配置 VLAN 标记
虚拟 LAN (VLAN) 允许网络架构师根据逻辑分组将 LAN 分段到不同的广播域中。以下主题介绍了 SRX 系列防火墙上这些带标记的 VLAN、VLAN ID 和支持的以太网接口类型的配置。
了解虚拟 LAN
LAN 是单个广播域。广播流量时,LAN 中的所有主机都将接收广播流量。LAN 由域内设备的物理连接决定。
在传统 LAN 中,主机通过集线器或中继器连接,该集线器或中继器在整个网络中传播任何传入流量。每个主机及其连接集线器或中继器组成一个 LAN 网段。LAN 网段通过交换机和网桥连接,形成 LAN 的广播域。 图 1 显示了典型的 LAN 拓扑。
虚拟 LAN (VLAN) 允许网络架构师根据逻辑分组将 LAN 分段到不同的广播域中。由于分组是逻辑分组,因此广播域不是由网络中设备的物理连接决定的。可以根据逻辑功能对主机进行分组,以便将 VLAN 中的流量广播限制为仅接收流量的设备。
假设一个企业网络有三个主要组织:工程、销售和支持。使用 VLAN 标记,每个组织内的主机可以使用不同的 VLAN 标识符进行标记。然后,系统会根据 VLAN 标识符检查发送到广播域的流量,并仅将其广播至相应 VLAN 中的设备。 图 2 显示了典型的 VLAN 拓扑。
另见
SRX 系列设备上支持的 VLAN ID 和以太网接口类型
表 1 按 SRX 系列防火墙支持的接口类型列出了 VLAN ID 范围:
接口类型 |
接口类型 VLAN ID 范围 |
|---|---|
2 端口 10 千兆以太网 |
1 到 4094 |
10 千兆以太网 |
1 到 4094 |
16 端口千兆以太网 |
1 到 4094 |
24 端口千兆以太网 |
1 到 4094 |
用于千兆以太网的聚合以太网 |
1 到 4094 |
千兆以太网 |
1 到 4094 |
管理和内部以太网接口 |
1 到 1023 |
在 SRX210、SRX220、SRX240、SRX320 和 SRX340 设备上,在 1-GE SFP Mini-PIM 上,VLAN ID 4093 属于保留的 VLAN 地址范围。(平台是否支持取决于设备安装的 Junos OS 版本。)因此,您将无法从此范围配置 VLAN ID。
另见
配置 VLAN 标记
您可以将 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备配置为接收和转发单标记帧、双标记帧或单标记和双标记帧的混合。
请参阅 表 2 了解灵活的 VLAN。
| 标记数 | VLAN ID |
|---|---|
0(未标记) |
本地 |
1 (已标记) |
单 |
2(双标记) |
对偶 |
本主题包含以下部分:
配置单标记成帧
要将设备配置为接收和转发带有 802.1Q VLAN 标记的单标记帧,请在[edit interfaces interface-name]层次结构级别包含以下vlan-tagging语句:
[edit interfaces interface-name] vlan-tagging;
SRX5400、SRX5600 和 SRX5800 仅支持单标记成帧。
配置双标记
要将设备配置为接收和转发带有 802.1Q VLAN 标记的双标记帧,请在 [edit interfaces interface-name]层次结构级别包含以下flexible-vlan-tagging语句:
[edit interfaces interface-name] flexible-vlan-tagging;
配置混合标记
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备的以太网接口支持混合标记。混合标记允许您在同一以太网端口上配置两个逻辑接口,一个采用单标记成帧,另一个采用双标记成帧。
要配置混合标记,请在[edit interfaces ge-fpc/pic/port ]层次结构级别包含flexible-vlan-tagging语句。还必须将语句与 inner 和 outer options 或语[edit interfaces ge-fpc/pic/port unit logical-unit-number]句包含在vlan-tags层次结构级别上:vlan-id
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
为混合标记配置物理接口 MTU 时,必须将 MTU 增加到比为标准 VLAN 标记接口配置的 MTU 值多 4 个字节。
例如,如果在 VLAN 标记接口上将 MTU 值配置为 1018,则灵活 VLAN 标记接口上的 MTU 值必须为 1022 - 多 4 个字节。额外的 4 个字节可用于将来在同一物理接口上添加堆叠 VLAN 标记配置。
以下示例配置混合标记。双标记和单标记逻辑接口位于同一物理接口下:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
为未标记数据包配置混合标记支持
您可以为端口上的未标记数据包配置混合标记支持。未标记的数据包可以在同一个混合 VLAN 标记端口上接受。要接受未标记的数据包,请在[edit interfaces interface-name]层次结构级别添加native-vlan-id语句和flexible-vlan-tagging语句:
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
flexible-vlan-tagging仅支持无封装或 VPLS VLAN 封装。
接收未标记数据包的逻辑接口必须配置与物理接口上配置的本机 VLAN ID 相同的本机 VLAN ID。要配置逻辑接口,请在[edit interfaces interface-name unit logical-unit-number]层次结构级别包含vlan-id语句(与native-vlan-id物理接口上的语句匹配)。
以下示例将未标记的数据包配置为映射到逻辑单元编号 0:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}