配置VLAN-VPN TUNNEL

1.6.1 vlan-vpn tunnel简介

    vlan-vpn tunnel功能主要是实现在不同地域的用户网络，通过运营商网络内指定的vlan vpn进行bpdu报文的透明传输。

    如图1-6中上面为运营商网络，下面为用户网络。其中运营商网络包括报文输入输出设备，用户网络分别为用户网络a和用户网络b两个部分。通过在运营商网络两端报文输入输出设备上的配置，在一端将bpdu报文的目的mac地址格式替换成为特殊格式的mac地址，在另一端还原为目的mac地址格式，从而使报文在运营商网络中实现了透明传输。

   

    1.6.2 vlan-vpn tunnel配置

    vlan-vpn tunnel的主要配置包括：

   

    vlan vpn功能与stp功能，dot1x、gvrp、ntdp不兼容。

    1.6.3 vlan-vpn tunnel典型配置举例

    1. 组网需求

    s9500系列交换机作为运营商网络接入设备，即组网图中的switch c、switch d；

    s2000系列交换机为用户网络接入设备，即组网图中的switch a、switch b；

    switch c与switch d设备之间通过trunk端口实现连接，通过配置使能vlan-vpn tunnel功能，从而使用户网络与运营商网络之间实现透明传输。

    2. 组网图

   

    3. 配置步骤

    (1)switch a的配置

    # 启动mstp。

    [h3c] stp enable

    # 将端口设置为trunk端口并且允许vlan 10通过。

    [h3c] vlan 10

    [h3c-ethernet0/1] port link-type trunk

    [h3c-ethernet0/1] port trunk permit vlan 10

    (2)switch b的配置

    # 启动mstp。

    [h3c] stp enable

    # 将端口设置为trunk 端口并且容许vlan 10通过。

    [h3c] vlan 10

    [h3c-ethernet0/1] port link-type trunk

    [h3c-ethernet0/1]port trunk permit vlan 10

    (3)switch c的配置

    # 启动mstp。

    [h3c] stp enable

    # 启动vlan-vpn tunnel。

    [h3c] vlan-vpn tunnel

    # 将ethernet4/1/1加入vlan 20。

    [h3c] vlan 20

    [h3c-vlan20] port ethernet4/1/1

    [h3c-vlan20] quit

    # 关闭ethernet4/1/1的stp协议并打开vlan-vpn。

    [h3c] interface ethernet4/1/1

    [h3c-ethernet4/1/1] stp disable

    [h3c-ethernet4/1/1] vlan-vpn enable

    [h3c-ethernet4/1/1] quit

    # 将ethernet4/1/3端口设置为trunk端口,并把该端口加入到所有的vlan。

    [h3c] interface ethernet4/1/3

    [h3c-ethernet4/1/3] port link-type trunk

    [h3c-ethernet4/1/3] port trunk permit vlan all

    (4)switch d的配置

    # 启动mstp。

    [h3c] stp enable

    # 启动vlan-vpn tunnel。

    [h3c] vlan-vpn tunnel

    # 将ethernet3/1/1加入vlan 20。

    [h3c] vlan 20

    [h3c-vlan20] port ethernet3/1/1

    [h3c-vlan20] quit

    # 关闭ethernet3/1/1的stp协议并打开vlan-vpn。

    [h3c] interface ethernet3/1/1

    [h3c-ethernet3/1/1] stp disable

    [h3c-ethernet3/1/1] vlan-vpn enable

    [h3c-ethernet3/1/1] quit

    # 将ethernet3/1/3端口设置为trunk端口,并把该端口加入到所有的vlan。

    [h3c] interface ethernet3/1/3

    [h3c-ethernet3/1/3] port link-type trunk

    [h3c-ethernet3/1/3] port trunk permit vlan all

    使能vlan-vpn tunnel的设备上一定要启动stp协议；否则客户网络的bpdu进入交换机后，无法透传；

    使能vlan-vpn的端口要配置为access端口；中间运营商网络要配置为trunk链路；

    在使能了dot1x，gvrp，stp，ntdp，gmrp协议的端口上不能配置vlan-vpn tunnel。