上一篇
下一篇
VLAN-VPN典型配置举例
作者:admin 日期:2008-09-25
利用VLAN-VPN功能实现用户报文在公网中的隧道传输
1. 组网需求
如图1-4所示,Switch A和Switch B为S3900交换机,通过公共网络将用户的工作站与服务器相连。
l 用户的PC工作站和服务器划分在私有VLAN100,终端工作站和服务器划分在私有VLAN200。现要求运营商利用公共网络的VLAN1040,使用户网络之间通过VPN方式进行连接。
l 公共网络中使用其他厂商的设备,TPID值为0x9200。
l 要求配置Switch A和Switch B的VLAN-VPN功能,使用户的PC工作站/服务器和终端工作站/服务器能通过VPN连接,并进行正常通信。
2. 组网图
图1-4 VLAN-VPN典型配置举例组网图
3. 配置步骤
l 配置Switch A
# 配置SwitchA的端口Ethernet1/0/11为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag,并配置外层Tag中的TPID值为0x9200。
<SwitchA> system-view
[SwitchA] vlan 1040
[SwitchA-vlan1040] port Ethernet 1/0/11
[SwitchA-vlan1040] quit
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] vlan-vpn enable
[SwitchA-Ethernet1/0/11] vlan-vpn tpid 9200
[SwitchA-Ethernet1/0/11] quit
# 配置端口Ethernet1/0/12的端口类型为Trunk,允许VLAN 1040的报文通过。
[SwitchA] interface Ethernet1/0/12
[SwitchA-Ethernet1/0/12] port link-type trunk
[SwitchA-Ethernet1/0/12] port trunk permit vlan 1040
# 配置端口Ethernet1/0/12的TPID值为0x9200,使该端口可以正常识别公网报文中的外层VLAN Tag。
[SwitchA-Ethernet1/0/12] vlan-vpn tpid 9200
l 配置Switch B
# 配置SwitchB的端口Ethernet1/0/21为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag,并配置外层Tag中的TPID值为0x9200。
<SwitchB> system-view
[SwitchB] vlan 1040
[SwitchB-vlan1040] port Ethernet 1/0/21
[SwitchB-vlan1040] quit
[SwitchB] interface Ethernet 1/0/21
[SwitchB-Ethernet1/0/21] vlan-vpn enable
[SwitchB-Ethernet1/0/21] vlan-vpn tpid 9200
[SwitchB-Ethernet1/0/21] quit
# 配置端口Ethernet1/0/22的端口类型为Trunk,允许VLAN 1040的报文通过。
[SwitchB] interface Ethernet 1/0/22
[SwitchB-Ethernet1/0/22] port link-type trunk
[SwitchB-Ethernet1/0/22] port trunk permit vlan 1040
# 配置端口Ethernet1/0/22的TPID值为0x9200,使该端口可以正常识别公网报文中的外层VLAN Tag。
[SwitchA-Ethernet1/0/22] vlan-vpn tpid 9200
& 说明:
l 请勿配置VLAN1040为SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口的缺省VLAN,以免外层Tag在发送时被去除。
l 此例中介绍了在SwitchA的Ethernet1/0/11端口和SwitchB的Ethernet1/0/21端口均为Access端口时的配置。当两个端口为Trunk和Hybrid端口时,请通过命令配置这两个端口的缺省VLAN为1040,且在发送VLAN1040的报文时去除外层Tag
配置公共网络设备
# 由于公共网络使用的设备可能来自于其他厂商,这里只介绍基本原理。配置公共网络中与SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口连接的设备,使其相应的端口允许VLAN1040的报文携带VLAN Tag进行发送即可。
4. 数据报文传输过程
报文从SwitchA转发至SwitchB的过程如下:
(1) 来自用户私网侧的报文进入SwitchA的端口Ethernet1/0/11后,由于此端口为VLAN-VPN端口,在用户私有VLAN100和VLAN200的报文外层封装端口缺省的VLAN Tag(VLAN ID为1040),同时将外层Tag中的TPID修改为0x9200。
(2) 报文通过端口Ethernet1/0/12发送到公网网络,发送时保留外层VLAN Tag。
(3) 公共网络中的设备将报文发送到SwitchB的Ethernet1/0/22端口。
(4) SwitchB接收报文后,转发至Ethernet1/0/21端口,由于该端口是Access端口,因此在转发时会去除外层VLAN1040的VLAN Tag,从而将报文恢复为带有用户私有VLAN Tag的报文,并转发到相应的用户网络。
(5) 反方向的转发过程相同。
1. 组网需求
如图1-4所示,Switch A和Switch B为S3900交换机,通过公共网络将用户的工作站与服务器相连。
l 用户的PC工作站和服务器划分在私有VLAN100,终端工作站和服务器划分在私有VLAN200。现要求运营商利用公共网络的VLAN1040,使用户网络之间通过VPN方式进行连接。
l 公共网络中使用其他厂商的设备,TPID值为0x9200。
l 要求配置Switch A和Switch B的VLAN-VPN功能,使用户的PC工作站/服务器和终端工作站/服务器能通过VPN连接,并进行正常通信。
2. 组网图
图1-4 VLAN-VPN典型配置举例组网图
3. 配置步骤
l 配置Switch A
# 配置SwitchA的端口Ethernet1/0/11为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag,并配置外层Tag中的TPID值为0x9200。
<SwitchA> system-view
[SwitchA] vlan 1040
[SwitchA-vlan1040] port Ethernet 1/0/11
[SwitchA-vlan1040] quit
[SwitchA] interface Ethernet 1/0/11
[SwitchA-Ethernet1/0/11] vlan-vpn enable
[SwitchA-Ethernet1/0/11] vlan-vpn tpid 9200
[SwitchA-Ethernet1/0/11] quit
# 配置端口Ethernet1/0/12的端口类型为Trunk,允许VLAN 1040的报文通过。
[SwitchA] interface Ethernet1/0/12
[SwitchA-Ethernet1/0/12] port link-type trunk
[SwitchA-Ethernet1/0/12] port trunk permit vlan 1040
# 配置端口Ethernet1/0/12的TPID值为0x9200,使该端口可以正常识别公网报文中的外层VLAN Tag。
[SwitchA-Ethernet1/0/12] vlan-vpn tpid 9200
l 配置Switch B
# 配置SwitchB的端口Ethernet1/0/21为VLAN-VPN端口,为进入该端口的报文封装VLAN1040的外层VLAN Tag,并配置外层Tag中的TPID值为0x9200。
<SwitchB> system-view
[SwitchB] vlan 1040
[SwitchB-vlan1040] port Ethernet 1/0/21
[SwitchB-vlan1040] quit
[SwitchB] interface Ethernet 1/0/21
[SwitchB-Ethernet1/0/21] vlan-vpn enable
[SwitchB-Ethernet1/0/21] vlan-vpn tpid 9200
[SwitchB-Ethernet1/0/21] quit
# 配置端口Ethernet1/0/22的端口类型为Trunk,允许VLAN 1040的报文通过。
[SwitchB] interface Ethernet 1/0/22
[SwitchB-Ethernet1/0/22] port link-type trunk
[SwitchB-Ethernet1/0/22] port trunk permit vlan 1040
# 配置端口Ethernet1/0/22的TPID值为0x9200,使该端口可以正常识别公网报文中的外层VLAN Tag。
[SwitchA-Ethernet1/0/22] vlan-vpn tpid 9200
& 说明:
l 请勿配置VLAN1040为SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口的缺省VLAN,以免外层Tag在发送时被去除。
l 此例中介绍了在SwitchA的Ethernet1/0/11端口和SwitchB的Ethernet1/0/21端口均为Access端口时的配置。当两个端口为Trunk和Hybrid端口时,请通过命令配置这两个端口的缺省VLAN为1040,且在发送VLAN1040的报文时去除外层Tag
配置公共网络设备
# 由于公共网络使用的设备可能来自于其他厂商,这里只介绍基本原理。配置公共网络中与SwitchA的Ethernet1/0/12端口和SwitchB的Ethernet1/0/22端口连接的设备,使其相应的端口允许VLAN1040的报文携带VLAN Tag进行发送即可。
4. 数据报文传输过程
报文从SwitchA转发至SwitchB的过程如下:
(1) 来自用户私网侧的报文进入SwitchA的端口Ethernet1/0/11后,由于此端口为VLAN-VPN端口,在用户私有VLAN100和VLAN200的报文外层封装端口缺省的VLAN Tag(VLAN ID为1040),同时将外层Tag中的TPID修改为0x9200。
(2) 报文通过端口Ethernet1/0/12发送到公网网络,发送时保留外层VLAN Tag。
(3) 公共网络中的设备将报文发送到SwitchB的Ethernet1/0/22端口。
(4) SwitchB接收报文后,转发至Ethernet1/0/21端口,由于该端口是Access端口,因此在转发时会去除外层VLAN1040的VLAN Tag,从而将报文恢复为带有用户私有VLAN Tag的报文,并转发到相应的用户网络。
(5) 反方向的转发过程相同。
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: -
发表评论