目 录
1 介绍 1.1 特性简介 1.2 特性关键技术点 2 特性使用指南 2.1 使用场合 2.2 配置指南
2.2.1 配置混合模式桥组 2.3 注意事项 3 配置举例
3.1 VLAN透传典型应用组网 3.1.1 组网需求 3.1.2 物理连接图 3.1.3 配置步骤
3.2 SecPath F100-A VLAN透传组网 3.2.1 组网需求 3.2.2 物理连接图 3.2.3 配置步骤 3.3 故障排除 3.3.1 故障排除命令 3.3.2 故障现象举例 4 关键命令 4.1 bridge enable
4.2 bridge bridge-set enable
4.3 bridge vlanid-transparent-transmit enable 4.4 insulate 5 相关资料 5.1 其它相关资料
1 介绍
1.1 特性简介
在混合模式下,桥支持VLAN ID透传特性是指:通过对加入桥组的设备出接口配置支持VLAN ID透传,可以使报文从该接口送出时,不对报文的VLAN ID做任何修改。
使能桥出接口VLAN ID透传,则报文从该接口发出时保留报文入桥时的VLAN ID,如果没有VLAN ID不增加VLAN ID。
1.2 特性关键技术点
配置了VLAN透传后,防火墙不会对报文的VLAN tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输,保证不同VLAN之间的隔离、同一VLAN之间的互通。
2 特性使用指南
2.1 使用场合
当系统中存在VLAN部署,不同的VLAN之间需要进行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。
2.2 配置指南
混合模式下桥接功能的配置步骤分为以下几步:
使能桥组功能 使能一个桥组。 将接口加入到桥组中
使能桥组下接口的VLAN透传功能
2.2.1 配置混合模式桥组
步骤 操作说明 1 2 3 使能桥组功能 使能一个桥组 进入接口视图 操作命令 [H3C] bridge enable [H3C] bridge bridge-set enable [H3C] interface type number [H3C-GigabitEthernet0/0] bridge-set 4 将接口加入到桥组中 bridge-set 在接口下配置VLAN[H3C-GigabitEthernet0/0] bridge 5 透传
vlanid-transparent-transmit enable 2.3 注意事项
当配置VLAN透传功能时,需要注意以下事项:
子接口不支持VLAN透传。
F100A设备的四个LAN接口需要执行undo insulate命令聚合成一个接口
才能使用VLAN透传功能。
VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,如果希
望SecPath防火墙与交换机的管理VLAN 互通,需要借助子接口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。
3 配置举例
3.1 VLAN透传典型应用组网
3.1.1 组网需求
客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,客户端PC,M属于VLAN99,用来模拟属于不同VLAN的用户。在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。交换机Switch1和Switch2的管理VLAN为VLAN99。
要求VLAN100和VLAN200能够互相隔离,交换机可以通过管理VLAN99与防火墙互通。
3.1.2 物理连接图
图1 VLAN透传组网图
3.1.3 配置步骤
1. 使用的版本
Comware software, Version 3.40, ESS 1622 2. 支持产品
SecPath F1000-A/F1000-S/F100-E/F100-A 3. 配置防火墙
当前视图 配置命令 firewall packet-filter [H3C] default permit [H3C] bridge enable 默认改为允许 使能桥组功能 简单说明 防火墙包过滤
VLAN透传配置举例
