Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

VLANs privadas

Entendendo VLANs privadas

As VLANs limitam as transmissões a usuários especificados. As VLANs privadas (PVLANs) dão um passo além nesse conceito limitando a comunicação em um VLAN. As PVLANs conseguem isso restringindo os fluxos de tráfego através das portas de switches de membros (que são chamadas portas privadas) para que essas portas se comuniquem apenas com uma porta-tronco uplink especificada ou com portas especificadas dentro do mesmo VLAN. A porta uplink trunk ou o grupo de agregação de links (LAG) geralmente está conectado a um roteador, firewall, servidor ou rede de provedores. Cada PVLAN normalmente contém muitas portas privadas que se comunicam apenas com uma única porta de uplink, impedindo assim que as portas se comuniquem entre si.

As PVLANs oferecem isolamento de Camada 2 entre portas dentro de um VLAN, dividindo um domínio de broadcast em vários subdomínios de broadcast discretos, criando VLANs secundárias (VLANs comunitárias e um VLAN isolado ) dentro de um VLAN primário. Portas dentro da mesma comunidade VLAN podem se comunicar entre si. Portas dentro de um VLAN isolado podem se comunicar com uma única porta de uplink.

Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e exigem uma das seguintes opções para rotear o tráfego de Camada 3 entre as VLANs secundárias:

  • Uma conexão de porta promíscua com um roteador

  • Uma interface VLAN roteada (RVI)

Nota:

Para rotear o tráfego de Camada 3 entre VLANs secundárias, um PVLAN precisa de apenas uma das opções mencionadas acima. Se você usar um RVI, você ainda pode implementar uma conexão de porta promíscua a um roteador com a porta promíscua configurada para lidar apenas com o tráfego que entra e sai do PVLAN.

As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos. Os provedores de serviços usam PVLANs para manter seus clientes isolados uns dos outros. Outro uso típico para um PVLAN é fornecer acesso à Internet por quarto em um hotel.

Nota:

Você pode configurar um PVLAN para abranger switches que oferecem suporte a PVLANs.

Este tópico explica os seguintes conceitos sobre PVLANs em switches da Série EX:

Benefícios das PVLANs

A necessidade de segregar um único VLAN é particularmente útil nos seguintes cenários de implantação:

  • Fazendas de servidor — um provedor de serviços de Internet típico usa uma fazenda de servidores para fornecer hospedagem na Web para vários clientes. Localizar os vários servidores em uma única fazenda de servidor oferece facilidade de gerenciamento. Surgem preocupações de segurança se todos os servidores estiverem no mesmo VLAN, porque as transmissões de Camada 2 vão para todos os servidores da VLAN.

  • Redes Ethernet metropolitanas — um provedor de serviços metro oferece acesso Ethernet de Camada 2 a casas, comunidades de aluguel e empresas variadas. A solução tradicional de implantação de um VLAN por cliente não é escalável e é difícil de gerenciar, levando a possíveis desperdícios de endereços IP. As PVLANs oferecem uma solução mais segura e eficiente.

Estrutura típica e aplicação primária de PVLANs

Um PVLAN pode ser configurado em um único switch ou pode ser configurado para abranger vários switches. Os tipos de domínios e portas são:

  • VLAN primário — o VLAN principal do PVLAN é definido com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).

  • VLAN isolada/porta isolada — um VLAN primário pode conter apenas um VLAN isolado. Uma interface dentro de um VLAN isolado pode encaminhar pacotes apenas para uma porta promíscua ou para a porta INTER-Switch Link (ISL). Uma interface isolada não pode encaminhar pacotes para outra interface isolada; e uma interface isolada não pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador de gateway, o dispositivo deve ser conectado a uma porta-tronco isolada.

  • VLAN da comunidade/porta comunitária — você pode configurar várias VLANs comunitárias em um único PVLAN. Uma interface em uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença ao VLAN da mesma comunidade. Uma interface dentro de um VLAN comunitário também pode se comunicar com uma porta promíscua ou com a porta ISL. Se você tem, por exemplo, dois dispositivos de cliente que você precisa para isolar de outros dispositivos do cliente, mas que devem ser capazes de se comunicar uns com os outros, use portas da comunidade.

  • Porta promíscua — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces no PVLAN, independentemente de uma interface pertencer a um VLAN isolado ou a um VLAN comunitário. Uma porta promíscua é um membro do VLAN principal, mas não está incluída em nenhuma subdomain secundária. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente estão conectados a uma porta promíscua.

  • Link entre switches (ISL)— um ISL é uma porta-tronco que conecta vários switches em um PVLAN e contém dois ou mais VLANs. Ela só é necessária quando um PVLAN abrange vários switches.

O PVLAN configurado é o domínio principal (VLAN principal). Dentro do PVLAN, você configura VLANs secundárias , que se tornam subdomínio aninhados dentro do domínio principal. Um PVLAN pode ser configurado em um único switch ou pode ser configurado para abranger vários switches. O PVLAN mostrado inclui Figura 1 dois switches, com um domínio PVLAN primário e várias subdomains.

Figura 1: Subdomains em um PVLANSubdomains em um PVLAN

Como mostrado, Figura 3um PVLAN tem apenas um domínio primário e vários domínios secundários. Os tipos de domínios são:

  • VLAN primário — O VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias. O VLAN principal do PVLAN é definido com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).

  • VLAN isolado secundário — VLAN que recebe pacotes apenas do VLAN principal e encaminha os quadros upstream para o VLAN principal. O VLAN isolado é um VLAN secundário aninhado dentro do VLAN principal. Um VLAN primário pode conter apenas um VLAN isolado. Uma interface dentro de um VLAN isolado (interface isolada) pode encaminhar pacotes apenas para uma porta promíscua ou para a porta-tronco PVLAN. Uma interface isolada não pode encaminhar pacotes para outra interface isolada; nem uma interface isolada pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador, o dispositivo deve ser conectado a uma porta-tronco isolada.

  • VLAN isolado interswitch secundário — O VLAN costumava encaminhar o tráfego VLAN isolado de um switch para outro por meio de portas de tronco PVLAN. As etiquetas 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de marcação interna pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote. Um VLAN isolado inter-enfeitiçado é um VLAN secundário aninhado dentro do VLAN principal.

  • VLAN da comunidade secundária — o VLAN costumava transportar quadros entre membros de uma comunidade (um subconjunto de usuários dentro do VLAN) e encaminhar os quadros upstream para o VLAN principal. Um VLAN comunitário é um VLAN secundário aninhado dentro do VLAN principal. Você pode configurar várias VLANs comunitárias em um único PVLAN. Uma interface em uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença ao VLAN da mesma comunidade. Uma interface dentro de um VLAN comunitário também pode se comunicar com uma porta promíscua ou com a porta-tronco PVLAN.

Figura 2 mostra um PVLAN que abrange vários switches, onde o VLAN principal (100) contém dois domínios (300 da comunidade e 400) e um domínio isolado entre os dois.

Figura 2: PVLAN abrangendo vários switchesPVLAN abrangendo vários switches
Nota:

As VLANs primárias e secundárias contam contra o limite de 4089 VLANs suportados na Série QFX. Por exemplo, cada VLAN conta Figura 2 contra esse limite.

Estrutura típica e aplicação primária de PVLANs em roteadores da Série MX

O PVLAN configurado torna-se o domínio principal, e as VLANs secundárias tornam-se subdomínios aninhados dentro do domínio principal. Um PVLAN pode ser criado em um único roteador. O PVLAN mostrado inclui Figura 3 um roteador, com um domínio PVLAN primário e várias subdomains secundárias.

Figura 3: Subdomains em um PVLAN com um roteadorSubdomains em um PVLAN com um roteador

Os tipos de domínios são:

  • VLAN primário — O VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias.

  • VLAN isolado secundário — VLAN que recebe pacotes apenas do VLAN principal e encaminha os quadros upstream para o VLAN principal.

  • VLAN isolado interswitch secundário — O VLAN costumava encaminhar o tráfego VLAN isolado de um roteador para outro por meio de portas de tronco PVLAN.

  • VLAN da comunidade secundária — o VLAN costumava transportar quadros entre membros de uma comunidade, que é um subconjunto de usuários dentro do VLAN, e encaminhar os quadros upstream para o VLAN principal.

Nota:

As PVLANs são suportadas em roteadores MX80, em roteadores MX240, MX480 e MX960 com DPCs no modo LAN aprimorado, em roteadores da Série MX com MPC1, MPC2 e PICs de serviços adaptativos.

Estrutura típica e aplicação primária de PVLANs em switches da Série EX

Nota:

O VLAN principal do PVLAN é definido com uma tag 802.1Q (VLAN ID) para o PVLAN completo. Nos switches EX9200, cada VLAN secundário também deve ser definido com seu próprio VLAN ID separado.

Figura 4 mostra um PVLAN em um único switch, onde o VLAN principal (VLAN 100) contém duas VLANs comunitárias (VLAN 300 e VLAN 400) e uma VLAN isolada (VLAN 50).

Figura 4: VLAN privada em um único switch EXVLAN privada em um único switch EX

Figura 5 mostra um PVLAN que abrange vários switches, onde o VLAN principal (VLAN 100) contém duas VLANs comunitárias (VLAN 300 e VLAN 400) e uma VLAN isolada (VLAN 200). Também mostra que os switches 1 e 2 estão conectados por um enlace interswitch (enlace de tronco PVLAN).

Figura 5: PVLAN abrangendo vários switches da Série EXPVLAN abrangendo vários switches da Série EX

Além disso, as PVLANs são mostradas Figura 4 e Figura 5 usam uma porta promíscua conectada a um roteador como meio de rotear o tráfego de Camada 3 entre a comunidade e VLANs isoladas. Em vez de usar a porta promíscua conectada a um roteador, você pode configurar um RVI no switch ou em Figura 4 um dos switches mostrados (em Figura 5 alguns switches EX).

Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador a uma porta promíscua, conforme mostrado Figura 4 e Figura 5, ou configurar um RVI.

Se você escolher a opção RVI, você deve configurar um RVI para o VLAN principal no domínio PVLAN. Este RVI atende a todo o domínio PVLAN, independentemente de o domínio incluir um ou mais switches. Após configurar o RVI, os pacotes de Camada 3 recebidos pelas interfaces secundárias de VLAN são mapeados e roteados pelo RVI.

Ao configurar o RVI, você também deve habilitar o Proxy Address Resolution Protocol (ARP) para que o RVI possa lidar com as solicitações de ARP recebidas pelas interfaces de VLAN secundárias.

Para obter informações sobre a configuração de PVLANs em um único switch e em vários switches, consulte a criação de um VLAN privado em um único procedimento de CLI (Series Switch EX). Para obter informações sobre a configuração de um RVI, consulte a configuração de uma Interface VLAN roteada em um VLAN privado em um switch da Série EX.

Roteamento entre VLANs isoladas e comunitárias

Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador ou switch externo a uma porta-tronco do VLAN principal. A porta-tronco do VLAN principal é uma porta promíscua ; portanto, ela pode se comunicar com todas as portas do PVLAN.

PVLANs usam etiquetas 802.1Q para identificar pacotes

Quando os pacotes são marcados com uma tag 802.1Q específica do cliente, essa tag identifica a propriedade dos pacotes para qualquer switch ou roteador na rede. Às vezes, as etiquetas 802.1Q são necessárias dentro das PVLANs para acompanhar os pacotes de diferentes subdomains. Tabela 1 indica quando uma tag VLAN 802.1Q é necessária no VLAN primário ou em VLANs secundárias.

Tabela 1: Quando as VLANs em um PVLAN precisam de etiquetas 802.1Q

Em um único switch Em vários switches

VLAN principal

Especifique uma tag 802.1Q configurando um ID VLAN.

Especifique uma tag 802.1Q configurando um ID VLAN.

VLAN secundário

Não é necessário tag em VLANs.

As VLANs precisam de etiquetas 802.1Q:

  • Especifique uma tag 802.1Q para cada VLAN da comunidade definindo um ID VLAN.

  • Especifique a tag 802.1Q para um ID VLAN de isolamento configurando um ID de isolamento.

PVLANs usam endereços IP de maneira eficiente

As PVLANs fornecem conservação de endereços IP e alocação eficiente de endereços IP. Em uma rede típica, as VLANs geralmente correspondem a uma única sub-rede IP. Em PVLANs, os hosts em todas as VLANs secundárias pertencem à mesma sub-rede IP porque a sub-rede é alocada para o VLAN principal. Os hosts dentro do VLAN secundário são atribuídos endereços IP com base em sub-redes IP associadas ao VLAN principal, e suas informações de máscara de sub-rede IP refletem a da sub-rede VLAN primária. No entanto, cada VLAN secundário é um domínio de broadcast separado.

Tipos de porta PVLAN e regras de encaminhamento

As PVLANs podem usar até seis tipos de portas diferentes. A rede descrita usaFigura 2 uma porta promíscua para transportar informações para o roteador, portas comunitárias para conectar as comunidades financeiras e de RH a seus respectivos switches, portas isoladas para conectar os servidores e uma porta-tronco PVLAN para conectar os dois switches. As portas PVLAN têm restrições diferentes:

  • Porta tronco promíscuo — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces que estão no PVLAN, independentemente de a interface pertencer a um VLAN isolado ou a um VLAN comunitário. Uma porta promíscua é um membro do VLAN principal, mas não está incluída em uma das subdomains secundárias. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente estão conectados a uma porta promíscua.

  • Enlace de tronco PVLAN — o enlace de tronco PVLAN, que também é conhecido como o enlace interswitch, só é necessário quando um PVLAN é configurado para abranger vários switches. O enlace de tronco PVLAN conecta os vários switches que compõem o PVLAN.

  • Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (ou seja, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta o tráfego do VLAN principal e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas que não sejam as portas isoladas.

    A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A adesão de uma porta-tronco PVLAN ao VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados a todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).

  • Porta-tronco VLAN secundária (não mostrada)— portas secundárias de tronco transportam tráfego VLAN secundário. Para um determinado VLAN privado, uma porta-tronco VLAN secundária pode transportar tráfego para apenas um VLAN secundário. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundário seja um membro de um VLAN primário diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para um VLAN comunitário que faz parte do pvlan100 VLAN principal e também transportar tráfego para um VLAN isolado que faz parte do pvlan400 VLAN primário.

  • Porta comunitária — as portas comunitárias se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo seleto de usuários. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas em seu PVLAN.

  • Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN — uma porta isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros do mesmo domínio VLAN isolado (ou VLAN isolado interswitch). Normalmente, um servidor, como um servidor de e-mail ou um servidor de backup, está conectado em uma porta isolada. Em um hotel, cada quarto normalmente estaria conectado em uma porta isolada, o que significa que a comunicação quarto a quarto não é possível, mas cada quarto pode acessar a Internet na porta promíscua.

  • Porta de acesso promíscua (não mostrada)— Essas portas transportam tráfego não registrado. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias do dispositivo. Se o tráfego entrar no dispositivo em uma porta habilitada para VLAN e se egressar em uma porta de acesso promíscua, o tráfego não é registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego é descartado.

  • Porta de enlace Interswitch — Uma porta de enlace interswitch (ISL) é uma porta-tronco que conecta dois roteadores quando um PVLAN abrange esses roteadores. A porta ISL é um membro de todas as VLANs dentro do PVLAN (ou seja, o VLAN principal, as VLANs da comunidade e o VLAN isolado).

    A comunicação entre uma porta ISL e uma porta isolada é unidirecional. A adesão de uma porta ISL ao VLAN isolado interswitch é apenas de saída, o que significa que o tráfego recebido na porta ISL nunca é atribuído ao VLAN isolado. Uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não pode encaminhar pacotes para uma porta isolada. Tabela 3 resume se existe conectividade de Camada 2 entre os diferentes tipos de portas.

Tabela 2 resume a conectividade de Camada 2 entre os diferentes tipos de portas dentro de um PVLAN em switches da Série EX que oferecem suporte a ELS.

Tabela 2: Portas PVLAN e encaminhamento de Camada 2 em switches da Série EX que oferecem suporte a ELS

Do tipo porta

Para portas isoladas?

Para portas promíscuas?

Para portas comunitárias?

Para a porta de enlace entre switches?

Isolado

Negar

Permitir

Negar

Permitir

Promíscuo

Permitir

Permitir

Permitir

Permitir

Comunidade 1

Negar

Permitir

Permitir

Permitir

Tabela 3: Portas PVLAN e conectividade de Camada 2

Tipo de porta

Tronco promíscuo

Tronco de PVLAN

Tronco secundário

Comunidade

Acesso isolado

Acesso promíscuo

Tronco promíscuo

Sim

Sim

Sim

Sim

Sim

Sim

Tronco de PVLAN

Sim

Sim

Sim

Sim — só a mesma comunidade

Sim

Sim

Tronco secundário

Sim

Sim

Não

Sim

Não

Sim

Comunidade

Sim

Sim

Sim

Sim — só a mesma comunidade

Não

Sim

Acesso isolado

Sim

Sim — somente unidirecional

Não

Não

Não

Sim

Acesso promíscuo

Sim

Sim

Sim

Sim

Sim

Não

Tabela 4 resume se existe ou não conectividade de Camada 2 entre os diferentes tipos de portas dentro de um PVLAN.

Tabela 4: Portas PVLAN e conectividade de Camada 2 em switches da Série EX sem suporte a ELS

Tipo de porta

Para: →

A partir de:↓

Promíscuo

Comunidade

Isolado

Tronco de PVLAN

RVI

Promíscuo

Sim

Sim

Sim

Sim

Sim

Comunidade

Sim

Sim — só a mesma comunidade

Não

Sim

Sim

Isolado

Sim

Não

Não

Sim

Nota:

Essa comunicação é unidirecional.

Sim

Tronco de PVLAN

Sim

Sim — só a mesma comunidade

Sim

Nota:

Essa comunicação é unidirecional.

Sim

Sim

RVI

Sim

Sim

Sim

Sim

Sim

Como observado, a comunicação de Tabela 4Camada 2 entre uma porta isolada e uma porta-tronco PVLAN é unidirecional. Ou seja, uma porta isolada só pode enviar pacotes para uma porta-tronco PVLAN, e uma porta-tronco PVLAN só pode receber pacotes de uma porta isolada. Por outro lado, uma porta-tronco PVLAN não pode enviar pacotes para uma porta isolada, e uma porta isolada não pode receber pacotes de uma porta-tronco PVLAN.

Nota:

Se você habilitar no-mac-learning um VLAN primário, todas as VLANs isoladas (ou o VLAN isolado interswitch) no PVLAN herdam essa configuração. No entanto, se você quiser desativar o aprendizado de endereço MAC em quaisquer VLANs da comunidade, você deve configurar no-mac-learning em cada uma dessas VLANs.

Criação de um PVLAN

O fluxograma mostrado oferece Figura 6 uma ideia geral do processo de criação de PVLANs. Se você completar suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. (Nas regras do PVLAN, a configuração da porta-tronco PVLAN se aplica apenas a um PVLAN que abrange vários roteadores.)

  • O VLAN principal deve ser um VLAN marcado.

  • Se você vai configurar um VLAN ID comunitário, você deve primeiro configurar o VLAN principal.

  • Se você vai configurar um ID VLAN isolado, você deve primeiro configurar o VLAN principal.

Nota:

A configuração de um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é compatível.

Configurar um VLAN em um único roteador é relativamente simples, como mostrado em Figura 6.

Figura 6: Configuração de uma PVLAN em um único switchConfiguração de uma PVLAN em um único switch

A configuração de um VLAN principal consiste nessas etapas:

  1. Configure o nome VLAN principal e a tag 802.1Q.

  2. Configure no-local-switching o VLAN principal.

  3. Configure a porta-tronco promíscua e as portas de acesso.

  4. Faça o tronco promíscuo e os membros das portas de acesso do VLAN principal.

Dentro de um VLAN primário, você pode configurar VLANs comunitárias secundárias ou VLANs isoladas secundárias ou ambas. A configuração de um VLAN comunitário secundário consiste nessas etapas:

  1. Configure uma VLAN usando o processo usual.

  2. Configure interfaces de acesso para o VLAN.

  3. Atribuir um VLAN primário à comunidade VLAN,

VLANs isoladas são criadas internamente quando o VLAN isolado tem interfaces de acesso como membros e a opção no-local-switching é ativada no VLAN principal.

As etiquetas 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de marcação interna pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote.

As portas de tronco só são necessárias para configurações de PVLAN multicamar— a porta-tronco transporta tráfego do VLAN principal e de todas as VLANs secundárias.

Limitações de VLANs privadas

As seguintes restrições aplicam-se às configurações privadas de VLAN:

  • Uma interface de acesso pode pertencer a apenas um domínio PVLAN, ou seja, ele não pode participar de duas VLANs primárias diferentes.

  • Uma interface de tronco pode ser um membro de duas VLANs secundárias, desde que as VLANs secundárias estejam em duas VLANs primárias diferentes . Uma interface de tronco não pode ser um membro de duas VLANs secundárias que estão no mesmo VLAN primário.

  • Uma única região do Protocolo de Árvores de Abrangência Múltipla (MSTP) deve ser configurada em todas as VLANs incluídas no PVLAN.

  • O VLAN Spanning Tree Protocol (VSTP) não tem suporte.

  • O IGMP não é compatível com VLANs privadas.

  • Interfaces VLAN roteadas não são suportadas em VLANs privadas

  • O roteamento entre VLANs secundárias no mesmo VLAN primário não é suportado.

  • Algumas declarações de configuração não podem ser especificadas em um VLAN secundário. Você pode configurar as seguintes declarações no nível de [edit vlans vlan-name switch-options] hierarquia apenas no PVLAN principal.

  • Se você quiser mudar um VLAN primário para ser um VLAN secundário, você deve primeiro alterá-lo para um VLAN normal e cometer a mudança. Por exemplo, você seguiria este procedimento:

    1. Altere o VLAN primário para ser um VLAN normal.

    2. Comprometa a configuração.

    3. Altere o VLAN normal para ser um VLAN secundário.

    4. Comprometa a configuração.

    Siga a mesma sequência de confirmações se você quiser mudar um VLAN secundário para ser um VLAN primário. Ou seja, tornar o VLAN secundário um VLAN normal e cometer essa mudança e, em seguida, mudar o VLAN normal para ser um VLAN primário.

Os recursos a seguir não são suportados em PVLANs em switches Junos com suporte para o estilo de configuração ELS:

  • Filtros de firewall VLAN de saída

  • Proteção de anel Ethernet (ERP)

  • Marcação flexível de VLAN

  • estatísticas globais de mac

  • Interface de roteamento e ponte integrada (IRB)

  • Grupos de agregação de enlace multichassis (MC-LAGs)

  • Espelhamento de porta

  • Tunelamento Q-in-Q

  • Protocolo de árvore de abrangência VLAN (VSTP)

  • IP de voz (VoIP)

Você pode configurar as seguintes declarações no nível de [edit vlans vlan-name switch-options] hierarquia apenas no PVLAN principal:

Entender os fluxos de tráfego PVLAN em vários switches

Este tópico ilustra e explica três fluxos de tráfego diferentes em uma rede multiswitch amostra configurada com um VLAN privado (PVLAN). As PVLANs restringem os fluxos de tráfego através das portas de switch de membro (que são chamadas de "portas privadas") para que elas se comuniquem apenas com uma porta de tronco de uplink específica ou com portas especificadas dentro do mesmo VLAN.

Este tópico descreve:

VLAN da comunidade enviando tráfego não registrado

Nesse cenário, um VLAN na Comunidade 1 do Switch 1 na interface ge-0/0/0 envia tráfego sem registro. As setas representam Figura 7 esse fluxo de tráfego.

Figura 7: VLAN da comunidade envia tráfego não registradoVLAN da comunidade envia tráfego não registrado

Nesse cenário, a seguinte atividade ocorre no Switch 1:

  • VLAN comunitário-1 na interface ge-0/0/0: Aprendizagem

  • pvlan100 na interface ge-0/0/0: Replicação

  • VLAN comunitário-1 na interface ge-0/0/12: Recebe tráfego

  • Porta-tronco PVLAN: Saídas de tráfego da ge-1/0/2 e do ae0 com a tag 10

  • Community-2: A interface não recebe tráfego

  • VLANs isoladas: As interfaces não recebem tráfego

Nesse cenário, essa atividade ocorre no Switch 3:

  • VLAN comunitário-1 na interface ge-0/0/23 (tronco PVLAN): Aprendizagem

  • pvlan100 na interface ge-0/0/23: Replicação

  • VLAN comunitário-1 na interface ge-0/0/9 e ge-0/0/16: Recebe tráfego

  • Porta tronco promíscuo: Saídas de tráfego da ge-0/0/0 com a tag 100

  • Comunidade 2: A interface não recebe tráfego

  • VLANs isoladas: As interfaces não recebem tráfego

VLAN isolada que envia tráfego não registrado

Nesse cenário, o VLAN1 isolado no Switch 1 na interface ge-1/0/0 envia tráfego não registrado. As setas representam Figura 8 esse fluxo de tráfego.

Figura 8: VLAN isolada envia tráfego não registradoVLAN isolada envia tráfego não registrado

Nesse cenário, a seguinte atividade ocorre no Switch 1:

  • VLAN1 isolado na interface ge-1/0/0: Aprendizagem

  • pvlan100 na interface ge-1/0/0: Replicação

  • Saídas de tráfego do pvlan-trunk ge-1/0/2 e ae0 com a tag 50

  • Comunidade-1 e Comunidade-2: As interfaces não recebem tráfego

  • VLANs isoladas: As interfaces não recebem tráfego

Nesse cenário, essa atividade ocorre no Switch 3:

  • VLAN na interface ge-0/0/23 (porta-tronco PVLAN): Aprendizagem

  • pvlan100 na interface ge0/0/23: Replicação

  • Porta tronco promíscuo: Saídas de tráfego da ge-0/0/0 com a tag 100

  • Comunidade-1 e Comunidade-2: As interfaces não recebem tráfego

  • VLANs isoladas: Não receba tráfego

Tráfego PVLAN tagged enviado em uma porta promíscua

Nesse cenário, o tráfego marcado por PVLAN é enviado em uma porta promíscua. As setas representam Figura 9 esse fluxo de tráfego.

Figura 9: Tráfego PVLAN tagged enviado em uma porta promíscuaTráfego PVLAN tagged enviado em uma porta promíscua

Nesse cenário, a seguinte atividade ocorre no Switch 1:

  • pvlan100 VLAN na interface ae0 (tronco PVLAN): Aprendizagem

  • Comunidade-1, Comunidade-2 e todas as VLANs isoladas na interface ae0: Replicação

  • VLAN na interface ae0: Replicação

  • Saídas de tráfego do pvlan-trunk ge-1/0/2 com a tag 100

  • Comunidade-1 e Comunidade-2: As interfaces recebem tráfego

  • VLANs isoladas: Receba tráfego

Nesse cenário, essa atividade ocorre no Switch 3:

  • pvlan100 na interface ge-0/0/0: Aprendizagem

  • Comunidade-1, Comunidade-2 e todas as VLANs isoladas na interface ge-0/0/0: Replicação

  • VLAN na interface ge-0/0/0: Replicação

  • Comunidade-1 e Comunidade-2: As interfaces recebem tráfego

  • VLANs isoladas: Receba tráfego

Entender portas de tronco VLAN secundárias e portas de acesso promíscuas em PVLANs

As VLANs limitam as transmissões a usuários especificados. As VLANs privadas (PVLANs) dão um passo além nesse conceito, dividindo um VLAN em vários subdomains de broadcast e essencialmente colocando VLANs secundárias dentro de um VLAN primário. As PVLANs restringem os fluxos de tráfego por suas portas membros para que essas portas se comuniquem apenas com uma porta de tronco de uplink especificada ou com portas especificadas dentro do mesmo VLAN. A porta de tronco de uplink geralmente está conectada a uma rede de roteador, firewall, servidor ou provedor. Um PVLAN normalmente contém muitas portas privadas que se comunicam apenas com um único uplink, impedindo assim que as portas se comuniquem entre si.

Portas secundárias de tronco e portas de acesso promíscuas ampliam a funcionalidade das PVLANs para uso em implantações complexas, como:

  • Ambientes de infraestrutura de VMWare empresarial

  • Serviços de nuvem multilocantes com gerenciamento de VM

  • Serviços de hospedagem web para vários clientes

Por exemplo, você pode usar portas secundárias de tronco VLAN para conectar dispositivos QFX a servidores VMware que são configurados com VLANs privadas. Você pode usar portas de acesso promíscuas para conectar dispositivos QFX a sistemas que não oferecem suporte a portas de tronco, mas precisam participar de VLANs privadas.

Este tópico explica os seguintes conceitos sobre PVLANs na Série QFX:

Tipos de porta PVLAN

As PVLANs podem usar os seguintes tipos de porta diferentes:

  • Porta tronco promíscuo — uma porta promíscua é uma porta-tronco upstream conectada a um roteador, firewall, servidor ou rede de provedores. Uma porta-tronco promíscua pode se comunicar com todas as interfaces, incluindo as portas isoladas e comunitárias dentro de um PVLAN.

  • Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (ou seja, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta o tráfego do VLAN principal e de todas as VLANs secundárias. Ela pode se comunicar com todas as portas.

    A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A adesão de uma porta-tronco PVLAN ao VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados a todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).

  • Porta-tronco VLAN secundária — portas secundárias de porta-malas VLAN transportam tráfego VLAN secundário. Para um determinado VLAN privado (primário), uma porta-tronco VLAN secundária pode transportar tráfego para apenas um VLAN secundário. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundário seja um membro de um VLAN primário diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para um VLAN comunitário que faz parte do pvlan100 VLAN principal e também transportar tráfego para um VLAN isolado que faz parte do pvlan400 VLAN primário.

    Nota:

    Quando o tráfego é retirado de uma porta-tronco VLAN secundária, ele normalmente transporta a tag do VLAN primário da qual a porta secundária é membro. Se você quiser tráfego que se egressa de uma porta-tronco VLAN secundária para manter sua tag VLAN secundária, use a extend-secondary-vlan-id declaração.

  • Porta comunitária — as portas comunitárias se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo seleto de usuários. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas em seu PVLAN.

  • Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN. Uma porta de acesso isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros do mesmo VLAN isolado.

  • Porta de acesso promíscua — essas portas transportam tráfego não registrado e podem ser um membro de apenas um VLAN principal. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Nesse caso, o tráfego transporta a tag VLAN secundária apropriada quando ele se aproxima da porta VLAN secundária se a porta VLAN secundária for uma porta tronco. Se o tráfego entrar em uma porta VLAN secundária e se egressar em uma porta de acesso promíscua, o tráfego não é registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego é descartado.

Detalhes secundários da porta-tronco VLAN

Ao usar uma porta-tronco VLAN secundária, esteja ciente do seguinte:

  • Você deve configurar um VLAN ID isolado para cada VLAN primário em que a porta-tronco VLAN secundária participará. Isso é verdade, mesmo que as VLANs secundárias que a porta-tronco VLAN secundária levará estejam confinadas a um único dispositivo.

  • Se você configurar uma porta para ser uma porta-tronco VLAN secundária para um determinado VLAN primário, você também pode configurar a mesma porta física para ser qualquer uma das seguintes:

    • Porta-tronco VLAN secundária para outro VLAN primário

    • Tronco de PVLAN para outro VLAN principal

    • Porta tronco promíscuo

    • Porta de acesso para VLAN não privada

  • O tráfego que se ingressa em uma porta-tronco VLAN secundária (com uma tag VLAN secundária) e se egressa em uma porta-tronco PVLAN mantém a tag VLAN secundária na saída.

  • O tráfego que se ingressa em uma porta-tronco VLAN secundária e egresso em uma porta-tronco promíscua tem a tag VLAN primária apropriada na saída.

  • O tráfego que se ingressa em uma porta-tronco VLAN secundária e se egresso em uma porta de acesso promíscua não está registrado na saída.

  • O tráfego que se ingressa em uma porta-tronco promíscua com uma etiqueta VLAN primária e saídas em uma porta-tronco VLAN secundária transporta a etiqueta VLAN secundária apropriada na saída. Por exemplo, suponha que você tenha configurado o seguinte em um switch:

    • VLAN 100 primário

    • VLAN 200 da comunidade como parte do VLAN principal

    • Porta tronco promíscuo

    • Porta-tronco secundária que transporta a comunidade VLAN 200

    Se um pacote for ingresso na porta-tronco promíscua com a tag VLAN primária 100 e saídas na porta-tronco VLAN secundária, ele transporta a tag 200 na saída.

Casos de uso

Na mesma interface física, você pode configurar várias portas secundárias de tronco VLAN (em VLANs primárias diferentes) ou combinar uma porta-tronco VLAN secundária com outros tipos de portas VLAN. Os casos de uso a seguir fornecem exemplos de fazer isso e mostram como o tráfego fluiria em cada caso:

Troncos de VLAN secundários em dois VLANS primários

Para este caso de uso, suponha que você tenha dois switches com a seguinte configuração:

  • VLAN primário pvlan100 com a tag 100.

    • VLAN isolado isolado200 com tag 200 é um membro do pvlan100.

    • A comunidade VLAN comm300 com a tag 300 é um membro do pvlan100.

  • VLAN primário pvlan400 com a tag 400.

    • VLAN isolado isolado500 com a tag 500 é um membro do pvlan400.

    • A comunidade VLAN comm600 com a tag 600 é um membro do pvlan400.

  • A interface xe-0/0/0 no Switch 1 se conecta a um servidor VMware (não mostrado) configurado com as VLANs privadas usadas neste exemplo. Essa interface é configurada com portas secundárias de tronco VLAN para transportar tráfego para vlan comm600 secundário e o VLAN isolado (tag 200) que é um membro do pvlan100.

  • A interface xe-0/0/0 no Switch 2 é mostrada configurada como uma porta de tronco promíscua ou porta de acesso promíscua. Neste último caso, você pode assumir que ele se conecta a um sistema (não mostrado) que não oferece suporte a portas de tronco, mas é configurado com as VLANs privadas usadas neste exemplo.

  • No Switch 1, o xe-0/0/6 é um membro do comm600 e é configurado como uma porta-tronco.

  • No Switch 2, o xe-0/0/6 é um membro do comm600 e está configurado como uma porta de acesso.

Figura 10 mostra essa topologia e como o tráfego para 200 e comm600 isolados fluiria após a entrada no xe-0/0/0 no Switch 1. Observe que o tráfego fluiria apenas onde as setas indicam. Por exemplo, não há setas para interfaces xe-0/0/2, xe-0/0/3 e xe-0/0/5 no Switch 1 porque nenhum pacote seria saída nessas interfaces.

Figura 10: Duas portas de tronco VLAN secundárias em uma interfaceDuas portas de tronco VLAN secundárias em uma interface

Aqui está o fluxo de tráfego para VLAN isolado200:

  1. Após o tráfego para entradas isoladas200 na porta-tronco VLAN secundária no Switch 1, ele se egressa na porta do tronco PVLAN porque a porta tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (200) na saída.
  2. Após o tráfego para entradas isoladas200 na porta-tronco VLAN secundária no Switch 2, ele se egressa no xe-0/0/0, configurado como uma porta de tronco promíscua ou porta de acesso promíscua.
    • Se o xe-0/0/0 no Switch 2 for configurado como uma porta-tronco promíscua, os pacotes saída nesta porta com a tag VLAN primária (100).

    • Se o xe-0/0/0 no Switch 2 for configurado como uma porta de acesso promíscua, os pacotes entrarão nesta porta sem registro.

Observe que o tráfego para VLAN isolado200 não entra na porta de acesso isolada xe-0/0/2 no Switch 1 ou na porta-tronco VLAN secundária xe-0/0/2 no Switch 2, embora essas duas portas sejam membros do mesmo VLAN isolado.

Aqui está o fluxo de tráfego para VLAN comm600:

  1. Após o tráfego para entradas comm600 na porta-tronco VLAN secundária no Switch 1, ele se egressa na porta do tronco PVLAN porque a porta tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.

  2. O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 1. O tráfego é marcado porque a porta está configurada como um tronco.

  3. Após o tráfego para entradas comm600 na porta-tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface for configurada como uma porta-tronco promíscua.

    Nota:

    Se o xe-0/0/0 no Switch 2 for configurado como uma porta de acesso promíscua, a porta pode participar de apenas um VLAN principal. Neste caso, a porta de acesso promíscua faz parte do pvlan100, de modo que o tráfego para comm600 não é saída dele

  4. O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2. Nesse caso, o tráfego não está registrado porque o modo de porta é o acesso.

Tronco de VLAN secundário e tronco promíscuo

Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que no caso de uso anterior, com uma exceção: Nesse caso, o xe-0/0/0 no Switch 1 é configurado como uma porta-tronco VLAN secundária para pvlan100 VLAN e também é configurado como uma porta-tronco promíscua para pvlan400.

Figura 11 mostra essa topologia e como o tráfego para 200 isolados (membro do pvlan100) e o comm600 (membro do pvlan400) fluiriam após a entrada no Switch 1.

Figura 11: Tronco de VLAN secundário e tronco promíscuo em uma interfaceTronco de VLAN secundário e tronco promíscuo em uma interface

O fluxo de tráfego para VLAN isolado200 é o mesmo do caso de uso anterior, mas o fluxo para comm600 é diferente. Aqui está o fluxo de tráfego para VLAN comm600:

  1. Após tráfego para entradas comm600 na porta VLAN comunitária xe-0/0/6 no Switch 1, ele se aproxima da porta do porta-malas promíscua xe-0/0/0 no Switch 1. Nesse caso, ela carrega a tag VLAN primária (400).
  2. O tráfego para comm600 também se egressa na porta-tronco PVLAN porque a porta-tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.
  3. Após o tráfego para entradas comm600 na porta-tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface for configurada como uma porta-tronco promíscua.

    Ele não entra em saída no xe-0/0/0 se essa interface for configurada como uma porta de acesso promíscua, porque a porta só pode participar no pvlan100.

  4. O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2.

Tronco de VLAN secundário e tronco de PVLAN

Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que nos casos de uso anteriores, exceto que o xe-0/0/0 no Switch 1 está configurado como uma porta-tronco VLAN secundária para vLAN pvlan100 e também está configurado como uma porta-tronco PVLAN para pvlan400.

Figura 12 mostra essa topologia e como o tráfego para comm300 (membro do pvlan100) e comm600 (membro do pvlan400) fluiriam após a entrada no Switch 1.

Figura 12: Tronco de VLAN secundário e tronco PVLAN em uma interfaceTronco de VLAN secundário e tronco PVLAN em uma interface

Aqui está o fluxo de tráfego para VLAN comm300:

  1. Após o tráfego para comm300 entradas na porta da comunidade xe-0/0/3 no Switch 1, ele se egressa na porta do porta-tronco PVLAN xe-0/0/1 porque essa porta-tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (300) na saída.
    Nota:

    O tráfego para comm300 não entra em saída no xe-0/0/0 porque a porta-tronco VLAN secundária nesta interface transporta200 isolado, não comm300.

  2. Após o tráfego para entradas comm300 na porta-tronco PVLAN no Switch 2, ele se aproxima do xe-0/0/0, configurado como uma porta de tronco promíscua ou porta de acesso promíscua.
    • Se o xe-0/0/0 no Switch 2 for configurado como uma porta-tronco promíscua, os pacotes saída nesta porta com a tag VLAN primária (100).

    • Se o xe-0/0/0 no Switch 2 for configurado como uma porta de acesso promíscua, os pacotes entrarão nesta porta sem registro.

  3. O tráfego para comm300 também se aproxima da porta comunitária xe-0/0/3 no Switch 2.

Aqui está o fluxo de tráfego para VLAN comm600:

  1. Após o tráfego para entradas comm600 na porta PVLAN xe-0/0/0 no Switch 1, ele se aproxima da porta da comunidade xe-0/0/6 no Switch 1. Os pacotes mantêm a tag VLAN secundária (600) na saída porque xe-0/0/6 é uma porta-tronco.

  2. O tráfego para comm600 também se egressa na porta-tronco PVLAN xe-0/0/1 porque essa porta-tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.

  3. Após o tráfego para entradas comm600 na porta-tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface for configurada como uma porta-tronco promíscua.

    Ele não entra em saída no xe-0/0/0 se essa interface for configurada como uma porta de acesso promíscua, porque a porta só pode participar no pvlan100.

  4. O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2. Esse tráfego não está registrado na saída porque o xe-0/0/6 é uma porta de acesso.

Interface secundária de VLAN Trunk e VLAN não privada

Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que nos casos de uso anteriores, exceto por essas diferenças:

  • Configuração para xe-0/0/0 no Switch 1:

    • Porta-tronco VLAN secundária para vLAN pvlan100

    • Porta de acesso para vlan700

  • A porta xe-0/0/6 em ambos os switches é uma porta de acesso para vlan700.

Figura 13 mostra essa topologia e como o tráfego para 200 isolados (membro do pvlan100) e o vlan700 fluiriam após a entrada no Switch 1.

Figura 13: Porta VLAN secundária e porta VLAN não privada em uma interfacePorta VLAN secundária e porta VLAN não privada em uma interface

Aqui está o fluxo de tráfego para VLAN isolado200:

  1. Após o tráfego para entradas isoladas200 na porta-tronco VLAN secundária no Switch 1, ele se egressa na porta do porta-malas PVLAN. Os pacotes mantêm a tag VLAN secundária (200) na saída.
  2. Após o tráfego para entradas isoladas200 na porta-tronco PVLAN no Switch 2, ele se aproxima do xe-0/0/0, configurado como uma porta de tronco promíscua ou porta de acesso promíscua.
    • Se o xe-0/0/0 no Switch 2 for configurado como uma porta-tronco promíscua, os pacotes saída nesta porta com a tag VLAN primária (100).

    • Se o xe-0/0/0 no Switch 2 for configurado como uma porta de acesso promíscua, os pacotes entrarão nesta porta sem registro.

Observe que o tráfego para VLAN isolado200 não entra na porta de acesso isolada xe-0/0/2 no Switch 1 ou na porta-tronco VLAN secundária xe-0/0/2 no Switch 2, embora essas duas portas sejam membros do mesmo VLAN isolado.

Após o tráfego para entradas vlan700 na porta de acesso configurada no xe-0/0/0 no Switch 1, ele se aproxima da porta de acesso xe-0/0/6 porque essa porta é um membro do mesmo VLAN. O tráfego para vlan700 não é encaminhado para o Switch 2 (embora o xe-0/0/6 no Switch 2 seja um membro do vlan700) porque o tronco PVLAN no xe-0/0/1 não transporta este VLAN.

Entrada de tráfego na porta de acesso promíscua

Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que no caso de uso anterior, exceto que o xe-0/0/0 no Switch 1 está configurado como uma porta de acesso promíscua e é um membro do pvlan100. Figura 14 mostra essa topologia e como o tráfego não registrado fluiria após a entrada por essa interface no Switch 1.

Figura 14: Entrada de tráfego na porta de acesso promíscuaEntrada de tráfego na porta de acesso promíscua

Como o número mostra, o tráfego não registrado que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias que são membros do mesmo VLAN primário do qual a porta de acesso promíscua é um membro. O tráfego não é registrado quando ele se aproxima das portas de acesso e é marcado na saída de uma porta de tronco (xe-0/0/2 no Switch 2).

Usando a autenticação 802.1X e VLANs privadas juntas na mesma interface

Entender o uso da autenticação 802.1X e das PVLANs juntas na mesma interface

Agora, você pode configurar a autenticação 802.1X e as VLANs privadas (PVLANs) na mesma interface.

A autenticação do IEEE 802.1X oferece segurança de borda de rede, protegendo LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS).

VLANs privadas (PVLANs) oferecem isolamento de Camada 2 entre portas dentro de um VLAN, dividindo um domínio de broadcast em vários subdomains de broadcast discretos, criando VLANs secundárias. As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos.

Em um switch configurado com autenticação 802.1X e PVLANs, quando um novo dispositivo é conectado à rede PVLAN, o dispositivo é autenticado e depois atribuído a um VLAN secundário com base na configuração PVLAN ou no perfil RADIUS. Em seguida, o dispositivo obtém um endereço IP e tem acesso à rede PVLAN.

Nota:

Este documento não fornece informações detalhadas sobre autenticação 802.1X ou VLANs privadas. Para esses detalhes, veja a documentação do recurso específica para esses recursos individuais. Para 802.1X, consulte o Guia de usuários para acesso e autenticação do usuário. Para PVLANs, consulte o Guia de usuário de comutação de Ethernet.

Diretrizes de configuração para combinar a autenticação 802.1X com PVLANs

Tenha em mente as seguintes diretrizes e limitações para configurar esses dois recursos na mesma interface:

  • Você não pode configurar uma interface habilitada para 802.1X como uma interface promíscua (uma interface que é um membro do VLAN principal por configuração) ou como uma interface interswitch-link (ISL).

  • Vários usuários não podem ser autenticados em diferentes VLANs pertencentes ao mesmo domínio PVLAN em uma interface lógica — por exemplo, se a interface ge-0/0/0 estiver configurada como supplicant multiple e os clientes C1 e C2 forem autenticados e forem adicionados às VLANs dinâmicas V1 e V2, respectivamente, então V1 e V2 devem pertencer a diferentes domínios de PVLAN.

  • Se o VoIP VLAN e o VLAN de dados forem diferentes, essas duas VLANs devem estar em domínios PVLAN diferentes.

  • Quando a adesão ao PVLAN é alterada (ou seja, uma interface é reconfigurada em um PVLAN diferente), os clientes devem ser reauthentos.

Exemplo: Configuração da autenticação 802.1X com VLANs privadas em uma configuração

Requisitos

  • Junos OS Versão 18.2R1 ou posterior

  • Switch EX2300, EX3400 ou EX4300

Antes de começar, especifique o servidor RADIUS ou servidores a serem usados como servidor de autenticação. Consulte especificar as conexões do servidor RADIUS nos switches (procedimento de CLI).

Visão geral

A seção de configuração a seguir mostra a configuração do perfil de acesso, a configuração de autenticação 802.1X e, finalmente, a configuração de VLANs (incluindo PVLANs).

Configuração da autenticação 802.1X com VLANs privadas em uma configuração

Procedimento
Configuração rápida de CLI
Procedimento passo a passo

Para configurar a autenticação 802.1X e as PVLANs em uma única configuração:

  1. Configure o perfil de acesso:

    Nota:

    O VoIP VLAN configurado não pode ser um PVLAN (principal, comunidade ou isolado).

  2. Configure as configurações do 802.1X:

    Nota:

    Os dados configurados VLAN também podem ser um VLAN comunitário ou um VLAN isolado.

  3. Configure as VLANs (incluindo as PVLANs):

Resultados

A partir do modo de configuração, confirme sua configuração entrando nos seguintes show comandos no switch. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Verifique se os endereços MAC do cliente são aprendidos no VLAN principal
Propósito

Mostre que um endereço MAC do cliente foi aprendido no VLAN principal.

Ação
Verifique se o VLAN principal é um VLAN autenticado
Propósito

Mostre que o VLAN principal é mostrado como um VLAN autenticado.

Ação

Colocando a segurança da porta de acesso em VLANs privadas

Entender a segurança da porta de acesso em PVLANs

Agora, você pode habilitar recursos de segurança de porta de acesso, como o DHCP, em VLANs privadas (PVLANs).

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso PVLAN permite que você divida um domínio de broadcast em vários subdomínios isolados de broadcast, essencialmente colocando um VLAN dentro de um VLAN.

As LANs Ethernet são vulneráveis a ataques como spoofing de endereços (forja) e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os seguintes recursos de segurança da porta de acesso ajudam a proteger seu dispositivo contra perdas de informações e produtividade que esses ataques podem causar, e agora você pode configurar esses recursos de segurança em um PVLAN:

  • Espionagem DHCP — Filtra e bloqueia a entrada de mensagens de servidor DHCP em portas não confiáveis. O dhcp bisbilhoteiro constrói e mantém um banco de dados de informações de locação DHCP, que é chamado de banco de dados de espionagem DHCP.

  • DHCPv6 bisbilhotando — DHCP bisbilhotando para IPv6.

  • Opção DHCP 82 — também conhecida como a opção de informações do agente de retransmissão DHCP. Ajuda a proteger o switch contra ataques, como falsificação de endereços IP e endereços MAC e endereços DHCP IP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP. O servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.

  • Opções de DHCPv6:

    • Opção 37 — opção de ID remoto para DHCPv6; insere informações sobre a localização de rede do host remoto em pacotes DHCPv6.

    • Opção 18 — Opção de ID de circuito para DHCPv6; insere informações sobre a porta do cliente em pacotes DHCPv6.

    • Opção 16 — Opção de ID do fornecedor para DHCPv6; insere informações sobre o fornecedor do hardware do cliente em pacotes DHCPv6.

  • Inspeção dinâmica de ARP (DAI)— impede ataques de spoofing do Protocolo de Resolução de Endereços (ARP). As solicitações e respostas de ARP são comparadas com entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.

  • Proteção de origem IP — Reduz os efeitos dos ataques de spoofing de endereços IP na LAN Ethernet; valida o endereço IP de origem no pacote enviado de uma interface de acesso não confiável contra o banco de dados de espionagem DHCP. Se o pacote não puder ser validado, ele será descartado.

  • Proteção de origem IPv6 — proteção de origem IP para IPv6.

  • Inspeção de descoberta de vizinhos IPv6 — evita ataques de spoofing de endereços IPv6; compara solicitações de descoberta de vizinhos e respostas contra entradas no banco de dados de espionagem DHCPv6, e decisões de filtragem são tomadas com base nos resultados dessas comparações.

Nota:

Este documento não fornece informações detalhadas sobre recursos de segurança da porta de acesso ou PVLANs. Para esses detalhes, veja a documentação do recurso específica para esses recursos individuais. Para acessar a segurança da porta, consulte o Guia de Administração de Serviços de Segurança. Para PVLANs, consulte o Guia de usuário de comutação de Ethernet.

Diretrizes de configuração para colocar recursos de segurança da porta de acesso em PVLANs

Tenha em mente as seguintes diretrizes e limitações para configurar recursos de segurança de porta de acesso em PVLANs:

  • Você deve aplicar os mesmos recursos de segurança da porta de acesso no vlan principal e em todas as VLANs secundárias.

  • Um PVLAN pode ter apenas uma interface de roteamento e ponte (IRB) integrada, e a interface IRB deve estar no VLAN principal.

  • As limitações nas configurações de segurança da porta de acesso em PVLANs são as mesmas das configurações de recursos de segurança da porta de acesso que não estão em PVLANs. Consulte a documentação de segurança da porta de acesso no Guia de Administração de Serviços de Segurança.

Exemplo: Configuração da segurança da porta de acesso em um PVLAN

Requisitos

  • Junos OS Versão 18.2R1 ou posterior

  • Switch EX4300

Visão geral

A seção de configuração a seguir mostra:

  • Configuração de um VLAN privado, com o VLAN primário (vlan-pri) e suas três VLANs secundárias — VLANs comunitárias (vlan-hr e ) e vlan-financeVLAN isolada (vlan-iso).

  • Configuração das interfaces usadas para enviar comunicações entre as interfaces nessas VLANs.

  • Configuração de recursos de segurança de acesso nas VLANs primárias e secundárias que compõem o PVLAN.

Tabela 5 lista as configurações para a topologia de exemplo.

Tabela 5: Componentes da topologia para configurar um PVLAN com recursos de segurança da porta de acesso
Interface Descrição

ge-0/0/0.0

Interface de porta-malas VLAN primária (vlan1-pri)

ge-0/0/11.0

Usuário 1, Comunidade de RH (vlan-hr)

ge-0/0/12.0

Usuário 2, Comunidade de RH (vlan-hr)

ge-0/0/13.0

Usuário 3, Comunidade Financeira (vlan-finance)

ge-0/0/14.0

Usuário 4, Comunidade Financeira (vlan-finance)

ge-0/0/15.0

Servidor de correio, isolado (vlan-iso)

ge-0/0/16.0

Servidor de backup, isolado (vlan-iso)

ge-1/0/0.0

Interface de tronco VLAN (vlan-pri) primária

Configuração da segurança da porta de acesso em um PVLAN

Procedimento
Configuração rápida de CLI
Procedimento passo a passo

Para configurar um VLAN privado (PVLAN) e, em seguida, configurar recursos de segurança de porta de acesso naquele PVLAN:

  1. Configure o PVLAN — crie o VLAN primário e suas VLANs secundárias e atribua IDs VLAN a eles. Interfaces associadas com as VLANs. (Para obter detalhes sobre a configuração de VLANs, consulte a configuração de VLANs para switches da Série EX com suporte a ELS (Procedimento de CLI).)

  2. Configure recursos de segurança de porta de acesso no VLAN principal e todas as suas VLANs secundárias:

    Nota:

    Quando você configura a inspeção de ARP, o guarda de origem IP, o guarda de origem IPv6, a inspeção de descoberta de vizinhos, a opção DHCP 82 ou as opções DHCPv6, em seguida, o bisbilhotamento DHCPv6 e o bisbilhotamento DHCPv6 são configurados automaticamente.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nos seguintes show comandos no switch. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Verifique se os recursos de segurança de acesso estão funcionando como esperado
Propósito

Verifique se os recursos de segurança da porta de acesso que você configurou em seu PVLAN estão funcionando como esperado.

Ação

Use os show dhcp-security comandos e a clear dhcp-security CLI para verificar se os recursos estão funcionando como esperado. Veja detalhes sobre esses comandos no Guia de Administração de Serviços de Segurança.

Criação de um VLAN privado em um único switch com suporte a ELS (procedimento CLI)

Nota:

Essa tarefa usa o Junos OS para switches com suporte ao estilo de configuração de Software de Camada 2 (ELS). Se o switch da Série EX executa um software que não aceita ELS, consulte a criação de um VLAN privado em um único switch da Série EX (Procedimento de CLI). Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.

Nota:

As VLANs privadas não têm suporte para switches QFX5100 e switches QFX10002 que executam o Junos OS Release 15.1X53.

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando um VLAN dentro de um VLAN. Este procedimento descreve como criar um PVLAN em um único switch.

Nota:

Você deve especificar um ID VLAN para cada VLAN secundário, mesmo se o PVLAN estiver configurado em um único switch.

Você não precisa pré-configurar o VLAN principal. Este tópico mostra o VLAN principal sendo configurado como parte deste procedimento de configuração de PVLAN.

Para obter uma lista de diretrizes sobre a configuração de PVLANs, consulte A compreensão de VLANs privadas.

Para configurar um VLAN privado em um único switch:

  1. Defina o VLAN ID para o VLAN principal:
  2. Configure pelo menos uma interface dentro do VLAN principal para que ela se comunique com todas as subdomínios do PVLAN. Essa interface funciona como uma porta promíscua . Pode ser uma porta tronco ou uma porta de acesso.
  3. Configure outra interface promíscua do VLAN principal como uma porta-tronco para conectar o PVLAN ao roteador ou switch externo:
  4. Crie um VLAN isolado selecionando a opção isolated de private-vlan, e definindo um ID VLAN para o VLAN isolado:
    Nota:

    Você só pode criar um VLAN isolado em um VLAN privado. Definir o nome VLAN para o VLAN isolado é opcional. A configuração do VLAN ID é necessária.

  5. Crie uma VLAN comunitária selecionando a opção community de private-vlan, e definindo um ID VLAN para esta VLAN comunitária:
    Nota:

    Para criar VLANs adicionais da comunidade, repita esta etapa e especifique um nome diferente para o VLAN da comunidade. Definir o nome VLAN para a comunidade VLAN é opcional. A configuração do VLAN ID é necessária.

  6. Associe o VLAN isolado com o VLAN principal:
  7. Associe cada VLAN comunitário com o VLAN principal:
  8. Se você ainda não fez isso, configure pelo menos uma interface do VLAN isolado.
  9. Se você ainda não fez isso, configure pelo menos uma interface da VLAN da comunidade.
    Nota:

    Repita o mesmo passo em outras VLANs comunitárias que você deseja incluir no PVLAN.

Criação de VLAN privada em um único switch QFX

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN secundário dentro de um VLAN primário. Este tópico descreve como configurar um PVLAN em um único switch.

Antes de começar, configure nomes para todas as VLANs secundárias que farão parte do VLAN principal. (Você não precisa pré-configurar o VLAN principal — ele está configurado como parte deste procedimento.) Você não precisa criar IDs VLAN (tags) para as VLANs secundárias. Ele não prejudica o funcionamento se você marcar o VLANS secundário, mas as tags não são usadas quando VLANs secundárias são configuradas em um único switch.

Tenha essas regras em mente ao configurar um PVLAN:

  • O VLAN principal deve ser um VLAN marcado.

  • Se você vai configurar um VLAN comunitário, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .

  • Se você vai configurar um VLAN isolado, você deve primeiro configurar o VLAN principal e a porta de tronco PVLAN.

Se você completar suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. Para configurar um VLAN privado em um único switch:

  1. Defina o nome e o VLAN ID (tag 802.1Q) para o VLAN principal:
  2. Configure o VLAN como privado:
  3. Configure as interfaces do tronco para o VLAN principal:
  4. Adicione as interfaces do tronco ao VLAN principal:
  5. Configure as interfaces de acesso para VLANs comunitárias (secundárias):
  6. Adicione as interfaces de acesso às VLANs da comunidade:
  7. Para cada VLAN da comunidade, defina o VLAN principal:
  8. Configure portas isoladas:

Criação de um VLAN privado em um único procedimento de CLI (Series Switch EX)

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que você divida um domínio de broadcast, também conhecido como VLAN primário, em vários subdomínios de broadcast isolados, também conhecidos como VLANs secundárias. Dividir o VLAN primário em VLANs secundárias essencialmente aninha um VLAN dentro de outro VLAN. Este tópico descreve como configurar um PVLAN em um único switch.

Antes de começar, configure nomes para todas as VLANs secundárias que farão parte do VLAN principal. (Ao contrário das VLANs secundárias, você não precisa pré-configurar o VLAN principal — este procedimento fornece a configuração completa do VLAN principal.) Embora as tags não sejam necessárias quando um VLAN secundário é configurado em um único switch, configurar um VLAN secundário como marcado não afeta negativamente sua funcionalidade. Para obter instruções sobre a configuração das VLANs secundárias, consulte a configuração de VLANs para switches da Série EX.

Tenha essas regras em mente ao configurar um PVLAN em um único switch:

  • O VLAN principal deve ser um VLAN marcado.

  • A configuração de um VLAN VoIP em interfaces PVLAN não é compatível.

Para configurar um VLAN privado em um único switch:

  1. Defina o VLAN ID para o VLAN principal:
  2. Defina as interfaces e os modos de porta:
  3. Configure as portas de acesso no VLAN principal para não encaminhar pacotes uns aos outros:
  4. Para cada VLAN da comunidade, configure interfaces de acesso:
  5. Para cada VLAN da comunidade, defina o VLAN principal:

VLANs isoladas não estão configuradas como parte desse processo. Em vez disso, eles são criados internamente se no-local-switching estiverem habilitados no VLAN principal e o VLAN isolado tiver interfaces de acesso como membros.

Para habilitar opcionalmente o roteamento entre VLANs isoladas e comunitárias usando uma interface VLAN (RVI) roteada em vez de uma porta promíscua conectada a um roteador, veja Configurar uma Interface VLAN roteada em um VLAN privado em um switch da Série EX.

Nota:

Apenas um switch EX8200 ou o Virtual Chassis EX8200 oferecem suporte ao uso de um RVI para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias em um domínio PVLAN.

Criação de um VLAN privado que abrange vários switches da Série QFX

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN secundário dentro de um VLAN primário. Este tópico descreve como configurar um PVLAN para abranger vários switches.

Antes de começar, configure nomes para todas as VLANs secundárias que farão parte do VLAN principal. (Você não precisa pré-configurar o VLAN principal — ele está configurado como parte deste procedimento.) Você não precisa criar IDs VLAN (tags) para as VLANs secundárias. Ele não prejudica o funcionamento se você marcar o VLANS secundário, mas as tags não são usadas quando VLANs secundárias são configuradas em um único switch.

As seguintes regras se aplicam à criação de PVLANs:

  • O VLAN principal deve ser um VLAN marcado.

  • Se você vai configurar um VLAN comunitário, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .

  • Se você vai configurar um VLAN isolado, você deve primeiro configurar o VLAN principal e a porta de tronco PVLAN.

Se você completar suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. Para configurar um VLAN privado para abranger vários switches:

  1. Defina o nome e o VLAN ID (tag 802.1Q) para o VLAN principal:
  2. Configure o VLAN como privado:
  3. Configure as interfaces do tronco para o VLAN principal:
  4. Adicione as interfaces do tronco ao VLAN principal:
  5. Configure as interfaces de acesso para VLANs comunitárias (secundárias):
  6. Adicione as interfaces de acesso às VLANs da comunidade:
  7. Para cada VLAN da comunidade, defina o VLAN principal:
  8. Configure um ID VLAN isolado para criar um domínio isolado interswitch que abrange os switches:
  9. Configure portas isoladas:

Criação de um VLAN privado que abrange vários switches da Série EX com suporte a ELS (procedimento de CLI)

Nota:

Esta tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) Aprimorado Se o seu switch executa um software que não aceita ELS, consulte a criação de um VLAN privado que abrange vários switches da Série EX (procedimento CLI). Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.

Nota:

As VLANs privadas não têm suporte para switches QFX5100 e switches QFX10002 que executam o Junos OS Release 15.1X53.

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando um VLAN dentro de um VLAN. Este procedimento descreve como configurar um PVLAN para abranger vários switches.

Para obter uma lista de diretrizes sobre a configuração de PVLANs, consulte A compreensão de VLANs privadas.

Para configurar uma PVLAN para abranger vários switches, realize o seguinte procedimento em todos os switches que participarão do PVLAN::

  1. Crie o VLAN principal definindo o nome VLAN exclusivo e especifique uma tag 802.1Q para o VLAN:
  2. No switch que se conectará a um roteador, configure uma interface promíscua como uma porta de tronco para conectar o PVLAN ao roteador:
  3. Em todos os switches, configure uma interface de tronco como o Inter-Switch Link (ISL) que será usado para conectar os switches entre si:
  4. Crie um VLAN isolado dentro do VLAN principal, selecionando a opção isolated de private-vlan, e definindo um ID VLAN para o VLAN isolado:
    Nota:

    Você só pode criar um VLAN isolado em um VLAN privado. O VLAN isolado pode conter interfaces de membros dos vários switches que compõem o PVLAN. Definir o nome VLAN para o VLAN isolado é opcional. A configuração do VLAN ID é necessária.

  5. Crie uma VLAN comunitária dentro do VLAN principal, selecionando a opção community de private-vlan, e definindo um ID VLAN para esta comunidade VLAN::
    Nota:

    Para criar VLANs adicionais da comunidade, repita esta etapa e especifique um nome diferente para o VLAN da comunidade. Definir o nome VLAN para a comunidade VLAN é opcional. A configuração do VLAN ID é necessária.

  6. Associe o VLAN isolado com o VLAN principal:
  7. Associe cada VLAN comunitário com o VLAN principal:
  8. Se você ainda não fez isso, configure pelo menos uma interface de acesso para ser um membro do VLAN isolado.
  9. Se você ainda não fez isso, configure pelo menos uma interface de acesso para ser um membro da VLAN da comunidade.
    Nota:

    Repita este passo para as outras VLANs da comunidade que você está incluindo no PVLAN.

Criação de um VLAN privado que abrange vários switches da Série EX (procedimento de CLI)

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast, também conhecido como VLAN primário, em vários subdomínios de broadcast isolados, também conhecidos como VLANs secundárias. Dividir o VLAN primário em VLANs secundárias essencialmente aninha um VLAN dentro de outro VLAN. Este tópico descreve como configurar um PVLAN para abranger vários switches.

Antes de começar, configure nomes para todas as VLANs secundárias que farão parte do VLAN principal. (Ao contrário das VLANs secundárias, você não precisa pré-configurar o VLAN principal — este procedimento fornece a configuração completa do VLAN principal.) Para obter instruções sobre a configuração das VLANs secundárias, consulte a configuração de VLANs para switches da Série EX.

As seguintes regras se aplicam à criação de PVLANs:

  • O VLAN principal deve ser um VLAN marcado.

  • Você deve configurar o VLAN principal e a porta tronco PVLAN antes de configurar as VLANs secundárias.

  • A configuração de um VLAN VoIP em interfaces PVLAN não é compatível.

  • Se o protocolo de registro de VLAN múltiplo (MVRP) for configurado na porta-tronco PVLAN, a configuração de VLANs secundárias e a porta tronco PVLAN devem ser comprometidas com a mesma operação de confirmação.

Para configurar um VLAN privado para abranger vários switches:

  1. Configure um nome e uma tag 802.1Q para o VLAN principal:.
  2. Defina o VLAN primário para não ter comutação local:
  3. Defina a interface de tronco PVLAN que conectará o VLAN principal ao switch vizinho:
  4. Configure um nome e uma tag 802.1Q para um VLAN comunitário que abrange os switches:
  5. Adicione interfaces de acesso à comunidade VLAN:
  6. Especifique o VLAN principal da VLAN da comunidade especificada:
  7. Adicione a interface isolada ao VLAN primário especificado:
    Nota:

    Para configurar uma interface isolada, inclua-a como um dos membros do VLAN principal, mas não configure-a como pertencente a uma das VLANs da comunidade.

  8. Defina a tag 802.1Q do VLAN isolado com interswitch:

    As etiquetas 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de marcação interna pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote.

Para habilitar opcionalmente o roteamento entre VLANs isoladas e comunitárias usando uma interface VLAN (RVI) roteada em vez de uma porta promíscua conectada a um roteador, veja Configurar uma Interface VLAN roteada em um VLAN privado em um switch da Série EX.

Nota:

Apenas um switch EX8200 ou o Virtual Chassis EX8200 oferecem suporte ao uso de um RVI para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias em um domínio PVLAN.

Exemplo: Configuração de um VLAN privado em um único switch com suporte a ELS

Nota:

Este exemplo usa o Junos OS para switches com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado. Se o seu switch EX executa um software que não aceita ELS, veja exemplo: Configurando um VLAN privado em um único switch da Série EX. Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.

Nota:

As VLANs privadas não têm suporte para switches QFX5100 e switches QFX10002 que executam o Junos OS Release 15.1X53.

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando um VLAN dentro de um VLAN.

Este exemplo descreve como criar um PVLAN em um único switch:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Switch One Junos OS

  • Junos OS Versão 14.1X53-D10 ou posterior para switches da Série EX

    Junos OS Versão 14.1X53-D15 ou posterior para switches da Série QFX

Visão geral e topologia

Você pode isolar grupos de assinantes para melhorar a segurança e a eficiência. Este exemplo de configuração usa uma topologia simples para ilustrar como criar um PVLAN com um VLAN primário e três VLANs secundárias (uma VLAN isolada e duas VLANs comunitárias).

Tabela 6 lista as interfaces da topologia usada no exemplo.

Tabela 6: Interfaces da topologia para configurar um PVLAN
Interface Descrição

ge-0/0/0

ge-1/0/0

Portas membros promíscuas

ge-0/0/11,ge-0/0/12

Portas membros da comunidade de RH VLAN

ge-0/0/13,ge-0/0/14

Portas membros da comunidade financeira VLAN

ge-0/0/15,ge-0/0/16

Portas de membro isoladas

Tabela 7 lista os IDs VLAN da topologia usada no exemplo.

Tabela 7: IDs VLAN na topologia para configurar um PVLAN
VLAN ID Descrição

100

VLAN principal

200

VLAN da comunidade de RH

300

VLAN da comunidade financeira

400

VLAN isolada

Figura 15 mostra a topologia para este exemplo.

Figura 15: Topologia de um VLAN privado em um único switch da Série EXTopologia de um VLAN privado em um único switch da Série EX

Configuração

Você pode usar um VLAN existente como base para seu PVLAN privado e criar subdomínios dentro dele. Este exemplo cria um VLAN primário — usando o nome vlan-priVLAN — como parte do procedimento.

Para configurar um PVLAN, execute essas tarefas:

Configuração rápida de CLI

Para criar e configurar rapidamente um PVLAN, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o PVLAN:

  1. Crie o VLAN principal (neste exemplo, o nome é vlan-pri) do VLAN privado:

  2. Crie um VLAN isolado e atribua um VLAN ID:

  3. Crie o VLAN da comunidade de RH e atribua um VLAN ID:

  4. Crie o VLAN da comunidade financeira e atribua um VLAN ID:

  5. Associe as VLANs secundárias com o VLAN principal:

  6. Defina as interfaces para os modos de interface apropriados:

  7. Configure uma interface de tronco promíscua do VLAN principal. Esta interface é usada pelo VLAN principal para se comunicar com as VLANs secundárias.

  8. Configure outra interface de tronco (também é uma interface promíscua) do VLAN principal, conectando o PVLAN ao roteador.

Exemplo: Configuração de um VLAN privado em um único switch da Série QFX

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de um VLAN.

Este exemplo descreve como criar um PVLAN em um único switch:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um dispositivo QFX3500

  • Junos OS Versão 12.1 ou posterior para a Série QFX

Antes de começar a configurar um PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja Configuração de VLANs em switches.

Visão geral e topologia

Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por razões de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e duas VLANs comunitárias, uma para RH e outra para finanças, além de duas portas isoladas — uma para o servidor de e-mail e outra para o servidor de backup.

Tabela 8 lista as configurações para a topologia da amostra.

Tabela 8: Componentes da topologia para configurar um PVLAN
Interface Descrição

ge-0/0/0.0

Interface de tronco VLAN (pvlan100principal)

ge-0/0/11.0

Usuário 1, Comunidade de RH (hr-comm)

ge-0/0/12.0

Usuário 2, Comunidade de RH (hr-comm)

ge-0/0/13.0

Usuário 3, Comunidade Financeira (finance-comm)

ge-0/0/14.0

Usuário 4, Comunidade Financeira (finance-comm)

ge-0/0/15.0

Servidor de correio, isolado (isolated)

ge-0/0/16.0

Servidor de backup, isolado (isolated)

ge-1/0/0.0

Interface de tronco VLAN (pvlan100principal)

Configuração

Configuração rápida de CLI

Para criar e configurar rapidamente um PVLAN, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o PVLAN:

  1. Defina o VLAN ID para o VLAN principal:

  2. Defina as interfaces e os modos de porta:

  3. Defina o VLAN primário para não ter comutação local:

    Nota:

    O VLAN principal deve ser um VLAN marcado.

  4. Adicione as interfaces do tronco ao VLAN principal:

  5. Para cada VLAN secundário, configure interfaces de acesso:

    Nota:

    Recomendamos que as VLANs secundárias sejam VLANs não registradas. Isso não prejudica o funcionamento se você marcar o VLANS secundário. No entanto, as tags não são usadas quando um VLAN secundário está configurado em um único switch.

  6. Para cada VLAN da comunidade, defina o VLAN principal:

  7. Configure as interfaces isoladas no VLAN principal:

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se o VLAN privado e as VLANs secundárias foram criados

Propósito

Verifique se o VLAN primário e as VLANs secundárias foram criados corretamente no switch.

Ação

Use o show vlans comando:

Significado

A saída mostra que o VLAN principal foi criado e identifica as interfaces e VLANs secundárias associadas a ela.

Exemplo: Configuração de um VLAN privado em um único switch da Série EX

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de um VLAN.

Este exemplo descreve como criar um PVLAN em um único switch da Série EX:

Nota:

A configuração de um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é compatível.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Switch da Série EX

  • Junos OS Versão 9.3 ou posterior para switches da Série EX

Antes de começar a configurar um PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja a configuração de VLANs para switches da Série EX.

Visão geral e topologia

Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por razões de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e duas VLANs comunitárias, uma para RH e outra para finanças, além de duas portas isoladas — uma para o servidor de e-mail e outra para o servidor de backup.

Tabela 9 lista as configurações para a topologia de exemplo.

Tabela 9: Componentes da topologia para configurar um PVLAN
Interface Descrição

ge-0/0/0.0

Interface de tronco VLAN (vlan1principal)

ge-0/0/11.0

Usuário 1, Comunidade de RH (hr-comm)

ge-0/0/12.0

Usuário 2, Comunidade de RH (hr-comm)

ge-0/0/13.0

Usuário 3, Comunidade Financeira (finance-comm)

ge-0/0/14.0

Usuário 4, Comunidade Financeira (finance-comm)

ge-0/0/15.0

Servidor de correio, isolado (isolated)

ge-0/0/16.0

Servidor de backup, isolado (isolated)

ge-1/0/0.0

Interface de tronco VLAN ( pvlanprincipal)

Figura 16 mostra a topologia para este exemplo.

Figura 16: Topologia de um VLAN privado em um único switch da Série EXTopologia de um VLAN privado em um único switch da Série EX

Configuração

Para configurar um PVLAN, execute essas tarefas:

Configuração rápida de CLI

Para criar e configurar rapidamente um PVLAN, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar o PVLAN:

  1. Defina o VLAN ID para o VLAN principal:

  2. Defina as interfaces e os modos de porta:

  3. Defina o VLAN primário para não ter comutação local:

    Nota:

    O VLAN principal deve ser um VLAN marcado.

  4. Adicione as interfaces do tronco ao VLAN principal:

  5. Para cada VLAN secundário, configure os IDs VLAN e as interfaces de acesso:

    Nota:

    Recomendamos que as VLANs secundárias sejam VLANs não registradas. Isso não prejudica o funcionamento se você marcar o VLANS secundário. No entanto, as tags não são usadas quando um VLAN secundário está configurado em um único switch.

  6. Para cada VLAN da comunidade, defina o VLAN principal:

  7. Adicione cada interface isolada ao VLAN principal:

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se o VLAN privado e as VLANs secundárias foram criados

Propósito

Verifique se o VLAN primário e as VLANs secundárias foram criados corretamente no switch.

Ação

Use o show vlans comando:

Significado

A saída mostra que o VLAN principal foi criado e identifica as interfaces e VLANs secundárias associadas a ela.

Exemplo: Configuração de um VLAN privado que abrange vários switches QFX

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de um VLAN. Um PVLAN pode abranger vários switches.

Este exemplo descreve como criar um PVLAN que abrange vários switches. O exemplo cria um PVLAN primário contendo várias VLANs secundárias:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três dispositivos QFX3500

  • Junos OS Versão 12.1 ou posterior para a Série QFX

Antes de começar a configurar um PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja Configuração de VLANs em switches.

Visão geral e topologia

Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por razões de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários dispositivos QFX, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para finanças), e um VLAN isolado entre usuários (para o servidor de correio, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches, dois switches de acesso e um switch de distribuição. O PVLAN está conectado a um roteador por uma porta promíscua, configurada no switch de distribuição.

Nota:

As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja Entendendo VLANs privadas.

Figura 17 mostra a topologia para este exemplo— dois switches de acesso conectados a um switch de distribuição, que tem uma conexão (por meio de uma porta promíscua) ao roteador.

Figura 17: Topologia PVLAN abrangendo vários switchesTopologia PVLAN abrangendo vários switches

Tabela 10, Tabela 11e Tabela 12 listar as configurações para a topologia por exemplo.

Tabela 10: Componentes do Switch 1 na topologia para configurar um PVLAN que abrange vários dispositivos
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolation-vlan-idTag 50finance-commTag 300hr-commTag 400

Interfaces de tronco PVLAN

ge-0/0/0.0, conecta o Switch 1 ao Switch 3

ge-0/0/5.0, conecta o Switch 1 ao Switch 2

Interfaces isoladas em VLAN principal

ge-0/0/15.0, servidor de e-mail

ge-0/0/16.0, servidor de backup

Interfaces em VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces em VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabela 11: Componentes do Switch 2 na topologia para configurar um PVLAN que abrange vários dispositivos
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolation-vlan-idTag 50finance-commTag 300hr-commTag 400

Interfaces de tronco PVLAN

ge-0/0/0.0, conecta o Switch 2 ao Switch 3

ge-0/0/5.0, conecta o Switch 2 ao Switch 1

Interface isolada em VLAN principal

ge-0/0/17.0, servidor CVS

Interfaces em VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces em VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabela 12: Componentes do Switch 3 na topologia para configurar um PVLAN que abrange vários dispositivos
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolation-vlan-idTag 50finance-commTag 300hr-commTag 400

Interfaces de tronco PVLAN

ge-0/0/0.0, conecta o Switch 3 ao Switch 1

ge-0/0/1.0, conecta o Switch 3 ao Switch 2

Porta promíscua

ge-0/0/2, conecta o PVLAN ao roteador

Nota:

Você deve configurar a porta-tronco que conecta o PVLAN a outro switch ou roteador fora do PVLAN como um membro do PVLAN, o que o configura implicitamente como uma porta promíscua.

Topologia

Configuração de uma PVLAN no Switch 1

Ao configurar um PVLAN em vários switches, essas regras se aplicam:

  • O VLAN principal deve ser um VLAN marcado. Recomendamos que você configure o VLAN principal primeiro.

  • Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .

  • Se você vai configurar um ID VLAN isolado, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN.

Configuração rápida de CLI

Para criar e configurar rapidamente um PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela de terminal do Switch 1:

Procedimento

Procedimento passo a passo
  1. Defina o VLAN ID para o VLAN principal:

  2. Defina as interfaces de tronco PVLAN para conectar este VLAN a switches vizinhos:

  3. Defina o VLAN primário como privado e não tenha comutação local:

  4. Defina o VLAN ID para o VLAN comunitário finance-comm que abrange os switches:

  5. Configure interfaces de acesso para o finance-comm VLAN:

  6. Defina o VLAN principal desta comunidade secundária VLAN: finance-comm

  7. Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.

  8. Configure interfaces de acesso para o hr-comm VLAN:

  9. Defina o VLAN principal desta comunidade secundária VLAN: hr-comm

  10. Defina o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:

  11. Configure as interfaces isoladas no VLAN principal:

    Nota:

    Quando você configura uma porta isolada, inclua-a como um membro do VLAN principal, mas não a configure como um membro de qualquer VLAN da comunidade.

Resultados

Verifique os resultados da configuração:

Configuração de uma PVLAN no Switch 2

Configuração rápida de CLI

Para criar e configurar rapidamente um VLAN privado que abrange vários switches, copie os seguintes comandos e cole-os na janela de terminal do Switch 2:

Nota:

A configuração do Switch 2 é a mesma da configuração do Switch 1, com exceção da interface no domínio isolado interswitch. Para o Switch 2, a interface é ge-0/0/17.0.

Procedimento

Procedimento passo a passo

Para configurar uma PVLAN no Switch 2 que abrangerá vários switches:

  1. Defina o VLAN ID para o VLAN comunitário finance-comm que abrange os switches:

  2. Configure interfaces de acesso para o finance-comm VLAN:

  3. Defina o VLAN principal desta comunidade secundária VLAN: finance-comm

  4. Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.

  5. Configure interfaces de acesso para o hr-comm VLAN:

  6. Defina o VLAN principal desta comunidade secundária VLAN: hr-comm

  7. Defina o VLAN ID para o VLAN principal:

  8. Defina as interfaces de tronco PVLAN que conectarão este VLAN a switches vizinhos:

  9. Defina o VLAN primário como privado e não tenha comutação local:

  10. Defina o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:

    Nota:

    Para configurar uma porta isolada, inclua-a como um dos membros do VLAN principal, mas não a configure como pertencente a uma das VLANs da comunidade.

  11. Configure a interface isolada no VLAN principal:

Resultados

Verifique os resultados da configuração:

Configuração de uma PVLAN no Switch 3

Configuração rápida de CLI

Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela de terminal do Switch 3:

Nota:

A interface ge-0/0/2.0 é uma porta-tronco que conecta o PVLAN a um roteador.

Procedimento

Procedimento passo a passo

Para configurar o Switch 3 para funcionar como o switch de distribuição para este PVLAN, use o seguinte procedimento:

  1. Defina o VLAN ID para o VLAN comunitário finance-comm que abrange os switches:

  2. Defina o VLAN principal desta comunidade secundária VLAN: finance-comm

  3. Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches:

  4. Defina o VLAN principal desta comunidade secundária VLAN: hr-comm

  5. Defina o VLAN ID para o VLAN principal:

  6. Defina as interfaces de tronco PVLAN que conectarão este VLAN a switches vizinhos:

  7. Defina o VLAN primário como privado e não tenha comutação local:

  8. Defina o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:

    Nota:

    Para configurar uma porta isolada, inclua-a como um dos membros do VLAN principal, mas não a configure como pertencente a uma das VLANs da comunidade.

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se o VLAN primário e as VLANs secundárias foram criados no Switch 1

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 1:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. A presença do pvlan-trunk e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch.

Verificando se o VLAN primário e as VLANs secundárias foram criados no Switch 2

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 2:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que um PVLAN foi criado no Switch 2 e mostra que ele inclui um VLAN isolado, duas VLANs comunitárias e um VLAN isolado interswitch. A presença do pvlan-trunk e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem ao mesmo PVLAN (pvlan100).

Verificando se o VLAN primário e as VLANs secundárias foram criados no switch 3

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 3:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que o PVLAN (pvlan100) está configurado no Switch 3 e que não inclui VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. Mas o Switch 3 funciona como um switch de distribuição, de modo que a saída não inclui interfaces de acesso dentro do PVLAN. Ele mostra apenas as pvlan-trunk interfaces que se conectam pvlan100 do Switch 3 aos outros switches (Switch 1 e Switch 2) no mesmo PVLAN.

Exemplo: Configuração de um VLAN privado que abrange vários switches com uma interface IRB

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de um VLAN. Um PVLAN pode abranger vários switches. Este exemplo descreve como criar um PVLAN que abrange vários switches. O exemplo cria um PVLAN primário, contendo várias VLANs secundárias.

Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e normalmente exigem que um dispositivo de Camada 3 seja usado se você quiser rotear o tráfego. A partir do Junos OS 14.1X53-D30, você pode usar uma interface integrada de roteamento e ponte (IRB) para rotear o tráfego de Camada 3 entre dispositivos conectados a um PVLAN. O uso de uma interface IRB dessa maneira também pode permitir que os dispositivos no PVLAN se comuniquem na Camada 3 com dispositivos em outra comunidade ou VLANs isoladas ou com dispositivos fora do PVLAN. Este exemplo também demonstra como incluir uma interface IRB em uma configuração de PVLAN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três switches série QFX ou EX4600

  • Junos OS é lançado com PVLAN para Série QFX ou EX4600

Visão geral e topologia

Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por razões de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários switches, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e uma para finanças) e um VLAN isolado entre usuários (para o servidor de e-mail, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches — dois switches de acesso e um switch de distribuição. Os dispositivos do PVLAN estão conectados na Camada 3 entre si e a dispositivos fora do PVLAN por meio de uma interface IRB configurada no switch de distribuição.

Nota:

As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja Entendendo VLANs privadas.

Figura 18 mostra a topologia para este exemplo.

Figura 18: Topologia PVLAN abrangendo vários switches com uma interface IRBTopologia PVLAN abrangendo vários switches com uma interface IRB

Tabela 13, Tabela 14e Tabela 15 listar as configurações para a topologia por exemplo.

Tabela 13: Componentes do Switch 1 na topologia para configurar um PVLAN que abrange vários dispositivos
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolated-vlan-idTag 50finance-commTag 300hr-commTag 400

Interfaces de enlace interswitch

xe-0/0/0.0, conecta o Switch 1 ao Switch 3

xe-0/0/5.0, conecta o Switch 1 ao Switch 2

Interfaces isoladas em VLAN principal

xe-0/0/15.0, servidor de e-mail

xe-0/0/16.0, servidor de backup

Interfaces em VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces em VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabela 14: Componentes do Switch 2 na topologia para configurar um PVLAN que abrange vários dispositivos
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolated-vlan-idTag 50finance-commTag 300hr-commTag 400

Interfaces de enlace interswitch

xe-0/0/0.0, conecta o Switch 2 ao Switch 3

xe-0/0/5.0, conecta o Switch 2 ao Switch 1

Interface isolada em VLAN principal

xe-0/0/17.0, servidor CVS

Interfaces em VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces em VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabela 15: Componentes do Switch 3 na topologia para configurar um PVLAN que abrange vários dispositivos
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolated-vlan-id, tag 50finance-comm, tag 300hr-commTag 400

Interfaces de enlace interswitch

xe-0/0/0.0, conecta o Switch 3 ao Switch 1.

xe-0/0/1.0, conecta o Switch 3 ao Switch 2.

Porta promíscua

xe-0/0/2, conecta o PVLAN a outra rede.

Nota:

Você deve configurar a porta-tronco que conecta o PVLAN a outro switch ou roteador fora do PVLAN como um membro do PVLAN, o que o configura implicitamente como uma porta promíscua.

Interface IRB

xe-0/0/0

xe-0/0/1

Configure um ARP proxy irrestrito na interface IRB para permitir que a resolução ARP ocorra para que dispositivos que usam IPv4 possam se comunicar na Camada 3. Para o tráfego IPv6, você deve mapear explicitamente um endereço IRB no endereço de destino para permitir a resolução do ARP.

Topologia

Visão geral da configuração

Ao configurar um PVLAN em vários switches, as seguintes regras se aplicam:

  • O VLAN principal deve ser um VLAN marcado.

  • O VLAN principal é o único VLAN que pode ser um membro de uma interface de enlace interswitch.

Ao configurar uma interface IRB em um PVLAN, essas regras se aplicam:

  • Você pode criar apenas uma interface IRB em um PVLAN, independentemente de quantos switches participem do PVLAN.

  • A interface IRB deve ser um membro do VLAN principal no PVLAN.

  • Cada dispositivo de host que você deseja conectar na Camada 3 deve usar um endereço IP da IRB como endereço de gateway padrão.

Configuração de uma PVLAN no Switch 1

Configuração rápida de CLI

Para criar e configurar rapidamente um PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela de terminal do Switch 1:

Procedimento

Procedimento passo a passo
  1. Configure a interface xe-0/0/0 para ser um tronco:

  2. Configure a interface xe-0/0/0 para ser um enlace interswitch que transporta todas as VLANs:

  3. Configure o pvlan100 (o VLAN principal) para ser um membro da interface xe-0/0/0:

  4. Configure a interface xe-0/0/5 para ser um tronco:

  5. Configure a interface xe-0/0/5 para ser um link interswitch que transporta todas as VLANs:

  6. Configure o pvlan100 para ser um membro da interface xe-0/0/5:

  7. Crie o VLAN comunitário para a organização financeira:

  8. Crie a VLAN comunitária para a organização de RH:

  9. Crie o VLAN isolado para os servidores de e-mail e backup:

  10. Crie o VLAN principal e torne a comunidade e os membros isolados de VLANs:

  11. Configure o VLAN 300 (um VLAN comunitário) para ser um membro da interface xe-0/0/11:

  12. Configure o VLAN 300 (um VLAN comunitário) para ser um membro da interface xe-0/0/12:

  13. Configure o VLAN 400 (um VLAN comunitário) para ser um membro da interface xe-0/0/13:

  14. Configure o VLAN 400 (um VLAN comunitário) para ser um membro da interface xe-0/0/14:

  15. Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/15:

  16. Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/16:

Resultados

Verifique os resultados da configuração:

Configuração de uma PVLAN no Switch 2

Configuração rápida de CLI

Para criar e configurar rapidamente um VLAN privado que abrange vários switches, copie os seguintes comandos e cole-os na janela de terminal do Switch 2:

Nota:

A configuração do Switch 2 é a mesma da configuração do Switch 1, exceto pelo VLAN isolado. Para o Switch 2, a interface VLAN isolada é xe-0/0/17.0 .

Procedimento

Procedimento passo a passo
  1. Configure a interface xe-0/0/0 para ser um tronco:

  2. Configure a interface xe-0/0/0 para ser um enlace interswitch que transporta todas as VLANs:

  3. Configure o pvlan100 (o VLAN principal) para ser um membro da interface xe-0/0/0:

  4. Configure a interface xe-0/0/5 para ser um tronco:

  5. Configure a interface xe-0/0/5 para ser um link interswitch que transporta todas as VLANs:

  6. Configure o pvlan100 para ser um membro da interface xe-0/0/5:

  7. Crie o VLAN comunitário para a organização financeira:

  8. Crie a VLAN comunitária para a organização de RH:

  9. Crie o VLAN isolado para os servidores de e-mail e backup:

  10. Crie o VLAN principal e torne a comunidade e os membros isolados de VLANs:

  11. Configure o VLAN 300 (um VLAN comunitário) para ser um membro da interface xe-0/0/11:

  12. Configure o VLAN 300 (um VLAN comunitário) para ser um membro da interface xe-0/0/12:

  13. Configure o VLAN 400 (um VLAN comunitário) para ser um membro da interface xe-0/0/13:

  14. Configure o VLAN 400 (um VLAN comunitário) para ser um membro da interface xe-0/0/14:

  15. Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/17:

Resultados

Verifique os resultados da configuração:

Configuração de uma PVLAN no Switch 3

Configuração rápida de CLI

Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela de terminal do Switch 3:

Nota:

A interface xe-0/0/2.0 é uma porta-tronco que conecta o PVLAN a outra rede.

Procedimento

Procedimento passo a passo

Para configurar o Switch 3 para funcionar como o switch de distribuição para este PVLAN, use o seguinte procedimento:

  1. Configure a interface xe-0/0/0 para ser um tronco:

  2. Configure a interface xe-0/0/0 para ser um enlace interswitch que transporta todas as VLANs:

  3. Configure o pvlan100 (o VLAN principal) para ser um membro da interface xe-0/0/0:

  4. Configure a interface xe-0/0/5 para ser um tronco:

  5. Configure a interface xe-0/0/5 para ser um link interswitch que transporta todas as VLANs:

  6. Configure o pvlan100 para ser um membro da interface xe-0/0/5:

  7. Configure a interface xe-0/0/2 (a interface promíscua) para ser um tronco:

  8. Configure o pvlan100 para ser um membro da interface xe-0/0/2:

  9. Crie o VLAN principal:

  10. Crie a interface irb IRB e atribua um endereço na sub-rede usada pelos dispositivos conectados aos switches 1 e 2:

    Nota:

    Cada dispositivo de host que você deseja conectar na Camada 3 deve estar na mesma sub-rede da interface IRB e usar o endereço IP da interface IRB como endereço de gateway padrão.

  11. Complete a configuração da interface IRB vinculando a interface ao VLAN pvlan100principal:

  12. Configure um ARP proxy irrestrito para cada unidade da interface IRB para que a resolução de ARP funcione para o tráfego IPv4:

    Nota:

    Como os dispositivos da comunidade e as VLANs isoladas estão isolados na Camada 2, essa etapa é necessária para permitir que a resolução ARP ocorra entre as VLANs para que dispositivos que usam IPv4 possam se comunicar na Camada 3. (Para tráfego IPv6, você deve mapear explicitamente um endereço IRB para o endereço de destino para permitir a resolução ARP.)

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se o VLAN primário e as VLANs secundárias foram criados no Switch 1

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 1:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. A presença do tronco e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch.

Verificando se o VLAN primário e as VLANs secundárias foram criados no Switch 2

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 2:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que um PVLAN foi criado no Switch 2 e mostra que ele inclui um VLAN isolado, duas VLANs comunitárias e um VLAN isolado interswitch. A presença do tronco e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem ao mesmo PVLAN (pvlan100).

Verificando se o VLAN primário e as VLANs secundárias foram criados no switch 3

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 3:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que o PVLAN (pvlan100) está configurado no Switch 3 e que não inclui VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. Mas o Switch 3 funciona como um switch de distribuição, de modo que a saída não inclui interfaces de acesso dentro do PVLAN. Ele mostra apenas as interfaces de tronco que se conectam pvlan100 do Switch 3 aos outros switches (Switch 1 e Switch 2) no mesmo PVLAN.

Exemplo: Configuração de um VLAN privado que abrange vários switches da Série EX

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de um VLAN. Um PVLAN pode abranger vários switches.

Este exemplo descreve como criar um PVLAN abrangendo vários switches da Série EX. O exemplo cria um PVLAN primário, contendo várias VLANs secundárias:

Nota:

A configuração de um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é compatível.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três switches da Série EX

  • Junos OS Versão 10.4 ou posterior para switches da Série EX

Antes de começar a configurar um PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja a configuração de VLANs para switches da Série EX.

Visão geral e topologia

Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por razões de segurança ou para dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários switches da Série EX, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para finanças), e um VLAN isolado interswitch (para o servidor de e-mail, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches, dois switches de acesso e um switch de distribuição. O PVLAN está conectado a um roteador por uma porta promíscua, configurada no switch de distribuição.

Nota:

As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja a compreensão de VLANs privadas.

Figura 19 mostra a topologia para este exemplo— dois switches de acesso conectados a um switch de distribuição, que tem uma conexão (por meio de uma porta promíscua) ao roteador.

Figura 19: Topologia PVLAN abrangendo vários switchesTopologia PVLAN abrangendo vários switches

Tabela 16, Tabela 17e Tabela 18 listar as configurações para a topologia por exemplo.

Tabela 16: Componentes do Switch 1 na topologia para configurar um PVLAN que abrange vários switches da Série EX
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolation-idTag 50finance-commTag 300hr-commTag 400

Interfaces de tronco PVLAN

ge-0/0/0.0, conecta o Switch 1 ao Switch 3

ge-0/0/5.0, conecta switch 1 a switch 2

Interfaces em VLAN isolation

ge-0/0/15.0, servidor de correio

ge-0/0/16.0, servidor de backup

Interfaces em VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces em VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabela 17: Componentes do Switch 2 na topologia para configurar um PVLAN que abrange vários switches da Série EX
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolation-idTag 50finance-commTag 300hr-commTag 400

Interfaces de tronco PVLAN

ge-0/0/0.0, conecta switch 2 a switch 3

ge-0/0/5.0, conecta o Switch 2 ao Switch 1

Interfaces em VLAN isolation

ge-0/0/17.0,servidor CVS

Interfaces em VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces em VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabela 18: Componentes do Switch 3 na topologia para configurar um PVLAN que abrange vários switches da Série EX
Propriedade Configurações

Nomes de VLAN e IDs de tag

primary-vlanTag 100

isolation-idTag 50finance-commTag 300hr-commTag 400

Interfaces de tronco PVLAN

ge-0/0/0.0, conecta o Switch 3 ao Switch 1

ge-0/0/1.0, conecta o Switch 3 ao Switch 2

Porta promíscua

ge-0/0/2, conecta o PVLAN ao roteador

Nota:

Você deve configurar a porta-tronco que conecta o PVLAN a outro switch ou roteador fora do PVLAN como um membro do PVLAN, o que o configura implicitamente como uma porta promíscua.

Topologia

Configuração de uma PVLAN no Switch 1

Configuração rápida de CLI

Ao configurar um PVLAN em vários switches, essas regras se aplicam:

  • O VLAN principal deve ser um VLAN marcado. Recomendamos que você configure o VLAN principal primeiro.

  • A configuração de um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é compatível.

  • Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN.

  • Se você vai configurar um ID VLAN isolado, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN.

  • VLANs secundárias e a porta tronco PVLAN devem ser comprometidas em um único compromisso se o MVRP estiver configurado na porta-tronco PVLAN.

Para criar e configurar rapidamente um PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela de terminal do Switch 1:

Procedimento

Procedimento passo a passo

Complete as etapas de configuração abaixo na ordem mostrada — também, complete todas as etapas antes de comprometer a configuração em um único compromisso. Esta é a maneira mais fácil de evitar mensagens de erro acionadas por violar qualquer uma dessas três regras:

  • Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN.

  • Se você vai configurar um ID VLAN isolado, você deve primeiro configurar o VLAN principal e a porta tronco PVLAN.

  • Vlans secundários e um tronco PVLAN devem ser comprometidos em um único compromisso.

Para configurar uma PVLAN no Switch 1 que abrangerá vários switches:

  1. Defina o VLAN ID para o VLAN principal:

  2. Defina as interfaces de tronco PVLAN que conectarão este VLAN a switches vizinhos:

  3. Defina o VLAN primário para não ter comutação local:

  4. Defina o VLAN ID para o VLAN comunitário finance-comm que abrange os switches:

  5. Configure interfaces de acesso para o finance-comm VLAN:

  6. Defina o VLAN principal desta comunidade secundária VLAN: finance-comm

  7. Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.

  8. Configure interfaces de acesso para o hr-comm VLAN:

  9. Defina o VLAN principal desta comunidade secundária VLAN: hr-comm

  10. Defina o ID isolado entre switches para criar um domínio isolado entre switches que abrange os switches:

    Nota:

    Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.

Resultados

Verifique os resultados da configuração:

Configuração de uma PVLAN no Switch 2

Configuração rápida de CLI

Para criar e configurar rapidamente um VLAN privado que abrange vários switches, copie os seguintes comandos e cole-os na janela de terminal do Switch 2:

Nota:

A configuração do Switch 2 é a mesma da configuração do Switch 1, exceto pela interface no domínio isolado entre switches. Para o Switch 2, a interface é ge-0/0/17.0.

Procedimento

Procedimento passo a passo

Para configurar uma PVLAN no Switch 2 que abrangerá vários switches:

  1. Defina o VLAN ID para o VLAN comunitário finance-comm que abrange os switches:

  2. Configure interfaces de acesso para o finance-comm VLAN:

  3. Defina o VLAN principal desta comunidade secundária VLAN: finance-comm

  4. Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.

  5. Configure interfaces de acesso para o hr-comm VLAN:

  6. Defina o VLAN principal desta comunidade secundária VLAN: hr-comm

  7. Defina o VLAN ID para o VLAN principal:

  8. Defina as interfaces de tronco PVLAN que conectarão este VLAN a switches vizinhos:

  9. Defina o VLAN primário para não ter comutação local:

  10. Defina o ID isolado entre switches para criar um domínio isolado entre switches que abrange os switches:

    Nota:

    Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.

Resultados

Verifique os resultados da configuração:

Configuração de uma PVLAN no Switch 3

Configuração rápida de CLI

Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela de terminal do Switch 3:

Nota:

A interface ge-0/0/2.0 é uma porta-tronco que conecta o PVLAN a um roteador.

Procedimento

Procedimento passo a passo

Para configurar o Switch 3 para funcionar como o switch de distribuição para este PVLAN, use o seguinte procedimento:

  1. Defina o VLAN ID para o VLAN comunitário finance-comm que abrange os switches:

  2. Defina o VLAN principal desta comunidade secundária VLAN: finance-comm

  3. Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches:

  4. Defina o VLAN principal desta comunidade secundária VLAN: hr-comm

  5. Defina o VLAN ID para o VLAN principal:

  6. Defina as interfaces de tronco PVLAN que conectarão este VLAN a switches vizinhos:

  7. Defina o VLAN primário para não ter comutação local:

  8. Defina o ID isolado entre switches para criar um domínio isolado entre switches que abrange os switches:

    Nota:

    Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se o VLAN primário e as VLANs secundárias foram criados no Switch 1

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 1:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. A presença dos campos e dos pvlan-trunk campos Inter-switch-isolated indica que este PVLAN está abrangendo mais de um switch.

Verificando se o VLAN primário e as VLANs secundárias foram criados no Switch 2

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 2:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. A presença dos campos e dos pvlan-trunk campos Inter-switch-isolated indica que este é o PVLAN que abrange mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem ao mesmo PVLAN (pvlan100).

Verificando se o VLAN primário e as VLANs secundárias foram criados no switch 3

Propósito

Verifique se a configuração de PVLAN que abrange vários switches está funcionando corretamente no Switch 3:

Ação

Use o show vlans extensive comando:

Significado

A saída mostra que o PVLAN (pvlan100) está configurado no Switch 3 e que inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. Mas o Switch 3 funciona como um switch de distribuição, de modo que a saída não inclui interfaces de acesso dentro do PVLAN. Ele mostra apenas as pvlan-trunk interfaces que se conectam pvlan100 do Switch 3 aos outros switches (Switch 1 e Switch 2) no mesmo PVLAN.

Exemplo: Configuração de PVLANs com portas secundárias de tronco VLAN e portas de acesso promíscuas em um switch da Série QFX

Este exemplo mostra como configurar portas secundárias de tronco VLAN e portas de acesso promíscuas como parte de uma configuração VLAN privada. Portas secundárias de porta-malas VLAN transportam tráfego VLAN secundário.

Nota:

Este exemplo usa o Junos OS para switches que não oferecem suporte ao estilo de configuração de Software de Camada 2 (ELS) aprimorado. Para obter mais informações sobre ELS, consulte o uso da CLI aprimorada de software de Camada 2.

Para um determinado VLAN privado, uma porta-tronco VLAN secundária pode transportar tráfego para apenas um VLAN secundário. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundário seja um membro de um VLAN privado (primário) diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para um VLAN comunitário que faz parte do pvlan100 VLAN principal e também transportar tráfego para um VLAN isolado que faz parte do pvlan400 VLAN primário.

Para configurar uma porta-tronco para transportar tráfego VLAN secundário, use as declarações e interface declarações isoladas, conforme mostrado em etapas 12 e 13 da configuração de exemplo para o Switch 1.

Nota:

Quando o tráfego é retirado de uma porta-tronco VLAN secundária, ele normalmente transporta a tag do VLAN primário da qual a porta secundária é membro. Se você quiser que o tráfego que se egressa de uma porta-tronco VLAN secundária mantenha sua tag VLAN secundária, use a declaração extend-secondary-vlan-id .

Uma porta de acesso promíscua transporta tráfego não registrado e pode ser um membro de apenas um VLAN primário. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Esse tráfego transporta as etiquetas de VLAN secundárias apropriadas quando ele se egresso das portas VLAN secundárias se a porta VLAN secundária for uma porta-tronco.

Para configurar uma porta de acesso para ser promíscua, use a declaração promíscua , conforme mostrado em etapa 12 da configuração de exemplo para o Switch 2.

Se o tráfego entrar em uma porta VLAN secundária e se egressar em uma porta de acesso promíscua, o tráfego não é registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego é descartado.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois dispositivos QFX

  • Junos OS Versão 12.2 ou posterior para a Série QFX

Visão geral e topologia

Figura 20 mostra a topologia usada neste exemplo. O switch 1 inclui várias VLANs privadas primárias e secundárias e também inclui duas portas de tronco VLAN secundárias configuradas para transportar VLANs secundárias que são membros das VLANs primárias pvlan100 e pvlan400.

O Switch 2 inclui as mesmas VLANs privadas. O número mostra xe-0/0/0 no Switch 2 configurado com portas de acesso promíscuas ou portas de tronco promíscuas. A configuração de exemplo incluída aqui configura esta porta como uma porta de acesso promíscua.

O número também mostra como o tráfego fluiria após a entrada nas portas secundárias do porta-malas VLAN no Switch 1.

Figura 20: Topologia de PVLAN com portas secundárias de tronco VLAN e porta de acesso promíscuaTopologia de PVLAN com portas secundárias de tronco VLAN e porta de acesso promíscua

Tabela 19 e Tabela 20 listar as configurações para a topologia por exemplo em ambos os switches.

Tabela 19: Componentes da topologia para configurar um tronco VLAN secundário no Switch 1
Componente Descrição

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN da comunidade, membro do pvlan100

comm600, ID 600

VLAN da comunidade, membro do pvlan400

isolação vlan-id 200

VLAN ID para VLAN isolado, membro do pvlan100

isolamento -vlan-id 500

VLAN ID para VLAN isolado, membro do pvlan400

xe-0/0/0.0

Porta-tronco VLAN secundária para VLANs primárias pvlan100 e pvlan400

xe-0/0/1.0

Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400

xe-0/0/2.0

Porta de acesso isolada para pvlan100

xe-0/0/3.0

Porta de acesso à comunidade para comm300

xe-0/0/5,0

Porta de acesso isolada para pvlan400

xe-0/0/6.0

Porta tronco da comunidade para comm600

Tabela 20: Componentes da topologia para configurar um tronco VLAN secundário no Switch 2
Componente Descrição

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN da comunidade, membro do pvlan100

comm600, ID 600

VLAN da comunidade, membro do pvlan400

isolação vlan-id 200

VLAN ID para VLAN isolado, membro do pvlan100

isolamento -vlan-id 500

VLAN ID para VLAN isolado, membro do pvlan400

xe-0/0/0,0

Porta de acesso promíscua para VLANs primárias pvlan100

xe-0/0/1,0

Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400

xe-0/0/2,0

Porta tronco secundário para VLAN isolado, membro do pvlan100

xe-0/0/3,0

Porta de acesso à comunidade para comm300

xe-0/0/5,0

Porta de acesso isolada para pvlan400

xe-0/0/6,0

Porta de acesso à comunidade para comm600

Configuração das PVLANs no Switch 1

Configuração rápida de CLI

Para criar e configurar rapidamente as PVLANs no Switch 1, copie os seguintes comandos e cole-os em uma janela de terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:

  1. Configure as interfaces e os modos de porta:

  2. Crie as VLANs primárias:

    Nota:

    As VLANs primárias devem ser sempre etiquetadas VLANs, mesmo que existam em apenas um dispositivo.

  3. Configure as VLANs primárias para serem privadas:

  4. Configure a porta-tronco PVLAN para transportar o tráfego VLAN privado entre os switches:

  5. Crie o VLAN comm300 secundário com VLAN ID 300:

  6. Configure o VLAN principal para comm300:

  7. Configure a interface para comm300:

  8. Crie um VLAN secundário comm600 com VLAN ID 600:

  9. Configure o VLAN principal para comm600:

  10. Configure a interface para comm600:

  11. Configure as VLANs isoladas interswitch:

    Nota:

    Quando você configura uma porta-tronco VLAN secundária para transportar um VLAN isolado, você também deve configurar um isolante-vlan-id. Isso é verdade, mesmo que o VLAN isolado exista apenas em um switch.

  12. Habilite a porta do porta-tronco xe-0/0/0 para transportar VLANs secundárias para as VLANs primárias:

  13. Configure a porta do tronco xe-0/0/0 para transportar comm600 (membro do pvlan400):

    Nota:

    Você não precisa configurar explicitamente xe-0/0/0 para transportar o tráfego VLAN isolado (etiquetas 200 e 500) porque todas as portas isoladas no pvlan100 e no pvlan400 — incluindo xe-0/0/0,0 — estão automaticamente incluídas nas VLANs isoladas criadas quando você configura e isolation-vlan-id 200isolation-vlan-id 500.

  14. Configure xe-0/0/2 e xe-0/0/6 para ser isolado:

Resultados

Verifique os resultados da configuração no Switch 1:

Configuração das PVLANs no Switch 2

A configuração do Switch 2 é quase idêntica à configuração do Switch 1. A diferença mais significativa é que o xe-0/0/0 no Switch 2 é configurado como uma porta-tronco promíscua ou uma porta de acesso promíscua, como Figura 20 mostra. Na configuração a seguir, o xe-0/0/0 é configurado como uma porta de acesso promíscua para o pvlan100 VLAN primário.

Se o tráfego entrar na porta habilitada para VLAN e se egressar em uma porta de acesso promíscua, as etiquetas VLAN são lançadas na saída e o tráfego não está registrado nesse ponto. Por exemplo, o tráfego para entradas comm600 na porta-tronco VLAN secundária configurada no xe-0/0/0.0 no Switch 1 e transporta a tag 600 conforme é encaminhada pelo VLAN secundário. Quando ele sair do xe-0/0/0,0 no Switch 2, ele será desativado se você configurar o xe-0/0/0,0 como uma porta de acesso promíscua como mostrado neste exemplo. Se você configurar o xe-0/0/0,0 como uma porta-tronco promíscua (tronco de modo de porta), o tráfego para comm600 transporta sua tag VLAN primária (400) quando ele se aproxima.

Configuração rápida de CLI

Para criar e configurar rapidamente as PVLANs no Switch 2, copie os seguintes comandos e cole-os em uma janela de terminal do switch:

Procedimento

Procedimento passo a passo

Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:

  1. Configure as interfaces e os modos de porta:

  2. Crie as VLANs primárias:

  3. Configure as VLANs primárias para serem privadas:

  4. Configure a porta-tronco PVLAN para transportar o tráfego VLAN privado entre os switches:

  5. Crie o VLAN comm300 secundário com VLAN ID 300:

  6. Configure o VLAN principal para comm300:

  7. Configure a interface para comm300:

  8. Crie um VLAN secundário comm600 com VLAN ID 600:

  9. Configure o VLAN principal para comm600:

  10. Configure a interface para comm600:

  11. Configure as VLANs isoladas interswitch:

  12. Configure a porta de acesso xe-0/0/0 para ser promíscua para o pvlan100:

    Nota:

    Uma porta de acesso promíscua pode ser um membro de apenas um VLAN primário.

  13. Configure xe-0/0/2 e xe-0/0/6 para ser isolado:

Resultados

Verifique os resultados da configuração no Switch 2:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se o VLAN privado e as VLANs secundárias foram criados

Propósito

Verifique se o VLAN primário e as VLANs secundárias foram criados corretamente no Switch 1.

Ação

Use o show vlans comando:

Significado

A saída mostra que as VLANs privadas foram criadas e identifica as interfaces e VLANs secundárias associadas a elas.

Verificando as entradas da tabela de comutação Ethernet

Propósito

Verifique se as entradas da tabela de comutação Ethernet foram criadas para o pvlan100 VLAN principal.

Ação

Mostre as entradas da tabela de comutação Ethernet para pvlan100.

Verificando se um VLAN privado está trabalhando em um switch

Propósito

Após a criação e configuração de VLANs privadas (PVLANs), verifique se elas estão configurados corretamente.

Ação

  1. Para determinar se você criou com sucesso as configurações de VLAN primária e secundária:

    • Para um PVLAN em um único switch, use o show configuration vlans comando:

    • Para um PVLAN que abrange vários switches, use o show vlans extensive comando:

  2. Use o show vlans extensive comando para visualizar informações de VLAN e status de enlace para um PVLAN em um único switch ou para um PVLAN que abrange vários switches.

    • Para um PVLAN em um único switch:

    • Para um PVLAN que abrange vários switches:

  3. Use o show ethernet-switching table comando para visualizar logs para aprendizado MAC nas VLANs:

Nota:

Se você tiver configurado um PVLAN que abrange vários switches, você pode usar o mesmo comando em todos os switches para verificar os registros de aprendizado MAC nesses switches.

Significado

Nos displays de saída para um PVLAN em um único switch, você pode ver que o VLAN principal contém dois domínios da comunidade (community1 e community2), duas portas isoladas e duas portas de tronco. O PVLAN em um único switch tem apenas uma tag (1000), que é para o VLAN principal.

O PVLAN que abrange vários switches contém várias tags:

  • O domínio COM1 da comunidade é identificado com a tag 100.

  • O domínio community2 da comunidade é identificado com a tag 20.

  • O domínio isolado interswitch é identificado com a tag 50.

  • O VLAN primary principal é identificado com a tag 10.

Além disso, para o PVLAN que abrange vários switches, as interfaces do tronco são identificadas como pvlan-trunk.

Solução de problemas VLANs privadas em switches QFX

Use as seguintes informações para solucionar problemas de uma configuração VLAN privada.

Limitações de VLANs privadas

As seguintes restrições aplicam-se às configurações privadas de VLAN:

  • O IGMP não é compatível com VLANs privadas.

  • Interfaces VLAN roteadas não são suportadas em VLANs privadas

  • O roteamento entre VLANs secundárias no mesmo VLAN primário não é suportado.

  • Se você quiser mudar um VLAN primário para ser um VLAN secundário, você deve primeiro alterá-lo para um VLAN normal e cometer a mudança. Por exemplo, você seguiria este procedimento:

    1. Altere o VLAN primário para ser um VLAN normal.

    2. Comprometa a configuração.

    3. Altere o VLAN normal para ser um VLAN secundário.

    4. Comprometa a configuração.

    Siga a mesma sequência de confirmações se você quiser mudar um VLAN secundário para ser um VLAN primário. Ou seja, tornar o VLAN secundário um VLAN normal e cometer essa mudança e, em seguida, mudar o VLAN normal para ser um VLAN primário.

Encaminhamento com VLANs privadas

Problema

Descrição
  • Quando o tráfego isolado de VLAN ou VLAN da comunidade é recebido em uma porta-tronco PVLAN, os endereços MAC são aprendidos com o VLAN principal. Isso significa que a saída do comando da tabela de comutação de ethernet mostra que os endereços MAC são aprendidos com o VLAN primário e replicados para VLANs secundárias. Esse comportamento não afeta as decisões de encaminhamento.

  • Se um pacote com uma tag VLAN secundária for recebido em uma porta promíscua, ele é aceito e encaminhado.

  • Se um pacote for recebido em uma porta-tronco PVLAN e atender às duas condições listadas abaixo, ele será descartado.

    • O pacote tem uma tag VLAN da comunidade.

    • O pacote é destinado a um endereço MAC unicast ou endereço MAC de grupo multicast que foi aprendido em um VLAN isolado.

  • Se um pacote for recebido em uma porta-tronco PVLAN e atender às duas condições listadas abaixo, ele será descartado.

    • O pacote tem uma tag VLAN isolada.

    • O pacote é destinado a um endereço MAC unicast ou endereço MAC de grupo multicast que foi aprendido em um VLAN da comunidade.

  • Se um pacote com uma tag VLAN primária for recebido por uma porta VLAN secundária (isolada ou comunitária), a porta secundária encaminha o pacote.

  • Se você configurar uma VLAN comunitária em um dispositivo e configurar outro VLAN comunitário em um segundo dispositivo e ambas as VLANs da comunidade usarem o mesmo VLAN ID, o tráfego para uma das VLANs pode ser encaminhado para o outro VLAN. Por exemplo, assuma a seguinte configuração:

    • O VLAN comm1 da comunidade no switch 1 tem VLAN ID 50 e é um membro do VLAN pvlan100 principal.

    • O VLAN comm2 da comunidade no switch 2 também tem VLAN ID 50 e é um membro do VLAN principal pvlan200.

    • O pvlan100 VLAN primário existe em ambos os switches.

    Se o tráfego para comm1 for enviado do switch 1 para o switch 2, ele será enviado para as portas participantes do comm2. (O tráfego também será encaminhado para as portas em comm1, como seria de esperar.)

Solução

São comportamentos esperados.

Filtros de firewall de saída com VLANs privadas

Problema

Descrição

Se você aplicar um filtro de firewall na direção de saída a um VLAN primário, o filtro também se aplica às VLANs secundárias que são membros do VLAN primário quando o tráfego se esvai com a tag VLAN primária ou a tag VLAN isolada, conforme listado abaixo:

  • Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)

  • Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta um VLAN isolado para uma porta-tronco PVLAN.

  • Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta-tronco VLAN secundária

  • Tráfego encaminhado de uma porta-tronco PVLAN. para uma porta-tronco VLAN secundária

  • Tráfego encaminhado de uma porta comunitária para uma porta promíscua (tronco ou acesso)

Se você aplicar um filtro de firewall na direção de saída a um VLAN primário, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:

  • Tráfego encaminhado de uma porta tronco da comunidade para uma porta-tronco PVLAN

  • Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN comunitária para uma porta-tronco PVLAN

  • Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta-tronco da comunidade

  • Tráfego encaminhado de uma porta-tronco PVLAN. para uma porta-tronco da comunidade

Se você aplicar um filtro de firewall na direção de saída a um VLAN da comunidade, os seguintes comportamentos se aplicam:

  • O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta tronco da comunidade (porque o tráfego se aproxima com a tag VLAN da comunidade).

  • O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).

  • O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se aproxima com a tag VLAN primária ou não registrado).

Solução

São comportamentos esperados. Elas só ocorrem se você aplicar um filtro de firewall a um VLAN privado na direção de saída e não ocorrer se você aplicar um filtro de firewall a um VLAN privado na direção de entrada.

Espelhamento de porta de saída com VLANs privadas

Problema

Descrição

Se você criar uma configuração de espelhamento de porta que espelhar o tráfego VLAN privado (PVLAN) na saída, o tráfego espelhado (o tráfego enviado ao sistema de analisador) tem a tag VLAN da VLAN de entrada em vez do VLAN de saída. Por exemplo, assuma a seguinte configuração de PVLAN:

  • Porta tronco promíscuo que transporta VLANs primárias pvlan100 e pvlan400.

  • Porta de acesso isolada que transporta VLAN secundário isolado200. Este VLAN é um membro do principal VLAN pvlan100.

  • Porta comunitária que transporta vlan secundário comm300. Este VLAN também é um membro do principal VLAN pvlan100.

  • Interface de saída (interface de monitor) que se conecta ao sistema de analisador. Essa interface encaminha o tráfego espelhado para o analisador.

Se um pacote para pvlan100 entrar na porta-tronco promíscua e sair na porta de acesso isolada, o pacote original não está registrado na saída porque está saindo em uma porta de acesso. No entanto, a cópia espelho retém a tag para pvlan100 quando ela é enviada ao analisador.

Aqui está outro exemplo: Se um pacote para comm300 entrar na porta da comunidade e entrar na porta do tronco promíscuo, o pacote original transporta a tag para pvlan100 na saída, como esperado. No entanto, a cópia espelhada retém a tag para comm300 quando ela é enviada ao analisador.

Solução

Esse é o comportamento esperado.