文章目录
简介:
数据在局域网内进行转发,是由交换机进行转发的
https://blog.csdn.net/csdn_immortal/article/details/104406008
交换机的工作原理:交换机时根据数据帧的源MAC来学习构建CAM表,根据目的MAC来查找CAM表项进行转发
交换机的作用:1、构建CAM表,维护CAM表;2、根据CAM表项来指导数据的转发
交换机的5种基本操作
1、学习MAC表项,根据源MAC进行学习
2、删除MAC表项;对过期的MAC表项进行删除,MAC地址的老化时间是300秒 Aging-time 时间
[Huawei]display mac-address aging-time
Aging time: 300 seconds
[Huawei]mac-address aging-time 180
Jun 8 2020 19:34:22-08:00 Huawei DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5
.25.191.3.1 configurations have been changed. The current change number is 4, th
e change loop count is 0, and the maximum number of records is 4095.
[Huawei]dis mac-address aging-time
Aging time: 180 seconds
3、泛洪(对BUM帧)
BUM:B 广播帧 U:未知单播帧 M:组播帧
单播帧:OUI的第一组的第八位为0
组播帧:OUI的第一组的第八位为1 01-80-c2 01-00-5e 33-33
广播:FF-FF-FF
4、转发,交换机收到数据帧后,根据目的MAC查找CAM表项,如果匹配,进行转发
5、过滤 通过VLAN进行过滤Trunk不允许
端口安全:Port-security
交换机收到一个帧不会再从该接进行转发
802.1X进行过虑
基于端口的VLAN是最常见的
VLAN间互访
三层互访
- 单臂路由
交换机是普通的二层交换机,没有路由功能 - VLANIF
交换机为三层交换机,华为叫VLANIF,思科叫SVI
– VLANIF接口无法up
VLAN接口下没有活动接口
Trunk没有允许该VLAN通过 - 将接口直接变为3层
[SW3-GigabitEthernet0/0/1]undo portswitch
undo shutdown
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname SW1
[SW1]vlan batch 10 100
[SW1]interface Vlanif 50
Error: The VLAN does not exist.
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.10.1 24
SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 100.1.1.1 24
[SW1-Vlanif100]display ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 2
The number of interface that is DOWN in Physical is 3
The number of interface that is UP in Protocol is 1
The number of interface that is DOWN in Protocol is 4
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif10 192.168.10.1/24 down down #vlanif接口没起来
Vlanif100 100.1.1.1/24 down down
[SW1-Vlanif100]
[SW1-Vlanif100]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 100
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port l a
[SW1-GigabitEthernet0/0/2]p d v 10
[SW1-GigabitEthernet0/0/2]
[SW1-GigabitEthernet0/0/2]dis ip in b #VLAN接口下没有活动接口
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 2
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned down down
Vlanif10 192.168.10.1/24 up up #vlanif接口起来了
Vlanif100 100.1.1.1/24 up up
# 其余一样配置
[SW1]ospf 10 router-id 1.1.1.1
[SW1-ospf-10]area 0
[SW1-ospf-10-area-0.0.0.0]
Jun 15 2020 13:23:10-08:00 SW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 15, the
change loop count is 0, and the maximum number of records is 4095.
[SW1-ospf-10-area-0.0.0.0]network 100.1.1.1 0.0.0.0
[SW1-ospf-10-area-0.0.0.0]network 192.168.10.1 0.0.0.0
Jun 15 2020 13:23:30-08:00 SW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 16, the
change loop count is 0, and the maximum number of records is 4095.
[SW1-ospf-10-area-0.0.0.0]
Jun 15 2020 13:23:40-08:00 SW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 17, the
change loop count is 0, and the maximum number of records is 4095.
#其余两台如下
[SW2]dis current-configuration
#
ospf 10 router-id 2.2.2.2
area 0.0.0.0
network 100.1.1.2 0.0.0.0
network 200.1.1.2 0.0.0.0
#
[SW3-ospf-10-area-0.0.0.0]dis th
#
area 0.0.0.0
network 200.1.1.1 0.0.0.0
network 192.168.20.1 0.0.0.0
#
return
VLAN相关技术原理及配置
Mux VLAN基本原理
MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制
比如在企业网络中,客户端口可以和服务器端口通讯,但客户端口之间不能互相通信。
MUX VLAN分别为主VLAN和从VLAN,从VLAN又分为互通型VLAN和隔离型从VLAN
主VLAN与从VLAN之间可以相互通信;互通型从VLAN内的端口之间可以互相通信,隔离型从VLAN内的端口之间不能互相邇信,不同从VLAN之间不能互相通信。
部门A的员工之间不能互访,而部门B的员工之间可以互访,但是部门A和部门B不能互访,而公司所有员工均可以访问公司的服务器。对于该应用,可以使MUX VLAN来实现
可以将部门A的员工入到隔离型从VLAN,而将部门B的员工加入互通型从VLAN,服务器加入主VLAN。
Mux-vlan配置
vlan 100
mux-vlan 开启Mux-vlan
subordinate separate 20 配置20为隔离型从VLAN
subordinate group 10 配置10为互通型从VLAN
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR24
[AR24]isis
[AR24-isis-1]is-level level-2
[AR24-isis-1]network-entity 47.0123.4444.4444.4444.00
[AR24-isis-1]int g0/0/0
[AR24-GigabitEthernet0/0/0]ip ad 10.1.1.24 24
[AR24-GigabitEthernet0/0/0]isis enable
[AR25]isis
[AR25-isis-1]is-level level-2
[AR25-isis-1]network-entity 47.0123.5555.5555.5555.5555.00
Jun 15 2020 15:59:26-08:00 AR25 %%01ISIS/4/START_ENABLE_ISIS(l)[0]:ISIS 256 enab
led all ISIS modules.
[AR25-isis-1]int g0/0/0
[AR25-GigabitEthernet0/0/0]ip ad 10.1.1.25 24
Jun 15 2020 15:59:54-08:00 AR25 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol I
P on the interface GigabitEthernet0/0/0 has entered the UP state.
[AR25-GigabitEthernet0/0/0]isis enable
Jun 15 2020 15:59:58-08:00 AR25 %%01ISIS/4/ADJ_CHANGE_LEVEL(l)[2]:The neighbor o
f ISIS was changed. (IsisProcessId=256, Neighbor=4444.4444.4444, InterfaceName=G
E0/0/0, CurrentState=up, ChangeType=NEW_L2_ADJ, Level=Level-2)
[AR25-GigabitEthernet0/0/0]
[AR26]isis
[AR26-isis-1]is-level level-2
[AR26-isis-1]network-entity 47.0123.6666.6666.6666.6666.00
Jun 15 2020 16:01:13-08:00 AR26 %%01ISIS/4/START_ENABLE_ISIS(l)[0]:ISIS 256 enab
led all ISIS modules.
[AR26-isis-1]int g0/0/0
[AR26-GigabitEthernet0/0/0]ip ad 10.1.1.26 24
Jun 15 2020 16:01:26-08:00 AR26 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol I
P on the interface GigabitEthernet0/0/0 has entered the UP state.
[AR26-GigabitEthernet0/0/0]isis enable
Jun 15 2020 16:01:30-08:00 AR26 %%01ISIS/4/ADJ_CHANGE_LEVEL(l)[2]:The neighbor o
f ISIS was changed. (IsisProcessId=256, Neighbor=4444.4444.4444, InterfaceName=G
E0/0/0, CurrentState=up, ChangeType=NEW_L2_ADJ, Level=Level-2)
[AR24]dis isis peer
Peer information for ISIS(1)
System Id Interface Circuit Id State HoldTime Type PRI
-------------------------------------------------------------------------------
6666.6666.6666 GE0/0/0 6666.6666.6666.01 Up 8s L2 64
5555.5555.5555 GE0/0/0 6666.6666.6666.01 Up 24s L2 64
Total Peer(s): 2
[AR24]ping 10.1.1.24
PING 10.1.1.24: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.24: bytes=56 Sequence=1 ttl=255 time=10 ms
[AR24]ping 10.1.1.25
PING 10.1.1.25: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.25: bytes=56 Sequence=1 ttl=255 time=70 ms
#在交换机上配置Mux-vlan
[SW1-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
port mux-vlan enable
#
return
[SW1-vlan100]dis th
#
vlan 100
mux-vlan
subordinate separate 50
#
return
[SW1-GigabitEthernet0/0/2]dis th
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 50
port mux-vlan enable
#
[SW1-GigabitEthernet0/0/3]dis th
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 50
port mux-vlan enable
#
[AR24]ping 10.1.1.26
PING 10.1.1.26: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.26: bytes=56 Sequence=1 ttl=255 time=80 ms
[AR24]ping 10.1.1.25
PING 10.1.1.25: 56 data bytes, press CTRL_C to break
Request time out
ARP Proxy
ARP(Address Resolution Protocol)用于将一个IP地址映射到正确的MAC地址。
一个物理网络的子网(Subnet)中的源主机向另一个物理网络的子网中的目的主机发ARP request,和源主机直连的网关用自己接口的MAC地址代替目的主机回ARPreply,这个过程称为ARP代理。
ARP Proxy有以下特点.
所有处理在ARP子网网关(ARP Subnet Gateways)进行,所连网络中的主机不必做任何改动,在主机端看不到子网,只是一个标准IP网络
Proxy ARP只影响主机的ARP高速缓存,对网关的ARP高速缓存和路由表没有影响;
使用Proxy ARP后,主机应该减小ARP老化时间,以尽快使无效ARP项失效,减少发给路由器而路由器却不能转发的报文
ARP Proxy基本原理
当主机上没有配置缺省网关地址,它可以发送一个ARP请求,请求目的主机的MAC地址。使能ARP Proxy功能的交换机收到这样的请求后,会使用自己的MAC地址作为该ARP请求的回应,使得处于不同物理网络但网络号相同的主机之间可以正常的相互通信。
ARP Proxy方式
| 路由式ARP Proxy | 解决同一网段不同物理网络上计算机的互通问题。 |
|---|---|
| VLAN内ARP Proxy | 解决相同VLAN内,且VLAN配置用户隔离后的网络上计算机互通问题。 |
| VLAN间ARP Proxy | 解决不同VLAN之间对应计算机的三层互通问题。 |
路由式ARP Proxy
[sw]vlan batch 10 20
[sw]int v 10
[sw-Vlanif10]ip ad 10.1.1.1
[sw-Vlanif10]interface Vlanif 20
[sw-Vlanif20]ip ad 10.1.2.1 24
[sw]dis ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 2
The number of interface that is DOWN in Physical is 3
The number of interface that is UP in Protocol is 1
The number of interface that is DOWN in Protocol is 4
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif10 10.1.1.1/24 down down
Vlanif20 10.1.2.1/24 down down
[sw]port-group group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2
[sw-port-group]port link-type access
[sw-port-group]port default vlan 10
[sw]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4
[sw-port-group]port link-type access
[sw-port-group]port default vlan 20
[sw]dis ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 2
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned down down
Vlanif10 10.1.1.1/24 up up
Vlanif20 10.1.2.1/24 up up
PC1未配置网关
PC>ping 10.1.2.10
Ping 10.1.2.10: 32 data bytes, Press Ctrl_C to break
From 10.1.1.10: Destination host unreachable
From 10.1.1.10: Destination host unreachable
From 10.1.1.10: Destination host unreachable
From 10.1.1.10: Destination host unreachable
From 10.1.1.10: Destination host unreachable
--- 10.1.2.10 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
[sw]stp disable
[sw]interface Vlanif 10
[sw-Vlanif10]arp-proxy enable #路由式APR代理
PC>ping 10.1.2.10
Ping 10.1.2.10: 32 data bytes, Press Ctrl_C to break
From 10.1.2.10: bytes=32 seq=1 ttl=127 time=141 ms
From 10.1.2.10: bytes=32 seq=2 ttl=127 time=47 ms
From 10.1.2.10: bytes=32 seq=3 ttl=127 time=62 ms
From 10.1.2.10: bytes=32 seq=4 ttl=127 time=47 ms
From 10.1.2.10: bytes=32 seq=5 ttl=127 time=47 ms
--- 10.1.2.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/68/141 ms
PC>ping 10.1.2.1
Ping 10.1.2.1: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: bytes=32 seq=1 ttl=255 time=15 ms
From 10.1.2.1: bytes=32 seq=2 ttl=255 time=16 ms
From 10.1.2.1: bytes=32 seq=3 ttl=255 time=31 ms
From 10.1.2.1: bytes=32 seq=4 ttl=255 time=31 ms
From 10.1.2.1: bytes=32 seq=5 ttl=255 time=31 ms
--- 10.1.2.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/24/31 ms
PC>ping 10.1.2.20 #解决同一网段不同物理网络上计算机的互通问题
Ping 10.1.2.20: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
--- 10.1.2.20 ping statistics ---
3 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>arp -a
Internet Address Physical Address Type
10.1.2.10 4C-1F-CC-63-40-8D dynamic
10.1.2.1 4C-1F-CC-63-40-8D dynamic
VLAN内ARP Proxy
如果两个用户属于相同的VLAN,但VLAN内配置了用户隔离。用户间要互通,需要在关联了VLAN的接口上启动VLAN内ARP Proxy 功能。
若交换机的接口使能了VLAN内ARP Proxy 功能,接口在接收到目的地址不是自己的ARP请求报文后,交换机并不立即去丢弃该报文,而是查找该接口的ARP表项。如果满足代理条件,则将交换机的MAC地址发送给ARP请求方。
VLAN内 ARP Proxy主要用于配置了用户隔离的VLAN内的用户间互通。
HOSTA和HOSTB是DSLAM设备下的两个用户。连接HOSTA和HOSTB的两个接口在DSLAM上属于同一个VLAN10
由于在DSLAM上配置了VLAN内不同接口彼此隔离,因此HOSTA和HOSTB不能直接在二层互通。
如果在S5700上创建接口VLANIF10。在VLANIF10上使能VIAN内Proxy ARP,HOSTA和HOSTB就可以在三层互通了。VLANIF 10的IP地址与VLAN10中的主机IP地址必须在同一个网段
端口隔离
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
port-isolate enable
VLAN内的ARP代理
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
arp-proxy inner-sub-vlan-proxy enable
PC1到PC4均属于VLAN 100,4台PC能互ping通
[SW1]vlan 100
[SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 100
[SW1]int GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port-isolate enable #接口1做了端口隔离,此时PC1和其余3台PC不互通
#将交换机的4个接口均进行端口隔离
[SW1]int GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port-isolate enable
[SW1]int GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port-isolate enable
[SW1]int GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port-isolate enable
#此时4台PC均不互通
#接口同一个VLAN内端口隔离后,需要互通的问题
[SW1]int Vlanif 100
[SW1-Vlanif100]ip address 10.1.1.1 24
Jun 17 2020 19:21:09-08:00 SW1 %%01IFNET/4/LINK_STATE(l)[6]:The line protocol IP
on the interface Vlanif100 has entered the UP state.
[SW1-Vlanif100]arp-proxy inner-sub-vlan-proxy enable #4台PC可以互通了
VLAN间ARP Proxy
如果两个用户属于不同的VLAN ,用户间要进行三层互通,需在关联了VLAN的接口上启动VLAN间Proxy ARP功能。
若交换机的接口使能了VLAN间Proxy ARP功能,接口在收到目的地址不是自己ARP请求报文后,交换机并不立即丢弃该报文,而是查找该接口的ARP表项。如果满足代理条件,则将交换机的MAC 地址发送给ARP请求方。
VLAN间Proxy ARP主要用于:
使得处于不同VLAN的用户进行三层通信。
可在Super VLAN对应的VLANIF接口上启动VLAN间Proxy ARP功能,实现 Sub VLAN间用户互通
HOST A和HOST B是DSLAM设备下的两个用户。由于连接 HOST A和HOST B的两个接口在 DSLAM DSLAM 上属于不同的VLAN,因此,因此HOST A和HOST B不能直接实现二层互通。
如果在SWA上创建 Super VLAN 30,将VLAN10 和VLAN20 加入VLAN30 ,并且创建接口VLANIF 30,在VLANIF 30上使能VLAN间Proxy ARP,HOST A和HOST B就可以实现三层互通了。VLAN IF 30的IP地址与VLAN10 和VLAN20 中的主机IP地址在同一个网段。
Super VLAN
VLAN聚合,只在super-VLAN 接口上配置IP地址,而不必为每个sub-VLAN分配IP地址。所有sub-VLAN共用IP网段,解决了IP地址资源浪费的问题
Super VLAN
vlan 100
aggregate-vlan 配置聚合VLAN
access-vlan 10 20 配置VLAN10 20为子VLAN
[SW2]dis super-vlan
VLAN ID Sub-vlan
100 10 20
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable 开启VLAN间的ARP代理
[Huawei]vlan batch 10 20
[Huawei]port-group group-member GigabitEthernet 0/0/2 GigabitEthernet 0/0/3
[Huawei-port-group]port link- a
[Huawei-GigabitEthernet0/0/3]po d v 10
[Huawei]port-group group-member GigabitEthernet 0/0/4 GigabitEthernet 0/0/5
[Huawei-port-group]port link- ac
[Huawei-GigabitEthernet0/0/4]port d v 20
#PC1 ping不通PC3,PC2 ping不通PC4
[Huawei]vlan 100
[Huawei-vlan100]aggregate-vlan
[Huawei-vlan100]access-vlan 10
[Huawei-vlan100]access-vlan 20
[Huawei]int Vlanif 100
[Huawei-Vlanif100]arp-proxy inter-sub-vlan-proxy enable
[Huawei-Vlanif100]ip ad 10.1.1.1 24
#PC1 ping通PC3,PC2可以ping通PC4
VLAN Mapping概述
VLAN Mapping也叫做VLAN translation,可以实现在用户VLAN ID(私有 VLAN VLAN )和运营商VLAN ID(业务 VLAN, 也可以说是公有VLAN)之间相互转换的一个功能。
VLAN Mapping简介
定义
VLAN Mapping通过修改报文携带的VLAN Tag来实现不同VLAN的相互映射。
目的
在某些场景中,两个VLAN相同的二层用户网络通过骨干网络互联,为了实现用户之间的二层互通,以及二层协议(例如MSTP等)的统一部署,需要实现两个用户网络的无缝连接,此时就需要骨干网可以传输来自用户网络的带有VLAN Tag的二层报文。而在通常情况下,骨干网的VLAN规划和用户网络的VLAN规划是不一致的,所以在骨干网中无法直接传输用户网络的带有VLAN Tag的二层报文。
解决这个问题的方法有两个,其中一个是通过QinQ或者VPLS等二层隧道技术,将用户带有VLAN Tag的二层报文封装在骨干网报文中进行传输,可以实现用户带有VLAN Tag的二层报文的透传。但是这种方法一方面需要增加额外的报文开销(增加一层封装),另外一方面,二层隧道技术可能会对某些二层协议报文的透传支持不是非常完善。另外一种方法就是通过VLAN Mapping技术,一侧用户网络的带有VLAN Tag的二层报文进入骨干网后,骨干网边缘设备将用户网络的VLAN(C-VLAN)修改为骨干网中可以识别和承载的VLAN(S-VLAN),传输到另一侧之后,边缘设备再将S-VLAN修改为C-VLAN。这样就可以很好的实现两个用户网络二层无缝连接。
在另一种场景中,如果由于规划的差异,导致两个直接相连的二层网络中部署的VLAN ID不一致。但是用户又希望可以把两个网络作为单个二层网络进行统一管理,例如用户二层互通和二层协议的统一部署。此时也可以在连接两个网络的交换机上部署VLAN Mapping功能,实现两个网络之间不同VLAN ID的映射,达到二层互通和统一管理的目的。
interface GigabitEthernet0/0/1
qinq vlan-translation enable 开启VLAN-Mpping功能
port link-type trunk
port trunk allow-pass vlan 100
port vlan-mapping vlan 10 to 20 map-vlan 100 配置将VLAN 10-20转换为VLAN100
[SW3]vlan batch 10 20
[SW3-GigabitEthernet0/0/2]dis th
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
return
[SW3-GigabitEthernet0/0/3]dis th
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
#
return
[SW3-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
return
[SW3]dis port vlan active
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port Link Type PVID VLAN List
-------------------------------------------------------------------------------
GE0/0/1 trunk 1 U: 1
T: 10 20
GE0/0/2 access 10 U: 10
GE0/0/3 access 20 U: 20
[SW5]vlan 100
[SW5]dis port vlan active
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port Link Type PVID VLAN List
-------------------------------------------------------------------------------
GE0/0/1 trunk 1 U: 1
T: 100
GE0/0/2 access 100 U: 100
GE0/0/3 access 100 U: 100
[SW2]vlan batch 100 200
[SW2]dis port vlan active
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port Link Type PVID VLAN List
-------------------------------------------------------------------------------
GE0/0/1 trunk 1 U: 1
T: 100 200
GE0/0/2 trunk 1 U: 1
T: 100 200
GE0/0/3 trunk 1 U: 1
T: 100 200
[SW1-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
qinq vlan-translation enable
port link-type trunk
port trunk allow-pass vlan 100
port vlan-mapping vlan 10 to 20 map-vlan 100
#
return
[SW1]dis port vlan active
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port Link Type PVID VLAN List
-------------------------------------------------------------------------------
GE0/0/1 trunk 1 U: 1
T: 100
GE0/0/2 hybrid 1 U: 1
GE0/0/3 trunk 1 U: 1
T: 100 200
#此时pc1可以ping通pc5
QINQ技术原理与配置
QinQ协议在用户私网VLAN tag之外封装公网VLAN tag,在公网中报文只根据公网VLAN Tag传播。QinQ为用户提供一种较为简单的二层VPN隧道。
QinQ概述
什么是QinQ
- 基于802.1Q封装的隧道协议
- 报文封装双层VLAN Tag
QinQ优点
- 解决日益紧缺的公网VLAN ID资源问题
- 用户可以规划自己的私网VLAN ID
- 提供一种较为简单的二层VPN解决方案
- 使用户网络具有较高的独立性
此QinQ生不逢时,目前一般用VXLAN
定义
QinQ(802.1Q-in-802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能,可以使私网VLAN透传公网。由于在骨干网中传递的报文有两层802.1Q Tag(一层公网Tag,一层私网Tag),即802.1Q-in-802.1Q,所以称之为QinQ协议。
目的
随着以太网技术在运营商网络中的大量部署(即城域以太网),利用802.1Q VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特,仅能表示4096个VLAN,无法满足城域以太网中标识大量用户的需求,于是QinQ技术应运而生。
QinQ最初主要是为拓展VLAN的数量空间而产生的。它是通过在原有的802.1Q报文的基础上增加一层802.1Q标签来实现的,使得VLAN数量增加到4094×4094。
随着城域以太网的发展以及运营商精细化运作的要求,QinQ的双层标签又有了进一步的使用场景。它的内外层标签可以代表不同的信息,如内层标签代表用户,外层标签代表业务。另外,QinQ报文带着两层Tag穿越运营商网络,内层Tag透明传送,也是一种简单、实用的VPN技术。因此它又可以作为核心MPLS VPN在城域以太网VPN的延伸,最终形成端到端的VPN技术。
由于QinQ方便易用的特点,现在已经在各运营商中得到了广泛的应用,如QinQ技术在城域以太网解决方案中和多种业务相结合。特别是灵活QinQ(Selective QinQ/VLAN Stacking)的出现,使得QinQ业务更加受到了运营商的推崇和青睐,它具有不同用户之间的VLAN与公网VLAN有效分离、最大限度节省运营商网络的VLAN资源等特点。随着城域以太网的大力发展,各个设备提供商都提出了各自的城域以太网的解决方案。QinQ因为其自身简单灵活的特点,在各解决方案中扮演着重要的角色。
受益
QinQ通过增加一层802.1Q的标签头实现了扩展VLAN空间的功能,具有以下价值:•扩展VLAN,对用户进行隔离和标识不再受到限制。
•QinQ内外层标签可以代表不同的信息,如内层标签代表用户,外层标签代表业务,更利于业务的部署。
•QinQ封装、终结的方式很丰富,帮助运营商实现业务精细化运营。
根据 QinQ 的具体实现方式,通常分为如下几类:
- 基于端口的 QinQ
- 基于端口的基本 QinQ
- 灵活 QinQ (了解)
- VLAN Stacking
- 基于流的灵活 QinQ (了解)
- 基于 ACL 的灵活 QinQ
基于端口的QinQ
配置了此功能的端口,设备会为从此端口进入的报文打上一层VLAN ID为端口PVID的外层VLAN tag
基于端口的 QinQ 通过配置端口类型为 dot1q -tunnel tunnel实现。
- 当端口类型为 dot1q -tunnel tunnel 时,该端口加入的VLAN 不支持二层组播功能。
基于端口的QINQ
interface GigabitEthernet0/0/2
port link-type dot1q-tunnel
port default vlan 100 #封装vlan100的标签
由PC1 ping通PC2,则在sw1的接口1上抓包和接口3上抓包如下图
灵活QINQ(了解)
灵活QinQ根据指定条件为入报文加一层S-VLAN tag。
- 指定条件:入报文外层VLAN的范围或VLAN-802.1P
- 仅指定报文802.1P优先级时,不关注入报文外层VLAN的具体值,只要外层VLAN的802.1P优先级匹配就会打上S-VLAN tag。
通过在端口配置VLAN Stacking实现
优势:
- 相对基于端口的QinQ,灵活QinQ可以根据入报文的外层VLAN及802.1P来选择加或不加S-VALN tag,并且S-VLAN tag可配置
灵活QINQ
interface GigabitEthernet0/0/3
qinq vlan-translation enable #开启vlan转换
port hybrid untagged vlan 100 200 #入方向去掉标签vlan100或vlan200
port vlan-stacking vlan 1 to 15 stack-vlan 100 #vlan转换,1到15转换为100
port vlan-stacking vlan 36 to 45 stack-vlan 100
port vlan-stacking vlan 16 to 35 stack-vlan 200
TPID配置
标签协议标识TPID(Tag Protocol Identifier)是VLAN Tag中的一个字段,表示VLAN Tag的协议类型,IEEE 802.1Q协议规定该字段的取值为0x8100。
IEEE802.1Q协议定义的以太网帧的VLAN Tag结构如图1所示。802.1Q Tag位于SA(Source Address)和Length/Type之间。通过检查对应的TPID值,设备可确定收到的帧承载的是运营商VLAN标记还是用户VLAN标记。接收到帧之后,设备将配置的TPID值与帧中TPID字段的值进行比较。如果二者匹配,则该帧承载的是对应的VLAN标记。例如,如果帧承载TPID值为0x8100的VLAN标记,而用户网络VLAN标记的TPID值配置为0x8200,设备将认为该帧没有用户VLAN标记。也就是说,设备认为该帧是Untagged报文。
协议类型 | 对应值 |
|---|---|
ARP | 0x0806 |
RARP | 0x8035 |
IP | 0x0800 |
IPv6 | 0x86DD |
PPPoE | 0x8863/0x8864 |
MPLS | 0x8847/0x8848 |
IPX/SPX | 0x8137 |
LACP | 0x8809 |
802.1x | 0x888E |
HGMP | 0x88A7 |
设备保留 | 0xFFFD/0xFFFE/0xFFFF |
TPID
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 200
qinq protocol 9100
在灵活QinQ的实验基础上,将sw1和sw2g0/0/3口多加一个 qinq protocol 9100
921
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
