Exemple : Configuration des PVLAN avec des ports de liaison VLAN secondaires et des ports d’accès promis sur un commutateur QFX Series
Cet exemple montre comment configurer des ports de liaison VLAN secondaires et des ports d’accès promis dans le cadre d’une configuration VLAN privée. Les ports de liaison VLAN secondaires transportent le trafic VLAN secondaire.
Cet exemple utilise Junos OS pour les commutateurs qui ne prennent pas en charge le style de configuration ELS (Enhanced Layer 2 Software). Pour en savoir plus sur ELS, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Pour un VLAN privé donné, un port trunk VLAN secondaire peut transporter le trafic d’un seul VLAN secondaire. Toutefois, un port principal VLAN secondaire peut transporter le trafic de plusieurs VLAN secondaires tant que chaque VLAN secondaire est membre d’un VLAN privé (principal). Par exemple, un port principal VLAN secondaire peut transporter le trafic d’un VLAN communautaire qui fait partie du VLAN principal pvlan100 et également transporter le trafic d’un VLAN isolé qui fait partie du VLAN principal pvlan400.
Pour configurer un port trunk pour qu’il transporte le trafic VLAN secondaire, utilisez les instructions et interface les instructions isolées, comme illustré dans les étapes 12 et 13 dans l’exemple de configuration pour le commutateur 1.
Lorsque le trafic s’écarte d’un port principal VLAN, il transporte normalement la balise du VLAN principal dont le port secondaire est membre. Si vous souhaitez que le trafic qui s’écarte d’un port trunk VLAN secondaire conserve sa balise VLAN secondaire, utilisez l’instruction extend-secondaire-vlan-id .
Un port d’accès promis transporte un trafic non marqué et ne peut être membre que d’un seul VLAN principal. Le trafic qui se trouve sur un port d’accès promis est transféré aux ports des VLAN secondaires qui sont membres du VLAN principal dont le port d’accès promis est membre. Ce trafic transporte les balises VLAN secondaires appropriées lorsqu’il s’écarte des ports VLAN secondaires si le port VLAN secondaire est un port trunk.
Pour configurer un port d’accès comme promiscuous, utilisez l’instruction promiscuous , comme illustré à l’étape 12 de l’exemple de configuration pour le commutateur 2.
Si le trafic s’insresse sur un port VLAN secondaire et s’écarte d’un port d’accès promis, le trafic est détaché lors de la sortie. Si le trafic balisé se trouve sur un port d’accès promis, le trafic est jeté.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux équipements QFX
Junos OS Version 12.2 ou ultérieure pour QFX Series
Présentation et topologie
Figure 1 affiche la topologie utilisée dans cet exemple. Le commutateur 1 comprend plusieurs VLAN privés primaires et secondaires, ainsi que deux ports de liaison VLAN secondaire configurés pour transporter des VLAN secondaires membres des VLAN primaires pvlan100 et pvlan400.
Le commutateur 2 comprend les mêmes VLAN privés. La figure montre xe-0/0/0 sur le commutateur 2 comme configuré avec des ports d’accès promiscuous ou des ports de liaison promiscuous. L’exemple de configuration inclus ici configure ce port en tant que port d’accès promis.
La figure montre également comment le trafic circulerait après l’entrée sur les ports de liaison VLAN secondaires sur le commutateur 1.
Tableau 1 et Tableau 2 lister les paramètres de la topologie d’exemple sur les deux commutateurs.
| Composant | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN communautaire, membre de pvlan100 |
comm600, ID 600 |
VLAN communautaire, membre de pvlan400 |
isolation-vlan-id 200 |
ID VLAN pour VLAN isolé, membre de pvlan100 |
isolation –vlan-id 500 |
ID VLAN pour VLAN isolé, membre de pvlan400 |
xe-0/0/0.0 |
Port de liaison VLAN secondaire pour les VLAN primaires pvlan100 et pvlan400 |
xe-0/0/1.0 |
Port d’agrégation PVLAN pour les VLAN primaires pvlan100 et pvlan400 |
xe-0/0/2.0 |
Port d’accès isolé pour pvlan100 |
xe-0/0/3.0 |
Port d’accès communautaire pour comm300 |
xe-0/0/5.0 |
Port d’accès isolé pour pvlan400 |
xe-0/0/6.0 |
Port de liaison communautaire pour comm600 |
| Composant | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN communautaire, membre de pvlan100 |
comm600, ID 600 |
VLAN communautaire, membre de pvlan400 |
isolation-vlan-id 200 |
ID VLAN pour VLAN isolé, membre de pvlan100 |
isolation –vlan-id 500 |
ID VLAN pour VLAN isolé, membre de pvlan400 |
xe-0/0/0.0 |
Port d’accès promis pour les VLAN principaux pvlan100 |
xe-0/0/1.0 |
Port d’agrégation PVLAN pour les VLAN primaires pvlan100 et pvlan400 |
xe-0/0/2.0 |
Port trunk secondaire pour VLAN isolé, membre de pvlan100 |
xe-0/0/3.0 |
Port d’accès communautaire pour comm300 |
xe-0/0/5.0 |
Port d’accès isolé pour pvlan400 |
xe-0/0/6.0 |
Port d’accès communautaire pour comm600 |
Configuration des PVLAN sur le commutateur 1
Configuration rapide cli
Pour créer et configurer rapidement les PVLAN sur le commutateur 1, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutation :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procédure
Procédure étape par étape
Pour configurer les VLAN privés et les ports de liaison VLAN secondaires :
Configurez les interfaces et les modes de port :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Créez les VLAN principaux :
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
REMARQUE :Les VLAN principaux doivent toujours être balisés VLAN, même s’ils n’existent que sur un seul équipement.
Configurez les VLAN principaux pour qu’ils soient privés :
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configurez le port d’agrégation PVLAN pour transporter le trafic VLAN privé entre les commutateurs :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Créez une communication VLAN secondaire300 avec vLAN ID 300 :
[edit vlans] user@switch# set comm300 vlan-id 300
Configurez le VLAN principal pour comm300 :
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configurez l’interface pour comm300 :
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Créez une communication VLAN secondaire600 avec vLAN ID 600 :
[edit vlans] user@switch# set comm600 vlan-id 600
Configurez le VLAN principal pour comm600 :
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configurez l’interface pour comm600 :
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configurez les VLAN isolés du commutateur :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
REMARQUE :Lorsque vous configurez un port VLAN trunk secondaire pour transporter un VLAN isolé, vous devez également configurer un isolation-vlan-id. Cela est vrai même si le VLAN isolé n’existe que sur un seul commutateur.
Activez le port trunk xe-0/0 pour transporter des VLAN secondaires pour les VLAN primaires :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configurez le port trunk xe-0/0 pour transporter comm600 (membre de pvlan400) :
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
REMARQUE :Vous n’avez pas besoin de configurer explicitement xe-0/0 pour transporter le trafic VLAN isolé (balises 200 et 500), car tous les ports isolés de pvlan100 et pvlan400 (y compris xe-0/0/0.0) sont automatiquement inclus dans les VLAN isolés créés lorsque vous configurez
isolation-vlan-id 200etisolation-vlan-id 500.Configurez xe-0/0/2 et xe-0/0/6 pour être isolés :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Résultats
Vérifiez les résultats de la configuration sur le commutateur 1 :
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuration des PVLAN sur le commutateur 2
La configuration du commutateur 2 est presque identique à celle du commutateur 1. La différence la plus significative est que xe-0/0 sur le commutateur 2 est configuré en tant que port d’accès promiscuous ou comme port d’accès promis, comme Figure 1 le montre le montre. Dans la configuration suivante, xe-0/0 est configuré comme port d’accès promis pour le VLAN principal pvlan100.
Si le trafic s’insresse sur un port compatible VLAN et qu’il se détache d’un port d’accès promis, les balises VLAN sont abandonnées lors de la sortie et le trafic est non identifié à cet endroit. Par exemple, le trafic pour comm600 ingresses sur le port central VLAN secondaire configuré sur xe-0/0/0.0 sur le commutateur 1 et transporte l’étiquette 600 au fur et à mesure qu’il est transféré par le VLAN secondaire. Lorsqu’il s’écarte de xe-0/0/0.0 sur le commutateur 2, il sera décollé si vous configurez xe-0/0/0.0 comme port d’accès promis comme illustré dans cet exemple. Si vous configurez plutôt xe-0/0/0.0 en tant que port d’agrégation promiscuous (port-mode trunk), le trafic de comm600 transporte sa balise VLAN principale (400) lorsqu’il s’écarte.
Configuration rapide cli
Pour créer et configurer rapidement les PVLAN sur le commutateur 2, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutation :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procédure
Procédure étape par étape
Pour configurer les VLAN privés et les ports de liaison VLAN secondaires :
Configurez les interfaces et les modes de port :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Créez les VLAN principaux :
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configurez les VLAN principaux pour qu’ils soient privés :
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configurez le port d’agrégation PVLAN pour transporter le trafic VLAN privé entre les commutateurs :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Créez une communication VLAN secondaire300 avec vLAN ID 300 :
[edit vlans] user@switch# set comm300 vlan-id 300
Configurez le VLAN principal pour comm300 :
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configurez l’interface pour comm300 :
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Créez une communication VLAN secondaire600 avec vLAN ID 600 :
[edit vlans] user@switch# set comm600 vlan-id 600
Configurez le VLAN principal pour comm600 :
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configurez l’interface pour comm600 :
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
Configurez les VLAN isolés du commutateur :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configurez le port d’accès xe-0/0 pour qu’il soit promis pour pvlan100 :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
REMARQUE :Un port d’accès promis peut être membre d’un seul VLAN principal.
Configurez xe-0/0/2 et xe-0/0/6 pour être isolés :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Résultats
Vérifiez les résultats de la configuration sur le commutateur 2 :
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérifier que le VLAN privé et les VLAN secondaires ont été créés
- Vérification des entrées des tables de commutation Ethernet
Vérifier que le VLAN privé et les VLAN secondaires ont été créés
But
Vérifiez que le VLAN principal et les VLAN secondaires ont été correctement créés sur le commutateur 1.
Action
Utilisez la show vlans commande :
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Sens
La sortie montre que les VLAN privés ont été créés et identifie les interfaces et les VLAN secondaires associés.
Vérification des entrées des tables de commutation Ethernet
But
Vérifiez que les entrées de table de commutation Ethernet ont été créées pour le VLAN principal pvlan100.
Action
Affiche les entrées de table de commutation Ethernet pour pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0