1+X证书网络系统建设与运维(高级)第05章-VLAN高级特性课件.pptx

1、第0页第05章 VLAN高级特性第1页学习目标学习目标l掌握VLAN和Trunk基础知识和配置实现。l掌握MUX VLAN应用场景、工作原理和配置实现。l掌握VLAN聚合应用场景、工作原理和配置实现。l掌握VLAN Mapping应用场景、工作原理和配置实现。l掌握QinQ应用场景、工作原理和配置实现。第2页目录目录5.1扩展VLAN技术概述5.1.1 VLAN基础5.1.2 MUX VLAN5.1.3 VLAN聚合5.1.4 VLAN Mapping5.1.5 QinQ第3页5.1扩展扩展VLAN技术概述技术概述l通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，

2、而不同VLAN间的用户被二层隔离。lMUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。lVLAN聚合只在super-VLAN 接口上配置IP 地址，而不必为每个sub-VLAN 分配IP 地址。lVLAN Mapping可以实现在用户VLAN ID（私有VLAN）和运营商VLAN ID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。lQinQ是基于802.1 Q封装的隧道协议，其核心思想是在用户私网VLAN tag之外封装公

3、网VLAN tag，报文带着两层tag穿越公网，从而为用户提供一种较为简单的二层VPN隧道。第4页5.1扩展扩展VLAN技术概述技术概述l部署不同路由协议的机构合并l不同的网络使用不同的协议，并且这些网络需要共享路由信息p简单的网络可以使用RIPp网络类型复杂的可以选用OSPFp大型骨干网络一般选用ISISl网络协议的限制p比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的p需要配置静态路由，然后把静态路由引入到ISIS第5页5.1.1 VLAN基础基础l传统以太网中，随着主机数量的增加，共享网络中的冲突会越来越严重，交换网络中的广播也会越来越多。第6页5.1.1

4、 VLAN基础基础lVLAN技术可以将一个物理局域网在逻辑上划分成多个广播域,提高了网络安全性。lVLAN技术部署在数据链路层，用于隔离二层流量。同一个VLAN内的主机之间可以直接进行二层通信。LAN间的主机属于不同的广播域，不能直接实现二层互通。VLAN 1VLAN 2第7页5.1.1 VLAN基础lVLAN IEEE802.1Q帧格式中，VLAN标签长4个字节，直接添加在以太网帧头中。l通过Tag区分不同VLAN。没有携带Tag的帧携带Tag的帧0 x8100PRICFIVLAN ID（12b）2 bytes2 bytesDMACDataSMACTypeFCS6 bytes6 bytes2

5、 bytes46-1500 bytes4 bytesDMACDataSMACTypeFCS6 bytes6 bytes2 bytes46-1500 bytes4 bytesTagTPIDTCI4 bytes第8页5.1.1 VLAN基础lVLAN链路分为两种类型：Access链路和Trunk链路。l用户主机和交换机之间的链路为接入链路，交换机与交换机之间的链路为干道链路。TrunkAccessVLAN3VLAN2TrunkTrunkAccessAccessAccessAccess第9页5.1.1 VLAN基础lPVID（Port VLAN ID）表示端口在缺省情况下所属的VLAN。l所有以太网

6、帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。缺省时X7系列交换机每个端口的PVID都是1。PVID1PVID2PVID2PVID3PVID3PVID1SWASWB主机A主机C主机B主机DVLAN2VLAN2VLAN3VLAN3第10页5.1.1 VLAN基础基础lAccess端口是交换机上用来连接用户主机的端口，它只能连接接入链路。lAccess端口在收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同。lAccess端口在转发数据前会移除VLAN Tag。lAccess端口发往对端设备的以太网帧永远是不带

7、标签的帧。主机A主机C主机BUntaggedUntaggedPVID10PVID10PVID2Frame10SWAG0/0/1G0/0/2G0/0/3第11页5.1.1 VLAN基础lTrunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。l当Trunk端口收到帧时，如果该帧不包含Tag，将添加上端口的PVID；如果该帧包含Tag，则不改变。l当Trunk端口发送帧时，该帧的VLAN ID在Trunk的允许发送列表中：若与端口的PVID相同时，则剥离Tag发送；若与端口的PVID不同时，则直接发送。主机A主机C主机B主机DUntaggedUntaggedFrame20Untag

8、gedSWASWBUntaggedUntaggedPVID1PVID20PVID1PVID20PVID1PVID1第12页5.1.1 VLAN基础lHybrid端口既可以连接主机，又可以连接交换机。lHybrid端口既可以连接接入链路又可以连接干道链路。lHybrid端口可以以Tagged 或Untagged方式加入VLAN。G0/0/1主机A主机B服务器UntaggedFrameG0/0/1Frame32UntaggedUntaggedSWASWBG0/0/2G0/0/2G0/0/3Untagged第13页5.1.1 VLAN基础lHybrid端口允许多个VLAN的帧通过，并可以在出端口方向

9、将某些VLAN帧的Tag剥掉。lHybrid端口收发数据帧的规则如下：p当接收到对端设备发送的不带Tag的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。p当接收到对端设备发送的带Tag的数据帧时，检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。pHybrid端口发送数据帧时，将检查该接口是否允许该VLAN数据帧通过。如果允许通过，则可以通过命令配置发送时是否携带Tag。l配置port hybrid tagged vlan vlan-id命

10、令后，发送时不剥离帧中的VLAN Tag。l配置port hybrid untagged vlanvlan-id命令后，发送时会将帧中的VLAN Tag剥离掉。第14页5.1.1 VLAN基础lVLAN的划分包括5种方法，基于端口的VLAN划分方法在实际中最为常见。VLAN 5VLAN 10基于端口G0/0/1,G0/0/7G0/0/2 G0/0/9基于MAC地址00-01-02-03-04-AA00-01-02-03-04-CC00-01-02-03-04-BB00-01-02-03-04-DD基于IP子网划分10.0.1.*10.0.2.*基于协议划分IPIPv6基于策略10.0.1.*+

11、G0/0/1+00-01-02-03-04-AA10.0.2.*+G0/0/2+00-01-02-03-04-BBG0/0/1主机A10.0.1.1主机D10.0.2.2主机B10.0.2.1主机C10.0.1.2G0/0/2G0/0/7G0/0/9SWA第15页5.1.1 VLAN基础l在交换机上划分VLAN时，需要首先创建VLAN。l在交换机上执行vlan vlan-id命令，创建VLAN。执行vlan batch命令可以创建多个VLAN。SWAvlan 10SWA-vlan10quitSWAvlan batch 2 to 3Info:This operation may take a f

12、ew seconds.Please wait for a moment.done.第16页5.1.1 VLAN基础基础l验证VLAN配置结果p执行display vlanvlan-idverbose 命令，可以查看指定VLAN的详细信息。p执行display vlanvlan-idstatistics命令，可以查看指定VLAN中的流量统计信息。p执行display vlansummary命令，可以查看系统中所有VLAN的汇总信息。SWAdisplay vlanThe total number of vlans is:4-U:Up;D:Down;TG:Tagged;UT:Untagged;MP:

13、Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -1 common UT:GE0/0/1(U)2 common 3 common 10 common 第17页5.1.1 VLAN基础基础l配置Access端口，华为X7系列交换机上，默认的端口类型是hybrid。l配置端口类型的命令是port link-type，type可以配置为Access，Trunk或Hybrid。SWAinterface GigabitEthernet 0/0/5SWA-GigabitEt

14、hernet0/0/5port link-type accessSWA-GigabitEthernet0/0/5interface GigabitEthernet 0/0/7SWA-GigabitEthernet0/0/7port link-type accessSWASWBG0/0/1G0/0/7G0/0/5主机A主机D主机B主机C第18页5.1.1 VLAN基础基础l添加端口到VLAN方法：pVLAN视图下执行port interface命令，把端口加入VLAN。p接口视图下执行port default vlan vlan-id命令，把端口加入VLAN。SWAvlan 2SWA-vlan2

15、port GigabitEthernet 0/0/7SWA-vlan2quitSWAinterface GigabitEthernet0/0/5 SWA-GigabitEthernet0/0/5port default vlan 3SWASWBG0/0/1G0/0/7G0/0/5主机A主机D主机B主机C第19页5.1.1 VLAN基础基础l验证VLAN配置结果，确认端口是否已经加入到VLAN中。pUT表明该端口发送数据帧时，会剥离VLAN标签。pU或D分别表示链路当前是Up状态或Down状态。SWAdisplay vlanThe total number of vlans is:4-U:Up;

16、D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -1 common UT:GE0/0/1(U)2 common UT:GE0/0/7(U)3 common UT:GE0/0/5(U)10 common 第20页5.1.1 VLAN基础基础l配置Trunk端口：pport link-type trunk命令修改端口的类型为Trunkpport trunk allow-pass vlan vlan-id

17、1tovlan-id2|all命令配置端口允许的VLANpport trunk pvid vlanvlan-id命令可以修改Trunk端口的PVIDSWA-GigabitEthernet0/0/1port link-type trunkSWA-GigabitEthernet0/0/1port trunk allow-pass vlan 2 3SWASWBG0/0/1G0/0/1主机A主机D主机B主机C第21页5.1.1 VLAN基础基础l验证Trunk配置，TG表明该端口在转发对应VLAN的数据帧时，不会剥离标签，直接进行转发。SWAdisplay vlanThe total number o

18、f vlans is:4-U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -1 common UT:GE0/0/1(U)2 common UT:GE0/0/7(D)TG:GE0/0/1(U)3 common UT:GE0/0/5(U)TG:GE0/0/1(U)10 common 第22页5.1.1 VLAN基础基础l配置Hybrid端口：SWA配置SWA-GigabitEthernet0/

19、0/1port link-type hybridSWA-GigabitEthernet0/0/1port hybrid tagged vlan 2 3 100SWA-GigabitEthernet0/0/2port hybrid pvid vlan 2SWA-GigabitEthernet0/0/2port hybrid untagged vlan 2 100SWA-GigabitEthernet0/0/3port hybrid pvid vlan 3SWA-GigabitEthernet0/0/3port hybrid untagged vlan 3 100G0/0/1主机A主机B服务器G0

20、/0/1SWASWBG0/0/2G0/0/2G0/0/3第23页5.1.1 VLAN基础基础l配置Hybrid端口：SWB配置SWB-GigabitEthernet0/0/1port link-type hybridSWB-GigabitEthernet0/0/1port hybrid tagged vlan 2 3 100SWB-GigabitEthernet0/0/2port hybrid pvid vlan 100SWB-GigabitEthernet0/0/2port hybrid untagged vlan 2 3 100G0/0/1主机A主机B服务器G0/0/1SWASWBG0/0

21、/2G0/0/2G0/0/3第24页5.1.1 VLAN基础基础l验证Hybrid配置pGi0/0/2在发送VLAN2和VLAN100的数据帧时会剥离标签。pGi0/0/3在发送VLAN3和VLAN100的数据帧时会剥离标签。pGi0/0/1允许VLAN 2，VLAN 3和VLAN 100的带标签的数据帧通过。SWAdisplay vlanThe total number of vlans is:4-U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Ma

22、nagement-vlan;1 common UT:GE0/0/1(U)2 common UT:GE0/0/2(U)TG:GE0/0/1(U)3 common UT:GE0/0/3(U)TG:GE0/0/1(U)100 common UT:GE0/0/2(U)GE0/0/3(U)TG:GE0/0/1(U)第25页5.1.2 MUX VLANl Mux VLAN基本原理:MUX VLAN 提供了一种在VLAN 的端口间进行二层流量隔离的机制。部门 AVLAN 2部门 AVLAN 2部门B VLAN 2部门 BVLAN 2Server部门A的员工之间不能互访，而部门B的员工之间可以互访，但是部门A

23、和部门B不能互访，而公司所有员工均可以访问公司的服务器。第26页5.1.2 MUX VLANlMUX VLAN分为主VLAN（Principal VLAN）和从VLAN（Subordinate VLAN），Subordinate VLAN又分为隔离VLAN（Separate VLAN）和、互通VLAN（Group VLAN）。pPrincipal VLAN：接口从属于主接口（Principal port），Principal port可以和MUX VLAN内的所有接口进行通信。pSeparate VLAN：接口从属于隔离接口（Separate port），Separate port只能和Pri

24、ncipal port进行通信，和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。pGroup VLAN：接口从属于互通接口（Group port），Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。每个Group VLAN必须绑定一个Principal VLAN。第27页5.1.2 MUX VLANlMUX VLAN应用举例：根据MUX VLAN特性，企业可以用主接口连接企业服务器，隔离接口连接企业客户，互通接口连接企业员工。这样就能够实现企业客

25、户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。第28页5.1.2 MUX VLANlMUX VLAN配置步骤：pVLAN视图下执行mux-vlan命令配置主VLAN的MUX VLAN功能。pVLAN视图下执行subordinate group vlan-id1tovlan-id2 命令配置Group VLAN功能。一个主VLAN下最多配置128个Group VLAN。pVLAN视图下执行subordinate separate vlan-id命令配置Separate VLAN功能。一个主VLAN下只能配置一个Separate

26、 VLAN。p接口视图下执行port mux-vlan enable vlan vlan-id命令使能接口MUX VLAN功能。第29页5.1.2 MUX VLANlMUX VLAN配置举例：S1vlan batch 2 201 to 202S1vlan 2S1-vlan2 mux-vlanS1-vlan2 subordinate separate 202S1-vlan2 subordinate group 201S1interface GigabitEthernet0/0/1S1-GigabitEthernet0/0/1 port link-type accessS1-GigabitEthe

27、rnet0/0/1 port default vlan 201S1-GigabitEthernet0/0/1 port mux-vlan enable部门 AVLAN 2部门 AVLAN 2部门B VLAN 2部门 BVLAN 2GE0/0/1 GE0/0/2GE0/0/3GE0/0/410.1.1.110.1.1.210.1.1.310.1.1.410.1.1.5GE0/0/5第30页5.1.2 MUX VLANlMUX VLAN配置举例：S1interface GigabitEthernet0/0/2S1-GigabitEthernet0/0/2 port link-type access

28、S1-GigabitEthernet0/0/2 port default vlan 201S1-GigabitEthernet0/0/2 port mux-vlan enableS1interface GigabitEthernet0/0/3S1-GigabitEthernet0/0/3 port link-type accessS1-GigabitEthernet0/0/3 port default vlan 202S1-GigabitEthernet0/0/3 port mux-vlan enable部门 AVLAN 2部门 AVLAN 2部门B VLAN 2部门 BVLAN 2GE0/0

29、/1 GE0/0/2GE0/0/3GE0/0/410.1.1.110.1.1.210.1.1.310.1.1.410.1.1.5GE0/0/5第31页5.1.2 MUX VLANlMUX VLAN配置举例：S1interface GigabitEthernet0/0/4S1-GigabitEthernet0/0/2 port link-type accessS1-GigabitEthernet0/0/2 port default vlan 202S1-GigabitEthernet0/0/2 port mux-vlan enableS1interface GigabitEthernet0/0/

30、3S1-GigabitEthernet0/0/3 port link-type accessS1-GigabitEthernet0/0/3 port default vlan 2S1-GigabitEthernet0/0/3 port mux-vlan enable部门 AVLAN 2部门 AVLAN 2部门B VLAN 2部门 BVLAN 2GE0/0/1 GE0/0/2GE0/0/3GE0/0/410.1.1.110.1.1.210.1.1.310.1.1.410.1.1.5GE0/0/5第32页5.1.2 MUX VLANl验证Mux VLAN配置S1display vlan The t

31、otal number of vlans is:4VID Type Ports -1 common UT:GE0/0/6(D)GE0/0/7(D)GE0/0/8(D)GE0/0/9(D)2 mux UT:GE0/0/5(U)201 mux-sub UT:GE0/0/1(U)GE0/0/2(U)202 mux-sub UT:GE0/0/3(U)GE0/0/4(U)第33页查看查看Mux VLANl验证Mux VLAN配置S1display mux-vlan Principal Subordinate Type Interface -2 -principal GigabitEthernet0/0/

32、52 202 separate GigabitEthernet0/0/3 GigabitEthernet0/0/42 201 group GigabitEthernet0/0/1 GigabitEthernet0/0/2-第34页5.1.3 VLAN聚合聚合l通过VLAN接口实现VLAN间通信时，需要为每个VLAN 的VLAN接口配置一个IP地址。如果VLAN很多，将占用许多IP地址资源，导致IP地址的浪费。lVLAN聚合,也称为Super-VLAN，就是在一个物理网络内，用多个VLAN 隔离广播域，使不同的VLAN属于同一个子网。l用于隔离广播域的VLAN 叫做sub-VLAN，与该子网对应

33、的VLAN叫做super-VLAN。l多个sub-VLAN 组成一个super-VLAN。l不同sub-VLAN 下的主机不能互通。第35页5.1.3 VLAN聚合聚合lVLAN Aggregation在实现不同VLAN间共用同一子网网段地址的同时也带来了Sub-VLAN间的三层转发问题。l不同的Sub-VLAN的主机，由于它们同属一个子网，彼此通信时只会做二层转发，而不会通过网关进行三层转发。l解决这一问题的方法就是使用Proxy ARP，实现Sub VLAN间用户互通。第36页5.1.3 VLAN聚合聚合lProxy ARP实现不同Sub-VLAN间的三层互通过程：p主机A将主机B的IP地

34、址和自己所在网段进行比较，发现主机B和自己在同一个子网，但是主机A的ARP表中无主机B的对应表项。p主机A发送ARP广播，请求主机B的MAC地址。p主机B并不在VLAN2的广播域内，无法接收到主机A的这个ARP请求。p由于网关S1上开启Sub-VLAN间的Proxy ARP，当S1收到主机A的ARP请求后，开始在路由表中查找，发现ARP请求中的主机B的IP地址（10.1.1.2）为直连接口路由，则S1向所有其他Sub-VLAN接口发送一个ARP广播，请求主机B的MAC地址。第37页5.1.3 VLAN聚合聚合lProxy ARP实现不同Sub-VLAN间的三层互通过程：p主机B收到S1发送的A

35、RP广播后，对此请求进行ARP应答。pS1收到主机B的应答后，就把自己的MAC地址当作B的MAC地址回应给主机A。pS1和主机A的ARP表项中都存在主机B的对应表项。p主机A之后要发给B的报文都先发送给S1，由S1做三层转发。第38页5.1.3 VLAN聚合聚合lSuper VLAN的配置步骤：pVLAN视图下执行aggregate-vlan命令创建Super-VLAN。pVLAN视图下执行access-vlan vlan-id1 to vlan-id2 命令将Sub-VLAN加入Super-VLAN。p接口视图下执行arp-proxy inter-sub-vlan-proxy enable命

36、令使能Sub-VLAN间的Proxy ARP功能。第39页5.1.3 VLAN聚合聚合lSuper VLAN的配置举例：S1vlan batch 2 to 3 10S1vlan 10S1-vlan10aggregate-vlan S1-vlan10access-vlan 2 to 3 S1interface Vlanif10S1-Vlanif10ip address 10.1.1.254 255.255.255.0S1-Vlanif10arp-proxy inter-sub-vlan-proxy enable S1interface GigabitEthernet0/0/1S1-Gigabit

37、Ethernet0/0/1port link-type accessS1-GigabitEthernet0/0/1port default vlan 2S1interface GigabitEthernet0/0/2S1-GigabitEthernet0/0/2port link-type accessS1-GigabitEthernet0/0/2port default vlan 3第40页5.1.3 VLAN聚合聚合验证VLAN聚合配置：display vlan 2 to 10-U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vla

38、n-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -2 sub UT:GE0/0/1(U)3 sub UT:GE0/0/2(U)10 super 第41页查看查看Super VLANl验证Sub-VLAN信息：S1display sub-vlanVLAN ID Super-vlan -2 10 3 10 第42页查看查看Super VLANl查看ARP表信息：display arp IP ADDRESS MAC ADDRESS EXPIRE(M)TYPE INTERFACE VPN-INSTANCE

39、VLAN-10.1.1.254 4c1f-cc4d-689c I-Vlanif1010.1.1.2 5489-98a8-29de 8 D-0 GE0/0/2 310.1.1.1 5489-98e9-5c7b 20 D-0 GE0/0/1 2-Total:3 Dynamic:2 Static:0 Interface:1第43页5.1.4 VLAN MappinglVLAN Mapping 也叫做VLAN translation，可以实现在用户VLAN ID（私有VLAN）和运营商VLAN ID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。l通过替换VLAN Tag实现VLAN汇

40、聚功能，使用户业务按照运营商的网络规划进行传输。第44页5.1.4 VLAN MappinglVLAN Mapping 发生在报文从入端口接收进来之后，从出端口转发出去之前。l当在端口配置了VLAN ID 映射后，端口在向外发送本地VLAN 的帧时，将帧中的VLAN Tag 替换成外部VLAN 的VLAN Tag；在接收外部VLAN 的帧时，将帧中的VLAN Tag替换成本地VLAN的VLAN Tag，这样不同VLAN 间就实现了互相通信。InternetVLAN Mapping from 100 to 10VLAN Mapping from 10 to 100VLAN 10VLAN 100V

41、LAN 100VLAN 10VLAN 10GE2/0/1第45页5.1.4 VLAN MappinglVLAN Mapping的配置步骤：p接口视图下执行port link-type trunk命令配置链路类型为Trunk。p接口视图下执行qinq vlan-translation enable命令使能接口VLAN转换功能。p接口视图下执行port vlan-mapping vlan vlan-id1 to vlan-id2 map-vlan vlan-id3命令配置接口的单层Tag的VLAN Mapping功能。第46页5.1.4 VLAN MappinglVLAN Mapping配置举例：

42、总部VLAN2的主机和分部VLAN3的主机通过VLAN Mapping技术实现互相访问。当在S1接口 G 0/0/2 上 配 置 了 V L A N 2 和VLAN100映射后，接口在向外发送VLAN2的帧时，将帧中的VLAN Tag 2替换成100；在接收VLAN100的帧时，将帧中的VLAN Tag100替换成2，然后按照二层转发流程进行数据转发。同理在S2接口G0/0/2上配置了VLAN3和VLA N 100映 射，这 样 V L A N 2和VLAN3就能实现互相通信。第47页5.1.4 VLAN MappinglVLAN Mapping配置举例：S1vlan batch 2 100S

43、1interface GigabitEthernet0/0/1S1-GigabitEthernet0/0/1port link-type trunkS1-GigabitEthernet0/0/1port trunk allow-pass vlan 100S1interface GigabitEthernet0/0/2S1-GigabitEthernet0/0/2qinq vlan-translation enable S1-GigabitEthernet0/0/2port link-type trunkS1-GigabitEthernet0/0/2port trunk allow-pass v

44、lan 2 100S1-GigabitEthernet0/0/2port vlan-mapping vlan 2 map-vlan 100 第48页5.1.4 VLAN MappinglVLAN Mapping配置举例：S2vlan batch 3 100S2interface GigabitEthernet0/0/1S2-GigabitEthernet0/0/1port link-type trunkS2-GigabitEthernet0/0/1port trunk allow-pass vlan 100S2interface GigabitEthernet0/0/2S2-GigabitEt

45、hernet0/0/2qinq vlan-translation enableS2-GigabitEthernet0/0/2port link-type trunkS2-GigabitEthernet0/0/2port trunk allow-pass vlan 3 100S2-GigabitEthernet0/0/2port vlan-mapping vlan 3 map-vlan 100第49页5.1.4 VLAN Mappingl验证VLAN Mapping配置S1display vlan 100-U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-map

46、ping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -100 common TG:GE0/0/1(U)GE0/0/2(U)MP:GE0/0/2(U)第50页5.1.5 QinQl 什么是QinQ（802.1Q-in-802.1Q）？p基于802.1 Q封装的隧道协议p报文封装双层VLAN Tagl QinQ优点p解决日益紧缺的公网VLAN ID资源问题p用户可以规划自己的私网VLAN IDp提供一种较为简单的二层VPN解决方案p使用户网络具有较高的独立性第51页5.1.5 QinQ

47、l 什么是QinQ？pQinQ协议是基于IEEE 802.1Q技术的一种二层隧道协议。p在公网中传递的帧有两层802.1Q Tag（一个公网Tag，一个私网Tag），所以称之为QinQ协议。l QinQ优点p解决日益紧缺的公网VLAN ID资源问题p用户可以规划自己的私网VLAN IDp提供一种较为简单的二层VPN解决方案p使用户网络具有较高的独立性第52页5.1.5 QinQl基于传统的802.1Q协议的实现方式p使用户的VLAN在骨干网络上可见，不仅耗费服务提供商宝贵的VLAN ID资源。p需要服务提供商管理用户的VLAN号，用户没有自己规划VLAN的权利。Trunk VLAN 200-3

48、00Trunk VLAN 200-300Trunk VLAN 200-300SWBSWCISP NetworkTrunk VLAN 200-300Trunk VLAN 200-300SWA主机主机A LAN ASWD主机主机B LAN BInternet第53页5.1.5 QinQlQinQ实现方式lQinQ的核心思想是将用户私网VLAN Tag封装在公网VLAN Tag中，报文带着两层Tag穿越网络运营商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。Trunk VLAN 200-300Trunk VLAN 200-300QinQ协议接入端口属于VLAN 3SWBSWCISP Net

49、workTrunk VLAN 200-300SWA主机主机A LAN ASWD主机主机B LAN BInternetQinQ协议接入端口属于VLAN 3第54页5.1.5 QinQlQinQ封装结构DASATYPEDATAFCSDATASAFCSTYPETAGDAUntagged frameTagged FramePRIVLAN ID（12b）CFI0 x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2BDATA外层TAGSAFCSTYPE内层TAGDAQinQ封装封装6B4B2B64-1500B4B4B6B第55页5.1.5 QinQl数据转发

50、流程Trunk VLAN 200-300SWBSWCISP NetworkTrunk VLAN 3SWA主机主机A LAN ASWD主机主机B LAN BInternet3200-300 3200-300 Trunk VLAN 200-300QinQ协议接入端口属于VLAN 3200-300 200-300 QinQ协议接入端口属于VLAN 3第56页5.1.5 QinQl 根据QinQ的具体实现方式，通常分为如下几类：p基于端口的QinQn基于端口的基本QinQp灵活QinQnVLAN Stackingp基于流的灵活QinQn基于ACL的灵活QinQPage56第57页5.1.5 QinQl