SE800配置指南 - 图文(6)

address-family ipv4 unicast 指定BGP地址族为ipv4 ! neighbor 61.168.255.250 internal 指定BGP邻居地址 peer-group ha-zz 将邻居放入特定组 password password 指定BGP邻居认证密码 ! 4 VLAN STACKING模式配臵规范 4.1 配臵范例环境描述 DHCP+目前只能实现与三层设备的IP地址进行绑定，范围过大，不能有效的实现用户、端口唯一绑定及未来河南网通预付费业务的要求。通过VLAN STACKING技术可实现用户端口识别,对用户进行有效管理。新建直连汇聚交换机的DSLAM和LAN交换机要求尽量采用该方式。 该模式下，每个的PPPOE用户属于不同的vlan，适用于DSLAM和LAN交换机上联接口能启用vlan stacking的情况，如下图所示，用户在接入层设备上联出口外打上外层vlan标签，通过stacking vlan隧道透传至SE800，由SE800 终结PPPOE用户，由于处层vlan标签在二层域中的唯一性，能保证二层域中用户vlan和接入层是唯一的。 图4-1-1 vlan stacking用户接入示意图 VLAN STACKING方式配臵环境如下所示： 图4-1-2 stacking vlan配臵环境 本次测试就连接方式作如下说明： BRAS的6/2接口连CISCO7609的G1/1口，并且封装为TRUNK 。 DLINK，华为，ZTE，CISCO2950交换机分别以TRUNK方式连在CISCO7609的第F6/1，F6/2，F6/3，F6/5口。同时CISCO7609的F6/1，F6/2，F6/3，F6/5口分别属于VLAN901，VLAN902，VLAN903，VLAN905。并且对F6/1-F6/3，F6/5端口做vlan stacking封装。 此次测试为模拟接入小区用户通过PPPOE拨号方式，将用户VLAN ID经过VLAN STACKING封装透传到BAS上进行认证。现将用户认证的过程配合拓扑图做简要的说明：首先假设在接入层CISCO2950交换机上有一个VLAN 10的用户要进行PPPOE认证上网，由于CISCO2950交换机上联口和CISCO7609起802.1q 封装，因此VLAN 10 出交换机上联口后，对数据报文进行 TAG 10标记。当此报文通过7609第F6/5口后，又在报文外层进行再次TAG封装，外层标签为 901 。经过VLAN901透传到BAS 设备时，BAS设备对此VLAN STACKING报文进行两次解封装,终结vlan stacking。 4.2 SE800 vlan stacking配臵 SE800终结STACKING VLAN和PPPOE。如接入层为vlan10的拨号用户经过外层vlan901的二次封装后，在SE800上的终结vlan号为dot1q pvc 901:10,其它依此类推。 ! context dial ! interface adsl-01 multibind 创始建拨号网关和地址池 ip address 125.40.4.1/22 ip pool 125.40.4.0/22 ! port ethernet 6/2 description to-hhl-7609-9/1 no shutdown encapsulation dot1q dot1q pvc 901 encapsulation 1qtunnel 将VLAN901做成stacking vlan 外层vlan dot1q pvc 901:10 encapsulation pppoe 配臵内层vlan，与接入层vlan对应 bind authentication pap maximum 5 dot1q pvc 902 encapsulation 1qtunnel dot1q pvc 902:10 encapsulation pppoe bind authentication pap maximum 5 dot1q pvc 903 encapsulation 1qtunnel dot1q pvc 903:10 encapsulation pppoe bind authentication pap maximum 5 dot1q pvc 905 encapsulation 1qtunnel dot1q pvc 905:10 encapsulation pppoe bind authentication pap maximum 5 ！ 4.3 汇聚层交换机vlan stacking配臵 基本的配臵要求为：汇聚层交换机上连SE800接口封装为802.1q trunk。下挂DSLAM和接入层交换机的端口启用stacking vlan功能。 对于汇聚层交换机下挂ZAN且ZAN具备实施stacking vlan的，汇聚层交换机下联ZAN的接口和ZAN的上联接口都封装为802 .1q trunk，ZAN下联BAN或DSLAM的接口应启用stacking vlan功能。 对于外层vlan,应根据各地市vlan使用情况为stacking vlan接口预留vlan号，各stacking vlan接口外层vlan号不能冲突,以便于区分接入层DSLAM或交换机。 以下为全省各类型汇聚交换机的配臵范例： 4.3.1 CISCO7609的VLAN STACKING配臵范例 一 、在全局模式下要求所有的TRUNK口内通过的报文都为802.q报文 zz-hh-7609(config)#vlan dot1q tag native 二、配臵和交换机相连的F6/1，F6/2，F6/3，F6/5 ，分别加入到 VLAN901，VLAN902，VLAN903，VLAN905内。并配臵成为stacking vlan端口。 zz-hh-7609(config)#vlan 901 zz-hh-7609(config)#vlan 902 zz-hh-7609(config)#vlan 903 zz-hh-7609(config)#vlan 905 ! 创建 VLAN 901，902，903，905 zz-hh-7609(config)#int fa6/1 zz-hh-7609(config-if)#switchport access vlan 901 创建外层vlan号 zz-hh-7609(config-if)#switchport mode dot1q-tunnel 将端口做成vlan stacking方式 zz-hh-7609(config)#int fa6/2 zz-hh-7609(config-if)#switchport access vlan 902 zz-hh-7609(config-if)#switchport mode dot1q-tunnel zz-hh-7609(config)#int fa6/3 zz-hh-7609(config-if)#switchport access vlan 903 zz-hh-7609(config-if)#switchport mode dot1q-tunnel zz-hh-7609(config)#int fa6/5 zz-hh-7609(config-if)#switchport access vlan 905 zz-hh-7609(config-if)#switchport mode dot1q-tunnel ！将f6/1,f6/2,f6/3,f6/5 分别加入到VLAN 中，并配臵为stacking vlan 端口。 三、配臵和BAS相连的G1/1口为TRUNK口. zz-hh-7609(config)# int g1/1 zz-hh-7609(config-if)#switchport trunk encapsulation dot1q zz-hh-7609(config-if)# switchport mode trunk zz-hh-7609(config-if)# switchport trunk allowed vlan 901，902，903，905 ! 将G1/1口配臵成为TRUNK 口，并只允许相关VLAN（需要做认证）通过！ 四,检查VLAN和VLAN STACKING zz-hh-7609#show int trunk Port Mode Encapsulation Status Native vlan Gi1/1 on 802.1q trunking 1 Port Vlans allowed on trunk Gi1/1 1-4094 Port Vlans allowed and active in management domain Gi1/1 1,901-903,907 Port Vlans in spanning tree forwarding state and not pruned Gi1/1 none zz-hh-7609#show dot1q-tunnel LAN Port(s) Fa6/1 Fa6/2 Fa6/3 Fa6/5 4.3.2 CISCO6509VLAN STACKING配臵范例 在６５０９二层全局模式下配臵： 第一步：设臵vlan和trunk Set vlan 901 6/1 set vlan 902 6/2 set vlan 903 6/3 set vlan 905 6/5 set trunk 1/1 on dot1q （注：1/1口连接BAS） clear trunk 1/1 2-900,904,906-4096 (注：目前是只允许vlan1，901，902，903, 905通过这个trunk，如清除其它vlan，可采如例子命令：clear trunk 1/1 2-900,904,906-4096) 第二步：设臵VLAN STACKING set dot1q-all-tagged enable set port dot1qtunnel 6/1 access set port dot1qtunnel 6/2 access set port dot1qtunnel 6/3 access set port dot1qtunnel 6/5 access 第三步：检查vlan 和VLAN STACKING Show vlan Show trunk show dot1q-all-tagged show port dot1qtunnel 6/1 show port dot1qtunnel 6/2 show port dot1qtunnel 6/3 show port dot1qtunnel 6/5 4.3.3 华为8505VLAN STACKING配臵范例 以下为开启VLAN STACKING时，S8505（汇聚）交换机数据配臵规范： 设臵S8505与BAS互连的接口e2/1/1为trunk port，并设臵只允许透传的VLAN号。 Int e2/1/1 Duplex full Speed 1000 Port link trunk Port trunk permit vlan 901 902 903 设臵与下挂3526E互连的端口为access port；创建VLAN 901，将端口添加到该VLAN中；最后启动VLAN STACKING功能。 vlan 901 Int e1/1/1 Port link access Port access vlan 901 Vlan-vpn enable 开启端口vlan stacking功能。 4.4 接入层设备VLAN STACKING配臵规范 基本配臵原则为：接入层设备配臵时上联接口配臵成802.1q trunk，分配给用户使用的端口做到一个用户一个VLAN。管理vlan与用户vlan分开,对于管理vlan,尽量避免使用native vlan。 4.4.1 cisco2950 VLAN STACKING配臵模板 按上面拓扑图连接，将接入层设备CISCO2950配臵做说明： 创建用户vlan和和上联trunk zz-hh-2950(config)#vlan 10 zz-hh-2950(config)#int fa1/10