欢迎来到天天文库
浏览记录
ID:40579695
大小:77.00 KB
页数:6页
时间:2019-08-04
《VLAN-VPN配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、VLAN-VPN配置1_VLAN-VPN(H3C3100_EI)2008年06月16日星期一14:38VPN(VirtualPrivateNetwork,虚拟私有网络)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。通过在客户端或运营商接入端对用户报文进行特殊处理,使公网设备可以为用户报文建立专用的传输隧道,保证数据的安全。VLAN-VPN是一种简单、灵活的二层VPN隧道技术,它通过在运营商接入端为用户的私网报文封装外层VLANTag,使报文携带两
2、层VLANTag穿越运营商的骨干网络(公网)。在公网中,报文只根据外层VLANTag(即公网VLANTag)进行传输,用户的私网VLANTag则当作报文中的数据部分来进行传输。携带单层VLANTag的报文结构如图1-1所示:图1-1携带单层VLANTag的报文结构携带双层VLANTag的报文结构如图1-2所示:图1-2携带双层VLANTag的报文结构相对于基于MPLS的二层VPN,VLAN-VPN具有如下特点:l 为用户提供了一种更为简单的二层VPN隧道。l
3、 不需要在公网上配置自动学习的信令协议,可以通过简单的手工配置实现。VLAN-VPN主要可以解决以下问题:l 缓解日益紧缺的公网VLANID资源问题。l 用户可以规划自己的私网VLANID,不会导致和公网VLANID冲突。l 为小型城域网或企业网提供一种较为简单的二层VPN解决方案。1.1.2VLAN-VPN的实现方式在开启端口的VLAN-VPN功能后,当该端口接收报文时,无论报文是否带有VLANTag,交换机都会为该报文封装本端
4、口缺省VLAN的VLANTag,并将源MAC地址学习到缺省VLAN的MAC地址表中。因此,在接收报文时:l 如果原报文是已经带有VLANTag的报文,在进入交换机后将成为带有双层Tag的报文l 如果原报文是不带VLANTag的报文,在进入交换机后将成为带有端口缺省VLANTag的报文1.1.3VLAN-VPN报文的TPID值可调功能TPID(TagProtocolIdentifier,标签协议标识)是VLANTag中的一个字段,IEEE802.1Q协议规定
5、该字段的取值为0x8100。IEEE802.1Q协议定义的以太网帧的Tag报文结构如图1-3所示:图1-3以太网帧的Tag报文结构S3100系列交换机可以根据TPID值来识别报文中是否携带VLANTag,当端口收到报文时,根据配置的TPID值与报文中相应的字段进行比较,如果二者一致,则表示报文中携带相应的VLANTag。S3100系列以太网交换机缺省采用协议规定的TPID值(0x8100),某些厂商将设备可识别的TPID值设置为0x9100或其他数值。为了和这些设备兼容,S3100系列交换机提供了VLA
6、N-VPN报文TPID值可调功能,用户可以配置交换机在添加外层Tag时使用的TPID值,从而使发送到公网中的VLAN-VPN报文可以被其他厂商的设备识别;同时使本交换机能够正常识别公网报文的VLANTag。由于TPID字段在以太网报文中所处位置与不带VLANTag的报文中上层协议类型字段所处位置相同,为避免网络中报文转发和接收造成混乱,交换机不允许用户在配置VLAN-VPN的TPID时取值为表1-1中列举的常用协议类型值。表1-1常用以太网帧协议类型值协议类型对应取值ARP0x0806IP0x0800M
7、PLS0x8847/0x8848IPX0x8137IS-IS0x8000LACP0x8809802.1x0x888E注意:不能在同一端口下同时开启VLAN-VPN功能和VLANMappping功能。在S3100系列以太网交换机中,只有S3100-EI系列以太网交换机支持该功能。1.4VLAN-VPN典型配置举例1.4.1利用VLAN-VPN功能实现用户报文在公网中的隧道传输1.组网需求如图1-4所示,SwitchA和SwitchB为3100交换机,通过公共网络将用户的工作站与服务器相连。l
8、 用户的PC工作站和服务器划分在私有VLAN100,终端工作站和服务器划分在私有VLAN200。现要求运营商利用公共网络的VLAN1040,使用户网络之间通过VPN方式进行连接。l 公共网络中使用其他厂商的设备,TPID值为0x9200。l 要求配置SwitchA和SwitchB的VLAN-VPN功能,使用户的PC工作站/服务器和终端工作站/服务器能通过VPN连接,并进行正常通信。2
此文档下载收益归作者所有
