Super-VLAN:
实现二层隔离,三层互通;
所有的sub-VLAN的三层通信都需要通过super-vlan这个网关来实现;
大型网络中,节省了IP资源。只需配置Super-vlan地址即可实现VLAN间通信;
一个Super VLAN下面的所有Sub VLAN共同使用Super VLAN这一个路由接口,这样可以解决IP地址使用效率的问题。Sub VLAN的类型包括MUX VLAN、Smart VLAN或者Standard VLAN,但前提是该VLAN必须已经创建,
而且不能是工作在QinQ或者Stacking模式下的VLAN。Super VLAN主要是为了节省IP地址资源而提出的。
QinQ VLAN特性主要是为了满足一些企业网用户希望企业网内部的私网VLAN业务不经过三层转发直接二层透传到远端的内部VLAN,主要作为专线应用。
QinQ VLAN是通过提供一种简单的二层隧道确保该企业内部VLAN Tag能够正确的到达远端网络。其实现原理为:
DSLAM设备接收到底层带私网VLAN Tag的报文后,在该报文上统一分配公网 VLAN Tag,并传入上层网络。报文在城域骨干网络根据公网VLAN Tag传送,报文到达骨干网另一侧DSLAM设备后,剥离公网VLAN Tag,还原用户报文,再传送给用户侧设备。因此,在骨干网中传递的报文具有两层802.1q Tag,一个是公网VLAN Tag,一个是私网VLAN Tag。报文在骨干网中根据公网VLAN Tag传输,大大节省了公网VLAN ID资源。
QinQ VLAN是VLAN的一种属性,只需要在创建VLAN后指明其属性为QinQ 即可。
Mux-VLAN:
实现VLAN间以及VLAN内部的用户、流量的隔离与控制
划分主VLAN,从VLAN,从VLAN包含互通型从VLAN和隔离型从VLAN
主VLAN可以与Mux VLAN中的任何端口通信
互通型从VLAN内的接口可以互相通信,互通型从VLAN组之间不能相互通信;
隔离型从VLAN内的接口都不能互通,也不能与除主VLAN以外的其他VLAN及接口通信
端口隔离:
端口隔离,可以限制交换机连接的客户端之间的通信,保证局域网的安全
只有同时开启了端口隔离并且在一个隔离组中的两个端口才不能通信
端口隔离组内的用户,可以与非隔离组内的用户通信,并且能够与其他隔离组中的用户通信
二层隔离:实现端口的二层隔离三层互通
三层隔离:实现端口的二层、三层都隔离;
Super-vlan
创建Super VLAN 10,VLAN 接口的IP 地址为10.0.0.1/24。
创建Sub VLAN:VLAN 2、VLAN 3、VLAN 5。
交换机端口GigabitEthernet1/0/1 和端口GigabitEthernet1/0/2 属于VLAN 2 , 端口GigabitEthernet1/0/3 和端口GigabitEthernet1/0/4 属于VLAN 3,端口GigabitEthernet1/0/5和端口GigabitEthernet1/0/6 属于VLAN 5。
各Sub VLAN 的用户之间能够满足二层隔离和三层互通。
具体的配置步骤如下:
(1)创建三个Sub VLAN,并把对应的端口添加到所属的Sub VLAN 中(注意,交换机上各端口默认都是Access 类型端口)。
system-view
[Sysname] vlan 2
[Sysname-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2
[Sysname-vlan2] quit
[Sysname] vlan 3
[Sysname-vlan3] port gigabitethernet 1/0/3 gigabitethernet 1/0/4
[Sysname-vlan3] quit
[Sysname] vlan 5
[Sysname-vlan5] port gigabitethernet 1/0/5 gigabitethernet 1/0/6
[Sysname-vlan5] quit
(2)创建Super VLAN 10(但不要添加任何物理端口),并为它对应的VLAN 接口配置IP 地址10.0.0.1/24,同时开启本地ARP 代理功能以实现各Sub VLAN 间的三层通信。
[Sysname] vlan 10
[Sysname-vlan10] interface vlan-interface 10
[Sysname-Vlan-interface10] ip address 10.0.0.1 255.255.255.0
[Sysname-Vlan-interface10] local-proxy-arp enable
[Sysname-Vlan-interface10] quit
如果要设置与路由器相关的接口为Trunk 类型端口,则必须在创建了Super VLAN 后才可以进行,而不能先把某端口转换成Trunk 类型再创建Super VLAN。因为先转换成Trunk 类型端口再创建Super VLAN 时,Trunk 端口就会自动加入到Super VLAN,而Super VLAN 是强制不能有任何物理端口加入的。
基于Super VLAN接口的ACL和QOS配置不对Sub VLAN生效.每一个Super VLAN可以和127个Sub VLAN建立映射关系。系统最多允许建立1024个Sub VLAN。
(3)建立Super VLAN 10 与Sub VLAN 2、Sub VLAN 3 和Sub VLAN 5 之间的映射关系。
[Sysname] vlan 10
[Sysname-vlan10] supervlan
[Sysname-vlan10] subvlan 2 3 5
[Sysname-vlan10] quit
[Sysname] quit
(4)通过display supervlan 命令查看Super VLAN 配置信息,验证配置是否生效。从输出信息中可以看出,Super VLAN 10 所对应的Sub VLAN 有三个,即VLAN 2、VLAN 3 和VLAN 5。从中也可以看出各Sub VLAN 中的端口成员及其他信息。而且可以发现,各Sub VLAN 都已配置了路由接口,且都为Super VLAN 10 所对应的VLAN 接口IP 地址10.0.0.1/24。注意输出信息中的粗体字部分。
display supervlan
SuperVLAN ID : 10
SubVLAN ID : 2-3 5
VLAN ID: 10
VLAN Type: static
It is a Super VLAN.
Route Interface: configured
Ip Address: 10.0.0.1
Subnet Mask: 255.255.255.0
Description: VLAN 0010
Name:VLAN 0010
Tagged Ports: none
Untagged Ports: none
VLAN ID: 2
VLAN Type: static
It is a Sub VLAN.
Route Interface: configured
Ip Address: 10.0.0.1
Subnet Mask: 255.255.255.0
Description: VLAN 0002
Name:VLAN 0002
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
VLAN ID: 3
VLAN Type: static
It is a Sub VLAN.
Route Interface: configured
Ip Address: 10.0.0.1
Subnet Mask: 255.255.255.0
Description: VLAN 0003
Name:VLAN 0003
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/3 GigabitEthernet1/0/4
VLAN ID: 5
VLAN Type: static
It is a Sub VLAN.
Route Interface: configured
Ip Address: 10.0.0.1
Subnet Mask: 255.255.255.0
Description: VLAN 0005
Name:VLAN 0005
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/5 GigabitEthernet1/0/6
qinq(dot1q in dot1q)是一种二层环境中的二层vpn技术,用于二层ISP网络将相同客户网络中的vlan帧,再打一层vlan-tag的手段实现同一个客户的不同站点之间的数据通信。
qinq的配置类型分为端口qinq和灵活qinq,端口qinq是在isp设备入端口收到多有帧都打上同一个外层tag发送到对端,而灵活qinq是在isp设备入端口根据收到的不同客户vlan帧打上不同的外层vlan-tag发送到对端的模式,下面实例:
site1和site2分别为同一个客户的两个站点,分别规划了vlan2和vlan3,中间sw1和sw2模拟了ISP的网络,整个网络使用二层通信。现在因为site1和site2中使用的vlan2和vlan3在isp内部并没有,正常情况下需要isp在网络内部也创建vlan2和vlan3,但是由于isp的客户数量众多不可能创建那么多喝客户网络一样的vlan,所以使用qinq技术在同一个客户的数据帧上再打一层isp内部的vlan-tag(isp使用vlan10来封装客户多个site的帧),使用外层的vlan-tag在isp内部寻址,而到达客户对端站点的时候设备剥离isp的外层vlan-tag,还原成客户站点本来的vlan-tag从而使得同一个客户的多个站点之间可以相互通信。
pc1-pc4的ip地址分别为192.168.1.10-192.168.1.40
一、根据拓扑使用端口qinq配置,使得site1与site2的相同vlan通信,即pc1与pc3通信,pc2与pc4通信
sw1与sw2的配置(相同)
vlan 10
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type dot1q-tunnel 启用端口qinq模式,qinq通道
port default vlan 10 isp设备接口收到的帧全部在外侧打上vlan10的tag
sw3与sw4的配置(相同)模拟同一个客户的2个site
vlan batch 2 to 3
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
测试,pc1与pc通信结果
PC1>ping 192.168.1.30
Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
From 192.168.1.30: bytes=32 seq=1 ttl=128 time=94 ms
From 192.168.1.30: bytes=32 seq=2 ttl=128 time=94 ms
二、根据拓扑使用灵活qinq配置,使得site1与site2的相同vlan通信,即pc1与pc3通信,pc2与pc4通信
灵活的qinq可以根据需求将客户网络的多个vlan集合分别对应isp内的多个vlan集合,如上述拓扑中客户site中的vlan2、vlan3在进入isp网络的时候分别在外层打上vlan10、vlan20的外层tag传递到对端的site中,配置如下:
sw3与sw4的配置(相同)
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
qinq vlan-translation enable 在isp入接口开启qinq的vlan映射功能
port hybrid untagged vlan 10 20 允许vlan10、20通过该接口(出时剥离vlan10、20的标签)
port vlan-stacking vlan 2 stack-vlan 10 中客户网络中的vlan2的外层打上isp网络的vlan10的tag
port vlan-stacking vlan 3 stack-vlan 20 中客户网络中的vlan3的外层打上isp网络的vlan20的tag
sw3与sw4的配置(相同)模拟同一个客户的2个site
vlan batch 2 to 3
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
测试pc1与pc3、pc2与pc4的连通性
PC2>ping 192.168.1.40
Ping 192.168.1.40: 32 data bytes, Press Ctrl_C to break
From 192.168.1.40: bytes=32 seq=1 ttl=128 time=109 ms
From 192.168.1.40: bytes=32 seq=2 ttl=128 time=94 ms
MUX VLAN应用场景
在企业网中实现客户与客户之间不可互相访问,客户与员工之间不可互相访问,员工与员工之间可以互相访问,员工与客户都可以访问服务器。
MUX VLAN是一种二层流量隔离机制
MUX VLAN 分为
Principal VLAN (主VLAN)和 Subordinate VLAN(从VLAN),从VLAN分为Group VLAN(互通从VLAN) 和 Separate VLAN(隔离型从VLAN)
通信权限
一丶主VLAN端口可以和所有VLAN通信
二丶互通型从VLAN可以和自己vlan间成员通信和主vlan通信
三、隔离型从VLAN只能和主VLAN通信,自己VLAN的成员也不可通信
配置注意事项
所有主机必须在同一子网
端口必须为access模式加入vlan
配置MUX VLAN不能用于VLANIF接口、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置
配置步骤
IP规划
服务器:192.168.1.10/24
C2 :192.168.1.20/24
C3 :192.168.1.30/24
C4 :192.168.1.40/24
C5 :192.168.1.50/24
SW1配置
system-view
[sw1]vlan batch 10 20 30 //创建VLAN 10 20 30
[sw1]vlan 10 //进入VLAN 管理视图
[sw1-vlan10]mux-vlan //配置VLAN10为Principal VLAN
[sw1-vlan10]subordinate group 20 //配置VLAN20为互通型从VLAN
[sw1-vlan10]subordinate separate 30 //配置VLAN30为隔离型从VLAN
[sw1-vlan10]quit
[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access //配置接口模式为access
[sw1-GigabitEthernet0/0/1]port default vlan 10 //将接口加入VLAN10
[sw1-GigabitEthernet0/0/1]port mux-vlan enable //开启接口的mux-vlan功能
[sw1-GigabitEthernet0/0/1]interface g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 20
[sw1-GigabitEthernet0/0/2]port mux-vlan enable
[sw1-GigabitEthernet0/0/2]int g0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 20
[sw1-GigabitEthernet0/0/3]port mux-vlan enable
[sw1-GigabitEthernet0/0/3]int g0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 30
[sw1-GigabitEthernet0/0/4]port mux-vlan enable
[sw1-GigabitEthernet0/0/4]int g0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 30
[sw1-GigabitEthernet0/0/5]port mux-vlan enable
使用display mux-vlan 查看mux-vlan的信息
[sw1]display mux-vlan
Principal Subordinate Type Interface
10 - principal GigabitEthernet0/0/1
10 30 separate GigabitEthernet0/0/4 GigabitEthernet0/0/5
10 20 group GigabitEthernet0/0/2 GigabitEthernet0/0/3
端口隔离
配置思路
采用如下的思路配置端口隔离:采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离
配置接口加入VLAN。
配置接口加入到隔离组中,实现隔离组内接口之间二层数据的隔离。同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。如果不指定group-id参数时,默认加入的端口隔离组为1。
操作步骤
配置端口隔离功能
配置GE0/0/1的端口隔离功能。
system-view
[HUAWEI] sysname Switch
[Switch] vlan 10
[Switch-vlan10] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] port-isolate enable group 3
[Switch-GigabitEthernet0/0/1] quit
配置GE0/0/2的端口隔离功能。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] port-isolate enable group 3
[Switch-GigabitEthernet0/0/2] quit
配置GE0/0/3加入VLAN10。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit
验证配置结果
PC1和PC2数据报文不能互通。
PC1和PC3数据报文可以互通。
PC2和PC3数据报文可以互通
当您为了减少维护量和降低操作的复杂度,可以在系统视图下执行clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。
当您希望某个VLAN的端口隔离不生效,VLAN内的用户依旧可以互相访问,可以在系统视图下执行port-isolate exclude vlan命令配置端口隔离功能生效时排除VLAN。
端口保护功能在不改变组网的情况下,将设备上的两个接口组成一个端口保护组,实现主备接口的备份。当主用接口出现异常时,业务及时切换到备用接口上,以保证业务的无中断传输。
操作步骤
执行命令system-view,进入系统视图。
执行命令port protect-group protect-group-index,创建并进入端口保护组视图。
执行命令protect-group member interface-type interface-number master,配置端口保护组中的主用接口。
执行命令protect-group member interface-type interface-number standby,配置端口保护组中的备用接口。
一个端口保护组只能包含一个主用接口和一个备用接口。
为提高端口保护组中接口的业务切换性能,确保主用接口链路发生故障时,系统可立即切换业务到备用接口,用户需要在主用接口和备用接口均执行命令carrier { up-hold-time | down-hold-time } interval,配置接口上报状态变化事件的延时时间均为0毫秒。