华为VLAN业务指导书.doc

资料编码产品名称SmartAX S3026V使用对象工程师/合作方工程师/用户产品版本V100R001B03D008编写部门固网技术支持部资料版本V1.0VLAN业务指导书拟 制：陈刚日 期：2002-07-05审 核：赵峰日 期：2005-03-08审 核：日 期：批 准：任远日 期：2005-03-08华 为 技 术 有 限 公 司版权所有 侵权必究华为机密，未经许可不得扩散VLAN业务指导书文档密级：内部公开修订记录日期修订版本描述作者2002-07-05V1.0初稿完成陈刚目 录第1章 VLAN业务指导书11.1 综述11.2 S3026V B03版本的VLAN实现11.2.1 vlan trunk11.2.2 pvlan21.2.3 tag vlan21.2.4 access mode trunk mode21.2.5 PVID21.2.6 vlan广播域31.3 功能实现详解31.3.1 vlan使能和禁止31.3.2 基本vlan功能31.3.3 vlan trunk41.3.4 PVLAN41.3.5 vlan tag4关键词：S3026V VLAN 端口摘 要：本文详细介绍了VLAN在S3026V V100R001B03D008版本中的实现原理，是工程师、用户了解S3026V VLAN业务的基础知识。缩略语清单：参考资料清单：第1章 VLAN业务指导书1.1 综述备。由于vlan部分合入了一些新的特性，在配置和理解方面较以前也有一定的改变，下面就对这一些新特性进行一些简单的描述，使大家对S3026V的vlan功能有一个全面的了解，相信对理解采用相同平台的其它lanswitch设备也会有帮助。S3026V在B03版本以前使用的不是VRP平台，对于VLAN的处理与2403、3526等设备有所不同，表现在：设置为vlan tagged的端口在发送含有vlan tag的报文时，如果此vlan tag与该端口的vlan相同，2403、3526等设备会将此vlan tag去掉，从而发出去的报文与非vlan tagged端口发出去的报文是相同的，但在S3026V上不会进行这个操作，而是直接转发，这样发出去的报文是带有vlan tag的。现在的S3026V从B03版本开始采用了VRP 3.0平台，在上面的这个问题的处理上与2403、3526类似，但由于引入了vlan trunk的概念，在VLAN处理上还有所变化，在下面详述。1.2 S3026V B03版本的VLAN实现几个基本功能和概念1.2.1 vlan trunkvlan trunk就是VLAN干线，就是在一条物理线路上同时通过多个VLAN，这在以前的很多交换机都支持的，只是提法有些不同而已。这和port trunk概念有些相似，只不过port trunk是将多个端口聚合成一个，但vlan trunk是在一个端口上“聚合”多个vlan。设置为vlan trunk的端口通常发出的报文是含有vlan tag的，类似于vlan tagged的端口。1.2.2 pvlanPVLAN（primary-vlan）的功能是实现用户的二层隔离，这种方式优点是配置比较简单而且对于上层的交换机来说还可以节省VLAN数。PVLAN采用二层vlan的结构，在一台以太网交换机上存在多个primary-vlan和多个secondary vlan。提供灵活的配置方式，用户可以采用PVLAN实现二层报文的隔离，为每个用户分配一个secondary vlan，每个vlan中只包含该用户连接的端口和上行端口(实际在配置上vlan只能看到该用户连接的端口)；如果希望实现用户之间二层报文的互通，可以将用户连接的端口从PVLAN中删除，这些端口就自动划入默认vlan中，当然也可以再划分到别的VLAN中去。PVLAN功能本身不能发送带vlan tag的报文，也就是说，即使启用了PVLAN功能，primary vlan的端口发出去的报文也都是不带vlan tag的普通以太网报文。在有PVLAN的端口也可以发送tagged报文，这就需要使用tag vlan功能。1.2.3 tag vlan这是在B03D008版本新增加的功能。这个功能的初衷是在使用PVLAN时也可以发送带vlan tag的报文，通常用在primary vlan端口上，当然这个tag不能和primary vlan相同。通过在端口上配置tag vlan可以使端口通过某个vlan的报文，并且发出去的报文是带有原来的vlan tag的。通过这个功能可以使一个端口发出去的报文既有带vlan tag的也有不带vlan tag的。1.2.4 access mode trunk modeaccess mode是与trunk mode对应的一种端口的vlan模式。在启用vlan的情况下，端口的vlan方式只能是access mode或trunk mode。当所有端口都工作在access mode的时候可以使用PVLAN功能。1.2.5 PVIDPVID即port vlan ID，指端口的vlan ID。当端口处于不同的vlan模式时，端口的这个参数的意义与起到的作用也不尽相同。对于access mode，端口的PVID与端口所属vlan的 ID 一致，所有这个vlan的广播报文都会向该端口转发；对于trunk mode下PVID和端口实际所属的vlan没有任何关系。端口收到的vlan untagged报文都会被端口打上PVID，做为在交换机内转发时的vlan依据，这也是PVID的一个主要功能。报文在交换机内转发时都会带着vlan tag，收到的vlan tagged报文则不会被改变报文的vlan ID。报文从vlan untagged的端口发出去时vlan tag会被去掉。1.2.6 vlan广播域从底层实现来讲，vlan包括PVID和vlan广播域两部分。前者是属于端口的，后者与通常所讲的vlan概念比较接近。顾名思义，vlan广播域就是vlan的广播范围，某个vlan的报文只会在其广播域内转发。一个端口只能有一个PVID，所以收到的vlan untagged报文只会属于一个vlan；但可以属于多个vlan的广播域，这也是在二层上做vlan隔离时能够共享某些端口的基础。一个端口收到的报文是否会被转发，取决于报文所属vlan（即报文中的vlan tag值，无论它是报文自带的或是被端口加上的）的广播域是否包括了这个端口。如果收到报文的端口没有被包括在报文所属vlan的广播域中，这个报文就不会被转发。1.3 功能实现详解1.3.1 vlan使能和禁止在全局配置模式下通过vlan enable/disable命令可以使能/禁止vlan，交换机缺省是vlan使能的。禁止vlan功能后，交换机就类似于一个网桥，任何与vlan有关的配置都不起作用，也不能再作VLAN配置。下面的所有描述都是在vlan使能的前提下进行的。1.3.2 基本vlan功能通过给各个端口划分不同的vlan可以实现各端口的二层隔离。在S3026V上由于硬件的限制，最多可以划分32个vlan，vlan ID可以从14000。前面已经讲过端口有两种vlan模式，access mode和trunk mode。端口缺省是access mode。可以通过两种方法修改端口所属vlan，见下：在vlan配置模式下增加、删除端口增加端口：Quidway(config-vlan3)#switchport vdsl 0/4删除端口：Quidway(config-vlan3)#no switchport vdsl 0/4在vlan配置模式下增加端口会使这个端口属于且仅属于这个vlan，删除端口后，这个端口的所属vlan会恢复缺省值，即vlan 1。在端口配置模式下修改access vlan，这只能对vlan trunk端口操作Quidway(config-Vdsl0/4)#switchport access vlan 3不能直接修改端口的vlan为vlan 1，只能通过取消其当前所属vlan（如果不是vlan 1的话）的方法来实现，比如下面这条命令：Quidway(config-Vdsl0/4)#no switchport access vlan 31.3.3 vlan trunkvlan trunk是所有vlan功能中相当重要的一个，不过从B03D008版本开始可以通过其它功能进行替代，但vlan trunk在很多情况下还是最简单、最直接一个方法。vlan trunk尽管是由CISCO提出来，但是现在在很多交换机上都实现了这个功能。设置端口的vlan trunk是设置端口允许多个vlan的报文通过，并且这些报文发出去后通常都是带有vlan tag的。在 trunk mode时，端口的PVID与端口能够转发哪些vlan的报文没有任何关系，PVID可以是14000的任意值，其所代表的vlan可以不存在。假设端口2工作在trunk mode，端口2的PVID为2，但是没有设置端口2允许vlan 2通过（使用命令switchport trunk allow vlan 2），所有vlan 2的报文就不会向端口2转发，端口2也不会转发任何vlan 2的报文。在端口2上只有设置了trunk的vlan的报文才能通过（如：执行命令switchport trunk allow vlan 5，则vlan 5的报文就可以通过），如果由端口2收到一个untagged的报文，该报文会被端口2加上vlan ID为2（与PVID相同）的报文，但并不会被转发到vlan 2去，因为端口2不属于vlan 2，这个报文实际上被丢掉了。需要特别注意的是vlan 1是缺省vlan，所有trunk mode的端口都是可以无条件通过vlan 1的报文的。还有一点需要注意。工作在trunk mode的端口，如果发送的报文的vlan ID与该端口的PVID相同，则端口会把报文中的vlan tag删除，这样发出去的报文是不带vlan tag的，即untagged报文，这点与B02版本不同。通过命令switchport trunk allow vlan vlan_id可以设置端口允许哪些vlan的报文通过，实际上就是把这个端口划到这些vlan里去了。vlan trunk功能可以在二层上实现多个vlan的报文通过一个端口，但是这个“共享”的端口发出的报文通常是vlan tagged的，这样在使用时有一定的限制（因为一般的终端设备是不能识别vlan tagged的报文的），所以又提出了新的vlan实现方法PVLAN。1.3.4 PVLANPVLAN是vlan trunk的一个补充，它和vlan trunk不能共存，无论任何端口处于vlan trunk mode，整个S3026V都不能配置PVLAN。PVLAN方式下所有端口都是工作在vlan access mode。PVLAN方式下vlan有两种类型：primary 和 secondary。缺省情况下的vlan都是secondary vlan，可以将其配置为primary vlan。PVLAN实际上就是通过将几个secondary vlan和一个primary vlan相关联，从而使secondary vlan之间是相互隔离，但secondary vlan和primary vlan之间可以互通，相当于各secondary vlan的端口共享primary vlan的端口。由于所有的端口都是工作在vlan access mode，所以即使是共享的端口发出的报文也是untagged的，这就解决了在vlan trunk方式下vlan trunk mode的端口发出的报文一般终端设备不能识别的问题。一台设备上可以配置多个primary vlan，也可以配置多个pvlan mapping，但相互之间不能有交叉，即一个secondary vlan不能同时关联到两个primary vlan上。PVLAN实现了在二层上的端口隔离以及untagged vlan端口共享关联的过程：将primary vlan和secondary vlan的端口相互添加到对方的vlan广播域中去，这个过程并不改变端口的PVID。如：primary vlan:vlan 2: port 2、3、4 secondary vlan:vlan 3: port 5、6vlan 4: port 7、8经过映射后的vlan与端口关系：vlan 2: port 2、3、4、5、6、7、8vlan 3: port 2、3、4、5、6vlan 4: port 2、3、4、7、8在下面配置的例子中，假设相关端口均工作在缺省的vlan access mode，且vlan 1只包括两 个上行口。配置后实现了几个下行口相互隔离，但均可以和两个上行口互通。设置相关的端口为vlan access mode，并做vlan隔离。Quidway(config)#vlan 2Quidway(config-vlan2)#switchport vdsl 0/2Quidway(config-vlan2)#vlan 3Quidway(config-vlan3)#switchport vdsl 0/3配置某个vlan为primary vlanQuidway(config-vlan3)#vlan 1Quidway(config-vlan1)#pvlan-type primary Quidway(config-vlan1)#exit配置pvlan mapping，将primary vlan和secondary vlan相关联Quidway(config)#pvlan mapping primary 1 secondary 2 to 3查询pvlan-mapping可以看到PVLAN的实现情况。Quidway(config)#show pvlan-mapping Primary Vlan ID : 1 Ports in Primary Vlan :Ethernet1/1 Ethernet2/1Secondary Vlan ID :2-31.3.5 vlan tagvlan tag本来是对PVLAN的一个补充，其设计初衷是为是在PVLAN方式下可以让原来只能发送untagged报文的端口发送vlan tagged报文，实际上如果不做pvlan mapping也可以使用vlan tag，这就给vla