复杂组网模式

一、反代透明组网：

二、流量二次过waf组网图：

http://www.360doc.com/content/19/1223/10/56316955_881529757.shtml
将SW1和SW2间的互联链路设置成trunk，并allow-pass vlan all
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan all
vlan默认二层隔离三层互通
vlan互通有诸多方法可以实现，这里只展示一种
https://baijiahao.baidu.com/s?id=1627869451704710992&wfr=spider&for=pc

​

三、QINQ环境搭建：

QinQ的工作原理

如 图 1-1 所示，QinQ报文在运营商网络中传输时带有双层VLAN Tag：

• •  内层 VLAN Tag：为用户的私网 VLAN Tag，对应图中的 Customer VLAN Tag（简称 CVLAN）。

设备依靠该 Tag 在私网中传送报文。

• •  外层 VLAN Tag：为运营商分配给用户的公网 VLAN Tag，对应图中的 Service VLAN Tag（简

称 SVLAN）。设备依靠该 Tag 在公网中传送 QinQ 报文。

 

在公网的传输过程中，设备只根据外层 VLAN Tag 转发报文，而内层 VLAN Tag 将被当作报文的数据部分进行传输。

 

(1)  配置 PE 1
• •  配置端口 Ten-GigabitEthernet1/0/1
# 配置端口为 Trunk 端口，且允许 VLAN 100 和 VLAN 10～70 的报文通过。
<PE1> system-view
[PE1] interface ten-gigabitethernet 1/0/1
[PE1-Ten-GigabitEthernet1/0/1] port link-type trunk
[PE1-Ten-GigabitEthernet1/0/1] port trunk permit vlan 100 10 to 70
# 配置端口的缺省 VLAN 为 VLAN 100。
[PE1-Ten-GigabitEthernet1/0/1] port trunk pvid vlan 100
# 使能端口的 QinQ 功能。
[PE1-Ten-GigabitEthernet1/0/1] qinq enable
[PE1-Ten-GigabitEthernet1/0/1] quit

• •  配置端口 Ten-GigabitEthernet1/0/2
# 配置端口为 Trunk 端口，且允许 VLAN 100 和 VLAN 200 的报文通过。
[PE1] interface ten-gigabitethernet 1/0/2
[PE1-Ten-GigabitEthernet1/0/2] port link-type trunk
[PE1-Ten-GigabitEthernet1/0/2] port trunk permit vlan 100 200
# 配置外层 VLAN Tag 的 TPID 值为 0x8200。
[PE1-Ten-GigabitEthernet1/0/2] qinq ethernet-type service-tag 8200
[PE1-Ten-GigabitEthernet1/0/2] quit


(2)  配置 PE 2
• •  配置端口 Ten-GigabitEthernet1/0/2
# 配置端口为 Trunk 端口，且允许 VLAN 100 和 VLAN 200 的报文通过。
[PE2] interface ten-gigabitethernet 1/0/2
[PE2-Ten-GigabitEthernet1/0/2] port link-type trunk
[PE2-Ten-GigabitEthernet1/0/2] port trunk permit vlan 100 200
# 配置外层 VLAN Tag 的 TPID 值为 0x8200。
[PE2-Ten-GigabitEthernet1/0/2] qinq ethernet-type service-tag 8200
[PE2-Ten-GigabitEthernet1/0/2] quit

• •  配置端口 Ten-GigabitEthernet1/0/3
# 配置端口为 Trunk 端口，且允许 VLAN 100 和 VLAN 10～70 的报文通过。
[PE2] interface ten-gigabitethernet 1/0/3
[PE2-Ten-GigabitEthernet1/0/3] port link-type trunk
[PE2-Ten-GigabitEthernet1/0/3] port trunk permit vlan 100 10 to 70
# 配置端口的缺省 VLAN 为 VLAN 100。
[PE2-Ten-GigabitEthernet1/0/3] port trunk pvid vlan 100
# 使能端口的 QinQ 功能。
[PE2-Ten-GigabitEthernet1/0/3] qinq enable
[PE2-Ten-GigabitEthernet1/0/3] quit

【注意事项】：
1、配置的vlan 多，需要细心按照步骤配置
2、如出现不通，使用命令（display stp brief）查看是否环路，被生成树阻断
3、配置trunk模式最好将接口 vlan1 禁掉（undo port trunk permit vlan 1）

参考华三交换机配置手册——H3C-S5820V2-配置手册