Exemple : Configuration des réseaux PVLAN avec des ports trunk VLAN secondaires et des ports d’accès de promiscuité sur un commutateur QFX Series
Cet exemple montre comment configurer des ports trunk VLAN secondaires et des ports d’accès de proximité dans le cadre d’une configuration VLAN privée. Les ports trunk VLAN secondaires transportent le trafic VLAN secondaire.
Cet exemple utilise Junos OS pour les commutateurs qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Pour un VLAN privé donné, un port trunk VLAN secondaire ne peut transporter le trafic que pour un seul VLAN secondaire. Toutefois, un port trunk VLAN secondaire peut transporter le trafic de plusieurs VLAN secondaires, à condition que chaque VLAN secondaire soit membre d’un VLAN privé (principal) différent. Par exemple, un port VLAN trunk secondaire peut transporter le trafic d’un VLAN communautaire qui fait partie du VLAN principal pvlan100 et également transporter le trafic d’un VLAN isolé qui fait partie du VLAN principal pvlan400.
Pour configurer un port trunk afin qu’il achemine le trafic VLAN secondaire, utilisez les instructions isolated and interface , comme indiqué dans les étapes 12 et 13 dans l’exemple de configuration du commutateur 1.
Lorsque le trafic sort d’un port trunk VLAN secondaire, il porte normalement la balise du VLAN principal dont le port secondaire est membre. Si vous souhaitez que le trafic sortant d’un port trunk VLAN secondaire conserve sa balise VLAN secondaire, utilisez l’instruction extend-secondary-vlan-id .
Un port d’accès de promiscuité achemine le trafic non balisé et ne peut être membre que d’un seul VLAN principal. Le trafic entrant sur un port d’accès de proximité est redirigé vers les ports des VLAN secondaires membres du VLAN principal dont le port d’accès de proximité est membre. Ce trafic porte les balises VLAN secondaires appropriées lorsqu’il sort des ports VLAN secondaires si le port VLAN secondaire est un port trunk.
Pour configurer un port d’accès afin qu’il soit de promiscuité, utilisez l’instruction de promiscuité , comme illustré à l’étape 12 de l’exemple de configuration du commutateur 2.
Si le trafic pénètre sur un port VLAN secondaire et sort sur un port d’accès de proximité, le trafic sortant n’est pas balisé. Si le trafic balisé pénètre sur un port d’accès de promiscuité, le trafic est ignoré.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux équipements QFX
Junos OS version 12.2 ou ultérieure pour le QFX Series
Vue d’ensemble et topologie
Figure 1 Affiche la topologie utilisée dans cet exemple. Le commutateur 1 comprend plusieurs VLAN privés primaires et secondaires, ainsi que deux ports trunk VLAN secondaires configurés pour transporter des VLAN secondaires membres des VLAN principaux pvlan100 et pvlan400.
Le commutateur 2 inclut les mêmes VLAN privés. La figure montre xe-0/0/0 sur le commutateur 2 tel qu’il est configuré avec des ports d’accès ou des ports trunk de promiscuité. L’exemple de configuration inclus ici configure ce port en tant que port d’accès de promiscuité.
La figure montre également comment le trafic circule après avoir pénétré sur les ports trunk VLAN secondaires du commutateur 1.
Tableau 1 et Tableau 2 répertoriez les paramètres de l’exemple de topologie sur les deux commutateurs.
| Composant | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN communautaire, membre de pvlan100 |
comm600, ID 600 |
VLAN communautaire, membre de pvlan400 |
id-vlan d’isolement 200 |
ID de VLAN pour VLAN isolé, membre de pvlan100 |
isolation – VLAN-ID 500 |
ID VLAN pour VLAN isolé, membre de pvlan400 |
xe-0/0/0.0 |
Port trunk VLAN secondaire pour les VLAN principaux pvlan100 et pvlan400 |
xe-0/0/1.0 |
Port trunk PVLAN pour VLAN principal pvlan100 et pvlan400 |
xe-0/0/2.0 |
Port d’accès isolé pour pvlan100 |
xe-0/0/3.0 |
Port d’accès communautaire pour comm300 |
xe-0/0/5.0 |
Port d’accès isolé pour pvlan400 |
xe-0/0/6.0 |
Port trunk communautaire pour comm600 |
| Composant | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN communautaire, membre de pvlan100 |
comm600, ID 600 |
VLAN communautaire, membre de pvlan400 |
id-vlan d’isolement 200 |
ID de VLAN pour VLAN isolé, membre de pvlan100 |
isolation – VLAN-ID 500 |
ID VLAN pour VLAN isolé, membre de pvlan400 |
xe-0/0/0.0 |
Port d’accès de proximité pour les VLAN principaux pvlan100 |
xe-0/0/1.0 |
Port trunk PVLAN pour VLAN principal pvlan100 et pvlan400 |
xe-0/0/2.0 |
Port trunk secondaire pour VLAN isolé, membre de pvlan100 |
xe-0/0/3.0 |
Port d’accès communautaire pour comm300 |
xe-0/0/5.0 |
Port d’accès isolé pour pvlan400 |
xe-0/0/6.0 |
Port d’accès communautaire pour comm600 |
Configuration des PVLAN sur le commutateur 1
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement les PVLAN sur le commutateur 1, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutateur :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procédure
Procédure étape par étape
Pour configurer les VLAN privés et les ports trunk VLAN secondaires :
Configurez les interfaces et les modes de port :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Créez les VLAN principaux :
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
REMARQUE :Les VLAN principaux doivent toujours être étiquetés VLAN, même s’ils n’existent que sur un seul équipement.
Configurez les VLAN principaux pour qu’ils soient privés :
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configurez le port trunk PVLAN pour qu’il transporte le trafic VLAN privé entre les commutateurs :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Créez un VLAN secondaire comm300 avec l’ID de VLAN 300 :
[edit vlans] user@switch# set comm300 vlan-id 300
Configurez le VLAN principal pour comm300 :
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configurez l’interface pour comm300 :
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Créez un VLAN secondaire comm600 avec l’ID de VLAN 600 :
[edit vlans] user@switch# set comm600 vlan-id 600
Configurez le VLAN principal pour comm600 :
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configurez l’interface pour comm600 :
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configurez les VLAN isolés de l’intercommutateur :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
REMARQUE :Lorsque vous configurez un port trunk VLAN secondaire pour transporter un VLAN isolé, vous devez également configurer un isolation-vlan-id. Et ce, même si le VLAN isolé n’existe que sur un seul commutateur.
Activez le port trunk xe-0/0/0 pour transporter les VLAN secondaires pour les VLAN principaux :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configurez le port trunk xe-0/0/0 pour transporter comm600 (membre de pvlan400) :
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
REMARQUE :Vous n’avez pas besoin de configurer explicitement xe-0/0/0 pour transporter le trafic VLAN isolé (balises 200 et 500), car tous les ports isolés de pvlan100 et pvlan400, y compris xe-0/0/0.0, sont automatiquement inclus dans les VLAN isolés créés lorsque vous avez configuré
isolation-vlan-id 200etisolation-vlan-id 500.Configurez xe-0/0/2 et xe-0/0/6 pour qu’ils soient isolés :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Résultats
Vérifiez les résultats de la configuration sur le commutateur 1 :
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuration des PVLAN sur le commutateur 2
La configuration du commutateur 2 est presque identique à celle du commutateur 1. La différence la plus significative est que xe-0/0/0 sur le commutateur 2 est configuré comme un port trunk de promiscuité ou un port d’accès de promiscuité, comme Figure 1 indiqué. Dans la configuration suivante, xe-0/0/0 est configuré en tant que port d’accès de promiscuité pour le VLAN principal pvlan100.
Si le trafic pénètre sur un port compatible VLAN et sort sur un port d’accès promiscuité, les balises VLAN sont supprimées à la sortie et le trafic n’est plus balisé à ce moment-là. Par exemple, le trafic de comm600 pénètre sur le port trunk VLAN secondaire configuré sur xe-0/0/0.0 sur le commutateur 1 et porte la balise 600 lorsqu’il est transféré via le VLAN secondaire. Lorsqu’il sort de xe-0/0/0.0 sur le commutateur 2, il ne sera pas étiqueté si vous configurez xe-0/0/0.0 comme port d’accès de promiscuité, comme illustré dans cet exemple. Si vous configurez plutôt xe-0/0/0.0 en tant que port trunk de promiscuité (trunk en mode port), le trafic de comm600 porte sa balise VLAN principale (400) lorsqu’il sort.
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement les PVLAN sur le commutateur 2, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutation :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procédure
Procédure étape par étape
Pour configurer les VLAN privés et les ports trunk VLAN secondaires :
Configurez les interfaces et les modes de port :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Créez les VLAN principaux :
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configurez les VLAN principaux pour qu’ils soient privés :
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configurez le port trunk PVLAN pour qu’il transporte le trafic VLAN privé entre les commutateurs :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Créez un VLAN secondaire comm300 avec l’ID de VLAN 300 :
[edit vlans] user@switch# set comm300 vlan-id 300
Configurez le VLAN principal pour comm300 :
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configurez l’interface pour comm300 :
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Créez un VLAN secondaire comm600 avec l’ID de VLAN 600 :
[edit vlans] user@switch# set comm600 vlan-id 600
Configurez le VLAN principal pour comm600 :
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configurez l’interface pour comm600 :
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Configuration des PVLAN sur le commutateur 1
Configurez les VLAN isolés de l’intercommutateur :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configurez le port d’accès xe-0/0/0 pour qu’il soit de promiscuité pour pvlan100 :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
REMARQUE :Un port d’accès de proximité ne peut être membre que d’un seul VLAN principal.
Configurez xe-0/0/2 et xe-0/0/6 pour qu’ils soient isolés :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Résultats
Vérifiez les résultats de la configuration sur le commutateur 2 :
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la création du VLAN privé et du VLAN secondaire
- Vérification des entrées de la table de commutation Ethernet
Vérification de la création du VLAN privé et du VLAN secondaire
But
Vérifiez que le VLAN principal et le VLAN secondaire ont été correctement créés sur le commutateur 1.
Action
Utilisez la show vlans commande :
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Sens
La sortie indique que les VLAN privés ont été créés et identifie les interfaces et les VLAN secondaires qui leur sont associés.
Vérification des entrées de la table de commutation Ethernet
But
Vérifiez que les entrées de la table de commutation Ethernet ont été créées pour le VLAN principal pvlan100.
Action
Affichez les entrées de la table de commutation Ethernet pour pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0