收藏
下载资源

VLAN透传配置举例.doc

上传人:飞****9 文档编号:134141982 上传时间:2020-06-03 格式:DOC 页数:18 大小:149.50KB
返回 下载 相关 举报
VLAN透传配置举例.doc_第1页
第1页 / 共18页
VLAN透传配置举例.doc_第2页
第2页 / 共18页
VLAN透传配置举例.doc_第3页
第3页 / 共18页
VLAN透传配置举例.doc_第4页
第4页 / 共18页
VLAN透传配置举例.doc_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《VLAN透传配置举例.doc》由会员分享,可在线阅读,更多相关《VLAN透传配置举例.doc(18页珍藏版)》请在金锄头文库上搜索。

1、目 录1 介绍. 11.1 特性简介. 11.2 特性关键技术点. 12 特性使用指南. 12.1 使用场合. 12.2 配置指南. 12.2.1 配置混合模式桥组. 12.3 注意事项. 23 配置举例. 23.1 VLAN透传典型应用组网. 23.1.1 组网需求. 23.1.2 物理连接图. 33.1.3 配置步骤. 33.2 SecPath F100-A VLAN透传组网. 63.2.1 组网需求. 63.2.2 物理连接图. 63.2.3 配置步骤. 73.3 故障排除. 93.3.1 故障排除命令. 93.3.2 故障现象举例. 94 关键命令. 94.1 bridge enabl

2、e. 104.2 bridge bridge-set enable. 114.3 bridge vlanid-transparent-transmit enable. 114.4 insulate. 125 相关资料. 145.1 其它相关资料. 141 介绍1.1 特性简介在混合模式下,桥支持VLAN ID透传特性是指:通过对加入桥组的设备出接口配置支持VLAN ID透传,可以使报文从该接口送出时,不对报文的VLAN ID做任何修改。使能桥出接口VLAN ID透传,则报文从该接口发出时保留报文入桥时的VLAN ID,如果没有VLAN ID不增加VLAN ID。1.2 特性关键技术点配置了VL

3、AN透传后,防火墙不会对报文的VLAN tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输,保证不同VLAN之间的隔离、同一VLAN之间的互通。2 特性使用指南2.1 使用场合当系统中存在VLAN部署,不同的VLAN之间需要进行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。2.2 配置指南混合模式下桥接功能的配置步骤分为以下几步:l 使能桥组功能l 使能一个桥组。l 将接口加入到桥组中l 使能桥组下接口的VLAN透传功能2.2.1 配置混合模式桥组步骤操作说明操作命令1使能桥组功能H3C bridge enable2使能一个桥组H3C br

4、idge bridge-set enable 3进入接口视图H3C interface type number4将接口加入到桥组中H3C-GigabitEthernet0/0 bridge-set bridge-set 5在接口下配置VLAN透传H3C-GigabitEthernet0/0 bridge vlanid-transparent-transmit enable2.3 注意事项当配置VLAN透传功能时,需要注意以下事项:l 子接口不支持VLAN透传。l F100A设备的四个LAN接口需要执行undo insulate命令聚合成一个接口才能使用VLAN透传功能。l VLAN透传与交换机

5、的Trunk功能并不相同,当与交换机互通时,如果希望SecPath防火墙与交换机的管理VLAN 互通,需要借助子接口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。3 配置举例3.1 VLAN透传典型应用组网3.1.1 组网需求客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,客户端PC,M属于VLAN99,用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。交换

6、机Switch1和Switch2的管理VLAN为VLAN99。要求VLAN100和VLAN200能够互相隔离,交换机可以通过管理VLAN99与防火墙互通。3.1.2 物理连接图图1 VLAN透传组网图3.1.3 配置步骤1. 使用的版本Comware software, Version 3.40, ESS 16222. 支持产品SecPath F1000-A/F1000-S/F100-E/F100-A3. 配置防火墙当前视图配置命令简单说明H3Cfirewall packet-filter default permit防火墙包过滤默认改为允许H3Cbridge enable使能桥组功能H3Cb

7、ridge 1 enable创建桥组1H3Cbridge 99 enable创建桥组99H3Cinterface Bridge-template 99创建桥组虚接口BVI99H3C-Bridge-template99 ip address 99.1.1.2 255.255.255.0配置管理地址H3C-Bridge-template99quit退回系统视图H3Cinterface GigabitEthernet 0/0进入连接g0/0的接口视图H3C-GigabitEthernet0/0bridge-set 1将接口g0/0加入到桥组1H3C-GigabitEthernet0/0bridge

8、vlanid-transparent-transmit enable使能接口VLAN透传H3C-GigabitEthernet0/0interface GigabitEthernet 0/1进入连接g0/1的接口视图H3C-GigabitEthernet0/1bridge-set 1将接口g0/1加入到桥组1H3C-GigabitEthernet0/1bridge vlanid-transparent-transmit enable使能接口VLAN透传H3C-GigabitEthernet0/1quit退回系统视图H3Cinterface GigabitEthernet 0/0.99创建子接口

9、g0/0.99H3C-GigabitEthernet0/0.99bridge-set 99将接口g0/0.99加入到桥组99H3C-GigabitEthernet0/0.99vlan-type dot1q vid 99设置接口封装类型并加入到VLAN99H3C-GigabitEthernet0/0.99quit退回系统视图H3Cinterface GigabitEthernet 0/1.99创建子接口g0/1.99H3C-GigabitEthernet0/1.99bridge-set 99将接口g0/1.99加入到桥组99H3C-GigabitEthernet0/1.99vlan-type d

10、ot1q vid 99设置接口封装类型并加入到VLAN99H3C-GigabitEthernet0/1.99quit退回系统视图H3Cfirewall zone trust进入trust区域视图H3C-zone-trustadd interface GigabitEthernet0/0将接口g0/0加入到trust区域H3C-zone-trustadd interface GigabitEthernet0/0.99将接口g0/0.99加入到trust区域H3C-zone-trustadd interface Bridge-template 99将接口Bridge-template 99加入到t

11、rust区域H3C-zone-trustquit退回系统视图H3Cfirewall zone untrust进入untrust区域视图H3C-zone-untrustadd interface GigabitEthernet 0/1将接口g0/1加入到untrust区域H3C-zone-untrustadd interface GigabitEthernet 0/1.99将接口g0/1.99加入到untrust区域H3C-zone-untrustquit退回系统视图4. 验证结果(1) 连通测试同在VLAN100下的A和C能够透过防火墙连通,同样在VLAN200下的B和D也能透过防火墙连通。不

12、同VLAN之间不能互通。(2) 管理操作通过客户端M可以ping通Switch1、Switch2的管理VLAN地址和SecPath F1000-A的BVI99接口地址,并且可以进行管理。M无法与A、B、C、D互通。(3) 在Switch2进行端口镜像,抓包测试从A向C进行ping包测试,发现tag标记没有改变图2 A Ping C的抓包测试从B向D进行ping包测试,发现tag标记没有改变图3 B Ping D的抓包测试3.2 SecPath F100-A VLAN透传组网3.2.1 组网需求客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,用来模拟属于不同VLAN的

13、用户,在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。3.2.2 物理连接图图4 VLAN透传组网图3.2.3 配置步骤1. 使用的版本Comware software, Version 3.40, ESS 16222. 支持产品SecPath F100-A3. 配置防火墙当前视图配置命令简单说明H3Cfirewall packet-filter default permit防火墙包过滤默认改为允许H3Cundo insulate取消以太网接口隔离H3Cbridge enable使能桥组功能H3Cbridge 1 enable创建桥组1H3Cin

14、terface Ethernet 0/0进入连接e0/0的接口视图H3C-Ethernet0/0bridge-set 1将接口e0/0加入到桥组1H3C-Ethernet0/0bridge vlanid-transparent-transmit enable使能接口VLAN透传H3C-Ethernet0/0interface Ethernet 1/2进入连接e1/2的接口视图H3C-Ethernet1/2bridge-set 1将接口e1/2加入到桥组1H3C-Ethernet1/2bridge vlanid-transparent-transmit enable使能接口VLAN透传H3C-Ethernet1/2quit退回系统视图H3Cfirewall zone trus

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号