第1章 配 1VLAN-簡(jiǎn) 1VLAN-原理介 1 2 2 3 3 3 3 4 4 4第2章VLANMap配 1VLANMap簡(jiǎn) 1VLANMap原理介 1VLANMap功能實(shí)現(xiàn)方 1VLANMap配 2VLANMap配置任務(wù)簡(jiǎn) 2配置基于全局規(guī)則的VLANMap功 2配置基于端口規(guī)則的VLANMap功 3VLANMap典型配置舉 3使用VLANMap功能將用戶私網(wǎng)報(bào)文的VLANTag進(jìn)行替 3第3章BPDUTunnel配 1BPDUTunnel簡(jiǎn) 1BPDUTunnel的作 1BPDUTunnel的工作原 1配置BPDU 3 3配置BPDU 3BPDUTunnel配置顯 4BPDUTunnel典型配置舉 5 5i第1章 配 （VirtualPrivateNetwork，虛擬私有網(wǎng)絡(luò)）Internet的廣泛應(yīng)用而迅速發(fā)展起來(lái)的一種新技術(shù)，用以實(shí)現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人網(wǎng)絡(luò)。通過(guò)在VLAN-是一種簡(jiǎn)單、靈活的二層隧道技術(shù)，它通過(guò)在運(yùn)營(yíng)商接入端為用VLANTagVLANTag穿越運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)（公網(wǎng)）VLANTag（VLANTag）進(jìn)行傳輸，用戶的私網(wǎng)VLANTag則當(dāng)作報(bào)文中的數(shù)據(jù)部分來(lái)進(jìn)行傳輸。攜帶單層VLANTag的報(bào)文結(jié)構(gòu)如圖1-1所示攜帶雙層VLANTag的報(bào)文結(jié)構(gòu)如圖1-2所示VLAN-主要可以解決以下問(wèn)題 在開(kāi)啟端VLAN-功能后，當(dāng)該端口接收?qǐng)?bào)文時(shí)，無(wú)論報(bào)文是否帶VLANTagVLANVLANTagMAC地址學(xué)習(xí)到缺省VLAN的MAC地址表中。因此，在接收?qǐng)?bào)文時(shí)：VLANTagVLANTag TPID802.1Q協(xié)議規(guī)定該字段的取值為0x8100。IEEE802.1Q協(xié)議定義的以太網(wǎng)幀的Tag報(bào)文結(jié)構(gòu)如圖1-3所示圖1-3以太網(wǎng)幀的TagS2000-EA系列交換機(jī)可以根據(jù)TPID值來(lái)識(shí)別報(bào)文中是否攜帶VLANTag，當(dāng)端口TPID值與報(bào)文中相應(yīng)的字段進(jìn)行比較，如果二者一致，則表示報(bào)文中攜帶相應(yīng)的VLANTag。S2000-EA系列以太網(wǎng)交換機(jī)缺省采用協(xié)議規(guī)TPID值（0x8100），某些廠商將設(shè)備可識(shí)別的TPID值設(shè)置為0x9100或其他數(shù)值。為了和這些設(shè)備兼容，S2000-EA系列交換機(jī)提供了VLAN-報(bào)文TPID值可調(diào)功能，用戶可以配置交換機(jī)在添加外層Tag時(shí)使用的TPID值，從而使發(fā)送到公網(wǎng)中的VLAN-報(bào)文可以被其他廠商的設(shè)備識(shí)別；同時(shí)使本交換機(jī)能夠正別公網(wǎng)報(bào)文的VLANTag。TPIDVLANTag的報(bào)文中上層協(xié)議類型字段所處位置相同，為避免網(wǎng)絡(luò)中報(bào)文轉(zhuǎn)發(fā)和接收造成，交換機(jī)不允許用戶在配置VLAN-的TPID時(shí)取值為表1-1中列舉的常用協(xié)議類型值。表1-1IS-VLAN-配置任務(wù)簡(jiǎn)表1-2VLAN-配置任務(wù)簡(jiǎn)配置端口的VLAN-功配置全局的VLAN-報(bào)文TPID值可調(diào)功配置端口的VLAN-功表1-3配置端口的VLAN-功system---開(kāi)啟端口的VLAN-功vlan-注意：配置VLAN-報(bào)文TPID值可調(diào)功以保證本設(shè)備能夠正確識(shí)別公網(wǎng)報(bào)文的VLANTag。表1-4配置VLAN-報(bào)文的TPID值可調(diào)功system--設(shè)置端口采用的TPIDvlan-tpid換機(jī)采用的TPID值為完成上述配置后，在任意視圖下執(zhí)行display命令，可以顯示配置VLAN-后的表1-5VLAN-配置顯VLAN-配置信displayport利用VLAN-功能實(shí)現(xiàn)用戶報(bào)文在公網(wǎng)中的隧道傳1-4所示，SwitchASwitchB2000-EA交換機(jī)，通過(guò)公共網(wǎng)絡(luò)將用戶的工PCVLAN100，終端工作站和服務(wù)器劃分間通過(guò)方式進(jìn)行連接。公共網(wǎng)絡(luò)中使用其他廠商的設(shè)備，TPID值為0x9200要求配置SwitchA和SwitchB的VLAN-功能，使用戶的PC工作站/服務(wù)器和終端工作站/服務(wù)器能通過(guò)連接，并進(jìn)行正常通信。圖1-4VLAN-典型配置舉例組網(wǎng)裝VLAN1040的外層VLANTag。[SwitchA]vlan1040[SwitchA-vlan1040]portEthernet1/0/11[SwitchA-vlan1040]quit[SwitchA]interfaceEthernet1/0/11[SwitchA-Ethernet1/0/11]vlan- [SwitchA-Ethernet1/0/11]quit類型為T(mén)runk，允許VLAN1040的報(bào)文通過(guò)。[SwitchA]vlan- tpid9200[SwitchA]interfaceEthernet1/0/12[SwitchA-Ethernet1/0/12]portlink-typetrunk[SwitchA-Ethernet1/0/12]porttrunkpermitvlan1040#配置SwitchB的端口Ethernet1/0/21為VLAN- 裝VLAN1040的外層VLANTag。[SwitchB]vlan1040[SwitchB-vlan1040]portEthernet1/0/21[SwitchB-vlan1040]quit[SwitchB]interfaceEthernet1/0/21[SwitchB-Ethernet1/0/21]vlan- 型為T(mén)runk，允許VLAN1040的報(bào)文通過(guò)。[SwitchB-Ethernet1/0/21]quit[SwitchB]vlan- tpid9200[SwitchB]interfaceEthernet1/0/22[SwitchB-Ethernet1/0/22]portlink-typetrunk[SwitchB-Ethernet1/0/22]porttrunkpermitvlan1040說(shuō)明配置VLAN1040SwitchAEthernet1/0/12端口SwitchBEthernet1/0/22端口的缺省VLAN，以免外層Tag在發(fā)送時(shí)被去除SwitchAEthernet1/0/11SwitchBEthernet1/0/21端口均為Access端口時(shí)的配置。當(dāng)兩個(gè)端口為T(mén)runkHybrid端口時(shí)，請(qǐng)通過(guò)外層Tag，具體操作請(qǐng)參考本手冊(cè)“VLAN”部分。#由于公共網(wǎng)絡(luò)使用的設(shè)備可能來(lái)自于其他廠商，這里只介紹基本原理。配置公共網(wǎng)絡(luò)SwitchAEthernet1/0/12SwitchBEthernet1/0/22端口連接的設(shè)備，使其相應(yīng)的端口允許VLAN1040的報(bào)文攜帶VLANTag進(jìn)行發(fā)送即可。來(lái)自用戶私網(wǎng)側(cè)的報(bào)文進(jìn)入SwitchA的端口Ethernet1/0/11后，由于此端口為VLAN-端口，在用戶私有VLAN100和VLAN200的報(bào)文外層封裝端口缺省的VLANTag（VLANID為1040）。VLANTagTPID0x9200，然后通過(guò)端口Ethernet1/0/12發(fā)送到公網(wǎng)網(wǎng)絡(luò)。Ethernet1/0/22端口1- SwitchBEthernet1/0/21Access端口，因此在轉(zhuǎn)發(fā)時(shí)會(huì)去除外層VLAN1040的VLANTag，從而將報(bào)文恢復(fù)為帶有用戶私有VLANTag的報(bào)文，并轉(zhuǎn)發(fā)到相應(yīng)的用戶網(wǎng)絡(luò)。 1-7第2章VLANMap配VLANMap簡(jiǎn)VLANMap原理介VALNMap也稱為VLAN，其主要的功能是將用戶報(bào)文中的私網(wǎng)VLANTagVLANTag，使其按照公網(wǎng)的網(wǎng)絡(luò)規(guī)劃進(jìn)行傳輸。在報(bào)文被發(fā)送到對(duì)在交換機(jī)接收到帶有用戶私網(wǎng)報(bào)文的VLANTag后，首先根據(jù)配置的規(guī)則對(duì)用VLANTagVLANTag與VLAN-功能不同的是，VLANMap功能不會(huì)對(duì)報(bào)文進(jìn)行多層VLANTag的封裝，報(bào)文在傳輸過(guò)程中將只攜帶一層VLANTag。因此，需要在配置規(guī)則VLANMap功能實(shí)現(xiàn)方S2000-EA系列交換機(jī)支持為每個(gè)端口配置不同的VLANMap規(guī)則，當(dāng)VLANMap功能生效后，該端口即開(kāi)始根據(jù)規(guī)則對(duì)接收的報(bào)文進(jìn)行VLANTag的替換工作；當(dāng)對(duì)端私網(wǎng)的報(bào)文由公網(wǎng)返回時(shí)，該端口將根據(jù)對(duì)接收?qǐng)?bào)文時(shí)配置的規(guī)則自動(dòng)進(jìn)行反向處理，即將公網(wǎng)的VLANTag替換為私網(wǎng)的VLANTag。VLANMap配VLANMap配置任務(wù)簡(jiǎn)表2-1VLANMap配置任務(wù)簡(jiǎn)VLANVLAN注意：配置基于全局規(guī)則的VLANMap功表2-2配置基于全局規(guī)則的VLANMap功system--配置全局的VLANMapremarknew-vlan-的VLANMap則-Map功能vlan-map有開(kāi)啟VLANMap能說(shuō)明配置基于端口規(guī)則的VLANMap功表2-3配置基于端口規(guī)則的VLANMap功system---時(shí)開(kāi)啟端口的VLANMap功能remarknew-vlan-VLANMap功能說(shuō)明在配置VLANMap 一個(gè)私網(wǎng)VLAN來(lái)。如果要修改已存在的VLANMap規(guī)則，必須刪除原有規(guī)則，再重新進(jìn)行基于全局規(guī)則的VLANMap功能和基于端口規(guī)則的VLAN當(dāng)VLANMap功能與ARP檢測(cè)功能配合使用時(shí)，需要在原始VLAN和于ARP檢測(cè)功能的詳細(xì)介紹請(qǐng)參見(jiàn)本手冊(cè)“ARP”部分的介紹VLANMap典型配置舉使用VLANMap功能將用戶私網(wǎng)報(bào)文的VLANTag進(jìn)行替功能，使用戶私網(wǎng)報(bào)文可以使用公網(wǎng)的VLAN規(guī)劃進(jìn)行傳輸VLAN200內(nèi)的終端設(shè)SwitchB的端Ethernet1/0/15Ethernet1/0/16分別連接用戶VLAN100和VLAN200內(nèi)的服務(wù)器。SwitchA的端口Ethernet1/0/10和SwitchB的端Ethernet1/0/17用來(lái)連接用要求用戶的VLAN100和VLAN200的報(bào)文在公網(wǎng)上傳輸時(shí)，分別使用VLAN500VLAN600作為報(bào)文的VLAN標(biāo)識(shí)圖2-3VLANMap典型配置舉例組網(wǎng)說(shuō)明VLAN600<SwitchA>system-view[SwitchA]vlan100[SwitchA]vlan200[SwitchA]vlan500[SwitchA]vlan600VLAN100VLAN500VLANTag通過(guò)。[SwitchA]interfaceEthernet[SwitchA-Ethernet1/0/11]portlink-typehybrid[SwitchA-Ethernet1/0/11]porthybridvlan100tagged[SwitchA-Ethernet1/0/11]porthybridvlan500tagged[SwitchA-Ethernet1/0/11]quit#同理，配置端口Ethernet1/0/12以同樣的方式加入VLAN200VLAN600[SwitchA]interfaceEthernet[SwitchA-Ethernet1/0/12]portlink-typehybrid[SwitchA-Ethernet1/0/12]porthybridvlan200tagged[SwitchA-Ethernet1/0/12]porthybridvlan600tagged[SwitchA-Ethernet1/0/12]quit說(shuō)明口加入相應(yīng)的用戶VLAN和運(yùn)營(yíng)商VLAN。如果用戶更改了端口的缺省VLAN，則必須配置端口允許缺省VLAN通過(guò)。#VLAN600的報(bào)文[SwitchA]interfaceEthernet[SwitchA-Ethernet1/0/10]portlink-type[SwitchA-Ethernet1/0/10]porttrunkpermitvlan500600[SwitchA-Ethernet1/0/10]quitTag替換為VLAN500。[SwitchA]interfaceEthernet[SwitchA-Ethernet1/0/11]vlan-map vlan100remark500[SwitchA-Ethernet1/0/11]quitTag替換為VLAN600。[SwitchA]interfaceEthernet vlan200remark端的SwitchB上也需要做相同的VLANMap 第3BPDUTunnelBPDUTunnelBPDUTunnel的作使用STP協(xié)議生成樹(shù)、控制環(huán)路；使用HGMP協(xié)議對(duì)網(wǎng)絡(luò)拓?fù)浜驮O(shè)備進(jìn)行管BPDU（BridgeProtocolDataUnit，橋協(xié)議數(shù)據(jù)單元）進(jìn)行通信點(diǎn)結(jié)合起來(lái)，作為一個(gè)整體的局域網(wǎng)絡(luò)進(jìn)行計(jì)算和。因此，運(yùn)營(yíng)商需要將BPDUTunnel網(wǎng)絡(luò)設(shè)備對(duì)于二層協(xié)議報(bào)文的處理和數(shù)據(jù)報(bào)文不同，設(shè)備首先要對(duì)二層協(xié)議報(bào)文進(jìn)IEE的MC（如STP協(xié)議MAC8-0MCBPDU報(bào)文透明傳如圖3-1所示，上部為運(yùn)營(yíng)商網(wǎng)絡(luò)，下部為用戶網(wǎng)絡(luò)。其中，運(yùn)營(yíng)商網(wǎng)絡(luò)包括邊緣B兩個(gè)部分。通過(guò)在運(yùn)營(yíng)商網(wǎng)絡(luò)的邊緣設(shè)備上啟用BPDUTunnel功能，可以實(shí)現(xiàn)用戶網(wǎng)絡(luò)的BPDU報(bào)文在運(yùn)營(yíng)商網(wǎng)絡(luò)中透明傳輸。圖3-1BPDUTunnelMACMAC地址（該組播地址可通過(guò)命令由用MACMAC地址，然后用戶網(wǎng)絡(luò)的BPDU報(bào)文在進(jìn)入運(yùn)營(yíng)商網(wǎng)絡(luò)前后的報(bào)文格式如圖3-2、圖3-3所示配置BPDUSTP（SpanningTreeProtocol，生成樹(shù)協(xié)議）AuthenticationBypassProtocol，認(rèn)證旁路協(xié)議）。其它廠商的私有協(xié)議，包括：CDP、PAGP、PVST、VTP、UDLD配置BPDU表3-1BPDUsystem--配置在TUNNEL中傳輸報(bào)文采用的私有組播MAC地址mac-010f-e200-0003作為協(xié)議報(bào)BPDUTunnel-BPDUTunnel傳輸?shù)恼f(shuō)明