Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Comprensión de los puertos de tronco de VLAN secundarios y puertos de acceso promiscuo en PVLANs

 

Las VLAN limitan las difusiones a los usuarios especificados. Las VLAN privadas (PVLANs) toman este concepto un paso más allá dividiendo una VLAN en varios subdominios de difusión y colocando fundamentalmente VLAN secundarias dentro de una VLAN principal. PVLANs limitar el tráfico fluye a través de sus puertos para que estos puertos solo se comuniquen con un puerto troncal de vínculo superior especificado o con puertos especificados dentro de la misma VLAN. El puerto de enlace del vínculo superior suele conectarse a un enrutador, un cortafuegos, un servidor o una red de proveedor. Normalmente, un PVLAN contiene muchos puertos privados que se comunican solo con un único vínculo superior, lo que impide que los puertos se comuniquen entre sí.

Los puertos secundarios de troncal y los puertos de acceso promiscuo amplían la funcionalidad de PVLANs para su uso en implementaciones complejas, como:

  • Entornos empresariales de VMWare Infrastructure

  • Servicios en la nube de multiinquilino con administración de VM

  • Servicios de alojamiento web para varios clientes

Por ejemplo, puede utilizar puertos troncales de VLAN secundarios para conectar dispositivos QFX a servidores VMware que estén configurados con VLANs privadas. Puede utilizar puertos de acceso promiscuo para conectar dispositivos QFX a sistemas que no admitan puertos troncales pero que necesiten participar en VLAN privadas.

En este tema se explican los siguientes conceptos relativos a PVLANs en el serie QFX:

Tipos de puertos PVLAN

PVLANs puede usar los siguientes tipos de puerto:

  • Puerto—de troncal promiscuo un puerto promiscuo es un puerto de enlace de entrada ascendente conectado a un enrutador, cortafuegos, servidor o red de proveedores. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y de comunidad de una PVLAN.

  • Puerto—de PVLAN troncal a PVLAN se requiere un puerto de troncal en configuraciones de PVLAN Multiconmutador para abarcar los conmutadores. El puerto troncal PVLAN es miembro de todas las VLAN en la PVLAN (es decir, la VLAN principal, la comunidad VLAN y la VLAN aislada intercambiadora), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. Un puerto troncal’PVLAN que sea miembro de la VLAN aislada del conmutador intercambiador es de sólo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de enlace PVLAN, pero un puerto de transmisión PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresen en un Puerto de acceso promiscuo y, por lo tanto, se reenvía a las VLAN secundarias de la misma VLAN principal que el puerto promiscuo.

  • Puerto—de troncal de VLAN secundario los puertos troncales de red VLAN llevan tráfico secundario de VLAN. En el caso de una VLAN privada (principal) determinada, el puerto de tronco de una VLAN secundaria puede transportar el tráfico únicamente a una VLAN secundaria. Sin embargo, un puerto de tronco de VLAN secundario puede transportar tráfico para varias VLAN secundarias siempre y cuando cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto de tronco de VLAN secundario puede transportar tráfico para una VLAN de comunidad que forma parte de pvlan100 de VLAN principal y que también transporta tráfico para una VLAN aislada que forma parte de VLAN principal pvlan400.

    Nota

    Cuando el tráfico se deriva de un puerto de tronco de la VLAN secundaria, normalmente lleva la etiqueta de la VLAN principal de la que es miembro el puerto secundario. Si desea que el tráfico que salida de un puerto de tronco de la VLAN secundaria retenga su etiqueta de VLAN secundaria, use la instrucción extend-secondary-vlan-id .

  • Los puertos—comunitarios de la comunidad de puertos de la comunidad se comunican entre sí y con sus puertos promiscuo. Los puertos de la comunidad solo sirven a un grupo seleccionado de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o de puertos aislados en su PVLAN.

  • Puerto—de acceso aislado los puertos aislados tienen conectividad de capa 2 solamente con puertos promiscuo y puertos troncales PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.

  • Puerto—de acceso promiscuo estos puertos transmiten el tráfico sin etiquetar y solo pueden ser miembros de una VLAN principal. El tráfico de entrada en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que es miembro el puerto de acceso promiscuo. En este caso, el tráfico lleva la etiqueta VLAN secundaria correspondiente cuando salida del puerto VLAN secundario si el puerto VLAN secundario es un puerto troncal. Si el tráfico se encuentra en el puerto de VLAN secundario y en el puerto de acceso promiscuo, el tráfico no se etiquetará a la salida. Si el tráfico con etiqueta se encuentra en un puerto de acceso promiscuo, se descarta el tráfico.

Detalles del puerto de tronco de VLAN secundario

Cuando se utiliza un puerto de conexión de VLAN secundario, tenga en cuenta lo siguiente:

  • Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto de tronco de la VLAN secundaria. Esto se cumple incluso si las VLAN secundarias que el puerto de enlace de la VLAN secundaria va a transportar se limitan a un único dispositivo.

  • Si configura un puerto para que sea un puerto de tronco de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de los siguientes:

    • Puerto de tronco de VLAN secundario para otra VLAN principal

    • PVLAN troncal para otra VLAN principal

    • Puerto de troncal promiscuo

    • Acceso al puerto para una VLAN no privada

  • El tráfico que se transporta en un puerto de enlace de VLAN secundario (con una etiqueta de VLAN secundaria) y la salida en un puerto de PVLAN troncal conserva la etiqueta de VLAN secundaria en el salida.

  • El tráfico que transporta en un puerto de enlace de VLAN secundario y la salida en un puerto troncal promiscuo tiene la etiqueta VLAN principal correspondiente en el salida.

  • El tráfico de salida en un puerto de tronco de la VLAN secundario y el de salida en el puerto de acceso promiscuo no tiene etiquetas sin etiqueta.

  • El tráfico que transmite en un puerto troncal promiscuo con etiqueta VLAN principal y salida en un puerto troncal de VLAN secundario incorpora la etiqueta VLAN secundaria apropiada en el salida. Por ejemplo, supongamos que se ha configurado lo siguiente en un conmutador:

    • VLAN principal 100

    • La VLAN de la comunidad 200 como parte de la VLAN principal

    • Puerto de troncal promiscuo

    • Puerto de enlace secundario que transporta la VLAN 200 de la comunidad

    Si un paquete de entrada en el puerto de enlace promiscuo con la etiqueta VLAN principal 100 y salidas en el puerto de entrada de la VLAN secundaria, lleva la etiqueta 200 en salida.

Casos de uso

En la misma interfaz física, puede configurar varios puertos troncales de VLAN secundarios (en distintas VLAN principales) o combinar un puerto de red VLAN secundario con otros tipos de puertos VLAN. Los siguientes casos de uso proporcionan ejemplos de cómo hacerlo y muestran cómo fluirá el tráfico en cada caso:

Troncos secundarios de VLAN en dos VLAN principales

Para este caso de uso, suponga que tiene dos conmutadores con la siguiente configuración:

  • Pvlan100 de VLAN principal con etiqueta 100.

    • Isolated200 de VLAN aislada con la etiqueta 200 es miembro de pvlan100.

    • La comm300 VLAN de la comunidad con la etiqueta 300 es miembro de pvlan100.

  • Pvlan400 de VLAN principal con etiqueta 400.

    • Isolated500 de VLAN aislada con la etiqueta 500 es miembro de pvlan400.

    • La comm600 VLAN de la comunidad con la etiqueta 600 es miembro de pvlan400.

  • Interface xe-0/0/0 en el conmutador 1 se conecta con un servidor VMware (no mostrado) que está configurado con las VLAN privadas que se utilizan en este ejemplo. Esta interfaz se configura con puertos troncales de VLAN secundarios para transportar el tráfico para comm600 de VLAN secundaria y la VLAN aislada (etiqueta 200) que es miembro de pvlan100.

  • Interface xe-0/0/0 en el conmutador 2 se muestra configurado como puerto de enlace promiscuo o puerto de acceso promiscuo. En este último caso, puede suponer que se conecta a un sistema (no mostrado) que no admite puertos troncales, pero que está configurado con las VLAN privadas que se usan en este ejemplo.

  • En el conmutador 1, XE-0/0/6 es miembro de comm600 y está configurado como puerto troncal.

  • En el conmutador 2, XE-0/0/6 es miembro de comm600 y está configurado como un puerto de acceso.

Figura 1muestra esta topología y cómo el tráfico para isolated200 y comm600 fluirá después de la entrada en xe-0/0/0 en conmutador 1. Tenga en cuenta que el tráfico sólo fluirá donde indiquen las flechas. Por ejemplo, no hay flechas para las interfaces xe-0/0/2, XE-0/0/3 y xe-0/0/5 en el conmutador 1 porque no se descartaron paquetes en esas interfaces.

Figura 1: Dos puertos de tronco de VLAN secundarios en una interfaz
Dos puertos de tronco de VLAN secundarios en una interfaz

Este es el flujo de tráfico para VLAN isolated200:

  1. Después del tráfico para la entrada de isolated200 en el puerto de enlace de la VLAN secundaria en el conmutador 1, la salida se encuentra en el puerto PVLAN troncal, ya que el puerto de troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (200) en el momento de la salida.
  2. Después del tráfico de la entrada de isolated200 en el puerto de tronco de la VLAN secundaria del conmutador 2, salida de la copia en xe-0/0/0, que está configurada como puerto de Troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 se configura como puerto troncal promiscuo, los paquetes de salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, los paquetes de salida de este puerto quedarán sin etiqueta.

Tenga en cuenta que el tráfico de VLAN isolated200 no se salida en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en la VLAN secundaria puerto de enlace xe-0/0/2 en el conmutador 2 aunque estos dos puertos son miembros de la misma VLAN aislada.

Este es el flujo de tráfico para VLAN comm600:

  1. Después del tráfico para la entrada de comm600 en el puerto de enlace de la VLAN secundaria en el conmutador 1, la salida se encuentra en el puerto PVLAN troncal, ya que el puerto de troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida.
  2. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 1. El tráfico se etiqueta porque el puerto está configurado como un tronco.
  3. Después del tráfico de entrada de comm600 en el puerto de troncal PVLAN del conmutador 2, salida en xe-0/0/0 si esta interfaz está configurada como puerto de enlace promiscuo.Nota

    Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, el puerto puede participar en una sola VLAN principal. En este caso, el puerto de acceso promiscuo forma parte de pvlan100, por lo que el tráfico de comm600 no tiene salida

  4. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 2. En este caso, el tráfico no está etiquetado, ya que el modo de puerto es Access.

Troncal de VLAN secundario y troncal promiscuo

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, con una excepción: En este caso, XE-0/0/0 en conmutador 1 se configura como puerto de tronco de VLAN secundario para VLAN pvlan100 y también está configurado como puerto de enlace promiscuo para pvlan400.

Figura 2muestra esta topología y cómo fluirá el tráfico de isolated200 (miembro de pvlan100) y comm600 (miembro de pvlan400) tras la entrada en el conmutador 1.

Figura 2: Troncal de VLAN secundario y troncal promiscuo en una interfaz
Troncal de VLAN secundario y troncal promiscuo en una interfaz

El flujo de tráfico para VLAN isolated200 es el mismo que en el caso de uso anterior, pero el flujo para comm600 es diferente. Este es el flujo de tráfico para VLAN comm600:

  1. Después del tráfico para la entrada de comm600 en el puerto VLAN de la comunidad xe-0/0/6 en el conmutador 1, éste no está en el puerto troncal promiscuo xe-0/0/0 en el conmutador 1. En este caso, incluye la etiqueta de VLAN principal (400).
  2. El tráfico para comm600 también salida en el puerto de troncal PVLAN porque el puerto de troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida.
  3. Después del tráfico de entrada de comm600 en el puerto de troncal PVLAN del conmutador 2, salida en xe-0/0/0 si esta interfaz está configurada como puerto de enlace promiscuo.

    No se salida en xe-0/0/0 si esta interfaz está configurada como puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.

  4. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 2.

Troncal de VLAN y troncal de PVLAN

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto que xe-0/0/0 en el conmutador 1 se configura como puerto de tronco de VLAN secundario para VLAN pvlan100 y también está configurado como un puerto de enlace de PVLAN para pvlan400.

Figura 3muestra esta topología y cómo fluirá el tráfico de comm300 (miembro de pvlan100) y comm600 (miembro de pvlan400) tras la entrada en el conmutador 1.

Figura 3: Troncal de VLAN y troncal de PVLAN en una interfaz
Troncal de VLAN y troncal de PVLAN en una interfaz

Este es el flujo de tráfico para VLAN comm300:

  1. Después del tráfico de entrada de comm300 en el puerto de la comunidad xe-0/0/3 en el conmutador 1, se queda en PVLAN puerto troncal xe-0/0/1, ya que PVLAN puerto de red troncal pertenece a todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (300) en el momento de la salida.Nota

    El tráfico de comm300 no se salida en xe-0/0/0 porque el puerto de tronco de la VLAN secundaria de esta interfaz incluye isolated200, no comm300.

  2. Después del tráfico de comm300 en el puerto de troncal PVLAN del conmutador 2, salida de xe-0/0/0, que está configurado como puerto de Troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 se configura como puerto troncal promiscuo, los paquetes de salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, los paquetes de salida de este puerto quedarán sin etiqueta.

  3. El tráfico de comm300 también se salida en el puerto de comunidad xe-0/0/3 del conmutador 2.

Este es el flujo de tráfico para VLAN comm600:

  1. Después del tráfico para la entrada de comm600 en el puerto PVLAN xe-0/0/0 en el conmutador 1, salida del puerto de comunidad xe-0/0/6 en el conmutador 1. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida porque xe-0/0/6 es un puerto troncal.
  2. El tráfico para comm600 también se encuentra en PVLAN puerto troncal xe-0/0/1, ya que PVLAN puerto de red troncal pertenece a todas las VLANs. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida.
  3. Después del tráfico de entrada de comm600 en el puerto de troncal PVLAN del conmutador 2, salida en xe-0/0/0 si esta interfaz está configurada como puerto de enlace promiscuo.

    No se salida en xe-0/0/0 si esta interfaz está configurada como puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.

  4. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 2. Este tráfico no está etiquetado con salida, ya que xe-0/0/6 es un puerto de acceso.

Interfaz de Troncalización de VLAN secundaria y VLAN no privada

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto en estas diferencias:

  • Configuración de xe-0/0/0 en conmutador 1:

    • Puerto de tronco de VLAN secundario para VLAN pvlan100

    • Puerto de acceso para vlan700

  • El puerto xe-0/0/6 en ambos conmutadores es un puerto de acceso para vlan700.

Figura 4muestra esta topología y cómo fluirá el tráfico de isolated200 (miembro de pvlan100) y vlan700 después de la entrada en el conmutador 1.

Figura 4: Troncal de VLAN secundario y puerto VLAN no privado en una interfaz
Troncal de VLAN secundario y puerto VLAN no privado en una interfaz

Este es el flujo de tráfico para VLAN isolated200:

  1. Después del tráfico para la entrada de isolated200 en el puerto de enlace de la VLAN secundaria en el conmutador 1, la salida está en el puerto de troncal PVLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (200) en el momento de la salida.
  2. Después del tráfico de isolated200 en el puerto de troncal PVLAN del conmutador 2, salida de xe-0/0/0, que está configurado como puerto de Troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 se configura como puerto troncal promiscuo, los paquetes de salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, los paquetes de salida de este puerto quedarán sin etiqueta.

Tenga en cuenta que el tráfico de VLAN isolated200 no se salida en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en la VLAN secundaria puerto de enlace xe-0/0/2 en el conmutador 2 aunque estos dos puertos son miembros de la misma VLAN aislada.

Después del tráfico de la entrada de vlan700 en el puerto de acceso configurado en xe-0/0/0 en el conmutador 1, salida del puerto de acceso xe-0/0/6, ya que ese puerto es miembro de la misma VLAN. El tráfico para vlan700 no se reenvía al conmutador 2 (incluso aunque xe-0/0/6 en el conmutador 2 sea miembro de vlan700) porque el tronco PVLAN en xe-0/0/1 no tiene esta VLAN.

Entrada de tráfico en el puerto de acceso promiscuo

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, excepto que xe-0/0/0 en el conmutador 1 se configura como puerto de acceso promiscuo y es miembro de pvlan100. Figura 5 muestra esta topología y cómo fluirá el tráfico sin etiquetar después de la entrada a través de esta interfaz en el conmutador 1.

Figura 5: Entrada de tráfico en el puerto de acceso promiscuo
Entrada de tráfico en el puerto de acceso promiscuo

Como se muestra en la figura, el tráfico sin etiquetar que ingrese en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios que sean miembros de la misma VLAN principal de la que el puerto de acceso promiscuo es miembro. El tráfico no se etiqueta cuando lo quita de los puertos de acceso y se etiqueta en las salidas de un puerto troncal (Xe-0/0/2 en el conmutador 2).