-GigabitEthernet0/0.99bridge-set 99將接口g0/0.99加入到橋組99H3C-GigabitEthernet0/0.99vlan-type dot1q vid 99設(shè)置接口封裝類型并加入到VLAN99H3C-GigabitEthernet0/0.99quit退回系統(tǒng)視圖H3Cinterface GigabitEthernet 0/1.99創(chuàng)建子接口g0/1.99H3C-GigabitEthernet0/1.99bridge-set 99將接口g0

12、/1.99加入到橋組99H3C-GigabitEthernet0/1.99vlan-type dot1q vid 99設(shè)置接口封裝類型并加入到VLAN99H3C-GigabitEthernet0/1.99quit退回系統(tǒng)視圖H3Cfirewall zone trust進(jìn)入trust區(qū)域視圖H3C-zone-trustadd interface GigabitEthernet0/0將接口g0/0加入到trust區(qū)域H3C-zone-trustadd interface GigabitEthernet0/0.99將接口g0/0.99加入到trust區(qū)域H3C-zone-trustadd inter

13、face Bridge-template 99將接口Bridge-template 99加入到trust區(qū)域H3C-zone-trustquit退回系統(tǒng)視圖H3Cfirewall zone untrust進(jìn)入untrust區(qū)域視圖H3C-zone-untrustadd interface GigabitEthernet 0/1將接口g0/1加入到untrust區(qū)域H3C-zone-untrustadd interface GigabitEthernet 0/1.99將接口g0/1.99加入到untrust區(qū)域H3C-zone-untrustquit退回系統(tǒng)視圖 4. 驗(yàn)證結(jié)果(1)&

14、#160;       連通測(cè)試同在VLAN100下的A和C能夠透過(guò)防火墻連通，同樣在VLAN200下的B和D也能透過(guò)防火墻連通。不同VLAN之間不能互通。(2)        管理操作通過(guò)客戶端M可以ping通Switch1、Switch2的管理VLAN地址和SecPath F1000-A的BVI99接口地址，并且可以進(jìn)行管理。M無(wú)法與A、B、C、D互通。(3)        在Switch2進(jìn)

15、行端口鏡像，抓包測(cè)試從A向C進(jìn)行ping包測(cè)試，發(fā)現(xiàn)tag標(biāo)記沒(méi)有改變圖2 A Ping C的抓包測(cè)試從B向D進(jìn)行ping包測(cè)試，發(fā)現(xiàn)tag標(biāo)記沒(méi)有改變圖3 B Ping D的抓包測(cè)試3.2  SecPath F100-A VLAN透?jìng)鹘M網(wǎng)3.2.1  組網(wǎng)需求客戶端PC，A、C屬于VLAN100，客戶端PC，B、D屬于VLAN200，用來(lái)模擬屬于不同VLAN的用戶，在交換機(jī)1和交換機(jī)2與防火墻相連接口上都要配置成Trunk模式，保證帶Tag標(biāo)記的報(bào)文能夠透?jìng)鳌?.2.2  物理連接圖圖4 VLAN透?jìng)鹘M網(wǎng)圖3.2.3  配置步驟1. 使用的版本Comw

16、are software, Version 3.40, ESS 16222. 支持產(chǎn)品SecPath F100-A3. 配置防火墻當(dāng)前視圖配置命令簡(jiǎn)單說(shuō)明H3Cfirewall packet-filter default permit防火墻包過(guò)濾默認(rèn)改為允許H3Cundo insulate取消以太網(wǎng)接口隔離H3Cbridge enable使能橋組功能H3Cbridge 1 enable創(chuàng)建橋組1H3Cinterface Ethernet 0/0進(jìn)入連接e0/0的接口視圖H3C-Ethernet0/0bridge-set 1將接口e0/0加入到橋組1H3C-Ethernet0/0bridge v

17、lanid-transparent-transmit enable使能接口VLAN透?jìng)鱄3C-Ethernet0/0interface Ethernet 1/2進(jìn)入連接e1/2的接口視圖H3C-Ethernet1/2bridge-set 1將接口e1/2加入到橋組1H3C-Ethernet1/2bridge vlanid-transparent-transmit enable使能接口VLAN透?jìng)鱄3C-Ethernet1/2quit退回系統(tǒng)視圖H3Cfirewall zone trust進(jìn)入trust區(qū)域視圖H3C-zone-trustadd interface Ethernet0/0將接口e

18、0/0加入到trust區(qū)域H3C-zone-trustquit退回系統(tǒng)視圖H3Cfirewall zone untrust進(jìn)入untrust區(qū)域視圖H3C-zone-untrustadd interface Ethernet 1/2將接口e1/2加入到untrust區(qū)域H3C-zone-untrustquit退回系統(tǒng)視圖 4. 驗(yàn)證結(jié)果(1)        連通測(cè)試同在VLAN100下的A和C能夠透過(guò)防火墻連通，同樣在VLAN200下的B和D也能透過(guò)防火墻連通。不同VLAN之間不能互通。(2)  

19、;      在Switch2進(jìn)行端口鏡像，抓包測(cè)試從A向C進(jìn)行ping包測(cè)試，發(fā)現(xiàn)tag標(biāo)記沒(méi)有改變圖5 SecPath F100-A 上 A Ping C 的抓包測(cè)試從B向D進(jìn)行ping包測(cè)試，發(fā)現(xiàn)tag標(biāo)記沒(méi)有改變圖6 SecPath F100-A上B Ping D 的抓包測(cè)試3.3  故障排除3.3.1  故障排除命令操作命令打開(kāi)網(wǎng)橋的以太幀轉(zhuǎn)發(fā)調(diào)試信息開(kāi)關(guān)debugging bridge eth-forwarding interface interface-type interface-number 關(guān)閉網(wǎng)橋的以太

20、幀轉(zhuǎn)發(fā)調(diào)試信息開(kāi)關(guān)undo debugging bridge eth-forwarding interface interface-type interface-number 打開(kāi)網(wǎng)橋的IP轉(zhuǎn)發(fā)調(diào)試開(kāi)關(guān)debugging bridge ip-forwarding關(guān)閉網(wǎng)橋的IP轉(zhuǎn)發(fā)調(diào)試開(kāi)關(guān)undo debugging bridge ip-forwarding顯示網(wǎng)橋模塊中所有或指定的橋組的信息display bridge information bridge-set bridge-set 顯示MAC地址轉(zhuǎn)發(fā)表的信息display bridge address-table bridge-set b

21、ridge-set | interface interface-type interface-number | mac mac-address static | dynamic 顯示橋組中接口的流量統(tǒng)計(jì)數(shù)據(jù)display bridge traffic bridge-set bridge-set | interface interface-type interface-number 顯示接口上的以太幀過(guò)濾統(tǒng)計(jì)信息display firewall ethernet-frame-filter all | interface interface-type interfacenumber 清除MAC地址

22、轉(zhuǎn)發(fā)表reset bridge address-table bridge-set bridge-set | interface interface-type interface-number 清除橋組中接口的流量統(tǒng)計(jì)數(shù)據(jù)reset bridge traffic bridge-set bridge-set | interface interface-type interface-number 清除ACL規(guī)則過(guò)濾情況的統(tǒng)計(jì)信息reset firewall ethernet-frame-filter all | interface interface-type interfacenumber

23、60;3.3.2  故障現(xiàn)象舉例在混合模式下使能VLAN透?jìng)鞯墓δ懿襟E比較少，如果VLAN透?jìng)鞑怀晒?，可以從下面幾個(gè)方面來(lái)考慮：l              防火墻默認(rèn)包過(guò)濾規(guī)則為denyl              沒(méi)有使能橋組功能l        

24、;      沒(méi)有在相應(yīng)接口使能VLAN透?jìng)?，例如，僅使能了一個(gè)方向的VLAN透?jìng)?，而另一個(gè)方向沒(méi)有使能l              沒(méi)有將接口加入安全域4  關(guān)鍵命令配置本特性的關(guān)鍵命令有：l              bridge enablel  

25、60;           bridge bridge-set enablel              bridge vlanid-transparent-transmit enable另外，F(xiàn)100-A設(shè)備如果在LAN口上使能VLAN透?jìng)?，還需要配置insulate命令。4.1  bridge enable【命令】bridge enableundo br

26、idge enable【視圖】系統(tǒng)視圖【參數(shù)】無(wú)【描述】bridge enable命令用來(lái)使能網(wǎng)橋功能，undo bridge enable命令用來(lái)禁止網(wǎng)橋功能。當(dāng)存在已使能的橋組時(shí)，不能使用undo bridge enable命令來(lái)禁用網(wǎng)橋功能，需要先通過(guò)undo bridge bridge-set enable命令刪除橋組。缺省情況下，系統(tǒng)禁止網(wǎng)橋功能。只有使能網(wǎng)橋功能，網(wǎng)橋的配置才能生效?！九e例】# 使能網(wǎng)橋功能。H3C bridge enable4.2  bridge bridge-set enable【命令】bridge bridge-set enableundo brid

27、ge bridge-set enable【視圖】系統(tǒng)視圖【參數(shù)】bridge-set：網(wǎng)橋組編號(hào)，取值范圍為1255。【描述】bridge bridge-set enable命令用來(lái)使能橋組的橋接功能，undo bridge bridge-set enable命令用來(lái)禁止橋組的橋接功能。缺省情況下，禁止橋組的橋接功能。只有使能橋組的橋接功能，橋組的配置才能生效。【舉例】# 使能橋組1的橋接功能。H3C bridge 1 enable4.3  bridge vlanid-transparent-transmit enable【命令】bridge vlanid-transparent-t

28、ransmit enableundo bridge vlanid-transparent-transmit enable【視圖】接口視圖【參數(shù)】無(wú)【描述】bridge vlanid-transparent-transmit enable命令用來(lái)使能VLAN ID透?jìng)鞴δ?。undo bridge vlanid-transparent-transmit enable命令用來(lái)關(guān)閉VLAN ID透?jìng)鞴δ?。VLAN ID透?jìng)魇侵竿ㄟ^(guò)對(duì)加入橋組設(shè)備的出接口配置支持VLAN ID透?jìng)鳎菇涌谥苯愚D(zhuǎn)發(fā)報(bào)文，不對(duì)該報(bào)文中的VLAN ID做任何處理。通過(guò)VLAN ID透?jìng)?，可以使加入橋組的非以太出接口也能轉(zhuǎn)發(fā)帶有

29、VLAN ID的報(bào)文，而不會(huì)因此丟失VLAN ID，并且即使加入橋組設(shè)備的出接口上有VLAN ID的情況下，也不會(huì)改變報(bào)文原有的VLAN ID，從而實(shí)現(xiàn)不同VLAN的隔離。當(dāng)以太網(wǎng)子接口配置VLAN ID后，該子接口只會(huì)接收這個(gè)VLAN的數(shù)據(jù)，這就決定了該橋組負(fù)責(zé)傳輸哪些VLAN的數(shù)據(jù)。在使能了VLAN ID透?jìng)鞴δ芤院螅到y(tǒng)不對(duì)報(bào)文的VLAN ID做任何處理，兩端相連的交換機(jī)可以看成是直接相連的。為了正常通信，用戶需要給兩端交換機(jī)的trunk口配置相同的VLAN ID。缺省情況下，關(guān)閉VLAN ID透?jìng)鞴δ?。【舉例】# 在GigabitEthernet0/0口上使能VLAN ID透?jìng)鞴δ?。H

30、3C interface GigabitEthernet0/0H3C-GigabitEthernet0/0 bridge vlanid-transparent-transmit enable4.4  insulate【命令】insulateundo insulate【視圖】系統(tǒng)視圖【參數(shù)】無(wú)【描述】insulate命令用來(lái)配置LAN以太網(wǎng)接口之間進(jìn)行隔離，undo insulate命令用來(lái)配置LAN以太網(wǎng)接口之間不進(jìn)行隔離。當(dāng)LAN以太網(wǎng)接口處于隔離模式時(shí)，各個(gè)LAN以太網(wǎng)接口工作在第三層，作為可路由接口使用，即可以為其配置各種第三層屬性，如IP地址等。當(dāng)LAN以太網(wǎng)接口處于非隔離模

31、式時(shí)，各個(gè)LAN以太網(wǎng)接口工作在Hub方式，即工作在物理層，不能為其配置如IP地址等第三層屬性。當(dāng)LAN以太網(wǎng)接口工作在非隔離模式下時(shí)，可以通過(guò)配置一個(gè)管理IP地址以對(duì)其進(jìn)行管理或使其提供網(wǎng)絡(luò)服務(wù)（例如Telnet、SNMP、NAT等）。由于接口性質(zhì)的因素，只能在第一個(gè)LAN口（即編號(hào)最小的）上配置子接口。在隔離模式下擴(kuò)展出來(lái)的另外三個(gè)LAN口都不能配置子接口，且第一個(gè)LAN口上配置的子接口只能在非隔離模式下工作。僅SecPath F100-A防火墻、SecPath V100-S安全網(wǎng)關(guān)支持此命令。缺省情況下，LAN以太網(wǎng)接口之間相互隔離?！九e例】# 將各個(gè)LAN以太網(wǎng)接口進(jìn)行隔離。H3C i

32、nsulate# 當(dāng)接口之間被隔離后，所有LAN以太網(wǎng)接口（Ethernet0/0、Ethernet0/1、Ethernet0/2、Ethernet0/3）都可見(jiàn)，并可以為其進(jìn)行單獨(dú)配置如IP地址等第三層屬性。<H3C> display ip interface brief*down: administratively down(s): spoofing Interface               IP Address 

33、     Physical Protocol     Description Aux0                    unassigned      down     up(s)   

34、0;    Aux0 Inte. Encrypt2/0              unassigned      down     down         Encrypt2/. Ethernet0/0    

35、         unassigned      up       down         Ethernet0. Ethernet0/1             unassigned &#

36、160;    up       down         Ethernet0. Ethernet0/2             unassigned      down     down  

37、;       Ethernet0. Ethernet0/3             unassigned      down     down         Ethernet0. Ethernet1/0  

38、           unassigned      down     down         Ethernet1. Ethernet1/1             unassigned 

39、     down     down         Ethernet1. Ethernet1/2             unassigned      down     down   &

40、#160;     Ethernet1.# 配置不將LAN以太網(wǎng)接口之間進(jìn)行隔離。H3C undo insulate# 當(dāng)接口之間未被隔離時(shí)，可以看到只有一個(gè)管理接口Ethernet0/0可見(jiàn)，其它所有LAN以太網(wǎng)接口都將不可見(jiàn)?？梢栽诠芾斫涌谏吓渲肐P地址作為管理IP地址。<H3C> display ip interface brief*down: administratively down(s): spoofing Interface        

41、       IP Address      Physical Protocol     Description Aux0                    unassigned      dow

42、n     up(s)        Aux0 Inte. Encrypt2/0              unassigned      down     down         Encrypt2/. Ethernet0/0             unassigned      up    &