Grundlegendes zu privaten VLANs
VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie die Kommunikation innerhalb eines VLANs einschränken. PVLANs erreichen dies, indem sie den Datenverkehrsfluss durch ihre Mitglieds-Switch-Ports (die als private Portsbezeichnet werden) einschränken, sodass diese Ports nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren. Der Uplink-Trunk-Port oder die Link Aggregation Group (LAG) ist in der Regel mit einem Router-, Firewall-, Server- oder Provider-Netzwerk verbunden. Jedes PVLAN enthält in der Regel viele private Ports, die nur mit einem einzigen Uplink-Port kommunizieren und dadurch verhindern, dass die Ports miteinander kommunizieren.
PVLANs bieten Layer-2-Isolierung zwischen Ports innerhalb eines VLANs und teilen eine Broadcast-Domäne in mehrere diskrete Broadcast-Subdomänen auf, indem sekundäre VLANs (Community-VLANs und ein isoliertes VLAN) innerhalb eines primären VLANs erstellt werden. Ports innerhalb desselben Community-VLANs können miteinander kommunizieren. Ports innerhalb eines isolierten VLANs können nur mit einem einzigen Uplink-Port kommunizieren.
Genau wie normale VLANs sind PVLANs auf Layer 2 isoliert und erfordern eine der folgenden Optionen, um Layer-3-Datenverkehr zwischen den sekundären VLANs weiterzuleiten:
Eine promiskuitive Portverbindung mit einem Router
Eine geroutete VLAN-Schnittstelle (RVI)
Um Layer-3-Datenverkehr zwischen sekundären VLANs zu routen, benötigt ein PVLAN nur eine der oben genannten Optionen. Wenn Sie einen RVI verwenden, können Sie dennoch eine Promiscuous-Port-Verbindung zu einem Router implementieren, wobei der Promiscuous-Port so eingerichtet ist, dass nur Datenverkehr verarbeitet wird, der in das PVLAN ein- und ausgeht.
PVLANs sind nützlich, um den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und um die Kommunikation zwischen bekannten Hosts einzuschränken. Service Provider nutzen PVLANs, um ihre Kunden voneinander zu isolieren. Eine weitere typische Verwendung für ein PVLAN ist die Bereitstellung von Internetzugang pro Zimmer in einem Hotel.
Sie können ein PVLAN so konfigurieren, dass es sich über Switches erstreckt, die PVLANs unterstützen.
In diesem Thema werden die folgenden Konzepte in Bezug auf PVLANs auf Switches der EX-Serie erläutert:
Vorteile von PVLANs
Die Notwendigkeit, ein einzelnes VLAN zu trennen, ist besonders nützlich in den folgenden Bereitstellungsszenarien:
Serverfarmen: Ein typischer Internetdienstanbieter verwendet eine Serverfarm, um Webhosting für zahlreiche Kunden bereitzustellen. Die Platzierung der verschiedenen Server in einer einzigen Serverfarm erleichtert die Verwaltung. Sicherheitsbedenken entstehen, wenn sich alle Server im selben VLAN befinden, da Layer-2-Broadcasts an alle Server im VLAN gehen.
Metropolitan Ethernet-Netzwerke: Ein Metro-Service Provider bietet Layer-2-Ethernet-Zugang für verschiedene Haushalte, Mietgemeinschaften und Unternehmen. Die herkömmliche Lösung, bei der ein VLAN pro Kunde bereitgestellt wird, ist nicht skalierbar und schwierig zu verwalten, was zu einer potenziellen Verschwendung von IP-Adressen führt. PVLANs bieten eine sicherere und effizientere Lösung.
Typischer Aufbau und primäre Anwendung von PVLANs
Ein PVLAN kann auf einem einzelnen Switch oder so konfiguriert werden, dass es sich über mehrere Switches erstreckt. Die Arten von Domänen und Ports sind:
Primäres VLAN: Das primäre VLAN des PVLAN ist mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs enthalten (ein isoliertes VLAN und mehrere Community-VLANs).
Isoliertes VLAN/isolierter Port - Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle in einem isolierten VLAN kann Pakete nur an einen promiskuitiven Port oder den Inter-Switch Link (ISL)-Port weiterleiten. Eine isolierte Schnittstelle kann keine Pakete an eine andere isolierte Schnittstelle weiterleiten. und eine isolierte Schnittstelle kann keine Pakete von einer anderen isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Gateway-Router haben muss, muss das Gerät an einen isolierten Trunk-Port angeschlossen werden.
Community-VLAN/Community-Port - Sie können mehrere Community-VLANs in einem einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann eine Layer-2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zum selben Community-VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLANs kann auch mit einem Promiscuous-Port oder dem ISL-Port kommunizieren. Wenn Sie z. B. zwei Kundengeräte haben, die Sie von anderen Kundengeräten isolieren müssen, die aber miteinander kommunizieren können müssen, verwenden Sie Community-Ports.
Promiscuous-Port - Ein Promiscuous-Port verfügt über Layer-2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob eine Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein promiskuitiver Port ist Mitglied des primären VLANs, aber nicht in einer sekundären Subdomäne enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind in der Regel mit einem promiskuitiven Port verbunden.
Inter-Switch Link (ISL): Eine ISL ist ein Trunk-Port, der mehrere Switches in einem PVLAN verbindet und zwei oder mehr VLANs enthält. Sie ist nur erforderlich, wenn sich ein PVLAN über mehrere Switches erstreckt.
Das konfigurierte PVLAN ist die primäre Domäne (primäres VLAN). Innerhalb des PVLAN konfigurieren Sie sekundäre VLANs, die zu Subdomänen werden, die in der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzelnen Switch oder so konfiguriert werden, dass es sich über mehrere Switches erstreckt. Das abgebildete Abbildung 1 PVLAN umfasst zwei Switches mit einer primären PVLAN-Domäne und verschiedenen Subdomänen.
Wie in Abbildung 3gezeigt, hat ein PVLAN nur eine primäre Domäne und mehrere sekundäre Domänen. Die Arten von Domänen sind:
Primäres VLAN: VLAN, das verwendet wird, um Frames nachgelagert an isolierte und Community-VLANs weiterzuleiten. Das primäre VLAN des PVLANs wird mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs enthalten (ein isoliertes VLAN und mehrere Community-VLANs).
Sekundäres isoliertes VLAN - VLAN, das Pakete nur vom primären VLAN empfängt und Frames stromaufwärts an das primäre VLAN weiterleitet. Das isolierte VLAN ist ein sekundäres VLAN, das innerhalb des primären VLAN verschachtelt ist. Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle innerhalb eines isolierten VLAN (isolierte Schnittstelle) kann Pakete nur an einen promiskuitiven Port oder den PVLAN-Trunk-Port weiterleiten. Eine isolierte Schnittstelle kann keine Pakete an eine andere isolierte Schnittstelle weiterleiten. Eine isolierte Schnittstelle kann auch keine Pakete von einer anderen isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Router haben muss, muss das Gerät an einen isolierten Trunk-Port angeschlossen werden.
Secondary Interswitch isolated VLAN (Sekundäres Interswitch-isoliertes VLAN): VLAN, das verwendet wird, um isolierten VLAN-Datenverkehr von einem Switch über PVLAN-Trunk-Ports an einen anderen weiterzuleiten. 802.1Q-Tags sind für Interswitch-isolierte VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, bei dem ein Trunking-Gerät eine 4-Byte-VLAN-Frame-Identifikationsregisterkarte in den Paket-Header einfügt. Ein Interswitch-isoliertes VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs verschachtelt ist.
Sekundäres Community-VLAN - VLAN, das verwendet wird, um Frames zwischen Mitgliedern einer Community (einer Teilmenge von Benutzern innerhalb des VLAN) zu transportieren und Frames an das primäre VLAN weiterzuleiten. Ein Community-VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs verschachtelt ist. Sie können mehrere Community-VLANs innerhalb eines einzelnen PVLANs konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann eine Layer-2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zum selben Community-VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLANs kann auch mit einem Promiscuous-Port oder dem PVLAN-Trunk-Port kommunizieren.
Abbildung 2 zeigt ein PVLAN, das sich über mehrere Switches erstreckt, wobei das primäre VLAN (100) zwei Community-Domänen und 400) und eine isolierte (300Interswitch-Domäne enthält.
Primäre und sekundäre VLANs werden auf das Limit von 4089 VLANs angerechnet, die von der QFX-Serie unterstützt werden. Beispielsweise wird jedes VLAN in Abbildung 2 auf dieses Limit angerechnet.
Typischer Aufbau und primäre Anwendung von PVLANs auf Routern der MX-Serie
Das konfigurierte PVLAN wird zur primären Domäne, und sekundäre VLANs werden zu Unterdomänen, die innerhalb der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzelnen Router erstellt werden. Das abgebildete Abbildung 3 PVLAN umfasst einen Router mit einer primären PVLAN-Domäne und mehreren sekundären Subdomänen.
Die Arten von Domänen sind:
Primäres VLAN: VLAN, das verwendet wird, um Frames nachgelagert an isolierte und Community-VLANs weiterzuleiten.
Sekundäres isoliertes VLAN - VLAN, das Pakete nur vom primären VLAN empfängt und Frames stromaufwärts an das primäre VLAN weiterleitet.
Secondary Interswitch isolated VLAN (Sekundäres Interswitch-isoliertes VLAN): VLAN, das verwendet wird, um isolierten VLAN-Datenverkehr von einem Router über PVLAN-Trunk-Ports an einen anderen weiterzuleiten.
Sekundäres Community-VLAN - VLAN, das verwendet wird, um Frames zwischen Mitgliedern einer Community zu transportieren, bei der es sich um eine Teilmenge der Benutzer innerhalb des VLANs handelt, und um Frames an das primäre VLAN weiterzuleiten.
PVLANs werden auf MX80-Routern, auf MX240-, MX480- und MX960-Routern mit DPCs im erweiterten LAN-Modus, auf Routern der MX-Serie mit MPC1-, MPC2- und Adaptive Services-PICs unterstützt.
Typischer Aufbau und primäre Anwendung von PVLANs auf Switches der EX-Serie
Das primäre VLAN des PVLANs wird mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Bei EX9200-Switches muss jedes sekundäre VLAN außerdem mit einer eigenen VLAN-ID definiert werden.
Abbildung 4 zeigt ein PVLAN auf einem einzelnen Switch, wobei das primäre VLAN (VLAN 100) zwei Community-VLANs (VLAN 300 und VLAN 400) und ein isoliertes VLAN (VLAN 50) enthält.
Abbildung 5 zeigt ein PVLAN, das sich über mehrere Switches erstreckt, wobei das primäre VLAN (VLAN 100) zwei Community-VLANs (VLAN 300 und VLAN 400) und ein isoliertes VLAN (VLAN 200) enthält. Außerdem wird angezeigt, dass die Switches 1 und 2 über eine Interswitch-Verbindung (PVLAN-Trunk-Link) verbunden sind.
Außerdem verwenden die in und Abbildung 5 gezeigten PVLANs Abbildung 4einen promiskuitiven Port, der mit einem Router verbunden ist, um Layer-3-Datenverkehr zwischen der Community und isolierten VLANs zu routen. Anstatt den Promiscuous-Port zu verwenden, der mit einem Router verbunden ist, können Sie ein RVI auf dem Switch oder Abbildung 4 einem der in Abbildung 5 (bei einigen EX-Switches) gezeigten Switches konfigurieren.
Um Layer-3-Datenverkehr zwischen isolierten und Community-VLANs weiterzuleiten, müssen Sie entweder einen Router mit einem promiskuitiven Port verbinden, wie in Abbildung 4 und Abbildung 5gezeigt, oder einen RVI konfigurieren.
Wenn Sie die Option RVI auswählen, müssen Sie einen RVI für das primäre VLAN in der PVLAN-Domäne konfigurieren. Dieser RVI bedient die gesamte PVLAN-Domäne, unabhängig davon, ob die Domäne einen oder mehrere Switches umfasst. Nachdem Sie den RVI konfiguriert haben, werden Layer-3-Pakete, die von den sekundären VLAN-Schnittstellen empfangen werden, dem RVI zugeordnet und von diesem weitergeleitet.
Beim Einrichten des RVI müssen Sie auch das Proxy Address Resolution Protocol (ARP) aktivieren, damit der RVI ARP-Anforderungen verarbeiten kann, die von den sekundären VLAN-Schnittstellen empfangen werden.
Weitere Informationen zur Konfiguration von PVLANs auf einem einzelnen Switch und auf mehreren Switches finden Sie unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (CLI-Verfahren). Weitere Informationen zur Konfiguration eines RVI finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Routing zwischen isolierten und Community-VLANs
Um Layer-3-Datenverkehr zwischen isolierten und Community-VLANs weiterzuleiten, müssen Sie einen externen Router oder Switch mit einem Trunk-Port des primären VLANs verbinden. Der Trunk-Port des primären VLAN ist ein promiskuitiver Port. Daher kann es mit allen Ports im PVLAN kommunizieren.
PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
Wenn Pakete mit einem kundenspezifischen 802.1Q-Tag gekennzeichnet sind, identifiziert dieses Tag die Eigentümerschaft der Pakete für jeden Switch oder Router im Netzwerk. Manchmal werden 802.1Q-Tags in PVLANs benötigt, um Pakete von verschiedenen Subdomains zu verfolgen. Tabelle 1 zeigt an, wann ein VLAN 802.1Q-Tag im primären VLAN oder in sekundären VLANs benötigt wird.
| Auf einem einzelnen Switch | Auf mehreren Switches | |
|---|---|---|
| Primäres VLAN | Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen. |
Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen. |
| Sekundäres VLAN | Für VLANs ist kein Tag erforderlich. |
VLANs benötigen 802.1Q-Tags:
|
PVLANs nutzen IP-Adressen effizient
PVLANs ermöglichen die Erhaltung von IP-Adressen und die effiziente Zuweisung von IP-Adressen. In einem typischen Netzwerk entsprechen VLANs in der Regel einem einzigen IP-Subnetz. In PVLANs gehören die Hosts in allen sekundären VLANs demselben IP-Subnetz an, da das Subnetz dem primären VLAN zugewiesen ist. Hosts innerhalb des sekundären VLANs werden IP-Adressen basierend auf IP-Subnetzen zugewiesen, die dem primären VLAN zugeordnet sind, und ihre IP-Subnetzmaskierungsinformationen spiegeln die des primären VLAN-Subnetzes wider. Jedes sekundäre VLAN ist jedoch eine separate Broadcast-Domain.
PVLAN-Porttypen und Weiterleitungsregeln
PVLANs können bis zu sechs verschiedene Porttypen verwenden. Das inAbbildung 2 dargestellte Netzwerk verwendet einen Promiscuous-Port zum Übertragen von Informationen zum Router, Community-Ports, um die Finanz- und HR-Communitys mit ihren jeweiligen Switches zu verbinden, isolierte Ports zum Verbinden der Server und einen PVLAN-Trunk-Port zum Verbinden der beiden Switches. Für PVLAN-Ports gelten unterschiedliche Einschränkungen:
Promiscuous trunk port - Ein promiscuous Port verfügt über Layer-2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob die Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein promiskuitiver Port ist Mitglied des primären VLANs, aber nicht in einer der sekundären Subdomänen enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind in der Regel mit einem promiskuitiven Port verbunden.
PVLAN-Trunk-Link: Der PVLAN-Trunk-Link, der auch als Interswitch-Link bezeichnet wird, ist nur erforderlich, wenn ein PVLAN so konfiguriert ist, dass es sich über mehrere Switches erstreckt. Die PVLAN-Trunk-Verbindung verbindet die zahlreichen Switches, aus denen das PVLAN besteht.
PVLAN-Trunk-Port: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunk-Port erforderlich, um die Switches zu überspannen. Der PVLAN-Trunk-Port ist Mitglied aller VLANs innerhalb des PVLANs (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs zwischen den Switches) und überträgt den Datenverkehr vom primären VLAN und allen sekundären VLANs. Er kann mit allen Ports außer den isolierten Ports kommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunk-Port und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunk-Ports im isolierten Interswitch-VLAN bezieht sich nur auf den Ausgang, was bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunk-Port weiterleiten kann, ein PVLAN-Trunk-Port jedoch keine Pakete an einen isolierten Port weiterleitet (es sei denn, die Pakete sind über einen promiskuitiven Zugriffsport eingegangen und werden daher an alle sekundären VLANs im selben primären VLAN wie der promiskuitive Port weitergeleitet).
Sekundärer VLAN-Trunk-Port (nicht dargestellt): Sekundäre Trunk-Ports übertragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunk-Port Datenverkehr nur für ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANS pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN, das Teil des primären VLANS pvlan400 ist.
Community-Port: Community-Ports kommunizieren untereinander und mit ihren promiskuitiven Ports. Community-Ports bedienen nur eine ausgewählte Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLANs getrennt.
Isolierter Zugriffsport - Isolierte Ports verfügen nur über Layer-2-Konnektivität mit promiskuitiven Ports und PVLAN-Trunk-Ports - Ein isolierter Port kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder derselben isolierten VLAN-Domäne (oder isolierten Interswitch-VLANs) sind. In der Regel ist ein Server, z. B. ein E-Mail-Server oder ein Backup-Server, an einem isolierten Port verbunden. In einem Hotel ist jedes Zimmer in der Regel über einen isolierten Port verbunden, was bedeutet, dass eine Kommunikation von Raum zu Raum nicht möglich ist, aber jedes Zimmer kann über den promiskuitiven Port auf das Internet zugreifen.
Promiscuous-Access-Port (nicht dargestellt): Diese Ports übertragen ungetaggten Datenverkehr. Datenverkehr, der über einen promiskuitiven Zugriffsport eingeht, wird an alle sekundären VLAN-Ports auf dem Gerät weitergeleitet. Wenn der Datenverkehr über einen VLAN-fähigen Port in das Gerät eingeht und über einen promiskuitiven Zugriffsport ausgeht, wird der Datenverkehr beim Ausgang nicht markiert. Wenn markierter Datenverkehr an einem promiskuitiven Zugriffsport eingeht, wird der Datenverkehr verworfen.
Interswitch-Link-Port: Ein Interswitch-Link-Port (ISL) ist ein Trunk-Port, der zwei Router verbindet, wenn ein PVLAN diese Router umfasst. Der ISL-Port ist Mitglied aller VLANs innerhalb des PVLANs (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs).
Die Kommunikation zwischen einem ISL-Port und einem isolierten Port erfolgt unidirektional. Die Mitgliedschaft eines ISL-Ports im isolierten VLAN des Interswitches bezieht sich nur auf den Ausgang, was bedeutet, dass eingehender Datenverkehr auf dem ISL-Port niemals dem isolierten VLAN zugewiesen wird. Ein isolierter Port kann Pakete an einen PVLAN-Trunk-Port weiterleiten, ein PVLAN-Trunk-Port kann jedoch keine Pakete an einen isolierten Port weiterleiten. Tabelle 3 fasst zusammen, ob Layer-2-Konnektivität zwischen den verschiedenen Porttypen besteht.
Tabelle 2 fasst die Layer-2-Konnektivität zwischen den verschiedenen Arten von Ports innerhalb eines PVLAN auf Switches der EX-Serie zusammen, die ELS unterstützen.
Vom Porttyp |
zu isolierten Ports? |
zu promiskuitiven Ports? |
Zu Community-Ports? |
Zum Inter-Switch-Link-Port? |
|---|---|---|---|---|
Isoliert |
Leugnen |
Zulassen |
Leugnen |
Zulassen |
Promiskuitiv |
Zulassen |
Zulassen |
Zulassen |
Zulassen |
Gemeinschaft 1 |
Leugnen |
Zulassen |
Zulassen |
Zulassen |
Port-Typ |
Promiskuitiver Stamm |
PVLAN-Trunk |
Sekundärer Trunk |
Community |
Isolierter Zugriff |
Promiskuitiver Zugang |
|---|---|---|---|---|---|---|
Promiskuitiver Stamm |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
PVLAN-Trunk |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Ja |
Ja |
Sekundärer Trunk |
Ja |
Ja |
Nein |
Ja |
Nein |
Ja |
Community |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Nein |
Ja |
Isolierter Zugriff |
Ja |
Ja – nur unidirektional |
Nein |
Nein |
Nein |
Ja |
Promiskuitiver Zugang |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Tabelle 4 fasst zusammen, ob Layer-2-Konnektivität zwischen den verschiedenen Porttypen innerhalb eines PVLANs besteht.
Port-Typ Empfänger: → Von:↓ |
Promiskuitiv |
Community |
Isoliert |
PVLAN-Trunk |
RVI |
|---|---|---|---|---|---|
Promiskuitiv |
Ja |
Ja |
Ja |
Ja |
Ja |
Community |
Ja |
Ja – nur dieselbe Community |
Nein |
Ja |
Ja |
Isoliert |
Ja |
Nein |
Nein |
Ja HINWEIS:
Diese Kommunikation ist unidirektional. |
Ja |
PVLAN-Trunk |
Ja |
Ja – nur dieselbe Community |
Ja HINWEIS:
Diese Kommunikation ist unidirektional. |
Ja |
Ja |
RVI |
Ja |
Ja |
Ja |
Ja |
Ja |
Wie in Tabelle 4erwähnt, ist die Layer- 2-Kommunikation zwischen einem isolierten Port und einem PVLAN-Trunk-Port unidirektional. Das heißt, ein isolierter Port kann nur Pakete an einen PVLAN-Trunk-Port senden, und ein PVLAN-Trunk-Port kann nur Pakete von einem isolierten Port empfangen. Umgekehrt kann ein PVLAN-Trunk-Port keine Pakete an einen isolierten Port senden, und ein isolierter Port kann keine Pakete von einem PVLAN-Trunk-Port empfangen.
Wenn Sie die Option in einem primären VLAN aktivieren no-mac-learning , erben alle isolierten VLANs (oder das isolierte VLAN zwischen den Switches) im PVLAN diese Einstellung. Wenn Sie jedoch das Erlernen von MAC-Adressen in Community-VLANs deaktivieren möchten, müssen Sie jedes dieser VLANs konfigurieren no-mac-learning .
Erstellen eines PVLAN
Das in Abbildung 6 gezeigte Flussdiagramm gibt Ihnen eine allgemeine Vorstellung vom Prozess zum Erstellen von PVLANs. Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge ausführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. (In den PVLAN-Regeln gilt die Konfiguration des PVLAN-Trunk-Ports nur für ein PVLAN, das sich über mehrere Router erstreckt.)
Das primäre VLAN muss ein getaggtes VLAN sein.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN konfigurieren.
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Die Konfiguration eines VLANs auf einem einzelnen Router ist relativ einfach, wie in Abbildung 6gezeigt.
Die Konfiguration eines primären VLANs besteht aus den folgenden Schritten:
Konfigurieren Sie den primären VLAN-Namen und das 802.1Q-Tag.
Wird auf das primäre VLAN festgelegt no-local-switching .
Konfigurieren Sie den Promiscuous-Trunk-Port und die Zugriffsports.
Machen Sie den promiskuitiven Trunk und die Zugriffsports zu Mitgliedern des primären VLANs.
Innerhalb eines primären VLANs können Sie sekundäre Community-VLANs oder sekundäre isolierte VLANs oder beides konfigurieren. Die Konfiguration eines sekundären Community-VLANs besteht aus den folgenden Schritten:
Konfigurieren Sie ein VLAN wie gewohnt.
Konfigurieren Sie die Zugriffsschnittstellen für das VLAN.
Weisen Sie dem Community-VLAN ein primäres VLAN zu.
Isolierte VLANs werden intern erstellt, wenn das isolierte VLAN Zugriffsschnittstellen als Mitglieder hat und die Option no-local-switching im primären VLAN aktiviert ist.
802.1Q-Tags sind für Interswitch-isolierte VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, bei dem ein Trunking-Gerät eine 4-Byte-VLAN-Frame-Identifikationsregisterkarte in den Paket-Header einfügt.
Trunk-Ports werden nur für Multirouter-PVLAN-Konfigurationen benötigt – der Trunk-Port überträgt den Datenverkehr vom primären VLAN und allen sekundären VLANs.
Einschränkungen privater VLANs
Die folgenden Einschränkungen gelten für private VLAN-Konfigurationen:
Eine Zugriffsschnittstelle kann nur zu einer PVLAN-Domäne gehören, d. h., sie kann nicht an zwei verschiedenen primären VLANs teilnehmen.
Eine Trunk-Schnittstelle kann Mitglied von zwei sekundären VLANs sein, solange sich die sekundären VLANs in zwei verschiedenen primären VLANs befinden. Eine Trunk-Schnittstelle kann nicht Mitglied von zwei sekundären VLANs sein, die sich im selben primären VLAN befinden.
Eine einzelne Region des Multiple Spanning Tree Protocol (MSTP) muss in allen VLANs konfiguriert werden, die im PVLAN enthalten sind.
Das VLAN Spanning Tree Protocol (VSTP) wird nicht unterstützt.
IGMP-Snooping wird mit privaten VLANs nicht unterstützt.
Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt
Das Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Einige Konfigurationsanweisungen können nicht für ein sekundäres VLAN angegeben werden. Sie können die folgenden Anweisungen auf Hierarchieebene
[edit vlans vlan-name switch-options]nur im primären PVLAN konfigurieren.Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung bestätigen. Sie würden z. B. wie folgt vorgehen:
Ändern Sie das primäre VLAN in ein normales VLAN.
Bestätigen Sie die Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Bestätigen Sie die Konfiguration.
Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, bestätigen Sie diese Änderung und ändern Sie dann das normale VLAN in ein primäres VLAN.
Die folgenden Funktionen werden auf PVLANs auf Junos-Switches mit Unterstützung für den ELS-Konfigurationsstil nicht unterstützt:
Firewall-Filter für Ausgangs-VLAN
Ethernet-Ringschutz (ERP)
Flexibles VLAN-Tagging
Integrierte Routing- und Bridging-Schnittstelle (IRB)
Multichassis Link Aggregation Groups (MC-LAGs)
Port-Spiegelung
Q-in-Q-Tunneling
VLAN-Spanning-Tree-Protokoll (VSTP)
Voice over IP (VoIP)
Sie können die folgenden Anweisungen auf Hierarchieebene [edit vlans vlan-name switch-options] nur im primären PVLAN konfigurieren: