Configuração da marcação de VLAN
As LANs virtuais (VLANs) permitem que os arquitetos de rede segmentem LANs em diferentes domínios de broadcast com base em agrupamentos lógicos. O tópico abaixo descreve a configuração dessas VLANs marcadas, IDs VLAN e tipos de interface Ethernet com suporte em firewalls da Série SRX.
Entendendo as LANs virtuais
Uma LAN é um único domínio de broadcast. Quando o tráfego é transmitido, todos os hosts dentro da LAN recebem o tráfego de transmissão. Uma LAN é determinada pela conectividade física dos dispositivos dentro do domínio.
Dentro de uma LAN tradicional, os hosts são conectados por um hub ou repetidor que propaga qualquer tráfego de entrada em toda a rede. Cada host e seus hubs de conexão ou repetidores compõem um segmento de LAN. Os segmentos de LAN são conectados por meio de switches e pontes para formar o domínio de broadcast da LAN. A Figura 1 mostra uma topologia de LAN típica.
típica
As LANs virtuais (VLANs) permitem que os arquitetos de rede segmentem LANs em diferentes domínios de broadcast com base em agrupamentos lógicos. Como os agrupamentos são lógicos, os domínios de broadcast não são determinados pela conectividade física dos dispositivos na rede. Os hosts podem ser agrupados de acordo com uma função lógica, para limitar a transmissão de tráfego dentro da VLAN apenas aos dispositivos para os quais o tráfego é desejado.
Suponha que uma rede corporativa tenha três grandes organizações: engenharia, vendas e suporte. Usando a marcação VLAN, os hosts em cada organização podem ser marcados com um identificador VLAN diferente. O tráfego enviado para o domínio de broadcast é então verificado no identificador de VLAN e transmitido apenas para os dispositivos na VLAN apropriada. A Figura 2 mostra uma topologia VLAN típica.
típica
Veja também
Tipos de interface de Ethernet e IDs VLAN suportados nos dispositivos da Série SRX
A Tabela 1 lista o intervalo de ID de VLAN por tipo de interface suportado em firewalls da Série SRX:
Tipo de interface |
Intervalo de ID VLAN do tipo de interface |
|---|---|
Ethernet de 10 Gigabits de 2 portas |
1 a 4094 |
Ethernet de 10 Gigabits |
1 a 4094 |
Ethernet Gigabit de 16 portas |
1 a 4094 |
Ethernet Gigabit de 24 portas |
1 a 4094 |
Ethernet agregada para ethernet rápida |
1 a 1023 |
Agregar ethernet para Gigabit Ethernet |
1 a 4094 |
Gigabit Ethernet |
1 a 4094 |
Gerenciamento e interfaces internas de Ethernet |
1 a 1023 |
Nos dispositivos SRX210, SRX220, SRX240, SRX320 e SRX340, no 1-GE SFP Mini-PIM, o VLAN ID 4093 fica sob a faixa de endereçoS VLAN reservada. (O suporte da plataforma depende da versão do Junos OS em sua instalação.) Por causa disso, você não será capaz de configurar a ID de VLAN a partir deste intervalo.
Veja também
Configuração da marcação de VLAN
Você pode configurar dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550HM para receber e encaminhar quadros de tag única, quadros de tag dupla ou uma mistura de quadros single-tag e dual-tag.
Consulte a Tabela 2 para VLANs flexíveis.
| Número de tags | VLAN ID |
|---|---|
0 (sem registro) |
Nativo |
1 (Taged) |
Único |
2 (Tag dupla) |
Dual |
Este tópico inclui as seguintes seções:
- Configuração do enquadramento de tag única
- Configuração de tags duplas
- Configuração de tags mistas
- Configuração do suporte de tags mistas para pacotes não registrados
Configuração do enquadramento de tag única
Para configurar um dispositivo para receber e encaminhar quadros de tag única com tags VLAN de 802.1Q, inclua a vlan-tagging declaração no nível de [edit interfaces interface-name] hierarquia:
[edit interfaces interface-name] vlan-tagging;
SRX5400, SRX5600 e SRX5800 apenas suportam o enquadramento de tag única.
Configuração de tags duplas
Para configurar o dispositivo para receber e encaminhar quadros de dupla tag com tags VLAN de 802.1Q, inclua a flexible-vlan-tagging declaração no nível de [edit interfaces interface-name] hierarquia:
[edit interfaces interface-name] flexible-vlan-tagging;
Configuração de tags mistas
A tag mista é suportada em interfaces de ethernet de dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550HM. A tag mista permite configurar duas interfaces lógicas na mesma porta Ethernet, uma com estrutura de tag única e outra com configuração de tag dupla.
Para configurar tags mistas, inclua a flexible-vlan-tagging declaração no nível de [edit interfaces ge-fpc/pic/port ] hierarquia. Você também deve incluir a vlan-tags declaração com inner e outer opções ou a vlan-id declaração no nível de [edit interfaces ge-fpc/pic/port unit logical-unit-number] hierarquia:
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
Quando você configura o MTU da interface física para tags mistas, você deve aumentar o MTU para 4 bytes mais do que o valor mtu que você configuraria para uma interface padrão com tags VLAN.
Por exemplo, se o valor do MTU estiver configurado para ser 1018 em uma interface com tags VLAN, o valor de MTU em uma interface de tags VLAN flexível deve ser 1022 — 4 bytes a mais. Os 4 bytes adicionais acomodam a inclusão futura de uma configuração de tag VLAN empilhada na mesma interface física.
O exemplo a seguir configura tags mistas. Interfaces lógicas de tag dupla e tag única estão sob a mesma interface física:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
Configuração do suporte de tags mistas para pacotes não registrados
Você pode configurar o suporte de tags mistas para pacotes não registrados em uma porta. Pacotes não conectados são aceitos na mesma porta com tags VLAN mistas. Para aceitar pacotes não registrados, inclua a native-vlan-id declaração e a flexible-vlan-tagging declaração no nível de [edit interfaces interface-name] hierarquia:
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
Ele flexible-vlan-tagging só é suportado sem encapsulamento ou encapsulamento de VLAN VPLS.
A interface lógica em que pacotes não conectados devem ser recebidos deve ser configurada com o mesmo ID VLAN nativo que o configurado na interface física. Para configurar a interface lógica, inclua a vlan-id declaração (que corresponde à native-vlan-id declaração na interface física) no nível de [edit interfaces interface-name unit logical-unit-number] hierarquia.
O exemplo a seguir configura pacotes não registrados a serem mapeados para a unidade lógica número 0:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}