了解专用 VLAN
VLAN 可将广播限制到指定用户。专用 VLAN (PVLAN) 通过限制 VLAN 内的通信,将这一概念更进一步。PVLAN 通过限制通过其成员交换机端口(称为专用端口)的流量来实现此目的,以便这些端口仅与指定的上行链路中继端口或同一 VLAN 内的指定 端口通信。上行链路中继端口或链路聚合组 (LAG) 通常连接到路由器、防火墙、服务器或提供商网络。每个 PVLAN 通常包含许多专用端口,这些端口仅与单个上行链路端口通信,从而阻止端口相互通信。
PVLAN 在 VLAN 内的端口之间提供第 2 层隔离,通过在主 VLAN 内创建辅助 VLAN(社区 VLAN 和 隔离 VLAN),将广播域拆分为多个离散广播子域。同一公共组 VLAN 内的端口可以相互通信。隔离 VLAN 内的端口 只能 与单个上行链路端口通信。
与常规 VLAN 一样,PVLAN 在第 2 层是隔离的,需要以下选项之一才能在辅助 VLAN 之间路由第 3 层流量:
与路由器的混合端口连接
路由 VLAN 接口 (RVI)
要在辅助 VLAN 之间路由第 3 层流量,PVLAN 只需要上述选项之一。如果使用 RVI,您仍然可以实现与路由器的混合端口连接,并将混合端口设置为仅处理进出 PVLAN 的流量。
PVLAN 可用于限制广播流和未知单播流量,以及限制已知主机之间的通信。服务提供商使用 PVLAN 使其客户彼此隔离。PVLAN 的另一个典型用途是在酒店中为每个房间提供互联网接入。
您可以将 PVLAN 配置为跨越支持 PVLAN 的交换机。
本主题介绍有关 EX 系列交换机上的 PVLAN 的以下概念:
PVLAN 的优势
隔离单个 VLAN 的需求在以下部署方案中特别有用:
服务器场 - 典型的互联网服务提供商使用服务器场为众多客户提供 Web 托管。在单个服务器场中查找各种服务器可以简化管理。如果所有服务器都在同一 VLAN 中,则会出现安全问题,因为第 2 层广播会转到 VLAN 中的所有服务器。
城域以太网网络 — 一家城域网服务提供商为各种住宅、租赁社区和企业提供第 2 层以太网接入。每个客户部署一个 VLAN 的传统解决方案不可扩展且难以管理,从而导致 IP 地址的潜在浪费。PVLAN 可提供更安全、更高效的解决方案。
光伏局域网的典型结构及主要应用
PVLAN 可以在单个交换机上配置,也可以配置为跨越多个交换机。域和端口的类型包括:
主 VLAN — PVLAN 的主 VLAN 使用用于完整 PVLAN 的 802.1Q 标记 (VLAN ID) 进行定义。主 PVLAN 可以包含多个辅助 VLAN(一个隔离 VLAN 和多个公共组 VLAN)。
隔离 VLAN/隔离端口 — 主 VLAN 只能包含一个隔离 VLAN。隔离 VLAN 中的接口只能将数据包转发到混合端口或交换机间链路 (ISL) 端口。隔离接口无法将数据包转发到另一个隔离接口;并且隔离接口无法从另一个隔离接口接收数据包。如果客户设备 只需要 访问网关路由器,则必须将设备连接到隔离的中继端口。
社区 VLAN/社区端口 — 您可以在单个 PVLAN 中配置多个社区 VLAN。特定公共组 VLAN 内的接口可以与属于同一公共组 VLAN 的任何其他接口建立第 2 层通信。公共组 VLAN 内的接口也可以与混合端口或 ISL 端口通信。 例如,如果您有两台客户设备需要与其他客户设备隔离,但必须能够相互通信,请使用社区端口。
混合端口 — 混合端口与 PVLAN 中的所有接口具有第 2 层通信,无论接口属于隔离 VLAN 还是社区 VLAN。混合端口是主 VLAN 的成员,但不包含在任何辅助子域中。第 3 层网关、DHCP 服务器和其他需要与端点设备通信的可信设备通常连接到混合端口。
交换机间链路 (ISL) — ISL 是连接 PVLAN 中的多台交换机并包含两个或更多 VLAN 的中继端口。仅当 PVLAN 跨越多台交换机时才需要它。
配置的 PVLAN 是主域( 主 VLAN)。在 PVLAN 中,您可以配置 辅助 VLAN,这些 VLAN 将成为嵌套在主域中的子域。PVLAN 可以在单个交换机上配置,也可以配置为跨越多个交换机。中显示的 PVLAN 包括两台交换机,分别具有一个主 PVLAN 域和多个子域。图 1
如 所示 ,PVLAN 只有一个主域和多个辅助域。图 3域的类型包括:
主 VLAN — 用于将帧下游转发到隔离和社区 VLAN 的 VLAN。PVLAN 的主 VLAN 使用用于完整 PVLAN 的 802.1Q 标记 (VLAN ID) 进行定义。主 PVLAN 可以包含多个辅助 VLAN(一个隔离 VLAN 和多个公共组 VLAN)。
辅助隔离 VLAN — 仅从主 VLAN 接收数据包并将帧上游转发到主 VLAN 的 VLAN。隔离 VLAN 是嵌套在主 VLAN 内的辅助 VLAN。一个主 VLAN 只能包含一个隔离的 VLAN。隔离 VLAN(隔离接口)中的接口只能将数据包转发到混合端口或 PVLAN 中继端口。隔离接口无法将数据包转发到另一个隔离接口;隔离接口也无法从另一个隔离接口接收数据包。如果客户设备 只需要 访问路由器,则必须将设备连接到隔离的中继端口。
辅助交换机间隔离 VLAN — 用于通过 PVLAN 中继端口将隔离的 VLAN 流量从一台交换机转发到另一台交换机的 VLAN。交换机间隔离 VLAN 需要 802.1Q 标记,因为 IEEE 802.1Q 使用内部标记机制,中继设备通过该机制将 4 字节 VLAN 帧标识选项卡插入数据包标头。交换机间隔离 VLAN 是嵌套在主 VLAN 中的辅助 VLAN。
辅助公共组 VLAN — VLAN 用于在社区成员(VLAN 内用户子集)之间传输帧,并将帧转发到主 VLAN 的上游。公共组 VLAN 是嵌套在主 VLAN 内的辅助 VLAN。您可以在单个 PVLAN 中配置多个公共组 VLAN。特定公共组 VLAN 内的接口可以与属于同一公共组 VLAN 的任何其他接口建立第 2 层通信。公共组 VLAN 内的接口也可以与混合端口或 PVLAN 中继端口通信。
显示了跨多台交换机的 PVLAN,其中主 VLAN () 包含两个公共组域和 ) 和一个交换机间隔离域。图 2100(300400
主 VLAN 和辅助 VLAN 计入 QFX 系列支持的 4089 个 VLAN 限制。例如,中的每个 VLAN 都计入此限制。图 2
PVLAN 在 MX 系列路由器上的典型结构和主要应用
配置的 PVLAN 将成为主域,辅助 VLAN 将成为嵌套在主域内的子域。可以在单个路由器上创建 PVLAN。中显示的 PVLAN 包括一个路由器,具有一个主 PVLAN 域和多个辅助子域。图 3
域的类型包括:
主 VLAN — 用于将帧下游转发到隔离和社区 VLAN 的 VLAN。
辅助隔离 VLAN — 仅从主 VLAN 接收数据包并将帧上游转发到主 VLAN 的 VLAN。
辅助交换机间隔离 VLAN — 用于通过 PVLAN 中继端口将隔离的 VLAN 流量从一个路由器转发到另一个路由器的 VLAN。
辅助公共组 VLAN — VLAN 用于在社区成员(VLAN 内用户子集)之间传输帧,并将帧转发到主 VLAN 的上游。
MX80 路由器、在增强型 LAN 模式下配备 DPC 的 MX240、MX480 和 MX960 路由器以及具有 MPC1、MPC2 和自适应服务 PIC 的 MX 系列路由器上支持 PVLAN。
PVLAN 在 EX 系列交换机上的典型结构及主要应用
PVLAN 的主 VLAN 使用用于完整 PVLAN 的 802.1Q 标记 (VLAN ID) 进行定义。在 EX9200 交换机上,还必须使用各自单独的 VLAN ID 定义每个辅助 VLAN。
显示了单个交换机上的 PVLAN,其中主 VLAN (VLAN) 包含两个公共组 VLAN(VLAN 和 VLAN)和一个隔离的 VLAN (VLAN )。图 410030040050
显示了跨多台交换机的 PVLAN,其中主 VLAN (VLAN) 包含两个公共组 VLAN(VLAN 和 VLAN)和一个隔离的 VLAN (VLAN 200)。图 5100300400 它还显示交换机 1 和 2 通过交换机间链路(PVLAN 中继链路)连接。
此外,中显示的 PVLAN 并使用 连接到路由器的混合端口作为在社区和隔离 VLAN 之间路由第 3 层流量的手段。图 4图 5您可以在中的 交换机或中显示的 交换机之一(在某些 EX 交换机上)配置 RVI,而不是使用连接到路由器的混合端口。图 4图 5
要在隔离 VLAN 和社区 VLAN 之间路由第 3 层流量,您必须将路由器连接到混合端口(如和 中所示),或者配置 RVI。图 4图 5
如果选择 RVI 选项,则必须为 PVLAN 域中的主 VLAN 配置一个 RVI。此 RVI 服务于整个 PVLAN 域,无论该域是否包含一台或多台交换机。配置 RVI 后,辅助 VLAN 接口接收的第 3 层数据包将映射到 RVI,并由 RVI 路由。
设置 RVI 时,还必须启用代理地址解析协议 (ARP),以便 RVI 可以处理辅助 VLAN 接口收到的 ARP 请求。
有关在单个交换机和多个交换机上配置 PVLAN 的信息,请参阅在单个 EX 系列交换机上创建专用 VLAN(CLI 过程)。在单个 EX 系列交换机上创建专用 VLAN(CLI 过程) 有关配置 RVI 的信息,请参阅 在 EX 系列交换机上的专用 VLAN 中配置路由 VLAN 接口。在 EX 系列交换机上的专用 VLAN 中配置路由 VLAN 接口
隔离 VLAN 和社区 VLAN 之间的路由
要在隔离 VLAN 和社区 VLAN 之间路由第 3 层流量,必须将外部路由器或交换机连接到主 VLAN 的中继端口。主 VLAN 的中继端口是 混合 端口;因此, 它可以与 PVLAN 中的所有端口通信。
PVLAN 使用 802.1Q 标记来识别数据包
当数据包标有客户特定的 802.1Q 标记时,该标记标识网络中任何交换机或路由器的数据包所有权。有时,PVLAN 中需要 802.1Q 标记来跟踪来自不同子域的数据包。 指示主 VLAN 或辅助 VLAN 上何时需要 VLAN 802.1Q 标记。表 1
| 在单个交换机上 | 在多台交换机上 | |
|---|---|---|
| 主 VLAN | 通过设置 VLAN ID 指定 802.1Q 标记。 |
通过设置 VLAN ID 指定 802.1Q 标记。 |
| 辅助 VLAN | VLAN 上不需要标记。 |
VLAN 需要 802.1Q 标记:
|
PVLAN 可高效利用 IP 地址
PVLAN 提供 IP 地址保护和 IP 地址的有效分配。在典型的网络中,VLAN 通常对应于单个 IP 子网。在 PVLAN 中,所有辅助 VLAN 中的主机都属于同一个 IP 子网,因为子网已分配给主 VLAN。系统会根据与主 VLAN 关联的 IP 子网为辅助 VLAN 中的主机分配 IP 地址,其 IP 子网屏蔽信息反映了主 VLAN 子网的 IP 子网屏蔽信息。但是,每个辅助 VLAN 都是一个单独的广播域。
PVLAN 端口类型和转发规则
PVLAN 最多可以使用六种不同的端口类型。中 描述的网络使用混合端口将信息传输到路由器,使用社区端口将财务和人力资源社区连接到各自的交换机,使用隔离端口连接服务器,使用PVLAN中继端口连接两台交换机。图 2PVLAN 端口有不同的限制:
混合中继端口 — 混合端口与 PVLAN 中的所有接口具有第 2 层通信,无论该接口属于隔离 VLAN 还是社区 VLAN。混合端口是主 VLAN 的成员,但不包含在某个辅助子域中。第 3 层网关、DHCP 服务器和其他需要与端点设备通信的可信设备通常连接到混合端口。
PVLAN 中继链路 — 仅当 PVLAN 配置为跨越多台交换机时,才需要 PVLAN 中继链路(也称为交换机间链路)。PVLAN 中继链路连接组成 PVLAN 的多台交换机。
PVLAN 中继端口 — 在多交换机 PVLAN 配置中,需要使用 PVLAN 中继端口才能跨越交换机。PVLAN 中继端口是 PVLAN 内所有 VLAN(即主 VLAN、公共组 VLAN 和交换机间隔离 VLAN)的成员,它承载来自主 VLAN 和所有辅助 VLAN 的流量。它可以与隔离端口以外的所有端口通信。
PVLAN 中继端口与隔离端口之间的通信通常是单向的。PVLAN 中继端口在交换机间隔离 VLAN 中的成员资格仅针对出口,这意味着隔离端口可以将数据包转发到 PVLAN 中继端口,但 PVLAN 中继端口不会将数据包转发到隔离端口(除非数据包在混合访问端口上进入,因此被转发到与混合端口相同的主 VLAN 中的所有辅助 VLAN)。
辅助 VLAN 中继端口(未显示)— 辅助中继端口承载辅助 VLAN 流量。对于给定的专用 VLAN,辅助 VLAN 中继端口只能传输一个辅助 VLAN 的流量。但是,只要每个辅助 VLAN 是不同主 VLAN 的成员,辅助 VLAN 中继端口就可以承载多个辅助 VLAN 的流量。例如,辅助 VLAN 中继端口可以传输属于主 VLAN pvlan100 的社区 VLAN 的流量,也可以传输属于主 VLAN pvlan400 的隔离 VLAN 的流量。
社区端口 - 社区端口相互通信以及与其混合端口通信。社区端口仅服务于选定的用户组。这些接口在第 2 层与其他社区中的所有其他接口或其 PVLAN 内的隔离端口分开。
隔离访问端口 — 隔离端口仅与混合端口和 PVLAN 中继端口具有第 2 层连接 — 隔离端口无法与另一个隔离端口通信,即使这两个端口是同一隔离 VLAN(或交换机间隔离 VLAN)域的成员。通常,服务器(如邮件服务器或备份服务器)连接在隔离的端口上。在酒店中,每个房间通常都连接在一个隔离的端口上,这意味着房间到房间的通信是不可能的,但每个房间都可以通过混合端口访问互联网。
混合访问端口(未显示)— 这些端口承载未标记的流量。在混合接入端口上进入的流量将转发到设备上的所有辅助 VLAN 端口。如果流量在启用 VLAN 的端口上进入设备,并在混合接入端口上出口,则流量在出口处未标记。如果标记的流量入口位于混合接入端口上,则该流量将被丢弃。
交换机间链路端口 — 交换机间链路 (ISL) 端口是一个中继端口,当 PVLAN 跨越两个路由器时,该端口将连接这些路由器。ISL 端口是 PVLAN 内所有 VLAN(即主 VLAN、公共组 VLAN 和隔离 VLAN)的成员。
ISL 端口和隔离端口之间的通信是单向的。ISL 端口在交换机间隔离 VLAN 中的成员资格仅针对出口,这意味着 ISL 端口上的传入流量永远不会分配给隔离 VLAN。隔离端口可以将数据包转发到 PVLAN 中继端口,但 PVLAN 中继端口无法将数据包转发到隔离端口。 总结了不同类型的端口之间是否存在第 2 层连接。表 3
表 2 总结了支持 ELS 的 EX 系列交换机上 PVLAN 内不同类型端口之间的第 2 层连接。
从端口类型 |
到隔离端口? |
到混合端口? |
到社区港口? |
到交换机间链路端口? |
|---|---|---|---|---|
孤立 |
拒绝 |
允许 |
拒绝 |
允许 |
混杂 |
允许 |
允许 |
允许 |
允许 |
社区 1 |
拒绝 |
允许 |
允许 |
允许 |
端口类型 |
混杂的树干 |
PVLAN 中继 |
辅助中继 |
社区 |
隔离访问 |
混杂访问 |
|---|---|---|---|---|---|---|
混杂的树干 |
是 |
是 |
是 |
是 |
是 |
是 |
PVLAN 中继 |
是 |
是 |
是 |
是 — 仅限同一社区 |
是 |
是 |
辅助中继 |
是 |
是 |
否 |
是 |
否 |
是 |
社区 |
是 |
是 |
是 |
是 — 仅限同一社区 |
否 |
是 |
隔离访问 |
是 |
是 — 仅单向 |
否 |
否 |
否 |
是 |
混杂访问 |
是 |
是 |
是 |
是 |
是 |
否 |
表 4 总结了 PVLAN 中不同类型的端口之间是否存在第 2 层连接。
端口类型 新版:→ 发件人:↓ |
混杂 |
社区 |
孤立 |
PVLAN 中继 |
房车 |
|---|---|---|---|---|---|
混杂 |
是 |
是 |
是 |
是 |
是 |
社区 |
是 |
是 — 仅限同一社区 |
否 |
是 |
是 |
孤立 |
是 |
否 |
否 |
是 注:
这种通信是单向的。 |
是 |
PVLAN 中继 |
是 |
是 — 仅限同一社区 |
是 注:
这种通信是单向的。 |
是 |
是 |
房车 |
是 |
是 |
是 |
是 |
是 |
如中所述 ,隔离端口和 PVLAN 中继端口之间的第 2 层通信是单向的。表 4也就是说,隔离端口只能将数据包发送到 PVLAN 中继端口,而 PVLAN 中继端口只能从隔离端口接收数据包。相反,PVLAN 中继端口无法将数据包发送到隔离端口,隔离端口无法从 PVLAN 中继端口接收数据包。
如果在主 VLAN 上启用 ,PVLAN 中的所有隔离 VLAN(或交换机间隔离 VLAN)都将继承该设置。no-mac-learning 但是,如果要在任何社区 VLAN 上禁用 MAC 地址学习,则必须在每个 VLAN 上进行配置 。no-mac-learning
创建 PVLAN
通过 中 所示的流程图,您可以大致了解创建 PVLAN 的过程。图 6如果按显示的顺序完成配置步骤,则不会违反这些 PVLAN 规则。(在 PVLAN 规则中,配置 PVLAN 中继端口仅适用于跨多个路由器的 PVLAN。)
主 VLAN 必须是带标记的 VLAN。
如果要配置公共组 VLAN ID,必须先配置主 VLAN。
如果要配置隔离 VLAN ID,必须先配置主 VLAN。
不支持在 PVLAN 接口上配置 IP 语音 (VoIP) VLAN。
在单个路由器上配置 VLAN 相对简单,如 所示 。图 6
配置主 VLAN 包括以下步骤:
配置主 VLAN 名称和 802.1Q 标记。
在主 VLAN 上设置 。no-local-switching
配置混合中继端口和接入端口。
使混合中继端口和接入端口成为主 VLAN 的成员。
在主 VLAN 中,您可以配置辅助公共组 VLAN 和/或辅助隔离 VLAN。配置辅助公共组 VLAN 包括以下步骤:
使用常规流程配置 VLAN。
配置 VLAN 的接入接口。
将主 VLAN 分配给公共组 VLAN,
当隔离 VLAN 将接入接口作为成员并在主 VLAN 上启用该选项 时,将在内部创建隔离 VLAN。no-local-switching
交换机间隔离 VLAN 需要 802.1Q 标记,因为 IEEE 802.1Q 使用内部标记机制,中继设备通过该机制将 4 字节 VLAN 帧标识选项卡插入数据包标头。
只有多路由器 PVLAN 配置才需要中继端口 — 中继端口传输来自主 VLAN 和所有辅助 VLAN 的流量。
专用 VLAN 的限制
以下约束适用于专用 VLAN 配置:
一个接入接口只能属于一个 PVLAN 域,也就是说,它不能参与两个不同的主 VLAN。
只要辅助 VLAN 位于两个 不同的 主 VLAN 中,中继接口就可以是这两个辅助 VLAN 的成员。中继接口不能是 同一 主 VLAN 中的两个辅助 VLAN 的成员。
必须在 PVLAN 中包含的所有 VLAN 上配置多生成树协议 (MSTP) 的单个区域。
不支持 VLAN 生成树协议 (VSTP)。
专用 VLAN 不支持 IGMP 侦听。
专用 VLAN 不支持路由 VLAN 接口
不支持在同一主 VLAN 中的辅助 VLAN 之间进行路由。
无法在辅助 VLAN 上指定某些配置语句。您只能在主 PVLAN 上在层次结构级别配置以下语句。
[edit vlans vlan-name switch-options]如果要将主 VLAN 更改为辅助 VLAN,必须先将其更改为普通 VLAN,然后提交更改。例如,您将按照以下过程操作:
将主 VLAN 更改为普通 VLAN。
提交配置。
将普通 VLAN 更改为辅助 VLAN。
提交配置。
如果要将辅助 VLAN 更改为主 VLAN,请遵循相同的提交顺序。也就是说,将辅助 VLAN 设为普通 VLAN 并提交该更改,然后将普通 VLAN 更改为主 VLAN。
支持 ELS 配置样式的 Junos 交换机上的 PVLAN 不支持以下功能:
出口 VLAN 防火墙过滤器
以太网环网保护 (ERP)
灵活的 VLAN 标记
集成路由和桥接 (IRB) 接口
多机箱链路聚合组 (MC-LAG)
端口镜像
Q-in-Q 隧道
VLAN 生成树协议 (VSTP)
IP 语音 (VoIP)
您只能在主 PVLAN 上在层次结构级别配置 以下语句:[edit vlans vlan-name switch-options]