Nesta página
Entenda as portas secundárias de tronco VLAN e portas de acesso promíscuas em PVLANs
Usando a autenticação 802.1X e VLANs privadas juntas na mesma interface
Criação de uma VLAN privada em um único switch com suporte a ELS (procedimento CLI)
Criação de VLAN privada em um único switch da Série EX (procedimento CLI)
Criação de uma VLAN privada que abrange vários switches da Série QFX
Criação de uma VLAN privada que abrange vários switches da Série EX (procedimento de CLI)
Exemplo: Configuração de uma VLAN privada em um único switch com suporte a ELS
Exemplo: Configurando uma VLAN privada em um único switch da Série QFX
Exemplo: Configurando uma VLAN privada em um único switch da Série EX
Exemplo: Configuração de uma VLAN privada que abrange vários switches QFX
Exemplo: Configuração de uma VLAN privada que abrange vários switches com uma interface IRB
Exemplo: Configuração de uma VLAN privada que abrange vários switches da Série EX
Verificando se uma VLAN privada está trabalhando em um switch
VLANs privadas
Entendendo as VLANs privadas
As VLANs limitam as transmissões a usuários especificados. As VLANs privadas (PVLANs) dão um passo adiante nesse conceito limitando a comunicação em uma VLAN. As PVLANs realizam isso restringindo os fluxos de tráfego através das portas de switch de seus membros (que são chamadas de portas privadas) para que essas portas se comuniquem apenas com uma porta de tronco de uplink especificada ou com portas especificadas dentro da mesma VLAN. A porta de tronco de uplink ou grupo de agregação de enlaces (LAG) geralmente é conectada a uma rede de roteador, firewall, servidor ou provedor. Cada PVLAN normalmente contém muitas portas privadas que se comunicam apenas com uma única porta de uplink, impedindo assim que as portas se comuniquem entre si.
As PVLANs oferecem isolamento de Camada 2 entre portas dentro de uma VLAN, dividindo um domínio de broadcast em vários subdomains de broadcast discretos, criando VLANs secundárias (VLANs comunitárias e uma VLAN isolada ) dentro de uma VLAN primária. Portas dentro da mesma comunidade VLAN podem se comunicar entre si. As portas dentro de uma VLAN isolada podem se comunicar apenas com uma única porta de uplink.
Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e exigem uma das seguintes opções para rotear o tráfego de Camada 3 entre as VLANs secundárias:
Uma conexão promíscua de porta com um roteador
Uma interface VLAN roteada (RVI)
Para rotear o tráfego de Camada 3 entre VLANs secundárias, uma PVLAN precisa apenas de uma das opções mencionadas acima. Se você usa um RVI, você ainda pode implementar uma conexão de porta promíscua a um roteador com a porta promíscua configurada para lidar apenas com o tráfego que entra e sai do PVLAN.
As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos. Os provedores de serviços usam PVLANs para manter seus clientes isolados uns dos outros. Outro uso típico para uma PVLAN é fornecer acesso à Internet por quarto em um hotel.
Você pode configurar uma PVLAN para abranger switches que oferecem suporte a PVLANs.
Este tópico explica os seguintes conceitos sobre PVLANs em switches da Série EX:
- Benefícios das PVLANs
- Estrutura típica e aplicação primária de PVLANs
- Estrutura típica e aplicação primária de PVLANs em roteadores da Série MX
- Estrutura típica e aplicação primária de PVLANs em switches da Série EX
- Roteamento entre VLANs isoladas e comunitárias
- PVLANs usam tags 802.1Q para identificar pacotes
- PVLANs usam endereços IP de forma eficiente
- Tipos de porta PVLAN e regras de encaminhamento
- Criação de uma PVLAN
- Limitações de VLANs privadas
Benefícios das PVLANs
A necessidade de segregar uma única VLAN é particularmente útil nos seguintes cenários de implantação:
Fazendas de servidor — um provedor de serviços de Internet típico usa uma fazenda de servidores para fornecer hospedagem na Web para vários clientes. Localizar os vários servidores em uma única fazenda de servidor oferece facilidade de gerenciamento. Surgem preocupações de segurança se todos os servidores estiverem na mesma VLAN, pois as transmissões de Camada 2 vão para todos os servidores da VLAN.
Redes Ethernet metropolitanas — um provedor de serviços metro oferece acesso Ethernet de Camada 2 a casas, comunidades de aluguel e empresas variadas. A solução tradicional de implantar uma VLAN por cliente não é escalável e é difícil de gerenciar, levando a possíveis desperdícios de endereços IP. As PVLANs oferecem uma solução mais segura e eficiente.
Estrutura típica e aplicação primária de PVLANs
Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. Os tipos de domínios e portas são:
VLAN primário — A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).
VLAN isolada/porta isolada — uma VLAN primária pode conter apenas uma VLAN isolada. Uma interface dentro de uma VLAN isolada pode encaminhar pacotes apenas para uma porta promíscua ou para a porta Inter switch Link (ISL). Uma interface isolada não pode encaminhar pacotes para outra interface isolada; e uma interface isolada não pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador de gateway, o dispositivo deve ser anexado a uma porta-tronco isolada.
VLAN da comunidade/porta da comunidade — você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN da comunidade. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta ISL. Se você tem, por exemplo, dois dispositivos de clientes que você precisa para isolar de outros dispositivos do cliente, mas que devem ser capazes de se comunicar entre si, use portas da comunidade.
Porta promíscua — Uma porta promíscua tem comunicações de Camada 2 com todas as interfaces no PVLAN, independentemente de uma interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em nenhuma subdomain secundária. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente são conectados a uma porta promíscua.
Inter-Switch Link (ISL) — Um ISL é uma porta-tronco que conecta vários switches em um PVLAN e contém duas ou mais VLANs. Ela só é necessária quando uma PVLAN abrange vários switches.
O PVLAN configurado é o domínio primário (VLAN primário). Dentro do PVLAN, você configura VLANs secundárias , que se tornam subdomains aninhadas dentro do domínio primário. Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. O PVLAN mostrado inclui dois switches, com um domínio PVLAN primário e vários subdomains.Figura 1
Como mostrado, um PVLAN tem apenas um domínio primário e vários domínios secundários.Figura 3 Os tipos de domínios são:
VLAN primário — A VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias. A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).
VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para a VLAN primária. O VLAN isolado é um VLAN secundário aninhado dentro da VLAN primária. Uma VLAN primária pode conter apenas uma VLAN isolada. Uma interface dentro de uma VLAN isolada (interface isolada) pode encaminhar pacotes apenas para uma porta promíscua ou para a porta-tronco PVLAN. Uma interface isolada não pode encaminhar pacotes para outra interface isolada; nem uma interface isolada pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador, o dispositivo deve ser anexado a uma porta-tronco isolada.
VLAN isolada por interswitch secundário — A VLAN costumava encaminhar tráfego VLAN isolado de um switch para outro através de portas de tronco PVLAN. As etiquetas de 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de taging interno pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote. Um VLAN isolado inter-enfeitiçado é um VLAN secundário aninhado dentro da VLAN primária.
VLAN da comunidade secundária — A VLAN costumava transportar quadros entre membros de uma comunidade (um subconjunto de usuários dentro da VLAN) e encaminhar os quadros upstream para a VLAN principal. Uma VLAN comunitária é uma VLAN secundária aninhada dentro da VLAN primária. Você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN da comunidade. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta de tronco PVLAN.
mostra um PVLAN abrangendo vários switches, onde o VLAN primário () contém dois domínios da comunidade e ) e um domínio isolado entre os enfeitiçados.Figura 2100(300400
As VLANs primárias e secundárias contam contra o limite de 4089 VLANs suportadas na Série QFX. Por exemplo, cada VLAN em contagem contra esse limite.Figura 2
Estrutura típica e aplicação primária de PVLANs em roteadores da Série MX
O PVLAN configurado torna-se o domínio primário, e as VLANs secundárias tornam-se subdomains aninhadas dentro do domínio primário. Uma PVLAN pode ser criada em um único roteador. O PVLAN mostrado inclui um roteador, com um domínio PVLAN primário e vários subdomains secundários.Figura 3
Os tipos de domínios são:
VLAN primário — A VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias.
VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para a VLAN primária.
VLAN isolada por interswitch secundário — A VLAN costumava encaminhar tráfego VLAN isolado de um roteador para outro através de portas de tronco PVLAN.
VLAN da comunidade secundária — A VLAN costumava transportar quadros entre membros de uma comunidade, que é um subconjunto de usuários dentro da VLAN, e encaminhar quadros upstream para a VLAN principal.
As PVLANs são suportadas em roteadores MX80, em roteadores MX240, MX480 e MX960 com DPCs no modo LAN aprimorado, em roteadores da Série MX com MPC1, MPC2 e PICs de serviços adaptativos.
Estrutura típica e aplicação primária de PVLANs em switches da Série EX
A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. Nos switches EX9200, cada VLAN secundária também deve ser definida com seu próprio VLAN ID separado.
mostra uma PVLAN em um único switch, onde a VLAN primária (VLAN ) contém duas VLANs comunitárias (VLAN e VLAN ) e uma VLAN isolada (VLAN ).Figura 410030040050
mostra uma PVLAN abrangendo vários switches, onde a VLAN primária (VLAN ) contém duas VLANs comunitárias (VLAN e VLAN ) e uma VLAN isolada (VLAN 200).Figura 5100300400 Ele também mostra que os switches 1 e 2 estão conectados por meio de um link interswitch (enlace de tronco PVLAN).
Além disso, as PVLANs mostradas e usam uma porta promíscua conectada a um roteador como meio para rotear o tráfego de Camada 3 entre a comunidade e VLANs isoladas.Figura 4Figura 5 Em vez de usar a porta promíscua conectada a um roteador, você pode configurar um RVI no switch ou em um dos switches mostrados (em alguns switches EX).Figura 4Figura 5
Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador a uma porta promíscua, conforme mostrado e ou configurar um RVI.Figura 4Figura 5
Se você escolher a opção RVI, você deve configurar um RVI para a VLAN primária no domínio PVLAN. Esse RVI atende a todo o domínio PVLAN, independentemente de o domínio incluir um ou mais switches. Após configurar o RVI, os pacotes de Camada 3 recebidos pelas interfaces secundárias de VLAN são mapeados e roteados pelo RVI.
Ao configurar o RVI, você também deve habilitar o Proxy Address Resolution Protocol (ARP) para que o RVI possa lidar com as solicitações de ARP recebidas pelas interfaces de VLAN secundárias.
Para obter informações sobre a configuração de PVLANs em um único switch e em vários switches, consulte Criar uma VLAN privada em um único switch da Série EX (Procedimento CLI).Criação de VLAN privada em um único switch da Série EX (procedimento CLI) Para obter informações sobre a configuração de um RVI, veja Configuração de uma interface VLAN roteada em uma VLAN privada em um switch da Série EX.Configuração de uma interface VLAN roteada em uma VLAN privada em um switch da Série EX
Roteamento entre VLANs isoladas e comunitárias
Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador ou switch externo a uma porta de tronco da VLAN primária. A porta-tronco da VLAN primária é uma porta promíscua ; portanto, ela pode se comunicar com todas as portas da PVLAN.
PVLANs usam tags 802.1Q para identificar pacotes
Quando os pacotes são marcados com uma tag 802.1Q específica do cliente, essa tag identifica a propriedade dos pacotes para qualquer switch ou roteador na rede. Às vezes, as tags 802.1Q são necessárias dentro das PVLANs para acompanhar os pacotes de diferentes subdomains. indica quando uma tag VLAN 802.1Q é necessária na VLAN primária ou em VLANs secundárias.Tabela 1
| Em um único switch | Em vários switches | |
|---|---|---|
| VLAN primário | Especifique uma tag 802.1Q configurando um ID VLAN. |
Especifique uma tag 802.1Q configurando um ID VLAN. |
| VLAN secundária | Nenhuma tag é necessária em VLANs. |
As VLANs precisam de tags 802.1Q:
|
PVLANs usam endereços IP de forma eficiente
As PVLANs oferecem conservação de endereços IP e alocação eficiente de endereços IP. Em uma rede típica, as VLANs normalmente correspondem a uma única sub-rede IP. Nas PVLANs, os hosts em todas as VLANs secundárias pertencem à mesma sub-rede IP porque a sub-rede é alocada para a VLAN primária. Os hosts dentro da VLAN secundária são atribuídos endereços IP com base em sub-redes IP associadas à VLAN primária, e suas informações de mascaramento de sub-rede IP refletem a da sub-rede VLAN primária. No entanto, cada VLAN secundária é um domínio de broadcast separado.
Tipos de porta PVLAN e regras de encaminhamento
As PVLANs podem usar até seis tipos de porta diferentes. A rede retratada usa uma porta promíscua para transportar informações para o roteador, portas comunitárias para conectar as comunidades financeiras e de RH aos seus respectivos switches, portas isoladas para conectar os servidores e uma porta-tronco PVLAN para conectar os dois switches.Figura 2 As portas PVLAN têm restrições diferentes:
Porta-tronco promíscua — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces que estão na PVLAN, independentemente de a interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em uma das subdomains secundárias. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente são conectados a uma porta promíscua.
Enlace de tronco PVLAN — o enlace de tronco PVLAN, que também é conhecido como o link interswitch, só é necessário quando um PVLAN é configurado para abranger vários switches. O enlace de tronco PVLAN conecta os vários switches que compõem o PVLAN.
Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta-tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (isto é, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas que não sejam as portas isoladas.
A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A associação de uma porta de tronco PVLAN no VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados para todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).
Porta-tronco VLAN secundária (não mostrada)— portas secundárias de porta-malas transportam tráfego VLAN secundário. Para uma determinada VLAN privada, uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.
Porta da comunidade — as portas da comunidade se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.
Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN — uma porta isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros do mesmo domínio isolado de VLAN (ou VLAN isolado entre usuários). Normalmente, um servidor, como um servidor de e-mail ou um servidor de backup, está conectado em uma porta isolada. Em um hotel, cada quarto normalmente seria conectado em uma porta isolada, o que significa que a comunicação de quarto a quarto não é possível, mas cada quarto pode acessar a Internet na porta promíscua.
Porta de acesso promíscua (não mostrada)— Essas portas transportam tráfego sem registro. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias do dispositivo. Se o tráfego entrar no dispositivo em uma porta habilitada para VLAN e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.
Porta de enlace interswitch — Uma porta de enlace interswitch (ISL) é uma porta-tronco que conecta dois roteadores quando um PVLAN abrange esses roteadores. A porta ISL é um membro de todas as VLANs dentro da PVLAN (isto é, a VLAN primária, as VLANs comunitárias e a VLAN isolada).
A comunicação entre uma porta ISL e uma porta isolada é unidirecional. A adesão de uma porta ISL à VLAN isolada entre os fornecedores é apenas de saída, o que significa que o tráfego de entrada na porta ISL nunca é atribuído à VLAN isolada. Uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não pode encaminhar pacotes para uma porta isolada. resume se existe conectividade de Camada 2 entre os diferentes tipos de portas.Tabela 3
Tabela 2 resume a conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN em switches da Série EX que oferecem suporte ao ELS.
Do tipo de porta |
Para portas isoladas? |
Para portas promíscuas? |
Para portas comunitárias? |
Para a porta de enlace entre switches? |
|---|---|---|---|---|
Isolado |
Negar |
Permitir |
Negar |
Permitir |
Promíscuo |
Permitir |
Permitir |
Permitir |
Permitir |
Comunidade 1 |
Negar |
Permitir |
Permitir |
Permitir |
Tipo de porta |
Tronco promíscuo |
Tronco PVLAN |
Tronco secundário |
Comunidade |
Acesso isolado |
Acesso promíscuo |
|---|---|---|---|---|---|---|
Tronco promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Tronco de PVLAN |
Sim |
Sim |
Sim |
Sim — só a mesma comunidade |
Sim |
Sim |
Tronco secundário |
Sim |
Sim |
Não |
Sim |
Não |
Sim |
Comunidade |
Sim |
Sim |
Sim |
Sim — só a mesma comunidade |
Não |
Sim |
Acesso isolado |
Sim |
Sim — somente unidirecional |
Não |
Não |
Não |
Sim |
Acesso promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Não |
Tabela 4 resume se existe ou não conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN.
Tipo de porta Para: → A partir de:↓ |
Promíscuo |
Comunidade |
Isolado |
Tronco PVLAN |
RVI |
|---|---|---|---|---|---|
Promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Comunidade |
Sim |
Sim — só a mesma comunidade |
Não |
Sim |
Sim |
Isolado |
Sim |
Não |
Não |
Sim Nota:
Essa comunicação é unidirecional. |
Sim |
Tronco de PVLAN |
Sim |
Sim — só a mesma comunidade |
Sim Nota:
Essa comunicação é unidirecional. |
Sim |
Sim |
RVI |
Sim |
Sim |
Sim |
Sim |
Sim |
Como observado, a comunicação de Camada 2 entre uma porta isolada e uma porta-tronco PVLAN é unidirecional.Tabela 4 Ou seja, uma porta isolada só pode enviar pacotes para uma porta-tronco PVLAN, e uma porta-tronco PVLAN só pode receber pacotes de uma porta isolada. Por outro lado, uma porta-tronco PVLAN não pode enviar pacotes para uma porta isolada, e uma porta isolada não pode receber pacotes de uma porta-tronco PVLAN.
Se você habilitar uma VLAN primária, todas as VLANs isoladas (ou o VLAN isolado entre enfeitiçados) na PVLAN herdam essa configuração.no-mac-learning No entanto, se você quiser desativar o aprendizado de endereço MAC em quaisquer VLANs da comunidade, você deve configurar em cada uma dessas VLANs.no-mac-learning
Criação de uma PVLAN
O fluxograma mostrado oferece uma ideia geral do processo para a criação de PVLANs.Figura 6 Se você concluir suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. (Nas regras do PVLAN, a configuração da porta-tronco PVLAN se aplica apenas a uma PVLAN que abrange vários roteadores.)
O VLAN primário deve ser uma VLAN com tags.
Se você vai configurar uma ID VLAN da comunidade, você deve primeiro configurar a VLAN primária.
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária.
A configuração de uma VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportada.
Configurar uma VLAN em um único roteador é relativamente simples, como mostrado em .Figura 6
A configuração de uma VLAN primária consiste nessas etapas:
Configure o nome VLAN primário e a tag 802.1Q.
Configure a VLAN primária.no-local-switching
Configure a porta de tronco promíscua e as portas de acesso.
Faça o tronco promíscuo e os membros das portas de acesso da VLAN principal.
Dentro de uma VLAN primária, você pode configurar VLANs comunitárias secundárias ou VLANs isoladas secundárias ou ambas. A configuração de uma VLAN de comunidade secundária consiste nessas etapas:
Configure uma VLAN usando o processo habitual.
Configure interfaces de acesso para a VLAN.
Atribua uma VLAN primária à VLAN da comunidade,
VLANs isoladas são criadas internamente quando a VLAN isolada tem interfaces de acesso como membros e a opção é habilitada na VLAN primária.no-local-switching
As etiquetas de 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de taging interno pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote.
As portas de tronco só são necessárias para configurações de PVLAN multicamadas — a porta do porta-malas transporta tráfego da VLAN primária e de todas as VLANs secundárias.
Limitações de VLANs privadas
As seguintes restrições se aplicam às configurações privadas de VLAN:
Uma interface de acesso pode pertencer a apenas um domínio PVLAN, ou seja, não pode participar de duas VLANs primárias diferentes.
Uma interface de tronco pode ser um membro de duas VLANs secundárias, desde que as VLANs secundárias estejam em duas VLANs primárias diferentes . Uma interface de tronco não pode ser um membro de duas VLANs secundárias que estão na mesma VLAN primária.
Uma única região do Protocolo de Múltiplas Árvores de Abrangência (MSTP) deve ser configurada em todas as VLANs que estejam incluídas na PVLAN.
O VLAN Spanning Tree Protocol (VSTP) não tem suporte.
A espionagem de IGMP não é suportada com VLANs privadas.
Interfaces VLAN roteadas não são suportadas em VLANs privadas
O roteamento entre VLANs secundárias na mesma VLAN primária não é suportado.
Algumas declarações de configuração não podem ser especificadas em uma VLAN secundária. Você pode configurar as seguintes declarações no nível de hierarquia apenas no PVLAN primário.
[edit vlans vlan-name switch-options]Se você quiser mudar uma VLAN primária para ser uma VLAN secundária, você deve primeiro alterá-la para uma VLAN normal e confirmar a mudança. Por exemplo, você seguiria este procedimento:
Altere a VLAN primária para ser uma VLAN normal.
Confirmar a configuração.
Altere a VLAN normal para ser uma VLAN secundária.
Confirmar a configuração.
Siga a mesma sequência de confirmações se quiser alterar uma VLAN secundária para ser uma VLAN primária. Ou seja, faça da VLAN secundária uma VLAN normal e comprometa essa mudança e depois altere a VLAN normal para ser uma VLAN primária.
Os recursos a seguir não são suportados em PVLANs em switches Junos com suporte para o estilo de configuração ELS:
Filtros de firewall VLAN de saída
Proteção de anel de ethernet (ERP)
Tags VLAN flexíveis
Interface integrada de roteamento e ponte (IRB)
Grupos de agregação de enlaces multichassis (MC-LAGs)
Espelhamento de porta
Tunelamento Q-in-Q
VLAN Spanning Tree Protocol (VSTP)
Voz sobre IP (VoIP)
Você pode configurar as seguintes declarações no nível de hierarquia apenas no PVLAN primário:[edit vlans vlan-name switch-options]
Entendendo os fluxos de tráfego PVLAN em vários switches
Este tópico ilustra e explica três fluxos de tráfego diferentes em uma rede multiswitch de amostra configurada com uma VLAN privada (PVLAN). As PVLANs restringem os fluxos de tráfego por meio de suas portas de switch de membro (que são chamadas de "portas privadas") para que se comuniquem apenas com uma porta de tronco de uplink específica ou com portas especificadas dentro da mesma VLAN.
Este tópico descreve:
- VLAN da comunidade enviando tráfego sem registro
- VLAN isolada que envia tráfego sem registro
- Tráfego com tags PVLAN enviado em uma porta promíscua
VLAN da comunidade enviando tráfego sem registro
Neste exemplo, um membro da Comunidade-1 no Switch 1 envia tráfego não registrado na interface ge-0/0/12. As setas representam Figura 7 o fluxo de tráfego resultante.
Neste exemplo, os membros da comunidade 1 recebem C-VLAN ID 100 que é mapeado para P-VLAN ID 10.
Neste cenário, a atividade a seguir ocorre no Switch 1:
-
VLAN comunitário-1 na interface ge-0/0/0 e ge-0/0/12: Aprendizagem
-
pvlan100 na interface ge-0/0/0 e ge-0/0/12: Replicação
-
VLAN da comunidade 1 na interface ge-0/0/12: Recebe tráfego sem registro
-
Interface VLAN da comunidade 1 ge-0/0/0: Saídas de tráfego sem registro
-
Porta-tronco PVLAN: Saídas de tráfego da ge-1/0/2 e da ae0 com a tag 10
-
Comunidade 2: As interfaces não recebem tráfego
-
VLANs isoladas: As interfaces não recebem tráfego
Nesse cenário, essa atividade ocorre no Switch 3:
-
VLAN comunitário-1 na interface ge-0/0/23 (tronco PVLAN): Aprendizagem
-
pvlan100 na interface ge-0/0/23: Replicação
-
VLAN comunitário-1 em interfaces ge-0/0/9 e ge-0/0/16: Receba tráfego sem registro
-
Porta-tronco promíscua: Saídas de tráfego da ge-0/0/0 com a tag 10
-
Comunidade 2: As interfaces não recebem tráfego
-
VLANs isoladas: As interfaces não recebem tráfego
VLAN isolada que envia tráfego sem registro
Nesse cenário, o VLAN1 isolado no Switch 1 na interface ge-1/0/0 envia tráfego sem registro. As setas representam esse fluxo de tráfego.Figura 8
Neste cenário, a atividade a seguir ocorre no Switch 1:
VLAN1 isolado na interface ge-1/0/0: Aprendizagem
pvlan100 na interface ge-1/0/0: Replicação
Saídas de tráfego do pvlan-trunk ge-1/0/2 e ae0 com a tag 50
Comunidade 1 e Comunidade-2: As interfaces não recebem tráfego
VLANs isoladas: As interfaces não recebem tráfego
Nesse cenário, essa atividade ocorre no Switch 3:
VLAN na interface ge-0/0/23 (porta-tronco PVLAN): Aprendizagem
pvlan100 na interface ge0/0/23: Replicação
Porta-tronco promíscua: Saídas de tráfego da ge-0/0/0 com a tag 100
Comunidade 1 e Comunidade-2: As interfaces não recebem tráfego
VLANs isoladas: Não receba tráfego
Tráfego com tags PVLAN enviado em uma porta promíscua
Nesse cenário, o tráfego com tags PVLAN é enviado em uma porta promíscua. As setas representam esse fluxo de tráfego.Figura 9
Neste cenário, a atividade a seguir ocorre no Switch 1:
VLAN pvlan100 na interface ae0 (tronco PVLAN): Aprendizagem
Comunidade 1, Comunidade-2 e todas as VLANs isoladas na interface ae0: Replicação
VLAN na interface ae0: Replicação
Saídas de tráfego do pvlan-trunk ge-1/0/2 com a tag 100
Comunidade 1 e Comunidade-2: Interfaces recebem tráfego
VLANs isoladas: Receba tráfego
Nesse cenário, essa atividade ocorre no Switch 3:
pvlan100 na interface ge-0/0/0: Aprendizagem
Comunidade-1, Comunidade-2 e todas as VLANs isoladas na interface ge-0/0/0: Replicação
VLAN na interface ge-0/0/0: Replicação
Comunidade 1 e Comunidade-2: Interfaces recebem tráfego
VLANs isoladas: Receba tráfego
Entenda as portas secundárias de tronco VLAN e portas de acesso promíscuas em PVLANs
As VLANs limitam as transmissões a usuários especificados. As VLANs privadas (PVLANs) dão um passo adiante nesse conceito, dividindo uma VLAN em vários subdomains de broadcast e essencialmente colocando VLANs secundárias dentro de uma VLAN primária. As PVLANs restringem os fluxos de tráfego por suas portas membros para que essas portas se comuniquem apenas com uma porta de tronco de uplink especificada ou com portas especificadas dentro da mesma VLAN. A porta de tronco de uplink geralmente é conectada a um roteador, firewall, servidor ou rede de provedor. Uma PVLAN normalmente contém muitas portas privadas que se comunicam apenas com um único uplink, impedindo assim que as portas se comuniquem entre si.
Portas de tronco secundárias e portas de acesso promíscuas ampliam a funcionalidade das PVLANs para uso em implantações complexas, como:
Ambientes de infraestrutura de VMWare empresarial
Serviços de nuvem multilocatários com gerenciamento de VM
Serviços de hospedagem web para vários clientes
Por exemplo, você pode usar portas secundárias de tronco VLAN para conectar dispositivos QFX a servidores VMware que são configurados com VLANs privadas. Você pode usar portas de acesso promíscuas para conectar dispositivos QFX a sistemas que não oferecem suporte a portas de tronco, mas precisam participar de VLANs privadas.
Este tópico explica os seguintes conceitos sobre PVLANs na Série QFX:
Tipos de porta PVLAN
As PVLANs podem usar os seguintes tipos de porta diferentes:
Porta-tronco promíscua — Uma porta promíscua é uma porta-tronco upstream conectada a um roteador, firewall, servidor ou rede de provedores. Uma porta-tronco promíscua pode se comunicar com todas as interfaces, incluindo as portas isoladas e comunitárias dentro de uma PVLAN.
Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta-tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (isto é, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas.
A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A associação de uma porta de tronco PVLAN no VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados para todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).
Porta-tronco VLAN secundária — portas secundárias de porta-malas VLAN transportam tráfego VLAN secundário. Para uma determinada VLAN privada (primária), uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.
Nota:Quando o tráfego é retirado de uma porta-tronco VLAN secundária, normalmente ele carrega a tag da VLAN primária da qual a porta secundária é membro. Se você quiser que o tráfego que se egressa de uma porta-tronco VLAN secundária mantenha sua tag VLAN secundária, use a declaração.extend-secondary-vlan-id
Porta da comunidade — as portas da comunidade se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.
Porta de acesso isolada — as portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN. Uma porta de acesso isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros da mesma VLAN isolada.
Porta de acesso promíscua — essas portas transportam tráfego não registrado e podem ser membros de apenas uma VLAN primária. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Neste caso, o tráfego transporta a tag VLAN secundária apropriada quando ele se egresso da porta VLAN secundária se a porta VLAN secundária for uma porta-tronco. Se o tráfego entrar em uma porta VLAN secundária e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.
Detalhes secundários da porta de tronco VLAN
Ao usar uma porta-tronco VLAN secundária, fique atento ao seguinte:
Você deve configurar um ID VLAN de isolamento para cada VLAN primário em que a porta-tronco VLAN secundária participará. Isso é verdade, mesmo que as VLANs secundárias que a porta-tronco VLAN secundária levará estejam limitadas a um único dispositivo.
Se você configurar uma porta para ser uma porta-tronco VLAN secundária para uma determinada VLAN primária, você também pode configurar a mesma porta física para ser qualquer uma das seguintes:
Porta-tronco VLAN secundária para outra VLAN primária
Tronco de PVLAN para outro VLAN primário
Porta-tronco promíscua
Porta de acesso para VLAN não privada
O tráfego que se ingressa em uma porta-tronco VLAN secundária (com uma tag VLAN secundária) e egresso em uma porta-tronco PVLAN mantém a tag VLAN secundária na saída.
O tráfego que se ingressa em uma porta-tronco VLAN secundária e saídas em uma porta-malas promíscua tem a tag VLAN primária apropriada na saída.
O tráfego que se ingressa em uma porta-tronco VLAN secundária e se egresso em uma porta de acesso promíscua não está registrado na saída.
O tráfego que se ingressa em uma porta-tronco promíscua com uma tag VLAN primária e saídas em uma porta-tronco VLAN secundária carrega a tag VLAN secundária apropriada na saída. Por exemplo, suponha que você configurou o seguinte em um switch:
VLAN 100 primário
VLAN 200 da comunidade como parte da VLAN primária
Porta-tronco promíscua
Porta-tronco secundária que transporta a VLAN 200 da comunidade
Se um pacote entrar na porta de tronco promíscuo com a tag VLAN primária 100 e saídas na porta de tronco VLAN secundária, ele carrega a tag 200 na saída.
Casos de uso
Na mesma interface física, você pode configurar várias portas de tronco VLAN secundárias (em diferentes VLANs primárias) ou combinar uma porta-tronco VLAN secundária com outros tipos de portas VLAN. Os casos de uso a seguir fornecem exemplos de fazer isso e mostram como o tráfego fluiria em cada caso:
- Troncos VLAN secundários em duas VLANS primárias
- Tronco de VLAN secundário e tronco promíscuo
- Tronco de VLAN secundário e tronco PVLAN
- Interface de VLAN trunk secundária e VLAN não privada
- Entrada de tráfego na porta de acesso promíscua
Troncos VLAN secundários em duas VLANS primárias
Para este caso de uso, suponha que você tenha dois switches com a seguinte configuração:
VLAN primário pvlan100 com a tag 100.
VLAN isolado200 isolado com a tag 200 é um membro do pvlan100.
A comunidade VLAN comm300 com a tag 300 é um membro do pvlan100.
VLAN primário pvlan400 com a tag 400.
VLAN isolado500 isolado com a tag 500 é um membro do pvlan400.
A comunidade VLAN comm600 com a tag 600 é um membro do pvlan400.
A interface xe-0/0/0 no Switch 1 se conecta a um servidor VMware (não mostrado) que é configurado com as VLANs privadas usadas neste exemplo. Essa interface é configurada com portas secundárias de tronco VLAN para transportar tráfego para vLAN comm600 secundário e vLAN isolado (tag 200) que é um membro do pvlan100.
A interface xe-0/0/0 no Switch 2 é mostrada configurada como uma porta de tronco promíscua ou porta de acesso promíscua. Neste último caso, você pode supor que ele se conecta a um sistema (não mostrado) que não oferece suporte a portas de tronco, mas é configurado com as VLANs privadas usadas neste exemplo.
No Switch 1, o xe-0/0/6 é um membro do comm600 e está configurado como uma porta-tronco.
No Switch 2, o xe-0/0/6 é um membro do comm600 e está configurado como uma porta de acesso.
Figura 10 mostra essa topologia e como o tráfego para 200 e comm600 isolados fluiria após a entrada no xe-0/0/0 no Switch 1. Observe que o tráfego fluiria apenas onde as setas indicam. Por exemplo, não há setas para interfaces xe-0/0/2, xe-0/0/3 e xe-0/0/5 no Switch 1 porque nenhum pacote seria saída nessas interfaces.
Aqui está o fluxo de tráfego para VLAN isolado200:
Observe que o tráfego para VLAN isolado200 não é saída na porta de acesso isolada xe-0/0/2 no Switch 1 ou porta-tronco VLAN secundária xe-0/0/2 no Switch 2, embora essas duas portas sejam membros da mesma VLAN isolada.
Aqui está o fluxo de tráfego para VLAN comm600:
Após o tráfego para entradas comm600 na porta-tronco VLAN secundária no Switch 1, ele se egressa na porta do tronco PVLAN porque a porta tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.
O tráfego para o comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 1. O tráfego está marcado porque a porta está configurada como um tronco.
Após o tráfego para entradas comm600 na porta-tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface estiver configurada como uma porta-tronco promíscua.
Nota:Se o xe-0/0/0 no Switch 2 estiver configurado como uma porta de acesso promíscua, a porta pode participar em apenas uma VLAN primária. Neste caso, a porta de acesso promíscua faz parte do pvlan100, de modo que o tráfego para comm600 não se esvai dele
O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2. Neste caso, o tráfego não está registrado porque o modo de porta é o acesso.
Tronco de VLAN secundário e tronco promíscuo
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que no caso de uso anterior, com uma exceção: Neste caso, o xe-0/0/0 no Switch 1 é configurado como uma porta-tronco VLAN secundária para pvlan100 de VLAN e também é configurado como uma porta-tronco promíscua para pvlan400.
Figura 11 mostra essa topologia e como o tráfego para o isolado200 (membro do pvlan100) e comm600 (membro do pvlan400) fluiria após a entrada no Switch 1.
O fluxo de tráfego para VLAN isolado200 é o mesmo do caso de uso anterior, mas o fluxo para comm600 é diferente. Aqui está o fluxo de tráfego para VLAN comm600:
Tronco de VLAN secundário e tronco PVLAN
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que nos casos de uso anteriores, exceto que o xe-0/0 no Switch 1 está configurado como uma porta-tronco VLAN secundária para pvlan100 de VLAN e também está configurado como uma porta tronco PVLAN para pvlan400.
Figura 12 mostra essa topologia e como o tráfego para comm300 (membro do pvlan100) e comm600 (membro do pvlan400) fluiria após a entrada no Switch 1.
Aqui está o fluxo de tráfego para VLAN comm300:
Aqui está o fluxo de tráfego para VLAN comm600:
Após o tráfego para entradas comm600 na porta PVLAN xe-0/0 no Switch 1, ele se aproxima da porta da comunidade xe-0/0/6 no Switch 1. Os pacotes mantêm a tag VLAN secundária (600) na saída porque xe-0/0/6 é uma porta-tronco.
O tráfego para comm600 também se egressa na porta-tronco PVLAN xe-0/0/1 porque essa porta-tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.
Após o tráfego para entradas comm600 na porta-tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface estiver configurada como uma porta-tronco promíscua.
Ela não é saída no xe-0/0/0 se essa interface estiver configurada como uma porta de acesso promíscua, pois a porta só pode participar no pvlan100.
O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2. Esse tráfego não está registrado na saída porque o xe-0/0/6 é uma porta de acesso.
Interface de VLAN trunk secundária e VLAN não privada
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que nos casos de uso anteriores, exceto por essas diferenças:
Configuração para xe-0/0/0 no Switch 1:
Porta-tronco VLAN secundária para vLAN pvlan100
Porta de acesso para vlan700
A porta xe-0/0/6 em ambos os switches é uma porta de acesso para vlan700.
Figura 13 mostra essa topologia e como o tráfego para 200 isolados (membro do pvlan100) e vlan700 fluiria após a entrada no Switch 1.
Aqui está o fluxo de tráfego para VLAN isolado200:
Observe que o tráfego para VLAN isolado200 não é saída na porta de acesso isolada xe-0/0/2 no Switch 1 ou porta-tronco VLAN secundária xe-0/0/2 no Switch 2, embora essas duas portas sejam membros da mesma VLAN isolada.
Após o tráfego para entradas vlan700 na porta de acesso configurada no xe-0/0 no Switch 1, ele se egressa na porta de acesso xe-0/0/6 porque essa porta é um membro da mesma VLAN. O tráfego para vlan700 não é encaminhado para o Switch 2 (embora o xe-0/0/6 no Switch 2 seja um membro do vlan700) porque o tronco PVLAN no xe-0/0/1 não transporta este VLAN.
Entrada de tráfego na porta de acesso promíscua
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que no caso de uso anterior, exceto que o xe-0/0/0 no Switch 1 está configurado como uma porta de acesso promíscua e é um membro do pvlan100. mostra essa topologia e como o tráfego não conectado fluiria após a entrada por essa interface no Switch 1.Figura 14
Como o número mostra, o tráfego não registrado que se ingressa em uma porta de acesso promíscua é encaminhado a todas as portas VLAN secundárias que são membros da mesma VLAN primária da qual a porta de acesso promíscua é um membro. O tráfego não é registrado quando ele se aproxima das portas de acesso e é marcado na saída de uma porta-malas (xe-0/0/2 no Switch 2).
Usando a autenticação 802.1X e VLANs privadas juntas na mesma interface
- Entenda como usar a autenticação 802.1X e as PVLANs juntas na mesma interface
- Diretrizes de configuração para combinar autenticação 802.1X com PVLANs
- Exemplo: Configurando a autenticação 802.1X com VLANs privadas em uma única configuração
Entenda como usar a autenticação 802.1X e as PVLANs juntas na mesma interface
Agora, você pode configurar tanto a autenticação 802.1X quanto as VLANs privadas (PVLANs) na mesma interface.
A autenticação IEEE 802.1X oferece segurança de borda de rede, protegendo LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no (um servidor RADIUS).authentication server
As VLANs privadas (PVLANs) oferecem isolamento de Camada 2 entre portas dentro de uma VLAN, dividindo um domínio de broadcast em vários subdomains de transmissão discretos criando VLANs secundárias. As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos.
Em um switch configurado com autenticação 802.1X e PVLANs, quando um novo dispositivo é conectado à rede PVLAN, o dispositivo é autenticado e depois é atribuído a um VLAN secundário com base na configuração de PVLAN ou perfil RADIUS. Em seguida, o dispositivo obtém um endereço IP e recebe acesso à rede PVLAN.
Este documento não fornece informações detalhadas sobre autenticação 802.1X ou VLANs privadas. Para obter esses detalhes, veja a documentação do recurso específica para esses recursos individuais. Para 802.1X, veja o guia do usuário para acesso e autenticação do usuário.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/user-access.html Para PVLANs, consulte o guia de usuário de comutação Ethernet.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/layer-2/layer2-multicast.html
Diretrizes de configuração para combinar autenticação 802.1X com PVLANs
Tenha em mente as seguintes diretrizes e limitações para configurar esses dois recursos na mesma interface:
Você não pode configurar uma interface habilitada para 802.1X como uma interface promíscua (uma interface que é um membro da VLAN primária por configuração) ou como uma interface interswitch-link (ISL).
Vários usuários não podem ser autenticados em diferentes VLANs pertencentes ao mesmo domínio PVLAN em uma interface lógica — por exemplo, se a interface ge-0/0/0 estiver configurada como e os clientes C1 e C2 forem autenticados e forem adicionados às VLANs dinâmicas V1 e V2, respectivamente, então V1 e V2 devem pertencer a diferentes domínios PVLAN.
supplicant multipleSe o VoIP VLAN e o VLAN de dados forem diferentes, essas duas VLANs devem estar em diferentes domínios de PVLAN.
Quando a associação de PVLAN é alterada (ou seja, uma interface é reconfigurada em uma PVLAN diferente), os clientes devem ser reauthenticados.
Exemplo: Configurando a autenticação 802.1X com VLANs privadas em uma única configuração
- Requisitos
- Visão geral
- Configurando a autenticação 802.1X com VLANs privadas em uma única configuração
- Verificação
Requisitos
Junos OS Release 18.2R1 ou posterior
Switch EX2300, EX3400 ou EX4300
Antes de começar, especifique o servidor RADIUS ou servidores a serem usados como servidor de autenticação. Veja especificando as conexões do servidor RADIUS em switches (procedimento CLI).RADIUS Server Configuration for Authentication
Visão geral
A seção de configuração a seguir mostra a configuração do perfil de acesso, a configuração de autenticação 802.1X e, finalmente, a configuração de VLANs (incluindo PVLANs).
Configurando a autenticação 802.1X com VLANs privadas em uma única configuração
Procedimento
Configuração rápida da CLI
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Procedimento passo a passo
Para configurar a autenticação 802.1X e as PVLANs em uma única configuração:
Configure o perfil de acesso:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
Nota:O VoIP VLAN configurado não pode ser um PVLAN (primário, comunitário ou isolado).
Configure as configurações do 802.1X:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
Nota:Os dados configurados VLAN também podem ser uma VLAN comunitária ou uma VLAN isolada.
Configure as VLANs (incluindo as PVLANs):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os seguintes comandos no switch.show Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Verificação
- Verifique se os endereços MAC do cliente são aprendidos na VLAN primária
- Verifique se a VLAN primária é uma VLAN autenticada
Verifique se os endereços MAC do cliente são aprendidos na VLAN primária
Propósito
Mostre que um endereço MAC do cliente foi aprendido na VLAN primária.
Ação
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Verifique se a VLAN primária é uma VLAN autenticada
Propósito
Mostre que o VLAN primário é mostrado como uma VLAN autenticada.
Ação
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsColocando a segurança da porta de acesso em VLANs privadas
- Entenda a segurança da porta de acesso em PVLANs
- Diretrizes de configuração para colocar recursos de segurança da porta de acesso em PVLANs
- Exemplo: Configuração da segurança da porta de acesso em uma PVLAN
Entenda a segurança da porta de acesso em PVLANs
Agora, você pode habilitar recursos de segurança de porta de acesso, como o snooping DHCP, em VLANs privadas (PVLANs).
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso PVLAN permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN.
As LANs Ethernet são vulneráveis a ataques como spoofing de endereços (forja) e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os seguintes recursos de segurança de porta de acesso ajudam a proteger seu dispositivo contra perdas de informações e produtividade que esses ataques podem causar, e agora você pode configurar esses recursos de segurança em um PVLAN:
Espionagem DHCP — Filtros e bloqueios de entrada mensagens de servidor DHCP em portas não confiáveis. A espionagem DHCP constrói e mantém um banco de dados de informações de leasing DHCP, que é chamado de banco de dados de espionagem DHCP.
DHCPv6 snooping — DHCP snooping for IPv6.
Opção DHCP 82 — também conhecida como opção de informação do agente de retransmissão DHCP. Ajuda a proteger o switch contra ataques como spoofing de endereços IP e endereços MAC e endereços IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP. O servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Opções de DHCPv6:
Opção 37 — Opção de ID remoto para DHCPv6; insere informações sobre a localização da rede do host remoto em pacotes DHCPv6.
Opção 18 — Opção de ID de circuito para DHCPv6; insere informações sobre a porta do cliente em pacotes DHCPv6.
Opção 16 — Opção de ID do fornecedor para DHCPv6; insere informações sobre o fornecedor do hardware do cliente em pacotes DHCPv6.
Inspeção dinâmica de ARP (DAI)— evita ataques spoofing do Protocolo de Resolução de Endereços (ARP). As solicitações e respostas de ARP são comparadas com as entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.
Proteção de origem IP — reduz os efeitos dos ataques de spoofing de endereço IP na LAN Ethernet; valida o endereço IP de origem no pacote enviado de uma interface de acesso não confiável contra o banco de dados de espionagem DHCP. Se o pacote não puder ser validado, ele será descartado.
Proteção de origem IPv6 — proteção de origem IP para IPv6.
Inspeção de descoberta de vizinhos IPv6 — evita ataques de spoofing de endereçoS IPv6; compara solicitações de descoberta de vizinhos e respostas contra entradas no banco de dados de espionagem DHCPv6, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.
Este documento não fornece informações detalhadas sobre recursos de segurança de porta de acesso ou PVLANs. Para obter esses detalhes, veja a documentação do recurso específica para esses recursos individuais. Para acessar a segurança da porta, consulte o Guia de Administração de Serviços de Segurança. Para PVLANs, consulte o guia de usuário de comutação Ethernet.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/layer-2/layer2-multicast.html
Diretrizes de configuração para colocar recursos de segurança da porta de acesso em PVLANs
Tenha em mente as seguintes diretrizes e limitações para configurar recursos de segurança de porta de acesso em PVLANs:
Você deve aplicar os mesmos recursos de segurança da porta de acesso tanto no vlan primário quanto em todas as suas VLANs secundárias.
Uma PVLAN pode ter apenas uma interface integrada de roteamento e ponte (IRB), e a interface IRB deve estar na VLAN primária.
As limitações nas configurações de segurança da porta de acesso em PVLANs são as mesmas para configurações de recursos de segurança de porta de acesso que não estão em PVLANs. Consulte a documentação de segurança da porta de acesso no Guia de Administração de Serviços de Segurança.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/security-services.html
Exemplo: Configuração da segurança da porta de acesso em uma PVLAN
Requisitos
Junos OS Release 18.2R1 ou posterior
Switch EX4300
Visão geral
A seção de configuração a seguir mostra:
Configuração de uma VLAN privada, com a VLAN primária () e suas três VLANs secundárias — VLANs comunitárias ( e ) e VLAN isolada ().
vlan-privlan-hrvlan-financevlan-isoConfiguração das interfaces usadas para enviar comunicações entre as interfaces nessas VLANs.
Configuração de recursos de segurança de acesso nas VLANs primárias e secundárias que compõem a PVLAN.
Tabela 5 lista as configurações para a topologia de exemplo.
| Interface | Descrição |
|---|---|
ge-0/0/0,0 |
Interface de tronco VLAN primário (vlan1-pri) |
ge-0/0/11,0 |
Usuário 1, Comunidade de RH (vlan-hr) |
ge-0/0/12,0 |
Usuário 2, Comunidade de RH (vlan-hr) |
ge-0/0/13,0 |
Usuário 3, Comunidade Financeira (vlan-finance) |
ge-0/0/14,0 |
Usuário 4, Comunidade Financeira (vlan-finance) |
ge-0/0/15,0 |
Servidor de correio, isolado (vlan-iso) |
ge-0/0/16,0 |
Servidor de backup, isolado (vlan-iso) |
ge-1/0/0,0 |
Interface de tronco VLAN primário (vlan-pri) |
Configuração da segurança da porta de acesso em uma PVLAN
Procedimento
Configuração rápida da CLI
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Procedimento passo a passo
Para configurar uma VLAN privada (PVLAN) e, em seguida, configurar os recursos de segurança da porta de acesso naquela PVLAN:
Configure o PVLAN — Crie o VLAN primário e suas VLANs secundárias e atribua IDs VLAN a eles. Interfaces de associados com as VLANs. (Para obter mais informações sobre a configuração de VLANs, veja Configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).)https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/bridging-vlans-ex-series-cli-els.html
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure os recursos de segurança da porta de acesso na VLAN primária e em todas as suas VLANs secundárias:
Nota:Quando você configura a inspeção de ARP, o guarda de origem IP, o guarda-fonte IPv6, a inspeção de descoberta de vizinhos, a opção DHCP 82 ou as opções DHCPv6, em seguida, a espionagem DHCP e a espionagem DHCPv6 são configuradas automaticamente.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os seguintes comandos no switch.show Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Verificação
Verifique se os recursos de segurança de acesso estão funcionando como esperado
Propósito
Verifique se os recursos de segurança da porta de acesso que você configurou em sua PVLAN estão funcionando como esperado.
Ação
Use os comandos e a CLI para verificar se os recursos estão funcionando como esperado.show dhcp-securityclear dhcp-security Veja detalhes sobre esses comandos no Guia de Administração de Serviços de Segurança.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/security-services.html
Criação de uma VLAN privada em um único switch com suporte a ELS (procedimento CLI)
Essa tarefa usa o Junos OS para switches com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o switch da Série EX estiver executando um software que não oferece suporte ao ELS, consulte a criação de uma VLAN privada em um único switch da Série EX (procedimento CLI). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.Usando o CLI aprimorado de software de Camada 2
As VLANs privadas não são suportadas em switches QFX5100 e switches QFX10002 executando o Junos OS Release 15.1X53.
Por razões de segurança, muitas vezes é útil restringir o fluxo de tráfego unicast transmitido e desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando uma VLAN dentro de uma VLAN. Este procedimento descreve como criar uma PVLAN em um único switch.
Você deve especificar um VLAN ID para cada VLAN secundário, mesmo se o PVLAN estiver configurado em um único switch.
Você não precisa pré-configurar a VLAN primária. Este tópico mostra a VLAN primária sendo configurada como parte deste procedimento de configuração de PVLAN.
Para obter uma lista de diretrizes sobre a configuração de PVLANs, consulte Entendendo as VLANs privadas.Entendendo as VLANs privadas
Para configurar uma VLAN privada em um único switch:
Criação de uma VLAN privada em um único switch QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN secundária dentro de uma VLAN primária. Este tópico descreve como configurar uma PVLAN em um único switch.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Você não precisa pré-configurar o VLAN primário — ele está configurado como parte deste procedimento.) Você não precisa criar IDs VLAN (tags) para as VLANs secundárias. Ele não prejudica o funcionamento se você marcar o VLANS secundário, mas as tags não são usadas quando VLANs secundárias são configuradas em um único switch.
Lembre-se dessas regras ao configurar uma PVLAN:
O VLAN primário deve ser uma VLAN com tags.
Se você vai configurar uma VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .
Se você vai configurar uma VLAN isolada, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Se você concluir suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. Para configurar uma VLAN privada em um único switch:
Criação de VLAN privada em um único switch da Série EX (procedimento CLI)
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que você divida um domínio de broadcast, também conhecido como VLAN primário, em vários subdomains de broadcast isolados, também conhecidos como VLANs secundárias. Dividir a VLAN primária em VLANs secundárias essencialmente aninha uma VLAN dentro de outra VLAN. Este tópico descreve como configurar uma PVLAN em um único switch.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Ao contrário das VLANs secundárias, você não precisa pré-configurar a VLAN primária — este procedimento fornece a configuração completa da VLAN primária.) Embora as tags não sejam necessárias quando um VLAN secundário está configurado em um único switch, configurar uma VLAN secundária como tags não afeta negativamente sua funcionalidade. Para obter instruções sobre a configuração das VLANs secundárias, consulte a configuração de VLANs para switches da Série EX.
Tenha essas regras em mente ao configurar uma PVLAN em um único switch:
O VLAN primário deve ser uma VLAN com tags.
A configuração de um VLAN VoIP em interfaces PVLAN não é suportada.
Para configurar uma VLAN privada em um único switch:
As VLANs isoladas não estão configuradas como parte desse processo. Em vez disso, eles são criados internamente se estiverem habilitados na VLAN primária e o VLAN isolado tiver interfaces de acesso como membros.no-local-switching
Para habilitar opcionalmente o roteamento entre VLANs isoladas e comunitárias usando uma interface VLAN roteada (RVI) em vez de uma porta promíscua conectada a um roteador, veja Configurando uma interface VLAN roteada em uma VLAN privada em um switch da Série EX.Configuração de uma interface VLAN roteada em uma VLAN privada em um switch da Série EX
Apenas um switch EX8200 ou o Ex8200 Virtual Chassis suportam o uso de um RVI para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias em um domínio PVLAN.
Criação de uma VLAN privada que abrange vários switches da Série QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN secundária dentro de uma VLAN primária. Este tópico descreve como configurar uma PVLAN para abranger vários switches.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Você não precisa pré-configurar o VLAN primário — ele está configurado como parte deste procedimento.) Você não precisa criar IDs VLAN (tags) para as VLANs secundárias. Ele não prejudica o funcionamento se você marcar o VLANS secundário, mas as tags não são usadas quando VLANs secundárias são configuradas em um único switch.
As seguintes regras se aplicam à criação de PVLANs:
O VLAN primário deve ser uma VLAN com tags.
Se você vai configurar uma VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .
Se você vai configurar uma VLAN isolada, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Se você concluir suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. Para configurar uma VLAN privada para abranger vários switches:
Criação de uma VLAN privada que abrange vários switches da Série EX com suporte a ELS (procedimento CLI)
Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado Se o seu switch executa um software que não oferece suporte ao ELS, veja A criação de um VLAN privado que abrange vários switches da Série EX (procedimento CLI). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.Usando o CLI aprimorado de software de Camada 2
As VLANs privadas não são suportadas em switches QFX5100 e switches QFX10002 executando o Junos OS Release 15.1X53.
Por razões de segurança, muitas vezes é útil restringir o fluxo de tráfego unicast transmitido e desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando uma VLAN dentro de uma VLAN. Este procedimento descreve como configurar uma PVLAN para abranger vários switches.
Para obter uma lista de diretrizes sobre a configuração de PVLANs, consulte Entendendo as VLANs privadas.Entendendo as VLANs privadas
Para configurar uma PVLAN para abranger vários switches, realize o seguinte procedimento em todos os switches que participarão da PVLAN::
Criação de uma VLAN privada que abrange vários switches da Série EX (procedimento de CLI)
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast, também conhecido como VLAN primário, em vários subdomains de broadcast isolados, também conhecidos como VLANs secundárias. Dividir a VLAN primária em VLANs secundárias essencialmente aninha uma VLAN dentro de outra VLAN. Este tópico descreve como configurar uma PVLAN para abranger vários switches.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Ao contrário das VLANs secundárias, você não precisa pré-configurar a VLAN primária — este procedimento fornece a configuração completa da VLAN primária.) Para obter instruções sobre a configuração das VLANs secundárias, consulte a configuração de VLANs para switches da Série EX.
As seguintes regras se aplicam à criação de PVLANs:
O VLAN primário deve ser uma VLAN com tags.
Você deve configurar o VLAN primário e a porta tronco PVLAN antes de configurar as VLANs secundárias.
A configuração de um VLAN VoIP em interfaces PVLAN não é suportada.
Se o Protocolo de registro de VLAN múltiplo (MVRP) estiver configurado na porta-tronco PVLAN, a configuração de VLANs secundárias e a porta de tronco PVLAN devem ser comprometidas com a mesma operação de confirmação.
Para configurar uma VLAN privada para abranger vários switches:
Para habilitar opcionalmente o roteamento entre VLANs isoladas e comunitárias usando uma interface VLAN roteada (RVI) em vez de uma porta promíscua conectada a um roteador, veja Configurando uma interface VLAN roteada em uma VLAN privada em um switch da Série EX.Configuração de uma interface VLAN roteada em uma VLAN privada em um switch da Série EX
Apenas um switch EX8200 ou o Ex8200 Virtual Chassis suportam o uso de um RVI para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias em um domínio PVLAN.
Exemplo: Configuração de uma VLAN privada em um único switch com suporte a ELS
Este exemplo usa o Junos OS para switches com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch EX executa um software que não oferece suporte ao ELS, veja Exemplo: Configurando uma VLAN privada em um único switch da Série EX. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.Usando o CLI aprimorado de software de Camada 2
As VLANs privadas não são suportadas em switches QFX5100 e switches QFX10002 executando o Junos OS Release 15.1X53.
Por razões de segurança, muitas vezes é útil restringir o fluxo de tráfego unicast transmitido e desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando uma VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma PVLAN em um único switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch Junos OS
Junos OS Versão 14.1X53-D10 ou posterior para switches da Série EX
Junos OS Versão 14.1X53-D15 ou posterior para switches da Série QFX
Visão geral e topologia
Você pode isolar grupos de assinantes para melhorar a segurança e a eficiência. Este exemplo de configuração usa uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e três VLANs secundárias (uma VLAN isolada e duas VLANs comunitárias).
Tabela 6 lista as interfaces da topologia usada no exemplo.
| Interface | Descrição |
|---|---|
|
Portas de membro promíscuas |
|
Portas de membros de VLAN da comunidade de RH |
|
Portas de membros do VLAN da comunidade financeira |
|
Portas de membros isoladas |
Tabela 7 lista os IDs VLAN da topologia usada no exemplo.
| VLAN ID | Descrição |
|---|---|
|
VLAN primário |
|
VLAN da comunidade de RH |
|
VLAN da comunidade financeira |
|
VLAN isolada |
Figura 16 mostra a topologia para este exemplo.
Configuração
Você pode usar uma VLAN existente como base para sua PVLAN privada e criar subdomains dentro dela. Este exemplo cria uma VLAN primária — usando o nome VLAN — como parte do procedimento.vlan-pri
Para configurar uma PVLAN, execute essas tarefas:
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Procedimento
Procedimento passo a passo
Para configurar a PVLAN:
Crie a VLAN primária (neste exemplo, o nome é ) da VLAN privada:vlan-pri
[edit vlans] user@switch# set vlan-pri vlan-id 100
Crie uma VLAN isolada e atribua uma ID VLAN:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Crie o VLAN da comunidade de RH e atribua um ID VLAN:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Crie o VLAN da comunidade financeira e atribua um ID VLAN:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Associar as VLANs secundárias à VLAN primária:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Definir as interfaces para os modos de interface apropriados:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Configure uma interface de tronco promíscua da VLAN primária. Esta interface é usada pela VLAN primária para se comunicar com as VLANs secundárias.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure outra interface de tronco (também é uma interface promíscua) da VLAN primária, conectando o PVLAN ao roteador.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Exemplo: Configurando uma VLAN privada em um único switch da Série QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma PVLAN em um único switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um dispositivo QFX3500
Junos OS Versão 12.1 ou posterior para a Série QFX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja .Configuração de VLANs em switches
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e duas VLANs comunitárias, uma para RH e outra para finanças, além de duas portas isoladas — uma para o servidor de correio e outra para o servidor de backup.
Tabela 8 lista as configurações para a topologia da amostra.
| Interface | Descrição |
|---|---|
|
Interface de tronco VLAN primário () |
|
Usuário 1, Comunidade de RH () |
|
Usuário 2, Comunidade de RH () |
|
Usuário 3, Comunidade Financeira () |
|
Usuário 4, Comunidade Financeira () |
|
Servidor de correio, isolado () |
|
Servidor de backup, Isolado () |
|
Interface de tronco VLAN primário () |
Configuração
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimento
Procedimento passo a passo
Para configurar a PVLAN:
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan vlan-id 100
Definir as interfaces e os modos de porta:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Configure a VLAN primária para não ter comutação local:
Nota:O VLAN primário deve ser uma VLAN com tags.
[edit vlans] user@switch# set pvlan100 pvlan
Adicione as interfaces de tronco à VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Para cada VLAN secundária, configure interfaces de acesso:
Nota:Recomendamos que as VLANs secundárias sejam VLANs não registradas. Ele não prejudica o funcionamento se você marcar o VLANS secundário. No entanto, as tags não são usadas quando um VLAN secundário está configurado em um único switch.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN da comunidade, defina a VLAN primária:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Configure as interfaces isoladas na VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a VLAN privada e as VLANs secundárias foram criadas
Propósito
Verifique se a VLAN primária e as VLANs secundárias foram criadas corretamente no switch.
Ação
Use o comando:show vlans
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
A saída mostra que a VLAN primária foi criada e identifica as interfaces e VLANs secundárias associadas a ela.
Exemplo: Configurando uma VLAN privada em um único switch da Série EX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma PVLAN em um único switch da Série EX:
A configuração de uma VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportada.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX
Versão 9.3 ou posterior do Junos OS para switches da Série EX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja a configuração de VLANs para switches da Série EX.
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e duas VLANs comunitárias, uma para RH e outra para finanças, além de duas portas isoladas — uma para o servidor de correio e outra para o servidor de backup.
Tabela 9 lista as configurações para a topologia de exemplo.
| Interface | Descrição |
|---|---|
ge-0/0/0.0 |
Interface de tronco VLAN primário ()vlan1 |
ge-0/0/11.0 |
Usuário 1, Comunidade de RH ()hr-comm |
ge-0/0/12.0 |
Usuário 2, Comunidade de RH ()hr-comm |
ge-0/0/13.0 |
Usuário 3, Comunidade Financeira ()finance-comm |
ge-0/0/14.0 |
Usuário 4, Comunidade Financeira ()finance-comm |
ge-0/0/15.0 |
Servidor de correio, isolado ()isolated |
ge-0/0/16.0 |
Servidor de backup, Isolado ()isolated |
ge-1/0/0.0 |
Interface de tronco VLAN primário () pvlan |
Figura 17 mostra a topologia para este exemplo.
Configuração
Para configurar uma PVLAN, execute essas tarefas:
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Procedimento
Procedimento passo a passo
Para configurar a PVLAN:
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Definir as interfaces e os modos de porta:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Configure a VLAN primária para não ter comutação local:
Nota:O VLAN primário deve ser uma VLAN com tags.
[edit vlans] user@switch# set vlan1 no-local-switching
Adicione as interfaces de tronco à VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Para cada VLAN secundária, configure os IDs VLAN e as interfaces de acesso:
Nota:Recomendamos que as VLANs secundárias sejam VLANs não registradas. Ele não prejudica o funcionamento se você marcar o VLANS secundário. No entanto, as tags não são usadas quando um VLAN secundário está configurado em um único switch.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN da comunidade, defina a VLAN primária:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Adicione cada interface isolada à VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a VLAN privada e as VLANs secundárias foram criadas
Propósito
Verifique se a VLAN primária e as VLANs secundárias foram criadas corretamente no switch.
Ação
Use o comando:show vlans
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
A saída mostra que a VLAN primária foi criada e identifica as interfaces e VLANs secundárias associadas a ela.
Exemplo: Configuração de uma VLAN privada que abrange vários switches QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN. Uma PVLAN pode abranger vários switches.
Este exemplo descreve como criar um PVLAN que abrange vários switches. O exemplo cria uma PVLAN primária contendo várias VLANs secundárias:
- Requisitos
- Visão geral e topologia
- Configuração de uma PVLAN no Switch 1
- Configuração de uma PVLAN no Switch 2
- Configuração de uma PVLAN no Switch 3
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três dispositivos QFX3500
Junos OS Versão 12.1 ou posterior para a Série QFX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja .Configuração de VLANs em switches
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários dispositivos QFX, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para Finanças) e um VLAN isolado entre usuários (para o servidor de correio, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches, dois switches de acesso e um switch de distribuição. O PVLAN é conectado a um roteador por uma porta promíscua, que está configurada no switch de distribuição.
As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja .Entendendo as VLANs privadas
Figura 18 mostra a topologia para este exemplo — dois switches de acesso conectados a um switch de distribuição, que tem uma conexão (por meio de uma porta promíscua) com o roteador.
, e listar as configurações para a topologia de exemplo.Tabela 10Tabela 11Tabela 12
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-vlan-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 1 ao Switch 3 ge-0/0/5.0, conecta o Switch 1 ao Switch 2 |
Interfaces isoladas na VLAN primária |
ge-0/0/15.0, servidor de correio ge-0/0/16.0, servidor de backup |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-vlan-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 2 ao Switch 3 ge-0/0/5.0, conecta o Switch 2 ao Switch 1 |
Interface isolada na VLAN primária |
ge-0/0/17.0, servidor CVS |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-vlan-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 3 ao Switch 1 ge-0/0/1.0, conecta o Switch 3 ao Switch 2 |
Porta promíscua |
ge-0/0/2conecta o PVLAN ao roteador Nota:
Você deve configurar a porta-tronco que conecta a PVLAN a outro switch ou roteador fora da PVLAN como um membro da PVLAN, que a configura implicitamente como uma porta promíscua. |
Topologia
Configuração de uma PVLAN no Switch 1
Ao configurar uma PVLAN em vários switches, essas regras se aplicam:
O VLAN primário deve ser uma VLAN com tags. Recomendamos que você configure a VLAN primária primeiro.
Se você vai configurar uma ID VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta-tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .pvlan
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimento
Procedimento passo a passo
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Defina as interfaces de tronco PVLAN para conectar este VLAN em switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Definir o VLAN primário como privado e não ter comutação local:
[edit vlans] user@switch# set pvlan100 pvlan
Defina o VLAN ID para a VLAN da comunidade que abrange os switches:finance-comm
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure interfaces de acesso para a VLAN:finance-comm
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Definir a VLAN primária desta VLAN comunitária secundária, :finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN da comunidade de RH que abrange os switches.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure interfaces de acesso para a VLAN:hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Definir a VLAN primária desta VLAN comunitária secundária, :hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Configure o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Configure as interfaces isoladas na VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Nota:Quando você configura uma porta isolada, inclua-a como um membro da VLAN primária, mas não a configure como um membro de qualquer VLAN da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Configuração de uma PVLAN no Switch 2
Configuração rápida da CLI
Para criar e configurar rapidamente uma VLAN privada que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 2:
A configuração do Switch 2 é a mesma da configuração do Switch 1, exceto para a interface no domínio isolado do interswitch. Para o Switch 2, a interface é .ge-0/0/17.0
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Procedimento
Procedimento passo a passo
Para configurar uma PVLAN no Switch 2 que abrangerá vários switches:
Defina o VLAN ID para a VLAN da comunidade que abrange os switches:finance-comm
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure interfaces de acesso para a VLAN:finance-comm
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Definir a VLAN primária desta VLAN comunitária secundária, :finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN da comunidade de RH que abrange os switches.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure interfaces de acesso para a VLAN:hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Definir a VLAN primária desta VLAN comunitária secundária, :hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Defina as interfaces de tronco PVLAN que conectarão esta VLAN em switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Definir o VLAN primário como privado e não ter comutação local:
[edit vlans] user@switch# set pvlan100 pvlan
Configure o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Configure a interface isolada na VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Configuração de uma PVLAN no Switch 3
Configuração rápida da CLI
Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela terminal do Switch 3:
A interface ge-0/0/2.0 é uma porta-tronco que conecta a PVLAN a um roteador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Procedimento
Procedimento passo a passo
Para configurar o Switch 3 para funcionar como o switch de distribuição para este PVLAN, use o seguinte procedimento:
Defina o VLAN ID para a VLAN da comunidade que abrange os switches:finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
Definir a VLAN primária desta VLAN comunitária secundária, :finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN da comunidade de RH que abrange os switches:
[edit vlans] user@switch# set hr-comm vlan-id 400
Definir a VLAN primária desta VLAN comunitária secundária, :hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Defina as interfaces de tronco PVLAN que conectarão esta VLAN em switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Definir o VLAN primário como privado e não ter comutação local:
[edit vlans] user@switch# set pvlan100 pvlan
Configure o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 1
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 2
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no switch 3
Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 1
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 1:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada entre os fornecedores. A presença do pvlan-trunk e campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch.
Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 2
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 2:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 2 e mostra que ele inclui um VLAN isolado, duas VLANs comunitárias e um VLAN isolado entre dois dispositivos. A presença do pvlan-trunk e campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem à mesma PVLAN ().pvlan100
Verificando se a VLAN primária e as VLANs secundárias foram criadas no switch 3
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 3:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que o PVLAN () está configurado no Switch 3 e que ele não inclui VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada interswitch.pvlan100 No entanto, o Switch 3 está funcionando como um switch de distribuição, de modo que a saída não inclui interfaces de acesso dentro da PVLAN. Ele mostra apenas as interfaces que se conectam do Switch 3 aos outros switches (Switch 1 e Switch 2) na mesma PVLAN.pvlan-trunkpvlan100
Exemplo: Configuração de uma VLAN privada que abrange vários switches com uma interface IRB
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN. Uma PVLAN pode abranger vários switches. Este exemplo descreve como criar um PVLAN que abrange vários switches. O exemplo cria uma PVLAN primária, contendo várias VLANs secundárias.
Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e normalmente exigem que um dispositivo de Camada 3 seja usado se você quiser rotear o tráfego. Começando pelo Junos OS 14.1X53-D30, você pode usar uma interface integrada de roteamento e ponte (IRB) para rotear o tráfego de Camada 3 entre dispositivos conectados a uma PVLAN. Usar uma interface IRB dessa forma também pode permitir que os dispositivos na PVLAN se comuniquem na Camada 3 com dispositivos em outra comunidade ou VLANs isoladas ou com dispositivos fora do PVLAN. Este exemplo também demonstra como incluir uma interface IRB em uma configuração de PVLAN.
- Requisitos
- Visão geral e topologia
- Visão geral da configuração
- Configuração de uma PVLAN no Switch 1
- Configuração de uma PVLAN no Switch 2
- Configuração de uma PVLAN no Switch 3
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três switches da Série QFX ou EX4600
Versão do Junos OS com PVLAN para Série QFX ou EX4600
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários switches, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para Finanças) e um VLAN isolado entre usuários (para o servidor de correio, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches — dois switches de acesso e um switch de distribuição. Os dispositivos no PVLAN estão conectados na Camada 3 uns aos outros e a dispositivos fora da PVLAN por meio de uma interface IRB configurada no switch de distribuição.
As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja .Entendendo as VLANs privadas
Figura 19 mostra a topologia para este exemplo.
, e listar as configurações para a topologia de exemplo.Tabela 13Tabela 14Tabela 15
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
|
Interfaces de enlace interswitch |
|
Interfaces isoladas na VLAN primária |
|
Interfaces em VLAN |
|
Interfaces em VLAN |
|
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
|
Interfaces de enlace interswitch |
|
Interface isolada na VLAN primária |
|
Interfaces em VLAN |
|
Interfaces em VLAN |
|
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
, tag , tag |
Interfaces de enlace interswitch |
|
Porta promíscua |
Nota:
Você deve configurar a porta-tronco que conecta a PVLAN a outro switch ou roteador fora da PVLAN como um membro da PVLAN, que a configura implicitamente como uma porta promíscua. |
Interface IRB |
Configure um ARP proxy irrestrito na interface IRB para permitir que a resolução de ARP ocorra para que dispositivos que usam IPv4 possam se comunicar na Camada 3. Para tráfego IPv6, você deve mapear explicitamente um endereço IRB no endereço de destino para permitir a resolução de ARP. |
Topologia
Visão geral da configuração
Ao configurar uma PVLAN em vários switches, as seguintes regras se aplicam:
O VLAN primário deve ser uma VLAN com tags.
A VLAN primária é a única VLAN que pode ser um membro de uma interface de enlace interswitch.
Ao configurar uma interface IRB em uma PVLAN, essas regras se aplicam:
Você pode criar apenas uma interface IRB em uma PVLAN, independentemente de quantos switches participem da PVLAN.
A interface IRB deve ser um membro da VLAN primária na PVLAN.
Cada dispositivo host que você deseja conectar na Camada 3 deve usar um endereço IP da IRB como endereço de gateway padrão.
Configuração de uma PVLAN no Switch 1
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 1:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Procedimento
Procedimento passo a passo
Configure a interface xe-0/0/0 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/0 para ser um link interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 (o VLAN primário) para ser um membro da interface xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/5 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/5 para ser um link interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 para ser um membro da interface xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Crie a VLAN da comunidade para a organização financeira:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Crie a VLAN da comunidade para a organização de RH:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Crie a VLAN isolada para os servidores de e-mail e backup:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Crie a VLAN primária e torne a comunidade e as VLANs isoladas membros dela:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure o VLAN 300 (a VLAN da comunidade) para ser um membro da interface xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 300 (uma VLAN da comunidade) para ser um membro da interface xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuração de uma PVLAN no Switch 2
Configuração rápida da CLI
Para criar e configurar rapidamente uma VLAN privada que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 2:
A configuração do Switch 2 é a mesma da configuração do Switch 1, exceto para a VLAN isolada. Para o Switch 2, a interface VLAN isolada é .xe-0/0/17.0
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Procedimento
Procedimento passo a passo
Configure a interface xe-0/0/0 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/0 para ser um link interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 (o VLAN primário) para ser um membro da interface xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/5 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/5 para ser um link interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 para ser um membro da interface xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Crie a VLAN da comunidade para a organização financeira:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Crie a VLAN da comunidade para a organização de RH:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Crie a VLAN isolada para os servidores de e-mail e backup:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Crie a VLAN primária e torne a comunidade e as VLANs isoladas membros dela:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure o VLAN 300 (a VLAN da comunidade) para ser um membro da interface xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 300 (uma VLAN da comunidade) para ser um membro da interface xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuração de uma PVLAN no Switch 3
Configuração rápida da CLI
Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela terminal do Switch 3:
A interface xe-0/0/2.0 é uma porta-tronco que conecta o PVLAN a outra rede.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Procedimento
Procedimento passo a passo
Para configurar o Switch 3 para funcionar como o switch de distribuição para este PVLAN, use o seguinte procedimento:
Configure a interface xe-0/0/0 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/0 para ser um link interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 (o VLAN primário) para ser um membro da interface xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/5 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/5 para ser um link interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 para ser um membro da interface xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/2 (a interface promíscua) para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Configure o pvlan100 para ser um membro da interface xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Crie a VLAN primária:
[edit vlans] set vlans pvlan100 vlan-id 100
Crie a interface IRB e atribua um endereço na sub-rede usada pelos dispositivos conectados aos switches 1 e 2:
irb[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
Nota:Cada dispositivo host que você deseja conectar na Camada 3 deve estar na mesma sub-rede que a interface IRB e usar o endereço IP da interface IRB como endereço de gateway padrão.
Preencha a configuração da interface IRB vinculando a interface à VLAN principal:
pvlan100[edit vlans] set pvlan100 l3-interface irb.100
Configure o ARP proxy irrestrito para cada unidade da interface IRB para que a resolução de ARP funcione para o tráfego IPv4:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
Nota:Como os dispositivos da comunidade e as VLANs isoladas estão isolados na Camada 2, essa etapa é necessária para permitir que a resolução de ARP ocorra entre as VLANs para que os dispositivos que usam IPv4 possam se comunicar na Camada 3. (Para tráfego IPv6, você deve mapear explicitamente um endereço IRB no endereço de destino para permitir a resolução do ARP.)
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 1
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 2
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no switch 3
Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 1
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 1:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada entre os fornecedores. A presença do tronco e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch.
Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 2
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 2:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 2 e mostra que ele inclui um VLAN isolado, duas VLANs comunitárias e um VLAN isolado entre dois dispositivos. A presença do tronco e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem à mesma PVLAN ().pvlan100
Verificando se a VLAN primária e as VLANs secundárias foram criadas no switch 3
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 3:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que o PVLAN () está configurado no Switch 3 e que ele não inclui VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada interswitch.pvlan100 No entanto, o Switch 3 está funcionando como um switch de distribuição, de modo que a saída não inclui interfaces de acesso dentro da PVLAN. Ele mostra apenas as interfaces de tronco que se conectam do Switch 3 aos outros switches (Switch 1 e Switch 2) na mesma PVLAN.pvlan100
Exemplo: Configuração de uma VLAN privada que abrange vários switches da Série EX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN. Uma PVLAN pode abranger vários switches.
Este exemplo descreve como criar um PVLAN que abrange vários switches da Série EX. O exemplo cria uma PVLAN primária, contendo várias VLANs secundárias:
A configuração de uma VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportada.
- Requisitos
- Visão geral e topologia
- Configuração de uma PVLAN no Switch 1
- Configuração de uma PVLAN no Switch 2
- Configuração de uma PVLAN no Switch 3
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três switches da Série EX
Versão 10.4 ou posterior do Junos OS para switches da Série EX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja a configuração de VLANs para switches da Série EX.
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários switches da Série EX, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para Finanças) e uma VLAN isolada entre usuários (para o servidor de correio, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches, dois switches de acesso e um switch de distribuição. O PVLAN é conectado a um roteador por uma porta promíscua, que está configurada no switch de distribuição.
As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja como entender as VLANs privadas.Entendendo as VLANs privadas
Figura 20 mostra a topologia para este exemplo — dois switches de acesso conectados a um switch de distribuição, que tem uma conexão (por meio de uma porta promíscua) com o roteador.
Tabela 16, Tabela 17e listar as configurações para a topologia de exemplo.Tabela 18
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 1 ao Switch 3 ge-0/0/5.0, conecta o Switch 1 ao Switch 2 |
Interfaces em VLAN isolation |
ge-0/0/15.0, servidor de correio ge-0/0/16.0, servidor de backup |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 2 ao Switch 3 ge-0/0/5.0, conecta o Switch 2 ao Switch 1 |
Interfaces em VLAN isolation |
ge-0/0/17.0,servidor CVS |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 3 ao Switch 1 ge-0/0/1.0, conecta o Switch 3 ao Switch 2 |
Porta promíscua |
ge-0/0/2, conecta o PVLAN ao roteador Nota:
Você deve configurar a porta-tronco que conecta a PVLAN a outro switch ou roteador fora da PVLAN como um membro da PVLAN, que a configura implicitamente como uma porta promíscua. |
Topologia
Configuração de uma PVLAN no Switch 1
Configuração rápida da CLI
Ao configurar uma PVLAN em vários switches, essas regras se aplicam:
O VLAN primário deve ser uma VLAN com tags. Recomendamos que você configure a VLAN primária primeiro.
A configuração de uma VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportada.
Se você vai configurar uma ID VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta-tronco PVLAN.
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
VLANs secundárias e a porta tronco PVLAN devem ser comprometidas em um único compromisso se o MVRP estiver configurado na porta-tronco PVLAN.
Para criar e configurar rapidamente uma PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimento
Procedimento passo a passo
Preencha as etapas de configuração abaixo na ordem mostrada — também, preencha todas as etapas antes de comprometer a configuração em um único compromisso. Esta é a maneira mais fácil de evitar mensagens de erro desencadeadas por violações de qualquer uma dessas três regras:
Se você vai configurar uma ID VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta-tronco PVLAN.
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Vlans secundários e um tronco PVLAN devem ser cometidos em um único compromisso.
Para configurar uma PVLAN no Switch 1 que abrangerá vários switches:
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina as interfaces de tronco PVLAN que conectarão esta VLAN em switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure a VLAN primária para não ter comutação local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Defina o VLAN ID para a VLAN da comunidade que abrange os switches:finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure interfaces de acesso para a VLAN:finance-comm
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Definir a VLAN primária desta VLAN comunitária secundária, :finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN da comunidade de RH que abrange os switches.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure interfaces de acesso para a VLAN:hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Definir a VLAN primária desta VLAN comunitária secundária, :hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Configure a ID isolada entre switches para criar um domínio isolado entre switches que abrange os switches:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Configuração de uma PVLAN no Switch 2
Configuração rápida da CLI
Para criar e configurar rapidamente uma VLAN privada que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 2:
A configuração do Switch 2 é a mesma da configuração do Switch 1, exceto para a interface no domínio isolado entre switches. Para o Switch 2, a interface é .ge-0/0/17.0
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimento
Procedimento passo a passo
Para configurar uma PVLAN no Switch 2 que abrangerá vários switches:
Defina o VLAN ID para a VLAN da comunidade que abrange os switches:finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure interfaces de acesso para a VLAN:finance-comm
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Definir a VLAN primária desta VLAN comunitária secundária, :finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN da comunidade de RH que abrange os switches.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure interfaces de acesso para a VLAN:hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Definir a VLAN primária desta VLAN comunitária secundária, :hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina as interfaces de tronco PVLAN que conectarão esta VLAN em switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure a VLAN primária para não ter comutação local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Configure a ID isolada entre switches para criar um domínio isolado entre switches que abrange os switches:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Configuração de uma PVLAN no Switch 3
Configuração rápida da CLI
Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela terminal do Switch 3:
A interface ge-0/0/2.0 é uma porta-tronco que conecta a PVLAN a um roteador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimento
Procedimento passo a passo
Para configurar o Switch 3 para funcionar como o switch de distribuição para este PVLAN, use o seguinte procedimento:
Defina o VLAN ID para a VLAN da comunidade que abrange os switches:finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Definir a VLAN primária desta VLAN comunitária secundária, :finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN da comunidade de RH que abrange os switches:
[edit vlans] user@switch# hr-comm vlan-id 400
Definir a VLAN primária desta VLAN comunitária secundária, :hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para a VLAN primária:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina as interfaces de tronco PVLAN que conectarão esta VLAN em switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure a VLAN primária para não ter comutação local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Configure a ID isolada entre switches para criar um domínio isolado entre switches que abrange os switches:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 1
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 2
- Verificando se a VLAN primária e as VLANs secundárias foram criadas no switch 3
Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 1
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 1:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada entre os fornecedores. A presença dos campos e dos campos indica que este PVLAN está abrangendo mais de um switch.pvlan-trunkInter-switch-isolated
Verificando se a VLAN primária e as VLANs secundárias foram criadas no Switch 2
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 2:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada entre os fornecedores. A presença dos campos indica que este é o PVLAN que abrange mais de um switch.pvlan-trunkInter-switch-isolated Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem à mesma PVLAN ().pvlan100
Verificando se a VLAN primária e as VLANs secundárias foram criadas no switch 3
Propósito
Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 3:
Ação
Use o comando:show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que o PVLAN () está configurado no Switch 3 e que ele inclui duas VLANs isoladas, duas VLANs comunitárias e uma VLAN isolada com interswitch.pvlan100 No entanto, o Switch 3 está funcionando como um switch de distribuição, de modo que a saída não inclui interfaces de acesso dentro da PVLAN. Ele mostra apenas as interfaces que se conectam do Switch 3 aos outros switches (Switch 1 e Switch 2) na mesma PVLAN.pvlan-trunkpvlan100
Exemplo: Configuração de PVLANs com portas secundárias de tronco VLAN e portas de acesso promíscuas em um switch da Série QFX
Este exemplo mostra como configurar portas secundárias de porta-malas VLAN e portas de acesso promíscuas como parte de uma configuração de VLAN privada. As portas de porta-malas VLAN secundárias transportam tráfego VLAN secundário.
Este exemplo usa o Junos OS para switches que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS). Para obter mais informações sobre o ELS, veja Usando a CLI de software de camada 2 aprimorada.
Para uma determinada VLAN privada, uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN privada (primária) diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.
Para configurar uma porta tronco para transportar tráfego VLAN secundário, use as declarações isoladas e , conforme mostrado em etapas interface e 12 da configuração de exemplo para o Switch 1.isolated13
Quando o tráfego é retirado de uma porta-tronco VLAN secundária, normalmente ele carrega a tag da VLAN primária da qual a porta secundária é membro. Se você quiser que o tráfego que se egressa de uma porta-tronco VLAN secundária mantenha sua tag VLAN secundária, use a declaração de vlan-id secundária.extend-secondary-vlan-id
Uma porta de acesso promíscua transporta tráfego sem registro e pode ser um membro de apenas uma VLAN primária. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Esse tráfego transporta as tags de VLAN secundárias apropriadas quando ele se egresso das portas VLAN secundárias se a porta VLAN secundária for uma porta-tronco.
Para configurar uma porta de acesso promíscua, use a declaração promíscua , conforme mostrado em etapa da configuração de exemplo para o Switch 2.promiscuous12
Se o tráfego entrar em uma porta VLAN secundária e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.
- Requisitos
- Visão geral e topologia
- Configuração das PVLANs no Switch 1
- Configuração das PVLANs no Switch 2
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dois dispositivos QFX
Junos OS Versão 12.2 ou posterior para a Série QFX
Visão geral e topologia
Figura 21 mostra a topologia usada neste exemplo. O Switch 1 inclui várias VLANs privadas primárias e secundárias e também inclui duas portas de tronco VLAN secundárias configuradas para transportar VLANs secundárias que são membros das VLANs primárias pvlan100 e pvlan400.
O Switch 2 inclui as mesmas VLANs privadas. O número mostra o xe-0/0/0 no Switch 2 configurado com portas de acesso promíscuas ou portas de tronco promíscuas. A configuração de exemplo incluída aqui configura essa porta como uma porta de acesso promíscua.
O número também mostra como o tráfego fluiria após a entrada nas portas secundárias do porta-malas VLAN no Switch 1.
e listar as configurações para a topologia de exemplo em ambos os switches.Tabela 19Tabela 20
| Componente | Descrição |
|---|---|
pvlan100, ID 100 |
VLAN primário |
pvlan400, ID 400 |
VLAN primário |
comm300, ID 300 |
VLAN da comunidade, membro do pvlan100 |
comm600, ID 600 |
VLAN da comunidade, membro do pvlan400 |
isolação vlan-id 200 |
VLAN ID para VLAN isolada, membro do pvlan100 |
isolamento — vlan-id 500 |
ID de VLAN para VLAN isolado, membro do pvlan400 |
xe-0/0/0,0 |
Porta-tronco VLAN secundária para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/1,0 |
Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/2,0 |
Porta de acesso isolada para pvlan100 |
xe-0/0/3,0 |
Porta de acesso à comunidade para comm300 |
xe-0/0/5,0 |
Porta de acesso isolada para pvlan400 |
xe-0/0/6,0 |
Porta de tronco da comunidade para comm600 |
| Componente | Descrição |
|---|---|
pvlan100, ID 100 |
VLAN primário |
pvlan400, ID 400 |
VLAN primário |
comm300, ID 300 |
VLAN da comunidade, membro do pvlan100 |
comm600, ID 600 |
VLAN da comunidade, membro do pvlan400 |
isolação vlan-id 200 |
VLAN ID para VLAN isolada, membro do pvlan100 |
isolamento — vlan-id 500 |
ID de VLAN para VLAN isolado, membro do pvlan400 |
xe-0/0/0,0 |
Porta de acesso promíscua para VLANs primárias pvlan100 |
xe-0/0/1,0 |
Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/2,0 |
Porta-tronco secundária para VLAN isolada, membro do pvlan100 |
xe-0/0/3,0 |
Porta de acesso à comunidade para comm300 |
xe-0/0/5,0 |
Porta de acesso isolada para pvlan400 |
xe-0/0/6,0 |
Porta de acesso à comunidade para comm600 |
Configuração das PVLANs no Switch 1
Configuração rápida da CLI
Para criar e configurar rapidamente as PVLANs no Switch 1, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimento
Procedimento passo a passo
Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:
Configure as interfaces e os modos de porta:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Crie as VLANs primárias:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:As VLANs primárias devem ser sempre etiquetadas VLANs, mesmo que existam em apenas um dispositivo.
Configure as VLANs primárias para serem privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure a porta de tronco PVLAN para transportar o tráfego VLAN privado entre os switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Crie o VLAN comm300 secundário com VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure o VLAN primário para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure a interface para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Crie um VLAN comm600 secundário com VLAN ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure o VLAN primário para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure a interface para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure as VLANs isoladas interswitch:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Ao configurar uma porta-tronco VLAN secundária para transportar uma VLAN isolada, você também deve configurar um isolante vlan-id.isolation-vlan-id Isso é verdade, mesmo que a VLAN isolada exista apenas em um switch.
Habilite a porta do porta-tronco xe-0/0/0 para transportar VLANs secundárias para as VLANs primárias:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure a porta do tronco xe-0/0/0 para transportar comm600 (membro do pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:Você não precisa configurar explicitamente o xe-0/0/0 para transportar o tráfego VLAN isolado (tags 200 e 500) porque todas as portas isoladas em pvlan100 e pvlan400 — incluindo xe-0/0/0,0 — estão automaticamente incluídas nas VLANs isoladas criadas quando você configura e . .
isolation-vlan-id 200isolation-vlan-id 500Configure xe-0/0/2 e xe-0/0/6 para ficar isolado:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Confira os resultados da configuração no Switch 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuração das PVLANs no Switch 2
A configuração do Switch 2 é quase idêntica à configuração do Switch 1. A diferença mais significativa é que o xe-0/0/0 no Switch 2 é configurado como uma porta-tronco promíscua ou uma porta de acesso promíscua, como mostra.Figura 21 Na configuração a seguir, o xe-0/0/0 é configurado como uma porta de acesso promíscua para o pvlan 100 VLAN primário.
Se o tráfego entrar na porta habilitada para VLAN e se egressar em uma porta de acesso promíscua, as etiquetas VLAN serão lançadas na saída e o tráfego não estiver registrado nesse ponto. Por exemplo, o tráfego para entradas comm600 na porta-tronco de VLAN secundária configurada no xe-0/0/0,0 no Switch 1 e transporta a tag 600 conforme é encaminhada pelo VLAN secundário. Quando ele se esvai do xe-0/0/0,0 no Switch 2, ele será desativado se você configurar o xe-0/0/0,0 como uma porta de acesso promíscua como mostrado neste exemplo. Se, em vez disso, você configurar xe-0/0/0,0 como uma porta-tronco promíscua (tronco de modo de porta), o tráfego para comm600 carrega sua tag VLAN primária (400) quando ele se egresso.
Configuração rápida da CLI
Para criar e configurar rapidamente as PVLANs no Switch 2, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimento
Procedimento passo a passo
Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:
Configure as interfaces e os modos de porta:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Crie as VLANs primárias:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure as VLANs primárias para serem privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure a porta de tronco PVLAN para transportar o tráfego VLAN privado entre os switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Crie o VLAN comm300 secundário com VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure o VLAN primário para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure a interface para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Crie um VLAN comm600 secundário com VLAN ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure o VLAN primário para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure a interface para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Configuração das PVLANs no Switch 1
Configure as VLANs isoladas interswitch:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure a porta de acesso xe-0/0/0 para ser promíscua para o pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Uma porta de acesso promíscua pode ser um membro de apenas uma VLAN primária.
Configure xe-0/0/2 e xe-0/0/6 para ficar isolado:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Confira os resultados da configuração no Switch 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se a VLAN privada e as VLANs secundárias foram criadas
- Verificação das entradas da tabela de comutação da Ethernet
Verificando se a VLAN privada e as VLANs secundárias foram criadas
Propósito
Verifique se a VLAN primária e as VLANs secundárias foram criadas corretamente no Switch 1.
Ação
Use o comando:show vlans
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
A saída mostra que as VLANs privadas foram criadas e identifica as interfaces e VLANs secundárias associadas a elas.
Verificação das entradas da tabela de comutação da Ethernet
Propósito
Verifique se as entradas da tabela de comutação Ethernet foram criadas para o pvlan100 VLAN primário.
Ação
Mostre as entradas da tabela de comutação Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Verificando se uma VLAN privada está trabalhando em um switch
Propósito
Após a criação e configuração de VLANs privadas (PVLANs), verifique se elas estão configuradas corretamente.
Ação
Para determinar se você criou com sucesso as configurações primárias e secundárias de VLAN:
Para uma PVLAN em um único switch, use o comando:
show configuration vlansuser@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Para uma PVLAN que abrange vários switches, use o comando:show vlans
extensiveuser@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Use o comando para visualizar as informações de VLAN e o status do link para uma PVLAN em um único switch ou para uma PVLAN que abrange vários switches.
show vlansextensivePara uma PVLAN em um único switch:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Para uma PVLAN que abrange vários switches:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Use o comando para visualizar logs para o aprendizado MAC nas VLANs:
show ethernet-switching tableuser@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Se você tiver configurado um PVLAN que abrange vários switches, você pode usar o mesmo comando em todos os switches para verificar os logs para o aprendizado MAC nesses switches.
Significado
Nos displays de saída para um PVLAN em um único switch, você pode ver que o VLAN primário contém dois domínios da comunidade ( e ), duas portas isoladas e duas portas de tronco.community1community2 A PVLAN em um único switch tem apenas uma tag (), que é para a VLAN primária.1000
A PVLAN que abrange vários switches contém várias tags:
O domínio da comunidade é identificado com a tag .COM1100
O domínio da comunidade é identificado com a tag .community220
O domínio isolado do interswitch é identificado com a tag .50
O VLAN primário é identificado com a tag .primary10
Além disso, para o PVLAN que abrange vários switches, as interfaces do tronco são identificadas como .pvlan-trunk
Resolução de problemas de VLANs privadas em switches QFX
Use as seguintes informações para solucionar problemas de uma configuração de VLAN privada.
- Limitações de VLANs privadas
- Encaminhamento com VLANs privadas
- Filtros de firewall de saída com VLANs privadas
- Espelhamento de porta de saída com VLANs privadas
Limitações de VLANs privadas
As seguintes restrições se aplicam às configurações privadas de VLAN:
A espionagem de IGMP não é suportada com VLANs privadas.
Interfaces VLAN roteadas não são suportadas em VLANs privadas
O roteamento entre VLANs secundárias na mesma VLAN primária não é suportado.
Se você quiser mudar uma VLAN primária para ser uma VLAN secundária, você deve primeiro alterá-la para uma VLAN normal e confirmar a mudança. Por exemplo, você seguiria este procedimento:
Altere a VLAN primária para ser uma VLAN normal.
Confirmar a configuração.
Altere a VLAN normal para ser uma VLAN secundária.
Confirmar a configuração.
Siga a mesma sequência de confirmações se quiser alterar uma VLAN secundária para ser uma VLAN primária. Ou seja, faça da VLAN secundária uma VLAN normal e comprometa essa mudança e depois altere a VLAN normal para ser uma VLAN primária.
Encaminhamento com VLANs privadas
Problema
Descrição
Quando o tráfego isolado de VLAN ou VLAN da comunidade é recebido em uma porta-tronco PVLAN, os endereços MAC são aprendidos com a VLAN primária. Isso significa que a saída do comando da tabela de comutação de ethernet mostra que os endereços MAC são aprendidos com o VLAN primário e replicados em VLANs secundárias. Esse comportamento não afeta as decisões de encaminhamento.
Se um pacote com uma tag VLAN secundária for recebido em uma porta promíscua, ele será aceito e encaminhado.
Se um pacote for recebido em uma porta-tronco PVLAN e atender às duas condições listadas abaixo, ele será descartado.
O pacote tem uma tag VLAN da comunidade.
O pacote é destinado a um endereço MAC unicast ou endereço MAC de grupo multicast que foi aprendido em uma VLAN isolada.
Se um pacote for recebido em uma porta-tronco PVLAN e atender às duas condições listadas abaixo, ele será descartado.
O pacote tem uma tag VLAN isolada.
O pacote é destinado a um endereço MAC unicast ou endereço MAC de grupo multicast que foi aprendido em uma VLAN comunitária.
Se um pacote com uma tag VLAN primária for recebido por uma porta VLAN secundária (isolada ou comunitária), a porta secundária encaminha o pacote.
Se você configurar uma VLAN comunitária em um dispositivo e configurar outra VLAN da comunidade em um segundo dispositivo e ambas as VLANs da comunidade usarem o mesmo VLAN ID, o tráfego para uma das VLANs pode ser encaminhado para o outro VLAN. Por exemplo, assuma a seguinte configuração:
A comunidade VLAN comm1 no switch 1 tem VLAN ID 50 e é um membro do VLAN principal pvlan100.
O VLAN comm2 da comunidade no switch 2 também tem VLAN ID 50 e é um membro do VLAN principal pvlan200.
O pvlan100 VLAN primário existe em ambos os switches.
Se o tráfego para comm1 for enviado do switch 1 para o switch 2, ele será enviado para as portas que participam do comm2. (O tráfego também será encaminhado para as portas em comm1, como seria de esperar.)
Solução
São comportamentos esperados.
Filtros de firewall de saída com VLANs privadas
Problema
Descrição
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro também se aplica às VLANs secundárias que são membros da VLAN primária quando o tráfego se egressa com a tag VLAN primária ou tag VLAN isolada, conforme listado abaixo:
Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)
Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN isolada para uma porta-tronco PVLAN.
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco de VLAN secundária
Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta-tronco VLAN secundária
Tráfego encaminhado de uma porta da comunidade para uma porta promíscua (tronco ou acesso)
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:
Tráfego encaminhado de uma porta de tronco da comunidade para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN comunitária para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco da comunidade
Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta de tronco da comunidade
Se você aplicar um filtro de firewall na direção de saída a uma VLAN da comunidade, os seguintes comportamentos se aplicam:
O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) a uma porta de tronco da comunidade (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se egressa com a tag VLAN primária ou não conectado).
Solução
São comportamentos esperados. Elas ocorrem apenas se você aplicar um filtro de firewall a uma VLAN privada na direção de saída e não ocorrer se você aplicar um filtro de firewall a uma VLAN privada na direção de entrada.
Espelhamento de porta de saída com VLANs privadas
Problema
Descrição
Se você criar uma configuração de espelhamento de porta que espelha o tráfego VLAN privado (PVLAN) na saída, o tráfego espelhado (o tráfego que é enviado ao sistema analisador) tem a tag VLAN da VLAN de entrada em vez da VLAN de saída. Por exemplo, assuma a seguinte configuração PVLAN:
Porta-tronco promíscua que transporta VLANs primárias pvlan100 e pvlan400.
Porta de acesso isolada que transporta VLAN secundária isolada200. Este VLAN é um membro do pvlan100 VLAN primário.
Porta comunitária que transporta vlan comm300 secundário. Este VLAN também é um membro do pvlan100 VLAN primário.
Interface de saída (interface de monitor) que se conecta ao sistema de analisador. Essa interface encaminha o tráfego espelhado para o analisador.
Se um pacote para pvlan100 entrar na porta de tronco promíscuo e sair na porta de acesso isolada, o pacote original é desagregado na saída porque está saindo em uma porta de acesso. No entanto, a cópia do espelho retém a tag para pvlan100 quando ela é enviada ao analisador.
Aqui está outro exemplo: Se um pacote para comm300 entrar na porta da comunidade e se egresso na porta do tronco promíscuo, o pacote original leva a tag para pvlan100 na saída, como esperado. No entanto, a cópia espelhada retém a tag para comm300 quando é enviada ao analisador.
Solução
Esse é o comportamento esperado.