VLAN透传配置举例

1、贞眉内容1介绍 1.1特性简介 1.2特性关键技术点 2特性使用指南2. 1使用场合2. 2配置指南 2. 2. 1配置混合模式桥组 2. 3注意事项 3配置举例3. 1 VLAN透传典型应用组网3. 1.1组网需求 3. 1.2物理连接图 3.1.3配置步骤 3.2 SecPath F100-A VLAN 透传组网 3. 2.1组网需求 3. 2. 2物理连接图 3. 2. 3配置步骤 3. 3故障排除 3. 3. 1故障排除命令 3. 3. 2故障现象举例 4关键命令贝脚内容184.1 bridge enable4. 2 bridge bridge-set enable4. 3 bridg

2、e vlanid-transparent-transmit enable 4- 4 insulate 0相关资料5. 1其它相关资料1 介绍1.1 特性简介在混合模式下，桥支持VLAN ID透传特性是指：通过对加入桥组的设备出接口配 置支持VLAX ID透传，可以使报文从该接口送出时，不对报文的VLAN ID做任何 修改。使能桥出接口 VLAX ID透传，则报文从该接口发出时保留报文入桥时的VLAX ID, 如果没有VLAX ID不增加VLAX ID。1.2 特性关键技术点配置了 VLAX透传后，防火墙不会对报文的VLAN tag进行任何的修改和去除等操 作。从而可以实现VLAN tag的透明

3、传输，保证不同VLAN之间的隔离、同一VLAN 之间的互通。2 特性使用指南2.1使用场合当系统中存在VLAX部署，不同的VLAX之间需要进行隔离，而且所有VLAX的防 火墙策略（比如配置在接口上的防火墙包过滤）是一样的。2.2 配置指南混合模式下桥接功能的配置步骤分为以下儿步:使能桥组功能使能一个桥组。将接口加入到桥组中使能桥组下接口的VLAN透传功能2. 2. 1配置混合模式桥组步骤操作说明操作命令1使能桥组功能H3C bridge enable2使能一个桥组H3C bridge bridge-set enable步骤操作说明操作命令3进入接口视图H3C interface type nu

4、mber4将接口加入到桥组中H3C-GigabitEthernet0/0 bridge-set bridge-set5在接口下配置VLAN透 传H3C-GigabitEthernetO/O bridge vlanidtransparent-transmit enable2.3 注意事项当配置VLAX透传功能时，需要注意以下事项:子接口不支持VLAN透传。 F1OOA设备的四个LAX接口需要执行undo insulate命令聚合成一个接口 才能使用VLAX透传功能。 VLAN透传与交换机的Trunk功能并不相同，当与交换机互通时，如果希望 SecPath防火墙与交换机的管理VLAN互通，需要借助

5、子接口来实现。即将配置 了与交换机管理VLAX ID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚接口就可以与交换机管理 VLAN接口互通。3 配置举例3.1VLAN透传典型应用组网3. 1. 1组网需求客户端PC, A、C属于VLAXlOO,客户端PC, B、D属于VLAN200,客户端PC, M 属于VLAX99,用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙 相连接口上都要配置成Trunk模式，保证带T鸥标记的报文能够透传。交换机 Switchl 和 Switch?的管理 VLAN 为 VLAN99。要求VLAX100和VL

6、AX200能够互相隔离，交换机可以通过管理VLAX99与防火墙 互通。3. 1. 2物理连接图图1 VLAX透传组网图3. L 3配置步骤1.使用的版本Comware software, Version 3. 40, ESS 1622 2.支持产品SecPath FIOOO-A/FIOOO-S/FIOO-E/FIOO-A 3配置防火«当前视图配置命令简单说明H3Cfirewall packet-filter default permit防火墙包过滤默 认改为允许H3Cbridge enable使能桥组功能H3Cbridge 1 enable创建桥组1H3Cbridge 99 enab

7、le创建桥组99H3Cinterface Bridge-1emplate 99创建桥组虚接口BVI99H3C-Bridge-template99ip address 99. 1. 1. 2255. 255. 255. 0配置管理地址H3C-Bridge-template99quit退回系统视图H3Cinterface GigabitEthernet 0/0进入连接gO/0的 接口视图H3C-GigabitEthernet0/0bridge-set 1将接口 gO/0加入 到桥组1H3C-GigabitEthernet0/0bridgevlanid-transparent-transmitena

8、ble使能接口 VLAN透传H3C-GigabitEthernet0/0interface GigabitEthernet 0/1进入连接gO/l的 接口视图当前视图配置命令简单说明H3C-GigabitEthernetO/lbridge-set 1将接口 gO/1加入 到桥组1H3C-GigabitEthernetO/lbridgevlanid-transparent-transmitenable使能接口 VLAN透 传H3C-GigabitEthernetO/lquit退回系统视图H3Cinterface GigabitEthernet 0/0. 99创建子接口 gO/0.99H3C-Gi

9、gabitEthernet0/0. 99bridge-set 99将接口 gO/0. 99 加入到桥组99H3C-GigabitEthernet0/0. 99vlan-type dotlq vid 99设置接口封装类 型并加入到 VLAN99H3C-GigabitEthernet0/0. 99quit退回系统视图H3Cinterface GigabitEthernet 0/1.99创建子接口gO/l. 99H3C-GigabitEthernetO/l.99bridge-set 99将接口 gO/l. 99 加入到桥组99H3C-GigabitEthernetO/l. 99vlan-type d

10、otlq vid 99设置接口封装类 型并加入到 VLAN99H3C-GigabitEthernetO/l. 99quit退回系统视图H3Cfirewall zone trust进入trust区域 视图H3C-zone-trustadd interfaceGigabitEthernetO/0将接口 g0,/0加入 到trust区域H3C-zone-trustadd interfaceGigabitEthernetO/0. 99将接口 gO/0. 99 加入到trust区 域H3C-zone-trustadd interfaceBridge-template 99将接口Bridge-templa

11、te 99加入到trust 区域H3C-zone-trustquit退回系统视图H3Cfirewall zone untrust进入untrust区 域视图H3C-zone-untrustadd interfaceGigabitEthernet 0/1将接口 gO/1加入 到untrust区域H3C-zone-untrustadd interfaceGi gab i tEthernet 0/1.99将接口 gO/1. 99 加入到untrust 区域H3C-zone-untrustquit退回系统视图4.验证结果 (1) 连通测试同在VLAX100下的A和C能够透过防火墙连通，同样在VLAX2

12、00下的B和D也能 透过防火墙连通。不同VLAX之间不能互通。(2) 管理操作通过客户端M可以ping通Switch、Switch2的管理VLAN地址和SecPath FIOOO-A 的BVI99接口地址，并且可以进行管理。M无法与A、B、C、D互通。 在Switch?进行端口镜像.抓包测试从A向C进行ping包测试,发现tag标记没有改变图2 A Ping C的抓包测试从B向D进行ping包测试,发现tag标记没有改变图3 B Ping D的抓包测试3. 2 SecPath F100-A VLAN 透传组网3. 2. 1组网需求客户端PC, A、C属于VLAXlOO,客户端PC, B、D属于

13、VLAN200,用来模拟属于 不同VLAN的用户，在交换机1和交换机2与防火墙相连接口上都要配置成Trunk 模式，保证带Tag标记的报文能够透传。3. 2. 2物理连接图图4 VLAX透传组网图3. 2. 3配置步骤1.使用的版本Comware software, Version 3. 40, ESS 1622 2.支持产品SecPath FIOO-A3.配s防火墙4.验证结果当前视图配置命令简单说明H3Cfirewall packet-filter default permit防火墙包过滤 默认改为允许H3Cundo insulate取消以太网接 口隔离H3Cbridge enable使能

14、桥组功能H3Cbridge 1 enable创建桥组1H3Cinterface Ethernet 0/0进入连接eO/O 的接口视图H3C-Ethernet0/0bridge-set 1将接口 eO/0加 入到桥组1H3C-Ethernet0/0bridge vlanid-transparent-transmit enable使能接口 VLAX 透传H3C-Ethernet0/0interface Ethernet 1/2进入连接el/2 的接口视图H3C-Ethernetl/2bridge-set 1将接口 el/2加 入到桥组1H3C-Ethernetl/2bridge vlanid-tr

15、ansparent-transmit enable使能接口 VLAX 透传H3C-Ethernetl/2quit退回系统视图H3Cfirewall zone trust进入trust区 域视图H3C-zone-trustadd interface EthernetO/0将接口 eO/0加 入到trust区 域H3C-zone-trustquit退回系统视图H3Cfirewall zone untrust进入 untrust 区域视图H3C-zone-untrustadd interface Ethernet 1/2将接口 el/2加 入到 untrust 区域H3C-zone-untrustq

16、uit退回系统视图连通测试同在VLAX100下的A和C能够透过防火墙连通，同样在VLAX200下的B和D也能 透过防火墙连通。不同VLAX之间不能互通。(2)在Switch2进行瑞口镜像，抓包测试从A向C进行ping包测试，发现tag标记没有改变图5 SecPath F100-A上A Ping C的抓包测试从B向D进行ping包测试，发现t豳标记没有改变图6 SecPath F100-A上B Ping D的抓包测试3.33. 3. 1故障排除命令操作命令打开网桥的以太帧转发调试信息 开关debugging bridge eth-forwarding interface in ter face-

17、type in ter face -number 关闭网桥的以太帧转发调试信息 开关undo debugging bridge eth-forwarding interface interface-type interfacenumber 打开网桥的IP转发调试开关debugging bridge ip-forwarding关闭网桥的IP转发调试开关undo debugging bridge ip-forwarding显示网桥模块中所有或指定的桥 组的信息display bridge information bridge-set bridge-set 显示MAC地址转发表的信息display

18、bridge address-tablebridge-set bridge-set interface inter face-typein ter face-numbermacmac-address static dynamic 显示桥组中接口的流量统计数据display bridge traffic bridge-set bridge-set / interface interface-type in ter face-number 显示接口上的以太帧过滤统计信 息display firewall ethernet-frame-fiIter all interface interface-t

19、ype interface -number 清除MAC地址转发表reset bridge address-table bridge-set bridge-set 1 interface interface-type in ter face -number 清除桥组中接口的流量统计数据reset bridge traffic bridge-set bridge-set / interface in ter face - type interface-number 清除ACL规则过滤悄况的统计信 息reset firewall ethernet-framefliter all I interfac

20、e interface-type interface -number 3. 3.2故障现象举例在混合模式下使能VLAX透传的功能步骤比较少，如果VLAN透传不成功，可以从 下面儿个方面来考虑：防火墙默认包过滤规则为deny 没有使能桥组功能没有在相应接口使能VLAN透传，例如，仅使能了一个方向的VLAN透传,而另一个方向没有使能没有将接口加入安全域4 关键命令配置本特性的关键命令有:bridge enable bridge bridge-set enable bridge vlanid-transparent-transmit enable另外，FIOO-A设备如果在LAN 口上使能VLAN透

21、传，还需要配置insulate命令。4.1 bridge enable【命令】bridge enableundo bridge enable【视图】系统视图【参数】【描述】bridge enable命令用来使能网桥功能，undo bridge enable命令用来禁止网桥 功能。当存在已使能的桥组时，不能使用undo bridge enable命令来禁用网桥功能, 需要先通过undo bridge bridge-set enable命令删除桥组。缺省情况下，系统禁止网桥功能。只有使能网桥功能，网桥的配置才能生效。【举例】#使能网桥功能。H3C bridge enable4.2 bridge b

22、ridge-set enable【命令】bridge bridge-set enableundo bridge bridge-set enable【视图】系统视图【参数】bridge-set：网桥组编号，取值范围为1255。【描述】bridge bridge-set enable命令用来使能桥组的桥接功能，undo bridge bridge-set enable命令用来禁止桥组的桥接功能。缺省悄况下，禁止桥组的桥接功能。只有使能桥组的桥接功能，桥组的配置才能生效。【举例】#使能桥组1的桥接功能。H3C bridge 1 enable4 3 bridge vlanid-transparent-

23、transmit enable【命令】bridge vlanid-transparenttransmit enableundo bridge vlanid-transparent-transmit enable【视图】接口视图【参数】【描述】bridge vlanid-transparent-transmit enable 命令用来使能 VLAX ID 透传功能。 undo bridge vlanid-transparent-transmit enable 命令用来关闭 VLAX ID 透 传功能。VLAN ID透传是指通过对加入桥组设备的出接口配置支持VLAN ID透传，使接口 直接转发报文

24、，不对该报文中的VLAX ID做任何处理。通过VLAX ID透传，可以使加入桥组的非以太出接口也能转发带有VLAN ID的报 文，而不会因此丢失VLAX ID,并且即使加入桥组设备的出接口上有VLAN ID的 悄况下，也不会改变报文原有的VLAX ID,从而实现不同VLAN的隔离。当以太网子接口配置VLAX ID后，该子接口只会接收这个VLAX的数据，这就决 定了该桥组负责传输哪些VLAX的数据。在使能了 VLAX ID透传功能以后，系统不对报文的VLAN ID做任何处理，两端相 连的交换机可以看成是直接相连的。为了正常通信，用户需要给两端交换机的 trunk 口配置相同的VLAN ID。缺省

25、情况下，关闭VLAX ID透传功能。【举例】# 在 GigabitEthernetO/0 口上使能 VLAX ID 透传功能。H3C interface GigabitEthernetO/0H3C-GigabitEthernet0/0 bridge vlanid-transparent-transmit enable4.4 insulate【命令】insulateundo insulate【视图】系统视图【参数】【描述】insulate命令用来配置LAX以太网接口之间进行隔离，undo insulate命令用来 配置LAX以太网接口之间不进行隔离。当LAX以太网接口处于隔离模式时，各个LAN以

26、太网接口工作在第三层，作为可 路山接口使用，即可以为其配置各种第三层属性，如IP地址等。当LAX以太网 接口处于非隔离模式时，各个LAN以太网接口工作在Hub方式，即工作在物理层, 不能为其配置如IP地址等第三层属性。当LAX以太网接口工作在非隔离模式下 时，可以通过配置一个管理IP地址以对其进行管理或使其提供网络服务（例如 Telnet、SNMP、NAT 等）。山于接口性质的因素，只能在第一个LAN 口（即编号最小的）上配置子接口。在 隔离模式下扩展出来的另外三个LAX 口都不能配置子接口，且第一个LAX 口上配 置的子接口只能在非隔离模式下工作。仅SecPath F100-A防火墙、Sec

27、Path V100-S安全网关支持此命令。缺省情况下，LAN以太网接口之间相互隔离。【举例】#将各个LAX以太网接口进行隔离。H3C insulate#当接口之间被隔离后，所有LAX以太网接口（EthernetO/0、EthernetO/l> Ethernet0/2. EthernetO/3）都可见，并可以为其进行单独配置如IP地址等第 三层属性。<H3C> display ip interface brief*down: administratively down贞丿fi内容(S): spoofingInterfaceProtocolDescriptionIP Addres

28、sPhysicalAuxOup(s)unassignedAuxO IntedowEncrypt2/0downunassignedEncrypt?/.downEthernetO/0downunassignedEthernetO.upEthernetO,/!downunassignedEthernetO.upEthernetO/2 downEthernetO.unassigneddownEthernet0/3downEthernetOunassigneddownEthernet1/0 downEthernet1.unassigneddownEthernet1/1downEthernet1.unassigneddownEthernetl/2 downEthernet1.-unassigneddown贝脚内容18#配置不将LAX以太网接口之间进行隔离。H3C undo insulate #当接口之间未被隔离时，可以看到只有一个管理接口 EthernetO/O可见，其它 所有LAX以太网接口都将不可见。可以在管理接口上配置IP地址作为管理IP 地址。<H3C> display ip interface brief *down: administratively down (s): spoofingInterf