Comprendre les VLAN privés
Les VLAN limitent les diffusions à des utilisateurs spécifiés. Les VLAN privés (PVLAN) poussent ce concept encore plus loin en limitant les communications au sein d’un VLAN. Pour ce faire, les PVLAN restreignent les flux de trafic via leurs ports de commutateurs membres (appelés ports privés) afin que ces ports communiquent uniquement avec un port trunk de liaison montante spécifié ou avec des ports spécifiés au sein du même VLAN. Le port trunk de liaison montante ou groupe d’agrégation de liens (LAG) est généralement connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. Chaque PVLAN contient généralement de nombreux ports privés qui ne communiquent qu’avec un seul port de liaison montante, empêchant ainsi les ports de communiquer entre eux.
Les PVLAN fournissent une isolation de couche 2 entre les ports d’un VLAN, divisant un domaine de diffusion en plusieurs sous-domaines de diffusion discrets en créant des VLAN secondaires (VLAN communautaires et VLAN isolé ) à l’intérieur d’un VLAN principal. Les ports d’un même VLAN communautaire peuvent communiquer entre eux. Les ports d’un VLAN isolé ne peuvent communiquer qu’avec un seul port de liaison montante.
Tout comme les VLAN classiques, les PVLAN sont isolés sur la couche 2 et nécessitent l’une des options suivantes pour acheminer le trafic de couche 3 entre les VLAN secondaires :
Une connexion portuaire délicate avec un routeur
Une interface VLAN routée (RVI)
Pour acheminer le trafic de couche 3 entre des VLAN secondaires, un PVLAN n’a besoin que d’une seule des options mentionnées ci-dessus. Si vous utilisez un RVI, vous pouvez toujours implémenter une connexion de port de promiscuité à un routeur avec le port de promiscuité configuré pour gérer uniquement le trafic entrant et sortant du PVLAN.
Les PVLAN sont utiles pour restreindre le flux de trafic de diffusion et de monodiffusion inconnu et pour limiter la communication entre les hôtes connus. Les fournisseurs de services utilisent des réseaux PVLAN pour isoler leurs clients les uns des autres. Une autre utilisation typique d’un PVLAN est de fournir un accès Internet par chambre dans un hôtel.
Vous pouvez configurer un PVLAN pour qu’il s’étende sur des commutateurs qui prennent en charge des PVLAN.
Cette rubrique explique les concepts suivants concernant les réseaux PVLAN sur les commutateurs EX Series :
Avantages des réseaux PVLAN
La nécessité de séparer un seul VLAN est particulièrement utile dans les scénarios de déploiement suivants :
Batteries de serveurs : un fournisseur d’accès à Internet classique utilise une batterie de serveurs pour fournir un hébergement Web à de nombreux clients. La localisation des différents serveurs au sein d’une même batterie de serveurs facilite la gestion. Des problèmes de sécurité peuvent être posés si tous les serveurs se trouvent dans le même VLAN, car les diffusions de couche 2 sont envoyées à tous les serveurs du VLAN.
Réseaux Ethernet métropolitains : un fournisseur de services métropolitains offre un accès Ethernet de couche 2 à divers logements, communautés locatives et entreprises. La solution traditionnelle consistant à déployer un VLAN par client n’est pas évolutive et est difficile à gérer, ce qui peut entraîner un gaspillage d’adresses IP. Les PVLAN offrent une solution plus sûre et plus efficace.
Structure type et application principale des PVLAN
Un PVLAN peut être configuré sur un seul commutateur ou peut être configuré pour s’étendre sur plusieurs commutateurs. Les types de domaines et de ports sont les suivants :
VLAN principal : le VLAN principal du PVLAN est défini avec une balise 802.1Q (ID de VLAN) pour le VLAN complet. Le PVLAN principal peut contenir plusieurs VLAN secondaires (un VLAN isolé et plusieurs VLAN communautaires).
VLAN isolé/port isolé : un VLAN principal ne peut contenir qu’un seul VLAN isolé. Une interface au sein d’un VLAN isolé ne peut transmettre des paquets qu’à un port de proximité ou au port ISL (Inter-Switch Link). Une interface isolée ne peut pas transmettre de paquets à une autre interface isolée ; et une interface isolée ne peut pas recevoir de paquets d’une autre interface isolée. Si un périphérique client doit avoir accès uniquement à un routeur de passerelle, il doit être connecté à un port trunk isolé.
VLAN communautaire/port communautaire : vous pouvez configurer plusieurs VLAN communautaires au sein d’un seul PVLAN. Une interface au sein d’un VLAN communautaire spécifique peut établir des communications de couche 2 avec toute autre interface appartenant au même VLAN communautaire. Une interface au sein d’un VLAN communautaire peut également communiquer avec un port de proximité ou le port ISL. Si, par exemple, vous avez deux appareils client que vous devez isoler des autres appareils client, mais qui doivent pouvoir communiquer entre eux, utilisez les ports communautaires.
Port de promiscuité : un port de promiscuité a des communications de couche 2 avec toutes les interfaces du PVLAN, qu’une interface appartienne à un VLAN isolé ou à un VLAN communautaire. Un port de promiscuité est membre du VLAN principal, mais n’est inclus dans aucun sous-domaine secondaire. Les passerelles de couche 3, les serveurs DHCP et les autres équipements de confiance qui doivent communiquer avec les terminaux sont généralement connectés à un port de promiscuité.
Liaison intercommutateurs (ISL) : une ISL est un port trunk qui connecte plusieurs commutateurs dans un PVLAN et contient deux VLAN ou plus. Elle n’est requise que lorsqu’un PVLAN s’étend sur plusieurs commutateurs.
Le PVLAN configuré est le domaine principal (VLAN principal). Dans le PVLAN, vous configurez les VLAN secondaires , qui deviennent des sous-domaines imbriqués dans le domaine principal. Un PVLAN peut être configuré sur un seul commutateur ou peut être configuré pour s’étendre sur plusieurs commutateurs. Le PVLAN illustré ci-dessous Figure 1 comprend deux commutateurs, avec un domaine PVLAN principal et plusieurs sous-domaines.
Comme illustré à Figure 3la , un PVLAN n’a qu’un seul domaine principal et plusieurs domaines secondaires. Les types de domaines sont les suivants :
VLAN principal : VLAN utilisé pour transférer les trames en aval vers des VLAN isolés et communautaires. Le VLAN principal du PVLAN est défini par une balise 802.1Q (ID de VLAN) pour le PVLAN complet. Le PVLAN principal peut contenir plusieurs VLAN secondaires (un VLAN isolé et plusieurs VLAN communautaires).
VLAN isolé secondaire : VLAN qui reçoit les paquets uniquement du VLAN principal et transfère les trames en amont vers le VLAN principal. Le VLAN isolé est un VLAN secondaire imbriqué dans le VLAN principal. Un VLAN principal ne peut contenir qu’un seul VLAN isolé. Une interface au sein d’un VLAN isolé (Isolated Interface) ne peut transmettre des paquets qu’à un port de proximité ou au port trunk PVLAN. Une interface isolée ne peut pas transmettre de paquets à une autre interface isolée ; Une interface isolée ne peut pas non plus recevoir de paquets d’une autre interface isolée. Si un appareil client doit avoir accès uniquement à un routeur, il doit être connecté à un port trunk isolé.
VLAN isolé d’intercommutateur secondaire : VLAN utilisé pour transférer le trafic VLAN isolé d’un commutateur à un autre via des ports trunk PVLAN. Les balises 802.1Q sont requises pour les VLAN isolés entre commutateurs, car la norme IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un périphérique d’agrégation insère un onglet d’identification de trame VLAN de 4 octets dans l’en-tête du paquet. Un VLAN isolé par intercommutateur est un VLAN secondaire imbriqué dans le VLAN principal.
VLAN de communauté secondaire : VLAN utilisé pour transporter des trames entre les membres d’une communauté (un sous-ensemble d’utilisateurs au sein du VLAN) et pour transférer des trames en amont vers le VLAN principal. Un VLAN communautaire est un VLAN secondaire imbriqué dans le VLAN principal. Vous pouvez configurer plusieurs VLAN communautaires au sein d’un même PVLAN. Une interface au sein d’un VLAN communautaire spécifique peut établir des communications de couche 2 avec toute autre interface appartenant au même VLAN communautaire. Une interface au sein d’un VLAN communautaire peut également communiquer avec un port de proximité ou le port trunk PVLAN.
Figure 2montre un PVLAN s’étendant sur plusieurs commutateurs, où le VLAN principal () contient deux domaines (300 communautaires et100400 ) et un domaine isolé d’intercommutateurs.
Les VLAN principal et secondaire sont pris en compte dans la limite de 4 089 VLAN pris en charge sur le QFX Series. Par exemple, chaque VLAN est pris en Figure 2 compte dans cette limite.
Structure type et application principale des réseaux PVLAN sur les routeurs MX Series
Le PVLAN configuré devient le domaine principal et les VLAN secondaires deviennent des sous-domaines imbriqués à l’intérieur du domaine principal. Un PVLAN peut être créé sur un seul routeur. Le PVLAN illustré en Figure 3 comprend un routeur, avec un domaine PVLAN principal et plusieurs sous-domaines secondaires.
Les types de domaines sont les suivants :
VLAN principal : VLAN utilisé pour transférer les trames en aval vers des VLAN isolés et communautaires.
VLAN isolé secondaire : VLAN qui reçoit les paquets uniquement du VLAN principal et transfère les trames en amont vers le VLAN principal.
VLAN isolé d’intercommutateur secondaire : VLAN utilisé pour transférer le trafic VLAN isolé d’un routeur à un autre via des ports trunk PVLAN.
VLAN communautaire secondaire : VLAN utilisé pour transporter des trames entre les membres d’une communauté, qui est un sous-ensemble d’utilisateurs au sein du VLAN, et pour transférer des trames en amont vers le VLAN principal.
Les PVLAN sont pris en charge sur les routeurs MX80, MX240, MX480 et MX960 avec DPC en mode LAN amélioré, sur les routeurs MX Series avec PIC1, MPC2 et Adaptive Services.
Structure type et application principale des réseaux PVLAN sur les commutateurs EX Series
Le VLAN principal du PVLAN est défini par une balise 802.1Q (ID de VLAN) pour le PVLAN complet. Sur les commutateurs EX9200, chaque VLAN secondaire doit également être défini avec son propre ID de VLAN distinct.
Figure 4 montre un PVLAN sur un seul commutateur, où le VLAN principal (VLAN 100) contient deux VLAN communautaires (VLAN 300 et VLAN 400) et un VLAN isolé (VLAN 50).
Figure 5 montre un PVLAN s’étendant sur plusieurs commutateurs, où le VLAN principal (VLAN 100) contient deux VLAN communautaires (VLAN 300 et VLAN 400) et un VLAN isolé (VLAN 200). Elle montre également que les commutateurs 1 et 2 sont connectés via une liaison intercommutateur (liaison trunk PVLAN).
En outre, les PVLAN indiqués dans Figure 4 et Figure 5 utilisent un port de promiscuité connecté à un routeur pour acheminer le trafic de couche 3 entre les VLAN communautaires et isolés. Au lieu d’utiliser le port de promiscuité connecté à un routeur, vous pouvez configurer un RVI sur le commutateur en entrée Figure 4 ou sur l’un des commutateurs illustrés à Figure 5 (sur certains commutateurs EX).
Pour acheminer le trafic de couche 3 entre des VLAN isolés et communautaires, vous devez soit connecter un routeur à un port de proximité (comme illustré dans Figure 4 et Figure 5), soit configurer un RVI.
Si vous choisissez l’option RVI, vous devez configurer un RVI pour le VLAN principal dans le domaine PVLAN. Ce RVI dessert l’ensemble du domaine PVLAN, que celui-ci comprenne un ou plusieurs commutateurs. Une fois que vous avez configuré le RVI, les paquets de couche 3 reçus par les interfaces VLAN secondaires sont mappés et acheminés par le RVI.
Lors de la configuration du RVI, vous devez également activer le protocole ARP (Address Resolution Protocol) proxy afin que le RVI puisse gérer les demandes ARP reçues par les interfaces VLAN secondaires.
Pour plus d’informations sur la configuration des réseaux PVLAN sur un ou sur plusieurs commutateurs, reportez-vous à la section Création d’un VLAN privé sur un seul commutateur EX Series (procédure CLI). Pour plus d’informations sur la configuration d’un RVI, reportez-vous à la section Configuration d’une interface VLAN routée dans un VLAN privé sur un commutateur EX Series.
Routage entre les VLAN isolés et les VLAN communautaires
Pour acheminer le trafic de couche 3 entre un VLAN isolé et un VLAN communautaire, vous devez connecter un routeur ou un commutateur externe à un port trunk du VLAN principal. Le port trunk du VLAN principal est un port de promiscuité ; par conséquent, il peut communiquer avec tous les ports du PVLAN.
Les PVLAN utilisent des balises 802.1Q pour identifier les paquets
Lorsque les paquets sont marqués d’une balise 802.1Q spécifique au client, cette balise identifie la propriété des paquets pour tout commutateur ou routeur du réseau. Parfois, des balises 802.1Q sont nécessaires dans les PVLAN pour assurer le suivi des paquets provenant de différents sous-domaines. Tableau 1 indique quand une balise VLAN 802.1Q est nécessaire sur le VLAN principal ou sur les VLAN secondaires.
| sur un seul commutateur | Sur plusieurs commutateurs | |
|---|---|---|
| VLAN principal | Spécifiez une balise 802.1Q en définissant un ID de VLAN. |
Spécifiez une balise 802.1Q en définissant un ID de VLAN. |
| VLAN secondaire | Aucune balise n’est nécessaire sur les VLAN. |
Les VLAN ont besoin de balises 802.1Q :
|
Les PVLAN utilisent efficacement les adresses IP
Les PVLAN assurent la conservation des adresses IP et l’attribution efficace des adresses IP. Dans un réseau classique, les VLAN correspondent généralement à un seul sous-réseau IP. Dans les PVLAN, les hôtes de tous les VLAN secondaires appartiennent au même sous-réseau IP, car le sous-réseau est alloué au VLAN principal. Les hôtes du VLAN secondaire se voient attribuer des adresses IP en fonction des sous-réseaux IP associés au VLAN principal, et leurs informations de masquage de sous-réseau IP reflètent celles du sous-réseau VLAN principal. Cependant, chaque VLAN secondaire est un domaine de diffusion distinct.
Types de ports PVLAN et règles de transfert
Les PVLAN peuvent utiliser jusqu’à six types de ports différents. Le réseau illustré ci-dessousFigure 2 utilise un port de proximité pour transporter les informations vers le routeur, des ports communautaires pour connecter les communautés financières et RH à leurs commutateurs respectifs, des ports isolés pour connecter les serveurs et un port trunk PVLAN pour connecter les deux commutateurs. Les ports PVLAN sont soumis à différentes restrictions :
Port trunk de promiscuité : un port de promiscuité a des communications de couche 2 avec toutes les interfaces qui se trouvent dans le PVLAN, que l’interface appartienne à un VLAN isolé ou à un VLAN communautaire. Un port de promiscuité fait partie du VLAN principal, mais n’est pas inclus dans l’un des sous-domaines secondaires. Les passerelles de couche 3, les serveurs DHCP et les autres équipements de confiance qui doivent communiquer avec les terminaux sont généralement connectés à un port de promiscuité.
Liaison principale PVLAN : la liaison principale PVLAN, également appelée liaison intercommutateurs, est requise uniquement lorsqu’un réseau PVLAN est configuré pour s’étendre sur plusieurs commutateurs. La liaison trunk PVLAN connecte les multiples commutateurs qui composent le PVLAN.
Port de jonction PVLAN : un port de jonction PVLAN est requis dans les configurations PVLAN à commutateurs multiples pour étendre les commutateurs. Le port trunk PVLAN est membre de tous les VLAN à l’intérieur du PVLAN (c’est-à-dire le VLAN principal, les VLAN communautaires et le VLAN isolé d’intercommutateur). Il achemine le trafic du VLAN principal et de tous les VLAN secondaires. Il peut communiquer avec tous les ports autres que les ports isolés.
La communication entre un port trunk PVLAN et un port isolé est généralement unidirectionnelle. L’appartenance d’un port de jonction PVLAN au VLAN isolé d’intercommutateur est de sortie uniquement, ce qui signifie qu’un port isolé peut transférer des paquets vers un port de jonction PVLAN, mais qu’un port de jonction PVLAN ne transfère pas les paquets vers un port isolé (sauf si les paquets entrent sur un port d’accès de promiscuité et sont donc transférés à tous les VLAN secondaires du même VLAN principal que le port de promiscuité).
Port trunk VLAN secondaire (non illustré) : les ports trunk secondaires transportent le trafic VLAN secondaire. Pour un VLAN privé donné, un port trunk VLAN secondaire ne peut transporter le trafic que pour un seul VLAN secondaire. Toutefois, un port trunk VLAN secondaire peut transporter le trafic de plusieurs VLAN secondaires, à condition que chaque VLAN secondaire soit membre d’un VLAN principal différent. Par exemple, un port VLAN trunk secondaire peut transporter le trafic d’un VLAN communautaire qui fait partie du VLAN principal pvlan100 et également transporter le trafic d’un VLAN isolé qui fait partie du VLAN principal pvlan400.
Port communautaire—Les ports communautaires communiquent entre eux et avec leurs ports de promiscuité. Les ports communautaires ne sont destinés qu’à un groupe restreint d’utilisateurs. Ces interfaces sont séparées au niveau de la couche 2 de toutes les autres interfaces situées dans d’autres communautés ou ports isolés au sein de leur réseau PVLAN.
Port d’accès isolé : les ports isolés ont une connectivité de couche 2 uniquement avec des ports de promiscuité et des ports de jonction PVLAN : un port isolé ne peut pas communiquer avec un autre port isolé, même si ces deux ports sont membres du même domaine VLAN isolé (ou VLAN isolé d’intercommutateur). En règle générale, un serveur, tel qu’un serveur de messagerie ou un serveur de sauvegarde, est connecté sur un port isolé. Dans un hôtel, chaque chambre est généralement connectée sur un port isolé, ce qui signifie que la communication de chambre à chambre n’est pas possible, mais que chaque chambre peut accéder à Internet sur le port de promiscuité.
Port d’accès de promiscuité (non illustré) : ces ports transportent le trafic non balisé. Le trafic entrant sur un port d’accès de proximité est transféré vers tous les ports VLAN secondaires de l’équipement. Si le trafic pénètre dans l’équipement sur un port compatible VLAN et sort sur un port d’accès de promiscuité, le trafic n’est pas balisé à la sortie. Si le trafic balisé pénètre sur un port d’accès de promiscuité, le trafic est ignoré.
Port de liaison d’intercommutation : un port de liaison d’intercommutateur (ISL) est un port trunk qui connecte deux routeurs lorsqu’un réseau PVLAN s’étend sur ces routeurs. Le port ISL est membre de tous les VLAN du PVLAN (c’est-à-dire le VLAN principal, les VLAN communautaires et le VLAN isolé).
La communication entre un port ISL et un port isolé est unidirectionnelle. L’appartenance d’un port ISL au VLAN isolé d’intercommutateur est de sortie uniquement, ce qui signifie que le trafic entrant sur le port ISL n’est jamais affecté au VLAN isolé. Un port isolé peut transférer des paquets vers un port trunk PVLAN, mais un port trunk PVLAN ne peut pas transférer de paquets vers un port isolé. Tableau 3 récapitule s’il existe une connectivité de couche 2 entre les différents types de ports.
Tableau 2 résume la connectivité de couche 2 entre les différents types de ports au sein d’un PVLAN sur les commutateurs EX Series prenant en charge ELS.
Type de port de départ |
vers des ports isolés ? |
Vers des ports de promiscuité ? |
Vers les ports communautaires ? |
vers le port de liaison inter-commutateurs ? |
|---|---|---|---|---|
Isolé |
Nier |
Autoriser |
Nier |
Autoriser |
Promiscuité |
Autoriser |
Autoriser |
Autoriser |
Autoriser |
Communauté 1 |
Nier |
Autoriser |
Autoriser |
Autoriser |
Port Type |
Malle de promiscuité |
PVLAN Trunk |
Jonction secondaire |
Communauté |
Accès isolé |
Promiscuité d’accès |
|---|---|---|---|---|---|---|
Malle de promiscuité |
Oui |
Oui |
Oui |
Oui |
Oui |
Oui |
Trunk PVLAN |
Oui |
Oui |
Oui |
Oui, même communauté seulement |
Oui |
Oui |
Jonction secondaire |
Oui |
Oui |
Non |
Oui |
Non |
Oui |
Communauté |
Oui |
Oui |
Oui |
Oui, même communauté seulement |
Non |
Oui |
Accès isolé |
Oui |
Oui : unidirectionnel uniquement |
Non |
Non |
Non |
Oui |
Promiscuité d’accès |
Oui |
Oui |
Oui |
Oui |
Oui |
Non |
Tableau 4 résume l’existence ou non d’une connectivité de couche 2 entre les différents types de ports d’un PVLAN.
Port Type À : → À partir de :↓ |
Promiscuité |
Communauté |
Isolé |
PVLAN Trunk |
Le RVI |
|---|---|---|---|---|---|
Promiscuité |
Oui |
Oui |
Oui |
Oui |
Oui |
Communauté |
Oui |
Oui, même communauté seulement |
Non |
Oui |
Oui |
Isolé |
Oui |
Non |
Non |
Oui REMARQUE :
Cette communication est unidirectionnelle. |
Oui |
Trunk PVLAN |
Oui |
Oui, même communauté seulement |
Oui REMARQUE :
Cette communication est unidirectionnelle. |
Oui |
Oui |
Le RVI |
Oui |
Oui |
Oui |
Oui |
Oui |
Comme indiqué dans Tableau 4, la communication de couche 2 entre un port isolé et un port trunk PVLAN est unidirectionnelle. En d’autres termes, un port isolé ne peut envoyer des paquets qu’à un port trunk PVLAN, et un port trunk PVLAN ne peut recevoir des paquets qu’à partir d’un port isolé. À l’inverse, un port trunk PVLAN ne peut pas envoyer de paquets à un port isolé, et un port isolé ne peut pas recevoir de paquets à partir d’un port trunk PVLAN.
Si vous activez l’option no-mac-learning sur un VLAN principal, tous les VLAN isolés (ou le VLAN isolé entre commutateurs) du PVLAN héritent de ce paramètre. Toutefois, si vous souhaitez désactiver l’apprentissage de l’adresse MAC sur des VLAN communautaires, vous devez configurer no-mac-learning chacun de ces VLAN.
Création d’un PVLAN
L’organigramme illustré en Figure 6 vous donne une idée générale du processus de création des PVLAN. Si vous effectuez vos étapes de configuration dans l’ordre indiqué, vous n’enfreindrez pas ces règles PVLAN. (Dans les règles PVLAN, la configuration du port de jonction PVLAN s’applique uniquement à un PVLAN qui s’étend sur plusieurs routeurs.)
Le VLAN principal doit être un VLAN balisé.
Si vous souhaitez configurer un ID de VLAN communautaire, vous devez d’abord configurer le VLAN principal.
Si vous souhaitez configurer un ID de VLAN d’isolation, vous devez d’abord configurer le VLAN principal.
La configuration d’un VLAN voix sur IP (VoIP) sur les interfaces PVLAN n’est pas prise en charge.
La configuration d’un VLAN sur un seul routeur est relativement simple, comme illustré à la .Figure 6
La configuration d’un VLAN principal comprend les étapes suivantes :
Configurez le nom du VLAN principal et la balise 802.1Q.
Défini no-local-switching sur le VLAN principal.
Configurez le port trunk de promiscuité et les ports d’accès.
Définissez les ports trunk et d’accès comme membres du VLAN principal.
Au sein d’un VLAN principal, vous pouvez configurer des VLAN communautaires secondaires ou des VLAN isolés secondaires, ou les deux. La configuration d’un VLAN communautaire secondaire comprend les étapes suivantes :
Configurez un VLAN en suivant le processus habituel.
Configurez les interfaces d’accès pour le VLAN.
Attribuez un VLAN principal au VLAN communautaire,
Les VLAN isolés sont créés en interne lorsque le VLAN isolé a des interfaces d’accès en tant que membres et que l’option no-local-switching est activée sur le VLAN principal.
Les balises 802.1Q sont requises pour les VLAN isolés entre commutateurs, car la norme IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un périphérique d’agrégation insère un onglet d’identification de trame VLAN de 4 octets dans l’en-tête du paquet.
Les ports trunk ne sont nécessaires que pour les configurations PVLAN multirouteurs : le port trunk achemine le trafic du VLAN principal et de tous les VLAN secondaires.
Limites des VLAN privés
Les contraintes suivantes s’appliquent aux configurations VLAN privé :
Une interface d’accès ne peut appartenir qu’à un seul domaine PVLAN, c’est-à-dire qu’elle ne peut pas participer à deux VLAN principaux différents.
Une interface trunk peut être membre de deux VLAN secondaires, à condition que les VLAN secondaires se trouvent dans deux VLAN principaux différents . Une interface trunk ne peut pas être membre de deux VLAN secondaires qui se trouvent dans le même VLAN principal.
Une seule région du protocole MSTP (Multiple Spanning Tree Protocol) doit être configurée sur tous les VLAN inclus dans le PVLAN.
Le protocole VSTP (VLAN Spanning Tree Protocol) n’est pas pris en charge.
La surveillance IGMP n’est pas prise en charge avec les VLAN privés.
Les interfaces VLAN routées ne sont pas prises en charge sur les VLAN privés
Le routage entre les VLAN secondaires d’un même VLAN principal n’est pas pris en charge.
Certaines instructions de configuration ne peuvent pas être spécifiées sur un VLAN secondaire. Vous ne pouvez configurer les instructions suivantes au niveau de la
[edit vlans vlan-name switch-options]hiérarchie que sur le réseau PVLAN principal.Si vous souhaitez transformer un VLAN principal en VLAN secondaire, vous devez d’abord le remplacer par un VLAN normal et valider la modification. Par exemple, vous devez suivre la procédure suivante :
Remplacez le VLAN principal par un VLAN normal.
Validez la configuration.
Remplacez le VLAN normal par un VLAN secondaire.
Validez la configuration.
Suivez la même séquence de validations si vous souhaitez transformer un VLAN secondaire en VLAN principal. En d’autres termes, faites du VLAN secondaire un VLAN normal et validez cette modification, puis modifiez le VLAN normal pour qu’il devienne un VLAN principal.
Les fonctionnalités suivantes ne sont pas prises en charge sur les PVLAN sur les commutateurs Junos prenant en charge le style de configuration ELS :
Filtres de pare-feu VLAN de sortie
Protection en anneau Ethernet (ERP)
Balisage VLAN flexible
Interface de routage et pontage intégrée (IRB)
Groupes d’agrégation de liens multichâssis (MC-LAG)
Mise en miroir des ports
Tunnelisation Q-in-Q
Protocole VSTP (VLAN Spanning Tree Protocol)
Voix sur IP (VoIP)
Vous pouvez configurer les instructions suivantes au niveau de la [edit vlans vlan-name switch-options] hiérarchie uniquement sur le réseau PVLAN principal :