第04章 802.1Q配置.doc

第4章 802.1Q配置本章主要描述如何配置迈普系列路由器通过以太口把划分了VLAN（Virtual LAN）的局域网连接到外网上，并保持局域网内VLAN设置的功能。本章主要内容：l 802.1Q协议简介l 802.1Q配置原理l 802.1Q配置命令l 802.1Q配置实例4.1 802.1Q协议简介802.1Q标准定义了交换式以太网的关键技术VLAN（Virtual LAN）的原理以及如何实现。VLAN用于实现数据链路层上广播域的隔离，以及更为方便、有效地对交换式以太网进行扩展和管理。支持8021Q标准的路由器主要是用作单臂路由器与交换机连接来解决VLAN之间的通信，以及在数据链路层上对广播域进行隔离。 DA SA Type Data CRC标准以太网帧格式 DA SATag Type Data CRC0x8100PriorityCFIVLAN ID IEEE 802.1Q标准帧格式字段解释：DA：目的MAC地址SA：源MAC地址Type：协议类型Data：帧中所携带的用户数据CRC：校验和CFI: 规范格式指示符Priority：用户优先级VLAN ID：用来表示一个VLAN的ID号与标准的以太网帧相比，802.1Q协议加入了Tag字段，加入Tag的目的是为了携带VLAN的信息，表明这个数据帧属于哪个VLAN，以确定数据帧的属性。4.2 802.1Q配置原理802.1Q协议将网络中的设备都加上VLAN ID号，VLAN的隔离的原理是802.1Q数据帧中Tag字段中的VLAN ID值相同的设备可以互相通信，不是相同VLAN ID的设备不能互相通信（如果不包含在同一VLAN组中）。本节主要内容：l 配置VLAN的作用l 单臂路由l 子网隔离4.2.1 配置VLAN的作用支持802.1Q的以太网中，可以将以太网划分成多个子网，每个子网对应一个VLAN（如图41）。数据帧流过交换机时，按照802.1Q标准定义的帧格式重新进行了封装，增加了一个称之为VLAN 标签（Tag）的内容，在标签中对此帧所属于的VLAN进行了描述。当路由器的以太口接收到此数据帧时，根据所携带的标签来判断这个数据帧应该属于哪个VLAN，并与接收接口所对应的VLAN进行比较。如果接收接口和数据帧属于同一个VLAN，接口则接收此帧，否则将此帧丢弃。同样，路由器在发送数据帧时，也按照802.1Q标准帧格式封装一个标签，这个标签中指明的VLAN与发送接口所对应的VLAN相同。因此，通过VLAN这种方式在数据链路层上实现了数据帧的隔离，也就是说，在数据链路层上，同一个VLAN中的设备可以任意通信，不同VLAN间不能通信。如果VLAN间需要通信，则必须经过三层路由，这个功能由路由器来完成。4.2.2 单臂路由为了实现VLAN之间的路由，最为简单的方法是在路由器和交换机之间使用多个连接，即一个路由器以太口和交换机的一个端口连接，代表一个VLAN，这样做很简单，但没有有效地利用路由器的接口，所以不是一个理想情况。通过单臂路由来充分利用路由器的接口。通过下图来解释什么是单臂路由。交换机被配置成两个VLAN：VLAN1和VLAN2。端口8配置为一个中继端口，也就是说端口8属于VLAN 1和VLAN 2。在路由器的一个快速以太口上配置两个子接口，每个子接口被配置到一个独立的IP子网上，并为每个子接口封装一个VLAN ID，分别对应VLAN 1和VLAN 2。图4-1 单臂路由因此，交换机中VLAN 1或VLAN 2的数据流可以通过中继端口8到达路由器子接口f0.1或f0.2，通过两个子接口实现两个VLAN之间的路由。因为路由器只有一个物理接口同一个交换机端口相连接，所以这种路由器有一种别名：单臂路由器。4.2.3 网隔离缺省情况下，只要配置了两个子接口以及它们相应的VLAN，这两个VLAN之间便可以通过路由实现相互间的通信。但是在某些应用场合下，我们不希望VLAN之间相互通信。解决的方法是在上面单臂路由的配置基础上，再创建访问列表，来过滤两个VLAN间的通信，并且将访问列表应用到VLAN的相应子接口上。4.3 802.1Q配置命令在迈普系列路由器上只有以太口的子接口（11023）可以封装802.1Q协议，每个子接口可以任意配置VLAN ID号（14094）。在迈普路由器上使用802.1Q协议基本配置命令描述如下：命令描述配置模式interface fastethernet|gigaethernet interface unit number.sub-unit number*创建快速以太接口或千兆以太接口的子接口configencapsulation dot1q vlan id native*设置封装为802.1Q协议，并配置该接口的VLAN ID（native：将配置的VLAN设定为Native VLAN）config-if-Shutdown关闭该子接口config-if-no shutdown重新启用该子接口config-if-ip address unicast address network mask*设置子接口网络地址和掩码config-if-ip access-group IP access list | Access-list name in | out*在此子接口上应用访问列表config-if-& 注：1、命令描述前带“*”符号的表示该命令有配置实例详细说明。2、配置模式指可以执行该配置命令的模式，如：config、config-if-（接口名）、config-（协议名称）等。详细配置命令如下：n interface fastethernet|gigaethernet为了能够封装802.1Q协议,首先需要创建以太口子接口，使用该命令;否则使用该命令的no格式来禁止。interface fastethernet|gigaethernet 0.?no interface fastethernet|gigaethernet 0.?命令描述0-1023子接口号【缺省情况】 未定义& 注：fastethernet0.0和gigaethernet0.0为主口，不能封装802.1Q协议。子接口最多可以有1023个(在2600中最多可以有63个)。n encapsulation dot1q为了封装接口为802.1Q协议,使用该命令；否则使用shutdown来关闭此接口。若需要重新启动此接口，使用no shutdown命令。encapsulation dot1q vlan idnativeshutdownno shutdown命令描述encapsulation dot1q vlan id native在接口上封装802.1Q协议，并配置该接口的VLAN ID（native含义：将配置的VLAN设定为Native VLAN）Shutdown关闭此接口no shutdown重新启用此接口【缺省情况】 未定义& 注：子接口只能封装802.1Q协议，并且在创建子接口时并没有封装802.1Q协议，需要用户设置VLAN ID。VLAN ID只能为14094。n ip为了ip层可以使用802.1Q协议,使用这两条命令;否则使用这两条命令的no格式来禁止。其中,ip address命令用来配置接口的ip地址和掩码;而ip access-group用来配置应用访问列表。ip address unicast address network maskno ip address unicast address network maskip access-group IP access list | Access-list name in | outno ip access-group IP access list | Access-list name in | out命令描述address unicast address network mask在子接口上配置此接口的IP地址和掩码access-group IP access list | Access-list name in | out在此子接口上应用访问列表【缺省情况】 未定义& 注：子接口上配置的IP地址要与局域网中其它同一VLAN设备的IP地址在同一网段。要使用单臂路由功能，还要禁止某些设备之间的通讯，就要在此子接口上应用访问列表。4.4 802.1Q配置实例本节主要内容：单臂路由器的典型应用子网隔离的典型应用配置信息及统计信息4.4.1 单臂路由器的典型应用图42单臂路由示例& 图解：在本配置图例中，Router MP2600的fastethernet接口与MP5124A的中继口相连，配置了两个以太口的子接口分别为fastethernet0.1和fastethernet0.2，VLAN ID分别为1和2。MP5124A上设置了两个VLAN，VLAN ID为1的接口与左边的三台pc机相连，VLAN ID为2的接口与右边的三台pc机相连，中继端口包含了两VLAN组。VLAN ID为1的VLAN组中的pc在1.1.1.0/24网段，VLAN ID为2的VLAN组中的pc在1.1.2.0/24网段，从而可以实现两个VLAN间的通信。n 参数配置：（省略交换机的配置）fastethernet0.1接口的配置:命令描述router（config）#interface fastethernet0.1在路由器上创建fastethernet0.1子接口router(config-if-fastethernet0.1)#encapsulation dot1q 1设置fastethernet0.1的VLAN ID号为1router (config-if-fastethernet0.1)#ip address 1.1.1.4 255.255.255.0设置fastethernet0.1的IP地址为1.1.1.4，24位子网掩码fastethernet0.2接口的配置:命令描述router（config）#interface fastethernet0.2在路由器上创建fastethernet0.2子接口router(config-if-fastethernet0.2)#encapsulation dot1q 2设置fastethernet0.2的VLAN ID号为2router (config-if-fastethernet0.2)#ip address 1.1.2.4 255.255.255.0设置fastethernet0.2的IP地址为1.1.2.4，24位子网掩码& 注：VLAN 1中的PC机的默认网关要设置为mp2600路由器fastethernet0.1的IP地址（1.1.1.4），VLAN 2中的PC机的默认网关要设置为mp2600路由器fastethernet0.2的IP地址（1.1.2.4）。n 配置结果：router#show runBuilding Configuration.donehostname routerno service password-encryptno service enhanced-secureinterface loopback0exitinterface fastethernet0exitinterface fastethernet0.1ip address 1.1.1.4 255.255.255.0encapsulation dot1q 1exitinterface fastethernet0.2ip address 1.1.2.4 255.255.255.0encapsulation dot1q 2exit4.4.2 子网隔离的典型应用图43子网隔离示例& 图解：在本配置图例中，Router MP2600的fastethernet接口与MP5124A的中继口相连，配置了两个以太口的子接口分别为fastethernet0.1和fastethernet0.2，VLAN ID分别为1和2。MP2600用广域口通过TCP/IP网络与上端的两台服务器（server1和server2）相连。MP2600路由器增加两个访问列表，用于禁止VLAN 1和VLAN 2之间的互相访问。VLAN 1和VLAN 2分别是两种不同的业务，它们通过路由器的广域网口访问自己的业务服务器，但它们之间不允许相互通信。MP5124A上设置了两个VLAN，VLAN ID为1的的接口与左边的三台pc机相连，VLAN ID为2的接口与右边的三台pc机相连，中继端口包含了两VLAN组。VLAN ID为1的VLAN组中的pc在1.1.1.0/24网段，VLAN ID为2的VLAN组中的pc在1.1.2.0/24网段。n 参数配置：（省略交换机的配置）访问列表的配置:命令描述router（config）#ip access-list standard 1在路由器上创建标准访问列表1router (config-std-nacl)#deny 1.1.1.0 0.0.0.255设置访问列表1的第一条规则，禁止1.1.1.0/24的数据通过router (config-std-nacl)#permit any设置访问列表1的第二条规则，允许任何数据通过router（config）#ip access-list standard 2在路由器上创建标准访问列表2router (config-std-nacl)#deny 1.1.2.0 0.0.0.255设置访问列表2的第一条规则，禁止1.1.2.0/24的数据通过router (config-std-nacl)#permit any设置访问列表2的第二条规则，允许任何数据通过fastethernet0.1接口的配置:命令描述router（config）#interface fastethernet0.1在路由器上创建fastethernet0.1子接口Router (config-if-fastethernet0.1)#encapsulation dot1q 1设置fastethernet0.1的VLAN ID号为1router (config-if-fastethernet0.1)#ip address 1.1.1.4 255.255.255.0设置fastethernet0.1的IP地址为1.1.1.4，24位子网掩码router (config-if-fastethernet0.1)#ip access-group 2 out设置从fastethernet0.1出去的数据用访问列表2进行限制fastethernet0.2接口的配置:命令描述(config）#interface fastethernet0.2在路由器上创建fastethernet0.2子接口(config-if-fastethernet0.2)#encapsulation dot1q 2设置fastethernet0.2的VLAN ID号为2(config-if-fastethernet0.2)#ip address 1.1.2.4 255.255.255.0设置fastethernet0.2的IP地址为1.1.2.4，24位子网掩码。(config-if-fastethernet0.2)#ip access-group 1 out设置从fastethernet0.2出去的数据用访问列表1进行限制。n 配置结果：router#show runBuilding Configuration.donehostname router 主机名routerno service password-encrypt no service enhanced-secureip access-list standard 1 标准访问控制列表1deny 1.1.1.0 0.0.0.255 拒绝来自1.1.1.0的访问permit any 允许来自其他地址的访问exitip access-list standard 2 标准访问控制列表2deny 1.1.2.0 0.0.0.255 拒绝来自1.1.2.0的访问permit any 允许来自其他地址的访问exitinterface loopback0 环回地址未定义 exitinterface fastethernet0 快速以太口未定义exitinterf