Entendendo as VLANs privadas
As VLANs limitam as transmissões a usuários especificados. As VLANs privadas (PVLANs) dão um passo adiante nesse conceito limitando a comunicação em uma VLAN. As PVLANs realizam isso restringindo os fluxos de tráfego através das portas de switch de seus membros (que são chamadas de portas privadas) para que essas portas se comuniquem apenas com uma porta de tronco de uplink especificada ou com portas especificadas dentro da mesma VLAN. A porta de tronco de uplink ou grupo de agregação de enlaces (LAG) geralmente é conectada a uma rede de roteador, firewall, servidor ou provedor. Cada PVLAN normalmente contém muitas portas privadas que se comunicam apenas com uma única porta de uplink, impedindo assim que as portas se comuniquem entre si.
As PVLANs oferecem isolamento de Camada 2 entre portas dentro de uma VLAN, dividindo um domínio de broadcast em vários subdomains de broadcast discretos, criando VLANs secundárias (VLANs comunitárias e uma VLAN isolada ) dentro de uma VLAN primária. Portas dentro da mesma comunidade VLAN podem se comunicar entre si. As portas dentro de uma VLAN isolada podem se comunicar apenas com uma única porta de uplink.
Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e exigem uma das seguintes opções para rotear o tráfego de Camada 3 entre as VLANs secundárias:
Uma conexão promíscua de porta com um roteador
Uma interface VLAN roteada (RVI)
Para rotear o tráfego de Camada 3 entre VLANs secundárias, uma PVLAN precisa apenas de uma das opções mencionadas acima. Se você usa um RVI, você ainda pode implementar uma conexão de porta promíscua a um roteador com a porta promíscua configurada para lidar apenas com o tráfego que entra e sai do PVLAN.
As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos. Os provedores de serviços usam PVLANs para manter seus clientes isolados uns dos outros. Outro uso típico para uma PVLAN é fornecer acesso à Internet por quarto em um hotel.
Você pode configurar uma PVLAN para abranger switches que oferecem suporte a PVLANs.
Este tópico explica os seguintes conceitos sobre PVLANs em switches da Série EX:
Benefícios das PVLANs
A necessidade de segregar uma única VLAN é particularmente útil nos seguintes cenários de implantação:
Fazendas de servidor — um provedor de serviços de Internet típico usa uma fazenda de servidores para fornecer hospedagem na Web para vários clientes. Localizar os vários servidores em uma única fazenda de servidor oferece facilidade de gerenciamento. Surgem preocupações de segurança se todos os servidores estiverem na mesma VLAN, pois as transmissões de Camada 2 vão para todos os servidores da VLAN.
Redes Ethernet metropolitanas — um provedor de serviços metro oferece acesso Ethernet de Camada 2 a casas, comunidades de aluguel e empresas variadas. A solução tradicional de implantar uma VLAN por cliente não é escalável e é difícil de gerenciar, levando a possíveis desperdícios de endereços IP. As PVLANs oferecem uma solução mais segura e eficiente.
Estrutura típica e aplicação primária de PVLANs
Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. Os tipos de domínios e portas são:
VLAN primário — A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).
VLAN isolada/porta isolada — uma VLAN primária pode conter apenas uma VLAN isolada. Uma interface dentro de uma VLAN isolada pode encaminhar pacotes apenas para uma porta promíscua ou para a porta Inter switch Link (ISL). Uma interface isolada não pode encaminhar pacotes para outra interface isolada; e uma interface isolada não pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador de gateway, o dispositivo deve ser anexado a uma porta-tronco isolada.
VLAN da comunidade/porta da comunidade — você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN da comunidade. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta ISL. Se você tem, por exemplo, dois dispositivos de clientes que você precisa para isolar de outros dispositivos do cliente, mas que devem ser capazes de se comunicar entre si, use portas da comunidade.
Porta promíscua — Uma porta promíscua tem comunicações de Camada 2 com todas as interfaces no PVLAN, independentemente de uma interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em nenhuma subdomain secundária. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente são conectados a uma porta promíscua.
Inter-Switch Link (ISL) — Um ISL é uma porta-tronco que conecta vários switches em um PVLAN e contém duas ou mais VLANs. Ela só é necessária quando uma PVLAN abrange vários switches.
O PVLAN configurado é o domínio primário (VLAN primário). Dentro do PVLAN, você configura VLANs secundárias , que se tornam subdomains aninhadas dentro do domínio primário. Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. O PVLAN mostrado inclui Figura 1 dois switches, com um domínio PVLAN primário e vários subdomains.

Como mostrado, Figura 3um PVLAN tem apenas um domínio primário e vários domínios secundários. Os tipos de domínios são:
VLAN primário — A VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias. A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).
VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para a VLAN primária. O VLAN isolado é um VLAN secundário aninhado dentro da VLAN primária. Uma VLAN primária pode conter apenas uma VLAN isolada. Uma interface dentro de uma VLAN isolada (interface isolada) pode encaminhar pacotes apenas para uma porta promíscua ou para a porta-tronco PVLAN. Uma interface isolada não pode encaminhar pacotes para outra interface isolada; nem uma interface isolada pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador, o dispositivo deve ser anexado a uma porta-tronco isolada.
VLAN isolada por interswitch secundário — A VLAN costumava encaminhar tráfego VLAN isolado de um switch para outro através de portas de tronco PVLAN. As etiquetas de 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de taging interno pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote. Um VLAN isolado inter-enfeitiçado é um VLAN secundário aninhado dentro da VLAN primária.
VLAN da comunidade secundária — A VLAN costumava transportar quadros entre membros de uma comunidade (um subconjunto de usuários dentro da VLAN) e encaminhar os quadros upstream para a VLAN principal. Uma VLAN comunitária é uma VLAN secundária aninhada dentro da VLAN primária. Você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN da comunidade. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta de tronco PVLAN.
Figura 2 mostra um PVLAN abrangendo vários switches, onde o VLAN primário (100
) contém dois domínios (300
da comunidade e 400
) e um domínio isolado entre os enfeitiçados.

As VLANs primárias e secundárias contam contra o limite de 4089 VLANs suportadas na Série QFX. Por exemplo, cada VLAN em Figura 2 contagem contra esse limite.
Estrutura típica e aplicação primária de PVLANs em roteadores da Série MX
O PVLAN configurado torna-se o domínio primário, e as VLANs secundárias tornam-se subdomains aninhadas dentro do domínio primário. Uma PVLAN pode ser criada em um único roteador. O PVLAN mostrado inclui Figura 3 um roteador, com um domínio PVLAN primário e vários subdomains secundários.

Os tipos de domínios são:
VLAN primário — A VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias.
VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para a VLAN primária.
VLAN isolada por interswitch secundário — A VLAN costumava encaminhar tráfego VLAN isolado de um roteador para outro através de portas de tronco PVLAN.
VLAN da comunidade secundária — A VLAN costumava transportar quadros entre membros de uma comunidade, que é um subconjunto de usuários dentro da VLAN, e encaminhar quadros upstream para a VLAN principal.
As PVLANs são suportadas em roteadores MX80, em roteadores MX240, MX480 e MX960 com DPCs no modo LAN aprimorado, em roteadores da Série MX com MPC1, MPC2 e PICs de serviços adaptativos.
Estrutura típica e aplicação primária de PVLANs em switches da Série EX
A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. Nos switches EX9200, cada VLAN secundária também deve ser definida com seu próprio VLAN ID separado.
Figura 4 mostra uma PVLAN em um único switch, onde a VLAN primária (VLAN 100
) contém duas VLANs comunitárias (VLAN 300
e VLAN 400
) e uma VLAN isolada (VLAN 50
).

Figura 5 mostra uma PVLAN abrangendo vários switches, onde a VLAN primária (VLAN 100
) contém duas VLANs comunitárias (VLAN 300
e VLAN 400
) e uma VLAN isolada (VLAN 200). Ele também mostra que os switches 1 e 2 estão conectados por meio de um link interswitch (enlace de tronco PVLAN).

Além disso, as PVLANs mostradas Figura 4 e Figura 5 usam uma porta promíscua conectada a um roteador como meio para rotear o tráfego de Camada 3 entre a comunidade e VLANs isoladas. Em vez de usar a porta promíscua conectada a um roteador, você pode configurar um RVI no switch ou em Figura 4 um dos switches mostrados (em Figura 5 alguns switches EX).
Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador a uma porta promíscua, conforme mostrado Figura 4 e Figura 5ou configurar um RVI.
Se você escolher a opção RVI, você deve configurar um RVI para a VLAN primária no domínio PVLAN. Esse RVI atende a todo o domínio PVLAN, independentemente de o domínio incluir um ou mais switches. Após configurar o RVI, os pacotes de Camada 3 recebidos pelas interfaces secundárias de VLAN são mapeados e roteados pelo RVI.
Ao configurar o RVI, você também deve habilitar o Proxy Address Resolution Protocol (ARP) para que o RVI possa lidar com as solicitações de ARP recebidas pelas interfaces de VLAN secundárias.
Para obter informações sobre a configuração de PVLANs em um único switch e em vários switches, consulte Criar uma VLAN privada em um único switch da Série EX (Procedimento CLI). Para obter informações sobre a configuração de um RVI, veja Configuração de uma interface VLAN roteada em uma VLAN privada em um switch da Série EX.
Roteamento entre VLANs isoladas e comunitárias
Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador ou switch externo a uma porta de tronco da VLAN primária. A porta-tronco da VLAN primária é uma porta promíscua ; portanto, ela pode se comunicar com todas as portas da PVLAN.
PVLANs usam tags 802.1Q para identificar pacotes
Quando os pacotes são marcados com uma tag 802.1Q específica do cliente, essa tag identifica a propriedade dos pacotes para qualquer switch ou roteador na rede. Às vezes, as tags 802.1Q são necessárias dentro das PVLANs para acompanhar os pacotes de diferentes subdomains. Tabela 1 indica quando uma tag VLAN 802.1Q é necessária na VLAN primária ou em VLANs secundárias.
Em um único switch | Em vários switches | |
---|---|---|
VLAN primário | Especifique uma tag 802.1Q configurando um ID VLAN. |
Especifique uma tag 802.1Q configurando um ID VLAN. |
VLAN secundária | Nenhuma tag é necessária em VLANs. |
As VLANs precisam de tags 802.1Q:
|
PVLANs usam endereços IP de forma eficiente
As PVLANs oferecem conservação de endereços IP e alocação eficiente de endereços IP. Em uma rede típica, as VLANs normalmente correspondem a uma única sub-rede IP. Nas PVLANs, os hosts em todas as VLANs secundárias pertencem à mesma sub-rede IP porque a sub-rede é alocada para a VLAN primária. Os hosts dentro da VLAN secundária são atribuídos endereços IP com base em sub-redes IP associadas à VLAN primária, e suas informações de mascaramento de sub-rede IP refletem a da sub-rede VLAN primária. No entanto, cada VLAN secundária é um domínio de broadcast separado.
Tipos de porta PVLAN e regras de encaminhamento
As PVLANs podem usar até seis tipos de porta diferentes. A rede retratada usaFigura 2 uma porta promíscua para transportar informações para o roteador, portas comunitárias para conectar as comunidades financeiras e de RH aos seus respectivos switches, portas isoladas para conectar os servidores e uma porta-tronco PVLAN para conectar os dois switches. As portas PVLAN têm restrições diferentes:
Porta-tronco promíscua — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces que estão na PVLAN, independentemente de a interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em uma das subdomains secundárias. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente são conectados a uma porta promíscua.
Enlace de tronco PVLAN — o enlace de tronco PVLAN, que também é conhecido como o link interswitch, só é necessário quando um PVLAN é configurado para abranger vários switches. O enlace de tronco PVLAN conecta os vários switches que compõem o PVLAN.
Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta-tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (isto é, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas que não sejam as portas isoladas.
A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A associação de uma porta de tronco PVLAN no VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados para todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).
Porta-tronco VLAN secundária (não mostrada)— portas secundárias de porta-malas transportam tráfego VLAN secundário. Para uma determinada VLAN privada, uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.
Porta da comunidade — as portas da comunidade se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.
Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN — uma porta isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros do mesmo domínio isolado de VLAN (ou VLAN isolado entre usuários). Normalmente, um servidor, como um servidor de e-mail ou um servidor de backup, está conectado em uma porta isolada. Em um hotel, cada quarto normalmente seria conectado em uma porta isolada, o que significa que a comunicação de quarto a quarto não é possível, mas cada quarto pode acessar a Internet na porta promíscua.
Porta de acesso promíscua (não mostrada)— Essas portas transportam tráfego sem registro. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias do dispositivo. Se o tráfego entrar no dispositivo em uma porta habilitada para VLAN e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.
Porta de enlace interswitch — Uma porta de enlace interswitch (ISL) é uma porta-tronco que conecta dois roteadores quando um PVLAN abrange esses roteadores. A porta ISL é um membro de todas as VLANs dentro da PVLAN (isto é, a VLAN primária, as VLANs comunitárias e a VLAN isolada).
A comunicação entre uma porta ISL e uma porta isolada é unidirecional. A adesão de uma porta ISL à VLAN isolada entre os fornecedores é apenas de saída, o que significa que o tráfego de entrada na porta ISL nunca é atribuído à VLAN isolada. Uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não pode encaminhar pacotes para uma porta isolada. Tabela 3 resume se existe conectividade de Camada 2 entre os diferentes tipos de portas.
Tabela 2 resume a conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN em switches da Série EX que oferecem suporte ao ELS.
Do tipo de porta |
Para portas isoladas? |
Para portas promíscuas? |
Para portas comunitárias? |
Para a porta de enlace entre switches? |
---|---|---|---|---|
Isolado |
Negar |
Permitir |
Negar |
Permitir |
Promíscuo |
Permitir |
Permitir |
Permitir |
Permitir |
Comunidade 1 |
Negar |
Permitir |
Permitir |
Permitir |
Tipo de porta |
Tronco promíscuo |
Tronco PVLAN |
Tronco secundário |
Comunidade |
Acesso isolado |
Acesso promíscuo |
---|---|---|---|---|---|---|
Tronco promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Tronco de PVLAN |
Sim |
Sim |
Sim |
Sim — só a mesma comunidade |
Sim |
Sim |
Tronco secundário |
Sim |
Sim |
Não |
Sim |
Não |
Sim |
Comunidade |
Sim |
Sim |
Sim |
Sim — só a mesma comunidade |
Não |
Sim |
Acesso isolado |
Sim |
Sim — somente unidirecional |
Não |
Não |
Não |
Sim |
Acesso promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Não |
Tabela 4 resume se existe ou não conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN.
Tipo de porta Para: → A partir de:↓ |
Promíscuo |
Comunidade |
Isolado |
Tronco PVLAN |
RVI |
---|---|---|---|---|---|
Promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Comunidade |
Sim |
Sim — só a mesma comunidade |
Não |
Sim |
Sim |
Isolado |
Sim |
Não |
Não |
Sim Nota:
Essa comunicação é unidirecional. |
Sim |
Tronco de PVLAN |
Sim |
Sim — só a mesma comunidade |
Sim Nota:
Essa comunicação é unidirecional. |
Sim |
Sim |
RVI |
Sim |
Sim |
Sim |
Sim |
Sim |
Como observado, a Tabela 4comunicação de Camada 2 entre uma porta isolada e uma porta-tronco PVLAN é unidirecional. Ou seja, uma porta isolada só pode enviar pacotes para uma porta-tronco PVLAN, e uma porta-tronco PVLAN só pode receber pacotes de uma porta isolada. Por outro lado, uma porta-tronco PVLAN não pode enviar pacotes para uma porta isolada, e uma porta isolada não pode receber pacotes de uma porta-tronco PVLAN.
Se você habilitar no-mac-learning
uma VLAN primária, todas as VLANs isoladas (ou o VLAN isolado entre enfeitiçados) na PVLAN herdam essa configuração. No entanto, se você quiser desativar o aprendizado de endereço MAC em quaisquer VLANs da comunidade, você deve configurar no-mac-learning
em cada uma dessas VLANs.
Criação de uma PVLAN
O fluxograma mostrado oferece Figura 6 uma ideia geral do processo para a criação de PVLANs. Se você concluir suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. (Nas regras do PVLAN, a configuração da porta-tronco PVLAN se aplica apenas a uma PVLAN que abrange vários roteadores.)
O VLAN primário deve ser uma VLAN com tags.
Se você vai configurar uma ID VLAN da comunidade, você deve primeiro configurar a VLAN primária.
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária.
A configuração de uma VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportada.
Configurar uma VLAN em um único roteador é relativamente simples, como mostrado em Figura 6.

A configuração de uma VLAN primária consiste nessas etapas:
Configure o nome VLAN primário e a tag 802.1Q.
Configure no-local-switching a VLAN primária.
Configure a porta de tronco promíscua e as portas de acesso.
Faça o tronco promíscuo e os membros das portas de acesso da VLAN principal.
Dentro de uma VLAN primária, você pode configurar VLANs comunitárias secundárias ou VLANs isoladas secundárias ou ambas. A configuração de uma VLAN de comunidade secundária consiste nessas etapas:
Configure uma VLAN usando o processo habitual.
Configure interfaces de acesso para a VLAN.
Atribua uma VLAN primária à VLAN da comunidade,
VLANs isoladas são criadas internamente quando a VLAN isolada tem interfaces de acesso como membros e a opção no-local-switching é habilitada na VLAN primária.
As etiquetas de 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de taging interno pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote.
As portas de tronco só são necessárias para configurações de PVLAN multicamadas — a porta do porta-malas transporta tráfego da VLAN primária e de todas as VLANs secundárias.
Limitações de VLANs privadas
As seguintes restrições se aplicam às configurações privadas de VLAN:
Uma interface de acesso pode pertencer a apenas um domínio PVLAN, ou seja, não pode participar de duas VLANs primárias diferentes.
Uma interface de tronco pode ser um membro de duas VLANs secundárias, desde que as VLANs secundárias estejam em duas VLANs primárias diferentes . Uma interface de tronco não pode ser um membro de duas VLANs secundárias que estão na mesma VLAN primária.
Uma única região do Protocolo de Múltiplas Árvores de Abrangência (MSTP) deve ser configurada em todas as VLANs que estejam incluídas na PVLAN.
O VLAN Spanning Tree Protocol (VSTP) não tem suporte.
A espionagem de IGMP não é suportada com VLANs privadas.
Interfaces VLAN roteadas não são suportadas em VLANs privadas
O roteamento entre VLANs secundárias na mesma VLAN primária não é suportado.
Algumas declarações de configuração não podem ser especificadas em uma VLAN secundária. Você pode configurar as seguintes declarações no nível de
[edit vlans vlan-name switch-options]
hierarquia apenas no PVLAN primário.Se você quiser mudar uma VLAN primária para ser uma VLAN secundária, você deve primeiro alterá-la para uma VLAN normal e confirmar a mudança. Por exemplo, você seguiria este procedimento:
Altere a VLAN primária para ser uma VLAN normal.
Confirmar a configuração.
Altere a VLAN normal para ser uma VLAN secundária.
Confirmar a configuração.
Siga a mesma sequência de confirmações se quiser alterar uma VLAN secundária para ser uma VLAN primária. Ou seja, faça da VLAN secundária uma VLAN normal e comprometa essa mudança e depois altere a VLAN normal para ser uma VLAN primária.
Os recursos a seguir não são suportados em PVLANs em switches Junos com suporte para o estilo de configuração ELS:
Filtros de firewall VLAN de saída
Proteção de anel de ethernet (ERP)
Tags VLAN flexíveis
Interface integrada de roteamento e ponte (IRB)
Grupos de agregação de enlaces multichassis (MC-LAGs)
Espelhamento de porta
Tunelamento Q-in-Q
VLAN Spanning Tree Protocol (VSTP)
Voz sobre IP (VoIP)
Você pode configurar as seguintes declarações no nível de [edit vlans vlan-name switch-options]
hierarquia apenas no PVLAN primário: