Ejemplo Configuración de una VLAN privada que abarque varios conmutadores con una interfaz IRB
Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN. Un PVLAN puede abarcar varios conmutadores. Este ejemplo describe cómo crear un PVLAN que abarque varios conmutadores. El ejemplo crea un PVLAN principal que contiene varias VLAN secundarias.
Al igual que las VLAN normales, los PVLANs se aíslan en la capa 2 y normalmente requieren que se utilice un dispositivo de capa 3 Si desea enrutar el tráfico. A partir de Junos OS X53 de 14,1 pulg., puede usar una interfaz de enrutamiento y puente (IRB) integrada para enrutar el tráfico de capa 3 entre los dispositivos conectados a un PVLAN. El uso de una interfaz IRB también puede permitir que los dispositivos de la PVLAN se comuniquen en la capa 3 con dispositivos de otras VLAN aisladas o de la comunidad o con dispositivos fuera de la PVLAN. En este ejemplo también se muestra cómo incluir una interfaz IRB en una configuración PVLAN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Tres conmutadores serie QFX o EX4600
Versión Junos OS con PVLAN para serie QFX o EX4600
Descripción general y topología
En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear un PVLAN que abarque varios conmutadores, con una VLAN principal que contenga dos VLAN de la comunidad (una para HR y otra para Finance), y una VLAN aislada de interconmutadores (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). PVLAN comprende tres conmutadores—y dos conmutadores de acceso y uno de distribución. Los dispositivos de la PVLAN se conectan en la capa 3 entre sí y con dispositivos situados fuera de la PVLAN a través de una interfaz IRB configurada en el conmutador de distribución.
Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí incluso aunque estén incluidos dentro del mismo dominio. Consulte Understanding Private VLANs.
Figura 1muestra la topología de este ejemplo.
Tabla 1, Tabla 2y Tabla 3 enumerar los valores para la topología de ejemplo.
Tabla 1: Componentes del conmutador 1 en la topología para configurar un PVLAN que abarca varios dispositivos
| Inspector | Configuraciones |
|---|---|
Nombres de VLAN e ID. | primary-vlan, etiqueta100 isolated-vlan-id, etiqueta 50 |
Interfaces de vínculos de interconmutadores | xe-0/0/0.0, conecta el conmutador 1 al conmutador 3 xe-0/0/5.0, conecta el conmutador 1 al conmutador 2 |
Interfaces aisladas en VLAN principal | xe-0/0/15.0, servidor de correo xe-0/0/16.0, servidor de backup |
Interfaces en VLANfinance-com | xe-0/0/11.0 xe-0/0/12.0 |
Interfaces en VLANhr-comm | xe-0/0/13.0 xe-0/0/14.0 |
Tabla 2: Componentes del conmutador 2 en la topología para configurar un PVLAN que abarca varios dispositivos
| Inspector | Configuraciones |
|---|---|
Nombres de VLAN e ID. | primary-vlan, etiqueta100 isolated-vlan-id, etiqueta 50 |
Interfaces de vínculos de interconmutadores | xe-0/0/0.0, conecta el conmutador 2 al conmutador 3 xe-0/0/5.0, conecta el conmutador 2 al conmutador 1 |
Interfaz aislada en VLAN principal | xe-0/0/17.0, Servidor CVS |
Interfaces en VLANfinance-com | xe-0/0/11.0 xe-0/0/12.0 |
Interfaces en VLANhr-comm | xe-0/0/13.0 xe-0/0/14.0 |
Tabla 3: Componentes del conmutador 3 de la topología para configurar un PVLAN que abarca varios dispositivos
| Inspector | Configuraciones |
|---|---|
Nombres de VLAN e ID. | primary-vlan, etiqueta100 isolated-vlan-id, etiqueta 50finance-comm, etiqueta 300 |
Interfaces de vínculos de interconmutadores | xe-0/0/0.0, conecta el conmutador 3 al conmutador 1. xe-0/0/1.0, conecta el conmutador 3 al conmutador 2. |
Puerto promiscuo | xe-0/0/2, conecta el PVLAN a otra red. Nota: Debe configurar el puerto de enlace que conecta el PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro del PVLAN, que implícitamente lo configura como un puerto promiscuo. |
Interfaz IRB | xe-0/0/0 xe-0/0/1 Configure el proxy ARP sin restricciones en la interfaz IRB para permitir que se produzca la resolución ARP, de forma que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP. |
Información general de configuración
Al configurar un PVLAN en varios conmutadores, se aplican las siguientes reglas:
La VLAN principal debe ser una VLAN etiquetada.
La VLAN principal es la única VLAN que puede ser miembro de una interfaz de enlace de interconmutadores.
Al configurar una interfaz IRB en un PVLAN, se aplican estas reglas:
Solo puede crear una interfaz IRB en una PVLAN, independientemente de cuántos conmutadores participen en el PVLAN.
La interfaz IRB debe ser miembro de la VLAN principal de PVLAN.
Cada dispositivo host que desee conectar en la capa 3 debe usar una dirección IP del IRB como dirección de puerta de enlace predeterminada.
Configuración de un PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente un PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 1:
[edit]set interfaces xe-0/0/0 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/0 unit 0 family ethernet-switching
inter-switch-linkset interfaces xe-0/0/0 unit 0 family ethernet-switching
vlan members 100set interfaces xe-0/0/5 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/5 unit 0 family ethernet-switching
inter-switch-linkset interfaces xe-0/0/5 unit 0 family ethernet-switching
vlan members 100set vlans finance-comm vlan-id 300 private-vlan
communityset vlans hr-comm vlan-id 400 private-vlan communityset vlans isolated-vlan vlan-id 50 private-vlan
isolatedset vlans pvlan100 vlan-id 100 community-vlans
[300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching
vlan members 300set interfaces xe-0/0/12 unit 0 family ethernet-switching
vlan members 300set interfaces xe-0/0/13 unit 0 family ethernet-switching
vlan members 400set interfaces xe-0/0/14 unit 0 family ethernet-switching
vlan members 400set interfaces xe-0/0/15 unit 0 family ethernet-switching
vlan members 50set interfaces xe-0/0/16 unit 0 family ethernet-switching
vlan members 50Procedimiento detallado
- Configure la interfaz xe-0/0/0 para que sea un tronco:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk - Configure la interfaz xe-0/0/0 para que sea un vínculo entre conmutadores que lleve todas las redes VLAN:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link - Configure pvlan100 (la VLAN principal) para que sea un miembro de la interfaz xe-0/0/0:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100 - Configure la interfaz xe-0/0/5 para que sea un tronco:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk - Configure la interfaz xe-0/0/5 para que sea un vínculo entre conmutadores que lleve a todas las VLAN:
[edit interfaces]user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link - Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:
[edit interfaces]user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100 - Cree la VLAN de la comunidad para la organización Finance:
[edit vlans]
set finance-comm vlan-id 300 private-vlan community - Cree la VLAN de la comunidad para la organización de recursos humanos:
[edit vlans]
set hr-comm vlan-id 400 private-vlan community - Crear la VLAN aislada para los servidores de correo y de copia de seguridad:
[edit vlans]
set isolated-vlan vlan-id 50 private-vlan isolated - Crear la VLAN principal y hacer que la comunidad y las VLANs aisladas sean miembros de la misma:
[edit vlans]
set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 - Configure VLAN 300 (la VLAN de la comunidad) para que sea miembro de interface xe-0/0/11:
[edit interfaces]user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300 - Configure VLAN 300 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/12:
[edit interfaces]user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300 - Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/13:
[edit interfaces]user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400 - Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/14:
[edit interfaces]user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400 - Configure VLAN 50 (la VLAN aislada) para que sea miembro de interface xe-0/0/15:
[edit interfaces]user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50 - Configure VLAN 50 (la VLAN aislada) para que sea miembro de interface xe-0/0/16:
[edit interfaces]user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Resultados
Compruebe los resultados de la configuración:
user@switch# show
Configuración de un PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la configuración del conmutador 1 excepto para la VLAN aislada. Para el conmutador 2, la interfaz VLAN aislada xe-0/0/17.0 es.
[edit]set interfaces xe-0/0/0 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/0 unit 0 family ethernet-switching
inter-switch-linkset interfaces xe-0/0/0 unit 0 family ethernet-switching
vlan members 100set interfaces xe-0/0/5 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/5 unit 0 family ethernet-switching
inter-switch-linkset interfaces xe-0/0/5 unit 0 family ethernet-switching
vlan members 100set vlans finance-comm vlan-id 300 private-vlan
communityset vlans hr-comm vlan-id 400 private-vlan communityset vlans isolated-vlan vlan-id 50 private-vlan
isolatedset vlans pvlan100 vlan-id 100 community-vlans
[300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching
vlan members 300set interfaces xe-0/0/12 unit 0 family ethernet-switching
vlan members 300set interfaces xe-0/0/13 unit 0 family ethernet-switching
vlan members 400set interfaces xe-0/0/14 unit 0 family ethernet-switching
vlan members 400set interfaces xe-0/0/17 unit 0 family ethernet-switching
vlan members 50Procedimiento detallado
- Configure la interfaz xe-0/0/0 para que sea un tronco:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk - Configure la interfaz xe-0/0/0 para que sea un vínculo entre conmutadores que lleve todas las redes VLAN:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link - Configure pvlan100 (la VLAN principal) para que sea un miembro de la interfaz xe-0/0/0:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100 - Configure la interfaz xe-0/0/5 para que sea un tronco:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk - Configure la interfaz xe-0/0/5 para que sea un vínculo entre conmutadores que lleve a todas las VLAN:
[edit interfaces]user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link - Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:
[edit interfaces]user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100 - Cree la VLAN de la comunidad para la organización Finance:
[edit vlans]
set finance-comm vlan-id 300 private-vlan community - Cree la VLAN de la comunidad para la organización de recursos humanos:
[edit vlans]
set hr-comm vlan-id 400 private-vlan community - Crear la VLAN aislada para los servidores de correo y de copia de seguridad:
[edit vlans]
set isolated-vlan vlan-id 50 private-vlan isolated - Crear la VLAN principal y hacer que la comunidad y las VLANs aisladas sean miembros de la misma:
[edit vlans]
set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 - Configure VLAN 300 (la VLAN de la comunidad) para que sea miembro de interface xe-0/0/11:
[edit interfaces]user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300 - Configure VLAN 300 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/12:
[edit interfaces]user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300 - Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/13:
[edit interfaces]user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400 - Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/14:
[edit interfaces]user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400 - Configure VLAN 50 (la VLAN aislada) para que sea miembro de interface xe-0/0/17:
[edit interfaces]user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Resultados
Compruebe los resultados de la configuración:
user@switch# show
Configuración de un PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 de manera que funcione como el conmutador de distribución de este PVLAN, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 3:
Interfaz xe-0/0/2.0 es un puerto troncal que conecta la PVLAN a otra red.
[edit][edit]set interfaces xe-0/0/0 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/0 unit 0 family ethernet-switching
inter-switch-linkset interfaces xe-0/0/0 unit 0 family ethernet-switching
vlan members 100set interfaces xe-0/0/1 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/1 unit 0 family ethernet-switching
inter-switch-linkset interfaces xe-0/0/1 unit 0 family ethernet-switching
vlan members 100set interfaces xe-0/0/2 unit 0 family ethernet-switching
interface-mode trunkset interfaces xe-0/0/2 unit 0 family ethernet-switching
vlan members 100set vlans pvlan100 vlan-id 100set interfaces irb unit 100 family inet address
192.168.1.1/24set vlans pvlan100 l3-interface irb.100set interfaces irb unit 100 proxy-arp unrestrictedProcedimiento detallado
Para configurar el modificador 3 de modo que funcione como conmutador de distribución de este PVLAN, utilice el siguiente procedimiento:
- Configure la interfaz xe-0/0/0 para que sea un tronco:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk - Configure la interfaz xe-0/0/0 para que sea un vínculo entre conmutadores que lleve todas las redes VLAN:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link - Configure pvlan100 (la VLAN principal) para que sea un miembro de la interfaz xe-0/0/0:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100 - Configure la interfaz xe-0/0/5 para que sea un tronco:
[edit interfaces]user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk - Configure la interfaz xe-0/0/5 para que sea un vínculo entre conmutadores que lleve a todas las VLAN:
[edit interfaces]user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link - Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:
[edit interfaces]user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100 - Configure la interfaz xe-0/0/2 (la interfaz promiscuo) como troncal:
[edit interfaces]user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk - Configure pvlan100 para que sea miembro de la interfaz xe-0/0/2:
[edit interfaces]user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100 - Crear la VLAN principal:
[edit vlans]
set vlans pvlan100 vlan-id 100 - Cree la interfaz irb IRB y asígnele una dirección de la subred utilizada por los dispositivos conectados a los conmutadores 1 y 2:
[edit interfaces]
set irb unit 100 family inet address 192.168.1.1/24Nota Cada dispositivo host que desee conectar en la capa 3 debe estar en la misma subred que la interfaz IRB y utilizar la dirección IP de la interfaz IRB como dirección de puerta de enlace predeterminada.
- Complete la configuración de la interfaz IRB enlazando la interfaz con la pvlan100VLAN principal:
[edit vlans]
set pvlan100 l3-interface irb.100 - Configure ARP de proxy sin restricciones para cada unidad de la interfaz IRB, de modo que la resolución ARP funcione para el tráfico IPv4:
[edit interfaces]
set irb unit 100 proxy-arp unrestrictedNota Dado que los dispositivos en la comunidad y las VLAN aisladas se aíslan en la capa 2, este paso es necesario para permitir que se produzca la resolución ARP entre las VLAN de modo que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. (Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP).
Resultados
Compruebe los resultados de la configuración:
Comproba
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
Finalidad
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensiveVLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia del tronco y los campos de aislamiento entre conmutadores indican que este PVLAN está abarcando más de un conmutador.
Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
Finalidad
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensiveVLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó un PVLAN en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de la comunidad y una VLAN aislada de interconmutadores. La presencia del tronco y los campos de aislamiento entre conmutadores indican que este PVLAN está abarcando más de un conmutador. Cuando compare este resultado con el resultado del conmutador 1, puede ver que ambos conmutadores pertenecen al mismo PVLAN (pvlan100).
Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Finalidad
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensiveVLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que PVLAN (pvlan100) está configurado en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso en PVLAN. Solo se muestran las interfaces troncales que pvlan100 se conectan desde el conmutador 3 a los demás conmutadores (conmutador 1 y 2) del mismo PVLAN.