Configurazione del mapping della VLAN su uno switch dalla CLI

È possibile mappare gli ID C-VLAN agli ID S-VLAN per i viaggi dei pacchetti sulla backbone del provider di servizi. Gli ID delle C-VLAN vengono recuperati sull'altro lato della backbone del provider di servizi per essere utilizzati nell'altra sede del cliente. È possibile configurare lo stesso insieme di mapping di VLAN su una porta connessa al cliente su ciascun lato della rete del provider di servizi.

Tunneling VLAN

Il tunneling VLAN è un miglioramento della VLAN QinQ o nidificata o della funzione VLAN in modalità cliente. Consente ai provider di servizi di utilizzare una singola VLAN per supportare i clienti che dispongono di più VLAN, preservando gli ID VLAN e mantenendo la separazione del traffico nelle diverse VLAN dei clienti. Questa funzione è nota come double tagging o QinQ perché, oltre al tag 802.1Q standard, noto anche come C-VLAN, lo switch aggiunge un secondo tag ID, noto come S-VLAN, per inoltrare il traffico sulla rete. Su un'interfaccia edge, ossia un'interfaccia in cui una rete del cliente è connessa allo switch edge del provider, le C-VLAN vengono mappate sulle S-VLAN e i tag C-VLAN originali vengono conservati come parte del payload. I frame senza tag vengono eliminati.

Quando si invia un frame su un'interfaccia senza tag edge, il frame viene incapsulato con un altro layer del tag S-VLAN a cui è mappato l'ID C-VLAN originale. Pertanto, i pacchetti trasmessi su frame di interfacce non perimetrali hanno un doppio tag, con un tag S-VLAN esterno e un tag C-VLAN interno. Il tag S-VLAN viene mantenuto mentre il traffico viene inoltrato tramite l'infrastruttura di rete del provider di servizi. Su un dispositivo in uscita, il tag S-VLAN viene rimosso quando si invia un frame su un'interfaccia edge. I frame senza tag vengono eliminati.

La funzione di tunneling della VLAN usa un set di comandi diverso dall'implementazione QinQ o Nested VLAN originale e aggiunge la seguente funzionalità oltre all'implementazione originale:

• Fornisce più mapping di diverse C-VLAN a S-VLAN separate per interfaccia edge.
• Consente di configurare un'azione di rilascio per alcune C-VLAN ricevute sulle interfacce edge.
• Consente di configurare l'azione per le C-VLAN non mappate in modo specifico a una S-VLAN (drop o mapping su alcune S-VLAN).
• Consente la configurazione globale e per NNI (porte backbone) che è l'Ethertype del tag S-VLAN. Nella precedente implementazione QinQ, per un tag S-VLAN era supportato solo l'Ethertype 0x8100.

È necessario creare e specificare la S-VLAN sul dispositivo prima di configurarla su un'interfaccia come S-VLAN. Se la VLAN non esiste, il comando ha esito negativo.

L'inoltro IPv4 o IPv6 e il tunneling VLAN si escludono a vicenda. Ciò significa che se è abilitato l'inoltro IPv4 o IPv6, non è possibile impostare un'interfaccia sulla modalità di tunneling VLAN. Se un'interfaccia è impostata sulla modalità tunneling VLAN, non sarà possibile abilitare l'inoltro IPv4 e IPv6 su tale dispositivo.

Anche le seguenti funzioni si escludono a vicenda con la funzione di tunneling VLAN:

• Auto Voice VLAN
• Auto Smartport
• VLAN voce

Impossibile definire le interfacce IPv4 e IPv6 su VLAN contenenti interfacce perimetrali.

Le seguenti funzioni di layer 2 non sono supportate sulle VLAN contenenti interfacce di edge:

• Snooping IGMP (Internet Group Management Protocol) o MLD (Multicast Listener Discovery)
• Snooping DHCP (Dynamic Host Configuration Protocol)
• IPv6 First Hop Security

Le seguenti funzioni non sono supportate sulle interfacce edge o UNI:

• Assegnazione VLAN RADIUS (Remote Authentication Dial-In User Service)
• VLAN 802.1x
• SPAN (Switch Port Analyzer) o RSPAN (Remote SPAN) - Come porta di destinazione con la parola chiave network o come porta di destinazione della porta di riflettore con la parola chiave network o la porta di riflettore.

L'implementazione QinQ originale (comandi relativi alla modalità cliente) continua a esistere insieme alla nuova implementazione del tunneling VLAN. La modalità porta del cliente è un caso particolare della modalità porta tunnel con mappatura VLAN e non richiede l'allocazione di risorse TCAM (Ternary Content Addressable Memory).

Mapping uno-a-uno VLAN

Oltre al tunneling VLAN, lo switch supporta il mapping uno a uno della VLAN. Nel mapping uno-a-uno della VLAN, su un'interfaccia edge, le C-VLAN vengono mappate sulle S-VLAN e i tag C-VLAN originali vengono sostituiti dalla S-VLAN specificata. I frame senza tag vengono eliminati.

Quando si invia un frame su un'interfaccia senza tag edge, il frame viene inviato con un singolo tag VLAN, ossia quello della VLAN S specificata. Il tag S-VLAN viene mantenuto mentre il traffico viene inoltrato attraverso la rete di infrastruttura del provider di servizi. Sul dispositivo in uscita, il tag S-VLAN viene sostituito dal tag C-VLAN quando un frame viene inviato a un'interfaccia edge.

Nella modalità uno-a-uno del mapping della VLAN, un'interfaccia appartiene a tutte le S-VLAN per cui il mapping su questa interfaccia è definito come interfaccia con tag di uscita. L'ID della porta di interfaccia VLAN (PVID) è impostato su 4095.

Prerequisiti per la configurazione del mapping VLAN sullo switch:

1. Creare le VLAN. per informazioni su come configurare le VLAN sullo switch dalla CLI, fare clic qui.
2. Disabilitare il routing IP sullo switch. per informazioni su come configurare le impostazioni di routing IP sullo switch dalla CLI, fare clic qui.
3. Configurare le allocazioni TCAM sullo switch. per informazioni su come configurare l'allocazione delle risorse TCAM del router per il tunneling e la mappatura della VLAN dalla CLI, fare clic qui. 

Nota: L'applicazione del tunneling VLAN su un'interfaccia richiede l'uso delle regole TCAM del router. Dovrebbero essere presenti quattro voci TCAM per mappatura. Se il numero di risorse TCAM del router non è sufficiente, il comando ha esito negativo.

1. Disabilitare lo Spanning Tree Protocol (STP) sulle interfacce che si desidera configurare. Per istruzioni su come configurare l'interfaccia STP sullo switch dalla CLI, fare clic qui. 
2. Disabilitare il protocollo GVRP (Generic Attribute Registration Protocol) sull'interfaccia. per informazioni su come configurare le impostazioni GVRP sullo switch dalla CLI, fare clic qui. 

Dispositivi interessati

• Serie Sx350
• Serie SG350X
• Serie Sx550X

Versione del software

• 2.3.0.130

Configurazione del mapping della VLAN

La configurazione del mapping del tunnel VLAN sullo switch comporta le seguenti azioni:

• Crea un elenco di controllo di accesso (ACL) per mappare le VLAN dall'elenco di VLAN all'ID VLAN esterno.
• Aggiunge all'ACL una regola per ciascuna VLAN nell'elenco.
• Riserva il posto in Tunnel Termination and Interface (TTI) per questo ACL. Se non c'è abbastanza spazio libero nel TTI, il comando ha esito negativo.

Nota: L'ACL può essere associato sull'interfaccia in un secondo momento tramite la configurazione del mapping uno-a-uno della VLAN.

• Aggiunge l'interfaccia del perimetro alla VLAN specificata nell'ID della VLAN esterna.
• L'ACL contiene le regole V+1, dove V è il numero di VLAN C specificate.

Per configurare la mappatura del tunnel su una o più interfacce specifiche dello switch, attenersi alla procedura seguente:

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco/cisco. Se sono stati configurati un nuovo nome utente o password, immettere queste credenziali.

Nota: per informazioni su come accedere alla CLI di uno switch per PMI tramite SSH o Telnet, fare clic qui.

Nota: i comandi possono variare a seconda del modello di switch in uso. Nell'esempio, è possibile accedere allo switch SG350X in modalità Telnet.

Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

SG350X#configure

Passaggio 3. In modalità di configurazione globale, accedere al contesto di configurazione interfaccia immettendo quanto segue:

SG350X(config)#interface [id-interfaccia]

Le opzioni sono:

• interface-id: per specificare l'ID dell'interfaccia da configurare.

Nota: nell'esempio, viene configurata l'interfaccia ge1/0/48.

Passaggio 4. Per configurare il tunneling selettivo su un'interfaccia edge, immettere quanto segue:

SG350X (config-if)#switchport vlan-mapping tunnel [vlan-list] | default] [outer-vlan-id | goccia]

I parametri sono:

• vlan-list: per specificare le C-VLAN per il tunneling selettivo. Gli ID VLAN nell'elenco sono separati da una virgola o da una serie di ID VLAN separati da un trattino (ad esempio 1,2,3-5). L'intervallo è compreso tra 1 e 4094.
• default - Specifica l'elenco delle VLAN C diverse da quelle non specificate. Se non è configurata un'azione predefinita, i frame di input con C-VLAN non specificate vengono scartati.
• outer-vlan-id: per specificare il tag S-VLAN esterno aggiunto. L'intervallo del tag S-VLAN è compreso tra 1 e 4094.
• drop - Specifica che i frame con le C-VLAN specificate vengono scartati.

Nota: Nell'esempio viene mostrato come configurare il tunneling selettivo sull'interfaccia ge1/0/48 in modo che il traffico con ID C-VLAN 30 e 40 venga tunneling con ID S-VLAN 10.

Suggerimento rapido: È possibile definire alcune configurazioni di porte switch sulla stessa interfaccia solo se gli argomenti dell'elenco VLAN non contengono ID VLAN comuni.

Passaggio 5. (Facoltativo) Ripetere il passaggio 4 per configurare altre impostazioni di Tunnel Mapping sulla porta o i passaggi 3 e 4 per configurare altre porte.

Nota: nell'esempio, il traffico in entrata sull'interfaccia ge1/0/48 dalla VLAN 50 viene scartato.

Passaggio 6. (Facoltativo) Per eliminare le impostazioni di mapping del tunnel configurate su un'interfaccia specifica, immettere quanto segue:

SG350X (config-if)#no switchport vlan-mapping tunnel [vlan-list] | predefinito]

Passaggio 7. Per tornare in modalità di esecuzione privilegiata, immettere il comando end:

SG350X(config-if)#end

A questo punto, le impostazioni di VLAN Tunnel Mapping devono essere configurate correttamente su una o più porte specifiche dello switch dalla CLI.

Configurazione del mapping uno-a-uno della VLAN

In Mappatura VLAN uno-a-uno, è possibile configurare l'ID VLAN C che entra nello switch dalla rete del cliente e l'ID VLAN S assegnato su una porta specifica dello switch. Nella modalità uno-a-uno del mapping della VLAN, un'interfaccia appartiene a tutte le S-VLAN il cui mapping sull'interfaccia è definito come interfaccia con tag di uscita. Il PVID dell'interfaccia è impostato su 4095.

Nella modalità Mappatura VLAN uno a uno, l'interfaccia usa un ACL in entrata e un ACL in uscita. Il mapping tra VLAN uno a uno aggiunge regole a questi ACL. Gli ACL seguenti vengono applicati per:

• ACL in ingresso (in TTI):
• Sostituire il C-VLAN-ID specificato con S-VLAN-ID.
• Elimina frame con ID C-VLAN non specificati.
• Elimina i frame di input senza tag.
• ACL in uscita (in TCAM):
• Sostituire S-VLAN-ID con C-VLAN-ID.

Il mapping uno-a-uno della VLAN aggiunge regole a questi ACL e questi sono associati all'interfaccia solo se la sua modalità è Mapping di VLAN uno-a-uno. L'ACL in entrata contiene le regole V+1 e l'ACL in uscita contiene le regole V, dove V è il numero di VLAN C specificate.

Per configurare il mapping della VLAN uno-a-uno su un'interfaccia o su interfacce specifiche dello switch, attenersi alla procedura seguente:

Passaggio 1. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

SG350X#configure

Passaggio 2. In modalità di configurazione globale, accedere al contesto di configurazione interfaccia immettendo quanto segue:

SG350X(config)#interface [id-interfaccia]

Le opzioni sono:

• interface-id: per specificare l'ID dell'interfaccia da configurare.

Nota: Nell'esempio viene scelta l'interfaccia ge1/0/25.È possibile configurare alcune impostazioni di conversione VLAN One-to-One sulla stessa interfaccia.

Passaggio 3. Per configurare la conversione VLAN uno-a-uno su un'interfaccia edge, immettere quanto segue:

SG350X (config-if)#switchport vlan-mapping uno-a-uno [vlan-id] [convertito-vlan-id]

I parametri sono:

• vlan-id: per specificare la VLAN esterna (E-VLAN) per la conversione VLAN uno-a-uno. L'intervallo è compreso tra 1 e 4094.
• translation-vlan-id: per specificare la VLAN B in sostituzione della VLAN E. L'intervallo è compreso tra 1 e 4094.

Nota: Nell'esempio, la VLAN 10 viene immessa come VLAN di origine e la VLAN 30 viene usata come VLAN tradotta.

Passaggio 4. (Facoltativo) Ripetere il passaggio 3 per configurare altre impostazioni di conversione uno a uno sulla porta o i passaggi 2 e 3 per configurare altre porte.

Nota: Nell'esempio, i nuovi ID VLAN di origine e convertiti sono configurati sulla stessa interfaccia GE25.

Passaggio 5. (Facoltativo) Per rimuovere le impostazioni di conversione VLAN uno-a-uno configurate sull'interfaccia, immettere quanto segue:

SG350X (config-if)#no switchport vlan-mapping uno-a-uno [vlan-id]

Passaggio 6. Per tornare in modalità di esecuzione privilegiata, immettere il comando end:

SG350X(config-if)#end

Le impostazioni del mapping uno-a-uno della VLAN sono state configurate correttamente su una o più porte specifiche dello switch dalla CLI.