1+X证书网络系统建设与运维(高级)第05章-VLAN高级特性课件

第05章VLAN高级特性第05章VLAN高级特性学习目标掌握VLAN和Trunk基础知识和配置实现。掌握MUXVLAN应用场景、工作原理和配置实现。掌握VLAN聚合应用场景、工作原理和配置实现。掌握VLANMapping应用场景、工作原理和配置实现。掌握QinQ应用场景、工作原理和配置实现。学习目标掌握VLAN和Trunk基础知识和配置实现。5.1扩展VLAN技术概述5.1.1VLAN基础5.1.2MUXVLAN5.1.3VLAN聚合5.1.4VLANMapping5.1.5QinQ1+X证书网络系统建设与运维(高级)第05章-VLAN高级特性课件5.1扩展VLAN技术概述通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。MUXVLAN（MultiplexVLAN）提供了一种通过VLAN进行网络资源控制的机制。通过MUXVLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。VLAN聚合只在super-VLAN接口上配置IP地址，而不必为每个sub-VLAN分配IP地址。VLANMapping可以实现在用户VLANID（私有VLAN）和运营商VLANID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。QinQ是基于802.1Q封装的隧道协议，其核心思想是在用户私网VLANtag之外封装公网VLANtag，报文带着两层tag穿越公网，从而为用户提供一种较为简单的二层VPN隧道。5.1扩展VLAN技术概述通过在交换机上配置VLAN，可以实5.1扩展VLAN技术概述部署不同路由协议的机构合并不同的网络使用不同的协议，并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISIS网络协议的限制比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的需要配置静态路由，然后把静态路由引入到ISIS5.1扩展VLAN技术概述部署不同路由协议的机构合并5.1.1VLAN基础传统以太网中，随着主机数量的增加，共享网络中的冲突会越来越严重，交换网络中的广播也会越来越多。5.1.1VLAN基础5.1.1VLAN基础VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域,提高了网络安全性。VLAN技术部署在数据链路层，用于隔离二层流量。同一个VLAN内的主机之间可以直接进行二层通信。LAN间的主机属于不同的广播域，不能直接实现二层互通。VLAN1VLAN25.1.1VLAN基础VLAN技术可以将一个物理局域网在逻5.1.1VLAN基础VLANIEEE802.1Q帧格式中，VLAN标签长4个字节，直接添加在以太网帧头中。通过Tag区分不同VLAN。没有携带Tag的帧携带Tag的帧0x8100PRICFIVLANID（12b）2bytes2bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesTagTPIDTCI4bytes5.1.1VLAN基础VLANIEEE802.1Q帧格式5.1.1VLAN基础VLAN链路分为两种类型：Access链路和Trunk链路。用户主机和交换机之间的链路为接入链路，交换机与交换机之间的链路为干道链路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess5.1.1VLAN基础VLAN链路分为两种类型：Acces5.1.1VLAN基础PVID（PortVLANID）表示端口在缺省情况下所属的VLAN。所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。缺省时X7系列交换机每个端口的PVID都是1。PVID1PVID2PVID2PVID3PVID3PVID1SWASWB主机A主机C主机B主机DVLAN2VLAN2VLAN3VLAN35.1.1VLAN基础PVID（PortVLANID）5.1.1VLAN基础Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路。Access端口在收到数据后会添加VLANTag，VLANID和端口的PVID相同。Access端口在转发数据前会移除VLANTag。Access端口发往对端设备的以太网帧永远是不带标签的帧。主机A主机C主机BUntaggedUntaggedPVID10PVID10PVID2Frame10SWAG0/0/1G0/0/2G0/0/35.1.1VLAN基础Access端口是交换机上用来连接用5.1.1VLAN基础Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。当Trunk端口收到帧时，如果该帧不包含Tag，将添加上端口的PVID；如果该帧包含Tag，则不改变。当Trunk端口发送帧时，该帧的VLANID在Trunk的允许发送列表中：若与端口的PVID相同时，则剥离Tag发送；若与端口的PVID不同时，则直接发送。主机A主机C主机B主机DUntaggedUntaggedFrame20UntaggedSWASWBUntaggedUntaggedPVID1PVID20PVID1PVID20PVID1PVID15.1.1VLAN基础Trunk端口是交换机上用来和其他交5.1.1VLAN基础Hybrid端口既可以连接主机，又可以连接交换机。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口可以以Tagged或Untagged方式加入VLAN。G0/0/1主机A主机B服务器UntaggedFrameG0/0/1Frame32UntaggedUntaggedSWASWBG0/0/2G0/0/2G0/0/3Untagged5.1.1VLAN基础Hybrid端口既可以连接主机，又可5.1.1VLAN基础Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。Hybrid端口收发数据帧的规则如下：当接收到对端设备发送的不带Tag的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLANID列表中，则接收该报文，否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时，检查VLANID是否在允许通过的VLANID列表中。如果VLANID在接口允许通过的VLANID列表中，则接收该报文，否则丢弃该报文。Hybrid端口发送数据帧时，将检查该接口是否允许该VLAN数据帧通过。如果允许通过，则可以通过命令配置发送时是否携带Tag。配置porthybridtaggedvlanvlan-id命令后，发送时不剥离帧中的VLANTag。配置porthybriduntaggedvlan

vlan-id命令后，发送时会将帧中的VLANTag剥离掉。5.1.1VLAN基础Hybrid端口允许多个VLAN的帧5.1.1VLAN基础VLAN的划分包括5种方法，基于端口的VLAN划分方法在实际中最为常见。VLAN5VLAN10基于端口G0/0/1,G0/0/7G0/0/2G0/0/9基于MAC地址00-01-02-03-04-AA00-01-02-03-04-CC00-01-02-03-04-BB00-01-02-03-04-DD基于IP子网划分10.0.1.*10.0.2.*基于协议划分IPIPv6基于策略10.0.1.*+G0/0/1+00-01-02-03-04-AA10.0.2.*+G0/0/2+00-01-02-03-04-BBG0/0/1主机A主机D主机B主机CG0/0/2G0/0/7G0/0/9SWA5.1.1VLAN基础VLAN的划分包括5种方法，基于端口5.1.1VLAN基础在交换机上划分VLAN时，需要首先创建VLAN。在交换机上执行vlanvlan-id命令，创建VLAN。执行vlanbatch命令可以创建多个VLAN。[SWA]vlan10[SWA-vlan10]quit[SWA]vlanbatch2to3Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment...done.5.1.1VLAN基础在交换机上划分VLAN时，需要首先创5.1.1VLAN基础验证VLAN配置结果执行displayvlan

[

vlan-id

[

verbose

]]命令，可以查看指定VLAN的详细信息。执行displayvlan

vlan-id

statistics命令，可以查看指定VLAN中的流量统计信息。执行displayvlan

summary命令，可以查看系统中所有VLAN的汇总信息。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts1commonUT:GE0/0/1(U)……2common3commoncommon5.1.1VLAN基础验证VLAN配置结果[SWA]dis5.1.1VLAN基础配置Access端口，华为X7系列交换机上，默认的端口类型是hybrid。配置端口类型的命令是portlink-type<type>，type可以配置为Access，Trunk或Hybrid。[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portlink-typeaccess[SWA-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/7[SWA-GigabitEthernet0/0/7]portlink-typeaccessSWASWBG0/0/1G0/0/7G0/0/5主机A主机D主机B主机C5.1.1VLAN基础配置Access端口，华为X7系列交5.1.1VLAN基础添加端口到VLAN方法：VLAN视图下执行portinterface命令，把端口加入VLAN。接口视图下执行portdefaultvlanvlan-id命令，把端口加入VLAN。[SWA]vlan2[SWA-vlan2]portGigabitEthernet0/0/7[SWA-vlan2]quit[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portdefaultvlan3SWASWBG0/0/1G0/0/7G0/0/5主机A主机D主机B主机C5.1.1VLAN基础添加端口到VLAN方法：[SWA]v5.1.1VLAN基础验证VLAN配置结果，确认端口是否已经加入到VLAN中。UT表明该端口发送数据帧时，会剥离VLAN标签。U或D分别表示链路当前是Up状态或Down状态。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts1commonUT:GE0/0/1(U)……2commonUT:GE0/0/7(U)commonUT:GE0/0/5(U)10common……5.1.1VLAN基础验证VLAN配置结果，确认端口是否已5.1.1VLAN基础配置Trunk端口：portlink-typetrunk命令修改端口的类型为Trunkporttrunkallow-passvlan

{{

vlan-id1

[

to

vlan-id2

]}|

all

}命令配置端口允许的VLANporttrunkpvidvlan

vlan-id命令可以修改Trunk端口的PVID[SWA-GigabitEthernet0/0/1]portlink-typetrunk[SWA-GigabitEthernet0/0/1]porttrunkallow-passvlan23SWASWBG0/0/1G0/0/1主机A主机D主机B主机C5.1.1VLAN基础配置Trunk端口：[SWA-Gig5.1.1VLAN基础验证Trunk配置，TG表明该端口在转发对应VLAN的数据帧时，不会剥离标签，直接进行转发。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts1commonUT:GE0/0/1(U)……2commonUT:GE0/0/7(D)TG:GE0/0/1(U)

commonUT:GE0/0/5(U)TG:GE0/0/1(U)10common……5.1.1VLAN基础验证Trunk配置，TG表明该端口在5.1.1VLAN基础配置Hybrid端口：SWA配置[SWA-GigabitEthernet0/0/1]portlink-typehybrid[SWA-GigabitEthernet0/0/1]porthybridtaggedvlan23100[SWA-GigabitEthernet0/0/2]porthybridpvidvlan2[SWA-GigabitEthernet0/0/2]porthybriduntaggedvlan2100[SWA-GigabitEthernet0/0/3]porthybridpvidvlan3[SWA-GigabitEthernet0/0/3]porthybriduntaggedvlan3100G0/0/1主机A主机B服务器G0/0/1SWASWBG0/0/2G0/0/2G0/0/35.1.1VLAN基础配置Hybrid端口：SWA配置[S5.1.1VLAN基础配置Hybrid端口：SWB配置[SWB-GigabitEthernet0/0/1]portlink-typehybrid[SWB-GigabitEthernet0/0/1]porthybridtaggedvlan23100[SWB-GigabitEthernet0/0/2]porthybridpvidvlan100[SWB-GigabitEthernet0/0/2]porthybriduntaggedvlan23100G0/0/1主机A主机B服务器G0/0/1SWASWBG0/0/2G0/0/2G0/0/35.1.1VLAN基础配置Hybrid端口：SWB配置[S5.1.1VLAN基础验证Hybrid配置Gi0/0/2在发送VLAN2和VLAN100的数据帧时会剥离标签。Gi0/0/3在发送VLAN3和VLAN100的数据帧时会剥离标签。Gi0/0/1允许VLAN2，VLAN3和VLAN100的带标签的数据帧通过。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;1commonUT:GE0/0/1(U)……2commonUT:GE0/0/2(U)

TG:GE0/0/1(U)3commonUT:GE0/0/3(U)

TG:GE0/0/1(U)100commonUT:GE0/0/2(U)GE0/0/3(U)

TG:GE0/0/1(U)5.1.1VLAN基础验证Hybrid配置[SWA]dis5.1.2MUXVLAN

MuxVLAN基本原理:MUXVLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。部门AVLAN2部门AVLAN2部门BVLAN2部门BVLAN2Server部门A的员工之间不能互访，而部门B的员工之间可以互访，但是部门A和部门B不能互访，而公司所有员工均可以访问公司的服务器。5.1.2MUXVLANMuxVLAN基本原理5.1.2MUXVLANMUXVLAN分为主VLAN（PrincipalVLAN）和从VLAN（SubordinateVLAN），SubordinateVLAN又分为隔离VLAN（SeparateVLAN）和、互通VLAN（GroupVLAN）。PrincipalVLAN：接口从属于主接口（Principalport），Principalport可以和MUXVLAN内的所有接口进行通信。SeparateVLAN：接口从属于隔离接口（Separateport），Separateport只能和Principalport进行通信，和其他类型的接口实现完全隔离。每个SeparateVLAN必须绑定一个PrincipalVLAN。GroupVLAN：接口从属于互通接口（Groupport），Groupport可以和Principalport进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separateport通信。每个GroupVLAN必须绑定一个PrincipalVLAN。5.1.2MUXVLANMUXVLAN分为主VLAN（5.1.2MUXVLANMUXVLAN应用举例：根据MUXVLAN特性，企业可以用主接口连接企业服务器，隔离接口连接企业客户，互通接口连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。5.1.2MUXVLANMUXVLAN应用举例：根据M5.1.2MUXVLANMUXVLAN配置步骤：VLAN视图下执行mux-vlan命令配置主VLAN的MUXVLAN功能。VLAN视图下执行subordinategroup{

vlan-id1

[

to

vlan-id2

]}命令配置GroupVLAN功能。一个主VLAN下最多配置128个GroupVLAN。VLAN视图下执行subordinateseparatevlan-id命令配置SeparateVLAN功能。一个主VLAN下只能配置一个SeparateVLAN。接口视图下执行portmux-vlanenablevlanvlan-id命令使能接口MUXVLAN功能。5.1.2MUXVLANMUXVLAN配置步骤：5.1.2MUXVLANMUXVLAN配置举例：[S1]vlanbatch2201to202[S1]vlan2[S1-vlan2]mux-vlan[S1-vlan2]subordinateseparate202[S1-vlan2]subordinategroup201[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan201[S1-GigabitEthernet0/0/1]portmux-vlanenable部门AVLAN2部门AVLAN2部门BVLAN2部门BVLAN2GE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/55.1.2MUXVLANMUXVLAN配置举例：部门5.1.2MUXVLANMUXVLAN配置举例：[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan201[S1-GigabitEthernet0/0/2]portmux-vlanenable[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/3]portdefaultvlan202[S1-GigabitEthernet0/0/3]portmux-vlanenable部门AVLAN2部门AVLAN2部门BVLAN2部门BVLAN2GE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/55.1.2MUXVLANMUXVLAN配置举例：部门5.1.2MUXVLANMUXVLAN配置举例：[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan202[S1-GigabitEthernet0/0/2]portmux-vlanenable[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/3]portdefaultvlan2[S1-GigabitEthernet0/0/3]portmux-vlanenable部门AVLAN2部门AVLAN2部门BVLAN2部门BVLAN2GE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/55.1.2MUXVLANMUXVLAN配置举例：部门5.1.2MUXVLAN验证MuxVLAN配置[S1]displayvlanThetotalnumberofvlansis:4VIDTypePorts1commonUT:GE0/0/6(D)GE0/0/7(D)GE0/0/8(D)GE0/0/9(D)……2muxUT:GE0/0/5(U)201

mux-subUT:GE0/0/1(U)GE0/0/2(U)202mux-subUT:GE0/0/3(U)GE0/0/4(U)5.1.2MUXVLAN验证MuxVLAN配置查看MuxVLAN验证MuxVLAN配置[S1]displaymux-vlanPrincipalSubordinateTypeInterface2-

principalGigabitEthernet0/0/52202separateGigabitEthernet0/0/3GigabitEthernet0/0/42201groupGigabitEthernet0/0/1GigabitEthernet0/0/2查看MuxVLAN验证MuxVLAN配置5.1.3VLAN聚合通过VLAN接口实现VLAN间通信时，需要为每个VLAN的VLAN接口配置一个IP地址。如果VLAN很多，将占用许多IP地址资源，导致IP地址的浪费。VLAN聚合,也称为Super-VLAN，就是在一个物理网络内，用多个VLAN隔离广播域，使不同的VLAN属于同一个子网。用于隔离广播域的VLAN叫做sub-VLAN，与该子网对应的VLAN叫做super-VLAN。多个sub-VLAN组成一个super-VLAN。不同sub-VLAN下的主机不能互通。5.1.3VLAN聚合通过VLAN接口实现VLAN间通信时5.1.3VLAN聚合VLANAggregation在实现不同VLAN间共用同一子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。不同的Sub-VLAN的主机，由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。解决这一问题的方法就是使用ProxyARP，实现SubVLAN间用户互通。5.1.3VLAN聚合VLANAggregation在实5.1.3VLAN聚合ProxyARP实现不同Sub-VLAN间的三层互通过程：主机A将主机B的IP地址和自己所在网段进行比较，发现主机B和自己在同一个子网，但是主机A的ARP表中无主机B的对应表项。主机A发送ARP广播，请求主机B的MAC地址。主机B并不在VLAN2的广播域内，无法接收到主机A的这个ARP请求。由于网关S1上开启Sub-VLAN间的ProxyARP，当S1收到主机A的ARP请求后，开始在路由表中查找，发现ARP请求中的主机B的IP地址（）为直连接口路由，则S1向所有其他Sub-VLAN接口发送一个ARP广播，请求主机B的MAC地址。5.1.3VLAN聚合ProxyARP实现不同Sub-V5.1.3VLAN聚合ProxyARP实现不同Sub-VLAN间的三层互通过程：主机B收到S1发送的ARP广播后，对此请求进行ARP应答。S1收到主机B的应答后，就把自己的MAC地址当作B的MAC地址回应给主机A。S1和主机A的ARP表项中都存在主机B的对应表项。主机A之后要发给B的报文都先发送给S1，由S1做三层转发。5.1.3VLAN聚合ProxyARP实现不同Sub-V5.1.3VLAN聚合SuperVLAN的配置步骤：VLAN视图下执行aggregate-vlan命令创建Super-VLAN。VLAN视图下执行access-vlan{vlan-id1[tovlan-id2]}命令将Sub-VLAN加入Super-VLAN。接口视图下执行arp-proxyinter-sub-vlan-proxyenable命令使能Sub-VLAN间的ProxyARP功能。5.1.3VLAN聚合SuperVLAN的配置步骤：5.1.3VLAN聚合SuperVLAN的配置举例：[S1]vlanbatch2to310[S1]vlan10[S1-vlan10]aggregate-vlan[S1-vlan10]access-vlan2to3[S1]interfaceVlanif10[S1-Vlanif10]ipaddress54[S1-Vlanif10]arp-proxyinter-sub-vlan-proxyenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan2[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan35.1.3VLAN聚合SuperVLAN的配置举例：5.1.3VLAN聚合验证VLAN聚合配置：<S1>displayvlan2to10U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts2

sub

UT:GE0/0/1(U)3

subUT:GE0/0/2(U)10super

5.1.3VLAN聚合验证VLAN聚合配置：查看SuperVLAN验证Sub-VLAN信息：[S1]displaysub-vlanVLANIDSuper-vlan210310查看SuperVLAN验证Sub-VLAN信息：查看SuperVLAN查看ARP表信息：<S1>displayarpIPADDRESSMACADDRESSEXPIRE(M)TYPEINTERFACEVPN-INSTANCEVLAN544c1f-cc4d-689cI-Vlanif105489-98a8-29de

8

D-0GE0/0/235489-98e9-5c7b20D-0GE0/0/12Total:3Dynamic:2Static:0Interface:1查看SuperVLAN查看ARP表信息：5.1.4VLANMappingVLANMapping也叫做VLANtranslation，可以实现在用户VLANID（私有VLAN）和运营商VLANID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。通过替换VLANTag实现VLAN汇聚功能，使用户业务按照运营商的网络规划进行传输。5.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping发生在报文从入端口接收进来之后，从出端口转发出去之前。当在端口配置了VLANID映射后，端口在向外发送本地VLAN的帧时，将帧中的VLANTag替换成外部VLAN的VLANTag；在接收外部VLAN的帧时，将帧中的VLANTag替换成本地VLAN的VLANTag，这样不同VLAN间就实现了互相通信。InternetVLANMappingfrom100to10VLANMappingfrom10to100VLAN10VLAN100VLAN100VLAN10VLAN10GE2/0/15.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping的配置步骤：接口视图下执行portlink-typetrunk命令配置链路类型为Trunk。接口视图下执行qinqvlan-translationenable命令使能接口VLAN转换功能。接口视图下执行portvlan-mappingvlanvlan-id1[tovlan-id2]map-vlanvlan-id3命令配置接口的单层Tag的VLANMapping功能。5.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping配置举例：总部VLAN2的主机和分部VLAN3的主机通过VLANMapping技术实现互相访问。当在S1接口G0/0/2上配置了VLAN2和VLAN100映射后，接口在向外发送VLAN2的帧时，将帧中的VLANTag2替换成100；在接收VLAN100的帧时，将帧中的VLANTag100替换成2，然后按照二层转发流程进行数据转发。同理在S2接口G0/0/2上配置了VLAN3和VLAN100映射，这样VLAN2和VLAN3就能实现互相通信。5.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping配置举例：[S1]vlanbatch2100[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]qinqvlan-translationenable[S1-GigabitEthernet0/0/2]portlink-typetrunk[S1-GigabitEthernet0/0/2]porttrunkallow-passvlan2100[S1-GigabitEthernet0/0/2]portvlan-mappingvlan2map-vlan1005.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping配置举例：[S2]vlanbatch3100[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]qinqvlan-translationenable[S2-GigabitEthernet0/0/2]portlink-typetrunk[S2-GigabitEthernet0/0/2]porttrunkallow-passvlan3100[S2-GigabitEthernet0/0/2]portvlan-mappingvlan3map-vlan1005.1.4VLANMappingVLANMapping5.1.4VLANMapping验证VLANMapping配置[S1]displayvlan100U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts100commonTG:GE0/0/1(U)GE0/0/2(U)

MP:GE0/0/2(U)5.1.4VLANMapping验证VLANMappi5.1.5QinQ

什么是QinQ（802.1Q-in-802.1Q）？基于802.1Q封装的隧道协议报文封装双层VLANTagQinQ优点解决日益紧缺的公网VLANID资源问题用户可以规划自己的私网VLANID提供一种较为简单的二层VPN解决方案使用户网络具有较高的独立性5.1.5QinQ什么是QinQ（802.1Q-in-85.1.5QinQ

什么是QinQ？QinQ协议是基于IEEE802.1Q技术的一种二层隧道协议。在公网中传递的帧有两层802.1QTag（一个公网Tag，一个私网Tag），所以称之为QinQ协议。QinQ优点解决日益紧缺的公网VLANID资源问题用户可以规划自己的私网VLANID提供一种较为简单的二层VPN解决方案使用户网络具有较高的独立性5.1.5QinQ什么是QinQ？5.1.5QinQ基于传统的802.1Q协议的实现方式使用户的VLAN在骨干网络上可见，不仅耗费服务提供商宝贵的VLANID资源。需要服务提供商管理用户的VLAN号，用户没有自己规划VLAN的权利。Trunk

VLAN200-300TrunkVLAN200-300TrunkVLAN200-300SWBSWCISPNetworkTrunkVLAN200-300TrunkVLAN200-300SWA主机ALANASWD主机BLANBInternet5.1.5QinQ基于传统的802.1Q协议的实现方式Tr5.1.5QinQQinQ实现方式QinQ的核心思想是将用户私网VLANTag封装在公网VLANTag中，报文带着两层Tag穿越网络运营商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。Trunk

VLAN200-300TrunkVLAN200-300QinQ协议接入端口属于VLAN3SWBSWCISPNetworkTrunkVLAN200-300SWA主机ALANASWD主机BLANBInternetQinQ协议接入端口属于VLAN35.1.5QinQQinQ实现方式TrunkVLAN25.1.5QinQQinQ封装结构DASATYPEDATAFCSDATASAFCSTYPETAGDAUntaggedframeTaggedFramePRIVLANID（12b）CFI0x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2BDATA外层TAGSAFCSTYPE内层TAGDAQinQ封装6B4B2B64-1500B4B4B6B5.1.5QinQQinQ封装结构DASATYPEDATA5.1.5QinQ数据转发流程TrunkVLAN200-300SWBSWCISPNetworkTrunkVLAN3SWA主机ALANASWD主机BLANBInternet3200-300

3200-300TrunkVLAN200-300QinQ协议接入端口属于VLAN3200-300200-300QinQ协议接入端口属于VLAN35.1.5QinQ数据转发流程TrunkVLAN2005.1.5QinQ

根据QinQ的具体实现方式，通常分为如下几类：基于端口的QinQ基于端口的基本QinQ灵活QinQVLANStacking基于流的灵活QinQ基于ACL的灵活QinQPage565.1.5QinQ根据QinQ的具体实现方式，通常5.1.5QinQ基于端口的QinQ配置了此功能的端口，设备会为从此端口进入的报文打上一层VLANID为端口PVID的外层VLANtag。基于端口的QinQ通过配置端口类型为dot1q-tunnel实现。当端口类型为dot1q-tunnel时，该端口加入的VLAN不支持二层组播功能。5.1.5QinQ基于端口的QinQ5.1.5QinQ基于端口QinQ的配置步骤：接口视图下执行portlink-typedot1q-tunnel命令配置接口类型为dot1q-tunnel。接口视图下执行portdefaultvlanvlan-id命令配置公网VLANTag的VLAN（即接口的缺省VLAN）。默认情况下，所有接口的默认VLANID为1。5.1.5QinQ基于端口QinQ的配置步骤：5.1.5QinQ基于端口QinQ的配置举例5.1.5QinQ基于端口QinQ的配置举例5.1.5QinQ基于端口QinQ的配置举例[S1]vlan10[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typedot1q-tunnel[S1-GigabitEthernet0/0/2]portdefaultvlan105.1.5QinQ基于端口QinQ的配置举例5.1.5QinQ基于端口QinQ的配置举例[S2]vlan10[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan10[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]portlink-typedot1q-tunnel[S2-GigabitEthernet0/0/2]portdefaultvlan105.1.5QinQ基于端口QinQ的配置举例5.1.5QinQ基于端口QinQ的配置验证[S1]displayportvlan|includedot1q-tunnelPortLinkType

PVIDTrunkVLANListGigabitEthernet0/0/2dot1q-tunnel

10-5.1.5QinQ基于端口QinQ的配置验证5.1.5QinQ灵活QinQ

灵活QinQ根据指定条件为入报文加一层S-VLANtag。指定条件：入报文外层VLAN的范围或VLAN+802.1P。仅指定报文802.1P优先级时，不关注入报文外层VLAN的具体值，只要外层VLAN的802.1P优先级匹配就会打上S-VLANtag。通过在端口配置VLANStacking实现。灵活QinQ优势：相对基于端口的QinQ，灵活QinQ可以根据入报文的外层VLAN及802.1P来选择加或不加S-VLANtag，并且S-VLANtag可配置。5.1.5QinQ灵活QinQ5.1.5QinQ灵活QinQ的配置步骤：接口视图下执行portlink-typehybrid命令配置接口类型为Hybrid。接口视图下执行porthybriduntaggedvlanvlan-id命令配置接口以Untagged方式加入叠加后的VLAN。叠加后的外层VLAN必须是设备上已经存在的VLAN，叠加前的VLAN可以不创建。接口视图下执行qinqvlan-translationenable命令使能接口VLAN转换功能。接口视图下执行portvlan-stackingvlanvlan-id1[tovlan-id2]stack-vlanvlan-id3命令配置灵活QinQ。5.1.5QinQ灵活QinQ的配置步骤：5.1.5QinQ灵活QinQ的配置举例5.1.5QinQ灵活QinQ的配置举例5.1.5QinQ灵活QinQ的配置举例[S1]vlanbatch1020[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]qinqvlan-translationenable[S1-GigabitEthernet0/0/2]porthybriduntaggedvlan1020[S1-GigabitEthernet0/0/2]portvlan-stackingvlan2stack-vlan10[S1-GigabitEthernet0/0/2]portvlan-stackingvlan3stack-vlan205.1.5QinQ灵活QinQ的配置举例5.1.5QinQ灵活QinQ的配置举例[S2]vlanbatch1020[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]qinqvlan-translationenable[S2-GigabitEthernet0/0/2]porthybriduntaggedvlan1020[S2-GigabitEthernet0/0/2]portvlan-stackingvlan2stack-vlan10[S2-GigabitEthernet0/0/2]portvlan-stackingvlan3stack-vlan205.1.5QinQ灵活QinQ的配置举例5.1.5QinQ灵活QinQ的配置验证[S2]displayvlan10to20U:Up;D:Down;

TG:Tagged;

UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDType

Ports10common

UT:GE0/0/2(U)

TG:GE0/0/1(U)

ST:GE0/0/2(U20common

UT:GE0/0/2(U)

TG:GE0/0/1(U)

ST:GE0/0/2(U)5.1.5QinQ灵活QinQ的配置验证5.1.5QinQ基于流的灵活QinQ：通过全局配置流分类、流行为，再将流策略绑定流分类和流行为来实现。优势：相对灵活QinQ，基于流的灵活QinQ还可以根据入报文的内层VLAN的属性来加S-VLANtag，配置范围更加灵活。如：内层VLAN、内层VLAN+802.1P、外层VLAN、外层VLAN+802.1P等属性了解基于流的灵活QinQ需要先掌握QoS知识，此处仅需了解基本概念。5.1.5QinQ基于流的灵活QinQ：通过全局配置流分类选择题（1）VLAN工作在OSI的哪一层？A.1B.2C.3D.4（2）华为VRP系统中，交换机端口缺省的链路类型是什么？A.accessB.dot1q-tunnelC.hybridD.trunk（3）华为VRP系统中，交换机端口链路类型包括哪些？A.accessB.dot1q-tunnelC.hybridD.trunk（4）VLAN聚合技术中，Sub-VLAN间通信通过什么技术实现？A.GratuitousARPB.ProxyARPC.InverseARPD.PassiveARP选择题（5）灵活QinQ也称为什么？A.VLANMappingB.VLANStackingC.VLANAggregationD.VLANTranslation（6）华为交换机支持基于哪些方式来划分VLAN？A.接口B.MAC地址C.IP子网D.网络层协议（7）802.1Q封装插入以太帧的4个字节包括哪些字段？A.TPIDB.CFIC.PRID.VLANID（8）MUXVLAN的从VLAN包括哪两种类型？A.SeparateVLANB.IsolateVLANC.GroupVLAND.PrimaryVLAN（5）灵活QinQ也称为什么？判断题（1）MUXVLAN中，互通从VLAN的主机可以访问隔离从VLAN的主机，而隔离从VLAN内的主机之间不能访问。（）（2）VLAN聚合的Sub-VLAN只包含物理接口，用于隔离广播域的VLAN，不能建立三层VLANIF接口。（）（3）VLANMapping也叫VLANTranslation，VLAN聚合也叫SuperVLAN。（）（4）VLANMapping实现了骨干网可以传输来自用户网络的带有VLANTag的二层报文。（）（5）QinQ在骨干网中传递的报文有两层802.1QTag，一层公网Tag，一层私网Tag。（）（6）基本QinQ又称为QinQ二层隧道，是基于接口方式实现的。（）（7）灵活QinQ功能可以在接口的入向或者出向配置。（）判断题随着VLAN和Trunk技术在交换网络大大面积部署和使用，出现了很多实用的VLAN扩展技术。本章首先介绍了VLAN和Trunk基础知识和配置实现，然后详细介绍了VLAN扩展技术的使用场景、技术原理和配置实现，包括MUXVLAN、VLAN聚合、VLANMapping和QinQ，QinQ技术又介绍了基本QinQ和灵活QinQ两种技术，并用项目案例演示和验证利用QinQ技术实现企业网络互通的配置。随着VLAN和Trunk技术在交换网络大大面积部署和使用，出1+X证书网络系统建设与运维(高级)第05章-VLAN高级特性课件第05章VLAN高级特性第05章VLAN高级特性学习目标掌握VLAN和Trunk基础知识和配置实现。掌握MUXVLAN应用场景、工作原理和配置实现。掌握VLAN聚合应用场景、工作原理和配置实现。掌握VLANMapping应用场景、工作原理和配置实现。掌握QinQ应用场景、工作原理和配置实现。学习目标掌握VLAN和Trunk基础知识和配置实现。5.1扩展VLAN技术概述5.1.1VLAN基础5.1.2MUXVLAN5.1.3VLAN聚合5.1.4VLANMapping5.1.5QinQ1+X证书网络系统建设与运维(高级)第05章-VLAN高级特性课件5.1扩展VLAN技术概述通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。MUXVLAN（MultiplexVLAN）提供了一种通过VLAN进行网络资源控制的机制。通过MUXVLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。VLAN聚合只在super-VLAN接口上配置IP地址，而不必为每个sub-VLAN分配IP地址。VLANMapping可以实现在用户VLANID（私有VLAN）和运营商VLANID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。QinQ是基于802.1Q封装的隧道协议，其核心思想是在用户私网VLANtag之外封装公网VLANtag，报文带着两层tag穿越公网，从而为用户提供一种较为简单的二层VPN隧道。5.1扩展VLAN技术概述通过在交换机上配置VLAN，可以实5.1扩展VLAN技术概述部署不同路由协议的机构合并不同的网络使用不同的协议，并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISIS网络协议的限制比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的需要配置静态路由，然后把静态路由引入到ISIS5.1扩展VLAN技术概述部署不同路由协议的机构合并5.1.1VLAN基础传统以太网中，随着主机数量的增加，共享网络中的冲突会越来越严重，交换网络中的广播也会越来越多。5.1.1VLAN基础5.1.1VLAN基础VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域,提高了网络安全性。VLAN技术部署在数据链路层，用于隔离二层流量。同一个VLAN内的主机之间可以直接进行二层通信。LAN间的主机属于不同的广播域，不能直接实现二层互通。VLAN1VLAN25.1.1VLAN基础VLAN技术可以将一个物理局域网在逻5.1.1VLAN基础VLANIEEE802.1Q帧格式中，VLAN标签长4个字节，直接添加在以太网帧头中。通过Tag区分不同VLAN。没有携带Tag的帧携带Tag的帧0x8100PRICFIVLANID（12b）2bytes2bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesTagTPIDTCI4bytes5.1.1VLAN基础VLANIEEE802.1Q帧格式5.1.1VLAN基础VLAN链路分为两种类型：Access链路和Trunk链路。用户主机和交换机之间的链路为接入链路，交换机与交换机之间的链路为干道链路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess5.1.1