Konfigurieren von VLAN-Tagging
Virtuelle LANs (VLANs) ermöglichen es Netzwerkarchitekten, LANs basierend auf logischen Gruppierungen in verschiedene Broadcast-Domänen zu segmentieren. Im folgenden Thema wird die Konfiguration dieser getaggten VLANs, VLAN-IDs und unterstützten Ethernet-Schnittstellentypen auf Firewalls der SRX-Serie beschrieben.
Virtuelle LANs verstehen
Ein LAN ist eine einzelne Broadcast-Domäne. Wenn Datenverkehr übertragen wird, empfangen alle Hosts innerhalb des LAN den übertragenen Datenverkehr. Ein LAN wird durch die physische Konnektivität der Geräte innerhalb der Domäne bestimmt.
In einem herkömmlichen LAN sind die Hosts durch einen Hub oder Repeater verbunden, der den eingehenden Datenverkehr über das Netzwerk weiterleitet. Jeder Host und seine verbindenden Hubs oder Repeater bilden ein LAN-Segment. LAN-Segmente werden über Switches und Brücken verbunden und bilden die Broadcast-Domäne des LANs. Abbildung 1 zeigt eine typische LAN-Topologie.
Virtuelle LANs (VLANs) ermöglichen es Netzwerkarchitekten, LANs basierend auf logischen Gruppierungen in verschiedene Broadcast-Domänen zu segmentieren. Da die Gruppierungen logisch sind, werden die Broadcast-Domänen nicht durch die physische Konnektivität der Geräte im Netzwerk bestimmt. Hosts können nach einer logischen Funktion gruppiert werden, um den innerhalb des VLANs übertragenen Datenverkehr auf die Geräte zu beschränken, für die der Datenverkehr bestimmt ist.
Angenommen, ein Unternehmensnetzwerk hat drei Hauptorganisationen: Technik, Vertrieb und Support. Mithilfe von VLAN-Tagging können Hosts innerhalb jeder Organisation mit einer anderen VLAN-Kennung versehen werden. Der an die Broadcast-Domäne gesendete Datenverkehr wird dann anhand der VLAN-Kennung abgeglichen und nur an die Geräte im entsprechenden VLAN gesendet. Abbildung 2 zeigt eine typische VLAN-Topologie.
Siehe auch
VLAN-IDs und Ethernet-Schnittstellentypen, die auf den Geräten der SRX-Serie unterstützt werden
Tabelle 1 listet den VLAN-ID-Bereich nach Schnittstellentyp auf, der von Firewalls der SRX-Serie unterstützt wird:
Schnittstellentyp |
Schnittstellentyp, VLAN-ID-Bereich |
|---|---|
10-Gigabit-Ethernet mit 2 Ports |
1 bis 4094 |
10-Gigabit-Ethernet |
1 bis 4094 |
Gigabit-Ethernet mit 16 Ports |
1 bis 4094 |
Gigabit-Ethernet mit 24 Ports |
1 bis 4094 |
Aggregiertes Ethernet für Fast Ethernet |
1 bis 1023 |
Aggregiertes Ethernet für Gigabit-Ethernet |
1 bis 4094 |
Gigabit-Ethernet |
1 bis 4094 |
Management und interne Ethernet-Schnittstellen |
1 bis 1023 |
Auf SRX210-, SRX220-, SRX240-, SRX320- und SRX340-Geräten auf 1-GE-SFP-Mini-PIM fällt die VLAN-ID 4093 unter den reservierten VLAN-Adressbereich. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.) Aus diesem Grund können Sie die VLAN-ID aus diesem Bereich nicht konfigurieren.
Siehe auch
Konfigurieren von VLAN-Tagging
Sie können SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550HM-Geräte so konfigurieren, dass sie Single-Tag-Frames, Dual-Tag-Frames oder eine Mischung aus Single-Tag- und Dual-Tag-Frames empfangen und weiterleiten.
Siehe Tabelle 2 für flexible VLANs.
| Anzahl der Tags, | VLAN-ID |
|---|---|
0 (nicht markiert) |
Ursprünglich |
1 (Markiert) |
Ledig |
2 (Dual tagged) |
Dual |
Dieses Thema enthält die folgenden Abschnitte:
- Konfigurieren von Single-Tag-Framing
- Konfigurieren von Dual-Tagging
- Konfigurieren von gemischtem Tagging
- Konfigurieren der Unterstützung für gemischtes Tagging für nicht getaggte Pakete
Konfigurieren von Single-Tag-Framing
Um ein Gerät so zu konfigurieren, dass es Single-Tag-Frames mit 802.1Q-VLAN-Tags empfängt und weiterleitet, fügen Sie die vlan-tagging Anweisung auf der [edit interfaces interface-name] Hierarchieebene ein:
[edit interfaces interface-name] vlan-tagging;
SRX5400, SRX5600 und SRX5800 unterstützen nur Single-Tag-Framing.
Konfigurieren von Dual-Tagging
Um das Gerät so zu konfigurieren, dass es Dual-Tag-Frames mit 802.1Q-VLAN-Tags empfängt und weiterleitet, fügen Sie die Anweisung flexible-vlan-tagging auf der [edit interfaces interface-name] Hierarchieebene ein:
[edit interfaces interface-name] flexible-vlan-tagging;
Konfigurieren von gemischtem Tagging
Gemischtes Tagging wird auf Ethernet-Schnittstellen von SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550HM-Geräten unterstützt. Mit gemischtem Tagging können Sie zwei logische Schnittstellen am selben Ethernet-Port konfigurieren, eine mit Single-Tag-Framing und eine mit Dual-Tag-Framing.
Um das gemischte Tagging zu konfigurieren, schließen Sie die flexible-vlan-tagging Anweisung auf der [edit interfaces ge-fpc/pic/port ] Hierarchieebene ein. Sie müssen auch die vlan-tags Anweisung mit inner und outer Optionen oder die Anweisung vlan-id auf der [edit interfaces ge-fpc/pic/port unit logical-unit-number] Hierarchieebene einschließen:
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
Wenn Sie die MTU der physischen Schnittstelle für gemischtes Tagging konfigurieren, müssen Sie die MTU auf 4 Byte erhöhen, mehr als der MTU-Wert, den Sie für eine Standard-VLAN-Tagging-Schnittstelle konfigurieren würden.
Wenn der MTU-Wert beispielsweise auf einer VLAN-getaggten Schnittstelle auf 1018 konfiguriert ist, muss der MTU-Wert auf einer flexiblen VLAN-getaggten Schnittstelle 1022 – 4 Byte mehr betragen. Die zusätzlichen 4 Byte ermöglichen das zukünftige Hinzufügen einer gestapelten VLAN-Tag-Konfiguration auf derselben physischen Schnittstelle.
Im folgenden Beispiel wird gemischtes Tagging konfiguriert. Logische Schnittstellen mit zwei und nur einem Tag befinden sich unter derselben physischen Schnittstelle:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
Konfigurieren der Unterstützung für gemischtes Tagging für nicht getaggte Pakete
Sie können die Unterstützung für gemischtes Tagging für nicht getaggte Pakete an einem Port konfigurieren. Nicht getaggte Pakete werden auf demselben gemischten, VLAN-getaggten Port akzeptiert. Um nicht getaggte Pakete zu akzeptieren, fügen Sie die native-vlan-id Anweisung und die flexible-vlan-tagging Anweisung auf der [edit interfaces interface-name] Hierarchieebene hinzu:
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
Der wird flexible-vlan-tagging nur ohne Kapselung oder mit VPLS-VLAN-Kapselung unterstützt.
Die logische Schnittstelle , auf der nicht getaggte Pakete empfangen werden sollen, muss mit derselben nativen VLAN-ID konfiguriert werden wie die physische Schnittstelle. Um die logische Schnittstelle zu konfigurieren, schließen Sie die vlan-id Anweisung (die mit der native-vlan-id Anweisung auf der physischen Schnittstelle übereinstimmt) auf der [edit interfaces interface-name unit logical-unit-number] Hierarchieebene ein.
Im folgenden Beispiel werden nicht markierte Pakete so konfiguriert, dass sie der logischen Einheit 0 zugeordnet werden:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}