配置 VLAN 标记
虚拟 VPN (VNS) 允许网络架构师基于逻辑分组将 VPN 分段到不同的广播域。本主题介绍 SRX 系列设备上这些标记的 VLAN、VLAN 标识和支持的以太网接口类型的配置。
了解虚拟 VPN
LAN 是单个广播域。当流量是广播时,LAN 内的所有主机均接收广播流量。LAN 由域内设备的物理连接决定。
在传统 LAN 中,主机通过中心或中继器连接,这些中心或中继器在整个网络中传播任何传入流量。每个主机及其连接中心或中继器都由一个 LAN 分段。LAN 网段通过交换机和网桥连接,以形成 LAN 的广播域。 图 1 显示了典型的 LAN 拓扑。
虚拟 VPN (VNS) 允许网络架构师基于逻辑分组将 VPN 分段到不同的广播域。由于分组是逻辑的,因此广播域并不由网络中设备的物理连接决定。主机可根据逻辑功能进行分组,以将 VLAN 中的流量广播限制为只有流量要用于的设备。
假设公司网络有三个主要组织:工程、销售和支持。通过使用 VLAN 标记,每个组织的主机都可以用不同的 VLAN 标识符标记。然后,根据 VLAN 标识符检查发送至广播域的信息流,并仅对相应 VLAN 中的设备进行广播。 图 2 显示了典型的 VLAN 拓扑。
另请参阅
SRX 系列设备上支持的 VLAN ID 和以太网接口类型
表 1 列出了 SRX 系列设备上支持的接口类型的 VLAN ID 范围:
接口类型 |
接口类型 VLAN ID 范围 |
|---|---|
2 端口 10 千兆位以太网 |
1 到 4094 |
10 千兆位以太网 |
1 到 4094 |
16 端口千兆位以太网 |
1 到 4094 |
24 端口千兆位以太网 |
1 到 4094 |
用于快速以太网的聚合以太网 |
1 到 1023 |
千兆位以太网的聚合以太网 |
1 到 4094 |
千兆位以太网 |
1 到 4094 |
管理和内部以太网接口 |
1 到 1023 |
在 1-GE SFP 小型 PIM SRX210、SRX220、SRX240、SRX320 和 SRX340 设备上,VLAN ID 4093 属于保留的 VLAN 地址范围。(平台支持取决于Junos OS的新版本。)因此,您无法从此范围配置 VLAN ID。
另请参阅
配置 VLAN 标记
您可以配置 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备,以接收和转发单标记帧、双标记帧或单标记和双标记帧的混合。
请参阅 表 2 了解灵活的 VLAN。
| 标记 VLAN | ID 数 |
|---|---|
0(未标记) |
本地 |
1(已标记) |
单 |
2(双标记) |
双 |
本主题包括以下章节:
配置单标记成帧
要配置设备以接收和转发带 802.1Q VLAN 标记的单标记帧,请包含 层级 vlan-tagging [edit interfaces interface-name] 的 语句:
[edit interfaces interface-name] vlan-tagging;
SRX5400、SRX5600和SRX5800仅支持单标记成帧。
配置双标记
要配置设备以接收和转发带 802.1Q VLAN 标记的双标记帧,请包含 层级 flexible-vlan-tagging [edit interfaces interface-name] 的 语句:
[edit interfaces interface-name] flexible-vlan-tagging;
配置混合标记
路由器、SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备的以太网接口支持混合标记。混合标记允许您在同一以太网端口上配置两个逻辑接口,一个带有单标记成帧,一个带有双标记成帧。
要配置混合标记,请添加 flexible-vlan-tagging 层级的 [edit interfaces ge-fpc/pic/port ] 语句。您还必须在 vlan-tags 层次结构级别中包括 语句和 options 或 inner outer vlan-id [edit interfaces ge-fpc/pic/port unit logical-unit-number] 语句:
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
为混合标记MTU物理接口 MTU 时,您必须将 MTU 字节数增加至比为标准 VLAN 标记接口配置的 MTU 值多 4 字节。
例如,如果在 VLAN 标记接口上将 MTU 值配置为 1018,则灵活 VLAN 标记接口上的 MTU 值必须为 1022-4 字节。另外 4 个字节可容纳将来在同一物理接口上添加堆叠的 VLAN 标记配置。
以下示例配置混合标记。双标记和单标记逻辑接口在同一物理接口下:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
为未标记数据包配置混合标记支持
您可为端口上的未标记数据包配置混合标记支持。未标记的数据包接受在同一个带有 VLAN 标记的混合端口上。要接受未标记的数据包,请添加 语句和 层级 native-vlan-id flexible-vlan-tagging 的 [edit interfaces interface-name] 语句:
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
仅 flexible-vlan-tagging 支持不封装或 VPLS VLAN 封装。
要 接收 未标记数据包的逻辑接口,其配置方式必须与物理接口上配置的相同本机 VLAN ID。要配置逻辑接口,在 层次结构级别中包括 语句(与物理接口 vlan-id native-vlan-id 上的 [edit interfaces interface-name unit logical-unit-number] 语句匹配)。
以下示例将未标记数据包配置为映射到逻辑单元编号 0:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}