第05章VLAN高級特性第05章VLAN高級特性學習目標掌握VLAN和Trunk基礎知識和配置實現。掌握MUXVLAN應用場景、工作原理和配置實現。掌握VLAN聚合應用場景、工作原理和配置實現。掌握VLANMapping應用場景、工作原理和配置實現。掌握QinQ應用場景、工作原理和配置實現。學習目標掌握VLAN和Trunk基礎知識和配置實現。5.1擴展VLAN技術概述5.1.1VLAN基礎5.1.2MUXVLAN5.1.3VLAN聚合5.1.4VLANMapping5.1.5QinQ1+X證書網絡系統建設與運維(高級)第05章-VLAN高級特性課件5.1擴展VLAN技術概述通過在交換機上配置VLAN，可以實現在同一個VLAN內的用戶可以進行二層互訪，而不同VLAN間的用戶被二層隔離。MUXVLAN（MultiplexVLAN）提供了一種通過VLAN進行網絡資源控制的機制。通過MUXVLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信，而企業外來訪客之間的互訪是隔離的。VLAN聚合只在super-VLAN接口上配置IP地址，而不必為每個sub-VLAN分配IP地址。VLANMapping可以實現在用戶VLANID（私有VLAN）和運營商VLANID(業務VLAN,也可以說是公有VLAN)之間相互轉換的一個功能。QinQ是基于802.1Q封裝的隧道協議，其核心思想是在用戶私網VLANtag之外封裝公網VLANtag，報文帶著兩層tag穿越公網，從而為用戶提供一種較為簡單的二層VPN隧道。5.1擴展VLAN技術概述通過在交換機上配置VLAN，可以實5.1擴展VLAN技術概述部署不同路由協議的機構合并不同的網絡使用不同的協議，并且這些網絡需要共享路由信息簡單的網絡可以使用RIP網絡類型復雜的可以選用OSPF大型骨干網絡一般選用ISIS網絡協議的限制比如，使用撥號鏈路連接兩個ISIS網絡，而在撥號鏈路上是不適合運行ISIS協議的需要配置靜態路由，然后把靜態路由引入到ISIS5.1擴展VLAN技術概述部署不同路由協議的機構合并5.1.1VLAN基礎傳統以太網中，隨著主機數量的增加，共享網絡中的沖突會越來越嚴重，交換網絡中的廣播也會越來越多。5.1.1VLAN基礎5.1.1VLAN基礎VLAN技術可以將一個物理局域網在邏輯上劃分成多個廣播域,提高了網絡安全性。VLAN技術部署在數據鏈路層，用于隔離二層流量。同一個VLAN內的主機之間可以直接進行二層通信。LAN間的主機屬于不同的廣播域，不能直接實現二層互通。VLAN1VLAN25.1.1VLAN基礎VLAN技術可以將一個物理局域網在邏5.1.1VLAN基礎VLANIEEE802.1Q幀格式中，VLAN標簽長4個字節，直接添加在以太網幀頭中。通過Tag區分不同VLAN。沒有攜帶Tag的幀攜帶Tag的幀0x8100PRICFIVLANID（12b）2bytes2bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesTagTPIDTCI4bytes5.1.1VLAN基礎VLANIEEE802.1Q幀格式5.1.1VLAN基礎VLAN鏈路分為兩種類型：Access鏈路和Trunk鏈路。用戶主機和交換機之間的鏈路為接入鏈路，交換機與交換機之間的鏈路為干道鏈路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess5.1.1VLAN基礎VLAN鏈路分為兩種類型：Acces5.1.1VLAN基礎PVID（PortVLANID）表示端口在缺省情況下所屬的VLAN。所有以太網幀在交換機中都是以Tagged的形式來被處理和轉發的，因此交換機必須給端口收到的Untagged數據幀添加上Tag。缺省時X7系列交換機每個端口的PVID都是1。PVID1PVID2PVID2PVID3PVID3PVID1SWASWB主機A主機C主機B主機DVLAN2VLAN2VLAN3VLAN35.1.1VLAN基礎PVID（PortVLANID）5.1.1VLAN基礎Access端口是交換機上用來連接用戶主機的端口，它只能連接接入鏈路。Access端口在收到數據后會添加VLANTag，VLANID和端口的PVID相同。Access端口在轉發數據前會移除VLANTag。Access端口發往對端設備的以太網幀永遠是不帶標簽的幀。主機A主機C主機BUntaggedUntaggedPVID10PVID10PVID2Frame10SWAG0/0/1G0/0/2G0/0/35.1.1VLAN基礎Access端口是交換機上用來連接用5.1.1VLAN基礎Trunk端口是交換機上用來和其他交換機連接的端口，它只能連接干道鏈路。當Trunk端口收到幀時，如果該幀不包含Tag，將添加上端口的PVID；如果該幀包含Tag，則不改變。當Trunk端口發送幀時，該幀的VLANID在Trunk的允許發送列表中：若與端口的PVID相同時，則剝離Tag發送；若與端口的PVID不同時，則直接發送。主機A主機C主機B主機DUntaggedUntaggedFrame20UntaggedSWASWBUntaggedUntaggedPVID1PVID20PVID1PVID20PVID1PVID15.1.1VLAN基礎Trunk端口是交換機上用來和其他交5.1.1VLAN基礎Hybrid端口既可以連接主機，又可以連接交換機。Hybrid端口既可以連接接入鏈路又可以連接干道鏈路。Hybrid端口可以以Tagged或Untagged方式加入VLAN。G0/0/1主機A主機B服務器UntaggedFrameG0/0/1Frame32UntaggedUntaggedSWASWBG0/0/2G0/0/2G0/0/3Untagged5.1.1VLAN基礎Hybrid端口既可以連接主機，又可5.1.1VLAN基礎Hybrid端口允許多個VLAN的幀通過，并可以在出端口方向將某些VLAN幀的Tag剝掉。Hybrid端口收發數據幀的規則如下：當接收到對端設備發送的不帶Tag的數據幀時，會添加該端口的PVID，如果PVID在允許通過的VLANID列表中，則接收該報文，否則丟棄該報文。當接收到對端設備發送的帶Tag的數據幀時，檢查VLANID是否在允許通過的VLANID列表中。如果VLANID在接口允許通過的VLANID列表中，則接收該報文，否則丟棄該報文。Hybrid端口發送數據幀時，將檢查該接口是否允許該VLAN數據幀通過。如果允許通過，則可以通過命令配置發送時是否攜帶Tag。配置porthybridtaggedvlanvlan-id命令后，發送時不剝離幀中的VLANTag。配置porthybriduntaggedvlan

vlan-id命令后，發送時會將幀中的VLANTag剝離掉。5.1.1VLAN基礎Hybrid端口允許多個VLAN的幀5.1.1VLAN基礎VLAN的劃分包括5種方法，基于端口的VLAN劃分方法在實際中最為常見。VLAN5VLAN10基于端口G0/0/1,G0/0/7G0/0/2G0/0/9基于MAC地址00-01-02-03-04-AA00-01-02-03-04-CC00-01-02-03-04-BB00-01-02-03-04-DD基于IP子網劃分10.0.1.*10.0.2.*基于協議劃分IPIPv6基于策略10.0.1.*+G0/0/1+00-01-02-03-04-AA10.0.2.*+G0/0/2+00-01-02-03-04-BBG0/0/1主機A主機D主機B主機CG0/0/2G0/0/7G0/0/9SWA5.1.1VLAN基礎VLAN的劃分包括5種方法，基于端口5.1.1VLAN基礎在交換機上劃分VLAN時，需要首先創建VLAN。在交換機上執行vlanvlan-id命令，創建VLAN。執行vlanbatch命令可以創建多個VLAN。[SWA]vlan10[SWA-vlan10]quit[SWA]vlanbatch2to3Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment...done.5.1.1VLAN基礎在交換機上劃分VLAN時，需要首先創5.1.1VLAN基礎驗證VLAN配置結果執行displayvlan

[

vlan-id

[

verbose

]]命令，可以查看指定VLAN的詳細信息。執行displayvlan

vlan-id

statistics命令，可以查看指定VLAN中的流量統計信息。執行displayvlan

summary命令，可以查看系統中所有VLAN的匯總信息。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts1commonUT:GE0/0/1(U)……2common3commoncommon5.1.1VLAN基礎驗證VLAN配置結果[SWA]dis5.1.1VLAN基礎配置Access端口，華為X7系列交換機上，默認的端口類型是hybrid。配置端口類型的命令是portlink-type<type>，type可以配置為Access，Trunk或Hybrid。[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portlink-typeaccess[SWA-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/7[SWA-GigabitEthernet0/0/7]portlink-typeaccessSWASWBG0/0/1G0/0/7G0/0/5主機A主機D主機B主機C5.1.1VLAN基礎配置Access端口，華為X7系列交5.1.1VLAN基礎添加端口到VLAN方法：VLAN視圖下執行portinterface命令，把端口加入VLAN。接口視圖下執行portdefaultvlanvlan-id命令，把端口加入VLAN。[SWA]vlan2[SWA-vlan2]portGigabitEthernet0/0/7[SWA-vlan2]quit[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portdefaultvlan3SWASWBG0/0/1G0/0/7G0/0/5主機A主機D主機B主機C5.1.1VLAN基礎添加端口到VLAN方法：[SWA]v5.1.1VLAN基礎驗證VLAN配置結果，確認端口是否已經加入到VLAN中。UT表明該端口發送數據幀時，會剝離VLAN標簽。U或D分別表示鏈路當前是Up狀態或Down狀態。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts1commonUT:GE0/0/1(U)……2commonUT:GE0/0/7(U)commonUT:GE0/0/5(U)10common……5.1.1VLAN基礎驗證VLAN配置結果，確認端口是否已5.1.1VLAN基礎配置Trunk端口：portlink-typetrunk命令修改端口的類型為Trunkporttrunkallow-passvlan

{{

vlan-id1

[

to

vlan-id2

]}|

all

}命令配置端口允許的VLANporttrunkpvidvlan

vlan-id命令可以修改Trunk端口的PVID[SWA-GigabitEthernet0/0/1]portlink-typetrunk[SWA-GigabitEthernet0/0/1]porttrunkallow-passvlan23SWASWBG0/0/1G0/0/1主機A主機D主機B主機C5.1.1VLAN基礎配置Trunk端口：[SWA-Gig5.1.1VLAN基礎驗證Trunk配置，TG表明該端口在轉發對應VLAN的數據幀時，不會剝離標簽，直接進行轉發。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts1commonUT:GE0/0/1(U)……2commonUT:GE0/0/7(D)TG:GE0/0/1(U)

commonUT:GE0/0/5(U)TG:GE0/0/1(U)10common……5.1.1VLAN基礎驗證Trunk配置，TG表明該端口在5.1.1VLAN基礎配置Hybrid端口：SWA配置[SWA-GigabitEthernet0/0/1]portlink-typehybrid[SWA-GigabitEthernet0/0/1]porthybridtaggedvlan23100[SWA-GigabitEthernet0/0/2]porthybridpvidvlan2[SWA-GigabitEthernet0/0/2]porthybriduntaggedvlan2100[SWA-GigabitEthernet0/0/3]porthybridpvidvlan3[SWA-GigabitEthernet0/0/3]porthybriduntaggedvlan3100G0/0/1主機A主機B服務器G0/0/1SWASWBG0/0/2G0/0/2G0/0/35.1.1VLAN基礎配置Hybrid端口：SWA配置[S5.1.1VLAN基礎配置Hybrid端口：SWB配置[SWB-GigabitEthernet0/0/1]portlink-typehybrid[SWB-GigabitEthernet0/0/1]porthybridtaggedvlan23100[SWB-GigabitEthernet0/0/2]porthybridpvidvlan100[SWB-GigabitEthernet0/0/2]porthybriduntaggedvlan23100G0/0/1主機A主機B服務器G0/0/1SWASWBG0/0/2G0/0/2G0/0/35.1.1VLAN基礎配置Hybrid端口：SWB配置[S5.1.1VLAN基礎驗證Hybrid配置Gi0/0/2在發送VLAN2和VLAN100的數據幀時會剝離標簽。Gi0/0/3在發送VLAN3和VLAN100的數據幀時會剝離標簽。Gi0/0/1允許VLAN2，VLAN3和VLAN100的帶標簽的數據幀通過。[SWA]displayvlanThetotalnumberofvlansis:4U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;1commonUT:GE0/0/1(U)……2commonUT:GE0/0/2(U)

TG:GE0/0/1(U)3commonUT:GE0/0/3(U)

TG:GE0/0/1(U)100commonUT:GE0/0/2(U)GE0/0/3(U)

TG:GE0/0/1(U)5.1.1VLAN基礎驗證Hybrid配置[SWA]dis5.1.2MUXVLAN

MuxVLAN基本原理:MUXVLAN提供了一種在VLAN的端口間進行二層流量隔離的機制。部門AVLAN2部門AVLAN2部門BVLAN2部門BVLAN2Server部門A的員工之間不能互訪，而部門B的員工之間可以互訪，但是部門A和部門B不能互訪，而公司所有員工均可以訪問公司的服務器。5.1.2MUXVLANMuxVLAN基本原理5.1.2MUXVLANMUXVLAN分為主VLAN（PrincipalVLAN）和從VLAN（SubordinateVLAN），SubordinateVLAN又分為隔離VLAN（SeparateVLAN）和、互通VLAN（GroupVLAN）。PrincipalVLAN：接口從屬于主接口（Principalport），Principalport可以和MUXVLAN內的所有接口進行通信。SeparateVLAN：接口從屬于隔離接口（Separateport），Separateport只能和Principalport進行通信，和其他類型的接口實現完全隔離。每個SeparateVLAN必須綁定一個PrincipalVLAN。GroupVLAN：接口從屬于互通接口（Groupport），Groupport可以和Principalport進行通信，在同一組內的接口也可互相通信，但不能和其他組接口或Separateport通信。每個GroupVLAN必須綁定一個PrincipalVLAN。5.1.2MUXVLANMUXVLAN分為主VLAN（5.1.2MUXVLANMUXVLAN應用舉例：根據MUXVLAN特性，企業可以用主接口連接企業服務器，隔離接口連接企業客戶，互通接口連接企業員工。這樣就能夠實現企業客戶、企業員工都能夠訪問企業服務器，而企業員工內部可以通信、企業客戶間不能通信、企業客戶和企業員工之間不能互訪的目的。5.1.2MUXVLANMUXVLAN應用舉例：根據M5.1.2MUXVLANMUXVLAN配置步驟：VLAN視圖下執行mux-vlan命令配置主VLAN的MUXVLAN功能。VLAN視圖下執行subordinategroup{

vlan-id1

[

to

vlan-id2

]}命令配置GroupVLAN功能。一個主VLAN下最多配置128個GroupVLAN。VLAN視圖下執行subordinateseparatevlan-id命令配置SeparateVLAN功能。一個主VLAN下只能配置一個SeparateVLAN。接口視圖下執行portmux-vlanenablevlanvlan-id命令使能接口MUXVLAN功能。5.1.2MUXVLANMUXVLAN配置步驟：5.1.2MUXVLANMUXVLAN配置舉例：[S1]vlanbatch2201to202[S1]vlan2[S1-vlan2]mux-vlan[S1-vlan2]subordinateseparate202[S1-vlan2]subordinategroup201[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan201[S1-GigabitEthernet0/0/1]portmux-vlanenable部門AVLAN2部門AVLAN2部門BVLAN2部門BVLAN2GE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/55.1.2MUXVLANMUXVLAN配置舉例：部門5.1.2MUXVLANMUXVLAN配置舉例：[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan201[S1-GigabitEthernet0/0/2]portmux-vlanenable[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/3]portdefaultvlan202[S1-GigabitEthernet0/0/3]portmux-vlanenable部門AVLAN2部門AVLAN2部門BVLAN2部門BVLAN2GE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/55.1.2MUXVLANMUXVLAN配置舉例：部門5.1.2MUXVLANMUXVLAN配置舉例：[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan202[S1-GigabitEthernet0/0/2]portmux-vlanenable[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/3]portdefaultvlan2[S1-GigabitEthernet0/0/3]portmux-vlanenable部門AVLAN2部門AVLAN2部門BVLAN2部門BVLAN2GE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/55.1.2MUXVLANMUXVLAN配置舉例：部門5.1.2MUXVLAN驗證MuxVLAN配置[S1]displayvlanThetotalnumberofvlansis:4VIDTypePorts1commonUT:GE0/0/6(D)GE0/0/7(D)GE0/0/8(D)GE0/0/9(D)……2muxUT:GE0/0/5(U)201

mux-subUT:GE0/0/1(U)GE0/0/2(U)202mux-subUT:GE0/0/3(U)GE0/0/4(U)5.1.2MUXVLAN驗證MuxVLAN配置查看MuxVLAN驗證MuxVLAN配置[S1]displaymux-vlanPrincipalSubordinateTypeInterface2-

principalGigabitEthernet0/0/52202separateGigabitEthernet0/0/3GigabitEthernet0/0/42201groupGigabitEthernet0/0/1GigabitEthernet0/0/2查看MuxVLAN驗證MuxVLAN配置5.1.3VLAN聚合通過VLAN接口實現VLAN間通信時，需要為每個VLAN的VLAN接口配置一個IP地址。如果VLAN很多，將占用許多IP地址資源，導致IP地址的浪費。VLAN聚合,也稱為Super-VLAN，就是在一個物理網絡內，用多個VLAN隔離廣播域，使不同的VLAN屬于同一個子網。用于隔離廣播域的VLAN叫做sub-VLAN，與該子網對應的VLAN叫做super-VLAN。多個sub-VLAN組成一個super-VLAN。不同sub-VLAN下的主機不能互通。5.1.3VLAN聚合通過VLAN接口實現VLAN間通信時5.1.3VLAN聚合VLANAggregation在實現不同VLAN間共用同一子網網段地址的同時也帶來了Sub-VLAN間的三層轉發問題。不同的Sub-VLAN的主機，由于它們同屬一個子網，彼此通信時只會做二層轉發，而不會通過網關進行三層轉發。解決這一問題的方法就是使用ProxyARP，實現SubVLAN間用戶互通。5.1.3VLAN聚合VLANAggregation在實5.1.3VLAN聚合ProxyARP實現不同Sub-VLAN間的三層互通過程：主機A將主機B的IP地址和自己所在網段進行比較，發現主機B和自己在同一個子網，但是主機A的ARP表中無主機B的對應表項。主機A發送ARP廣播，請求主機B的MAC地址。主機B并不在VLAN2的廣播域內，無法接收到主機A的這個ARP請求。由于網關S1上開啟Sub-VLAN間的ProxyARP，當S1收到主機A的ARP請求后，開始在路由表中查找，發現ARP請求中的主機B的IP地址（）為直連接口路由，則S1向所有其他Sub-VLAN接口發送一個ARP廣播，請求主機B的MAC地址。5.1.3VLAN聚合ProxyARP實現不同Sub-V5.1.3VLAN聚合ProxyARP實現不同Sub-VLAN間的三層互通過程：主機B收到S1發送的ARP廣播后，對此請求進行ARP應答。S1收到主機B的應答后，就把自己的MAC地址當作B的MAC地址回應給主機A。S1和主機A的ARP表項中都存在主機B的對應表項。主機A之后要發給B的報文都先發送給S1，由S1做三層轉發。5.1.3VLAN聚合ProxyARP實現不同Sub-V5.1.3VLAN聚合SuperVLAN的配置步驟：VLAN視圖下執行aggregate-vlan命令創建Super-VLAN。VLAN視圖下執行access-vlan{vlan-id1[tovlan-id2]}命令將Sub-VLAN加入Super-VLAN。接口視圖下執行arp-proxyinter-sub-vlan-proxyenable命令使能Sub-VLAN間的ProxyARP功能。5.1.3VLAN聚合SuperVLAN的配置步驟：5.1.3VLAN聚合SuperVLAN的配置舉例：[S1]vlanbatch2to310[S1]vlan10[S1-vlan10]aggregate-vlan[S1-vlan10]access-vlan2to3[S1]interfaceVlanif10[S1-Vlanif10]ipaddress54[S1-Vlanif10]arp-proxyinter-sub-vlan-proxyenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan2[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan35.1.3VLAN聚合SuperVLAN的配置舉例：5.1.3VLAN聚合驗證VLAN聚合配置：<S1>displayvlan2to10U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts2

sub

UT:GE0/0/1(U)3

subUT:GE0/0/2(U)10super

5.1.3VLAN聚合驗證VLAN聚合配置：查看SuperVLAN驗證Sub-VLAN信息：[S1]displaysub-vlanVLANIDSuper-vlan210310查看SuperVLAN驗證Sub-VLAN信息：查看SuperVLAN查看ARP表信息：<S1>displayarpIPADDRESSMACADDRESSEXPIRE(M)TYPEINTERFACEVPN-INSTANCEVLAN544c1f-cc4d-689cI-Vlanif105489-98a8-29de

8

D-0GE0/0/235489-98e9-5c7b20D-0GE0/0/12Total:3Dynamic:2Static:0Interface:1查看SuperVLAN查看ARP表信息：5.1.4VLANMappingVLANMapping也叫做VLANtranslation，可以實現在用戶VLANID（私有VLAN）和運營商VLANID(業務VLAN,也可以說是公有VLAN)之間相互轉換的一個功能。通過替換VLANTag實現VLAN匯聚功能，使用戶業務按照運營商的網絡規劃進行傳輸。5.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping發生在報文從入端口接收進來之后，從出端口轉發出去之前。當在端口配置了VLANID映射后，端口在向外發送本地VLAN的幀時，將幀中的VLANTag替換成外部VLAN的VLANTag；在接收外部VLAN的幀時，將幀中的VLANTag替換成本地VLAN的VLANTag，這樣不同VLAN間就實現了互相通信。InternetVLANMappingfrom100to10VLANMappingfrom10to100VLAN10VLAN100VLAN100VLAN10VLAN10GE2/0/15.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping的配置步驟：接口視圖下執行portlink-typetrunk命令配置鏈路類型為Trunk。接口視圖下執行qinqvlan-translationenable命令使能接口VLAN轉換功能。接口視圖下執行portvlan-mappingvlanvlan-id1[tovlan-id2]map-vlanvlan-id3命令配置接口的單層Tag的VLANMapping功能。5.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping配置舉例：總部VLAN2的主機和分部VLAN3的主機通過VLANMapping技術實現互相訪問。當在S1接口G0/0/2上配置了VLAN2和VLAN100映射后，接口在向外發送VLAN2的幀時，將幀中的VLANTag2替換成100；在接收VLAN100的幀時，將幀中的VLANTag100替換成2，然后按照二層轉發流程進行數據轉發。同理在S2接口G0/0/2上配置了VLAN3和VLAN100映射，這樣VLAN2和VLAN3就能實現互相通信。5.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping配置舉例：[S1]vlanbatch2100[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]qinqvlan-translationenable[S1-GigabitEthernet0/0/2]portlink-typetrunk[S1-GigabitEthernet0/0/2]porttrunkallow-passvlan2100[S1-GigabitEthernet0/0/2]portvlan-mappingvlan2map-vlan1005.1.4VLANMappingVLANMapping5.1.4VLANMappingVLANMapping配置舉例：[S2]vlanbatch3100[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan100[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]qinqvlan-translationenable[S2-GigabitEthernet0/0/2]portlink-typetrunk[S2-GigabitEthernet0/0/2]porttrunkallow-passvlan3100[S2-GigabitEthernet0/0/2]portvlan-mappingvlan3map-vlan1005.1.4VLANMappingVLANMapping5.1.4VLANMapping驗證VLANMapping配置[S1]displayvlan100U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDTypePorts100commonTG:GE0/0/1(U)GE0/0/2(U)

MP:GE0/0/2(U)5.1.4VLANMapping驗證VLANMappi5.1.5QinQ

什么是QinQ（802.1Q-in-802.1Q）？基于802.1Q封裝的隧道協議報文封裝雙層VLANTagQinQ優點解決日益緊缺的公網VLANID資源問題用戶可以規劃自己的私網VLANID提供一種較為簡單的二層VPN解決方案使用戶網絡具有較高的獨立性5.1.5QinQ什么是QinQ（802.1Q-in-85.1.5QinQ

什么是QinQ？QinQ協議是基于IEEE802.1Q技術的一種二層隧道協議。在公網中傳遞的幀有兩層802.1QTag（一個公網Tag，一個私網Tag），所以稱之為QinQ協議。QinQ優點解決日益緊缺的公網VLANID資源問題用戶可以規劃自己的私網VLANID提供一種較為簡單的二層VPN解決方案使用戶網絡具有較高的獨立性5.1.5QinQ什么是QinQ？5.1.5QinQ基于傳統的802.1Q協議的實現方式使用戶的VLAN在骨干網絡上可見，不僅耗費服務提供商寶貴的VLANID資源。需要服務提供商管理用戶的VLAN號，用戶沒有自己規劃VLAN的權利。Trunk

VLAN200-300TrunkVLAN200-300TrunkVLAN200-300SWBSWCISPNetworkTrunkVLAN200-300TrunkVLAN200-300SWA主機ALANASWD主機BLANBInternet5.1.5QinQ基于傳統的802.1Q協議的實現方式Tr5.1.5QinQQinQ實現方式QinQ的核心思想是將用戶私網VLANTag封裝在公網VLANTag中，報文帶著兩層Tag穿越網絡運營商的骨干網絡，從而為用戶提供一種較為簡單的二層VPN隧道。Trunk

VLAN200-300TrunkVLAN200-300QinQ協議接入端口屬于VLAN3SWBSWCISPNetworkTrunkVLAN200-300SWA主機ALANASWD主機BLANBInternetQinQ協議接入端口屬于VLAN35.1.5QinQQinQ實現方式TrunkVLAN25.1.5QinQQinQ封裝結構DASATYPEDATAFCSDATASAFCSTYPETAGDAUntaggedframeTaggedFramePRIVLANID（12b）CFI0x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2BDATA外層TAGSAFCSTYPE內層TAGDAQinQ封裝6B4B2B64-1500B4B4B6B5.1.5QinQQinQ封裝結構DASATYPEDATA5.1.5QinQ數據轉發流程TrunkVLAN200-300SWBSWCISPNetworkTrunkVLAN3SWA主機ALANASWD主機BLANBInternet3200-300

3200-300TrunkVLAN200-300QinQ協議接入端口屬于VLAN3200-300200-300QinQ協議接入端口屬于VLAN35.1.5QinQ數據轉發流程TrunkVLAN2005.1.5QinQ

根據QinQ的具體實現方式，通常分為如下幾類：基于端口的QinQ基于端口的基本QinQ靈活QinQVLANStacking基于流的靈活QinQ基于ACL的靈活QinQPage565.1.5QinQ根據QinQ的具體實現方式，通常5.1.5QinQ基于端口的QinQ配置了此功能的端口，設備會為從此端口進入的報文打上一層VLANID為端口PVID的外層VLANtag。基于端口的QinQ通過配置端口類型為dot1q-tunnel實現。當端口類型為dot1q-tunnel時，該端口加入的VLAN不支持二層組播功能。5.1.5QinQ基于端口的QinQ5.1.5QinQ基于端口QinQ的配置步驟：接口視圖下執行portlink-typedot1q-tunnel命令配置接口類型為dot1q-tunnel。接口視圖下執行portdefaultvlanvlan-id命令配置公網VLANTag的VLAN（即接口的缺省VLAN）。默認情況下，所有接口的默認VLANID為1。5.1.5QinQ基于端口QinQ的配置步驟：5.1.5QinQ基于端口QinQ的配置舉例5.1.5QinQ基于端口QinQ的配置舉例5.1.5QinQ基于端口QinQ的配置舉例[S1]vlan10[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typedot1q-tunnel[S1-GigabitEthernet0/0/2]portdefaultvlan105.1.5QinQ基于端口QinQ的配置舉例5.1.5QinQ基于端口QinQ的配置舉例[S2]vlan10[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan10[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]portlink-typedot1q-tunnel[S2-GigabitEthernet0/0/2]portdefaultvlan105.1.5QinQ基于端口QinQ的配置舉例5.1.5QinQ基于端口QinQ的配置驗證[S1]displayportvlan|includedot1q-tunnelPortLinkType

PVIDTrunkVLANListGigabitEthernet0/0/2dot1q-tunnel

10-5.1.5QinQ基于端口QinQ的配置驗證5.1.5QinQ靈活QinQ

靈活QinQ根據指定條件為入報文加一層S-VLANtag。指定條件：入報文外層VLAN的范圍或VLAN+802.1P。僅指定報文802.1P優先級時，不關注入報文外層VLAN的具體值，只要外層VLAN的802.1P優先級匹配就會打上S-VLANtag。通過在端口配置VLANStacking實現。靈活QinQ優勢：相對基于端口的QinQ，靈活QinQ可以根據入報文的外層VLAN及802.1P來選擇加或不加S-VLANtag，并且S-VLANtag可配置。5.1.5QinQ靈活QinQ5.1.5QinQ靈活QinQ的配置步驟：接口視圖下執行portlink-typehybrid命令配置接口類型為Hybrid。接口視圖下執行porthybriduntaggedvlanvlan-id命令配置接口以Untagged方式加入疊加后的VLAN。疊加后的外層VLAN必須是設備上已經存在的VLAN，疊加前的VLAN可以不創建。接口視圖下執行qinqvlan-translationenable命令使能接口VLAN轉換功能。接口視圖下執行portvlan-stackingvlanvlan-id1[tovlan-id2]stack-vlanvlan-id3命令配置靈活QinQ。5.1.5QinQ靈活QinQ的配置步驟：5.1.5QinQ靈活QinQ的配置舉例5.1.5QinQ靈活QinQ的配置舉例5.1.5QinQ靈活QinQ的配置舉例[S1]vlanbatch1020[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]qinqvlan-translationenable[S1-GigabitEthernet0/0/2]porthybriduntaggedvlan1020[S1-GigabitEthernet0/0/2]portvlan-stackingvlan2stack-vlan10[S1-GigabitEthernet0/0/2]portvlan-stackingvlan3stack-vlan205.1.5QinQ靈活QinQ的配置舉例5.1.5QinQ靈活QinQ的配置舉例[S2]vlanbatch1020[S2]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[S2]interfaceGigabitEthernet0/0/2[S2-GigabitEthernet0/0/2]qinqvlan-translationenable[S2-GigabitEthernet0/0/2]porthybriduntaggedvlan1020[S2-GigabitEthernet0/0/2]portvlan-stackingvlan2stack-vlan10[S2-GigabitEthernet0/0/2]portvlan-stackingvlan3stack-vlan205.1.5QinQ靈活QinQ的配置舉例5.1.5QinQ靈活QinQ的配置驗證[S2]displayvlan10to20U:Up;D:Down;

TG:Tagged;

UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;VIDType

Ports10common

UT:GE0/0/2(U)

TG:GE0/0/1(U)

ST:GE0/0/2(U20common

UT:GE0/0/2(U)

TG:GE0/0/1(U)

ST:GE0/0/2(U)5.1.5QinQ靈活QinQ的配置驗證5.1.5QinQ基于流的靈活QinQ：通過全局配置流分類、流行為，再將流策略綁定流分類和流行為來實現。優勢：相對靈活QinQ，基于流的靈活QinQ還可以根據入報文的內層VLAN的屬性來加S-VLANtag，配置范圍更加靈活。如：內層VLAN、內層VLAN+802.1P、外層VLAN、外層VLAN+802.1P等屬性了解基于流的靈活QinQ需要先掌握QoS知識，此處僅需了解基本概念。5.1.5QinQ基于流的靈活QinQ：通過全局配置流分類選擇題（1）VLAN工作在OSI的哪一層？A.1B.2C.3D.4（2）華為VRP系統中，交換機端口缺省的鏈路類型是什么？A.accessB.dot1q-tunnelC.hybridD.trunk（3）華為VRP系統中，交換機端口鏈路類型包括哪些？A.accessB.dot1q-tunnelC.hybridD.trunk（4）VLAN聚合技術中，Sub-VLAN間通信通過什么技術實現？A.GratuitousARPB.ProxyARPC.InverseARPD.PassiveARP選擇題（5）靈活QinQ也稱為什么？A.VLANMappingB.VLANStackingC.VLANAggregationD.VLANTranslation（6）華為交換機支持基于哪些方式來劃分VLAN？A.接口B.MAC地址C.IP子網D.網絡層協議（7）802.1Q封裝插入以太幀的4個字節包括哪些字段？A.TPIDB.CFIC.PRID.VLANID（8）MUXVLAN的從VLAN包括哪兩種類型？A.SeparateVLANB.IsolateVLANC.GroupVLAND.PrimaryVLAN（5）靈活QinQ也稱為什么？判斷題（1）MUXVLAN中，互通從VLAN的主機可以訪問隔離從VLAN的主機，而隔離從VLAN內的主機之間不能訪問。（）（2）VLAN聚合的Sub-VLAN只包含物理接口，用于隔離廣播域的VLAN，不能建立三層VLANIF接口。（）（3）VLANMapping也叫VLANTranslation，VLAN聚合也叫SuperVLAN。（）（4）VLANMapping實現了骨干網可以傳輸來自用戶網絡的帶有VLANTag的二層報文。（）（5）QinQ在骨干網中傳遞的報文有兩層802.1QTag，一層公網Tag，一層私網Tag。（）（6）基本QinQ又稱為QinQ二層隧道，是基于接口方式實現的。（）（7）靈活QinQ功能可以在接口的入向或者出向配置。（）判斷題隨著VLAN和Trunk技術在交換網絡大大面積部署和使用，出現了很多實用的VLAN擴展技術。本章首先介紹了VLAN和Trunk基礎知識和配置實現，然后詳細介紹了VLAN擴展技術的使用場景、技術原理和配置實現，包括MUXVLAN、VLAN聚合、VLANMapping和QinQ，QinQ技術又介紹了基本QinQ和靈活QinQ兩種技術，并用項目案例演示和驗證利用QinQ技術實現企業網絡互通的配置。隨著VLAN和Trunk技術在交換網絡大大面積部署和使用，出1+X證書網絡系統建設與運維(高級)第05章-VLAN高級特性課件第05章VLAN高級特性第05章VLAN高級特性學習目標掌握VLAN和Trunk基礎知識和配置實現。掌握MUXVLAN應用場景、工作原理和配置實現。掌握VLAN聚合應用場景、工作原理和配置實現。掌握VLANMapping應用場景、工作原理和配置實現。掌握QinQ應用場景、工作原理和配置實現。學習目標掌握VLAN和Trunk基礎知識和配置實現。5.1擴展VLAN技術概述5.1.1VLAN基礎5.1.2MUXVLAN5.1.3VLAN聚合5.1.4VLANMapping5.1.5QinQ1+X證書網絡系統建設與運維(高級)第05章-VLAN高級特性課件5.1擴展VLAN技術概述通過在交換機上配置VLAN，可以實現在同一個VLAN內的用戶可以進行二層互訪，而不同VLAN間的用戶被二層隔離。MUXVLAN（MultiplexVLAN）提供了一種通過VLAN進行網絡資源控制的機制。通過MUXVLAN提供的二層流量隔離的機制可以實現企業內部員工之間互相通信，而企業外來訪客之間的互訪是隔離的。VLAN聚合只在super-VLAN接口上配置IP地址，而不必為每個sub-VLAN分配IP地址。VLANMapping可以實現在用戶VLANID（私有VLAN）和運營商VLANID(業務VLAN,也可以說是公有VLAN)之間相互轉換的一個功能。QinQ是基于802.1Q封裝的隧道協議，其核心思想是在用戶私網VLANtag之外封裝公網VLANtag，報文帶著兩層tag穿越公網，從而為用戶提供一種較為簡單的二層VPN隧道。5.1擴展VLAN技術概述通過在交換機上配置VLAN，可以實5.1擴展VLAN技術概述部署不同路由協議的機構合并不同的網絡使用不同的協議，并且這些網絡需要共享路由信息簡單的網絡可以使用RIP網絡類型復雜的可以選用OSPF大型骨干網絡一般選用ISIS網絡協議的限制比如，使用撥號鏈路連接兩個ISIS網絡，而在撥號鏈路上是不適合運行ISIS協議的需要配置靜態路由，然后把靜態路由引入到ISIS5.1擴展VLAN技術概述部署不同路由協議的機構合并5.1.1VLAN基礎傳統以太網中，隨著主機數量的增加，共享網絡中的沖突會越來越嚴重，交換網絡中的廣播也會越來越多。5.1.1VLAN基礎5.1.1VLAN基礎VLAN技術可以將一個物理局域網在邏輯上劃分成多個廣播域,提高了網絡安全性。VLAN技術部署在數據鏈路層，用于隔離二層流量。同一個VLAN內的主機之間可以直接進行二層通信。LAN間的主機屬于不同的廣播域，不能直接實現二層互通。VLAN1VLAN25.1.1VLAN基礎VLAN技術可以將一個物理局域網在邏5.1.1VLAN基礎VLANIEEE802.1Q幀格式中，VLAN標簽長4個字節，直接添加在以太網幀頭中。通過Tag區分不同VLAN。沒有攜帶Tag的幀攜帶Tag的幀0x8100PRICFIVLANID（12b）2bytes2bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesDMACDataSMACTypeFCS6bytes6bytes2bytes46-1500bytes4bytesTagTPIDTCI4bytes5.1.1VLAN基礎VLANIEEE802.1Q幀格式5.1.1VLAN基礎VLAN鏈路分為兩種類型：Access鏈路和Trunk鏈路。用戶主機和交換機之間的鏈路為接入鏈路，交換機與交換機之間的鏈路為干道鏈路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess5.1.1