Exemplo: Configuração de PVLANs com portas secundárias de tronco VLAN e portas de acesso promíscuas em um switch da Série QFX
Este exemplo mostra como configurar portas secundárias de porta-malas VLAN e portas de acesso promíscuas como parte de uma configuração de VLAN privada. As portas de porta-malas VLAN secundárias transportam tráfego VLAN secundário.
Este exemplo usa o Junos OS para switches que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS). Para obter mais informações sobre o ELS, veja Usando a CLI de software de camada 2 aprimorada.
Para uma determinada VLAN privada, uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN privada (primária) diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.
Para configurar uma porta tronco para transportar tráfego VLAN secundário, use as declarações isoladas e interface , conforme mostrado em etapas 12 e 13 da configuração de exemplo para o Switch 1.
Quando o tráfego é retirado de uma porta-tronco VLAN secundária, normalmente ele carrega a tag da VLAN primária da qual a porta secundária é membro. Se você quiser que o tráfego que se egressa de uma porta-tronco VLAN secundária mantenha sua tag VLAN secundária, use a declaração de vlan-id secundária.
Uma porta de acesso promíscua transporta tráfego sem registro e pode ser um membro de apenas uma VLAN primária. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Esse tráfego transporta as tags de VLAN secundárias apropriadas quando ele se egresso das portas VLAN secundárias se a porta VLAN secundária for uma porta-tronco.
Para configurar uma porta de acesso promíscua, use a declaração promíscua , conforme mostrado em etapa 12 da configuração de exemplo para o Switch 2.
Se o tráfego entrar em uma porta VLAN secundária e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dois dispositivos QFX
Junos OS Versão 12.2 ou posterior para a Série QFX
Visão geral e topologia
Figura 1 mostra a topologia usada neste exemplo. O Switch 1 inclui várias VLANs privadas primárias e secundárias e também inclui duas portas de tronco VLAN secundárias configuradas para transportar VLANs secundárias que são membros das VLANs primárias pvlan100 e pvlan400.
O Switch 2 inclui as mesmas VLANs privadas. O número mostra o xe-0/0/0 no Switch 2 configurado com portas de acesso promíscuas ou portas de tronco promíscuas. A configuração de exemplo incluída aqui configura essa porta como uma porta de acesso promíscua.
O número também mostra como o tráfego fluiria após a entrada nas portas secundárias do porta-malas VLAN no Switch 1.
Tabela 1 e Tabela 2 listar as configurações para a topologia de exemplo em ambos os switches.
| Componente | Descrição |
|---|---|
pvlan100, ID 100 |
VLAN primário |
pvlan400, ID 400 |
VLAN primário |
comm300, ID 300 |
VLAN da comunidade, membro do pvlan100 |
comm600, ID 600 |
VLAN da comunidade, membro do pvlan400 |
isolação vlan-id 200 |
VLAN ID para VLAN isolada, membro do pvlan100 |
isolamento — vlan-id 500 |
ID de VLAN para VLAN isolado, membro do pvlan400 |
xe-0/0/0,0 |
Porta-tronco VLAN secundária para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/1,0 |
Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/2,0 |
Porta de acesso isolada para pvlan100 |
xe-0/0/3,0 |
Porta de acesso à comunidade para comm300 |
xe-0/0/5,0 |
Porta de acesso isolada para pvlan400 |
xe-0/0/6,0 |
Porta de tronco da comunidade para comm600 |
| Componente | Descrição |
|---|---|
pvlan100, ID 100 |
VLAN primário |
pvlan400, ID 400 |
VLAN primário |
comm300, ID 300 |
VLAN da comunidade, membro do pvlan100 |
comm600, ID 600 |
VLAN da comunidade, membro do pvlan400 |
isolação vlan-id 200 |
VLAN ID para VLAN isolada, membro do pvlan100 |
isolamento — vlan-id 500 |
ID de VLAN para VLAN isolado, membro do pvlan400 |
xe-0/0/0,0 |
Porta de acesso promíscua para VLANs primárias pvlan100 |
xe-0/0/1,0 |
Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/2,0 |
Porta-tronco secundária para VLAN isolada, membro do pvlan100 |
xe-0/0/3,0 |
Porta de acesso à comunidade para comm300 |
xe-0/0/5,0 |
Porta de acesso isolada para pvlan400 |
xe-0/0/6,0 |
Porta de acesso à comunidade para comm600 |
Configuração das PVLANs no Switch 1
Configuração rápida da CLI
Para criar e configurar rapidamente as PVLANs no Switch 1, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimento
Procedimento passo a passo
Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:
Configure as interfaces e os modos de porta:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Crie as VLANs primárias:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:As VLANs primárias devem ser sempre etiquetadas VLANs, mesmo que existam em apenas um dispositivo.
Configure as VLANs primárias para serem privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure a porta de tronco PVLAN para transportar o tráfego VLAN privado entre os switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Crie o VLAN comm300 secundário com VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure o VLAN primário para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure a interface para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Crie um VLAN comm600 secundário com VLAN ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure o VLAN primário para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure a interface para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure as VLANs isoladas interswitch:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Ao configurar uma porta-tronco VLAN secundária para transportar uma VLAN isolada, você também deve configurar um isolante vlan-id. Isso é verdade, mesmo que a VLAN isolada exista apenas em um switch.
Habilite a porta do porta-tronco xe-0/0/0 para transportar VLANs secundárias para as VLANs primárias:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure a porta do tronco xe-0/0/0 para transportar comm600 (membro do pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:Você não precisa configurar explicitamente o xe-0/0/0 para transportar o tráfego VLAN isolado (tags 200 e 500) porque todas as portas isoladas em pvlan100 e pvlan400 — incluindo xe-0/0/0,0 — estão automaticamente incluídas nas VLANs isoladas criadas quando você configura
isolation-vlan-id 200eisolation-vlan-id 500. .Configure xe-0/0/2 e xe-0/0/6 para ficar isolado:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Confira os resultados da configuração no Switch 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuração das PVLANs no Switch 2
A configuração do Switch 2 é quase idêntica à configuração do Switch 1. A diferença mais significativa é que o xe-0/0/0 no Switch 2 é configurado como uma porta-tronco promíscua ou uma porta de acesso promíscua, como Figura 1 mostra. Na configuração a seguir, o xe-0/0/0 é configurado como uma porta de acesso promíscua para o pvlan 100 VLAN primário.
Se o tráfego entrar na porta habilitada para VLAN e se egressar em uma porta de acesso promíscua, as etiquetas VLAN serão lançadas na saída e o tráfego não estiver registrado nesse ponto. Por exemplo, o tráfego para entradas comm600 na porta-tronco de VLAN secundária configurada no xe-0/0/0,0 no Switch 1 e transporta a tag 600 conforme é encaminhada pelo VLAN secundário. Quando ele se esvai do xe-0/0/0,0 no Switch 2, ele será desativado se você configurar o xe-0/0/0,0 como uma porta de acesso promíscua como mostrado neste exemplo. Se, em vez disso, você configurar xe-0/0/0,0 como uma porta-tronco promíscua (tronco de modo de porta), o tráfego para comm600 carrega sua tag VLAN primária (400) quando ele se egresso.
Configuração rápida da CLI
Para criar e configurar rapidamente as PVLANs no Switch 2, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimento
Procedimento passo a passo
Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:
Configure as interfaces e os modos de porta:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Crie as VLANs primárias:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure as VLANs primárias para serem privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure a porta de tronco PVLAN para transportar o tráfego VLAN privado entre os switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Crie o VLAN comm300 secundário com VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure o VLAN primário para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure a interface para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Crie um VLAN comm600 secundário com VLAN ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure o VLAN primário para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure a interface para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Configuração das PVLANs no Switch 1
Configure as VLANs isoladas interswitch:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure a porta de acesso xe-0/0/0 para ser promíscua para o pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Uma porta de acesso promíscua pode ser um membro de apenas uma VLAN primária.
Configure xe-0/0/2 e xe-0/0/6 para ficar isolado:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Confira os resultados da configuração no Switch 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se a VLAN privada e as VLANs secundárias foram criadas
- Verificação das entradas da tabela de comutação da Ethernet
Verificando se a VLAN privada e as VLANs secundárias foram criadas
Propósito
Verifique se a VLAN primária e as VLANs secundárias foram criadas corretamente no Switch 1.
Ação
Use o show vlans comando:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
A saída mostra que as VLANs privadas foram criadas e identifica as interfaces e VLANs secundárias associadas a elas.
Verificação das entradas da tabela de comutação da Ethernet
Propósito
Verifique se as entradas da tabela de comutação Ethernet foram criadas para o pvlan100 VLAN primário.
Ação
Mostre as entradas da tabela de comutação Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0