VLAN透传配置举例
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录1 介绍
特性简介
特性关键技术点
2 特性使用指南
使用场合
配置指南
配置混合模式桥组
注意事项
3 配置举例
VLAN透传典型应用组网
组网需求
物理连接图
配置步骤
SecPath F100-A VLAN透传组网
组网需求
物理连接图
配置步骤
故障排除
故障排除命令
故障现象举例
4 关键命令
bridge enable
bridge bridge-set enable
bridge vlanid-transparent-transmit enable insulate
5 相关资料
其它相关资料
1 介绍
特性简介
在混合模式下,桥支持VLAN ID透传特性是指:通过对加入桥组的设备出接口配置支持VLAN ID透传,可以使报文从该接口送出时,不对报文的VLAN ID做任何修改。
使能桥出接口VLAN ID透传,则报文从该接口发出时保留报文入桥时的VLAN ID,如果没有VLAN ID不增加VLAN ID。
特性关键技术点
配置了VLAN透传后,防火墙不会对报文的VLAN tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输,保证不同VLAN之间的隔离、同一VLAN 之间的互通。
2 特性使用指南
使用场合
当系统中存在VLAN部署,不同的VLAN之间需要进行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。
配置指南
混合模式下桥接功能的配置步骤分为以下几步:
使能桥组功能
使能一个桥组。
将接口加入到桥组中
使能桥组下接口的VLAN透传功能
2.2.1 配置混合模式桥组
注意事项
当配置VLAN透传功能时,需要注意以下事项:
子接口不支持VLAN透传。
F100A设备的四个LAN接口需要执行undo insulate命令聚合成一个接口才能使用VLAN透传功能。
VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,如果希望SecPath 防火墙与交换机的管理VLAN 互通,需要借助子接口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。
3 配置举例
VLAN透传典型应用组网
3.1.1 组网需求
客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,客户端PC,M 属于VLAN99,用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。交换机Switch1和Switch2的管理VLAN为VLAN99。
要求VLAN100和VLAN200能够互相隔离,交换机可以通过管理VLAN99与防火墙互通。
3.1.2 物理连接图
图1 VLAN透传组网图
3.1.3 配置步骤
1. 使用的版本
Comware software, Version , ESS 1622
2. 支持产品
SecPath F1000-A/F1000-S/F100-E/F100-A
3. 配置防火墙
当前视图配置命令简单说明
[H3C]firewall packet-filter
default permit
防火墙包过滤默
认改为允许
[H3C]bridge enable使能桥组功能[H3C]bridge 1 enable创建桥组1 [H3C]bridge 99 enable创建桥组99
[H3C]interface Bridge-template 99创建桥组虚接口BVI99
[H3C-Bridge-template99] i p address 配置管理地址[H3C-Bridge-template99]quit退回系统视图
[H3C]interface GigabitEthernet
0/0
进入连接g0/0的
接口视图
[H3C-GigabitEthernet0/0]bridge-set 1将接口g0/0加入到桥组1
[H3C-GigabitEthernet0/0]bridge
vlanid-transparent-transmit
enable
使能接口VLAN透
传
[H3C-GigabitEthernet0/0]interface GigabitEthernet
0/1
进入连接g0/1的
接口视图
[H3C-GigabitEthernet0/1]bridge-set 1将接口g0/1加入
4. 验证结果
(1)连通测试
同在VLAN100下的A和C能够透过防火墙连通,同样在VLAN200下的B和D也能透过防火墙连通。不同VLAN之间不能互通。
(2)管理操作
通过客户端M可以ping通Switch1、Switch2的管理VLAN地址和SecPath F1000-A 的BVI99接口地址,并且可以进行管理。M无法与A、B、C、D互通。
(3)在Switch2进行端口镜像,抓包测试
从A向C进行ping包测试,发现tag标记没有改变
图2 A Ping C的抓包测试
从B向D进行ping包测试,发现tag标记没有改变