VLAN-VPN典型配置
VLAN-VPN配置过程如下:
一 组网需求:
要求Switch A和Switch C所连接的用户网络之间能够互通非VLAN 10的报文。
二 组网图:
Switch A、Switch C为S3900交换机,Switch B为其他厂商的交换机(假设采用的TPID值为0x9100)。
三 配置步骤:
H3C 3100-SI 5100 3600 5600系列交换机VLAN-VPN典型配置
Switch A的配置
1.配置Switch A的端口Ethernet1/0/2的TPID值为0x9100,端口属于VLAN 10
system-view - [SwitchA] vlan 10
- [SwitchA-vlan10] quit
- [SwitchA] interface Ethernet1/0/2
- [SwitchA-Ethernet1/0/2] vlan-vpn tpid 9100
- [SwitchA-Ethernet1/0/2] port link-type trunk
- [SwitchA-Ethernet1/0/2] port trunk permit vlan 10
2.配置Switch A的端口Ethernet1/0/1为VLAN-VPN端口,端口属于VLAN 10
- [SwitchA] interface Ethernet1/0/1
- [SwitchA-Ethernet1/0/1] port access vlan 10
- [SwitchA-Ethernet1/0/1]stp disable
- [SwitchA-Ethernet1/0/1]undo NTDP enable
- [SwitchA-Ethernet1/0/1] vlan-vpn enable
- [SwitchA-Ethernet1/0/1] quit
配置Switch B
由于Switch B为其他厂商的设备,此处只介绍一下配置要求:将Switch B的端口Ethernet3/1/1和Ethernet3/1/2配置为Trunk端口,且都属于VLAN 10。
3.补充说明:
报文从Switch A=>Switch C的转发过程如下:
来自用户私网侧的报文进入Switch A的端口Ethernet1/0/1后,由于此端口为VLAN-VPN端口,报文外层被打上了端口缺省的VLAN Tag(VLAN ID为10),然后转发至Ethernet1/0/2。
由于Ethernet1/0/2配置了VLAN-VPN TPID,交换机将报文外层VLAN Tag中的TPID值改为用户设定值0x9100,然后发送到公网网络。
报文进入公网中Switch B的端口Ethernet1/0/1。Switch B将该报文在VLAN 10内转发,从Switch B的端口Ethernet1/0/2发送到另一侧的用户网络,进入Switch C的端口Ethernet1/0/2。Switch C将该报文在VLAN 10内转发,发送至端口Ethernet1/0/1。由于端口Ethernet1/0/1为Access端口,交换机去掉报文的外层VLAN Tag,恢复原来的报文。
反方向的转发过程相同。
VLAN-VPN配置要点:如果端口上使能了GVRP, GMRP, NTDP, STP, 802.1X, MAC-authentication和IRF,则不能使能VLAN-VPN
【编辑推荐】
- 基于端口的VLAN典型配置指导
- 交换机配置基础:VLAN接口动态获取IP地址配置
- 交换机配置基础:交换机VLAN接口静态IP地址配置
- 中低端交换机典型配置之交换机基于端口VLAN应用配置