VLAN透传配置举例分解.doc

目? 录 1 介绍... 1 1.1 特性简介... 1 1.2 特性关键技术点... 1 2 特性使用指南... 1 2.1 使用场合... 1 2.2 配置指南... 1 2.2.1 配置混合模式桥组... 1 2.3 注意事项... 2 3 配置举例... 2 3.1 VLAN透传典型应用组网... 2 3.1.1 组网需求... 2 3.1.2 物理连接图... 3 3.1.3 配置步骤... 3 3.2 SecPath F100-A VLAN透传组网... 6 3.2.1 组网需求... 6 3.2.2 物理连接图... 6 3.2.3 配置步骤... 7 3.3 故障排除... 9 3.3.1 故障排除命令... 9 3.3.2 故障现象举例... 9 4 关键命令... 9 4.1 bridge enable. 10 4.2 bridge bridge-set enable. 11 4.3 bridge vlanid-transparent-transmit enable. 11 4.4 insulate. 12 5 相关资料... 14 5.1 其它相关资料... 14 ? 1? 介绍 1.1? 特性简介 在混合模式下，桥支持VLAN ID透传特性是指：通过对加入桥组的设备出接口配置支持VLAN ID透传，可以使报文从该接口送出时，不对报文的VLAN ID做任何修改。 使能桥出接口VLAN ID透传，则报文从该接口发出时保留报文入桥时的VLAN ID，如果没有VLAN ID不增加VLAN ID。 1.2? 特性关键技术点 配置了VLAN透传后，防火墙不会对报文的VLAN tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输，保证不同VLAN之间的隔离、同一VLAN之间的互通。 2? 特性使用指南 2.1? 使用场合 当系统中存在VLAN部署，不同的VLAN之间需要进行隔离，而且所有VLAN的防火墙策略（比如配置在接口上的防火墙包过滤）是一样的。 2.2? 配置指南 混合模式下桥接功能的配置步骤分为以下几步： ?????????????? 使能桥组功能 ?????????????? 使能一个桥组。 ?????????????? 将接口加入到桥组中 ?????????????? 使能桥组下接口的VLAN透传功能 2.2.1? 配置混合模式桥组 步骤 操作说明 操作命令 1 使能桥组功能 [H3C] bridge enable 2 使能一个桥组 [H3C] bridge bridge-set enable 3 进入接口视图 [H3C] interface type number 4 将接口加入到桥组中 [H3C-GigabitEthernet0/0] bridge-set bridge-set 5 在接口下配置VLAN透传 [H3C-GigabitEthernet0/0] bridge vlanid-transparent-transmit enable ? 2.3? 注意事项 当配置VLAN透传功能时，需要注意以下事项： ?????????????? 子接口不支持VLAN透传。 ?????????????? F100A设备的四个LAN接口需要执行undo insulate命令聚合成一个接口才能使用VLAN透传功能。 ?????????????? VLAN透传与交换机的Trunk功能并不相同，当与交换机互通时，如果希望SecPath防火墙与交换机的管理VLAN 互通，需要借助子接口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。 3? 配置举例 3.1? VLAN透传典型应用组网 3.1.1? 组网需求 客户端PC，A、C属于VLAN100，客户端PC，B、D属于VLAN200，客户端PC，M属于VLAN99，用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。交换机Switch1和Switch2的管理VLAN为VLAN99。 要求VLAN100和VLAN200能够互相隔离，交换机可以通过管理VLAN99与防火墙互通。 3.1.2? 物理连接图 图1 VLAN透传组网图 3.1.3? 配置步骤 1. 使用的版本 Comware software, Version 3.40, ESS 1622 2. 支持产品 SecPath F1000-A/F1000-S/F100-E/F100-A 3. 配置防火墙 当前视图 配置命令 简单说明 [H3C] firewall packe