高級路由技術(shù)網(wǎng)絡(luò)系統(tǒng)建設(shè)課件-第05章 VLAN高級特性

第05章VLAN高級特性學(xué)習(xí)目標(biāo)和素質(zhì)目標(biāo)掌握VLAN和Trunk基礎(chǔ)知識和配置實現(xiàn)。掌握MUXVLAN應(yīng)用場景、工作原理和配置實現(xiàn)。掌握VLAN聚合應(yīng)用場景、工作原理和配置實現(xiàn)。掌握VLANMapping應(yīng)用場景、工作原理和配置實現(xiàn)。掌握QinQ應(yīng)用場景、工作原理和配置實現(xiàn)。激發(fā)學(xué)生的求真求實意識。提升學(xué)生的靈活應(yīng)變能力。培養(yǎng)學(xué)生的進(jìn)取精神。5.1擴(kuò)展VLAN技術(shù)概述通過在交換機(jī)上配置VLAN，可以實現(xiàn)在同一個VLAN內(nèi)的用戶可以進(jìn)行二層互訪，而不同VLAN間的用戶被二層隔離。MUXVLAN（MultiplexVLAN）提供了一種通過VLAN進(jìn)行網(wǎng)絡(luò)資源控制的機(jī)制。通過MUXVLAN提供的二層流量隔離的機(jī)制可以實現(xiàn)企業(yè)內(nèi)部員工之間互相通信，而企業(yè)外來訪客之間的互訪是隔離的。VLAN聚合只在super-VLAN接口上配置IP地址，而不必為每個sub-VLAN分配IP地址。VLANMapping可以實現(xiàn)在用戶VLANID（私有VLAN）和運(yùn)營商VLANID(業(yè)務(wù)VLAN,也可以說是公有VLAN)之間相互轉(zhuǎn)換的一個功能。QinQ是基于802.1Q封裝的隧道協(xié)議，其核心思想是在用戶私網(wǎng)VLANtag之外封裝公網(wǎng)VLANtag，報文帶著兩層tag穿越公網(wǎng)，從而為用戶提供一種較為簡單的二層VPN隧道。5.1.1VLAN基礎(chǔ)VLAN技術(shù)可以將一個物理局域網(wǎng)在邏輯上劃分成多個廣播域,提高了網(wǎng)絡(luò)安全性。VLAN技術(shù)部署在數(shù)據(jù)鏈路層，用于隔離二層流量。同一個VLAN內(nèi)的主機(jī)之間可以直接進(jìn)行二層通信。LAN間的主機(jī)屬于不同的廣播域，不能直接實現(xiàn)二層互通。VLAN1VLAN25.1.1VLAN基礎(chǔ)VLAN鏈路分為兩種類型：Access鏈路和Trunk鏈路。用戶主機(jī)和交換機(jī)之間的鏈路為Access鏈路，交換機(jī)與交換機(jī)之間的鏈路為Trunk鏈路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess5.1.1VLAN基礎(chǔ)PVID（PortVLANID）表示端口在缺省情況下所屬的VLAN。所有以太網(wǎng)幀在交換機(jī)中都是以Tagged的形式來被處理和轉(zhuǎn)發(fā)的，因此交換機(jī)必須給端口收到的Untagged數(shù)據(jù)幀添加上Tag。缺省時X7系列交換機(jī)每個端口的PVID都是1。PVID1PVID2PVID2PVID3PVID3PVID1SWASWB主機(jī)A主機(jī)C主機(jī)B主機(jī)DVLAN2VLAN2VLAN3VLAN35.1.1VLAN基礎(chǔ)VLAN優(yōu)點(diǎn)：限制廣播域增強(qiáng)局域網(wǎng)的安全性提高網(wǎng)絡(luò)的健壯性靈活構(gòu)建虛擬工作組VLAN1VLAN25.1.1VLAN基礎(chǔ)VLAN的劃分包括5種方法，基于端口的VLAN劃分方法在實際中最為常見。VLAN5VLAN10基于端口G0/0/1,G0/0/7G0/0/2G0/0/9基于MAC地址00-01-02-03-04-AA00-01-02-03-04-CC00-01-02-03-04-BB00-01-02-03-04-DD基于IP子網(wǎng)劃分10.0.1.*10.0.2.*基于協(xié)議劃分IPIPv6基于策略10.0.1.*+G0/0/1+00-01-02-03-04-AA10.0.2.*+G0/0/2+00-01-02-03-04-BBG0/0/1主機(jī)A10.0.1.1主機(jī)D10.0.2.2主機(jī)B10.0.2.1主機(jī)C10.0.1.2G0/0/2G0/0/7G0/0/9SWA5.1.1VLAN基礎(chǔ)在交換機(jī)上執(zhí)行vlanvlan-id命令，創(chuàng)建VLAN。執(zhí)行vlanbatch命令可以創(chuàng)建多個VLAN。在交換機(jī)上執(zhí)行portlink-typeaccess命令配置Access端口。執(zhí)行portdefaultvlanvlan-id命令，把端口加入VLAN。[SWA]vlan10[SWA-vlan10]quit[SWA]vlanbatch2to3[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portlink-typeaccess[SWA-GigabitEthernet0/0/5]portdefaultvlan2[SWA]interfaceGigabitEthernet0/0/7[SWA-GigabitEthernet0/0/7]portlink-typeaccess[SWA-GigabitEthernet0/0/7]portdefaultvlan2SWASWBG0/0/1G0/0/7G0/0/5主機(jī)A主機(jī)D主機(jī)B主機(jī)C5.1.1VLAN基礎(chǔ)驗證VLAN配置結(jié)果執(zhí)行displayvlan

[

vlan-id

[

verbose

]]命令，可以查看指定VLAN的詳細(xì)信息。執(zhí)行displayvlan

vlan-id

statistics命令，可以查看指定VLAN中的流量統(tǒng)計信息。執(zhí)行displayvlan

summary命令，可以查看系統(tǒng)中所有VLAN的匯總信息。[SWA]displayvlanThetotalnumberofvlansis:2------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------VIDTypePorts--------------------------------------------------------------2commonUT:GE0/0/5(U)GE0/0/7(U)5.1.1VLAN基礎(chǔ)Trunk技術(shù)使得在一條物理線路上可以傳送多個VLAN的信息。當(dāng)Trunk端口收到幀時，如果該幀不包含Tag，將添加上端口的PVID；如果該幀包含Tag，則不改變。當(dāng)Trunk端口發(fā)送幀時，該幀的VLANID在Trunk的允許發(fā)送列表中：若與端口的PVID相同時，則剝離Tag發(fā)送；若與端口的PVID不同時，則直接發(fā)送。主機(jī)A主機(jī)C主機(jī)B主機(jī)DUntaggedUntaggedFrame20UntaggedSWASWBUntaggedUntaggedPVID1PVID20PVID1PVID20PVID1PVID15.1.1VLAN基礎(chǔ)VLANIEEE802.1Q幀格式中，VLAN標(biāo)簽長4個字節(jié)，直接添加在以太網(wǎng)幀頭中。通過Tag區(qū)分不同VLAN。沒有攜帶Tag的幀攜帶Tag的幀0x8100PRICFIVLANID（12b）2bytes2bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesTagTPIDTCI4bytes5.1.1VLAN基礎(chǔ)配置Trunk端口：portlink-typetrunk命令修改端口的類型為Trunkporttrunkallow-passvlan

{{

vlan-id1

[

to

vlan-id2

]}|

all

}命令配置端口允許的VLANporttrunkpvidvlan

vlan-id命令可以修改Trunk端口的PVID[SWA-GigabitEthernet0/0/1]portlink-typetrunk[SWA-GigabitEthernet0/0/1]porttrunkallow-passvlan23SWASWBG0/0/1G0/0/1主機(jī)A主機(jī)D主機(jī)B主機(jī)C5.1.1VLAN基礎(chǔ)驗證Trunk配置，TG表明該端口在轉(zhuǎn)發(fā)對應(yīng)VLAN的數(shù)據(jù)幀時，不會剝離標(biāo)簽，直接進(jìn)行轉(zhuǎn)發(fā)。[SWA]displayvlanThetotalnumberofvlansis:4------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------VIDTypePorts--------------------------------------------------------------1commonUT:GE0/0/1(U)……2commonUT:GE0/0/7(D)TG:GE0/0/1(U)

commonUT:GE0/0/5(U)TG:GE0/0/1(U)10common……5.1.2MUXVLAN

MuxVLAN基本原理:MUXVLAN提供了一種在VLAN的端口間進(jìn)行二層流量隔離的機(jī)制。部門AVLAN2部門AVLAN2部門BVLAN2部門BVLAN2Server部門A的員工之間不能互訪，而部門B的員工之間可以互訪，但是部門A和部門B不能互訪，而公司所有員工均可以訪問公司的服務(wù)器。5.1.2MUXVLANMUXVLAN分為主VLAN（PrincipalVLAN）和從VLAN（SubordinateVLAN），SubordinateVLAN又分為隔離VLAN（SeparateVLAN）和、互通VLAN（GroupVLAN）。SeparateportPrincipalportGroupportMUXVLANPrincipalVLANSeparateVLANGroupVLANPrincipalport可以和MUXVLAN內(nèi)的所有接口進(jìn)行通信。Separateport只能和Principalport進(jìn)行通信，和其他類型的接口實現(xiàn)完全隔離。每個SeparateVLAN必須綁定一個PrincipalVLAN。Groupport可以和Principalport進(jìn)行通信，在同一組內(nèi)的接口也可互相通信，但不能和其他組接口或Separateport通信。每個GroupVLAN必須綁定一個PrincipalVLAN。綁定SubordinateVLAN5.1.2MUXVLANMUXVLAN應(yīng)用舉例：根據(jù)MUXVLAN特性，企業(yè)可以用主接口連接企業(yè)服務(wù)器，隔離接口連接企業(yè)客戶，互通接口連接企業(yè)員工。這樣就能夠?qū)崿F(xiàn)企業(yè)客戶、企業(yè)員工都能夠訪問企業(yè)服務(wù)器，而企業(yè)員工內(nèi)部可以通信、企業(yè)客戶間不能通信、企業(yè)客戶和企業(yè)員工之間不能互訪的目的。5.1.2MUXVLANMUXVLAN配置步驟：VLAN視圖下執(zhí)行mux-vlan命令配置主VLAN的MUXVLAN功能。VLAN視圖下執(zhí)行subordinategroup{

vlan-id1

[

to

vlan-id2

]}命令配置GroupVLAN功能。一個主VLAN下最多配置128個GroupVLAN。VLAN視圖下執(zhí)行subordinateseparatevlan-id命令配置SeparateVLAN功能。一個主VLAN下只能配置一個SeparateVLAN。接口視圖下執(zhí)行portmux-vlanenablevlanvlan-id命令使能接口MUXVLAN功能。5.1.2MUXVLANMUXVLAN配置舉例SW1配置如下：[SW1]vlanbatch102030100 #創(chuàng)建所有VLAN[SW1]vlan100[SW1-vlan100]mux-vlan #指定VLAN100為主VLAN

[SW1-vlan100]subordinategroup1020#指定VLAN10，20為互通型從VLAN[SW1-vlan100]subordinateseparate30#指定VLAN30為隔離型從VLAN[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]portmux-vlanenablevlan10#接口加入相關(guān)VLAN，并且激活MUXVLAN功能#其他接口與GE0/0/1配置類似，此處省略PC1PC2PC3PC4PC5PC6部門AVLAN10部門BVLAN20訪客區(qū)VLAN30SW1ServerGE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/5GE0/0/6GE0/0/24VLAN1005.1.2MUXVLAN查看VLAN配置結(jié)果，通過ping命令檢測PC5（192.168.1.5/24）與PC6（192.168.1.6/24）之間的網(wǎng)絡(luò)連通性。[SW1]displayvlanThetotalnumberofvlansis:5------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;------------------------------------------------------------VIDTypePorts------------------------------------------------------------10mux-subUT:GE0/0/1(U)GE0/0/2(U)20mux-subUT:GE0/0/3(U)GE0/0/4(U)30mux-subUT:GE0/0/5(U)GE0/0/6(U)100muxUT:GE0/0/24(U)PC1PC2PC3PC4PC5PC6部門AVLAN10部門BVLAN20訪客區(qū)VLAN30SW1ServerGE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/5GE0/0/6GE0/0/24VLAN1005.1.3VLAN聚合通過VLAN接口實現(xiàn)VLAN間通信時，需要為每個VLAN的VLAN接口配置一個IP地址。如果VLAN很多，將占用許多IP地址資源，導(dǎo)致IP地址的浪費(fèi)。VLAN聚合,也稱為Super-VLAN，就是在一個物理網(wǎng)絡(luò)內(nèi)，用多個VLAN隔離廣播域，使不同的VLAN屬于同一個子網(wǎng)。用于隔離廣播域的VLAN叫做sub-VLAN，與該子網(wǎng)對應(yīng)的VLAN叫做super-VLAN。多個sub-VLAN組成一個super-VLAN。不同sub-VLAN下的主機(jī)不能互通。5.1.3VLAN聚合在一般的三層交換機(jī)中，通常是采用一個VLAN對應(yīng)一個VLANIF接口的方式實現(xiàn)廣播域之間的互通，這在某些情況下導(dǎo)致了IP地址的浪費(fèi)。因為一個VLAN對應(yīng)的子網(wǎng)中，子網(wǎng)號、子網(wǎng)廣播地址、子網(wǎng)網(wǎng)關(guān)地址不能用作VLAN內(nèi)的主機(jī)IP地址，且子網(wǎng)中實際接入的主機(jī)可能少于可用IP地址數(shù)量，空閑的IP地址也會因不能再被其他VLAN使用而被浪費(fèi)掉。VLAN10192.168.1.0/26VLAN20192.168.1.64/26VLAN30192.168.1.128/26網(wǎng)關(guān)：VLANIF10：192.168.1.62/26VLANIF20：192.168.1.126/26VLANIF30:：192.168.1.190/26如何既能實現(xiàn)廣播域的劃分，又可以避免IP地址的浪費(fèi)呢？？5.1.3VLAN聚合VLAN聚合（VLANAggregation，也稱Super-VLAN）:指在一個物理網(wǎng)絡(luò)內(nèi)，用多個VLAN（稱為Sub-VLAN）隔離廣播域，并將這些Sub-VLAN聚合成一個邏輯的VLAN（稱為Super-VLAN），這些Sub-VLAN使用同一個IP子網(wǎng)和缺省網(wǎng)關(guān)，進(jìn)而達(dá)到節(jié)約IP地址資源的目的。Sub-VLAN：只包含物理接口，不能建立三層VLANIF接口，用于隔離廣播域。每個Sub-VLAN內(nèi)的主機(jī)與外部的三層通信是靠Super-VLAN的三層VLANIF接口來實現(xiàn)的。Super-VLAN：只建立三層VLANIF接口，不包含物理接口，與子網(wǎng)網(wǎng)關(guān)對應(yīng)。與普通VLAN不同，Super-VLAN的VLANIF接口狀態(tài)取決于所包含Sub-VLAN的物理接口狀態(tài)。Sub-VLAN10廣播域1Sub-VLAN20廣播域2Sub-VLAN30廣播域3Super-VLAN100VLANIF100:192.168.1.254/24192.168.1.0/245.1.3VLAN聚合每個Sub-VLAN對應(yīng)一個廣播域，多個Sub-VLAN和一個Super-VLAN關(guān)聯(lián)，只給Super-VLAN分配一個IP子網(wǎng)，所有Sub-VLAN都使用Super-VLAN的IP子網(wǎng)和缺省網(wǎng)關(guān)進(jìn)行三層通信。Sub-VLAN10192.168.1.0-192.168.1.63/24Sub-VLAN20192.168.1.64-192.168.1.127/24Sub-VLAN30192.168.1.128-192.168.1.191/24所有主機(jī)的默認(rèn)網(wǎng)關(guān)都是192.168.1.254/24Super-VLAN100VLANIF100:192.168.1.254/245.1.3VLAN聚合傳統(tǒng)VLAN方式每一個VLAN需要劃分不同的IP地址網(wǎng)段，在本例中需要耗費(fèi)4個IP網(wǎng)段和產(chǎn)生4條路由條目；Super-VLAN方式只需要分配一個IP地址網(wǎng)段，下屬二層VLAN共用同一個IP地址網(wǎng)段，共用同一個三層網(wǎng)關(guān)，同時VLAN之間保持二層隔離。三層網(wǎng)關(guān)三層網(wǎng)關(guān)VLAN210.10.1.0/24VLAN310.10.2.0/24VLAN410.10.3.0/24VLAN510.10.4.0/24VLAN210.10.1.0/24VLAN310.10.1.0/24VLAN410.10.1.0/24VLAN510.10.1.0/24四個VLAN，四個網(wǎng)關(guān)Super-VLAN8分支網(wǎng)絡(luò)分支網(wǎng)絡(luò)四個子VLAN，一個聚合VLAN的VLANIF作為網(wǎng)關(guān)傳統(tǒng)VLAN劃分分支網(wǎng)絡(luò)中每個業(yè)務(wù)分配一個VLAN，每個VLAN分配一個網(wǎng)段。Super-VLAN劃分分支網(wǎng)絡(luò)采用一個Super-VLAN聚合所有二層VLAN，所有二層VLAN共享同一個IP網(wǎng)段，同時保證二層隔離。5.1.3VLAN聚合相同Sub-VLAN內(nèi)部通信：同一個Sub-VLAN之間屬于同一個廣播域，因此相同Sub-VLAN之間可以通過二層直接通信。二層通信二層通信Sub-VLAN10192.168.1.0/24Sub-VLAN20192.168.1.0/24Super-VLAN100VLANIF100:192.168.1.254/245.1.3VLAN聚合Super-VLANVLANIF100開啟ARP代理之后PC1和PC2之間通信過程如下：PC1發(fā)現(xiàn)PC2與自己在同一網(wǎng)段，且自己ARP表無PC2對應(yīng)表項，則直接發(fā)送ARP廣播請求PC2的MAC地址。作為網(wǎng)關(guān)的Super-VLAN對應(yīng)的VLANIF100收到PC1的ARP請求，由于網(wǎng)關(guān)上使能Sub-VLAN間的ARP代理功能，則向Super-VLAN100的所有Sub-VLAN接口發(fā)送一個ARP廣播，請求PC2的MAC地址。PC2收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對此請求進(jìn)行ARP應(yīng)答。網(wǎng)關(guān)收到PC2的應(yīng)答后，就把自己的MAC地址回應(yīng)給PC1，PC1之后要發(fā)給PC2的報文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。SuperVLAN100VLANIF100：192.168.1.254/241243PC1Sub-VLAN10192.168.1.1/24PC2Sub-VLAN20192.168.1.129/24開啟ARP代理功能5.1.3VLAN聚合Sub-VLAN與外部網(wǎng)絡(luò)的三層通信:當(dāng)Sub-VLAN內(nèi)的PC需要與其他網(wǎng)絡(luò)進(jìn)行三層通信時，首先將數(shù)據(jù)發(fā)往默認(rèn)網(wǎng)關(guān)，即Super-VLAN對應(yīng)的VLANIF，再進(jìn)行路由。

5.1.3VLAN聚合[Huawei-vlan100]aggregate-vlan創(chuàng)建Super-VLANSuper-VLAN中不能包含任何物理接口，VLAN1不能配置為Super-VLAN。Super-VLAN中的VLANID與Sub-VLAN中的VLANID必須使用不同的VLANID。[Huawei-vlan100]access-vlan{vlan-id1[to

vlan-id2]}將Sub-VLAN加入Super-VLAN將Sub-VLAN加入到Super-VLAN中時，必須保證Sub-VLAN沒有創(chuàng)建對應(yīng)的VLANIF接口。[Huawei-vlanif100]arp-proxyinter-sub-vlan-proxyenable（可選）使能Super-VLAN對應(yīng)的VLANIF接口的ProxyARP使能Sub-VLAN間的ProxyARP功能。5.1.3VLAN聚合VLAN聚合配置舉例[S1]vlanbatch2to310[S1]vlan10[S1-vlan10]aggregate-vlan//將VLAN10配置為SuperVLAN[S1-vlan10]access-vlan2to3//將SubVLAN加入SuperVLAN中[S1]interfaceVlanif10[S1-Vlanif10]ipaddress10.1.1.254255.255.255.0[S1-Vlanif10]arp-proxyinter-sub-vlan-proxyenable//啟動VLAN間ProxyARP功能[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan2[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan3S1的配置如下：5.1.3VLAN聚合驗證VLAN聚合配置：<S1>displayvlan2to10--------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------2

sub

UT:GE0/0/1(U)3

subUT:GE0/0/2(U)super

<S1>displayarpIPADDRESSMACADDRESSEXPIRE(M)TYPEINTERFACEVPN-INSTANCEVLAN------------------------------------------------------------------------------10.1.1.2544c1f-cc4d-689cI-Vlanif1010.1.1.25489-98a8-29de8D-0GE0/0/2310.1.1.15489-98e9-5c7b20D-0GE0/0/12------------------------------------------------------------------------------Total:3Dynamic:2Static:0Interface:15.1.4VLANMappingVLANMapping也叫做VLANtranslation，可以實現(xiàn)在用戶VLANID（私有VLAN）和運(yùn)營商VLANID(業(yè)務(wù)VLAN,也可以說是公有VLAN)之間相互轉(zhuǎn)換的一個功能。通過替換VLANTag實現(xiàn)VLAN匯聚功能，使用戶業(yè)務(wù)按照運(yùn)營商的網(wǎng)絡(luò)規(guī)劃進(jìn)行傳輸。5.1.4VLANMappingVLANMapping發(fā)生在報文從入端口接收進(jìn)來之后，從出端口轉(zhuǎn)發(fā)出去之前。當(dāng)在端口配置了VLANID映射后，端口在向外發(fā)送本地VLAN的幀時，將幀中的VLANTag替換成外部VLAN的VLANTag；在接收外部VLAN的幀時，將幀中的VLANTag替換成本地VLAN的VLANTag，這樣不同VLAN間就實現(xiàn)了互相通信。InternetVLANMappingfrom100to10VLANMappingfrom10to100VLAN10VLAN100VLAN100VLAN10VLAN10GE1/0/15.1.4VLANMappingVLANMapping應(yīng)用場景5.1.4VLANMappingVLANMapping的配置步驟：接口視圖下執(zhí)行portlink-typetrunk命令配置鏈路類型為Trunk。接口視圖下執(zhí)行qinqvlan-translationenable命令使能接口VLAN轉(zhuǎn)換功能。接口視圖下執(zhí)行portvlan-mappingvlanvlan-id1[tovlan-id2]map-vlanvlan-id3命令配置接口的單層Tag的VLANMapping功能。5.1.4VLANMappingVLANMapping配置舉例[S1]vlanbatch2100[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]qinqvlan-translationenable[S1-GigabitEthernet0/0/2]portlink-typetrunk[S1-GigabitEthernet0/0/2]porttrunkallow-passvlan2100[S1-GigabitEthernet0/0/2]portvlan-mappingvlan2map-vlan100[S2]vlanbatch3100[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]qinqvlan-translationenable[S2-GigabitEthernet0/0/2]portlink-typetrunk[S2-GigabitEthernet0/0/2]porttrunkallow-passvlan3100[S2-GigabitEthernet0/0/2]portvlan-mappingvlan3map-vlan1005.1.4VLANMapping驗證VLANMapping配置[S1]displayvlan100--------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------100commonTG:GE0/0/1(U)GE0/0/2(U)

MP:GE0/0/2(U)5.1.5QinQ隨著以太網(wǎng)技術(shù)在網(wǎng)絡(luò)中的大量部署，利用VLAN對用戶進(jìn)行隔離和標(biāo)識受到很大限制。因為IEEE802.1Q中定義的VLANTag域只有12個比特，僅能表示4096個VLAN，無法滿足城域以太網(wǎng)中標(biāo)識大量用戶的需求，于是QinQ技術(shù)應(yīng)運(yùn)而生。QinQ（802.1Qin802.1Q）技術(shù)是一項擴(kuò)展VLAN空間的技術(shù)，通過在802.1Q標(biāo)簽報文的基礎(chǔ)上再增加一層802.1Q的Tag來達(dá)到擴(kuò)展VLAN空間的功能。如下圖所示用戶報文在公網(wǎng)上傳遞時攜帶了兩層Tag，內(nèi)層是私網(wǎng)Tag，外層是公網(wǎng)Tag。私網(wǎng)Tag公網(wǎng)Tag用戶報文企業(yè)總部企業(yè)分支Publicnetwork5.1.5QinQQinQ的核心思想是將用戶私網(wǎng)VLANTag封裝在公網(wǎng)VLANTag中，報文帶著兩層Tag穿越網(wǎng)絡(luò)運(yùn)營商的骨干網(wǎng)絡(luò)，從而為用戶提供一種較為簡單的二層VPN隧道。Trunk

VLAN200-300TrunkVLAN200-300QinQ協(xié)議接入端口屬于VLAN3SWBSWCISPNetworkTrunkVLAN200-300SWA主機(jī)ALANASWD主機(jī)BLANBInternetQinQ協(xié)議接入端口屬于VLAN35.1.5QinQQinQ封裝報文是在無標(biāo)簽的以太網(wǎng)數(shù)據(jù)幀的源MAC地址字段后面加上兩個VLAN標(biāo)簽構(gòu)成。PRIVLANID（12bit）CFI0x8100TPIDTCIDATA外層TAGSAFCSTYPE內(nèi)層TAGDADATASAFCSTYPE/LENGTHDAUntaggedFrameQinQ封裝QinQ工作原理在公網(wǎng)的傳輸過程中，設(shè)備只根據(jù)外層VLANTag轉(zhuǎn)發(fā)報文，并根據(jù)報文的外層VLANTag進(jìn)行MAC地址學(xué)習(xí)，而用戶的私網(wǎng)VLANTag將被當(dāng)作報文的數(shù)據(jù)部分進(jìn)行傳輸。即使私網(wǎng)VLANTag相同，也能通過公網(wǎng)VLANTag區(qū)分不同用戶。企業(yè)A報文企業(yè)B報文QinQ接入端口企業(yè)A企業(yè)B企業(yè)A企業(yè)BPE1PE2CE1CE2CE4CE3VLAN1-20VLAN1-20VLAN1-10VLAN1-10VLAN3VLAN41-101~2041~1031-20PublicnetworkVLAN4VLAN31-201-10QinQ實現(xiàn)方式-基本QinQ

基本QinQ的報文處理過程:SW1收到VLANID為10和20的報文，將該報文發(fā)給SW2。SW2收到該報文后，在該報文原有Tag的外側(cè)再添加一層VLANID為100的外層Tag。帶著兩層Tag的用戶數(shù)據(jù)報文在網(wǎng)絡(luò)中按照正常的二層轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)。SW3收到VLAN100的報文后，剝離報文的外層Tag（VLANID為100）。將報文發(fā)送給SW4，此時報文只有一層Tag（VLANID為10或20）。SW4收到該報文，根據(jù)VLANID和目的MAC地址進(jìn)行相應(yīng)的轉(zhuǎn)發(fā)。VLAN10VLAN20VLAN10VLAN20用戶報文VLANTAG10SW2SW3SW4SW12010201010020100QinQ實現(xiàn)方式-基本QinQ

QinQ配置舉例-基本QinQSW1SW2GE0/0/1GE0/0/2GE0/0