配置 VLAN 标记
虚拟 LAN (VLAN) 允许网络架构师根据逻辑分组将 LAN 分段到不同的广播域中。以下主题介绍了在 SRX 系列防火墙上配置这些标记的 VLAN、VLAN ID 和支持的以太网接口类型。
了解虚拟 LAN
LAN 是单个广播域。广播流量时,LAN 中的所有主机都会接收广播流量。LAN 由域中设备的物理连接决定。
在传统 LAN 中,主机通过集线器或中继器连接,集线器或中继器在整个网络中传播任何传入流量。每个主机及其连接集线器或中继器组成一个 LAN 分段。LAN 段通过交换机和网桥连接,形成 LAN 的广播域。 图 1 显示了典型的 LAN 拓扑结构。
虚拟 LAN (VLAN) 允许网络架构师根据逻辑分组将 LAN 分段到不同的广播域中。由于分组是逻辑的,因此广播域不是由网络中设备的物理连接决定的。可以根据逻辑功能对主机进行分组,以将 VLAN 内的流量广播限制为流量所针对的设备。
假设公司网络有三个主要组织:工程、销售和支持。使用 VLAN 标记,可以使用不同的 VLAN 标识符标记每个组织内的主机。然后,根据 VLAN 标识符检查发送到广播域的流量,并仅广播到相应 VLAN 中的设备。 图 2 显示了一个典型的 VLAN 拓扑结构。
参见
SRX 系列设备上支持的 VLAN ID 和以太网接口类型
表 1 按 SRX 系列防火墙支持的接口类型列出了 VLAN ID 范围:
接口类型 |
接口类型 VLAN ID 范围 |
|---|---|
2 端口 10 千兆以太网 |
1 到 4094 |
10 千兆以太网 |
1 到 4094 |
16 端口千兆以太网 |
1 到 4094 |
24 端口千兆以太网 |
1 到 4094 |
用于快速以太网的聚合以太网 |
1 到 1023 |
千兆以太网的聚合以太网 |
1 到 4094 |
千兆以太网 |
1 到 4094 |
管理和内部以太网接口 |
1 到 1023 |
在 SRX210、SRX220、SRX240、SRX320 和 SRX340 设备上,在 1-GE SFP 小型 PIM 上,VLAN ID 4093 属于保留的 VLAN 地址范围。(平台支持取决于安装中的 Junos OS 版本。因此,您将无法配置此范围内的 VLAN ID。
参见
配置 VLAN 标记
您可以将 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备配置为接收和转发单标记帧、双标记帧或单标记和双标记帧的混合。
有关灵活的 VLAN,请参阅 表 2 。
| 标记数 | VLAN ID |
|---|---|
0(未标记) |
本地 |
1 (标记) |
单 |
2(双标记) |
双 |
本主题包括以下部分:
配置单标记成帧
要将设备配置为接收和转发具有 802.1Q VLAN 标记的单标记帧,请在层次结构级别包含 vlan-tagging 语句 [edit interfaces interface-name] :
[edit interfaces interface-name] vlan-tagging;
SRX5400、SRX5600 和 SRX5800 仅支持单标记成帧。
配置双标记
要将设备配置为接收和转发具有 802.1Q VLAN 标记的双标记帧,请在层次结构级别添加 flexible-vlan-tagging 语句 [edit interfaces interface-name] :
[edit interfaces interface-name] flexible-vlan-tagging;
配置混合标记
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备的以太网接口支持混合标记。混合标记允许您在同一以太网端口上配置两个逻辑接口,一个使用单标记成帧,另一个使用双标记成帧。
要配置混合标记,请在层次结构级别包含flexible-vlan-tagging语句[edit interfaces ge-fpc/pic/port ]。还必须在层次结构级别包含vlan-tags[edit interfaces ge-fpc/pic/port unit logical-unit-number]带有和outer选项的语句inner或vlan-id语句:
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
为混合标记配置物理接口 MTU 时,必须将 MTU 增加到比为标准 VLAN 标记接口配置的 MTU 值多 4 个字节。
例如,如果在 VLAN 标记接口上将 MTU 值配置为 1018,则灵活 VLAN 标记接口上的 MTU 值必须多 1022 — 4 个字节。额外的 4 个字节可容纳将来在同一物理接口上添加堆叠 VLAN 标记配置。
以下示例配置混合标记。双标记和单标记逻辑接口位于同一物理接口下:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
为未标记数据包配置混合标记支持
您可以为端口上的未标记数据包配置混合标记支持。同一混合 VLAN 标记端口上接受未标记的数据包。要接受未标记的数据包,请在层次结构级别包含native-vlan-id[edit interfaces interface-name]语句和flexible-vlan-tagging语句:
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
仅在 flexible-vlan-tagging 无封装或 VPLS VLAN 封装的情况下受支持。
要接收未标记数据包的逻辑接口必须使用与物理接口上配置的 VLAN ID 相同的本地 VLAN ID 进行配置。要配置逻辑接口,请在层次结构级别包含vlan-id语句(与native-vlan-id物理接口上的语句匹配)。[edit interfaces interface-name unit logical-unit-number]
以下示例将未标记的数据包配置为映射到逻辑单元号 0:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}