03 Ethernet Switching

Link Aggregation

Visão geral do link aggregation

Por meio da agregação de link, vários links físicos entre dois dispositivos são vinculados para formar um link lógico para expandir a capacidade do link. Dentro do link lógico, os links físicos atuam como redundância e backup dinâmico uns dos outros, proporcionando maior confiabilidade de conexão de rede.

Conceitos Básicos

Link Aggregation e Portas Membros

Várias portas físicas são vinculadas para formar um link aggregation e as portas físicas são portas membro do link aggregation.

Status da porta do membro

As portas membro de um link aggregation têm os dois status a seguir :

  • Selecionado: As portas membro que estão neste status podem participar do encaminhamento de tráfego do serviço de usuário. As portas membro neste status são chamadas de "portas selecionadas".
  • Desmarcado: As portas membro que estão neste status não podem participar do encaminhamento de tráfego de serviço do usuário. As portas membro neste status são chamadas de "portas não selecionadas".

A taxa e o modo duplex de um link aggregation são determinados pelas portas selecionadas no link aggregation. A taxa de um link aggregation é a soma de todas as portas selecionadas e o modo duplex do link aggregation é o mesmo que o modo duplex das portas selecionadas.

Chave de operação

Uma chave de operação é a configuração de propriedade das portas membro. Ele consiste na taxa, modo duplex e chave administrativa (ou seja, o número do link aggregation). Na configuração da propriedade, a alteração do modo ou taxa duplex pode causar o recálculo da chave de operação.

Em um link aggregation, se os modos duplex ou as taxas das portas membro forem diferentes, as chaves de operação geradas serão diferentes. No entanto, as portas membro que estão no status selecionado devem ter a mesma chave de operação.

LACP

O Link Aggregation Control Protocol (LACP) é um protocolo baseado em IEEE802.3ad. No LACP, as Unidades de Dados do Protocolo de Controle de Agregação de Link (LACPDUs) são usadas para trocar mensagens com o ponto final .

Prioridades LACP

As prioridades LACP são categorizadas em dois tipos: prioridades LACP do sistema e prioridades LACP da porta.

  • Prioridades do sistema LACP: Eles são usados para determinar a ordem de prioridade LACP dos dispositivos nas duas extremidades.
  • Prioridades de porta LACP: Elas são usadas para determinar a ordem de prioridade na qual as portas membro do dispositivo local são selecionadas.

ID do sistema e ID da porta

ID do sistema: propriedade de agregação de um dispositivo. Consiste na prioridade LACP do sistema do dispositivo e no endereço MAC do sistema. Quanto maior for a prioridade do LACP do sistema, melhor será o ID do sistema do dispositivo. Se as prioridades do sistema LACP forem as mesmas, quanto menor for o endereço MAC do sistema, melhor será o ID do sistema do dispositivo.

Port ID: propriedade de agregação de uma porta. Consiste na prioridade LACP da porta e no número da porta. Quanto maior a prioridade do LACP da porta, melhor é o ID da porta. Se as prioridades do LACP da porta forem as mesmas, quanto menor o número da porta, melhor será o ID da porta.

Porta raiz de um link aggregation

Os protocolos aplicados em um link aggregation recebem e enviam pacotes de protocolo pela porta raiz do link aggregation. A porta raiz de um link aggregation é selecionada das portas membro do link aggregation. O link físico da porta raiz deve estar no status ativo.

Modos de link aggregation

Os modos de agregação de link incluem o modo de agregação estática e o modo de agregação dinâmica. Os link aggregation são categorizados em link aggregation estáticos e grupos de agregação dinâmicos.

Modo de agregação estática

No modo de agregação estática, o protocolo LACP das portas membro dos dispositivos nas duas extremidades está no status desabilitado. No link aggregation estático do dispositivo local, defina o status selecionado e não selecionado para as portas membro seguindo as diretrizes descritas abaixo:

Figura 1 -1 Configurando o status das portas membro no modo de agregação estática

Modo de agregação dinâmica

Em portas de agregação dinâmica, uma porta pode ingressar em um link aggregation dinâmico em dois modos, ativo ou passivo.

  • Se o modo duplex da porta for full duplex:

Se a porta ingressar em um link aggregation dinâmico no modo ativo, o protocolo LACP será habilitado para a porta.

Se a porta ingressar em um link aggregation dinâmico no modo passivo, o protocolo LACP será desabilitado para a porta. Depois de receber os pacotes LACPDU da porta de mesmo nível, o protocolo LACP é ativado.

  • Se o modo duplex da porta for half duplex, independentemente de a porta ingressar em um link aggregation dinâmico em qualquer modo, o protocolo LACP será desabilitado para a porta.

No link aggregation dinâmico, defina o status selecionado e não selecionado para as portas membro seguindo as diretrizes descritas abaixo:

Primeiro, determine o dispositivo com um ID de sistema melhor. Em seguida, o dispositivo determina os status das portas membro dos dispositivos nas duas extremidades. O dispositivo com a melhor ID do sistema define o status selecionado e não selecionado para as portas membro seguindo as diretrizes descritas abaixo:

Figura 1 -2 Configurando o Status das Portas Membros no Modo de Agregação Dinâmica

Modos de load balance de link aggregation

Sete modos de load balance estão disponíveis e os usuários podem selecionar um modo de acordo com o requisito real.

  • Load Balance com base nos endereços IP de destino: o link aggregation implementa o load balance agregado de acordo com os endereços IP de destino dos pacotes.
  • Load Balance com base nos endereços MAC de destino: o link aggregation implementa o load balance agregado com base nos endereços MAC de destino dos pacotes.
  • Load Balance com base nos endereços IP de origem e destino: o grupo de agregação implementa o load balance agregado com base nos endereços IP de origem e destino dos pacotes.
  • Load Balance com base nos endereços MAC de origem e destino: o grupo de agregação implementa o load balance agregado com base nos endereços MAC de origem e destino dos pacotes.
  • Load Balance com base nos endereços IP de origem: o link aggregation implementa o load balance agregado com base nos endereços IP de origem dos pacotes.
  • Load Balance com base nos endereços MAC de origem: o link aggregation implementa o load balance agregado com base nos endereços MAC de origem dos pacotes.
  • Load Balance aprimorado: se o número de portas que participam do encaminhamento de tráfego do usuário for um número ímpar, este modo ajuda a melhorar a capacidade de load balance de links com números ímpares. Após configurar como o modo, a configuração do perfil de load balance adotado pelo modo de load balance entra em vigor. Se nenhum perfil de carga for criado, adote o perfil padrão.

Visão geral do perfil de load balance

Load Balance

Load-Balance significa que quando a saída do tráfego é o link aggregation, o chip pode realizar o load balance do tráfego entre as portas membros do link aggregation de acordo com as condições atuais de configuração HASH, de modo a melhorar a utilização da largura de banda de o link aggregation.

HASH KEY

HASH KEY significa que quando o tráfego escolhe a porta de saída específica do grupo de agregação, o chip calcula o valor da KEY utilizada pela porta via HASH. De um modo geral, diferentes tipos de pacotes suportam diferentes valores de HASH KEY e diferentes chips de switch suportam diferentes valores de HASH KEY. Os valores de HASH KEY suportados por diferentes pacotes são mostrados na Tabela 1-1.

Tabela 1 -1 Os valores de HASH KEY suportados por diferentes tipos de pacotes e seus significados

Tipo de CHAVE HASH Descrição
dst-mac Com base no endereço MAC de destino: realize o load balance de agregação pelo endereço MAC de destino do pacote
src-mac Com base no endereço MAC de origem : realize o load balance de agregação pelo endereço MAC de origem do pacote
interface src Com base na interface de origem de recebimento : Realize o load balance de agregação pela interface de origem de recebimento do pacote
vlan Baseado em VLAN: Realize o load balance de agregação pela VLAN do pacote
dst-ip Com base no endereço IP de destino: realize o load balance de agregação pelo endereço IP de destino do pacote
l4-dst-port Com base no número da porta de destino L4 : Realize o load balance de agregação pelo número da porta de destino L4 do pacote
rótulo de fluxo Baseado no rótulo de fluxo IPv6: Realize o load balance de agregação pelo rótulo de fluxo IPv6 do pacote
protocolo Baseado no protocolo IP: Realiza o load balance de agregação pelo protocolo IP do pacote
src-ip Com base no endereço IP de origem : realize o load balance de agregação pelo endereço IP de origem do pacote
l4-src-port Com base na fonte L4 número da porta : Realiza o load balance de agregação pela fonte L4 número da porta do pacote

No dispositivo local, os valores de HASH KEY suportados por diferentes pacotes são mostrados na tabela a seguir:

Tabela 1 -2 Os valores de HASH KEY suportados por diferentes pacotes

Tipo de pacote CHAVE HASH suportada
Pacote unicast conhecido L2 dst-mac, src-mac, src-interface, vlan
Pacote unicast conhecido L3 dst-ip, l4-dst-port, flow-label, protocol, src-ip, l4-src-port, src-interface , src-mac, dst-mac, vlan
Outros pacotes L2 dst-mac, src-mac, src-interface
pacotes L3 (IPv4/IPv6 ) dst-ip, src-ip, src-interface

A HASH KEY do pacote unicast conhecido de L2 pode suportar a combinação de uma ou mais HASH KEYs. A HASH KEY do pacote unicast conhecido de L3 pode suportar a combinação de uma ou mais HASH KEYs. Os valores HASH KEY de outros pacotes L2 são fixos e não podem ser configurados, fixos para usar dst-mac, src-mac, src-interface para realizar o balanceamento de carga. Os valores HASH KEY de outros pacotes L3 (IPv4/IPv6) são fixos, e não podem ser configurados, fixos para usar dst-mac, src-mac, src-interface, l4-src-port e l4-dst-port para realizar o load balance.

Perfil de load balance

O perfil de load balance é um conceito de "Perfil de usuário" especialmente introduzido para proteger as diferenças de chips entre os diferentes fabricantes de chips. Entre eles, "Usuário" refere-se a todos os negócios que precisam usar o balanceamento de carga do chip (ou seja, módulos de negócios, como agregação LAC); "Perfil" é um esquema de configuração HASH reutilizável que abstrai os recursos HASH subjacentes.

Os perfis de load balance são diferenciados por nomes de perfil, que não têm mais de 31 caracteres. Por padrão, haverá um perfil HASH padrão chamado "default", “ ecmp_default ”. Além disso, de acordo com o modo de operação atual (máquina única, modo de empilhamento) e recursos do chip, os usuários também podem receber perfis personalizáveis. Cada perfil geralmente é composto da configuração HASH KEY do pacote L2 e da configuração HASH KEY do pacote L3.

Os usuários podem configurar com flexibilidade o perfil de load balance e a HASH KEY do perfil de acordo com as necessidades reais. Após a conclusão da configuração, faça referência ou vincule o perfil correspondente para obter o equilíbrio de carga do tráfego de acordo com a configuração do perfil correspondente.

O comprimento do nome do perfil de load balance não excede 31 caracteres. O nome padrão do perfil de load balance é “default” “ ecmp_default ” , que não pode ser modificado. O perfil de load balance padrão “default” “ ecmp_default ” não pode ser excluído, mas pode ser configurado.

Configuração da função do perfil de load balance

Tabela 1 -3 Lista de configuração da função do perfil de balanceamento de carga

Tarefas de configuração
Função de configuração do perfil de load balance Crie um perfil de load balance e entre no modo de configuração do perfil
Configurar HASH KEY do perfil de load balance
Excluir o perfil de load balance

Criar um perfil de load balance

Depois de criar um perfil de load balance com sucesso, insira o modo de configuração do perfil de load balance correspondente.

O usuário autônomo pode criar no máximo um perfil personalizado. O usuário da pilha não pode criar um perfil personalizado.

Condições de configuração

Nenhum

Criar um perfil de load balance

Tabela 1 -4 Crie um perfil de load balance

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Criar um perfil de load balance load-balance profile { profile-name | default } Mandatório.

padrão, o sistema já cria o perfil “default” “ ecmp_default ” e o usuário pode entrar diretamente no modo de configuração do perfil “default” “ ecmp_default ” através do comando de criação de um perfil. O nome do perfil criado suporta apenas o inglês e o comprimento não pode exceder 31 caracteres.

Configurar HASH KEY do perfil de load balance

Depois de criar um perfil de load balance com sucesso e entrar no modo de configuração de perfil, você pode configurar o valor HASH KEY do perfil de balanceamento de carga.

O perfil padrão do sistema “default” “ ecmp_default ” será configurado com um HASHKEY padrão, podendo os usuários também modificar sua configuração de acordo com as necessidades reais. A configuração padrão do perfil “default” “ ecmp_default ” é: L2:src-mac, dst-mac ; Ip:src-ip, dst-ip; l4-src-port, l4-dst-port .

Depois de criar um perfil personalizado de usuário, o novo perfil não é configurado com nenhum valor HASH KEY por padrão e o usuário precisa configurar HASH KEY corretamente para que o perfil possa ser vinculado ao serviço.

Condições de configuração

Nenhum

Configurar HASH KEY do perfil de load balance

Tabela 1 -5 Configure a HASH KEY do perfil de load balance

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do perfil de load balance load-balance profile { profile-name | default } Obrigatório. O mesmo que o comando de criar um perfil de load balance
Configure a HASH KEY usada pelo carregamento de pacote unicast conhecido L2 l2 { [ dst-mac ] [ src-mac ] [ src-interface ] [ vlan ] } Obrigatório. Você pode configurar uma ou mais HASH KEY.
Configure a HASH KEY usada pelo carregamento de pacote unicast conhecido de L 3 ip { [ dst-ip ] [ l4-src-port ] [ l4-dst-port ] [ protocol ] [ src-interface ] [ src-ip ] [ flow-label ]} Obrigatório. Você pode configurar uma ou mais HASH KEY.
Configurar a HASH KEY usada pelo carregamento do pacote mpls Mpls{[src-ip] [dst-ip] [top-lable] [2nd -lable] [3rd-lable]} Mandatório. Você pode configurar uma ou várias combinações de HASHKEY .
Ative a configuração atual da HASH KEY active configuration pending Obrigatório.
configuração atual da HASH KEY abort configuration pending Obrigatório.

O valor HASH KEY configurado pelo comando l2 ou ip está no estado pendente e não entrará em vigor imediatamente. Ele pode entrar em vigor somente após a execução do comando active configuration pendente . O valor HASH KEY configurado pelo comando l2 ou ip está no estado pendente e não entrará em vigor imediatamente. O usuário pode cancelar a configuração atual através do comando abortar configuração pendente . Ao configurar uma nova HASH KEY, ela não cobrirá a HASH KEY original. Após a ativação através do comando active , o resultado é a comunicação da HASH KEY original e da nova HASH KEY. Quando a HASH KEY no estado pendente é cancelada através do comando abort, ela modificará a HASH KEY original. Quando não for ativado, ele limpará a HASH KEY no estado pendente. Normalmente, a falha de ativação ocorre porque a HASH KEY configurada não atende ao requisito. Você pode configurar qualquer HASH KEY para o perfil de load balance personalizado pelo usuário. No entanto, quando usado pela vinculação de serviço, L2 e L3 do perfil vinculado precisam ter pelo menos uma HASH KEY efetiva . Os modelos "default" e "ecmp_default" exigem que pelo menos uma hash key seja configurada para as chaves de hash L2 e L3.

Configurar HASHKEY Shift Selection do perfil de load balance

No modo global, configure a seleção de deslocamento do valor da hash key do perfil de load balance correspondente.

Condições de configuração

Modo global

Configurar HASH KEY do perfil de load balance

Tabela 1 - 6 Configurar a seleção de deslocamento HASH KEY do perfil de balanceamento de carga

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Configurar HASHKEY Shift Selection load-balance hash-control shift{src-mac | dst-mac|src-ip|dst-ip|vlan|l4-src-port|l4-dst-port|src-interface| flow-label| protocol } 0~5 -

Configurar algoritmo de análise de profundidade do pacote IP do perfil de load balance

Depois de criar o perfil de load balance e entrar com sucesso no modo de configuração de perfil, o algoritmo de análise de profundidade de pacotes IP para o perfil de load balance correspondente pode ser configurado.

Condições de configuração

No modo de configuração do perfil

Configurar algoritmo de análise de profundidade do pacote IP do perfil de balanceamento de carga

Tabela 1 -5 Configurar o algoritmo de análise de profundidade do pacote IP do perfil de load balance

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do perfil de load balance load-balance profile { profile-name | default } Obrigatório. O mesmo que o comando de criar um perfil de load balance
Configurar o algoritmo de análise de profundidade do pacote IP hash-control depta-parse ip { [enable][disable] } enable: O pacote IP executa o hash com base no cabeçalho IP desabilitar : O pacote IP executa o hash com base no mac

Excluir perfil de load balance

O comando é usado para excluir o perfil de load balance.

O perfil “default” “ ecmp_default ” criado por padrão do sistema não pode ser excluído. O perfil vinculado ou referenciado pelo serviço não pode ser excluído. Para excluí-lo, você precisa remover todas as relações de referência e vinculação primeiro. O perfil inexistente não pode ser excluído.

Condições de configuração

Nenhum

Excluir perfil de load balance

Tabela 1 -7 Excluir o perfil de load balance

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do perfil de load balance no load-balance profile { profile-name } Obrigatório.

Configuração da função de link aggregation

Tabela 1 -8 Lista de funções de link aggregation

Tarefas de configuração
Configure um link aggregation. Crie um link aggregation.
Adicione portas ao link aggregation.
Configure o link aggregation para fazer referência ao perfil de balanceamento de carga Configure o link aggregation para fazer referência ao perfil de balanceamento de carga
Configure as prioridades do LACP. Configure a prioridade LACP do sistema.
Configure a prioridade LACP da porta.
Configurar o endereço MAC do sistema LACP do link aggregation Configurar o endereço MAC do sistema LACP do link aggregation
Configure a extensão de ID da porta do link aggregation Configurar a extensão de ID da porta do link aggregation
Configure a taxa de porta do link aggregation a ser selecionada primeiro Configure a taxa de porta do link aggregation a ser selecionada primeiro
Configure o hot-swap para alternar rapidamente a porta raiz Configure o hot-swap para alternar rapidamente a porta raiz

Configurar um Link Aggregation

Depois de configurar um link aggregation, você pode gerenciar várias portas físicas de maneira centralizada. Opcional. configuração no link aggregation será aplicada a cada porta membro.

Um máximo de oito portas podem ingressar em um link aggregation ao mesmo tempo .

Condição de configuração

Nenhum

Criar e um Link Aggregation

Os link aggregation nas duas extremidades de um link agregado devem ser configurados para o mesmo tipo. A descrição pode ser adicionada a cada link aggregation para tornar mais fácil para os administradores de rede distinguir os link aggregation.

Tabela 1 -9 Criando um Link Aggregation

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Crie um link aggregation. link-aggregation link-aggregation-id mode { manual | lacp } [ member-number member-number-value ] Obrigatório. Por padrão, nenhum link aggregation é criado.
Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id -
Configure a descrição do link aggregation. description description-name Opcional. Por padrão, nenhuma descrição é adicionada ao link aggregation.
Configure as informações de descrição de peer do link aggregation peer-description description-name Opcional. Por padrão, o link aggregation não possui as informações de descrição do par.

Os protocolos aplicados em um link aggregation recebem e enviam pacotes de protocolo pela porta raiz do link aggregation. No modo de agregação estática, como as portas membro entre os dispositivos nas duas extremidades não trocam pacotes LACPDU, as portas raiz dos dois dispositivos podem estar em links físicos diferentes. Dessa forma, outros pacotes de protocolo no link aggregation podem não ser recebidos ou enviados. Para evitar esse problema, certifique-se de que as portas raiz dos dispositivos nas duas extremidades estejam no mesmo link físico. No modo de agregação dinâmica, as portas membro dos dispositivos nas duas extremidades trocam pacotes LACPDU. A negociação entre as duas portas membro garante que as portas raiz dos dois dispositivos estejam no mesmo link físico. Depois que um link aggregation é excluído, todas as portas de membro do grupo de agregação são removidas do link aggregation e, em seguida, todas as portas de membro adotam as configurações padrão. Isso pode resultar em loops na rede. Portanto, antes de excluir um link aggregation, certifique-se de que a função spanning tree esteja habilitada ou certifique-se de que nenhum loop possa ocorrer na rede.

Adicionar portas ao link aggregation

Quando um link aggregation é criado, trata-se apenas de uma interface lógica que não contém nenhuma porta física. Nesse caso, a função de agregação não tem efeito. A função de agregação entra em vigor depois que as portas são adicionadas a um link aggregation estática. A função de agregação entra em vigor depois que as portas locais ou de mesmo nível são adicionadas a um link aggregation dinâmico.

Tabela 1 -10 Adicionando uma porta ao link aggregation

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração da interface Ethernet L2 . interface interface-name -
Adicione a porta ao link aggregation. link-aggregation link-aggregation-id { manual | active | passive } Por padrão, uma porta não é adicionada a nenhum link aggregation.

Antes de incluir uma porta em um link aggregation, o link aggregation deve ter sido criado; caso contrário, uma mensagem de erro será exibida. Uma porta pode ser adicionada um link aggregation por vez. Depois que uma porta for adicionada a um link aggregation, algumas configurações existentes (como loopback detection e VLAN) serão removidas da porta. Algumas funções (como loopback detection) não podem ser configuradas em uma porta membro em um link aggregation; caso contrário, uma mensagem de erro será exibida. Se uma porta for adicionada a um link aggregation dinâmico no modo passivo, sua porta de mesmo nível deverá ser adicionada ao link aggregation dinâmico no modo ativo. Caso contrário, as duas portas estarão no status não selecionado e não poderão participar do encaminhamento de tráfego de serviço do usuário. A porta configurada como serviceloop-group não pode ser adicionada ao grupo de agregação.

Configurar o link aggregation para o perfil de load balance de referência

Ao configurar o link aggregation para fazer referência ao perfil de load balance, você pode obter o load balance do tráfego de serviço no link aggregation de maneira flexível.

Condição de configuração

Nenhum

Configurar o Link Aggregation para Referenciar o Perfil de Balanceamento de Carga

Tabela 1 -11 Configurando o Link Aggregation para Referenciar o Perfil de Balanceamento de Carga

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id -
Configure o link aggregation para fazer referência ao modo de balanceamento de carga load-balance profile profile-name Obrigatório. Por padrão, o link aggregation faz referência ao perfil padrão para realizar o load balance de agregação.

Configurar prioridades LACP

Condição de configuração

Nenhum

Configurar a prioridade do sistema LACP

A configuração da prioridade LACP do sistema pode afetar o ID do sistema e, finalmente, afetar o status selecionado/não selecionado das portas membro dos link aggregation dinâmica.

Tabela 1 -12 Configurando a Prioridade LACP do Sistema

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Configure a prioridade LACP do sistema. lacp system-priority system-priority-value Obrigatório. Por padrão, a prioridade do sistema LACP é 32768.

Configurar a Prioridade da Porta LACP

A configuração da prioridade LACP da porta pode afetar o ID da porta e, finalmente, afetar o status selecionado/não selecionado das portas membro dos link aggregation.

Tabela 1 -13 Configurando a Prioridade da Porta LACP

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração da interface Ethernet L2 . interface interface-name -
Configure a prioridade LACP da porta. lacp port-priority port-priority-value Obrigatório. Por padrão, a prioridade LACP da porta é 32768.

Configurar o endereço MAC do sistema LACP do link aggregation

Configure o endereço MAC do sistema LACP do link aggregation. Quando as prioridades do sistema LACP em ambas as extremidades do link aggregation são as mesmas, quanto menor o endereço MAC do sistema LACP, menor o ID do sistema LACP (maior a prioridade).

Tabela 1 -14 Configurar o endereço MAC do sistema LACP do link aggregation

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id -
Configure o endereço MAC do sistema LACP do link aggregation lacp system-mac mac-address Opcional. Por padrão, o endereço MAC do sistema LACP do link aggregation é o endereço MAC da bridge do dispositivo.

Configurar Extensão de ID de Porta do Link Aggregation

Se a extensão de ID de porta do link aggregation estiver configurada, o número da porta de cada porta membro do link aggregation no protocolo LACP será aumentado em 32768. Essa função geralmente é usada em cenários de empilhamento para evitar conflitos de ID de porta.

Tabela 1 -15 Configurar a extensão de ID da porta do link aggregation

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id -
Configurar a extensão de ID da porta do link aggregation lacp port-id extend Opcional. Por padrão, não configure a extensão de ID da porta do link aggregation.

Configurar a taxa de porta do link aggregation a ser selecionado primeiro

Por padrão, o link aggregation pode selecionar a porta com taxa baixa como porta de referência. Configurando esta função, o usuário pode selecionar preferencialmente a porta de alta taxa como porta de referência. Após configurar esta função, o link aggregation selecionará a porta de referência de acordo com a prioridade do ID do sistema - > prioridade da porta - > taxa da porta - > número da porta.

Tabela 1 -16 Configurar a taxa de porta do link aggregation a ser selecionado primeiro

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id -
Configurar a taxa de porta do link aggregation a ser selecionado primeiro lacp select speed Opcional. Por padrão, não configure a taxa de porta do link aggregation a ser selecionado primeiro.

Configurar a função de encaminhamento de atraso da porta do membro do grupo de agregação

Configure a função de encaminhamento de atraso da porta do membro do link aggregation. A porta do membro do link aggregation em uma placa recém-inserida ou dispositivo recém-adicionado atrasará por um certo tempo para carregar o tráfego.

Tabela 1 -17 Configure a função de encaminhamento de atraso da porta do membro do link aggregation

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Configure a função de encaminhamento de atraso da porta do membro do grupo de agregação lacp delay-forward time Mandatório. Por padrão, a função está habilitada e o tempo de atraso é de 150s.

Configurar o hot-swap para a porta raiz do switch rápido

Ao configurar o hot-swap para alternar rapidamente a porta raiz, podemos trocar o cartão da porta raiz, informar rapidamente o peer para selecionar novamente a porta raiz, conveniente para o link aggregation convergir rapidamente.

Ao retirar o cartão da porta raiz, envie o aviso de comutação rápida. O link aggregation estático não envia o aviso de troca rápida.

Condição de configuração

Nenhum

Configurar o hot-swap para a porta raiz do switch rápido

Tabela 1 -18 Configure o hot-swap para alternar rapidamente a porta raiz

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Configure o hot-swap para alternar rapidamente a porta raiz link-aggregation hotswap fast-change-rootport Obrigatório. Por padrão, não configure o hot-swap para alternar rapidamente a porta raiz.

Configurar o modo de encaminhamento do link aggregation

Em ambiente VST, para reduzir a carga do link VSL, o tráfego de serviço recebido pelo dispositivo membro pode ser configurado para encaminhar de outras interfaces Ethernet do dispositivo, ou seja, adotar política de encaminhamento prévio local. No caso de agregação de link entre dispositivos, a carga de tráfego de cada link de membro no link aggregation é desequilibrada. Os usuários podem definir o modo de encaminhamento do link aggregation de acordo com o cenário real da rede. Quando o modo de encaminhamento é definido para load balance global, no caso de agregação de link entre dispositivos, a carga de tráfego de cada link de membro no link aggregation é balanceada.

Tabela 1 -14 Configurar o modo de encaminhamento do link aggregation

Etapa Comando Descrição
Entre no modo de configuração global. configure terminal -
Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id Mandatório.
Configurar o modo de encaminhamento do link aggregation forward-mode { global-fair | local-prior } Mandatório. Por padrão, o modo de encaminhamento do link aggregation é o balanceamento de carga global.

modo de encaminhamento de comando { feira global | local-prior } pode ser configurado somente quando o dispositivo estiver funcionando no modo VST. Quando o link aggregation tem portas de membro, o modo de encaminhamento do grupo de agregação não pode ser comutado.

Monitoramento e manutenção de link aggregation

Tabela 1 -19 Monitoramento e manutenção de link aggregation

Comando Descrição
show link-aggregation group [ link-aggregation-id ] Exibe informações breves sobre um link aggregation especificado ou todos os grupos de agregação existentes.
show link-aggregation interface [ interface-name ] Exibe os detalhes de uma porta membro especificada de um link aggregation ou detalhes de todas as portas membro do link aggregation.

Exemplo de configuração típico de link aggregation

Configurar um link aggregation estático

Requisitos de rede

  • Device1 está conectado ao PC1, Device2 está conectado ao PC2 e PC3 e os três PCs estão no mesmo segmento de rede. Device1 e Device2 são interconectados por meio de portas Trunk.
  • Um link aggregation estático é configurado entre Device1 e Device2 para aumento de largura de banda, compartilhamento de carga e backup de serviço.

Topologia de rede

Figura 1 -3 Rede para configurar um link aggregation estático

Etapas de configuração

  • Passo 1: Crie um link aggregation estático.

#No Dispositivo1, crie o link aggregation estático 1.

Device1#configure terminal
Device1(config)#link-aggregation 1 mode manual

#No Dispositivo2, crie o link aggregation estático 2.

Device2#configure terminal
Device2(config)#link-aggregation 1 mode manual
  • Passo 2: Adicione portas ao link aggregation.

#No Device1, adicione as portas gigabitethernet0/1 e gigabitethernet0/2 no link aggregation 1 no modo Manual.

Device1(config)#interface gigabitethernet 0/1,0/2
Device1(config-if-range)#link-aggregation 1 manual
Device1(config-if-range)#exit

#No Device2, adicione as portas gigabitethernet0 /1 e gigabitethernet0/2 no grupo de agregação 1 no modo Manual.

Device2(config)#interface gigabitethernet 0/1,0/2
Device2(config-if-range)#link-aggregation 1 manual
Device2(config-if-range)#exit

#Após a configuração ser concluída, verifique o status do link aggregation 1 nos dispositivos.

Aqui pega Device1 por exemplo:

Device1#show link-aggregation group 1
 Link Aggregation 1
  Type: switchport
                      Mode: Manual
  User: LAC
  Description:
  Peer-description:
  Load balance profile: default
  Number of ports in total: 2
  Number of ports attached: 2
  Root port: gigabitethernet0/1
  gigabitethernet0/1: ATTACHED
  gigabitethernet0/2: ATTACHED

De acordo com a exibição do sistema, as portas gigabitethernet0/1 e gigabitethernet0/2 no Device1 estão no estado ATTACHED no link aggregation 1 e a agregação do link aggregation 1 é bem-sucedida.

Para o método de verificação de Device2, consulte o método de verificação de Device1.

  • Passo 3: Configure o link aggregation para fazer referência ao perfil de load balance.

# Em Device1, crie o perfil de load balance linkagg-profile .

Device1(config)#load-balance profile linkagg-profile

#No Dispositivo1, configure a hash key de carregamento do pacote no perfil de load balance linkagg-profile, configure o pacote L2 para carregar pelo MAC de destino e configure o pacote IP para carregar pelo IP de destino.

Device1(config-hashprofile)#l2 dst-mac
Device1(config-hashprofile)#ip dst-ip
Device1(config-hashprofile)#active configuration pending

# Em Device1, configure o perfil de load balance referenciado pelo grupo de agregação 1 como linkagg-profile .

Device1(config)#interface link-aggregation 1
Device1(config-link-aggregation1)#load-balance profile linkagg-profile
  • Passo 4: Configure uma VLAN e configure o tipo de link do link aggregation e das portas.

#No Dispositivo1, crie a VLAN2, configure o tipo de link do link aggregation 1 para Trunk e permita que os serviços da VLAN2 passem e defina o Port VLAN ID (PVID) como 2.

Device1(config)#vlan 2
Device1(config-vlan2)#exit
Device1(config)#interface link-aggregation 1
Device1(config-link-aggregation1)#switchport mode trunk
Device1(config-link-aggregation1)#switchport trunk allowed vlan add 2
Device1(config-link-aggregation1)#switchport trunk pvid vlan 2
Device1(config-link-aggregation1)#exit

#No Device1, configure o tipo de link da porta gigabitethernet0/3 para acessar e permitir que os serviços da VLAN2 passem.

Device1(config)#interface gigabitethernet 0/3
Device1(config-if-gigabitethernet0/3)#switchport mode access
Device1(config-if-gigabitethernet0/3)#switchport access vlan 2
Device1(config-if-gigabitethernet0/3)#exit

#No Device2, crie a VLAN2, configure o tipo de link do link aggregation 1 para Trunk e permita que os serviços da VLAN2 passem e defina PVID como 2. (Omitido)

#No Device2, configure o tipo de link das portas gigabitethernet0/3 e gigabitethernet0/4 para acessar e permitir que os serviços da VLAN2 passem. (Omitido)

  • Passo 5: Confira o resultado.

    #Nos dispositivos, verifique a largura de banda agregada do link aggregation 1.

    Aqui pega Device1 por exemplo:

    Device1#show interface link-aggregation 1
    link-aggregation 1 configuration information
            Description  	:
        	Peer-description :
            Status       	: Enabled
            Link         	: Up
                            	Act Speed    	: 2000
        	Act Duplex   	: Full
        	Port Type    	: Nni
            Pvid         	: 2

    De acordo com a exibição do sistema, a largura de banda da interface do link aggregation 1 no Device1 é de 2000 M.

    Para o método de verificação de Device2, consulte o método de verificação de Device1.

    #No Dispositivo1, visualize o perfil de load balance efetivo atual do grupo de agregação1.

    Device1#show link-aggregation group 1
     Link Aggregation 1
      Type: switchport
      Mode: Manual
      User: LAC
      Description:
      Peer-description :
      Load balance profile: linkagg-profile
      Number of ports in total: 2
      Number of ports attached: 2
      Root port: gigabitethernet0/1
      gigabitethernet0/1: ATTACHED
      gigabitethernet0/2: ATTACHED

    De acordo com a exibição do sistema, o perfil de load balance atual do grupo de agregação 1 é linkagg-profile .

    #Durante o processo de interação de serviço entre PC1 e PC2 e PC3, o load balance de dados é obtido nos links agregados. Se um link no link aggregation apresentar falhas, os outros links fornecerão backup de serviço.

  • Configurar um Link Aggregation Dinâmico

    Requisitos de rede

    • Device1 está conectado ao PC1, Device2 está conectado ao PC2 e PC3 e os três PCs estão no mesmo segmento de rede. Device1 e Device2 são interconectados por meio de portas Trunk.
    • Um link aggregation dinâmico é configurado entre Device1 e Device2 para aumento de largura de banda, compartilhamento de carga e backup de serviço.

    Topologia de rede

    Figura 1 -4 Rede para configurar um link aggregation dinâmico

    Etapas de configuração

    • Passo 1: Crie um link aggregation dinâmico.

    #No Dispositivo1, crie o link aggregation dinâmico 1.

    Device1#configure terminal
    Device1(config)#link-aggregation 1 mode lacp

    #No Dispositivo2, crie o link aggregation dinâmico 1.

    Device2#configure terminal
    Device2(config)#link-aggregation 1 mode lacp
  • Passo 2: Adicione portas ao link aggregation.
  • #No Dispositivo1, adicione as portas gigabitethernet0/1 e gigabitethernet0/2 no grupo de agregação 1 no modo Ativo.

    Device1(config)#interface gigabitethernet 0/1,0/2
    Device1(config-if-range)#link-aggregation 1 active
    Device1(config-if-range)#exit

    #No Device2, adicione as portas gigabitethernet0/1 e gigabitethernet0/2 no link aggregation 1 no modo Ativo.

    Device2(config)#interface gigabitethernet 0/1,0/2
    Device2(config-if-range)#link-aggregation 1 active
    Device2(config-if-range)#exit

    #Após a configuração ser concluída, verifique o status do link aggregation 1 nos dispositivos.

    Aqui pega Device1 por exemplo:

    Device1#show link-aggregation group 1
     Link Aggregation 1
      Type: switchport
                          Mode: LACP
      User: LAC
      Description:
      Peer-description:
      Load balance profile: default
      Number of ports in total: 2
      Number of ports attached: 2
      Root port: gigabitethernet0/1
      gigabitethernet0/1: ATTACHED
      gigabitethernet0/2: ATTACHED

    De acordo com a exibição do sistema, as portas gigabitethernet0/1 e gigabitethernet0/2 no Device1 estão no estado ATTACHED no link aggregation 1 e a agregação do link aggregation 1 é bem-sucedida.

    Para o método de verificação de Device2, consulte o método de verificação de Device1.

    • Passo 3: Configure o link aggregation para fazer referência ao perfil de load balance.

    # Em Device1, crie o perfil de load balance linkagg -profile .

    Device1(config)#load-balance profile linkagg-profile

    # No Device1, configure a hash-key de carregamento do pacote no perfil de balanceamento de carga linkagg-profile, configure o pacote L2 para carregar pelo MAC de destino, configure o pacote IP para carregar pelo IP de destino .

    Device1(config-hashprofile)#l2 dst-mac
    Device1(config-hashprofile)#ip dst-ip
    Device1(config-hashprofile)#active configuration pending

    # Em Device1, configure o perfil de load balance referenciado pelo grupo de agregação 1 como linkagg-profile .

    Device1(config)#interface link-aggregation 1
    Device1(config-link-aggregation1)#load-balance profile linkagg-profile

    # No Device2, crie o perfil de load balance perfil linkagg (omitido).

    # No Device2, configure o load hash-key do pacote no perfil de load balance linkagg-profile , configure o pacote L2 para carregar pelo MAC de destino, configure o pacote IP para carregar pelo IP de destino . (Omitido)

    # Em Device2, configure o perfil de load balance referenciado pelo grupo de agregação 1 como linkagg-profile . (Omitido)

    • Passo 4: Configure uma VLAN e configure o tipo de link do link aggregation e das portas.

    #No Dispositivo1, crie a VLAN2, configure o tipo de link do link aggregation 1 para Trunk e permita que os serviços da VLAN2 passem e defina PVID como 2.

    Device1(config)#vlan 2
    Device1(config-vlan2)#exit
    Device1(config)#interface link-aggregation 1
    Device1(config-link-aggregation1)#switchport mode trunk
    Device1(config-link-aggregation1)#switchport trunk allowed vlan add 2
    Device1(config-link-aggregation1)#switchport trunk pvid vlan 2
    Device1(config-link-aggregation1)#exit

    #No Device1, configure o tipo de link da porta gigabitethernet0/3 para acessar e permitir que os serviços da VLAN2 passem.

    Device1(config)#interface gigabitethernet 0/3
    Device1(config-if-gigabitethernet0/3)#switchport mode access
    Device1(config-if-gigabitethernet0/3)#switchport access vlan 2
    Device1(config-if-gigabitethernet0/3)#exit

    #No Device2, crie a VLAN2, configure o tipo de link do link aggregation 1 para Trunk e permita que os serviços da VLAN2 passem e defina PVID para 2.(Omitido)

    #No Device2, configure o tipo de link das portas gigabitethernet0/3 e gigabitethernet0/4 para acessar e permitir a passagem dos serviços da VLAN2. (Omitido)

    • Passo 5: Confira o resultado.

    #Nos dispositivos, verifique a largura de banda agregada do link aggregation 1.

    Tome Device1 por exemplo:

    Device1#show interface link-aggregation 1
    link-aggregation 1 configuration information
        	Description  	:
        	Peer-description :
        	Status       	: Enabled
        	Link         	: Up
        	Act Speed    	: 2000
        	Act Duplex   	: Full
        	Port Type    	: Nni
            Pvid         	: 2

    De acordo com a exibição do sistema, a largura de banda da interface do link aggregation no Device1 é de 2000 M.

    Para o método de verificação de Device2, consulte o método de verificação de Device1.

    # Após a configuração, visualize o perfil de load balance configurado no Device1.

    Device1#show load-balance configuration 
     
    Profile:default
            Configuration Valid currently:
                    L2: src-mac dst-mac
                    Ip: src-ip dst-ip
            Configuration Valid-pending to be applied:
                    L2:
                    Ip:
            Configuration Invalid-pending to be applied:
                    L2:
                    Ip:
    Profile:linkagg-profile
            Configuration Valid currently:
                    L2: dst-mac
                    Ip: dst-ip
            Configuration Valid-pending to be applied:
          	      L2:
                    Ip:
            Configuration Invalid-pending to be applied:
                    L2:
                    Ip:

    #Depois que a configuração for concluída, verifique o perfil de load balance atual no Device1.

    Device1#show link-aggregation group 1
     Link Aggregation 1
      Type: switchport
      Mode: LACP
      User: LAC
      Description:
      Peer-description :
      Load balance profile: linkagg-profile
      Number of ports in total: 2
      Number of ports attached: 2
      Root port: gigabitethernet0/1
      gigabitethernet0/1: ATTACHED
      gigabitethernet0/2: ATTACHED

    De acordo com a exibição do sistema, o perfil de load balance atual referenciado pelo link aggregation 1 é linkagg-profile .

    #Durante o processo de interação de serviço entre PC1 e PC2 e PC3, o load balance de dados é obtido nos links agregados. Se um link no link aggregation apresentar falhas, os outros links fornecerão backup de serviço.

    Port Isolation

    Visão geral

    O port isolation é um recurso de segurança baseado em portas. De acordo com o requisito real, você pode configurar determinadas portas para serem isoladas de uma determinada porta, ou seja, configurar algumas portas isoladas para uma determinada porta. Desta forma, os pacotes que são recebidos pela porta especificada não podem ser encaminhados para as portas isoladas. Isso aumenta a segurança da rede e também fornece um esquema de rede flexível.

    Configuração da função de port isolation

    Tabela 2-1 Lista de Funções de Port Isolation

    Tarefas de configuração
    Configure a função básica de port isolation. Configure o port isolation.
    Configure a função de isolamento para portas membro do link aggregation. Configure a função de isolamento para portas membro do link aggregation.

    Configurar funções básicas de port isolation

    A função de port isolation realiza o isolamento de pacote unidirecional. Supondo que a porta B esteja configurada como a porta isolada da porta A, se um pacote cuja porta de destino é a porta B entrar na porta A, a porta será descartada diretamente. No entanto, se um pacote cuja porta de destino é a porta B entrar na porta B, a porta normalmente é encaminhada. A porta isolada pode ser uma porta ou um link aggregation.

    O port isolation é configurado com base no grupo de isolamento.

    • As portas em um grupo de isolamento são isoladas umas das outras.

    As portas no grupo de isolamento podem ser configuradas como entrada, saída, ambos os modos e as resoluções são as seguintes:

    Tabela 2 -2 Tabela de encaminhamento do modo de configuração

    Modo de porta de entrada de pacote Modo de porta de saída de pacote Encaminhar normalmente ou não
    Modo de entrada modo de entrada Encaminhar normalmente
    modo de entrada modo de saída Proibir encaminhamento
    modo de entrada ambos os modos Proibir encaminhamento
    modo de saída modo de entrada Encaminhar normalmente
    modo de saída modo de saída Encaminhar normalmente
    modo de saída ambos os modos Encaminhar normalmente
    ambos os modos modo de entrada Encaminhar normalmente
    ambos os modos modo de saída Proibir encaminhamento
    ambos os modos ambos os modos Proibir encaminhamento
    • As portas do grupo de isolamento se comunicam normalmente com as portas não adicionadas ao grupo de isolamento.

    Os portos de diferentes grupos de isolamento podem se comunicar normalmente.

    Condição de configuração

    O grupo de isolamento já está criado.

    Configurar port isolation

    Tabela 2-3 Configurando o port isolation

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração do grupo de isolamento isolate group group-id Mandatório.
    a porta ao grupo de isolamento interface link-aggregation link-aggregation-id [ ingress | egress | both ] Mandatório. Por padrão, a porta não é adicionada ao grupo de isolamento.
    de agregação ao grupo de isolamento link-aggregation link-aggregation-id [ ingress | egress | both ] Mandatório. Por padrão, o link aggregation não é adicionado ao grupo de isolamento.

    Ao adicionar uma porta ao grupo de isolamento, o grupo de isolamento precisa ser criado.

    Monitoramento e Manutenção do Port Isolation

    Tabela 2 -4 Monitoramento e Manutenção do Port Isolation

    Comando Descrição
    show isolate { group [ group-id ] | interface interface-list | interface link-aggregation link-aggregation-id } Exibe as informações de port isolation.

    Exemplo de configuração típica de port isolation

    Configurar port isolation

    Requisitos de rede

    • PC1 e PC2 estão conectados ao dispositivo e estão na mesma VLAN, VLAN2.
    • No dispositivo, o port isolation foi configurado; portanto, PC1 e PC2 não podem se comunicar entre si.

    Topologia de rede

    Figura 2 -1 Rede para configurar o port isolation

    Etapas de configuração

    • Passo 1: Configure uma VLAN e configure o tipo de link das portas.

    #No dispositivo, crie VLAN2.

    Device#configure terminal
    Device(config)#vlan 2
    Device(config-vlan2)#exit

    #No Dispositivo, configure o tipo de link das portas gigabitethernet0/1 e gigabitethernet0/2 para acessar e permitir a passagem dos serviços da VLAN2.

    Device(config)#interface gigabitethernet 0/1-0/2
    Device(config-if-range)#switchport mode access
    Device(config-if-range)#switchport access vlan 2
    Device(config-if-range)#exit
    • Passo 2: Configure o port isolation.

    #No dispositivo, configure o port isolation entre a porta gigabitethernet0/1 e a porta gigabitethernet0/2.

    Device#config terminal
    Device(config)#isolate group 1
    Device(config-isolate-group1)#
    Device(config-isolate-group1)#end
    Device#show isolate group 1
    --------------------------------------------------------
    isolate group 1
    ingress member:
    egress member :
    both member   :

    #No dispositivo, consulte as informações de port isolation.

    Device#show isolate interface gigabitethernet 0/1-0/2
    interface gigabitethernet0/1 isolated information
      isolate group 1 mode: both
      isolated interface:
                  gi0/2      	
    interface gigabitethernet0/2 isolated information
      isolate group 1 mode: both
      isolated interface:
     gi0/1  

    • Passo 3: Confira o resultado.

    #PC1 e PC2 não podem se comunicar.

    VLAN

    Visão geral

    Em uma Ethernet comutada, cada porta no dispositivo é um domínio de colisão independente, mas todas as portas pertencem a um domínio de broadcast. Quando um dispositivo terminal envia pacotes de difusão, todos os dispositivos na rede local (LAN) podem receber os pacotes. Isso não apenas desperdiça a largura de banda da rede, mas também traz problemas ocultos.

    Virtual Local Area Network (VLAN) é uma tecnologia através da qual os dispositivos na mesma LAN podem ser divididos de forma lógica. Os dispositivos na mesma VLAN podem se comunicar entre si na camada 2, enquanto os dispositivos de diferentes VLANs são isolados na camada 2. Dessa forma, os pacotes de broadcast são limitados dentro de uma VLAN.

    As VLANs estão em conformidade com IEEE 802.1Q. Esse padrão define um novo formato de encapsulamento de quadro, no qual uma tag de VLAN de 4 bytes contendo informações de VLAN é adicionada após o endereço MAC de origem de um quadro de dados tradicional.

    Figura 3 -1 Formato de encapsulamento de quadro IEEE 802.1Q

    Uma tag VLAN contém os quatro campos a seguir:

    • Tag Protocol Identifier (TPID): É usado para determinar se uma tag VLAN é transportada pelo quadro de dados. O comprimento é de 2 bytes e o valor é fixado em 0x8100, indicando uma tag 802.1Q padrão.
    • Prioridade: É a prioridade 802.1p. O comprimento é de 3 bits e o intervalo de valores é de 0 a 7. Pacotes com diferentes prioridades podem obter serviços de diferentes níveis.
    • Indicador de formato canônico (CFI): Indica se o endereço MAC está encapsulado em um formato padrão para transmissão em diferentes mídias. O comprimento é de 1 bit. O valor 0 indica que o endereço MAC está encapsulado em um formato padrão, enquanto o valor 1 indica que o endereço MAC está encapsulado em um formato não padrão.
    • ID da VLAN: Indica a VLAN à qual o pacote pertence. O comprimento é de 12 bits e o intervalo de valores é de 0 a 4095, em que 0 e 4095 são valores reservados ao protocolo e os IDs de VLAN disponíveis estão no intervalo de 1 a 4094.

    As VLANs têm as seguintes vantagens:

    • Estabelece grupos de trabalho virtuais de forma flexível. Usuários com os mesmos requisitos podem ser divididos em uma VLAN, sem serem limitados por suas localizações físicas.
    • Limita os domínios de broadcast. Uma VLAN é um domínio de broadcast. Os quadros unicast, multicast e broadcast da camada 2 podem ser encaminhados apenas dentro do domínio e não podem entrar diretamente em outras VLANs. Isso evita tempestades de transmissão.
    • Melhora a segurança da rede. Diferentes VLANs são isoladas na camada dois e as VLANs não podem se comunicar diretamente umas com as outras.

    De acordo com as aplicações, as VLANs são categorizadas nos quatro tipos a seguir:

    • VLANs baseadas em porta
    • VLANs baseadas em endereço MAC
    • VLANs baseadas em sub-rede IP
    • VLANs baseadas em protocolo

    Por padrão, na ordem de prioridade de alta para baixa, os quatro tipos de VLANs são: VLANs baseadas em sub-rede IP, VLANs baseadas em MAC, VLANs baseadas em protocolo e VLANs baseadas em porta. Em uma porta, as VLANs entram em vigor de acordo com os níveis de prioridade e apenas um tipo de VLAN entra em vigor.

    Configuração da função VLAN

    Tabela 3-1 Lista de funções de VLAN

    Tarefas de configuração
    Configurando atributos básicos de VLANs Configure uma VLAN.
    Configure o nome da VLAN.
    Configure uma VLAN baseada em porta. Configure o tipo de link de porta.
    Adicione uma porta de acesso à VLAN.
    Configure uma porta Trunk para permitir a passagem de serviços de uma VLAN.
    Adicione uma porta híbrida na VLAN.
    Configure PVIDs para portas.
    Configure uma VLAN baseada em endereço MAC. Configure uma VLAN baseada em endereço MAC.
    Configure uma VLAN baseada em sub-rede IP. Configure uma VLAN baseada em sub-rede IP.
    Configure uma VLAN baseada em protocolo. Configure uma VLAN baseada em protocolo.
    Configure os tipos de quadros que podem ser recebidos pela porta. Configure os tipos de quadros que podem ser recebidos pela porta.

    Configurar atributos básicos de VLANs

    Condição de configuração

    Nenhum

    Configurar uma VLAN

    Cada VLAN corresponde a um domínio de broadcast. Os usuários na mesma VLAN podem se comunicar entre si na camada 2, enquanto os usuários de diferentes VLANs são isolados uns dos outros na camada 2.

    Tabela 3 -2 Configurando uma VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Crie uma VLAN. vlan vlan-list Obrigatório. Por padrão, o sistema cria automaticamente a VLAN1. Ao criar uma única VLAN, após a criação de uma VLAN, você entrará no modo de configuração da VLAN. Ao criar várias VLANs, após a criação de uma VLAN, você ainda está no modo de configuração atual.

    Configure o nome da VLAN

    Para facilitar a memória e o gerenciamento, você pode configurar o nome de uma VLAN de acordo com o tipo de serviço, função e conexão da VLAN.

    Tabela 3 -3 Configure o nome da VLAN.

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entra no modo de configuração de VLAN. vlan vlan-id -
    Configure o nome da VLAN. name vlan-name Obrigatório. Por padrão, o nome da VLAN1 é DEFAULT, e os nomes das outras VLANs seguem o formato "VLAN vlan-id" , como VLAN100.

    Configurar uma VLAN baseada em porta

    Uma VLAN baseada em porta, também chamada de VLAN de porta, é uma VLAN do tipo de divisão mais simples. Depois que uma porta é adicionada à VLAN, a porta pode encaminhar pacotes que pertencem à VLAN.

    Condição de configuração

    Nenhum

    Configurar o tipo de link de porta

    Uma porta lida com tags de VLAN em diferentes modos antes de encaminhar pacotes. De acordo com os modos de manipulação de tags VLAN, os três tipos de link a seguir estão disponíveis:

    • Tipo de acesso: Os pacotes que foram encaminhados não carregam tags VLAN. As portas desse tipo geralmente são conectadas aos dispositivos do usuário.
    • Tipo de tronco: Os pacotes das VLANs nas quais o PVID está localizado não carregam tags de VLAN, enquanto os pacotes de outras VLANs ainda carregam tags de VLAN.
    • Tipo híbrido: Os pacotes da VLAN especificada podem ser configurados para não transportar ou transportar tags de VLAN. As portas do tipo podem ser conectadas a dispositivos de usuário ou interconectadas com dispositivos de rede.

    As portas do tipo Trunk e as portas do tipo Híbrido não podem ser convertidas uma na outra diretamente. Eles precisam ser convertidos para o tipo Access antes de serem convertidos para outro tipo.

    Tabela 3 -4 Configurando o tipo de link de porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure o tipo de link de porta. switchport mode { access | hybrid | trunk } Obrigatório. Por padrão, o tipo de link de porta é o tipo de acesso.

    Alguns comandos podem ser configurados apenas nas portas com o tipo de link especificado . Portanto , se o tipo de link de porta for convertido para outro tipo, as funções configuradas na porta com o tipo de link original podem se tornar inválidas.

    Adicione uma porta de acesso na VLAN

    Uma porta de acesso pode pertencer a apenas uma VLAN. Quando uma porta de acesso é adicionada a uma VLAN especificada, ela sai da VLAN atual e entra na VLAN especificada. Se a VLAN à qual a porta de acesso deve ser adicionada não existir, a VLAN será criada automaticamente.

    Tabela 3 -5 Adicionando uma porta de acesso à VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure o tipo de link de porta para o tipo de acesso. switchport mode access Obrigatório. Por padrão, o tipo de link de porta é o tipo de acesso.
    Adicione uma porta de acesso à VLAN especificada. switchport access vlan vlan-id Obrigatório. Por padrão, a porta de acesso é adicionada à VLAN1.

    Configurar uma porta de tronco para permitir a passagem de serviços de uma VLAN

    Se uma porta Trunk permite a passagem de serviços de uma VLAN existente, a porta permite o encaminhamento de pacotes da VLAN. Se a VLAN que a porta Trunk permite passar não existir, a VLAN não será criada automaticamente e você deverá criar a VLAN antes que a porta permita o encaminhamento de pacotes da VLAN.

    Tabela 3 -6 Configurando uma porta de tronco para permitir a passagem de serviços de uma VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure o tipo de link de porta para o tipo de tronco. switchport mode trunk Obrigatório. Por padrão, o tipo de link de porta é o tipo de acesso.
    Configure uma porta Trunk para permitir a passagem de uma VLAN. switchport trunk allowed vlan { all | add vlan-list } Obrigatório. Por padrão, a porta Trunk permite a passagem de VLAN1.
    Configure os pacotes da VLAN em que o PVID está localizado para serem encaminhados com as tags VLAN reservadas. vlan dot1q tag pvid Opcional. Por padrão, os pacotes da VLAN em que o PVID está localizado são encaminhados sem tags de VLAN.

    Adicione uma porta híbrida na VLAN

    Se a VLAN à qual a porta de acesso deve ser adicionada não existir, a VLAN será criada automaticamente.

    Tabela 3 -7 Adicionando uma porta híbrida na VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure o tipo de link de porta para o tipo Híbrido. switchport mode hybrid Obrigatório. Por padrão, o tipo de link de porta é o tipo de acesso.
    Adicione uma porta híbrida a uma VLAN especificada em um modo especificado. switchport hybrid { untagged | tagged } vlan vlan-list Obrigatório. Por padrão, a porta híbrida é adicionada à VLAN1 no modo Untagged.

    Configurar PVIDs para Portas

    Port VLAN ID (PVID) é um parâmetro importante de uma porta. Quando uma porta recebe um pacote Untag, ela adiciona uma etiqueta VLAN ao pacote, e o ID da VLAN da etiqueta VLAN é o PVID da porta.

    O PVID de uma porta de acesso é o ID da VLAN à qual ela pertence, portanto, o PVID da porta de acesso pode ser configurado apenas alterando a VLAN à qual ela pertence. A porta Trunk e a porta híbrida podem pertencer a várias VLANs e seus PVIDs podem ser configurados de acordo com a necessidade real.

    A porta Trunk e a porta híbrida devem ser adicionadas à VLAN à qual seus PVIDs pertencem; caso contrário, os pacotes da VLAN à qual seus PVIDs pertencem não podem ser encaminhados, e a porta descarta os pacotes Untag recebidos.

    Tabela 3 -8 Configurando PVIDs para Portas

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configurando o PVID para a porta Trunk. switchport trunk pvid vlan vlan-id Obrigatório. Selecione uma opção de acordo com o tipo de link de porta. Por padrão, a porta PVID é VLAN1.
    Configurando o PVID para a porta híbrida. switchport hybrid pvid vlan vlan-id

    Ao configurar o PVID para uma porta, a VLAN à qual o PVID pertence deve ter sido criada; caso contrário, a configuração falhará e uma mensagem de erro será exibida.

    Configurar uma VLAN baseada em endereço MAC

    As VLANs baseadas em endereço MAC, também chamadas de VLANs MAC, são classificadas de acordo com os endereços MAC de origem dos pacotes. Depois que uma VLAN MAC é configurada, se a porta receber um pacote Untag e o endereço MAC de origem do pacote corresponder a uma entrada MAC VLAN, o sistema adicionará uma tag VLAN para o pacote, na qual o ID da VLAN corresponde ao ID da VLAN no MAC Entrada de VLAN.

    Depois que a localização física do usuário for alterada, se o endereço MAC do usuário não for alterado, a VLAN à qual a porta do usuário pertence não precisará ser reconfigurada.

    Condição de configuração

    Nenhum

    Configurar uma VLAN baseada em endereço MAC

    Tabela 3 -9 Configurando uma VLAN baseada em endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure uma entrada MAC VLAN. mac-vlan mac-address mac-address vlan vlan-id Obrigatório. Por padrão, nenhuma entrada MAC VLAN é configurada.
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Habilite a função MAC VLAN da porta. mac-vlan enable Obrigatório. Por padrão, a função MAC VLAN está desabilitada na porta.

    A porta na qual a função MAC VLAN está habilitada deve ser adicionada à VLAN que corresponde à entrada; caso contrário, a porta não poderá encaminhar pacotes da VLAN e os pacotes que corresponderem ao endereço MAC de origem serão descartados.

    Configurar uma VLAN baseada em sub-rede IP

    As VLANs baseadas em sub-rede IP, também chamadas de VLANs de sub-rede IP, são classificadas de acordo com os endereços IP de origem dos pacotes. Após a configuração de uma VLAN de sub-rede IP, se a porta receber um pacote de desmarcação e o endereço IP de origem do pacote corresponder a uma entrada de VLAN de sub-rede IP, o sistema adicionará uma etiqueta de VLAN para o pacote, na qual o ID de VLAN corresponde ao ID de VLAN em a entrada VLAN da sub-rede IP.

    Depois que a localização física do usuário for alterada, se o endereço IP do usuário não for alterado, a VLAN à qual a porta do usuário pertence não precisará ser reconfigurada.

    Condição de configuração

    Nenhum

    Configurar uma VLAN baseada em sub-rede IP

    Tabela 3 -10 Configurando uma VLAN baseada em sub-rede IP

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure uma entrada VLAN de sub-rede IP. ip-subnet-vlan ipv4 ip-address mask mask vlan vlan-id Obrigatório. Por padrão, nenhuma entrada de VLAN de sub-rede IP é configurada.
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Habilite a função VLAN da sub-rede IP da porta. ip-subnet-vlan enable Obrigatório. Por padrão, a função VLAN de sub-rede IP está desabilitada na porta.

    A porta na qual a função VLAN da sub-rede IP está habilitada deve ser adicionada à VLAN que corresponde à entrada; caso contrário, a porta não poderá encaminhar pacotes da VLAN e os pacotes que corresponderem ao endereço IP de origem serão descartados.

    Configurar uma VLAN baseada em sub-rede IPv6

    As VLANs baseadas em sub-rede IPv6, também chamadas de VLANs de sub-rede IPv6, são classificadas de acordo com os endereços IPv6 de origem dos pacotes. Depois que uma VLAN de sub-rede IPv6 for configurada, se a porta receber um pacote de desmarcar e o endereço IPv6 de origem do pacote corresponder a uma entrada de VLAN de sub-rede IPv6, o sistema adicionará uma etiqueta de VLAN para o pacote, na qual o ID de VLAN é o ID de VLAN em a entrada correspondente.

    Depois que a localização física do usuário for alterada, se o endereço IPv6 do usuário não for alterado, a VLAN à qual a porta do usuário pertence não precisará ser reconfigurada.

    Condições de configuração

    Nenhum

    Configurar VLAN baseada em sub-rede IPv6

    Tabela 3 -11 Configurar VLAN baseada em sub-rede Pv6

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure uma entrada de VLAN de sub-rede IPv6. ipv6-subnet-vlan ipv6 prefix-address vlan vlan-id Mandatório. Por padrão, nenhuma entrada de VLAN de sub-rede IPv6 é configurada.
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Habilite a função VLAN de sub-rede IPv6 da porta. ipv6-subnet-vlan enable Mandatório. Por padrão, a função VLAN de sub-rede IPv6 está desabilitada na porta.

    A porta na qual a função VLAN de sub-rede IPv6 está habilitada deve ser adicionada à VLAN que corresponde à entrada; caso contrário, a porta não poderá encaminhar pacotes da VLAN e os pacotes que corresponderem ao endereço IPv6 de origem serão descartados.

    Configurar uma VLAN baseada em protocolo

    As VLANs baseadas em protocolo, também chamadas de VLANs de protocolo, são classificadas de acordo com os formatos de encapsulamento de quadro e os tipos de protocolo dos pacotes. Depois que um perfil de protocolo é definido, uma porta é configurada para corresponder a um perfil de protocolo e a função de protocolo VLAN é habilitada para a porta, se a porta receber um pacote Untag que corresponda ao perfil de protocolo, a porta adiciona uma tag VLAN para o pacote . O ID de VLAN corresponde ao ID de VLAN definido no perfil.

    Depois que a localização física do usuário for alterada, se o formato de encapsulamento do quadro dos pacotes do usuário e o tipo de protocolo não forem alterados, a VLAN à qual a porta do usuário pertence não precisa ser reconfigurada.

    Condição de configuração

    Nenhum

    Configurar uma VLAN baseada em protocolo

    Tabela 3 -11 Configurando uma VLAN baseada em protocolo

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Defina um perfil de protocolo. protocol-vlan profile profile-index frame-type frame-type ether-type ether-type vlan vlan-id Obrigatório. Por padrão, nenhum perfil de protocolo é definido.
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Habilite a função de protocolo VLAN da porta. protocol-vlan enable Obrigatório. Por padrão, a função de protocolo VLAN está desabilitada na porta.

    A porta para a qual um perfil de protocolo correspondente foi configurado e a função VLAN de protocolo foi habilitada deve ser adicionada à VLAN correspondente ao perfil de protocolo correspondente; caso contrário, a porta não pode encaminhar pacotes da VLAN e os pacotes correspondentes ao protocolo serão descartados.

    Configurar os Tipos de Quadros que Podem Ser Recebidos pela Porta

    Condição de configuração

    Nenhum

    Configurar os Tipos de Quadros que Podem Ser Recebidos pela Porta

    Você pode configurar os tipos de quadros que podem ser recebidos por uma porta para que a porta receba apenas pacotes Untag, receba apenas pacotes Tag ou receba ambos. Os pacotes que não atenderem ao requisito serão descartados.

    Tabela 3 -12 Configurando os tipos de quadros que podem ser recebidos pela porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure os tipos de quadros que podem ser recebidos pela porta. switchport accept frame-type { all | untag | tag } Obrigatório. Por padrão, o tipo de quadros que pode ser recebido por uma porta é all, ou seja, receber pacotes Untag e Tag.

    Monitoramento e manutenção de VLAN

    Tabela 3 -13 Monitoramento e manutenção de VLAN

    Comando Descrição
    show ip-subnet-vlan Exibe as informações sobre VLANs de sub-rede IP.
    show mac-vlan Exibe as informações sobre MAC VLANs.
    show protocol-vlan [ profile ] Exibe as informações sobre VLANs de protocolo.
    show running-config vlan Exibe informações de configuração de VLAN.
    show vlan [ vlan-id ] Exibe as informações sobre uma VLAN especificada ou todas as VLANs existentes.
    show vlan statistics Exibe o número de VLANs existentes.
    show vlan summary Exibe as informações de VLAN aprendidas estáticas criadas e dinâmicas
    show { interface interface-name | interface link-aggregation link-aggregation-id } vlan status Exibe as informações de VLAN na porta ou link aggregation especificado.

    Exemplo de configuração típica de VLAN

    Configurar VLANs baseadas em porta

    Requisitos de rede

    • Server1 e PC1 estão na rede do escritório, enquanto Server2 e PC2 estão na rede de produção.
    • Você precisa configurar as funções de VLAN baseadas em porta para isolar PC1 e PC2 para que PC1 possa acessar apenas Server1 e PC2 possa acessar apenas Server2.

    Topologia de rede

    Figura 3 -2 Rede para configurar VLANs baseadas em porta

    Etapas de configuração

    • Passo 1:Em Device1, configure VLANs e configure os tipos de link de porta das portas.

    #No Dispositivo1, crie VLAN2 e VLAN3.

    Device1#configure terminal
    Device1(config)#vlan 2-3

    #No Device1, configure o tipo de link das portas gigabitethernet0/1 e gigabitethernet0/2 para acessar. Configure gigabitethernet0/1 para permitir que serviços de VLAN2 passem e configure gigabitethernet0/2 para permitir que serviços de VLAN3 passem.

    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#switchport mode access
    Device1(config-if-gigabitethernet0/1)#switchport access vlan 2
    Device1(config-if-gigabitethernet0/1)#exit
    Device1(config)#interface gigabitethernet0/2
    Device1(config-if-gigabitethernet0/2)#switchport mode access
    Device1(config-if-gigabitethernet0/2)#switchport access vlan 3
    Device1(config-if-gigabitethernet0/2)#exit

    #No Device1, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN2 e VLAN3.

    Device1(config)#interface gigabitethernet 0/3
    Device1(config-if-gigabitethernet0/3)#switchport mode trunk
    Device1(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 2-3
    Device1(config-if-gigabitethernet0/3)#exit
    • Passo 2: Em Device3, configure VLANs e configure os tipos de link de porta das portas

    #No Dispositivo2, crie VLAN2 e VLAN3.

    Device2#configure terminal
    Device2(config)#vlan 2-3

    #No Device2, configure o tipo de link das portas gigabitethernet0/1 e gigabitethernet0/2 para acessar. Configure gigabitethernet0/1 para permitir que serviços de VLAN2 passem e configure gigabitethernet0/2 para permitir que serviços de VLAN3 passem.

    Device2(config)#interface gigabitethernet 0/1
    Device2(config-if-gigabitethernet0/1)#switchport mode access
    Device2(config-if-gigabitethernet0/1)#switchport access vlan 2
    Device2(config-if-gigabitethernet0/1)#exit
    Device2(config)#interface gigabitethernet0/2
    Device2(config-if-gigabitethernet0/2)#switchport mode access
    Device2(config-if-gigabitethernet0/2)#switchport access vlan 3
    Device2(config-if-gigabitethernet0/2)#exit

    #No Device2, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN2 e VLAN3.

    Device2(config)#interface gigabitethernet 0/3
    Device2(config-if-gigabitethernet0/3)#switchport mode trunk
    Device2(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 2-3
    Device2(config-if-gigabitethernet0/3)#exit
    • Etapa 3: Confira o resultado.

    #Consulte as informações de VLAN no Device1.

    Device1#show vlan 2
    ---- ---- -------------------------------- ------- --------- -----------------------------
    NO.  VID  VLAN-Name                    	Owner   Mode      Interface       	
    ---- ---- -------------------------------- ------- --------- -----------------------------
    1	2	VLAN0002                     	static  Tagged    gi0/3
                                                       Untagged  gi0/1
    Device1#show vlan 3
    ---- ---- -------------------------------- ------- --------- -----------------------------
    NO.  VID  VLAN-Name                        Owner   Mode      Interface       	
    ---- ---- -------------------------------- ------- --------- -----------------------------
    1	3	VLAN0003                     	static  Tagged    gi0/3 
                                       	            Untagged  gi0/2

    #PC1 e PC2 não podem se comunicar, PC1 pode acessar apenas Server1 e PC2 pode acessar apenas Server2.

    Configurar VLANs baseadas em endereço MAC

    Requisitos de rede

    • PC1 e PC2 podem acessar a rede através de diferentes portas do Dispositivo.
    • As funções de VLAN baseadas em endereço MAC precisam ser configuradas para que os PCs com os endereços MAC especificados possam acessar o servidor por meio de diferentes portas. Os PCs que não possuem um endereço MAC especificado podem acessar o servidor somente por meio de uma porta especificada.

    Topologia de rede

    Figura 3 -3 Rede para configurar VLANs baseadas em endereço MAC

    Etapas de configuração

    • Passo 1: Em Dispositivo, configure VLANs e configure os tipos de link de porta das portas.

    No dispositivo, crie VLAN2 e VLAN3.

    Device#configure terminal
    Device(config)#vlan 2-3

    #No Device2, configure o tipo de link das portas gigabitethernet0/1 e gigabitethernet0/3 para acessar e permitir que os serviços da VLAN2 passem.

    Device(config)#interface gigabitethernet 0/1,0/3
    Device(config-if-range)#switchport mode access
    Device(config-if-range)#switchport access vlan 2
    Device(config-if-range)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/2 para Híbrido e permita que os serviços de VLAN2 e VLAN3 passem e defina PVID como 3.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#switchport mode hybrid
    Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2-3
    Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 3
    Device(config-if-gigabitethernet0/2)#exit
    • Passo 2: Configure a função VLAN baseada em endereço MAC.

    #No dispositivo, configure uma entrada de VLAN baseada em endereço MAC para que os pacotes com o endereço MAC de origem 0001.7a00.0001 possam ser encaminhados na VLAN2.

    Device(config)#mac-vlan mac-address 0001.7a00.0001 vlan 2

    #Na porta gigabitethernet0/2 do dispositivo, habilite a função VLAN baseada em endereço MAC.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#mac-vlan enable
    Device(config-if-gigabitethernet0/2)#exit
    • Passo 3: Confira o resultado.

    #No dispositivo, consulte as entradas MAC VLAN e o status de habilitação da porta.

    Device#show mac-vlan
                                     	total 256,	used 1,    left 255
     
    --------------------------------MAC-VLAN---------------------------------
    NO.   Mac Address 	Dynamic Vlan  Static Vlan  Current Pri  Static Pri
    ----- --------------- ------------- ------------ ------------ -----------
    1     0001.7a00.0001  0         	2        	-        	-          	
     
    -----------------------------ENABLE MAC-VLAN-----------------------------
    gi0/2

    O #PC1 pode acessar o servidor pela porta gigabitethernet0/1 ou gigabitethernet0/2, enquanto o PC2 pode acessar o servidor apenas pela porta gigabitethernet0/1.

    Configurar VLANs baseadas em sub-rede IP

    Requisitos de rede

    • Server1 é o servidor na rede do escritório e Server2 é o servidor na rede de produção.
    • As funções de VLAN baseadas em sub-rede IP precisam ser configuradas para que o PC1 possa acessar apenas o Server1 e o PC2 possa acessar apenas o Server2.

    Topologia de rede

    Figura 3-4 Configurando uma VLAN baseada em sub-rede IP

    Etapas de configuração

    • Passo 1: Em Dispositivo, configure VLANs e configure os tipos de link de porta das portas.

    #No dispositivo, crie VLAN2 e VLAN3.

    Device#configure terminal
    Device(config)#vlan 2-3

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/1 para Híbrido e permita que os serviços de VLAN2 e VLAN3 passem e defina PVID como 2.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#switchport mode hybrid
    Device(config-if-gigabitethernet0/1)#switchport hybrid untagged vlan 2-3
    Device(config-if-gigabitethernet0/1)#switchport hybrid pvid vlan 2
    Device(config-if-gigabitethernet0/1)#exit

    #No Dispositivo, configure o tipo de link das portas gigabitethernet0/2 e gigabitethernet0/3 para acessar. Configure gigabitethernet0/2 para permitir que serviços de VLAN2 passem e configure gigabitethernet0/3 para permitir que serviços de VLAN3 passem.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#switchport mode access
    Device(config-if-gigabitethernet0/2)#switchport access vlan 2
    Device(config)#interface gigabitethernet 0/3
    Device(config-if-gigabitethernet0/3)#switchport mode access
    Device(config-if-gigabitethernet0/3)#switchport access vlan 3
    Device(config-if-gigabitethernet0/3)#exit
    • Passo 2:Configure as funções de VLAN baseadas em sub-rede IP.

    #No dispositivo, configure as entradas de VLAN baseadas em sub-rede IP para que os pacotes com o endereço IP de origem na sub-rede 2.1.1.0/24 possam ser encaminhados na VLAN3.

    Device(config)#ip-subnet-vlan ipv4 2.1.1.0 mask 255.255.255.0 vlan 3

    #Na porta gigabitethernet0/1 do dispositivo, habilite a função VLAN baseada em sub-rede IP.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#ip-subnet-vlan enable
    Device(config-if-gigabitethernet0/1)#exit
    • Passo 3: Confira o resultado.

    #No dispositivo, consulte as entradas da VLAN da sub-rede IP e o status de habilitação da porta.

    Device(config)#show ip-subnet-vlan 
    -------------------------IP-SUBNET-VLAN------------------------
    NO.	IP             	MASK           	VLAN	PRI      
    ------ ------------------ ------------------ ------- ----------
    1  	2.1.1.0        	255.255.255.0  	3       -     	
     
    ----------------------Enable SUBNET-VLAN-----------------------
    gi0/1                           	
     
    ------------------Enable SUBNET-VLAN Priority------------------

    #PC1 pode acessar apenas o Server1 e o PC2 pode acessar apenas o Server2.

    Configurar VLANs baseadas em protocolo

    Requisitos de rede

    • PC é um host na Ethernet e Server1 e Server2 são dois servidores na Ethernet.
    • A função VLAN baseada em protocolo precisa ser configurada para que o PC possa acessar apenas o Servidor 1 antes que a função VLAN baseada em protocolo seja habilitada na porta do Dispositivo. Depois que a função VLAN baseada em protocolo é habilitada na porta, o PC pode acessar apenas o Server2.

    Topologia de rede

    Figura 3-5 Rede para configurar VLANs baseadas em protocolo

    Etapas de configuração

    • Passo 1: Em Dispositivo, configure VLANs e configure os tipos de link de porta das portas.

    #No dispositivo, crie VLAN2 e VLAN3.

    Device#configure terminal
    Device(config)#vlan 2-3

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/1 para Híbrido e permita que os serviços de VLAN2 e VLAN3 passem e defina PVID como 2.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#switchport hybrid untagged vlan 2-3
    Device(config-if-gigabitethernet0/1)#switchport hybrid pvid vlan 2

    #No Dispositivo, configure o tipo de link das portas gigabitethernet0/2 e gigabitethernet0/3 para acessar. Configure gigabitethernet0/2 para permitir que serviços de VLAN2 passem e configure gigabitethernet0/3 para permitir que serviços de VLAN3 passem.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#switchport mode access
    Device(config-if-gigabitethernet0/2)#switchport access vlan 2
    Device(config-if-gigabitethernet0/2)#exit
    Device(config)#interface gigabitethernet 0/3
    Device(config-if-gigabitethernet0/3)#switchport mode access
    Device(config-if-gigabitethernet0/3)#switchport access vlan 3
    Device(config-if-gigabitethernet0/3)#exit
    • Passo 2: Configure a função VLAN baseada em protocolo.

    #No dispositivo, configure um perfil de protocolo para pacotes IP(0x0800) baseados no encapsulamento ETHERII.

    Device(config)#protocol-vlan profile 1 frame-type ETHERII ether-type 0x0800

    #Na porta gigabitethernet0/1 do dispositivo, os pacotes que correspondem ao perfil do protocolo são encaminhados na VLAN3 e a função VLAN do protocolo é habilitada.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#protocol-vlan enable
    Device(config-if-gigabitethernet0/1)#protocol-vlan profile 1 vlan 3
    Device(config-if-gigabitethernet0/1)#exit
    • Passo 3: Confira o resultado.

    #No dispositivo, consulte as entradas da VLAN do protocolo e o status de habilitação da porta.

    Device#show protocol-vlan profile
     
    ---------------------------PROTOTOCL-VLAN-------------------------
    Profile   Frame-type 	Ether-type 	
    ------------------------------------------------------------------
    1         ETHERII    	0x800      	       
     
    -----------------------Enable PROTOCOL-VLAN-----------------------
    gi0/1            	
     
    -------------------Enable PROTOCOL-VLAN Profile-------------------
    gi0/1: total-profiles 1
            vlan 3, profile 1

    # Quando a função VLAN baseada em protocolo não está habilitada na porta gigabitethernet0/1, o PC pode acessar apenas o Server1. Depois que a função VLAN baseada em protocolo é habilitada na porta gigabitethernet0/1, o PC pode acessar apenas o Server2.

    Mapeamento QinQ e VLAN

    Visão geral

    O 802.1Q em 802.1Q (QinQ), que é uma extensão do protocolo 802.1Q, adiciona uma camada de tag 802.1Q (tag VLAN) com base no cabeçalho do pacote 802.1Q original. Com o uso de duas camadas de tags VLAN, o número de VLANs é aumentado para 4094x4094. QinQ encapsula tags de VLAN de rede privada do usuário em tags de VLAN de rede pública para que os pacotes sejam transmitidos na rede de backbone da operadora (rede pública) com duas camadas de tags de VLAN. Na rede pública, os pacotes são transmitidos com base nas tags VLAN externas (ou seja, tags VLAN da rede pública) e as tags VLAN da rede privada do usuário são blindadas. Isso economiza IDs de VLAN de rede pública e fornece túneis de rede privada virtual (VPN) L2 simples para os usuários.

    De acordo com as regras de adição de tags VLAN, o QinQ se enquadra nos seguintes tipos:

    • QinQ básico
    • QinQ flexível baseado em porta

    O mapeamento de VLAN também é uma extensão do 802.1Q. É diferente do QinQ no seguinte aspecto: Em vez de encapsular outra camada de tag VLAN com base na tag VLAN original de um pacote, o mapeamento VLAN substitui a tag VLAN original de um pacote por uma nova tag VLAN. Desta forma, o pacote ainda possui apenas uma camada de tag VLAN.

    De acordo com as regras de mapeamento , o mapeamento de VLAN se enquadra nos seguintes tipos:

    • Mapeamento de VLAN 1:1. Apenas uma VLAN de rede privada pode ser mapeada em uma VLAN de rede pública.
    • Mapeamento de VLAN N:1. Ou seja, uma ou mais VLANs privadas podem ser mapeadas para uma VLAN pública.

    Para QinQ flexível baseado em porta, mapeamento de VLAN 1:1, VLAN de rede privada para entradas de mapeamento de VLAN de rede pública devem ser configuradas. Um usuário pode configurar no máximo 4.096 entradas de mapeamento.

    Configuração da função de mapeamento QinQ e VLAN

    Tabela 4-1 Lista de funções de mapeamento de QinQ e VLAN

    Tarefas de configuração
    Configure a função básica QinQ. Ative a função básica QinQ.
    Configure a função QinQ flexível baseada em porta. Configure a função QinQ flexível baseada em porta.
    Configure a função de mapeamento de VLAN 1:1. Configure a função de mapeamento de VLAN 1:1.
    Configure a função de mapeamento de VLAN N :1. Configure a função de mapeamento de VLAN N :1.
    Configure o tipo de protocolo da tag VLAN externa de uma porta. Configure o tipo de protocolo da tag VLAN externa de uma porta.
    Configure a função de duplicação de prioridade. Ative a função de duplicação de prioridade.
    Configurar a função QinQ Drop Configurar a função QinQ Drop

    Configurar a função básica do QinQ

    Depois que a função básica do QinQ é configurada em uma porta, o dispositivo adiciona outra camada de tags VLAN para os pacotes recebidos da porta. O ID de VLAN das tags de VLAN é o PVID da porta.

    Condição de configuração

    Antes de configurar a função básica do QinQ, certifique-se de que:

    • O PVID da porta foi configurado. O PVID é o ID de VLAN das tags de VLAN externas que são adicionadas aos pacotes depois que a função básica QinQ da porta é habilitada.

    Ativar a função básica de QinQ

    Tabela 4-2 Habilitando a Função Básica QinQ

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Ative a função básica QinQ. vlan dot1q-tunnel enable Obrigatório. Por padrão, a função básica do QinQ está desabilitada.

    Em uma porta, a função QinQ básica não pode coexistir com as seguintes funções: QinQ Evc, QINQ flexível, mapeamento de VLAN 1:1, mapeamento de VLAN N:1, configurar o tipo de protocolo das tags VLAN externas da porta como um não padrão valor .

    Configurar a função QinQ flexível baseada em porta

    Depois que uma porta é configurada com o QinQ flexível baseado em porta, se o ID de VLAN da camada mais externa da tag VLAN de um pacote corresponder a uma entrada do QinQ flexível baseado em porta, uma tag VLAN externa especificada é adicionada ao pacote. Se o ID de VLAN da camada mais externa da etiqueta de VLAN de um pacote não corresponder a uma entrada do QinQ flexível baseado em porta, uma camada de etiqueta de VLAN é adicionada ao pacote e o ID de VLAN da etiqueta de VLAN é o PVID de o Porto.

    Condição de configuração

    Antes de configurar a função QinQ flexível baseada em porta, certifique-se de que:

    • O tipo de link de porta é configurado para o tipo de tronco ou o tipo híbrido.
    • Um PVID foi configurado para a porta.
    • A VLAN das tags VLAN externas a serem adicionadas foi configurada para a porta e os pacotes aos quais as tags VLAN externas foram adicionadas podem passar pela VLAN.

    Configurar a função QinQ flexível baseada em porta

    Tabela 4-3 Configurando a Função QinQ Flexível Baseada em Porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure entradas QinQ flexíveis baseadas em porta. vlan dot1q-tunnel inner-vlan-list outer-vlan-id Obrigatório. Por padrão, as entradas QinQ flexíveis baseadas em porta não são configuradas.

    Em uma porta, a função Qin Q flexível baseada em porta não pode coexistir com as seguintes funções: QinQ Evc, QINQ básico, mapeamento de VLAN 1:1, mapeamento de VLAN N:1. Quando a entrada QinQ flexível baseada em porta configurada entrar em conflito com a entrada QinQ flexível baseada em porta existente da porta, um conflito será solicitado.

    Configurar a função de mapeamento de VLAN 1:1

    Para uma porta, a entrada de mapeamento de VLAN 1:1 é um mapeamento um para um, ou seja, a entrada de mapeamento de VLAN 1:1 mapeia uma VLAN de rede privada para uma VLAN de rede pública.

    Depois que uma porta é configurada com mapeamento de VLAN 1:1, se a tag de VLAN mais externa de um pacote corresponder a uma entrada de mapeamento de VLAN 1:1, a porta substituirá o ID de VLAN da tag de VLAN mais externa pelo ID de VLAN especificado. Se a etiqueta de VLAN mais externa de um pacote não corresponder a uma entrada de mapeamento de VLAN 1:1, a porta adiciona uma camada de etiqueta de VLAN ao pacote e o ID de VLAN da etiqueta de VLAN é o PVID da porta.

    Condição de configuração

    Antes de configurar a função de mapeamento de VLAN 1:1, certifique-se de que:

    • O tipo de link de porta é configurado para o tipo de tronco ou o tipo híbrido.
    • Um PVID foi configurado para a porta.
    • A VLAN da nova etiqueta de VLAN externa usada para substituir a etiqueta de VLAN existente foi configurada para a porta e os pacotes para os quais as etiquetas de VLAN externas foram substituídas podem passar pela VLAN.

    Configurar a função de mapeamento de VLAN 1:1

    Tabela 4-4 Configurando a função de mapeamento de VLAN 1:1

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure entradas de função de mapeamento de VLAN 1:1. vlan dot1q-tunnel mapping former-vlan-id mapping-vlan-id Obrigatório. Por padrão, as entradas de mapeamento de VLAN 1:1 não são configuradas.

    Em uma porta, a função de mapeamento de VLAN 1:1 não pode coexistir com as seguintes funções: QinQ Evc, QINQ básico, QINQ flexível, mapeamento de VLAN N:1. Se a entrada de mapeamento VLAN 1:1 configurada entrar em conflito com uma entrada de mapeamento VLAN 1:1 baseada em porta existente, o conflito será solicitado.

    Configurar a função de mapeamento VLAN N:1

    Para uma porta, várias entradas de mapeamento de VLAN N:1 podem ser configuradas. Cada entrada de mapeamento de VLAN N:1 pode ser o relacionamento múltiplo-para-um, ou seja, uma ou mais VLANs privadas podem ser mapeadas para uma VLAN pública.

    Depois que a porta for configurada com mapeamento de VLAN N:1, se o ID de VLAN da tag de VLAN mais externa do pacote corresponder à entrada de mapeamento de VLAN N:1, substitua o ID de VLAN da tag de VLAN mais externa do pacote pela VLAN especificada EU IRIA; se não, o mapeamento VLAN N:1 não processará o pacote.

    Condição de configuração

    Antes de configurar a função de mapeamento de VLAN N :1, certifique-se de que:

    • O tipo de link de porta é configurado para o tipo de tronco ou o tipo híbrido.
    • Configure a porta para adicionar a VLAN da etiqueta de VLAN externa substituída para garantir que o pacote após a substituição da etiqueta de VLAN externa possa passar.

    Configurar N:1 Função de Mapeamento VLAN

    Tabela 4 -5 Configurar função de mapeamento de VLAN N:1

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L 2. interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L 2, a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Habilite a função de mapeamento de VLAN N:1 vlan dot1q-tunnel mapping n-to-1 enable Obrigatório. Por padrão, não habilite a função de mapeamento VLAN N:1
    Configure a entrada do mapeamento N:1 VLAN vlan dot1q-tunnel mapping n-to-1 former-vlan-list mapping-vlan-id Obrigatório. Por padrão, não configure a entrada do mapeamento N:1 VLAN.

    Em uma porta, a função de mapeamento de VLAN N:1 não pode coexistir com as seguintes funções: QinQ Evc, Qin Q básico, QINQ flexível baseado em porta, mapeamento de VLAN 1:1, configure o tipo de protocolo das tags VLAN externas da porta como um valor não padrão.

    Configurar o tipo de protocolo da etiqueta de VLAN externa de uma porta

    Uma porta determina se um pacote carrega a tag VLAN correspondente com base no Tag Protocol Identifier (TPID). Depois que uma porta recebe um pacote, ela compara o TPID configurado na porta com o campo correspondente no pacote. Se forem iguais, indica que o pacote carrega a tag VLAN correspondente. Se forem diferentes, o dispositivo considera e trata o pacote recebido como um pacote Untag.

    Dispositivos de alguns fabricantes podem definir o campo TPID de tags VLAN externas de pacotes QinQ para 0x9100 ou outros valores. Para ser compatível com os dispositivos, o valor TPID das tags VLAN externas da porta do dispositivo local deve ser configurado para o mesmo valor.

    Condição de configuração

    Nenhum

    Configurar o tipo de protocolo da etiqueta de VLAN externa de uma porta

    Um dispositivo suporta dois valores TPID. O intervalo de valores dos TPIDs é 0x0001-0xffff e não pode ser o campo de protocolo reservado, como 0x0806 e 0x0800.

    Tabela 4-6 Configurando o tipo de protocolo da etiqueta VLAN externa de uma porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure o tipo de protocolo da tag VLAN externa de uma porta. frame-tag tpid type-value Opcional. Por padrão, o valor do tipo de protocolo das tags VLAN externas de uma porta é 0x8100.

    Em uma porta, configure o tipo de protocolo da etiqueta VLAN externa da porta como o valor não padrão, que não pode coexistir com as seguintes funções: QinQ Evc, Qin Q básico, QINQ flexível, mapeamento VLAN 1:1, mapeamento VLAN N:1.

    Configurar a função de duplicação de prioridade

    Depois que uma porta é configurada com a função de duplicação de prioridade, ela duplica o campo de prioridade da etiqueta de VLAN mais externa de um pacote original para o campo de prioridade da etiqueta de VLAN mais externa do pacote.

    Condição de configuração

    Para configurar a função de duplicação de prioridade, primeiro complete a seguinte tarefa :

    • Configure a função QinQ básica e a função QinQ flexível baseada em porta ou a função de mapeamento de VLAN 1:1.

    Ative a função de duplicação de prioridade

    Tabela 4-7 Habilitando a função de duplicação de prioridade

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Ative a função de duplicação de prioridade inner-priority-trust enable Obrigatório. Por padrão, a função de duplicação de prioridade está desabilitada.

    Configurar a função de queda QinQ

    Depois que a porta for configurada com a função QinQ drop, se a porta receber um pacote que não corresponde à entrada QinQ flexível baseada em porta, entrada de mapeamento VLAN 1:1 e entrada de mapeamento VLAN N:1, o pacote será descartado.

    Condição de configuração

    Para configurar a função QinQ Drop , primeiro complete a seguinte tarefa :

    • Configure a função QinQ básica e a função QinQ flexível baseada em porta ou a função de mapeamento de VLAN 1:1.

    Ativar função de queda QinQ

    Tabela 4 -8 Ativar a função QinQ Drop

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois que você entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente terá efeito apenas na porta atual. Depois que você entrar no modo de configuração do link aggregation, a configuração subsequente terá efeito apenas dentro do grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Ativar a função QinQ Drop vlan dot1q-tunnel drop Obrigatório. Por padrão, a função QinQ Drop não está habilitada.

    Em uma porta, a função QinQ Drop não pode coexistir com QinQ Evc.

    Monitoramento e manutenção de mapeamento de QinQ e VLAN

    Tabela 4-9 Monitoramento e manutenção de mapeamento de QinQ e VLAN

    Comando Descrição
    show vlan dot1q-tunnel Exibe a configuração QinQ flexível baseada em porta.
    show vlan dot1q-tunnel mapping Exibe a configuração de mapeamento de VLAN 1:1.
    show vlan dot1q-tunnel mapping n-to-1 configuration Exibe a configuração de mapeamento de VLAN N :1.

    Exemplo de configuração típico de mapeamento de QinQ e VLAN

    Configurar QinQ Básico

    Requisitos de rede

    • Os usuários de intranet CE1 e CE2, e CE3 e CE4 se comunicam através da rede da operadora. CE1 e CE2 usam a Intranet VLAN10-VLAN20, CE3 e CE4 usam Intranet VLAN15-VLAN30, e PE1 e PE2 são dois dispositivos de borda na rede da operadora.
    • O QinQ básico é configurado em PE1 e PE2. Então , CE1 e CE2 podem se comunicar entre si através da VLAN00 da rede pública da operadora, CE3 e CE4 podem se comunicar entre si através da VLAN101 da rede pública da operadora, e os pacotes que são transmitidos na rede pública da operadora contêm duas camadas de tags .

    Topologia de rede

    Figura 4-1 Rede para configurar o QinQ básico

    Etapas de configuração

    • Passo 1: Configurar PE1.

    #No PE1, crie VLAN10-VLAN30 e VLAN100-VLAN101.

    PE1#configure terminal
    PE1(config)#vlan 10-30,100-101

    #No PE1, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN10-VLAN20 e VLAN100, e defina PVID para 100.

    PE1(config)#interface gigabitethernet 0/1
    PE1(config-if-gigabitethernet0/1)#switchport mode trunk
    PE1(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 10-20,100
    PE1(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 100
    PE1(config-if-gigabitethernet0/1)#exit

    #No PE1, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN15-VLAN30 e VLAN 101, e defina PVID para 101.

    PE1(config)#interface gigabitethernet 0/2
    PE1(config-if-gigabitethernet0/2)#switchport mode trunk
    PE1(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 15-30,101
    PE1(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 101
    PE1(config-if-gigabitethernet0/2)#exit

    #No PE1, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN100 e VLAN101, e defina PVID para 1.

    PE1(config)#interface gigabitethernet0/3
    PE1(config-if-gigabitethernet0/3)#switchport mode trunk
    PE1(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 100,101
    PE1(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    PE1(config-if-gigabitethernet0/3)#exit

    #Nas portas gigabitethernet 0/1 e gigabitethernet 0/2 do PE1, habilite a função básica QinQ.

    PE1(config)#interface gigabitethernet 0/1
    PE1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable
    PE1(config-if-gigabitethernet0/1)#exit
    PE1(config)#interface gigabitethernet 0/2
    PE1(config-if-gigabitethernet0/2)#vlan dot1q-tunnel enable
    PE1(config-if-gigabitethernet0/2)#exit
    • Passo 2: Configurar PE2.

    #No PE2, crie VLAN10-VLAN30 e VLAN100-VLAN101.

    PE2#configure terminal
    PE2(config)#vlan 10-30,100-101

    #No PE2, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN10-VLAN20 e VLAN100, e defina PVID para 100.

    PE2(config)#interface gigabitethernet 0/1
    PE2(config-if-gigabitethernet0/1)#switchport mode trunk
    PE2(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 10-20,100
    PE2(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 100
    PE2(config-if-gigabitethernet0/1)#exit

    #No PE2, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN15-VLAN30 e VLAN 101, e defina PVID para 101.

    PE2(config)#interface gigabitethernet 0/2
    PE2(config-if-gigabitethernet0/2)#switchport mode trunk
    PE2(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 15-30,101
    PE2(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 101
    PE2(config-if-gigabitethernet0/2)#exit

    #No PE2, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN100 e VLAN101, e defina PVID para 1.

    PE2(config)#interface gigabitethernet 0/3
    PE2(config-if-gigabitethernet0/3)#switchport mode trunk
    PE2(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 100,101
    PE2(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    PE2(config-if-gigabitethernet0/3)#exit

    #Nas portas gigabitethernet 0/1 e gigabitethernet 0/2 do PE2, habilite a função básica QinQ.

    PE2(config)#interface gigabitethernet 0/1
    PE2(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable
    PE2(config-if-gigabitethernet0/1)#exit
    PE2(config)#interface gigabitethernet 0/2
    PE2(config-if-gigabitethernet0/2)#vlan dot1q-tunnel enable
    PE2(config-if-gigabitethernet0/2)#exit
    • Passo 3: Confira o resultado.

    #Através do PE1 e PE2, os serviços dos usuários da Intranet CE1 e CE2 podem ser transmitidos na VLAN100 da rede da operadora com duas camadas de tags. Através do PE1 e PE2, os serviços dos usuários da Intranet CE3 e CE4 podem ser transmitidos na VLAN101 da rede da operadora com duas camadas de tags.

    Configurar QinQ Flexível

    Requisitos de rede

    • Os usuários de intranet CE1 e CE2, e CE3 e CE4 se comunicam através da rede da operadora. CE1 e CE2 usam a Intranet VLAN10-VLAN20, CE3 e CE4 usam Intranet VLAN15-VLAN30, e PE1 e PE2 são dois dispositivos de borda na rede da operadora.
    • Flexível QinQ é configurado em PE1 e PE2. Então, CE1 e CE2 podem se comunicar entre si através da VLAN00 da rede pública da operadora, CE3 e CE4 podem se comunicar entre si através da VLAN101 da rede pública da operadora, e os pacotes que são transmitidos na rede pública da operadora contêm duas camadas de tags .

    Topologia de rede

    Figura 4-2 Rede para configurar o QinQ flexível

    Etapas de configuração

    • Passo 1: Configurar PE1.

    #No PE1, crie VLAN10-VLAN30 e VLAN100-VLAN101.

    PE1#configure terminal
    PE1(config)#vlan 10-30,100-101

    #No PE1, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN10-VLAN20 e VLAN100, e defina PVID para 100.

    PE1(config)#interface gigabitethernet 0/1
    PE1(config-if-gigabitethernet0/1)#switchport mode trunk
    PE1(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 10-20,100
    PE1(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 100
    PE1(config-if-gigabitethernet0/1)#exit

    #No PE1, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN15-VLAN30 e VLAN 1, e defina PVID para 101.

    PE1(config)#interface gigabitethernet 0/2
    PE1(config-if-gigabitethernet0/2)#switchport mode trunk
    PE1(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 15-30,101
    PE1(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 101
    PE1(config-if-gigabitethernet0/2)#exit

    #No PE1, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN100 e VLAN101, e defina PVID para 1.

    PE1(config)#interface gigabitethernet 0/3
    PE1(config-if-gigabitethernet0/3)#switchport mode trunk
    PE1(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 100,101
    PE1(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    PE1(config-if-gigabitethernet0/3)#exit

    #Na porta gigabitethernet 0/1 do PE1, configure a função QinQ flexível para que as tags VLAN de VLAN100 sejam adicionadas aos pacotes de VLAN10-VLAN20.

    PE1(config)#interface gigabitethernet 0/1
    PE1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable
    PE1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel 10-20 100
    PE1(config-if-gigabitethernet0/1)#exit

    #Na porta gigabitethernet 0/2 do PE1, configure a função QinQ flexível para que as tags VLAN de VLAN101 sejam adicionadas aos pacotes de VLAN15-VLAN30.

    PE1(config)#interface gigabitethernet 0/2
    PE1(config-if-gigabitethernet0/2)#vlan dot1q-tunnel enable
    PE1(config-if-gigabitethernet0/2)#vlan dot1q-tunnel 15-30 101
    PE1(config-if-gigabitethernet0/2)#exit

    #No PE1, consulte as informações sobre entradas flexíveis de QinQ.

    PE1#show vlan dot1q-tunnel 
    Interface          	priority-default	Inner VlanId	Outer VlanId	inner-priority-trust	Inner VlanId Count  
    -------------------	----------------	------------	------------	--------------------	-----------------
    gi0/1              	disable         	10-20  	      100         	/                   	11
    gi0/2            	   disable    	    15-30            101         	/                   	16
    • Passo 2: Configurar PE2.

    #No PE2, crie VLAN10-VLAN30 e VLAN100-VLAN101.

    PE2#configure terminal
    PE2(config)#vlan 10-30,100-101

    #No PE2, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN10-VLAN20 e VLAN100, e defina PVID para 100.

    PE2(config)#interface gigabitethernet 0/1
    PE2(config-if-gigabitethernet0/1)#switchport mode trunk
    PE2(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 10-20,100
    PE2(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 100
    PE2(config-if-gigabitethernet0/1)#exit

    #No PE2, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN15-VLAN30 e VLAN 1, e defina PVID para 101.

    PE2(config)#interface gigabitethernet 0/2
    PE2(config-if-gigabitethernet0/2)#switchport mode trunk
    PE2(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 15-30,101
    PE2(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 101
    PE2(config-if-gigabitethernet0/2)#exit

    #No PE2, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN100 e VLAN101, e defina PVID para 1.

    PE2(config)#interface gigabitethernet 0/3
    PE2(config-if-gigabitethernet0/3)#switchport mode trunk
    PE2(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 100,101
    PE2(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    PE2(config-if-gigabitethernet0/3)#exit

    #Na porta gigabitethernet 0/1 do PE2, configure a função QinQ flexível para que as tags VLAN de VLAN100 sejam adicionadas aos pacotes de VLAN10-VLAN20.

    PE2(config)#interface gigabitethernet 0/1
    PE2(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable
    PE2(config-if-gigabitethernet0/1)#vlan dot1q-tunnel 10-20 100
    PE2(config-if-gigabitethernet0/1)#exit

    #Na porta gigabitethernet 0/2 do PE2, configure a função QinQ flexível para que as tags VLAN de VLAN101 sejam adicionadas aos pacotes de VLAN15-VLA30.

    PE2(config)#interface gigabitethernet 0/2
    PE2(config-if-gigabitethernet0/2)#vlan dot1q-tunnel enable
    PE2(config-if-gigabitethernet0/2)#vlan dot1q-tunnel 15-30 101
    PE2(config-if-gigabitethernet0/2)#exit

    #No PE2, consulte as informações sobre entradas QinQ flexíveis.

    PE2#show vlan dot1q-tunnel 
    Interface          	priority-default    Inner VlanId	Outer VlanId	inner-priority-trust	Inner VlanId Count   
    -------------------	----------------	------------	------------	--------------------	-----------------
    gi0/1              	disable       	  10-20        	100         	/      	             11
    gi0/2            	   disable    	    15-30            101         	/                   	16
    • Passo 3: Confira o resultado.

    #Através do PE1 e PE2, os serviços dos usuários da Intranet CE1 e CE2 podem ser transmitidos na VLAN100 da rede da operadora com duas camadas de tags. Através do PE1 e PE2, os serviços dos usuários da Intranet CE3 e CE4 podem ser transmitidos na VLAN101 da rede da operadora com duas camadas de tags.

    Configurar o mapeamento de VLAN 1:1

    Requisitos de rede

    • Os usuários de intranet CE1 e CE2, e CE3 e CE4 se comunicam através da rede da operadora. CE1 e CE2 usam a Intranet VLAN2, CE3 e CE4 usam Intranet VLAN3, e PE1 e PE2 são dois dispositivos de borda na rede da operadora.
    • O mapeamento de VLAN 1:1 é configurado em PE1 e PE2. Então, CE1 e CE2 podem se comunicar entre si através da VLAN00 da rede pública da operadora, CE3 e CE4 podem se comunicar entre si através da VLAN101 da rede pública da operadora, e os pacotes que são transmitidos na rede pública da operadora contêm duas camadas de tags .

    Topologia de rede

    Figura 4-3 Configurando o mapeamento de VLAN 1:1

    Etapas de configuração

    • Passo 1: Configurar PE1.

    #No PE1, crie VLAN2-VLAN3 e VLAN100-VLAN101.

    PE1#configure terminal
    PE1(config)#vlan 2-3,100-101

    #No PE1, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2 e VLAN100, e defina PVID para 1.

    PE1(config)#interface gigabitethernet 0/1
    PE1(config-if-gigabitethernet0/1)#switchport mode trunk
    PE1(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 2,100
    PE1(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 1
    PE1(config-if-gigabitethernet0/1)#exit

    #No PE1, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN3 e VLAN101, e defina PVID para 1.

    PE1(config)#interface gigabitethernet 0/2
    PE1(config-if-gigabitethernet0/2)#switchport mode trunk
    PE1(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 3,101
    PE1(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 1
    PE1(config-if-gigabitethernet0/2)#exit

    #No PE1, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN100 e VLAN101, e defina PVID para 1.

    PE1(config)#interface gigabitethernet 0/3
    PE1(config-if-gigabitethernet0/3)#switchport mode trunk
    PE1(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 100,101
    PE1(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    PE1(config-if-gigabitethernet0/3)#exit

    #Na porta gigabitethernet 0/1 do PE1, configure a função de mapeamento de VLAN 1:1 para que os dados de VLAN2 sejam alterados para VLAN100.

    PE1(config)#interface gigabitethernet 0/1
    PE1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable
    PE1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel mapping 2 100
    PE1(config-if-gigabitethernet0/1)#exit

    #Na porta gigabitethernet 0/2 do PE1, configure a função de mapeamento de VLAN 1:1 para que os dados de VLAN3 sejam alterados para VLAN101.

    PE1(config)#interface gigabitethernet 0/2
    PE1(config-if-gigabitethernet0/2)#vlan dot1q-tunnel enable
    PE1(config-if-gigabitethernet0/2)# vlan dot1q-tunnel mapping 3 101
    PE1(config-if-gigabitethernet0/2)#exit

    #No PE1, consulte as informações sobre entradas de mapeamento de VLAN 1:1.

    PE1#show vlan dot1q-tunnel mapping
    ----------------------------------- -------VLAN DOT1Q-TUNNEL MAPPING------ -------------------------------------------
    Interface          	priority-default	Former VlanId   Mapping VlanId  inner-priority-trust	Former VlanId Count 
    -------------------- --------------------- -------------- ---------------- ----------------------  -------------------
    gi0/1              	disable         	2           	100           	/                   	1
    gi0/2             	 disable        	 3               101         	  /                   	1
    • Passo 2: Configurar PE2.

    #No PE2, crie VLAN2-VLAN3 e VLAN100-VLAN101.

    PE2#configure terminal
    PE2(config)#vlan 2-3,100-101

    #No PE2, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2 e VLAN100, e defina PVID para 1.

    PE2(config)#interface gigabitethernet 0/1
    PE2(config-if-gigabitethernet0/1)#switchport mode trunk
    PE2(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 2,100
    PE2(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 1
    PE2(config-if-gigabitethernet0/1)#exit

    #No PE2, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita que os serviços de VLAN3 e VLAN101 passem, e defina PVID para 1.

    PE2(config)#interface gigabitethernet 0/2
    PE2(config-if-gigabitethernet0/2)#switchport mode trunk
    PE2(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 3,101
    PE2(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 1
    PE2(config-if-gigabitethernet0/2)#exit

    #No PE2, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN100 e VLAN101, e defina PVID para 1.

    PE2(config)#interface gigabitethernet 0/3
    PE2(config-if-gigabitethernet0/3)#switchport mode trunk
    PE2(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 100,101
    PE2(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    PE2(config-if-gigabitethernet0/3)#exit

    #Na porta gigabitethernet 0/1 do PE2, configure a função de mapeamento de VLAN 1:1 para que os dados de VLAN2 sejam alterados para VLAN100.

    PE2(config)#interface gigabitethernet 0/1
    PE2(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable
    PE2(config-if-gigabitethernet0/1)#vlan dot1q-tunnel mapping 2 100
    PE2(config-if-gigabitethernet0/1)#exit

    #Na porta gigabitethernet 0/2 do PE2, configure a função de mapeamento de VLAN 1:1 para que os dados de VLAN3 sejam alterados para VLAN101.

    PE2(config)#interface gigabitethernet 0/2
    PE2(config-if-gigabitethernet0/2)#vlan dot1q-tunnel enable
    PE2(config-if-gigabitethernet0/2)#vlan dot1q-tunnel mapping 3 101
    PE2(config-if-gigabitethernet0/2)#exit

    #No PE2, consulte as informações sobre as entradas de mapeamento de VLAN 1:1.

    PE2#show vlan dot1q-tunnel mapping
    ----------------------------------- -------VLAN DOT1Q-TUNNEL MAPPING------ -------------------------------------------
    Interface          	priority-default    Former VlanId   Mapping VlanId  inner-priority-trust	Former VlanId Count 
    -------------------- --------------------- -------------- ---------------- ----------------------  -------------------
    gi0/1              	disable       	  2           	100           	/    	               1
    gi0/2            	  disable       	  3           	101           	/    	               1 
    • Passo 3:Confira o resultado.

    #Através do PE1 e PE2, os serviços dos usuários da Intranet CE1 e CE2 podem ser transmitidos na VLAN100 da rede da operadora com uma camada de tags. Através do PE1 e PE2, os serviços dos usuários da Intranet CE3 e CE4 podem ser transmitidos na VLAN101 da rede da operadora com uma camada de tags.

    Configurar o mapeamento de VLAN N:1

    Requisitos de rede

    • No dispositivo2, PC1 e PC2 são isolados um do outro em VLANs diferentes.
    • Configure a função de mapeamento de VLAN N:1 no dispositivo1 para realizar a transmissão de pacotes de serviço PC1 e PC2 na mesma VLAN ao passar pelo dispositivo1, de modo a economizar recursos de VLAN.

    Topologia de rede

    Figura 4 -4 Configurando o mapeamento de VLAN N:1

    Etapas de configuração

    • Passo 1:Configurar dispositivo1.

    # Crie VLAN2-VLAN4 no Device1.

    Device1#configure terminal
    Device1(config)#vlan 2-4

    #No Dispositivo 1, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2 e VLAN100, e defina PVID para 1.

    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#switchport mode trunk
    Device1(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 2-4
    Device1(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 1

    # Configure a função de mapeamento de VLAN N:1 na porta gigabitothernet0 / 1 de Device1 para mapear VLAN2 e VLAN3 para vlan4.

    Device1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel mapping n-to-1 enable
    Device1(config-if-gigabitethernet0/1)#vlan dot1q-tunnel mapping n-to-1 2-3 4
    Device1(config-if-gigabitethernet0/1)#exit

    #Configure o tipo de link da porta gigabitethernet0/2 no Device1 como trunk, que permite a passagem dos serviços vlan2 - vlan4, e o PVID é configurado como 1.

    Device1(config)#interface gigabitethernet 0/2
    Device1(config-if-gigabitethernet0/2)#switchport mode trunk
    Device1(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 2-4
    Device1(config-if-gigabitethernet0/2)#switchport trunk pvid vlan 1
    Device1(config-if-gigabitethernet0/2)#exit
    • Passo 2: Configurar dispositivo2.

    # Crie VLAN2 e VLAN3 no Device2.

    Device2#configure terminal
    Device2(config)#vlan 2-3

    #No Device2 , configure o tipo de link da porta gigabitethernet0/1 para acessar e permita que os serviços da VLAN2 passem.

    Device2(config)#interface gigabitethernet 0/1
    Device2(config-if-gigabitethernet0/1)#switchport mode access
    Device2(config-if-gigabitethernet0/1)#switchport access vlan 2
    Device2(config-if-gigabitethernet0/1)#exit

    #No Device2 , configure o tipo de link da porta gigabitethernet0/1 para acessar e permita que os serviços da VLAN 3 passem.

    Device2(config)#interface gigabitethernet 0/2
    Device2(config-if-gigabitethernet0/2)#switchport mode access
    Device2(config-if-gigabitethernet0/2)#switchport access vlan 3
    Device2(config-if-gigabitethernet0/2)#exit

    #No Device2 , configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita que os serviços de VLAN 2 e VLAN3 passem , e configure PVID para 1.

    Device2(config)#interface gigabitethernet 0/3
    Device2(config-if-gigabitethernet0/3)#switchport mode trunk
    Device2(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 2-3
    Device2(config-if-gigabitethernet0/3)#switchport trunk pvid vlan 1
    Device2(config-if-gigabitethernet0/3)#exit
    • Passo 3: Confira o resultado.

    #No Device1, consulte as informações de entrada do mapeamento de VLAN N:1.

    Device1# show vlan dot1q-tunnel mapping n-to-1 configuration
    ---- ------------------- ------- -----------------------------------   -------------
    NO.  Name            	Status  Customer Member                   	Service VLAN 
    ---- ------------------- ------- -----------------------------------   -------------
    1    gi0/1          	 enable  2-3          	                     4             

    #No Dispositivo2, os serviços de PC1 e PC2 são isolados um do outro, os pacotes de serviço de PC1 são transmitidos em VLAN2 e os pacotes de serviço de PC2 são transmitidos em VLAN3.

    #Os pacotes de serviço de PC1 e PC2 acessando a rede IP são encaminhados através da VLAN4 do Device1.

    Super VLAN

    Visão geral

    Diferentes VLANs são isoladas umas das outras na camada 2. Para permitir que elas se comuniquem, você deve configurar uma interface VLAN e um endereço IP para cada VLAN. No entanto, esse modo consome um grande número de recursos de endereço IP escassos. A Super-VLAN, também chamada de agregação de VLAN, pode resolver esse problema de forma eficaz. Uma VLAN comum, após ser adicionada a uma super-VLAN, torna-se uma sub-VLAN da super-VLAN. Se a função de proxy Address Resolution Protocol (ARP) /ND estiver habilitada para a super-VLAN, a super-VLAN compartilha sua interface de VLAN com suas sub-VLANs. Dessa forma, as sub-VLANs usam o endereço IP da interface VLAN da super-VLAN como gateway para implementar a comunicação da camada 3. Isso economiza recursos de endereço IP /IPv6 .

    Configuração da função VLAN

    Tabela 5-1 Lista de Funções de Super-VLAN

    Tarefas de configuração
    Configure uma super VLAN. Configure uma super VLAN.
    Configure os membros da sub-VLAN da super-VLAN. Configure os membros da sub-VLAN da super-VLAN.
    Ative a função de proxy ARP. Ative a função de proxy ARP.
    função de proxy ND função de proxy ND

    Configurar uma Super VLAN

    Condição de configuração

    Nenhum

    Configurar uma Super VLAN

    Em uma super-VLAN, uma interface VLAN pode ser configurada, mas nenhuma porta pode ser adicionada. A super-VLAN criada não deve ser uma VLAN ou sub-VLAN existente.

    Tabela 5-2 Configurando uma Super VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Crie uma super-VLAN. super-vlan vlan-id Obrigatório. Por padrão, nenhuma super-VLAN é criada. Após criar uma super-VLAN, você entrará no modo de configuração da super-VLAN automaticamente.
    Configure a descrição de uma super-VLAN. description description Opcional. Por padrão, a descrição de uma super-VLAN é "SuperVLAN vlan-id", como SuperVLAN0100.

    Configurar membros da Sub-VLAN de uma Super-VLAN

    Condição de configuração

    Nenhum

    Configurar membros da Sub-VLAN de uma Super-VLAN

    Uma super-VLAN suporta no máximo 128 membros de sub-VLAN e uma VLAN pode se tornar o membro de sub-VLAN de apenas uma super-VLAN. Em uma sub-VLAN, uma interface VLAN não pode ser configurada, mas uma porta pode ser adicionada a ela. O método para adicionar uma porta a uma sub-VLAN é o mesmo que o método para adicionar uma porta a uma VLAN comum. O ID de VLAN de uma sub-VLAN não deve ser idêntico ao ID de VLAN de uma super-VLAN existente.

    Tabela 5-3 Configurando Membros de Sub-VLAN de uma Super-VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração super-VLAN. super-vlan vlan-id -
    Configure os membros da sub-VLAN da super-VLAN. sub-vlan vlan-list Obrigatório. Por padrão, uma super-VLAN não é configurada com membros de sub-VLAN.

    A Sub-VLAN configurada não pode ser configurada como a vlan de controle EIPS.

    Ativar a função de proxy ARP

    Condição de configuração

    Antes de habilitar a função de proxy ARP, certifique-se de que:

    • A interface VLAN correspondente à super-VLAN e o endereço IP foram configurados.

    Configurar a função de proxy ARP

    Depois que a função proxy ARP de uma super-VLAN é configurada, as sub-VLANs podem se comunicar umas com as outras na camada 3 por meio do proxy ARP.

    Tabela 5-4 Ativando a função de proxy ARP

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração super-VLAN. super-vlan vlan-id -
    Ative a função de proxy ARP. arp proxy enable Obrigatório. Por padrão, a função de proxy ARP está desabilitada.

    A função proxy ARP depende da função de encaminhamento da camada 3. Se o dispositivo não suportar a função de encaminhamento de camada 3, a função proxy ARP não terá efeito.

    Ative a função ND Proxy

    Condição de configuração

    Antes de habilitar a função de proxy ND , certifique-se de que:

    • A interface VLAN correspondente à super-VLAN e o endereço IP v6 foram configurados.

    Configurar a função ND Proxy

    Depois de habilitar a função de proxy ND da Super-VLAN, o interfuncionamento IPv6 L3 pode ser realizado entre a Sub-VLAN por meio do proxy ND.

    Tabela 5 -5 Ative a função de proxy ND

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração super-VLAN. super-vlan vlan-id -
    Ative a função de proxy ND nd local-proxy enable Obrigatório. Por padrão, não habilite a função de proxy ND.

    A função de proxy ND depende da função de encaminhamento L3. Se o dispositivo não suportar a função de encaminhamento L3 IPv6, a função de proxy ND não terá efeito.

    Monitoramento e manutenção de VLAN

    Tabela 5-6 Monitoramento e manutenção de Super-VLAN

    Comando Descrição
    show super-vlan [ vlan-id ] Exibe as informações sobre a super-VLAN especificada.

    Exemplo de configuração típica de Super-VLAN

    Configurar uma Super VLAN

    Requisitos de rede

    • PC1 e PC2 são dois hosts em Sub-VLAN2, PC3 é um host em Sub-VLAN3 e Server é um servidor em VLAN5.
    • A função super-VLAN foi configurada no dispositivo. Então, PC1 e PC2 podem se comunicar entre si na camada2. O PC1 e o PC2 podem se comunicar com o PC3 na camada3 e podem acessar o servidor.

    Topologia de rede

    Figura 5-1 Rede para configurar uma Super-VLAN

    Etapas de configuração

    • Passo 1: Em Dispositivo, configure VLANs e configure os tipos de link de porta das portas.

    #No dispositivo, crie VLAN2, VLAN3, VLAN5.

    Device#configure terminal
    Device(config)#vlan 2-3,5

    #No dispositivo, defina o endereço IP da interface VLAN 4 como 192.168.1.4 e a máscara como 255.255.255.0, e defina o endereço IP da interface VLAN 5 como 10.0.0.100 e a máscara como 255.255.255.0.

    Device(config)#interface vlan 4
    Device(config-if-vlan4)#ip address 192.168.1.4 255.255.255.0
    Device(config-if-vlan4)#exit
    Device(config)#interface vlan 5
    Device(config-if-vlan5)#ip address 10.0.0.100 255.255.255.0
    Device(config-if-vlan5)#exit

    #No dispositivo, configure o tipo de link das portas gigabitethernet 0/1 e gigabitethernet0/2 para acessar e permitir que os serviços da VLAN2 passem.

    Device(config)#interface gigabitethernet 0/1,0/2
    Device(config-if-range)#switchport mode access
    Device(config-if-range)#switchport access vlan 2
    Device(config-if-range)#exit

    #No dispositivo, configure o tipo de link da porta gigabitethernet 0/3 para acessar e permita a passagem dos serviços da VLAN3.

    Device(config)#interface gigabitethernet 0/3
    Device(config-if-gigabitethernet0/3)#switchport mode access
    Device(config-if-gigabitethernet0/3)#switchport access vlan 3
    Device(config-if-gigabitethernet0/3)#exit

    #No dispositivo, configure o tipo de link da porta gigabitethernet 0/4 para acessar e permita que os serviços da VLAN5 passem.

    Device(config)#interface gigabitethernet 0/4
    Device(config-if-gigabitethernet0/4)#switchport mode access
    Device(config-if-gigabitethernet0/4)#switchport access vlan 5
    Device(config-if-gigabitethernet0/4)#exit

    #Consulte as informações da VLAN e da porta do dispositivo.

    Device#show vlan 2
    ---- ---- -------------------------------- ------- --------- -----------------------------
    NO.  VID  VLAN-Name                    	Owner   Mode      Interface       	
    ---- ---- -------------------------------- ------- --------- -----------------------------
    1	2	VLAN0002                     	static  Untagged  gi0/1  gi0/2 
    Device#show vlan 3
    ---- ---- -------------------------------- ------- --------- -----------------------------
    NO.  VID  VLAN-Name                    	Owner   Mode      Interface       	
    ---- ---- -------------------------------- ------- --------- -----------------------------
    1	3	VLAN0003                     	static  Untagged  gi0/3 
    Device#show vlan 5
    ---- ---- -------------------------------- ------- --------- -----------------------------
    NO.  VID  VLAN-Name                    	Owner   Mode      Interface       	
    ---- ---- -------------------------------- ------- --------- -----------------------------
    1	5	VLAN0005                     	static  Untagged  gi0/4  
    • Passo 2: No dispositivo, configure a função super-VLAN.

    #No dispositivo, configure VLAN4 como super-VLAN, VLAN2 e VLAN3 como sub-VLANs e habilite o proxy ARP.

    Device(config)#super-vlan 4
    Device(config-super-vlan4)#sub-vlan 2,3
    Device(config-super-vlan4)#arp proxy enable
    Device(config-super-vlan4)#exit

    #Consulte as informações da super-VLAN do dispositivo.

    Device#show super-vlan
    -------------------------------------------------------------------------------         	
    NO.  SuperVlan  Description                  	Arp Proxy  SubVlan  Member                                
    --------------------------------------------------------------------------------         	
    1	4    	  SuperVLAN0004                	enable	  2-3

    Para permitir que os hosts em diferentes sub-VLANs se comuniquem na camada 3, a função proxy ARP deve ser habilitada. S uper - VLAN e S ub - VLAN devem estar em uma instância de spanning tree.

    • Passo 3: Confira o resultado. Use o comando ping para verificar a conectividade entre PC1, PC2, PC3 e o servidor.

    #PC1 e PC2 na Sub-VLAN2 podem efetuar ping entre si com sucesso.

    #PC1 e PC2 na Sub-VLAN2 e PC3 na Sub-VLAN3 podem efetuar ping entre si com sucesso.

    #PC1, PC2 e PC3 em Sub-VLANs e o servidor podem executar ping entre si com sucesso.

    PVLAN

    Visão geral

    Para realizar o isolamento entre os usuários, mas torná-los ainda capazes de acessar recursos públicos, geralmente uma VLAN precisa ser criada para um usuário. No entanto, o número total de VLANs é de apenas 4094, se o número de usuários for maior que o número de VLANs, o número de VLANs se torna um gargalo. Além disso, não é fácil configurar, gerenciar e manter um grande número de VLANs. Para resolver o requisito, surge a VLAN privada (PVLAN). Ele fornece um modo de configuração de VLAN flexível no qual os recursos de VLAN e endereço IP podem ser alocados e usados de forma razoável, simplificando a configuração da rede.

    Em uma PVLAN, é usada uma estrutura de VLAN de duas camadas, ou seja, VLAN primária e VLAN secundária. As VLANs primárias geralmente são conectadas a dispositivos upstream e as VLANs secundárias geralmente são conectadas a dispositivos downstream. De acordo com as regras de encaminhamento da camada 2, as VLANs secundárias são categorizadas nos dois tipos a seguir:

    • VLAN isolada: As portas membro em uma VLAN isolada são isoladas umas das outras na camada 2, e as portas membro de diferentes VLANs isoladas também são isoladas umas das outras. Para obter o isolamento dos usuários, você só precisa adicionar as portas às quais os usuários estão conectados para isolar as VLANs.
    • VLAN da comunidade: As regras de encaminhamento de uma VLAN da comunidade são as mesmas de uma VLAN comum. As portas membro na mesma VLAN da comunidade podem se comunicar entre si na camada 2, enquanto as portas são isoladas das portas membro em outras VLANs da comunidade ou VLANs isoladas.

    Depois que uma VLAN primária estabelece uma relação de associação com VLANs secundárias, as portas membro nas VLANs secundárias podem se comunicar com as portas membro na VLAN primária na camada 2 e as portas membro nas VLANs secundárias podem se comunicar com dispositivos externos na camada 3 através da interface VLAN da VLAN primária.

    As PVLANs têm dois tipos especiais de link de porta, Promíscuo e Host. As portas promíscuas só podem ser adicionadas a VLANs primárias e as portas de host só podem ser adicionadas a VLANs secundárias. As portas do Host que são adicionadas às VLANs da comunidade também são chamadas de portas da comunidade e as portas do Host que são adicionadas às VLANs isoladas também são chamadas de portas isoladas.

    Configuração da função PVLAN

    Tabela 6 -1 Lista de Funções PVLAN

    Tarefas de configuração
    Configure uma VLAN primária. Configure uma VLAN primária.
    Adicione portas em uma VLAN primária. Adicione portas em uma VLAN primária.
    Configure VLANs secundárias. Configure VLANs secundárias.
    Adicione portas em VLANs secundárias. Adicione portas em VLANs secundárias.
    Configure uma relação de associação entre uma VLAN primária e VLANs secundárias. Configure uma relação de associação entre uma VLAN primária e VLANs secundárias.

    Configurar uma VLAN primária

    Os dispositivos upstream reconhecem apenas a VLAN primária enquanto não se importam com as VLANs secundárias associadas.

    Condição de configuração

    Nenhum

    Configurar uma VLAN primária

    Tabela 6 -2 Configurando uma VLAN Primária

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração VLAN. vlan vlan-id -
    Configure o VLAN para o tipo de VLAN primário. private-vlan primary Obrigatório. Por padrão, todas as VLANs são VLANs comuns.

    Adicionar portas em uma VLAN primária

    Somente as portas cujo tipo de link é Promíscuo podem ser adicionadas a uma VLAN primária. As portas que são adicionadas a uma VLAN primária podem se comunicar na camada dois com as outras portas membro na VLAN primária e as portas membro das VLANs secundárias associadas. Portas promíscuas geralmente são usadas como portas upstream.

    Condição de configuração

    Antes de adicionar portas em uma VLAN primária, certifique-se de que:

    • A VLAN na qual as portas são adicionadas é do tipo VLAN primária.

    Adicionar portas em uma VLAN primária

    Tabela 6 -3 Adicionando portas em uma VLAN primária

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet de camada 2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure o tipo de link de porta para Promíscuo. switchport mode private-vlan promiscuous Obrigatório. Por padrão, o tipo de link de porta é o tipo de acesso.
    Adicione portas promíscuas na VLAN primária. private-vlan promiscuous vlan-id Obrigatório. Por padrão, uma porta Promíscua não é adicionada a nenhuma VLAN.

    Se você configurar um tipo de link de porta como Promíscuo, mas não adicionar a porta a uma VLAN primária, a função PVLAN da porta não terá efeito. Além disso, a porta do tipo Promíscuo é dedicada para PVLAN, e as demais funções configuradas na porta Promíscuo são inválidas. Portanto, é recomendável seguir as etapas anteriores para concluir a configuração.

    Configurar VLANs secundárias

    Os dispositivos downstream reconhecem apenas VLANs secundárias enquanto não se importam com a VLAN primária associada.

    Condição de configuração

    Nenhum

    Configurar VLANs secundárias

    Tabela 6 -4 Configurando VLANs Secundárias

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração VLAN. vlan vlan-id -
    Configure VLANs para o tipo de VLAN secundária. private-vlan { community | isolated } Obrigatório. Por padrão, todas as VLANs são VLANs comuns.

    Adicionar portas em VLANs secundárias

    Somente as portas cujo tipo de link é Host podem ser adicionadas a VLANs secundárias. As VLANs secundárias são categorizadas em dois tipos: VLANs comunitárias e VLANs isoladas. As portas que são adicionadas a uma VLAN de comunidade só podem se comunicar na camada 2 com as outras portas de membro da VLAN de comunidade e as portas de membro da VLAN primária associada. As portas que são adicionadas a uma VLAN isolada só podem se comunicar na camada 2 com as portas membro da VLAN primária associada. As portas do host geralmente são usadas como portas downstream.

    Condição de configuração

    Antes de adicionar portas em uma VLAN secundária, certifique-se de que:

    • A VLAN na qual as portas são adicionadas é do tipo VLAN secundária.

    Adicionar portas em VLANs secundárias

    Tabela 6 -5 Adicionando portas em VLANs secundárias

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entra no modo de configuração da interface. interface interface-name Opcional. Depois que você entrar no modo de configuração de interface, a configuração subsequente terá efeito apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no grupo de agregação.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure o tipo de link de porta para o tipo de host. switchport mode private-vlan host Obrigatório. Por padrão, o tipo de link de porta é o tipo de acesso.
    Adicione portas de host nas VLANs secundárias. private-vlan host vlan-id Obrigatório. Por padrão, uma porta de host não é adicionada a nenhuma VLAN.

    Os hosts em uma VLAN secundária não podem se comunicar com a interface VLAN do dispositivo na camada 3. Se você configurar um tipo de link de porta para Host, mas não adicionar a porta a uma VLAN secundária, a função PVLAN da porta não terá efeito. Além disso, a porta do tipo Host é dedicada para PVLAN e as demais funções configuradas na porta Host são inválidas. Portanto, é recomendável seguir as etapas anteriores para concluir a configuração.

    Configure uma relação de associação entre uma VLAN primária e uma VLAN secundária

    Depois que uma relação de associação é estabelecida, os hosts em uma VLAN primária podem se comunicar na camada 2 com o host nas VLANs secundárias associadas. Uma VLAN primária pode ser associada a no máximo uma VLAN isolada e 192 VLANs de comunidade. Uma VLAN secundária pode ser associada apenas a uma VLAN primária.

    Condição de configuração

    Antes de configurar uma relação de associação entre uma VLAN primária e uma VLAN secundária, certifique-se de que:

    • A VLAN no modo de configuração de VLAN atual é do tipo VLAN primária.

    Configure uma relação de associação entre uma VLAN primária e uma VLAN secundária

    Tabela 6 -6 Configurando uma relação de associação entre uma VLAN primária e VLANs secundárias

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração VLAN. vlan vlan-id -
    Configure uma relação de associação entre a VLAN primária e as VLANs secundárias. private-vlan association add vlan-list Obrigatório. Por padrão, uma VLAN primária não está associada a nenhuma VLAN secundária.

    Se uma VLAN primária estiver associada a uma VLAN comum, a associação será inválida. Para que a associação tenha efeito, modifique o tipo de VLAN para VLAN secundária. Se uma VLAN secundária estiver associada a uma VLAN primária, as entradas de endereço MAC que são aprendidas dinamicamente pela VLAN secundária serão registradas na tabela FDB como VLANs primárias em vez de VLANs secundárias associadas à VLAN secundária.

    Monitoramento e manutenção de PVLAN

    Tabela 6 -7 Monitoramento e manutenção de PVLAN

    Comando Descrição
    show private-vlan [ vlan-id ] Exibe as informações sobre o PVLAN.

    Exemplo de configuração típica de PVLAN

    Configurar uma PVLAN

    Requisitos de rede

    • PC1 e PC2 pertencem à VLAN2 secundária, PC3 e PC4 pertencem à VLAN3 secundária e o Servidor pertence à VLAN4 primária.
    • PVLAN é configurado no dispositivo. Em seguida, a interconexão é permitida na VLAN 2 secundária, o isolamento é implementado na VLAN3 secundária, a VLAN2 secundária e a VLAN3 secundária são isoladas uma da outra, e a VLAN2 secundária e a VLAN3 secundária podem se interconectar com a VLAN4 primária.

    Topologia de rede

    Figura 6-1 Rede para configurar um PVLAN

    Etapas de configuração

    • Passo 1: Configure VLANs no dispositivo.

    #No dispositivo, crie VLAN2-VLAN4.

    Device#configure terminal
    Device(config)#vlan 2-4
    • Passo 2: No dispositivo, configure a função PVLAN.

    #No dispositivo, configure VLAN4 para VLAN primária, configure VLAN2 para VLAN de comunidade e configure VLAN3 para VLAN isolada.

    Device(config)#vlan 4
    Device(config-vlan4)#private-vlan primary
    Device(config-vlan4)#vlan 2
    Device(config-vlan2)#private-vlan community
    Device(config-vlan2)#vlan 3
    Device(config-vlan3)#private-vlan isolated
    Device(config-vlan3)#exit

    #No dispositivo, associe a VLAN4 primária com a comunidade VLAN2 e VLAN3 isolada.

    Device(config)#vlan 4
    Device(config-vlan4)#private-vlan association add 2,3
    Device(config-vlan4)#exit

    #No Dispositivo, configure o tipo de link das portas gigabitethernet 0/1 e gigabitethernet 0/2 para Host e adicione as portas à VLAN2 secundária.

    Device(config)#interface gigabitethernet 0/1-0/2
    Device(config-if-range)#switchport mode private-vlan host
    Device(config-if-range)#private-vlan host 2
    Device(config-if-range)#exit

    #No Dispositivo, configure o tipo de link das portas gigabitethernet 0/3 e gigabitethernet 0/4 para Host e adicione as portas à VLAN3 secundária.

    Device(config)#interface gigabitethernet 0/3-0/4
    Device(config-if-range)#switchport mode private-vlan host
    Device(config-if-range)#private-vlan host 3
    Device(config-if-range)#exit

    #No dispositivo, configure o tipo de link da porta gigabitethernet 0/5 para Promiscuous e adicione as portas à VLAN4 primária.

    Device(config)#interface gigabitethernet 0/5
    Device(config-if-gigabitethernet0/5)#switchport mode private-vlan promiscuous
    Device(config-if-gigabitethernet0/5)#private-vlan promiscuous 4
    Device(config-if-gigabitethernet0/5)#exit
    • Passo 3: Confira o resultado.

    #Consulte as informações de PVLAN no dispositivo.

    Device#show private-vlan
    ---- -------- ---------- ---------------- --------------------------------- ---------------------------------
    NO.  Primary  Secondary  Type         	Interface(Primary)            	Interface(Secondary)              
    ---- -------- ---------- ---------------- --------------------------------- ---------------------------------
    1	4    	3     	 isolated     	gi0/5                         	gi0/3      gi0/4      
    2	4    	2          community    	gi0/5                         	gi0/1      gi0/2

    #PC1 e PC2 na comunidade VLAN2 podem pingar um ao outro com sucesso.

    #PC3 e PC4 em VLAN3 isoladas podem efetuar ping entre si com sucesso.

    #PC1 e PC2 na comunidade VLAN2 e PC3 e PC4 na VLAN3 isolada não podem efetuar ping entre si.

    #PC1 e PC2 na comunidade VLAN2 podem executar ping no servidor com sucesso.

    #PC3 e PC4 em VLAN3 isoladas podem executar ping no servidor com sucesso.

    Voice-VLAN

    Visão geral

    Voice-VLAN é um mecanismo que fornece segurança e garantia de Qualidade de Serviço (QoS) para fluxos de dados de voz. Em uma rede, geralmente coexistem dois tipos de tráfego, dados de voz e dados de serviço. Durante a transmissão, os dados de voz têm uma prioridade mais alta do que os dados de serviço para reduzir o atraso e a perda de pacotes que podem ocorrer durante o processo de transmissão. Voice-VLAN pode reconhecer automaticamente o tráfego de voz e distribuir o tráfego de voz para uma VLAN específica com garantia de QoS.

    Configuração da Função Voice-VLAN

    Tabela 7-1 Lista de Funções de Voice-VLAN

    Tarefas de configuração
    Configure uma Voice-VLAN. Configure uma Voice-VLAN.
    Configure um endereço OUI. Configure um endereço OUI.
    Habilite a função de Voice-VLAN de uma porta. Habilite a função de Voice-VLAN de uma porta.
    Configure o modo de trabalho de Voice-VLAN na porta. Configure uma Voice-VLAN para o modo automático.
    Configure uma Voice-VLAN para o modo manual.
    Habilite o modo de segurança do Voice-VLAN Habilite o modo de segurança do Voice-VLAN
    modo de autenticação lldp-med do Voice-VLAN modo de autenticação lldp-med do Voice-VLAN

    Configurar uma Voice-VLAN

    Uma Voice-VLAN é usada para transmitir pacotes de voz. As prioridades 802.1 dos pacotes de voz reconhecidos são substituídas pela prioridade da Voice-VLAN. Em seguida, os pacotes são distribuídos na Voice-VLAN para encaminhamento. Um dispositivo suporta no máximo uma Voice-VLAN.

    Condição de configuração

    Antes de configurar uma Voice-VLAN, certifique-se de que:

    • A VLAN a ser configurada como Voice-VLAN já foi criada.

    Configurar uma Voice-VLAN

    Tabela 7-2 Configurando uma Voice-VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure uma VLAN especificada para Voice-VLAN. voice vlan vlan-id cos priority Obrigatório. Por padrão, o Voice-VLAN não está configurado, ou seja, a função Voice-VLAN não está habilitada globalmente.

    Configurar um endereço OUI

    Condição de configuração

    Antes de configurar um endereço OUI, certifique-se de que:

    • A função de Voice-VLAN é habilitada globalmente.
    • A função de Voice-VLAN está habilitada na porta.

    Configurar um endereço OUI

    Identificadores Únicos Organizacionais (OUIs) são usados para identificar pacotes de voz que são enviados por dispositivos de voz de fabricantes. Depois que uma porta que funciona no modo automático de Voice-VLAN recebe um pacote Untag, ela retira o endereço MAC do pacote e executa a operação AND com a máscara OUI. Se o intervalo de endereços obtido for o mesmo que o endereço OUI, isso indica que a correspondência do endereço OUI foi bem-sucedida e o pacote é reconhecido como um pacote de voz.

    Tabela 7-3 Configurando um endereço OUI

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure um endereço OUI. voice vlan oui-mac oui-mac-address mask mask name oui-name Obrigatório. Por padrão, cinco endereços OUI estão disponíveis. Um dispositivo suporta no máximo 32 endereços OUI.

    Habilite a função Voice-VLAN

    Depois que a função de Voice-VLAN é habilitada em uma porta, a porta usa um método de acordo com o modo de trabalho de Voice-VLAN para reconhecer automaticamente os pacotes recebidos.

    Condição de configuração

    Antes de habilitar a função de Voice-VLAN de uma porta, certifique-se de que:

    • A função de Voice-VLAN foi habilitada globalmente.
    • A porta foi adicionada à Voice-VLAN.

    Habilite a função Voice-VLAN de uma porta

    Tabela 7-4 Habilitando a função Voice-VLAN de uma porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Habilite a função de Voice-VLAN de uma porta. voice vlan enable Obrigatório. Por padrão, a função de Voice-VLAN está desabilitada na porta.

    O modo de segurança do Voice-VLAN não suporta o grupo de agregação, ou seja, quando o dispositivo habilita o modo de segurança do Voice-VLAN, o link aggregation não pode habilitar a função Voice-VLAN; ou quando o dispositivo tem o link aggregation habilitado com a função Voice-VLAN, o modo de segurança do Voice-VLAN não pode ser habilitado. O modo de autenticação lldp-med do Voice-VLAN não suporta o link aggregation, ou seja, quando o dispositivo habilita o modo de autenticação lldp-med do Voice-VLAN, o grupo de agregação não pode habilitar a função Voice-VLAN; ou quando o dispositivo tem o link aggregation habilitado com a função Voice-VLAN, o modo de autenticação lldp-med de Voice-VLAN não pode ser habilitado.

    Configure o modo de trabalho Voice-VLAN na porta

    A Voice-VLAN de uma porta pode funcionar em modo automático ou manual. As portas que trabalham em diferentes modos de Voice-VLAN reconhecem os pacotes de voz de maneiras diferentes.

    • Modo automático: Se os pacotes recebidos pela porta forem pacotes Untag ou o pacote Tag com o Voice-VLAN ID e o endereço MAC de origem dos pacotes corresponder a um endereço OUI, os pacotes serão considerados como pacotes de voz.
    • Modo manual: Os pacotes recebidos pela porta são todos considerados como pacotes de voz.

    Condição de configuração

    Antes de configurar o modo de trabalho de Voice-VLAN de uma porta, certifique-se de que:

    • A função de Voice-VLAN foi habilitada globalmente.
    • A função de Voice-VLAN da porta foi habilitada.

    Configurar um Voice-VLAN para o modo automático

    Tabela 7-5 Configurando um Voice-VLAN para o modo automático

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure a porta para funcionar no modo automático de Voice-VLAN. voice vlan mode auto Obrigatório. Por padrão, a porta funciona no modo automático de Voice-VLAN.

    Configurar um Voice-VLAN para o modo manual

    Tabela 7-6 Configurando um Voice-VLAN para o modo manual

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. link-aggregation link-aggregation-id
    Configure a porta para funcionar no modo manual de Voice-VLAN. no voice vlan mode auto Obrigatório. Por padrão, a porta funciona no modo automático de Voice-VLAN.

    Se a porta for usada para transmitir os dados de voz Tagged, o tipo de porta só pode ser configurado como Trunk ou Hybrid, e o PVID não pode ser Voice-VLAN. Se a porta funcionar no modo manual de Voice-VLAN e for usada para transmitir os dados de voz não marcados, o PVID deve ser Voice-VLAN. O modo de autenticação lldp-med do Voice-VLAN não suporta o modo manual das portas, ou seja, quando os dispositivos habilitam o modo de autenticação lldp-med do Voice-VLAN, as portas não podem ser configuradas como o modo manual do Voice-VLAN ; ou quando há uma porta configurada como o modo manual do Voice-VLAN, o modo de autenticação lldp-med do Voice-VLAN não pode ser habilitado.

    Habilite o Modo de Segurança de Voice-VLAN

    Após habilitar o modo de segurança do Voice-VLAN, o dispositivo verificará o endereço MAC de origem de cada pacote que entrar no Voice-VLAN para transmissão e descartará o pacote que não corresponder ao endereço OUI.

    Condição de configuração

    Antes de habilitar o modo de segurança do Voice-VLAN, conclua a seguinte tarefa:

    • Habilite globalmente a função Voice-VLAN

    Habilite o Modo de Segurança de Voice-VLAN

    Tabela 6 -7 Habilite o modo de segurança de Voice-VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilite o modo de segurança do Voice-VLAN voice vlan security enable Obrigatório. Por padrão, não habilite o modo de segurança do Voice-VLAN.

    O modo de segurança do Voice-VLAN não suporta grupo de agregação, ou seja, quando o dispositivo possui o grupo de agregação habilitado com a função Voice-VLAN, o modo de segurança do Voice-VLAN não pode ser habilitado; ou quando o dispositivo habilita o modo de segurança de Voice-VLAN, o link aggregation não pode habilitar a função Voice-VLAN.

    Habilite o modo de autenticação lldp-med de Voice-VLAN

    Depois que o modo de autenticação lldp-med do Voice-VLAN é ativado, o dispositivo usa o OUI configurado pelo usuário ou o OUI padrão como a lista de permissões de autenticação, realizando a verificação correspondente para o endereço MAC de origem do dispositivo de voz notificado pelo lldp-med, e os pacotes de voz enviados pelo dispositivo de voz que corresponde à lista branca podem entrar no Voice-VLAN para transmissão.

    Condição de configuração

    Antes de habilitar o modo de autenticação lldp-med do Voice-VLAN, conclua a seguinte tarefa:

    • Habilite globalmente a função Voice-VLAN

    o modo de autenticação lldp-med de Voice - VLAN

    Tabela 6 -8 Habilite o modo de autenticação lldp-med de Voice-VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilite o modo de autenticação lldp-med do Voice-VLAN voice vlan lldp-med authentication Obrigatório. Por padrão, não habilite o modo de autenticação lldp-med de Voice-VLAN

    O modo de autenticação lldp-med do Voice-VLAN não suporta o link aggregation, ou seja, quando o dispositivo tem o link aggregation habilitado com a função Voice-VLAN, o modo de autenticação lldp-med do Voice-VLAN não pode ser habilitado; ou quando o dispositivo habilita o modo de autenticação lldp-med de Voice-VLAN, o link aggregation não pode habilitar a função Voice-VLAN. O modo de autenticação lldp-med do Voice-VLAN não suporta o modo manual de portas, ou seja, quando há uma porta configurada como o modo manual do Voice-VLAN, o modo de autenticação lldp-med do Voice-VLAN não pode ser habilitado ; ou quando o dispositivo habilita o modo de autenticação lldp-med de Voice-VLAN, a porta não pode ser configurada como o modo manual de Voice-VLAN. Depois que o modo de autenticação lldp Med da Voice-VLAN é habilitado, o telefone que não suporta lldp não pode funcionar normalmente.

    Monitoramento e manutenção de Voice-VLAN

    Tabela 7-9 Monitoramento e manutenção de Voice-VLAN

    Comando Descrição
    show voice vlan { all | interface [ interface-name ] | link-aggregation [ link-aggregation-id ] | oui | lldp-med authenticated-mac } Exibe as informações sobre a Voice-VLAN.

    Exemplo de configuração típica de Voice-VLAN

    Configurar um Voice-VLAN para o modo manual

    Requisitos de rede

    • O Telefone IP e o PC podem acessar a Rede IP através do Dispositivo.
    • A Voice-VLAN no modo manual foi configurada no dispositivo. Se a rede estiver normal, o Telefone IP e o PC podem acessar normalmente a Rede IP. Se a rede estiver congestionada, o Telefone IP tem uma prioridade mais alta do que o PC no acesso à Rede IP.

    Topologia de rede

    Figura 7-1 Rede para configurar uma Voice-VLAN para o modo manual

    Etapas de configuração

    • Passo 1: Configure uma VLAN e configure o tipo de link das portas.

    #No dispositivo, crie VLAN2.

    Device#configure terminal
    Device(config)#vlan 2
    Device(config-vlan2)#exit

    #No Device2, configure o tipo de link das portas gigabitethernet0/1 e gigabitethernet0/2 para acessar e permitir que os serviços da VLAN2 passem.

    Device(config)#interface gigabitethernet 0/1,0/2
    Device(config-if-range)#switchport mode access
    Device(config-if-range)#switchport access vlan 2
    Device(config-if-range)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/3
    Device(config-if-gigabitethernet0/3)#switchport mode trunk
    Device(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/3)#exit
    • Passo 2: Configure a função de Voice-VLAN.

    #No dispositivo, configure VLAN2 para Voice-VLAN e configure o valor Cos para 7.

    Device(config)#voice vlan 2 cos 7

    #Na porta gigabitethernet 0/1 do dispositivo, configure o modo Voice-VLAN para o modo manual.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#voice vlan enable
    Device(config-if-gigabitethernet0/1)#no voice vlan mode auto
    Device(config-if-gigabitethernet0/1)#exit

    #No dispositivo, consulte as informações de Voice-VLAN.

    Device#show voice vlan all
     Voice Vlan Global Information:  Voice Vlan enable
    Voice Vlan security:  disable
     Voice Vlan lldp-med authentication:  disable
     Voice Vlan VID: 2, Cos: 7
     Default OUI number: 5
     User config OUI number: 0
     
     Voice vlan interface information:
      Interface         	Mode
      --------------------------------------
      gi0/1             	Manual-Mode
     
     Voice Vlan OUI information: Total: 5
      MacAddr      	Mask         	Name
      -------------------------------------------------------------
      0003.6b00.0000   ffff.ff00.0000   Cisco-phone  default
      006b.e200.0000   ffff.ff00.0000   H3C-Aolynk-phone  default
      00d0.1e00.0000   ffff.ff00.0000   Pingtel-phone  default
      00e0.7500.0000   ffff.ff00.0000   Polycom-phone  default
      00e0.bb00.0000   ffff.ff00.0000   3Com-phone  default
    • Passo 3: Confira o resultado.

    # A prioridade 802.1 dos pacotes enviados para o Telefone IP é modificada para 7, e a prioridade 802.1P dos pacotes enviados pelo PC para a Rede IP não é modificada.

    #Quando a rede está normal, o Telefone IP e o PC podem acessar normalmente a Rede IP.

    # Se a rede estiver congestionada, o Telefone IP pode acessar a Rede IP com prioridade superior ao PC.

    Configurar um Voice-VLAN para o modo automático

    Requisitos de rede

    • Telefone IP e PC acessam a Rede IP através da porta gigabitethernet0/1 do Dispositivo. O endereço MAC do Telefone IP é 0001.0001.0001 e o endereço MAC do PC é 0002.0002.0002.
    • A Voice-VLAN no modo automático foi configurada. Desta forma, se a rede estiver normal, o Telefone IP e o PC podem acessar normalmente a rede IP. Se a rede estiver congestionada, o Telefone IP tem uma prioridade mais alta do que o PC no acesso à Rede IP.

    Topologia de rede

    Figura 7-2 Rede para configurar uma Voice-VLAN para o modo automático

    Etapas de configuração

    • Passo 1: Configure uma VLAN e configure o tipo de link das portas.

    #No dispositivo, crie VLAN2.

    Device#configure terminal
    Device(config)#vlan 2
    Device(config-vlan2)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)# switchport mode trunk
    Device(config-if-gigabitethernet0/1)# switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/1)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#switchport mode trunk
    Device(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/2)#exit
    • Passo 2: Configure a função de Voice-VLAN.

    #No dispositivo, configure VLAN2 para Voice-VLAN e modifique o valor de Cos para 7.

    Device(config)#voice vlan 2 cos 7

    #Na porta gigabitethernet 0/1 do dispositivo, configure o modo Voice-VLAN para modo automático.

    Device(config)# interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#voice vlan enable
    Device(config-if-gigabitethernet0/1)#voice vlan mode auto
    Device(config-if-gigabitethernet0/1)#exit

    #No Dispositivo, configure o endereço OUI correspondente ao endereço MAC 0001.0001.0001 do Telefone IP.

    Device(config)#voice vlan oui-mac 0001.0001.0001 mask ffff.ffff.0000 name Voice-VLAN

    #No dispositivo, consulte as informações de Voice-VLAN.

    Device#show voice vlan all
     Voice Vlan Global Information:  Voice Vlan enable
    Voice Vlan security:  disable
     Voice Vlan lldp-med authentication:  disable
     Voice Vlan VID: 2, Cos: 7
     Default OUI number: 5
     User config OUI number: 1
     
     Voice vlan interface information:
      Interface         	Mode
      --------------------------------------
      gi0/1             	Auto-Mode
     
     Voice Vlan OUI information: Total: 6
      MacAddr      	Mask         	Name
      -------------------------------------------------------------
      0001.0001.0000   ffff.ffff.0000   Voice-VLAN
      0003.6b00.0000   ffff.ff00.0000   Cisco-phone  default
      006b.e200.0000   ffff.ff00.0000   H3C-Aolynk-phone  default
      00d0.1e00.0000   ffff.ff00.0000   Pingtel-phone  default
      00e0.7500.0000   ffff.ff00.0000   Polycom-phone  default
      00e0.bb00.0000   ffff.ff00.0000   3Com-phone  default
    • Passo 3: Confira o resultado.

    # A prioridade 802.1 dos pacotes enviados para o Telefone IP é modificada para 7, e a prioridade 802.1P dos pacotes enviados pelo PC para a Rede IP não é modificada.

    #Quando a rede está normal, o Telefone IP e o PC podem acessar normalmente a Rede IP.

    # Se a rede estiver congestionada, o Telefone IP pode acessar a Rede IP com prioridade superior ao PC.

    Configurar o modo de segurança do Voice-VLAN

    Requisitos de rede

    • Telefone IP e PC acessam a Rede IP através da porta gigabitethernet0/1 do Dispositivo. O endereço MAC do Telefone IP é 0001.0001.0001 e o endereço MAC do PC é 0002.0002.0002.
    • No Dispositivo, configure o modo de segurança da Voice-VLAN, percebendo que o Telefone IP pode acessar a Rede IP normalmente e o PC não pode acessar a Rede IP.

    Topologia de rede

    Figura 7 -3 Rede para configurar o modo de segurança do Voice-VLAN

    Etapas de configuração

    • Passo 1: Configure uma VLAN e configure o tipo de link das portas.

    # No dispositivo, crie VLAN2 .

    Device#configure terminal
    Device(config)#vlan 2
    Device(config-vlan2)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#switchport mode trunk
    Device(config-if-gigabitethernet0/1)# switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/1)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#switchport mode trunk
    Device(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/2)#exit
    • Passo 2: Configure a função de Voice-VLAN.

    #No dispositivo, configure VLAN2 para Voice-VLAN e modifique o valor de Cos para 7.

    Device(config)#voice vlan 2 cos 7

    # No dispositivo, ative globalmente o modo de segurança de Voice-VLAN .

    Device(config)# voice vlan security enable

    #Na porta gigabitethernet 0/1 do dispositivo, configure o modo automático de Voice-VLAN.

    Device(config)# interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#voice vlan enable
    Device(config-if-gigabitethernet0/1)#voice vlan mode auto
    Device(config-if-gigabitethernet0/1)#exit

    # No dispositivo, configure o endereço OUI do endereço MAC 0001.0001.0001 do Telefone IP.

    Device(config)#voice vlan oui-mac 0001.0001.0001 mask ffff.ffff.0000 name Voice-VLAN

    # No dispositivo, visualize as informações de Voice-VLAN.

    Device#show voice vlan all
     Voice Vlan Global Information:  Voice Vlan enable
     Voice Vlan security:  enable
     Voice Vlan lldp-med authentication:  disable
     Voice Vlan VID: 2, Cos: 7
     Default OUI number: 5
     User config OUI number: 1
     
     Voice vlan interface information:
      Interface         	Mode
      --------------------------------------
      gi0/1             	Auto-Mode
     
     Voice Vlan OUI information: Total: 6
      MacAddr      	Mask         	Name
      -------------------------------------------------------------
      0001.0001.0000   ffff.ffff.0000   Voice-VLAN
      0003.6b00.0000   ffff.ff00.0000   Cisco-phone  default
      006b.e200.0000   ffff.ff00.0000   H3C-Aolynk-phone  default
      00d0.1e00.0000   ffff.ff00.0000   Pingtel-phone  default
      00e0.7500.0000   ffff.ff00.0000   Polycom-phone  default
      00e0.bb00.0000   ffff.ff00.0000   3Com-phone  default
    • Passo 3: Confira o resultado.

    #A prioridade 802.1 dos pacotes que o Telefone IP envia para a Rede IP é modificada para 7.

    # O PC normalmente não pode acessar a rede IP.

    Configurar o modo de autenticação lldp-med de Voice-VLAN

    Requisitos de rede

    • Telefone IP (o telefone IP pode enviar o pacote LLDP com o campo de voz) e PC acessa a Rede IP através da porta gigabitethernet0/1 do Dispositivo. O endereço MAC do Telefone IP é 0001.0001.0001 e o endereço MAC do PC é 0002.0002.0002.
    • Ton Device, configure o modo de autenticação lldp-med de Voice-VLAN para que o Telefone IP possa acessar normalmente a rede IP e o PC não possa acessar a rede IP.

    Topologia de rede

    Figura 7 -4 Rede para configurar o modo de autenticação lldp-med de Voice-VLAN

    Etapas de configuração

    • Passo 1: Configure uma VLAN e configure o tipo de link das portas.

    # No dispositivo, crie VLAN2.

    Device#configure terminal
    Device(config)#vlan 2
    Device(config-vlan2)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#switchport mode trunk
    Device(config-if-gigabitethernet0/1)# switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/1)#exit

    #No Dispositivo, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN2.

    Device(config)#interface gigabitethernet 0/2
    Device(config-if-gigabitethernet0/2)#switchport mode trunk
    Device(config-if-gigabitethernet0/2)#switchport trunk allowed vlan add 2
    Device(config-if-gigabitethernet0/2)#exit
    • Passo 2: Configure a função Voice-VLAN.

    #No dispositivo, configure VLAN2 como Voice-VLAN e modifique o valor de Cos para 7.

    Device(config)#voice vlan 2 cos 7

    # No dispositivo, habilite globalmente o modo de autenticação lldp-med de Voice-VLAN.

    Device(config)#voice vlan lldp-med authentication

    # Na porta gigabitethernet 0/1 do dispositivo, configure o modo automático Voice-VLAN .

    Device(config)# interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#voice vlan enable
    Device(config-if-gigabitethernet0/1)#voice vlan mode auto
    Device(config-if-gigabitethernet0/1)#exit

    # No dispositivo, configure o endereço OUI do endereço MAC do Telefone IP 0001.0001.0001.

    Device(config)#voice vlan oui-mac 0001.0001.0001 mask ffff.ffff.0000 name Voice-VLAN

    # No dispositivo, visualize as informações de Voice-VLAN.

    Device#show voice vlan all
    Voice Vlan Global Information:  Voice Vlan enable
     Voice Vlan security:  disable
     Voice Vlan lldp-med authentication:  enable
     Voice Vlan VID: 2, Cos: 7
     Default OUI number: 5
     User config OUI number: 1
     
     Voice vlan interface information:
      Interface         	Mode
      --------------------------------------
      gi0/1             	Auto-Mode
     
     Voice Vlan OUI information: Total: 6
      MacAddr      	Mask         	Name
      -------------------------------------------------------------
      0001.0001.0000   ffff.ffff.0000   Voice-VLAN
      0003.6b00.0000   ffff.ff00.0000   Cisco-phone  default
      006b.e200.0000   ffff.ff00.0000   H3C-Aolynk-phone  default
      00d0.1e00.0000   ffff.ff00.0000   Pingtel-phone  default
      00e0.7500.0000   ffff.ff00.0000   Polycom-phone  default
      00e0.bb00.0000   ffff.ff00.0000   3Com-phone  default
     
     Voice Vlan lldp-med authenticated mac information:
      MacAddr      	Interface            	
      -------------------------------------------------
    0001.0001.0001   gi0/1  
    • Passo 3: Confira o resultado.

    # A prioridade 802.1P do pacote enviado pelo Telefone IP para a Rede IP é modificada para 7.

    # O PC não pode acessar a rede IP.

    Gerenciamento da tabela de endereços MAC

    Visão geral

    Uma entrada de endereço MAC consiste no endereço MAC de um terminal, a porta do dispositivo que está conectada ao terminal e o ID da VLAN à qual a porta pertence. Depois que um dispositivo recebe um pacote de dados, ele combina o endereço MAC de destino do pacote com as entradas da tabela de endereços MAC que são salvas no dispositivo para localizar uma porta de encaminhamento de pacote com eficiência.

    Os endereços MAC são categorizados em dois tipos: endereços MAC dinâmicos e endereços MAC estáticos. Os endereços MAC estáticos são categorizados em endereços MAC de encaminhamento estáticos e endereços MAC de filtragem estática.

    O aprendizado de endereço MAC dinâmico é o modo básico de aprendizado de endereço MAC dos dispositivos. Cada entrada de endereço MAC dinâmico tem tempo de envelhecimento. Se nenhum pacote cujo endereço MAC de origem corresponda a uma entrada de endereço MAC for recebido pela VLAN e porta correspondentes, o dispositivo excluirá a entrada de endereço MAC.

    O processo dinâmico de aprendizado/encaminhamento do endereço MAC é o seguinte:

    • Quando um dispositivo recebe um pacote, ele procura na tabela de endereços MAC da VLAN correspondente a entrada de endereço MAC que corresponde ao endereço MAC de origem do pacote. Se nenhuma entrada correspondente estiver disponível, o endereço MAC de origem do pacote é gravado na tabela de endereços MAC e o temporizador de tempo de envelhecimento da nova entrada de endereço MAC é iniciado. Se uma entrada de endereço MAC correspondente for encontrada, o tempo de duração da entrada de endereço MAC será atualizado.
    • Na VLAN correspondente, o dispositivo procura na tabela de endereços MAC uma entrada de endereço MAC que corresponda ao endereço MAC de destino do pacote. Se nenhuma entrada correspondente estiver disponível, o pacote será inundado para as outras portas com o mesmo ID de VLAN. Se uma entrada de endereço MAC correspondente estiver disponível, o pacote será encaminhado pela porta especificada.

    Os endereços MAC de filtragem estática são usados para isolar dispositivos agressivos, impedindo que os dispositivos se comuniquem com dispositivos externos.

    O processo de configuração/encaminhamento de endereços MAC de filtragem estática é o seguinte:

    • Os endereços MAC de filtragem estática só podem ser configurados pelos usuários.
    • Se o endereço MAC de origem ou o endereço MAC de destino de um pacote corresponder a uma entrada de endereço MAC de filtragem estática na VLAN correspondente, o pacote será descartado.

    Os endereços MAC de encaminhamento estático são usados para controlar o princípio de roteamento de pacotes e evitar a migração frequente de endereços MAC de entradas de endereços MAC na tabela. A migração de endereço MAC significa que: Um dispositivo aprende um endereço MAC da porta A, então o dispositivo recebe pacotes cujo endereço MAC de origem é o mesmo que o endereço MAC da porta B, e a porta B e a porta A pertencem à mesma VLAN. Neste momento, a porta de encaminhamento salva na entrada de endereço MAC é atualizada da porta A para a porta B.

    O processo de configuração/encaminhamento de endereços MAC de encaminhamento estáticos é o seguinte:

    • Os endereços MAC de encaminhamento estático são configurados pelos usuários.
    • Se o endereço MAC de destino de um pacote corresponder a uma entrada de endereço MAC estático na VLAN correspondente, o pacote será encaminhado pela porta especificada.

    Uma porta pode aprender o mesmo endereço MAC de diferentes VLANs, mas um endereço MAC só pode ser aprendido por uma porta em uma VLAN.

    Configuração da Função de Gerenciamento de Endereço MAC

    Tabela 8-1 Lista de Funções de Gerenciamento de Endereço MAC

    Tarefas de configuração
    Configure as propriedades de gerenciamento de endereços MAC. Configure o tempo de envelhecimento do endereço MAC.
    Configure o recurso de aprendizado de endereço MAC.
    Configure limitações no aprendizado de endereços MAC. Configure limitações no aprendizado de endereço MAC dinâmico baseado em porta.
    Configure limitações no aprendizado de endereço MAC dinâmico baseado em VLAN.
    Configure limitações no aprendizado de endereço MAC dinâmico baseado em sistema.
    Configure endereços MAC estáticos. Configure endereços MAC de filtragem estática.
    Configure endereços MAC de encaminhamento estáticos que estão vinculados a uma porta.
    Configure endereços MAC de encaminhamento estáticos que estão vinculados a um link aggregation.
    Configurar o endereço MAC de encaminhamento estático de várias interfaces de saída

    Configurar propriedades de gerenciamento de endereços MAC

    As propriedades de gerenciamento de endereço MAC incluem: tempo de envelhecimento do endereço MAC e a capacidade de aprendizado de endereço MAC das portas.

    Cada entrada de endereço MAC dinâmico tem tempo de envelhecimento. Se nenhum pacote cujo endereço MAC de origem corresponda a uma entrada de endereço MAC for recebido pela VLAN especificada, o dispositivo excluirá a entrada de endereço MAC. Se a VLAN especificada receber um pacote cujo endereço MAC de origem corresponda a uma entrada de endereço MAC, o dispositivo redefine o tempo de duração da entrada de endereço MAC.

    Os endereços MAC estáticos só podem ser configurados e excluídos pelos usuários, portanto, os endereços MAC estáticos não podem envelhecer.

    Se os dispositivos na rede tiverem portas ociosas e as portas não permitirem uso livre, o recurso de aprendizado de endereço MAC poderá ser desabilitado na porta. Então, os pacotes recebidos pela porta serão todos descartados. Dessa forma, essas portas não podem acessar a rede e, portanto, a segurança da rede é aprimorada.

    Condição de configuração

    Nenhum

    Configurar o tempo de envelhecimento do endereço MAC

    O tempo de envelhecimento do endereço MAC dinâmico definido em um dispositivo entra em vigor globalmente. O intervalo de valores do tempo de envelhecimento do endereço MAC é:

    • 0: os endereços MAC não envelhecem, ou seja, os endereços MAC dinâmicos aprendidos não envelhecem.
    • 60-1000000: Tempo de envelhecimento de endereços MAC dinâmicos. Unidade: segundo. Padrão: 300.

    Se o tempo de envelhecimento estiver configurado muito longo, a tabela de endereços MAC no dispositivo pode conter um grande número de entradas de endereços MAC que não estão em uso há muito tempo. Dessa forma, o grande número de entradas inválidas pode usar recursos de endereço MAC e novas entradas de endereço MAC válidas não podem ser adicionadas ao dispositivo. Se o tempo de envelhecimento estiver configurado muito curto, o dispositivo pode excluir frequentemente entradas de endereço MAC válidas, afetando o desempenho de encaminhamento do dispositivo. Portanto, você precisa configurar um valor razoável para o tempo de envelhecimento de acordo com o ambiente real.

    Tabela 8-2 Configurando o tempo de envelhecimento do endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o tempo de envelhecimento do endereço MAC. mac-address aging-time aging-time-value Obrigatório. Por padrão, o tempo de envelhecimento do endereço MAC é definido como 300 segundos.

    Configurar a função de inibição de migração MAC

    Por padrão, a função de inibição de migração de endereço MAC está desabilitada na porta. Neste momento, a porta normalmente aprende a entrada da tabela de endereços MAC e encaminha o pacote correspondente; Se a função de inibição de migração de endereço MAC estiver habilitada na porta, o MAC aprendido pela porta será detectado para migração de endereço. Se for detectado que o endereço MAC da porta migrou além das condições normais, você pode fazer uma política para o MAC migrado. O controle de política inclui aprendizado de limite de velocidade para o MAC migrado e errdisable down para a porta.

    Tabela 8 -3 Configurar a função de inibição de migração de endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Habilite o recurso de aprendizado de endereço MAC em uma porta ou link aggregation. mac-address learning Obrigatório. Por padrão, o recurso de aprendizado de endereço MAC está habilitado em uma porta.

    ErrDisable Down da inibição de migração de endereço está desabilitada. Para habilitá-lo, você precisa habilitar ErrDisable da migração de endereço.

    Configurar o recurso de aprendizado de endereço MAC

    O recurso de aprendizado de endereço MAC pode ser habilitado e desabilitado somente para aprendizado de endereço MAC dinâmico. Por padrão, o recurso de aprendizado de endereço MAC está habilitado em uma porta. Em seguida, a porta aprende as entradas de endereço MAC e encaminha os pacotes correspondentes. Se o recurso de aprendizado de endereço MAC estiver habilitado em uma porta, a porta não aprenderá endereços MAC dinâmicos e os pacotes recebidos serão descartados.

    Tabela 8-4 Configurando o recurso de aprendizado de endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. config terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Habilite a função de aprendizado do endereço MAC do link aggregation ou porta mac-address learning action forward Obrigatório. Por padrão, habilite a função de aprendizado de endereço MAC na porta.

    Configurar a Função de Aprendizagem de Endereço MAC

    Ativar/desativar a função de aprendizado de endereço MAC é válido para aprender o endereço MAC dinâmico e encaminhar o pacote. Por padrão, a função de aprendizado de endereço MAC está habilitada na porta, e a porta pode aprender a entrada do endereço MAC e encaminhar o pacote. Se a função de aprendizado de endereço MAC estiver desabilitada na porta, a porta não aprenderá mais o endereço MAC dinâmico, mas ainda poderá encaminhar o pacote.

    Tabela 8-5 Configurando a função de aprendizado de endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure limitações no aprendizado de endereço MAC dinâmico baseado em porta. mac-address max-mac-count max-mac-count-value Obrigatório. Por padrão, não há limitações no aprendizado de endereços MAC dinâmicos em uma porta. O intervalo do número máximo de endereços MAC dinâmicos aprendidos é de 1 ao máximo de entradas de endereço que o chip de hardware pode aprender.

    Configurar limitações no aprendizado de endereço MAC

    As limitações no aprendizado de endereço MAC são categorizadas em dois tipos: limitações no aprendizado de endereço MAC dinâmico baseado em porta e limitações no aprendizado de endereço MAC dinâmico baseado em VLAN

    Se um grande número de entradas de endereços MAC dinâmicos tiver sido aprendido pelo dispositivo, levará muito tempo para o dispositivo pesquisar a tabela de endereços MAC antes de encaminhar os pacotes, e isso pode causar degradação do desempenho do dispositivo. Portanto, você pode configurar limitações no aprendizado de endereço MAC dinâmico para melhorar o desempenho do dispositivo. Se você configurar limitações no aprendizado de endereço MAC dinâmico em uma porta ou VLAN, o número de terminais de acesso poderá ser controlado.

    Condição de configuração

    Nenhum

    Configurar limitações no aprendizado de endereço MAC dinâmico baseado em porta

    Se o número de entradas de endereço MAC que foram aprendidas por uma porta atingiu o valor limite, a porta descarta os pacotes cujos endereços MAC de origem não estão na tabela de encaminhamento de endereços MAC.

    Tabela 8-6 Configurando limitações no aprendizado de endereço MAC dinâmico baseado em porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure limitações no aprendizado de endereço MAC dinâmico baseado em VLAN. mac-address vlan vlan-id max-mac-count max-mac-count-value Obrigatório. Por padrão, não há limitações no aprendizado de endereços MAC dinâmicos em uma VLAN. O intervalo do número máximo de endereços MAC dinâmicos aprendidos é de 1 ao máximo de entradas de endereço que o chip de hardware pode aprender.

    Ao configurar limitações no aprendizado de endereço MAC dinâmico baseado em porta, se o valor de limite configurado for menor que o número de entradas de endereço MAC dinâmico existentes na porta, o dispositivo solicitará a limpeza manual de algumas entradas de endereço MAC dinâmico existentes. Depois que os endereços MAC são apagados, a configuração entra em vigor imediatamente.

    Configurar limitações no aprendizado de endereço MAC dinâmico baseado em VLAN

    Se o número de entradas de endereço MAC que foram aprendidas por uma VLAN especificada atingiu o valor limite, a VLAN descarta os pacotes cujos endereços MAC de origem não estão na tabela de encaminhamento de endereços MAC.

    Tabela 8 -7 Configurando Limitações no Aprendizado de Endereço MAC Dinâmico Baseado em VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure limitações no aprendizado de endereço MAC dinâmico baseado em sistema. mac-address system max-mac-count max-mac-count-value Obrigatório. Por padrão, não há limitações no aprendizado de endereços MAC. O intervalo do número máximo de endereços MAC dinâmicos aprendidos é de 1 ao máximo de entradas de endereço que o chip de hardware pode aprender.

    Ao configurar limitações no aprendizado de endereço MAC dinâmico baseado em VLAN, se o valor de limite configurado for menor que o número de entradas de endereço MAC dinâmico existentes na VLAN atual, o dispositivo solicitará a limpeza manual de algumas entradas de endereço MAC dinâmico existentes. Depois que os endereços MAC são apagados, a configuração entra em vigor imediatamente.

    Configurar endereços MAC estáticos

    Os endereços MAC estáticos são categorizados em dois tipos: endereços MAC de encaminhamento estáticos e endereços MAC de filtragem estática.

    Os endereços MAC configurados devem ser endereços MAC unicast legais em vez de endereços multicast de difusão.

    Um endereço MAC só pode ser configurado como um endereço MAC de encaminhamento estático ou um endereço MAC de filtragem estática em uma VLAN.

    Condição de configuração

    Nenhum

    Configurar endereços MAC de filtragem estática

    Depois que as entradas de endereço MAC de filtragem estática forem configuradas, se os endereços MAC de origem ou destino dos pacotes recebidos pela VLAN correspondente corresponderem às entradas de endereço MAC de filtragem estática, os pacotes serão descartados. Essa função impede que dispositivos sem confiança acessem a rede e evita fraudes e atividades de ataque de usuários ilegais.

    Tabela 8-8 Configurando endereços MAC de filtragem estática

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure endereços MAC de filtragem estática. mac-address static mac-address-value vlan vlan-id drop Obrigatório. Por padrão, um dispositivo não está configurado com endereços MAC de filtragem estática.

    Configurar endereços MAC de encaminhamento estático vinculados a uma porta

    Com as entradas de endereço MAC de encaminhamento estático configuradas, após a VLAN correspondente receber os pacotes, a porta corresponde aos endereços MAC de destino dos pacotes com as entradas de endereço MAC de encaminhamento estático configuradas no dispositivo. Se eles corresponderem com sucesso, o dispositivo encaminhará os pacotes pela porta especificada. Essa função ajuda a controlar o princípio de roteamento de pacotes de forma mais flexível e evita a migração frequente de entradas de endereço MAC na tabela.

    Tabela 8-9 Configurando endereços MAC de encaminhamento estático vinculados a uma porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure endereços MAC de encaminhamento estáticos que estão vinculados a uma porta. mac-address static mac-address-value vlan vlan-id interface interface-name Obrigatório. Por padrão, um dispositivo não está configurado com endereços MAC de encaminhamento estáticos.

    Configurar endereços MAC de encaminhamento estático vinculados a um link aggregation

    Com as entradas de endereço MAC de encaminhamento estático configuradas, depois que o link aggregation recebe os pacotes, a porta corresponde aos endereços MAC de destino dos pacotes com as entradas de endereço MAC de encaminhamento estático configuradas no dispositivo. Se eles corresponderem com sucesso, o dispositivo encaminhará os pacotes por meio do grupo de agregação especificado. Essa função ajuda a controlar o princípio de roteamento de pacotes de forma mais flexível e evita a migração frequente de entradas de endereço MAC na tabela.

    Tabela 8-10 Configurando endereços MAC de encaminhamento estático vinculados a um link aggregation

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure endereços MAC de encaminhamento estáticos que estão vinculados a um link aggregation. mac-address static mac-address-value vlan vlan-id interface link-aggregation link-aggregation-id Obrigatório. Por padrão, um dispositivo não está configurado com endereços MAC de encaminhamento estáticos.

    Antes de configurar o comando, certifique-se de que o link aggregation especificado foi criado.

    Configurar endereço MAC de BPDU estático

    Depois que a entrada da tabela de endereços MAC BPDU estático for configurada, quando o valor do endereço MAC de destino do pacote recebido corresponder à entrada da tabela de endereços MAC BPDU, o pacote será descartado.

    Tabela 8 -11 Configurar o endereço MAC BPDU estático

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configurar o endereço MAC de filtragem estática mac-address bpdu mac-address-value Mandatório. Por padrão, não configure o endereço MAC BPDU estático no dispositivo.

    Os seguintes vários tipos de BPDU mac podem ser configurados: (001) 010f-e200-0001 (002) 0180-c200-0000 (003) 0180-c200-0001 (004) 0180-c200-0002 (005) 0180-c200-0003 (006) 0180-c200-0004 (007) 0180-c200-0005 (008) 0180-c200-0006 (009) 0180-c200-0007 (010) 0180-c200-0008 (011) 0180-c200-0009 (012) 0180-c200-000a (013) 0180-c200-000b (014) 0180-c200-000c (015) 0180-c200-000d (016) 0180-c200-000e (017) 0180-c200-000f (018) 0180-c200-0010 (019) 0180-c200-0020/ffff-ffff-fff0 (020) 0180-c200-008a (021) 0180-c200-8585

    Monitoramento e manutenção de gerenciamento de endereço MAC

    Tabela 8-11 Monitoramento e manutenção do gerenciamento de endereço MAC

    Comando Descrição
    clear mac-address dynamic { mac-address-value | all | interface interface-list | interface link-aggregation link-aggregation-id | vlan vlan-id [ mac-address-value | interface interface-list | interface link-aggregation link-aggregation-id ] } Limpa as entradas de endereço MAC que são aprendidas dinamicamente.
    show mac-address interface interface-list { all | dynamic | static [ config ] } Exibe as informações de entrada de endereço MAC na porta
    show mac-address interface link-aggregation link-aggregation-id { all | dynamic | static [ config ] } Exibe entradas de endereço MAC em um link aggregation.
    show mac-address vlan vlan-id { all | dynamic | static [ config ] } Exibe entradas de endereço MAC em uma VLAN.
    show mac-address drop [ mac-address-value | config ] Exibe entradas de endereço MAC de filtragem estática no sistema.
    show mac-address dynamic [mac-address-value ] Exibe entradas de endereços MAC dinâmicos no sistema.
    show mac-address static [ mac-address-value | config ] Exibe entradas de endereço MAC de encaminhamento estático no sistema.
    show mac-address system-mac Exibe o endereço MAC do sistema.
    show mac-address { mac-address-value | all } Exibe as informações sobre as entradas de endereço MAC do sistema ou uma entrada de endereço MAC especificada.
    show mac-address aging-time Exibe o tempo de envelhecimento das entradas de endereços MAC dinâmicos.
    show mac-address max-mac-count { interface interface-name | interface link-aggregation link-aggregation-id | system | vlan { vlan-id | all } } Exibe limitações no aprendizado de endereço MAC dinâmico no sistema.
    show mac-address count [ interface interface-name | interface link-aggregation link-aggregation-id | vlan vlan-id ] Exibe estatísticas de entrada de endereço MAC no sistema.
    show mac-address bpdu D exibe o endereço MAC BPDU configurado no sistema
    show mac-address software-learning Exibe se o método de aprendizado de endereço MAC atual do sistema é aprendizado de software ou aprendizado de hardware
    show mac-address vxlan [vxlan-id |count|dynamic|interface interface-list |ip ip-address | static ] Exibe as informações de entrada da tabela de endereços MAC da VXLAN especificada

    Configuração da Função de Aprendizagem de Software

    Configuração da Função de Aprendizagem de Software

    Depois que a função de aprendizado do software estiver habilitada , aprenda a entrada do endereço MAC através do software.

    Condição de configuração

    Não

    Ativar função de aprendizado de software

    Tabela 8 -12 Ativar a função de aprendizado de software

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Ative a função de aprendizado de software mac-address software-learning enable Por padrão, está desabilitado.

    Desativar função de aprendizado de software

    Tabela 8 -13 Desative a função de aprendizado de software

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Desative a função de aprendizado de software no mac-address software-learning enable Depois de desabilitar o aprendizado do software, saiba que a entrada do endereço MAC é aprendida através do chip.

    No modo autônomo, é o aprendizado de hardware por padrão . Se você configurar esse comando, poderá alternar para o aprendizado de software, mas precisará reiniciar o dispositivo para entrar em vigor. No modo de pilha , é o aprendizado de software por padrão e não é recomendável alternar para o aprendizado de hardware. A função MLAG oferece suporte apenas ao aprendizado de software, não ao aprendizado de hardware.

    Monitoramento e manutenção da função de aprendizado de software

    Tabela 8 -14 Monitoramento e manutenção de aprendizado de software

    Comando Descrição
    show mac-address software-learning Veja se o aprendizado de software está ativado ou desativado

    Configuração da função de log de movimentação de endereço MAC

    Configurar a função de log de movimentação de endereço MAC

    A função de registro de movimentação de endereço MAC pode ser habilitada e desabilitada manualmente. Depois de habilitar a função de log de movimentação de endereço MAC, registre um log de movimentação de endereço quando o endereço da entrada de endereço MAC for movido.

    Condição de configuração

    Nenhum

    Ativar a função de log de movimentação de endereço MAC

    Tabela 8-15 Habilite a função de log de movimentação do endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. config terminal -
    Habilite a função de log de movimentação de endereço mac-address move log Por padrão, está habilitada.

    Desativar a função de log de movimentação de endereço MAC

    Tabela 8 -16 Desabilite a função de log de movimentação de endereço MAC

    Etapa Comando Descrição
    Entre no modo de configuração global. config terminal -
    Desative a função de log de movimentação de endereço MAC no mac-address move log Após desabilitar a função de log de movimentação de endereço, não registre as informações de log quando o endereço da entrada de endereço MAC for movido.

    Monitoramento e manutenção da função de log de movimentação de endereço MAC

    Tabela 8-17 Endereço MAC movendo monitoramento e manutenção

    Comando Descrição
    clear mac-address move log{mac-address} Limpa os logs de movimentação do endereço MAC
    show mac-address move config Exibe as informações de configuração da função de log de movimentação do endereço MAC
    show mac-address move log {mac-address-value | count count | hardlearn | start-time [time] end-time [time] } Exibe o log de movimentação do endereço MAC

    Spanning Tree

    Visão geral

    O IEEE 802.1D define o padrão Spanning Tree Protocol (STP) para eliminar loops de rede, evitando que os quadros de dados circulem ou se multipliquem em loops, o que pode resultar em congestionamento de rede e afetar a comunicação normal na rede. Por meio do algoritmo spanning tree, o STP pode determinar onde podem existir loops em uma rede, bloquear portas em links redundantes e aparar a rede em uma estrutura de árvore na qual não existam loops para evitar que os dispositivos recebam quadros de dados duplicados. Quando o caminho ativo está com defeito, o STP recupera a conectividade dos links redundantes bloqueados para garantir serviços normais. Com base no STP, são desenvolvidos o Rapid Spanning Tree Protocol (RSTP) e o Multiple Spanning Tree Protocol (MSTP). Os princípios básicos dos três protocolos são os mesmos, enquanto RSTP e MSTP são versões aprimoradas do STP. Maipu implementa os protocolos de spanning tree VIST e Rapid-VIST compatíveis com o spanning tree da Cisco. O Rapid-VIST melhora o desempenho da convergência e herda a função de eliminação do anel VIST.

    Em STP, são definidos os seguintes conceitos básicos:

    • Ponte raiz: Raiz da estrutura de árvore finalmente formada de uma rede. O dispositivo com a prioridade mais alta atua como a Root Bridge.
    • Porta Raiz (RP): A porta mais próxima da Root Bridge. A porta não está na Root Bridge e se comunica com a bridge raiz.
    • Ponte designada: Se o dispositivo enviar informações de configuração da Unidade de Dados de Protocolo de Ponte (BPDU) para um dispositivo diretamente conectado ou uma LAN diretamente conectada, o dispositivo será considerado a bridge designada do dispositivo diretamente conectado ou da LAN diretamente conectada.
    • Porta designada: A bridge designada encaminha informações de configuração de BPDU através da porta designada.
    • Custo do caminho: indica a qualidade do link e está relacionado à taxa do link. Normalmente, uma taxa de link mais alta significa um custo de caminho menor e o link é melhor.

    Os dispositivos que executam o STP implementam o cálculo da spanning tree trocando pacotes BPDU e, finalmente, formam uma estrutura de topologia estável. Os pacotes BPDU são categorizados nos dois tipos a seguir:

    • BPDUs de configuração: Eles também são chamados de mensagens de configuração de BPDU que são usadas para calcular e manter a topologia de spanning tree.
    • BPDUs de Notificação de Mudança de Topologia (TCN): Quando a estrutura de topologia da rede muda, eles são usados para informar outros dispositivos sobre a mudança.

    Os pacotes BPDU contêm informações que são necessárias no cálculo da spanning tree. As principais informações incluem:

    • ID da Root Bridge: consiste na prioridade da Root Bridge e no endereço MAC.
    • Custo do caminho raiz: É o custo mínimo do caminho para a Root Bridge.
    • ID da bridge designada: Consiste na prioridade da bridge designada e no endereço MAC.
    • ID da porta designada: Consiste na prioridade da porta designada e no número da porta.
    • Idade da Mensagem: Ciclo de vida das mensagens de configuração de BPDU enquanto são transmitidas em uma rede.
    • Hello Time: Ciclo de transmissão de mensagens de configuração de BPDU.
    • Atraso de encaminhamento: atraso na migração do status da porta.
    • Max Age: Ciclo de vida máximo das mensagens de configuração em um dispositivo.

    O processo eleitoral de STP é o seguinte:

    • Estado inicial.

    O dispositivo local assume-se como a Root Bridge para gerar mensagens de configuração BPDU e enviar as mensagens. Nos pacotes BPDU, a ID da Root Bridge e a ID da bridge designada são a ID da bridge local, e o custo do caminho raiz é 0, e a porta especificada é a porta de transmissão.

    Cada porta do dispositivo gera uma mensagem de configuração de porta que é usada para cálculo de spanning tree. Na mensagem de configuração da porta, a ID da Root Bridge e a ID da bridge designada são a ID da bridge local, o custo do caminho raiz é 0 e a porta especificada é a porta local.

    • Atualizar mensagens de configuração de porta.

    Depois que o dispositivo local recebe uma mensagem de configuração de BPDU de outro dispositivo, ele compara a mensagem com a mensagem de configuração da porta receptora. Se a mensagem de configuração recebida for melhor, o dispositivo usa a mensagem de configuração BPDU recebida para substituir a mensagem de configuração da porta. Se a mensagem de configuração da porta for melhor, o dispositivo não realiza nenhuma operação.

    O princípio de comparação é o seguinte: Os IDs de Root Bridge, custo do caminho raiz, IDs de bridge designados, IDs de porta designada e IDs de porta de recebimento devem ser comparados em ordem. O menor valor é melhor. Se os valores do item anterior forem iguais, compare o próximo item.

    • Selecione a Root Bridge.

    O dispositivo que envia a mensagem de configuração ideal em toda a rede é selecionado como Root Bridge.

    • Selecione as funções da porta e o status da porta.

    Todas as portas da Root Bridge são portas designadas e as portas estão no status Forwarding. A bridge designada seleciona a mensagem de configuração de porta ideal de todas as portas. A porta de recebimento da mensagem é selecionada como a porta raiz e a porta raiz está no status de encaminhamento. As outras portas calculam as mensagens de configuração da porta designada de acordo com a mensagem de configuração da porta raiz.

    O método de cálculo é o seguinte: O ID da Root Bridge é o ID da rota da mensagem de configuração da porta raiz, o custo do caminho raiz é a soma do custo do caminho raiz da mensagem de configuração da porta raiz e o custo do caminho da porta raiz, a bridge designada ID é o ID da bridge do dispositivo local e a porta designada é a porta local.

    Com base na mensagem de configuração da porta e na mensagem de configuração da porta designada calculada, determine as regras da porta: Se a mensagem de configuração da porta designada for melhor, a porta local será selecionada como a porta designada e a porta estará no status Encaminhamento. Em seguida, a mensagem de configuração de porta é substituída pela mensagem de configuração de porta designada e a porta designada envia mensagens de configuração de porta periodicamente no intervalo de Hello Time. Se a mensagem de configuração da porta for melhor, a porta está bloqueada. A porta está então no status Descartando e a mensagem de configuração da porta não é modificada.

    Depois que a Root Bridge, a porta raiz e a porta designada são selecionadas, a topologia de rede da estrutura em árvore é configurada com sucesso. Somente a porta raiz e a porta designada podem encaminhar dados. As outras portas estão no status Descartando. Eles só podem receber mensagens de configuração, mas não podem enviar mensagens de configuração ou encaminhar dados.

    Se a porta raiz de uma bridge não raiz não receber mensagens de configuração periodicamente, o caminho ativo será considerado defeituoso. O dispositivo gera novamente uma mensagem de configuração BPDU e TCN BPDU com ele mesmo como a Root Bridge e envia as mensagens. As mensagens causam o recálculo do spanning tree e então um novo caminho ativo é obtido.

    Antes de receber novas mensagens de configuração, os outros dispositivos não encontram a mudança de topologia da rede, portanto, suas portas raiz e porta designada ainda encaminham dados pelo caminho original. A porta raiz recém-selecionada e a porta designada migram para o status de encaminhamento após dois períodos de atraso de encaminhamento para garantir que a nova mensagem de configuração foi transmitida para toda a rede e evitar a ocorrência de loops temporários que podem ser causados se as portas raiz antigas e novas e designar portas de encaminhamento de dados.

    O RSTP definido no IEEE 802.1w é desenvolvido com base no STP e é a versão melhorada do STP. O RSTP realiza uma migração rápida do status da porta e, portanto, reduz o tempo necessário para uma rede configurar uma topologia estável. O RSTP é melhorado nos seguintes aspectos:

    • Ele define uma porta de backup, ou seja, uma porta alternativa, para a porta raiz. Se a porta raiz estiver bloqueada, a porta alternativa pode alternar rapidamente para se tornar uma nova porta raiz.
    • Ele define uma porta de backup, ou seja, uma porta de backup, para a porta designada. Se a porta designada estiver bloqueada, a porta de backup pode alternar rapidamente para se tornar uma nova porta designada.
    • Em um link ponto a ponto de dois dispositivos conectados diretamente, a porta designada pode entrar no status de encaminhamento sem atraso somente após um handshake com a bridge a jusante.
    • Algumas portas não são conectadas a outras bridges ou links compartilhados, ao invés disso, elas são conectadas diretamente aos terminais do usuário. Essas portas são definidas como portas de borda. As alterações de status das portas de borda não afetam a conectividade da rede, portanto, as portas podem entrar no status de encaminhamento sem demora.

    No entanto, tanto o RSTP quanto o STP formam uma única árvore geradora, que possui as seguintes deficiências:

    • Apenas um spanning tree está disponível em toda a rede. Se o tamanho da rede for grande, a convergência da rede levará muito tempo.
    • Os pacotes de todas as VLANs são encaminhados por meio de um spanning tree, portanto, nenhum balanceamento de carga é alcançado.

    O MSTP definido no IEEE 802.1s é uma melhoria do STP e do RSTP e é compatível com versões anteriores do STP e do RSTP. O MSTP introduz o conceito de região e instância. O MSTP divide uma rede em várias regiões. Cada região contém várias instâncias, uma instância pode configurar o mapeamento com uma ou mais VLANs e uma instância corresponde a uma spanning tree. Uma porta pode ter função e status de porta diferentes em diferentes instâncias. Desta forma, os pacotes de diferentes VLANs são encaminhados em seus próprios caminhos.

    No MSTP, é adicionada a definição dos seguintes conceitos:

    • Região MST: Consiste em vários dispositivos na rede de comutação e na rede entre os dispositivos. Os dispositivos em uma região MST devem atender aos seguintes requisitos: A função spanning tree foi habilitada nos dispositivos. Eles têm a mesma região MST, nível MSTP e tabela de mapeamento de VLAN. Eles estão diretamente conectados fisicamente.
    • Internal Spanning Tree (IST): É o spanning tree da instância 0 em cada região.
    • Common Spanning Tree (CST): Se cada região MST for considerada como um dispositivo, as árvores geradoras que conectam as regiões MST são CSTs.
    • Common and Internal Spanning Tree (CIST): Consiste nos ISTs das regiões do MST e nos CSTs entre as regiões do MST. É um único spanning tree que conecta todos os dispositivos na rede.
    • Multiple Spanning Tree Instance (MSTI): Spanning tree em regiões MST. Cada instância tem um MSTI independente.
    • Raiz comum: Raiz CIST.
    • Raiz da região: Raiz de cada IST e MSTI nas regiões do MST. Nos domínios MST, cada instância tem uma spanning tree independente, portanto, as raízes da região podem ser diferentes. A Root Bridge da instância 0 é a raiz da região da região.
    • Portas de borda de região: estão localizadas na borda de uma região MST e são usadas para conectar portas de diferentes regiões MST.
    • Custo do caminho externo: É o custo mínimo do caminho de uma porta até a raiz comum.
    • Custo do caminho interno: É o custo mínimo do caminho de uma porta até a raiz da região.
    • Porta mestre: É a porta de borda da região com o custo mínimo de caminho para a raiz comum em uma região MST. A função de uma porta mestre em um MSTI é a mesma que sua função em um CIST.

    A regra de eleição do MSTP é semelhante à do STP , ou seja, elege a bridge com maior prioridade na rede como Root Bridge do CIST comparando as mensagens de configuração. Cada região MST calcula seu IST e as regiões MST calculam CSTs e todas as construções CIST em toda a rede. Com base no mapeamento entre VLANs e instâncias de spanning tree, cada região MST calcula um MSTI de spanning tree independente para cada instância.

    O protocolo de spanning tree privado da Cisco define os protocolos PVST e RPVST, ambos introduzindo o conceito de instância. Uma VLAN corresponde a uma instância. Em diferentes instâncias, as portas podem ter diferentes funções de porta e estados de porta, o que realiza o encaminhamento de pacotes de diferentes VLANs de acordo com seus caminhos.

    Nova definição de MSTP no ambiente MLAG e precauções:

    • MLAG-MSTI: A instância MSTI correspondente de MLAG-VLAN
    • prioridade de raiz: a prioridade de Root Bridge especificada de MLAG
    • prioridade de bridge: A prioridade de bridge especificada de MLAG
    • stp-pseudo: O modo de pseudo-informação

    As restrições de configuração do modo de pseudo-informação:

    • A prioridade da raiz (o valor padrão é 0) do CIST e todos os MLAG-MSTI nas pseudoinformações devem ser melhores que a prioridade de todas as bridges (incluindo os nós MLAG) em toda a rede (o valor padrão é 32768);
    • Além de garantir que o nó de emparelhamento seja a bridge raiz (a prioridade da raiz é a melhor em toda a rede), também é necessário iniciar a função de proteção de raiz nas portas de acesso (todas as portas não peer link) dos nós MLAG ( root guard não tem suporte no modo vist) para evitar erros de cálculo de spanning tree causados pelo recebimento de BPDU com prioridade mais alta.
    • A função Bridge-Assurance precisa ser configurada no link de peer.
    • Para a instância CIST e instância MLAG-MSTI, a prioridade raiz dos dois nós deve ser configurada para ser a mesma, de modo que os dois nós apresentem a mesma Root Bridge para DHD e SD; para que os dois nós apresentem duas bridges de rede completamente independentes para que o SD participe do cálculo da spanning tree, a prioridade de raiz dos dois nós deve ser configurada de forma diferente

    Configuração da função de spanning tree

    Tabela 9-1 Lista de funções da spanning tree

    Tarefas de configuração
    Configure as funções básicas da spanning tree. Habilite a função spanning tree.
    Configurar domínio MST .
    Configurar a função de saída do log de spanning tree
    Configure as propriedades da bridge. Configure a prioridade de uma bridge.
    Configure o horário de saudação.
    Configure o Atraso de Encaminhamento.
    Configurar idade máxima.
    Configure o número máximo de saltos em um domínio MST.
    Configure as propriedades da porta de spanning tree. Configure a prioridade de uma porta.
    Configure o padrão de custo de caminho padrão para uma porta.
    Configure o custo do caminho de uma porta.
    Configurar a verificação do comprimento do pacote BPDU
    Configure o comprimento máximo do pacote BPDU
    Configure a taxa máxima de transmissão do pacote BPDU
    Configure a verificação do mac de origem do pacote BPDU
    Configure o fator de tempo limite do pacote BPDU
    Configure uma porta de borda.
    Configure a detecção automática da porta de borda
    Forçar a detecção automática da porta de borda
    Configure o tipo de link de porta.
    Configure o modo de trabalho de um spanning tree. Configure o modo de trabalho de um spanning tree.
    Configure a função de proteção de spanning tree. Configure a função BPDU Guard.
    Configure a função Filtro BPDU.
    Configure a função Flap Guard.
    Configure a função Loop Guard.
    Configure a função Root Guard.
    Configure a função TC Guard.
    Configure a função de proteção TC.

    Configurar funções básicas de uma spanning tree

    Condição de configuração

    Nenhum

    Ativar a função Spanning Tree

    Depois que a função spanning tree é habilitada, os dispositivos começam a executar o protocolo spanning tree. Os dispositivos trocam pacotes BPDU para formar uma topologia de rede em árvore estável e os loops de rede são eliminados.

    Tabela 9-2 Habilitando a função Spanning Tree

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilitando a função spanning tree globalmente. spanning-tree enable Obrigatório. Por padrão, a função spanning tree está desabilitada globalmente.
    Entre no modo de configuração da interface Ethernet L2 . interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Ativando a função spanning tree em uma porta. spanning-tree enable Opcional. Por padrão, a função spanning tree está habilitada em uma porta.

    Configurar regiões MST

    Dividir uma rede inteira em várias regiões MST ajuda a reduzir o tempo de convergência da rede. Os pacotes VLAN são transmitidos através dos MSTIs correspondentes nas regiões MST e transmitidos através dos CSTs entre as regiões MST.

    Tabela 9-3 Configurando Regiões MST

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da região MST. spanning-tree mst configuration -
    Configure um nome de região MST. region-name region-name Obrigatório. Por padrão, o nome de uma região MST é o endereço MAC do dispositivo local.
    Configure o nível de revisão MSTP. revision-level revision-level Obrigatório. Por padrão, o nível de revisão do MSTP é 0.
    Configure uma tabela de mapeamento de VLAN. instance instance-id vlan vlan-list Obrigatório. Por padrão, todas as VLANs são mapeadas para a instância 0.
    Ative a configuração do parâmetro da região MST. active configuration pending Obrigatório. Por padrão, os parâmetros da região MST não entram em vigor imediatamente após a modificação.

    Os parâmetros da região MST não entram em vigor imediatamente após serem modificados. Em vez disso, você precisa executar o comando active configuration pendente para ativar os parâmetros e acionar o recálculo da spanning tree. Para cancelar a configuração do parâmetro da região do MST, use o comando abort configuration pendente .

    Configurar propriedades da bridge

    Condição de configuração

    Nenhum

    Configurar a prioridade de uma bridge

    A prioridade da bridge e o endereço MAC formam o ID da bridge. Um ID menor indica uma prioridade mais alta. A bridge com a prioridade mais alta é eleita como a Root Bridge. Um dispositivo pode ter prioridade de bridge diferente em diferentes instâncias de spanning tree.

    Tabela 9-5 Configurando a prioridade de uma bridge

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure a prioridade de uma bridge. spanning-tree mst instance instance-id priority priority-value Obrigatório. Por padrão, a prioridade da bridge em todas as instâncias de spanning tree é 32768.
    No modo vist/rapid-vist, configure a prioridade da bridge spanning-tree vlan vlan-id priority priority-value Obrigatório. Por padrão, a prioridade da bridge do dispositivo em todas as instâncias de spanning tree é 32768.

    A etapa das prioridades da bridge é 4096, ou seja, os valores válidos incluem: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440.

    Configurar horário de saudação

    Depois que a topologia da rede se torna estável, a bridge raiz envia pacotes BPDU no intervalo de Hello Time para informar outras bridges sobre seu papel como Root Bridge para que as outras bridges possam reconhecer sua função. A bridge designada mantém a topologia de spanning tree existente de acordo com o pacote BPDU e encaminha o pacote BPDU para outros dispositivos. Normalmente, se a bridge designada não receber pacotes BPDU dentro de três vezes do tempo limite ( 3*Hello Time ), ela considera o link com defeito. Desta forma, a spanning tree recalcula a topologia da rede para obter um novo caminho ativo, garantindo a conectividade da rede.

    Tabela 9-6 Configurando o Hello Time

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o horário de saudação. spanning-tree mst hello-time seconds Obrigatório. Por padrão, o Hello Time é de 2 segundos.
    Em vist/rapid-vist, configure o Hello Time spanning-tree vlan vlan-id hello-time seconds Obrigatório. Por padrão, o Hello Time é 2s.

    Forward Delay , Hello Time e Max Age devem atender ao seguinte requisito; caso contrário, a falha frequente da rede pode ser a causa. 2 × (Forward_Delay – 1,0 segundos) ≥ Max_Age Max_Age ≥ 2 × (Hello_Time + 1,0 segundos)

    Configurar atraso de encaminhamento

    No STP, quando a porta raiz ou a porta designada migra do status Descartando para o status Encaminhando, a mudança de topologia não pode ser aprendida por toda a rede imediatamente. Para evitar loops temporários, a porta migra para o status Learning no primeiro Forward Delay e, em seguida, aguarda outro Forward Delay para migrar para o status Forwarding.

    Tabela 9-7 Configurando o atraso de encaminhamento

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o Atraso de Encaminhamento. spanning-tree mst forward-time seconds Obrigatório. Por padrão, o Atraso de Encaminhamento é de 15 segundos.
    No modo vist/rapid-vist, configure o Forward Delay spanning-tree vlan vlan-id forward-time seconds Obrigatório. Por padrão, o Atraso de Encaminhamento é de 15 segundos.

    Configurar idade máxima

    Max Age refere-se ao ciclo de vida das mensagens de configuração de BPDU enquanto elas são transmitidas em uma rede. Quando uma mensagem de configuração é transmitida cruzando regiões, após passar por uma região do MST, uma é adicionada a Message Age na mensagem de configuração. Se o dispositivo receber uma mensagem de configuração e descobrir que o valor de Message Age na mensagem de configuração mais 1 é igual ao valor de Max Age, o dispositivo descarta a mensagem de configuração e a mensagem de configuração não é mais usada no cálculo da spanning tree.

    Tabela 9-8 Configurando a idade máxima

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configurar idade máxima. spanning-tree mst max-age seconds Obrigatório. Por padrão, a idade máxima é de 20 segundos.
    No modo vist/rapid-vist, configure Max Age spanning-tree vlan vlan-id max-age seconds Obrigatório. Por padrão, a idade máxima é de 20 segundos.

    Configurar o número máximo de saltos em uma região MST

    Você pode limitar o tamanho de uma região MST configurando o número máximo de saltos na região MST. Um número maior de saltos em uma região MST significa uma região MST maior. Em uma região MST, a partir da raiz da região, uma vez que a mensagem de configuração é encaminhada por um dispositivo, o número de saltos é reduzido em um. Se o número de saltos de uma mensagem de configuração for 0, o dispositivo descarta a mensagem de configuração. Portanto, o dispositivo que está além do número máximo de saltos não pode participar do cálculo de spanning tree na região.

    Tabela 9-9 Configurando o número máximo de saltos em uma região MST

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o número máximo de saltos em uma região MST. spanning-tree mst max-hops max-hops-value Obrigatório. Por padrão, o número máximo de saltos em uma região MST é 20.

    Configurar as propriedades da porta da Spanning Tree

    Condição de configuração

    Nenhum

    Configurar a prioridade de uma porta

    Um ID de porta consiste em prioridade de porta e índice de porta. O ID da porta afeta a eleição da função da porta. Um ID de porta menor indica uma prioridade mais alta. Uma porta pode ter prioridade de porta diferente em diferentes instâncias de spanning tree.

    Tabela 9-10 Configurando a Prioridade de uma Porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure a prioridade de uma porta. spanning-tree mst instance instance-id port-priority priority-value Obrigatório. Por padrão, a prioridade da porta em todas as instâncias de spanning tree é 128.
    No modo vist/rapid-vist, configure a prioridade de uma porta. spanning-tree vlan vlan-id port-priority priority-value Obrigatório. Por padrão, a prioridade da porta em todas as instâncias de spanning tree é 128.

    A etapa de prioridades de porta é 16, ou seja, os valores válidos incluem: 0, 16, 32 , 48 , 64 , 80 , 96, 112 , 128 , 144, 160 , 176 , 192 , 208, 224 e 240 .

    Configurar o padrão de custo de caminho padrão para uma porta

    Comparado com o custo do caminho calculado com base no padrão IEEE 802.1D-1998, o custo do caminho calculado com base no IEEE 802.1T-2001 é maior. Com o aumento da taxa de link, o valor do custo do caminho diminui rapidamente.

    Tabela 9-11 Configurando o Padrão de Custo de Caminho Padrão para uma Porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o padrão de custo de caminho padrão para uma porta. spanning-tree pathcost method { dot1D-1998 | dot1T-2001 } Obrigatório. Por padrão, o padrão IEEE 802.1T-2001 é usado para calcular o custo de caminho padrão da porta.

    Configurar o custo do caminho de uma porta

    O custo do caminho da porta afeta a escolha da função da porta. Um custo de caminho de porta menor significa um link melhor. Uma porta pode ter um custo de caminho de porta diferente em diferentes instâncias de spanning tree.

    Tabela 9-12 Configurando o custo do caminho de uma porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure o custo do caminho de uma porta. spanning-tree mst instance instance-id cost cost-value Obrigatório. Por padrão, o custo do caminho é calculado automaticamente de acordo com a taxa de porta.
    No modo vist/rapid-vist, configure o custo do caminho da porta spanning-tree vlan vlan-id cost cost-value Obrigatório. Por padrão, o custo do caminho é calculado automaticamente de acordo com a taxa de porta.

    Configurar verificação de comprimento do pacote BPDU

    Configurar a verificação de comprimento do pacote BPDU pode permitir que a porta verifique o comprimento do pacote BPDU recebido, de modo a evitar o ataque do pacote BPDU com o comprimento inválido.

    Tabela 9 -13 Configure a verificação de comprimento do pacote BPDU

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure a verificação de comprimento do pacote BPDU spanning-tree bpdu length-check Obrigatório. Por padrão, não habilite a verificação de comprimento do pacote BPDU.

    Configurar o comprimento máximo do pacote BPDU

    Configure o comprimento máximo do pacote BPDU válido ao verificar o comprimento do pacote BPDU.

    Tabela 9 -14 Configure o comprimento máximo do pacote BPDU

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Configure o comprimento máximo do pacote BPDU spanning-tree bpdu max-length max-length Obrigatório. Por padrão, o comprimento máximo é de 1500 bytes.

    Configurar Taxa Máxima de Transmissão de Pacotes BPDU

    A taxa máxima de transmissão de pacotes BPDU limita o número de pacotes BPDU que podem ser transmitidos durante o Hello Time de um dispositivo. Isso evita que o dispositivo envie muitos pacotes BPDU, o que pode causar cálculos de spanning tree frequentes para outros dispositivos.

    Tabela 9-15 Configurando a taxa máxima de transmissão de pacotes BPDU

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure a taxa máxima de transmissão de pacotes BPDU. spanning-tree transmit hold-count hold-count-number Por padrão, uma porta pode enviar no máximo 6 pacotes BPDU dentro do Hello Time.

    Configurar a verificação de MAC de origem do pacote BPDU

    Configurar a verificação do mac de origem do pacote BPDU pode permitir que a porta verifique o MAC de origem do pacote BPDU recebido, para evitar o ataque do pacote BPDU do dispositivo inválido.

    Tabela 9 -16 Configure a verificação do mac de origem do pacote BPDU

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Entre no modo de configuração da interface Ethernet L2 interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id
    Configure a verificação do mac de origem do pacote BPDU spanning-tree bpdu src-mac-match src-mac Obrigatório. Por padrão, a porta não habilita a verificação MAC de origem do pacote BPDU.

    Configurar o fator de tempo limite de ackets BPDU P

    Em uma topologia de rede estável, a porta designada enviará um pacote BPDU para o dispositivo vizinho a cada HELLO TIME. Normalmente, se o dispositivo não receber o pacote BPDU dos dispositivos superiores dentro de três vezes do tempo limite (3*HELLO TIME), considera-se que a topologia da rede muda s , o que iniciará uma reeleição de spanning tree.

    No entanto, em uma topologia de rede estável, se o dispositivo superior não puder receber o pacote BPDU no caso de ocupado ou qualquer outro motivo, ele iniciará uma reeleição de spanning tree. Neste caso, você pode configurar o fator de tempo limite para evitar tal cálculo.

    Tabela 9-17 Configurar o fator de tempo limite dos pacotes BPDU

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Configure o fator de tempo dos pacotes BPDU spanning-tree timer-facor times-number Por padrão, se o dispositivo não receber o pacote BPDU dos dispositivos superiores dentro de três vezes do timeout (3*HELLO TIME), considera-se que a topologia da rede muda , o que iniciará uma reeleição de spanning tree. Em ambiente de empilhamento, é recomendável configurar o fator de tempo limite como 6.
    No modo vist/rapid-vist, configure o fator de tempo dos pacotes BPDU spanning-tree vlan vlan-id timer-facor times-number Por padrão, se o dispositivo não receber o pacote BPDU dos dispositivos superiores dentro de três vezes do timeout (3*HELLO TIME), considera-se que a topologia da rede muda, o que iniciará uma reeleição de spanning tree. Em ambiente de empilhamento, é recomendável configurar o fator de tempo limite como 6.

    Configurar uma porta de borda

    As portas de borda são as portas que estão diretamente conectadas aos terminais do usuário. Se uma porta de borda estiver UP/DOWN, ela não causará loops temporários. Portanto, uma porta de borda pode migrar rapidamente do status Descartando para o status Encaminhando sem tempo de atraso. Além disso, se uma porta de borda estiver UP/DOWN, ela não enviará TC BPDUs. Isso evita o recálculo desnecessário da spanning tree.

    Se uma porta de borda receber pacotes BPDU, ela se tornará uma porta sem borda novamente. Então, a porta pode se tornar a porta de borda novamente somente após ser redefinida.

    Tabela 9-18 Configurando a porta de borda

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure uma porta de borda. spanning-tree portfast edgeport Obrigatório. Por padrão, uma porta não é uma porta de borda.

    Antes de especificar a porta como porta de borda, confirme se a porta está conectada diretamente ao terminal do usuário. Caso contrário, pode causar o loop temporário após configurar como porta de borda. Se a porta de borda de spanning tree é efetiva ou não depende da configuração da porta. Quando a porta não está configurada, se a porta de borda global estiver habilitada, a porta de borda da porta é habilitada por padrão; caso contrário, a porta de borda da porta é desabilitada por padrão.

    Configurar a detecção automática da porta de borda

    A configuração da detecção automática da porta de borda pode permitir que a porta conectada ao terminal seja identificada automaticamente como porta de borda, de modo a evitar que o on-line/off-line do dispositivo terminal faça com que o recálculo da spanning tree cause o choque da rede.

    Se receber o pacote BPDU após ser identificado como a porta de borda, ele muda para a porta sem borda novamente.

    Tabela 9 -20 Configure a detecção automática da porta de borda

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Entre no modo de configuração da interface Ethernet L2 interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id
    Configure a detecção automática da porta de borda spanning-tree portfast autoedge Obrigatório. Por padrão, a detecção automática da porta de borda é habilitada no modo de máquina única e desabilitada no modo de empilhamento.

    Forçar detecção automática da porta de borda

    incorretamente como porta de borda ou porta sem borda . Aqui, o usuário pode executar o comando para acionar a porta para realizar a detecção da porta de borda para que a porta possa identificar se ela própria é a porta de borda corretamente .

    Tabela 9 -21 Configure a detecção automática da porta de borda

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Entre no modo de configuração da interface Ethernet L2 interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id
    Forçar a detecção automática da porta de borda spanning-tree portfast autoedge force Obrigatório.

    O comando pode ter efeito somente quando a porta habilita a detecção automática de porta de borda.

    Configurar o tipo de link de porta

    Se dois dispositivos estiverem conectados diretamente, você pode configurar o tipo de link de porta para link ponto a ponto. As portas do tipo de link ponto a ponto podem migrar rapidamente do status Descartando para o status Encaminhando sem tempo de atraso.

    Tabela 9-22 Configurando o tipo de link de porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure o tipo de link de porta. spanning-tree link-type { point-to-point | shared } Obrigatório. Por padrão, o tipo de link da porta é definido de acordo com o modo duplex da porta. Se a porta funcionar no modo full duplex, a porta será definida para o tipo de link ponto a ponto. Se a porta funcionar no modo half duplex, a porta será definida para o tipo de link compartilhado.

    O tipo de link de porta deve ser configurado de acordo com o link físico real. Se o link físico real da porta não for um link ponto a ponto e estiver configurado incorretamente como link ponto a ponto, isso poderá causar o loop temporário. Quando o tipo de link de porta local é o tipo de link de compartilhamento, a porta local não suporta a função de identificação automática da porta de borda. Se a porta peer realizar a identificação automática da porta de borda, pode fazer com que a porta de mesmo nível seja identificada incorretamente como porta de borda.

    Configurar a função de garantia da bridge da porta

    Depois que a função de garantia de bridge estiver habilitada na porta atual, a porta enviará BPDU independentemente de sua função de spanning tree (mesmo AlternatePort ou BackupPort ). Se a porta não receber BPDU do dispositivo par por um período de tempo, o estado da porta mudará para o estado Bloqueio e não participará do cálculo da árvore de abrangência. Se o BPDU do dispositivo de mesmo nível for recebido no futuro, a porta atual retomará o cálculo normal de spanning tree.

    Tabela 9 -23 Configurar a função de garantia de bridge de porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configurar o tipo de link de porta spanning-tree bridge-assurance enable Mandatório. Por padrão, a função Bridge Assurance da porta não está habilitada.

    As restrições de configuração do Bridge-Assurance: É mutuamente exclusivo com BPDU-Guard , BPDU-Filter , Port-Fast ( adminEdge , autoEdge ) da porta. Se uma dessas funções estiver configurada na porta, o Bridge-Assurance não poderá ser configurado (haverá um prompt de impressão). No modo STP, RP e AP não podem enviar BPDU à vontade, então a configuração de Bridge-Assurance no modo STP não é efetiva, mas pode ser configurada.

    Configurar o modo de trabalho de uma Spanning Tree

    O modo de funcionamento de um spanning tree determina o modo no qual os dispositivos são executados e determina o formato de encapsulamento dos pacotes BPDU que são enviados. Se uma porta que funciona no modo MSTP está conectada a um dispositivo que executa RSTP, a porta migra automaticamente para o modo RSTP. Se uma porta que funciona no modo MSTP ou no modo MSTP estiver conectada a um dispositivo que executa STP, a porta migra automaticamente para o modo compatível com STP.

    Condição de configuração

    Nenhum

    Configurar o modo de trabalho de um Spanning Tree

    Tabela 9-24 Configurando o Modo de Trabalho de uma Spanning Tree

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o modo de trabalho de um spanning tree. spanning-tree mode { stp | rstp | mstp | vist | rapid-vist} Obrigatório. Por padrão, o modo de trabalho de um spanning tree é MSTP.

    Configurar a função de proteção de Spanning Tree

    Condição de configuração

    Nenhum

    Configurar a função de guarda BPDU

    Para um dispositivo de camada de acesso, a porta de acesso geralmente é conectada diretamente ao terminal do usuário ou servidor de arquivos. Neste momento, a porta é configurada para a porta de borda para realizar a migração rápida dos status da porta. Quando uma porta de borda recebe pacotes BPDU, ela muda automaticamente para uma porta sem borda para causar a regeneração da spanning tree. Normalmente, uma porta de borda não recebe pacotes BPDU. No entanto, se alguém enviar pacotes BPDU falsificados para atacar o dispositivo de maneira maliciosa, poderá ocorrer uma falha na rede . A função BPDU Guard é usada para prevenir tais ataques. Se uma porta de borda na qual a função BPDU Guard estiver habilitada receber pacotes BPDU, a porta será fechada.

    Tabela 9 -25 Configurar a função global do BPDU Guard

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure a função BPDU Guard. spanning-tree bpdu guard Obrigatório. Por padrão, a função BPDU Guard está desabilitada na porta.

    Se a função de guarda de BPDU da porta de spanning tree é efetiva ou não depende da configuração da porta. Quando a porta não está configurada, se a proteção de BPDU global estiver habilitada, a função de proteção de BPDU da porta é habilitada por padrão; caso contrário, a função de guarda BPDU da porta é desabilitada por padrão.

    Configurar a função de filtro BPDU

    Depois que a função Filtro BPDU é habilitada em uma porta de borda, a porta não envia nem recebe pacotes BPDU.

    Tabela 9 -27 Configurando a função de filtro BPDU global

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure a função Filtro BPDU. spanning-tree bpdu filter Obrigatório. Por padrão, a função Filtro BPDU está desabilitada.

    Se a função de filtro BPDU da porta spanning tree é efetiva ou não depende da configuração da porta. Quando a porta não está configurada, se o filtro BPDU global estiver habilitado, a função de filtro BPDU da porta é habilitada por padrão; caso contrário, a função de filtro BPDU da porta é desabilitada por padrão.

    Configurar a função Flap Guard

    Em um ambiente de topologia estável, a porta raiz geralmente não é alterada. No entanto, se os links na rede não forem estáveis ou a rede sofrer ataques com pacotes BPDU externos, a alternância frequente das portas raiz pode ser causada e, finalmente, a oscilação da rede é causada.

    A função Flap Guard evita a troca frequente de portas raiz. Depois que a função Flap Guard for habilitada, se a frequência de alteração da função da porta raiz de uma instância de spanning tree exceder o limite especificado, a porta raiz da instância entrará no status Flap Guard. Nesse caso, a porta raiz está sempre no status Descartando e inicia o cálculo de spanning tree normal somente após o tempo de recuperação expirar.

    Tabela 9-29 Configurando a função Flap Guard

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilite a função Flap Guard. spanning-tree flap-guard enable Obrigatório. Por padrão, a função Flap Guard está desabilitada.
    Configure o número máximo de alterações de porta raiz que são permitidas em um período de detecção. spanning-tree flap-guard max-flaps max-flaps-number time seconds Opcional. Por padrão, depois que a função Flap Guard for habilitada, se ocorrerem cinco alterações de função de porta raiz para uma instância em 10 segundos, a porta entrará no status Flap Guard.
    Configure o tempo de recuperação do Flap Guard. spanning-tree flap-guard recovery-time seconds Opcional. Por padrão, o tempo de recuperação do Flap Guard é de 30 segundos.

    Configurar a função de proteção de loop

    O dispositivo local mantém os status da porta raiz e outras portas bloqueadas de acordo com os pacotes BPDU que são enviados periodicamente pelo dispositivo upstream. No caso de congestionamento de link ou falha de link unidirecional, as portas não recebem pacotes BPDU do dispositivo upstream, a mensagem de spanning tree na porta expira. Em seguida, os dispositivos downstream reelegem as funções de porta. As portas do dispositivo downstream que não recebem os pacotes BPDU mudam para a porta designada, enquanto as portas bloqueadas migram para o status Forwarding, resultando em loops na rede de comutação.

    A função Loop Guard pode restringir a geração de tais loops. Depois que a função Loop Guard é habilitada em uma porta, se a porta expirar devido à falha ao receber pacotes BPDU do dispositivo upstream, ao recalcular a função da porta, a porta é definida para o status Descartando e a porta não não participar do cálculo do spanning tree. Se uma instância na porta receber pacotes BPDU novamente, a porta participará novamente do cálculo de spanning tree.

    Tabela 9-30 Configurando a função Loop Guard

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure a função Loop Guard. spanning-tree guard { loop | root | none } Obrigatório. Por padrão, a função Loop Guard está desabilitada na porta.

    Em uma porta, tanto a função Root Guard quanto a função Loop Guard podem ser habilitadas por vez.

    Configurar a função de proteção de raiz

    A Root Bridge e a Root Bridge de backup de um spanning tree devem estar na mesma região, especialmente a Root Bridge CIST e sua bridge de backup. No projeto de rede, geralmente a Root Bridge CIST e sua bridge de backup são colocadas na região central com alta largura de banda. No entanto, devido a configuração incorreta ou ataques maliciosos na rede, a Root Bridge legal na rede pode receber um pacote BPDU com prioridade mais alta. Dessa forma, a bridge legal atual pode perder seu papel como Root Bridge, causando uma alteração imprópria da topologia da rede. A alteração ilegal pode levar o tráfego que deveria ser transmitido através de um link de alta velocidade para um link de baixa velocidade, causando congestionamento na rede.

    A função Root Guard previne a ocorrência de tal caso. Se a função Root Guard estiver habilitada em uma porta, a porta só pode atuar como a porta designada em todas as instâncias. Se a porta receber uma mensagem de configuração de BPDU melhor, a porta será configurada para o status Descartando. Se não receber a melhor mensagem de configuração de BPDU em um período de tempo, a porta retoma seu status anterior. É recomendável habilitar a função Root Guard na porta especificada.

    Tabela 9-31 Configurando a Função Root Guard

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation. interface link-aggregation link-aggregation-id
    Configure a função Root Guard. spanning-tree guard { loop | root | none } Obrigatório. Por padrão, a função Root Guard está desabilitada na porta.

    Em uma porta, tanto a função Root Guard quanto a função Loop Guard podem ser habilitadas por vez.

    Configurar a função TC Guard

    Quando o dispositivo detectar a alteração da topologia da rede, gere o pacote TC e informe aos demais dispositivos no ambiente que a topologia da rede foi alterada. Depois que o dispositivo receber o pacote TC, atualize o endereço. Quando a topologia não é estável ou está construindo os pacotes TC artificialmente para atacar, gera TC com frequência na rede e como resultado, o dispositivo atualiza o endereço repetidamente, afetando o cálculo da spanning tree e resultando na alta ocupação da CPU.

    O TC GUARD pode prevenir o caso. Após configurar o TC GUARD na porta atual e o dispositivo receber o pacote TC, não processe mais o sinalizador TC ou espalhe o TC, para evitar que os pacotes TC ataquem a rede de forma eficiente.

    Tabela 9 -32 Configurar a função TC Guard

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Entre no modo de configuração da interface Ethernet L2 interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do link aggregation interface link-aggregation link-aggregation-id
    Configurar a função TC Guard spanning-tree tc-guard enable Obrigatório. Por padrão, não habilite a função TC Guard da porta.

    Configurar a função de proteção TC

    Se a topologia da rede for alterada, para garantir o encaminhamento normal dos dados do serviço durante o processo de alteração da topologia, quando os dispositivos manipularem os pacotes TC, eles atualizarão os endereços MAC. Ataques com pacotes TC falsificados podem fazer com que os dispositivos atualizem endereços MAC com frequência. Isso afeta o cálculo da spanning tree e leva a uma alta ocupação da CPU.

    A função de proteção TC previne a ocorrência de tal caso. Depois que a função de proteção TC é habilitada, uma vez que um pacote TC é recebido dentro do intervalo de proteção TC, o contador TC conta um. Se o contador TC for igual ou maior que o limite, ele entrará em um status suprimido. Em seguida, os dispositivos não atualizam os endereços MAC ao lidar com os pacotes TC posteriores. Após o intervalo de proteção do TC, o status suprimido é alterado para o status normal e o contador do TC é zerado e reiniciado.

    Tabela 9-33 Configurando a Função de Proteção TC

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilite a função de proteção TC. spanning-tree tc-protection enable Opcional. Por padrão, a função de proteção TC está desabilitada.
    Configure um intervalo de proteção TC. spanning-tree tc-protection interval seconds Obrigatório. Por padrão, o intervalo de proteção do TC é de 2 segundos.
    Configure o limite de proteção TC. spanning-tree tc-protection threshold threshold-value Obrigatório. Por padrão, o limite de proteção TC é 3.

    Configurar pseudo informações do spanning tree

    Condição de configuração

    A pseudo informação do spanning tree é aplicada no ambiente MALG . No nó virtual MALG , o método convencional de configuração de prioridade da spanning tree não será efetivo. Modifique a prioridade da instância correspondente ao nó MALG configurando as pseudoinformações da árvore geradora. Neste momento, a informação de prioridade de instância da BPDU enviada pelo GRUPO MLAG é a pseudo informação da spanning tree que configuramos, garantindo que dois dispositivos de nó MLAG sejam apresentados externamente como um cálculo de árvore de abrangência de um dispositivo. Observe que, durante a configuração, assegure-se de que a configuração de pseudo-informações de spanning tree nos dispositivos MLAG ativo e em espera seja consistente e que os parâmetros configurados no modo de configuração de pseudo-informações tenham efeito apenas no ambiente MLAG .

    Configurar a prioridade de Root Bridge da instância

    Configure a prioridade da Root Bridge da instância de spanning tree especificada nas pseudoinformações.

    Tabela 9 -34 Configurar a prioridade de Root Bridge da instância

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configurar inserindo as pseudoinformações spanning-tree pseudo-information Mandatório.
    Configurar a prioridade da Root Bridge da instância de spanning tree especificada mst instance [instance-id] root-priority[priority-value] Mandatório. Por padrão, configure a prioridade de root bridge de cada instância de spanning tree nas pseudoinformações de configuração como 0 (a prioridade mais alta). instance-id : ID da instância da árvore de abrangência, com um intervalo de valores de 0 a 63. priority-value : configura a prioridade do root bridge do dispositivo na instância de spanning tree especificada. Quanto menor o valor, maior a prioridade

    Configurar a prioridade de bridge especificada da instância

    Configure a prioridade de bridge especificada da instância de spanning tree nas pseudoinformações de configuração.

    Tabela 9 -35 Configurar a prioridade de bridge especificada da instância

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configurar inserindo as pseudoinformações spanning-tree pseudo-information Obrigatório.
    Configurar a prioridade de bridge especificada da instância de spanning tree especificada nas pseudoinformações mst instance instance-id designated-priority [priority-value] Obrigatório. Por padrão, configure a prioridade de bridge especificada para cada instância de spanning tree nas pseudoinformações como 32768. instance-id : o ID da instância da spanning tree, o intervalo de valores é de 0 a 63 priority-value : Configure a prioridade da bridge raiz do dispositivo na instância de spanning tree especificada. Quanto menor o valor, maior a prioridade

    A etapa de configuração do valor de prioridade de bridge especificado é 4096, que pode ser configurado como: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440.

    Configurar a prioridade do Root Bridge da lista de VLAN especificada

    Configurar a prioridade do root bridge do dispositivo na lista de VLANs especificada.

    Tabela 9 -36 Configurar a prioridade da Root Bridge da lista de VLAN especificada

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configurar inserindo as pseudoinformações spanning-tree pseudo-information Obrigatório.
    Configure a prioridade de root bridge do dispositivo na lista de VLAN especificada vist vlan vlan-list root-priority [priority-value] Obrigatório. Por padrão, configure a prioridade de root bridge de cada VLAN nas pseudoinformações como 0 (a prioridade mais alta). priority-value : Configure a prioridade da bridge raiz do dispositivo na instância de spanning tree especificada. Quanto menor o valor, maior a prioridade

    A etapa de configuração do valor de prioridade da Root Bridge é 4096, que pode ser configurada como: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440. No dispositivo MLAG emparelhado, as prioridades da Root Bridge de todas as VLANs configuradas nas pseudoinformações dos dois dispositivos devem ser consistentes.

    Configurar a prioridade da bridge da lista de VLAN especificada

    Configurar a prioridade da bridge do dispositivo na lista de VLAN especificada.

    Tabela 9 -37 Configurar a prioridade da bridge da lista de VLAN especificada

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configurar inserindo as pseudoinformações spanning-tree pseudo-information Obrigatório.
    Configure a prioridade da bridge do dispositivo na lista de VLAN especificada vist vlan vlan-list designated-priority [priority-value] Obrigatório. Por padrão, configure a prioridade de bridge especificada de cada instância de spanning tree nas pseudoinformações como 32768. priority-value : Configure a prioridade da bridge raiz do dispositivo na instância de spanning tree especificada. Quanto menor o valor, maior a prioridade

    A etapa de configuração do valor de prioridade de bridge especificado é 4096, que pode ser configurado como: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440.

    Monitoramento e manutenção da spanning tree

    Tabela 9-38 Monitoramento e manutenção da spanning tree

    Comando Descrição
    clear spanning-tree detected-protocols Execute a operação mc heck globalmente ou na porta especificada
    clear spanning-tree bpdu statistics [interface interface-name | interface link-aggregation link-aggregation-id ] Limpe todas as informações de estatísticas de BPDU ou na porta especificada
    show spanning-tree detail Exibir as informações de status detalhadas da árvore geradora
    show spanning-tree guard [ current [interface interface-name | interface link-aggregation link-aggregation-id]] Exibe as informações de configuração e status da função de proteção de spanning tree na porta
    show spanning-tree { interface interface-name | interface link-aggregation link-aggregation-id } [detail] Exibir as informações de status da árvore de abrangência da porta ou link aggregation especificado
    show spanning-tree mst [ configuration [ current | pending ] | detail | instance instance-id [ detail ] | { interface interface-name | interface link-aggregation link-aggregation-id } [ instance instance-id ] ] Exiba as informações de configuração e status sobre a spanning tree.
    show configuration { current | pending } Exibe a configuração das regiões MST.
    show spanning-tree vlan vlan-id [detail] No modo vist/rapid-vist, indique as informações de status da spanning tree da VLAN especificada

    Exemplo de configuração típica de Spanning Tree

    Aplicação típica de MSTP

    Requisitos de rede

    • Quatro dispositivos na rede estão no mesmo domínio MST. Dispositivos de camada de convergência Device1 e Device2, enquanto Device3 e Device4 são dispositivos de camada de acesso.
    • Para equilibrar razoavelmente o tráfego nos links para realizar o compartilhamento de carga e o backup de redundância, configure os pacotes da VLAN2 para serem encaminhados após a instância 1. A Root Bridge da instância 1 é Device1. Os pacotes de VLAN3 são encaminhados após a instância 2. A Root Bridge da instância 2 é Device2. Os pacotes de VLAN4 são encaminhados após a instância 0.

    Topologia de rede

    Figura 9 -1 Rede para aplicação típica de MSTP

    Etapas de configuração

    • Passo 1: Configure VLAN s e configure o tipo de link das portas.

    #No Device1, crie VLAN2-VLAN4, configure o tipo de link da porta gigabitethernet0/1 para Trunk e permita que os serviços de VLAN2-VLAN4 passem.

    Device1(config)#vlan 2-4
    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#switchport mode trunk
    Device1(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 2-4
    Device1(config-if-gigabitethernet0/1)#exit

    #No Device1, configure o tipo de link da porta gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN3 e VLAN4. Configure o tipo de link da porta gigabitethernet0/3 para Trunk e permita que os serviços de VLAN2 e VLAN4 passem. (Omitido)

    # Em Device2, crie VLAN2-VLAN4. Configure o tipo de link das portas gigabitethernet0/1-gigabitethernet0/3 para Trunk, configure gigabitethernet0/1 para permitir que serviços de VLAN2-VLAN4 passem, gigabitethernet0/2 para permitir que serviços de VLAN2 e VLAN4 passem e gigabitethernet0/3 para permitir serviços de VLAN3 e VLAN4 para passar. (Omitido)

    #No Device3, crie VLAN2-VLAN4, configure o tipo de link da porta gigabitethernet0/1-gigabitethernet0/2 para Trunk e permita que os serviços de VLAN2-VLAN4 passem. (Omitido)

    #No Device4, crie VLAN3 e VLAN4, configure o tipo de link da porta gigabitethernet0/1-gigabitethernet0/2 para Trunk e permita a passagem de serviços de VLAN3 e VLAN4. (Omitido)

    • Passo 2: Configure uma região MST.

    #No Device1, configure uma região MST. Defina o nome de domínio para admin, o nível de revisão para 1, mapeie a instância 1 para VLAN2, mapeie a instância 2 para VLAN3 e ative a região MST.

    Device1#configure terminal
    Device1(config)#spanning-tree mst configuration
    Device1(config-mst)#region-name admin
    Device1(config-mst)#revision-level 1
    Device1(config-mst)#instance 1 vlan 2
    Device1(config-mst)#instance 2 vlan 3
    Device1(config-mst)#active configuration pending
    Device1(config-mst)#exit

    A configuração da região MST de Device2, Device3 e Device 4 é muito diferente daquela de Device1. (Omitido)

    #No Device1, configure a prioridade do MSTI 1 para 0. No Device2, configure a prioridade do MSTI 2 para 0.

    Device1(config)#spanning-tree mst instance 1 priority 0
    Device2(config)#spanning-tree mst instance 2 priority 0

    #No Device1, habilite a spanning tree globalmente.

    Device1(config)#spanning-tree enable 

    A configuração para habilitar a spanning tree globalmente em Device2, Device3 e Device 4 é muito diferente daquela em Device1. (Omitido)

    • Passo 3: Confira o resultado.

    #Depois que a topologia de rede estiver estável, verifique o resultado do cálculo de todas as instâncias de spanning tree.

    Device1#show spanning-tree mst
    Spanning-tree enabled protocol mstp
    MST Instance 00     	vlans mapped: 1,4-4094
     Bridge            	address 0000.0000.008b priority 32768
     Region root       	address 0000.0000.008b priority 32768
    Designated root   	address 0000.0000.008b priority 32768
                        	root: 0, rpc: 0, epc: 0, hop: 20
     Operational  hello time 2, forward time 15, max age 20
     Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
     Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
     Tc protection: admin true, threshold 3, interval 2s, rxTcCnt 0, status:NORMAL
     Bpdu length-check:  false, bpdu illegal length packets count: 0
     Autoedge swap-check: true
     Swap-delay time: 30
     Configured timer factor: 3
     Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Desg  FWD	 20000   128.001 P2P
    gi0/2             	Desg  FWD	 20000   128.002 P2P
    gi0/3             	Desg  FWD	 20000   128.003 P2P
    MST Instance 01     	vlans mapped: 2
     Bridge ID         	address 0000.0000.008b priority 1/0
     Designated root   	address 0000.0000.008b priority 1
                        	root: 0, rpc: 0, hop: 20
    Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1 	            Desg  FWD	 20000   128.001 P2P
    gi0/3             	Desg  FWD	 20000   128.003 P2P
    MST Instance 02     	vlans mapped: 3
     Bridge ID         	address 0000.0000.008b priority 32770/32768
     Designated root   	address 0001.7a54.5c96 priority 2
                        	root: 32769, rpc: 20000, hop: 19
    Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Root  FWD	 20000   128.001 P2P
    gi0/2             	Desg  FWD	 20000   128.002 P2P

    #No Dispositivo2, consulte o resultado do cálculo de todas as instâncias de spanning tree. De acordo com o resultado, a porta gigabitethernet0/2 do Device2 está bloqueada na instância 0 e na instância 1.

    Device2#show spanning-tree mst
    Spanning-tree enabled protocol mstp
    MST Instance 00     	vlans mapped:  1,4-4094
     Bridge            	address 0001.7a54.5c96 priority 32768
     Region root       	address 0000.0000.008b priority 32768
    Designated root   	address 0000.0000.008b priority 32768
                        	root: 32769, rpc: 20000, epc: 0, hop: 19
     Operational  hello time 2, forward time 15, max age 20
     Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
     Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
     Tc protection: admin true, threshold 3, interval 2s, rxTcCnt 0, status:NORMAL
     Bpdu length-check: false, bpdu illegal length packets count: 0
     Autoedge swap-check: true
     Swap-delay time: 30
     Configured timer factor: 3
     Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Root  FWD	 20000   128.001 P2P
    gi0/2             	Alte  DIS	 20000   128.002 P2P
    gi0/3             	Desg  FWD	 20000   128.003 P2P
    MST Instance 01     	vlans mapped:  2
     Bridge ID         	address 0001.7a54.5c96 priority 32769/32768
     Designated root   	address 0000.0000.008b priority 1
                        	root: 32769, rpc: 20000, hop: 19
    Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Root  FWD     20000   128.001 P2P
    gi0/2             	Alte  DIS	 20000   128.002 P2P
    MST Instance 02     	vlans mapped:  3
     Bridge ID         	address 0001.7a54.5c96 priority 2/0
     Designated root   	address 0001.7a54.5c96 priority 2
                    	    root: 0, rpc: 0, hop: 20
    Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Desg  FWD	 20000   128.001 P2P
    gi0/3             	Desg  FWD     20000   128.003 P2P

    #No Device3, consulte o resultado do cálculo de todas as instâncias de spanning tree.

    Device3#show spanning-tree mst
    Spanning-tree enabled protocol mstp
    MST Instance 00     	vlans mapped: 1,4-4094
     Bridge            	address 0000.0305.070a priority 32768
     Region root       	address 0000.0000.008b priority 32768
    Designated root   	address 0000.0000.008b priority 32768
                	        root: 32769, rpc: 20000, epc: 0, hop: 19
     Operational  hello time 2, forward time 15, max age 20
     Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
     Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
     Tc protection: admin true, threshold 3, interval 2s, rxTcCnt 0, status:NORMAL
     Bpdu length-check: false, bpdu illegal length packets count: 0
     Autoedge swap-check: true
     Swap-delay time: 30
     Configured timer factor: 3
     Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Root  FWD	 20000   128.001 P2P
    gi0/2             	Desg  FWD	 20000   128.002 P2P
    MST Instance 01     	vlans mapped: 2
     Bridge ID         	address 0000.0305.070a priority 32769/32768
     Designated root   	address 0000.0000.008b priority 1
                     	   root: 32769, rpc: 20000, hop: 19
    Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Root  FWD	 20000   128.001 P2P
    gi0/2             	Desg  FWD	 20000   128.002 P2P

    #No Device4, consulte o resultado do cálculo de todas as instâncias de spanning tree. De acordo com o resultado, a porta gigabitethernet0/1 do Device4 está bloqueada na instância 0 e a porta gigabitethernet0/2 está bloqueada na instância 2.

    Device4#show spanning-tree mst
    Spanning-tree enabled protocol mstp
    MST Instance 00     	vlans mapped:  1,4-4094
     Bridge            	address 0001.7a58.dc0c priority 32768
     Region root       	address 0000.0000.008b priority 32768
    Designated root   	address 0000.0000.008b priority 32768
                        	root: 32769, rpc: 20000, epc: 0, hop: 19
     Operational  hello time 2, forward time 15, max age 20
     Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
     Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
     Tc protection: admin true, threshold 3, interval 2s, rxTcCnt 0, status:NORMAL
     Bpdu length-check: false, bpdu illegal length packets count: 0
     Autoedge swap-check: true
     Swap-delay time: 30
     Configured timer factor: 3
     Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1             	Alte  DIS	 20000   128.001 P2P
    gi0/2            	 Root  FWD	 20000   128.002 P2P
    MST Instance 02     	vlans mapped:  3
     Bridge ID         	address 0001.7a58.dc0c priority 32770/32768
     Designated root   	address 0001.7a54.5c96 priority 2
                        	root: 32769, rpc: 20000, hop: 19
    Topology Change Count:4, last change occured:0 hour 1 minute 0 second(60 seconds)
           	Interface  Role  Sts  	Cost  Prio.Nbr Type                  	
    -------------------- ----- ---- --------- --------- --------------------------
    gi0/1           	  Root  FWD	20000   128.001 P2P
    gi0/2            	 Alte  DIS    20000   128.002 P2P

    Com base no resultado do cálculo de spanning tree dos quatro dispositivos, são obtidos os diagramas de árvore correspondentes a MSTI 0 (mapeado para VLAN4), MSTI 1 (mapeado para VLAN2) e MSTI 2 (mapeado para VLAN3).

    Aplicar funções básicas do MSTP no ambiente MLAG

    Requisitos de rede

    • Os quatro dispositivos na rede estão todos no mesmo domínio MST e a prioridade de bridge do dispositivo MLAG é a mais alta.

    Topologia de rede

    Figura 9 -2 Networking para aplicação de MSTP em MLAG

    Etapas de configuração

    • Etapa 1: Adicione a interface ao link aggregation e adicione à VLAN. (omitido)
    • Etapa 2: Configurar o domínio MLAG . (omitido)
    • Etapa 3 : Configurar o domínio MST.

    #Configure o domínio MST em Device1, configure o nome de domínio como admin e o nível de revisão como 1 para ativar o domínio MST.

    Device1#configure terminal
    Device1(config)#spanning-tree mst configuration
    Device1(config-mst)#region-name admin
    Device1(config-mst)#revision-level 1
    Device1(config-mst)#active configuration pending
    Device1(config-mst)#exit

    A configuração de domínio MST de Device2, SD e DHD é a mesma que Device1. (omitido)

    Visualize as informações de cada spanning tree de dispositivos.

    #Aggregation 1 em Device1 e Device2 é a porta de interconexão.

    Device1#show spanning-tree
    Spanning-tree enabled protocol mstp
    MST Instance 00         vlans mapped: 1-4094
    Bridge                 address 0001.7a95.000b priority 0
    Region root            address 0001.7a95.000b priority 0
    Designated root        address 0001.7a95.000b priority 0
                            root: 0, rpc: 0, epc: 0, hop: 20
                            We are the root of the spanning tree
    Operational  hello time 2, forward time 15, max age 20, message age 0
    Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 10
    Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
    Tc protection: admin true, threshold 2, interval 20s, rxTcCnt 0, status:NORMAL
    ARL flush: enabled
    Bpdu length-check: false, bpdu illegal length packets count: 0
    Autoedge swap-check: true
    Swap-delay time: 30
    Configured timer factor: 3
    Topology Change Count:6, last change occured:118 weeks 5 days(71863322 seconds)
    Interface            Role  Sts  Cost       Prio.Nbr  Type            
    -------------------- ----- ---- --------- ---------- --------------------------
    te0/1              Desg  FWD  20000       128.0036 P2P
    link-agg1            Desg  FWD  1950        128.0193 P2P (MLAG peer-link)
    link-agg30           Desg  FWD  19500       128.0222 P2P (MLAG 100)
     
    Device2#show spanning-tree
    Spanning-tree enabled protocol mstp
    MST Instance 00         vlans mapped: 1-4094
    Bridge                 address 0001.7a95.000b priority 0
    Region root            address 0001.7a95.000b priority 0
    Designated root        address 0001.7a95.000b priority 0
                            root: 0, rpc: 0, epc: 0, hop: 20
                            We are the root of the spanning tree
    Operational  hello time 2, forward time 15, max age 20, message age 0
    Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
    Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
    Tc protection: admin true, threshold 1, interval 4s, rxTcCnt 0, status:NORMAL
    ARL flush: enabled
    Bpdu length-check: false, bpdu illegal length packets count: 0
    Autoedge swap-check: true
    Swap-delay time: 30
    Configured timer factor: 3
    Topology Change Count:7, last change occured:118 weeks 4 days(71776558 seconds)
    Interface            Role  Sts  Cost       Prio.Nbr  Type            
    -------------------- ----- ---- --------- ---------- --------------------------
    gi0/1               Desg  FWD  20000       128.0332 P2P
    link-agg1            IRoot FWD  1950      128.0385 P2P (MLAG peer-link)
    link-agg30           Desg  FWD  19500       128.0414 P2P (MLAG 100)

    #SD conecta a porta do Device2 e o cálculo da spanning tree é block, e o mlag-group do DHD é Root.

    SD#show spanning-tree
    Spanning-tree enabled protocol mstp
    MST Instance 00         vlans mapped: 1-4094
    Bridge                 address 0001.7a7a.3c10 priority 32768
    Region root            address 0001.7a95.000b priority 0
    Designated root        address 0001.7a95.000b priority 0
                            root: 32804, rpc: 20000, epc: 0, hop: 19
    Operational  hello time 2, forward time 15, max age 20, message age 0
    Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
    Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
    Tc protection: admin true, threshold 1, interval 4s, rxTcCnt 0, status:NORMAL
    ARL flush: enabled
    Bpdu length-check: false, bpdu illegal length packets count: 0
    Autoedge swap-check: true
    Swap-delay time: 30
    Configured timer factor: 1
    Topology Change Count:36, last change occured:118 weeks 5 days(71863036 seconds)
    Interface            Role  Sts  Cost       Prio.Nbr  Type            
    -------------------- ----- ---- --------- ---------- --------------------------
    gi0/1               Root  FWD  20000       128.0012 P2P
    gi0/2               Alte  DIS  20000       128.0036 P2P
     
    DHD#show spanning-tree
    Spanning-tree enabled protocol mstp
    MST Instance 00         vlans mapped: 1-4094
    Bridge                 address 0001.7a6a.0148 priority 32768
    Region root            address 0001.7a95.000b priority 0
    Designated root        address 0001.7a95.000b priority 0
                            root: 33662, rpc: 18000, epc: 0, hop: 19
    Operational  hello time 2, forward time 15, max age 20, message age 0
    Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
    Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
    Tc protection: admin true, threshold 1, interval 4s, rxTcCnt 0, status:NORMAL
    ARL flush: enabled
    Bpdu length-check: false, bpdu illegal length packets count: 0
    Autoedge swap-check: true
    Swap-delay time: 30
    Configured timer factor: 6
    Topology Change Count:20, last change occured:118 weeks 5 days(71863409 seconds)
    Interface            Role  Sts  Cost       Prio.Nbr  Type            
    -------------------- ----- ---- --------- ---------- --------------------------
    link-agg30           Root  FWD  18000       128.0894 P2P
    • Etapa 4: Modifique a prioridade da bridge especificada de Device2, para que a porta bloqueada de SA seja calculada como 0/1.
    Device2#conf t
    Device2(config)#spanning-tree pseudo-information
    Device2 (config-stp-pseudo)#mst instance 0 designated-priority 4096
     
    SD# show spanning-tree
    Spanning-tree enabled protocol mstp
    MST Instance 00         vlans mapped: 1-4094
    Bridge                 address 0001.7a7a.3c10 priority 32768
    Region root            address 0001.7a95.000b priority 0
    Designated root        address 0001.7a95.000b priority 0
                            root: 32780, rpc: 20000, epc: 0, hop: 19
    Operational  hello time 2, forward time 15, max age 20, message age 0
    Configured   hello time 2, forward time 15, max age 20, max hops 20, hold count 6
    Flap guard : admin false, max count 5, detect period 10s, recovery period 30s
    Tc protection: admin true, threshold 1, interval 4s, rxTcCnt 0, status:NORMAL
    ARL flush: enabled
    Bpdu length-check: false, bpdu illegal length packets count: 0
    Autoedge swap-check: true
    Swap-delay time: 30
    Configured timer factor: 1
    Topology Change Count:37, last change occured:118 weeks 5 days(71864200 seconds)
    Interface            Role  Sts  Cost       Prio.Nbr  Type            
    -------------------- ----- ---- --------- ---------- --------------------------
    gi0/1               Root  FWD  20000       128.0012 P2P
    gi0/2               Alte  DIS  20000       128.0036 P2P 
    • Etapa 5: Habilite a função BA na porta de interconexão de Device1 e Device2.
    Device1(config)#interface link-aggregation 1
    Device1(config-if-link-aggregation1)#spanning-tree bridge-assurance enable
    Device2(config)#interface link-aggregation 1
    Device2(config-if-link-aggregation1)#spanning-tree bridge-assurance enable

    Loopback Detection

    Visão geral

    Na Ethernet, se o destino de algum pacote não for reconhecido, ele será inundado em uma VLAN. Se existir um loop na rede, os pacotes circulam e se multiplicam sem limite e, finalmente, eles esgotam a largura de banda. Então, a rede não fornece comunicação normal.

    Existem dois tipos de loops, loop entre diferentes interfaces Ethernet de um dispositivo e loop em uma interface Ethernet de um dispositivo. Os dois tipos de loops podem ser detectados através da detecção de loopback.

    Depois que a função de loopback detection é habilitada, a interface Ethernet envia pacotes de detecção de loopback com um intervalo para verificar se existe um loop na rede. Quando a interface Ethernet recebe o pacote de loopback detection enviado pelo dispositivo local, ela determina que existe um loop na rede. Em seguida, a interface Ethernet é desabilitada para evitar que o loop local afete toda a rede.

    Configuração da função de loopback detection

    Tabela 10-1 Lista de funções de loopback detection

    Tarefas de configuração
    Configure funções básicas de detecção de loopback. Habilite a chave de controle de detecção de loopback global.
    Habilite o switch de controle de loopback detection da interface Ethernet ou grupo de agregação.
    Configure os parâmetros básicos de detecção de loopback. Configure o intervalo no qual os pacotes de loopback detection são enviados.
    Configure a ação Error-Disable na interface Ethernet.

    Configurar funções básicas de loopback detection

    Condição de configuração

    Nenhum

    Ativar o controle de loopback detection globalmente

    A chave de controle de loopback detection global é usada para habilitar a função de loopback detection global. A configuração de loopback detection da interface Ethernet entra em vigor somente depois que a chave de controle de loopback detection global é habilitada.

    Tabela 10-2 Habilitar o controle de loopback detection globalmente

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilite a chave de controle de detecção de loopback global. loopback-detection enable Obrigatório. Por padrão, a chave de controle de detecção de loopback global está desabilitada.

    Habilite o controle de loopback detection na interface Ethernet ou link aggregation

    Depois que a função de loopback detection é habilitada, o A interface Ethernet envia pacotes de detecção de loopback com um intervalo para verificar se existe um loop na rede.

    Tabela 10-3 Habilitando o Loopback Detection na Interface Ethernet ou Link Agregation

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L3/L2. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2 /L3 , a configuração subsequente entra em vigor apenas na interface Ethernet atual . Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do grupo de agregação. interface link-aggregation link-aggregation-id
    Habilite o switch de controle de detecção de loopback da interface Ethernet ou grupo de agregação. loopback-detection enable Obrigatório. Por padrão, o loopback detection da interface Ethernet ou grupo de agregação está desabilitada.

    Em uma tarefa de configuração de detecção de loopback, você deve habilitar o switch de controle de loopback detection global antes que a configuração de loopback detection na interface Ethernet entre em vigor.

    Configurar parâmetros básicos de loopback detection

    Condição de configuração

    Nenhum

    Configurar período de envio de pacotes de detecção de loopback

    Na loopback detection, os pacotes de detecção de loopback são enviados periodicamente para detectar loops na rede. Você pode modificar o intervalo no qual os pacotes de loopback detection são enviados de acordo com o requisito real da rede.

    Tabela 10-4 Configurar o período de envio dos pacotes de loopback detection

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2/L3. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na interface Ethernet atual . Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do grupo de agregação. interface link-aggregation link-aggregation-id
    Configure o intervalo no qual os pacotes de loopback detection são enviados. loopback-detection enable interval-time interval-time-value Obrigatório. Por padrão, o intervalo no qual os pacotes de loopback detection são enviados é de 30 segundos.

    Configurar ação de desativação de erro da interface Ethernet

    Se a interface Ethernet permitir a ação Error-Disable, a interface Ethernet é controlada. Depois que uma porta detecta um loop, ela executa a ação Error-Disable para fechar a interface Ethernet e eliminar o loop. Se a interface Ethernet não estiver no status controlado, a interface Ethernet apenas imprime a mensagem de prompt de loop em vez de fechar a interface Ethernet . Neste caso, o loop não foi eliminado.

    Tabela 10-5 Configurando a ação Error-Disable na interface Ethernet

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2/L3. interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2 /L3 , a configuração subsequente terá efeito apenas na interface Ethernet atual . Depois de entrar no modo de configuração do link aggregation, a configuração subsequente entra em vigor apenas no link aggregation.
    Entre no modo de configuração do grupo de agregação. interface link-aggregation link-aggregation-id
    Configure se a interface Ethernet permite a função Error-Disable. loopback-detection enable control Obrigatório. Por padrão, após a interface Ethernet detectar um loop, ela executa a ação Error-Disable.

    Monitoramento e manutenção de loopback detection

    Tabela 10 - 6 Monitoramento e manutenção de loopback detection

    Comando Descrição
    show loopback-detection [ interface interface-name | interface link-aggregation link-aggregation-id ] Exibe as informações de configuração de todas as interfaces Ethernet ou uma interface Ethernet especificada na loopback detection.

    Exemplo de configuração típico de loopback detection

    Configurar loopback detection remoto

    Requisitos de rede

    • Device1 e Device2 são conectados diretamente, e Device2 tem duas interfaces Ethernet L2 que formam um auto-loop.
    • No Device1, a loopback detection foi habilitada.
    • Depois que o Device1 detecta um loop, ele fecha as interfaces Ethernet interconectadas para eliminar o loop.

    Topologia de rede

    Figura 10 -1 Rede para configurar a função de loopback detection remoto

    Etapas de configuração da interface Ethernet L2

    • Passo 1: Configure VLANs e configure o tipo de link da interface Ethernet L2 .

    #No Dispositivo1, crie a VLAN2.

    Device1#configure terminal
    Device1(config)#vlan 2
    Device1(config-vlan2)#exit

    #No Device1, configure o tipo de link da interface Ethernet L2 gigabitethernet0/1 para Trunk e permita a passagem de serviços de VLAN2.

    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#switchport mode trunk
    Device1(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 2
    Device1(config-if-gigabitethernet0/1)#exit

    #No Dispositivo2, crie VLAN2.

    Device2#configure terminal
    Device2(config)#vlan 2
    Device2(config-vlan2)#exit

    # No Device2, configure o tipo de link da interface Ethernet L2 gigabitethernet0/1 , gigabitethernet 0/2 e gigabitethernet 0/3 para Trunk e permita a passagem dos serviços da VLAN2. Configure a interface Ethernet L2 gigabitethernet 0/2 e gigabitethernet 0/3 para fechar a spanning tree .

    Device2(config)#interface gigabitethernet 0/1-0/3
    Device2(config-if-range)#switchport mode trunk
    Device2(config-if-range)#no switchport trunk allowed vlan 1
    Device2(config-if-range)#switchport trunk allowed vlan add 2
    Device2(config-if-range)#exit
    Device2(config)#interface gigabitethernet 0/2-0/3
    Device2(config-if-range)#no spanning-tree enable
    Device2(config-if-range)#exit
    • Passo 2: Ative a função de loopback detection.

    #No Device1, habilite a função de loopback detection globalmente.

    Device1(config)#loopback-detection enable

    #No Dispositivo1, consulte o status de detecção de loopback.

    Device1#show loopback-detection
     -------------------------------------------------------------
     Global loopback-detection : ENABLE
     --------------------  --------  ------- ------------  -------
     Interface         	Loopback  Time(s) State     	Control
     --------------------  --------  ------- ------------  -------
     gi0/1                 DISABLE   30      NORMAL        TRUE  
     gi0/2             	DISABLE   30      NORMAL    	TRUE   

    # A interface Ethernet L2 gigabitethernet 0/1 do Device1 habilita a função de loopback detection.

    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#loopback-detection enable
    Device1(config-if-gigabitethernet0/1)#exit
    • Passo 3: Confira o resultado.

    #No Dispositivo1, consulte o status de detecção de loopback.

    Depois que um loop é detectado:

    Device1#show loopback-detection
     -------------------------------------------------------------
     Global loopback-detection : ENABLE
     --------------------  --------  ------- ------------  -------
     Interface         	Loopback  Time(s) State     	Control
     --------------------  --------  ------- ------------  -------
     gi0/1            	 ENABLE    30      ERR-DISABLE   TRUE  
     gi0/2             	DISABLE   30      NORMAL    	TRUE   

    #Um loop foi detectado no Device1. A interface Ethernet L2 gigabitethernet0/1 é fechada e o dispositivo emite as seguintes informações de prompt:

    Jul 30 2014 03:30:30: %LOOP-BACK-DETECTED : loop-back send tag packet in vlan2 on gigabitethernet0/1, detected in vlan2 from gigabitethernet0/1
    Jul 30 2014  03:30:30: %LINK-INTERFACE_DOWN-4: interface gigabitethernet0/1, changed state to down
    Jul 30 2014 03:30:30: %LINEPROTO-5-UPDOWN : gigabitethernet0/1 link-status changed to err-disable 

    #No Dispositivo1, consulte o status da interface Ethernet L2 gigabitethernet0/1 e você descobrirá que o status do link da interface Ethernet L2 gigabitethernet0/1 é alterado para Baixo.

    Device1#show interface gigabitethernet 0/1
    gigabitethernet0/1 configuration information
            Description  	:
            Status       	: Enabled
            Link         	: Down  (Err-disabled)
        	Set Speed    	: Auto
        	Act Speed    	: Unknown
        	Set Duplex   	: Auto
        	Act Duplex   	: Unknown
        	Set Flow Control : Off
        	Act Flow Control : Off
            Mdix         	: Auto
            Mtu          	: 1824
        	Port mode    	: LAN
        	Port ability 	: 10M HD,10M FD,100M HD,100M FD,1000M FD
        	Link Delay   	: No Delay
        	Storm Control	: Unicast Disabled
        	Storm Control	: Broadcast Disabled
        	Storm Control	: Multicast Disabled
        	Storm Action 	: None
    Port Type        : Nni
            Pvid         	: 1
        	Set Medium   	: Copper
        	Act Medium   	: Copper
        	                Mac Address  	: 0000.0000.008b

    Etapas de configuração da interface Ethernet L3

    • Passo 1: Configure a VLAN e configure o tipo de link da interface Ethernet L2 .

    # Cria VLAN2 no Device2.

    Device2#configure terminal
    Device2(config)#vlan 2
    Device2(config-vlan2)#exit

    # No Device2, configure o tipo de link da interface Ethernet L2 gigabitethernet0/1 , gigabitethernet 0/2 e gigabitethernet 0/3 para Trunk e permita a passagem dos serviços da VLAN2. Configure a interface Ethernet L2 gigabitethernet 0/2 e gigabitethernet 0/3 para fechar a spanning tree .

    Device2(config)#interface gigabitethernet 0/1-0/3
    Device2(config-if-range)#switchport mode trunk
    Device2(config-if-range)#no switchport trunk allowed vlan 1
    Device2(config-if-range)#switchport trunk allowed vlan add 2
    Device2(config-if-range)#switchport trunk pvid vlan 2
    Device2(config-if-range)#exit
    Device2(config)#interface gigabitethernet 0/2-0/3
    Device2(config-if-range)#no spanning-tree enable
    Device2(config-if-range)#exit
    • Passo 2:Ative a função de loopback detection.

    # No Device1, habilite a função de loopback detection globalmente.

    Device1(config)#loopback-detection enable

    #No Dispositivo1, visualize o status de detecção de loopback.

    Device1#show loopback-detection
     -------------------------------------------------------------
     Global loopback-detection : ENABLE
     --------------------  --------  ------- ------------  -------
     Interface         	Loopback  Time(s) State     	Control
     --------------------  --------  ------- ------------  -------
     gi0/1            	 DISABLE   30      NORMAL	    TRUE  
     gi0/2             	DISABLE   30      NORMAL    	TRUE   

    # No Device1, configure a interface Ethernet L2 g igabitethernet 0/1 como interface Ethernet L3.

    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#no switchport

    # A interface Ethernet L3 gigabitethernet 0/1 no Device1 habilita a função de loopback detection.

    Device1(config-if-gigabitethernet0/1)#loopback-detection enable
    Device1(config-if-gigabitethernet0/1)#exit
    • Passo 3: Confira o resultado.

    #No Dispositivo1, consulte o status de detecção de loopback.

    Depois que um loop é detectado:

    Device1#show loopback-detection
     -------------------------------------------------------------
     Global loopback-detection : ENABLE
     --------------------  --------  ------- ------------  -------
     Interface         	Loopback  Time(s) State     	Control
     --------------------  --------  ------- ------------  -------
     gi0/1            	 ENABLE    30      ERR-DISABLE   TRUE  
     gi0/2             	DISABLE   30      NORMAL        TRUE   

    #Um loop foi detectado no Device1. A interface Ethernet L2 gigabitethernet0/1 é fechada e o dispositivo emite as seguintes informações de prompt:

    Jul 31 2014 11:29:30: %LOOP-BACK-DETECTED : loop-back send packet on gigabitethernet0/1, detected from gigabitethernet0/1
    Jul 31 2014 11:29:30: %LINEPROTO-5-UPDOWN : gigabitethernet0/1 link-status changed to err-disable
    Jul 31 2014 11:29:30: %LINK-INTERFACE_DOWN-3: Interface gigabitethernet0/1, changed state to down.
    Jul 31 2014 11:29:30: %LINK-LINEPROTO_DOWN-3: Line protocol on interface gigabitethernet0/1, changed state to down.

    #No Dispositivo1, veja o status da interface Ethernet L3 gigabitethernet0/1 e você pode ver que o status da interface Ethernet L3 muda para err-disabled .

    Device1#show interface gigabitethernet 0/1 status err-disabled
     
     Interface             	Status      	Reason
     ---------------------------------------------------------------
     gi0/1                    err-disabled	loopback-detect 

    Configurar loopback detection local

    Requisitos de rede

    • Device1 e Device2 formam um loop por meio de dois links, e todas as interfaces Ethernet L2 no loop estão em uma VLAN.
    • No Device1, a loopback detection foi habilitada.
    • Depois que o Device1 detecta um loop, ele fecha as interfaces Ethernet L2 interconectadas para eliminar o loop.

    Topologia de rede

    Figura 10-2 Rede para configurar a função de loopback detection local

    Etapas de configuração

    • Passo 1: Configure VLANs e configure o tipo de link da interface Ethernet L2 .

    #No Dispositivo1, crie a VLAN2.

    Device1#configure terminal
    Device1(config)#vlan 2
    Device1(config-vlan2)#exit

    #No Device1, configure o tipo de link da interface Ethernet L2 gigabitethernet0/1 e gigabitethernet0/2 para Trunk e permita que os serviços de VLAN2 passem.

    Device1(config)# interface gigabitethernet 0/1-0/2
    Device1(config-if-range)#switchport mode trunk
    Device1(config-if-range)#switchport trunk allowed vlan add 2
    Device1(config-if-range)#exit

    #No Dispositivo2, crie VLAN2.

    Device2#configure terminal
    Device2(config)#vlan 2
    Device2(config-vlan2)#exit

    #Configure o tipo de link da interface Ethernet L2 gigabitethernet0/1 e gigabitethernet0/2 para Trunk , permita que os serviços da VLAN2 passem e feche a spanning tree.

    Device2(config)# interface gigabitethernet 0/1-0/2
    Device2(config-if-range)#switchport mode trunk
    Device2(config-if-range)#no switchport trunk allowed vlan 1
    Device2(config-if-range)#switchport trunk allowed vlan add 2
    Device2(config-if-range)#no spanning-tree enable
    Device2(config-if-range)#exit
    • Passo 2: Ative a função de loopback detection.

    #No Device1, habilite a função de loopback detection globalmente.

    Device1(config)#loopback-detection enable

    #No Dispositivo1, consulte o status de detecção de loopback.

    Device1#show loopback-detection 
     -------------------------------------------------------------
     Global loopback-detection : ENABLE
     --------------------  --------  ------- ------------  -------
     Interface             Loopback  Time(s) State         Control
     --------------------  --------  ------- ------------  -------
     gi0/1                 DISABLE   30      NORMAL        TRUE   
     gi0/2                 DISABLE   30      NORMAL        TRUE   

    interface Ethernet L2 gigabitethernet 0/1 no Device1 habilita a função de loopback detection.

    Device1(config)#interface gigabitethernet 0/1
    Device1(config-if-gigabitethernet0/1)#loopback-detection enable
    Device1(config-if-gigabitethernet0/1)#exit
    • Passo 3: Confira o resultado.

    #No Dispositivo1, consulte o status de detecção de loopback.

    Depois que um loop é detectado:

    Device1#show loopback-detection 
     -------------------------------------------------------------
     Global loopback-detection : ENABLE
     --------------------  --------  ------- ------------  -------
     Interface             Loopback  Time(s) State         Control
     --------------------  --------  ------- ------------  -------
     gi0/1                 ENABLE    30      ERR-DISABLE   TRUE   
    

    gi0/2 DISABLE 30 NORMAL TRUE

    #Um loop foi detectado no Device1. A interface Ethernet L2 gigabitethernet0/1 é fechada e o dispositivo emite as seguintes informações de prompt:

    Jul 30 2014 03:29:59: %LOOP-BACK-DETECTED : loop-back send tag packet in vlan2 on gigabitethernet0/1, detected in vlan2 from gigabitethernet0/2
    Jul 30 2014  03:29:59: %LINK-INTERFACE_DOWN-4: interface gigabitethernet0/1, changed state to down
    Jul 30 2014 03:29:59: %LINEPROTO-5-UPDOWN : gigabitethernet0/1 link-status changed to err-disable

    #No Dispositivo1, consulte o status da interface Ethernet L2 gigabitethernet0/1 e você descobrirá que o status do link da interface Ethernet L2 gigabitethernet0/1 foi alterado para Inativo.

    Device1#show interface gigabitethernet 0/1
    gigabitethernet0/1 configuration information
            Description      : 
            Status           : Enabled
            Link             : Down  (Err-disabled)
            Set Speed        : Auto
            Act Speed        : Unknown
            Set Duplex       : Auto
            Act Duplex       : Unknown
            Set Flow Control : Off
            Act Flow Control : Off
            Mdix             : Auto
            Mtu              : 1824
            Port mode        : LAN
            Port ability     : 10M HD,10M FD,100M HD,100M FD,1000M FD
            Link Delay       : No Delay
            Storm Control    : Unicast Disabled
            Storm Control    : Broadcast Disabled
            Storm Control    : Multicast Disabled
            Storm Action     : None
            Port Type        : Nni
            Pvid             : 1
            Set Medium       : Copper
            Act Medium       : Copper
            Mac Address      : 0000.0000.008b

    Quando gigabitethernet 0/1 ou gigabitethernet 0/2 de Device1 é interface Ethernet L3, não há loop no ambiente de rede.

    Gerenciamento do Error-Disable

    Visão geral

    A função Error-Disable é um mecanismo de detecção de erros e recuperação de falhas nas portas.

    Exceções nas portas podem degradar o desempenho de toda a rede ou derrubar toda a rede. A função Error-Disable pode limitar a anormalidade em um único dispositivo ou parte da rede, impedindo que a anormalidade afete outras portas normais e impedindo que a anormalidade se espalhe.

    Se uma exceção for detectada em uma porta aberta, a porta será fechada automaticamente para que a porta não encaminhe pacotes. Ou seja, se uma condição de erro for acionada na porta, a porta será automaticamente desabilitada. Esta é a função de gerenciamento Error-Disable, e o status da porta é o status Error-Disabled.

    Atualmente, as seguintes funções são suportadas: supressão de tempestade, segurança de porta, oscilação de link, limite de taxa DHCP, BPDU Guard, detecção de ARP, túnel de protocolo L2, loopback detection, OAM, link de monitor e falha de malha .

    Se uma exceção for detectada em uma porta por meio das funções acima, a porta será fechada automaticamente e será definida para o status Error-Disabled. No entanto, esse status não pode continuar. Depois que a falha for eliminada, a porta precisa ser habilitada novamente e o status Error-Disabled da porta precisa ser limpo para que a porta possa continuar a encaminhar pacotes. Aqui está envolvido o mecanismo de recuperação automática da função de gerenciamento Error-Disable.

    Configuração da função de gerenciamento de error-disable

    Tabela 11-1 Lista de Funções de Gerenciamento do Error-Disable

    Tarefas de configuração
    Configurar funções básicas Error-Disable. Configure a detecção de erro Error-Disable.
    Configure a recuperação automática Error-Disable. Configure a recuperação automática Error-Disable.
    Configure o intervalo para descoberta automática Error-Disable.

    Configurar funções básicas de error-disable

    Condição de configuração

    Nenhum

    Configurar detecção do Error-Disable

    Depois que a detecção Error-Disable da função de especificação for configurada, se uma exceção for detectada na porta, o sistema fechará automaticamente a porta e definirá a porta para o status Error-Disabled.

    Tabela 11 -2 Configurando a detecção do Error-Disable

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure a detecção de erro Error-Disable. errdisable detect cause { all | bpduguard | dai | dhcp-snooping | monitor-link | torm-control | link-flap | l2pt | oam | port-security | loopback-detect | transceiver-power-low } Obrigatório. Por padrão, é permitido que todas as funções listadas fechem uma porta e definam a porta para o status Error-Disabled.

    Configurar recuperação automática do Error-Disable

    Configurar recuperação automática do Error-Disable

    O mecanismo de detecção de erros Error-Disable permite que funções especificadas fechem uma porta. Para recuperar rapidamente a porta para que ela possa continuar a encaminhar pacotes, é fornecido um mecanismo de recuperação automática. Com o mecanismo, a porta é reativada automaticamente após um intervalo especificado.

    Tabela 11-3 Configurando a recuperação automática de error-disable

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure a recuperação automática Error-Disable. errdisable recovery cause { all | bpduguard | dai | dhcp-snooping | eips-udld | l2pt | link-flap | loopback-detect | oamport-security | storm-control | transceiver-power-low | ulfd } Obrigatório. Por padrão, uma porta não pode ser habilitada automaticamente e o status Error-Disabled definido pelas funções listadas não pode ser apagado automaticamente. No entanto, por padrão, uma porta pode ser habilitada automaticamente e o status Error-Disabled pode ser apagado automaticamente se seu status for definido pela função Link-Flap.

    Configurar o intervalo para descoberta automática do Error-Disable

    Você pode configurar o intervalo para que uma porta se recupere automaticamente após o fechamento da porta pelo mecanismo de detecção de erro Error-Disable.

    Tabela 11 -4 Configurando o intervalo para descoberta automática do Error-Disable

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Configure o intervalo para descoberta automática Error-Disable. errdisable recovery interval interval-value Obrigatório. Por padrão, o intervalo no qual uma porta é habilitada e seu status Error-Disabled é apagado é de 300 segundos.

    Monitoramento e Manutenção de Gerenciamento do Error-Disable

    Tabela 11 -5 Monitoramento e Manutenção de Gerenciamento do Error-Disable

    Comando Descrição
    show errdisable detect Exibe se é permitido que todas as funções listadas fechem uma porta e definam a porta para o status Error-Disabled.
    show errdisable recovery Exibe se uma porta pode ser habilitada automaticamente e se o status Error-Disabled definido pelas funções listadas pode ser apagado automaticamente.
    show { interface interface-list | interface link-aggregation link-aggregation-id } status err-disabled Exibe as informações sobre a configuração de status Error-Disabled de uma porta ou grupo de agregação especificado.

    Exemplo de configuração típico de gerenciamento do Error-Disable

    Combinação do Error-Disable e Storm Suppression

    Requisitos de rede

    • PC acessa a rede IP através do dispositivo. No dispositivo, as funções de supressão de tempestade e desabilitação de erro foram habilitadas.
    • Se uma porta de um dispositivo recebe um grande número de pacotes de transmissão, você pode desabilitar a porta via Error-Disable e o Error-Disable pode reativar a porta de acordo com a política.

    Topologia de rede

    Figura 11-1 Rede para Combinação de Error-Disable e Storm Suppression

    Etapas de configuração

    • Passo 1: Configure uma VLAN e configure o tipo de link das portas.

    #No dispositivo, crie VLAN2.

    Device#configure terminal
    Device(config)#vlan 2
    Device(config-vlan2)#exit
    #No dispositivo, configure o tipo de link da porta gigabitethernet 0/1 para acessar e permita que os serviços da VLAN2 passem.
    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#switchport mode access
    Device(config-if-gigabitethernet0/1)#switchport access vlan 2
    Device(config-if-gigabitethernet0/1)#exit
    • Passo 2: Configure a função de supressão de tempestade.

    #Na porta gigabitethernet0/1 do dispositivo, habilite a função de supressão de tempestade, e o modo pps é usado para suprimir pacotes de broadcast, e a taxa de supressão é de 20pps. Durante a tempestade, feche o porto.

    Device(config)#interface gigabitethernet 0/1
    Device(config-if-gigabitethernet0/1)#storm-control action shutdown
    Device(config-if-gigabitethernet0/1)#storm-control broadcast pps 20
    Device(config-if-gigabitethernet0/1)#exit
    • Passo 3: Configure a função Error-Disable.

    #Ative a função de recuperação de supressão de tempestade em Error-Disable e defina o tempo de recuperação para 30 segundos.

    Device(config)#errdisable recovery cause storm-control
    Device(config)#errdisable recovery interval 30
    • Passo 4: Confira o resultado.

    #Consulte a configuração relacionada a Error-Disable.

    Device#show errdisable recovery
    
    Error disable auto recovery config
    interval:30 seconds
    ErrDisable Reason   Timer Status   
    ---------------     ------------   
    bpduguard              Disabled       
    dai                    Disabled       
    dhcp-snooping          Disabled       
    eips-udld              Disabled       
    l2pt                   Disabled       
    link-flap              Enabled        
    loopback-detect        Disabled       
    oam                    Disabled       
    port-security          Disabled       
    storm-control          Enabled       
    ulfd                   Disabled       
    transceiver-power-low  Disabled

    #Quando o PC envia um grande número de pacotes de broadcast, a porta gigabitethernet0/1 é fechada e as seguintes informações são impressas:

    Nov 24 2014 15:37:13: %STORM_CONTROL-3: A storm detected on interface gigabitethernet0/1,
    ActionType:shutdown, StormType: broadcast storm
    

    Nov 24 2014 15:37:13: %PORTMGR-LINEPROTO_DOWN-3: Line protocol on interface gigabitethernet0/1, changed state to down

    #Consulte o status da porta gigabitethernet0/1.

    Device#show interface gigabitethernet 0/1
    
    gigabitethernet0/1 configuration information
            Description      : 
            Status           : Enabled
            Link             : Down (Err-disabled)
            Set Speed        : Auto
            Act Speed        : Unknown
            Set Duplex       : Auto
            Act Duplex       : Unknown
            Set Flow Control : Off
            Act Flow Control : Off
            Mdix             : Auto
            Mtu              : 1824
            Port mode        : LAN
            Port ability     : 10M FD, 100M FD,1000M FD
            Link Delay       : No Delay
            Storm Control    : Unicast Pps 1500
            Storm Control    : Broadcast Pps 20
            Storm Control    : Multicast Pps 1500
            Storm Action     : Shutdown
            Port Type        : Nni
            Pvid             : 2
            Set Medium       : Copper
            Act Medium       : Copper
            Mac Address      : 0001.7a54.5ca5

    #Após 30s, habilite a porta gigabitethernet0/1 e imprima as seguintes informações de prompt.

    Nov 24 2014 15:37:43: %PORTMGR-AUTO_RECOVERY-5: auto recovery timer expired on interface gigabitethernet0/1, module: STROM CONTROL ACTION.
    Nov 24 2014 15:37:45: %PORTMGR-LINEPROTO_UP-5: Line protocol on interface gigabitethernet0/1, changed state to up.

    #Consulte o status da porta gigabitethernet0/1.

    Device#show interface gigabitethernet 0/1
    
    gigabitethernet0/1 configuration information
            Description      : 
            Status           : Enabled
            Link             : Up
            Set Speed        : Auto
            Act Speed        : 1000
            Set Duplex       : Auto
            Act Duplex       : Full
            Set Flow Control : Off
            Act Flow Control : Off
            Mdix             : Auto
            Mtu              : 1824
            Port mode        : LAN
            Port ability     : 10M FD, 100M FD,1000M FD
            Link Delay       : No Delay
            Storm Control    : Unicast Pps 1500
            Storm Control    : Broadcast Pps 20
            Storm Control    : Multicast Pps 1500
            Storm Action     : Shutdown
            Port Type        : Nni
            Pvid             : 2
            Set Medium       : Copper
            Act Medium       : Copper
            Mac Address      : 0001.7a54.5ca5

    GVRP

    Visão geral

    GVRP (GARP VLAN Registration Protocol), conhecido como GARP VLAN Registration Protocol, é um protocolo de aplicação definido pelo GARP. Ele mantém dinamicamente as informações de VLAN em switches com base no mecanismo de protocolo do GARP. Todos os switches que suportam o recurso GVRP podem receber informações de registro de VLAN de outros switches e atualizar dinamicamente informações de registro de VLAN local, incluindo VLAN atual no switch e quais portas essas VLANs contêm, etc. outros switches, de modo a tornar a configuração de VLAN de todos os dispositivos que suportam recursos GVRP na mesma rede de switch seja consistente em termos de interoperabilidade. As informações de registro de VLAN transmitidas pelo GVRP incluem não apenas as informações de VLAN estáticas configuradas manualmente localmente, mas também as informações de VLAN dinâmicas de outros switches. Observe que a mensagem de licença do GVRP não pode excluir a VLAN configurada manualmente localmente, ou seja, a prioridade da VLAN configurada manualmente é maior que a do GVRP.

    O GVRP realiza o registro dinâmico, a manutenção e o logout das informações dos membros da porta VLAN. Se a VLAN não existir, a VLAN será criada dinamicamente; se o número de membros da porta VLAN for 0, a VLAN será excluída dinamicamente, ou seja, a porta será adicionada à VLAN ou excluída da VLAN dinamicamente, o que também realiza a configuração dinâmica da VLAN no switch.

    O GVRP pode configurar VLANs dinamicamente, portanto, não é necessário configurar todas as VLANs de todos os dispositivos, mas apenas alguns dispositivos, especialmente dispositivos de borda e algumas VLANs especiais. Outros dispositivos serão configurados automaticamente por meio do GVRP. Agora, a rede corporativa geralmente é grande e há muitas VLANs. A função GVRP reduz bastante o trabalho de configuração dos administradores e reduz a possibilidade de erro manual. Além disso, quando a topologia da rede muda, a VLAN pode ser configurada automaticamente para garantir a conectividade entre as VLANs.

    Configuração da função GVRP

    Tabela 12 -1 Lista de configuração da função GVRP

    Tarefa de configuração
    Habilite a função GVRP Habilite a função GVRP globalmente
    Configurar a porta GVRP Configure a porta como modo de tronco e VLAN permitida
    Habilite a função GVRP na porta
    Configure o modo GVRP da porta

    Ative a função GVRP

    Condição de configuração

    Não

    Habilite a função GVRP globalmente

    Habilite a função GVRP globalmente.

    Tabela 12 -2 Habilite a função GVRP globalmente

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Habilite a função GVRP globalmente gvrp enable Obrigatório.

    Configurar a porta GVRP

    Condição de configuração

    Não

    Configurar a porta GVRP

    Adicione a configuração na porta que precisa habilitar a função GVRP, incluindo o modo GVRP e a VLAN permitida.

    Tabela 12 -3 Habilite a função GVRP da porta

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta Ethernet atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente entra em vigor apenas no grupo de agregação.
    Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
    Configure a porta como o modo de tronco switchport mode trunk Obrigatório.
    Configure a VLAN permitida pela porta switchport trunk allowed vlan all Obrigatório.
    Habilite o GVRP da porta gvrp enable Obrigatório.

    VLAN Isolation

    Visão geral

    Na rede de acesso do usuário, para obter o isolamento entre diferentes grupos de usuários, diferentes grupos de usuários precisam ser divididos em diferentes VLANs. Caso os usuários do mesmo grupo de usuários desejem realizar o isolamento entre usuários, a tecnologia de isolamento de porta pode ser utilizada, mas esta tecnologia exige que o administrador conheça claramente a localização da porta da rede de acesso do usuário, o que torna a configuração e a manutenção do gerenciamento inconvenientes . A tecnologia de VLAN isolation resolve esse problema habilmente. Os administradores só precisam configurar o VLAN isolation para a VLAN do grupo de usuários e cada usuário no grupo de usuários será isolado um do outro. Ao configurar a porta de uplink do VLAN isolation, os usuários do grupo de usuários podem acessar a rede pública por meio da porta de uplink. Essa tecnologia fornece um esquema mais seguro e flexível para rede.

    Configuração da função de VLAN isolation

    Tabela 13 -1 lista de configuração de função global de VLAN

    Tarefa de configuração
    Configurar o isolamento VLAN Habilite a função de isolamento de VLAN
    Configurar a porta de uplink do isolamento VLAN

    Configurar o isolamento de VLAN

    Condição de configuração

    Nenhum

    Ative a função de VLAN isolation

    Ao habilitar a função de VLAN isolation, as portas membro na VLAN podem ser isoladas umas das outras.

    Tabela 13 -2 Habilite o VLAN isolation global

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração VLAN vlan vlan-id -
    Habilite a função de isolamento de VLAN vlanIsolat enable Mandatório. Por padrão, não habilite a função de VLAN isolation.

    Configurar a porta de uplink do VLAN isolation

    Depois de configurar a porta de uplink do VLAN isolation, as portas de downlink na VLAN ainda estão isoladas umas das outras, mas as portas de uplink e portas de uplink e as portas de uplink e portas de downlink podem se comunicar umas com as outras.

    Tabela 13 -3 Configurar a porta de uplink do isolamento global de VLAN

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface Ethernet L2 interface interface-name -
    Configurar a porta de uplink do global VLAN isolation vlanIsolate uplink-port vlan vlan-id Mandatório. Por padrão, não configure a porta de uplink do VLAN isolation.

    Depois que a função de isolamento de VLAN global é desabilitada, a porta de uplink configurada do isolamento de VLAN é cancelada automaticamente, o VLAN isolation é habilitado e todas as portas na VLAN são portas de downlink por padrão.

    Monitoramento e manutenção de VLAN isolation

    Tabela 13 -4 Monitoramento e manutenção do global VLAN isolation

    Comando Descrição
    show vlan-isolate( [ vlan vlan-id ]) Exiba as informações de VLAN isolation

    MLAG

    Visão geral

    MLAG é um mecanismo para realizar a agregação de link entre dispositivos, que reúne um dispositivo e dois outros dispositivos emparelhados para formar um sistema dual-ativo.

    Como uma tecnologia de virtualização horizontal de associação fraca, o MLAG não só tem as vantagens de aumentar a largura de banda, fornecer confiabilidade de link e compartilhamento de carga, mas também tem as seguintes vantagens:

    • MLAG melhora a confiabilidade do link do nível da placa ao nível do dispositivo. Para agregação de link cross-board comum, se uma placa falhar, todo o link de agregação ainda poderá funcionar normalmente; para agregação de link entre dispositivos MLAG, mesmo que um dispositivo falhe, todo o link de agregação ainda pode funcionar normalmente.
    • Simplifique a rede: MLAG, como uma tecnologia de virtualização horizontal, virtualiza logicamente dois dispositivos emparelhados conectados por dual homing em um dispositivo. O MLAG fornece uma topologia de duas camadas sem loop e realiza backup redundante, de modo que o lado do acesso não precisa do protocolo de spanning tree, o que simplifica muito a rede e a configuração.
    • Atualização independente : dois dispositivos emparelhados podem ser atualizados separadamente para garantir que um dispositivo funcione normalmente, com pouco impacto nos negócios em execução.

    As definições de conceitos relacionados ao MLAG:

    • Domínio MLAG (Multi-Chassis Link Aggregation Group): consiste em dois nós de emparelhamento MLAG, formando um sistema ativo duplo.
    • Nó de emparelhamento MLAG: no nó de emparelhamento MLAG, existe um nó cujo papel é mestre e outro nó cuja função é escravo.
    • Peer link: o link de agregação de conexão direta entre nós de emparelhamento MLAG, que é usado para interagir com pacotes de protocolo MLAG e transmitir parte do tráfego de dados.
    • Keep alive: detecção de keep alive entre nós de emparelhamento MLAG, que é realizada através do link L3. A função do MLAG é julgar se o link de peer ainda está ativo após a falha do link de peer.
    • PTS (Peer-Link Transport Server): Serviço confiável de transmissão de pacotes baseado em peer link.
    • DHD (Double-Homed Device): Um dispositivo (ou servidor) que está conectado ao sistema MLAG dual-active via dual-homing. O próprio DHD pode ser um sistema MLAG dual-active.
    • SD ( Single-Hod Device): Um dispositivo (ou servidor) que está conectado ao sistema MLAG dual-active via single-homing.
    • MLAG-Port: Indica o grupo de agregação entre dispositivos entre o sistema DHD e MLAG dual-active.
    • MLAG Member Port: Indica a porta do membro do link aggregation entre dispositivos entre o sistema DHD e MLAG dual-active.
    • Orphan-Port: Refere-se à porta de acesso single-homed no nó de emparelhamento MLAG, incluindo o link aggregation de acesso single-homed. Ao dizer que a porta órfã pertence ao MLAG VLAN, pode não pertencer ao MLAG VLAN.
    • MLAG-VLAN: A VLAN à qual o Peer-Link é adicionado, todas as VLANs das portas MLAG devem ser adicionadas ao MLAG-VLAN
    • não-MLAG-VLAN: A VLAN que não contém Peer-Link, não-MLAG-VLAN não contém a porta MLAG
    • MLAG-VLANIF : interface VLANIF correspondente ao MLAG-VLAN
    • não-MLAG-VLANIF: interface VLANIF correspondente a não-MLAG-VLA
    • Unpaired: Após a porta do peer link, se o keepalive estiver normal, considera-se que ocorreu uma falha desemparelhada, que fará com que a porta MLAG e MLAG-VLANIF no nó escravo fiquem no estado suspenso, fazendo com que o uplink e o downlink tráfego seja encaminhado através do nó mestre.
    • Up-Delay: Quando o nó de emparelhamento MLAG é reiniciado ou a falha do link de peer se recupera, a porta MLAG atrasará por um período de tempo antes de ser definida para o estado UP.
    • Recuperação automática: Após um período de tempo, quando o nó MLAG local é considerado completamente desconectado do nó MLAG par (o nó MLAG par real pode falhar ou ainda sobreviver), o nó MLAG local se considera o único nó, torna-se o nó mestre e encaminha o tráfego.
    • Dual-Master: Se tanto o peer link quanto o keepalive falharem, o nó escravo julgar estar completamente desconectado do nó mestre, o nó escravo será atualizado para o nó mestre, enquanto o nó mestre original ainda existir. Neste momento, existem dois nós mestres, ou seja, dual-master. O encaminhamento de tráfego pode ser anormal no estado de mestre duplo.
    • Pacote de protocolo de controle (também conhecido como pacote de peering): os pacotes de protocolo interagiram entre os nós MLAG, usados para emparelhamento de nós, eleição de papéis, etc., e enviados e recebidos através de UDP.
    • Pacote de sincronização de dados (também chamado de pacote de sincronização): ou seja, o pacote de sincronização interagido entre nós MLAG, que é usado para transmitir informações de controle, pacote de protocolo de serviço de retransmissão, entrada de serviço de sincronização, etc. para cada negócio. O pacote de sincronização é encapsulado com as informações do cabeçalho PTS e é enviado e recebido através do TCP.
    • VLAN de controle: uma VLAN L3 (VLAN de interface) usada para transmitir pacotes síncronos PTS. Somente o link de peer tem permissão para ingressar na VLAN e outras portas não têm permissão para ingressar na VLAN.
    • Suspender: neste artigo, refere-se ao desligamento, que geralmente se refere ao desligamento do grupo de agregação MLAG ou da interface MLAG-VLANIF.

    Configuração da função MLAG

    Tabela 13 -1 lista de configuração da função MLAG

    Tarefa de configuração
    Criar um domínio MLAG Criar um domínio MLAG
    Configurar os parâmetros MLAG Configure o tempo de atraso da recuperação automática após a reinicialização do nó
    Especifique a interface VLAN local
    Configurar o ID do nó MLAG
    Configure a prioridade da função do nó MLAG
    Especifique o endereço IP do peer
    Configurar o modo de preempção
    Configure o endereço MAC do sistema MLAG
    Configure a prioridade do sistema MLAG
    Configure o tempo de atraso do estado de ativação e o tempo de intervalo do estado de ativação
    Configurar os parâmetros Keepalive Configure a origem, o endereço de origem e outros parâmetros do pacote Keepalive
    Defina o intervalo de envio e o tempo limite de recebimento do pacote Keepalive
    Definir o período de silêncio Keepalive
    Configurar o Peer-Link Configure a interface de agregação L2 como a porta Peer-link
    Configurar a porta MLAG Configurar a porta MLAG
    Configurar a Orphan Port Configure a Orphan Port do nó escravo para ser configurada para o estado de desligamento quando o link de peer falhar, mas manter ativo é normal

    Criar um domínio MLAG

    Nos nós de emparelhamento MLAG, o ID de domínio MLAG deve ser consistente.

    Condição de configuração

    Antes de criar o domínio MLAG, primeiro conclua a seguinte tarefa:

    • Nos nós de emparelhamento MLAG, existem outros domínios MLAG diferentes

    Criar um domínio MLAG

    Crie um domínio MLAG.

    Tabela 13 -2 Criar um domínio MLAG

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Criar um domínio MLAG mlag domain domain-id Obrigatório. Por padrão, nenhum domínio MLAG é criado e o intervalo de valores do ID do domínio é de 1 a 255

    Configurar os parâmetros MLAG

    Condição de configuração

    Antes de configurar os parâmetros MLAG, primeiro conclua a seguinte tarefa:

    • Criar um domínio MLAG

    Configurar o atraso de recuperação automática após a reinicialização do nó

    Depois que o dispositivo for iniciado, inicie o temporizador de recuperação automática com o tempo de atraso de recuperação automática configurado. Se nenhum pacote de manutenção de atividade ou pacote de peering for recebido até que o temporizador expire e o link de peer estiver sempre inativo, o nó de peer será considerado inexistente e o nó se tornará mestre.

    Tabela 13 -3 Configure o tempo de recuperação automática após a reinicialização do nó

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure o tempo de recuperação automática após a reinicialização do nó auto-recovery reload-delay delay_value Opcional Por padrão, o atraso de recuperação automática é de 240 segundos e o intervalo de tempo do atraso de recuperação automática é de 240 a 3600 segundos.

    Especificar a interface VLAN local

    A L3 VLAN (interface VLAN) usada para transmitir o pacote síncrono PTS só permite que o link de peer se junte à VLAN, e outras portas não podem ingressar na VLAN.

    Tabela 13 -4 Especifique a interface VLAN local

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Especifique a interface VLAN local local-interface vlan vlan-id [vrf vrf_name] Obrigatório. Por padrão, o valor padrão do nome VRF é global. O comprimento máximo do nome VRF é de 31 caracteres e o intervalo de VLAN é 2-4094.

    Configurar ID do nó MLAG

    No mesmo domínio MLAG, os IDs de nó MLAG são diferentes e exclusivos.

    Tabela 13 -5 Configurar o ID do nó MLAG

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configurar o ID do nó MLAG node id id-number Obrigatório. Por padrão, não configure o ID do nó MLAG e o intervalo de IDs do nó MLAG é 1 e 2.

    Configurar a prioridade da função do nó MLAG

    A prioridade da função do nó é usada para selecionar a função mestre-escravo entre dois nós no mesmo domínio MLAG. Quanto menor o valor, maior a prioridade, e aquele com maior prioridade se torna o dispositivo mestre. Se a prioridade do nó for a mesma, compare os endereços MAC de bridge dos dois dispositivos e aquele com endereço MAC de bridge menor se tornará o dispositivo mestre.

    Tabela 13 -6 Configurar a prioridade da função do nó MLAG

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure a prioridade da função do nó MLAG node role-priority priority-value Opcional Por padrão, a prioridade do nó MLAG é 100 e a prioridade do nó MLAG varia de 1 a 254

    Especificar o endereço IP do par

    Especifique o endereço IP de destino do pacote PTS.

    Tabela 13 -7 Especifique o endereço IP do peer

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Especifique o endereço IP do peer peer-address ip-address Obrigatório. Por padrão, não configure o endereço IP do peer.

    Configurar o modo de preempção

    Se o modo de preempção estiver configurado, o papel anterior do nó será ignorado quando o papel mestre-escravo for eleito, e o papel do nó será determinado com base no resultado da comparação de prioridade do nó e MAC da bridge: Quanto menor a prioridade valor do nó, quanto maior a prioridade, o nó com maior prioridade se torna o dispositivo mestre; se a prioridade do nó for a mesma, compare os endereços MAC da bridge dos dois dispositivos e, quanto menor o endereço MAC da bridge, torna-se o dispositivo mestre.

    Tabela 13 -8 Configurar o modo de preempção

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configurar o modo de preempção role preempt Opcional Por padrão, não configure o modo de preempção.

    Configure o endereço MAC do sistema MLAG

    Para permitir que o dispositivo de acesso trate dois nós no domínio MLAG como um dispositivo, os endereços MAC do sistema MLAG dos dois nós devem ser os mesmos.

    Tabela 13 -9 Configurar o endereço MAC do sistema MLAG

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure o endereço MAC do sistema MLAG system-mac mac_address Opcional Por padrão, o endereço MAC do sistema MLAG não está configurado. O endereço MAC do sistema MLAG dos dois nós é gerado automaticamente de acordo com o ID do domínio e permanece o mesmo .

    Configurar a prioridade do sistema MLAG

    Para permitir que o dispositivo de acesso trate dois nós no domínio MLAG como um dispositivo, os endereços MAC do sistema MLAG dos dois nós devem ser os mesmos.

    Tabela 13 -10 Configurar a prioridade do sistema MLAG

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure a prioridade do sistema MLAG system-priority priority_value Opcional Por padrão, a prioridade do sistema MLAG é 32768 e o intervalo de prioridade do sistema MLAG é 1-65535.

    Configure o atraso do estado UP e o intervalo do estado UP

    Quando o dispositivo ingressar no domínio MLAG como um nó escravo, a interface MLAG será configurada para o estado ativo somente após o tempo de atraso do estado ativo. Durante o atraso do estado ativo, a tabela de endereços MAC, a tabela ARP e outras informações serão sincronizadas, portanto, se houver muitas entradas, o temporizador pode ser estendido adequadamente para evitar a perda de pacotes.

    Tabela 13 -11 Configure o tempo de atraso do estado UP e o intervalo do estado UP

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure o tempo de atraso do estado UP e o intervalo do estado UP up-delay delay_seconds [interval interval_mseconds] Opcional Por padrão, o tempo de atraso do estado ativo é de 90 segundos, o tempo de intervalo do estado ativo é de 1000 milissegundos, o intervalo de tempo de atraso do estado ativo é de 1 a 3600 e o tempo de intervalo do estado ativo é de 1 a 300000 milissegundos

    Configurar os parâmetros Keepalive

    Condição de configuração

    Antes de configurar os parâmetros Keepalive, primeiro conclua a seguinte tarefa:

    • Criar um domínio MLAG

    Configurar Origem, Endereço de Destino e Outros Parâmetros do Pacote Keepalive

    Para estabelecer o sistema MLAG corretamente, os endereços de origem e destino do pacote keepalive devem ser configurados e a camada L3 entre dois nós é alcançável.

    A VLAN correspondente à interface L3 à qual o endereço IP de origem do pacote keepalive pertence não pode ser incluída na VLAN onde a interface de link de peer está localizada.

    Tabela 13 -12 Configure a origem, endereço de destino e outros parâmetros do pacote Keepalive

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure os endereços de origem, destino e outros parâmetros do pacote Keepalive keepalive ip destination ipv4_address source ipv4_address [udp-port udp-number] [vrf vrf_name] Obrigatório. Por padrão, a porta udp é 53910, o nome VRF é global, o intervalo de porta udp é 1-65535 e o nome VRF suporta até 31 caracteres.

    Configurar o intervalo de envio e o tempo limite de recebimento do pacote Keepalive

    Ao receber o pacote keepalive anterior ou ao iniciar a escuta, inicie o timer de tempo limite de recebimento com o tempo limite de recebimento. Se o temporizador não receber o próximo pacote keepalive antes da expiração, ele será considerado PERDIDO.

    Tabela 13 -13 Configure o intervalo de envio e o tempo limite de recebimento do pacote Keepalive

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure o intervalo de envio e o tempo limite de recebimento do pacote Keepalive keepalive interval mseconds [timeout seconds] Opcional Por padrão, o intervalo de transmissão do pacote keepalive é de 1000ms, o tempo limite de recebimento do pacote keepalive é de 6 s , o intervalo do intervalo de envio do pacote keepalive é 100-10000 e o tempo limite de recebimento do pacote keepalive é de 1-20s

    Configurar o tempo de silêncio do pacote Keepalive

    Depois que o peer-link está inativo, o nó escravo entra no período de silêncio. Os pacotes keepalive recebidos durante o período de silêncio serão ignorados e não serão processados. Os pacotes keepalive recebidos após o período de silêncio serão processados. O período de silêncio é esperar que os pacotes keepalive no link sejam recebidos e enviados completamente, para evitar a detecção falsa devido ao atraso do pacote.

    Tabela 13 -14 Configure o tempo de silêncio do pacote Keepalive

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração de domínio MLAG. mlag domain domain-id -
    Configure o tempo de silêncio do pacote Keepalive keepalive quiet-time mseconds Opcional Por padrão, o período de silêncio do pacote Keepalive é de 1000ms e o intervalo de valores do tempo de silêncio é de 1 a 10.000ms.

    Configurar o peer-link

    Condição de configuração

    Antes de configurar o Peer-link, primeiro conclua a seguinte tarefa:

    • Criar um domínio MLAG

    Configurar a interface de agregação L2 como porta peer-link

    Peer-link é um link de agregação de link conectado diretamente entre dois dispositivos MLAG, que é usado para interagir com pacotes de protocolo MLAG e transmitir parte do tráfego de dados.

    Tabela 13 -15 Configurar a interface de agregação L2 como porta Peer-Link

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface de agregação L2 interface link-aggregation link-aggregation-id -
    Configure a interface de agregação L2 como porta Peer-Link mlag peer-link Obrigatório. Por padrão, não configure a porta Peer-Link.

    Configurar a porta MLAG

    Condição de configuração

    Antes de configurar a porta MLAG, primeiro complete a seguinte tarefa:

    • Criar um domínio MLAG

    Configurar a porta MLAG

    Para fornecer confiabilidade e evitar loops no processo de configuração, em dois nós de emparelhamento MLAG, configure o acoplamento do grupo de agregação com o mesmo grupo de convergência no DHD como o mesmo ID de porta MLAG para formar um grupo de agregação de link entre dispositivos.

    Tabela 13 -16 Configurar a porta MLAG

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Entre no modo de configuração da interface de agregação L2 interface link-aggregation link-aggregation-id -
    Configurar a porta MLAG mlag group mlag-id Obrigatório. Por padrão, não configure a porta MLAG e o ID da porta MLAG é 1-1000.

    Sugere-se configurar o grupo de link aggregation como o grupo de agregação dinâmica.

    Configurar a Orphan Port

    Condição de configuração

    Antes de configurar a Orphan Port, primeiro conclua a seguinte tarefa:

    • Criar um domínio MLAG

    Configure a Orphan Port do nó SLAVE como desligamento quando o peer-link falha, mas o Keepalive é normal

    Por padrão, quando o link de peer falha, mas keepalive é normal, todas as portas MLAG do nó escravo serão configuradas para o estado de desligamento, mas as portas órfãs não serão configuradas para o estado de desligamento. Se você deseja definir algumas portas órfãs para o estado de desligamento, você precisa configurar este comando para essas portas órfãs

    Tabela 13 -17 Configure a porta órfã do nó escravo para desligar quando o Peer-link falhar, mas o Keepalive é normal

    Etapa Comando Descrição
    Entre no modo de configuração global. configure terminal -
    Modo de configuração da interface Ethernet L2 interface interface-name Opcional. Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas na porta atual. Depois de entrar no modo de configuração da interface de agregação L2, a configuração subsequente entra em vigor apenas no grupo de agregação.
    Entre no modo de configuração da interface de agregação L2 interface link-aggregation link-aggregation-id
    Configure a Orphan Port do nó escravo para desligar quando o Peer-link falhar, mas o Keepalive é normal mlag unpaired orphan-port suspend Opcional Por padrão, não configure o comando.

    Monitoramento e manutenção de MLAG

    Tabela 13 -18 Monitoramento e Manutenção de MLAG

    Comando Descrição
    clear mlag packet keepalive statistics [tx | rx] Limpar estatísticas de pacote de manutenção de atividade MLAG
    clear mlag packet peering statistics [tx | rx] Limpar estatísticas do pacote de emparelhamento MLAG
    clear mlag packet statistics pts [application app-id] [tx | rx] Limpar estatísticas do pacote MLAG PTS
    clear mlag packet sync statistics [tx | rx] Limpar estatísticas do pacote MLAG Sync
    show mlag pts application Exibir todas as informações de serviço da MLAG
    show mlag brief Exibir as informações breves do MLAG
    show mlag group [mlag-id] Exibir as informações do grupo de agregação MLAG
    show mlag keepalive Exibir as informações do MLAG Keepalive
    show mlag node Exibir as informações do nó MLAG
    show mlag packet pts [application [app-id]] statistics Exibe as informações estatísticas dos pacotes PTS recebidos e enviados de todos os serviços MLAG ou serviço MLAG especificado
    show mlag packet keepalive statistics Exiba as informações estatísticas do pacote MLAG Keepalive
    show mlag packet peering statistics Exibir as informações estatísticas de pacotes de emparelhamento MLAG
    show mlag packet sync statistics Exibir as informações estatísticas dos pacotes de sincronização MLAG
    show mlag suspend Exibir as interfaces suspensas
    show mlag up-delay Exibe as interfaces aguardando o tempo limite do temporizador de atraso de ativação

    Exemplo de configuração típica de MLAG

    Configurar funções básicas de MLAG

    Requisitos de rede

    • Todos os dispositivos estão em uma rede L2.

    Topologia de rede

    Figura 13 -1 Configurar funções básicas do MLAG

    Etapas de configuração

    • Passo 1: Adicione a interface ao link aggregation e adicione à vlan. (omitido)
    • Passo 2: Configure o domínio MLAG.

    #Configure Device1 e configure a instância de domínio MLAG.

    Device1#configure terminal 
    Device1(config)#mlag domain 1
    Device1(config-mlag-domain)#node id 1
    Device1(config-mlag-domain)#local-interface vlan 100
    Device1(config-mlag-domain)#peer-address 20.0.0.10
    Device1(config-mlag-domain)#keepalive ip destination 30.0.0.10 source 30.0.0.20
    Device1(config-mlag-domain)#exit

    ##Configure Device2 e configure a instância de domínio MLAG.

    Device2#configure terminal 
    Device2(config)#mlag domain 1
    Device2(config-mlag-domain)#node id 2
    Device2(config-mlag-domain)#local-interface vlan 100
    Device2(config-mlag-domain)#peer-address 20.0.0.20
    Device2(config-mlag-domain)#keepalive ip destination 30.0.0.20 source 30.0.0.10
    Device2(config-mlag-domain)#exit

    Descrição :

    Os IDs de domínio de dois nós MLAG devem ser iguais.

    Os IDs de nó de dois nós MLAG não podem ser iguais.

    • Passo 3: Configure a interface local vlan e a interface ip keepalive.

    #Configure Device1, e configure a interface local vlan e a interface keepalive ip.

    Device1(config)#interface vlan 100 
    Device1(config-if-vlan100)#ip address  20.0.0.10 24 
    Device1(config-if-vlan100)#exit 
    Device1(config)#interface vlan 4094
    Device1(config-if-vlan4094)#ip address  30.0.0.10 24
    Device1(config-if-vlan4094)#exit
    Device1(config)#

    #Configure Device2, e configure a interface local vlan e a interface keepalive ip.

    Device2(config)#interface vlan 100 
    Device2(config-if-vlan100)#ip address  20.0.0.20 24 
    Device2(config-if-vlan100)#exit 
    Device2(config)#interface vlan 4094
    Device2(config-if-vlan4094)#ip address  30.0.0.20 24
    Device2(config-if-vlan4094)#exit
    Device2(config)#
    • Passo 4: Configure o grupo mlag e o grupo de links de pares.

    #Configure Device1 e configure o grupo mlag e o grupo peer-link.

    Device1(config)#interface link-aggregation 1 
    Device1(config-link-aggregation1)#mlag group 1 
    Device1(config-link-aggregation1)#exit
    Device1(config)#  
    Device1(config)# interface link-aggregation 10 
    Device1(config-link-aggregation10)#mlag peer-link 
    Device1(config-link-aggregation1)#exit
    Device1(config)#
    Device1(config)# interface link-aggregation 20 
    Device1(config-link-aggregation20)#mlag group 20
    Device1(config-link-aggregation20)#exit
    >Device1(config)#

    #Configure Device2 e configure o grupo mlag e o grupo peer-link.

    Device2(config)# interface link-aggregation 1 
    Device2(config-link-aggregation1)#mlag group 1 
    Device2(config-link-aggregation1)#exit
    Device2(config)#  
    Device2(config)# interface link-aggregation 10 
    Device2(config-link-aggregation10)#mlag peer-link 
    Device2(config-link-aggregation1)#exit
    Device2(config)#
    Device2(config)# interface link-aggregation 20 
    Device2(config-link-aggregation20)#mlag group 20
    Device2(config-link-aggregation20)#exit
    Device2(config)#

    #Consulte as informações do MLAG no Device1.

    Device1#sho mlag brief 
    MLAG domain id        : 1
    Role FSM status       : SLAVE
    Peering FSM status    : ESTABLISHED
    Keepalive FSM status  : ALIVE
    PTS Service           : ON
    Up-delay              : 90sec
    Local-interface vlan  : 100
    Graceful-restart      : Disabled
    Number of mlags configured : 2
    
    -----------------------------------------------------
    Peer-Link            Link-status Data-status Active-vlans
    -------------------- ----------- ----------- --------
    link-aggregation 10  LINKUP      UP          2-4093
    
    -----------------------------------------------------
    Node    ID   Role    System-MAC      System-Priority
    ------- ---- ------- --------------- ----------------
    Self    1    SLAVE   0001.7a95.000b  32768            
    Remote  2    MASTER  0001.7a95.000b  32768            
    Device1#
    Device1#show  mlag group
    Number of mlags configured : 2
    
    mlag-id: 1 (link-aggregation1)
    --Link status: LINKUP
    --Data status: UP
    --Active mlag vlans: 2-4093
    --Redirect FSM state: INVALID
    --Isolate FSM state: ISOLATE
    --Block FSM state: UNBLOCK
    --Remote interface: link-aggregation 1
    --Remote link status: LINKUP
    --Remote data status: UP
    
    mlag-id: 20 (link-aggregation 20)
    --Link status: LINKUP
    --Data status: UP
    --Active mlag vlans: 2-4093
    --Redirect FSM state: INVALID
    --Isolate FSM state: ISOLATE
    --Block FSM state: UNBLOCK
    --Remote interface: link-aggregation 20
    --Remote link status: LINKUP
    --Remote data status: UP
                 
    Device1#