在本章前面已经介绍到,Cisco IOS 交换机中有一种称之为 Tunnel 端口的二层交换端口。它所 利用的就是隧道(Tunneling)技术,是服务商为在他们的网络上承载多个客户通信而设计的一种功 能,以便在不影响其他客户通信的情况下为每个客户维护 VLAN 和二层协议配置。但在 LAN Base 特性集的 IOS 系统中不支持IEEE 802.1Q 和二层协议隧道。
最系统的交换机配置与管理手册
4.6.1 理解 IEEE 802.1Q Tunneling 技术
隧道技术是与 VLAN 紧密关联的,是在对应的 IEEE 802.1Q 标准中定义的。在具体的 ISP 服务 中,服务商的商业客户在 VLAN ID 和 VLAN 数目方面时常有一些具体要求。同一服务商的不同客 户所需的 VLAN 范围可能重叠,这样在同一基础架构中的不同用户的通信就会混在一起。如果为 不同客户分配一个不同的 VLAN ID 范围,则又会对客户有所限制,而且很容易超出交换机上可创 建的 VLAN ID 范围。
使用 IEEE 802.1Q 隧道功能,服务商可以使用单个 VLAN 来支持多个需要多个 VLAN 的客 户。客户 VLAN ID 是受保护的,同一服务商的不同客户的通信是相互隔离的,即使他们看似处于 同一个 VLAN 中。使用 IEEE 802.1Q 隧道功能的 VLANinVLAN 分层结构(也就是用一个服务商 提供的外部 VLAN 代表一个客户的多个内部 VLAN)和重标记已标记的数据包方案扩展了 VLAN 的空间。支持 IEEE 802.1Q 隧道功能的端口称为隧道端口(Tunnel Port)。当你配置隧道时,你指派 一个隧道端口到在隧道中使用的 VLAN ID。每个客户需要一个独立的服务商 VLAN ID 作为外部 VLAN,但是这个 VLAN ID 支持所有客户自己的内部 VLAN。
来自客户端设备 IEEE 802.1Q 中继端口的客户通信先使用适当的 VLAN ID 进行标记,然后进 入服务商边缘交换机上的 IEEE 802.1Q 隧道端口。客户端设备和服务商边缘设备上的链路是不对称 的,因为一端是配置作为 IEEE 802.1Q 中继端口,另一端是被配置为隧道端口。你可以为每个客户 在隧道端口上分配一个唯一的访问 VLAN ID,如图 45 所示。
图 45 客户端 Trunk 端口与服务商 Tunnel 端口的连接示意图
从客户端中继端口进入到服务商边缘交换机隧道端口的数据包通常是以相应 VLAN ID 标记的 IEEE 802.1Q 包(在原来的以太网帧 Len/Etype 字段前插入了 Etype 和 Tag 两个字段)。这个标记包 在离开客户端设备前是保持不变的,但进入到服务商网络时,它们将被另一层包含了分配给相应客 户的 VLAN ID 的 IEEE 802.1Q 标记(称为 Metro Tag)进行封装(再在 Etype 字段前面插入 Etype 和 Tag 两个字段)。原来客户的 IEEE 802.1Q 标记仍被保留在封装包中,图 46 显示了双重标记数 据包的结构。所以,数据包进入到服务商网络时,是包含了分配给客户的 VLAN ID 标记和流入通 信的内部 VLAN ID 标记的双重标记。当双重标记的数据包进入服务商核心交换机上的一个中继端
最系统的交换机配置与管理手册
口时,外层标记(Metro Tag)在数据交换时被剥离。当数据包从核心交换机上的另一个中继端口离 开时,则又重新封装了 Metro Tag。
图 46 原始以太网帧、IEEE 802.1Q 帧和双标记以太网帧格式
当数据包进入到服务商出口交换机的中继端口时,外层标记又重新被剥离。此时数据包被直接 发送到客户端的边缘交换机隧道端口,外层标记也不再封装在这个数据包上。数据包作为一个普通 IEEE 802.1Q 标记帧发送,保留客户端网络中自己的 VLAN ID 标记。
在图 45 中,服务商为客户 A 分配了一个 VLAN 30,而为客户 B 分配了一个 VLAN 40。进入 客户边缘设备中继端口的包是带有 IEEE 802.1Q 标记的,进入到服务商网络时,将使用 VLAN ID 30 或 40 再次对这个数据包进行标记。而内层中标记的是他们各自内部的 VLAN ID,如 VLAN 100。即使在客户 A 和客户 B 的网络中都有 VLAN 100,他们在服务商网络中的通信仍是独立的,
因为他们发送的数据包中,进入到服务商网络后被封装的外层标记是不一样的。每个客户可以控制 他自己内部网络的 VLAN 空间,与其他客户和服务商网络所使用的 VLAN 空间都无关。在流出的 隧道端口上,包中原来的客户端网络 VLAN ID 将被覆盖。
如果来自客户网络的通信是没有标记的(也就是为本地 VLAN 帧),这些数据包将被作为普通 包进行桥接或被路由。所有通过服务商边缘设备隧道端口进入到服务商网络的包都将作为未标记包 来处理,不管是否用 IEEE 802.1Q 头进行了标记。在数据包通过服务商网络 IEEE 802.1Q 中继端口 发送时将用 Metro Tag VLAN ID 进行封装。在 Metro Tag 中的优先级(Priority)字段设置为隧道接 口上配置的接口 CoS(Class of Service,服务分类)。如果没有配置 CoS,则优先级字段设为 0。
在 Catalyst 3750 系列交换机上,802.1Q 隧道是基于每端口来配置的,与交换机是独立交换机 还是堆叠成员无关。如果是交换机堆叠,则所有配置均在堆叠主交换机上进行操作。
4.6.2 IEEE 802.1Q Tunneling 配置指南
默认情况下是禁止 IEEE 802.1Q 隧道协议的,因为默认的交换端口是动态自动模式(dynamic auto)。在所有 IEEE 802.1Q 中继端口上,用 IEEE 802.1Q 标记的本地 VLAN(Native VLAN)包是 禁止的。
当配置 IEEE 802.1Q 隧道时,应当在客户端设备和服务商边缘交换机之间总是使用非对称链 路,把客户端设备的流出端口配置为 IEEE 802.1Q 中继端口,服务商边缘交换机的流入端口配置为 隧道端口。仅当 VLAN 使用隧道技术时才分配隧道端口。
当在服务商边缘交换机上配置 IEEE 802.1Q 隧道时,必须使用 IEEE 802.1Q 中继端口来发送数 据包进入到服务商网络。但是无论如何,数据包通过服务商网络核心时可能要通过 IEEE 802.1Q 中
最系统的交换机配置与管理手册 继、ISL 中继或者非中继链路。当在核心交换机上使用 IEEE 802.1Q 中继时,IEEE 802.1Q 中继的 本地 VLAN(Native VLAN)不能与同一交换机上的任何非中继(隧道)端口的本地 VLAN 一样,
因为在本地 VLAN 中的通信在 IEEE 802.1Q 中继端口上发送时是不进行标记的。
例如在图 47 中,假设服务商为客户 X 分配了一个 VLAN 40,而客户 X 在 Switch A 的中 继端口上配置了本地 VLAN 40。现客户 X 的 Switch A 发送一个标记为 VLAN 30 的数据包到服 务商网络 Switch B 中属于 VLAN 40 的隧道端口上。因为隧道端口的访问 VLAN 与客户 X 边缘 交换机中继端口的本地 VLAN 一样,则 Metro 标记不会添加到从隧道端口上接收到的已标记数 据包中,也就是不会再对该数据包封装服务商为客户 X 分配的 VLAN 40 标记。这样这个数据 包就仅带有 VLAN 30 标记,通过 Switch B 和 Switch C 之间的中继链路直接转发,到达出口交 换机 Switch C 的中继端口后会错误地从服务商边缘交换机隧道端口到达客户 Y 的 Switch E 交换 机中继端口(本应是到达客户 X 的 Switch D 交换机中继端口),因为客户 Y 所连接的隧道端口 正好属于 VLAN 30。
图 47 IEEE 802.1Q 隧道技术与本地 VLAN 同时使用时存在潜在的问题 为了解决这个问题,可以采取以下几种方法:
l 在服务商网络核心交换机间使用 ISL 中继方式。因为服务商网络客户端接口与客户端网络 边缘交换机之间的连接必须是 IEEE 802.1Q 中继模式,所以建议在服务商核心交换机间使 用 ISL 中继模式。
l 使用 vlan dot1q tag native 全局配置命令配置边缘交换机,以便所有流出 IEEE 802.1Q 中 继端口的包(包括本地 VLAN)都将被标记。如果在所有 IEEE 802.1Q 中继端口上配置标 记本地 VLAN 包,则交换机可以接收未标记包,但仅发送标记包。
l 确保在客户端网络边缘交换机中继端口上的本地 VLAN ID 不在客户 VLAN 范围之内。例 如,如果中继端口承载的是 VLAN 100~200 的通信,则分配给客户的 VLAN ID 不要在这 个范围内。
另外,尽管 IEEE 802.1Q 隧道可以很好地进行二层数据包交换,但仍有一些二层功能和三层交 换在隧道端口上不兼容。具体如下:
l 隧道端口不能成为可路由端口。
最系统的交换机配置与管理手册
l 在包括 IEEE 802.1Q 隧道端口的 VLAN 中不支持 IP 路由,在隧道端口上接收到的数据包仅 进行二层转发。如果在一个包括隧道端口的 VLAN 的 SVI 上启用了 IP 路由,在隧道端口上 接收到的非标记 IP 数据包可以被识别并被交换机路由。客户可以通过它的本地 VLAN 访问 Internet。如果这种访问不需要,则不要在包括隧道端口的 VLAN 上配置 SVI。
l 隧道端口不支持 Fallback Bridging,因为所有从隧道端口中接收到的 IEEE 802.1Q 标记数 据包被看做是非 IP 数据包。如果在包含隧道端口的 VLAN 中启用 Fallback Bridging,IP 包将会通过 VLAN 不正确地桥接。所以,一定不要在包含隧道端口的 VLAN 中启用 Fallback Bridging。
l 隧道端口不支持 IP ACL。
l 隧道端口不支持三层 QoS ACL 和其他与三层信息相关的 QoS 功能,但支持基于 MAC 的 QoS。
l 只要在隧道端口上的 IEEE 802.1Q 配置与以太网通道组的配置一致,则以太网通道组与隧 道端口可以兼容。
l 在 IEEE 802.1Q 隧道端口上支持 PAgP(Port Aggregation Protocol,端口聚合协议)、LACP
(Link Aggregation Control Protocol,链路聚合控制协议)和 UDLD(UniDirectional Link Detection,单向链路检测)。
l DTP 不能与 IEEE 802.1Q 隧道兼容,因此必须手动配置非对称链路两端的隧道端口和中继 端口。
l 在隧道中的非对称链路中不能运行 VTP。
l IEEE 802.1Q 隧道端口支持环路检测功能。
l 当一个端口被配置成 IEEE 802.1Q 隧道端口时,STP BPDU 过滤功能就会自动在接口上启 用,而 CDP 和 LLDP 自动在接口禁用。
4.6.3 IEEE 802.1Q Tunnel 端口配置
可自特权模式开始,按照表 426 所示的步骤配置 IEEE 802.1Q 隧道端口。
表 426 IEEE 802.1Q 隧道端口的配置步骤
步骤 命令 说明
1 Switch#configure terminal 进入全局配置模式
2 Switch(config)#interface interfaceid
键入要配置为隧道端口的二层接口并进入接口配置模式。这应该是服务商 网络连接客户交换机的边缘端口。可以是物理接口或端口通道逻辑接口
(端口通道号为 1~48)
(端口通道号为 1~48)