Auf dieser Seite
Beispiel: Konfigurieren einer IRB-Schnittstelle in einem privaten VLAN auf einem einzelnen Router der MX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) auf Routern der MX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird.
In diesem Beispiel wird beschrieben, wie eine integrierte Routing- und Bridging-Schnittstelle (IRB) in einer PVLAN-Bridge-Domäne erstellt wird, die einer virtuellen Switch-Instanz auf einem einzelnen Router der MX-Serie zugeordnet ist:
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Router der MX-Serie im erweiterten LAN-Modus.
Junos OS Version 15.1 oder höher für Router der MX-Serie
Bevor Sie mit der Konfiguration eines PVLANs beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Die erforderlichen VLANs wurden erstellt und konfiguriert. Weitere Informationen finden Sie unter Konfigurieren der VLAN- und erweiterten VLAN-Kapselung und Aktivieren des VLAN-Tagging.
Konfiguration der MX240-, MX480- und MX960-Router für den Betrieb im erweiterten LAN-Modus durch Eingabe der
network-services lanAnweisung auf Hierarchieebene[edit chassis].
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise einige Arbeitsgruppen oder andere Endpunkte aus Sicherheitsgründen oder zur Partitionierung der Broadcast-Domäne isolieren. Dieses Konfigurationsbeispiel zeigt eine einfache Topologie, um zu veranschaulichen, wie ein PVLAN mit einem primären VLAN und vier Community-VLANs sowie zwei isolierten Ports erstellt wird.
Angenommen, ein primäres VLAN mit dem Namen VP enthält die Ports p1, p2, t1, t2, i1, i2, cx1 und cx2. Die Porttypen dieser konfigurierten Ports lauten wie folgt:
Promiskuitive Ports = p1, p2
ISL-Ports = t1, t2
Isolierte Ports = i1, i2
Community-VLAN = Cx
Community-Ports = cx1, cx2
Die IRB-Schnittstelle irb.0 wird konfiguriert und der Bridge-Domäne in der virtuellen Switch-Instanz zugeordnet.
Bridge-Domänen werden für jedes der VLANs bereitgestellt, nämlich Vp, Vi und Vcx. Angenommen, die Bridge-Domänen sollen wie folgt konfiguriert werden:
Vp—BD_primary_Vp (enthaltene Ports sind p1, t1, i1, i2, cx1, cx2)
Vi – BD_isolate_Vi (enthaltene Ports sind p1, t1, *i1, *i2)
Vcx: BD_community_Vcx (enthaltene Ports sind p1, t1, cx1, cx2)
Die Bridge-Domänen für Community-, primäre und isolierte VLANs werden automatisch vom System intern erstellt, wenn Sie eine Bridge-Domäne mit einer Trunk-Schnittstelle, einer Zugriffsschnittstelle oder einer Interswitch-Verbindung konfigurieren. Die Bridge-Domänen enthalten dieselbe VLAN-ID, die den VLANs entspricht. Um Bridge-Domänen für PVLANs zu verwenden, müssen Sie die folgenden zusätzlichen Attribute konfigurieren:
Konfiguration
Um eine IRB-Schnittstelle in einem PVLAN zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren und eine IRB-Schnittstelle in eine PVLAN-Bridge-Domäne einzubinden, die einer virtuellen Switch-Instanz zugeordnet ist, kopieren Sie die folgenden Befehle und fügen Sie sie in das Router-Terminalfenster ein:
Konfigurieren einer IRB-Schnittstelle
set interfaces irb unit 0 family inet address 22.22.22.1/24
Konfigurieren von Promiscuous-, ISL-, isolierten und Community-Ports
set interfaces ge-0/0/9 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/9 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/13 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/13 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/12 unit 0 family bridge interface-mode access set interfaces ge-0/0/12 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access set interfaces ge-0/0/1 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/2 unit 0 family bridge interface-mode access set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/3 unit 0 family bridge interface-mode access set interfaces ge-0/0/3 unit 0 family bridge vlan-id 60 set interfaces ge-0/0/4 unit 0 family bridge interface-mode access set interfaces ge-0/0/4 unit 0 family bridge vlan-id 60
Konfigurieren einer virtuellen Switch-Instanz mit Bridge-Domänenschnittstellen
set routing-instances vs-1 instance-type virtual-switch set routing-instances vs-1 interface ge-0/0/1.0 set routing-instances vs-1 interface ge-0/0/2.0 set routing-instances vs-1 interface ge-0/0/3.0 set routing-instances vs-1 interface ge-0/0/4.0 set routing-instances vs-1 interface ge-0/0/9.0 set routing-instances vs-1 interface ge-0/0/10.0 set routing-instances vs-1 interface ge-0/0/12.0 set routing-instances vs-1 interface ge-0/0/13.0 set routing-instances vs-1 bridge-domains bd1
Geben Sie die IRB-Schnittstelle und die primären, isolierten und Community-VLAN-IDs in der Bridge-Domäne an.
set routing-instances vs1 bridge-domains bd1 vlan-id 100 set routing-instances vs1 bridge-domains bd1 isolated-vlan 10 set routing-instances vs1 bridge-domains bd1 community-vlans [50 60] set routing-instances vs1 bridge-domains bd1 routing-interface irb.0
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Interswitch Link (ISL) für ein PVLAN, die PVLAN-Porttypen und sekundären VLANs für das PVLAN:
Erstellen Sie eine IRB-Schnittstelle.
[edit interfaces] user@host# set interfaces irb unit 0 family inet address 22.22.22.1/24
Erstellen Sie einen promiskuitiven Port für das PVLAN.
[edit interfaces] user@host# set ge-0/0/9 unit 0 family bridge interface-mode trunk user@host# set ge-0/0/9 unit 0 family bridge vlan-id 100
Erstellen Sie den ISL-Trunk-Port (Interswitch Link) für das PVLAN.
[edit interfaces] user@host# set ge-0/0/13 unit 0 family bridge interface-mode trunk inter-switch-link user@host# set ge-0/0/13 unit 0 family bridge vlan-id 100
Erstellen Sie die isolierten Ports für das PVLAN.
[edit interfaces] user@host# set ge-0/0/10 unit 0 family bridge interface-mode access user@host# set ge-0/0/10 unit 0 family bridge vlan-id 10 user@host# set ge-0/0/12 unit 0 family bridge interface-mode access user@host# set ge-0/0/12 unit 0 family bridge vlan-id 10
Erstellen Sie die Community-Ports für das PVLAN.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family bridge interface-mode access user@host# set ge-0/0/1 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/2 unit 0 family bridge interface-mode access user@host# set ge-0/0/2 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/3 unit 0 family bridge interface-mode access user@host# set ge-0/0/3 unit 0 family bridge vlan-id 60 user@host# set ge-0/0/4 unit 0 family bridge interface-mode access user@host# set ge-0/0/4 unit 0 family bridge vlan-id 60
Erstellen Sie eine virtuelle Switch-Instanz mit einer Bridge-Domäne und ordnen Sie die logischen Schnittstellen zu.
[edit routing-instances] user@host# set vs-1 instance-type virtual-switch user@host# set vs-1 interface ge-0/0/1.0 user@host# set vs-1 interface ge-0/0/2.0 user@host# set vs-1 interface ge-0/0/3.0 user@host# set vs-1 interface ge-0/0/4.0 user@host# set vs-1 interface ge-0/0/9.0 user@host# set vs-1 interface ge-0/0/10.0 user@host# set vs-1 interface ge-0/0/12.0 user@host# set vs-1 interface ge-0/0/13.0 user@host# set vs-1 bridge-domains bd1
Geben Sie die IRB-Schnittstelle, die primären, isolierten und Community-VLAN-IDs an und ordnen Sie die VLANs der Bridge-Domäne zu.
[edit routing-instances vs1 bridge-domains bd1] user@host# set vlan-id 100 user@host# set isolated-vlan 10 user@host# set community-vlans [50 60] user@host# set routing-interface irb.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
[interfaces]
ge-0/0/9 {
unit 0 {
family bridge {
interface-mode trunk;
vlan-id 100; Promiscuous port by vlan id
}
}
}
ge-0/0/13 {
unit 0 {
family bridge {
interface-mode trunk inter-switch-link; ISL trunk
vlan-id 100;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/12 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/2 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/3 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
ge-0/0/4 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
irb {
unit 0 {
family inet {
address 22.22.22.1/24;
}
}
}
[edit]
routing-instances {
vs-1 {
instance-type virtual-switch;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface ge-0/0/3.0;
interface ge-0/0/4.0;
interface ge-0/0/9.0;
interface ge-0/0/10.0;
interface ge-0/0/12.0;
interface ge-0/0/13.0;
bridge-domains {
bd1 {
vlan-id 100; /* primary vlan */
isolated-vlan 10;
community-vlans [50 60]
routing-interface irb.0 /* IRB interface */
}
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf dem Switch erstellt wurden.
Action!
Verwenden Sie den show bridge domain Befehl:
user@host> show bridge domain
Routing instance Bridge domain VLAN ID Interfaces
default-switch bd1-primary-100 100
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
ge-0/0/3.0
ge-0/0/4.0
default-switch bd1-isolation-10 10
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
default-switch bd1-comunity-50 50
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
default-switch bd1-comunity-60 60
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/3.0
ge-0/0/4.0Bedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde, und identifiziert die Schnittstellen und sekundären VLANs, die ihm zugeordnet sind.