Nesta página
Entender portas de tronco VLAN secundárias e portas de acesso promíscuas em PVLANs
Usando autenticação 802.1X e VLANs privadas juntas na mesma interface
Criação de uma VLAN privada em um único switch com suporte a ELS (procedimento CLI)
Criação de VLAN privada em um único switch da Série EX (procedimento de CLI)
Criando uma VLAN privada que abrange vários switches da Série QFX
Criação de uma VLAN privada que abrange vários switches da Série EX (procedimento de CLI)
Example: Configurando uma VLAN privada em um único switch com suporte a ELS
Example: Configurando uma VLAN privada em um único switch da Série QFX
Example: Configurando uma VLAN privada em um único switch da Série EX
Example: Configurando uma VLAN privada que abrange vários switches QFX
Example: Configurando uma VLAN privada que abrange vários switches com uma interface IRB
Example: Configurando uma VLAN privada que abrange vários switches da Série EX
Verificando se uma VLAN privada está trabalhando em um switch
VLANs privadas
Entender VLANs privadas
As VLANs limitam as transmissões a usuários especificados. VLANs privadas (PVLANs) dão um passo adiante nesse conceito limitando a comunicação dentro de uma VLAN. As PVLANs conseguem isso restringindo os fluxos de tráfego por suas portas de switch de membro (que são chamadas de portas privadas) para que essas portas se comuniquem apenas com uma porta-tronco de uplink especificada ou com portas especificadas dentro do mesmo VLAN. A porta do tronco de uplink ou o grupo de agregação de enlace (LAG) geralmente é conectado a uma rede de roteador, firewall, servidor ou provedor. Cada PVLAN normalmente contém muitas portas privadas que se comunicam apenas com uma única porta de uplink, impedindo assim que as portas se comuniquem entre si.
As PVLANs fornecem isolamento de Camada 2 entre portas dentro de uma VLAN, dividindo um domínio de broadcast em vários subdomains de broadcast discretos, criando VLANs secundárias (VLANs comunitárias e uma VLAN isolada ) dentro de uma VLAN primária. Portas dentro da mesma comunidade VLAN podem se comunicar entre si. Portas dentro de um VLAN isolado só podem se comunicar com uma única porta de uplink.
Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e exigem uma das seguintes opções para rotear o tráfego de Camada 3 entre as VLANs secundárias:
Uma conexão promíscua de porta com um roteador
Uma interface VLAN roteada (RVI)
Para rotear o tráfego de Camada 3 entre VLANs secundárias, uma PVLAN precisa apenas de uma das opções mencionadas acima. Se você usar um RVI, você ainda pode implementar uma conexão de porta promíscua a um roteador com a porta promíscua configurada para lidar apenas com o tráfego que entra e sai do PVLAN.
As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos. Os provedores de serviços usam PVLANs para manter seus clientes isolados uns dos outros. Outro uso típico para um PVLAN é fornecer acesso à Internet por quarto em um hotel.
Você pode configurar uma PVLAN para abranger switches que oferecem suporte a PVLANs.
Este tópico explica os seguintes conceitos sobre PVLANs nos switches da Série EX:
- Benefícios das PVLANs
- Estrutura típica e aplicação primária de PVLANs
- Estrutura típica e aplicação primária de PVLANs em roteadores da Série MX
- Estrutura típica e aplicação primária de PVLANs em switches da Série EX
- Roteamento entre VLANs isoladas e comunitárias
- PVLANs usam tags 802.1Q para identificar pacotes
- PVLANs usam endereços IP de maneira eficiente
- Tipos de porta PVLAN e regras de encaminhamento
- Criação de uma PVLAN
- Limitações de VLANs privadas
Benefícios das PVLANs
A necessidade de segregar um único VLAN é particularmente útil nos seguintes cenários de implantação:
Fazendas de servidor — um provedor de serviços de Internet típico usa uma fazenda de servidores para fornecer hospedagem web para inúmeros clientes. Localizar os vários servidores em uma única fazenda de servidor oferece facilidade de gerenciamento. Surgem preocupações de segurança se todos os servidores estiverem na mesma VLAN, porque as transmissões de Camada 2 vão para todos os servidores da VLAN.
Redes Ethernet metropolitanas — um provedor de serviços metro oferece acesso Ethernet de Camada 2 a casas, comunidades de aluguel e empresas variadas. A solução tradicional de implantação de uma VLAN por cliente não é escalável e é difícil de gerenciar, levando a possíveis resíduos de endereços IP. As PVLANs oferecem uma solução mais segura e eficiente.
Estrutura típica e aplicação primária de PVLANs
Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. Os tipos de domínios e portas são:
VLAN primária — o VLAN primário do PVLAN é definido com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).
VLAN isolada/porta isolada — um VLAN primário pode conter apenas um VLAN isolado. Uma interface dentro de uma VLAN isolada pode encaminhar pacotes apenas para uma porta promíscua ou para a porta Inter-Switch Link (ISL). Uma interface isolada não pode encaminhar pacotes para outra interface isolada; e uma interface isolada não pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador de gateway, o dispositivo deve ser conectado a uma porta de tronco isolada.
VLAN comunitária/porta comunitária — você pode configurar várias VLANs comunitárias em uma única PVLAN. Uma interface dentro de uma VLAN comunitária específica pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN comunitária. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta ISL. Se você tiver, por exemplo, dois dispositivos de cliente que você precisa isolar de outros dispositivos de clientes, mas que devem ser capazes de se comunicar entre si, use portas comunitárias.
Porta promíscua — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces no PVLAN, independentemente de uma interface pertencer a um VLAN isolado ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em nenhuma subdomain secundária. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente estão conectados a uma porta promíscua.
Inter-Switch Link (ISL) — Um ISL é uma porta de tronco que conecta vários switches em uma PVLAN e contém duas ou mais VLANs. Ela só é necessária quando um PVLAN abrange vários switches.
O PVLAN configurado é o domínio principal (VLAN primária). Dentro do PVLAN, você configura VLANs secundárias , que se tornam subdomains aninhadas dentro do domínio principal. Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. O PVLAN mostrado Figura 1 inclui dois switches, com um domínio PVLAN primário e vários subdomains.
Como mostrado Figura 3, um PVLAN tem apenas um domínio primário e vários domínios secundários. Os tipos de domínios são:
VLAN primária — VLAN costumava encaminhar quadros rio abaixo para VLANs isoladas e comunitárias. O VLAN primário do PVLAN é definido com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).
VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para o VLAN principal. O VLAN isolado é um VLAN secundário aninhado dentro da VLAN primária. Um VLAN primário pode conter apenas um VLAN isolado. Uma interface dentro de uma VLAN isolada (interface isolada) pode encaminhar pacotes apenas para uma porta promíscua ou para a porta de tronco PVLAN. Uma interface isolada não pode encaminhar pacotes para outra interface isolada; nem uma interface isolada pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador, o dispositivo deve ser conectado a uma porta de tronco isolada.
VLAN isolada interswitch secundário — VLAN costumava encaminhar tráfego VLAN isolado de um switch para outro através de portas de tronco PVLAN. As tags 802.1Q são necessárias para VLANs isoladas interswitch porque o IEEE 802.1Q usa um mecanismo de marcação interna pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote. Um VLAN isolado interswitch é um VLAN secundário aninhado dentro da VLAN primária.
VLAN da comunidade secundária — a VLAN costumava transportar quadros entre membros de uma comunidade (um subconjunto de usuários dentro do VLAN) e encaminhar quadros upstream para o VLAN principal. Uma VLAN comunitária é uma VLAN secundária aninhada na VLAN primária. Você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma VLAN comunitária específica pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN comunitária. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta de tronco PVLAN.
Figura 2 mostra um PVLAN abrangendo vários switches, onde o VLAN principal (100) contém dois domínios (300 da comunidade e 400) e um domínio isolado entre os comutação.
As VLANs primárias e secundárias contam contra o limite de 4089 VLANs suportados na Série QFX. Por exemplo, cada VLAN em Figura 2 contagem contra esse limite.
Estrutura típica e aplicação primária de PVLANs em roteadores da Série MX
O PVLAN configurado torna-se o domínio principal, e as VLANs secundárias tornam-se subdomains aninhadas dentro do domínio principal. Um PVLAN pode ser criado em um único roteador. O PVLAN mostrado inclui Figura 3 um roteador, com um domínio PVLAN primário e vários subdomains secundários.
Os tipos de domínios são:
VLAN primária — VLAN costumava encaminhar quadros rio abaixo para VLANs isoladas e comunitárias.
VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para o VLAN principal.
VLAN isolado interswitch secundário — VLAN usado para encaminhar tráfego VLAN isolado de um roteador para outro através de portas de tronco PVLAN.
VLAN da comunidade secundária — a VLAN costumava transportar quadros entre membros de uma comunidade, que é um subconjunto de usuários dentro da VLAN, e encaminhar quadros upstream para o VLAN principal.
As PVLANs são suportadas em roteadores MX80, em roteadores MX240, MX480 e MX960 com DPCs em modo LAN aprimorado, em roteadores da Série MX com MPC1, MPC2 e PICs de serviços adaptativos.
Estrutura típica e aplicação primária de PVLANs em switches da Série EX
O VLAN primário do PVLAN é definido com uma tag 802.1Q (VLAN ID) para o PVLAN completo. Nos switches EX9200, cada VLAN secundário também deve ser definido com seu próprio VLAN ID separado.
Figura 4 mostra uma PVLAN em um único switch, onde a VLAN primária (VLAN 100) contém duas VLANs comunitárias (VLAN 300 e VLAN 400) e uma VLAN isolada (VLAN 50).
Figura 5 mostra uma PVLAN abrangendo vários switches, onde a VLAN primária (VLAN 100) contém duas VLANs comunitárias (VLAN 300 e VLAN 400) e uma VLAN isolada (VLAN 200). Também mostra que os switches 1 e 2 estão conectados por meio de um enlace interswitch (enlace de tronco PVLAN).
Além disso, as PVLANs mostradas Figura 4 e Figura 5 usam uma porta promíscua conectada a um roteador como meio para rotear o tráfego de Camada 3 entre a comunidade e VLANs isoladas. Em vez de usar a porta promíscua conectada a um roteador, você pode configurar uma RVI no switch ou em Figura 4 um dos switches mostrados (em Figura 5 alguns switches EX).
Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador a uma porta promíscua, conforme mostrado Figura 4 e Figura 5, ou configurar um RVI.
Se você escolher a opção RVI, você deve configurar um RVI para o VLAN principal no domínio PVLAN. Este RVI atende a todo o domínio PVLAN, independentemente de o domínio incluir um ou mais switches. Depois de configurar o RVI, os pacotes de Camada 3 recebidos pelas interfaces de VLAN secundárias são mapeados e roteados pelo RVI.
Ao configurar o RVI, você também deve habilitar o Proxy Address Resolution Protocol (ARP) para que o RVI possa lidar com as solicitações de ARP recebidas pelas interfaces de VLAN secundárias.
Para obter informações sobre a configuração de PVLANs em um único switch e em vários switches, consulte a criação de uma VLAN privada em um único switch da Série EX (Procedimento CLI). Para obter informações sobre a configuração de um RVI, consulte Configurar uma interface VLAN roteada em uma VLAN privada em um switch da Série EX.
Roteamento entre VLANs isoladas e comunitárias
Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador ou switch externo a uma porta de tronco da VLAN primária. A porta de tronco da VLAN primária é uma porta promíscua ; portanto, ele pode se comunicar com todas as portas do PVLAN.
PVLANs usam tags 802.1Q para identificar pacotes
Quando os pacotes são marcados com uma tag 802.1Q específica para o cliente, essa tag identifica a propriedade dos pacotes para qualquer switch ou roteador na rede. Às vezes, as tags 802.1Q são necessárias dentro das PVLANs para acompanhar os pacotes de diferentes subdomains. Tabela 1 indica quando uma tag VLAN 802.1Q é necessária na VLAN primária ou em VLANs secundárias.
| Em um único switch | Em vários switches | |
|---|---|---|
| VLAN primária | Especifique uma tag 802.1Q definindo um ID VLAN. |
Especifique uma tag 802.1Q definindo um ID VLAN. |
| VLAN secundário | Não é necessário tag em VLANs. |
As VLANs precisam de tags 802.1Q:
|
PVLANs usam endereços IP de maneira eficiente
As PVLANs fornecem conservação de endereços IP e alocação eficiente de endereços IP. Em uma rede típica, as VLANs geralmente correspondem a uma única sub-rede IP. Nas PVLANs, os hosts em todas as VLANs secundárias pertencem à mesma sub-rede IP porque a sub-rede é alocada para o VLAN principal. Os hosts dentro do VLAN secundário são atribuídos endereços IP com base em sub-redes IP associadas à VLAN primária, e suas informações de mascaramento de sub-rede IP refletem a da sub-rede VLAN primária. No entanto, cada VLAN secundário é um domínio de broadcast separado.
Tipos de porta PVLAN e regras de encaminhamento
As PVLANs podem usar até seis tipos de porta diferentes. A rede descrita usaFigura 2 uma porta promíscua para transportar informações para o roteador, portas comunitárias para conectar as comunidades financeiras e de RH aos seus respectivos switches, portas isoladas para conectar os servidores e uma porta-tronco PVLAN para conectar os dois switches. As portas PVLAN têm restrições diferentes:
Porta de tronco promíscuo — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces que estão no PVLAN, independentemente de a interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em uma das subdomains secundárias. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente estão conectados a uma porta promíscua.
Enlace de tronco PVLAN — o enlace de tronco PVLAN, que também é conhecido como enlace interswitch, só é necessário quando um PVLAN é configurado para abranger vários switches. O enlace de tronco PVLAN conecta os vários switches que compõem o PVLAN.
Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta de tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (ou seja, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas que não sejam as portas isoladas.
A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A participação de uma porta de tronco PVLAN no VLAN isolado interswitch é somente de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados a todas as VLANs secundárias na mesma VLAN primária que a porta promíscua).
Porta-tronco VLAN secundária (não mostrada)— portas secundárias de porta-malas transportam tráfego VLAN secundário. Para um determinado VLAN privado, uma porta-tronco VLAN secundária pode transportar tráfego para apenas um VLAN secundário. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundário seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 VLAN primário.
Porta comunitária — as portas comunitárias se comunicam entre si e com suas portas promíscuas. As portas comunitárias atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.
Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN — uma porta isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros do mesmo domínio VLAN isolado (ou VLAN isolado interswitch). Normalmente, um servidor, como um servidor de e-mail ou um servidor de backup, está conectado em uma porta isolada. Em um hotel, cada quarto normalmente seria conectado em uma porta isolada, o que significa que a comunicação quarto a quarto não é possível, mas cada quarto pode acessar a Internet na porta promíscua.
Porta de acesso promíscua (não mostrada)— essas portas transportam tráfego não registrado. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias do dispositivo. Se o tráfego entrar no dispositivo em uma porta habilitada para VLAN e entrar em uma porta de acesso promíscua, o tráfego não está registrado na saída. Se o tráfego marcado for incluído em uma porta de acesso promíscua, o tráfego será descartado.
Porta de enlace interswitch — Uma porta de enlace interswitch (ISL) é uma porta de tronco que conecta dois roteadores quando um PVLAN abrange esses roteadores. A porta ISL é um membro de todas as VLANs dentro da PVLAN (ou seja, a VLAN primária, as VLANs da comunidade e a VLAN isolada).
A comunicação entre uma porta ISL e uma porta isolada é unidirecional. A adesão de uma porta ISL ao VLAN isolado interswitch é apenas de saída, o que significa que o tráfego de entrada na porta ISL nunca é atribuído ao VLAN isolado. Uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não pode encaminhar pacotes para uma porta isolada. Tabela 3 resume se existe conectividade de Camada 2 entre os diferentes tipos de portas.
Tabela 2 resume a conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN em switches da Série EX que oferecem suporte a ELS.
Do tipo de porta |
Para portas isoladas? |
Para portas promíscuas? |
Para portas comunitárias? |
Para a porta de enlace entre switches? |
|---|---|---|---|---|
Isolado |
Negar |
Permitir |
Negar |
Permitir |
Promíscuo |
Permitir |
Permitir |
Permitir |
Permitir |
Comunidade 1 |
Negar |
Permitir |
Permitir |
Permitir |
Tipo de porta |
Tronco promíscuo |
Tronco de PVLAN |
Tronco secundário |
Comunidade |
Acesso isolado |
Acesso promíscuo |
|---|---|---|---|---|---|---|
Tronco promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
tronco PVLAN |
Sim |
Sim |
Sim |
Sim — só a mesma comunidade |
Sim |
Sim |
Tronco secundário |
Sim |
Sim |
Não |
Sim |
Não |
Sim |
Comunidade |
Sim |
Sim |
Sim |
Sim — só a mesma comunidade |
Não |
Sim |
Acesso isolado |
Sim |
Sim — somente unidirecional |
Não |
Não |
Não |
Sim |
Acesso promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Não |
Tabela 4 resume se existe ou não conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN.
Tipo de porta Para: → A partir de:↓ |
Promíscuo |
Comunidade |
Isolado |
Tronco de PVLAN |
RVI |
|---|---|---|---|---|---|
Promíscuo |
Sim |
Sim |
Sim |
Sim |
Sim |
Comunidade |
Sim |
Sim — só a mesma comunidade |
Não |
Sim |
Sim |
Isolado |
Sim |
Não |
Não |
Sim Nota:
Essa comunicação é unidirecional. |
Sim |
tronco PVLAN |
Sim |
Sim — só a mesma comunidade |
Sim Nota:
Essa comunicação é unidirecional. |
Sim |
Sim |
RVI |
Sim |
Sim |
Sim |
Sim |
Sim |
Como observado, a Tabela 4comunicação de Camada 2 entre uma porta isolada e uma porta-tronco PVLAN é unidirecional. Ou seja, uma porta isolada só pode enviar pacotes para uma porta-tronco PVLAN, e uma porta-tronco PVLAN só pode receber pacotes de uma porta isolada. Por outro lado, uma porta de tronco PVLAN não pode enviar pacotes para uma porta isolada, e uma porta isolada não pode receber pacotes de uma porta-tronco PVLAN.
Se você habilitar no-mac-learning uma VLAN primária, todas as VLANs isoladas (ou o VLAN isolado interswitch) na PVLAN herdam essa configuração. No entanto, se você quiser desativar o aprendizado de endereço MAC em quaisquer VLANs da comunidade, você deve configurar no-mac-learning em cada uma dessas VLANs.
Criação de uma PVLAN
O fluxograma mostrado Figura 6 oferece uma ideia geral do processo de criação de PVLANs. Se você concluir suas etapas de configuração na ordem mostrada, não violará essas regras de PVLAN. (Nas regras do PVLAN, a configuração da porta-tronco PVLAN se aplica apenas a uma PVLAN que abrange vários roteadores.)
O VLAN primário deve ser um VLAN marcado.
Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar a VLAN primária.
Se você vai configurar um VLAN ID de isolamento, você deve primeiro configurar a VLAN primária.
Configurar um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportado.
Configurar uma VLAN em um único roteador é relativamente simples, como mostrado em Figura 6.
Configurar uma VLAN primária consiste nessas etapas:
Configure o nome VLAN principal e a tag 802.1Q.
Coloque no-local-switching o VLAN primário.
Configure a porta de tronco promíscua e as portas de acesso.
Faça o tronco promíscuo e as portas de acesso membros da VLAN primária.
Dentro de uma VLAN primária, você pode configurar VLANs comunitárias secundárias ou VLANs isoladas secundárias ou ambas. Configurar uma VLAN comunitária secundária consiste nessas etapas:
Configure uma VLAN usando o processo usual.
Configure interfaces de acesso para o VLAN.
Atribua uma VLAN primária à VLAN da comunidade,
VLANs isoladas são criadas internamente quando o VLAN isolado tem interfaces de acesso como membros e a opção no-local-switching é habilitada na VLAN primária.
As tags 802.1Q são necessárias para VLANs isoladas interswitch porque o IEEE 802.1Q usa um mecanismo de marcação interna pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote.
As portas de tronco só são necessárias para configurações de PVLAN multicamadas— a porta do porta-malas transporta tráfego da VLAN primária e de todas as VLANs secundárias.
Limitações de VLANs privadas
As seguintes restrições se aplicam às configurações privadas de VLAN:
Uma interface de acesso pode pertencer a apenas um domínio PVLAN, ou seja, ele não pode participar de duas VLANs primárias diferentes.
Uma interface de tronco pode ser um membro de duas VLANs secundárias, desde que as VLANs secundárias estejam em duas VLANs primárias diferentes . Uma interface de tronco não pode ser um membro de duas VLANs secundárias que estão na mesma VLAN primária.
Uma única região do protocolo de árvores de abrangência múltipla (MSTP) deve ser configurada em todas as VLANs incluídas no PVLAN.
O VLAN Spanning Tree Protocol (VSTP) não tem suporte.
A espionagem IGMP não é suportada com VLANs privadas.
Interfaces VLAN roteadas não são suportadas em VLANs privadas
O roteamento entre VLANs secundárias na mesma VLAN primária não é suportado.
Algumas declarações de configuração não podem ser especificadas em um VLAN secundário. Você pode configurar as seguintes declarações no nível de
[edit vlans vlan-name switch-options]hierarquia apenas no PVLAN principal.Se você quiser mudar uma VLAN primária para ser uma VLAN secundária, você deve primeiro alterá-la para uma VLAN normal e cometer a mudança. Por exemplo, você seguiria este procedimento:
Altere a VLAN primária para ser uma VLAN normal.
Confirmar a configuração.
Altere o VLAN normal para ser um VLAN secundário.
Confirmar a configuração.
Siga a mesma sequência de compromissos se você quiser alterar uma VLAN secundária para ser uma VLAN primária. Ou seja, tornar a VLAN secundária uma VLAN normal e comprometer essa mudança e, em seguida, mudar a VLAN normal para ser uma VLAN primária.
Os recursos a seguir não são suportados em PVLANs em switches Junos com suporte para o estilo de configuração ELS:
Filtros de firewall VLAN de saída
Proteção de anel de ethernet (ERP)
Marcação VLAN flexível
Interface integrada de roteamento e ponte (IRB)
Grupos de agregação de enlace multichassis (MC-LAGs)
Espelhamento de porta
Tunelamento Q-in-Q
VLAN Spanning Tree Protocol (VSTP)
Ip de voz (VoIP)
Você pode configurar as seguintes declarações no nível de [edit vlans vlan-name switch-options] hierarquia apenas no PVLAN principal:
Entender os fluxos de tráfego PVLAN em vários switches
Este tópico ilustra e explica três fluxos de tráfego diferentes em uma rede multiswitch amostra configurada com uma VLAN privada (PVLAN). As PVLANs restringem os fluxos de tráfego pelas portas de switch de membro (que são chamadas de "portas privadas") para que elas se comuniquem apenas com uma porta de tronco de uplink específica ou com portas especificadas dentro do mesmo VLAN.
Este tópico descreve:
- VLAN da comunidade enviando tráfego não registrado
- VLAN isolada enviando tráfego não registrado
- Tráfego marcado por PVLAN enviado em uma porta promíscua
VLAN da comunidade enviando tráfego não registrado
Neste exemplo, um membro da Comunidade 1 no Switch 1 envia tráfego não registrado na interface ge-0/0/12. As setas representam Figura 7 o fluxo de tráfego resultante.
Neste exemplo, os membros da comunidade 1 são designados C-VLAN ID 100 que é mapeado para P-VLAN ID 10.
Nesse cenário, a atividade a seguir ocorre no Switch 1:
-
VLAN da comunidade 1 na interface ge-0/0/0 e ge-0/0/12: Aprendizagem
-
pvlan100 na interface ge-0/0/0 e ge-0/0/12: Replicação
-
VLAN da comunidade 1 na interface ge-0/0/12: Recebe tráfego não registrado
-
Interface VLAN comunitária ge-0/0/0/0: Saídas de tráfego não registradas
-
Porta de tronco PVLAN: Saídas de tráfego da ge-1/0/2 e do ae0 com a tag 10
-
Comunidade 2: Interfaces não recebem tráfego
-
VLANs isoladas: Interfaces não recebem tráfego
Nesse cenário, essa atividade ocorre no Switch 3:
-
VLAN da comunidade 1 na interface ge-0/0/23 (tronco PVLAN): Aprendizagem
-
pvlan100 na interface ge-0/0/23: Replicação
-
VLAN comunitária em interfaces ge-0/0/9 e ge-0/0/16: Receba tráfego não registrado
-
Porta de tronco promíscuo: Saídas de tráfego da ge-0/0/0 com a tag 10
-
Comunidade 2: Interfaces não recebem tráfego
-
VLANs isoladas: Interfaces não recebem tráfego
VLAN isolada enviando tráfego não registrado
Nesse cenário, o VLAN1 isolado no Switch 1 na interface ge-1/0/0 envia tráfego não registrado. As setas representam Figura 8 esse fluxo de tráfego.
Nesse cenário, a atividade a seguir ocorre no Switch 1:
VLAN1 isolado na interface ge-1/0/0: Aprendizagem
pvlan100 na interface ge-1/0/0: Replicação
Saídas de tráfego do pvlan-trunk ge-1/0/2 e ae0 com a tag 50
Comunidade-1 e Comunidade-2: Interfaces não recebem tráfego
VLANs isoladas: Interfaces não recebem tráfego
Nesse cenário, essa atividade ocorre no Switch 3:
VLAN na interface ge-0/0/23 (porta-tronco PVLAN): Aprendizagem
pvlan100 na interface ge0/0/23: Replicação
Porta de tronco promíscuo: Saídas de tráfego da ge-0/0/0 com a tag 100
Comunidade-1 e Comunidade-2: Interfaces não recebem tráfego
VLANs isoladas: Não receba tráfego
Tráfego marcado por PVLAN enviado em uma porta promíscua
Nesse cenário, o tráfego marcado por PVLAN é enviado em uma porta promíscua. As setas representam Figura 9 esse fluxo de tráfego.
Nesse cenário, a atividade a seguir ocorre no Switch 1:
pvlan100 VLAN na interface ae0 (tronco PVLAN): Aprendizagem
Comunidade-1, Comunidade-2 e todas as VLANs isoladas na interface ae0: Replicação
VLAN na interface ae0: Replicação
Saídas de tráfego do pvlan-trunk ge-1/0/2 com a tag 100
Comunidade-1 e Comunidade-2: Interfaces recebem tráfego
VLANs isoladas: Receba tráfego
Nesse cenário, essa atividade ocorre no Switch 3:
pvlan100 na interface ge-0/0/0: Aprendizagem
Comunidade-1, Comunidade-2 e todas as VLANs isoladas na interface ge-0/0/0: Replicação
VLAN na interface ge-0/0/0: Replicação
Comunidade-1 e Comunidade-2: Interfaces recebem tráfego
VLANs isoladas: Receba tráfego
Entender portas de tronco VLAN secundárias e portas de acesso promíscuas em PVLANs
As VLANs limitam as transmissões a usuários especificados. As VLANs privadas (PVLANs) dão um passo adiante nesse conceito, dividindo uma VLAN em vários subdomains de broadcast e essencialmente colocando VLANs secundárias em uma VLAN primária. As PVLANs restringem os fluxos de tráfego por suas portas membros para que essas portas se comuniquem apenas com uma porta de tronco de uplink especificada ou com portas especificadas dentro do mesmo VLAN. A porta do tronco de uplink geralmente é conectada a um roteador, firewall, servidor ou rede de provedor. Normalmente, uma PVLAN contém muitas portas privadas que se comunicam apenas com um único uplink, impedindo assim que as portas se comuniquem entre si.
As portas secundárias de tronco e as portas de acesso promíscuas ampliam a funcionalidade das PVLANs para uso em implantações complexas, como:
Ambientes de infraestrutura de VMWare empresarial
Serviços de nuvem multilocatário com gerenciamento de VM
Serviços de hospedagem web para vários clientes
Por exemplo, você pode usar portas secundárias de tronco VLAN para conectar dispositivos QFX a servidores VMware que estão configurados com VLANs privadas. Você pode usar portas de acesso promíscuas para conectar dispositivos QFX a sistemas que não suportam portas de tronco, mas precisam participar de VLANs privadas.
Este tópico explica os seguintes conceitos sobre PVLANs na Série QFX:
Tipos de porta PVLAN
As PVLANs podem usar os seguintes tipos de porta diferentes:
Porta de tronco promíscuo — uma porta promíscua é uma porta-tronco upstream conectada a um roteador, firewall, servidor ou rede de provedores. Uma porta-tronco promíscua pode se comunicar com todas as interfaces, incluindo as portas isoladas e comunitárias dentro de uma PVLAN.
Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta de tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (ou seja, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas.
A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A participação de uma porta de tronco PVLAN no VLAN isolado interswitch é somente de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados a todas as VLANs secundárias na mesma VLAN primária que a porta promíscua).
Porta-tronco VLAN secundária — portas secundárias de porta-malas VLAN transportam tráfego VLAN secundário. Para uma determinada VLAN privada (primária), uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundário seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 VLAN primário.
Nota:Quando o tráfego é retirado de uma porta-tronco VLAN secundária, normalmente ele transporta a tag da VLAN primária da qual a porta secundária é membro. Se você quiser tráfego que se egressa de uma porta-tronco VLAN secundária para manter sua tag VLAN secundária, use a extend-secondary-vlan-id declaração.
Porta comunitária — as portas comunitárias se comunicam entre si e com suas portas promíscuas. As portas comunitárias atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.
Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN. Uma porta de acesso isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros da mesma VLAN isolada.
Porta de acesso promíscua — essas portas transportam tráfego não registrado e podem ser um membro de apenas uma VLAN primária. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Nesse caso, o tráfego transporta a tag VLAN secundária apropriada quando ele se egressa da porta VLAN secundária se a porta VLAN secundária for uma porta de tronco. Se o tráfego entrar em uma porta VLAN secundária e entrar em uma porta de acesso promíscua, o tráfego não está registrado na saída. Se o tráfego marcado for incluído em uma porta de acesso promíscua, o tráfego será descartado.
Detalhes secundários da porta do porta-tronco VLAN
Ao usar uma porta-tronco VLAN secundária, fique atento ao seguinte:
Você deve configurar um VLAN ID de isolamento para cada VLAN primária em que a porta de tronco VLAN secundária participará. Isso é verdade mesmo que as VLANs secundárias que a porta de tronco VLAN secundária transportará estejam confinadas a um único dispositivo.
Se você configurar uma porta para ser uma porta-tronco VLAN secundária para uma determinada VLAN primária, você também pode configurar a mesma porta física para ser qualquer uma das seguintes:
Porta-tronco VLAN secundária para outro VLAN primário
Tronco de PVLAN para outro VLAN primário
Porta-tronco promíscua
Porta de acesso para uma VLAN não privada
O tráfego que se ingressa em uma porta-tronco VLAN secundária (com uma tag VLAN secundária) e egresso em uma porta-tronco PVLAN retém a tag VLAN secundária na saída.
O tráfego que se ingressa em uma porta de tronco VLAN secundária e egresso em uma porta-tronco promíscua tem a tag VLAN primária apropriada na saída.
O tráfego que se ingressa em uma porta de tronco VLAN secundária e egresso em uma porta de acesso promíscua não está registrado na saída.
O tráfego que se ingressa em uma porta-tronco promíscua com uma tag VLAN primária e saídas em uma porta-tronco VLAN secundária transporta a tag VLAN secundária apropriada na saída. Por exemplo, suponha que você configurou o seguinte em um switch:
VLAN 100 primária
VLAN 200 da comunidade como parte da VLAN primária
Porta-tronco promíscua
Porta-tronco secundária que transporta VLAN 200 da comunidade
Se um pacote entrar na porta do tronco promíscuo com a tag VLAN primária 100 e saídas na porta secundária do porta-malas VLAN, ele transporta a tag 200 na saída.
Casos de uso
Na mesma interface física, você pode configurar várias portas secundárias de tronco VLAN (em VLANs primárias diferentes) ou combinar uma porta-tronco VLAN secundária com outros tipos de portas VLAN. Os casos de uso a seguir fornecem exemplos de fazer isso e mostram como o tráfego fluiria em cada caso:
- Troncos VLAN secundários em duas VLANS primárias
- Tronco de VLAN secundário e tronco promíscuo
- Tronco de VLAN secundário e tronco PVLAN
- Interface VLAN trunk secundária e VLAN não privada
- Entrada de tráfego na porta de acesso promíscua
Troncos VLAN secundários em duas VLANS primárias
Para este caso de uso, suponha que você tenha dois switches com a seguinte configuração:
Pvlan 100 VLAN primário com a tag 100.
VLAN isolado200 isolado com a tag 200 é um membro do pvlan100.
A comunidade VLAN comm300 com a tag 300 é um membro do pvlan100.
VLAN principal pvlan400 com a tag 400.
VLAN isolado isolado500 com a tag 500 é um membro do pvlan400.
A comunidade VLAN comm600 com a tag 600 é um membro do pvlan400.
A interface xe-0/0/0 no Switch 1 se conecta a um servidor VMware (não mostrado) configurado com as VLANs privadas usadas neste exemplo. Essa interface está configurada com portas secundárias de porta-malas VLAN para transportar tráfego para vlan comm600 secundário e o VLAN isolado (tag 200) que é um membro do pvlan100.
A interface xe-0/0/0 no Switch 2 é mostrada configurada como uma porta de tronco promíscua ou porta de acesso promíscua. Neste último caso, você pode presumir que ele se conecta a um sistema (não mostrado) que não oferece suporte a portas de tronco, mas está configurado com as VLANs privadas usadas neste exemplo.
No Switch 1, o xe-0/0/6 é um membro do comm600 e está configurado como uma porta de tronco.
No Switch 2, o xe-0/0/6 é um membro do comm600 e está configurado como uma porta de acesso.
Figura 10 mostra essa topologia e como o tráfego para 200 e comm600 isolados fluiria após a entrada no xe-0/0/0 no Switch 1. Observe que o tráfego fluiria apenas onde as setas indicam. Por exemplo, não há setas para interfaces xe-0/0/2, xe-0/0/3 e xe-0/0/5 no Switch 1 porque nenhum pacote seria saída nessas interfaces.
Aqui está o fluxo de tráfego para VLAN isolado200:
Observe que o tráfego para VLAN isolado200 não é saída na porta de acesso isolada xe-0/0/2 no Switch 1 ou na porta-tronco VLAN secundária xe-0/0/2 no Switch 2, embora essas duas portas sejam membros do mesmo VLAN isolado.
Aqui está o fluxo de tráfego para VLAN comm600:
Após o tráfego para entradas comm600 na porta secundária do porta-malas VLAN no Switch 1, ele se egressa na porta do tronco PVLAN porque a porta do tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.
O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 1. O tráfego é marcado porque a porta está configurada como um tronco.
Após o tráfego para entradas comm600 na porta do tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface for configurada como uma porta-tronco promíscua.
Nota:Se o xe-0/0/0 no Switch 2 for configurado como uma porta de acesso promíscua, a porta pode participar de apenas um VLAN primário. Neste caso, a porta de acesso promíscua faz parte do pvlan100, de modo que o tráfego para comm600 não é saída dele
O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2. Nesse caso, o tráfego não está registrado porque o modo de porta é o acesso.
Tronco de VLAN secundário e tronco promíscuo
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que no caso de uso anterior, com uma exceção: Nesse caso, o xe-0/0/0 no Switch 1 é configurado como uma porta-tronco VLAN secundária para pvlan VLAN100 e também é configurado como uma porta-tronco promíscua para pvlan400.
Figura 11 mostra essa topologia e como o tráfego para 200 isolado (membro do pvlan100) e comm600 (membro do pvlan400) fluiria após a entrada no Switch 1.
O fluxo de tráfego para VLAN isolado200 é o mesmo do caso de uso anterior, mas o fluxo para comm600 é diferente. Aqui está o fluxo de tráfego para VLAN comm600:
Tronco de VLAN secundário e tronco PVLAN
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que nos casos de uso anteriores, exceto que o xe-0/0/0 no Switch 1 está configurado como uma porta-tronco VLAN secundária para pvlan100 VLAN e também está configurado como uma porta-tronco PVLAN para pvlan400.
Figura 12 mostra essa topologia e como o tráfego para comm300 (membro do pvlan100) e comm600 (membro do pvlan400) fluiria após a entrada no Switch 1.
Aqui está o fluxo de tráfego para VLAN comm300:
Aqui está o fluxo de tráfego para VLAN comm600:
Após o tráfego para entradas comm600 na porta PVLAN xe-0/0/0 no Switch 1, ele se aproxima da porta da comunidade xe-0/0/6 no Switch 1. Os pacotes mantêm a tag VLAN secundária (600) ao ser saída porque xe-0/0/6 é uma porta de tronco.
O tráfego para comm600 também se egressa na porta do porta-malas PVLAN xe-0/0/1 porque essa porta-tronco PVLAN é um membro de todas as VLANs. Os pacotes mantêm a tag VLAN secundária (600) na saída.
Após o tráfego para entradas comm600 na porta do tronco PVLAN no Switch 2, ele se egressa no xe-0/0/0, se essa interface for configurada como uma porta-tronco promíscua.
Ele não entra em saída no xe-0/0/0 se essa interface for configurada como uma porta de acesso promíscua, porque a porta só pode participar do pvlan100.
O tráfego para comm600 também se aproxima da porta comunitária xe-0/0/6 no Switch 2. Esse tráfego não está registrado na saída porque o xe-0/0/6 é uma porta de acesso.
Interface VLAN trunk secundária e VLAN não privada
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs que nos casos de uso anteriores, exceto por essas diferenças:
Configuração para xe-0/0/0 no Switch 1:
Porta-tronco VLAN secundária para vLAN pvlan100
Porta de acesso para vlan700
A porta xe-0/0/6 em ambos os switches é uma porta de acesso para vlan700.
Figura 13 mostra essa topologia e como o tráfego para 200 isolados (membro do pvlan100) e vlan700 fluiria após a entrada no Switch 1.
Aqui está o fluxo de tráfego para VLAN isolado200:
Observe que o tráfego para VLAN isolado200 não é saída na porta de acesso isolada xe-0/0/2 no Switch 1 ou na porta-tronco VLAN secundária xe-0/0/2 no Switch 2, embora essas duas portas sejam membros do mesmo VLAN isolado.
Após o tráfego para entradas vlan700 na porta de acesso configurada no xe-0/0/0 no Switch 1, ele se egressa na porta de acesso xe-0/0/6 porque essa porta é um membro do mesmo VLAN. O tráfego para vlan700 não é encaminhado para o Switch 2 (embora o xe-0/0/6 no Switch 2 seja um membro do vlan700) porque o tronco PVLAN no xe-0/0/1 não transporta este VLAN.
Entrada de tráfego na porta de acesso promíscua
Para este caso de uso, suponha que você tenha dois switches configurados com as mesmas portas e VLANs como no caso de uso anterior, exceto que o xe-0/0 no Switch 1 está configurado como uma porta de acesso promíscua e é um membro do pvlan100. Figura 14 mostra essa topologia e como o tráfego não registrado fluiria após a entrada por essa interface no Switch 1.
Como mostra o número, o tráfego não registrado que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias que são membros da mesma VLAN primária da qual a porta de acesso promíscua é um membro. O tráfego não é registrado quando ele se afasta das portas de acesso e é marcado na saída de uma porta de tronco (xe-0/0/2 no Switch 2).
Usando autenticação 802.1X e VLANs privadas juntas na mesma interface
- Entender como usar a autenticação 802.1X e as PVLANs juntas na mesma interface
- Diretrizes de configuração para combinar autenticação 802.1X com PVLANs
- Example: Configurando a autenticação 802.1X com VLANs privadas em uma configuração
Entender como usar a autenticação 802.1X e as PVLANs juntas na mesma interface
Agora, você pode configurar autenticação 802.1X e VLANs privadas (PVLANs) na mesma interface.
A autenticação do IEEE 802.1X oferece segurança de borda de rede, protegendo LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no authentication server (um servidor RADIUS).
VLANs privadas (PVLANs) fornecem isolamento de Camada 2 entre portas dentro de uma VLAN, dividindo um domínio de broadcast em vários subdomains de broadcast discretos, criando VLANs secundárias. As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos.
Em um switch configurado com autenticação 802.1X e PVLANs, quando um novo dispositivo é conectado à rede PVLAN, o dispositivo é autenticado e depois é atribuído a um VLAN secundário com base na configuração PVLAN ou perfil RADIUS. Em seguida, o dispositivo obtém um endereço IP e tem acesso à rede PVLAN.
Este documento não fornece informações detalhadas sobre autenticação 802.1X ou VLANs privadas. Para esses detalhes, veja a documentação do recurso específica para esses recursos individuais. Para 802.1X, consulte o guia do usuário para acesso e autenticação do usuário. Para PVLANs, consulte o guia de usuário de comutação de Ethernet.
Diretrizes de configuração para combinar autenticação 802.1X com PVLANs
Tenha em mente as seguintes diretrizes e limitações para configurar esses dois recursos na mesma interface:
Você não pode configurar uma interface habilitada para 802.1X como uma interface promíscua (uma interface que é um membro da VLAN primária por configuração) ou como uma interface interswitch-link (ISL).
Vários usuários não podem ser autenticados em diferentes VLANs pertencentes ao mesmo domínio PVLAN em uma interface lógica , por exemplo, se a interface ge-0/0/0 for configurada como
supplicant multiplee os clientes C1 e C2 forem autenticados e forem adicionados às VLANs dinâmicas V1 e V2, respectivamente, os V1 e V2 devem pertencer a diferentes domínios PVLAN.Se o VoIP VLAN e o VLAN de dados forem diferentes, essas duas VLANs devem estar em domínios PVLAN diferentes.
Quando a adesão ao PVLAN é alterada (ou seja, uma interface é reconfigurada em um PVLAN diferente), os clientes devem ser reauthenticados.
Example: Configurando a autenticação 802.1X com VLANs privadas em uma configuração
- Requisitos
- Visão geral
- Configurando a autenticação 802.1X com VLANs privadas em uma configuração
- Verificação
Requisitos
Junos OS Versão 18.2R1 ou posterior
Switch EX2300, EX3400 ou EX4300
Antes de começar, especifique o servidor RADIUS ou servidores a serem usados como servidor de autenticação. Veja especificar conexões de servidor RADIUS em switches (procedimento CLI).
Visão geral
A seção de configuração a seguir mostra a configuração do perfil de acesso, a configuração de autenticação 802.1X e, por fim, a configuração de VLANs (incluindo PVLANs).
Configurando a autenticação 802.1X com VLANs privadas em uma configuração
Procedimento
Configuração rápida da CLI
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Procedimento passo a passo
Para configurar a autenticação 802.1X e as PVLANs em uma única configuração:
Configure o perfil de acesso:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
Nota:O VoIP VLAN configurado não pode ser uma PVLAN (primária, comunitária ou isolada).
Configure as configurações do 802.1X:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
Nota:Os dados configurados VLAN também podem ser uma VLAN comunitária ou uma VLAN isolada.
Configure as VLANs (incluindo as PVLANs):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os seguintes show comandos no switch. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Verificação
- Verifique se os endereços MAC do cliente são aprendidos na VLAN primária
- Verifique se o VLAN primário é um VLAN autenticado
Verifique se os endereços MAC do cliente são aprendidos na VLAN primária
Propósito
Mostre que um endereço MAC do cliente foi aprendido na VLAN primária.
Ação
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Verifique se o VLAN primário é um VLAN autenticado
Propósito
Mostre que a VLAN primária é mostrada como uma VLAN autenticada.
Ação
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsColocando a segurança da porta de acesso em VLANs privadas
- Entender a segurança da porta de acesso em PVLANs
- Diretrizes de configuração para colocar recursos de segurança de porta de acesso em PVLANs
- Example: Configurando a segurança da porta de acesso em um PVLAN
Entender a segurança da porta de acesso em PVLANs
Agora você pode habilitar recursos de segurança de porta de acesso, como a espionagem DHCP, em VLANs privadas (PVLANs).
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso PVLAN permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN.
As LANs Ethernet são vulneráveis a ataques como spoofing de endereços (forja) e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os seguintes recursos de segurança de porta de acesso ajudam a proteger seu dispositivo contra perdas de informações e produtividade que esses ataques podem causar, e agora você pode configurar esses recursos de segurança em um PVLAN:
Espionagem DHCP — Filtros e bloqueios de mensagens de servidor DHCP em portas não confiáveis. A espionagem DHCP cria e mantém um banco de dados de informações de locação DHCP, que é chamado de banco de dados de espionagem DHCP.
Espionagem DHCPv6 — DHCP bisbilhotando o IPv6.
Opção DHCP 82 — também conhecida como a opção de informações do agente de retransmissão DHCP. Ajuda a proteger o switch contra ataques como spoofing de endereços IP e endereços MAC e endereços IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP. O servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Opções de DHCPv6:
Opção 37 — opção de identificação remota para DHCPv6; insere informações sobre a localização da rede do host remoto em pacotes DHCPv6.
Opção 18 — Opção de ID de circuito para DHCPv6; insere informações sobre a porta do cliente em pacotes DHCPv6.
Opção 16 — Opção de ID de fornecedor para DHCPv6; insere informações sobre o fornecedor do hardware do cliente em pacotes DHCPv6.
Inspeção dinâmica de ARP (DAI)— evita ataques de spoofing do Protocolo de Resolução de Endereços (ARP). As solicitações e respostas de ARP são comparadas com as entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.
Proteção de origem IP — reduz os efeitos dos ataques de spoofing de endereços IP na LAN Ethernet; valida o endereço IP de origem no pacote enviado de uma interface de acesso não confiável contra o banco de dados de espionagem DHCP. Se o pacote não puder ser validado, ele será descartado.
Proteção de origem IPv6 — proteção de origem IP para IPv6.
Inspeção de descoberta de vizinhos IPv6 — evita ataques de spoofing de endereçoS IPv6; compara solicitações de descoberta de vizinhos e respostas contra entradas no banco de dados de espionagem DHCPv6, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.
Este documento não fornece informações detalhadas sobre recursos de segurança de porta de acesso ou PVLANs. Para esses detalhes, veja a documentação do recurso específica para esses recursos individuais. Para acessar a segurança da porta, consulte o Guia de Administração de Serviços de Segurança. Para PVLANs, consulte o guia de usuário de comutação de Ethernet.
Diretrizes de configuração para colocar recursos de segurança de porta de acesso em PVLANs
Tenha em mente as seguintes diretrizes e limitações para configurar recursos de segurança de porta de acesso em PVLANs:
Você deve aplicar os mesmos recursos de segurança da porta de acesso tanto no vlan primário quanto em todas as VLANs secundárias.
Um PVLAN pode ter apenas uma interface de roteamento e ponte (IRB) integrada, e a interface IRB deve estar no VLAN principal.
As limitações nas configurações de segurança da porta de acesso em PVLANs são as mesmas para configurações de recursos de segurança de porta de acesso que não estão em PVLANs. Consulte a documentação de segurança da porta de acesso no Security Services Administration Guide.
Example: Configurando a segurança da porta de acesso em um PVLAN
Requisitos
Junos OS Versão 18.2R1 ou posterior
Switch EX4300
Visão geral
A seção de configuração a seguir mostra:
Configuração de um VLAN privado, com o VLAN primário (
vlan-pri) e suas três VLANs secundárias — VLANs comunitárias (vlan-hre ) evlan-financeVLAN isolada (vlan-iso).Configuração das interfaces usadas para enviar comunicações entre as interfaces nessas VLANs.
Configuração de recursos de segurança de acesso nas VLANs primárias e secundárias que compõem o PVLAN.
Tabela 5 lista as configurações para a topologia de exemplo.
| Interface | Descrição |
|---|---|
ge-0/0/0.0 |
Interface de porta-malas VLAN primária (vlan1-pri) |
ge-0/0/11.0 |
Usuário 1, Comunidade de RH (vlan-hr) |
ge-0/0/12.0 |
Usuário 2, Comunidade de RH (vlan-hr) |
ge-0/0/13.0 |
Usuário 3, Comunidade Financeira (vlan-finance) |
ge-0/0/14.0 |
Usuário 4, Comunidade Financeira (vlan-finance) |
ge-0/0/15.0 |
Servidor de correio, Isolado (vlan-iso) |
ge-0/0/16.0 |
Servidor de backup, isolado (vlan-iso) |
ge-1/0/0.0 |
Interface de porta-malas VLAN primária (vlan-pri) |
Configurando a segurança da porta de acesso em um PVLAN
Procedimento
Configuração rápida da CLI
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Procedimento passo a passo
Para configurar uma VLAN privada (PVLAN) e, em seguida, configurar recursos de segurança de porta de acesso nessa PVLAN:
Configure o PVLAN — crie o VLAN primário e suas VLANs secundárias e atribua IDs VLAN a eles. Interfaces associadas com as VLANs. (Para obter detalhes sobre a configuração de VLANs, consulte a configuração de VLANs para switches da Série EX com suporte a ELS (Procedimento CLI).)
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure recursos de segurança de porta de acesso no VLAN principal e todas as suas VLANs secundárias:
Nota:Quando você configura inspeção de ARP, proteção de origem IP, proteção de origem IPv6, inspeção de descoberta de vizinhos, opção DHCP 82 ou opções DHCPv6, então a espionagem DHCP e a espionagem DHCPv6 são configuradas automaticamente.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os seguintes show comandos no switch. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Verificação
Verifique se os recursos de segurança de acesso estão funcionando como esperado
Propósito
Verifique se os recursos de segurança da porta de acesso que você configurou em seu PVLAN estão funcionando como esperado.
Ação
Use os show dhcp-security comandos e a clear dhcp-security CLI para verificar se os recursos estão funcionando como esperado. Veja detalhes sobre esses comandos no Security Services Administration Guide.
Criação de uma VLAN privada em um único switch com suporte a ELS (procedimento CLI)
Essa tarefa usa o Junos OS para switches com suporte ao estilo de configuração de Software de Camada 2 (ELS). Se o switch da Série EX executar um software que não oferece suporte ao ELS, consulte a criação de uma VLAN privada em um único switch da Série EX (Procedimento de CLI). Para obter detalhes do ELS, consulte o uso da CLI aprimorada de software de Camada 2.
VLANs privadas não são suportadas em switches QFX5100 e switches QFX10002 que executam o Junos OS Release 15.1X53.
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando um VLAN dentro de uma VLAN. Este procedimento descreve como criar uma PVLAN em um único switch.
Você deve especificar um VLAN ID para cada VLAN secundário, mesmo que o PVLAN esteja configurado em um único switch.
Você não precisa pré-configurar a VLAN primária. Este tópico mostra a VLAN primária sendo configurada como parte deste procedimento de configuração de PVLAN.
Para obter uma lista de diretrizes sobre a configuração de PVLANs, consulte a compreensão de VLANs privadas.
Para configurar uma VLAN privada em um único switch:
Criando uma VLAN privada em um único switch QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN secundária dentro de uma VLAN primária. Este tópico descreve como configurar uma PVLAN em um único switch.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Você não precisa pré-configurar o VLAN primário — ele está configurado como parte deste procedimento.) Você não precisa criar IDs VLAN (tags) para as VLANs secundárias. Ele não prejudica o funcionamento se você marcar o VLANS secundário, mas as tags não são usadas quando VLANs secundárias são configuradas em um único switch.
Tenha essas regras em mente ao configurar uma PVLAN:
O VLAN primário deve ser um VLAN marcado.
Se você vai configurar uma VLAN comunitária, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .
Se você vai configurar uma VLAN isolada, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Se você concluir suas etapas de configuração na ordem mostrada, não violará essas regras de PVLAN. Para configurar uma VLAN privada em um único switch:
Criação de VLAN privada em um único switch da Série EX (procedimento de CLI)
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que você divida um domínio de broadcast, também conhecido como VLAN primária, em vários subdomains de broadcast isolados, também conhecidos como VLANs secundárias. Dividir o VLAN primário em VLANs secundárias essencialmente aninha uma VLAN dentro de outra VLAN. Este tópico descreve como configurar uma PVLAN em um único switch.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Ao contrário das VLANs secundárias, você não precisa pré-configurar a VLAN primária — esse procedimento fornece a configuração completa da VLAN primária.) Embora as tags não sejam necessárias quando um VLAN secundário é configurado em um único switch, configurar uma VLAN secundária como marcada não afeta negativamente sua funcionalidade. Para obter instruções sobre como configurar as VLANs secundárias, consulte a configuração de VLANs para switches da Série EX.
Tenha essas regras em mente ao configurar uma PVLAN em um único switch:
O VLAN primário deve ser um VLAN marcado.
A configuração de um VLAN VoIP em interfaces PVLAN não é suportada.
Para configurar uma VLAN privada em um único switch:
VLANs isoladas não estão configuradas como parte desse processo. Em vez disso, eles são criados internamente se no-local-switching for habilitado no VLAN principal e o VLAN isolado tiver interfaces de acesso como membros.
Para habilitar opcionalmente o roteamento entre VLANs isoladas e comunitárias usando uma interface VLAN (RVI) roteada em vez de uma porta promíscua conectada a um roteador, consulte configurar uma interface VLAN roteada em um VLAN privado em um switch da Série EX.
Apenas um switch EX8200 ou o EX8200 Virtual Chassis oferecem suporte ao uso de um RVI para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias em um domínio PVLAN.
Criando uma VLAN privada que abrange vários switches da Série QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN secundária dentro de uma VLAN primária. Este tópico descreve como configurar uma PVLAN para abranger vários switches.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Você não precisa pré-configurar o VLAN primário — ele está configurado como parte deste procedimento.) Você não precisa criar IDs VLAN (tags) para as VLANs secundárias. Ele não prejudica o funcionamento se você marcar o VLANS secundário, mas as tags não são usadas quando VLANs secundárias são configuradas em um único switch.
As seguintes regras se aplicam à criação de PVLANs:
O VLAN primário deve ser um VLAN marcado.
Se você vai configurar uma VLAN comunitária, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .
Se você vai configurar uma VLAN isolada, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Se você concluir suas etapas de configuração na ordem mostrada, não violará essas regras de PVLAN. Para configurar uma VLAN privada para abranger vários switches:
Criação de um VLAN privado que abrange vários switches da Série EX com suporte a ELS (procedimento CLI)
Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) Aprimorado Se o seu switch executar um software que não oferece suporte a ELS, consulte a criação de um VLAN privado que abrange vários switches da Série EX (procedimento CLI). Para obter detalhes do ELS, consulte o uso da CLI aprimorada de software de Camada 2.
VLANs privadas não são suportadas em switches QFX5100 e switches QFX10002 que executam o Junos OS Release 15.1X53.
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando um VLAN dentro de uma VLAN. Este procedimento descreve como configurar uma PVLAN para abranger vários switches.
Para obter uma lista de diretrizes sobre a configuração de PVLANs, consulte a compreensão de VLANs privadas.
Para configurar uma PVLAN para abranger vários switches, realize o seguinte procedimento em todos os switches que participarão da PVLAN::
Criação de uma VLAN privada que abrange vários switches da Série EX (procedimento de CLI)
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast, também conhecido como VLAN primária, em vários subdomains de broadcast isolados, também conhecidos como VLANs secundárias. Dividir o VLAN primário em VLANs secundárias essencialmente aninha uma VLAN dentro de outra VLAN. Este tópico descreve como configurar uma PVLAN para abranger vários switches.
Antes de começar, configure nomes para todas as VLANs secundárias que farão parte da VLAN primária. (Ao contrário das VLANs secundárias, você não precisa pré-configurar a VLAN primária — esse procedimento fornece a configuração completa da VLAN primária.) Para obter instruções sobre como configurar as VLANs secundárias, consulte a configuração de VLANs para switches da Série EX.
As seguintes regras se aplicam à criação de PVLANs:
O VLAN primário deve ser um VLAN marcado.
Você deve configurar o VLAN primário e a porta tronco PVLAN antes de configurar as VLANs secundárias.
A configuração de um VLAN VoIP em interfaces PVLAN não é suportada.
Se o protocolo de registro de VLAN múltiplo (MVRP) for configurado na porta do tronco PVLAN, a configuração de VLANs secundárias e a porta de tronco PVLAN devem ser comprometidas com a mesma operação de compromisso.
Para configurar uma VLAN privada para abranger vários switches:
Para habilitar opcionalmente o roteamento entre VLANs isoladas e comunitárias usando uma interface VLAN (RVI) roteada em vez de uma porta promíscua conectada a um roteador, consulte configurar uma interface VLAN roteada em um VLAN privado em um switch da Série EX.
Apenas um switch EX8200 ou o EX8200 Virtual Chassis oferecem suporte ao uso de um RVI para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias em um domínio PVLAN.
Example: Configurando uma VLAN privada em um único switch com suporte a ELS
Este exemplo usa o Junos OS para switches com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado. Se o seu switch EX executar um software que não oferece suporte ao ELS, veja exemplo: Configurando uma VLAN privada em um único switch da Série EX. Para obter detalhes do ELS, consulte o uso da CLI aprimorada de software de Camada 2.
VLANs privadas não são suportadas em switches QFX5100 e switches QFX10002 que executam o Junos OS Release 15.1X53.
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido ou limitar a comunicação entre hosts conhecidos. VLANs privadas (PVLANs) permitem que você divida um domínio de broadcast (VLAN primário) em vários subdomains de broadcast isolados (VLANs secundárias), essencialmente colocando um VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma PVLAN em um único switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Switch One Junos OS
Junos OS Versão 14.1X53-D10 ou posterior para switches da Série EX
Junos OS Versão 14.1X53-D15 ou posterior para switches da Série QFX
Visão geral e topologia
Você pode isolar grupos de assinantes para melhorar a segurança e a eficiência. Este exemplo de configuração usa uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e três VLANs secundárias (uma VLAN isolada e duas VLANs comunitárias).
Tabela 6 lista as interfaces da topologia usada no exemplo.
| Interface | Descrição |
|---|---|
|
Portas de membros promíscuas |
|
Portas de membroS VLAN da comunidade de RH |
|
Portas membros da comunidade financeira VLAN |
|
Portas de membros isoladas |
Tabela 7 lista os IDs VLAN da topologia usada no exemplo.
| VLAN ID | Descrição |
|---|---|
|
VLAN primária |
|
VLAN da comunidade de RH |
|
VLAN da comunidade financeira |
|
VLAN isolada |
Figura 15 mostra a topologia para este exemplo.
Configuração
Você pode usar uma VLAN existente como base para seu PVLAN privado e criar subdomains dentro dela. Este exemplo cria uma VLAN primária — usando o nome vlan-priVLAN — como parte do procedimento.
Para configurar uma PVLAN, execute essas tarefas:
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Procedimento
Procedimento passo a passo
Para configurar o PVLAN:
Crie a VLAN primária (neste exemplo, o nome é vlan-pri) da VLAN privada:
[edit vlans] user@switch# set vlan-pri vlan-id 100
Crie uma VLAN isolada e atribua a ela um ID VLAN:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Crie a VLAN da comunidade de RH e atribua a ela um ID VLAN:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Crie a VLAN da comunidade financeira e atribua a ela um ID VLAN:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Associem as VLANs secundárias à VLAN primária:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Defina as interfaces para os modos de interface apropriados:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Configure uma interface promíscua de tronco da VLAN primária. Esta interface é usada pela VLAN primária para se comunicar com as VLANs secundárias.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure outra interface de tronco (também é uma interface promíscua) da VLAN primária, conectando o PVLAN ao roteador.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Example: Configurando uma VLAN privada em um único switch da Série QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma PVLAN em um único switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um dispositivo QFX3500
Junos OS Versão 12.1 ou posterior para a Série QFX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja Configuração de VLANs em switches.
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e duas VLANs comunitárias, uma para RH e outra para finanças, além de duas portas isoladas — uma para o servidor de e-mail e outra para o servidor de backup.
Tabela 8 lista as configurações para a topologia da amostra.
| Interface | Descrição |
|---|---|
|
Interface de tronco VLAN primária ( |
|
Usuário 1, Comunidade de RH ( |
|
Usuário 2, Comunidade de RH ( |
|
Usuário 3, Comunidade Financeira ( |
|
Usuário 4, Comunidade Financeira ( |
|
Servidor de correio, Isolado ( |
|
Servidor de backup, Isolado ( |
|
Interface de tronco VLAN primária ( |
Configuração
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimento
Procedimento passo a passo
Para configurar o PVLAN:
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan vlan-id 100
Defina as interfaces e os modos de porta:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Defina a VLAN primária para não ter comutação local:
Nota:O VLAN primário deve ser um VLAN marcado.
[edit vlans] user@switch# set pvlan100 pvlan
Adicione as interfaces do tronco ao VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Para cada VLAN secundário, configure interfaces de acesso:
Nota:Recomendamos que as VLANs secundárias sejam VLANs não registradas. Isso não prejudica o funcionamento se você marcar o VLANS secundário. No entanto, as tags não são usadas quando um VLAN secundário é configurado em um único switch.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN da comunidade, defina a VLAN primária:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Configure as interfaces isoladas no VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se as VLAN privadas e VLANs secundárias foram criadas
Propósito
Verifique se as VLAN primárias e as VLANs secundárias foram criadas corretamente no switch.
Ação
Use o show vlans comando:
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
A saída mostra que o VLAN primário foi criado e identifica as interfaces e VLANs secundárias associadas a ela.
Example: Configurando uma VLAN privada em um único switch da Série EX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN.
Este exemplo descreve como criar uma PVLAN em um único switch da Série EX:
Configurar um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportado.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Switch da Série EX
Junos OS Versão 9.3 ou posterior para switches da Série EX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja a configuração de VLANs para switches da Série EX.
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou dividir o domínio de broadcast. Este exemplo de configuração mostra uma topologia simples para ilustrar como criar uma PVLAN com uma VLAN primária e duas VLANs comunitárias, uma para RH e outra para finanças, além de duas portas isoladas — uma para o servidor de e-mail e outra para o servidor de backup.
Tabela 9 lista as configurações para a topologia de exemplo.
| Interface | Descrição |
|---|---|
ge-0/0/0.0 |
Interface de tronco VLAN primária (vlan1) |
ge-0/0/11.0 |
Usuário 1, Comunidade de RH (hr-comm) |
ge-0/0/12.0 |
Usuário 2, Comunidade de RH (hr-comm) |
ge-0/0/13.0 |
Usuário 3, Comunidade Financeira (finance-comm) |
ge-0/0/14.0 |
Usuário 4, Comunidade Financeira (finance-comm) |
ge-0/0/15.0 |
Servidor de correio, Isolado (isolated) |
ge-0/0/16.0 |
Servidor de backup, Isolado (isolated) |
ge-1/0/0.0 |
Interface de tronco VLAN primária ( pvlan) |
Figura 16 mostra a topologia para este exemplo.
Configuração
Para configurar uma PVLAN, execute essas tarefas:
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Procedimento
Procedimento passo a passo
Para configurar o PVLAN:
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Defina as interfaces e os modos de porta:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Defina a VLAN primária para não ter comutação local:
Nota:O VLAN primário deve ser um VLAN marcado.
[edit vlans] user@switch# set vlan1 no-local-switching
Adicione as interfaces do tronco ao VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Para cada VLAN secundário, configure os IDs VLAN e as interfaces de acesso:
Nota:Recomendamos que as VLANs secundárias sejam VLANs não registradas. Isso não prejudica o funcionamento se você marcar o VLANS secundário. No entanto, as tags não são usadas quando um VLAN secundário é configurado em um único switch.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN da comunidade, defina a VLAN primária:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Adicione cada interface isolada à VLAN primária:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se as VLAN privadas e VLANs secundárias foram criadas
Propósito
Verifique se as VLAN primárias e as VLANs secundárias foram criadas corretamente no switch.
Ação
Use o show vlans comando:
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
A saída mostra que o VLAN primário foi criado e identifica as interfaces e VLANs secundárias associadas a ela.
Example: Configurando uma VLAN privada que abrange vários switches QFX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de uma VLAN. Um PVLAN pode abranger vários switches.
Este exemplo descreve como criar um PVLAN que abrange vários switches. O exemplo cria uma PVLAN primária contendo várias VLANs secundárias:
- Requisitos
- Visão geral e topologia
- Configuração de uma PVLAN no Switch 1
- Configuração de uma PVLAN no Switch 2
- Configuração de uma PVLAN no Switch 3
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três dispositivos QFX3500
Junos OS Versão 12.1 ou posterior para a Série QFX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja Configuração de VLANs em switches.
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários dispositivos QFX, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para Finanças) e um VLAN isolado entre usuários (para o servidor de e-mail, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches, dois switches de acesso e um switch de distribuição. O PVLAN é conectado a um roteador por uma porta promíscua, configurada no switch de distribuição.
As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja Entender VLANs privadas.
Figura 17 mostra a topologia para este exemplo: dois switches de acesso que se conectam a um switch de distribuição, que tem uma conexão (por meio de uma porta promíscua) ao roteador.
Tabela 10, Tabela 11e Tabela 12 listar as configurações para a topologia de exemplo.
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-vlan-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 1 ao Switch 3 ge-0/0/5.0, conecta o Switch 1 ao Switch 2 |
Interfaces isoladas em VLAN primária |
ge-0/0/15.0, servidor de e-mail ge-0/0/16.0, servidor de backup |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-vlan-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 2 ao Switch 3 ge-0/0/5.0, conecta o Switch 2 ao Switch 1 |
Interface isolada em VLAN primária |
ge-0/0/17.0, servidor CVS |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-vlan-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 3 ao Switch 1 ge-0/0/1.0, conecta o Switch 3 ao Switch 2 |
Porta promíscua |
ge-0/0/2, conecta o PVLAN ao roteador Nota:
Você deve configurar a porta do tronco que conecta o PVLAN a outro switch ou roteador fora do PVLAN como um membro da PVLAN, o que a configura implicitamente como uma porta promíscua. |
Topologia
Configuração de uma PVLAN no Switch 1
Ao configurar uma PVLAN em vários switches, essas regras se aplicam:
O VLAN primário deve ser um VLAN marcado. Recomendamos que você configure o VLAN principal primeiro.
Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN. Você também deve configurar o VLAN primário para ser privado usando a declaração de pvlan .
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimento
Procedimento passo a passo
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Defina as interfaces de tronco PVLAN para conectar essa VLAN a switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Defina a VLAN primária como privada e não tenha comutação local:
[edit vlans] user@switch# set pvlan100 pvlan
Defina o VLAN ID para o VLAN da finance-comm comunidade que abrange os switches:
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure interfaces de acesso para o finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Defina a VLAN primária desta VLAN da comunidade secundária, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure interfaces de acesso para o hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Defina a VLAN primária desta VLAN da comunidade secundária, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Configure as interfaces isoladas no VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Nota:Quando você configura uma porta isolada, inclua-a como um membro da VLAN primária, mas não a configure como um membro de qualquer VLAN da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Configuração de uma PVLAN no Switch 2
Configuração rápida da CLI
Para criar e configurar rapidamente um VLAN privado que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 2:
A configuração do Switch 2 é a mesma da configuração do Switch 1, com exceção da interface no domínio isolado do interswitch. Para o Switch 2, a interface é ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Procedimento
Procedimento passo a passo
Para configurar uma PVLAN no Switch 2 que abrangerá vários switches:
Defina o VLAN ID para o VLAN da finance-comm comunidade que abrange os switches:
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure interfaces de acesso para o finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Defina a VLAN primária desta VLAN da comunidade secundária, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure interfaces de acesso para o hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Defina a VLAN primária desta VLAN da comunidade secundária, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Defina as interfaces de tronco PVLAN que conectarão essa VLAN a switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Defina a VLAN primária como privada e não tenha comutação local:
[edit vlans] user@switch# set pvlan100 pvlan
Defina o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Configure a interface isolada no VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Configuração de uma PVLAN no Switch 3
Configuração rápida da CLI
Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela de terminal do Switch 3:
A interface ge-0/0/2.0 é uma porta-tronco que conecta o PVLAN a um roteador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Procedimento
Procedimento passo a passo
Para configurar o Switch 3 para funcionar como o switch de distribuição deste PVLAN, use o seguinte procedimento:
Defina o VLAN ID para o VLAN da finance-comm comunidade que abrange os switches:
[edit vlans] user@switch# finance-comm vlan-id 300
Defina a VLAN primária desta VLAN da comunidade secundária, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches:
[edit vlans] user@switch# set hr-comm vlan-id 400
Defina a VLAN primária desta VLAN da comunidade secundária, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Defina as interfaces de tronco PVLAN que conectarão essa VLAN a switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Defina a VLAN primária como privada e não tenha comutação local:
[edit vlans] user@switch# set pvlan100 pvlan
Defina o ID isolado do interswitch para criar um domínio isolado interswitch que abrange os switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 1
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no switch 2
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 3
Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 1
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 1:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado entre comutação. A presença do pvlan-trunk e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch.
Verificando se as VLAN primárias e VLANs secundárias foram criadas no switch 2
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 2:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 2 e mostra que ele inclui um VLAN isolado, duas VLANs comunitárias e um VLAN isolado entre os switches. A presença do pvlan-trunk e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem ao mesmo PVLAN (pvlan100).
Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 3
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 3:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que o PVLAN (pvlan100) está configurado no Switch 3 e que ele não inclui VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. Mas o Switch 3 está funcionando como um switch de distribuição, de modo que a saída não inclua interfaces de acesso dentro do PVLAN. Ele mostra apenas as pvlan-trunk interfaces que se conectam pvlan100 do Switch 3 aos outros switches (Switch 1 e Switch 2) na mesma PVLAN.
Example: Configurando uma VLAN privada que abrange vários switches com uma interface IRB
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando um VLAN dentro de uma VLAN. Um PVLAN pode abranger vários switches. Este exemplo descreve como criar um PVLAN que abrange vários switches. O exemplo cria uma PVLAN primária, contendo várias VLANs secundárias.
Assim como as VLANs regulares, as PVLANs são isoladas na Camada 2 e normalmente exigem que um dispositivo de Camada 3 seja usado se você quiser rotear o tráfego. A partir do Junos OS 14.1X53-D30, você pode usar uma interface integrada de roteamento e ponte (IRB) para rotear o tráfego de Camada 3 entre dispositivos conectados a uma PVLAN. Usar uma interface IRB dessa forma também pode permitir que os dispositivos na PVLAN se comuniquem na Camada 3 com dispositivos em outra comunidade ou VLANs isoladas ou com dispositivos fora do PVLAN. Este exemplo também demonstra como incluir uma interface IRB em uma configuração PVLAN.
- Requisitos
- Visão geral e topologia
- Visão geral da configuração
- Configuração de uma PVLAN no Switch 1
- Configuração de uma PVLAN no Switch 2
- Configuração de uma PVLAN no Switch 3
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três switches da Série QFX ou EX4600
Versão do Junos OS com PVLAN para Série QFX ou EX4600
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários switches, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para finanças) e um VLAN isolado entre comutação (para o servidor de e-mail, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches: dois switches de acesso e um switch de distribuição. Os dispositivos do PVLAN estão conectados na Camada 3 uns aos outros e a dispositivos fora do PVLAN por meio de uma interface IRB configurada no switch de distribuição.
As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja Entender VLANs privadas.
Figura 18 mostra a topologia para este exemplo.
Tabela 13, Tabela 14e Tabela 15 listar as configurações para a topologia de exemplo.
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
|
Interfaces de enlace interswitch |
|
Interfaces isoladas em VLAN primária |
|
Interfaces em VLAN |
|
Interfaces em VLAN |
|
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
|
Interfaces de enlace interswitch |
|
Interface isolada em VLAN primária |
|
Interfaces em VLAN |
|
Interfaces em VLAN |
|
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
|
Interfaces de enlace interswitch |
|
Porta promíscua |
Nota:
Você deve configurar a porta do tronco que conecta o PVLAN a outro switch ou roteador fora do PVLAN como um membro da PVLAN, o que a configura implicitamente como uma porta promíscua. |
Interface IRB |
Configure um ARP proxy irrestrito na interface IRB para permitir que a resolução ARP ocorra para que dispositivos que usam IPv4 possam se comunicar na Camada 3. Para tráfego IPv6, você deve mapear explicitamente um endereço IRB no endereço de destino para permitir a resolução de ARP. |
Topologia
Visão geral da configuração
Ao configurar uma PVLAN em vários switches, as seguintes regras se aplicam:
O VLAN primário deve ser um VLAN marcado.
O VLAN primário é o único VLAN que pode ser um membro de uma interface de enlace interswitch.
Ao configurar uma interface IRB em uma PVLAN, essas regras se aplicam:
Você pode criar apenas uma interface IRB em uma PVLAN, independentemente de quantos switches participem do PVLAN.
A interface IRB deve ser um membro da VLAN primária na PVLAN.
Cada dispositivo de host que você deseja conectar na Camada 3 deve usar um endereço IP da IRB como endereço de gateway padrão.
Configuração de uma PVLAN no Switch 1
Configuração rápida da CLI
Para criar e configurar rapidamente uma PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 1:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Procedimento
Procedimento passo a passo
Configure a interface xe-0/0/0 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/0 para ser um enlace interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 (o VLAN principal) para ser um membro da interface xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/5 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/5 para ser um enlace interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 para ser um membro da interface xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Crie a VLAN comunitária para a organização financeira:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Crie a VLAN comunitária para a organização de RH:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Crie a VLAN isolada para os servidores de e-mail e backup:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Crie a VLAN primária e torne a comunidade e as VLANs isoladas membros dela:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure o VLAN 300 (o VLAN da comunidade) para ser um membro da interface xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 300 (uma VLAN comunitária) para ser um membro da interface xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuração de uma PVLAN no Switch 2
Configuração rápida da CLI
Para criar e configurar rapidamente um VLAN privado que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 2:
A configuração do Switch 2 é a mesma da configuração do Switch 1, com exceção do VLAN isolado. Para o Switch 2, a interface VLAN isolada é xe-0/0/17.0 .
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Procedimento
Procedimento passo a passo
Configure a interface xe-0/0/0 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/0 para ser um enlace interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 (o VLAN principal) para ser um membro da interface xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/5 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/5 para ser um enlace interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 para ser um membro da interface xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Crie a VLAN comunitária para a organização financeira:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Crie a VLAN comunitária para a organização de RH:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Crie a VLAN isolada para os servidores de e-mail e backup:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Crie a VLAN primária e torne a comunidade e as VLANs isoladas membros dela:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure o VLAN 300 (o VLAN da comunidade) para ser um membro da interface xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 300 (uma VLAN comunitária) para ser um membro da interface xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 400 (uma VLAN comunitária) para ser um membro da interface xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure o VLAN 50 (o VLAN isolado) para ser um membro da interface xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuração de uma PVLAN no Switch 3
Configuração rápida da CLI
Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela de terminal do Switch 3:
A interface xe-0/0/2.0 é uma porta-tronco que conecta o PVLAN a outra rede.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Procedimento
Procedimento passo a passo
Para configurar o Switch 3 para funcionar como o switch de distribuição deste PVLAN, use o seguinte procedimento:
Configure a interface xe-0/0/0 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/0 para ser um enlace interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 (o VLAN principal) para ser um membro da interface xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/5 para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure a interface xe-0/0/5 para ser um enlace interswitch que transporta todas as VLANs:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure o pvlan100 para ser um membro da interface xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Configure a interface xe-0/0/2 (a interface promíscua) para ser um tronco:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Configure o pvlan100 para ser um membro da interface xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Crie a VLAN primária:
[edit vlans] set vlans pvlan100 vlan-id 100
Crie a interface
irbIRB e atribua-a a um endereço na sub-rede usada pelos dispositivos conectados aos switches 1 e 2:[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
Nota:Cada dispositivo de host que você deseja conectar na Camada 3 deve estar na mesma sub-rede que a interface IRB e usar o endereço IP da interface IRB como endereço de gateway padrão.
Preencha a configuração da interface IRB vinculando a interface à VLAN
pvlan100primária:[edit vlans] set pvlan100 l3-interface irb.100
Configure um ARP proxy irrestrito para cada unidade da interface IRB para que a resolução de ARP funcione para o tráfego IPv4:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
Nota:Como os dispositivos da comunidade e as VLANs isoladas estão isolados na Camada 2, essa etapa é necessária para permitir que a resolução ARP ocorra entre as VLANs para que os dispositivos que usam IPv4 possam se comunicar na Camada 3. (Para tráfego IPv6, você deve mapear explicitamente um endereço IRB no endereço de destino para permitir a resolução do ARP.)
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 1
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no switch 2
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 3
Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 1
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 1:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado entre comutação. A presença do tronco e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch.
Verificando se as VLAN primárias e VLANs secundárias foram criadas no switch 2
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 2:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 2 e mostra que ele inclui um VLAN isolado, duas VLANs comunitárias e um VLAN isolado entre os switches. A presença do tronco e dos campos isolados entre switches indica que este PVLAN está abrangendo mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem ao mesmo PVLAN (pvlan100).
Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 3
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 3:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que o PVLAN (pvlan100) está configurado no Switch 3 e que ele não inclui VLANs isoladas, duas VLANs comunitárias e um VLAN isolado interswitch. Mas o Switch 3 está funcionando como um switch de distribuição, de modo que a saída não inclua interfaces de acesso dentro do PVLAN. Ele mostra apenas as interfaces de tronco que se conectam pvlan100 do Switch 3 aos outros switches (Switch 1 e Switch 2) na mesma PVLAN.
Example: Configurando uma VLAN privada que abrange vários switches da Série EX
Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso VLAN privado (PVLAN) nos switches da Série EX permite que um administrador divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN. Um PVLAN pode abranger vários switches.
Este exemplo descreve como criar um PVLAN que abrange vários switches da Série EX. O exemplo cria uma PVLAN primária, contendo várias VLANs secundárias:
Configurar um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportado.
- Requisitos
- Visão geral e topologia
- Configuração de uma PVLAN no Switch 1
- Configuração de uma PVLAN no Switch 2
- Configuração de uma PVLAN no Switch 3
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três switches da Série EX
Junos OS Versão 10.4 ou posterior para switches da Série EX
Antes de começar a configurar uma PVLAN, certifique-se de ter criado e configurado as VLANs necessárias. Veja a configuração de VLANs para switches da Série EX.
Visão geral e topologia
Em um grande escritório com vários edifícios e VLANs, você pode precisar isolar alguns grupos de trabalho ou outros endpoints por motivos de segurança ou dividir o domínio de broadcast. Este exemplo de configuração mostra como criar um PVLAN que abrange vários switches da Série EX, com um VLAN primário contendo duas VLANs comunitárias (uma para RH e outra para finanças) e um VLAN isolado interswitch (para o servidor de e-mail, o servidor de backup e o servidor CVS). O PVLAN é composto por três switches, dois switches de acesso e um switch de distribuição. O PVLAN é conectado a um roteador por uma porta promíscua, configurada no switch de distribuição.
As portas isoladas do Switch 1 e do Switch 2 não têm conectividade de Camada 2 entre si, embora estejam incluídas no mesmo domínio. Veja a compreensão de VLANs privadas.
Figura 19 mostra a topologia para este exemplo: dois switches de acesso que se conectam a um switch de distribuição, que tem uma conexão (por meio de uma porta promíscua) ao roteador.
Tabela 16, Tabela 17e Tabela 18 listar as configurações para a topologia de exemplo.
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta o Switch 1 ao Switch 3 ge-0/0/5.0, conecta switch 1 a switch 2 |
Interfaces em VLAN isolation |
ge-0/0/15.0, servidor de correio ge-0/0/16.0, servidor de backup |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta switch 2 a switch 3 ge-0/0/5.0, conecta switch 2 a switch 1 |
Interfaces em VLAN isolation |
ge-0/0/17.0,servidor CVS |
Interfaces em VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces em VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriedade | Configurações |
|---|---|
Nomes de VLAN e IDs de tag |
primary-vlanTag 100 isolation-idTag 50finance-commTag 300hr-commTag 400 |
Interfaces de tronco PVLAN |
ge-0/0/0.0, conecta switch 3 a switch 1 ge-0/0/1.0, conecta switch 3 a switch 2 |
Porta promíscua |
ge-0/0/2, conecta o PVLAN ao roteador Nota:
Você deve configurar a porta do tronco que conecta o PVLAN a outro switch ou roteador fora do PVLAN como um membro da PVLAN, o que a configura implicitamente como uma porta promíscua. |
Topologia
Configuração de uma PVLAN no Switch 1
Configuração rápida da CLI
Ao configurar uma PVLAN em vários switches, essas regras se aplicam:
O VLAN primário deve ser um VLAN marcado. Recomendamos que você configure o VLAN principal primeiro.
Configurar um VLAN de voz sobre IP (VoIP) em interfaces PVLAN não é suportado.
Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
VLANs secundárias e a porta de tronco PVLAN devem ser comprometidas em um único compromisso se o MVRP estiver configurado na porta do tronco PVLAN.
Para criar e configurar rapidamente uma PVLAN que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimento
Procedimento passo a passo
Preencha as etapas de configuração abaixo na ordem mostrada — também, preencha todas as etapas antes de comprometer a configuração em um único compromisso. Esta é a maneira mais fácil de evitar mensagens de erro acionadas por violar qualquer uma dessas três regras:
Se você vai configurar um ID VLAN da comunidade, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária e a porta de tronco PVLAN.
Vlans secundários e um tronco PVLAN devem ser comprometidos em um único compromisso.
Para configurar uma PVLAN no Switch 1 que abrangerá vários switches:
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina as interfaces de tronco PVLAN que conectarão essa VLAN a switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Defina a VLAN primária para não ter comutação local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Defina o VLAN ID para o VLAN da finance-comm comunidade que abrange os switches:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure interfaces de acesso para o finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Defina a VLAN primária desta VLAN da comunidade secundária, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure interfaces de acesso para o hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Defina a VLAN primária desta VLAN da comunidade secundária, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o ID isolado entre switches para criar um domínio isolado entre switches que abrange os switches:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Configuração de uma PVLAN no Switch 2
Configuração rápida da CLI
Para criar e configurar rapidamente um VLAN privado que abrange vários switches, copie os seguintes comandos e cole-os na janela terminal do Switch 2:
A configuração do Switch 2 é a mesma da configuração do Switch 1, exceto para a interface no domínio isolado entre switches. Para o Switch 2, a interface é ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimento
Procedimento passo a passo
Para configurar uma PVLAN no Switch 2 que abrangerá vários switches:
Defina o VLAN ID para o VLAN da finance-comm comunidade que abrange os switches:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure interfaces de acesso para o finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Defina a VLAN primária desta VLAN da comunidade secundária, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure interfaces de acesso para o hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Defina a VLAN primária desta VLAN da comunidade secundária, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina as interfaces de tronco PVLAN que conectarão essa VLAN a switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Defina a VLAN primária para não ter comutação local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Defina o ID isolado entre switches para criar um domínio isolado entre switches que abrange os switches:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Configuração de uma PVLAN no Switch 3
Configuração rápida da CLI
Para configurar rapidamente o Switch 3 para funcionar como o switch de distribuição deste PVLAN, copie os seguintes comandos e cole-os na janela de terminal do Switch 3:
A interface ge-0/0/2.0 é uma porta-tronco que conecta o PVLAN a um roteador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimento
Procedimento passo a passo
Para configurar o Switch 3 para funcionar como o switch de distribuição deste PVLAN, use o seguinte procedimento:
Defina o VLAN ID para o VLAN da finance-comm comunidade que abrange os switches:
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina a VLAN primária desta VLAN da comunidade secundária, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Defina o VLAN ID para a comunidade de RH VLAN que abrange os switches:
[edit vlans] user@switch# hr-comm vlan-id 400
Defina a VLAN primária desta VLAN da comunidade secundária, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Defina o VLAN ID para o VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Defina as interfaces de tronco PVLAN que conectarão essa VLAN a switches vizinhos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Defina a VLAN primária para não ter comutação local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Defina o ID isolado entre switches para criar um domínio isolado entre switches que abrange os switches:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar uma porta isolada, inclua-a como um dos membros da VLAN primária, mas não a configure como pertencente a uma das VLANs da comunidade.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 1
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no switch 2
- Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 3
Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 1
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 1:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado entre comutação. A presença dos campos e dos pvlan-trunk campos Inter-switch-isolated indica que este PVLAN está abrangendo mais de um switch.
Verificando se as VLAN primárias e VLANs secundárias foram criadas no switch 2
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 2:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que um PVLAN foi criado no Switch 1 e mostra que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado entre comutação. A presença dos pvlan-trunk campos e dos campos Inter-switch-isolated indica que este é o PVLAN que abrange mais de um switch. Quando você compara essa saída com a saída do Switch 1, você pode ver que ambos os switches pertencem ao mesmo PVLAN (pvlan100).
Verificando se as VLAN primárias e VLANs secundárias foram criadas no Switch 3
Propósito
Verifique se a configuração PVLAN que abrange vários switches está funcionando corretamente no Switch 3:
Ação
Use o show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
A saída mostra que o PVLAN (pvlan100) está configurado no Switch 3 e que ele inclui duas VLANs isoladas, duas VLANs comunitárias e um VLAN isolado por interswitch. Mas o Switch 3 está funcionando como um switch de distribuição, de modo que a saída não inclua interfaces de acesso dentro do PVLAN. Ele mostra apenas as pvlan-trunk interfaces que se conectam pvlan100 do Switch 3 aos outros switches (Switch 1 e Switch 2) na mesma PVLAN.
Example: Configuração de PVLANs com portas secundárias de tronco VLAN e portas de acesso promíscuas em um switch da Série QFX
Este exemplo mostra como configurar portas secundárias de porta-malas VLAN e portas de acesso promíscuas como parte de uma configuração VLAN privada. As portas secundárias do porta-malas VLAN transportam tráfego VLAN secundário.
Este exemplo usa o Junos OS para switches que não oferecem suporte ao estilo de configuração de Software de Camada 2 (ELS). Para saber mais sobre o ELS, consulte o uso da CLI de software de Camada 2 aprimorada.
Para um determinado VLAN privado, uma porta-tronco VLAN secundária pode transportar tráfego para apenas um VLAN secundário. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundário seja um membro de uma VLAN privada (primária) diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 VLAN primário.
Para configurar uma porta de tronco para transportar tráfego VLAN secundário, use as declarações isoladas e interface , conforme mostrado em etapas 12 e 13 da configuração de exemplo para o Switch 1.
Quando o tráfego é retirado de uma porta-tronco VLAN secundária, normalmente ele transporta a tag da VLAN primária da qual a porta secundária é membro. Se você quiser tráfego que se egressa de uma porta-tronco VLAN secundária para manter sua tag VLAN secundária, use a declaração estendida secundária-vlan-id .
Uma porta de acesso promíscua transporta tráfego não registrado e pode ser um membro de apenas uma VLAN primária. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Esse tráfego transporta as tags VLAN secundárias apropriadas quando ele se egressa das portas VLAN secundárias se a porta VLAN secundária for uma porta de tronco.
Para configurar uma porta de acesso para ser promíscua, use a declaração promíscua , conforme mostrado em etapa 12 da configuração de exemplo para o Switch 2.
Se o tráfego entrar em uma porta VLAN secundária e entrar em uma porta de acesso promíscua, o tráfego não está registrado na saída. Se o tráfego marcado for incluído em uma porta de acesso promíscua, o tráfego será descartado.
- Requisitos
- Visão geral e topologia
- Configurando as PVLANs no Switch 1
- Configurando as PVLANs no Switch 2
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dois dispositivos QFX
Junos OS Versão 12.2 ou posterior para a Série QFX
Visão geral e topologia
Figura 20 mostra a topologia usada neste exemplo. O Switch 1 inclui várias VLANs privadas primárias e secundárias e também inclui duas portas secundárias de tronco VLAN configuradas para transportar VLANs secundárias que são membros das VLANs primárias pvlan100 e pvlan400.
O Switch 2 inclui as mesmas VLANs privadas. O número mostra xe-0/0/0 no Switch 2 configurado com portas de acesso promíscuas ou portas de tronco promíscuas. A configuração de exemplo incluída aqui configura essa porta como uma porta de acesso promíscua.
O número também mostra como o tráfego fluiria após a entrada nas portas secundárias do porta-malas VLAN no Switch 1.
Tabela 19 e Tabela 20 listar as configurações para a topologia de exemplo em ambos os switches.
| Componente | Descrição |
|---|---|
pvlan100, ID 100 |
VLAN primária |
pvlan400, ID 400 |
VLAN primária |
comm300, ID 300 |
VLAN da comunidade, membro do pvlan100 |
comm600, ID 600 |
VLAN da comunidade, membro do pvlan400 |
isolação vlan-id 200 |
VLAN ID para VLAN isolada, membro do pvlan100 |
isolamento -vlan-id 500 |
VLAN ID para VLAN isolada, membro do pvlan400 |
xe-0/0/0,0 |
Porta-tronco VLAN secundária para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/1,0 |
Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/2,0 |
Porta de acesso isolada para pvlan100 |
xe-0/0/3,0 |
Porta de acesso à comunidade para comm300 |
xe-0/0/5,0 |
Porta de acesso isolada para pvlan400 |
xe-0/0/6,0 |
Porta tronco da comunidade para comm600 |
| Componente | Descrição |
|---|---|
pvlan100, ID 100 |
VLAN primária |
pvlan400, ID 400 |
VLAN primária |
comm300, ID 300 |
VLAN da comunidade, membro do pvlan100 |
comm600, ID 600 |
VLAN da comunidade, membro do pvlan400 |
isolação vlan-id 200 |
VLAN ID para VLAN isolada, membro do pvlan100 |
isolamento -vlan-id 500 |
VLAN ID para VLAN isolada, membro do pvlan400 |
xe-0/0/0,0 |
Porta de acesso promíscua para VLANs primárias pvlan100 |
xe-0/0/1,0 |
Porta-tronco PVLAN para VLANs primárias pvlan100 e pvlan400 |
xe-0/0/2,0 |
Porta-tronco secundária para VLAN isolada, membro do pvlan100 |
xe-0/0/3,0 |
Porta de acesso à comunidade para comm300 |
xe-0/0/5,0 |
Porta de acesso isolada para pvlan400 |
xe-0/0/6,0 |
Porta de acesso à comunidade para comm600 |
Configurando as PVLANs no Switch 1
Configuração rápida da CLI
Para criar e configurar rapidamente as PVLANs no Switch 1, copie os seguintes comandos e cole-os em uma janela de terminal de switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimento
Procedimento passo a passo
Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:
Configure as interfaces e os modos de porta:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Crie as VLANs primárias:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:As VLANs primárias devem ser sempre marcadas como VLANs, mesmo que existam em apenas um dispositivo.
Configure as VLANs primárias para serem privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure a porta do porta-malas PVLAN para transportar o tráfego VLAN privado entre os switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Crie o VLAN comm300 secundário com VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure a VLAN primária para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure a interface para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Crie o VLAN comm600 secundário com o VLAN ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure a VLAN primária para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure a interface para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure as VLANs isoladas interswitch:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Quando você configura uma porta-tronco VLAN secundária para transportar uma VLAN isolada, você também deve configurar um vlan-id isolado. Isso é verdade, mesmo que o VLAN isolado exista apenas em um switch.
Habilite a porta do tronco xe-0/0/0 para transportar VLANs secundárias para as VLANs primárias:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure a porta do tronco xe-0/0/0 para transportar comm600 (membro do pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:Você não precisa configurar explicitamente o xe-0/0/0 para transportar o tráfego VLAN isolado (tags 200 e 500) porque todas as portas isoladas em pvlan100 e pvlan400 — incluindo xe-0/0/0.0 — são incluídas automaticamente nas VLANs isoladas criadas quando configuradas
isolation-vlan-id 200eisolation-vlan-id 500.Configure xe-0/0/2 e xe-0/0/6 para ficar isolado:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Confira os resultados da configuração no Switch 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configurando as PVLANs no Switch 2
A configuração do Switch 2 é quase idêntica à configuração do Switch 1. A diferença mais significativa é que o xe-0/0/0 no Switch 2 é configurado como uma porta de tronco promíscua ou uma porta de acesso promíscua, como Figura 20 mostra. Na configuração a seguir, o xe-0/0/0 é configurado como uma porta de acesso promíscua para o pvlan 100 VLAN primário.
Se o tráfego entrar na porta habilitada para VLAN e entrar em uma porta de acesso promíscua, as tags VLAN serão lançadas na saída e o tráfego não for registrado nesse ponto. Por exemplo, o tráfego para entradas comm600 na porta secundária do porta-malas VLAN configurada no xe-0/0/0.0 no Switch 1 e transporta a tag 600 conforme é encaminhada pelo VLAN secundário. Quando ele sair do xe-0/0/0,0 no Switch 2, ele não será registrado se você configurar o xe-0/0/0,0 como uma porta de acesso promíscua como mostrado neste exemplo. Se você configurar o xe-0/0/0,0 como uma porta-malas promíscua (tronco de modo de porta), o tráfego para comm600 transporta sua tag VLAN primária (400) quando ele se egressa.
Configuração rápida da CLI
Para criar e configurar rapidamente as PVLANs no Switch 2, copie os seguintes comandos e cole-os em uma janela de terminal do switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimento
Procedimento passo a passo
Para configurar as VLANs privadas e as portas secundárias de tronco VLAN:
Configure as interfaces e os modos de porta:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Crie as VLANs primárias:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure as VLANs primárias para serem privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure a porta do porta-malas PVLAN para transportar o tráfego VLAN privado entre os switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Crie o VLAN comm300 secundário com VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure a VLAN primária para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure a interface para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Crie o VLAN comm600 secundário com o VLAN ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure a VLAN primária para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure a interface para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
Configure as VLANs isoladas interswitch:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure a porta de acesso xe-0/0/0 para ser promíscua para pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Uma porta de acesso promíscua pode ser um membro de apenas uma VLAN primária.
Configure xe-0/0/2 e xe-0/0/6 para ficar isolado:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Confira os resultados da configuração no Switch 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando se as VLAN privadas e VLANs secundárias foram criadas
- Verificando as entradas da tabela de comutação Ethernet
Verificando se as VLAN privadas e VLANs secundárias foram criadas
Propósito
Verifique se a VLAN primária e as VLANs secundárias foram criadas corretamente no Switch 1.
Ação
Use o show vlans comando:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
A saída mostra que as VLANs privadas foram criadas e identifica as interfaces e VLANs secundárias associadas a elas.
Verificando as entradas da tabela de comutação Ethernet
Propósito
Verifique se as entradas da tabela de comutação Ethernet foram criadas para o pvlan100 VLAN primário.
Ação
Mostre as entradas da tabela de comutação Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Verificando se uma VLAN privada está trabalhando em um switch
Propósito
Após a criação e configuração de VLANs privadas (PVLANs), verifique se elas são configurados corretamente.
Ação
Para determinar se você criou com sucesso as configurações de VLAN primárias e secundárias:
Para um PVLAN em um único switch, use o
show configuration vlanscomando:user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Para um PVLAN que abrange vários switches, use o show vlans
extensivecomando:user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Use o
show vlansextensivecomando para visualizar informações de VLAN e status de enlace para um PVLAN em um único switch ou para um PVLAN que abrange vários switches.Para uma PVLAN em um único switch:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Para um PVLAN que abrange vários switches:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Use o
show ethernet-switching tablecomando para visualizar logs para aprendizado MAC nas VLANs:user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Se você tiver configurado um PVLAN que abrange vários switches, você pode usar o mesmo comando em todos os switches para verificar os logs para o aprendizado MAC nesses switches.
Significado
Nos displays de saída para um PVLAN em um único switch, você pode ver que o VLAN principal contém dois domínios da comunidade (community1 e community2), duas portas isoladas e duas portas de tronco. O PVLAN em um único switch tem apenas uma tag (1000), que é para o VLAN principal.
O PVLAN que abrange vários switches contém várias tags:
O domínio COM1 da comunidade é identificado com a tag 100.
O domínio community2 da comunidade é identificado com a tag 20.
O domínio isolado interswitch é identificado com a tag 50.
O VLAN primary primário é identificado com a tag 10.
Além disso, para o PVLAN que abrange vários switches, as interfaces do tronco são identificadas como pvlan-trunk.
Solução de problemas VLANs privadas em switches QFX
Use as seguintes informações para solucionar problemas de uma configuração de VLAN privada.
- Limitações de VLANs privadas
- Encaminhamento com VLANs privadas
- Filtros de firewall de saída com VLANs privadas
- Espelhamento de porta de saída com VLANs privadas
Limitações de VLANs privadas
As seguintes restrições se aplicam às configurações privadas de VLAN:
A espionagem IGMP não é suportada com VLANs privadas.
Interfaces VLAN roteadas não são suportadas em VLANs privadas
O roteamento entre VLANs secundárias na mesma VLAN primária não é suportado.
Se você quiser mudar uma VLAN primária para ser uma VLAN secundária, você deve primeiro alterá-la para uma VLAN normal e cometer a mudança. Por exemplo, você seguiria este procedimento:
Altere a VLAN primária para ser uma VLAN normal.
Confirmar a configuração.
Altere o VLAN normal para ser um VLAN secundário.
Confirmar a configuração.
Siga a mesma sequência de compromissos se você quiser alterar uma VLAN secundária para ser uma VLAN primária. Ou seja, tornar a VLAN secundária uma VLAN normal e comprometer essa mudança e, em seguida, mudar a VLAN normal para ser uma VLAN primária.
Encaminhamento com VLANs privadas
Problema
Descrição
Quando o tráfego marcado por VLAN ou VLAN da comunidade é recebido em uma porta-tronco PVLAN, os endereços MAC são aprendidos com o VLAN principal. Isso significa que a saída do comando da tabela de comutação de ethernet mostra que os endereços MAC são aprendidos com o VLAN primário e replicados para VLANs secundárias. Esse comportamento não afeta as decisões de encaminhamento.
Se um pacote com uma tag VLAN secundária for recebido em uma porta promíscua, ele é aceito e encaminhado.
Se um pacote for recebido em uma porta-tronco PVLAN e atender às duas condições listadas abaixo, ele será descartado.
O pacote tem uma tag VLAN da comunidade.
O pacote é destinado a um endereço MAC unicast ou endereço MAC de grupo multicast que foi aprendido em uma VLAN isolada.
Se um pacote for recebido em uma porta-tronco PVLAN e atender às duas condições listadas abaixo, ele será descartado.
O pacote tem uma tag VLAN isolada.
O pacote é destinado a um endereço MAC unicast ou endereço MAC de grupo multicast que foi aprendido em uma VLAN comunitária.
Se um pacote com uma tag VLAN primária for recebido por uma porta VLAN secundária (isolada ou comunitária), a porta secundária encaminha o pacote.
Se você configurar uma VLAN comunitária em um dispositivo e configurar outra VLAN comunitária em um segundo dispositivo e ambas as VLANs da comunidade usarem o mesmo VLAN ID, o tráfego para uma das VLANs pode ser encaminhado para o outro VLAN. Por exemplo, assuma a seguinte configuração:
A comunidade VLAN comm1 no switch 1 tem VLAN ID 50 e é um membro do pvlan100 VLAN primário.
O VLAN comm2 da comunidade no switch 2 também tem VLAN ID 50 e é um membro do pvlan200 VLAN primário.
O pvlan100 VLAN primário existe em ambos os switches.
Se o tráfego para comm1 for enviado do switch 1 para o switch 2, ele será enviado para as portas participantes do comm2. (O tráfego também será encaminhado para as portas em comm1, como seria de esperar.)
Solução
São comportamentos esperados.
Filtros de firewall de saída com VLANs privadas
Problema
Descrição
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro também se aplica às VLANs secundárias que são membros da VLAN primária quando o tráfego se egressa com a tag VLAN primária ou a tag VLAN isolada, conforme listado abaixo:
Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)
Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN isolada para uma porta-tronco PVLAN.
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta-tronco VLAN secundária
Tráfego encaminhado de uma porta-tronco PVLAN. para uma porta-tronco VLAN secundária
Tráfego encaminhado de uma porta comunitária para uma porta promíscua (tronco ou acesso)
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:
Tráfego encaminhado de uma porta de tronco da comunidade para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN comunitária para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta-tronco da comunidade
Tráfego encaminhado de uma porta-tronco PVLAN. para uma porta de tronco da comunidade
Se você aplicar um filtro de firewall na direção de saída a um VLAN da comunidade, os seguintes comportamentos se aplicam:
O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco da comunidade (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se egressa com a tag VLAN primária ou não registrado).
Solução
São comportamentos esperados. Elas só ocorrem se você aplicar um filtro de firewall a uma VLAN privada na direção de saída e não ocorrer se você aplicar um filtro de firewall a um VLAN privado na direção de entrada.
Espelhamento de porta de saída com VLANs privadas
Problema
Descrição
Se você criar uma configuração de espelhamento de porta que espelha o tráfego VLAN privado (PVLAN) na saída, o tráfego espelhado (o tráfego enviado para o sistema de analisador) tem a tag VLAN da VLAN de entrada em vez da VLAN de saída. Por exemplo, assuma a seguinte configuração PVLAN:
Porta de tronco promíscuo que transporta VLANs primárias pvlan100 e pvlan400.
Porta de acesso isolada que transporta VLAN secundária isolada200. Este VLAN é um membro do pvlan100 VLAN primário.
Porta comunitária que transporta VLAN secundário comm300. Este VLAN também é um membro do pvlan100 VLAN primário.
Interface de saída (interface de monitor) que se conecta ao sistema de analisador. Essa interface encaminha o tráfego espelhado para o analisador.
Se um pacote para pvlan100 entrar na porta do tronco promíscuo e sair na porta de acesso isolada, o pacote original não está registrado na saída porque está saindo em uma porta de acesso. No entanto, a cópia espelhada retém a tag para pvlan100 quando ela é enviada ao analisador.
Aqui está outro exemplo: Se um pacote para comm300 entrar na porta da comunidade e saídas na porta do tronco promíscuo, o pacote original transporta a tag para pvlan100 na saída, como esperado. No entanto, a cópia espelhada retém a tag para comm300 quando é enviada ao analisador.
Solução
Esse é o comportamento esperado.