configuration du balisage VLAN
Les LAN virtuels (VLAN) permettent aux architectes réseau de segmenter les LAN en différents domaines de diffusion en fonction de regroupements logiques. La rubrique ci-dessous décrit la configuration des VLAN balisés, des ID de VLAN et des types d’interfaces Ethernet pris en charge sur les pare-feu SRX Series.
Comprendre les réseaux locaux virtuels
Un LAN est un domaine de diffusion unique. Lorsque le trafic est diffusé, tous les hôtes du réseau local le reçoivent. Un LAN est déterminé par la connectivité physique des appareils au sein du domaine.
Dans un réseau local traditionnel, les hôtes sont connectés par un concentrateur ou un répéteur qui propage tout trafic entrant sur l’ensemble du réseau. Chaque hôte et ses concentrateurs de connexion ou répéteurs constituent un segment LAN. Les segments LAN sont connectés via des commutateurs et des ponts pour former le domaine de diffusion du LAN. La figure 1 illustre une topologie LAN typique.
typique
Les LAN virtuels (VLAN) permettent aux architectes réseau de segmenter les LAN en différents domaines de diffusion en fonction de regroupements logiques. Étant donné que les regroupements sont logiques, les domaines de diffusion ne sont pas déterminés par la connectivité physique des périphériques du réseau. Les hôtes peuvent être regroupés selon une fonction logique, afin de limiter le trafic diffusé au sein du VLAN aux seuls périphériques auxquels le trafic est destiné.
Supposons qu’un réseau d’entreprise repose sur trois grandes organisations : l’ingénierie, les ventes et le support. À l’aide du balisage VLAN, les hôtes de chaque organisation peuvent être marqués avec un identifiant VLAN différent. Le trafic envoyé au domaine de diffusion est ensuite comparé à l’identifiant VLAN et diffusé uniquement sur les appareils du VLAN approprié. La figure 2 illustre une topologie VLAN typique.
typique
Voir aussi
ID VLAN et types d’interfaces Ethernet pris en charge sur les équipements SRX Series
Le Tableau 1 répertorie les plages d’ID VLAN par type d’interface pris en charge sur les pare-feu SRX Series :
Type d’interface |
Type d’interface Plage d’ID VLAN |
|---|---|
2 ports 10 Gigabit Ethernet |
1 à 4094 |
10 Gigabit Ethernet |
1 à 4094 |
16 ports Gigabit Ethernet |
1 à 4094 |
24 ports Gigabit Ethernet |
1 à 4094 |
Ethernet agrégé pour Fast Ethernet |
1 à 1023 |
Agréger Ethernet pour Gigabit Ethernet |
1 à 4094 |
Gigabit Ethernet |
1 à 4094 |
Interfaces Ethernet internes et de gestion |
1 à 1023 |
Sur les équipements SRX210, SRX220, SRX240, SRX320 et SRX340, sur les Mini-PIM SFP 1-GE, l’ID de VLAN 4093 appartient à la plage d’adresses VLAN réservée. (La prise en charge de la plate-forme dépend de la version de Junos OS de votre installation.) Pour cette raison, vous ne pourrez pas configurer l’ID de VLAN à partir de cette plage.
Voir aussi
configuration du balisage VLAN
Vous pouvez configurer des périphériques SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550HM pour recevoir et transférer des trames à balise unique, des trames à balise double ou un mélange de trames à balise unique et à double balise.
Voir le tableau 2 pour les VLAN flexibles.
| Nombre de balises | ID VLAN |
|---|---|
0 (non étiqueté) |
Indigène |
1 (étiqueté) |
Célibataire |
2 (double balisage) |
Double |
Cette rubrique comprend les sections suivantes :
- configuration du tramage à balise unique
- Configuration du double balisage
- Configuration du balisage mixte
- Configuration de la prise en charge du balisage mixte pour les paquets non étiquetés
configuration du tramage à balise unique
Pour configurer un périphérique afin qu’il reçoive et transmette des trames à balise unique avec des balises VLAN 802.1Q, incluez l’instruction suivante vlan-tagging au niveau de la [edit interfaces interface-name] hiérarchie :
[edit interfaces interface-name] vlan-tagging;
SRX5400, SRX5600 et SRX5800 ne prennent en charge que le tramage à balise unique.
Configuration du double balisage
Pour configurer l’appareil afin qu’il reçoive et transmette des trames à double balise avec des balises VLAN 802.1Q, incluez l’instruction suivante flexible-vlan-tagging au niveau de la [edit interfaces interface-name] hiérarchie :
[edit interfaces interface-name] flexible-vlan-tagging;
Configuration du balisage mixte
Le balisage mixte est pris en charge sur les interfaces Ethernet des périphériques SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550HM. Le balisage mixte vous permet de configurer deux interfaces logiques sur le même port Ethernet, l’une avec un tramage à une balise et l’autre avec un tramage à deux balises.
Pour configurer le balisage mixte, incluez l’instruction flexible-vlan-tagging au niveau de la [edit interfaces ge-fpc/pic/port ] hiérarchie. Vous devez également inclure l’instruction vlan-tags avec inner et outer options ou l’instruction vlan-id au niveau de la [edit interfaces ge-fpc/pic/port unit logical-unit-number] hiérarchie :
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
Lorsque vous configurez la MTU de l’interface physique pour le balisage mixte, vous devez augmenter la MTU à 4 octets de plus que la valeur MTU que vous configureriez pour une interface standard avec balisage VLAN.
Par exemple, si la valeur MTU est configurée pour être 1018 sur une interface balisée VLAN, la valeur MTU sur une interface balisée VLAN flexible doit être 1022, soit 4 octets de plus. Les 4 octets supplémentaires permettent l’ajout futur d’une configuration de balises VLAN empilées sur la même interface physique.
L’exemple suivant configure le balisage mixte. Les interfaces logiques à double et à balise unique se trouvent sous la même interface physique :
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
Configuration de la prise en charge du balisage mixte pour les paquets non étiquetés
Vous pouvez configurer la prise en charge du balisage mixte pour les paquets non étiquetés sur un port. Les paquets non étiquetés sont acceptés sur le même port mixte étiqueté VLAN. Pour accepter des paquets non étiquetés, incluez l’instruction native-vlan-id et l’instruction flexible-vlan-tagging au niveau de la [edit interfaces interface-name] hiérarchie :
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
Le n’est flexible-vlan-tagging pris en charge qu’avec l’absence d’encapsulation ou l’encapsulation VLAN VPLS.
L’interface logique sur laquelle les paquets non étiquetés doivent être reçus doit être configurée avec le même ID VLAN natif que celui configuré sur l’interface physique. Pour configurer l’interface logique, incluez l’instruction vlan-id (correspondant à l’instruction native-vlan-id sur l’interface physique) au niveau de la [edit interfaces interface-name unit logical-unit-number] hiérarchie.
L’exemple suivant configure des paquets non étiquetés à mapper à l’unité logique numéro 0 :
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}