目 录(目录名)
|
|
|
- 户 郜
- 7 years ago
- Views:
Transcription
1 H3C 中低端以太网交换机 二层技术 - 以太网交换典型配置指导 杭州华三通信技术有限公司 资料版本 :6W
2 Copyright 2011 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保
3 前言 H3C 中低端以太网交换机二层技术 - 以太网交换典型配置指导 主要介绍了以太网交换技术的典型应用场景, 并结合实际组网需求和配置步骤为您详细讲解如何利用链路聚合 端口隔离 STP/RSTP/MSTP BPDU Tunnel QinQ VLAN 映射 LLDP 等二层技术实现流量的负载分担 同一 VLAN 内用户隔离 二层环路消除 使私网报文穿越公网 修改报文的 VLAN Tag 等功能 本手册中提供的案例包括 :MAC 地址表 端口隔离 链路聚合 生成树 QinQ VLAN 映射 BPDU Tunnel 和 LLDP 等 前言部分包含如下内容 : 读者对象 本书约定 资料获取方式 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从两个或多个选项中选取一个 [ x y... ] 表示从两个或多个选项中选取一个或者不选 { x y... } * 表示从两个或多个选项中选取多个, 最少选取一个, 最多选取所有选项 [ x y... ] * 表示从两个或多个选项中选取多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 由 号开始的行表示为注释行
4 2. 图形界面格式约定 格 式 意 义 < > 带尖括号 < > 表示按钮名, 如 单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名 菜单名和数据表, 如 弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开 如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 4. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 5. 端口编号示例约定本手册中出现的端口编号仅作示例, 并不代表设备上实际具有此编号的端口, 实际使用中请以设备上存在的端口编号为准 资料获取方式 您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类 软件升级类 配置类或维护类等产品资料 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍 技术介绍 技术白皮书等 [ 解决方案 ]: 可以获取解决方案类资料
5 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料 技术支持 用户支持邮箱 :[email protected] 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : [email protected] 感谢您的反馈, 让我们做得更好!
6 目录 1 MAC 地址表典型配置指导 MAC 地址表简介 MAC 地址表典型配置指导 应用需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 MAC Information 典型配置指导 应用需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 i
7 1 MAC 地址表典型配置指导 1.1 MAC 地址表简介 MAC 地址表记录了与该设备相连的设备的 MAC 地址 与该设备相连的设备的端口号以及所属的 VLAN ID 在转发数据时, 设备根据报文中的目的 MAC 地址查询 MAC 地址表, 快速定位出端口, 从而减少广播 MAC 地址表项分为 : 静态 MAC 地址表项 动态 MAC 地址表项 黑洞 MAC 地址表项 表 1-1 MAC 地址表项对比表项类型表项生成方式表项老化时间优点 静态 MAC 地址表项由用户手工配置表项不老化 用于转发含有特定目的 MAC 地址的报文, 不需要广播, 提高了端口的转发速率 动态 MAC 地址表项 通过源 MAC 地址学习自动生成 由用户手工配置 表项有老化时间 用户可以修改表项的老化时间 如果 MAC 地址表项在老化时间内没有数据交互, 该表项将被自动删除, 节省了 MAC 地址空间 黑洞 MAC 地址表项由用户手工配置表项不老化 用于丢弃含有特定源和目的 MAC 地址的报文, 提高了端口的安全性 1.2 MAC 地址表典型配置指导 应用需求如图 1-1 所示, 在某一网络的交换机 Switch 上连有文件服务器 NMS(Network Management Server, 网管服务器 ) 及用户 PC, 现要求 : 交换机在转发目的地址为服务器地址的报文时不再使用广播, 而始终通过单播发送去往服务器的报文 ; 为了增强网络管理的安全性, 要求连接 NMS 的端口仅允许这台 NMS 接入 图 1-1 MAC 地址表组网示意图 1-1
8 1.2.2 配置思路 1. 网络分析 为避免交换机在转发目的地址为服务器地址的报文时进行广播, 可以在交换机上配置服务器的静态 MAC 地址表项, 使交换机始终通过单播发送去往服务器的报文 ; 要实现连接 NMS 的端口仅允许 NMS 接入, 可以在交换机上配置 NMS 的静态 MAC 地址表项, 并关闭这个端口的 MAC 地址学习功能, 使交换机仅能转发目的 MAC 为 NMS 的报文, 其他主机无法通过此端口通信 ; 连接 PC 的端口使用动态 MAC 地址表项, 通过源 MAC 地址学习自动建立表项, 如果相应表项在老化时间内没有数据交互, 该表项将被自动删除 2. 配置方法 创建 VLAN 10, 并将所涉及端口加入到 VLAN 10; 在 GigabitEthernet1/0/2 端口添加服务器的 MAC 地址, 使交换机始终通过单播发送去往服务器的报文 ; 在连接 NMS 的端口 GigabitEthernet1/0/10 上配置最大 MAC 学习数为 0, 即为关闭这个端口的 MAC 地址学习功能, 再手工添加 NMS 的静态 MAC 表项, 这样可使交换机仅能转发目的 MAC 为 NMS 的报文, 其他主机无法通过此端口通信 连接 PC 的端口使用缺省配置, 即使用动态 MAC 地址表项, 老化时间过后, 相应表项自动删除 适用产品 版本 表 1-2 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release
9 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 配置过程和解释 创建 VLAN10, 并将 GigabitEthernet1/0/2 GigabitEthernet1/0/5 GigabitEthernet1/0/10 端口加入 VLAN10. <Sysname> system-view [Sysname] vlan 10 [Sysname-vlan10] port GigabitEthernet1/0/2 GigabitEthernet1/0/5 GigabitEthernet1/0/10 [Sysname-vlan10] quit 添加服务器的 MAC 地址, 使交换机始终通过端口 GigabitEthernet1/0/2 单播发送去往服务器的报文 [Sysname] mac-address static 000f-e20f-dc71 interface GigabitEthernet 1/0/2 vlan 10 配置端口 GigabitEthernet1/0/10 最大 MAC 学习数为 0 并手工添加 NMS 的静态 MAC 表项, 实现 GigabitEthernet1/0/10 端口只能转发源地址为 NMS 的报文, 保证其他主机无法通过此端口通信 [Sysname] interface GigabitEthernet 1/0/10 [Sysname-GigabitEthernet1/0/10] mac-address max-mac-count 0 [Sysname-GigabitEthernet1/0/10] mac-address static c-aa69 vlan 10 配置当端口学习的 MAC 地址数达到设置的最大 MAC 地址数后, 禁止转发收到的源 MAC 地址不在 MAC 地址表里的数据帧 (S3610 S5510 S3500-EA 三个系列以太网交换机支持此步骤, 其它交换机不支持 ) [Sysname-GigabitEthernet1/0/10] mac-address max-mac-count disable-forwarding [Sysname-GigabitEthernet1/0/10] quit 查看 MAC 地址表配置 [Sysname] display mac-address interface GigabitEthernet 1/0/2 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000f-e20f-dc71 10 Config static GigabitEthernet1/0/2 NOAGED c-aa69 10 Config static GigabitEthernet1/0/10 NOAGED 00e0-fc5e-b1fb 1 Learned GigabitEthernet1/0/2 AGING 00e0-fc55-f116 1 Learned GigabitEthernet1/0/2 AGING mac address(es) found 完整配置 vlan 10 interface GigabitEthernet1/0/2 port access vlan 10 mac-address static 000f-e20f-dc71 vlan 10 interface GigabitEthernet1/0/5 port access vlan
10 interface GigabitEthernet1/0/10 port access vlan 10 mac-address max-mac-count 0 mac-address max-mac-count disable-forwarding mac-address static c-aa69 vlan 配置注意事项 除 S7500E 系列以太网交换机 Release 6300 软件版本以外, 其它设备及其版本不能在聚合端口上配置静态和动态 MAC 地址表项 S5120-SI S5120-EI S5500-SI S5500-EI S5800 S5820X S7500E 等系列以太网交换机不支持 mac-address max-mac-count 命令中的 disable-forwarding 参数, 当端口学习的 MAC 地址数达到配置的最大 MAC 地址数后, 端口会禁止转发收到的源 MAC 地址不在 MAC 地址表里的数据帧 1.3 MAC Information 典型配置指导 在网络监控中, 需要对加入和离开网络的用户进行监控 由于 MAC 地址能唯一标识一个网络用户, 所以可以通过监控加入和离开网络的 MAC 地址对用户进行跟踪 通过使用 MAC Information 功能, 当二层以太网端口学习到或删除 MAC 地址时会发送 Syslog 或 Trap 信息, 通过对 Syslog 和 Trap 信息的分析, 监控端可以实现对进入网络的用户进行监控 应用需求对加入和离开网络的 MAC 地址进行监控, 实现对网络用户的跟踪 图 1-2 MAC Information 典型配置组网图 配置思路 在 Device 及各端口上使能 MAC Information 功能 ; 为了防止过多的 Trap 信息干扰用户, 用户可以配置发送 Trap 信息的时间间隔, 当到达时间间隔时再发送 Trap 信息 ; 配置 Device 信息中心功能, 将 MAC 变化信息利用 Trap 方式发送给 Server,Server 对接收到的 Trap 信息进行显示并分析, 实现对进入网络的用户进行监控 ; 1-4
11 1.3.3 适用产品 版本 表 1-3 配置适用的产品与软件版本关系 产品 S7500E 系列太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5820X&S5800 系列以太网交换机 Release 1110,Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 配置过程和解释 (1) 配置 MAC Information 功能 全局使能 MAC Information <Device> system-view [Device] mac-address information enabele 配置 MAC Information 工作模式为 Trap 方式 [Device] mac-address information mode trap 配置端口 GigabitEthernet2/0/1 及 GigabitEthernet2/0/3 上使能 MAC Information [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] mac-address information enable added [Device-GigabitEthernet2/0/1] mac-address information enable deleted [Device-GigabitEthernet2/0/1] quit [Device] interface gigabitethernet 2/0/3 [Device-GigabitEthernet2/0/3] mac-address information enable added [Device-GigabitEthernet2/0/3] mac-address information enable deleted [Device-GigabitEthernet2/0/3] quit 配置 MAC Information 发送时间间隔为 300 秒 [Device] mac-address information interval 300 (2) 配置 Device 可以将 Trap 发送到 Server 请参见 网络管理和监控配置指导 中的 信息中心配置 完整配置 mac-address information enable mac-address information interval 300 mac-address information mode trap interface GigabitEthernet2/0/1 mac-address information enable added 1-5
12 mac-address information enable deleted interface GigabitEthernet2/0/3 mac-address information enable added mac-address information enable deleted 配置注意事项 使用 MAC Information 功能时, 需要用户在系统视图和端口视图下同时使能 MAC Information 功能 ; S7500E 系列以太网交换机不支持将学习或删除的 MAC 地址发送到 Syslog 1-6
13 目录 1 端口隔离典型配置指导 端口隔离概述 端口隔离配置指导 ( 支持单隔离组 ) 适用产品 版本 应用需求 配置思路 配置过程和解释 完整配置 配置注意事项 端口隔离配置指导 ( 支持上行端口 + 单隔离组 ) 适用产品 版本 组网需求 配置思路 配置过程和解释 完整配置 配置注意事项 端口隔离配置指导 ( 支持多隔离组 ) 适用产品 版本 组网需求 配置思路 配置过程和解释 完整配置 配置注意事项 端口隔离时的本地代理 ARP+ 报文过滤配置举例 适用产品 版本 组网需求 配置思路 配置过程和解释 完整配置 配置注意事项 i
14 1 端口隔离典型配置指导 1.1 端口隔离概述 为了实现报文之间的隔离, 可以将不同的端口加入不同的 VLAN, 但会浪费有限的 VLAN 资源 采用端口隔离特性, 可以实现同一 VLAN 内端口之间的隔离 用户只需要将端口加入到隔离组中, 就可以实现隔离组内端口之间数据的隔离 端口隔离功能为用户提供了更安全 更灵活的组网方案 1.2 端口隔离配置指导 ( 支持单隔离组 ) 适用产品 版本表 1-1 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 应用需求如图 1-1 所示网络,Host A 和 Host B 属同一 VLAN, 要求通过端口隔离实现 Host A 和 Host B 之间不能互访, 但都可以与服务器 Server 及外部网络进行通信 图 1-1 端口隔离典型配置组网图 ( 一 ) 1-1
15 Internet VLAN 100 Switch A GE 1/0/4 GE 1/0/3 GE 1/0/1 GE1/0/2 Server Isolation group Host A Host B 配置思路 Host A Host B 和 Server 分别与 Switch A 的端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 相连 ; Switch A 通过 GigabitEthernet1/0/4 端口与外部网络相连 ; 端口 GigabitEthernet1/0/1~GigabitEthernet1/0/4 加入同一 VLAN 中 ; 在 Switch A 上配置端口隔离, 将 GE1/0/1 GE1/0/2 加入缺省的隔离组内 配置过程和解释 创建 VLAN 100, 且将端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 GigabitEthernet1/0/4 全部加入 VLAN 100 创建 VLAN 100, 根据实际连接情况配置各端口的端口属性, 并将各端口加入 VLAN 100 中, 具体配置过程略 将端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 加入隔离组 <SwitchA> system-view [SwitchA] interface GigabitEthernet1/0/1 [SwitchA-GigabitEthernet1/0/1] port-isolate enable [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface GigabitEthernet1/0/2 [SwitchA-GigabitEthernet1/0/2] port-isolate enable [SwitchA-GigabitEthernet1/0/2] quit 显示隔离组中的信息 <SwitchA> display port-isolate group Port-isolate group information: Uplink port support: NO Group ID: 1 GigabitEthernet1/0/1 GigabitEthernet1/0/2 1-2
16 1.2.5 完整配置 vlan 100 interface GigabitEthernet1/0/1 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/2 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/3 port access vlan 100 interface GigabitEthernet1/0/4 port access vlan 配置注意事项 (1) 隔离组内可以加入的端口数量没有限制 (2) 隔离组内的端口和隔离组外相同 VLAN 端口数据流量双向互通, 隔离组内端口之间不可互通 (3) 其中 S5500-SI S5500-EI 系列以太网交换机的端口隔离特性对二 三层数据报文均隔离, 而表 1-1 中其它各系列交换机仅对二层数据报文进行隔离 1.3 端口隔离配置指导 ( 支持上行端口 + 单隔离组 ) 适用产品 版本表 1-2 配置适用的产品与软件版本关系 产品 软件版本 S5810 系列以太网交换机 Release 1102 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 组网需求如图 1-2 所示网络, 用户 Host A Host B Host C 属同一 VLAN, 要求通过端口隔离实现以下功能 : 用户 Host A Host B Host C 彼此之间不能互访 ; 只能通过隔离组上行端口与外部网络通信, 不能与隔离组外同 VLAN 的其它端口通信, 1-3
17 图 1-2 端口隔离典型配置组网图 ( 二 ) Internet VLAN 100 GE 1/0/4 Switch A GE 1/0/1 GE 1/0/3 GE1/0/2 Uplink port Isolation group Host A Host B Host C 配置思路 Host A Host B 和 Host C 分别与 Switch A 的端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 相连 ; 设备通过 GigabitEthernet1/0/4 端口与外部网络相连 ; 将端口 GigabitEthernet1/0/1~GigabitEthernet1/0/4 加入到同一 VLAN 中 ; 在 Switch A 上配置端口隔离, 将 GE1/0/1~GE1/0/3 加入缺省的隔离组内 ; 将 GE1/0/4 配置成该隔离组的上行端口 配置过程和解释 创建 VLAN 100, 且将端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 GigabitEthernet1/0/4 全部加入 VLAN 100 创建 VLAN 100, 根据实际连接情况配置各端口的端口属性, 并将各端口加入 VLAN 100 中, 具体配置过程略 将 GE1/0/1 GE1/0/2 GE1/0/3 加入隔离组内 <SwitchA> system-view [SwitchA] interface GigabitEthernet1/0/1 [SwitchA-GigabitEthernet1/0/1] port-isolate enable [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface GigabitEthernet1/0/2 [SwitchA-GigabitEthernet1/0/2] port-isolate enable [SwitchA-GigabitEthernet1/0/2] quit [SwitchA] interface GigabitEthernet1/0/3 [SwitchA-GigabitEthernet1/0/3] port-isolate enable 将 GE1/0/4 配置成该隔离组的上行端口 [SwitchA] interface GigabitEthernet1/0/4 [SwitchA-GigabitEthernet1/0/4] port-isolate uplink-port 显示隔离组中的信息 1-4
18 <SwitchA> display port-isolate group Port-isolate group information: Uplink port support: YES Group ID: 1 Uplink port: GigabitEthernet1/0/4 Group members: GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/ 完整配置 vlan 100 interface GigabitEthernet1/0/1 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/2 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/3 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/4 port access vlan 100 port-isolate uplink-port 配置注意事项 (1) 目前支持隔离组上行端口的设备仅支持单隔离组, 即由系统自动创建的隔离组 1, 用户不可删除该隔离组或创建其它的隔离组 (2) 隔离组内可以加入的端口数量没有限制 (3) 在支持上行端口的设备上配置隔离组时, 若不配置上行端口, 隔离组内端口将无法与同 VLAN 内的隔离组外其它端口通信 (4) 对于属于同一 VLAN 的端口, 隔离组内普通端口到隔离组外端口的二层报文单向隔离, 隔离组内普通端口到隔离组外端口的二层报文会被送往隔离组内的上行端口, 使隔离组外端口无法接收该报文 (5) 表 1-2 中各系列以太网交换机仅对二层数据报文进行隔离 1-5
19 1.4 端口隔离配置指导 ( 支持多隔离组 ) 适用产品 版本 表 1-3 配置适用的产品与软件版本关系 产品 软件版本 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 组网需求如图 1-3 所示网络, 用户 Host A Host B Host C Host D 属同一 VLAN, 要求通过端口隔离实现以下功能 : 仅限制用户 Host A Host B 之间互访, 及 Host C Host D 之间互访 ; 不限制上述用户访问其它同 VLAN 内端口下的用户和网络, 如允许 Host A 访问 Host C 或外部网络, 图 1-3 端口隔离典型配置组网图 ( 三 ) Internet VLAN 100 GE 1/0/5 Switch A GE 1/0/1 GE 1/0/4 GE1/0/2 GE 1/0/3 Isolation group 1 Isolation group 2 Host A Host B Host C Host D 配置思路 用户 Host A Host B Host C Host D 分别与 Switch A 的端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 GigabitEthernet1/0/4 相连 ; 设备通过 GigabitEthernet1/0/5 端口与外部网络相连 ; 将端口 GigabitEthernet1/0/1~GigabitEthernet1/0/5 加入到同一 VLAN 中 ; 1-6
20 创建隔离组 1, 将 GE1/0/1 GE1/0/2 加入隔离组 1 内 ; 创建隔离组 2, 将 GE1/0/3 GE1/0/4 加入隔离组 2 内 ; 配置过程和解释 创建 VLAN 100, 配置 GE1/0/1 GE1/0/2 GE1/0/3 GE1/0/4 GE1/0/5 在同一个 VLAN 内创建 VLAN 100, 根据实际连接情况配置各端口的端口属性, 并将各端口加入 VLAN 100 中, 具体配置过程略 创建隔离组 1, 将 GE1/0/1 GE1/0/2 加入隔离组 1 内 [SwitchA] port-isolate group 1 [SwitchA] interface GigabitEthernet1/0/1 [SwitchA-GigabitEthernet1/0/1] port-isolate enable group 1 [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface GigabitEthernet1/0/2 [SwitchA-GigabitEthernet1/0/2] port-isolate enable group 1 [SwitchA-GigabitEthernet1/0/2] quit 创建隔离组 2, 将 GE1/0/3 GE1/0/4 加入隔离组 2 内 [SwitchA] port-isolate group 2 [SwitchA] interface GigabitEthernet1/0/3 [SwitchA-GigabitEthernet1/0/3] port-isolate enable group 2 [SwitchA-GigabitEthernet1/0/3] quit [SwitchA] interface GigabitEthernet1/0/4 [SwitchA-GigabitEthernet1/0/4] port-isolate enable group 2 [SwitchA-GigabitEthernet1/0/4] quit 显示所有隔离组的信息 <SwitchA> display port-isolate group Port-isolate group information: Uplink port support: NO Group ID: 1 Group members: GigabitEthernet1/0/1 GigabitEthernet1/0/2 Group ID: 2 Group members: GigabitEthernet1/0/3 GigabitEthernet1/0/ 完整配置 vlan 100 port-isolate group 1 port-isolate group 2 interface GigabitEthernet1/0/1 port access vlan 100 port-isolate enable group 1 1-7
21 interface GigabitEthernet1/0/2 port access vlan 100 port-isolate enable group 1 interface GigabitEthernet1/0/3 port access vlan 100 port-isolate enable group 2 interface GigabitEthernet1/0/4 port access vlan 100 port-isolate enable group 2 interface GigabitEthernet1/0/3 port access vlan 配置注意事项 (1) 各隔离组内可以加入的端口数量没有限制 (2) 同一 VLAN 内不同隔离组之间的二层流量互通 (3) 同一 VLAN 内隔离组内端口和非隔离组内端口二层流量互通 (4) 一个端口只能在一个隔离组内, 不能属于多个隔离组 1.5 端口隔离时的本地代理 ARP+ 报文过滤配置举例 适用产品 版本同时支持本地代理 ARP 和包过滤功能的产品及对应版本如表 1-4 所示 表 1-4 配置适用的产品与软件版本关系 产品 软件版本 S7500E 系列以太网交换机 S7600 系列以太网交换机 Release 6610 系列 Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release
22 1.5.2 组网需求如图 1-4 所示网络, 某公司内部的研发部门 市场部门和行政部门分别与 Switch B 上的端口 GE1/0/1 GE1/0/2 和 GE1/0/3 相连 要求实现各部门与外界网络互访的同时, 还需要实现 : 在每天 8:00~12:00 的时间段内, 允许 Host A 访问行政部门的服务器, 拒绝其它的 IP 报文通过 ; 在每天 14:00~16:00 的时间段内, 允许 Host B 访问行政部门的服务器, 拒绝其它的 IP 报文通过 在其他时间段, 各部门之间不能互访 图 1-4 配置端口隔离时的本地代理 ARP 组网图 Internet Switch A Switch B GE1/0/4 VLAN 100 Vlan-int /24 GE1/0/4 Isolation group GE1/0/1 GE1/0/2 GE1/0/3 Host A Host B Server 研发部门 ~ 市场部 ~ 行政部门 ~ 配置思路实现上述组网需求, 一种方法是在 Switch B 的端口 GE1/0/1 GE1/0/2 和 GE1/0/3 上分别配置报文过滤, 该方法配置复杂, 且对 Switch B 的性能要求较高 另一种方法是利用端口隔离, 并结合上层设备的本地代理 ARP 功能和报文过滤, 该方法对 Switch B 的性能要求不高, 支持端口隔离的二层或三层设备都可以, 且在 VLAN 资源紧张的网络环境中, 还可节省 VLAN 资源 若要实现不同隔离端口下的主机间互访, 需在上层设备 Switch A 上使用本地代理 ARP 功能, 但启用该功能后,Switch B 上隔离端口下的主机都可互访或某一 IP 地址范围内的主机可互访 此处还需要结合报文过滤功能以实现上面需求 基本配置思路如下 : (1) 配置研发部门 市场部门和行政部门共用同一 VLAN, 并将 Switch B 上与各部门相连的端口 GE1/0/1 GE1/0/2 和 GE1/0/3 加入隔离组 ; (2) 加入到隔离中的端口之间不能互访, 若要实现互访还需要上层设备 Switch A 上配置本地代理 ARP 功能 ; 1-9
23 (3) 为了灵活的限制部门间的互访, 需要在 Switch A 上实现报文过滤 报文过滤需求可以通过包过滤的配置方式来实现, 也可以使用 QoS 策略的配置方式实现, 但前者配置更简单, 而且可以随时修改 ACL 的规则 ( 修改结果将直接生效 ) 这里选择包过滤的配置方式实现: 定义高级 IPv4 ACL, 配置三条规则 : 允许 Host A 访问行政部门的服务器 ; 允许 Host B 访问行政部门的服务器 ; 拒绝各部门间的互访 在 Switch A 的端口 GigabitEthernet1/0/4 上应用高级 IPv4 ACL, 以对该端口收到的 IPv4 报文进行过滤 配置过程和解释 (1) 在 Switch B 上配置端口隔离 隔离组内的端口和隔离组外相同 VLAN 端口数据流量双向互通, 隔离组内端口之间不可互通 不同产品支持的隔离组类型及配置有所不同, 本配置以单隔离组为例, 有关多隔离组及支持上行端口的单隔离组的配置过程请参见 端口隔离典型配置指导 配置 Switch B 上的端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 和 GigabitEthernet1/0/4 属于同一 VLAN 100; 并将端口 GigabitEthernet1/0/1 GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 加入到隔离组中, 以实现研发部门 市场部门和行政部门彼此之间二层报文不能互通 <SwitchB> system-view [SwitchB] vlan 100 [SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4 [SwitchB-vlan100] quit [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port-isolate enable [SwitchB-GigabitEthernet1/0/1] quit [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] port-isolate enable [SwitchB-GigabitEthernet1/0/2] quit [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] port-isolate enable [SwitchB-GigabitEthernet1/0/3] quit (2) 在 Switch A 上配置本地 ARP 代理 在 Switch A 上配置 VLAN 接口 100 的 IP 地址 <SwitchA> system-view [SwitchA] vlan 100 [SwitchA-vlan100] port gigabitethernet 1/0/4 [SwitchA-vlan100] interface vlan-interface 100 [SwitchA-Vlan-interface100] ip address [SwitchA-Vlan-interface100] quit 在 Switch A 上配置本地代理 ARP, 实现部门之间的三层互通 [SwitchA-Vlan-interface100] local-proxy-arp enable 1-10
24 (3) 在 Switch A 上定义工作时间段 定义周期时间段 trname_1, 时间范围为每天的 8:00~12:00 [SwitchA] time-range trname_1 8:00 to 12:00 daily 定义周期时间段 trname2, 时间范围为每天的 14:00~16:00 [SwitchA] time-range trname_2 14:00 to 16:00 daily (4) 在 Switch A 上定义到行政部门服务器的访问规则 定义高级 IPv4 ACL 3000, 配置三条规侧 允许 Host A 访问行政部门的服务器 [SwitchA] acl number 3000 [SwitchA-acl-adv-3000] rule permit ip source destination time-range trname_1 允许 Host B 访问行政部门的服务器 [SwitchA-acl-adv-3000] rule permit ip source destination time-range trname_2 禁止各部门间的互访 [SwitchA-acl-adv-3000] rule deny ip source destination [SwitchA-acl-adv-3000] quit (5) 在 Switch A 上配置包过滤功能 在端口 GigabitEthernet1/0/4 上应用高级 IPv4 ACL, 以对该端口收到的 IPv4 报文进行过滤 [SwitchA] interface gigabitethernet 1/0/4 [SwitchA-GigabitEthernet1/0/4] packet-filter 3000 inbound 完整配置 Switch B 上的完整配置 vlan 100 interface GigabitEthernet1/0/1 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/2 port access vlan 101 port-isolate enable interface GigabitEthernet1/0/3 port access vlan 100 port-isolate enable interface GigabitEthernet1/0/4 port access vlan 100 Switch A 上的完整配置 time-range trname_1_8:00 to 12:00 daily 1-11
25 time-range trname_2 14:00 to 16:00 daily acl number 3000 rule 0 permit ip source destination time-range trname_1 rule 5 permit ip source destination time-range trname_2 rule 10 deny ip source destination vlan 100 interface Vlan-interface100 ip address local-proxy-arp enable interface GigabitEthernet1/0/4 port access vlan 100 packet-filter 3000 inbound 配置注意事项配置 IPv4 ACL 访问规则和包过滤功能注意事项 : (1) 当 IPv4 ACL 的匹配顺序为 config 时, 用户可以修改该 ACL 中的任何一条已经存在的规则, 在修改 ACL 中的某条规则时, 该规则中没有修改到的部分仍旧保持原来的状态 ; 当 ACL 的匹配顺序为 auto 时, 用户不能修改该 ACL 中的任何一条已经存在的规则, 否则系统会提示错误信息 (2) 新创建或修改后的规则不能和已经存在的规则相同, 否则会导致创建或修改不成功, 系统会提示该规则已经存在 (3) 当 IPv4 ACL 的匹配顺序为 auto 时, 新创建的规则将按照 深度优先 的原则插入到已有的规则中, 但是所有规则对应的编号不会改变 (4) 当 IPv4 ACL 被用于包过滤之后, 用户可以随时编辑 ( 增加 删除 修改 )ACL 中的过滤规则, 修改后的过滤规则将立刻生效 1-12
26 目录 1 链路聚合典型配置指导 链路聚合概述 链路聚合配置指导 适用产品 版本 组网需求 配置思路 配置过程和解释 完整配置 配置注意事项 i
27 1 链路聚合典型配置指导 1.1 链路聚合概述 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组, 使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路 链路聚合可以实现出 / 入负荷在聚合组中各个成员端口之间分担, 以增加带宽 同时, 同一聚合组的各个成员端口之间彼此动态备份, 提高了连接可靠性 1.2 链路聚合配置指导 适用产品 版本对于不同软件版本的产品, 其创建链路聚合组时所使用命令有所差异 支持通过创建聚合接口 ( 命令 interface bridge-aggregation) 而生成聚合组的产品和软件版本关系如表 1-1; 支持通过直接创建聚合组 ( 命令 link-aggregation group mode) 的产品与软件版本关系如表 1-2 表 1-1 配置适用的产品与软件版本关系 ( 支持通过创建聚合接口而生成聚合组 ) 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5309 S3100V2 系列以太网交换机 Release
28 E126B 以太网交换机 Release 5103 表 1-2 配置适用的产品与软件版本关系 ( 支持通过直接创建聚合组 ) 产品 软件版本 S7500E 系列以太网交换机 Release 6100 系列 S3610&S5510 系列以太网交换机 Release 5301,Release 5303 S3500-EA 系列以太网交换机 Release 组网需求在不用对硬件进行升级的情况下, 将 Switch A 与 Switch B 间链路带宽增加为原来单条链路带宽的 3 倍 图 1-1 链路聚合配置示例图 Switch A Link aggregation 1 GE1/0/1 GE1/0/2 GE1/0/3 GE1/0/1 GE1/0/2 GE1/0/3 Switch B VLAN 配置思路 Switch A 与 Switch B 通过各自的以太网端口 GigabitEthernet1/0/1~GigabitEthernet1/0/3 相互连接 通过在 Switch A 与 Switch B 上配置链路聚合组, 并将互连的端口加入到各自的聚合组中, 从而实现出 / 入负荷在聚合组中各个成员端口之间分担, 以增加带宽 配置过程和解释 以下只列出对 Switch A 的配置, 对 Switch B 也需要作相同的配置, 才能实现聚合组的负载分担 作用 1-2
29 1. 使用表 1-1 产品及对应版本所支持的配置命令, 创建聚合组, 实现端口的负载分担 配置聚合组的成员端口过程中, 建议配置顺序 : 在端口视图下使用 display this 命令查看端口上是否存在第二类配置 ( 包括端口隔离配置 QinQ 配置 VLAN 配置 MAC 地址学习配置 ), 如果有这类配置, 请使用对应的 undo 命令删除这些配置, 使端口保持在缺省第二类配置状态, 然后再把端口加入到新创建的聚合组内 后续若要改变成员端口的第二类配置, 可通过在聚合接口视图下进行批量配置 由于静态聚合组中端口选中状态不受对端端口是否在聚合组中及是否处于选中状态的影响 这样有可能导致两端设备所确定的 Selected 状态端口不一致, 当两端都支持配置静态和动态聚合组的情况下, 建议用户优选动态聚合组 创建聚合组 1( 根据具体情况选择下面两种方式之一 ) 采用静态聚合模式 : 创建二层聚合接口 1 <SwitchA> system-view [SwitchA] interface bridge-aggregation 1 [SwitchA-Bridge-Aggregation1] quit 采用动态聚合模式 : 创建二层聚合接口, 并配置动态聚合模式 <SwitchA> system-view [SwitchA] interface bridge-aggregation 1 [SwitchA-Bridge-Aggregation1] link-aggregation mode dynamic 将以太网端口 GigabitEthernet1/0/1 至 GigabitEthernet1/0/3 加入聚合组 1 [SwitchA] interface GigabitEthernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/3] quit 配置二层聚合接口 1 所属 VLAN, 并将该配置批量下发到各成员端口上 [SwitchA] interface bridge-aggregation 1 [SwitchA-Bridge-Aggregation1] port access vlan 20 [SwitchA-Bridge-Aggregation1] quit 显示配置信息 采用静态聚合模式的链路聚合配置信息 [SwitchA] display link-aggregation verbose Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Port Status: S -- Selected, U -- Unselected Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregation Interface: Bridge-Aggregation1 1-3
30 Aggregation Mode: Static Loadsharing Type: Shar Port Status Oper-Key GE1/0/1 S 1 GE1/0/2 S 1 GE1/0/3 S 1 结果说明 : 本端加入到静态聚合组内的成员端口都处于 Selected 状态, 与对端对应端口是否是 Selected 状态无关 采用动态聚合模式的链路聚合配置信息 [SwitchA]display link-aggregation verbose Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Port Status: S -- Selected, U -- Unselected Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregation Interface: Bridge-Aggregation1 Aggregation Mode: Dynamic Loadsharing Type: Shar System ID: 0x8000, 000f-e Local: Port Status Priority Oper-Key Flag GE1/0/1 S {ACDEF} GE1/0/2 S {ACDEF} GE1/0/3 S {ACDEF} Remote: Actor Partner Priority Oper-Key SystemID Flag GE1/0/ x8000, 0000-fc {ACDEF} GE1/0/ x8000, 0000-fc {ACDEF} GE1/0/ x8000, 0000-fc {ACDEF} 结果说明 : 结果显示本端和对端设备上聚合组内的成员端口都处于 Selected 状态, 通过 LACP 协议报文交互, 可使两端聚合组内的成员端口选中状态达成一致, 可顺利实现对用户数据的转发 1-4
31 2. 使用表 1-2 产品及对应版本所支持的配置命令, 创建聚合组, 实现端口的负载分担 配置聚合组的成员端口过程中, 建议配置顺序 : 在端口视图下使用 display this 命令查看端口上是否存在端口基本配置 ( 包括 STP 配置 QoS 配置 GVRP 配置 QinQ 配置 BPDU TUNNEL 配置 VLAN 配置 MAC 地址学习配置 ), 如果有这些配置, 请使用对应的 undo 命令删除这些配置, 使端口保持在缺省状态, 然后再把端口加入到新创建的聚合组内 后续若要改变成员端口的上述配置, 可通过在聚合端口组视图下进行批量配置 由于手工聚合组中端口选中状态不受对端端口是否在聚合组中及是否处于选中状态的影响 这样有可能导致两端设备所确定的 Selected 状态端口不一致, 当两端都支持配置手工和静态 LACP 聚合组的情况下, 建议用户优选静态 LACP 聚合组 创建聚合组 1( 根据具体情况选择下面两种方式之一 ) 采用手工聚合方式 : 创建手工聚合组 1 <SwitchA> system-view [SwitchA] link-aggregation group 1 mode manual 采用静态 LACP 聚合方式 : 创建静态聚合组 1 <SwitchA> system-view [SwitchA] link-aggregation group 1 mode static 将以太网端口 GigabitEthernet1/0/1 至 GigabitEthernet1/0/3 加入聚合组 1 [SwitchA] interface GigabitEthernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/3] quit 通过聚合端口组批量配置成员端口所属 VLAN [SwitchA] port-group aggregation 1 [SwitchA-port-group aggregation-1] port access vlan 20 [SwitchA-Bridge-Aggregation1] quit 显示配置信息 采用手工聚合方式的链路聚合配置信息 <Sysname> display link-aggregation verbose Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Flags: A -- LACP_Activity, B -- LACP_timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregation ID: 1, AggregationType: Manual, Aggregation Description: System ID: 0x8000, 000f-e Port Status: S -- Selected, U -- Unselected Local: Loadsharing Type: Shar 1-5
32 Port Status Priority Oper-Key Flag GE1/0/1 S {} GE1/0/2 S {} GE1/0/3 S {} Remote: Actor Partner Priority Oper-Key SystemID Flag GE1/0/ x0000, {} GE1/0/ x0000, {} GE1/0/ x0000, {} 结果说明 : 结果显示本端加入到静态聚合组内的成员端口都处于 Selected 状态, 与对端对应端口 是否是 Selected 状态无关, 且无法获知对端成员端口状态 采用静态 LACP 聚合方式的链路聚合配置信息 <Sysname> display link-aggregation verbose Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Flags: A -- LACP_Activity, B -- LACP_timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregation ID: 1, AggregationType: Static, Loadsharing Type: Shar Aggregation Description: System ID: 0x8000, 000f-e Port Status: S -- Selected, U -- Unselected Local: Port Status Priority Oper-Key Flag GE1/0/1 S {ACDEF} GE1/0/2 S {ACDEF} GE1/0/3 S {ACDEF} Remote: Actor Partner Priority Oper-Key SystemID Flag GE1/0/ x8000,0000-fc {ACDEF} GE1/0/ x8000,0000-fc {ACDEF} GE1/0/ x8000,0000-fc {ACDEF} 结果说明 : 结果显示本端和对端设备上聚合组内的成员端口都处于 Selected 状态, 通过 LACP 协议报文交互, 可使两端聚合组内的成员端口选中状态达成一致, 可顺利实现对用户数据的转发 完整配置 所对应的完整配置 : vlan 20 采用静态聚合模式时 1-6
33 interface Bridge-Aggregation1 port access vlan 20 采用动态聚合模式时 interface Bridge-Aggregation1 port access vlan 20 link-aggregation mode dynamic 其余端口完整配置 interface GigabitEthernet1/0/1 port access vlan 20 port link-aggregation group 1 interface GigabitEthernet1/0/2 port access vlan 20 port link-aggregation group 1 interface GigabitEthernet1/0/3 port access vlan 20 port link-aggregation group 所对应的完整配置 : vlan 20 采用手工聚合方式时 link-aggregation group 1 mode manual 采用静态 LACP 聚合方式时 link-aggregation group 1 mode static 其余端口完整配置 interface GigabitEthernet1/0/1 port access vlan 20 port link-aggregation group 1 interface GigabitEthernet1/0/2 port access vlan 20 port link-aggregation group 1 interface GigabitEthernet1/0/3 port access vlan 20 port link-aggregation group 1 1-7
34 1.2.6 配置注意事项 1. 表 1-1 所示软件版本对应的产品配置注意事项 配置了 RRPP MAC 地址认证 端口安全模式 启用了 IP Source Guard 功能 使能 802.1x 等的端口都不能加入聚合组 修改聚合组模式前, 请确保聚合组中没有加入任何成员端口, 否则无法修改聚合组模式 在配置链路聚合时, 两端设备上所创建的聚合接口编号可以不同, 但是为了方便管理和维护, 建议两端采用相同的聚合接口编号 聚合组成员端口的属性配置 ( 即端口速率 双工模式和链路状态的配置 ) 应保持一致 聚合组成员端口的第二类配置 ( 包括端口隔离配置 QinQ 配置 VLAN 配置 MAC 地址学习配置 ) 应该与对应聚合接口的配置一致, 否则成员端口将不能成为 Selected 端口 在聚合接口下的配置信息, 只能同步到聚合组内处于 Selected 状态的端口上 建议用户将同类型的端口加入聚合组内, 如同是千兆口或同是百兆口 以达到良好的负载分担功能 当聚合组中处于 Selected 状态的端口数已达到上限时, 后加入的端口即使具备成为 Selected 端口的条件, 也会成为 Unselected 状态, 可利用这点, 实现成员端口之间进行彼此备份 2. 表 1-2 所示软件版本对应的产品配置注意事项 配置了 RRPP 静态 MAC 地址或者黑洞 MAC 地址 使能 Voice Vlan 使能 802.1x 的端口都不能加入聚合组 可通过改变一个已经存在的静态 LACP 聚合组的聚合组类型, 来创建一个手工聚合组, 无论原来聚合组中是否加入了成员端口 ; 而通过一个已经存在的手工聚合组来创建静态 LACP 聚合组, 需确保聚合组中没有加入任何成员端口, 否则无法修改聚合组类型 用户需要通过手工配置的方式保持各端口基本配置一致, 这里的端口基本配置包括端口的速率 双工 链路状态 隔离组配置 STP 配置 QoS 配置 GVRP 配置 QinQ 配置 BPDU TUNNEL 配置 VLAN 配置 MAC 地址学习配置 在聚合端口组视图下的配置信息, 只能同步到聚合组内处于 Selected 状态的端口上 当静态 LACP 聚合组中只包含一个端口时, 不能将该端口从聚合组中删除, 而只能通过删除聚合组的方式将该端口从聚合组中删除 当聚合组中处于 Selected 状态的端口数已达到限制时, 后加入的端口即使具备成为 Selected 端口的条件, 也会成为 Unselected 状态, 可利用这点, 实现成员端口之间进行彼此备份 1-8
35 目录 1 生成树典型配置指导 STP/RSTP/MSTP 简介 MSTP 典型配置指导 组网需求 适用产品 版本 配置过程和解释 完整配置 注意事项 与第三方厂商设备互通典型配置指导 与采用私有密钥计算配置摘要的第三方厂商设备互通 与对 MSTP 协议的实现存在私有性差异的上游第三方厂商设备互通 RSTP 典型配置指导 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 注意事项 i
36 1 生成树典型配置指导 1.1 STP/RSTP/MSTP 简介 生成树协议是一种二层管理协议, 它通过选择性地阻塞网络中的冗余链路来消除二层环路, 同时还具备链路备份的功能 与众多协议的发展过程一样, 生成树协议也是随着网络的发展而不断更新的, 从最初的 STP (Spanning Tree Protocol, 生成树协议 ) 到 RSTP(Rapid Spanning Tree Protocol, 快速生成树协议 ), 再到最新的 MSTP(Multiple Spanning Tree Protocol, 多生成树协议 ) (1) STP 简介 STP 由 IEEE 制定的 802.1D 标准定义, 用于在局域网中消除数据链路层物理环路的协议 运行该协议的设备通过彼此交互信息发现网络中的环路, 并有选择的对某些端口进行阻塞, 最终将环路网络结构修剪成无环路的树型网络结构, 从而防止报文在环路网络中不断增生和无限循环, 避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生 STP 包含了两个含义, 狭义的 STP 是指 IEEE 802.1D 中定义的 STP 协议, 广义的 STP 是指包括 IEEE 802.1D 定义的 STP 协议以及各种在它的基础上经过改进的生成树协议 (2) RSTP 简介 RSTP 由 IEEE 制定的 802.1w 标准定义, 它在 STP 基础上进行了改进, 实现了网络拓扑的快速收敛 其 快速 体现在, 当一个端口被选为根端口和指定端口后, 其进入转发状态的延时在某种条件下大大缩短, 从而缩短了网络最终达到拓扑稳定所需要的时间 RSTP 可以快速收敛, 但是和 STP 一样存在以下缺陷 : 局域网内所有网桥共享一棵生成树, 不能按 VLAN 阻塞冗余链路, 所有 VLAN 的报文都沿着一棵生成树进行转发 (3) MSTP 简介 MSTP(Multiple Spanning Tree Protocol, 多生成树协议 ) 由 IEEE 制定的 802.1s 标准定义,MSTP 功能允许用户将一个或者多个 VLAN 映射到 MSTI(Multiple Spanning Tree Instance, 多生成树实例 ) 上, 使指定 VLAN 的报文只在建立了映射关系的实例内发送, 以节省通信开销和减少资源占用率 MSTP 可以弥补 STP 和 RSTP 的缺陷, 既可以快速收敛, 也能使不同 VLAN 的流量沿各自的路径转发, 从而为冗余链路提供了更好的负载分担机制 MSTP 的特点如下 : MSTP 设置 VLAN 映射表 ( 即 VLAN 和生成树的对应关系表 ), 把 VLAN 和生成树联系起来 通过增加 实例 ( 将多个 VLAN 整合到一个集合中 ) 这个概念, 将多个 VLAN 捆绑到一个实例中, 以节省通信开销和资源占用率 MSTP 把一个交换网络划分成多个域, 每个域内形成多棵生成树, 生成树之间彼此独立 MSTP 将环路网络修剪成为一个无环的树型网络, 避免报文在环路网络中的增生和无限循环, 同时还提供了数据转发的多个冗余路径, 在数据转发过程中实现 VLAN 数据的负载分担 MSTP 兼容 STP 和 RSTP 1-1
37 1.2 MSTP 典型配置指导 组网需求如图 1-1 所示,Device A 和 Device B 为汇聚层设备,Device C 和 Device D 为接入层设备 网络中所有设备属于同一个 MSTP 域 要求通过配置使不同 VLAN 的报文按照不同的生成树实例转发 :VLAN 10 的报文沿实例 1 转发,VLAN 30 沿实例 3 转发,VLAN 40 沿实例 4 转发,VLAN 20 沿实例 0 转发 要求 VLAN 10 和 VLAN 30 在汇聚层设备终结 VLAN 40 在接入层设备终结, 即配置实例 1 和实例 3 的根桥分别为 Device A 和 Device B, 实例 4 的根桥为 Device C 图 1-1 MSTP 配置组网图 GE1/0/1 GE1/0/1 GE1/0/1 GE1/0/ 适用产品 版本 表 1-1 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release
38 产品 软件版本 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 配置过程和解释 (1) 配置 VLAN 和端口请按照图 1-1 所示, 在 Device A 和 Device B 上分别创建 VLAN 和 30, 在 Device C 上创建 VLAN 和 40, 在 Device D 上创建 VLAN 和 40; 将各设备的各端口配置为 Trunk 端口并允许相应的 VLAN 通过 ( 此处仅列举出 Device A 的配置 ) <DeviceA> system-view [DeviceA] vlan 10 [DeviceA-vlan10] quit [DeviceA] vlan 20 [DeviceA-vlan20] quit [DeviceA] vlan 30 [DeviceA-vlan30] quit [DeviceA] interface gigabitethernet 1/0/1 [DeviceA-GigabitEthernet1/0/1] port link-type trunk [DeviceA-GigabitEthernet1/0/1] undo port trunk permit vlan 1 [DeviceA-GigabitEthernet1/0/1] port trunk permit vlan [DeviceA-GigabitEthernet1/0/1] quit [DeviceA] interface gigabitethernet 1/0/2 [DeviceA-GigabitEthernet1/0/2] port link-type trunk [DeviceA-GigabitEthernet1/0/2] undo port trunk permit vlan 1 [DeviceA-GigabitEthernet1/0/2] port trunk permit vlan [DeviceA-GigabitEthernet1/0/2] quit [DeviceA] interface gigabitethernet 1/0/3 [DeviceA-GigabitEthernet1/0/3] port link-type trunk [DeviceA-GigabitEthernet1/0/3] undo port trunk permit vlan 1 [DeviceA-GigabitEthernet1/0/3] port trunk permit vlan [DeviceA-GigabitEthernet1/0/3] quit (2) 配置 Device A 配置 MST 域的域名为 example, 将 VLAN 分别映射到生成树实例 上, 并配置 MSTP 的修订级别为 0 <DeviceA> system-view [DeviceA] stp region-configuration [DeviceA-mst-region] region-name example [DeviceA-mst-region] instance 1 vlan 10 [DeviceA-mst-region] instance 3 vlan 30 [DeviceA-mst-region] instance 4 vlan
39 [DeviceA-mst-region] revision-level 0 激活 MST 域的配置 [DeviceA-mst-region] active region-configuration [DeviceA-mst-region] quit 配置本设备为生成树实例 1 的根桥 [DeviceA] stp instance 1 root primary 全局使能 MSTP 协议 [DeviceA] stp enable (3) 配置 Device B 配置 MST 域的域名为 example, 将 VLAN 分别映射到生成树实例 上, 并配置 MSTP 的修订级别为 0 <DeviceB> system-view [DeviceB] stp region-configuration [DeviceB-mst-region] region-name example [DeviceB-mst-region] instance 1 vlan 10 [DeviceB-mst-region] instance 3 vlan 30 [DeviceB-mst-region] instance 4 vlan 40 [DeviceB-mst-region] revision-level 0 激活 MST 域的配置 [DeviceB-mst-region] active region-configuration [DeviceB-mst-region] quit 配置本设备为生成树实例 3 的根桥 [DeviceB] stp instance 3 root primary 全局使能 MSTP 协议 [DeviceB] stp enable (4) 配置 Device C 配置 MST 域的域名为 example, 将 VLAN 分别映射到生成树实例 上, 并配置 MSTP 的修订级别为 0 <DeviceC> system-view [DeviceC] stp region-configuration [DeviceC-mst-region] region-name example [DeviceC-mst-region] instance 1 vlan 10 [DeviceC-mst-region] instance 3 vlan 30 [DeviceC-mst-region] instance 4 vlan 40 [DeviceC-mst-region] revision-level 0 激活 MST 域的配置 [DeviceC-mst-region] active region-configuration [DeviceC-mst-region] quit 配置本设备为生成树实例 4 的根桥 [DeviceC] stp instance 4 root primary 全局使能 MSTP 协议 1-4
40 [DeviceC] stp enable (5) 配置 Device D 配置 MST 域的域名为 example, 将 VLAN 分别映射到生成树实例 上, 并配 置 MSTP 的修订级别为 0 <DeviceD> system-view [DeviceD] stp region-configuration [DeviceD-mst-region] region-name example [DeviceD-mst-region] instance 1 vlan 10 [DeviceD-mst-region] instance 3 vlan 30 [DeviceD-mst-region] instance 4 vlan 40 [DeviceD-mst-region] revision-level 0 激活 MST 域的配置 [DeviceD-mst-region] active region-configuration [DeviceD-mst-region] quit 全局使能 MSTP 协议 [DeviceD] stp enable (6) 检验配置效果 当网络拓扑稳定后, 通过使用 display stp brief 命令可以查看各设备上生成树的简要信息 例如 : 查看 Device A 上生成树的简要信息 [DeviceA] display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet1/0/1 ALTE DISCARDING NONE 0 GigabitEthernet1/0/2 DESI FORWARDING NONE 0 GigabitEthernet1/0/3 ROOT FORWARDING NONE 1 GigabitEthernet1/0/1 DESI FORWARDING NONE 1 GigabitEthernet1/0/3 DESI FORWARDING NONE 3 GigabitEthernet1/0/2 DESI FORWARDING NONE 3 GigabitEthernet1/0/3 ROOT FORWARDING NONE 查看 Device B 上生成树的简要信息 [DeviceB] display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet1/0/1 DESI FORWARDING NONE 0 GigabitEthernet1/0/2 DESI FORWARDING NONE 0 GigabitEthernet1/0/3 DESI FORWARDING NONE 1 GigabitEthernet1/0/2 DESI FORWARDING NONE 1 GigabitEthernet1/0/3 ROOT FORWARDING NONE 3 GigabitEthernet1/0/1 DESI FORWARDING NONE 3 GigabitEthernet1/0/3 DESI FORWARDING NONE 查看 Device C 上生成树的简要信息 [DeviceC] display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet1/0/1 DESI FORWARDING NONE 0 GigabitEthernet1/0/2 ROOT FORWARDING NONE 0 GigabitEthernet1/0/3 DESI FORWARDING NONE 1-5
41 1 GigabitEthernet1/0/1 ROOT FORWARDING NONE 1 GigabitEthernet1/0/2 ALTE DISCARDING NONE 4 GigabitEthernet1/0/3 DESI FORWARDING NONE 查看 Device D 上生成树的简要信息 [DeviceD] display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet1/0/1 ROOT FORWARDING NONE 0 GigabitEthernet1/0/2 ALTE DISCARDING NONE 0 GigabitEthernet1/0/3 ALTE DISCARDING NONE 3 GigabitEthernet1/0/1 ROOT FORWARDING NONE 3 GigabitEthernet1/0/2 ALTE DISCARDING NONE 4 GigabitEthernet1/0/3 ROOT FORWARDING NONE 根据上述显示信息, 可以绘出各 VLAN 所对应的 MSTI, 如图 1-2 所示 图 1-2 各 VLAN 对应的 MSTI 示意图 A B A B C C D VLAN 10 对应的 MSTI VLAN 20 对应的 MSTI A B D C D VLAN 30 对应的 MSTI VLAN 40 对应的 MSTI 根设备 MSTI 的链路 MSTI 中被协议阻断的链路 完整配置 Device A 上的配置 vlan 10 vlan 20 vlan 30 stp instance 1 root primary stp enable stp region-configuration region-name example instance 1 vlan
42 instance 3 vlan 30 instance 4 vlan 40 active region-configuration interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/2 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/3 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan Device B 上的配置 vlan 10 vlan 20 vlan 30 stp instance 3 root primary stp enable stp region-configuration region-name example instance 1 vlan 10 instance 3 vlan 30 instance 4 vlan 40 active region-configuration interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/2 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/3 port link-type trunk 1-7
43 port trunk permit vlan all Device C 上的配置 vlan 10 vlan 20 vlan 40 stp instance 4 root primary stp enable stp region-configuration region-name example instance 1 vlan 10 instance 3 vlan 30 instance 4 vlan 40 active region-configuration interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/2 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/3 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan Device D 上的配置 vlan 20 vlan 30 vlan 40 stp enable stp region-configuration instance 1 vlan 10 instance 3 vlan 30 instance 4 vlan 40 active region-configuration 1-8
44 interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/2 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan interface GigabitEthernet1/0/3 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 注意事项 不能同时在端口上配置 MSTP 和以下功能 : 业务环回 RRPP Smart Link 和 STP 协议的 BPDU Tunnel 功能 当同时使能 GVRP 和生成树协议时,GVRP 报文将沿 CIST 传播 因此当同时使能了 GVRP 和生成树协议时, 如果希望通过 GVRP 在网络中发布某个 VLAN, 则配置生成树协议的 VLAN 映射表时要保证将该 VLAN 映射到 CIST 上 两台或多台使能了生成树协议的设备若要属于同一个 MST 域, 必须同时满足以下两个条件 : 第一是选择因子 ( 取值为 0, 不可配 ) 域名 修订级别和 VLAN 映射表的配置都相同 ; 第二是这些设备之间的链路相通 在完整配置显示时, 部分设备缺省全局开启 STP 功能, 这些设备的完整配置中没有 stp enable 项 S5120-SI 系列交换机 Release 1101 版本 E552&E528 以太网交换机 Release 1103 版本生成树实例取值范围为 0~3, 最多支持配置 4 个生成树实例 S5120-LI 系列交换机 Release 1107 版本生成树实例的取值为 0 或 1, 最多支持配置 2 个生成树实例 1.3 与第三方厂商设备互通典型配置指导 与采用私有密钥计算配置摘要的第三方厂商设备互通根据 IEEE 802.1s 规定, 只有在 MST 域配置 ( 包括域名 修订级别 VLAN 映射关系和配置摘要 ) 完全一致的情况下, 相连的设备才被认为是在同一个域内 当设备使能了 MSTP 协议以后, 设备之间通过识别 BPDU 数据报文内的配置 ID 来判断相连的设备是否与自己处于相同的 MST 域内 ; 配置 ID 包含域名 修订级别 配置摘要等内容, 其中配置摘要长 16 字节, 是由 HMAC-MD5 算法将 VLAN 实例映射关系加密计算而成 1-9
45 在网络中, 由于一些厂商的设备在对 MSTP 协议的实现上存在差异, 即用加密算法计算配置摘要时采用私有的密钥, 从而导致即使 MST 域配置相同, 不同厂商的设备之间也不能实现在 MSTP 域内的互通 通过在设备上与对 MSTP 协议的实现存在私有性差异的第三方厂商设备相连的端口使能摘要侦听功能, 可以实现与这些厂商设备在 MST 域内的完全互通 1. 组网需求 Device C 为第三方厂商设备, 并已经被配置为根交换机,Device C 对 MSTP 协议的实现存在私有性差异 ; Device A 和 Device B 分别与 Device C 互联, 并配置在同一域内 ; 在 Device A 和 Device B 上使能摘要侦听功能, 实现与 Device C 在 MSTP 域内的互通 图 1-3 摘要侦听功能配置组网图 2. 适用产品 版本 表 1-2 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release
46 产品 软件版本 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 配置过程和解释 Device A Device B 和 Device C 互联并配置在同一 MSTP 域内 三台设备均已经完成 MSTP 基本配置, 具体配置过程略 (1) 配置 Device A 在 Device A 的端口 GigabitEthernet1/0/1 上使能摘要侦听功能, 并全局使能摘要侦听功能 <DeviceA> system-view [DeviceA] interface gigabitethernet 1/0/1 [DeviceA-GigabitEthernet1/0/1] stp config-digest-snooping [DeviceA-GigabitEthernet1/0/1] quit [DeviceA] stp config-digest-snooping (2) 配置 Device B 在 Device B 的端口 GigabitEthernet1/0/1 上使能摘要侦听功能, 并全局使能摘要侦听功能 <DeviceB> system-view [DeviceB] interface gigabitethernet 1/0/1 [DeviceB-GigabitEthernet1/0/1] stp config-digest-snooping [DeviceB-GigabitEthernet1/0/1] quit [DeviceB] stp config-digest-snooping (3) 检验配置效果当网络拓扑稳定后, 通过使用 display stp brief 命令可以查看各设备上生成树的简要信息 4. 完整配置 Device A 上的配置 stp config-digest-snooping interface GigabitEthernet1/0/1 stp config-digest-snooping Device B 上的配置 stp config-digest-snooping interface GigabitEthernet1/0/1 stp config-digest-snooping 1-11
47 5. 注意事项 摘要侦听功能在端口生效后, 由于不再通过配置摘要的比较计算来判断是否在同一个域内, 因此需要保证互连设备的域配置中 VLAN 与 MSTI 映射关系的配置相同 全局使能摘要侦听功能后, 禁止修改 MST 域配置中 VLAN 与 MSTI 的映射关系, 禁止执行 undo stp region-configuration 命令取消当前域配置, 但可以修改域配置中的域名和修订级别 只有当全局和端口上都使能了摘要侦听功能后, 该功能才能生效 使能摘要侦听功能时, 建议先在所有与第三方厂商设备相连的端口上使能该功能, 再全局使能该功能, 以一次性让所有端口的配置生效, 从而减少对网络的冲击 请不要在 MST 域的边界端口上使能摘要侦听功能, 否则可能会导致环路 建议配置完摘要侦听功能后再使能生成树协议 在网络稳定的情况下不要进行摘要侦听功能的配置, 以免造成临时的流量中断 与对 MSTP 协议的实现存在私有性差异的上游第三方厂商设备互通 RSTP 和 MSTP 的指定端口快速迁移机制使用两种协议报文 : Proposal 报文 : 指定端口请求快速迁移的报文 Agreement 报文 : 同意对端进行快速迁移的报文 上游设备的指定端口需要向下游设备发送 Proposal 报文, 请求快速切换 ; 该指定端口收到下游设备根端口回复的 Agreement 报文后才能进行快速迁移, 转为转发状态 当我方设备与作为上游设备且与对生成树协议的实现存在差异的第三方厂商设备互联时, 二者在快速迁移的配合上可能会存在一定的限制 通过在我方设备与对生成树协议的实现存在私有性差异的上游第三方厂商设备相连的端口上使能 No Agreement Check 功能, 可避免这种情况的出现, 使得上游的第三方厂商设备的指定端口能够进行状态的快速迁移 1. 组网需求 图 1-4 No Agreement Check 功能配置组网图 Device A 与对 MSTP 协议的实现存在私有性差异的第三方厂商设备 Device B 互连并配置在同一域内 ; Device B 作为域根,Device A 作为下游设备 ; 在 Device A 与 Device B 连接的端口上使能摘要侦听功能, 实现设备在 MSTP 域内的互通 1-12
48 2. 适用产品 版本 表 1-3 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 配置过程和解释 Device A 和 Device B 物理直连并配置在同一 MSTP 域内 Device B 作为域根,Device A 作为下游设备 两台设备均已经完成 MSTP 基本配置, 具体配置过程略 (1) 配置 Device A 在 Device A 的端口 GigabitEthernet1/0/1 上使能 No Agreement Check 功能 <DeviceA> system-view [DeviceA] interface gigabitethernet 1/0/1 [DeviceA-GigabitEthernet1/0/1] stp no-agreement-check (2) 检验配置效果当网络拓扑稳定后, 通过使用 display stp brief 命令可以查看各设备上生成树的简要信息 4. 完整配置 Device A 上的配置 1-13
49 interface GigabitEthernet1/0/1 stp no-agreement-check 5. 注意事项 请在设备的根端口上进行 No Agreement Check 功能配置 只有在根端口上配置本功能才会生效 1.4 RSTP 典型配置指导 组网需求 图 1-5 RSTP 配置组网图 如图 1-5 所示, 用户局域网内采用分层组网, 使用 RSTP 技术阻断环路, 实现链路备份, 要求 : (1) Device A 为核心层交换机, 作为树根 (2) Device B Device C 为汇聚层交换机 Device C 为 Device B 的备份交换机, 当 Device B 出现故障的时候, 由 Device C 转发数据 Device C 和 Device B 之间通过两条链路相连, 保证在一条链路发生故障的时候, 另一条可以正常工作 (3) Device D Device E Device F 为接入层交换机 Device D Device E Device F 下面直接挂接用户的计算机 Device D Device E Device F 分别通过一个端口与 Device C Device B 相连 Device A 一般是高中端交换机, 如 S7500E 系列交换机 Device B Device C 一般为低端交换机中的 S5800 系列 S5500 系列交换机 Device D Device E Device F 一般为低端交换机中的 S5120 系列 S3610 系列等 在后面的配置步骤中仅列出了 RSTP 相关的配置 1-14
50 1.4.2 配置思路根据用户的需求, 需要进行如下配置 : 配置 Device A 为树根 ; 配置 Device B 的 Bridge 优先级为 4096,Device C 的 Bridge 优先级配置为 8192, 使得 Device C 充当 Device B 的备份交换机 ; 在 Device A Device B Device C 的指定端口上启动根保护功能 ; 启动根桥设备 Device A 的 TC 防攻击功能 ; 将 Device D E F 直接与用户相连的端口配置为边缘端口, 并使能 BPDU 保护功能 适用产品 版本 表 1-4 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 配置过程和解释 (1) 配置 Device A 配置设备工作在 RSTP 模式 <DeviceA> system-view [DeviceA] stp mode rstp 配置 Device A 为树根 [DeviceA] stp root primary 1-15
51 配置 Device A 为树根还有一种方法, 就是将设备的 Bridge 优先级配置为 0, 配置命令为 : [DeviceA] stp priority 0 在与 Device B Device C 相连的指定端口上启动根保护功能 [DeviceA] interface GigabitEthernet 2/0/1 [DeviceA-GigabitEthernet2/0/1] stp root-protection [DeviceA-GigabitEthernet2/0/1] quit [DeviceA] interface GigabitEthernet 2/0/2 [DeviceA-GigabitEthernet2/0/2] stp root-protection [DeviceA-GigabitEthernet2/0/2] quit 启动 Device A 的 TC 防攻击功能 ( 可选, 该功能缺省情况下处于开启状态 ) [DeviceA] stp tc-protection enable 全局启动 RSTP 功能 [DeviceA] stp enable 全局启动 RSTP 功能后, 各个端口的 RSTP 默认为启动状态, 在不参与 RSTP 计算的端口上关闭 STP, 注意不要将参与 RSTP 计算的端口 STP 关闭 ( 此处仅列举出 GigabitEthernet 2/0/4) [DeviceA] interface GigabitEthernet 2/0/4 [DeviceA-GigabitEthernet2/0/4] undo stp enable [DeviceA-GigabitEthernet2/0/4] quit (2) 配置 Device B 配置设备工作在 RSTP 模式 <DeviceB> system-view [DeviceB] stp mode rstp 配置 Device B 的 Bridge 优先级为 4096 [DeviceB] stp priority 4096 在各个指定端口上启动根保护功能 [DeviceB] interface GigabitEthernet 1/0/4 [DeviceB-GigabitEthernet1/0/4] stp root-protection [DeviceB-GigabitEthernet1/0/4] quit [DeviceB] interface GigabitEthernet 1/0/5 [DeviceB-GigabitEthernet1/0/5] stp root-protection [DeviceB-GigabitEthernet1/0/5] quit [DeviceB] interface GigabitEthernet 1/0/6 [DeviceB-GigabitEthernet1/0/6] stp root-protection [DeviceB-GigabitEthernet1/0/6] quit MSTP 的工作模式 时间参数 端口上的参数都采用缺省值 全局启动 RSTP 功能 [DeviceB] stp enable 全局启动 RSTP 功能后, 各个端口的 RSTP 默认为启动状态, 在不参与 RSTP 计算的端口上关闭 STP, 注意不要将参与 RSTP 计算的端口 STP 关闭 ( 此处仅列举出 GigabitEthernet 1/0/8) 1-16
52 [DeviceB] interface GigabitEthernet 1/0/8 [DeviceB-GigabitEthernet1/0/8] undo stp enable [DeviceB-GigabitEthernet1/0/8] quit (3) 配置 Device C 配置设备工作在 RSTP 模式 <DeviceC> system-view [DeviceC] stp mode rstp 配置 Device C 的 Bridge 优先级配置为 8192, 充当 Device B 的备份交换机 [DeviceC] stp priority 8192 在各个指定端口上启动根保护功能 [DeviceC] interface GigabitEthernet 1/0/4 [DeviceC-GigabitEthernet1/0/4] stp root-protection [DeviceC-GigabitEthernet1/0/4] quit [DeviceC] interface GigabitEthernet 1/0/5 [DeviceC-GigabitEthernet1/0/5] stp root-protection [DeviceC-GigabitEthernet1/0/5] quit [DeviceC] interface GigabitEthernet 1/0/6 [DeviceC-GigabitEthernet1/0/6] stp root-protection [DeviceC-GigabitEthernet1/0/6] quit MSTP 的工作模式 时间参数 端口上的参数都采用缺省值 全局启动 RSTP 功能 [DeviceC] stp enable 全局启动 RSTP 功能后, 各个端口的 RSTP 默认为启动状态, 在不参与 RSTP 计算的端口上关闭 STP, 注意不要将参与 RSTP 计算的端口 STP 关闭 ( 此处仅列举出 GigabitEthernet 1/0/8) [DeviceC] interface GigabitEthernet 1/0/8 [DeviceC-GigabitEthernet1/0/8] undo stp enable [DeviceC-GigabitEthernet1/0/8] quit (4) 配置 Device D 配置设备工作在 RSTP 模式 <DeviceD> system-view [DeviceD] stp mode rstp 将直接与用户相连的端口配置为边缘端口, 并使能 BPDU 保护功能 ( 此处仅以 GigabitEthernet 1/0/4 为例 ) [DeviceD] interface GigabitEthernet 1/0/4 [DeviceD-GigabitEthernet1/0/4] stp edged-port enable [DeviceD-GigabitEthernet1/0/4] quit [DeviceD] stp bpdu-protection MSTP 的工作模式 时间参数 端口的其他参数都采用缺省值 全局启动 RSTP 功能 [DeviceD] stp enable 全局启动 RSTP 功能后, 各个端口的 RSTP 默认为启动状态, 在不参与 RSTP 计算的端口上关闭 STP, 注意不要将参与 RSTP 计算的端口 STP 关闭 ( 此处仅列举出 GigabitEthernet 1/0/3) 1-17
53 [DeviceD] interface GigabitEthernet 1/0/3 [DeviceD-GigabitEthernet1/0/3] undo stp enable [DeviceD-GigabitEthernet1/0/3] quit (5) 配置 Device E 和 Device F Device E 和 F 的配置同 Device D, 此处不再赘述 (6) 检验配置效果当网络拓扑稳定后, 通过使用 display stp brief 命令可以查看各设备上生成树的简要信息 完整配置 Device A 上的配置 stp mode rstp stp instance 0 root primary stp enable interface GigabitEthernet2/0/1 stp root-portection interface GigabitEthernet2/0/2 stp root-portection interface GigabitEthernet2/0/4 undo stp enable Device B 上的配置 stp mode rstp stp instance 0 priority 4096 stp enable interface GigabitEthernet1/0/4 stp root-portection interface GigabitEthernet1/0/5 stp root-portection interface GigabitEthernet1/0/6 stp root-portection interface GigabitEthernet1/0/8 undo stp enable Device C 上的配置 stp mode rstp stp instance 0 priority
54 stp enable interface GigabitEthernet1/0/4 stp root-portection interface GigabitEthernet1/0/5 stp root-portection interface GigabitEthernet1/0/6 stp root-portection interface GigabitEthernet1/0/8 undo stp enable Device D 上的配置 stp mode rstp stp bpdu-protection stp enable interface GigabitEthernet1/0/3 undo stp enable interface GigabitEthernet1/0/4 stp edged-port enable 注意事项 stp mode 命令用于设置交换机的 STP 工作模式 :STP RSTP 或 MSTP 设备缺省工作于 MSTP 模式 某些产品的某些版本不支持 undo stp enable 命令, 请使用 stp disable 命令关闭 STP 功能 本例中假定所有设备的端口路径开销相同 1-19
55 目录 1 QinQ 典型配置指导 基本 QinQ 典型配置指导 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 灵活 QinQ 典型配置指导 ( 基于端口配置 ) 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 灵活 QinQ 典型配置指导 ( 基于 QoS 策略配置 ) 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 i
56 1 QinQ 典型配置指导 本文主要介绍了使用 QinQ 功能在运营商网络中传输用户数据的配置方式, 包括基本 QinQ 和灵活 QinQ 两种主要功能 其中灵活 QinQ 又分为基于端口配置和基于 QoS 策略配置 : 基于端口配置操作上更简单直接 ; 而基于 QoS 策略的配置则更为灵活, 可以制定丰富的外层标签封装策略 1.1 基本 QinQ 典型配置指导 基本 QinQ 是基于端口方式实现的 当端口上配置了基本 QinQ 功能后, 不论从该端口收到报文是否带有 VLAN Tag, 设备都会为该报文封装本端口缺省 VLAN 的 Tag 该功能实现简单, 适用于在运营商网络中通过外层 VLAN 来区分某个用户网络的所有数据 组网需求图 1-1 基本 QinQ 组网示意图 Customer A VLAN 100~150 Customer B VLAN 120~200 CE A1 CE B2 PE A GE1/0/1 GE1/0/2 GE1/0/3 VLAN 1000, 2000 TPID = 0x8200 GE1/0/3 GE1/0/1 PE B GE1/0/2 Public network CE B1 CE A2 VLAN 120~200 VLAN 100~150 Customer B Customer A Customer A 和 Customer B 各有两个分支机构需要通过运营商网络进行通信, 如图 1-1 所示 现要求运营商网络能够为两个用户网络的分支机构间的通信提供相互隔离的通道, 并保证用户网络的 VLAN 信息能够准确传输 运营商网络中可用的资源包括 VLAN1000 和 VLAN2000,PE A 和 PE B 设备之间的设备采用的 TPID 值为 0x
57 1.1.2 配置思路要完成该组网需求, 需要在 PE A 和 PE B 设备上对各用户的数据进行区分, 使用 VLAN 进行区分是比较简单的方式 考虑到用户网络中已经存在私有 VLAN, 并且私有 VLAN 信息需要准确传输至远端用户网络, 因此, 可以使用基本 QinQ 功能, 在保留用户数据中私有 VLAN 信息的前提下, 再封装一层运营商网络 VLAN 来区分各个用户的数据 本例中, 使用 VLAN1000 来标识 Customer A 的数据 ; 使用 VLAN2000 来标识 Customer B 的数据 在 PE A 和 PE B 上分别进行以下配置 : PE A: 在 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 端口上配置基本 QinQ 功能, 并将缺省 VLAN 分别配置为 VLAN1000 和 VLAN2000 同时, 还需要配置 PE A 在从 GigabitEthernet1/0/3 端口发出数据时, 保留 VLAN Tag, 且采用的 TPID 值为 0x8200 PE B: 在 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 端口上配置基本 QinQ 功能, 并将缺省 VLAN 分别配置为 VLAN2000 和 VLAN1000 同时, 还需要配置 PE B 在从 GigabitEthernet1/0/3 端口发出数据时, 保留 VLAN Tag, 且采用的 TPID 值为 0x8200 在 PE A 和 PE B 设备接入用户的端口上, 需要配置在发送报文时去掉报文的 VLAN Tag, 以保证用户网络接收的数据中不会包含运营商的 VLAN 信息 适用产品 版本 表 1-1 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release 1102 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release
58 1.1.4 配置过程和解释 (1) PE A 的配置 创建 VLAN1000 和 VLAN2000 <PE_A> system-view [PE_A] vlan 1000 [PE_A-vlan1000] quit [PE_A] vlan 2000 [PE_A-vlan2000] quit GigabitEthernet1/0/1 端口的配置 配置端口为 Hybrid 端口, 缺省 VLAN 为 1000, 且在发送 VLAN1000 的报文时去掉 VLAN Tag [PE_A] interface GigabitEthernet 1/0/1 [PE_A-GigabitEthernet1/0/1] port link-type hybrid [PE_A-GigabitEthernet1/0/1] port hybrid pvid vlan 1000 [PE_A-GigabitEthernet1/0/1] port hybrid vlan 1000 untagged 除 S3610/S5510/S3500-EA 产品外, 其余产品对接入用户网络端口的端口类型没有限制, 只需要保证端口允许缺省 VLAN 不带 VLAN Tag 通过即可 对于 S3610/S5510/S3500-EA 产品, 则有以下要求 : 如果 PE 设备使用的是 S3610 或 S5510 系列交换机的 Release 5301 版本, 则在接入用户网络的端口上, 还必须允许用户网络的 VLAN 通过, 因此, 只能将端口配置为 Hybrid 端口 在此例中, 需要配置 port hybrid vlan 100 to untagged 如果 PE 设备使用的是 S3610/S5510/S3500-EA 系列交换机的的 Release 5303 及以上版本, 可以在接入用户网络的端口上关闭 VLAN 检查功能 ( 在端口视图下执行 vlan-check disable 命令 ), 这样该端口即可以不必允许用户网络的私有 VLAN 通过 下文不再赘述 开启 GigabitEthernet1/0/1 端口的 QinQ 功能 [PE_A-GigabitEthernet1/0/1] qinq enable GigabitEthernet1/0/2 端口的配置 配置端口为 Access 端口, 允许 VLAN2000 的报文通过 [PE_A] interface GigabitEthernet 1/0/2 [PE_A-GigabitEthernet1/0/2] port access vlan 2000 开启 GigabitEthernet1/0/2 端口的 QinQ 功能 [PE_A-GigabitEthernet1/0/2] qinq enable [PE_A-GigabitEthernet1/0/2] quit GigabitEthernet1/0/3 端口的配置 配置端口为 Trunk 端口, 且允许 VLAN1000 和 VLAN2000 的报文通过 [PE_A] interface GigabitEthernet 1/0/3 [PE_A-GigabitEthernet1/0/3] port link-type trunk [PE_A-GigabitEthernet1/0/3] port trunk permit vlan [PE_A-GigabitEthernet1/0/3] quit 1-3
59 配置 PE A 在向运营商网络内发送报文时, 采用的 TPID 值为 0x8200 配置 TPID 值有以下四种方式 : 方式一 ( 适用于 S5500-SI/S5120-EI/S5500-EI-D/S3100V2/E126B 系列交换机 ): 在系统视图下配置全局报文的 TPID 值, 该值对所有端口发送的报文均生效 [PE_A] qinq ethernet type 8200 方式二 ( 适用于 S5500-EI 系列交换机 ): 在系统视图下配置全局运营商网络的 TPID 值, 该值对所有未开启 QinQ 功能的端口发送的报文均生效 [PE_A] qinq ethernet type service-tag 8200 方式三 ( 适用于 S3610/S5510/S3500-EA/S5120-SI/S5120-EI-D/S5120-LI/E552&E528 系列交换机 ): 在端口视图下配置当前端口使用的 TPID 值 [PE_A] interface GigabitEthernet 1/0/3 [PE_A-GigabitEthernet1/0/3] qinq ethernet-type 8200 方式四 ( 适用于 S5800/S5820X/CE F/S7500E/S10500/S7600 系列交换机 ): 在端口视图下配置当前端口报文时使用的 TPID 值 [PE_A] interface GigabitEthernet 1/0/3 [PE_A-GigabitEthernet1/0/3] qinq ethernet-type service-tag 8200 (2) PE B 的配置 创建 VLAN1000 和 VLAN2000 <PE_B> system-view [PE_B] vlan 1000 [PE_B-vlan1000] quit [PE_B] vlan 2000 [PE_B-vlan2000] quit GigabitEthernet1/0/1 端口的配置 配置端口为 Hybrid 端口, 缺省 VLAN 为 2000, 且在发送 VLAN2000 的报文时去掉 VLAN Tag [PE_B] interface GigabitEthernet 1/0/1 [PE_B-GigabitEthernet1/0/1] port link-type hybrid [PE_B-GigabitEthernet1/0/1] port hybrid pvid vlan 2000 [PE_B-GigabitEthernet1/0/1] port hybrid vlan 2000 untagged 开启 GigabitEthernet1/0/1 端口的 QinQ 功能 [PE_B-GigabitEthernet1/0/1] qinq enable GigabitEthernet1/0/2 端口的配置 配置端口为 Access 端口, 允许 VLAN1000 的报文通过 [PE_B] interface GigabitEthernet 1/0/2 [PE_B-GigabitEthernet1/0/2] port access vlan 1000 开启 GigabitEthernet1/0/2 端口的 QinQ 功能 [PE_B-GigabitEthernet1/0/2] qinq enable [PE_B-GigabitEthernet1/0/2] quit GigabitEthernet1/0/3 端口的配置 配置端口为 Trunk 端口, 且允许 VLAN1000 和 VLAN2000 的报文通过 1-4
60 [PE_B] interface GigabitEthernet 1/0/3 [PE_B-GigabitEthernet1/0/3] port link-type trunk [PE_B-GigabitEthernet1/0/3] port trunk permit vlan [PE_B-GigabitEthernet1/0/3] quit 配置 PE B 在向运营商网络内发送报文时, 采用的 TPID 值为 0x8200 此处以 S5500-EI 系列交换机为例, 其它产品的配置方式请参见 PE A 的配置部分 [PE_B] qinq ethernet-type service-tag 8200 (3) 公共网络设备的配置由于 PE A 和 PE B 之间使用的网络设备可能来自于其他厂商, 这里只介绍基本原理 : 配置运营商网络中 PE A 到 PE B 之间的路径上的设备端口都允许 VLAN1000 和 VLAN2000 的报文携带 VLAN Tag 通过即可 完整配置 PE A 的配置 qinq ethernet-type service-tag 8200 vlan 1000 vlan 2000 interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan untagged qinq enable interface GigabitEthernet1/0/2 port access vlan 2000 qinq enable interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan PE B 的配置 qinq ethernet-type service-tag 8200 vlan 1000 vlan 2000 interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan untagged qinq enable 1-5
61 interface GigabitEthernet1/0/2 port access vlan 1000 qinq enable interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan 配置注意事项无 1.2 灵活 QinQ 典型配置指导 ( 基于端口配置 ) 基本 QinQ 功能可以确保各个用户网络的数据在运营商网络传输时相互隔离, 但具有一定的局限性 由于每个端口只能为接收的所有报文封装同样的外层标签, 因此对于用户网络中使用不同 VLAN 来区分的不同业务数据, 在运营商网络中就无法进行区分, 也就无法针对不同业务进行网络资源的分配和优化 使用灵活 QinQ 功能可以解决这个问题, 它对基本 QinQ 的功能进行了扩展, 对同一端口接收的报文, 可以根据用户网络 VLAN 的不同来为其封装不同的外层 VLAN Tag 组网需求图 1-2 灵活 QinQ 组网示意图 ( 基于端口配置 ) Customer A Customer B VLAN10~20 VLAN21~30 VLAN31~40 CE A1 CE B2 GE1/0/1 GE1/0/1 PE A GE1/0/2 GE1/0/3 Public network GE1/0/3 PE B GE1/0/2 CE B1 CE A2 VLAN15~25 VLAN26~35 VLAN36~40 Customer B Customer A Customer A 和 Customer B 各有两个分支机构需要通过运营商网络进行通信, 如图 1-2 所示 现要求运营商网络能够通过 QinQ 方式使用户的分支机构间进行数据传输, 并能够针对用户网络中用 1-6
62 VLAN 来标识的各种业务数据, 在运营商网络中提供相应的差别服务, 使优先级高的业务得到优先传输 其中 : Customer A 网络中各业务的传输优先等级为 : 普通业务数据 (VLAN10~VLAN20) 最低,IP 语音数据 (VLAN21~VLAN30) 较高, 视讯数据 (VLAN31~VLAN40) 最高 Customer B 网络中各业务的传输优先等级为 : 普通业务数据 (VLAN15~VLAN25) 最低,IP 语音数据 (VLAN26~VLAN35) 较高, 存储备份业务 (VLAN36~VLAN40) 最高 运营商网络中根据报文的 802.1p 优先级作为传输优先等级的参考 配置思路在网络中, 使用不同的 VLAN 标签来区分业务数据是比较简单和常见的方式 在本例中, 如果需要在运营商网络中既能实现各用户网络数据的隔离, 又能区分每个用户的不同数据, 则必须要为用户的各种业务数据封装不同的 VLAN Tag, 即配置灵活 QinQ 功能 根据运营商网络中可用的 VLAN 资源, 为两个用户分别分配 3 个 VLAN 用于灵活 QinQ: 为 Customer A 分配 VLAN1001 VLAN1002 和 VLAN1003, 分配传输普通业务数据 IP 语音数据和视讯数据 为 Customer B 分配 VLAN2001 VLAN2002 和 VLAN2003, 分配传输普通业务数据 IP 语音数据和存储备份业务数据经过 VLAN 分配后, 各用户数据在运营商网络中的预期传输情况如图 1-3 所示 : 图 1-3 配置灵活 QinQ 后用户数据的传输情况 Customer A Customer B VLAN10~20 VLAN21~30 VLAN31~40 CE A1 CE B2 VLAN1001 VLAN1002 VLAN1003 GE1/0/1 GE1/0/1 PE A GE1/0/3 Public network GE1/0/3 PE B GE1/0/2 GE1/0/2 VLAN2001 VLAN2002 VLAN2003 CE B1 CE A2 VLAN15~25 VLAN26~35 VLAN36~40 Customer B Customer A 按以上的组网规划, 需要在 PE A 和 PE B 设备的端口上进行以下配置 : 1-7
63 PE A: 在 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 端口上配置灵活 QinQ 功能, 分别为 Customer A 和 Customer B 的数据按业务不同封装不同的 VLAN Tag 在 GigabitEthernet1/0/3 端口上允许为这两个用户封装的所有外层 VLAN 通过 PE B: 在 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 端口上配置灵活 QinQ 功能, 分别为 Customer B 和 Customer A 的数据按业务不同封装不同的 VLAN Tag 在 GigabitEthernet1/0/3 端口上允许为这两个用户封装的所有外层 VLAN 通过 适用产品 版本表 1-2 配置适用的产品与软件版本关系 产品 软件版本 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2-EI 系列以太网交换机 Release 配置过程和解释 (1) Provider A 的配置 创建为用户数据分配的 VLAN, 即 VLAN1001~VLAN1003 VLAN2001~VLAN2003 <PE_A> system-view [PE_A] vlan 1001 to 1003 [PE_A] vlan 2001 to 2003 GigabitEthernet1/0/1 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN1001~VLAN1003 的报文通过, 并且在发送时去掉外层 Tag [PE_A] interface gigabitethernet 1/0/1 [PE_A-GigabitEthernet1/0/1] port link-type hybrid [PE_A-GigabitEthernet1/0/1] port hybrid vlan 1001 to 1003 untagged 对于 S3610/S5510/S3500-EA 产品, 对接入用户网络端口还需要进行以下配置 : 1-8
64 如果 PE 设备使用的是 S3610 或 S5510 系列交换机的 Release 5301 版本, 则在接入用户网络的端口上, 还必须允许用户网络的 VLAN 通过 如果 PE 设备使用的是 S3610/S5510/S3500-EA 系列交换机的的 Release 5303 及以上版本, 可以在接入用户网络的端口上关闭 VLAN 检查功能 ( 在端口视图下执行 vlan-check disable 命令 ), 这样该端口即可以不必允许用户网络的私有 VLAN 通过 下文不再赘述 在端口上配置灵活 QinQ 功能, 为原始 VLAN 为 VLAN10~VLAN20 的报文封装 VLAN1001 的外层标签 [PE_A-GigabitEthernet1/0/1] qinq vid 1001 [PE_A-GigabitEthernet1/0/1-vid-1001] raw-vlan-id inbound 10 to 20 [PE_A-GigabitEthernet1/0/1-vid-1001] quit 同样方法为原始 VLAN 为 VLAN21~VLAN30 和 VLAN31~VLAN40 的用户数据分别封装 VLAN1002 和 VLAN1003 的外层标签 [PE_A-GigabitEthernet1/0/1] qinq vid 1002 [PE_A-GigabitEthernet1/0/1-vid-1002] raw-vlan-id inbound 21 to 30 [PE_A-GigabitEthernet1/0/1-vid-1002] quit [PE_A-GigabitEthernet1/0/1] qinq vid 1003 [PE_A-GigabitEthernet1/0/1-vid-1003] raw-vlan-id inbound 31 to 40 [PE_A-GigabitEthernet1/0/1-vid-1003] quit GigabitEthernet1/0/2 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN2001~VLAN2003 的报文通过, 并且在发送时去掉外层 Tag [PE_A] interface gigabitethernet 1/0/2 [PE_A-GigabitEthernet1/0/2] port link-type hybrid [PE_A-GigabitEthernet1/0/2] port hybrid vlan 2001 to 2003 untagged 在端口上配置灵活 QinQ 功能, 为原始 VLAN 为 VLAN15~VLAN25 的报文封装 VLAN2001 的外层标签 [PE_A-GigabitEthernet1/0/2] qinq vid 2001 [PE_A-GigabitEthernet1/0/2-vid-2001] raw-vlan-id inbound 15 to 25 [PE_A-GigabitEthernet1/0/2-vid-2001] quit 同样方法为原始 VLAN 为 VLAN26~VLAN35 和 VLAN36~VLAN40 的用户数据分别封装 VLAN2002 和 VLAN2003 的外层标签 [PE_A-GigabitEthernet1/0/2] qinq vid 2002 [PE_A-GigabitEthernet1/0/2-vid-2002] raw-vlan-id inbound 26 to 35 [PE_A-GigabitEthernet1/0/2-vid-2002] quit [PE_A-GigabitEthernet1/0/2] qinq vid 2003 [PE_A-GigabitEthernet1/0/2-vid-2003] raw-vlan-id inbound 36 to 40 [PE_A-GigabitEthernet1/0/2-vid-2003] quit GigabitEthernet1/0/3 端口的配置 配置端口为 Trunk 端口, 且允许 VLAN1001~VLAN1003 和 VLAN2001~VLAN2003 的报文通过 [PE_A] interface gigabitethernet 1/0/3 [PE_A-GigabitEthernet1/0/3] port link-type trunk [PE_A-GigabitEthernet1/0/3] port trunk permit vlan 1001 to to 2003 [PE_A-GigabitEthernet1/0/3] quit 1-9
65 调整不同业务数据的传输优先级 ( 仅 S5500-EI 系列交换机支持 ) 调整报文的传输优先级主要通过 QoS 策略中的重标记功能来实现, 为使运营商网络对不同 VLAN 报文能够采取不同的传输等级, 需要重标记报文中的 802.1p 优先级 创建流分类, 匹配外层标签为 VLAN1001 或 VALN2001 的报文 [PE_A] traffic classifier low_priority operator or [PE_A-classifier-low_priority] if-match service-vlan-id 1001 [PE_A-classifier-low_priority] if-match service-vlan-id 2001 [PE_A-classifier-low_priority] quit 配置流行为, 动作为将 802.1p 优先级重标记为 2 [PE_A]traffic behavior low_priority [PE_A-behavior-low_priority] remark dot1p 2 [PE_A-behavior-low_priority] quit 按同样方法为外层标签为 VLAN 1002 或 VLAN 2002 以及外层标签为 VLAN1003 或 VLAN2003 的报文配置流分类和流行为, 动作为将 802.1p 优先级重标记为 4 和 6 [PE_A] traffic classifier mid_priority operator or [PE_A-classifier-mid_priority] if-match service-vlan-id 1002 [PE_A-classifier-mid_priority] if-match service-vlan-id 2002 [PE_A-classifier-mid_priority] quit [PE_A] traffic behavior mid_priority [PE_A-behavior-mid_priority] remark dot1p 4 [PE_A-behavior-mid_priority] quit [PE_A] traffic classifier high_priority operator or [PE_A-classifier-high_priority] if-match service-vlan-id 1003 [PE_A-classifier-high_priority] if-match service-vlan-id 2003 [PE_A-classifier-high_priority] quit [PE_A] traffic behavior high_priority [PE_A-behavior-high_priority] remark dot1p 6 [PE_A-behavior-high_priority] quit 创建重标记的 QoS 策略, 将以上三对流分类和流行为分别进行关联 并将策略应用到 GigabitEthernet1/0/3 端口的出方向 [PE_A] qos policy remark_priority [PE_A-qospolicy-remark_priority] classifier low_priority behavior low_priority [PE_A-qospolicy-remark_priority] classifier mid_priority behavior mid_priority [PE_A-qospolicy-remark_priority] classifier high_priority behavior high_priority [PE_A-qospolicy-remark_priority] quit [PE_A] interface GigabitEthernet 1/0/3 [PE_A-GigabitEthernet1/0/3] qos apply policy remark_priority outbound 配置端口 GigabitEthernet1/0/3 信任报文的 802.1p 优先级, 从而可以按照接收到的 QinQ 报文的 802.1p 优先级确定报文的传输优先等级 [PE_A-GigabitEthernet1/0/3] qos trust dot1p (2) Provider B 的配置 创建为用户数据分配的 VLAN, 即 VLAN1001~VLAN1003 VLAN2001~VLAN2003 <PE_B> system-view [PE_B] vlan 1001 to
66 [PE_B] vlan 2001 to 2003 GigabitEthernet1/0/1 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN2001~VLAN2003 的报文通过, 并且在发送时去掉外层 Tag [PE_B] interface gigabitethernet 1/0/1 [PE_B-GigabitEthernet1/0/1] port link-type hybrid [PE_B-GigabitEthernet1/0/1] port hybrid vlan 2001 to 2003 untagged 在端口上配置灵活 QinQ 功能, 为原始 VLAN 为 VLAN15~VLAN25 的报文封装 VLAN2001 的外层标签 [PE_B-GigabitEthernet1/0/1] qinq vid 2001 [PE_B-GigabitEthernet1/0/1-vid-2001] raw-vlan-id inbound 15 to 25 [PE_B-GigabitEthernet1/0/1-vid-2001] quit 同样方法为原始 VLAN 为 VLAN26~VLAN35 和 VLAN36~VLAN40 的用户数据分别封装 VLAN2002 和 VLAN2003 的外层标签 [PE_B-GigabitEthernet1/0/1] qinq vid 2002 [PE_B-GigabitEthernet1/0/1-vid-2002] raw-vlan-id inbound 26 to 35 [PE_B-GigabitEthernet1/0/1-vid-2002] quit [PE_B-GigabitEthernet1/0/1] qinq vid 2003 [PE_B-GigabitEthernet1/0/1-vid-2003] raw-vlan-id inbound 36 to 40 [PE_B-GigabitEthernet1/0/1-vid-2003] quit GigabitEthernet1/0/2 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN1001~VLAN1003 的报文通过, 并且在发送时去掉外层 Tag [PE_B] interface gigabitethernet 1/0/2 [PE_B-GigabitEthernet1/0/2] port link-type hybrid [PE_B-GigabitEthernet1/0/2] port hybrid vlan 1001 to 1003 untagged 在端口上配置灵活 QinQ 功能, 为原始 VLAN 为 VLAN10~VLAN20 的报文封装 VLAN1001 的外层标签 [PE_B-GigabitEthernet1/0/2] qinq vid 1001 [PE_B-GigabitEthernet1/0/2-vid-1001] raw-vlan-id inbound 10 to 20 [PE_B-GigabitEthernet1/0/2-vid-1001] quit 同样方法为原始 VLAN 为 VLAN21~VLAN30 和 VLAN31~VLAN40 的用户数据分别封装 VLAN1002 和 VLAN1003 的外层标签 [PE_B-GigabitEthernet1/0/2] qinq vid 1002 [PE_B-GigabitEthernet1/0/2-vid-1002] raw-vlan-id inbound 21 to 30 [PE_B-GigabitEthernet1/0/2-vid-1002] quit [PE_B-GigabitEthernet1/0/2] qinq vid 1003 [PE_B-GigabitEthernet1/0/2-vid-1003] raw-vlan-id inbound 31 to 40 [PE_B-GigabitEthernet1/0/2-vid-1003] quit GigabitEthernet1/0/3 端口的配置 配置端口为 Trunk 端口, 且允许 VLAN1001~VLAN1003 和 VLAN2001~VLAN2003 的报文通过 [PE_B] interface gigabitethernet 1/0/3 [PE_B-GigabitEthernet1/0/3] port link-type trunk [PE_B-GigabitEthernet1/0/3] port trunk permit vlan 1001 to to 2003 调整不同业务数据的传输优先级 ( 仅 S5500-EI 系列交换机支持 ) 1-11
67 在 PE B 上配置 QoS 策略, 对不同外层标签的报文重标记 802.1p 优先级, 并应用在 GigabitEthernet1/0/3 端口的出方向, 以便运营商网络内的其它设备作为传输优先级参考 配置方法与 PE A 完全一致, 这里不再赘述 配置端口 GigabitEthernet1/0/3 信任报文的 802.1p 优先级, 从而可以按照接收到的 QinQ 报文的 802.1p 优先级确定报文的传输优先等级 [PE_B-GigabitEthernet1/0/3] qos trust dot1p (3) 公共网络设备的配置由于 PE A 和 PE B 之间使用的公共网络设备可能来自于其他厂商, 这里只介绍配置项目, 具体配置方式请参见产品的配置手册 : 配置运营商网络中 PE A 到 PE B 之间的路径上的设备端口都允许 VLAN1001~VLAN1003 和 VLAN2001~VLAN2003 的报文携带 VLAN Tag 通过 要使 PE 设备为 QinQ 报文重标记的 802.1p 优先级在全网生效, 需要在各设备传输 QinQ 报文使其能够按照 802.1p 优先级来确定报文的发送优先等级 完整配置 PE_A 的配置 vlan 1001 to 1003 vlan 2001 to 2003 traffic classifier low_priority operator or if-match service-vlan-id 1003 if-match service-vlan-id 2003 traffic classifier high_priority operator or if-match service-vlan-id 1001 if-match service-vlan-id 2001 traffic classifier mid_priority operator or if-match service-vlan-id 1002 if-match service-vlan-id 2002 traffic behavior low_priority remark dot1p 6 traffic behavior high_priority remark dot1p 2 traffic behavior mid_priority remark dot1p 4 qos policy remark_priority classifier low_priority behavior low_priority classifier mid_priority behavior mid_priority classifier high_priority behavior high_priority interface GigabitEthernet1/0/1 port link-type hybrid 1-12
68 port hybrid vlan to 1003 untagged qinq vid 1001 raw-vlan-id inbound 10 to 20 qinq vid 1002 raw-vlan-id inbound 21 to 30 qinq vid 1003 raw-vlan-id inbound 31 to 40 interface GigabitEthernet1/0/2 port link-type hybrid port hybrid vlan to 2003 untagged qinq vid 2001 raw-vlan-id inbound 15 to 25 qinq vid 2002 raw-vlan-id inbound 26 to 35 qinq vid 2003 raw-vlan-id inbound 36 to 40 interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to 2003 qos apply policy remark_priority outbound qos trust dot1p ProviderB 的配置 vlan 1001 to 1003 vlan 2001 to 2003 traffic classifier low_priority operator or if-match service-vlan-id 1003 if-match service-vlan-id 2003 traffic classifier high_priority operator or if-match service-vlan-id 1001 if-match service-vlan-id 2001 traffic classifier mid_priority operator or if-match service-vlan-id 1002 if-match service-vlan-id 2002 traffic behavior low_priority remark dot1p 6 traffic behavior high_priority remark dot1p 2 traffic behavior mid_priority remark dot1p 4 qos policy remark_priority 1-13
69 classifier low_priority behavior low_priority classifier mid_priority behavior mid_priority classifier high_priority behavior high_priority interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan to 2003 untagged qinq vid 2001 raw-vlan-id inbound 15 to 25 qinq vid 2002 raw-vlan-id inbound 26 to 35 qinq vid 2003 raw-vlan-id inbound 36 to 40 interface GigabitEthernet1/0/2 port link-type hybrid port hybrid vlan to 1003 untagged qinq vid 1001 raw-vlan-id inbound 10 to 20 qinq vid 1002 raw-vlan-id inbound 21 to 30 qinq vid 1003 raw-vlan-id inbound 31 to 40 interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to 2003 qos apply policy remark_priority outbound qos trust dot1p 配置注意事项 缺省情况下, 设备为报文封装外层标签时使用的 802.1p 优先级为接收端口的端口优先级 对于除 S5500-EI 以外的设备, 如果需要在本地重标记 QinQ 报文的优先级, 请使用基于 QoS 策略配置的 QinQ 功能 在 S3610/S5510/S3500-EA 系列交换机上, 基本 QinQ 和灵活 QinQ 功能不能一个端口上同时配置, 且不能在镜像反射口上配置灵活 QinQ 功能 ; 在表 1-2 中所列的其它系列交换机上, 基本 QinQ 和灵活 QinQ 功能可以同时配置 在端口同时配置了这两种功能时, 满足灵活 QinQ 配置的报文将按灵活 QinQ 处理, 不满足灵活 QinQ 配置的报文将按基本 QinQ 处理 一个内层 VLAN Tag 只能对应一个外层 VLAN Tag 如果用户想改变报文的外层 VLAN Tag, 需要先删除旧的外层 VLAN Tag 配置, 然后再配置新的外层 VLAN Tag 1.3 灵活 QinQ 典型配置指导 ( 基于 QoS 策略配置 ) 基本 QinQ 功能可以确保各个用户网络的数据在运营商网络传输时相互隔离, 但具有一定的局限性 由于每个端口只能为接收的所有报文封装同样的外层标签, 因此对于用户网络中使用不同 VLAN 来 1-14
70 区分的不同业务数据, 在运营商网络中就无法进行区分, 也就无法针对不同业务进行网络资源的分配和优化 使用灵活 QinQ 功能可以解决这个问题, 它对基本 QinQ 的功能进行了扩展, 对同一端口接收的报文, 可以根据用户网络 VLAN 的不同来为其封装不同的外层 VLAN Tag 组网需求图 1-4 灵活 QinQ 组网示意图 ( 基于 QoS 策略配置 ) Customer A Customer B VLAN10~20 VLAN21~30 VLAN31~40 CE A1 CE B2 GE1/0/1 GE1/0/1 PE A GE1/0/2 GE1/0/3 Public network GE1/0/3 PE B GE1/0/2 CE B1 CE A2 VLAN15~25 VLAN26~35 VLAN36~40 Customer B Customer A Customer A 和 Customer B 各有两个分支机构需要通过运营商网络进行通信, 如图 1-2 所示 现要求运营商网络能够通过 QinQ 方式使用户的分支机构间进行数据传输, 并能够针对用户网络中用 VLAN 来标识的各种业务数据, 在运营商网络中提供相应的差别服务, 使优先级高的业务得到优先传输 其中 : Customer A 网络中各业务的传输优先等级为 : 普通业务数据 (VLAN10~VLAN20) 最低,IP 语音数据 (VLAN21~VLAN30) 较高, 视讯数据 (VLAN31~VLAN40) 最高 Customer B 网络中各业务的传输优先等级为 : 普通业务数据 (VLAN15~VLAN25) 最低,IP 语音数据 (VLAN26~VLAN35) 较高, 存储备份业务 (VLAN36~VLAN40) 最高 配置思路在网络中, 使用不同的 VLAN 标签来区分业务数据是比较简单和常见的方式 在本例中, 如果需要在运营商网络中既能实现各用户网络数据的隔离, 又能区分每个用户的不同数据, 则必须要为用户的各种业务数据封装不同的 VLAN Tag, 即配置灵活 QinQ 功能 根据运营商网络中可用的 VLAN 资源, 为两个用户分别分配 3 个 VLAN 用于灵活 QinQ: 1-15
71 为 Customer A 分配 VLAN1001 VLAN1002 和 VLAN1003, 分配传输普通业务数据 IP 语音数据和视讯数据 为 Customer B 分配 VLAN2001 VLAN2002 和 VLAN2003, 分配传输普通业务数据 IP 语音数据和存储备份业务数据经过 VLAN 分配后, 各用户数据在运营商网络中的预期传输情况如图 1-3 所示 : 图 1-5 配置灵活 QinQ 后用户数据的传输情况 Customer A Customer B VLAN10~20 VLAN21~30 VLAN31~40 CE A1 CE B2 VLAN1001 VLAN1002 VLAN1003 GE1/0/1 GE1/0/1 PE A GE1/0/3 Public network GE1/0/3 PE B GE1/0/2 GE1/0/2 VLAN2001 VLAN2002 VLAN2003 CE B1 CE A2 VLAN15~25 VLAN26~35 VLAN36~40 Customer B Customer A 按以上的组网规划, 需要在 PE A 和 PE B 设备的端口上进行以下配置 : PE A: 为 Customer A 创建用于灵活 QinQ 的 QoS 策略, 流分类为匹配用户不同业务的原始 VLAN, 流行为为封装为用户业务分配的外层 VLAN, 将该策略应用到 GigabitEthernet1/0/1 端口的入方向, 同理为 Customer B 创建 QoS 策略并应用到 GigabitEthernet1/0/2 端口的入方向 在 GigabitEthernet1/0/3 端口上允许为这两个用户封装的所有外层 VLAN 通过 PE B: 为 Customer A 创建用于灵活 QinQ 的 QoS 策略, 流分类为匹配用户不同业务的原始 VLAN, 流行为为封装为用户业务分配的外层 VLAN, 将该策略应用到 GigabitEthernet1/0/2 端口的入方向, 同理为 Customer B 创建 QoS 策略并应用到 GigabitEthernet1/0/1 端口的入方向 在 GigabitEthernet1/0/3 端口上允许为这两个用户封装的所有外层 VLAN 通过 1-16
72 1.3.3 适用产品 版本 表 1-3 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列, Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 5309 S3100V2-EI 系列以太网交换机 Release 配置过程和解释 (1) Provider A 的配置 创建为用户数据分配的 VLAN, 即 VLAN1001~VLAN1003 VLAN2001~VLAN2003 <PE_A> system-view [PE_A] vlan 1001 to 1003 [PE_A] vlan 2001 to 2003 GigabitEthernet1/0/1 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN1001~VLAN1003 的报文通过, 并且在发送时去掉外层 Tag [PE_A] interface gigabitethernet 1/0/1 [PE_A-GigabitEthernet1/0/1] port link-type hybrid [PE_A-GigabitEthernet1/0/1] port hybrid vlan 1001 to 1003 untagged 对于 S3610/S5510/S3500-EA 产品, 对接入用户网络端口还需要进行以下配置 : 如果 PE 设备使用的是 S3610 或 S5510 系列交换机的 Release 5301 版本, 则在接入用户网络的端口上, 还必须允许用户网络的 VLAN 通过 如果 PE 设备使用的是 S3610/S5510/S3500-EA 系列交换机的的 Release 5303 及以上版本, 可以在接入用户网络的端口上关闭 VLAN 检查功能 ( 在端口视图下执行 vlan-check disable 命令 ), 这样该端口即可以不必允许用户网络的私有 VLAN 通过 下文不再赘述 开启该端口的基本 QinQ 功能 [PE_A-GigabitEthernet1/0/1] qinq enable GigabitEthernet1/0/2 端口的配置 1-17
73 配置端口为 Hybrid 端口, 允许 VLAN2001~VLAN2003 的报文通过, 并且在发送时去掉外层 Tag [PE_A] interface gigabitethernet 1/0/2 [PE_A-GigabitEthernet1/0/2] port link-type hybrid [PE_A-GigabitEthernet1/0/2] port hybrid vlan 2001 to 2003 untagged 开启该端口的基本 QinQ 功能 [PE_A-GigabitEthernet1/0/2] qinq enable GigabitEthernet1/0/3 端口的配置 配置端口为 Trunk 端口, 且允许 VLAN1001~VLAN1003 和 VLAN2001~VLAN2003 的报文通过 [PE_A] interface gigabitethernet 1/0/3 [PE_A-GigabitEthernet1/0/3] port link-type trunk [PE_A-GigabitEthernet1/0/3] port trunk permit vlan 1001 to to 2003 [PE_A-GigabitEthernet1/0/3] quit QoS 策略的配置 为 Customer A 创建一个流分类, 匹配规则为用户网络中普通业务数据对应的 VLAN [PE_A] traffic classifier customer_a_pc [PE_A-classifier-customer_A_pc] if-match customer-vlan-id 10 to 20 [PE_A-classifier-customer_A_pc] quit 按同样方法创建匹配 Customer A 网络中语音数据和视讯数据的流分类 [PE_A] traffic classifier customer_a_voice [PE_A-classifier-customer_A_voice] if-match customer-vlan-id 21 to 30 [PE_A-classifier-customer_A_voice] quit [PE_A] traffic classifier customer_a_video [PE_A-classifier-customer_A_video] if-match customer-vlan-id 31 to 40 [PE_A-classifier-customer_A_video] quit 为 Customer A 的三种业务数据创建三个流行为, 动作为封装相应的外层 VLAN [PE_A] traffic behavior customer_a_pc [PE_A-behavior-customer_A_pc] nest top-most vlan-id 1001 [PE_A-behavior-customer_A_pc] quit [PE_A] traffic behavior customer_a_voice [PE_A-behavior-customer_A_voice] nest top-most vlan-id 1002 [PE_A-behavior-customer_A_voice] quit [PE_A] traffic behavior customer_a_video [PE_A-behavior-customer_A_video] nest top-most vlan-id 1003 [PE_A-behavior-customer_A_video] quit 创建用于 Customer A 的 QoS 策略, 将匹配用户业务数据的流分类与封装相应外层 VLAN 的流行为进行一一关联 [PE_A] qos policy customer_a [PE_A-qospolicy-customer_A] classifier customer_a_pc behavior customer_a_pc [PE_A-qospolicy-customer_A] classifier customer_a_voice behavior customer_a_voice [PE_A-qospolicy-customer_A] classifier customer_a_video behavior customer_a_video [PE_A-qospolicy-customer_A] quit 将上面创建的策略应用到 GigabitEthernet 1/0/1 端口的入方向 [PE_A] interface gigabitethernet 1/0/1 1-18
74 [PE_A-GigabitEthernet1/0/1] qos apply policy customer_a inbound 使用类似方法为 Customer B 的三种业务数据创建流分类 [PE_A] traffic classifier customer_b_pc [PE_A-classifier-customer_B_pc] if-match customer-vlan-id 15 to 25 [PE_A-classifier-customer_B_pc] quit [PE_A] traffic classifier customer_b_voice [PE_A-classifier-customer_B_voice] if-match customer-vlan-id 26 to 35 [PE_A-classifier-customer_B_voice] quit [PE_A] traffic classifier customer_b_storage [PE_A-classifier-customer_B_storage] if-match customer-vlan-id 36 to 40 [PE_A-classifier-customer_B_storage] quit 为 Customer B 的三种业务数据创建三个流行为, 动作为封装相应的外层 VLAN [PE_A] traffic behavior customer_b_pc [PE_A-behavior-customer_B_pc] nest top-most vlan-id 2001 [PE_A-behavior-customer_B_pc] quit [PE_A] traffic behavior customer_b_voice [PE_A-behavior-customer_B_voice] nest top-most vlan-id 2002 [PE_A-behavior-customer_B_voice] quit [PE_A] traffic behavior customer_b_storage [PE_A-behavior-customer_B_storage] nest top-most vlan-id 2003 [PE_A-behavior-customer_B_storage] quit 创建用于 Customer B 的 QoS 策略, 将匹配用户业务数据的流分类与封装相应外层 VLAN 的流行为进行一一关联 [PE_A] qos policy customer_b [PE_A-qospolicy-customer_B] classifier customer_b_pc behavior customer_b_pc [PE_A-qospolicy-customer_B] classifier customer_b_voice behavior customer_b_voice [PE_A-qospolicy-customer_B] classifier customer_b_storage behavior customer_b_storage [PE_A-qospolicy-customer_B] quit 将上面创建的策略应用到 GigabitEthernet 1/0/2 端口的入方向 [PE_A] interface gigabitethernet 1/0/2 [PE_A-GigabitEthernet1/0/2] qos apply policy customer_b inbound (2) Provider B 的配置 创建为用户数据分配的 VLAN, 即 VLAN1001~VLAN1003 VLAN2001~VLAN2003 <PE_B> system-view [PE_B] vlan 1001 to 1003 [PE_B] vlan 2001 to 2003 GigabitEthernet1/0/1 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN2001~VLAN2003 的报文通过, 并且在发送时去掉外层 Tag [PE_B] interface gigabitethernet 1/0/1 [PE_B-GigabitEthernet1/0/1] port link-type hybrid [PE_B-GigabitEthernet1/0/1] port hybrid vlan 2001 to 2003 untagged 开启该端口的基本 QinQ 功能 [PE_B-GigabitEthernet1/0/1] qinq enable 1-19
75 GigabitEthernet1/0/2 端口的配置 配置端口为 Hybrid 端口, 允许 VLAN1001~VLAN1003 的报文通过, 并且在发送时去掉外层 Tag [PE_B] interface gigabitethernet 1/0/2 [PE_B-GigabitEthernet1/0/2] port link-type hybrid [PE_B-GigabitEthernet1/0/2] port hybrid vlan 1001 to 1003 untagged 开启该端口的基本 QinQ 功能 [PE_B-GigabitEthernet1/0/2] qinq enable GigabitEthernet1/0/3 端口的配置 配置端口为 Trunk 端口, 且允许 VLAN1001~VLAN1003 和 VLAN2001~VLAN2003 的报文通过 [PE_B] interface gigabitethernet 1/0/3 [PE_B-GigabitEthernet1/0/3] port link-type trunk [PE_B-GigabitEthernet1/0/3] port trunk permit vlan 1001 to to 2003 QoS 策略的配置 按 PE A 设备的配置方法, 为 Customer A 的业务数据配置流分类 [PE_B] traffic classifier customer_a_pc [PE_B-classifier-customer_A_pc] if-match customer-vlan-id 10 to 20 [PE_B-classifier-customer_A_pc] quit [PE_B] traffic classifier customer_a_voice [PE_B-classifier-customer_A_voice] if-match customer-vlan-id 21 to 30 [PE_B-classifier-customer_A_voice] quit [PE_B] traffic classifier customer_a_video [PE_B-classifier-customer_A_video] if-match customer-vlan-id 31 to 40 [PE_B-classifier-customer_A_video] quit 为 Customer A 的三种业务数据创建三个流行为, 动作为封装相应的外层 VLAN [PE_B] traffic behavior customer_a_pc [PE_B-behavior-customer_A_pc] nest top-most vlan-id 1001 [PE_B-behavior-customer_A_pc] quit [PE_B] traffic behavior customer_a_voice [PE_B-behavior-customer_A_voice] nest top-most vlan-id 1002 [PE_B-behavior-customer_A_voice] quit [PE_B] traffic behavior customer_a_video [PE_B-behavior-customer_A_video] nest top-most vlan-id 1003 [PE_B-behavior-customer_A_video] quit 创建用于 Customer A 的 QoS 策略, 将匹配用户业务数据的流分类与封装相应外层 VLAN 的流行为进行一一关联 [PE_B] qos policy customer_a [PE_B-qospolicy-customer_A] classifier customer_a_pc behavior customer_a_pc [PE_B-qospolicy-customer_A] classifier customer_a_voice behavior customer_a_voice [PE_B-qospolicy-customer_A] classifier customer_a_video behavior customer_a_video [PE_B-qospolicy-customer_A] quit 将上面创建的策略应用到 GigabitEthernet 1/0/2 端口的入方向 [PE_B] interface gigabitethernet 1/0/2 [PE_B-GigabitEthernet1/0/2] qos apply policy customer_a inbound 1-20
76 使用类似方法为 Customer B 的三种业务数据创建流分类 [PE_B] traffic classifier customer_b_pc [PE_B-classifier-customer_B_pc] if-match customer-vlan-id 15 to 25 [PE_B-classifier-customer_B_pc] quit [PE_B] traffic classifier customer_b_voice [PE_B-classifier-customer_B_voice] if-match customer-vlan-id 26 to 35 [PE_B-classifier-customer_B_voice] quit [PE_B] traffic classifier customer_b_storage [PE_B-classifier-customer_B_storage] if-match customer-vlan-id 36 to 40 [PE_B-classifier-customer_B_storage] quit 为 Customer B 的三种业务数据创建三个流行为, 动作为封装相应的外层 VLAN [PE_B] traffic behavior customer_b_pc [PE_B-behavior-customer_B_pc] nest top-most vlan-id 2001 [PE_B-behavior-customer_B_pc] quit [PE_B] traffic behavior customer_b_voice [PE_B-behavior-customer_B_voice] nest top-most vlan-id 2002 [PE_B-behavior-customer_B_voice] quit [PE_B] traffic behavior customer_b_storage [PE_B-behavior-customer_B_storage] nest top-most vlan-id 2003 [PE_B-behavior-customer_B_storage] quit 创建用于 Customer B 的 QoS 策略, 将匹配用户业务数据的流分类与封装相应外层 VLAN 的流行为进行一一关联 [PE_B] qos policy customer_b [PE_B-qospolicy-customer_B] classifier customer_b_pc behavior customer_b_pc [PE_B-qospolicy-customer_B] classifier customer_b_voice behavior customer_b_voice [PE_B-qospolicy-customer_B] classifier customer_b_storage behavior customer_b_storage [PE_B-qospolicy-customer_B] quit 将上面创建的策略应用到 GigabitEthernet 1/0/1 端口的入方向 [PE_B] interface gigabitethernet 1/0/1 [PE_B-GigabitEthernet1/0/1] qos apply policy customer_b inbound (3) 公共网络设备的配置由于 PE A 和 PE B 之间使用的公共网络设备可能来自于其他厂商, 这里只介绍基本原理 : 配置运营商网络中 PE A 到 PE B 之间的路径上的设备端口都允许 VLAN1001~VLAN1003 和 VLAN2001~ VLAN2003 的报文携带 VLAN Tag 通过即可 完整配置 PE_A 的配置 vlan 1001 to 1003 vlan 2001 to 2003 traffic classifier customer_a_pc operator and if-match customer-vlan-id 10 to 20 traffic classifier customer_a_voice operator and 1-21
77 if-match customer-vlan-id 21 to 30 traffic classifier customer_a_video operator and if-match customer-vlan-id 31 to 40 traffic classifier customer_b_pc operator and if-match customer-vlan-id 15 to 25 traffic classifier customer_b_voice operator and if-match customer-vlan-id 26 to 35 traffic classifier customer_b_storage operator and if-match customer-vlan-id 36 to 40 traffic behavior customer_a_pc nest top-most vlan-id 1001 traffic behavior customer_a_voice nest top-most vlan-id 1002 traffic behavior customer_a_video nest top-most vlan-id 1003 traffic behavior customer_b_pc nest top-most vlan-id 2001 traffic behavior customer_b_voice nest top-most vlan-id 2002 traffic behavior customer_b_storage nest top-most vlan-id 2003 qos policy customer_a classifier customer_a_pc behavior customer_a_pc classifier customer_a_voice behavior customer_a_voice classifier customer_a_video behavior customer_a_video qos policy customer_b classifier customer_b_pc behavior customer_b_pc classifier customer_b_voice behavior customer_b_voice classifier customer_b_storage behavior customer_b_storage interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan to 1003 untagged qinq enable qos apply policy customer_a inbound interface GigabitEthernet1/0/2 port link-type hybrid port hybrid vlan to 2003 untagged qinq enable qos apply policy customer_b inbound interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to 2003 ProviderB 的配置 1-22
78 vlan 1001 to 1003 vlan 2001 to 2003 traffic classifier customer_a_pc operator and if-match customer-vlan-id 10 to 20 traffic classifier customer_a_voice operator and if-match customer-vlan-id 21 to 30 traffic classifier customer_a_video operator and if-match customer-vlan-id 31 to 40 traffic classifier customer_b_pc operator and if-match customer-vlan-id 15 to 25 traffic classifier customer_b_voice operator and if-match customer-vlan-id 26 to 35 traffic classifier customer_b_storage operator and if-match customer-vlan-id 36 to 40 traffic behavior customer_a_pc nest top-most vlan-id 1001 traffic behavior customer_a_voice nest top-most vlan-id 1002 traffic behavior customer_a_video nest top-most vlan-id 1003 traffic behavior customer_b_pc nest top-most vlan-id 2001 traffic behavior customer_b_voice nest top-most vlan-id 2002 traffic behavior customer_b_storage nest top-most vlan-id 2003 qos policy customer_a classifier customer_a_pc behavior customer_a_pc classifier customer_a_voice behavior customer_a_voice classifier customer_a_video behavior customer_a_video qos policy customer_b classifier customer_b_pc behavior customer_b_pc classifier customer_b_voice behavior customer_b_voice classifier customer_b_storage behavior customer_b_storage interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan to 2003 untagged qinq enable qos apply policy customer_b inbound interface GigabitEthernet1/0/2 port link-type hybrid 1-23
79 port hybrid vlan to 1003 untagged qinq enable qos apply policy customer_a inbound interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to 配置注意事项当配置了灵活 QinQ 的端口接收到报文时, 满足灵活 QinQ 配置的报文将按灵活 QinQ 处理, 不满足灵活 QinQ 配置的报文将按基本 QinQ 处理 1-24
80 目录 1 VLAN 映射典型配置指导 :1/N:1 VLAN 映射典型配置指导 ( 方式一 ) 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 :1/N:1 VLAN 映射典型配置指导 ( 方式二 ) 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 :2 VLAN 映射典型配置指导 组网需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 i
81 1 VLAN 映射典型配置指导 VLAN 映射是指将报文原有的 VLAN 标签进行替换, 使其能够在转发后的网络中应用基于 VLAN 的各种传输策略 1:1 VLAN 映射 : 将来自某一特定 VLAN 的报文所携带的 VLAN Tag 替换为新的 VLAN Tag N:1 VLAN 映射 : 将来自两个或多个 VLAN 的报文所携带的不同 VLAN Tag 替换为相同的 VLAN Tag 2:2 VLAN 映射 : 将携带有两层 VLAN Tag 的报文的内 外层 VLAN Tag 都替换为新的 VLAN Tag 图 1-1 VLAN 映射基本概念示意图 如图 1-1 所示, 为了更好的理解后面的配置过程, 此处定义几个概念 : 上行数据流 : 从用户网络发往汇聚层网络或 SP 网络的数据流, 都称为上行数据流 下行数据流 : 从汇聚层网络或 SP 网络发往用户网络的数据流, 都称为下行数据流 上行端口 : 发送上行数据流和接收下行数据流的端口称为上行端口 下行端口 : 发送下行数据流和接收上行数据流的端口称为下行端口 上行策略 : 负责上行数据流 VLAN 映射规则的 QoS 策略 下行策略 : 负责下行数据流 VLAN 映射规则的 QoS 策略 1-1
82 1.1 1:1/N:1 VLAN 映射典型配置指导 ( 方式一 ) 组网需求 图 1-2 1:1/N:1 VLAN 映射典型配置组网示意图 DHCP client PC VLAN 1 VoD VLAN 2 VoIP PC VLAN 3 VLAN 1 VoD VLAN 2 汇聚层网络 VoIP VLAN 3 PC VLAN 1 VLAN 501 VLAN 502 VLAN 503 VoD VLAN 2 VoIP VLAN 3 DHCP server PC VLAN 1 VoD VLAN 2 VoIP VLAN 3 在某个小区网络中, 服务提供商为家庭用户提供电脑上网 (PC) 视频点播(VoD) 和语音电话 (VoIP) 三种数据应用服务, 每个用户通过家庭网关接入楼道交换机, 并通过 DHCP 自动获取 IP 地址 在向用户分发家庭网关时, 服务提供商在家庭网关上进行了统一配置, 将 PC 业务划分到 VLAN1 VoD 业务化分到 VLAN2 VoIP 业务划分到 VLAN3 在楼道交换机上, 为了对不同用户的相同业务进行区分, 同时防止用户之间的信息泄漏和恶意攻击, 要求将每个用户的每种业务采用单独的 VLAN 进行标记 ; 在园区交换机上, 为节省 VLAN 资源, 要求将数据根据业务类型进行统一分类, 其中 :PC 业务通过 VLAN 501 发送 ;VoD 业务通过 VLAN 502 发送 ;VoIP 业务通过 VLAN 503 发送 配置思路 上行数据的映射 1-2
83 要完成楼道交换机的组网需求, 可以通过 1:1VLAN 映射功能来实现, 即在连接每个家庭网关的端口上配置 QoS 策略, 流分类为匹配用户原始 VLAN, 流行为为重标记报文的 VLAN 标签, 即可将接收到的所有用户的 VLAN1/VLAN2/VLAN3 的数据都分别映射到不同的 VLAN 例如在端口 1 上将 VLAN1 映射到 VLAN101, 在端口 2 上将 VLAN1 映射到 VLAN102, 依次类推 这样, 便可保证在楼道交换机上, 每个用户的每种业务都能够用不同的 VLAN 来区分 在园区交换机上, 需要使用 N:1 VLAN 映射, 即在 QoS 策略中, 流分类为匹配经楼道交换机重标记后的同一类报文的多个 VLAN, 流行为为重标记报文的 VLAN 标签 将此 QoS 策略在下行端口应用后, 即可将楼道交换机映射后的数据再根据数据类型进行重新映射, 忽略对不同用户的区分, 例如将上一段介绍中楼道交换机映射后的 VLAN101 和 VLAN102 都映射为 501 以上是对组网中上行数据进行的映射配置, 为保证用户能够从外网获取数据, 还必须对下行的数据进行配置, 使其准确的发送给提出需求的用户 下行数据的映射由于用户都是采用 DHCP 方式自动获取 IP 地址, 因此可以在楼道交换机和园区交换机上都配置 DHCP Snooping 功能, 将每个用户的每个客户端的 IP 地址 MAC 地址 接收端口和映射前的 VLAN 作为一条绑定表项进行记录, 当下行报文到来时, 可以通过报文的目的 IP 地址确认目的主机, 并根据 DHCP Snooping 绑定表项中对应该 IP 的 VLAN 信息来进行 VLAN 映射, 从而完成反向的 VLAN 标签替换 经过以上配置后, 用户与外网间交互的数据中 VLAN 标签会按图 1-3 所示进行替换 1-3
84 图 1-3 1:1/N:1 VLAN 映射配置效果示意图 DHCP client PC VLAN 1 VoD VoIP PC VoD VLAN 2 VLAN 3 VLAN 1 VLAN 2 GE1/0/1 Switch A GE1/0/2 VLAN 1<-> VLAN 101 VLAN 2<-> VLAN 201 VLAN 3<-> VLAN 301 GE1/0/3 VLAN 1<-> VLAN 102 VLAN 2<-> VLAN 202 VLAN 3<-> VLAN 302 汇聚层网络 VoIP PC VLAN 3 VLAN 1 VLAN 101~102<-> VLAN 501 VLAN 201~202<-> VLAN 502 VLAN 301~302<-> VLAN 503 Switch C VLAN 111~112<-> VLAN 501 VLAN 211~212<-> VLAN 502 VLAN 311~312<-> VLAN 503 GE1/0/1 GE1/0/2 GE1/0/3 GE1/0/1 Switch D VoD VLAN 2 VoIP PC VoD VLAN 3 VLAN 1 VLAN 2 GE1/0/1 Switch B GE1/0/2 VLAN 1<-> VLAN 111 VLAN 2<-> VLAN 211 VLAN 3<-> VLAN 311 GE1/0/3 VLAN 1<-> VLAN 112 VLAN 2<-> VLAN 212 VLAN 3<-> VLAN 312 DHCP server VoIP VLAN 适用产品 版本 表 1-1 配置适用的产品与软件版本关系 产品 软件版本 S3610&S5510 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5303,Release 配置过程和解释 (1) 楼道交换机 SwitchA 的配置 对上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 的报文 <SwitchA> system-view [SwitchA] traffic classifier uplink_1 operator or [SwitchA-classifier-uplink_1] if-match customer-vlan-id 1 1-4
85 [SwitchA-classifier-uplink_1] quit [SwitchA] traffic classifier uplink_2 operator or [SwitchA-classifier-uplink_2] if-match customer-vlan-id 2 [SwitchA-classifier-uplink_2] quit [SwitchA] traffic classifier uplink_3 operator or [SwitchA-classifier-uplink_3] if-match customer-vlan-id 3 [SwitchA-classifier-uplink_3] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchA] traffic behavior uplink_1 [SwitchA-behavior-uplink_1] remark service-vlan-id 101 [SwitchA-behavior-uplink_1] quit [SwitchA] traffic behavior uplink_2 [SwitchA-behavior-uplink_2] remark service-vlan-id 201 [SwitchA-behavior-uplink_2] quit [SwitchA] traffic behavior uplink_3 [SwitchA-behavior-uplink_3] remark service-vlan-id 301 [SwitchA-behavior-uplink_3] quit 创建 QoS 策略 uplink_1, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN101 VLAN2 的报文映射至 VLAN201 VLAN3 的报文映射至 VLAN301 [SwitchA] qos policy uplink_1 [SwitchA-policy-uplink_1] classifier uplink_1 behavior uplink_1 [SwitchA-policy-uplink_1] classifier uplink_2 behavior uplink_2 [SwitchA-policy-uplink_1] classifier uplink_3 behavior uplink_3 [SwitchA-policy-uplink_1] quit 配置端口 GigabitEthernet1/0/1 允许用户 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type trunk [SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 在端口 GigabitEthernet1/0/1 的入方向上应用上行策略 uplink_1 [SwitchA-GigabitEthernet1/0/1] qos apply policy uplink_1 inbound [SwitchA-GigabitEthernet1/0/1] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchA] traffic behavior uplink_4 [SwitchA-behavior-uplink_4] remark service-vlan-id 102 [SwitchA-behavior-uplink_4] quit [SwitchA] traffic behavior uplink_5 [SwitchA-behavior-uplink_5] remark service-vlan-id 202 [SwitchA-behavior-uplink_5] quit [SwitchA] traffic behavior uplink_6 [SwitchA-behavior-uplink_6] remark service-vlan-id 302 [SwitchA-behavior-uplink_6] quit 创建 QoS 策略 uplink_2, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN102 VLAN2 的报文映射至 VLAN202 VLAN3 的报文映射至 VLAN302 [SwitchA] qos policy uplink_2 1-5
86 [SwitchA-policy-uplink_2] classifier uplink_1 behavior uplink_4 mode dot1q-tag-manipulation [SwitchA-policy-uplink_2] classifier uplink_2 behavior uplink_5 mode dot1q-tag-manipulation [SwitchA-policy-uplink_2] classifier uplink_3 behavior uplink_6 mode dot1q-tag-manipulation [SwitchA-policy-uplink_2] quit 配置端口 GigabitEthernet1/0/2 允许用户原始 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type trunk [SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 在端口 GigabitEthernet1/0/2 的入方向上应用上行策略 uplink_2 [SwitchA-GigabitEthernet1/0/2] qos apply policy uplink_2 inbound [SwitchA-GigabitEthernet1/0/2] quit 配置上行端口 GigabitEthernet1/0/3 允许上行映射后的报文通过 [SwitchA] interface gigabitethernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-type trunk [SwitchA-GigabitEthernet1/0/3] port trunk permit vlan [SwitchA-GigabitEthernet1/0/3] quit 对下行数据的 VLAN 映射配置 使能 DHCP Snooping 功能 [SwitchA] dhcp-snooping 在每个进行映射的 VLAN 上都使能 ARP Detection 功能, 以便对 ARP 报文进行 VLAN 映射 [SwitchA] vlan 1 [SwitchA-vlan1] arp detection enable [SwitchA-vlan1] vlan 2 [SwitchA-vlan2] arp detection enable [SwitchA-vlan2] vlan 3 [SwitchA-vlan3] arp detection enable [SwitchA-vlan3] vlan 101 [SwitchA-vlan101] arp detection enable [SwitchA-vlan101] vlan 201 [SwitchA-vlan201] arp detection enable [SwitchA-vlan201] vlan 301 [SwitchA-vlan301] arp detection enable [SwitchA-vlan301] vlan 102 [SwitchA-vlan102] arp detection enable [SwitchA-vlan102] vlan 202 [SwitchA-vlan202] arp detection enable [SwitchA-vlan202] vlan 302 [SwitchA-vlan302] arp detection enable [SwitchA-vlan302] quit 配置端口 GigabitEthernet1/0/1 与源 IP 和源 MAC 地址进行动态绑定 [SwitchA] interface GigabitEthernet1/0/1 [SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address [SwitchA-GigabitEthernet1/0/1] quit 配置端口 GigabitEthernet1/0/2 与源 IP 和源 MAC 地址进行动态绑定 1-6
87 [SwitchA] interface GigabitEthernet1/0/2 [SwitchA-GigabitEthernet1/0/2] ip check source ip-address mac-address [SwitchA-GigabitEthernet1/0/2] quit 配置端口 GigabitEthernet1/0/3 为 DHCP Snooping 信任端口 [SwitchA] interface GigabitEthernet1/0/3 [SwitchA-GigabitEthernet1/0/3] dhcp-snooping trust 配置端口 GigabitEthernet1/0/3 为 ARP 信任端口 [SwitchA-GigabitEthernet1/0/3] arp detection trust (2) 楼道交换机 SwitchB 的配置 对上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 的报文 <SwitchB> system-view [SwitchB] traffic classifier uplink_1 operator or [SwitchB-classifier-uplink_1] if-match customer-vlan-id 1 [SwitchB-classifier-uplink_1] quit [SwitchB] traffic classifier uplink_2 operator or [SwitchB-classifier-uplink_2] if-match customer-vlan-id 2 [SwitchB-classifier-uplink_2] quit [SwitchB] traffic classifier uplink_3 operator or [SwitchB-classifier-uplink_3] if-match customer-vlan-id 3 [SwitchB-classifier-uplink_3] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchB] traffic behavior uplink_1 [SwitchB-behavior-uplink_1] remark service-vlan-id 111 [SwitchB-behavior-uplink_1] quit [SwitchB] traffic behavior uplink_2 [SwitchB-behavior-uplink_2] remark service-vlan-id 211 [SwitchB-behavior-uplink_2] quit [SwitchB] traffic behavior uplink_3 [SwitchB-behavior-uplink_3] remark service-vlan-id 311 [SwitchB-behavior-uplink_3] quit 创建 QoS 策略 uplink_1, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN111 VLAN2 的报文映射至 VLAN211 VLAN3 的报文映射至 VLAN311 [SwitchB] qos policy uplink_1 [SwitchB-policy-uplink_1] classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation [SwitchB-policy-uplink_1] classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation [SwitchB-policy-uplink_1] classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation [SwitchB-policy-uplink_1] quit 配置端口 GigabitEthernet1/0/1 允许用户原始 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port link-type trunk [SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 在端口 GigabitEthernet1/0/1 的入方向上应用上行策略 uplink_1 1-7
88 [SwitchB-GigabitEthernet1/0/1] qos apply policy uplink_1 inbound [SwitchB-GigabitEthernet1/0/1] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchB] traffic behavior uplink_4 operator or [SwitchB-behavior-uplink_4] remark service-vlan-id 112 [SwitchB-behavior-uplink_4] quit [SwitchB] traffic behavior uplink_5 operator or [SwitchB-behavior-uplink_5] remark service-vlan-id 212 [SwitchB-behavior-uplink_5] quit [SwitchB] traffic behavior uplink_6 operator or [SwitchB-behavior-uplink_6] remark service-vlan-id 312 [SwitchB-behavior-uplink_6] quit 创建 QoS 策略 uplink_2, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN112 VLAN2 的报文映射至 VLAN212 VLAN3 的报文映射至 VLAN312 [SwitchB] qos policy uplink_2 [SwitchB-policy-uplink_2] classifier uplink_1 behavior uplink_4 mode dot1q-tag-manipulation [SwitchB-policy-uplink_2] classifier uplink_2 behavior uplink_5 mode dot1q-tag-manipulation [SwitchB-policy-uplink_2] classifier uplink_3 behavior uplink_6 mode dot1q-tag-manipulation [SwitchB-policy-uplink_2] quit 配置端口 GigabitEthernet1/0/2 允许用户原始 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] port link-type trunk [SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 在端口 GigabitEthernet1/0/2 的入方向上应用上行策略 uplink_2 [SwitchB-GigabitEthernet1/0/2] qos apply policy uplink_2 inbound [SwitchB-GigabitEthernet1/0/2] quit 配置上行端口 GigabitEthernet1/0/3 允许上行映射后的报文通过 [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] port link-type trunk [SwitchB-GigabitEthernet1/0/3] port trunk permit vlan [SwitchB-GigabitEthernet1/0/3] quit 对下行数据的 VLAN 映射配置 使能 DHCP Snooping 功能 [SwitchB] dhcp-snooping 在每个进行映射的 VLAN 上都使能 ARP Detection 功能, 以便对 ARP 报文进行 VLAN 映射 [SwitchB] vlan 1 [SwitchB-vlan1] arp detection enable [SwitchB-vlan1] vlan 2 [SwitchB-vlan2] arp detection enable [SwitchB-vlan2] vlan 3 [SwitchB-vlan3] arp detection enable [SwitchB-vlan3] vlan 111 [SwitchB-vlan111] arp detection enable [SwitchB-vlan111] vlan
89 [SwitchB-vlan211] arp detection enable [SwitchB-vlan211] vlan 311 [SwitchB-vlan311] arp detection enable [SwitchB-vlan311] vlan 112 [SwitchB-vlan112] arp detection enable [SwitchB-vlan112] vlan 212 [SwitchB-vlan212] arp detection enable [SwitchB-vlan212] vlan 312 [SwitchB-vlan312] arp detection enable [SwitchB-vlan312] quit 配置端口 GigabitEthernet1/0/1 与源 IP 和源 MAC 地址进行动态绑定 [SwitchB] interface GigabitEthernet1/0/1 [SwitchB-GigabitEthernet1/0/1] ip check source ip-address mac-address [SwitchB-GigabitEthernet1/0/1] quit 配置端口 GigabitEthernet1/0/2 与源 IP 和源 MAC 地址进行动态绑定 [SwitchB] interface GigabitEthernet1/0/2 [SwitchB-GigabitEthernet1/0/2] ip check source ip-address mac-address [SwitchB-GigabitEthernet1/0/2] quit 配置端口 GigabitEthernet1/0/3 为 DHCP Snooping 信任端口 [SwitchB] interface GigabitEthernet1/0/3 [SwitchB-GigabitEthernet1/0/3] dhcp-snooping trust 配置端口 GigabitEthernet1/0/3 为 ARP 信任端口 [SwitchB-GigabitEthernet1/0/3] arp detection trust (3) 园区交换机 SwitchC 的配置 对 SwitchA 上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 101~ ~ ~302 的报文 <SwitchC> system-view [SwitchC] traffic classifier uplink_1 operator or [SwitchC-classifier-uplink_1] if-match customer-vlan-id [SwitchC-classifier-uplink_1] quit [SwitchC] traffic classifier uplink_2 operator or [SwitchC-classifier-uplink_2] if-match customer-vlan-id [SwitchC-classifier-uplink_2] quit [SwitchC] traffic classifier uplink_3 operator or [SwitchC-classifier-uplink_3] if-match customer-vlan-id [SwitchC-classifier-uplink_3] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchC] traffic behavior uplink_1 [SwitchC-behavior-uplink_1] remark service-vlan-id 501 [SwitchC-behavior-uplink_1] quit [SwitchC] traffic behavior uplink_2 [SwitchC-behavior-uplink_2] remark service-vlan-id 502 [SwitchC-behavior-uplink_2] quit [SwitchC] traffic behavior uplink_3 1-9
90 [SwitchC-behavior-uplink_3] remark service-vlan-id 503 [SwitchC-behavior-uplink_3] quit 创建 QoS 策略 uplink_1, 将三个流分类和流行为分别配对, 实现将 VLAN101~VLAN102 的报文映射至 VLAN501 VLAN201~VLAN202 的报文映射至 VLAN502 VLAN301~VLAN302 的报文映射至 VLAN503 [SwitchC] qos policy uplink_1 [SwitchC-policy-uplink_1] classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation [SwitchC-policy-uplink_1] classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation [SwitchC-policy-uplink_1] classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation [SwitchC-policy-uplink_1] quit 配置端口 GigabitEthernet1/0/1 允许 SwitchA 发送的所有 VLAN 的报文通过 [SwitchC] interface gigabitethernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] port link-type trunk [SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 在端口 GigabitEthernet1/0/1 的入方向上应用上行策略 uplink_1 [SwitchC-GigabitEthernet1/0/1] qos apply policy uplink_1 inbound [SwitchC-GigabitEthernet1/0/1] quit 对 SwitchB 上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 111~ ~ ~312 的报文 [SwitchC] traffic classifier uplink_4 operator or [SwitchC-classifier-uplink_4] if-match customer-vlan-id [SwitchC-classifier-uplink_4] quit [SwitchC] traffic classifier uplink_5 operator or [SwitchC-classifier-uplink_5] if-match customer-vlan-id [SwitchC-classifier-uplink_5] quit [SwitchC] traffic classifier uplink_6 operator or [SwitchC-classifier-uplink_6] if-match customer-vlan-id [SwitchC-classifier-uplink_6] quit 创建 QoS 策略 uplink_2, 将三个流分类和之前配置的三个流行为分别配对, 实现将 VLAN111~ VLAN112 的报文映射至 VLAN501 VLAN211~VLAN212 的报文映射至 VLAN502 VLAN311~ VLAN312 的报文映射至 VLAN503 [SwitchC] qos policy uplink_2 [SwitchC-policy-uplink_2] classifier uplink_4 behavior uplink_1 mode dot1q-tag-manipulation [SwitchC-policy-uplink_2] classifier uplink_5 behavior uplink_2 mode dot1q-tag-manipulation [SwitchC-policy-uplink_2] classifier uplink_6 behavior uplink_3 mode dot1q-tag-manipulation [SwitchC-policy-uplink_2] quit 配置端口 GigabitEthernet1/0/2 允许 SwitchB 发送的所有 VLAN 的报文通过 [SwitchC] interface gigabitethernet 1/0/2 [SwitchC-GigabitEthernet1/0/2] port link-type trunk [SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 在端口 GigabitEthernet1/0/2 的入方向上应用上行策略 uplink_2 [SwitchC-GigabitEthernet1/0/2] qos apply policy uplink_2 inbound [SwitchC-GigabitEthernet1/0/2] quit 1-10
91 配置上行端口 GigabitEthernet1/0/3 允许上行映射后的报文通过 [SwitchC] interface gigabitethernet 1/0/3 [SwitchC-GigabitEthernet1/0/3] port link-type trunk [SwitchC-GigabitEthernet1/0/3] port trunk permit vlan [SwitchC-GigabitEthernet1/0/3] quit 对下行数据的 VLAN 映射配置 使能 DHCP Snooping 功能 [SwitchC] dhcp-snooping 在每个进行映射的 VLAN 上都使能 ARP Detection 功能, 以便对 ARP 报文进行 VLAN 映射 [SwitchC] vlan 101 [SwitchC-vlan101] arp detection enable [SwitchC-vlan101] vlan 201 [SwitchC-vlan201] arp detection enable [SwitchC-vlan201] vlan 301 [SwitchC-vlan301] arp detection enable [SwitchC-vlan301] vlan 102 [SwitchC-vlan102] arp detection enable [SwitchC-vlan102] vlan 202 [SwitchC-vlan202] arp detection enable [SwitchC-vlan202] vlan 302 [SwitchC-vlan302] arp detection enable [SwitchC-vlan302] vlan 111 [SwitchC-vlan111] arp detection enable [SwitchC-vlan111] vlan 211 [SwitchC-vlan211] arp detection enable [SwitchC-vlan211] vlan 311 [SwitchC-vlan311] arp detection enable [SwitchC-vlan311] vlan 112 [SwitchC-vlan112] arp detection enable [SwitchC-vlan112] vlan 212 [SwitchC-vlan212] arp detection enable [SwitchC-vlan212] vlan 312 [SwitchC-vlan312] arp detection enable [SwitchC-vlan312] vlan 501 [SwitchC-vlan501] arp detection enable [SwitchC-vlan501] vlan 502 [SwitchC-vlan502] arp detection enable [SwitchC-vlan502] vlan 503 [SwitchC-vlan503] arp detection enable [SwitchC-vlan503] quit 配置端口 GigabitEthernet1/0/1 与源 IP 和源 MAC 地址进行动态绑定 [SwitchC] interface GigabitEthernet1/0/1 [SwitchC-GigabitEthernet1/0/1] ip check source ip-address mac-address [SwitchC-GigabitEthernet1/0/1] quit 配置端口 GigabitEthernet1/0/2 与源 IP 和源 MAC 地址进行动态绑定 1-11
92 [SwitchC] interface GigabitEthernet1/0/2 [SwitchC-GigabitEthernet1/0/2] ip check source ip-address mac-address [SwitchC-GigabitEthernet1/0/2] quit 配置端口 GigabitEthernet1/0/3 为 DHCP Snooping 信任端口 [SwitchC] interface GigabitEthernet1/0/3 [SwitchC-GigabitEthernet1/0/3] dhcp-snooping trust 配置端口 GigabitEthernet1/0/3 为 ARP 信任端口 [SwitchC-GigabitEthernet1/0/3] arp detection trust 完整配置 Switch A 的配置 dhcp-snooping vlan 1 arp detection enable vlan 2 arp detection enable vlan 3 arp detection enable vlan 101 arp detection enable vlan 102 arp detection enable vlan 201 arp detection enable vlan 202 arp detection enable vlan 301 arp detection enable vlan 302 arp detection enable traffic classifier uplink_1 operator or if-match customer-vlan-id 1 traffic classifier uplink_2 operator or if-match customer-vlan-id 2 traffic classifier uplink_3 operator or if-match customer-vlan-id
93 traffic behavior uplink_1 remark service-vlan-id 101 traffic behavior uplink_2 remark service-vlan-id 201 traffic behavior uplink_3 remark service-vlan-id 301 traffic behavior uplink_4 remark service-vlan-id 102 traffic behavior uplink_5 remark service-vlan-id 202 traffic behavior uplink_6 remark service-vlan-id 302 qos policy uplink_1 classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation qos policy uplink_2 classifier uplink_1 behavior uplink_4 mode dot1q-tag-manipulation classifier uplink_2 behavior uplink_5 mode dot1q-tag-manipulation classifier uplink_3 behavior uplink_6 mode dot1q-tag-manipulation interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 1 to 3 qos apply policy uplink_1 inbound ip check source ip-address mac-address interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 1 to 3 qos apply policy uplink_2 inbound ip check source ip-address mac-address interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to to 302 dhcp-snooping trust arp detection trust Switch B 的配置 dhcp-snooping vlan 1 arp detection enable vlan
94 arp detection enable vlan 3 arp detection enable vlan 101 arp detection enable vlan 102 arp detection enable vlan 201 arp detection enable vlan 202 arp detection enable vlan 301 arp detection enable vlan 302 arp detection enable traffic classifier uplink_1 operator or if-match customer-vlan-id 1 traffic classifier uplink_2 operator or if-match customer-vlan-id 2 traffic classifier uplink_3 operator or if-match customer-vlan-id 3 traffic behavior uplink_1 remark service-vlan-id 101 traffic behavior uplink_2 remark service-vlan-id 201 traffic behavior uplink_3 remark service-vlan-id 301 traffic behavior uplink_4 remark service-vlan-id 102 traffic behavior uplink_5 remark service-vlan-id 202 traffic behavior uplink_6 remark service-vlan-id 302 qos policy uplink_1 classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation qos policy uplink_2 1-14
95 classifier uplink_1 behavior uplink_4 mode dot1q-tag-manipulation classifier uplink_2 behavior uplink_5 mode dot1q-tag-manipulation classifier uplink_3 behavior uplink_6 mode dot1q-tag-manipulation interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 1 to 3 qos apply policy uplink_1 inbound ip check source ip-address mac-address interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 1 to 3 qos apply policy uplink_2 inbound ip check source ip-address mac-address interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to to 302 dhcp-snooping trust arp detection trust Switch C 的配置 dhcp-snooping vlan 101 arp detection enable vlan 102 arp detection enable vlan 111 arp detection enable vlan 112 arp detection enable vlan 201 arp detection enable vlan 202 arp detection enable vlan 211 arp detection enable vlan 212 arp detection enable 1-15
96 vlan 301 arp detection enable vlan 302 arp detection enable vlan 311 arp detection enable vlan 312 arp detection enable vlan 501 arp detection enable vlan 502 arp detection enable vlan 503 arp detection enable traffic classifier uplink_1 operator or if-match customer-vlan-id traffic classifier uplink_2 operator or if-match customer-vlan-id traffic classifier uplink_3 operator or if-match customer-vlan-id traffic classifier uplink_4 operator or if-match customer-vlan-id traffic classifier uplink_5 operator or if-match customer-vlan-id traffic classifier uplink_6 operator or if-match customer-vlan-id traffic behavior uplink_1 remark service-vlan-id 501 traffic behavior uplink_2 remark service-vlan-id 502 traffic behavior uplink_3 remark service-vlan-id 503 qos policy uplink_1 classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation qos policy uplink_2 classifier uplink_4 behavior uplink_1 mode dot1q-tag-manipulation 1-16
97 classifier uplink_5 behavior uplink_2 mode dot1q-tag-manipulation classifier uplink_6 behavior uplink_3 mode dot1q-tag-manipulation interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan to to to 302 qos apply policy uplink_1 inbound ip check source ip-address mac-address interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan to to to 312 qos apply policy uplink_2 inbound ip check source ip-address mac-address interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to 503 dhcp-snooping trust arp detection trust 配置注意事项如果用户想要改变 VLAN 映射关系, 必须先用 reset dhcp-snooping 命令来清除 DHCP Snooping 表项或者先取消下行端口与源 IP 和源 MAC 地址的动态绑定关系后再重新进行绑定, 然后再修改 QoS 策略中的 VLAN 映射关系 1-17
98 1.2 1:1/N:1 VLAN 映射典型配置指导 ( 方式二 ) 组网需求 图 1-4 1:1/N:1 VLAN 映射典型配置组网示意图 DHCP client PC VLAN 1 VoD VLAN 2 VoIP PC VLAN 3 VLAN 1 VoD VLAN 2 汇聚层网络 VoIP VLAN 3 PC VLAN 1 VLAN 501 VLAN 502 VLAN 503 VoD VLAN 2 VoIP VLAN 3 DHCP server PC VLAN 1 VoD VLAN 2 VoIP VLAN 3 在某个小区网络中, 服务提供商为家庭用户提供电脑上网 (PC) 视频点播(VoD) 和语音电话 (VoIP) 三种数据应用服务, 每个用户通过家庭网关接入楼道交换机, 并通过 DHCP 自动获取 IP 地址 在向用户分发家庭网关时, 服务提供商在家庭网关上进行了统一配置, 将 PC 业务划分到 VLAN1 VoD 业务化分到 VLAN2 VoIP 业务划分到 VLAN3 在楼道交换机上, 为了对不同用户的相同业务进行区分, 同时防止用户之间的恶意攻击, 要求将每个用户的每种业务采用单独的 VLAN 进行标记 ; 在园区交换机上, 为节省 VLAN 资源, 要求将数据根据业务类型进行统一分类, 其中 :PC 业务通过 VLAN 501 发送 ;VoD 业务通过 VLAN 502 发送 ; VoIP 业务通过 VLAN 503 发送 配置思路 上行数据的映射 1-18
99 要完成楼道交换机的组网需求, 可以通过 1:1VLAN 映射功能来实现, 即在连接每个家庭网关的端口上配置 QoS 策略, 流分类为匹配用户原始 VLAN, 流行为为重标记报文的 VLAN 标签, 即可将接收到的所有用户的 VLAN1 VLAN2 VLAN3 的数据都分别映射到不同的 VLAN 例如在端口 1 上将 VLAN1 映射到 VLAN101, 在端口 2 上将 VLAN1 映射到 VLAN102, 依次类推 这样, 便可保证在楼道交换机上, 每个用户的每种业务都能够用不同的 VLAN 来区分 在园区交换机上, 需要使用 N:1 VLAN 映射, 即在 QoS 策略中, 流分类为匹配经楼道交换机重标记后的同一类报文的多个 VLAN, 流行为为重标记报文的 VLAN 标签 将此 QoS 策略在下行端口应用后, 即可将楼道交换机映射后的数据再根据数据类型进行重新映射, 忽略对不同用户的区分, 例如将上一段介绍中楼道交换机映射后的 VLAN101 和 VLAN102 都映射为 501 以上是对组网中上行数据进行的映射配置, 为保证用户能够从外网获取数据, 还必须对下行的数据进行配置, 使其准确的发送给提出需求的用户 下行数据的映射由于用户都是采用 DHCP 方式自动获取 IP 地址, 因此可以在园区交换机上配置 DHCP Snooping 功能, 将每个用户的每个客户端的 IP 地址 MAC 地址 接收端口和映射前的 VLAN 作为一条绑定表项进行记录, 当下行报文到来时, 可以通过报文的目的 IP 地址确认目的主机, 并根据 DHCP Snooping 绑定表项中对应该 IP 的 VLAN 信息来进行 VLAN 映射, 从而完成反向的 VLAN 映射 经过园区交换机反向映射的下行数据已经恢复为上行时经楼道交换机映射后的 VLAN 标签 ( 例如 VLAN101), 当下行数据到达楼道交换机后, 可以在楼道交换机的下行端口配置 1:1 VLAN 映射, 将 VLAN 标签重新映射回 VLAN1 VLAN2 VLAN3, 从而能够正常被用户接收 经过以上配置后, 用户与外网间交互的数据中 VLAN 标签会按图 1-3 所示进行替换 1-19
100 图 1-5 1:1/N:1 VLAN 映射配置效果示意图 DHCP client PC VLAN 1 VoD VoIP PC VoD VLAN 2 VLAN 3 VLAN 1 VLAN 2 GE1/0/1 Switch A GE1/0/2 VLAN 1<-> VLAN 101 VLAN 2<-> VLAN 201 VLAN 3<-> VLAN 301 GE1/0/3 VLAN 1<-> VLAN 102 VLAN 2<-> VLAN 202 VLAN 3<-> VLAN 302 汇聚层网络 VoIP PC VLAN 3 VLAN 1 VLAN 101~102<-> VLAN 501 VLAN 201~202<-> VLAN 502 VLAN 301~302<-> VLAN 503 Switch C VLAN 111~112<-> VLAN 501 VLAN 211~212<-> VLAN 502 VLAN 311~312<-> VLAN 503 GE1/0/1 GE1/0/2 GE1/0/3 GE1/0/1 Switch D VoD VLAN 2 VoIP PC VoD VLAN 3 VLAN 1 VLAN 2 GE1/0/1 Switch B GE1/0/2 VLAN 1<-> VLAN 111 VLAN 2<-> VLAN 211 VLAN 3<-> VLAN 311 GE1/0/3 VLAN 1<-> VLAN 112 VLAN 2<-> VLAN 212 VLAN 3<-> VLAN 312 DHCP server VoIP VLAN 适用产品 版本 表 1-2 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 配置过程和解释 (1) 楼道交换机 SwitchA 的配置 对上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 的报文 <SwitchA> system-view 1-20
101 [SwitchA] traffic classifier uplink_1 [SwitchA-classifier-uplink_1] if-match customer-vlan-id 1 [SwitchA-classifier-uplink_1] quit [SwitchA] traffic classifier uplink_2 [SwitchA-classifier-uplink_2] if-match customer-vlan-id 2 [SwitchA-classifier-uplink_2] quit [SwitchA] traffic classifier uplink_3 [SwitchA-classifier-uplink_3] if-match customer-vlan-id 3 [SwitchA-classifier-uplink_3] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchA] traffic behavior uplink_1 [SwitchA-behavior-uplink_1] remark service-vlan-id 101 [SwitchA-behavior-uplink_1] quit [SwitchA] traffic behavior uplink_2 [SwitchA-behavior-uplink_2] remark service-vlan-id 201 [SwitchA-behavior-uplink_2] quit [SwitchA] traffic behavior uplink_3 [SwitchA-behavior-uplink_3] remark service-vlan-id 301 [SwitchA-behavior-uplink_3] quit 创建 QoS 策略 uplink_1, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN101 VLAN2 的报文映射至 VLAN201 VLAN3 的报文映射至 VLAN301 [SwitchA] qos policy uplink_1 [SwitchA-policy-uplink_1] classifier uplink_1 behavior uplink_1 [SwitchA-policy-uplink_1] classifier uplink_2 behavior uplink_2 [SwitchA-policy-uplink_1] classifier uplink_3 behavior uplink_3 [SwitchA-policy-uplink_1] quit 配置端口 GigabitEthernet1/0/1 允许用户 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type trunk [SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 开启端口 GigabitEthernet1/0/1 的基本 QinQ 功能 [SwitchA-GigabitEthernet1/0/1] qinq enable 在端口 GigabitEthernet1/0/1 的入方向上应用上行策略 uplink_1 [SwitchA-GigabitEthernet1/0/1] qos apply policy uplink_1 inbound 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchA] traffic behavior uplink_4 [SwitchA-behavior-uplink_4] remark service-vlan-id 102 [SwitchA-behavior-uplink_4] quit [SwitchA] traffic behavior uplink_5 [SwitchA-behavior-uplink_5] remark service-vlan-id 202 [SwitchA-behavior-uplink_5] quit [SwitchA] traffic behavior uplink_6 [SwitchA-behavior-uplink_6] remark service-vlan-id 302 [SwitchA-behavior-uplink_6] quit 1-21
102 创建 QoS 策略 uplink_2, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN102 VLAN2 的报文映射至 VLAN202 VLAN3 的报文映射至 VLAN302 [SwitchA] qos policy uplink_2 [SwitchA-policy-uplink_2] classifier uplink_1 behavior uplink_4 [SwitchA-policy-uplink_2] classifier uplink_2 behavior uplink_5 [SwitchA-policy-uplink_2] classifier uplink_3 behavior uplink_6 [SwitchA-policy-uplink_2] quit 配置端口 GigabitEthernet1/0/2 允许用户原始 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type trunk [SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 开启端口 GigabitEthernet1/0/2 的基本 QinQ 功能 [SwitchA-GigabitEthernet1/0/2] qinq enable 在端口 GigabitEthernet1/0/2 的入方向上应用上行策略 uplink_2 [SwitchA-GigabitEthernet1/0/2] qos apply policy uplink_2 inbound [SwitchA-GigabitEthernet1/0/2] quit 配置上行端口 GigabitEthernet1/0/3 允许上行映射后的报文通过 [SwitchA] interface gigabitethernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-type trunk [SwitchA-GigabitEthernet1/0/3] port trunk permit vlan [SwitchA-GigabitEthernet1/0/3] quit 对下行数据的 VLAN 映射配置 配置三个流分类, 分别匹配运营商 VLAN 为 的报文 [SwitchA] traffic classifier downlink_1 [SwitchA-classifier-downlink_1] if-match service-vlan-id 101 [SwitchA-classifier-downlink_1] quit [SwitchA] traffic classifier downlink_2 [SwitchA-classifier-downlink_2] if-match service-vlan-id 102 [SwitchA-classifier-downlink_2] quit [SwitchA] traffic classifier downlink_3 [SwitchA-classifier-downlink_3] if-match service-vlan-id 103 [SwitchA-classifier-downlink_3] quit 配置三个流行为, 动作为重标记用户 VLAN 为 [SwitchA] traffic behavior downlink_1 [SwitchA-behavior-downlink_1] remark customer-vlan-id 1 [SwitchA-behavior-downlink_1] quit [SwitchA] traffic behavior downlink_2 [SwitchA-behavior-downlink_2] remark customer-vlan-id 2 [SwitchA-behavior-downlink_2] quit [SwitchA] traffic behavior downlink_3 [SwitchA-behavior-downlink_3] remark customer-vlan-id 3 [SwitchA-behavior-downlink_3] quit 1-22
103 创建 QoS 策略 downlink_1, 将三个流分类和流行为分别配对, 实现将运营商 VLAN101 的报文映射至 VLAN1 VLAN201 的报文映射至 VLAN2 VLAN301 的报文映射至 VLAN3 [SwitchA] qos policy downlink_1 [SwitchA-policy-downlink_1] classifier downlink_1 behavior downlink_1 [SwitchA-policy-downlink_1] classifier downlink_2 behavior downlink_2 [SwitchA-policy-downlink_1] classifier downlink_3 behavior downlink_3 [SwitchA-policy-downlink_1] quit 配置端口 GigabitEthernet1/0/1 允许运营商 VLAN(VLAN101 VLAN201 VLAN301) 的报文通过 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 在端口 GigabitEthernet1/0/1 的出方向上应用下行策略 downlink_1 [SwitchA-GigabitEthernet1/0/1] qos apply policy downlink_1 outbound 配置三个流分类, 分别匹配运营商 VLAN 为 的报文 [SwitchA] traffic classifier downlink_4 [SwitchA-classifier-downlink_4] if-match service-vlan-id 102 [SwitchA-classifier-downlink_4] quit [SwitchA] traffic classifier downlink_5 [SwitchA-classifier-downlink_5] if-match service-vlan-id 202 [SwitchA-classifier-downlink_5] quit [SwitchA] traffic classifier downlink_6 [SwitchA-classifier-downlink_6] if-match service-vlan-id 302 [SwitchA-classifier-downlink_6] quit 创建 QoS 策略 downlink_2, 将三个流分类和流行为分别配对, 实现将运营商 VLAN102 的报文映射至 VLAN1 VLAN202 的报文映射至 VLAN2 VLAN302 的报文映射至 VLAN3 [SwitchA] qos policy downlink_2 [SwitchA-policy-downlink_2] classifier downlink_4 behavior downlink_1 [SwitchA-policy-downlink_2] classifier downlink_5 behavior downlink_2 [SwitchA-policy-downlink_2] classifier downlink_6 behavior downlink_3 [SwitchA-policy-downlink_2] quit 配置端口 GigabitEthernet1/0/2 允许运营商 VLAN(VLAN102 VLAN202 VLAN302) 的报文通过 [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 在端口 GigabitEthernet1/0/2 的出方向上应用下行策略 downlink_2 [SwitchA-GigabitEthernet1/0/2] qos apply policy downlink_2 outbound (2) 楼道交换机 SwitchB 的配置 对上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 的报文 <SwitchB> system-view [SwitchB] traffic classifier uplink_1 [SwitchB-classifier-uplink_1] if-match customer-vlan-id 1 [SwitchB-classifier-uplink_1] quit 1-23
104 [SwitchB] traffic classifier uplink_2 [SwitchB-classifier-uplink_2] if-match customer-vlan-id 2 [SwitchB-classifier-uplink_2] quit [SwitchB] traffic classifier uplink_3 [SwitchB-classifier-uplink_3] if-match customer-vlan-id 3 [SwitchB-classifier-uplink_3] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchB] traffic behavior uplink_1 [SwitchB-behavior-uplink_1] remark service-vlan-id 111 [SwitchB-behavior-uplink_1] quit [SwitchB] traffic behavior uplink_2 [SwitchB-behavior-uplink_2] remark service-vlan-id 211 [SwitchB-behavior-uplink_2] quit [SwitchB] traffic behavior uplink_3 [SwitchB-behavior-uplink_3] remark service-vlan-id 311 [SwitchB-behavior-uplink_3] quit 创建 QoS 策略 uplink_1, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN111 VLAN2 的报文映射至 VLAN211 VLAN3 的报文映射至 VLAN311 [SwitchB] qos policy uplink_1 [SwitchB-policy-uplink_1] classifier uplink_1 behavior uplink_1 [SwitchB-policy-uplink_1] classifier uplink_2 behavior uplink_2 [SwitchB-policy-uplink_1] classifier uplink_3 behavior uplink_3 [SwitchB-policy-uplink_1] quit 配置端口 GigabitEthernet1/0/1 允许用户 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port link-type trunk [SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 开启端口 GigabitEthernet1/0/1 的基本 QinQ 功能 [SwitchB-GigabitEthernet1/0/1] qinq enable 在端口 GigabitEthernet1/0/1 的入方向上应用上行策略 uplink_1 [SwitchB-GigabitEthernet1/0/1] qos apply policy uplink_1 inbound 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchB] traffic behavior uplink_4 [SwitchB-behavior-uplink_4] remark service-vlan-id 112 [SwitchB-behavior-uplink_4] quit [SwitchB] traffic behavior uplink_5 [SwitchB-behavior-uplink_5] remark service-vlan-id 212 [SwitchB-behavior-uplink_5] quit [SwitchB] traffic behavior uplink_6 [SwitchB-behavior-uplink_6] remark service-vlan-id 312 [SwitchB-behavior-uplink_6] quit 创建 QoS 策略 uplink_2, 将三个流分类和流行为分别配对, 实现将用户 VLAN1 的报文映射至 VLAN112 VLAN2 的报文映射至 VLAN212 VLAN3 的报文映射至 VLAN312 [SwitchB] qos policy uplink_2 1-24
105 [SwitchB-policy-uplink_2] classifier uplink_1 behavior uplink_4 [SwitchB-policy-uplink_2] classifier uplink_2 behavior uplink_5 [SwitchB-policy-uplink_2] classifier uplink_3 behavior uplink_6 [SwitchB-policy-uplink_2] quit 配置端口 GigabitEthernet1/0/2 允许用户原始 VLAN(VLAN1 VLAN2 VLAN3) 的报文通过 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] port link-type trunk [SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 开启端口 GigabitEthernet1/0/2 的基本 QinQ 功能 [SwitchB-GigabitEthernet1/0/2] qinq enable 在端口 GigabitEthernet1/0/2 的入方向上应用上行策略 uplink_2 [SwitchB-GigabitEthernet1/0/2] qos apply policy uplink_2 inbound [SwitchB-GigabitEthernet1/0/2] quit 配置上行端口 GigabitEthernet1/0/3 允许上行映射后的报文通过 [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] port link-type trunk [SwitchB-GigabitEthernet1/0/3] port trunk permit vlan [SwitchB-GigabitEthernet1/0/3] quit 对下行数据的 VLAN 映射配置 配置三个流分类, 分别匹配运营商 VLAN 为 的报文 [SwitchB] traffic classifier downlink_1 [SwitchB-classifier-downlink_1] if-match service-vlan-id 101 [SwitchB-classifier-downlink_1] quit [SwitchB] traffic classifier downlink_2 [SwitchB-classifier-downlink_2] if-match service-vlan-id 102 [SwitchB-classifier-downlink_2] quit [SwitchB] traffic classifier downlink_3 [SwitchB-classifier-downlink_3] if-match service-vlan-id 103 [SwitchA-classifier-downlink_3] quit 配置三个流行为, 动作为重标记用户 VLAN 为 [SwitchB] traffic behavior downlink_1 [SwitchB-behavior-downlink_1] remark customer-vlan-id 1 [SwitchB-behavior-downlink_1] quit [SwitchB] traffic behavior downlink_2 [SwitchB-behavior-downlink_2] remark customer-vlan-id 2 [SwitchB-behavior-downlink_2] quit [SwitchB] traffic behavior downlink_3 [SwitchB-behavior-downlink_3] remark customer-vlan-id 3 [SwitchB-behavior-downlink_3] quit 创建 QoS 策略 downlink_1, 将三个流分类和流行为分别配对, 实现将运营商 VLAN111 的报文映射至 VLAN1 VLAN211 的报文映射至 VLAN2 VLAN311 的报文映射至 VLAN3 [SwitchB] qos policy downlink_1 [SwitchB-policy-downlink_1] classifier downlink_1 behavior downlink_1 [SwitchB-policy-downlink_1] classifier downlink_2 behavior downlink_2 1-25
106 [SwitchB-policy-downlink_1] classifier downlink_3 behavior downlink_3 [SwitchB-policy-downlink_1] quit 配置端口 GigabitEthernet1/0/1 允许运营商 VLAN(VLAN111 VLAN211 VLAN311) 的报文通过 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 在端口 GigabitEthernet1/0/1 的出方向上应用下行策略 downlink_1 [SwitchB-GigabitEthernet1/0/1] qos apply policy downlink_1 outbound 配置三个流分类, 分别匹配运营商 VLAN 为 的报文 [SwitchB] traffic classifier downlink_4 [SwitchB-classifier-downlink_4] if-match service-vlan-id 112 [SwitchB-classifier-downlink_4] quit [SwitchB] traffic classifier downlink_5 [SwitchB-classifier-downlink_5] if-match service-vlan-id 212 [SwitchB-classifier-downlink_5] quit [SwitchB] traffic classifier downlink_6 [SwitchB-classifier-downlink_6] if-match service-vlan-id 312 [SwitchB-classifier-downlink_6] quit 创建 QoS 策略 downlink_2, 将三个流分类和流行为分别配对, 实现将运营商 VLAN112 的报文映射至 VLAN1 VLAN212 的报文映射至 VLAN2 VLAN312 的报文映射至 VLAN3 [SwitchB] qos policy downlink_2 [SwitchB-policy-downlink_2] classifier downlink_4 behavior downlink_1 [SwitchB-policy-downlink_2] classifier downlink_5 behavior downlink_2 [SwitchB-policy-downlink_2] classifier downlink_6 behavior downlink_3 [SwitchB-policy-downlink_2] quit 配置端口 GigabitEthernet1/0/2 允许运营商 VLAN(VLAN112 VLAN212 VLAN312) 的报文通过 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 在端口 GigabitEthernet1/0/2 的出方向上应用下行策略 downlink_2 [SwitchB-GigabitEthernet1/0/2] qos apply policy downlink_2 outbound (3) 园区交换机 SwitchC 的配置 对 SwitchA 上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 101~ ~ ~302 的报文 <SwitchC> system-view [SwitchC] traffic classifier uplink_1 operator or [SwitchC-classifier-uplink_1] if-match customer-vlan-id [SwitchC-classifier-uplink_1] quit [SwitchC] traffic classifier uplink_2 operator or [SwitchC-classifier-uplink_2] if-match customer-vlan-id [SwitchC-classifier-uplink_2] quit [SwitchC] traffic classifier uplink_3 operator or [SwitchC-classifier-uplink_3] if-match customer-vlan-id
107 [SwitchC-classifier-uplink_3] quit 配置三个流行为, 动作为重标记运营商 VLAN 为 [SwitchC] traffic behavior uplink_1 [SwitchC-behavior-uplink_1] remark service-vlan-id 501 [SwitchC-behavior-uplink_1] quit [SwitchC] traffic behavior uplink_2 [SwitchC-behavior-uplink_2] remark service-vlan-id 502 [SwitchC-behavior-uplink_2] quit [SwitchC] traffic behavior uplink_3 [SwitchC-behavior-uplink_3] remark service-vlan-id 503 [SwitchC-behavior-uplink_3] quit 创建 QoS 策略 uplink_1, 将三个流分类和流行为分别配对, 实现将 VLAN101~VLAN102 的报文映射至 VLAN501 VLAN201~VLAN202 的报文映射至 VLAN502 VLAN301~VLAN302 的报文映射至 VLAN503 [SwitchC] qos policy uplink_1 [SwitchC-policy-uplink_1] classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation [SwitchC-policy-uplink_1] classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation [SwitchC-policy-uplink_1] classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation [SwitchC-policy-uplink_1] quit 配置端口 GigabitEthernet1/0/1 允许 SwitchA 发送的所有 VLAN 以及映射后 VLAN 的报文通过 [SwitchC] interface gigabitethernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] port link-type trunk [SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 配置端口 GigabitEthernet1/0/1 为用户侧端口 [SwitchC-GigabitEthernet1/0/1] qinq enable downlink 在端口 GigabitEthernet1/0/1 的入方向应用上行策略 p1 [SwitchC-GigabitEthernet1/0/1] qos apply policy p1 inbound [SwitchC-GigabitEthernet1/0/1] quit 对 SwitchB 上行数据的 VLAN 映射配置 配置三个流分类, 分别匹配用户 VLAN 为 111~ ~ ~312 的报文 [SwitchC] traffic classifier uplink_4 operator or [SwitchC-classifier-uplink_4] if-match customer-vlan-id [SwitchC-classifier-uplink_4] quit [SwitchC] traffic classifier uplink_5 operator or [SwitchC-classifier-uplink_5] if-match customer-vlan-id [SwitchC-classifier-uplink_5] quit [SwitchC] traffic classifier uplink_6 operator or [SwitchC-classifier-uplink_6] if-match customer-vlan-id [SwitchC-classifier-uplink_6] quit 创建 QoS 策略 uplink_2, 将三个流分类和之前配置的三个流行为分别配对, 实现将 VLAN111~ VLAN112 的报文映射至 VLAN501 VLAN211~VLAN212 的报文映射至 VLAN502 VLAN311~ VLAN312 的报文映射至 VLAN503 [SwitchC] qos policy uplink_2 1-27
108 [SwitchC-policy-uplink_2] classifier uplink_4 behavior uplink_1 mode dot1q-tag-manipulation [SwitchC-policy-uplink_2] classifier uplink_5 behavior uplink_2 mode dot1q-tag-manipulation [SwitchC-policy-uplink_2] classifier uplink_6 behavior uplink_3 mode dot1q-tag-manipulation [SwitchC-policy-uplink_2] quit 配置端口 GigabitEthernet1/0/2 允许 SwitchB 发送的所有 VLAN 以及映射后 VLAN 的报文通过 [SwitchC] interface gigabitethernet 1/0/2 [SwitchC-GigabitEthernet1/0/2] port link-type trunk [SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 配置端口 GigabitEthernet1/0/2 为用户侧端口 [SwitchC-GigabitEthernet1/0/2] qinq enable downlink 在端口 GigabitEthernet1/0/2 的入方向上应用上行策略 uplink_2 [SwitchC-GigabitEthernet1/0/2] qos apply policy uplink_2 inbound [SwitchC-GigabitEthernet1/0/2] quit 配置上行端口 GigabitEthernet1/0/3 允许上行映射后的报文通过 [SwitchC] interface gigabitethernet 1/0/3 [SwitchC-GigabitEthernet1/0/3] port link-type trunk [SwitchC-GigabitEthernet1/0/3] port trunk permit vlan [SwitchC-GigabitEthernet1/0/3] quit 对下行数据的 VLAN 映射配置 使能 DHCP Snooping 功能 [SwitchC] dhcp-snooping 在每个进行映射的 VLAN 上都使能 ARP Detection 功能, 以便对 ARP 报文进行 VLAN 映射 [SwitchC] vlan 101 [SwitchC-vlan101] arp detection enable [SwitchC-vlan101] vlan 201 [SwitchC-vlan201] arp detection enable [SwitchC-vlan201] vlan 301 [SwitchC-vlan301] arp detection enable [SwitchC-vlan301] vlan 102 [SwitchC-vlan102] arp detection enable [SwitchC-vlan102] vlan 202 [SwitchC-vlan202] arp detection enable [SwitchC-vlan202] vlan 302 [SwitchC-vlan302] arp detection enable [SwitchC-vlan302] vlan 111 [SwitchC-vlan111] arp detection enable [SwitchC-vlan111] vlan 211 [SwitchC-vlan211] arp detection enable [SwitchC-vlan211] vlan 311 [SwitchC-vlan311] arp detection enable [SwitchC-vlan311] vlan 112 [SwitchC-vlan112] arp detection enable [SwitchC-vlan112] vlan 212 [SwitchC-vlan212] arp detection enable 1-28
109 [SwitchC-vlan212] vlan 312 [SwitchC-vlan312] arp detection enable [SwitchC-vlan312] vlan 501 [SwitchC-vlan501] arp detection enable [SwitchC-vlan501] vlan 502 [SwitchC-vlan502] arp detection enable [SwitchC-vlan502] vlan 503 [SwitchC-vlan503] arp detection enable [SwitchC-vlan503] quit 配置端口 GigabitEthernet1/0/1 与源 IP 和源 MAC 地址进行动态绑定 [SwitchC] interface GigabitEthernet1/0/1 [SwitchC-GigabitEthernet1/0/1] ip check source ip-address mac-address [SwitchC-GigabitEthernet1/0/1] quit 配置端口 GigabitEthernet1/0/2 与源 IP 和源 MAC 地址进行动态绑定 [SwitchC] interface GigabitEthernet1/0/2 [SwitchC-GigabitEthernet1/0/2] ip check source ip-address mac-address [SwitchC-GigabitEthernet1/0/2] quit 配置端口 GigabitEthernet1/0/3 为 DHCP Snooping 信任端口 [SwitchC] interface GigabitEthernet1/0/3 [SwitchC-GigabitEthernet1/0/3] dhcp-snooping trust 配置端口 GigabitEthernet1/0/3 为运营商侧端口 [SwitchC-GigabitEthernet1/0/3] qinq enable uplink 配置端口 GigabitEthernet1/0/3 为 ARP 信任端口 [SwitchC-GigabitEthernet1/0/3] arp detection trust 完整配置 Switch A 的配置 traffic classifier uplink_1 operator and if-match customer-vlan-id 1 traffic classifier uplink_2 operator and if-match customer-vlan-id 2 traffic classifier uplink_3 operator and if-match customer-vlan-id 3 traffic classifier downlink_1 operator and if-match service-vlan-id 101 traffic classifier downlink_2 operator and if-match service-vlan-id 102 traffic classifier downlink_3 operator and if-match service-vlan-id 103 traffic classifier downlink_4 operator and if-match service-vlan-id 102 traffic classifier downlink_5 operator and if-match service-vlan-id 202 traffic classifier downlink_6 operator and 1-29
110 if-match service-vlan-id 302 traffic classifier downlink54 operator and traffic behavior uplink_1 remark service-vlan-id 101 traffic behavior uplink_2 remark service-vlan-id 201 traffic behavior uplink_3 remark service-vlan-id 301 traffic behavior uplink_4 remark service-vlan-id 102 traffic behavior uplink_5 remark service-vlan-id 202 traffic behavior uplink_6 remark service-vlan-id 302 traffic behavior downlink_1 remark customer-vlan-id 1 traffic behavior downlink_2 remark customer-vlan-id 2 traffic behavior downlink_3 remark customer-vlan-id 3 qos policy uplink_1 classifier uplink_1 behavior uplink_1 classifier uplink_2 behavior uplink_2 classifier uplink_3 behavior uplink_3 qos policy uplink_2 classifier uplink_1 behavior uplink_4 classifier uplink_2 behavior uplink_5 classifier uplink_3 behavior uplink_6 qos policy downlink_1 classifier downlink_1 behavior downlink_1 classifier downlink_2 behavior downlink_2 classifier downlink_3 behavior downlink_3 qos policy downlink_2 classifier downlink_4 behavior downlink_1 classifier downlink_5 behavior downlink_2 classifier downlink_6 behavior downlink_3 interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 1 to qinq enable qos apply policy uplink_1 inbound qos apply policy downlink_1 outbound interface GigabitEthernet1/0/2 port link-type trunk 1-30
111 port trunk permit vlan 1 to qinq enable qos apply policy uplink_2 inbound qos apply policy downlink_2 outbound interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to to 302 Switch B 的配置 traffic classifier uplink_1 operator and if-match customer-vlan-id 1 traffic classifier uplink_2 operator and if-match customer-vlan-id 2 traffic classifier uplink_3 operator and if-match customer-vlan-id 3 traffic classifier downlink_1 operator and if-match service-vlan-id 111 traffic classifier downlink_2 operator and if-match service-vlan-id 211 traffic classifier downlink_3 operator and if-match service-vlan-id 311 traffic classifier downlink_4 operator and if-match service-vlan-id 112 traffic classifier downlink_5 operator and if-match service-vlan-id 212 traffic classifier downlink_6 operator and if-match service-vlan-id 312 traffic classifier downlink54 operator and traffic behavior uplink_1 remark service-vlan-id 111 traffic behavior uplink_2 remark service-vlan-id 211 traffic behavior uplink_3 remark service-vlan-id 311 traffic behavior uplink_4 remark service-vlan-id 112 traffic behavior uplink_5 remark service-vlan-id 212 traffic behavior uplink_6 remark service-vlan-id 312 traffic behavior downlink_1 remark customer-vlan-id 1 traffic behavior downlink_2 remark customer-vlan-id 2 traffic behavior downlink_3 remark customer-vlan-id
112 qos policy uplink_1 classifier uplink_1 behavior uplink_1 classifier uplink_2 behavior uplink_2 classifier uplink_3 behavior uplink_3 qos policy uplink_2 classifier uplink_1 behavior uplink_4 classifier uplink_2 behavior uplink_5 classifier uplink_3 behavior uplink_6 qos policy downlink_1 classifier downlink_1 behavior downlink_1 classifier downlink_2 behavior downlink_2 classifier downlink_3 behavior downlink_3 qos policy downlink_2 classifier downlink_4 behavior downlink_1 classifier downlink_5 behavior downlink_2 classifier downlink_6 behavior downlink_3 interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 1 to qinq enable qos apply policy uplink_1 inbound qos apply policy downlink_1 outbound interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 1 to qinq enable qos apply policy uplink_2 inbound qos apply policy downlink_2 outbound interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan to to to 312 Switch C 的配置 vlan 101 arp detection enable vlan 102 arp detection enable vlan 111 arp detection enable vlan 112 arp detection enable 1-32
113 vlan 201 arp detection enable vlan 202 arp detection enable vlan 211 arp detection enable vlan 212 arp detection enable vlan 301 arp detection enable vlan 302 arp detection enable vlan 311 arp detection enable vlan 312 arp detection enable vlan 501 arp detection enable vlan 502 arp detection enable vlan 503 arp detection enable traffic classifier uplink_1 operator or if-match customer-vlan-id traffic classifier uplink_2 operator or if-match customer-vlan-id traffic classifier uplink_3 operator or if-match customer-vlan-id traffic classifier uplink_4 operator or if-match customer-vlan-id traffic classifier uplink_5 operator or if-match customer-vlan-id traffic classifier uplink_6 operator or if-match customer-vlan-id traffic behavior uplink_1 1-33
114 remark service-vlan-id 501 traffic behavior uplink_2 remark service-vlan-id 502 traffic behavior uplink_3 remark service-vlan-id 503 qos policy uplink_1 classifier uplink_1 behavior uplink_1 mode dot1q-tag-manipulation classifier uplink_2 behavior uplink_2 mode dot1q-tag-manipulation classifier uplink_3 behavior uplink_3 mode dot1q-tag-manipulation qos policy uplink_2 classifier uplink_4 behavior uplink_1 mode dot1q-tag-manipulation classifier uplink_5 behavior uplink_2 mode dot1q-tag-manipulation classifier uplink_6 behavior uplink_3 mode dot1q-tag-manipulation interface GigabitEthernet2/0/1 port link-type trunk port trunk permit vlan to to to to 503 qinq enable downlink ip check source ip-address mac-address interface GigabitEthernet2/0/2 port link-type trunk port trunk permit vlan to to to to 503 qinq enable downlink qos apply policy uplink_2 inbound ip check source ip-address mac-address interface GigabitEthernet2/0/3 port link-type trunk port trunk permit vlan to 503 qinq enable uplink dhcp-snooping trust arp detection trust dhcp-snooping 配置注意事项 在下行端口上应用策略前, 需要先配置端口作为用户侧端口 ; 在下行端口取消端口作为用户侧端口的配置之前, 需要先解除 QoS 策略在该端口上的绑定 如果用户想要改变 VLAN 映射关系, 必须先用 reset dhcp-snooping 命令来清除 DHCP Snooping 表项或者先取消下行端口与源 IP 和源 MAC 地址的动态绑定关系后再重新进行绑定, 然后再修改 QoS 策略中的 VLAN 映射关系 在配置 N:1 VLAN 映射时, 设备对处于不同网络位置的端口收到的报文会进行不同的处理, 所以需要区分端口是处于运营商侧还是处于用户侧 1-34
115 qinq enable uplink 和 qinq enable downlink 命令也可在端口组视图下使用, 对该端口组内 的所有成员端口都生效 1.3 2:2 VLAN 映射典型配置指导 组网需求 图 1-6 2:2 VLAN 映射典型配置组网示意图 Site2 VLAN10 ProviderA ProviderB Switch A Switch B GE1/0/3 Switch C Switch D GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/2 GE1/0/1 GE1/0/1 GE1/0/1 VLAN100 VLAN200 GE1/0/2 VLAN10 VLAN30 Site1 HQ 如图 1-6 所示, 站点 1 和站点 2 是同一家公司的两个分支机构, 同属于 VLAN10, 通过运营商 A 提供的 QinQ 服务实现 VPN 连接, 外层标签为 VLAN 100 当该公司被另一家公司收购之后, 需要这两个站点接入新公司的网络 新公司的 VPN 服务由运营商 B 提供, 外层标签为 200, 总部中能够为这两个站点提供服务的业务 VLAN 为 VLAN30 现已经在两个运营商之间建立了链路, 要求不改变站点和运营商 VLAN 的配置, 使两个站点能够访问总部 VLAN30 的资源 配置思路在本例中, 站点和总部之间互访的数据需要经过比较复杂的标签变化 首先, 由站点发往总部的报文上行至运营商 A 后, 会封装 VLAN100 的外层标签 该数据要在运营商 B 的网络中正确传输到总部, 必须先把外层标签修改为 VLAN200 要使站点能够访问总部的业务资源, 还必须将内层标签修改为 VLAN30 针对以上需求, 可以通过 2:2 VLAN 映射功能来实现 2:2 VLAN 映射只需要在两个运营商的边缘设备中的其中一台上配置即可, 此处我们以 Switch C 为例进行介绍 以站点发往总部的方向为上行方向,2:2 VLAN 映射需要在 Switch C 的下行端口 (GigabitEthernet1/0/1) 和上行端口 (GigabitEthernet1/0/2) 上分别进行配置 对上行数据流, 在下行端口首先将外层标签替换为 200, 然后在上行端口将内层标签替换为 30; 1-35
116 对下行数据流, 在下行端口上执行两次替换, 分别将内层标签和外层标签替换为 10 和 100 经过以上配置后, 报文在 Switch C 处转发时, 标签的变化如图 1-7 所示 图 1-7 2:2 VLAN 映射效果示意图 适用产品 版本 表 1-3 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 配置过程和解释 (1) Switch A 的配置 创建 VLAN100 <SwitchA> system-view [SwitchA] vlan 100 [SwitchA-vlan100] quit 配置 GigabitEthernet1/0/1 端口的 QinQ 功能, 为 VLAN 10 报文添加 VLAN ID 为 100 的外层 VLAN Tag [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port access vlan 100 [SwitchA-GigabitEthernet1/0/1] qinq enable [SwitchA-GigabitEthernet1/0/1] quit 配置上行端口 GigabitEthernet1/0/2 允许 VLAN 100 的报文通过 [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type trunk [SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 100 (2) Switch B 的配置 1-36
117 创建 VLAN100 <SwitchB> system-view [SwitchB] vlan 100 [SwitchB-vlan100] quit 配置 GigabitEthernet1/0/3 端口的 QinQ 功能, 为 VLAN 10 报文添加 VLAN ID 为 100 的外层 VLAN Tag [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] port access vlan 100 [SwitchB-GigabitEthernet1/0/3] qinq enable [SwitchB-GigabitEthernet1/0/3] quit 配置端口 GigabitEthernet1/0/1 允许 VLAN 100 的报文通过 [DeviceB] interface gigabitethernet 1/0/1 [DeviceB-GigabitEthernet1/0/1] port link-type trunk [DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 100 [DeviceB-GigabitEthernet1/0/1] quit 配置端口 GigabitEthernet1/0/2 允许 VLAN 100 的报文通过 [DeviceB] interface gigabitethernet 1/0/2 [DeviceB-GigabitEthernet1/0/2] port link-type trunk [DeviceB-GigabitEthernet1/0/2] port trunk permit vlan 100 (3) Switch C 的配置 创建 VLAN200 <SwitchC> system-view [SwitchC] vlan 200 [SwitchC-vlan200] quit 对 GigabitEthernet1/0/1 端口接收的流量进行映射的配置 配置流分类, 匹配内层 VLAN 为 10, 外层 VLAN 为 100 的报文 [SwitchC] traffic classifier downlink_in [SwitchC-classifier-downlink_in] if-match customer-vlan-id 10 [SwitchC-classifier-downlink_in] if-match service-vlan-id 100 [SwitchC-classifier-downlink_in] quit 配置流行为, 将外层标签重标记为 VLAN200 [SwitchC] traffic behavior downlink_in [SwitchC-behavior-downlink_in] remark service-vlan-id 200 [SwitchC-behavior-downlink_in] quit 创建 QoS 策略, 将以上流分类和流行为进行关联 [SwitchC] qos policy downlink_in [SwitchC-qospolicy-downlink_in] classifier downlink_in behavior downlink_in [SwitchC-qospolicy-downlink_in] quit 配置端口 GigabitEthernet1/0/1 允许 VLAN200 的报文通过 [SwitchC] interface gigabitethernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] port link-type trunk [SwitchC-GigabitEthernet1/0/1] port trunk permit vlan
118 在端口 GigabitEthernet1/0/1 的入方向应用 QoS 策略 [SwitchC-GigabitEthernet1/0/1] qos apply policy downlink_in inbound 对 GigabitEthernet1/0/2 端口发送的流量进行映射的配置 配置流分类, 匹配内层 VLAN 为 10, 外层 VLAN 为 200 的报文 [SwitchC] traffic classifier uplink_out [SwitchC-classifier-uplink_out] if-match customer-vlan-id 10 [SwitchC-classifier-uplink_out] if-match service-vlan-id 200 [SwitchC-classifier-uplink_out] quit 配置流行为, 将内层标签重标记为 VLAN30 [SwitchC] traffic behavior uplink_out [SwitchC-behavior-uplink_out] remark customer-vlan-id 30 [SwitchC-behavior-uplink_out] quit 创建 QoS 策略, 将以上流分类和流行为进行关联 [SwitchC] qos policy uplink_out [SwitchC-qospolicy-uplink_out] classifier uplink_out behavior uplink_out [SwitchC-qospolicy-uplink_out] quit 配置端口 GigabitEthernet1/0/2 允许 VLAN200 的报文通过 [SwitchC] interface gigabitethernet 1/0/2 [SwitchC-GigabitEthernet1/0/2] port link-type trunk [SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 200 在端口 GigabitEthernet1/0/2 的出方向应用 QoS 策略 [SwitchC-GigabitEthernet1/0/2] qos apply policy uplink_out outbound 对 GigabitEthernet1/0/1 端口发送的流量进行映射的配置 配置流分类, 匹配内层 VLAN 为 30, 外层 VLAN 为 200 的报文 [SwitchC] traffic classifier downlink_out [SwitchC-classifier-downlink_out] if-match customer-vlan-id 30 [SwitchC-classifier-downlink_out] if-match service-vlan-id 200 [SwitchC-classifier-downlink_out] quit 配置流行为, 将内层标签重标记为 10, 将外层标签重标记为 100 [SwitchC] traffic behavior downlink_out [SwitchC-behavior-downlink_out] remark customer-vlan-id 10 [SwitchC-behavior-downlink_out] remark service-vlan-id 100 [SwitchC-behavior-downlink_out] quit 创建 QoS 策略, 将以上流分类和流行为进行关联 [SwitchC] qos policy downlink_out [SwitchC-qospolicy-downlink_out] classifier downlink_out behavior downlink_out [SwitchC-qospolicy-downlink_out] quit 在端口 GigabitEthernet1/0/1 的出方向应用 QoS 策略 [SwitchC] interface GigabitEthernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] qos apply policy downlink_out outbound (4) Switch D 的配置 1-38
119 创建 VLAN200 <SwitchD> system-view [SwitchD] vlan 200 [SwitchD-vlan200] quit 配置 GigabitEthernet1/0/2 的 QinQ 功能, 为 VLAN 30 报文添加 VLAN ID 为 200 的外层 VLAN Tag [SwitchD] interface gigabitethernet 1/0/2 [SwitchD-GigabitEthernet1/0/2] port access vlan 200 [SwitchD-GigabitEthernet1/0/2] qinq enable 配置端口 GigabitEthernet1/0/1 允许 VLAN 200 的报文通过 [SwitchD] interface gigabitethernet 1/0/1 [SwitchD-GigabitEthernet1/0/1] port link-type trunk [SwitchD-GigabitEthernet1/0/1] port trunk permit vlan 完整配置 Switch A 的配置 vlan 100 interface GigabitEthernet1/0/1 port access vlan 100 qinq enable interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan Switch B 的配置 vlan 100 interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan qinq enable interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan interface GigabitEthernet1/0/3 port access vlan 100 qinq enable Switch C 的配置 vlan 200 traffic classifier uplink_out operator and 1-39
120 if-match customer-vlan-id 10 if-match service-vlan-id 200 traffic classifier downlink_in operator and if-match customer-vlan-id 10 if-match service-vlan-id 100 traffic classifier downlink_out operator and if-match customer-vlan-id 30 if-match service-vlan-id 200 traffic behavior uplink_out remark customer-vlan-id 30 traffic behavior downlink_in remark service-vlan-id 200 traffic behavior downlink_out remark customer-vlan-id 10 remark service-vlan-id 100 qos policy uplink_out classifier uplink_out behavior uplink_out qos policy downlink_in classifier downlink_in behavior downlink_in qos policy downlink_out classifier downlink_out behavior downlink_out interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan qos apply policy downlink_in inbound qos apply policy downlink_out outbound interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan qos apply policy uplink_out outbound Switch D 的配置 vlan 200 interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan interface GigabitEthernet1/0/2 port access vlan 200 qinq enable 1-40
121 1.3.6 配置注意事项 在下行端口上应用策略前, 需要先配置端口作为用户侧端口 ; 在下行端口取消端口作为用户侧端口的配置之前, 需要先解除 QoS 策略在该端口上的绑定 如果用户想要改变 VLAN 映射关系, 必须先用 reset dhcp-snooping 命令来清除 DHCP Snooping 表项或者先取消下行端口与源 IP 和源 MAC 地址的动态绑定关系后再重新进行绑定, 然后再修改 QoS 策略中的 VLAN 映射关系 在配置 N:1 VLAN 映射时, 设备对处于不同网络位置的端口收到的报文会进行不同的处理, 所以需要区分端口是处于运营商侧还是处于用户侧 qinq enable uplink 和 qinq enable downlink 命令也可在端口组视图下使用, 对该端口组内的所有成员端口都生效 1-41
122 目录 1 BPDU Tunnel 典型配置指导 BPDU Tunnel 简介 STP 协议 BPDU Tunnel 典型配置指导 应用需求 配置思路 适用产品 版本 配置过程和解释 完整配置 配置注意事项 i
123 1 BPDU Tunnel 典型配置指导 1.1 BPDU Tunnel 简介 BPDU Tunnel 是一种二层隧道技术, 它使不同地域私网用户的二层协议报文, 可以通过运营商网络内的指定通道进行透明传输 如图 1-1 所示, 某用户 A 的网络根据地域不同又分为网络 1 和网络 2, 分别接入到运营商的网络中 为了避免环路, 运营商和用户在各自网络中使能了 STP 功能 对于用户网络, 当其中一侧的网络拓扑发生变化时,BPDU 报文需要经过运商网络同步给另一侧的私网 BPDU 报文是二层组播报文, 所有开启 STP 功能的设备都会接收并处理该报文 当用户网络的 BPDU 报文进入运营商网络后, 会参与运营商网络的生成树计算, 导致运营商网络无法生成正确的生成树 同理, 当运营商网络的 BPDU 报文进入用户网络后, 也会影响到用户网络的生成树计算 在以上情况下, 可以在运营商网络的接入设备上配置 BPDU Tunnel 功能 : 运营商网络一侧的 DeviceA 对从用户网络 DeviceC 收到的二层协议报文进行封装, 将其目的 MAC 地址替换为一个特定的组播 MAC 地址, 然后在运营商网络指定的 VLAN 中转发 封装好的二层协议报文 ( 称为 BPDU Tunnel 报文 ) 被转发到运营商网络另一端的 DeviceB 时, 目的 MAC 地址被还原为原始的目的 MAC 地址, 并发送给用户网络的 DeviceD 不同用户网络的 BPDU 报文在运营商网络的不同 VLAN 中转发, 所以不同用户网络的 BPDU 报文之间相互隔离 图 1-1 BPDU Tunnel 应用环境 Device A Device B ISP network Device C Device D User A network 1 VLAN 100 User A network 2 VLAN STP 协议 BPDU Tunnel 典型配置指导 应用需求现在有一用户网络 A, 根据地域的不同又分为网络 1 和网络 2 两个网络,DeviceC DeviceD 分别为用户两个网络的接入设备,ISP network 为运营商网络,DeviceA DeviceB 为运营商网络的边缘接入设备, 运营商网络中的设备之间已通过配置好的 Trunk 端口实现连接 现在要求用户网络 A 中, 处于不同地域的网络 1 和网络 2 可以跨越运营商网络进行统一的生成树计算 1-1
124 图 1-2 BPDU Tunnel 组网示意图 配置思路 用户网络的 BPDU 报文只有发送到运营商网络的接入设备上时, 才会对用户网络的二层协议报文进行封装, 因此, 此网络中只需配置 DeviceA 和 DeviceB; 此网络中, 运营商使用 DeviceA 的端口 GigabitEthernet2/0/1 和 DeviceB 的端口 GigabitEthernet2/0/2 来封装 BPDU 报文, 所以这两个端口不能参与生成树计算, 因此, 在端口上使能 STP 协议的 BPDU Tunnel 功能之前, 必须在该端口上关闭 STP 协议 ; 在运营商设备连接用户网络的端口上开启 BPDU Tunnel 功能 ( 仅表 1-1 中的产品及软件版本需要此步配置 ); 在运营商设备连接用户网络的端口上配置该端口对 BPDU 报文进行透明传输 即在 DeviceA 的端口 GigabitEthernet2/0/1 和 DeviceB 的端口 GigabitEthernet2/0/2 上配置端口对 BPDU 报文进行透明传输 适用产品 版本表 1-1 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6100 系列,Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5820X&S5800 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S3610&S5510 系列以太网交换机 S3500-EA 系列以太网交换机 Release 5301,Release 5303,Release 5306,Release 5309 软件版本 Release 5303 软件版本 1-2
125 1.2.4 配置过程和解释 有些产品的软件版本中 BPDU Tunnel 功能与 NTDP 功能不兼容 ( 两个功能不可以同时应用 ) 在这些软件版本中, 如果要开启端口的 BPDU Tunnel 功能, 必须先用 undo ntdp enable 命令关闭端口的 NTDP 功能 关于 NTDP 功能的介绍, 请参见相应产品手册中的 集群管理配置 有些产品的软件版本不支持 bpdu-tunnel dot1q enable 命令 ( 该产品版本中,BPDU Tunnel 功能始终处于开启状态 且不能关闭, 因此无此命令 ) (1) 配置 DeviceA 配置 GigabitEthernet2/0/1 端口使用 VLAN 2 对用户报文进行传输 <DeviceA> system-view [DeviceA] vlan 2 [DeviceA-vlan2] quit [DeviceA] interface gigabitethernet 2/0/1 [DeviceA-GigabitEthernet2/0/1] port access vlan 2 若软件版本中 BPDU Tunnel 功能与 NTDP 功能不兼容, 则开启端口的 BPDU Tunnel 功能前, 需要先关闭端口的 NTDP 功能 ( 支持情况以具体软件版本为准 ) [DeviceA-GigabitEthernet2/0/1] undo ntdp enable 在端口 GigabitEthernet2/0/1 上关闭 STP 功能 [DeviceA-GigabitEthernet2/0/1] undo stp enable 在 GigabitEthernet2/0/1 端口上开启 BPDU Tunnel 功能 ( 支持情况以具体软件版本为准 ) [DeviceA-GigabitEthernet2/0/1] bpdu-tunnel dot1q enable 配置该端口对 BPDU 报文进行透明传输 [DeviceA-GigabitEthernet2/0/1] bpdu-tunnel dot1q stp (2) 配置 DeviceB 配置 GigabitEthernet2/0/2 端口使用 VLAN 2 对用户报文进行传输 <DeviceB> system-view [DeviceB] vlan 2 [DeviceB-vlan2] quit [DeviceB] interface gigabitethernet 2/0/2 [DeviceB-GigabitEthernet2/0/2] port access vlan 2 若软件版本中 BPDU Tunnel 功能与 NTDP 功能不兼容, 则开启端口的 BPDU Tunnel 功能前, 需要先关闭端口的 NTDP 功能 ( 支持情况以具体软件版本为准 ) [DeviceB-GigabitEthernet2/0/2] undo ntdp enable 在端口 GigabitEthernet2/0/2 上关闭 STP 功能 [DeviceB-GigabitEthernet2/0/2] undo stp enable 在 GigabitEthernet2/0/2 端口上开启 BPDU Tunnel 功能 ( 支持情况以具体软件版本为准 ) [DeviceB-GigabitEthernet2/0/2] bpdu-tunnel dot1q enable 配置该端口对 BPDU 报文进行透明传输 [DeviceB-GigabitEthernet2/0/2] bpdu-tunnel dot1q stp 完整配置 DeviceA 的配置 interface GigabitEthernet2/0/1 1-3
126 port access vlan 2 undo stp enable undo ntdp enable( 支持情况以具体软件版本为准 ) bpdu-tunnel dot1q enable( 支持情况以具体软件版本为准 ) bpdu-tunnel dot1q stp DeviceB 的配置 interface GigabitEthernet2/0/2 port access vlan 2 stp disable undo ntdp enable( 支持情况以具体软件版本为准 ) bpdu-tunnel dot1q enable( 支持情况以具体软件版本为准 ) bpdu-tunnel dot1q stp 配置注意事项 只有开启全局 BPDU Tunnel 功能后, 端口的 BPDU Tunnel 功能才能生效 缺省情况下, 全局的 BPDU Tunnel 功能处于开启状态, 各端口的 BPDU Tunnel 功能处于关闭状态 如果全局的 BPDU Tunnel 被关闭, 用户可以在系统视图下使用 bpdu-tunnel dot1q enable 命令将其开启 在运营商网络两端的报文输入 / 输出设备上配置的 BPDU Tunnel 报文采用的组播目的 MAC 地址必须保持一致, 否则, 系统无法对 BPDU Tunnel 报文进行正确的识别 用户必须通过配置保证用户网络携有 VLAN Tag 的 BPDU 报文在运营商网络中进行透明传输的过程中, 其 VLAN Tag 不能被改变也不能被去掉, 否则设备将无法正确透传用户网络的 BPDU 报文 在端口上使能 DLDP EOAM GVRP HGMP LLDP 或 STP 协议的 BPDU Tunnel 功能之前, 应在该端口上关闭该协议 由于 PVST 协议是一种特殊的 STP 协议, 因此在端口上使能 PVST 协议的 BPDU Tunnel 功能之前, 也应在该端口上关闭 STP 协议并使能 STP 协议的 BPDU Tunnel 功能 1-4
127 目录 1 LLDP 典型配置指导 LLDP 简介 LLDP 基本功能典型配置指导 组网图 应用要求 适用产品 版本 配置过程和解释 完整配置 配置注意事项 LLDP 兼容 CDP 功能典型配置指导 组网图 应用需求 适用产品 版本 配置过程和解释 完整配置 配置注意事项 i
128 1 LLDP 典型配置指导 1.1 LLDP 简介 目前, 网络设备的种类日益繁多且各自的配置错综复杂, 为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息, 需要有一个标准的信息交流平台 LLDP(Link Layer Discovery Protocol, 链路层发现协议 ) 就是在这样的背景下产生的, 它提供了一种标准的链路层发现方式, 可以将本端设备的主要能力 管理地址 设备标识 接口标识等信息组织成不同的 TLV(Type/Length/Value, 类型 / 长度 / 值 ), 并封装在 LLDPDU(Link Layer Discovery Protocol Data Unit, 链路层发现协议数据单元 ) 中发布给与自己直连的邻居, 邻居收到这些信息后将其以标准 MIB(Management Information Base, 管理信息库 ) 的形式保存起来, 以供网络管理系统查询及判断链路的通信状况 1.2 LLDP 基本功能典型配置指导 组网图图 1-1 LLDP 基本功能组网图 MED NMS GE1/0/1 GE1/0/2 GE1/0/1 Switch A Switch B 应用要求 NMS(Network Management System, 网络管理系统 ) 通过以太网与 Switch A 相连,Switch A 通过接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 分别与 MED 设备和 Switch B 相连 通过在 Switch A 和 Switch B 上配置 LLDP 功能, 使 NMS 可以对 Switch A 与 MED 设备之间 以及 Switch A 与 Switch B 之间链路的通信情况进行判断 适用产品 版本表 1-1 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5810 系列以太网交换机 Release
129 产品 软件版本 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5309 S3100V2 系列以太网交换机 Release 5103 E126B 以太网交换机 Release 配置过程和解释 (1) 配置 Switch A 全局使能 LLDP 功能 ( 缺省情况下,LLDP 功能处于全局关闭状态还是开启状态, 不同产品和版本的实现不同, 请以设备的实际情况为准 ) <SwitchA> system-view [SwitchA] lldp enable 在端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 上分别使能 LLDP 功能 ( 此步骤可省略,LLDP 功能在端口上缺省使能 ), 并配置 LLDP 工作模式为 Rx [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] lldp enable [SwitchA-GigabitEthernet1/0/1] lldp admin-status rx [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] lldp enable [SwitchA-GigabitEthernet1/0/2] lldp admin-status rx [SwitchA-GigabitEthernet1/0/2] quit (2) 配置 Switch B 全局使能 LLDP 功能 ( 缺省情况下,LLDP 功能处于全局关闭状态还是开启状态, 不同产品和版本的实现不同, 请以设备的实际情况为准 ) <SwitchB> system-view [SwitchB] lldp enable 在端口 GigabitEthernet1/0/1 上使能 LLDP 功能 ( 此步骤可省略,LLDP 功能在端口上缺省使能 ), 并配置 LLDP 工作模式为 Tx [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] lldp enable [SwitchB-GigabitEthernet1/0/1] lldp admin-status tx [SwitchB-GigabitEthernet1/0/1] quit (3) 检验配置效果 显示 Switch A 上所有端口的 LLDP 状态信息 1-2
130 [SwitchA] display lldp status Global status of LLDP : Enable The current number of LLDP neighbors : 2 The current number of CDP neighbors : 0 LLDP neighbor information last changed time: 0 days,0 hours,4 minutes,40 seconds Transmit interval : 30s Hold multiplier : 4 Reinit delay : 2s Transmit delay : 2s Trap interval : 5s Fast start times : 3 Port 1 [GigabitEthernet1/0/1]: Port status of LLDP Admin status Trap flag Roll time : Enable : Rx_Only : No : 0s Number of neighbors : 1 Number of MED neighbors : 1 Number of CDP neighbors : 0 Number of sent optional TLV : 0 Number of received unknown TLV : 0 Port 2 [GigabitEthernet1/0/2]: Port status of LLDP Admin status Trap flag Roll time : Enable : Rx_Only : No : 0s Number of neighbors : 1 Number of MED neighbors : 0 Number of CDP neighbors : 0 Number of sent optional TLV : 0 Number of received unknown TLV : 3 由此可见,Switch A 的端口 GigabitEthernet1/0/1 上连接了一个 MED 邻居设备, GigabitEthernet1/0/2 上则连接了一个非 MED 邻居设备, 且这两个端口的 LLDP 工作模式都为 Rx, 即只接收而不发送 LLDP 报文 将 Switch A 和 Switch B 间的链路断掉后, 再显示 Switch A 上所有端口的 LLDP 状态信息 [SwitchA] display lldp status Global status of LLDP : Enable The current number of LLDP neighbors : 1 The current number of CDP neighbors : 0 LLDP neighbor information last changed time: 0 days,0 hours,5 minutes,20 seconds Transmit interval : 30s Hold multiplier : 4 Reinit delay : 2s Transmit delay : 2s Trap interval : 5s Fast start times : 3 Port 1 [GigabitEthernet1/0/1]: Port status of LLDP : Enable 1-3
131 Admin status Trap flag Roll time : Rx_Only : No : 0s Number of neighbors : 1 Number of MED neighbors : 1 Number of CDP neighbors : 0 Number of sent optional TLV : 0 Number of received unknown TLV : 5 Port 2 [GigabitEthernet1/0/2]: Port status of LLDP Admin status Trap flag Roll time : Enable : Rx_Only : No : 0s Number of neighbors : 0 Number of MED neighbors : 0 Number of CDP neighbors : 0 Number of sent optional TLV : 0 Number of received unknown TLV : 0 由此可见,Switch A 的端口 GigabitEthernet1/0/2 上已经没有任何邻居设备了 完整配置 Switch A 上的配置 lldp enable interface GigabitEthernet1/0/1 lldp admin-status rx interface GigabitEthernet1/0/2 lldp admin-status rx Switch B 上的配置 lldp enable interface GigabitEthernet1/0/1 lldp admin-status tx 配置注意事项 缺省情况下,LLDP 功能处于全局关闭状态还是开启状态, 不同产品和版本的实现不同, 请以设备的实际情况为准 若产品 LLDP 功能缺省全局开启, 则完整配置中不显示 lldp enable 欲在终端屏幕上查看邻居变化产生的日志信息, 需保证终端屏幕开关 ( 通过命令 terminal monitor 打开 ) 日志信息开关( 通过命令 terminal logging 打开 ) 以及信息中心 ( 通过命令 info-center enable 打开 ) 处于打开状态 缺省情况下, 交换机 telnet 终端屏幕开关处于关闭状态, 日志信息开关和信息中心都处于开启状态, 所以举例中仅对屏幕开关进行了配置, 其他保持缺省情况即可 详情请参考产品操作手册 信息中心 部分 1-4
132 1.3 LLDP 兼容 CDP 功能典型配置指导 当设备与 Cisco 的 IP 电话直连时,IP 电话将会向设备发送 CDP(Cisco Discovery Protocol, 思科发现协议 ) 报文以请求在设备上所配 Voice VLAN 的 VLAN ID; 如果在指定时间内没有收到设备发送的 Voice VLAN 的 VLAN ID,IP 电话将会把语音数据流以 untagged 方式发送, 从而导致语音数据流与其它类型的数据流混在一起, 无法进行区分 通过在设备上配置 LLDP 兼容 CDP 功能, 可以利用 LLDP 来接收 识别从 IP 电话接收的 CDP 报文, 并向 IP 电话发送 CDP 报文, 该 CDP 报文携带设备所配 Voice VLAN 的 TLV, 使 IP 电话完成 Voice VLAN 的自动配置 语音数据流将被限制在配置的 Voice VLAN 内, 与其它数据流区分开来 组网图图 1-2 LLDP 兼容 CDP 功能典型配置举例图 应用需求 Switch A 通过 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 分别与两部 Cisco 的 IP 电话相连 ; 在 Switch A 上配置 VLAN ID 为 2 的 Voice VLAN, 通过在 Switch A 上配置 LLDP 兼容 CDP 功能使 IP 电话完成 Voice VLAN 的自动配置, 以使语音数据流被限制在 Voice VLAN 内, 与其它数据流区分开来 适用产品 版本表 1-2 配置适用的产品与软件版本关系 产品 S7500E 系列以太网交换机 S7600 系列以太网交换机 软件版本 Release 6300 系列,Release 6600 系列,Release 6610 系列 Release 6600 系列,Release 6610 系列 S5800&S5820X 系列以太网交换机 Release 1110,Release 1211 CE F 以太网交换机 Release 1211 S5500-EI 系列以太网交换机 Release 2202,Release 2208 S5500-EI-D 系列以太网交换机 Release 2208 S5500-SI 系列以太网交换机 Release 2202,Release 2208 S5120-EI 系列以太网交换机 Release 2202,Release 2208 S5120-EI-D 系列以太网交换机 Release 1505 S5120-SI 系列以太网交换机 Release 1101,Release 1505 S5120-LI 系列以太网交换机 Release 1107 E552&E528 以太网交换机 Release 1103 S3610&S5510 系列以太网交换机 Release 5306,Release 5309 S3500-EA 系列以太网交换机 Release 5309 S3100V2-EI 系列以太网交换机 Release
133 产品 软件版本 E126B 以太网交换机 Release 配置过程和解释 (1) 在 Switch A 上配置 Voice VLAN 创建 VLAN 2 <SwitchA> system-view [SwitchA] vlan 2 [SwitchA-vlan2] quit 分别将端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 配置为 Trunk 端口, 并使能 Voice VLAN 功能 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type trunk [SwitchA-GigabitEthernet1/0/1] voice vlan 2 enable [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type trunk [SwitchA-GigabitEthernet1/0/2] voice vlan 2 enable [SwitchA-GigabitEthernet1/0/2] quit (2) 在 Switch A 上配置 LLDP 兼容 CDP 功能 全局使能 LLDP 功能以及 LLDP 兼容 CDP 功能 [SwitchA] lldp enable [SwitchA] lldp compliance cdp 在端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 上分别使能 LLDP 功能 ( 此步骤可省略,LLDP 功能在端口上缺省使能 ), 配置 LLDP 工作模式为 TxRx( 此步骤可省略,LLDP 的缺省工作模式为 TxRx), 并配置 LLDP 兼容 CDP 功能的工作模式为 TxRx [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] lldp enable [SwitchA-GigabitEthernet1/0/1] lldp admin-status txrx [SwitchA-GigabitEthernet1/0/1] lldp compliance admin-status cdp txrx [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] lldp enable [SwitchA-GigabitEthernet1/0/2] lldp admin-status txrx [SwitchA-GigabitEthernet1/0/2] lldp compliance admin-status cdp txrx [SwitchA-GigabitEthernet1/0/2] quit (3) 检验配置效果 显示 Switch A 上的邻居信息 [SwitchA] display lldp neighbor-information CDP neighbor-information of port 1[GigabitEthernet1/0/1]: CDP neighbor index : 1 Chassis ID : SEP00141CBCDBFE Port ID : Port 1 Sofrware version : P MFG2 Platform : Cisco IP Phone 7960 Duplex : Full 1-6
134 CDP neighbor-information of port 2[GigabitEthernet1/0/2]: CDP neighbor index : 2 Chassis ID : SEP00141CBCDBFF Port ID : Port 1 Sofrware version : P MFG2 Platform : Cisco IP Phone 7960 Duplex : Full 由此可见,Switch A 已发现了分别连接在端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 上的 IP 电话, 并获取到了相关的设备信息 完整配置 Switch A 上的配置 lldp enable lldp compliance cdp vlan 2 interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 1 voice vlan 2 enable lldp compliance admin-status cdp txrx interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 1 voice vlan 2 enable lldp compliance admin-status cdp txrx 配置注意事项 缺省情况下,LLDP 功能处于全局关闭状态还是开启状态, 不同产品和版本的实现不同, 请以设备的实际情况为准 若产品 LLDP 功能缺省全局开启, 则完整配置中不显示 lldp enable 欲使 LLDP 兼容 CDP 功能生效, 必须先在全局使能 LLDP 兼容 CDP 功能, 同时将端口下 LLDP 兼容 CDP 功能的工作模式配置为 TxRx 由于 CDP 报文所携 Time To Live TLV 中 TTL 的最大值为 255, 而 TTL=Min(65535,(TTL 乘数 LLDP 报文的发送间隔 )), 因此为保证 LLDP 兼容 CDP 功能的正常运行, 应确保 TTL 乘数与 LLDP 报文的发送间隔的乘积不大于
目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas
目录 1 IPv6 快速转发 1-1 1.1 IPv6 快速转发配置命令 1-1 1.1.1 display ipv6 fast-forwarding aging-time 1-1 1.1.2 display ipv6 fast-forwarding cache 1-1 1.1.3 ipv6 fast-forwarding aging-time 1-3 1.1.4 ipv6 fast-forwarding
目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas
目录 1 IPv6 快速转发 1-1 1.1 IPv6 快速转发配置命令 1-1 1.1.1 display ipv6 fast-forwarding aging-time 1-1 1.1.2 display ipv6 fast-forwarding cache 1-1 1.1.3 ipv6 fast-forwarding aging-time 1-3 1.1.4 ipv6 fast-forwarding
实施生成树
学习沉淀成长分享 Spanning-tree 红茶三杯 ( 朱 SIR) 微博 :http://t.sina.com/vinsoney Latest update: 2012-06-01 STP 的概念 冗余拓扑 Server/host X Router Y Segment 1 Switch A Switch B Segment 2 冗余拓扑能够解决单点故障问题 ; 冗余拓扑造成广播风暴, 多帧复用,
目 录(目录名)
H3C MSR 系列路由器 NAM 网络分析模块软件 安装手册 杭州华三通信技术有限公司 http://www.h3c.com.cn 资料版本 :20070425-C-1.00 产品版本 :NAM VER 1.00 声明 Copyright 2007 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播
M-LAG 技术白皮书
文 档 版 本 03 发 布 日 期 2016-01-05 华 为 技 术 有 限 公 司 2016 保 留 一 切 权 利 非 经 本 公 司 书 面 许 可, 任 何 单 位 和 个 人 不 得 擅 自 摘 抄 复 制 本 文 档 内 容 的 部 分 或 全 部, 并 不 得 以 任 何 形 式 传 播 商 标 声 明 和 其 他 华 为 商 标 均 为 华 为 技 术 有 限 公 司 的 商
H3C ISATAP 隧道和 6to4 隧道相结合使用的典型配置举例 Copyright 2017 新华三技术有限公司版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知
H3C ISATAP 隧道和 6to4 隧道相结合使用的典型配置举例 Copyright 2017 新华三技术有限公司版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知 目录 1 简介 1 2 配置前提 1 3 ISATAP 隧道和 6to4 隧道相结合使用的典型配置举例 1 3.1
目录 1 VLAN 映射配置 VLAN 映射简介 :1 和 N:1 VLAN 映射的应用 :2 VLAN 映射的应用 VLAN 映射的基本概念 VLAN 映射实现方式..
目录 1 VLAN 映射配置... 1-1 1.1 VLAN 映射简介... 1-1 1.1.1 1:1 和 N:1 VLAN 映射的应用... 1-1 1.1.2 2:2 VLAN 映射的应用... 1-2 1.1.3 VLAN 映射的基本概念... 1-3 1.1.4 VLAN 映射实现方式... 1-4 1.2 VLAN 映射配置任务简介... 1-5 1.3 配置 VLAN 映射... 1-5
目录 1 sflow 配置命令 sflow 配置命令 display sflow sflow agent sflow collector sflow counter inte
目录 1 sflow 配置命令... 1-1 1.1 sflow 配置命令... 1-1 1.1.1 display sflow... 1-1 1.1.2 sflow agent... 1-3 1.1.3 sflow collector... 1-4 1.1.4 sflow counter interval... 1-4 1.1.5 sflow counter collector... 1-5 1.1.6
Chapter #
第三章 TCP/IP 协议栈 本章目标 通过本章的学习, 您应该掌握以下内容 : 掌握 TCP/IP 分层模型 掌握 IP 协议原理 理解 OSI 和 TCP/IP 模型的区别和联系 TCP/IP 介绍 主机 主机 Internet TCP/IP 早期的协议族 全球范围 TCP/IP 协议栈 7 6 5 4 3 应用层表示层会话层传输层网络层 应用层 主机到主机层 Internet 层 2 1 数据链路层
03-VLAN命令
目录 1 VLAN 配置命令... 1-1 1.1 VLAN 配置命令... 1-1 1.1.1 description... 1-1 1.1.2 display interface Vlan-interface... 1-2 1.1.3 display vlan... 1-3 1.1.4 interface Vlan-interface... 1-4 1.1.5 name... 1-5 1.1.6
目 录(目录名)
目录 目录...1-1 1.1 域名解析配置命令... 1-1 1.1.1 display dns domain... 1-1 1.1.2 display dns dynamic-host... 1-1 1.1.3 display dns server... 1-2 1.1.4 display ip host... 1-3 1.1.5 dns domain... 1-4 1.1.6 dns resolve...
ebook20-8
8 Catalyst 5000 7 V L A N C a t a l y s t V L A N V L A N 8.1 VLAN VTP V L A N A VLAN VLAN 10 VLAN 20 VLAN 10 VLAN 20 B VLAN VLAN 10 VLAN 20 VLAN 10 C VLAN VLAN 10 VLAN 20 VLAN 10 VLAN 20 8-1 VLAN 8 Catalyst
路由器基本配置
路由器基本配置 本章内容 路由器的基本操作 实验练习 常用的路由器配置方法 TFTP Console MODEM AUX telnet web 任何 Interface AUX 备份接口, 一般用于路由器的管理备份接口 路由器的操作模式 : 配置模式 1. 线路配置模式 Router(config-line)# 配置路由器的线路参数 2. 路由协议配置模式 Router(config-router)#
目 录(目录名)
目录 目录...1-1 1.1 简介... 1-1 1.1.1 概念介绍... 1-1 1.1.2 的协议报文类型... 1-3 1.1.3 运行机制... 1-4 1.1.4 的典型组网... 1-5 1.2 主节点配置... 1-6 1.2.1 配置准备... 1-6 1.2.2 主节点配置任务... 1-6 1.2.3 主节点配置举例... 1-7 1.3 传输节点配置... 1-8 1.3.1
D. 192.168.5.32 E. 192.168.5.14 答 案 :C 3. 工 作 站 A 配 置 的 IP 地 址 为 192.0.2.24/28. 工 作 站 B 配 置 的 IP 地 址 为 192.0.2.100/28. 两 个 工 作 站 之 间 有 直 通 线 连 接, 两 台
CCNP 学 前 测 试 题 都 选 自 官 方 的 全 真 考 试 题, 共 100 道 题 实 际 测 试 选 60 道 题, 同 官 方 正 式 考 题 数 目 基 本 一 致, 因 此 等 于 是 模 拟 考 试, 采 用 网 上 形 式 进 行 测 评 学 前 测 评 目 的 是 为 了 检 验 大 家 对 CCNA 阶 段 知 识 掌 握 的 程 度, 同 时 对 CCNA 最 核 心
1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 disable
目录 1 ARP 攻击防御配置命令... 1-1 1.1 ARP 报文限速配置命令... 1-1 1.1.1 arp rate-limit... 1-1 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令... 1-1 1.2.1 arp anti-attack source-mac... 1-1 1.2.2 arp anti-attack source-mac aging-time... 1-2
SERVERIRON ADX
www.brocade.com BROCADE VDX 6720 Brocade Virtual Cluster Switching VCSBrocade 600 Inter-Switch Link (ISL) Trunking multihomed ( Ethernet Fabric ) Fibre Channel over Ethernet (FCoE) iscsi NAS IP LAN Automatic
SL2511 SR Plus 操作手冊_單面.doc
IEEE 802.11b SL-2511 SR Plus SENAO INTERNATIONAL CO., LTD www.senao.com - 1 - - 2 - .5 1-1...5 1-2...6 1-3...6 1-4...7.9 2-1...9 2-2 IE...11 SL-2511 SR Plus....13 3-1...13 3-2...14 3-3...15 3-4...16-3
Quidway S3526系列交换机R0028P01版本发布
MSR V7 系列路由器和 MSR V5 系列路由器野蛮式对接 L2TP over IPSEC 典型配置 一 组网需求 : 要求 MSR3020 和 MSR3620 之间路由可达,PCA 使用 MSR3620 上的 loopback 0 口代替,PCB 由 MSR3020 上的 loopback 0 口代替, 并且有如下要求 : 1 双方使用野蛮模式建立 IPsec 隧道 ; 2 双方使用预共享密钥的方式建立
XGS /XGS D
ZyXEL XGS1920-48+/XGS1920-48D WEB 页面配置 目录 一 登录 WEB 界面... 2 二 Web 整体页面布局... 2 三 Basic Setting 操作... 3 3.1 System Info 操作介绍... 3 3.2 General Application 操作介绍... 3 3.3 IP Setup 操作介绍... 3 3.4 Port Setup 操作介绍...
bingdian001.com
1... 1 1.1... 1 1.2... 1 1.3... 1 1.4... 1 1.5... 1 1.6... 1 2... 1 2.1... 1 2.2... 2 2.3... 2 3... 2 4... 3 4.1... 3 4.1.1... 3 1.... 3 2.... 3 3.... 3 4.... 3 5.... 3 6.... 3 7.... 3 8.... 4 9.... 4
IPSec对接案例
AR120&AR150&AR160&AR200&AR500&AR510&A R1 文档版本 V1.0 发布日期 2015-09-30 华为技术有限公司 版权所有 华为技术有限公司 2015 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 商标声明 和其他华为商标均为华为技术有限公司的商标 本文档提及的其他所有商标或注册商标, 由各自的所有人拥有
1 安全域 设备各款型对于本节所描述的特性情况有所不同, 详细差异信息如下 : 型号特性描述 MSR810/810-W/810-W-DB/810-LM/810-W-LM/ PoE/ 810-LM-HK/810-W-LM-HK/810-LMS/810-LUS MSR X1 M
目录 1 安全域 1-1 1.1 安全域配置命令 1-1 1.1.1 display security-zone 1-1 1.1.2 display zone-pair security 1-2 1.1.3 import interface 1-2 1.1.4 security-zone 1-3 1.1.5 security-zone intra-zone default permit 1-4 1.1.6
通过动态路由协议实现链路备份
通过动态路由协议实现链路备份 实验名称 通过动态路由协议实现链路备份 实验目的 掌握通过在不同链路上配置不同的路由协议实现链路备份 背景描述 你是公司高级网络管理员, 公司内部有一个很重要的服务器所在网段为 192.168.12.0/24, 平常访问通过 R1,R3 的 OSPF 路由协议, 为了保证该网段随时能够访问, 不能因为链路故障出问题, 要求你实现一个备份冗余的功能, 请给予支持 实现功能
目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介 配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介 配置 ARP 防止 I
目录 1 ARP 攻击防御配置... 1-1 1.1 ARP 攻击防御简介...1-1 1.2 ARP 攻击防御配置任务简介... 1-1 1.3 配置 ARP 防止 IP 报文攻击功能... 1-2 1.3.1 ARP 防止 IP 报文攻击功能简介... 1-2 1.3.2 配置 ARP 防止 IP 报文攻击功能... 1-2 1.3.3 ARP 防止 IP 报文攻击显示和维护... 1-3 1.3.4
MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #
iptables 默认安全规则脚本 一 #nat 路由器 ( 一 ) 允许路由 # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT ( 二 ) DNAT 与端口转发 1 启用 DNAT 转发 # iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dprot 422 -j DNAT to-destination
产品画册 S2700系列企业交换机 2
S2700系列企业交换机 Realize Your Potential 华为技术有限公司 产品画册 S2700系列企业交换机 2 产 品 概 述 S2700 系 列 企 业 交 换 机 ( 以 下 简 称 S2700) 是 华 为 公 司 推 出 的 新 一 代 绿 色 节 能 的 以 太 智 能 百 兆 接 入 交 换 机 它 基 于 新 一 代 交 换 技 术 和 华 为 VRP (Versatile
RG-NBS5816XS交换机RGOS 10.4(3)版本WEB管理手册
Web 配 置 手 册 NBS 5816XS 交 换 机 RGOS 10.4(3) 文 档 版 本 号 :V1.0 技 术 支 持 4008-111-000 http://webchat.ruijie.com.cn 版 权 声 明 福 建 星 网 锐 捷 网 络 有 限 公 司 2015 锐 捷 网 络 有 限 公 司 版 权 所 有, 并 保 留 对 本 手 册 及 本 声 明 的 一 切 权 利
BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli
BYOD 204 2015 GoogleHicloud (Load Balance) Server Load Balance Link Load Balance Server Redirect 1. URL Redirect redirector URL redirect Real Server Client HTTP Real Server Web Client 2 (1) URL Redirect
目 录(目录名)
本命令索引包括手册中所出现的全部命令, 按字母序排列, 左边为命令行, 右边为该命令所在的功能模块和页码 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A access-limit accounting QoS 2-1 1-1 accounting default accounting lan-access accounting login
00-组播分册索引
组播分册索引 手册版本 5W100-20101029 组播分册简介 组播分册内容如下 : 手册名称 IGMP Snooping 组播 VLAN 组播路由与转发 IGMP 手册说明 IGMP Snooping 是运行在设备上的组播约束机制, 用于管理和控制组播组 本文主要描述了配置 IGMP Snooping 基本功能 IGMP Snooping 端口功能 IGMP Snooping 查询器 IGMP
NAT环境下采用飞塔NGFW
版本 V1.0 时间 作者 2017 年 5 月 王祥 状态 反馈 [email protected] 目录 1 应用场景... 3 2 网络拓扑... 3 3 版本说明... 3 4 配置步骤... 4 4.1 FortiGate VXLAN 配置... 4 4.2 Ubuntu VXLAN 配置... 6 5 测试结果... 6 6 注意事项... 7 1 应用场景 VXLAN over
产 品 特 点 丰 富 的 安 全 策 略 H3C S2600 系 列 交 换 机 支 持 特 有 的 ARP 入 侵 检 测 功 能, 可 有 效 防 止 黑 客 或 攻 击 者 通 过 ARP 报 文 实 施 日 趋 盛 行 的 ARP 欺 骗 攻 击 支 持 IP Source Guard 特
H3C S2600 系 列 安 全 智 能 交 换 机 产 品 概 述 H3C S2600 系 列 以 太 网 交 换 机 是 杭 州 华 三 通 信 技 术 有 限 公 司 ( 以 下 简 称 H3C 公 司 ) 面 向 接 入 层 推 出 的 新 一 代 百 兆 产 品, 在 满 足 高 性 能 接 入 的 基 础 上, 提 供 更 全 面 的 安 全 接 入 策 略 和 更 强 的 网 络 管
计算机网络概论
1 repeater bridge router gateway V.S OSI Repeater(Hub) 1 Repeater 2 3 ( Hub 4 Bridge 1 Bridge 2 N N DL1 DL1 DL2 DL2 Ph1 Ph1 Ph2 Ph2 1 2 Bridge 3 MAC Ethernet FDDI MAC MAC Bridge 4 5 6 7 50873EA6, 00123456
目录 1 MAC VLAN 配置简介 概述 配置策略 配置方法 通过 Web 界面配置 MAC VLAN Q VLAN 配置 将 MAC 地址和 VLAN 绑定.
指南 TP-LINK 管理型交换机 REV1.0.0 1910040566 目录 1 MAC VLAN 配置简介... 1-3 1.1 概述...1-3 1.2 配置策略...1-2 2 配置方法... 2-1 2.1 通过 Web 界面配置 MAC VLAN...2-1 2.1.1 802.1Q VLAN 配置...2-1 2.1.2 将 MAC 地址和 VLAN 绑定...2-1 2.1.3 端口使能...2-2
目 录 1 简 介 1-1 2 配 置 前 提 1-1 3 NTP 服 务 器 / 客 户 端 模 式 典 型 配 置 举 例 3-1 3.1 组 网 需 求 3-1 3.2 使 用 版 本 3-1 3.3 配 置 步 骤 3-2 3.3.1 Device A 的 配 置 3-2 3.3.2 Dev
H3C S5130-EI NTP 典 型 配 置 举 例 Copyright 2014 杭 州 华 三 通 信 技 术 有 限 公 司 版 权 所 有, 保 留 一 切 权 利 非 经 本 公 司 书 面 许 可, 任 何 单 位 和 个 人 不 得 擅 自 摘 抄 复 制 本 文 档 内 容 的 部 分 或 全 部, 并 不 得 以 任 何 形 式 传 播 本 文 档 中 的 信 息 可 能 变
S2300 系 列 交 换 机 S2300 系 列 交 换 机 产 品 概 述 S2300 系 列 交 换 机 ( 以 下 简 称 S2300) 是 华 为 公 司 推 出 的 新 一 代 绿 色 节 能 的 以 太 智 能 百 兆 接 入 交 换 机 它 基 于 新 一 代 交 换 技 术 和 华 为 VRP(Versatile Routing Platform) 软 件 平 台, 能 提 供
21-MAC地址认证命令
目录 1 MAC 地址认证配置命令... 1-1 1.1 MAC 地址认证基本功能配置命令... 1-1 1.1.1 display mac-authentication... 1-1 1.1.2 mac-authentication... 1-3 1.1.3 mac-authentication interface... 1-3 1.1.4 mac-authentication authmode
目 录(目录名)
目录 目录...1-1 1.1 配置命令... 1-1 1.1.1 description... 1-1 1.1.2 display interface Vlan-interface... 1-2 1.1.3 display vlan... 1-3 1.1.4 interface Vlan-interface... 1-4 1.1.5 name... 1-5 1.1.6 shutdown... 1-6
H3C
关键词 :IGMP IGMP Snooping 组播 VLAN PIM MSDP MBGP 摘要 : 本文主要介绍组播功能在具体组网中的应用配置, 包括以下两种典型组网应用 : 域内 的二 三层组播应用情况, 以及域间的三层组播应用情况 缩略语 : 缩略语 英文全名 中文解释 AS Autonomous System 自治系统 ASM Any-Source Multicast 任意信源组播 BGP
SAPIDO GR-1733 無線寬頻分享器
1 版 權 聲 明... 4 產 品 保 固 說 明... 4 保 固 期 限... 4 維 修 辦 法... 5 服 務 條 款... 5 注 意 事 項... 6 低 功 率 電 波 輻 射 性 電 機 管 理 辦 法... 6 CE 標 誌 聲 明... 6 無 線 功 能 注 意 事 項... 6 1 產 品 特 點 介 紹... 7 1.1 LED 指 示 燈 功 能 說 明... 8 1.2
IP505SM_manual_cn.doc
IP505SM 1 Introduction 1...4...4...4...5 LAN...5...5...6...6...7 LED...7...7 2...9...9...9 3...11...11...12...12...12...14...18 LAN...19 DHCP...20...21 4 PC...22...22 Windows...22 TCP/IP -...22 TCP/IP
一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页
第 1 页共 32 页 crm Mobile V1.0 for IOS 用户手册 一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页 二 crm Mobile 界面介绍 : 第 3 页共 32 页 三 新建 (New) 功能使用说明 1 选择产品 第 4 页共 32 页 2 填写问题的简要描述和详细描述 第 5 页共
计算机网络 实验指导书 / 实验三 : 使用路由器组网 实验三 : 使用路由器组网 一 实验目的 1 理解路由器的基本工作原理; 2 掌握路由器的基本管理和配置方法; 3 理解路由组网的方法和静态路由的具体使用; 4 理解基于路由器的园区网的结构, 并进一步体会园区网的设计思路 二 实验学时 2 学
实验三 : 使用路由器组网 一 实验目的 1 理解路由器的基本工作原理; 2 掌握路由器的基本管理和配置方法; 3 理解路由组网的方法和静态路由的具体使用; 4 理解基于路由器的园区网的结构, 并进一步体会园区网的设计思路 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2 软件 Windows 7 以上操作系统, 安装 GNS3 网络仿真与 VirtualBox
Cisco 300 Series Managed Switch Administration Guide x (Simplified Chinese)
00.4 1 1 : 2 : 10 Web 0 13 3 14 3 : 7 17 17 Etherlike 18 GVRP 19 802.1X EAP 20 ACL 21 TCAM 2 2 RMON 23 29 4 : 0 30 32 3 00 1 1 5 : 5 35 / / 7 40 / / 41 45 / 45 DHCP / 46 6 : 54 55 57 Console 59 60 60 60
计算机网络 实验指导书 / 实验四 : 动态路由协议 实验四 : 动态路由协议 一 实验目的 1 进一步理解路由器的工作原理; 2 掌握 RIP 的基本原理和实现 ; 3 掌握 OSPF 的基本原理和实现 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2
实验四 : 动态路由协议 一 实验目的 1 进一步理解路由器的工作原理; 2 掌握 RIP 的基本原理和实现 ; 3 掌握 OSPF 的基本原理和实现 二 实验学时 2 学时 三 实验类型 综合性 四 实验需求 1 硬件每人配备计算机 1 台 2 软件 Windows 7 以上操作系统, 安装 GNS3 网络仿真与 VirtualBox 虚拟化软件, 安装 Putty 软件 3 网络实验室局域网支持,
目 录(目录名)
H3C WA 系列 PPPoE Client 配置举例 关键词 :PPPoE,PPPoE Client,AP 摘要 :PPPoE 是 Point-to-Point Protocol over Ethernet 的简称, 它可以通过一个远端接入设备为以太网上的主机提供因特网接入服务, 并对接入的每个主机实现控制 计费功能 由于很好地结合了以太网的经济性及 PPP 良好的可扩展性与管理控制功能,PPPoE
目录 1 IP 地址配置命令 IP 地址配置命令 display ip interface display ip interface brief ip address i
目录 1 IP 地址配置命令... 1-1 1.1 IP 地址配置命令... 1-1 1.1.1 display ip interface... 1-1 1.1.2 display ip interface brief... 1-3 1.1.3 ip address... 1-4 i 1 IP 地址配置命令 1.1 IP 地址配置命令 1.1.1 display ip interface 命令 display
2.3.2 qos trust 端口限速配置命令 端口限速配置命令 display qos lr interface qos lr 拥塞管理配置命令 拥塞管理配置命令..
目录 1 QoS 策略配置命令... 1-1 1.1 定义类的命令... 1-1 1.1.1 display traffic classifier... 1-1 1.1.2 if-match... 1-2 1.1.3 traffic classifier... 1-5 1.2 定义流行为的命令...1-6 1.2.1 display traffic behavior... 1-6 1.2.2 filter...
igmp-snooping host-aging-time igmp-snooping host-join igmp-snooping host-tracking igmp-snooping last-member
目录 1 IGMP Snooping 1-1 1.1 IGMP Snooping 配置命令 1-1 1.1.1 display igmp-snooping 1-1 1.1.2 display igmp-snooping group 1-4 1.1.3 display igmp-snooping host-tracking 1-6 1.1.4 display igmp-snooping router-port
01-13 配置IM阻断
配置指南安全防范分册目录 目 录 13 配置 IM 阻断...13-1 13.1 简介...13-2 13.2 配置 IM 阻断...13-2 13.2.1 建立配置任务...13-2 13.2.2 激活模式文件...13-3 13.2.3 配置需要阻断的 IM 协议...13-3 13.2.4 配置 ACL 设定 IM 阻断策略...13-4 13.2.5 配置 IM 阻断策略应用到域间...13-4
1 WLAN 接 入 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 接 入 简 介 WLAN 接 入 为 用 户 提 供 接 入 网 络 的 服 务 无 线 服 务 的 骨 干 网 通 常 使 用 有 线 电 缆 作 为 线 路 连 接 安 置 在 固 定
目 录 1 WLAN 接 入 配 置 1-1 1.1 WLAN 接 入 简 介 1-1 1.1.1 无 线 扫 描 1-1 1.1.2 关 联 1-3 1.2 WLAN 客 户 端 接 入 控 制 1-4 1.2.1 基 于 AP 组 的 接 入 控 制 1-4 1.2.2 基 于 SSID 的 接 入 控 制 1-4 1.3 零 漫 游 1-5 1.4 WLAN 接 入 配 置 任 务 简 介 1-6
目录 1 IP 地址 IP 地址配置命令 display ip interface display ip interface brief ip address 1-5 i
目录 1 IP 地址 1-1 1.1 IP 地址配置命令 1-1 1.1.1 display ip interface 1-1 1.1.2 display ip interface brief 1-3 1.1.3 ip address 1-5 i 1 IP 地址 1.1 IP 地址配置命令 1.1.1 display ip interface display ip interface 命令用来显示三层接口与
计算机网络实验说明
计算机网络实验说明 龚旭东 电三楼 420 lzgxd@mailustceducn 2011 年 11 月 1 日 龚旭东 (TA) 计算机网络实验说明 2011 年 11 月 1 日 1 / 20 Outline 1 实验系统介绍 实验环境实验流程 2 实验内容编程实验交互实验观察实验 3 一些控制台命令 4 实验报告说明 龚旭东 (TA) 计算机网络实验说明 2011 年 11 月 1 日 2
幻灯片 0
S7500E OLT 设备 MPLS VPN 广电应 用开局指导 日期 :2010 年 4 月 密级 : 杭州华三通信技术有限公司 广电网络架构与需求背景 省骨干网 DHCP Server imc MVM VoD Server 广电城域网核心层 广电城域网接入层 S7500E OLT(PE) MPLS VPN 域 无源分光器 楼道同轴网 光节点 ONU ONU CE ONU CE CE STB PC
1 QCN 1.1 QCN 简介 QCN(Quantized Congestion Notification, 量化拥塞通知 ) 是一套应用于二层的端到端拥塞通知机制, 通过主动反向通知, 降低网络中的丢包率和延时, 从而提高网络性能 QCN 作为数据中心标准的一部分, 主要应用于数据中心场景 1.
目录 1 QCN 1-1 1.1 QCN 简介 1-1 1.1.1 QCN 基本概念 1-1 1.1.2 QCN 消息格式 1-1 1.1.3 QCN 工作原理 1-3 1.1.4 QCN 算法实现 1-3 1.1.5 拥塞通知域 1-4 1.1.6 协议规范 1-5 1.2 QCN 配置任务简介 1-5 1.3 使能 QCN 功能 1-6 1.3.1 配置准备 1-6 1.3.2 使能 QCN 功能
ebook140-8
8 Microsoft VPN Windows NT 4 V P N Windows 98 Client 7 Vintage Air V P N 7 Wi n d o w s NT V P N 7 VPN ( ) 7 Novell NetWare VPN 8.1 PPTP NT4 VPN Q 154091 M i c r o s o f t Windows NT RAS [ ] Windows NT4
网工新答案
2005 年 5 月 29 日 软 考 2005 年 上 半 年 网 络 工 程 师 上 午 试 题 ( 参 考 答 案 ) ( 特 别 声 明, 此 答 案 只 作 参 考 ) 本 文 是 经 过 三 审 后 的 CIU 网 工 上 午 参 考 答 案 ( 正 确 率 在 92%-95% 之 间, 因 为 种 种 原 因, 不 能 与 标 准 答 案 完 全 相 同, 请 大 家 理 解 ) 如