收藏
下载资源 加入VIP免费专享

[信息与通信]SecPath高端防火墙二三层转发典型配置指导-2007124.doc

上传人:音乐台 文档编号:1971232 上传时间:2019-01-27 格式:DOC 页数:30 大小:1.44MB
返回 下载 相关 举报
[信息与通信]SecPath高端防火墙二三层转发典型配置指导-2007124.doc_第1页
第1页 / 共30页
[信息与通信]SecPath高端防火墙二三层转发典型配置指导-2007124.doc_第2页
第2页 / 共30页
[信息与通信]SecPath高端防火墙二三层转发典型配置指导-2007124.doc_第3页
第3页 / 共30页
亲,该文档总共30页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《[信息与通信]SecPath高端防火墙二三层转发典型配置指导-2007124.doc》由会员分享,可在线阅读,更多相关《[信息与通信]SecPath高端防火墙二三层转发典型配置指导-2007124.doc(30页珍藏版)》请在三一文库上搜索。

1、SecPath高端防火墙二三层转发配置举例SecPath高端防火墙二三层转发配置举例关键词:二三层转发、PAT、私有地址、公有地址、地址池摘 要:本文简单描述了高端多核防火墙二三层转发模块相关业务的特点,详细描述了二三层转发的典型配置及详细步骤。缩略语: 缩略语英文全名中文解释MSTPMultiple Spanning Tree Protocol多生成树协议RSTPRapid Spanning Tree Protocol快速生成树协议MSTIMultiple Spanning Tree Instance多生成树实例CISTCommon and Internal Spanning Tree公共和

2、内部生成树BPDUBridge Protocol Data Unit桥协议数据单元Copyright 2007 杭州华三通信技术有限公司目 录1 介绍11.1 普通二三层转发的工作机制11.2 INLINE转发的工作机制11.3 跨VLAN二层转发的工作机制12 特性使用指南22.1 使用场合22.2 配置指南22.2.1 二三层转发业务配置指南22.2.2 二三层转发应用涉及的配置32.3 注意事项33 支持的设备和版本33.1 设备版本33.2 支持的设备33.3 配置保存44 配置举例44.1 典型组网44.2 设备基本配置54.2.1 其他共同配置:54.3 二三层转发业务典型配置举例

3、64.3.1 MAC 地址管理64.3.2 MSTP配置74.3.3 普通VLAN二层转发94.3.4 INLINE转发144.3.5 三层子接口转发174.3.6 跨VLAN 二层转发194.3.7 跨vlan三层转发(通过Vlan虚接口转发)234.3.8 二三层混合转发255 相关资料275.1 相关协议和标准275.2 其它相关资料271 介绍二三层混合转发包括了普通二三层转发、INLINE转发和跨VLAN二层转发。1.1 普通二三层转发的工作机制如果设备接收到的报文目的MAC地址匹配三层VLAN接口的MAC,则通过设备的VLAN接口进行三层转发;否则通过设备的二层以太网接口进行二层转

4、发。普通的二三层转发是设备默认启用的特性,不需要配置。1.2 INLINE转发的工作机制高端防火墙支持二层INLINE转发,即用户通过配置直接指定从某接口入的报文从特定接口出。这种方式下,报文转发不再根据MAC表进行,而是根据用户已经配置好的一组配对接口进行转发,发送到设备的报文从其中一个接口进入后从另一个接口转发出去。INLINE转发只支持二层接口,不支持逻辑接口,包括子接口;1.3 跨VLAN二层转发的工作机制跨VLAN二层转发,顾名思义,就是由数据链路层来完成不同VLAN间的通信。目前这种技术主要应用在防火墙插卡上。防火墙插卡是H3C为了适应灵活多变的网络应用而推出的新的防火墙形态。防火

5、墙插卡和交换机配合使用,经过交换机的二层网络流量由防火墙插卡过滤后再进行转发。为了实现这一功能,必须进行如下适配:l 流量在交换机上的入接口和出接口分别属于不同的VLAN。l 交换机与防火墙插卡相连的链路两端的以太网口均配置为Trunk类型。l 防火墙插卡连接交换机的以太网口下配置多个子接口,每个子接口配置属于不同的VLAN,这些VLAN和交换机上的VLAN一一对应。经过以上配置,经过交换机流量的来源和目的属于不同VLAN时,将进行跨VLAN二层转发,具体过程如下:l 报文进入交换机,交换机对报文加上Tag标签,因为报文目的属于另一个VLAN,不能直接查MAC地址表转发,因此报文由Trunk口

6、发送至防火墙插卡。l 防火墙插卡去掉报文中的Tag标签,加上防火墙VLAN的Tag标签,之后对报文进行相关处理(防火墙的各种安全功能)。l 防火墙插卡去掉报文中防火墙VLAN的Tag标签,加上出方向子接口对应VLAN的Tag标签(出方向子接口可以通过查MAC地址表确定)后把报文发送至交换机。l 交换机在对应的VLAN中转发报文。2 特性使用指南2.1 使用场合(1) 应用在现在流行的多层交换网络中;(2) 提供丰富的安全特性:虚拟防火墙、攻击防范、URL过滤、防DDoS攻击等,为企业及运营商网络提供安全保护。2.2 配置指南关于二三层转发功能业务的配置全部可以采用Web方式配置。2.2.1 二

7、三层转发业务配置指南配置二三层转发,需要在Web配置以下内容:A. MAC 地址管理 B. MSTP配置C. 普通VLAN 二层转发D. 跨VLAN二层转发E. 三层子接口转发F. INLINE转发G. 跨vlan三层转发H. 二三层混合转发2.2.2 二三层转发应用涉及的配置用户必须在命令行设置接口所属Vlan,Web暂时无法配置。2.3 注意事项二三层转发关于Web配置根据具体实例再作说明。3 支持的设备和版本3.1 设备版本H3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3104Comware Platf

8、orm Software Version COMWAREV500R002B47D001H3C SecPath F1000-E Software Version V300R001B01D014Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Nov 23 2007 16:23:19, RELEASE SOFTWAREH3C SecPath F1000-E uptime is 0 week, 0 day, 0 hour, 16 minutes CPU type: RMI XLR732

9、1000MHz CPU 1024M bytes DDR2 SDRAM Memory 4M bytes Flash Memory PCB Version:Ver.B Logic Version: 1.0 Basic BootWare Version: 1.10 Extend BootWare Version: 1.16 3.2 支持的设备 Secpath F1000-E、S7503E(版本:V600R002B01D041) + SecBlade II插卡(版本:V300R001B01D009)3.3 配置保存每次配置完成后,注意进行配置的保存。系统管理-配置维护-进入配置保存页面,点击“确定”。

10、4 配置举例4.1 典型组网图1 二三层转发典型组网A图2 二三层转发典型组网B说明:组网图1 用Secblade可使用同样方式组网;组网图2 用F1000-E来实现的话,只需要一台二层交换机,用双绞线与F1000E的任一管理口相连即可。而SecBladeII是使用10GE口与S75交换机相连,就是组网图2 中的10GE口,管理口指的是面板前面的四个GE口,4.2 设备基本配置4.2.1 其他共同配置:A. 接口模式:G0/0为管理接口:Interface Physical Protocol IP AddressGigabitEthernet0/0 up up 155.1.1.1B. 安全域(

11、Web页面“系统管理”-“安全域管理”):G0/0置于Management域(默认);4.3 二三层转发业务典型配置举例4.3.1 MAC 地址管理(1) 功能简述验证对MAC地址表项的管理,包括静态MAC地址、手工配置的动态MAC地址和动态学习的MAC地址。(2) 典型配置步骤(组网:图1)A. 将PC机IP地址配置为:155.1.1.2/24,连线到F1000-E的GE0/0口;B. 打开IE浏览器,输入地址:http:/155.1.1.1(F1000-E上设置GE0/0为管理口,IP地址设为155.1.1.1/24),出现登录窗口后,输入用户名:admin,口令为:123456,进入We

12、b管理首页面;C. 单击“网络管理”“MAC”,进入MAC管理面面,查看结果A;D. 添加MAC地址表项:单击“添加”, 将PC1 的MAC地址添加为静态MAC地址表项,查看结果B;E. 删除刚才添加的静态MAC表项,将PC1 的MAC地址添加为动态MAC地址表项,查看结果C。(3) 验证结果A. 能够显示设备当前的MAC地址址表项,能够过滤显示不同类型和不同接口的MAC地址,能够删除MAC地址条目;B. 能够添加静态MAC地址表项,静态表项覆盖动态学习到的MAC表项;C. 能够添加动态MAC地址表项,F1000-E会学习PC1 的MAC地址,并覆盖此手工添加的MAC表项;若300S内收不到P

13、C1的报文,手工添加的MAC表项自动老化。(4) 注意事项A. 只能为二层接口添加MAC地址表项,并且要和该端口所允许通过的Vlan对应。B. 通过Web不能配置黑洞MAC地址项,但在命令行下可以配置。例如:mac-address blackhole 0011-43ca-db79 vlan 1000C. 黑洞MAC的特性是,当收到源或目的MAC是黑洞MAC的报文时,不转发报文;D. 手工配置的静态表项覆盖动态学习到的MAC表项;E. 手工配置的动态MAC地址表项,会老化;设备仍会动态的学习相同的MAC地址,并覆盖此手工添加的MAC表项;F. 命令行下删除MAC表项是通过,管理视图下的 undo

14、 mac-address 来完成的。(5) 故障排除4.3.2 MSTP配置(1) 功能简述配置MSTP域、MSTP端口、MSTP全局参数。(2) 典型配置步骤(组网:图1)A. 进入Web管理界面后,单击“网络管理”“MSTP”“MSTP域”“修改”,进入MSTP域的管理,截图如下:配置MSTP域名为:h3c-net,修订级别为:5,将vlan2设置到实例2:B. 单击“MSTP全局”,对MSTP全局参数进行设置,可以设置在每个实例下本设备的角色:根桥/备份根桥/默认等: (3) 验证结果A. 点击MSTP页面下的三个标签:“MSTP域”、“MSTP端口”、“MSTP全局”显示MSTP运行状

15、态。(4) 注意事项 本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。若设备先启用了MSTP,则在配置MSTP域时,每配置一次点击确定后,是立即生效的,在一个大型的二层网络中配置时要注意产生振荡。(5) 故障排除4.3.3 普通VLAN二层转发4.3.3.1 ROOT虚拟设备下 普通二层转发(1) 功能简述处于相同Vlan IP地址配置为同一网段的主机实现互通。(2) 典型配置步骤(组网:图1)A. 目前Web上还不能配置Vlan,需要在命令行下进行如下配置: interface GigabitEthernet0/2 port link-mode bridge /接口配置为桥模式(

16、可以通过Web配置) port access vlan 102 /设置所属Vlan为102 combo enable copper /启用电口(可以通过Web配置)#interface GigabitEthernet0/3 port link-mode bridge /接口配置为桥模式(可以通过Web配置) port access vlan 102 /设置所属Vlan为102 combo enable copper /启用电口(可以通过Web配置)PC机IP配置:PC1:2.1.1.1/24PC2:2.1.1.2/24B. 单击Web页面上“系统管理”“安全域管理”,编辑root虚拟设备下的T

17、rust安全域,将GE0/2加入Trust安全域,将GE0/3加入Untrust安全域,PC1 PING PC2,得到结果A:C. 重新编辑trust安全域,将GE0/2的“所属Vlan”由默认的1-4094修改为102,如下图所示,同样的方法将GE0/3“所属Vlan”设置为102 ,加入到Untrust域。PC1 PING PC2,得到结果B: D. 重新编辑trust安全域,将GE0/2的“所属Vlan”由默认的102修改为与GE0/2的PVID不相同,比如vlan 100,如下图所示, PC1 PING PC2,得到结果 C:(3) 验证结果A. 可以ping通。 C:Document

18、s and SettingshuaweiPING 2.1.1.2 -n 1Pinging 2.1.1.2 with 32 bytes of data:Reply from 2.1.1.2: bytes=32 time=2ms TTL=255Ping statistics for 2.1.1.2: Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),B. 仍然可以ping通C. 无法ping通了。因为二层报文出入安全域由接口下面的所属Vlan所在的安全域来决定,本典型配置中因为GE0/2收上来的是Vlan 102的报文,而将GE0/2加入Tru

19、st域时,没有将GE0/2的所属Vlan 102加入Trust域。(4) 注意事项A. 当编辑二层接口的所属Vlan时,建议严格限制一下好。之所以不把其它的vlan也加入到“所属Vlan”里来的原因是,二层口可能被本虚拟设备的其他安全域用到。B. 通过命令port link-type bridge/route 或者通过Web的端口管理可以让端口切换二/三层转发模式,要注意的是每切换一次,端口都要初始化一次,原先端口下的配置及所属安全区域信息全部丢失,需要重要进行配置;C. 对进行二层转发的以太报文,SecBladeII处理的方式跟交换机不同,交换机在内部通过vlan tag来识别不同Vlan的

20、报文,而secbladeII内部有特殊的标记方式,不会对二层以太帧打上vlan tag,但对于进入的带vlan tag的报文,设备也可以识别;D. 可以在命令行下用dis mac-add或Web页面查看,是否正确学习了MAC地址。 dis mac-addMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0011-43ca-db79 102 learned GigabitEthernet0/3 AGING00e0-fc08-0004 102 learned GigabitEthernet0/2 AGING - 2 mac address(es) fou

21、nd - E. 调试的命令:隐藏模式下输入_dis bridge pack / _dis bridge mac add,用户视图下debug physical packet等,隐藏模式下的调试命令也需要在用户视图下打开 terminal debug才能输出到VTP窗口。F. 还可以通过:dis bridge forwarding statis,查看数据转发统计,Web管理“网络管理”“inline”“转发统计信息”,也是显示这些数据。不过在Web上目前还没有清除按钮,在命令行下可以通过:reset bridge forwarding statis来清除计数。dis bridge forward

22、ing statisTotal received:226Filtered:0 STP discarded:0Broadcast:86 Multicast:5Unknown Unicast:8 Invalid Tag:0Total deliver to up:27L2 protocol:0 Local MAC address:0Blackhole dropped:0Total sent:131Filtered:0 STP discarded:0 (5) 故障排除4.3.3.1 新建虚拟设备下普通二层转发(6) 功能简述处于相同Vlan且IP地址配置为同一网段的主机实现互通。(7) 典型配置步骤(

23、组网:图1)A. 目前Web上还不能配置Vlan,需要在命令行下进行如下配置,说明中标(Web)的表示可以在Web上实现interface GigabitEthernet0/2 port link-mode bridge /接口配置为桥模式(Web) port access vlan 102 /设置所属Vlan为102 combo enable copper /启用电口(Web)#interface GigabitEthernet0/3 port link-mode bridge /接口配置为桥模式(Web) port access vlan 102 /设置所属Vlan为102 combo e

24、nable copper /启用电口(Web)PC机IP配置:PC1:2.1.1.1/24PC2:2.1.1.2/24B. 单击“系统管理”“虚拟设备管理”“虚拟设备配置”“创建”,创建新的虚拟设备:H3C;C. 单击“系统管理”“虚拟设备管理”“VLAN成员”将vlan102 设置为虚拟设备H3C的Vlan成员;D. 单击“系统管理”“安全域管理”“创建”,分别创建属于虚拟设备H3C的安全域H3C_trust和H3C_untrust,编辑安全域,将GE0/2,GE0/3分别加到H3C_trust 和H3C_untrust,用PC1 PING PC2,得到结果A。(8) 验证结果A. 可以pi

25、ng通。 C:Documents and SettingshuaweiPING 2.1.1.2 -n 1Pinging 2.1.1.2 with 32 bytes of data:Reply from 2.1.1.2: bytes=32 time=2ms TTL=255Ping statistics for 2.1.1.2: Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),(9) 注意事项二层口可以被所有虚拟设备访问,而不同的虚拟设备相互独立的访问二层接口,隔离的手段就是通过不同的VLAN成员,一个VLAN若成为一个虚拟设备的VLAN成员

26、,那么该Vlan便不属于其它的虚拟设备了。(10) 故障排除4.3.4 INLINE转发(1) 功能简述配置INLINE转发组。(2) 典型配置步骤(组网:图1)A. 同配置项4.3.1方法进入Web管理界面后,单击“网络管理”“Inline”-“Inline转发”,配置“策略ID”为“1”,将端口GigabitEthernet0/2和GigabitEthernet0/3设置为同一转发组(须事先配置该两个端口为二层口):B. 将GigabitEthernet0/2加入trust安全域,将GigabitEthernet0/3加入untrust安全域;配置PC机IP地址:PC1:2.1.1.1/2

27、4 PC2: 2.1.1.2/24后,从PC1 Ping PC2,得到结果A;C. 在命令行下,配置GigabitEthernet0/2 属于Vlan102;GigabitEthernet0/3属于vlan103,再从PC1 Ping PC2,得到结果B;D. 在命令行下,配置GigabitEthernet0/2 为access端口;GigabitEthernet0/3为trunk端口,再从PC1 Ping PC2,得到结果C;E. 在非默认虚拟设备中配置INLINE转发,命令行配置如下:#interface GigabitEthernet0/2 port link-mode bridge p

28、ort access vlan 3 combo enable copper port inline-interfaces 1#interface GigabitEthernet0/3 port link-mode bridge port access vlan 4 combo enable copper port inline-interfaces 1# F. 创建虚拟设备H3C的操作同配置项4.3.3.1,使vlan 3 和vlan 4成为虚拟设备H3C的成员,将GigabitEthernet0/2 和GigabitEthernet0/3分别加入H3C_trust和H3C_untrust安全

29、域,强调GigabitEthernet0/2加入H3C_trust安全域时,“所属VLAN”填什么,则只能转发带有相应vlan tag的报文。例如:102,则只转发VLAN 102 的报文。由于连接PC1,发送报文不带VLAN,由入接口GigabitEthernet0/2 的PVID 决定,此处“所属VLAN”填3,PC1 Ping PC2,得到结果D。(3) 验证结果A. 能够 Ping通;B. 能够 Ping通;C. 能够Ping通;(配置inline转发后,端口下vlan 的配置及端口类型配置对流量转发均无影响 )D. 能够Ping通。(允许通过的流量的所有Tag ID须都是虚拟设备H3

30、C的Vlan成员)(4) 注意事项A. INLINE转发依赖于所配置的INLINE转发组进行转发,不按MAC地址转发B. INLINE转发只能在二层物理接口上配置,不支持子接口及虚接口;C. Web上配置INLINE转发组后,命令行下除了接口上的INLINE配置外,会自动产生一条全局INLINE组的配置;D. INLINE转发只在入口处检查报文tag,目的是检查是否要走三层转发,所以报文发起方所在接口的“所属Vlan”影响报文的转发,注意不是端口的PVID,是Web页面上的配置。即:INLINE转发仅判断入报文的Vlan tag是否为本虚拟设备安全域中的vlan成员;若是则放行,否则则不通。E

31、. 防火墙目前的版本,还未实现分级管理;所以不同的虚拟设备之间,还未能实现单独配置Inline转发,以后的版本会实现这一功能;F. 入端口如果是Access端口,一样可以接收带不同Vlan tag的报文,并不检查Vlan tag是否与自身PVID一致;而纯二层转发时,端口只接收与自身PVID相同的带tag或不带tag的报文;G. 在trunk口上配置Inline转发,入口配置的permit vlan 不影响转发,而纯二层转发时,trunk端口只转发允许的vlan; H. 报文经过G0/3转出时tag并没有去掉,而是直接透传了,流量在配置好的INLINE组内两接口上转发,经过安全模块处理后透传出

32、去,出接口对报文不作任何修改; (5) 故障排除4.3.5 三层子接口转发(1) 功能简述通过secblade的TenGigabitethernet上的三层子接口转发。(2) 典型配置步骤(组网:图2)A. 命令行配置:S75交换机:#interface GigabitEthernet3/0/1port access vlan 102#interface GigabitEthernet3/0/2port access vlan 103# interface Ten-GigabitEthernet2/0/1port link-type trunkundo port trunk permit vl

33、an 1port trunk permit vlan 102 to 103 #Secblade:#interface Ten-GigabitEthernet0/0port link-mode route#interface Ten-GigabitEthernet0/0.1vlan-type dot1q vid 102ip address 102.0.0.3 255.0.0.0#interface Ten-GigabitEthernet0/0.2vlan-type dot1q vid 103ip address 103.0.0.3 255.0.0.0# PC机IP地址配置:PC1:102.0.0

34、.1/8 默认网关:102.0.0.3PC2:103.0.0.2/8 默认网关:103.0.0.3B. 同配置项4.3.1方法进入Web管理界面后,单击“系统管理”“安全域管理”,编辑trust安全域,将ten-GigabitEthernet0/0.1加入该域;C. 同样的操作,将ten-GigabitEthernet0/0.2加入untrust安全域;D. 从PC1 Ping PC2地址:103.0.0.2, 得到结果A;E. 从PC2 Ping PC1地址:102.0.0.1,得到结果B;F. 再将ten-GigabitEthernet0/0加入untrust域后,PC1 ping PC2

35、,得到结果C;G. secblade三层子接口配置修改为如下配置,PC1 ping PC2,得到结果D。interface Ten-GigabitEthernet0/0.1ip address 102.0.0.3 255.0.0.0#interface Ten-GigabitEthernet0/0.2ip address 103.0.0.3 255.0.0.0H. 在非默认虚拟设备中配置三层子接口转发,创建虚拟设备H3C的操作同配置项4.3.3.1,然后将子接口10GE0/0.1和10GE0/0.2加入虚拟设备H3C的接口成员中:I. 将10GE0/0.1和10GE0/0.2分别加入到H3C_

36、trust和H3C_untrust安全域,PC1 ping PC2,得到结果E。(3) 验证结果A. 能够 Ping通;B. 不能Ping通;C. 能够 Ping通;(10GE物理口工作在路由模式,使用三层子接口转发,出入报文域由三层子接口所在安全域确定)D. 不能Ping通;(需要使用命令:vlan-type 来指定tag类型及vlan)E. 能够Ping 通。(4) 注意事项 本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。A. 10GE物理口工作在路由模式,使用三层子接口转发,报文出入安全域由三层子接口所在的安全域确定;B. 三层子接口需要通过命令:Vlan-type dot

37、1q vid xxx命令来指定该子接口要接收带xxx Vlan tag标记的报文;C. 在非默认虚拟设备中实现三层子接口转发,参予转发的子接口要成为该虚拟设备的接口成员,关于此项不再详细说明。(5) 故障排除4.3.6 跨VLAN 二层转发(1) 功能简述处于不同Vlan但是IP地址配置为同一网段的主机实现互通。(2) 典型配置步骤(组网:图2)A. 命令行配置:S75交换机:#interface GigabitEthernet3/0/1 port access vlan 102#interface GigabitEthernet3/0/2 port access vlan 103# inte

38、rface Ten-GigabitEthernet2/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 102 to 103 #Secblade:#vlan 102 to 103#vlan 1000 #interface Ten-GigabitEthernet0/0port link-mode bridgeport link-type trunkport trunk permit vlan 1 102 to 103#interface Ten-GigabitEthernet0/0.102port

39、 link-mode bridgeport access vlan 1000#interface Ten-GigabitEthernet0/0.103 port link-mode bridge port access vlan 1000# PC机IP地址配置:PC1:102.0.0.1/8PC2:102.0.0.2/8 B. 同配置项4.3.1方法进入Web管理界面后,单击“系统管理”“安全域管理”,编辑trust安全域,将ten-GigabitEthernet0/0.102加入该域(所属vlan 应包含1000);C. 同样的操作,将ten-GigabitEthernet0/0.103加入

40、untrust安全域(所属vlan 应包含1000);D. 从PC1 Ping PC2地址:102.0.0.2,得到结果A;E. 从PC2 Ping PC1地址:102.0.0.1,得到结果B;F. 再将ten-GigabitEthernet0/0加入untrust域后,PC1 ping PC2,得到结果C;G. secblade 删除vlan 1000,只有vlan 102 103,PC1 Ping PC2,得到结果D;H. secblade 删除vlan 102 103,只有vlan 1000,PC1 Ping PC2,得到结果E;I. 在非默认虚拟设备中配置跨Vlan二层转发:J. 单击

41、“系统管理”“虚拟设备管理”“虚拟设备配置”“创建”,创建新的虚拟设备:H3C,K. 将vlan1000设置为虚拟设备H3C的Vlan成员:L. 单击“系统管理”“安全域管理”“创建”,分别创建属于虚拟设备H3C的安全域H3C_trust和H3C_untrust,如下:M. 将10GE0/0.102加入H3C_trust安全域,10GE0/0.103加入H3C_untrust安全域,PC1 ping PC2,得到结果F。(3) 验证结果A. PC1能够 Ping通PC2; B. PC2不能够Ping通PC1;(PC2处于untrust安全域,PC1处于trust安全域,trust域优先级高于u

42、ntrust域优先级)C. PC1能够 Ping通PC2;(10GE物理口工作在桥模式,使用二层子接口实现跨vlan转发,出入报文域由二层子接口所在安全域确定,将ten-GigabitEthernet0/0加入untrust域不影响互通)D. PC1能够 Ping通PC2;(删除vlan1000后,子接口ten0/0.102,ten0/0.103默认属于vlan1,所以流量能通过)E. PC1不能够Ping通PC2;(vlan不存在,无法建立二层转发表)F. PC1 能够 ping通PC2;(4) 注意事项A. SecBlade II 10GE口在二层模式下时若在它上面配置的子接口的编号和子接

43、口本身所属VLAN的ID相同时,对于广播报文将导致下游交换机发生MAC地址学习迁移,属于软件实现限制,在配置时请规避如下配置。 interface Ten-GigabitEthernet0/0.102 port link-mode bridge port access vlan 102B. 配置跨Vlan二层转发,要保证存在与二层子接口ID相同的Vlan才能正常转发;C. 10GE物理口工作在桥模式,使用二层子接口实现跨vlan转发,出入报文域由二层子接口所在安全域确定,不受ten-GigabitEthernet0/0所在安全域的影响; D. 跨Vlan二层转发,加入安全域的子接口的Vlan范

44、围要包含子接口的PVID,才能通流量;E. 子接口下若不配置vlan,则PVID为1 ,在设置加入域的Vlan范围时要包含vlan 1; F. 跨Vlan二层转发,不要将子接口PVID配置为和子接口ID相同,否则可能下游交换机MAC学习会产生问题,该问题已列为缺陷。(5) 故障排除4.3.7 跨vlan三层转发(通过Vlan虚接口转发)(1) 功能简述通过Vlan虚接口转发。(2) 典型配置步骤(组网:图2)A. 命令行配置:S75交换机:#interface GigabitEthernet3/0/1 port access vlan 102#interface GigabitEthernet3/0/2 port access vlan 103# interface Ten-GigabitEtherne

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1