组网需求
如下图所示,网络中有两个企业,企业1有两个分支,企业2有两个分支。这两个企业的各办公地的企业网都分别和运营商网络中的LSW1和LSW2相连。
现需要实现:
- 企业1和企业2独立划分VLAN,两者互不影响。
- 各企业两分支之间流量通过公网透明传输,相同业务之间互通,不同业务之间互相隔离。
可通过配置QinQ来实现以上需求。利用公网提供的VLAN100使企业1互通,利用公网提供的VLAN200使企业2互通,不同企业之间互相隔离。
配置思路
采用如下的思路配置QinQ:
- 在LSW1和LSW2上均创建VLAN100和VLAN200,配置连接业务的接口为QinQ类型,并分别加入VLAN。实现不同业务添加不同的外层VLAN Tag。
- 配置LSW1和LSW2上连接公网的接口加入相应VLAN,实现允许VLAN100和200的报文通过。
配置步骤
1. 创建VLAN
在LSW1和LSW2上创建VLAN100和VLAN200
LSW1
<Huawei>system-view [Huawei]sysname LSW1 [LSW1]vlan batch 100 200
LSW2
<Huawei>system-view [Huawei]sysname LSW2 [LSW2]vlan batch 100 200
2. 配置相应接口为QinQ
在LSW1和LSW2上配置接口GE0/0/2、GE0/0/3的类型为QinQ,GE0/0/2的外层tag为VLAN100,GE0/0/3的外层tag为VLAN200。
LSW1
[LSW1]interface gigabitethernet 0/0/2 [LSW1-GigabitEthernet0/0/2]port link-type dot1q-tunnel [LSW1-GigabitEthernet0/0/2]port default vlan 100 [LSW1-GigabitEthernet0/0/2]quit [LSW1]interface gigabitethernet 0/0/3 [LSW1-GigabitEthernet0/0/3]port link-type dot1q-tunnel [LSW1-GigabitEthernet0/0/3]port default vlan 200 [LSW1-GigabitEthernet0/0/3]quit
LSW2
[LSW2]interface gigabitethernet 0/0/2 [LSW2-GigabitEthernet0/0/2]port link-type dot1q-tunnel [LSW2-GigabitEthernet0/0/2]port default vlan 100 [LSW2-GigabitEthernet0/0/2]quit [LSW2]interface gigabitethernet 0/0/3 [LSW2-GigabitEthernet0/0/3]port link-type dot1q-tunnel [LSW2-GigabitEthernet0/0/3]port default vlan 200 [LSW2-GigabitEthernet0/0/3]quit
3. 配置相应的接口以验证上述QinQ配置的有效性
3.1. 配置LSW连接Internet侧的接口
LSW1
[LSW1]interface gigabitethernet 0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type trunk [LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200 [LSW1-GigabitEthernet0/0/1]quit
LSW2 公众号同名
[LSW2]interface gigabitethernet 0/0/1 [LSW2-GigabitEthernet0/0/1]port link-type trunk [LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200 [LSW2-GigabitEthernet0/0/1]quit
LSW3
<Huawei>system-view [Huawei]sysname LSW3 [LSW3]interface gigabitethernet 0/0/1 [LSW3-GigabitEthernet0/0/1]port link-type trunk [LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200 [LSW3-GigabitEthernet0/0/1]quit [LSW3]interface gigabitethernet 0/0/2 [LSW3-GigabitEthernet0/0/2]port link-type trunk [LSW3-GigabitEthernet0/0/2]port trunk allow-pass vlan 100 200 [LSW3-GigabitEthernet0/0/2]quit
3.2. 配置LSW以连接企业网络侧及上行链路接口
LSW4
<Huawei> <Huawei>system-view [Huawei]sysname LSW4 [LSW4]vlan batch 10 100 [LSW4]interface gigabitethernet 0/0/1 [LSW4-GigabitEthernet0/0/1]port link-type trunk [LSW4-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 100 [LSW4-GigabitEthernet0/0/1]quit [LSW4]interface gigabitethernet 0/0/2 [LSW4-GigabitEthernet0/0/2]port link-type access [LSW4-GigabitEthernet0/0/2]port default vlan 10 [LSW4-GigabitEthernet0/0/2]quit [LSW4]interface vlanif 10 [LSW4-Vlanif10]ip address 192.168.10.1 24 [LSW4-Vlanif10]quit
LSW6
<Huawei>system-view [Huawei]sysname LSW6 [LSW6]vlan batch 10 100 [LSW6]interface gigabitethernet 0/0/1 [LSW6-GigabitEthernet0/0/1]port link-type trunk [LSW6-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 100 [LSW6-GigabitEthernet0/0/1]quit [LSW6]interface gigabitethernet 0/0/2 [LSW6-GigabitEthernet0/0/2]port link-type access [LSW6-GigabitEthernet0/0/2]port default vlan 10 [LSW6-GigabitEthernet0/0/2]quit [LSW6]interface vlanif 10 [LSW6-Vlanif10]ip address 192.168.10.2 24 [LSW6-Vlanif10]quit
LSW5
<Huawei>system-view [Huawei]sysname LSW5 [LSW5]vlan batch 20 200 [LSW5]interface gigabitethernet 0/0/1 [LSW5-GigabitEthernet0/0/1]port link-type trunk [LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 200 [LSW5-GigabitEthernet0/0/1]quit [LSW5]interface gigabitethernet 0/0/2 [LSW5-GigabitEthernet0/0/2]port link-type access [LSW5-GigabitEthernet0/0/2]port default vlan 20 [LSW5-GigabitEthernet0/0/2]quit [LSW5]interface vlanif 20 [LSW5-Vlanif20]ip address 192.168.20.1 24 [LSW5-Vlanif20]quit
LSW7
<Huawei>system-view [Huawei]sysname LSW7 [LSW7]vlan batch 20 200 [LSW7]interface gigabitethernet 0/0/1 [LSW7-GigabitEthernet0/0/1]port link-type trunk [LSW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 200 [LSW7-GigabitEthernet0/0/1]quit [LSW7]interface gigabitethernet 0/0/2 [LSW7-GigabitEthernet0/0/2]port link-type access [LSW7-GigabitEthernet0/0/2]port default vlan 20 [LSW7-GigabitEthernet0/0/2]quit [LSW7]interface vlanif 20 [LSW7-Vlanif20]ip address 192.168.20.21 24 [LSW7-Vlanif20]quit
3.3. 配置各模拟企业PC的IP地址
PC1
PC2
PC3
PC4
4. 验证配置结果
- 从企业1一处分支内任意VLAN的一台PC ping企业1另外一处分支同一VLAN内的PC,如果可以ping通则表示企业1内部可以互相通信。
- 从企业2一处分支内任意VLAN的一台PC ping企业2另外一处分支同一VLAN内的PC,如果可以ping通则表示企业2内部可以互相通信。
- 从企业1一处分支内任意VLAN的一台PC ping企业2任意一处分支同一VLAN内的PC,如果不能ping通则表示企业1和企业2之间相互隔离。
4.1. 企业1内,同VLAN的任意两台PC间若能ping通,即表明内部通信正常,以企业1为例进行抓包验证。
4.2. 若企业1某分支任一VLAN内PC无法ping通企业2同VLAN任意分支PC,则表明两企业间相互隔离。
