基本配置内肋管
当TG和AG、IAD在不同网段时,需要用到三层交换机,在三层交换机上需要按如下范例做一些基本配置,才能完成不同网段的IP转发和BOOTP中继的功能。 VLAN配置
创建一个TG所在的VLAN(vlan 名为a1)
create vlan a1
配置一个对应于vlan a1的逻辑ip接口
config vlan a1 ipaddress 10.0.0.254 255.255.255.0
配置vlan a1贝纳通广告
所属端口(untagged的意义请参见附录) config vlan a1 add port 1,2,3,4,5,6,7,8 untagged
创建一个AG/IAD所在的VLAN(vlan 名为a2)
create vlan a2
芳纶头盔配置一个对应于vlan a2的逻辑ip接口
config vlan a2 ipaddress 192.168.0.254 255.255.255.0
配置vlan a2所属端口(untagged的意义请参见附录)
config vlan a2 add port 9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 untagged
BOOTP/DHCP中继配置
打开BOOTP/DHCP中继功能
service dhcpr enable
在vlan a1/a2监听BOOTP报文
config dhcpr listen add a1
config dhcpr listen add a2
配置BOOTP/DHCP Server所在位置信息(当更换BOOT Server主机以后,注意及时更改或增加此项配置) config dhcpr targetip add 192.168.0.131 id 1
附录 VLAN基础知识
1 虚拟局域网
虚拟局域网是一个根据逻辑方案而不是物理规划配置的网络拓扑。VLAN用于将多个LAN网段结合成一个用户组那样看上去好像一个LAN。VLAN将逻辑网络段分成不同的广播域以致于包只在VLAN内部的端口转发。
VLAN通过保留带宽来提高性能,通过限制流量到特定域来提高安全性。VLAN是根据逻辑而不是根据物理分组将节点结合在一起。分配到同一VLAN中的终端节点之间可以相互通信,而不管他们在网络中的物理位置。逻辑上说,一个VLAN就相当于一个广播域,一位广播包只能发往同一VLAN中的成员。补偿心理
2 IEEE 802.1Q VLAN
为了帮助您理解交换机应用的802.1Q VLAN,一定要理解下列的概念:
Tagging 加入 802.1Q VLAN信息到包头。
Untagging 把802.1Q VLAN信息从包头移去。
Ingress Port 数据包的流入端口,在此端口要进行VLAN分析。 Egress Port数据包的流出端口,在此端口要进行Tag分析。
GRA 3624交换机支持IEEE 802.1Q VLAN,IEEE 802.1Q VLAN给数据包带上标签,以使数据包可以跨越整个支持IEEE 802.1Q VLAN的网络。
VLAN允许将一个网络分段来缩小广播域。所有进入VLAN的包都被转发到VALN的成员工作站,包括未知源的广播,多播和单播。
VLAN还给您的网络带来一定的安全。IEEE802.1Q只允许包被传送到VLAN的成员工作站。
任何一个端口可以被设置成tagging 和untagging。IEEE802.1Q VLAN untagging允许VLAN与传统交换机工作,传统交换机不能辨认交换机的taging包头。Tagging允许VLAN通过一个简单的物理连接跨越多个802.1Q兼容交换机和允许所有端口使能生成树并且工作正常。
2.1 IEEE802.1Q的主要特征
播放影碟∙ 通过过滤(filtering)分派数据包(packet)到VLAN。
∙ 假设存在一个全局生成树(a single global spanning tree)。
∙ 采用明确的一级(one-level tagging)加标记策略(tagging scheme)。 2.2 802.1Q转发规则
802.1Q转发决定通过下列三种方式来实现
∙ 入站规则(Ingress rules) – 属于一个VLAN的接收到的数据帧(received frame)的分类规则。
∙ 端口间的转发规则(Forwarding rules between ports) – 确定是过滤数据包还是转发数据包。
∙ 出站规则(Egress rules) – 确定数据包是加标记传送,还是去标记传送。
下图描述了802.1Q VLAN转发包的规则
图5-7 VLAN的包转发
2.3 802.1Q VLAN 标记(Tags)
802.1Q/802.1p标记(tag)。在标记(tag)中除了包含上述2个字节(octet)之外,还有3个比特(bit)的优先级信息、1个比特的CFI信息(Canonical Format Identifier,用于压缩Token Ring数据包,以使其可以在以太网主干内传输),及12比特的VLAN ID (VID)。3个比特的优先级信息为802.1p准备的,而VID是VLAN的标识符(identifier) ,是为802.1Q准备的,因为VID长度有12个比特,所以,可以设置4094个VLAN。
将标记(tag)插入到数据包的包头内后,数据包将增长4个字节(octet)。 原来数据包中包含的信息都将保持不变。
图5-8 IEEE 802.1Q Tag
图5-9 加入802.1Q tag到包头
EtherType 和VLAN ID被插入到MAC源地址之后,原来的EtherType/Length 或者 Logical Link Control之前。因为包比原来长了,将重新计算新的CRC。
2.4 端口VLAN ID
被标记过的(即携带有802.1Q VID 信息的)数据包将从一台具有802.1Q功能的设备传送
到另一台具有802.1Q功能的设备,在传递期间VLAN信息保持不变。只要网络上的所有设备都支持802.1Q,就可以使802.1Q VLAN可以延伸至整个网络。
但是,并不是网络上的所有设备都支持802.1Q。这些不支持802.1Q的设备被称为是tag-unaware,而支持802.1Q的设备称为是tag-aware。
在出现802.1Q VLAN之前,更常使用的是基于端口(port-based)的VLAN和基于MAC地址(MAC-based)的VLAN。这些VLAN依据端口VLAN ID(Port VLAN ID ,简写PVID) 信息进行数据包转发。从某个端口接收到的数据包将被赋予该端口的PVID值,然后,将该数据包转发到其目的地址(查看交换机的转发地址表)。如果接收数据包的端口的PVID与将转发该数据包的端口的PVID不同,那么,交换机将丢弃此数据包,不进行转发。
在交换机内,不同的PVID意味着不同的VLAN。请注意:在不存在路由器的情况下,两个VLAN之间是不能相互通信的。
交换机上的每个物理端口都有一个PVID,同时802.1Q端口也会被赋予一个PVID。如果交换机上未定义VLAN,那么,所有端口都将属于一个缺省的VLAN,其PVID都等于1。这样,
接收到的未加标记的(Untagged)数据包将被赋予接收端口的PVID值,是否转发的决定将依据该PVID进行确定。已携带有标记信息的(Tagged)数据包将根据其标记的VID信息来决定是否进行转发。已有标记的数据包也将被赋予一个PVID,但是,并不是根据此PVID来决定是否转发该数据包,而是根据其VID 信息来进行判定。
支持标记功能的交换机(Tag-aware switches)必须具有能够建立交换机内各端口的PVID与网络上的VID之间关系表的能力。交换机将把数据包中的VID与将传送该数据包的端口的VID进行比较,如果两个VID不同,那么,交换机将丢弃此数据包,不进行传送。由于针对未加标记的数据包存在着PVID,对加过标记的数据包存在着VID,所以,具有标记功能的交换机和不具有标记功能的交换机可以在同一个网络中共存。
交换机上的一个端口只可以有一个PVID,但是,可以有多个VID,因交换机内有VLAN表(VLAN table)可以用于存储VID信息。
注: 802.1Q VLAN需要创建一个包含所有端口的缺省VLAN,这将赋予所有端口的PVID=1,并将PVID对应出相应的VID。实际上,该缺省VLAN是交换机的出厂设置之一,所有端口都将被初始化为PVID = 1。
因为网络上的有些设备不具有标记功能(tag-unaware),所以,在数据包被传送之前,具有标记功能的(tag-aware)设备上的端口必须做出决定将传送出去的数据包是否应加上一个标记(tag)?如果传送端口连接的是一台不支持标记功能的设备,那么,数据包就不必加上标记。反之,如果传送端口连接的是一台支持标记功能的设备,那么,数据包就必须加上标记。
2.5 Tagging和Untagging 包
支持802.1Q的交换机上的每个端口都将被设置为tagging或untagging。
中美贸易额具有tagging功能的端口将把VID、优先级(priority)和其他VLAN 信息插入到所有流入和流出该端口的数据包的包头中。如果数据包事先已被标记过,那么,端口将不对数据包进行变更,这样,将保持其VLAN信息不变。这样,标记中的VLAN信息将被其他802.1Q 设备所使用,以确定数据包是否应被转发。
具有untagging功能的端口将把所有流入和流出该端口的数据包中的802.1Q tag 信息去掉。如果数据包中不含有802.1Q VLAN tag,那么,端口将不对数据包进行变更。这样,u
ntagging端口接收和转发的所有数据包中都将不带有802.1Q VLAN 信息。请注意:PVID是仅限于交换机内部使用的。Untagging功能是用于将数据包从具有802.1Q功能的网络设备传递到不802.1Q功能的网络设备的。
2.6 Ingress过滤
入站端口(ingress port)是交换机上的这样一个端口——数据包从该端口流入交换机,并且必须在该端口确定其VLAN属性。如果端口的入站过滤(ingress filtering)被设置为生效(enabled),那么,交换机将检查数据包包头中的VLAN信息(如果存在的话),并决定是否转发该数据包。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议