Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: La configuration de réseaux PVLAN avec des ports d’accès VLAN secondaires et des ports d’accès promiscuous sur QFX Series commutateur

Cet exemple montre comment configurer les ports d’accès secondaires et les ports d’accès promiscuous dans le cadre d’une configuration VLAN privée. Les ports d’trunk du VLAN secondaire transportent le trafic VLAN secondaire.

Remarque :

Cet exemple utilise des Junos OS commutateurs qui ne sont pas prend en charge le style de configuration ELS (Enhanced Layer 2 Software). Pour en savoir plus sur ELS, consultez le site Using the Enhanced Layer 2 Software CLI.

Pour un VLAN privé donné, un port d’trunk VLAN secondaire peut transporter du trafic pour un seul VLAN secondaire. Toutefois, un port d’trunk du VLAN secondaire peut transporter le trafic de plusieurs réseaux VLAN secondaires tant que chaque VLAN secondaire est membre d’un VLAN privé (principal) différent. Par exemple, un port d’trunk du VLAN secondaire peut transporter le trafic d’un VLAN communautaire intégré au VLAN principal pvlan100 et transporter le trafic pour un VLAN isolé faisant partie du pvlan400 VLAN principal.

Pour configurer un port d’trunk pour transporter isolated le trafic VLAN secondaire, utilisez les instructions et l’isolement, comme illustré en étapes et de l’exemple de configuration du commutateur interface1213 1.

Remarque :

Lorsque le trafic pare-feu est en provenance d’un port d’trunk du VLAN secondaire, il transporte normalement la balise du VLAN principal dont est membre le port secondaire. Si vous souhaitez que le trafic utilisé à partir d’un port d’trunk du VLAN secondaire conserve sa balise VLAN secondaire, utilisez l’énoncé « extend-secondary-vlan-id ».

Un port d’accès promiscuous transporte du trafic non-autorisé et ne peut être membre que d’un seul VLAN principal. Le trafic qui s’ingresse sur un port d’accès promiscuous est transmis aux ports des réseaux VLAN secondaires membres du VLAN principal dont le port d’accès est promiscueux. Ce trafic transporte les étiquettes VLAN secondaires appropriées lorsqu’il est par ex. des ports VLAN secondaires si le port VLAN secondaire est un port d’tronc.

Pour configurer un port d’accès promiscuous, utilisez l’énoncé promiscuous, comme illustré à l’étape de la configuration de l’exemple pour le commutateur 12 2.

Si le trafic s’ingique sur un port VLAN secondaire et s’illustre sur un port d’accès promiscuous, le trafic n’est pas pris en retard lors de la sortie. Si les ingresses de trafic balisé sont sur un port d’accès promiscuous, le trafic est éliminé.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Deux équipements QFX

  • Junos OS version 12.2 ou ultérieure pour la version QFX Series

Présentation et topologie

Figure 1 montre la topologie utilisée dans cet exemple. Le commutateur 1 comprend plusieurs réseaux VLAN privés principaux et secondaires et comprend également deux ports d’trunk VLAN secondaires configurés pour transporter des réseaux VLAN secondaires membres de VLAN principaux pvlan100 et pvlan400.

Le commutateur 2 comprend les mêmes VLAN privés. Le chiffre affiche xe-0/0/0 sur le commutateur 2 tel que configuré avec des ports d’accès promiscuous ou des ports d’tronc promiscuous. La configuration d’exemple incluse ici configure ce port comme un port d’accès promiscuous.

Ce chiffre indique également le flux du trafic après son entrée sur les ports d’trunk VLAN secondaires du commutateur 1.

Figure 1 : Topologie PVLAN avec ports d’accès VLAN secondaires et port d’accès promiscuousTopologie PVLAN avec ports d’accès VLAN secondaires et port d’accès promiscuous

Tableau 1 et Tableau 2 énumérer les paramètres de topologie des deux commutateurs.

Tableau 1 : Composants de la topologie pour la configuration d’un tronc de VLAN secondaire sur le commutateur 1
Composant Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN communautaire, membre du pvlan100

comm600, ID 600

VLAN communautaire, membre du pvlan400

isolation-vlan-id 200

ID VLAN pour VLAN isolé, membre du pvlan100

isolation–vlan-id 500

ID VLAN pour VLAN isolé, membre du pvlan400

xe-0/0/0.0

Port d’trunk du VLAN secondaire pour les réseaux VLAN principaux pvlan100 et pvlan400

xe-0/0/1.0

Port d’tronc PVLAN pour les réseaux VLAN principaux pvlan100 et pvlan400

xe-0/0/2.0

Port d’accès isolé pour pvlan100

xe-0/0/3.0

Port d’accès communautaire pour comm300

xe-0/0/5.0

Port d’accès isolé pour pvlan400

xe-0/0/6.0

Port d’trunk de la communauté pour comm600

Tableau 2 : Composants de la topologie pour la configuration d’un tronc de VLAN secondaire sur le commutateur 2
Composant Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN communautaire, membre du pvlan100

comm600, ID 600

VLAN communautaire, membre du pvlan400

isolation-vlan-id 200

ID VLAN pour VLAN isolé, membre du pvlan100

isolation–vlan-id 500

ID VLAN pour VLAN isolé, membre du pvlan400

xe-0/0/0.0

Port d’accès promiscuous pour les réseaux VLAN principaux pvlan100

xe-0/0/1.0

Port d’tronc PVLAN pour les réseaux VLAN principaux pvlan100 et pvlan400

xe-0/0/2.0

Port d’tronc secondaire pour VLAN isolé, membre du pvlan100

xe-0/0/3.0

Port d’accès communautaire pour comm300

xe-0/0/5.0

Port d’accès isolé pour pvlan400

xe-0/0/6.0

Port d’accès communautaire pour comm600

Configuration des PVLANs sur le commutateur 1

CLI configuration rapide

Pour créer et configurer rapidement les PVLAN du commutateur 1, copiez les commandes suivantes et collez-les dans une fenêtre de borne du commutateur:

Procédure

Procédure étape par étape

Pour configurer les VLAN privés et les ports d’trunk du VLAN secondaire:

  1. Configurez les interfaces et les modes de port:

  2. Création des principaux VLANs:

    Remarque :

    Les réseaux VLA principaux doivent toujours être balisé les VLANs, même s’ils existent sur un seul équipement.

  3. Configurez les VLAN principaux comme privés:

  4. Configurez le port d’trunk PVLAN pour transporter le trafic VLAN privé entre les commutateurs:

  5. Créez un réseau VLAN secondaire comm300 avec ID VLAN 300:

  6. Configurez le VLAN principal pour comm300:

  7. Configurez l’interface pour comm300:

  8. Création d’un VLAN secondaire comm600 avec ID VLAN 600:

  9. Configurez le VLAN principal pour comm600:

  10. Configurez l’interface pour comm600:

  11. Configurez les réseaux VLAN isolés entre interconnexions:

    Remarque :

    Lorsque vous configurez un port d’trunk VLAN secondaire pour transporter un VLAN isolé, vous devez également configurer une isolation-vlan-id. Cela est vrai même si le VLAN isolé n’existe qu’sur un seul commutateur.

  12. Activer le port d’trunk xe-0/0/0 pour transporter des VLAN secondaires pour les VLAN principaux:

  13. Configurer le port d’trunk xe-0/0/0 pour transporter comm600 (membre du pvlan400):

    Remarque :

    Il n’est pas nécessaire de configurer xe-0/0/0 pour transporter le trafic VLAN isolé (balises 200 et 500) car tous les ports isolés du pvlan100 et pvlan400 (y compris xe-0/0/0.0– sont automatiquement inclus dans les VLAN isolés créés lors de votre configuration et isolation-vlan-id 200isolation-vlan-id 500 .

  14. Configurez xe-0/0/2 et xe-0/0/6 pour être isolé:

Résultats

Consultez les résultats de la configuration sur le commutateur 1:

Configuration des PVLANs sur le commutateur 2

La configuration du commutateur 2 est pratiquement identique à celle du commutateur 1. La différence la plus importante est que xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès promiscuous ou comme port d’accès promiscuous, comme le montre Figure 1 la différence. Dans la configuration suivante, xe-0/0/0 est configuré en tant que port d’accès promiscuous pour le VLAN pvlan100 principal.

Si les étiquettes de trafic sont abandonnées au niveau du port VLAN et si elles sont par exemple sur un port d’accès promiscuous, les balises VLAN sont abandonnées au moment de la sortie et le trafic n’est pas pris en retard à ce stade. Par exemple, le trafic des resses comm600 sur le port d’trunk VLAN secondaire configuré sur xe-0/0/0.0 sur le commutateur 1 et transporte la balise 600 lors de son transfert par le biais du VLAN secondaire. Lorsque le commutateur xe-0/0/0.0 est par exemple configuré par exemple xe-0/0.0 sur le commutateur 2, vous ne pouvez pas le faire si vous configurez xe-0/0/0.0 comme port d’accès difficile, comme illustré dans cet exemple. Si vous configurez plutôt xe-0/0/0.0 en tant que port d’tronc promiscuous (tronc en mode de port), le trafic de comm600 transporte sa balise VLAN principale (400) lorsqu’il est par exemple configuré.

CLI configuration rapide

Pour créer et configurer rapidement les PVLAN du commutateur 2, copiez les commandes suivantes et collez-les dans une fenêtre de borne de commuter:

Procédure

Procédure étape par étape

Pour configurer les VLAN privés et les ports d’trunk du VLAN secondaire:

  1. Configurez les interfaces et les modes de port:

  2. Création des principaux VLANs:

  3. Configurez les VLAN principaux comme privés:

  4. Configurez le port d’trunk PVLAN pour transporter le trafic VLAN privé entre les commutateurs:

  5. Créez un réseau VLAN secondaire comm300 avec ID VLAN 300:

  6. Configurez le VLAN principal pour comm300:

  7. Configurez l’interface pour comm300:

  8. Création d’un VLAN secondaire comm600 avec ID VLAN 600:

  9. Configurez le VLAN principal pour comm600:

  10. Configurez l’interface pour comm600:

  11. Configurez les réseaux VLAN isolés entre interconnexions:

  12. Configurer le port d’accès xe-0/0/0 comme promiscuous pour pvlan100:

    Remarque :

    Un port d’accès promiscuous peut être membre d’un seul VLAN principal.

  13. Configurez xe-0/0/2 et xe-0/0/6 pour être isolé:

Résultats

Consultez les résultats de la configuration sur le commutateur 2:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création d’un VLAN privé et de réseaux VLAN secondaires

But

Vérifiez que les VLAN principaux et les VLAN secondaires ont été correctement créés sur le commutateur 1.

Action

Utilisez la show vlans commande:

Sens

Le résultat indique que des VLA privés ont été créés et identifie les interfaces et les réseaux VLA secondaires qui y sont associés.

Vérification des entrées de la table de commutation Ethernet

But

Vérifiez que les entrées de la table de commutation Ethernet ont été créées pour le VLAN pvlan100 principal.

Action

Afficher les entrées de la table de commutation Ethernet pour le pvlan100.