SR88 QinQ中通过本地Arp代理实现二层隔离、三层互通的案例
拓扑:
描述:
PCA、PCB分别加入到5800上的VLAN10和VLAN20,5800上连口起trunk,允许VLAN10、VLAN20通过;在95交换机和58相连接口上允许VLAN10 20 100通过,PVID为100,开启QinQ功能,95上连口起trunk,允许VLAN100通过,在SR88上开启终结内层标签功能。
目的:
验证SR88终结QinQ双层标签,同时实现内层不同vlan之间的互访。
步骤:
根据如上拓扑组网
一、
S5800上的配置:
#
vlan 10
#
vlan 20
#
interface GigabitEthernet1/0/37 //上连口
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 10 20
#
#
interface GigabitEthernet1/0/45 //PCA所连接的接口
port link-mode bridge
port access vlan 10
#
#
interface GigabitEthernet1/0/47 //PCB所连接的接口
port link-mode bridge
port access vlan 20
#
在S95E交换机上配置QinQ功能,针对内层vlan10、vlan20打上vlan100的外层tag:
#
vlan 10
#
vlan 20
#
vlan 100
#
#
interface GigabitEthernet 1/0/23 //下连58交换机的接口
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 10 20 100
port trunk pvid vlan 100
qinq enable
#
interface GigabitEthernet 1/0/24 //上连SR88的接口
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100
#
SR88路由器上终结双层标签的配置:
#
interface GigabitEthernet5/1/1.100
second-dot1q 10 20
ip address 10.1.1.1 255.255.255.0
#
注:
second-dot1q命令用来使能当前接口的QinQ终结功能,并指明当前接口可以终结的QinQ报文的内层VLAN ID值(外层VLAN ID等于当前接口的编号,不能配置)。
二、
SR88上未配置Arp代理时,PC-A ping PC-B无法ping通,但是都能ping通SR88上面的子接口地址。
三、 在SR88上开启本地arp代理,实现vlan10、vlan20之间的互访。
1、在SR88上配置本地Arp代理后
interface GigabitEthernet5/1/1.100
second-dot1q 10 20
ip address 10.1.1.1 255.255.255.0
local-proxy-arp enable
PC-A 可以ping通PC-B,而PC-B回包时对10.1.1.3的Arp请求会在SR88上终结,然后由SR88代理完成Arp请求,见如下抓包:
即PC-B的Arp请求报文不会被SR88广播至PC-A侧,同理,在PC-B上也并未收到10.1.1.3(PC-A)对10.1.1.8的请求报文,说明该报文也已在SR88上终结,故配置了本地Arp代理,使上述组网形成二层隔离,三层互通,同一网段内不会形成广播风暴。
2、同时在PC-B侧抓包发现了PC-B发送的用来检测地址冲突的免费Arp,但却未发现PC-A发送的该类Arp,说明这类广播报文在SR88上未被广播转发,故PC-B侧收不到该类报文,说明SR88为三层设备,不会对广播报文进行复制转发,也不会产生广播风暴。
结论:
SR88终结qinq双层标签,通过配置本地Arp代理实现二层隔离,三层互通的方案可行,且在同一网段内,不会产生广播风暴。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作