Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:在单个 MX 系列路由器上的专用 VLAN 中配置 IRB 接口

出于安全原因,限制广播和未知单播流量的流动,甚至限制已知主机之间的通信通常很有用。MX 系列路由器上的专用 VLAN (PVLAN) 功能允许管理员将广播域拆分为多个独立的广播子域,实质上是将 VLAN 置于 VLAN 中。

此示例介绍如何在与单个 MX 系列路由器上的虚拟交换机实例关联的 PVLAN 桥接域中创建集成路由和桥接 (IRB) 接口:

注:

不支持在 PVLAN 接口上配置 IP 语音 (VoIP) VLAN。

要求

此示例使用以下硬件和软件组件:

  • 一个处于增强型 LAN 模式的 MX 系列路由器。

  • 适用于 MX 系列路由器的 Junos OS 15.1 或更高版本

在开始配置 PVLAN 之前,请确保您已:

  • 创建并配置了必要的 VLAN。请参阅 配置 VLAN 和扩展 VLAN 封装启用 VLAN 标记

  • 通过在层次结构级别输入 network-services lan 语句 [edit chassis] ,将 MX240、MX480 和 MX960 路由器配置为在增强型 LAN 模式下运行。

概述和拓扑

在具有多座建筑物和 VLAN 的大型办公室中,出于安全原因或对广播域进行分区,您可能需要隔离某些工作组或其他端点。此配置示例显示了一个简单的拓扑,用于说明如何创建具有一个主 VLAN 和四个公共组 VLAN 以及两个隔离端口的 PVLAN。

假设有一个部署示例,其中名为 VP 的主 VLAN 包含端口 p1、p2、t1、t2、i1、i2、cx1 和 cx2。这些已配置端口的端口类型如下:

  • 混合端口 = p1、p2

  • ISL 端口 = t1、t2

  • 隔离端口 = i1、i2

  • 公共组 VLAN = Cx

  • 社区端口 = cx1, cx2

IRB 接口 irb.0 已配置并映射到虚拟交换机实例中的桥接域。

为每个 VLAN(即 Vp、Vi 和 Vcx)调配桥接域。假设桥接域配置如下:

Vp —BD_primary_Vp(包含的端口为 p1、t1、i1、i2、cx1、cx2)

Vi—BD_isolate_Vi(包含的端口为 p1、t1、*i1、*i2)

Vcx — BD_community_Vcx(包含的端口为 p1、t1、cx1、cx2)

当您配置具有中继接口、接入接口或交换机间链路的桥接域时,系统会在内部自动创建公共组、主 VLAN 和隔离 VLAN 的桥接域。桥接域包含与 VLAN 对应的相同 VLAN ID。要将桥接域用于 PVLAN,必须配置以下附加属性:

配置

要在 PVLAN 中配置 IRB 接口,请执行以下操作:

CLI 快速配置

要快速创建和配置 PVLAN,并在与虚拟交换机实例关联的 PVLAN 桥接域中包含 IRB 接口,请复制以下命令并将其粘贴到路由器终端窗口中:

配置 IRB 接口

配置混合端口、ISL、隔离端口和社区端口

使用桥接域接口配置虚拟交换机实例

指定桥接域中的 IRB 接口以及主 VLAN ID 、隔离 ID 和社区 VLAN ID

程序

分步过程

要配置 PVLAN 的交换机间链路 (ISL)、PVLAN 端口类型和 PVLAN 的辅助 VLAN,请执行以下操作:

  1. 创建 IRB 接口。

  2. 为 PVLAN 创建混合端口。

  3. 为 PVLAN 创建交换机间链路 (ISL) 中继端口。

  4. 为 PVLAN 创建隔离端口。

  5. 为 PVLAN 创建公共组端口。

  6. 创建具有桥接域的虚拟交换机实例并关联逻辑接口。

  7. 指定 IRB 接口、主 VLAN ID、隔离 VLAN 和社区 VLAN ID,并将 VLAN 与桥接域关联。

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证是否已创建专用 VLAN 和辅助 VLAN

目的

验证是否已在交换机上正确创建主 VLAN 和辅助 VLAN。

操作

show bridge domain使用以下命令:

意义

输出显示主 VLAN 已创建,并标识与其关联的接口和辅助 VLAN。