Beispiel: Konfigurieren von PVLANs mit sekundären VLAN-Trunk-Ports und Promiscuous-Access-Ports auf einem Switch der QFX-Serie
Dieses Beispiel zeigt, wie sekundäre VLAN-Trunk-Ports und promiskuitive Zugriffsports als Teil einer privaten VLAN-Konfiguration konfiguriert werden. Sekundäre VLAN-Trunk-Ports übertragen sekundären VLAN-Datenverkehr.
In diesem Beispiel wird Junos OS für Switches verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunk-Port Datenverkehr nur für ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen privaten (primären) VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANS pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN, das Teil des primären VLANS pvlan400 ist.
Um einen Trunk-Port für die Übertragung von sekundärem VLAN-Datenverkehr zu konfigurieren, verwenden Sie die Anweisungen isolated and interface , wie in den Schritten 12 und 13 der Beispielkonfiguration für Switch 1 gezeigt.
Wenn Datenverkehr von einem sekundären VLAN-Trunk-Port ausgeht, trägt er normalerweise das Tag des primären VLANs, in dem der sekundäre Port Mitglied ist. Wenn Sie möchten, dass Datenverkehr, der von einem sekundären VLAN-Trunk-Port ausgeht, sein sekundäres VLAN-Tag beibehält, verwenden Sie die Anweisung extend-secondary-vlan-id .
Ein promiskuitiver Zugriffsport überträgt ungetaggten Datenverkehr und kann nur Mitglied eines primären VLANs sein. Datenverkehr, der über einen promiscuous-Zugriffsport eingeht, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, in dem der promiscuous access-Port Mitglied ist. Dieser Datenverkehr trägt die entsprechenden sekundären VLAN-Tags, wenn er von den sekundären VLAN-Ports ausgeht, wenn der sekundäre VLAN-Port ein Trunk-Port ist.
Um einen Zugriffsport so zu konfigurieren, dass er promiscuous ist, verwenden Sie die promiscuous-Anweisung , wie im Schritt 12 der Beispielkonfiguration für Switch 2 gezeigt.
Wenn der Datenverkehr an einem sekundären VLAN-Port eingeht und an einem promiskuitiven Zugriffsport ausgeht, wird der Datenverkehr beim Ausgang enttaggt. Wenn markierter Datenverkehr an einem promiskuitiven Zugriffsport eingeht, wird der Datenverkehr verworfen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei QFX-Geräte
Junos OS Version 12.2 oder höher für die QFX-Serie
Übersicht und Topologie
Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie. Switch 1 umfasst mehrere primäre und sekundäre private VLANs sowie zwei sekundäre VLAN-Trunk-Ports, die für die Übertragung sekundärer VLANs konfiguriert sind, die Mitglieder der primären VLANs pvlan100 und pvlan400 sind.
Switch 2 enthält die gleichen privaten VLANs. Die Abbildung zeigt xe-0/0/0 auf Switch 2, wie es mit promiscuous access ports oder promiscuous trunk ports konfiguriert ist. In der hier enthaltenen Beispielkonfiguration wird dieser Port als promiskuitiver Zugriffsport konfiguriert.
Die Abbildung zeigt auch, wie der Datenverkehr nach dem Eingang in die sekundären VLAN-Trunk-Ports auf Switch 1 fließen würde.
Tabelle 1 und Tabelle 2 listen Sie die Einstellungen für die Beispieltopologie auf beiden Switches auf.
| Bestandteil | Beschreibung |
|---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
comm300, ID 300 |
Community-VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community-VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
Isolation – VLAN-ID 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0,0 |
Sekundärer VLAN-Trunk-Port für die primären VLANs pvlan100 und pvlan400 |
xe-0/0/1,0 |
PVLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2.0 |
Isolierter Zugangsport für pvlan100 |
xe-0/0/3,0 |
Community-Zugangsport für comm300 |
xe-0/0/5.0 |
Isolierter Zugangsport für pvlan400 |
xe-0/0/6.0 |
Community-Trunk-Port für comm600 |
| Bestandteil | Beschreibung |
|---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
comm300, ID 300 |
Community-VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community-VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
Isolation – VLAN-ID 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0,0 |
Promiskuitiver Zugriffsport für primäre VLANs pvlan100 |
xe-0/0/1,0 |
PVLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2.0 |
Sekundärer Trunk-Port für isoliertes VLAN, Mitglied von pvlan100 |
xe-0/0/3,0 |
Community-Zugangsport für comm300 |
xe-0/0/5.0 |
Isolierter Zugangsport für pvlan400 |
xe-0/0/6.0 |
Community-Zugangsport für comm600 |
Konfigurieren der PVLANs auf Switch 1
CLI-Schnellkonfiguration
Um die PVLANs auf Switch 1 schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die privaten VLANs und sekundären VLAN-Trunk-Ports:
Konfigurieren Sie die Schnittstellen und Portmodi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
HINWEIS:Primäre VLANs müssen immer als VLANs gekennzeichnet sein, auch wenn sie nur auf einem Gerät vorhanden sind.
Konfigurieren Sie die primären VLANs so, dass sie privat sind:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfigurieren Sie den PVLAN-Trunk-Port so, dass der private VLAN-Datenverkehr zwischen den Switches übertragen wird:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Erstellen Sie ein sekundäres VLAN comm300 mit der VLAN-ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Erstellen Sie ein sekundäres VLAN comm600 mit der VLAN-ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Konfigurieren Sie die isolierten VLANs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
HINWEIS:Wenn Sie einen sekundären VLAN-Trunk-Port so konfigurieren, dass er ein isoliertes VLAN überträgt, müssen Sie auch eine isolation-vlan-idkonfigurieren. Dies gilt auch dann, wenn das isolierte VLAN nur auf einem Switch vorhanden ist.
Aktivieren Sie den Trunk-Port xe-0/0/0, um sekundäre VLANs für die primären VLANs zu übertragen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Konfigurieren Sie den Trunk-Port xe-0/0/0 für die Übertragung von comm600 (Mitglied von pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
HINWEIS:Sie müssen xe-0/0/0 nicht explizit konfigurieren, um den isolierten VLAN-Datenverkehr (Tags 200 und 500) zu übertragen, da alle isolierten Ports in pvlan100 und pvlan400 – einschließlich xe-0/0/0.0 – automatisch in die isolierten VLANs aufgenommen werden, die bei der Konfiguration
isolation-vlan-id 200von undisolation-vlan-id 500erstellt wurden.Konfigurieren Sie xe-0/0/2 und xe-0/0/6 für die Isolierung:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Konfigurieren der PVLANs auf Switch 2
Die Konfiguration für Switch 2 ist nahezu identisch mit der Konfiguration für Switch 1. Der bedeutendste Unterschied besteht darin, dass xe-0/0/0 auf Switch 2 als promiskuitiver Trunk-Port oder promiskuitiver Zugriffsport konfiguriert ist, wie Abbildung 1 gezeigt. In der folgenden Konfiguration ist xe-0/0/0 als promiskuitiver Zugriffsport für das primäre VLAN pvlan100 konfiguriert.
Wenn Datenverkehr an einem VLAN-fähigen Port und an einem promiskuitiven Zugriffsport eingeht, werden die VLAN-Tags beim Ausgang verworfen und der Datenverkehr wird zu diesem Zeitpunkt nicht mehr markiert. Beispiel: Der Datenverkehr für comm600 geht auf dem sekundären VLAN-Trunk-Port ein, der auf xe-0/0/0.0 auf Switch 1 konfiguriert ist und Tag 600 trägt, wenn er über das sekundäre VLAN weitergeleitet wird. Wenn er von xe-0/0/0.0 auf Switch 2 ausgeht, wird die Markierung aufgehoben, wenn Sie xe-0/0/0.0 als promiskuitiven Zugriffsport konfigurieren, wie in diesem Beispiel gezeigt. Wenn Sie stattdessen xe-0/0/0.0 als promiskuitiven Trunk-Port (Port-Mode-Trunk) konfigurieren, trägt der Datenverkehr für comm600 beim Ausgang sein primäres VLAN-Tag (400).
CLI-Schnellkonfiguration
Um die PVLANs auf Switch 2 schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die privaten VLANs und sekundären VLAN-Trunk-Ports:
Konfigurieren Sie die Schnittstellen und Portmodi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Konfigurieren Sie die primären VLANs so, dass sie privat sind:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfigurieren Sie den PVLAN-Trunk-Port so, dass der private VLAN-Datenverkehr zwischen den Switches übertragen wird:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Erstellen Sie ein sekundäres VLAN comm300 mit der VLAN-ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Erstellen Sie ein sekundäres VLAN comm600 mit der VLAN-ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Konfigurieren der PVLANs auf Switch 1
Konfigurieren Sie die isolierten VLANs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Konfigurieren Sie den Zugriffsport xe-0/0/0 so, dass er für pvlan100 promiskuitiv ist:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
HINWEIS:Ein promiskuitiver Zugriffsport kann nur Mitglied eines primären VLANs sein.
Konfigurieren Sie xe-0/0/2 und xe-0/0/6 für die Isolierung:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
- Überprüfen der Einträge in der Ethernet-Switching-Tabelle
Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf Switch 1 erstellt wurden.
Action!
Verwenden Sie den show vlans Befehl:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Bedeutung
Die Ausgabe zeigt, dass die privaten VLANs erstellt wurden, und identifiziert die Schnittstellen und sekundären VLANs, die ihnen zugeordnet sind.
Überprüfen der Einträge in der Ethernet-Switching-Tabelle
Zweck
Stellen Sie sicher, dass die Einträge in der Ethernet-Switching-Tabelle für das primäre VLAN pvlan100 erstellt wurden.
Action!
Zeigen Sie die Einträge in der Ethernet-Switching-Tabelle für pvlan100 an.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0