主要目标是保证 CE 交换机之间的通信,无需任何 PE 重新配置。
接口 GE0/0/1、GE0/0/2、GE0/0/3、GE0/0/4 将连接到客户交换机。客户决定如何在 CE 交换机上配置端口到 PE(Trunk 或 Access 以及哪些 VLAN)。
例如:变体 1 - 客户端将交换机配置为 TRUNK(例如 vlan 10、20、30) - 流量在 CE 交换机之间传输,无需重新配置我们的交换机。
变体 2 - 客户端将所有端口配置为 Access Vlan 70 - 流量在 CE 交换机之间传输,无需重新配置我们的交换机。
将所有端口配置为中继。
使 VLAN 70 本机(未标记)。
我可能弄错了,但根据我从问题描述中了解到的情况,这可能是QinQ的情况。
switchport access <serviceproviderVLAN>和switchport mode tunnel 在这里写了它,但是对于一个完全不同的用例:
这仅适用于每个客户交换机可以访问任何 VLAN 的情况。
只需创建中继端口并标记所有 VLAN 或将其中一个保留为未标记。
如果您不知道客户可能会获得哪些 VLAN,并且您希望核心交换机能够处理任何未来情况:除非您放弃所有安全预防措施,否则这是不可能的 - 使用 MVRP 和自动 VLAN 学习,您需要信任所有连接100% 切换,你不能。如果一个客户在其两个边缘交换机之间创建一个新的 VLAN,任何其他客户也可以加入该 VLAN。
如果您需要相互保护客户 VLAN,则除了在交换机上配置每个 VLAN 之外别无选择。据我所知,没有适用于 L2/VLAN 的 802.1X 变体——或者有吗?