配置 VLAN 标记
虚拟 LAN (VLAN) 允许网络架构师根据逻辑分组将 LAN 分段为不同的广播域。下面的主题介绍了 SRX 系列防火墙上这些标记的 VLAN、VLAN ID 和支持的以太网接口类型的配置。
了解虚拟 LAN
LAN 是单个广播域。广播流量时,LAN 中的所有主机都会接收广播流量。LAN 由域中设备的物理连接决定。
在传统 LAN 中,主机通过中心或中继器连接,从而传播整个网络中的任何传入流量。每个主机及其连接中心或中继器组成一个 LAN 分段。LAN 分段通过交换机和网桥连接,形成 LAN 的广播域。 图 1 显示了典型的 LAN 拓扑。
虚拟 LAN (VLAN) 允许网络架构师根据逻辑分组将 LAN 分段为不同的广播域。由于分组是逻辑的,因此广播域不是由网络中设备的物理连接决定的。主机可以根据逻辑功能进行分组,以便将 VLAN 内的流量广播限制为仅针对流量的设备。
假设一个企业网络有三个主要组织:工程、销售和支持。通过使用 VLAN 标记,可以使用不同的 VLAN 标识符对每个组织内的主机进行标记。然后,根据 VLAN 标识符检查发送到广播域的流量,并仅广播到相应 VLAN 中的设备。 图 2 显示了典型的 VLAN 拓扑。
另请参阅
SRX 系列设备支持的 VLAN ID 和以太网接口类型
表 1 按 SRX 系列防火墙支持的接口类型列出了 VLAN ID 范围:
接口类型 |
接口类型 VLAN ID 范围 |
|---|---|
2 端口 10 千兆以太网 |
1 到 4094 |
10 千兆位以太网 |
1 到 4094 |
16 端口千兆以太网 |
1 到 4094 |
24 端口千兆以太网 |
1 到 4094 |
用于快速以太网的聚合以太网 |
1 到 1023 |
用于千兆以太网的聚合以太网 |
1 到 4094 |
千兆以太网 |
1 到 4094 |
管理和内部以太网接口 |
1 到 1023 |
在 1-GE SFP 小型 PIM 上的 SRX210、SRX220、SRX240、SRX320 和 SRX340 设备上,VLAN ID 4093 属于保留的 VLAN 地址范围。(平台是否支持取决于安装中的 Junos OS 版本。)因此,您将无法配置此范围内的 VLAN ID。
另请参阅
配置 VLAN 标记
您可以配置 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备,以接收和转发单标记帧、双标记帧或单标记帧和双标记帧的混合类型。
有关灵活的 VLAN,请参阅 表 2 。
| 标记 | VLAN ID | 数
|---|---|
0(未标记) |
本地 |
1(已标记) |
单 |
2(双标记) |
双 |
本主题包含以下部分:
配置单标记成帧
要配置设备以接收和转发使用 802.1Q VLAN 标记的单标记帧,请在层次结构级别添加vlan-tagging[edit interfaces interface-name]语句:
[edit interfaces interface-name] vlan-tagging;
SRX5400、SRX5600 和 SRX5800 仅支持单标记成帧。
配置双标记
要配置设备以接收和转发带有 802.1Q VLAN 标记的双标记帧,请在层次结构级别添加flexible-vlan-tagging [edit interfaces interface-name]语句:
[edit interfaces interface-name] flexible-vlan-tagging;
配置混合标记
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备的以太网接口支持混合标记。混合标记允许您在同一以太网端口上配置两个逻辑接口,一个采用单标记成帧,另一个采用双标记成帧。
要配置混合标记,请在 flexible-vlan-tagging 层次结构级别添加语句 [edit interfaces ge-fpc/pic/port ] 。您还必须在层次结构级别包含 vlan-tags 语句 inner 以及 outer 选项或 vlan-id 语句 [edit interfaces ge-fpc/pic/port unit logical-unit-number] :
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
为混合标记配置物理接口 MTU 时,必须将 MTU 增加到 4 个字节,比为标准 VLAN 标记接口配置的 MTU 值多 4 字节。
例如,如果在 VLAN 标记接口上将 MTU 值配置为 1018,则灵活 VLAN 标记接口上的 MTU 值必须为 1022—多 4 个字节。额外的 4 个字节可适应将来在同一物理接口上添加的堆叠 VLAN 标记配置。
以下示例配置混合标记。双标记和单标记逻辑接口位于同一物理接口下:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
为未标记的数据包配置混合标记支持
您可以为端口上的未标记数据包配置混合标记支持。未标记的数据包在同一混合 VLAN 标记端口上可接受。要接受未标记的数据包,请将 native-vlan-id 语句和 flexible-vlan-tagging 语句 [edit interfaces interface-name] 包含在层次结构级别:
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
flexible-vlan-tagging仅不支持封装或 VPLS VLAN 封装。
要接收未标记数据包的逻辑接口必须采用与物理接口上配置的相同本机 VLAN ID 进行配置。要配置逻辑接口,请在层次结构级别包含语句vlan-id(与物理接口[edit interfaces interface-name unit logical-unit-number]上的语句匹配native-vlan-id)。
以下示例将未标记的数据包配置为映射到逻辑单元编号 0:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}