Exemplo: Configuração de uma interface IRB em uma VLAN privada em um único roteador da Série MX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos roteadores da Série MX permite que o administrador divida um domínio de broadcast em vários subdomains de transmissão isolados, essencialmente colocando uma VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma interface integrada de roteamento e ponte (IRB) em um domínio de ponte PVLAN associado a uma instância de switch virtual em um único roteador da Série MX:
A configuração de uma VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportada.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um roteador da Série MX no modo LAN aprimorado.
Versão 15.1 ou posterior do Junos OS para roteadores da Série MX
Antes de começar a configurar uma PVLAN, certifique-se de ter:
Criei e configurou as VLANs necessárias. Veja a configuração do encapsulamento VLAN e do VLAN estendido e a habilitação da marcação de VLAN.
Roteadores MX240, MX480 e MX960 configurados para funcionar no modo LAN aprimorado, entrando na declaração no nível de hierarquia.
network-services lan[edit chassis]
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e quatro VLANs comunitárias, bem como duas portas isoladas.
Assuma uma implantação de amostra na qual uma VLAN primária nomeada como VP contém portas, p1, p2, t1, t2, i1, i2, cx1 e cx2. Os tipos de porta dessas portas configuradas são os seguintes:
Portas promíscuas = p1, p2
Portas ISL = t1, t2
Portas isoladas = i1, i2
VLAN da comunidade = Cx
Portas comunitárias = cx1, cx2
Uma interface IRB, irb.0, está configurada e mapeada para o domínio de ponte na instância de switch virtual.
Os domínios bridge são provisionados para cada uma das VLANs, ou seja, Vp, Vi e Vcx. Assuma que os domínios da ponte sejam configurados da seguinte forma:
Vp — BD_primary_Vp (as portas contidas são p1, t1, i1, i2, cx1, cx2)
Vi — BD_isolate_Vi (portas contidas são p1, t1, *i1, *i2)
Vcx — BD_community_Vcx (as portas contidas são p1, t1, cx1, cx2)
Os domínios de ponte para VLANs comunitárias, primárias e isoladas são criados automaticamente pelo sistema internamente quando você configura um domínio de ponte com uma interface de tronco, interface de acesso ou link interswitch. Os domínios da ponte contêm o mesmo ID VLAN correspondente às VLANs. Para usar domínios de ponte para PVLANs, você deve configurar os seguintes atributos adicionais:
Configuração
Para configurar uma interface IRB em uma PVLAN, execute essas tarefas:
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN e incluir uma interface IRB em um domínio de ponte PVLAN associado a uma instância de switch virtual, copiar os seguintes comandos e cole-os na janela de terminal do roteador:
Configuração de uma interface IRB
set interfaces irb unit 0 family inet address 22.22.22.1/24
Configuração de portas promíscuas, ISL, isoladas e comunitárias
set interfaces ge-0/0/9 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/9 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/13 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/13 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/12 unit 0 family bridge interface-mode access set interfaces ge-0/0/12 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access set interfaces ge-0/0/1 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/2 unit 0 family bridge interface-mode access set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/3 unit 0 family bridge interface-mode access set interfaces ge-0/0/3 unit 0 family bridge vlan-id 60 set interfaces ge-0/0/4 unit 0 family bridge interface-mode access set interfaces ge-0/0/4 unit 0 family bridge vlan-id 60
Configuração de uma instância de switch virtual com interfaces de domínio bridge
set routing-instances vs-1 instance-type virtual-switch set routing-instances vs-1 interface ge-0/0/1.0 set routing-instances vs-1 interface ge-0/0/2.0 set routing-instances vs-1 interface ge-0/0/3.0 set routing-instances vs-1 interface ge-0/0/4.0 set routing-instances vs-1 interface ge-0/0/9.0 set routing-instances vs-1 interface ge-0/0/10.0 set routing-instances vs-1 interface ge-0/0/12.0 set routing-instances vs-1 interface ge-0/0/13.0 set routing-instances vs-1 bridge-domains bd1
Especifique a interface IRB e os IDs VLAN primários, isolados e comunitários no domínio da ponte
set routing-instances vs1 bridge-domains bd1 vlan-id 100 set routing-instances vs1 bridge-domains bd1 isolated-vlan 10 set routing-instances vs1 bridge-domains bd1 community-vlans [50 60] set routing-instances vs1 bridge-domains bd1 routing-interface irb.0
Procedimento
Procedimento passo a passo
Para configurar o link interswitch (ISL) para um PVLAN, os tipos de porta PVLAN e VLANs secundárias para o PVLAN:
Crie uma interface IRB.
[edit interfaces] user@host# set interfaces irb unit 0 family inet address 22.22.22.1/24
Crie uma porta promíscua para o PVLAN.
[edit interfaces] user@host# set ge-0/0/9 unit 0 family bridge interface-mode trunk user@host# set ge-0/0/9 unit 0 family bridge vlan-id 100
Crie a porta de tronco de enlace interswitch (ISL) para o PVLAN.
[edit interfaces] user@host# set ge-0/0/13 unit 0 family bridge interface-mode trunk inter-switch-link user@host# set ge-0/0/13 unit 0 family bridge vlan-id 100
Crie as portas isoladas para o PVLAN.
[edit interfaces] user@host# set ge-0/0/10 unit 0 family bridge interface-mode access user@host# set ge-0/0/10 unit 0 family bridge vlan-id 10 user@host# set ge-0/0/12 unit 0 family bridge interface-mode access user@host# set ge-0/0/12 unit 0 family bridge vlan-id 10
Crie as portas da comunidade para o PVLAN.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family bridge interface-mode access user@host# set ge-0/0/1 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/2 unit 0 family bridge interface-mode access user@host# set ge-0/0/2 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/3 unit 0 family bridge interface-mode access user@host# set ge-0/0/3 unit 0 family bridge vlan-id 60 user@host# set ge-0/0/4 unit 0 family bridge interface-mode access user@host# set ge-0/0/4 unit 0 family bridge vlan-id 60
Crie uma instância de switch virtual com um domínio de ponte e associe as interfaces lógicas.
[edit routing-instances] user@host# set vs-1 instance-type virtual-switch user@host# set vs-1 interface ge-0/0/1.0 user@host# set vs-1 interface ge-0/0/2.0 user@host# set vs-1 interface ge-0/0/3.0 user@host# set vs-1 interface ge-0/0/4.0 user@host# set vs-1 interface ge-0/0/9.0 user@host# set vs-1 interface ge-0/0/10.0 user@host# set vs-1 interface ge-0/0/12.0 user@host# set vs-1 interface ge-0/0/13.0 user@host# set vs-1 bridge-domains bd1
Especifique a interface IRB, IDs VLAN primários, isolados e comunitários e associe as VLANs com o domínio da ponte.
[edit routing-instances vs1 bridge-domains bd1] user@host# set vlan-id 100 user@host# set isolated-vlan 10 user@host# set community-vlans [50 60] user@host# set routing-interface irb.0
Resultados
Confira os resultados da configuração:
[edit]
[interfaces]
ge-0/0/9 {
unit 0 {
family bridge {
interface-mode trunk;
vlan-id 100; Promiscuous port by vlan id
}
}
}
ge-0/0/13 {
unit 0 {
family bridge {
interface-mode trunk inter-switch-link; ISL trunk
vlan-id 100;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/12 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/2 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/3 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
ge-0/0/4 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
irb {
unit 0 {
family inet {
address 22.22.22.1/24;
}
}
}
[edit]
routing-instances {
vs-1 {
instance-type virtual-switch;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface ge-0/0/3.0;
interface ge-0/0/4.0;
interface ge-0/0/9.0;
interface ge-0/0/10.0;
interface ge-0/0/12.0;
interface ge-0/0/13.0;
bridge-domains {
bd1 {
vlan-id 100; /* primary vlan */
isolated-vlan 10;
community-vlans [50 60]
routing-interface irb.0 /* IRB interface */
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a VLAN privada e as VLANs secundárias foram criadas
Propósito
Verifique se a VLAN primária e as VLANs secundárias foram criadas corretamente no switch.
Ação
Use o comando:show bridge domain
user@host> show bridge domain
Routing instance Bridge domain VLAN ID Interfaces
default-switch bd1-primary-100 100
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
ge-0/0/3.0
ge-0/0/4.0
default-switch bd1-isolation-10 10
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
default-switch bd1-comunity-50 50
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
default-switch bd1-comunity-60 60
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/3.0
ge-0/0/4.0Significado
A saída mostra que a VLAN primária foi criada e identifica as interfaces e VLANs secundárias associadas a ela.