当前位置:文档之家 › VLAN透传配置举例

VLAN透传配置举例

  • 格式:doc
  • 大小:134.50 KB
  • 文档页数:18

下载文档原格式

  / 18
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

目录1 介绍

特性简介

特性关键技术点

2 特性使用指南

使用场合

配置指南

配置混合模式桥组

注意事项

3 配置举例

VLAN透传典型应用组网

组网需求

物理连接图

配置步骤

SecPath F100-A VLAN透传组网

组网需求

物理连接图

配置步骤

故障排除

故障排除命令

故障现象举例

4 关键命令

bridge enable

bridge bridge-set enable

bridge vlanid-transparent-transmit enable insulate

5 相关资料

其它相关资料

1 介绍

特性简介

在混合模式下,桥支持VLAN ID透传特性是指:通过对加入桥组的设备出接口配置支持VLAN ID透传,可以使报文从该接口送出时,不对报文的VLAN ID做任何修改。

使能桥出接口VLAN ID透传,则报文从该接口发出时保留报文入桥时的VLAN ID,如果没有VLAN ID不增加VLAN ID。

特性关键技术点

配置了VLAN透传后,防火墙不会对报文的VLAN tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输,保证不同VLAN之间的隔离、同一VLAN 之间的互通。

2 特性使用指南

使用场合

当系统中存在VLAN部署,不同的VLAN之间需要进行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。

配置指南

混合模式下桥接功能的配置步骤分为以下几步:

使能桥组功能

使能一个桥组。

将接口加入到桥组中

使能桥组下接口的VLAN透传功能

2.2.1 配置混合模式桥组

注意事项

当配置VLAN透传功能时,需要注意以下事项:

子接口不支持VLAN透传。

F100A设备的四个LAN接口需要执行undo insulate命令聚合成一个接口才能使用VLAN透传功能。

VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,如果希望SecPath 防火墙与交换机的管理VLAN 互通,需要借助子接口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

3 配置举例

VLAN透传典型应用组网

3.1.1 组网需求

客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,客户端PC,M 属于VLAN99,用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。交换机Switch1和Switch2的管理VLAN为VLAN99。

要求VLAN100和VLAN200能够互相隔离,交换机可以通过管理VLAN99与防火墙互通。

3.1.2 物理连接图

图1 VLAN透传组网图

3.1.3 配置步骤

1. 使用的版本

Comware software, Version , ESS 1622

2. 支持产品

SecPath F1000-A/F1000-S/F100-E/F100-A

3. 配置防火墙

当前视图配置命令简单说明

[H3C]firewall packet-filter

default permit

防火墙包过滤默

认改为允许

[H3C]bridge enable使能桥组功能[H3C]bridge 1 enable创建桥组1 [H3C]bridge 99 enable创建桥组99

[H3C]interface Bridge-template 99创建桥组虚接口BVI99

[H3C-Bridge-template99] i p address 配置管理地址[H3C-Bridge-template99]quit退回系统视图

[H3C]interface GigabitEthernet

0/0

进入连接g0/0的

接口视图

[H3C-GigabitEthernet0/0]bridge-set 1将接口g0/0加入到桥组1

[H3C-GigabitEthernet0/0]bridge

vlanid-transparent-transmit

enable

使能接口VLAN透

[H3C-GigabitEthernet0/0]interface GigabitEthernet

0/1

进入连接g0/1的

接口视图

[H3C-GigabitEthernet0/1]bridge-set 1将接口g0/1加入

4. 验证结果

(1)连通测试

同在VLAN100下的A和C能够透过防火墙连通,同样在VLAN200下的B和D也能透过防火墙连通。不同VLAN之间不能互通。

(2)管理操作

通过客户端M可以ping通Switch1、Switch2的管理VLAN地址和SecPath F1000-A 的BVI99接口地址,并且可以进行管理。M无法与A、B、C、D互通。

(3)在Switch2进行端口镜像,抓包测试

从A向C进行ping包测试,发现tag标记没有改变

图2 A Ping C的抓包测试

从B向D进行ping包测试,发现tag标记没有改变

相关主题