Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configuración de una VLAN privada que abarque varios conmutadores de la serie EX

 

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN. Un PVLAN puede abarcar varios conmutadores.

Este ejemplo describe cómo crear una PVLAN que abarque varios conmutadores de la serie EX. El ejemplo crea un PVLAN principal que contiene varias VLAN secundarias:

Nota

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores de la serie EX

  • Junos OS versión 10,4 o posterior para conmutadores de la serie EX

Antes de comenzar a configurar un PVLAN, asegúrese de haber creado y configurado las redes VLAN necesarias. Consulte Configuring VLANs for EX Series Switches.

Descripción general y topología

En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear un PVLAN que abarque varios conmutadores de la serie EX, con una VLAN principal que contenga dos VLAN de la comunidad (una para HR y otra para Finance), y una VLAN aislada de interconmutadores (para el servidor de correo, el servidor de copia de seguridad y el CVS servidor). El PVLAN comprende tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. El PVLAN está conectado a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.

Nota

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Understanding Private VLANs.

Figura 1muestra la topología de este ejemplo—dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) al enrutador.

Figura 1: Topología de PVLAN que abarca varios conmutadores
Topología de PVLAN que abarca varios conmutadores

Tabla 1, Tabla 2y Tabla 3 enumerar los valores para la topología de ejemplo.

Tabla 1: Componentes del conmutador 1 en la topología para configurar un PVLAN que abarque varios conmutadores de la serie EX

InspectorConfiguraciones

Nombres de VLAN e ID.

primario de VLAN, etiqueta 100

ID de aislamiento, etiqueta 50

Finanzas-comunicaciones, etiqueta 300

HR-COMM, etiqueta 400

Interfaces troncales de PVLAN

ge-0/0/0.0, Conecta el conmutador 1 al conmutador 3



ge-0/0/5.0, Conecta el conmutador 1 al conmutador 2

Interfaces en VLAN aislada

ge-0/0/15.0, Servidor de correo

ge-0/0/16.0, Servidor de backup

Interfaces en VLAN Finanzas-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN HR-COMM

ge-0/0/13.0

ge-0/0/14.0

Tabla 2: Componentes del conmutador 2 de la topología para configurar un PVLAN que abarque varios conmutadores de la serie EX

InspectorConfiguraciones

Nombres de VLAN e ID.

primario de VLAN, etiqueta 100

ID de aislamiento, etiqueta 50

Finanzas-comunicaciones, etiqueta 300

HR-COMM, etiqueta 400

Interfaces troncales de PVLAN

ge-0/0/0.0, Conecta el conmutador 2 al conmutador 3



ge-0/0/5.0, Conecta el conmutador 2 al conmutador 1

Interfaces en VLAN aislada

ge-0/0/17.0, Servidor CVS

Interfaces en VLAN Finanzas-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN HR-COMM

ge-0/0/13.0

ge-0/0/14.0

Tabla 3: Componentes del conmutador 3 de la topología para la configuración de un PVLAN que abarque varios conmutadores de la serie EX

InspectorConfiguraciones

Nombres de VLAN e ID.

primario de VLAN, etiqueta 100

ID de aislamiento, etiqueta 50

Finanzas-comunicaciones, etiqueta 300

HR-COMM, etiqueta 400

Interfaces troncales de PVLAN

ge-0/0/0.0, Conecta el conmutador 3 al conmutador 1



ge-0/0/1.0, Conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, Conecta PVLAN al enrutador

Nota: Debe configurar el puerto de enlace que conecta el PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro del PVLAN, que implícitamente lo configura como un puerto promiscuo.

Configuración de un PVLAN en el conmutador 1

Configuración rápida de CLI

Al configurar un PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.

  • No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

  • Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Las VLAN secundarias y el puerto de troncal PVLAN deben confirmarse en una sola confirmación si MVRP está configurado en el puerto troncal PVLAN.

Para crear y configurar rápidamente un PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 1:

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/15.0


set vlans pvlan100 interface ge-0/0/16.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

Procedimiento detallado

Realice los pasos de configuración que se indican a—continuación en el orden que se indica también, complete todos los pasos antes de confirmar la configuración en una sola confirmación. Ésta es la forma más fácil de evitar los mensajes de error que se desencadenan al infringir cualquiera de estas tres reglas:

  • Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Las VLAN secundarias y una troncal PVLAN se deben confirmar en una sola confirmación.

Para configurar un PVLAN en el conmutador 1 que abarque varios conmutadores:

  1. Establecer el ID. de VLAN para la VLAN principal:
    [edit vlans]
    user@switch# set pvlan100 vlan–id 100
  2. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  3. Configure la VLAN principal para que no tenga conmutación local:
    [edit vlans]

    user@switch# set pvlan100 no-local-switching
  4. Establezca el ID de VLAN para el Finanzas-comunicaciones VLAN de la comunidad que abarca los conmutadores:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    user@switch# set pvlan100 vlan–id 100
  5. Configurar interfaces de acceso para el Finanzas-comunicaciones LAN
    [edit vlans]

    user@switch# set finance-comm interface interfacege-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  6. Establezca la VLAN principal de esta VLAN de la comunidad secundaria, Finanzas-comunicaciones :
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  7. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores.
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  8. Configurar interfaces de acceso para el HR-COMM LAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0


    user@switch# set hr-comm interface ge-0/0/14.0
  9. Establezca la VLAN principal de esta VLAN de la comunidad secundaria, HR-COMM :
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  10. Establezca el identificador aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:
    [edit vlans]
    user@switch# set pvlan100 isolation-id 50
    Nota

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 2:

Nota

La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto en el caso de la interfaz en el dominio aislado entre conmutadores. Para el conmutador 2, la interfaz se ge-0/0/17.0.

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/17.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

Procedimiento detallado

Para configurar un PVLAN en el conmutador 2 que abarque varios conmutadores:

  1. Establezca el ID de VLAN para el Finanzas-comunicaciones VLAN de la comunidad que abarca los conmutadores:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    user@switch# set pvlan100 vlan–id 100
  2. Configurar interfaces de acceso para el Finanzas-comunicaciones LAN
    [edit vlans]

    user@switch# set finance-comm interface ge-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  3. Establezca la VLAN principal de esta VLAN de la comunidad secundaria, Finanzas-comunicaciones :
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  4. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores.
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  5. Configurar interfaces de acceso para el HR-COMM LAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0


    user@switch# set hr-comm interface ge-0/0/14.0
  6. Establezca la VLAN principal de esta VLAN de la comunidad secundaria, HR-COMM :
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  7. Establecer el ID. de VLAN para la VLAN principal:
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  8. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  9. Configure la VLAN principal para que no tenga conmutación local:
    [edit vlans]

    user@switch# set pvlan100 no-local-switching
  10. Establezca el identificador aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:
    [edit vlans]

    user@switch# set pvlan100 isolation-id 50
    Nota

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 de manera que funcione como el conmutador de distribución de este PVLAN, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 3:

Nota

Interface GE-0/0/2.0 es un puerto troncal que conecta el PVLAN a un enrutador.

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

Procedimiento detallado

Para configurar el modificador 3 de modo que funcione como conmutador de distribución de este PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para el Finanzas-comunicaciones VLAN de la comunidad que abarca los conmutadores:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  2. Establezca la VLAN principal de esta VLAN de la comunidad secundaria, Finanzas-comunicaciones:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  3. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores:
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  4. Establezca la VLAN principal de esta VLAN de la comunidad secundaria, HR-COMM:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  5. Establecer el ID. de VLAN para la VLAN principal:
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  6. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  7. Configure la VLAN principal para que no tenga conmutación local:
    [edit vlans]

    user@switch# set pvlan100 no-local-switching
  8. Establezca el identificador aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:
    [edit vlans]

    user@switch# set pvlan100 isolation-id 50
    Nota

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Finalidad

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

user@switch> show vlans extensive

Significado

El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia de la PVLAN-troncal y Aislamiento entre conmutadores Fields indica que este PVLAN está abarcando más de un conmutador.

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Finalidad

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

user@switch> show vlans extensive

Significado

El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia de la PVLAN-troncal y Aislamiento entre conmutadores campos indica que PVLAN abarca más de un conmutador. Cuando compare este resultado con el resultado del conmutador 1, puede ver que ambos conmutadores pertenecen al mismo PVLAN (pvlan100).

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Finalidad

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

user@switch> show vlans extensive

Significado

El resultado muestra que el PVLAN (pvlan100) se configura en el conmutador 3 y incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso en PVLAN. Sólo se muestra el PVLAN-troncal interfaces que se conectan pvlan100 desde el conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) de la misma PVLAN.