VLAN透传配置举例

1、目录1介绍1.1 特性简介1.2 特性关键技术点2特性使用指南2.1 使用场合2.2 配置指南2.2.1 配置混合模式桥组2.3 注意事项3配置举例3.1 VLAN透传典型应用组网3.1.1 组网需求3.1.2 物理连接图3.1.3 配置步骤3.2 SecPathF100-AVLAN透传组网3.2.1 组网需求3.2.2 物理连接图3.2.3 配置步骤3.3 故障排除3.3.1 故障排除命令3.3.2 故障现象举例4关键命令4.1 bridgeenable4.2 bridgebridge-setenable4.3 bridgevlanid-transparent-transmitenable4

2、.4 insulate5相关资料5.1 其它相关资料1 介绍1.1 特性简介在混合模式下，桥支持VLAND透传特性是指：通过对加入桥组的设备出接口配置支持VLANID透传，可以使报文从该接口送出时，不对报文的VLANID做任何修改。使能桥出接口VLANID透传，则报文从该接口发出时保留报文入桥时的VLANID,如果没有VLANID不增加VLANID。1.2 特性关键技术点配置了VLANS传后，防火墙不会对报文的VLANtag进行任何的修改和去除等操作。从而可以实现VLANtag的透明传输，保证不同VLAN间的隔离、同一VLAN之间的互通。2 特性使用指南2.1 使用场合当系统中存在VLAN&a

3、mp;B署，不同的VLA也间需要进行隔离,而且所有VLAN的防火墙策略（比如配置在接口上的防火墙包过滤）是一样的。2.2 配置指南混合模式下桥接功能的配置步骤分为以下几步：使能桥组功能使能一个桥组。将接口加入到桥组中使能桥组下接口的VLANS传功能2.2.1 配置混合模式桥组步骤操作说明|操作命令1使能桥组功能H3Cbridgeenable2使能一个桥组H3Cbridgebridge-setenable步骤操作说明操作命令3进入接口视图H3Cinterfacetypenumber4将接口加入到桥组中H3C-GigabitEthernet0/0bridge-setbridge-set5在接口卜配

4、置VLANS传H3C-GigabitEthernet0/0bridgevlanid-transparent-transmitenable2.3 注意事项当配置VLANS传功能时，需要注意以下事项：子接口不支持VLANS传。F100A设备的四个LAN接口需要执行undoinsulate命令聚合成一个接口才能使用VLAN1传功能。VLAN1传与交换机的Trunk功能并不相同，当与交换机互通时，如果希望SecPath防火墙与交换机的管理VLAN互通，需要借助子接口来实现。即将配置了与交换机管理VLANID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚

5、接口就可以与交换机管理VLA般口互通。3 配置举例3.1 VLAN透传典型应用组网3.1.1 组网需求客户端PGAC属于VLAN100客户端PC,B、D属于VLAN200客户端PGM属于VLAN99用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。交换机Switch1和Switch2的管理VLANVLAN99要求VLAN100ffiVLAN200tg够互相隔离，交换机可以通过管理VLAN99f防火墙3.1.2物理连接图图1VLAN透传组网图3.1.3 配置步骤1 .使用的版本Comwaresoftware,Versi

6、on3.40,ESS16222 .支持产品SecPathF1000-A/F1000-S/F100-E/F100-A3 .配置防火墙当前视图配置命令简单说明H3Cfirewallpacket-filterdefaultpermit防火墙包过滤默认改为允许H3Cbridgeenable使能桥组功能H3Cbridge1enable创建桥组1H3Cbridge99enable创建桥组99H3CinterfaceBridge-template99创建桥组虚接口BVI99H3C-Bridge-template99ipaddress99.1.1.2255.255.255.0配置管理地址H3C-Bridge-

7、template99quit退回系统视图H3CinterfaceGigabitEthernet0/0进入连接g0/0的接口视图H3C-GigabitEthernet0/0bridge-set1将接口g0/0加入到桥组1H3C-GigabitEthernet0/0bridgevlanid-transparent-transmitenable使能接口VLANS传H3C-GigabitEthernet0/0interfaceGigabitEthernet0/1进入连接g0/1的接口视图当前视图配置命令简单说明H3C-GigabitEthernet0/1bridge-set1将接口g0/1加入到桥组1

8、H3C-GigabitEthernet0/1bridgevlanid-transparent-transmitenable使能接口VLANS传H3C-GigabitEthernet0/1quit退回系统视图H3CinterfaceGigabitEthernet0/0.99创建子接口g0/0.99H3C-GigabitEthernet0/0.99bridge-set99将接口g0/0.99加入到桥组99H3C-GigabitEthernet0/0.99vlan-typedot1qvid99设置接口封装类型并加入到VLAN99H3C-GigabitEthernet0/0.99quit退回系统视图H

9、3CinterfaceGigabitEthernet0/1.99创建子接口g0/1.99H3C-GigabitEthernet0/1.99bridge-set99将接口g0/1.99加入到桥组99H3C-GigabitEthernet0/1.99vlan-typedot1qvid99设置接口封装类型并加入到VLAN99H3C-GigabitEthernet0/1.99quit退回系统视图1H3Cfirewallzonetrust进入trust区域视图H3C-zone-trustaddinterfaceGigabitEthernet。/。将接口g0/0加入到trust区域H3C-zone-tru

10、staddinterfaceGigabitEthernet0/0.99将接口g0/0.99加入到trust区域H3C-zone-trustaddinterfaceBridge-template99将接口Bridge-template99力口入至1Jtrust区域H3C-zone-trustquit退回系统视图1H3Cfirewallzoneuntrust进入untrust区域视图H3C-zone-untrustaddinterfaceGigabitEthernet0/1将接口g0/1加入至Uuntrust区域H3C-zone-untrustaddinterfaceGigabitEthernet

11、0/1.99将接口g0/1.99力口入至Uuntrust区域H3C-zone-untrustquit退回系统视图4 .验证结果(1) 连通测试同在VLAN100F的A和C能够透过防火墙连通，同样在VLAN200F的B和D也能透过防火墙连通。不同VLAN间不能互通。(2) 管理操作通过客户端M可以ping通Switchl、Switch2的管理VLAN!址和SecPathF1000-A的BVI99接口地址，并且可以进行管理。M无法与A、B、C、D互通。在Switch2进行端口镜像，抓包测试从A向C进行ping包测试，发现tag标记没有改变图2APingC的抓包测试从B向D进行ping包测试，发现t

12、ag标记没有改变图3BPingD的抓包测试3.2SecPathF100-AVLAN透传组网3.2.1 组网需求客户端PGAC属于VLAN100客户端PC,B、D属于VLAN200用来模拟属于不同VLAN勺用户，在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。3.2.2 物理连接图图4VLAN透传组网图3.2.3 配置步骤1 .使用的版本Comwaresoftware,Version3.40,ESS16222 .支持产品SecPathF100-A3 .配置防火墙当前视图配置命令简单说明H3Cfirewallpacket-filterdefaultp

13、ermit防火墙包过滤默认改为允许H3Cundoinsulate取消以太网接口隔离H3Cbridgeenable使能桥组功能H3Cbridge1enable创建桥组1H3CinterfaceEthernet0/0进入连接e0/0的接口视图H3C-Ethernet0/0bridge-set1将接口e0/0加入到桥组1H3C-Ethernet0/0bridgevlanid-transparent-transmitenable使能接口VLAN透传H3C-Ethernet0/0interfaceEthernet1/2进入连接e1/2的接口视图H3C-Ethernet1/2bridge-set1将接口e

14、1/2加入到桥组1H3C-Ethernet1/2bridgevlanid-transparent-transmitenable使能接口VLAN透传H3C-Ethernet1/2quit退回系统视图H3Cfirewallzonetrust进入trust区域视图H3C-zone-trustaddinterfaceEthernet。/。将接口e0/0加入到trust区域H3C-zone-trustquit退回系统视图H3Cfirewallzoneuntrust进入untrust区域视图H3C-zone-untrustaddinterfaceEthernet1/2将接口e1/2加入至Uuntrust区

15、域H3C-zone-untrustquit退回系统视图4 .验证结果(1)连通测试同在VLAN100F的A和C能够透过防火墙连通，同样在VLAN200F的B和D也能透过防火墙连通。不同VLAN间不能互通。在Switch2进行端口镜像，抓包测试从A向C进行ping包测试，发现tag标记没有改变图5SecPathF100-A上APingC的抓包测试从B向D进行ping包测试，发现tag标记没有改变图6SecPathF100-A上BPingD的抓包测试3.3故除排除3.3.1故障排除命令操作命令打开网桥的以太帧转发调试信息开关debuggingbridgeeth-forwardinginterfac

16、einterface-typeinterface-number关闭网桥的以太帧转发调试信息开关undodebuggingbridgeeth-forwardinginterfaceinterface-typeinterface-number打开网桥的IP转发调试开关debuggingbridgeip-forwarding关闭网桥的IP转发调试开关undodebuggingbridgeip-forwarding显示网桥模块中所有或指定的桥组的信息displaybridgeinformationbridge-setbridge-set显示MAO址转发表的信息displaybridgeaddress-

17、tablebridge-setbridge-set|interfaceinterface-typeinterface-number|macmac-addressstatic|dynamic显示桥组中接口的流量统计数据displaybridgetrafficbridge-setbridge-set|interfaceinterface-typeinterface-number显示接口上的以太帧过滤统计信息displayfirewallethernet-frame-filterall|interfaceinterface-typeinterface-number清除MAO址转发表resetbrid

18、geaddress-tablebridge-setbridge-set|interfaceinterface-typeinterface-number清除桥组中接口的流量统计数据resetbridgetrafficbridge-setbridge-set|interfaceinterface-typeinterface-number清除ACL规则过滤情况的统计信息resetfirewallethernet-frame-filterall|interfaceinterface-typeinterface-number3.3.2故障现象举例在混合模式下使能VLANS传的功能步骤比较少，如果VLAN

19、S传不成功，可以从下面几个方面来考虑：防火墙默认包过滤规则为deny没有使能桥组功能没有在相应接口使能VLAN®传，例如，仅使能了一个方向的VLANS传，而另一个方向没有使能没有将接口加入安全域4关键命令配置本特性的关键命令有：bridgeenablebridgebridge-setenablebridgevlanid-transparent-transmitenable另外，F100-A设备如果在LAN口上使能VLANS传，还需要配置insulate命令,4.1 bridgeenable【命令】bridgeenableundobridgeenable【视图】系统视图【参数】无【描述

20、】bridgeenable命令用来使能网桥功能，undobridgeenable命令用来禁止网桥功能。当存在已使能的桥组时，不能使用undobridgeenable命令来禁用网桥功能，需要先通过undobridgebridge-setenable命令删除桥组。缺省情况下，系统禁止网桥功能。只有使能网桥功能，网桥的配置才能生效。【举例】#使能网桥功能。H3Cbridgeenable4.2 bridgebridge-setenable【命令】bridgebridge-setenableundobridgebridge-setenable【视图】系统视图【参数】bridge-set:网桥组编号，取值

21、范围为1255。【描述】bridgebridge-setenable命令用来使能桥组的桥接功能，undobridgebridge-setenable命令用来禁止桥组的桥接功能。缺省情况下，禁止桥组的桥接功能。只有使能桥组的桥接功能，桥组的配置才能生效。【举例】#使能桥组1的桥接功能。H3Cbridge1enable4.3 bridgevlanid-transparent-transmitenablebridgevlanid-transparent-transmitenableundobridgevlanid-transparent-transmitenable【视图】接口视图【参数】无【描述】

22、bridgevlanid-transparent-transmitenable命令用来使能VLANID透传功能。undobridgevlanid-transparent-transmitenable命令用来关闭VLANID透传功能。VLANID透传是指通过对加入桥组设备的出接口配置支持VLANID透传，使接口直接转发报文，不对该报文中的VLANID做任何处理。通过VLANID透传，可以使加入桥组的非以太出接口也能转发带有VLANID的报文，而不会因此丢失VLANID,并且即使加入桥组设备的出接口上有VLANID的情况下，也不会改变报文原有的VLANID,从而实现不同VLAN勺隔离。当以太网子接

23、口配置VLANID后，该子接口只会接收这个VLAN的数据，这就决定了该桥组负责传输哪些VLAN的数据。在使能了VLANID透传功能以后，系统不对报文的VLANID做任何处理，两端相连的交换机可以看成是直接相连的。为了正常通信，用户需要给两端交换机的trunk口配置相同的VLANID。缺省情况下，关闭VLANID透传功能。【举例】#在GigabitEthernet0/0口上使能VLANID透传功能。H3CinterfaceGigabitEthernet0/0H3C-GigabitEthernet0/0bridgevlanid-transparent-transmitenable4.4 insul

24、ate【命令】insulateundoinsulate【视图】系统视图【参数】无【描述】insulate命令用来配置LAN以太网接口之间进行隔离，undoinsulate命令用来配置LAN以太网接口之间不进行隔离。当LAN以太网接口处于隔离模式时，各个LAN以太网接口工作在第三层，作为可路由接口使用，即可以为其配置各种第三层属性，如IP地址等。当LAN以太网接口处于非隔离模式时，各个LAN以太网接口工作在Hub方式，即工作在物理层，不能为其配置如IP地址等第三层属性。当LAN以太网接口工作在非隔离模式下时，可以通过配置一个管理IP地址以对其进行管理或使其提供网络服务（例如Telnet、SNMP

25、NA邙）。由于接口性质的因素，只能在第一个LAN口（即编号最小的）上配置子接口。在隔离模式下扩展出来的另外三个LAN口都不能配置子接口，且第一个LAN口上配置的子接口只能在非隔离模式下工作。仅SecPathF100-A防火墙、SecPathV100-S安全网关支持此命令。缺省情况下，LAN以太网接口之间相互隔离。【举例】#将各个LAN以太网接口进行隔离。H3Cinsulate#当接口之间被隔离后，所有LAN以太网接口（Ethernet。/。、Ethernet0/1、Ethernet0/2、Ethernet0/3）都可见，并可以为其进行单独配置如IP地址等第三层属性。<H3C>dis

26、playipinterfacebrief*down:administrativelydown(s):spoofingInterfaceProtocolDescriptionIPAddressPhysicalAux0nup(s)Aux0Inteunassigned.dowEncrypt2/0downEncrypt2/.unassigneddownEthernet0/0downEthernet0.unassignedupEthernet0/1downEthernet0.unassignedupEthernet0/2downEthernet0.unassigneddownEthernet0/3downEthernet0.unassigneddownEthernet1/0downEthernet1.unassigneddownEthernet1/1downEthernet1.unassigneddownEthernet1/2downEthernet1.unassigneddown#配置不将LAN以太网接口之间进行隔离。H3Cundoinsulate# 当接口之间未被隔离时，可以看到只有一个管理接口Ethernet0/0可见，其它所有LAN以太网接口都将不可见。可以在管理接口上配置IP地址作为管理IP地址。# H3C>displayipinterfacebrief# down:ad