Sur cette page
Comprendre les flux de trafic PVLAN sur plusieurs commutateurs
Comprendre les ports trunk VLAN secondaires et les ports d’accès de proximité sur les PVLAN
Utilisation conjointe de l’authentification 802.1X et de VLAN privés sur la même interface
Mise en place de la sécurité des ports d’accès sur les VLAN privés
Création d’un VLAN privé sur un commutateur unique avec prise en charge ELS (procédure CLI)
Création d’un VLAN privé sur un seul commutateur EX Series (procédure CLI)
Création d’un VLAN privé couvrant plusieurs commutateurs QFX Series
Création d’un VLAN privé couvrant plusieurs commutateurs EX Series (procédure CLI)
Exemple : Configuration d’un VLAN privé sur un seul commutateur avec prise en charge d’ELS
Exemple : configuration d’un VLAN privé sur un seul commutateur QFX Series
Exemple : Configuration d’un VLAN privé sur un seul commutateur EX Series
Exemple : Configuration d’un VLAN privé s’étendant sur plusieurs commutateurs QFX
Exemple : Configuration d’un VLAN privé s’étendant sur plusieurs commutateurs avec une interface IRB
Exemple : Configuration d’un VLAN privé couvrant plusieurs commutateurs EX Series
Vérification du fonctionnement d’un VLAN privé sur un commutateur
VLAN privé
Comprendre les VLAN privés
Les VLAN limitent les diffusions à des utilisateurs spécifiés. Les VLAN privés (PVLAN) poussent ce concept encore plus loin en limitant les communications au sein d’un VLAN. Pour ce faire, les PVLAN restreignent les flux de trafic via leurs ports de commutateurs membres (appelés ports privés) afin que ces ports communiquent uniquement avec un port trunk de liaison montante spécifié ou avec des ports spécifiés au sein du même VLAN. Le port trunk de liaison montante ou groupe d’agrégation de liens (LAG) est généralement connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. Chaque PVLAN contient généralement de nombreux ports privés qui ne communiquent qu’avec un seul port de liaison montante, empêchant ainsi les ports de communiquer entre eux.
Les PVLAN fournissent une isolation de couche 2 entre les ports d’un VLAN, divisant un domaine de diffusion en plusieurs sous-domaines de diffusion discrets en créant des VLAN secondaires (VLAN communautaires et VLAN isolé ) à l’intérieur d’un VLAN principal. Les ports d’un même VLAN communautaire peuvent communiquer entre eux. Les ports d’un VLAN isolé ne peuvent communiquer qu’avec un seul port de liaison montante.
Tout comme les VLAN classiques, les PVLAN sont isolés sur la couche 2 et nécessitent l’une des options suivantes pour acheminer le trafic de couche 3 entre les VLAN secondaires :
Une connexion portuaire délicate avec un routeur
Une interface VLAN routée (RVI)
Pour acheminer le trafic de couche 3 entre des VLAN secondaires, un PVLAN n’a besoin que d’une seule des options mentionnées ci-dessus. Si vous utilisez un RVI, vous pouvez toujours implémenter une connexion de port de promiscuité à un routeur avec le port de promiscuité configuré pour gérer uniquement le trafic entrant et sortant du PVLAN.
Les PVLAN sont utiles pour restreindre le flux de trafic de diffusion et de monodiffusion inconnu et pour limiter la communication entre les hôtes connus. Les fournisseurs de services utilisent des réseaux PVLAN pour isoler leurs clients les uns des autres. Une autre utilisation typique d’un PVLAN est de fournir un accès Internet par chambre dans un hôtel.
Vous pouvez configurer un PVLAN pour qu’il s’étende sur des commutateurs qui prennent en charge des PVLAN.
Cette rubrique explique les concepts suivants concernant les réseaux PVLAN sur les commutateurs EX Series :
- Avantages des réseaux PVLAN
- Structure type et application principale des PVLAN
- Structure type et application principale des réseaux PVLAN sur les routeurs MX Series
- Structure type et application principale des réseaux PVLAN sur les commutateurs EX Series
- Routage entre les VLAN isolés et les VLAN communautaires
- Les PVLAN utilisent des balises 802.1Q pour identifier les paquets
- Les PVLAN utilisent efficacement les adresses IP
- Types de ports PVLAN et règles de transfert
- Création d’un PVLAN
- Limites des VLAN privés
Avantages des réseaux PVLAN
La nécessité de séparer un seul VLAN est particulièrement utile dans les scénarios de déploiement suivants :
Batteries de serveurs : un fournisseur d’accès à Internet classique utilise une batterie de serveurs pour fournir un hébergement Web à de nombreux clients. La localisation des différents serveurs au sein d’une même batterie de serveurs facilite la gestion. Des problèmes de sécurité peuvent être posés si tous les serveurs se trouvent dans le même VLAN, car les diffusions de couche 2 sont envoyées à tous les serveurs du VLAN.
Réseaux Ethernet métropolitains : un fournisseur de services métropolitains offre un accès Ethernet de couche 2 à divers logements, communautés locatives et entreprises. La solution traditionnelle consistant à déployer un VLAN par client n’est pas évolutive et est difficile à gérer, ce qui peut entraîner un gaspillage d’adresses IP. Les PVLAN offrent une solution plus sûre et plus efficace.
Structure type et application principale des PVLAN
Un PVLAN peut être configuré sur un seul commutateur ou peut être configuré pour s’étendre sur plusieurs commutateurs. Les types de domaines et de ports sont les suivants :
VLAN principal : le VLAN principal du PVLAN est défini avec une balise 802.1Q (ID de VLAN) pour le VLAN complet. Le PVLAN principal peut contenir plusieurs VLAN secondaires (un VLAN isolé et plusieurs VLAN communautaires).
VLAN isolé/port isolé : un VLAN principal ne peut contenir qu’un seul VLAN isolé. Une interface au sein d’un VLAN isolé ne peut transmettre des paquets qu’à un port de proximité ou au port ISL (Inter-Switch Link). Une interface isolée ne peut pas transmettre de paquets à une autre interface isolée ; et une interface isolée ne peut pas recevoir de paquets d’une autre interface isolée. Si un périphérique client doit avoir accès uniquement à un routeur de passerelle, il doit être connecté à un port trunk isolé.
VLAN communautaire/port communautaire : vous pouvez configurer plusieurs VLAN communautaires au sein d’un seul PVLAN. Une interface au sein d’un VLAN communautaire spécifique peut établir des communications de couche 2 avec toute autre interface appartenant au même VLAN communautaire. Une interface au sein d’un VLAN communautaire peut également communiquer avec un port de proximité ou le port ISL. Si, par exemple, vous avez deux appareils client que vous devez isoler des autres appareils client, mais qui doivent pouvoir communiquer entre eux, utilisez les ports communautaires.
Port de promiscuité : un port de promiscuité a des communications de couche 2 avec toutes les interfaces du PVLAN, qu’une interface appartienne à un VLAN isolé ou à un VLAN communautaire. Un port de promiscuité est membre du VLAN principal, mais n’est inclus dans aucun sous-domaine secondaire. Les passerelles de couche 3, les serveurs DHCP et les autres équipements de confiance qui doivent communiquer avec les terminaux sont généralement connectés à un port de promiscuité.
Liaison intercommutateurs (ISL) : une ISL est un port trunk qui connecte plusieurs commutateurs dans un PVLAN et contient deux VLAN ou plus. Elle n’est requise que lorsqu’un PVLAN s’étend sur plusieurs commutateurs.
Le PVLAN configuré est le domaine principal (VLAN principal ). Dans le PVLAN, vous configurez les VLAN secondaires , qui deviennent des sous-domaines imbriqués dans le domaine principal. Un PVLAN peut être configuré sur un seul commutateur ou peut être configuré pour s’étendre sur plusieurs commutateurs. Le PVLAN illustré ci-dessous Figure 1 comprend deux commutateurs, avec un domaine PVLAN principal et plusieurs sous-domaines.
Comme illustré à Figure 3la , un PVLAN n’a qu’un seul domaine principal et plusieurs domaines secondaires. Les types de domaines sont les suivants :
VLAN principal : VLAN utilisé pour transférer les trames en aval vers des VLAN isolés et communautaires. Le VLAN principal du PVLAN est défini par une balise 802.1Q (ID de VLAN) pour le PVLAN complet. Le PVLAN principal peut contenir plusieurs VLAN secondaires (un VLAN isolé et plusieurs VLAN communautaires).
VLAN isolé secondaire : VLAN qui reçoit les paquets uniquement du VLAN principal et transfère les trames en amont vers le VLAN principal. Le VLAN isolé est un VLAN secondaire imbriqué dans le VLAN principal. Un VLAN principal ne peut contenir qu’un seul VLAN isolé. Une interface au sein d’un VLAN isolé (Isolated Interface) ne peut transmettre des paquets qu’à un port de proximité ou au port trunk PVLAN. Une interface isolée ne peut pas transmettre de paquets à une autre interface isolée ; Une interface isolée ne peut pas non plus recevoir de paquets d’une autre interface isolée. Si un appareil client doit avoir accès uniquement à un routeur, il doit être connecté à un port trunk isolé.
VLAN isolé d’intercommutateur secondaire : VLAN utilisé pour transférer le trafic VLAN isolé d’un commutateur à un autre via des ports trunk PVLAN. Les balises 802.1Q sont requises pour les VLAN isolés entre commutateurs, car la norme IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un périphérique d’agrégation insère un onglet d’identification de trame VLAN de 4 octets dans l’en-tête du paquet. Un VLAN isolé par intercommutateur est un VLAN secondaire imbriqué dans le VLAN principal.
VLAN de communauté secondaire : VLAN utilisé pour transporter des trames entre les membres d’une communauté (un sous-ensemble d’utilisateurs au sein du VLAN) et pour transférer des trames en amont vers le VLAN principal. Un VLAN communautaire est un VLAN secondaire imbriqué dans le VLAN principal. Vous pouvez configurer plusieurs VLAN communautaires au sein d’un même PVLAN. Une interface au sein d’un VLAN communautaire spécifique peut établir des communications de couche 2 avec toute autre interface appartenant au même VLAN communautaire. Une interface au sein d’un VLAN communautaire peut également communiquer avec un port de proximité ou le port trunk PVLAN.
Figure 2montre un PVLAN s’étendant sur plusieurs commutateurs, où le VLAN principal () contient deux domaines (300 communautaires et100400 ) et un domaine isolé d’intercommutateurs.
Les VLAN principal et secondaire sont pris en compte dans la limite de 4 089 VLAN pris en charge sur le QFX Series. Par exemple, chaque VLAN est pris en Figure 2 compte dans cette limite.
Structure type et application principale des réseaux PVLAN sur les routeurs MX Series
Le PVLAN configuré devient le domaine principal et les VLAN secondaires deviennent des sous-domaines imbriqués à l’intérieur du domaine principal. Un PVLAN peut être créé sur un seul routeur. Le PVLAN illustré en Figure 3 comprend un routeur, avec un domaine PVLAN principal et plusieurs sous-domaines secondaires.
Les types de domaines sont les suivants :
VLAN principal : VLAN utilisé pour transférer les trames en aval vers des VLAN isolés et communautaires.
VLAN isolé secondaire : VLAN qui reçoit les paquets uniquement du VLAN principal et transfère les trames en amont vers le VLAN principal.
VLAN isolé d’intercommutateur secondaire : VLAN utilisé pour transférer le trafic VLAN isolé d’un routeur à un autre via des ports trunk PVLAN.
VLAN communautaire secondaire : VLAN utilisé pour transporter des trames entre les membres d’une communauté, qui est un sous-ensemble d’utilisateurs au sein du VLAN, et pour transférer des trames en amont vers le VLAN principal.
Les PVLAN sont pris en charge sur les routeurs MX80, MX240, MX480 et MX960 avec DPC en mode LAN amélioré, sur les routeurs MX Series avec PIC1, MPC2 et Adaptive Services.
Structure type et application principale des réseaux PVLAN sur les commutateurs EX Series
Le VLAN principal du PVLAN est défini par une balise 802.1Q (ID de VLAN) pour le PVLAN complet. Sur les commutateurs EX9200, chaque VLAN secondaire doit également être défini avec son propre ID de VLAN distinct.
Figure 4montre un PVLAN sur un seul commutateur, où le VLAN principal (VLAN ) contient deux VLAN communautaires (VLAN et VLAN ) et un VLAN 100400300 isolé (VLAN50).
Figure 5montre un PVLAN s’étendant sur plusieurs commutateurs, où le VLAN principal (VLAN ) contient deux VLAN communautaires (VLAN et VLAN ) et un VLAN isolé (VLAN 100300400200). Elle montre également que les commutateurs 1 et 2 sont connectés via une liaison intercommutateur (liaison trunk PVLAN).
En outre, les PVLAN indiqués dans Figure 4 et utilisent un port de promiscuité connecté à un routeur pour acheminer le trafic de couche 3 entre les VLAN communautaires et Figure 5 isolés. Au lieu d’utiliser le port de promiscuité connecté à un routeur, vous pouvez configurer un RVI sur le commutateur en entrée Figure 4 ou sur l’un des commutateurs illustrés à Figure 5 (sur certains commutateurs EX).
Pour acheminer le trafic de couche 3 entre des VLAN isolés et communautaires, vous devez soit connecter un routeur à un port de proximité (comme illustré dans Figure 4 et Figure 5), soit configurer un RVI.
Si vous choisissez l’option RVI, vous devez configurer un RVI pour le VLAN principal dans le domaine PVLAN. Ce RVI dessert l’ensemble du domaine PVLAN, que celui-ci comprenne un ou plusieurs commutateurs. Une fois que vous avez configuré le RVI, les paquets de couche 3 reçus par les interfaces VLAN secondaires sont mappés et acheminés par le RVI.
Lors de la configuration du RVI, vous devez également activer le protocole ARP (Address Resolution Protocol) proxy afin que le RVI puisse gérer les demandes ARP reçues par les interfaces VLAN secondaires.
Pour plus d’informations sur la configuration des réseaux PVLAN sur un ou sur plusieurs commutateurs, reportez-vous à la section Création d’un VLAN privé sur un seul commutateur EX Series (procédure CLI). Pour plus d’informations sur la configuration d’un RVI, reportez-vous à la section Configuration d’une interface VLAN routée dans un VLAN privé sur un commutateur EX Series.
Routage entre les VLAN isolés et les VLAN communautaires
Pour acheminer le trafic de couche 3 entre un VLAN isolé et un VLAN communautaire, vous devez connecter un routeur ou un commutateur externe à un port trunk du VLAN principal. Le port trunk du VLAN principal est un port de promiscuité ; par conséquent, il peut communiquer avec tous les ports du PVLAN.
Les PVLAN utilisent des balises 802.1Q pour identifier les paquets
Lorsque les paquets sont marqués d’une balise 802.1Q spécifique au client, cette balise identifie la propriété des paquets pour tout commutateur ou routeur du réseau. Parfois, des balises 802.1Q sont nécessaires dans les PVLAN pour assurer le suivi des paquets provenant de différents sous-domaines. Tableau 1 indique quand une balise VLAN 802.1Q est nécessaire sur le VLAN principal ou sur les VLAN secondaires.
| sur un seul commutateur | Sur plusieurs commutateurs | |
|---|---|---|
| VLAN principal | Spécifiez une balise 802.1Q en définissant un ID de VLAN. |
Spécifiez une balise 802.1Q en définissant un ID de VLAN. |
| VLAN secondaire | Aucune balise n’est nécessaire sur les VLAN. |
Les VLAN ont besoin de balises 802.1Q :
|
Les PVLAN utilisent efficacement les adresses IP
Les PVLAN assurent la conservation des adresses IP et l’attribution efficace des adresses IP. Dans un réseau classique, les VLAN correspondent généralement à un seul sous-réseau IP. Dans les PVLAN, les hôtes de tous les VLAN secondaires appartiennent au même sous-réseau IP, car le sous-réseau est alloué au VLAN principal. Les hôtes du VLAN secondaire se voient attribuer des adresses IP en fonction des sous-réseaux IP associés au VLAN principal, et leurs informations de masquage de sous-réseau IP reflètent celles du sous-réseau VLAN principal. Cependant, chaque VLAN secondaire est un domaine de diffusion distinct.
Types de ports PVLAN et règles de transfert
Les PVLAN peuvent utiliser jusqu’à six types de ports différents. Le réseau illustré ci-dessousFigure 2 utilise un port de proximité pour transporter les informations vers le routeur, des ports communautaires pour connecter les communautés financières et RH à leurs commutateurs respectifs, des ports isolés pour connecter les serveurs et un port trunk PVLAN pour connecter les deux commutateurs. Les ports PVLAN sont soumis à différentes restrictions :
Port trunk de promiscuité : un port de promiscuité a des communications de couche 2 avec toutes les interfaces qui se trouvent dans le PVLAN, que l’interface appartienne à un VLAN isolé ou à un VLAN communautaire. Un port de promiscuité fait partie du VLAN principal, mais n’est pas inclus dans l’un des sous-domaines secondaires. Les passerelles de couche 3, les serveurs DHCP et les autres équipements de confiance qui doivent communiquer avec les terminaux sont généralement connectés à un port de promiscuité.
Liaison principale PVLAN : la liaison principale PVLAN, également appelée liaison intercommutateurs, est requise uniquement lorsqu’un réseau PVLAN est configuré pour s’étendre sur plusieurs commutateurs. La liaison trunk PVLAN connecte les multiples commutateurs qui composent le PVLAN.
Port de jonction PVLAN : un port de jonction PVLAN est requis dans les configurations PVLAN à commutateurs multiples pour étendre les commutateurs. Le port trunk PVLAN est membre de tous les VLAN à l’intérieur du PVLAN (c’est-à-dire le VLAN principal, les VLAN communautaires et le VLAN isolé d’intercommutateur). Il achemine le trafic du VLAN principal et de tous les VLAN secondaires. Il peut communiquer avec tous les ports autres que les ports isolés.
La communication entre un port trunk PVLAN et un port isolé est généralement unidirectionnelle. L’appartenance d’un port de jonction PVLAN au VLAN isolé d’intercommutateur est de sortie uniquement, ce qui signifie qu’un port isolé peut transférer des paquets vers un port de jonction PVLAN, mais qu’un port de jonction PVLAN ne transfère pas les paquets vers un port isolé (sauf si les paquets entrent sur un port d’accès de promiscuité et sont donc transférés à tous les VLAN secondaires du même VLAN principal que le port de promiscuité).
Port trunk VLAN secondaire (non illustré) : les ports trunk secondaires transportent le trafic VLAN secondaire. Pour un VLAN privé donné, un port trunk VLAN secondaire ne peut transporter le trafic que pour un seul VLAN secondaire. Toutefois, un port trunk VLAN secondaire peut transporter le trafic de plusieurs VLAN secondaires, à condition que chaque VLAN secondaire soit membre d’un VLAN principal différent. Par exemple, un port VLAN trunk secondaire peut transporter le trafic d’un VLAN communautaire qui fait partie du VLAN principal pvlan100 et également transporter le trafic d’un VLAN isolé qui fait partie du VLAN principal pvlan400.
Port communautaire—Les ports communautaires communiquent entre eux et avec leurs ports de promiscuité. Les ports communautaires ne sont destinés qu’à un groupe restreint d’utilisateurs. Ces interfaces sont séparées au niveau de la couche 2 de toutes les autres interfaces situées dans d’autres communautés ou ports isolés au sein de leur réseau PVLAN.
Port d’accès isolé : les ports isolés ont une connectivité de couche 2 uniquement avec des ports de promiscuité et des ports de jonction PVLAN : un port isolé ne peut pas communiquer avec un autre port isolé, même si ces deux ports sont membres du même domaine VLAN isolé (ou VLAN isolé d’intercommutateur). En règle générale, un serveur, tel qu’un serveur de messagerie ou un serveur de sauvegarde, est connecté sur un port isolé. Dans un hôtel, chaque chambre est généralement connectée sur un port isolé, ce qui signifie que la communication de chambre à chambre n’est pas possible, mais que chaque chambre peut accéder à Internet sur le port de promiscuité.
Port d’accès de promiscuité (non illustré) : ces ports transportent le trafic non balisé. Le trafic entrant sur un port d’accès de proximité est transféré vers tous les ports VLAN secondaires de l’équipement. Si le trafic pénètre dans l’équipement sur un port compatible VLAN et sort sur un port d’accès de promiscuité, le trafic n’est pas balisé à la sortie. Si le trafic balisé pénètre sur un port d’accès de promiscuité, le trafic est ignoré.
Port de liaison d’intercommutation : un port de liaison d’intercommutateur (ISL) est un port trunk qui connecte deux routeurs lorsqu’un réseau PVLAN s’étend sur ces routeurs. Le port ISL est membre de tous les VLAN du PVLAN (c’est-à-dire le VLAN principal, les VLAN communautaires et le VLAN isolé).
La communication entre un port ISL et un port isolé est unidirectionnelle. L’appartenance d’un port ISL au VLAN isolé d’intercommutateur est de sortie uniquement, ce qui signifie que le trafic entrant sur le port ISL n’est jamais affecté au VLAN isolé. Un port isolé peut transférer des paquets vers un port trunk PVLAN, mais un port trunk PVLAN ne peut pas transférer de paquets vers un port isolé. Tableau 3 récapitule s’il existe une connectivité de couche 2 entre les différents types de ports.
Tableau 2 résume la connectivité de couche 2 entre les différents types de ports au sein d’un PVLAN sur les commutateurs EX Series prenant en charge ELS.
Type de port de départ |
vers des ports isolés ? |
Vers des ports de promiscuité ? |
Vers les ports communautaires ? |
vers le port de liaison inter-commutateurs ? |
|---|---|---|---|---|
Isolé |
Nier |
Autoriser |
Nier |
Autoriser |
Promiscuité |
Autoriser |
Autoriser |
Autoriser |
Autoriser |
Communauté 1 |
Nier |
Autoriser |
Autoriser |
Autoriser |
Port Type |
Malle de promiscuité |
PVLAN Trunk |
Jonction secondaire |
Communauté |
Accès isolé |
Promiscuité d’accès |
|---|---|---|---|---|---|---|
Malle de promiscuité |
Oui |
Oui |
Oui |
Oui |
Oui |
Oui |
Trunk PVLAN |
Oui |
Oui |
Oui |
Oui, même communauté seulement |
Oui |
Oui |
Jonction secondaire |
Oui |
Oui |
Non |
Oui |
Non |
Oui |
Communauté |
Oui |
Oui |
Oui |
Oui, même communauté seulement |
Non |
Oui |
Accès isolé |
Oui |
Oui : unidirectionnel uniquement |
Non |
Non |
Non |
Oui |
Promiscuité d’accès |
Oui |
Oui |
Oui |
Oui |
Oui |
Non |
Tableau 4 résume l’existence ou non d’une connectivité de couche 2 entre les différents types de ports d’un PVLAN.
Port Type À : → À partir de :↓ |
Promiscuité |
Communauté |
Isolé |
PVLAN Trunk |
Le RVI |
|---|---|---|---|---|---|
Promiscuité |
Oui |
Oui |
Oui |
Oui |
Oui |
Communauté |
Oui |
Oui, même communauté seulement |
Non |
Oui |
Oui |
Isolé |
Oui |
Non |
Non |
Oui REMARQUE :
Cette communication est unidirectionnelle. |
Oui |
Trunk PVLAN |
Oui |
Oui, même communauté seulement |
Oui REMARQUE :
Cette communication est unidirectionnelle. |
Oui |
Oui |
Le RVI |
Oui |
Oui |
Oui |
Oui |
Oui |
Comme indiqué dans Tableau 4, la communication de couche 2 entre un port isolé et un port trunk PVLAN est unidirectionnelle. En d’autres termes, un port isolé ne peut envoyer des paquets qu’à un port trunk PVLAN, et un port trunk PVLAN ne peut recevoir des paquets qu’à partir d’un port isolé. À l’inverse, un port trunk PVLAN ne peut pas envoyer de paquets à un port isolé, et un port isolé ne peut pas recevoir de paquets à partir d’un port trunk PVLAN.
Si vous activez l’option no-mac-learning sur un VLAN principal, tous les VLAN isolés (ou le VLAN isolé entre commutateurs) du PVLAN héritent de ce paramètre. Toutefois, si vous souhaitez désactiver l’apprentissage de l’adresse MAC sur des VLAN communautaires, vous devez configurer no-mac-learning chacun de ces VLAN.
Création d’un PVLAN
L’organigramme illustré en Figure 6 vous donne une idée générale du processus de création des PVLAN. Si vous effectuez vos étapes de configuration dans l’ordre indiqué, vous n’enfreindrez pas ces règles PVLAN. (Dans les règles PVLAN, la configuration du port de jonction PVLAN s’applique uniquement à un PVLAN qui s’étend sur plusieurs routeurs.)
Le VLAN principal doit être un VLAN balisé.
Si vous souhaitez configurer un ID de VLAN communautaire, vous devez d’abord configurer le VLAN principal.
Si vous souhaitez configurer un ID de VLAN d’isolation, vous devez d’abord configurer le VLAN principal.
La configuration d’un VLAN voix sur IP (VoIP) sur les interfaces PVLAN n’est pas prise en charge.
La configuration d’un VLAN sur un seul routeur est relativement simple, comme illustré à la .Figure 6
La configuration d’un VLAN principal comprend les étapes suivantes :
Configurez le nom du VLAN principal et la balise 802.1Q.
Défini no-local-switching sur le VLAN principal.
Configurez le port trunk de promiscuité et les ports d’accès.
Définissez les ports trunk et d’accès comme membres du VLAN principal.
Au sein d’un VLAN principal, vous pouvez configurer des VLAN communautaires secondaires ou des VLAN isolés secondaires, ou les deux. La configuration d’un VLAN communautaire secondaire comprend les étapes suivantes :
Configurez un VLAN en suivant le processus habituel.
Configurez les interfaces d’accès pour le VLAN.
Attribuez un VLAN principal au VLAN communautaire,
Les VLAN isolés sont créés en interne lorsque le VLAN isolé a des interfaces d’accès en tant que membres et que l’option no-local-switching est activée sur le VLAN principal.
Les balises 802.1Q sont requises pour les VLAN isolés entre commutateurs, car la norme IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un périphérique d’agrégation insère un onglet d’identification de trame VLAN de 4 octets dans l’en-tête du paquet.
Les ports trunk ne sont nécessaires que pour les configurations PVLAN multirouteurs : le port trunk achemine le trafic du VLAN principal et de tous les VLAN secondaires.
Limites des VLAN privés
Les contraintes suivantes s’appliquent aux configurations VLAN privé :
Une interface d’accès ne peut appartenir qu’à un seul domaine PVLAN, c’est-à-dire qu’elle ne peut pas participer à deux VLAN principaux différents.
Une interface trunk peut être membre de deux VLAN secondaires, à condition que les VLAN secondaires se trouvent dans deux VLAN principaux différents . Une interface trunk ne peut pas être membre de deux VLAN secondaires qui se trouvent dans le même VLAN principal.
Une seule région du protocole MSTP (Multiple Spanning Tree Protocol) doit être configurée sur tous les VLAN inclus dans le PVLAN.
Le protocole VSTP (VLAN Spanning Tree Protocol) n’est pas pris en charge.
La surveillance IGMP n’est pas prise en charge avec les VLAN privés.
Les interfaces VLAN routées ne sont pas prises en charge sur les VLAN privés
Le routage entre les VLAN secondaires d’un même VLAN principal n’est pas pris en charge.
Certaines instructions de configuration ne peuvent pas être spécifiées sur un VLAN secondaire. Vous ne pouvez configurer les instructions suivantes au niveau de la
[edit vlans vlan-name switch-options]hiérarchie que sur le réseau PVLAN principal.Si vous souhaitez transformer un VLAN principal en VLAN secondaire, vous devez d’abord le remplacer par un VLAN normal et valider la modification. Par exemple, vous devez suivre la procédure suivante :
Remplacez le VLAN principal par un VLAN normal.
Validez la configuration.
Remplacez le VLAN normal par un VLAN secondaire.
Validez la configuration.
Suivez la même séquence de validations si vous souhaitez transformer un VLAN secondaire en VLAN principal. En d’autres termes, faites du VLAN secondaire un VLAN normal et validez cette modification, puis modifiez le VLAN normal pour qu’il devienne un VLAN principal.
Les fonctionnalités suivantes ne sont pas prises en charge sur les PVLAN sur les commutateurs Junos prenant en charge le style de configuration ELS :
Filtres de pare-feu VLAN de sortie
Protection en anneau Ethernet (ERP)
Balisage VLAN flexible
Interface de routage et pontage intégrée (IRB)
Groupes d’agrégation de liens multichâssis (MC-LAG)
Mise en miroir des ports
Tunnelisation Q-in-Q
Protocole VSTP (VLAN Spanning Tree Protocol)
Voix sur IP (VoIP)
Vous pouvez configurer les instructions suivantes au niveau de la [edit vlans vlan-name switch-options] hiérarchie uniquement sur le réseau PVLAN principal :
Comprendre les flux de trafic PVLAN sur plusieurs commutateurs
Cette rubrique illustre et explique trois flux de trafic différents sur un exemple de réseau multicommutateur configuré avec un VLAN privé (PVLAN). Les PVLAN restreignent les flux de trafic via leurs ports de commutateurs membres (appelés « ports privés ») afin qu’ils ne communiquent qu’avec un port trunk de liaison montante spécifique ou avec des ports spécifiés au sein du même VLAN.
Cette rubrique décrit :
- VLAN communautaire envoyant du trafic non étiqueté
- VLAN isolé envoyant du trafic non étiqueté
- Trafic balisé PVLAN envoyé sur un port de promiscuité
VLAN communautaire envoyant du trafic non étiqueté
Dans cet exemple, un membre de Community-1 sur le commutateur 1 envoie du trafic non étiqueté sur l’interface ge-0/0/12. Les flèches représentent Figure 7 le flux de trafic résultant.
Dans cet exemple, les membres de la communauté-1 se voient attribuer l’ID C-VLAN 100 qui est mappé à l’ID P-VLAN 10.
Dans ce scénario, l’activité suivante se déroule sur le commutateur 1 :
-
VLAN communautaire-1 sur les interfaces ge-0/0/0 et ge-0/0/12 : Apprentissage
-
pvlan100 sur l’interface GE-0/0/0 et GE-0/0/12 : Réplication
-
VLAN communautaire-1 sur l’interface ge-0/0/12 : Reçoit le trafic non balisé
-
Interface VLAN communautaire-1 ge-0/0/0 : Sorties de trafic non étiquetées
-
Port trunk PVLAN : Sorties de trafic de ge-1/0/2 et de ae0 avec la balise 10
-
Communauté-2 : Les interfaces ne reçoivent aucun trafic
-
VLAN isolés : Les interfaces ne reçoivent aucun trafic
Dans ce scénario, cette activité se déroule sur le commutateur 3 :
-
VLAN communautaire-1 sur l’interface ge-0/0/23 (jonction PVLAN) : Apprentissage
-
pvlan100 sur l’interface GE-0/0/23 : Réplication
-
VLAN communautaire-1 sur les interfaces ge-0/0/9 et ge-0/0/16 : Recevoir du trafic non balisé
-
Port trunk de promiscuité : Sorties de trafic de ge-0/0/0 avec la balise 10
-
Communauté-2 : Les interfaces ne reçoivent aucun trafic
-
VLAN isolés : Les interfaces ne reçoivent aucun trafic
VLAN isolé envoyant du trafic non étiqueté
Dans ce scénario, un VLAN1 isolé sur le commutateur 1 au niveau de l’interface ge-1/0/0 envoie du trafic non balisé. Les flèches représentent Figure 8 ce flux de trafic.
Dans ce scénario, l’activité suivante se déroule sur le commutateur 1 :
VLAN1 isolé sur l’interface ge-1/0/0 : Apprentissage
pvlan100 sur l’interface GE-1/0/0 : Réplication
Sorties de trafic de pvlan-trunk ge-1/0/2 et ae0 avec le tag 50
Communauté-1 et Communauté-2 : Les interfaces ne reçoivent aucun trafic
VLAN isolés : Les interfaces ne reçoivent aucun trafic
Dans ce scénario, cette activité se déroule sur le commutateur 3 :
VLAN sur l’interface ge-0/0/23 (port trunk PVLAN) : Apprentissage
pvlan100 sur l’interface GE0/0/23 : Réplication
Port trunk de promiscuité : Sorties de trafic de ge-0/0/0 avec la balise 100
Communauté-1 et Communauté-2 : Les interfaces ne reçoivent aucun trafic
VLAN isolés : Ne reçoit aucun trafic
Trafic balisé PVLAN envoyé sur un port de promiscuité
Dans ce scénario, le trafic avec balise PVLAN est envoyé sur un port de promiscuité. Les flèches représentent Figure 9 ce flux de trafic.
Dans ce scénario, l’activité suivante se déroule sur le commutateur 1 :
pvlan100 VLAN sur l’interface ae0 (jonction PVLAN) : Apprentissage
Communauté-1, Communauté-2 et tous les VLAN isolés sur l’interface ae0 : Réplication
VLAN sur l’interface ae0 : Réplication
Sorties de trafic de pvlan-trunk ge-1/0/2 avec la balise 100
Communauté-1 et Communauté-2 : Les interfaces reçoivent le trafic
VLAN isolés : Trafic de réception
Dans ce scénario, cette activité se déroule sur le commutateur 3 :
pvlan100 sur l’interface GE-0/0/0 : Apprentissage
Community-1, Community-2 et tous les VLAN isolés sur l’interface ge-0/0/0 : Réplication
VLAN sur l’interface ge-0/0/0 : Réplication
Communauté-1 et Communauté-2 : Les interfaces reçoivent le trafic
VLAN isolés : Trafic de réception
Comprendre les ports trunk VLAN secondaires et les ports d’accès de proximité sur les PVLAN
Les VLAN limitent les diffusions à des utilisateurs spécifiés. Les VLAN privés (PVLAN) poussent ce concept encore plus loin en divisant un VLAN en plusieurs sous-domaines de diffusion et en plaçant essentiellement des VLAN secondaires à l’intérieur d’un VLAN principal. Les PVLAN restreignent les flux de trafic via leurs ports membres afin que ces ports ne communiquent qu’avec un port trunk de liaison montante spécifié ou avec des ports spécifiés dans le même VLAN. Le port trunk de liaison montante est généralement connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. Un PVLAN contient généralement de nombreux ports privés qui ne communiquent qu’avec une seule liaison montante, empêchant ainsi les ports de communiquer entre eux.
Les ports trunk secondaires et les ports d’accès de proximité étendent les fonctionnalités des PVLAN pour une utilisation dans des déploiements complexes, tels que :
Environnements d’infrastructure VMWare d’entreprise
Services cloud mutualisés avec gestion des machines virtuelles
Services d’hébergement Web pour plusieurs clients
Par exemple, vous pouvez utiliser des ports trunk VLAN secondaires pour connecter des périphériques QFX à des serveurs VMware configurés avec des VLAN privés. Vous pouvez utiliser des ports d’accès de promiscuité pour connecter des équipements QFX à des systèmes qui ne prennent pas en charge les ports trunk, mais qui doivent participer à des VLAN privés.
Cette rubrique explique les concepts suivants concernant les réseaux PVLAN sur le QFX Series :
Types de ports PVLAN
Les PVLAN peuvent utiliser les différents types de ports suivants :
Port trunk de promiscuité : un port de proximité est un port trunk en amont connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. Un port trunk de promiscuité peut communiquer avec toutes les interfaces, y compris les ports isolés et communautaires au sein d’un PVLAN.
Port de jonction PVLAN : un port de jonction PVLAN est requis dans les configurations PVLAN à commutateurs multiples pour étendre les commutateurs. Le port trunk PVLAN est membre de tous les VLAN à l’intérieur du PVLAN (c’est-à-dire le VLAN principal, les VLAN communautaires et le VLAN isolé d’intercommutateur). Il achemine le trafic du VLAN principal et de tous les VLAN secondaires. Il peut communiquer avec tous les ports.
La communication entre un port trunk PVLAN et un port isolé est généralement unidirectionnelle. L’appartenance d’un port de jonction PVLAN au VLAN isolé d’intercommutateur est de sortie uniquement, ce qui signifie qu’un port isolé peut transférer des paquets vers un port de jonction PVLAN, mais qu’un port de jonction PVLAN ne transfère pas les paquets vers un port isolé (sauf si les paquets entrent sur un port d’accès de promiscuité et sont donc transférés à tous les VLAN secondaires du même VLAN principal que le port de promiscuité).
Port de jonction VLAN secondaire : les ports de jonction VLAN secondaire transportent le trafic VLAN secondaire. Pour un VLAN privé (primaire) donné, un port trunk VLAN secondaire ne peut transporter le trafic que d’un seul VLAN secondaire. Toutefois, un port trunk VLAN secondaire peut transporter le trafic de plusieurs VLAN secondaires, à condition que chaque VLAN secondaire soit membre d’un VLAN principal différent. Par exemple, un port VLAN trunk secondaire peut transporter le trafic d’un VLAN communautaire qui fait partie du VLAN principal pvlan100 et également transporter le trafic d’un VLAN isolé qui fait partie du VLAN principal pvlan400.
REMARQUE :Lorsque le trafic sort d’un port trunk VLAN secondaire, il porte normalement la balise du VLAN principal dont le port secondaire est membre. Si vous souhaitez que le trafic sortant d’un port trunk VLAN secondaire conserve sa balise VLAN secondaire, utilisez l’instruction extend-secondary-vlan-id .
Port communautaire—Les ports communautaires communiquent entre eux et avec leurs ports de promiscuité. Les ports communautaires ne sont destinés qu’à un groupe restreint d’utilisateurs. Ces interfaces sont séparées au niveau de la couche 2 de toutes les autres interfaces situées dans d’autres communautés ou ports isolés au sein de leur réseau PVLAN.
Port d’accès isolé : les ports isolés ont une connectivité de couche 2 uniquement avec des ports de proximité et des ports trunk PVLAN. Un port d’accès isolé ne peut pas communiquer avec un autre port isolé, même si ces deux ports sont membres du même VLAN isolé.
Port d’accès de promiscuité : ces ports transportent du trafic non balisé et ne peuvent être membres que d’un seul VLAN principal. Le trafic entrant sur un port d’accès de proximité est redirigé vers les ports des VLAN secondaires membres du VLAN principal dont le port d’accès de proximité est membre. Dans ce cas, le trafic porte la balise VLAN secondaire appropriée lorsqu’il sort du port VLAN secondaire si le port VLAN secondaire est un port trunk. Si le trafic pénètre sur un port VLAN secondaire et sort sur un port d’accès de proximité, le trafic sortant n’est pas balisé. Si le trafic balisé pénètre sur un port d’accès de promiscuité, le trafic est ignoré.
Détails du port trunk VLAN secondaire
Lors de l’utilisation d’un port trunk VLAN secondaire, tenez compte des points suivants :
Vous devez configurer un ID de VLAN d’isolation pour chaque VLAN principal auquel le port trunk VLAN secondaire participera. Cela est vrai même si les VLAN secondaires transportés par le port trunk VLAN secondaire sont limités à un seul équipement.
Si vous configurez un port pour qu’il soit un port de jonction VLAN secondaire pour un VLAN principal donné, vous pouvez également configurer le même port physique pour qu’il soit l’un des éléments suivants :
Port trunk VLAN secondaire pour un autre VLAN principal
Jonction PVLAN pour un autre VLAN principal
Port trunk de promiscuité
Port d’accès pour un VLAN non privé
Le trafic qui pénètre sur un port trunk VLAN secondaire (avec une balise VLAN secondaire) et qui sort sur un port trunk PVLAN conserve la balise VLAN secondaire à la sortie.
Le trafic qui entre sur un port trunk VLAN secondaire et qui sort sur un port trunk de promiscuité possède la balise VLAN principale appropriée à la sortie.
Le trafic entrant sur un port trunk VLAN secondaire et sortant sur un port d’accès de proximité n’est pas balisé à la sortie.
Le trafic qui pénètre sur un port trunk de promiscuité avec une balise VLAN principale et qui sort sur un port trunk VLAN secondaire porte la balise VLAN secondaire appropriée à la sortie. Par exemple, supposons que vous ayez configuré les éléments suivants sur un commutateur :
VLAN primaire 100
VLAN communautaire 200 dans le cadre du VLAN principal
Port trunk de promiscuité
Port trunk secondaire qui transporte le VLAN 200 de la communauté
Si un paquet entre sur le port trunk de promiscuité avec la balise VLAN principale 100 et sort sur le port trunk VLAN secondaire, il porte la balise 200 à la sortie.
Cas d'usage
Sur la même interface physique, vous pouvez configurer plusieurs ports trunk VLAN secondaires (dans différents VLAN principaux) ou combiner un port trunk VLAN secondaire avec d’autres types de ports VLAN. Les cas d’utilisation suivants fournissent des exemples de ce fonctionnement et montrent comment le trafic serait fluide dans chaque cas :
- Jonctions VLAN secondaires dans deux VLAN principaux
- Jonction VLAN secondaire et liaison de promiscuité
- Jonction VLAN secondaire et jonction PVLAN
- Jonction VLAN secondaire et interface VLAN non privée
- Trafic entrant sur un port d’accès de proximité
Jonctions VLAN secondaires dans deux VLAN principaux
Pour ce cas d’utilisation, supposons que vous disposez de deux commutateurs avec la configuration suivante :
VLAN primaire pvlan100 avec balise 100.
Le VLAN isolé isolated200 avec le tag 200 est membre de pvlan100.
Le VLAN communautaire comm300 avec tag 300 est membre de pvlan100.
VLAN primaire pvlan400 avec tag 400.
VLAN isolé Isolated500 avec tag 500 est membre de pvlan400.
Le VLAN communautaire comm600 avec tag 600 est membre de pvlan400.
L’interface xe-0/0/0 sur le commutateur 1 se connecte à un serveur VMware (non illustré) configuré avec les VLAN privés utilisés dans cet exemple. Cette interface est configurée avec des ports trunk VLAN secondaires pour transporter le trafic du VLAN secondaire comm600 et du VLAN isolé (balise 200) membre de pvlan100.
L’interface xe-0/0/0 sur le commutateur 2 est configurée comme un port trunk ou un port d’accès promiscuité. Dans ce dernier cas, vous pouvez supposer qu’il se connecte à un système (non illustré) qui ne prend pas en charge les ports trunk, mais qui est configuré avec les VLAN privés utilisés dans cet exemple.
Sur le commutateur 1, xe-0/0/6 est membre de comm600 et est configuré comme port trunk.
Sur le commutateur 2, xe-0/0/6 est membre de comm600 et est configuré comme port d’accès.
Figure 10 montre cette topologie et la façon dont le trafic pour isolated200 et comm600 circule après l’entrée sur xe-0/0/0 sur le commutateur 1. Notez que le trafic ne s’écoulerait que là où les flèches l’indiquent. Par exemple, il n’y a pas de flèches pour les interfaces xe-0/0/2, xe-0/0/3 et xe-0/0/5 sur le commutateur 1, car aucun paquet ne sortirait sur ces interfaces.
Voici le flux de trafic pour le VLAN isolated200 :
Notez que le trafic pour le VLAN isoléd200 ne sort pas sur le port d’accès isolé xe-0/0/2 sur le commutateur 1 ou sur le port trunk VLAN secondaire xe-0/0/2 sur le commutateur 2, même si ces deux ports sont membres du même VLAN isolé.
Voici le flux de trafic pour le VLAN comm600 :
Une fois que le trafic comm600 est entré sur le port trunk VLAN secondaire sur le commutateur 1, il sort sur le port trunk PVLAN, car le port trunk PVLAN est membre de tous les VLAN. Les paquets conservent la balise VLAN secondaire (600) lors de la sortie.
Le trafic pour comm600 sort également sur le port communautaire xe-0/0/6 sur le commutateur 1. Le trafic est balisé, car le port est configuré en tant que jonction.
Une fois que le trafic comm600 est entré sur le port trunk PVLAN du commutateur 2, il sort sur xe-0/0/0, si cette interface est configurée en tant que port trunk de promiscuité.
REMARQUE :Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès de promiscuité, le port ne peut participer qu’à un seul VLAN principal. Dans ce cas, le port d’accès de promiscuité fait partie de pvlan100, de sorte que le trafic pour comm600 n’en sort pas
Le trafic pour comm600 sort également sur le port communautaire xe-0/0/6 sur le commutateur 2. Dans ce cas, le trafic n’est pas balisé, car le mode de port est accès.
Jonction VLAN secondaire et liaison de promiscuité
Pour ce cas d’usage, supposons que vous ayez deux commutateurs configurés avec les mêmes ports et VLAN que dans le cas d’usage précédent, à une exception près : Dans ce cas, xe-0/0/0 sur le commutateur 1 est configuré en tant que port trunk VLAN secondaire pour VLAN pvlan100 et est également configuré en tant que port trunk de promiscuité pour pvlan400.
Figure 11 montre cette topologie et la façon dont le trafic pour isolated200 (membre de pvlan100) et comm600 (membre de pvlan400) circulerait après l’entrée sur le commutateur 1.
Le flux de trafic pour le VLAN isolated200 est le même que dans le cas d’utilisation précédent, mais le flux pour comm600 est différent. Voici le flux de trafic pour le VLAN comm600 :
Jonction VLAN secondaire et jonction PVLAN
Pour ce cas d’utilisation, supposons que vous avez deux commutateurs configurés avec les mêmes ports et VLAN que dans les cas d’utilisation précédents, sauf que xe-0/0/0 sur le commutateur 1 est configuré en tant que port trunk VLAN secondaire pour VLAN pvlan100 et est également configuré en tant que port trunk PVLAN pour pvlan400.
Figure 12 montre cette topologie et la façon dont le trafic pour comm300 (membre de pvlan100) et comm600 (membre de pvlan400) circulerait après l’entrée sur le commutateur 1.
Voici le flux de trafic pour le VLAN comm300 :
Voici le flux de trafic pour le VLAN comm600 :
Après l’entrée du trafic comm600 sur le port PVLAN xe-0/0/0 sur le commutateur 1, il sort sur le port communautaire xe-0/0/6 sur le commutateur 1. Les paquets conservent la balise VLAN secondaire (600) lors de la sortie car xe-0/0/6 est un port trunk.
Le trafic de comm600 provient également du port trunk PVLAN xe-0/0/1, car ce port trunk PVLAN est membre de tous les VLAN. Les paquets conservent la balise VLAN secondaire (600) lors de la sortie.
Une fois que le trafic comm600 est entré sur le port trunk PVLAN du commutateur 2, il sort sur xe-0/0/0, si cette interface est configurée en tant que port trunk de promiscuité.
Il ne sort pas sur xe-0/0/0 si cette interface est configurée en tant que port d’accès de promiscuité, car le port ne peut participer qu’à pvlan100.
Le trafic pour comm600 sort également sur le port communautaire xe-0/0/6 sur le commutateur 2. Ce trafic n’est pas balisé à la sortie car xe-0/0/6 est un port d’accès.
Jonction VLAN secondaire et interface VLAN non privée
Pour ce cas d’usage, supposons que vous ayez deux commutateurs configurés avec les mêmes ports et VLAN que dans les cas d’usage précédents, à l’exception des différences suivantes :
Configuration de xe-0/0/0 sur le commutateur 1 :
Port trunk VLAN secondaire pour VLAN pvlan100
Port d’accès pour vlan700
Le port xe-0/0/6 sur les deux commutateurs est un port d’accès pour VLAN 700.
Figure 13 montre cette topologie et la façon dont le trafic pour isolated200 (membre de pvlan100) et vlan700 circulerait après l’entrée sur le commutateur 1.
Voici le flux de trafic pour le VLAN isolated200 :
Notez que le trafic pour le VLAN isoléd200 ne sort pas sur le port d’accès isolé xe-0/0/2 sur le commutateur 1 ou sur le port trunk VLAN secondaire xe-0/0/2 sur le commutateur 2, même si ces deux ports sont membres du même VLAN isolé.
Une fois que le trafic du vlan700 a pénétré sur le port d’accès configuré sur xe-0/0/0 sur le commutateur 1, il sort sur le port d’accès xe-0/0/6, car ce port est membre du même VLAN. Le trafic pour le vlan700 n’est pas transféré vers le commutateur 2 (même si xe-0/0/6 sur le commutateur 2 est membre du vlan700) car la jonction PVLAN sur le xe-0/0/1 ne transporte pas ce VLAN.
Trafic entrant sur un port d’accès de proximité
Pour ce cas d’utilisation, supposons que vous avez deux commutateurs configurés avec les mêmes ports et VLAN que dans le cas d’utilisation précédent, sauf que xe-0/0/0 sur le commutateur 1 est configuré comme un port d’accès de promiscuité et est membre de pvlan100. Figure 14 montre cette topologie et la manière dont le trafic non étiqueté circule après avoir pénétré via cette interface sur le commutateur 1.
Comme le montre la figure, le trafic non étiqueté qui pénètre sur un port d’accès de proximité est transféré vers tous les ports de VLAN secondaires membres du même VLAN principal dont le port d’accès de proximité est membre. Le trafic n’est pas balisé lorsqu’il sort des ports d’accès et marqué à la sortie d’un port trunk (xe-0/0/2 sur le commutateur 2).
Utilisation conjointe de l’authentification 802.1X et de VLAN privés sur la même interface
- Comprendre l’utilisation conjointe de l’authentification 802.1X et des PVLAN sur la même interface
- Instructions de configuration pour la combinaison de l’authentification 802.1X avec les PVLAN
- Exemple : Configurer l’authentification 802.1X avec des VLAN privés dans une seule configuration
Comprendre l’utilisation conjointe de l’authentification 802.1X et des PVLAN sur la même interface
Vous pouvez désormais configurer l’authentification 802.1X et les VLAN privés (PVLAN) sur la même interface.
L’authentification IEEE 802.1X assure la sécurité de la périphérie du réseau, protégeant les réseaux locaux Ethernet contre tout accès non autorisé des utilisateurs en bloquant tout le trafic à destination et en provenance d’un demandeur (client) à l’interface jusqu’à ce que les informations d’identification du demandeur soient présentées et mises en correspondance sur le authentication server serveur RADIUS.
Les VLAN privés (PVLAN) fournissent une isolation de couche 2 entre les ports au sein d’un VLAN, divisant un domaine de diffusion en plusieurs sous-domaines de diffusion distincts en créant des VLAN secondaires. Les PVLAN sont utiles pour restreindre le flux de trafic de diffusion et de monodiffusion inconnu et pour limiter la communication entre les hôtes connus.
Sur un commutateur configuré à la fois avec l’authentification 802.1X et des PVLAN, lorsqu’un nouvel équipement est connecté au réseau PVLAN, il est authentifié puis affecté à un VLAN secondaire en fonction de la configuration PVLAN ou du profil RADIUS. L’appareil obtient alors une adresse IP et accède au réseau PVLAN.
Ce document ne fournit pas d’informations détaillées sur l’authentification 802.1X ou les VLAN privés. Pour plus d’informations, consultez la documentation spécifique à ces fonctionnalités. Pour la norme 802.1X, reportez-vous au Guide de l’utilisateur relatif à l’accès utilisateur et à l’authentification. Pour les PVLAN, reportez-vous au Guide de l’utilisateur de la commutation Ethernet.
Instructions de configuration pour la combinaison de l’authentification 802.1X avec les PVLAN
Gardez à l’esprit les directives et limitations suivantes pour configurer ces deux fonctionnalités sur la même interface :
Vous ne pouvez pas configurer une interface compatible 802.1X en tant qu’interface de promiscuité (une interface qui est membre du VLAN principal par configuration) ou en tant qu’interface de liaison intercommutateur (ISL).
Il n’est pas possible d’authentifier plusieurs utilisateurs sur différents VLAN appartenant au même domaine PVLAN sur une interface logique : par exemple, si l’interface ge-0/0/0 est configurée en tant que et que
supplicant multipleles clients C1 et C2 sont authentifiés et ajoutés aux VLAN dynamiques V1 et V2, respectivement, alors V1 et V2 doivent appartenir à des domaines PVLAN différents.Si le VLAN VoIP et le VLAN de données sont différents, ces deux VLAN doivent se trouver dans des domaines PVLAN différents.
Lorsque l’appartenance à un PVLAN est modifiée (c’est-à-dire qu’une interface est reconfigurée dans un autre PVLAN), les clients doivent être réauthentifiés.
Exemple : Configurer l’authentification 802.1X avec des VLAN privés dans une seule configuration
- Conditions préalables
- Présentation
- Configurer l’authentification 802.1X avec des VLAN privés dans une seule configuration
- Vérification
Conditions préalables
Junos OS version 18.2R1 ou ultérieure
Commutateur EX2300, EX3400 ou EX4300
Avant de commencer, spécifiez le ou les serveurs RADIUS à utiliser comme serveur d’authentification. Reportez-vous à la section Spécification des connexions au serveur RADIUS sur les commutateurs (procédure CLI).
Présentation
La section de configuration suivante présente la configuration du profil d’accès, la configuration de l’authentification 802.1X et enfin la configuration des VLAN (y compris les PVLAN).
Configurer l’authentification 802.1X avec des VLAN privés dans une seule configuration
Procédure
Configuration rapide de l’interface de ligne de commande
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Procédure étape par étape
Pour configurer l’authentification 802.1X et les réseaux PVLAN en une seule configuration :
Configurez le profil d’accès :
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
REMARQUE :Le VLAN VoIP configuré ne peut pas être un PVLAN (principal, communautaire ou isolé).
Configurez les paramètres 802.1X :
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
REMARQUE :Le VLAN de données configuré peut également être un VLAN communautaire ou un VLAN isolé.
Configurez les VLAN (y compris les PVLAN) :
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes suivantes show sur le commutateur. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Vérification
- Vérifiez que les adresses MAC des clients sont apprises sur le VLAN principal
- Vérifiez que le VLAN principal est un VLAN authentifié
Vérifiez que les adresses MAC des clients sont apprises sur le VLAN principal
But
Montrez qu’une adresse MAC client a été apprise sur le VLAN principal.
Action
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Vérifiez que le VLAN principal est un VLAN authentifié
But
Indiquez que le VLAN principal est affiché comme un VLAN authentifié.
Action
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsMise en place de la sécurité des ports d’accès sur les VLAN privés
- Comprendre la sécurité des ports d’accès sur les réseaux PVLAN
- Instructions de configuration pour l’installation de fonctionnalités de sécurité des ports d’accès sur les réseaux PVLAN
- Exemple : Configuration de la sécurité des ports d’accès sur un réseau PVLAN
Comprendre la sécurité des ports d’accès sur les réseaux PVLAN
Vous pouvez désormais activer les fonctionnalités de sécurité des ports d’accès, telles que la surveillance DHCP, sur les VLAN privés (PVLAN).
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité PVLAN vous permet de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, en plaçant essentiellement un VLAN à l’intérieur d’un VLAN.
Les réseaux locaux Ethernet sont vulnérables aux attaques telles que l’usurpation d’adresse (falsification) et le déni de service (DoS) de couche 2 sur les équipements réseau. Les fonctions de sécurité de port d’accès suivantes aident à protéger votre équipement contre les pertes d’informations et de productivité que de telles attaques peuvent causer. Vous pouvez désormais configurer ces fonctions de sécurité sur un réseau PVLAN :
Surveillance DHCP : filtre et bloque les messages entrants du serveur DHCP sur les ports non approuvés. L’écoute DHCP crée et gère une base de données d’informations sur les baux DHCP, appelée base de données d’écoute DHCP.
Surveillance DHCPv6 : surveillance DHCP pour IPv6.
Option DHCP 82 : également connue sous le nom d’option Informations sur l’agent de relais DHCP. Aide à protéger le commutateur contre les attaques telles que l’usurpation d’adresses IP et d’adresses MAC et la privation d’adresses IP DHCP. L’option 82 fournit des informations sur l’emplacement réseau d’un client DHCP. Le serveur DHCP utilise ces informations pour implémenter les adresses IP ou d’autres paramètres du client.
Options DHCPv6 :
Option 37 : option d’identification à distance pour DHCPv6 ; Insère des informations sur l’emplacement réseau de l’hôte distant dans les paquets DHCPv6.
Option 18 : option d’ID de circuit pour DHCPv6 ; Insère des informations sur le port client dans les paquets DHCPv6.
Option 16 : option d’ID de fournisseur pour DHCPv6 ; insère des informations sur le fournisseur du matériel client dans les paquets DHCPv6.
Inspection ARP dynamique (DAI) : empêche les attaques par usurpation d’adresse (ARP). Les requêtes et réponses ARP sont comparées aux entrées de la base de données d’écoute DHCP, et les décisions de filtrage sont prises sur la base des résultats de ces comparaisons.
IP Source Guard : atténue les effets des attaques par usurpation d’adresse IP sur le réseau local Ethernet ; valide l’adresse IP source dans le paquet envoyé à partir d’une interface d’accès non approuvée par rapport à la base de données d’écoute DHCP. Si le paquet ne peut pas être validé, il est rejeté.
IPv6 source guard : protection de la source IP pour IPv6.
Inspection de découverte des voisins IPv6 : empêche les attaques par usurpation d’adresse IPv6 ; compare les demandes de découverte de voisinage et les réponses aux entrées de la base de données d’écoute DHCPv6, et les décisions de filtrage sont prises sur la base des résultats de ces comparaisons.
Ce document ne fournit pas d’informations détaillées sur les fonctions de sécurité des ports d’accès ou les PVLAN. Pour plus d’informations, consultez la documentation spécifique à ces fonctionnalités. Pour plus d’informations sur la sécurité des ports d’accès, reportez-vous au Guide d’administration des services de sécurité. Pour les PVLAN, reportez-vous au Guide de l’utilisateur de la commutation Ethernet.
Instructions de configuration pour l’installation de fonctionnalités de sécurité des ports d’accès sur les réseaux PVLAN
Gardez à l’esprit les consignes et limitations suivantes pour configurer les fonctionnalités de sécurité des ports d’accès sur les réseaux PVLAN :
Vous devez appliquer les mêmes fonctionnalités de sécurité de port d’accès sur le VLAN principal et sur tous ses VLAN secondaires.
Un PVLAN ne peut avoir qu’une seule interface de routage et de pontage (IRB) intégrée, et l’interface IRB doit se trouver sur le VLAN principal.
Les limitations relatives aux configurations de sécurité des ports d’accès sur les réseaux PVLAN sont les mêmes que celles des configurations des fonctionnalités de sécurité des ports d’accès qui ne se trouvent pas dans les réseaux PVLAN. Reportez-vous à la documentation sur la sécurité des ports d’accès dans le Guide d’administration des services de sécurité.
Exemple : Configuration de la sécurité des ports d’accès sur un réseau PVLAN
- Conditions préalables
- Présentation
- Configuration de la sécurité des ports d’accès sur un réseau PVLAN
- Vérification
Conditions préalables
Junos OS version 18.2R1 ou ultérieure
Commutateur EX4300
Présentation
La section de configuration suivante présente :
Configuration d’un VLAN privé, avec le VLAN principal () et ses trois VLAN secondaires : les VLAN communautaires ( et ) et les VLAN isolés (
vlan-privlan-hrvlan-iso).vlan-financeConfiguration des interfaces utilisées pour envoyer des communications entre les interfaces de ces VLAN.
Configuration des fonctionnalités de sécurité d’accès sur les VLAN principal et secondaire qui composent le PVLAN.
Tableau 5 Répertorie les paramètres de l’exemple de topologie.
| Interface | Description |
|---|---|
GE-0/0/0.0 |
Interface trunk VLAN principale (vlan1-pri) |
GE-0/0/11.0 |
Utilisateur 1, communauté RH (vlan-hr) |
GE-0/0/12.0 |
Utilisateur 2, communauté RH (vlan-hr) |
GE-0/0/13.0 |
Utilisateur 3, Communauté Finance (vlan-finance) |
GE-0/0/14.0 |
Utilisateur 4, Communauté Finance (vlan-finance) |
GE-0/0/15.0 |
Serveur de messagerie, isolé (vlan-iso) |
GE-0/0/16.0 |
Serveur de sauvegarde, isolé (vlan-iso) |
GE-1/0/0.0 |
Interface trunk VLAN primaire (vlan-pri) |
Configuration de la sécurité des ports d’accès sur un réseau PVLAN
Procédure
Configuration rapide de l’interface de ligne de commande
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Procédure étape par étape
Pour configurer un VLAN privé (PVLAN), puis configurer les fonctionnalités de sécurité des ports d’accès sur ce PVLAN, procédez comme suit :
Configure the PVLAN (Configurer le PVLAN) : créez le VLAN principal et ses VLAN secondaires et attribuez-leur des ID de VLAN. Associez des interfaces aux VLAN. (Pour plus d’informations sur la configuration des VLAN, reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series avec prise en charge ELS (procédure CLI).)
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configurez les fonctionnalités de sécurité des ports d’accès sur le VLAN principal et tous ses VLAN secondaires :
REMARQUE :Lorsque vous configurez l’inspection ARP, la protection de source IP, la protection de source IPv6, l’inspection de découverte de voisinage, l’option DHCP 82 ou les options DHCPv6, la surveillance DHCP et la surveillance DHCPv6 sont automatiquement configurées.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes suivantes show sur le commutateur. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Vérification
Vérifiez que les fonctionnalités de sécurité d’accès fonctionnent comme prévu
But
Vérifiez que les fonctionnalités de sécurité des ports d’accès que vous avez configurées sur votre PVLAN fonctionnent comme prévu.
Action
Utilisez les commandes et CLI clear dhcp-security pour vérifier que les show dhcp-security fonctionnalités fonctionnent comme prévu. Pour plus d’informations sur ces commandes, consultez le Guide d’administration des services de sécurité.
Création d’un VLAN privé sur un commutateur unique avec prise en charge ELS (procédure CLI)
Cette tâche utilise Junos OS pour les commutateurs avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur EX Series exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Création d’un VLAN privé sur un seul commutateur EX Series (procédure CLI). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Les VLAN privés ne sont pas pris en charge sur les commutateurs QFX5100 et les commutateurs QFX10002 exécutant Junos OS version 15.1X53.
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de monodiffusion inconnu ou de limiter la communication entre des hôtes connus. Les VLAN privés (PVLAN) vous permettent de diviser un domaine de diffusion (VLAN principal) en plusieurs sous-domaines de diffusion isolés (VLAN secondaires), plaçant ainsi un VLAN à l’intérieur d’un VLAN. Cette procédure décrit comment créer un PVLAN sur un seul commutateur.
Vous devez spécifier un ID de VLAN pour chaque VLAN secondaire, même si le PVLAN est configuré sur un seul commutateur.
Vous n’avez pas besoin de préconfigurer le VLAN principal. Cette rubrique montre le VLAN principal en cours de configuration dans le cadre de cette procédure de configuration PVLAN.
Pour obtenir la liste des instructions relatives à la configuration des réseaux PVLAN, reportez-vous à la section Présentation des VLAN privés.
Pour configurer un VLAN privé sur un seul commutateur :
Création d’un VLAN privé sur un seul commutateur QFX
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité de VLAN privé (PVLAN) vous permet de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, en plaçant essentiellement un VLAN secondaire à l’intérieur d’un VLAN principal. Cette rubrique décrit comment configurer un PVLAN sur un seul commutateur.
Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Vous n’avez pas besoin de préconfigurer le VLAN principal, il est configuré dans le cadre de cette procédure.) Il n’est pas nécessaire de créer des ID VLAN (balises) pour les VLAN secondaires. Le balisage des VLAN secondaires n’entrave pas le fonctionnement, mais les balises ne sont pas utilisées lorsque les VLAN secondaires sont configurés sur un seul commutateur.
Gardez ces règles à l’esprit lors de la configuration d’un PVLAN :
Le VLAN principal doit être un VLAN balisé.
Si vous souhaitez configurer un VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN. Vous devez également configurer le VLAN principal pour qu’il soit privé à l’aide de l’instruction pvlan .
Si vous souhaitez configurer un VLAN isolé, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN.
Si vous effectuez vos étapes de configuration dans l’ordre indiqué, vous n’enfreindrez pas ces règles PVLAN. Pour configurer un VLAN privé sur un seul commutateur :
Création d’un VLAN privé sur un seul commutateur EX Series (procédure CLI)
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité VLAN privé (PVLAN) des commutateurs EX Series vous permet de diviser un domaine de diffusion, également appelé VLAN principal, en plusieurs sous-domaines de diffusion isolés, également appelés VLAN secondaires. Le fractionnement du VLAN principal en VLAN secondaire imbrique essentiellement un VLAN à l’intérieur d’un autre VLAN. Cette rubrique décrit comment configurer un PVLAN sur un seul commutateur.
Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Contrairement aux VLAN secondaires, vous n’avez pas besoin de préconfigurer le VLAN principal : cette procédure fournit la configuration complète du VLAN principal.) Bien que les balises ne soient pas nécessaires lorsqu’un VLAN secondaire est configuré sur un seul commutateur, la configuration d’un VLAN secondaire en tant que balisé n’affecte pas négativement sa fonctionnalité. Pour obtenir des instructions sur la configuration des VLAN secondaires, reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series.
Gardez ces règles à l’esprit lorsque vous configurez un PVLAN sur un commutateur unique :
Le VLAN principal doit être un VLAN balisé.
La configuration d’un VLAN VoIP sur des interfaces PVLAN n’est pas prise en charge.
Pour configurer un VLAN privé sur un seul commutateur :
Les VLAN isolés ne sont pas configurés dans le cadre de ce processus. Au lieu de cela, elles sont créées en interne si no-local-switching est activé sur le VLAN principal et que le VLAN isolé a des interfaces d’accès en tant que membres.
Pour activer éventuellement le routage entre les VLAN isolés et communautaires en utilisant une interface VLAN routé (RVI) au lieu d’un port de promiscuité connecté à un routeur, reportez-vous à la section Configuration d’une interface VLAN routé dans un VLAN privé sur un commutateur EX Series.
Seul un commutateur EX8200 ou un Virtual Chassis EX8200 prend en charge l’utilisation d’une RVI pour acheminer le trafic de couche 3 entre des VLAN isolés et communautaires dans un domaine PVLAN.
Création d’un VLAN privé couvrant plusieurs commutateurs QFX Series
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité de VLAN privé (PVLAN) vous permet de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, en plaçant essentiellement un VLAN secondaire à l’intérieur d’un VLAN principal. Cette rubrique décrit comment configurer un PVLAN pour qu’il s’étende sur plusieurs commutateurs.
Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Vous n’avez pas besoin de préconfigurer le VLAN principal, il est configuré dans le cadre de cette procédure.) Il n’est pas nécessaire de créer des ID VLAN (balises) pour les VLAN secondaires. Le balisage des VLAN secondaires n’entrave pas le fonctionnement, mais les balises ne sont pas utilisées lorsque les VLAN secondaires sont configurés sur un seul commutateur.
Les règles suivantes s’appliquent à la création de réseaux PVLAN :
Le VLAN principal doit être un VLAN balisé.
Si vous souhaitez configurer un VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN. Vous devez également configurer le VLAN principal pour qu’il soit privé à l’aide de l’instruction pvlan .
Si vous souhaitez configurer un VLAN isolé, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN.
Si vous effectuez vos étapes de configuration dans l’ordre indiqué, vous n’enfreindrez pas ces règles PVLAN. Pour configurer un VLAN privé afin qu’il s’étende sur plusieurs commutateurs :
Création d’un VLAN privé couvrant plusieurs commutateurs EX Series avec prise en charge ELS (procédure CLI)
Cette tâche utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software) Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Création d’un VLAN privé couvrant plusieurs commutateurs EX Series (procédure CLI)). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Les VLAN privés ne sont pas pris en charge sur les commutateurs QFX5100 et les commutateurs QFX10002 exécutant Junos OS version 15.1X53.
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de monodiffusion inconnu ou de limiter la communication entre des hôtes connus. Les VLAN privés (PVLAN) vous permettent de diviser un domaine de diffusion (VLAN principal) en plusieurs sous-domaines de diffusion isolés (VLAN secondaires), plaçant ainsi un VLAN à l’intérieur d’un VLAN. Cette procédure décrit comment configurer un PVLAN pour qu’il s’étende sur plusieurs commutateurs.
Pour obtenir la liste des instructions relatives à la configuration des réseaux PVLAN, reportez-vous à la section Présentation des VLAN privés.
Pour configurer un PVLAN afin qu’il s’étende sur plusieurs commutateurs, effectuez la procédure suivante sur tous les commutateurs qui participeront au PVLAN :
Création d’un VLAN privé couvrant plusieurs commutateurs EX Series (procédure CLI)
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité VLAN privé (PVLAN) des commutateurs EX Series permet à un administrateur de diviser un domaine de diffusion, également appelé VLAN principal, en plusieurs sous-domaines de diffusion isolés, également appelés VLAN secondaires. Le fractionnement du VLAN principal en VLAN secondaire imbrique essentiellement un VLAN à l’intérieur d’un autre VLAN. Cette rubrique décrit comment configurer un PVLAN pour qu’il s’étende sur plusieurs commutateurs.
Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Contrairement aux VLAN secondaires, vous n’avez pas besoin de préconfigurer le VLAN principal : cette procédure fournit la configuration complète du VLAN principal.) Pour obtenir des instructions sur la configuration des VLAN secondaires, reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series.
Les règles suivantes s’appliquent à la création de réseaux PVLAN :
Le VLAN principal doit être un VLAN balisé.
Vous devez configurer le VLAN principal et le port trunk PVLAN avant de configurer les VLAN secondaires.
La configuration d’un VLAN VoIP sur des interfaces PVLAN n’est pas prise en charge.
Si le protocole MVRP (Multiple VLAN Registration Protocol) est configuré sur le port trunk PVLAN, la configuration des VLAN secondaires et du port trunk PVLAN doit être validée avec la même opération de validation.
Pour configurer un VLAN privé afin qu’il s’étende sur plusieurs commutateurs :
Pour activer éventuellement le routage entre les VLAN isolés et communautaires en utilisant une interface VLAN routé (RVI) au lieu d’un port de promiscuité connecté à un routeur, reportez-vous à la section Configuration d’une interface VLAN routé dans un VLAN privé sur un commutateur EX Series.
Seul un commutateur EX8200 ou un Virtual Chassis EX8200 prend en charge l’utilisation d’une RVI pour acheminer le trafic de couche 3 entre des VLAN isolés et communautaires dans un domaine PVLAN.
Exemple : Configuration d’un VLAN privé sur un seul commutateur avec prise en charge d’ELS
Cet exemple utilise Junos OS pour les commutateurs avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur EX exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration d’un VLAN privé sur un seul commutateur EX Series. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Les VLAN privés ne sont pas pris en charge sur les commutateurs QFX5100 et les commutateurs QFX10002 exécutant Junos OS version 15.1X53.
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de monodiffusion inconnu ou de limiter la communication entre des hôtes connus. Les VLAN privés (PVLAN) vous permettent de diviser un domaine de diffusion (VLAN principal) en plusieurs sous-domaines de diffusion isolés (VLAN secondaires), plaçant ainsi un VLAN à l’intérieur d’un VLAN.
Cet exemple décrit comment créer un PVLAN sur un seul commutateur :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur Junos OS
Junos OS version 14.1X53-D10 ou ultérieure pour les commutateurs EX Series
Junos OS version 14.1X53-D15 ou ultérieure pour les commutateurs QFX Series
Vue d’ensemble et topologie
Vous pouvez isoler des groupes d’abonnés pour améliorer la sécurité et l’efficacité. Cet exemple de configuration utilise une topologie simple pour illustrer la création d’un PVLAN avec un VLAN principal et trois VLAN secondaires (un VLAN isolé et deux VLAN communautaires).
Tableau 6 Répertorie les interfaces de la topologie utilisée dans l’exemple.
| Interface | Description |
|---|---|
|
Ports membres de promiscuité |
|
Ports membres VLAN de la communauté RH |
|
Communauté financière Ports membres VLAN |
|
Ports membres isolés |
Tableau 7 répertorie les ID de VLAN de la topologie utilisée dans l’exemple.
| VLAN ID | Description |
|---|---|
|
VLAN principal |
|
VLAN de la communauté RH |
|
VLAN de la communauté financière |
|
VLAN isolé |
Figure 16 montre la topologie de cet exemple.
Configuration
Vous pouvez utiliser un VLAN existant comme base pour votre PVLAN privé et y créer des sous-domaines. Cet exemple crée un VLAN principal (en utilisant le nom vlan-priVLAN) dans le cadre de la procédure.
Pour configurer un PVLAN, effectuez les tâches suivantes :
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Procédure
Procédure étape par étape
Pour configurer le PVLAN :
Créez le VLAN principal (dans cet exemple, le nom est vlan-pri) du VLAN privé :
[edit vlans] user@switch# set vlan-pri vlan-id 100
Créez un VLAN isolé et attribuez-lui un ID de VLAN :
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Créez le VLAN de la communauté RH et attribuez-lui un ID de VLAN :
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Créez le VLAN de la communauté financière et attribuez-lui un ID de VLAN :
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Associez les VLAN secondaires au VLAN principal :
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Définissez les interfaces sur les modes d’interface appropriés :
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Configurez une interface trunk de promiscuité du VLAN principal. Cette interface est utilisée par le VLAN principal pour communiquer avec les VLAN secondaires.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configurez une autre interface trunk (également une interface de promiscuité) du VLAN principal, en connectant le PVLAN au routeur.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Exemple : configuration d’un VLAN privé sur un seul commutateur QFX Series
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité de VLAN privé (PVLAN) permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, plaçant ainsi un VLAN à l’intérieur d’un VLAN.
Cet exemple décrit comment créer un PVLAN sur un seul commutateur :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un appareil QFX3500
Junos OS version 12.1 ou ultérieure pour le QFX Series
Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Reportez-vous à la section Configuration des VLAN sur les commutateurs.
Vue d’ensemble et topologie
Dans un grand bureau avec plusieurs bâtiments et VLAN, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre une topologie simple pour illustrer la création d’un PVLAN avec un VLAN principal et deux VLAN communautaires, l’un pour les RH et l’autre pour la finance, ainsi que deux ports isolés, l’un pour le serveur de messagerie et l’autre pour le serveur de sauvegarde.
Tableau 8 Répertorie les paramètres de l’exemple de topologie.
| Interface | Description |
|---|---|
|
Interface trunk VLAN |
|
Utilisateur 1, Communauté RH ( |
|
Utilisateur 2, Communauté RH ( |
|
Utilisateur 3, Communauté financière ( |
|
Utilisateur 4, Communauté financière ( |
|
Serveur de messagerie, Isolé ( |
|
Serveur de sauvegarde, isolé ( |
|
Interface trunk VLAN |
Configuration
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procédure
Procédure étape par étape
Pour configurer le PVLAN :
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan vlan-id 100
Définissez les interfaces et les modes de port :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Configurez le VLAN principal pour qu’il n’ait pas de commutation locale :
REMARQUE :Le VLAN principal doit être un VLAN balisé.
[edit vlans] user@switch# set pvlan100 pvlan
Ajoutez les interfaces trunk au VLAN principal :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Pour chaque VLAN secondaire, configurez les interfaces d’accès :
REMARQUE :Nous recommandons que les VLAN secondaires soient des VLAN non balisés. Cela n’altère pas le fonctionnement si vous marquez les VLAN secondaires. Toutefois, les balises ne sont pas utilisées lorsqu’un VLAN secondaire est configuré sur un seul commutateur.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Pour chaque VLAN de communauté, définissez le VLAN principal :
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Configurez les interfaces isolées dans le VLAN principal :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création du VLAN privé et du VLAN secondaire
But
Vérifiez que le VLAN principal et le VLAN secondaire ont été correctement créés sur le commutateur.
Action
Utilisez la show vlans commande :
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSens
La sortie indique que le VLAN principal a été créé et identifie les interfaces et les VLAN secondaires qui lui sont associés.
Exemple : Configuration d’un VLAN privé sur un seul commutateur EX Series
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité VLAN privé (PVLAN) des commutateurs EX Series permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, plaçant ainsi un VLAN à l’intérieur d’un VLAN.
Cet exemple décrit comment créer un PVLAN sur un seul commutateur EX Series :
La configuration d’un VLAN voix sur IP (VoIP) sur les interfaces PVLAN n’est pas prise en charge.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series
Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series
Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series.
Vue d’ensemble et topologie
Dans un grand bureau avec plusieurs bâtiments et VLAN, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre une topologie simple pour illustrer la création d’un PVLAN avec un VLAN principal et deux VLAN communautaires, l’un pour les RH et l’autre pour la finance, ainsi que deux ports isolés, l’un pour le serveur de messagerie et l’autre pour le serveur de sauvegarde.
Tableau 9 Répertorie les paramètres de l’exemple de topologie.
| Interface | Description |
|---|---|
ge-0/0/0.0 |
Interface trunk VLANvlan1 () principale |
ge-0/0/11.0 |
Utilisateur 1, Communauté RH (hr-comm) |
ge-0/0/12.0 |
Utilisateur 2, Communauté RH (hr-comm) |
ge-0/0/13.0 |
Utilisateur 3, Communauté financière (finance-comm) |
ge-0/0/14.0 |
Utilisateur 4, Communauté financière (finance-comm) |
ge-0/0/15.0 |
Serveur de messagerie, Isolé (isolated) |
ge-0/0/16.0 |
Serveur de sauvegarde, isolé (isolated) |
ge-1/0/0.0 |
Interface trunk VLAN pvlan () principale |
Figure 17 montre la topologie de cet exemple.
Configuration
Pour configurer un PVLAN, effectuez les tâches suivantes :
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Procédure
Procédure étape par étape
Pour configurer le PVLAN :
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set vlan1 vlan-id 1000
Définissez les interfaces et les modes de port :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Configurez le VLAN principal pour qu’il n’ait pas de commutation locale :
REMARQUE :Le VLAN principal doit être un VLAN balisé.
[edit vlans] user@switch# set vlan1 no-local-switching
Ajoutez les interfaces trunk au VLAN principal :
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Pour chaque VLAN secondaire, configurez les ID de VLAN et les interfaces d’accès :
REMARQUE :Nous recommandons que les VLAN secondaires soient des VLAN non balisés. Cela n’altère pas le fonctionnement si vous marquez les VLAN secondaires. Toutefois, les balises ne sont pas utilisées lorsqu’un VLAN secondaire est configuré sur un seul commutateur.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Pour chaque VLAN de communauté, définissez le VLAN principal :
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Ajoutez chaque interface isolée au VLAN principal :
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création du VLAN privé et du VLAN secondaire
But
Vérifiez que le VLAN principal et le VLAN secondaire ont été correctement créés sur le commutateur.
Action
Utilisez la show vlans commande :
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSens
La sortie indique que le VLAN principal a été créé et identifie les interfaces et les VLAN secondaires qui lui sont associés.
Exemple : Configuration d’un VLAN privé s’étendant sur plusieurs commutateurs QFX
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité de VLAN privé (PVLAN) permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, plaçant ainsi un VLAN à l’intérieur d’un VLAN. Un PVLAN peut s’étendre sur plusieurs commutateurs.
Cet exemple décrit comment créer un réseau PVLAN s’étendant sur plusieurs commutateurs. L’exemple crée un PVLAN principal contenant plusieurs VLAN secondaires :
- Conditions préalables
- Vue d’ensemble et topologie
- Configuration d’un PVLAN sur le commutateur 1
- Configuration d’un PVLAN sur le commutateur 2
- Configuration d’un PVLAN sur le commutateur 3
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Trois appareils QFX3500
Junos OS version 12.1 ou ultérieure pour le QFX Series
Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Reportez-vous à la section Configuration des VLAN sur les commutateurs.
Vue d’ensemble et topologie
Dans un grand bureau avec plusieurs bâtiments et VLAN, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre comment créer un PVLAN s’étendant sur plusieurs périphériques QFX, avec un VLAN principal contenant deux VLAN communautaires (un pour les RH et un pour les finances) et un VLAN isolé entre commutateurs (pour le serveur de messagerie, le serveur de sauvegarde et le serveur CVS). Le PVLAN se compose de trois commutateurs, deux commutateurs d’accès et un commutateur de distribution. Le PVLAN est connecté à un routeur via un port de promiscuité configuré sur le commutateur de distribution.
Les ports isolés du commutateur 1 et du commutateur 2 n’ont pas de connectivité de couche 2 l’un avec l’autre, même s’ils sont inclus dans le même domaine. Reportez-vous à la section Comprendre les VLAN privés.
Figure 18 montre la topologie de cet exemple : deux commutateurs d’accès se connectant à un commutateur de distribution, qui a une connexion (via un port de promiscuité) au routeur.
Tableau 10, Tableau 11et Tableau 12 répertoriez les paramètres de l’exemple de topologie.
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
primary-vlanétiquette 100 isolation-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400 |
Interfaces trunk PVLAN |
ge-0/0/0.0, connecte le commutateur 1 au commutateur 3 ge-0/0/5.0, connecte le commutateur 1 au commutateur 2 |
Interfaces isolées dans le VLAN principal |
ge-0/0/15.0, serveur de messagerie ge-0/0/16.0, serveur de sauvegarde |
Interfaces dans le VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces dans le VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
primary-vlanétiquette 100 isolation-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400 |
Interfaces trunk PVLAN |
ge-0/0/0.0, connecte le commutateur 2 au commutateur 3 ge-0/0/5.0, connecte le commutateur 2 au commutateur 1 |
Interface isolée dans le VLAN principal |
ge-0/0/17.0, serveur CVS |
Interfaces dans le VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces dans le VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
primary-vlanétiquette 100 isolation-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400 |
Interfaces trunk PVLAN |
ge-0/0/0.0, connecte le commutateur 3 au commutateur 1 ge-0/0/1.0, connecte le commutateur 3 au commutateur 2 |
Port de promiscuité |
ge-0/0/2, connecte le PVLAN au routeur REMARQUE :
Vous devez configurer le port trunk qui connecte le PVLAN à un autre commutateur ou routeur en dehors du PVLAN en tant que membre du PVLAN, ce qui le configure implicitement en tant que port de promiscuité. |
Topologie
Configuration d’un PVLAN sur le commutateur 1
Lors de la configuration d’un PVLAN sur plusieurs commutateurs, les règles suivantes s’appliquent :
Le VLAN principal doit être un VLAN balisé. Nous vous recommandons de configurer d’abord le VLAN principal.
Si vous souhaitez configurer un ID de VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port de jonction PVLAN. Vous devez également configurer le VLAN principal pour qu’il soit privé à l’aide de l’instruction pvlan .
Si vous souhaitez configurer un ID de VLAN d’isolation, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN.
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un PVLAN s’étendant sur plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 1 :
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procédure
Procédure étape par étape
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan100 vlan-id 100
Définissez les interfaces trunk PVLAN pour connecter ce VLAN sur les commutateurs voisins :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Définissez le VLAN principal comme étant privé et n’ayant pas de commutation locale :
[edit vlans] user@switch# set pvlan100 pvlan
Définissez l’ID de VLAN pour le finance-comm VLAN communautaire qui s’étend sur les commutateurs :
[edit vlans] user@switch# set finance-comm vlan-id 300
Configurez les interfaces d’accès pour le finance-comm VLAN :
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN de la communauté RH qui s’étend sur les commutateurs.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configurez les interfaces d’accès pour le hr-comm VLAN :
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Définissez l’ID d’isolement d’intercommutateur pour créer un domaine isolé d’intercommutateur qui s’étend sur les commutateurs :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Configurez les interfaces isolées dans le VLAN principal :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
REMARQUE :Lorsque vous configurez un port isolé, incluez-le en tant que membre du VLAN principal, mais ne le configurez pas en tant que membre d’un VLAN communautaire.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Configuration d’un PVLAN sur le commutateur 2
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un VLAN privé s’étendant sur plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 2 :
La configuration du commutateur 2 est identique à celle du commutateur 1, à l’exception de l’interface dans le domaine isolé de l’intercommutateur. Pour le commutateur 2, l’interface est ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Procédure
Procédure étape par étape
Pour configurer un PVLAN sur le commutateur 2 qui s’étendra sur plusieurs commutateurs :
Définissez l’ID de VLAN pour le finance-comm VLAN communautaire qui s’étend sur les commutateurs :
[edit vlans] user@switch# set finance-comm vlan-id 300
Configurez les interfaces d’accès pour le finance-comm VLAN :
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN de la communauté RH qui s’étend sur les commutateurs.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configurez les interfaces d’accès pour le hr-comm VLAN :
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan100 vlan-id 100
Définissez les interfaces trunk PVLAN qui connecteront ce VLAN sur les commutateurs voisins :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Définissez le VLAN principal comme étant privé et n’ayant pas de commutation locale :
[edit vlans] user@switch# set pvlan100 pvlan
Définissez l’ID d’isolement d’intercommutateur pour créer un domaine isolé d’intercommutateur qui s’étend sur les commutateurs :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
REMARQUE :Pour configurer un port isolé, incluez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.
Configurez l’interface isolée dans le VLAN principal :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Configuration d’un PVLAN sur le commutateur 3
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le commutateur 3 afin qu’il fonctionne comme commutateur de distribution de ce PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 3 :
L’interface ge-0/0/2.0 est un port trunk reliant le PVLAN à un routeur.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Procédure
Procédure étape par étape
Pour configurer le commutateur 3 afin qu’il fonctionne comme commutateur de distribution pour ce PVLAN, procédez comme suit :
Définissez l’ID de VLAN pour le finance-comm VLAN communautaire qui s’étend sur les commutateurs :
[edit vlans] user@switch# finance-comm vlan-id 300
Définissez le VLAN principal de ce VLAN communautaire secondaire, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN de la communauté RH qui s’étend sur les commutateurs :
[edit vlans] user@switch# set hr-comm vlan-id 400
Définissez le VLAN principal de ce VLAN communautaire secondaire, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan100 vlan-id 100
Définissez les interfaces trunk PVLAN qui connecteront ce VLAN sur les commutateurs voisins :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Définissez le VLAN principal comme étant privé et n’ayant pas de commutation locale :
[edit vlans] user@switch# set pvlan100 pvlan
Définissez l’ID d’isolement d’intercommutateur pour créer un domaine isolé d’intercommutateur qui s’étend sur les commutateurs :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
REMARQUE :Pour configurer un port isolé, incluez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 1
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 2
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 3
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 1
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 1 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et qu’il comprend deux VLAN isolés, deux VLAN communautaires et un VLAN isolé entre commutateurs. La présence des champs pvlan-trunk et Inter-switch-isolated indique que ce PVLAN s’étend sur plusieurs commutateurs.
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 2
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 2 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique qu’un PVLAN a été créé sur le commutateur 2 et qu’il comprend un VLAN isolé, deux VLAN communautaires et un VLAN isolé entre commutateurs. La présence des champs pvlan-trunk et Inter-switch-isolated indique que ce PVLAN s’étend sur plusieurs commutateurs. Lorsque vous comparez cette sortie à la sortie du commutateur 1, vous pouvez voir que les deux commutateurs appartiennent au même PVLAN (pvlan100).
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 3
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 3 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique que le PVLAN (pvlan100) est configuré sur le commutateur 3 et qu’il ne comprend aucun VLAN isolé, deux VLAN communautaires et un VLAN isolé entre commutateurs. Mais le commutateur 3 fonctionne comme un commutateur de distribution, de sorte que la sortie n’inclut pas d’interfaces d’accès dans le PVLAN. Il affiche uniquement les interfaces qui se connectent pvlan100 entre le commutateur 3 et les pvlan-trunk autres commutateurs (commutateur 1 et commutateur 2) dans le même PVLAN.
Exemple : Configuration d’un VLAN privé s’étendant sur plusieurs commutateurs avec une interface IRB
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité de VLAN privé (PVLAN) permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, plaçant ainsi un VLAN à l’intérieur d’un VLAN. Un PVLAN peut s’étendre sur plusieurs commutateurs. Cet exemple décrit comment créer un réseau PVLAN s’étendant sur plusieurs commutateurs. L’exemple crée un PVLAN principal, contenant plusieurs VLAN secondaires.
Tout comme les VLAN ordinaires, les PVLAN sont isolés au niveau de la couche 2 et nécessitent normalement l’utilisation d’un équipement de couche 3 pour acheminer le trafic. À partir de Junos OS 14.1X53-D30, vous pouvez utiliser une interface de routage et de pontage intégrée (IRB) pour acheminer le trafic de couche 3 entre des équipements connectés à un réseau PVLAN. L’utilisation d’une interface IRB de cette manière peut également permettre aux périphériques du PVLAN de communiquer au niveau de la couche 3 avec des périphériques d’autres VLAN communautaires ou isolés ou avec des périphériques en dehors du PVLAN. Cet exemple montre également comment inclure une interface IRB dans une configuration PVLAN.
- Conditions préalables
- Vue d’ensemble et topologie
- Vue d’ensemble de la configuration
- Configuration d’un PVLAN sur le commutateur 1
- Configuration d’un PVLAN sur le commutateur 2
- Configuration d’un PVLAN sur le commutateur 3
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Trois commutateurs QFX Series ou EX4600
Version de Junos OS avec PVLAN pour QFX Series ou EX4600
Vue d’ensemble et topologie
Dans un grand bureau avec plusieurs bâtiments et VLAN, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre comment créer un PVLAN s’étendant sur plusieurs commutateurs, avec un VLAN principal contenant deux VLAN communautaires (un pour les RH et un pour les finances) et un VLAN isolé entre les commutateurs (pour le serveur de messagerie, le serveur de sauvegarde et le serveur CVS). Le PVLAN se compose de trois commutateurs : deux commutateurs d’accès et un commutateur de distribution. Les appareils du PVLAN sont connectés au niveau de la couche 3 entre eux et aux périphériques en dehors du PVLAN via une interface IRB configurée sur le commutateur de distribution.
Les ports isolés du commutateur 1 et du commutateur 2 n’ont pas de connectivité de couche 2 l’un avec l’autre, même s’ils sont inclus dans le même domaine. Reportez-vous à la section Comprendre les VLAN privés.
Figure 19 montre la topologie de cet exemple.
Tableau 13, Tableau 14et Tableau 15 répertoriez les paramètres de l’exemple de topologie.
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
|
Interfaces de liaison d’intercommutateur |
|
Interfaces isolées dans le VLAN principal |
|
Interfaces dans le VLAN |
|
Interfaces dans le VLAN |
|
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
|
Interfaces de liaison d’intercommutateur |
|
Interface isolée dans le VLAN principal |
|
Interfaces dans le VLAN |
|
Interfaces dans le VLAN |
|
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
|
Interfaces de liaison d’intercommutateur |
|
Port de promiscuité |
REMARQUE :
Vous devez configurer le port trunk qui connecte le PVLAN à un autre commutateur ou routeur en dehors du PVLAN en tant que membre du PVLAN, ce qui le configure implicitement en tant que port de promiscuité. |
Interface IRB |
Configurez l’ARP proxy sans restriction sur l’interface IRB pour permettre la résolution ARP afin que les appareils qui utilisent IPv4 puissent communiquer au niveau de la couche 3. Pour le trafic IPv6, vous devez mapper explicitement une adresse IRB à l’adresse de destination pour permettre la résolution ARP. |
Topologie
Vue d’ensemble de la configuration
Lors de la configuration d’un PVLAN sur plusieurs commutateurs, les règles suivantes s’appliquent :
Le VLAN principal doit être un VLAN balisé.
Le VLAN principal est le seul VLAN qui peut être membre d’une interface de liaison d’intercommutateurs.
Lors de la configuration d’une interface IRB dans un PVLAN, les règles suivantes s’appliquent :
Vous ne pouvez créer qu’une seule interface IRB dans un PVLAN, quel que soit le nombre de commutateurs qui y participent.
L’interface IRB doit être membre du VLAN principal dans le PVLAN.
Chaque appareil hôte auquel vous souhaitez vous connecter au niveau de la couche 3 doit utiliser une adresse IP de l’IRB comme adresse de passerelle par défaut.
Configuration d’un PVLAN sur le commutateur 1
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un PVLAN s’étendant sur plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 1 :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Procédure
Procédure étape par étape
Configurez l’interface xe-0/0/0 pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface xe-0/0/0 pour qu’elle soit une liaison intercommutateur qui transporte tous les VLAN :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configurez pvlan100 (le VLAN principal) pour qu’il soit membre de l’interface xe-0/0/0 :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configurez l’interface xe-0/0/5 pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface xe-0/0/5 pour qu’elle soit une liaison intercommutateur qui transporte tous les VLAN :
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configurez pvlan100 pour qu’il soit membre de l’interface xe-0/0/5 :
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Créez le VLAN communautaire pour l’organisation financière :
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Créez le VLAN communautaire pour l’organisation RH :
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Créez le VLAN isolé pour les serveurs de messagerie et de sauvegarde :
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Créez le VLAN principal et faites en sorte que la communauté et les VLAN isolés en soient membres :
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configurez le VLAN 300 (le VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/11 :
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configurez le VLAN 300 (un VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/12 :
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configurez le VLAN 400 (un VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/13 :
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configurez le VLAN 400 (un VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/14 :
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configurez le VLAN 50 (le VLAN isolé) pour qu’il soit membre de l’interface xe-0/0/15 :
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Configurez le VLAN 50 (le VLAN isolé) pour qu’il soit membre de l’interface xe-0/0/16 :
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuration d’un PVLAN sur le commutateur 2
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un VLAN privé s’étendant sur plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 2 :
La configuration du commutateur 2 est la même que celle du commutateur 1, à l’exception du VLAN isolé. Pour le commutateur 2, l’interface VLAN isolée est xe-0/0/17.0 .
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Procédure
Procédure étape par étape
Configurez l’interface xe-0/0/0 pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface xe-0/0/0 pour qu’elle soit une liaison intercommutateur qui transporte tous les VLAN :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configurez pvlan100 (le VLAN principal) pour qu’il soit membre de l’interface xe-0/0/0 :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configurez l’interface xe-0/0/5 pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface xe-0/0/5 pour qu’elle soit une liaison intercommutateur qui transporte tous les VLAN :
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configurez pvlan100 pour qu’il soit membre de l’interface xe-0/0/5 :
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Créez le VLAN communautaire pour l’organisation financière :
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Créez le VLAN communautaire pour l’organisation RH :
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Créez le VLAN isolé pour les serveurs de messagerie et de sauvegarde :
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Créez le VLAN principal et faites en sorte que la communauté et les VLAN isolés en soient membres :
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configurez le VLAN 300 (le VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/11 :
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configurez le VLAN 300 (un VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/12 :
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configurez le VLAN 400 (un VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/13 :
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configurez le VLAN 400 (un VLAN communautaire) pour qu’il soit membre de l’interface xe-0/0/14 :
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configurez le VLAN 50 (le VLAN isolé) pour qu’il soit membre de l’interface xe-0/0/17 :
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuration d’un PVLAN sur le commutateur 3
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le commutateur 3 afin qu’il fonctionne comme commutateur de distribution de ce PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 3 :
L’interface xe-0/0/2.0 est un port trunk reliant le PVLAN à un autre réseau.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Procédure
Procédure étape par étape
Pour configurer le commutateur 3 afin qu’il fonctionne comme commutateur de distribution pour ce PVLAN, procédez comme suit :
Configurez l’interface xe-0/0/0 pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface xe-0/0/0 pour qu’elle soit une liaison intercommutateur qui transporte tous les VLAN :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configurez pvlan100 (le VLAN principal) pour qu’il soit membre de l’interface xe-0/0/0 :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configurez l’interface xe-0/0/5 pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface xe-0/0/5 pour qu’elle soit une liaison intercommutateur qui transporte tous les VLAN :
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configurez pvlan100 pour qu’il soit membre de l’interface xe-0/0/5 :
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Configurez l’interface xe-0/0/2 (l’interface de promiscuité) pour qu’elle soit une jonction :
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Configurez pvlan100 pour qu’il soit membre de l’interface xe-0/0/2 :
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Créez le VLAN principal :
[edit vlans] set vlans pvlan100 vlan-id 100
Créez l’interface
irbIRB et attribuez-lui une adresse dans le sous-réseau utilisé par les périphériques connectés aux commutateurs 1 et 2 :[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
REMARQUE :Chaque équipement hôte que vous souhaitez connecter au niveau de la couche 3 doit se trouver dans le même sous-réseau que l’interface IRB et utiliser l’adresse IP de l’interface IRB comme adresse de passerelle par défaut.
Complétez la configuration de l’interface IRB en liant l’interface au VLAN
pvlan100principal :[edit vlans] set pvlan100 l3-interface irb.100
Configurez l’ARP du proxy sans restriction pour chaque unité de l’interface IRB afin que la résolution ARP fonctionne pour le trafic IPv4 :
[edit interfaces] set irb unit 100 proxy-arp unrestricted
REMARQUE :Étant donné que les appareils de la communauté et les VLAN isolés sont isolés au niveau de la couche 2, cette étape est nécessaire pour permettre la résolution ARP entre les VLAN et permettre aux appareils utilisant IPv4 de communiquer au niveau de la couche 3. (Pour le trafic IPv6, vous devez mapper explicitement une adresse IRB à l’adresse de destination pour permettre la résolution ARP.)
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 1
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 2
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 3
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 1
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 1 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et qu’il comprend deux VLAN isolés, deux VLAN communautaires et un VLAN isolé entre commutateurs. La présence des champs Trunk (Jonction) et Inter-switch-isolated (Isolé entre les commutateurs) indique que ce PVLAN s’étend sur plusieurs commutateurs.
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 2
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 2 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique qu’un PVLAN a été créé sur le commutateur 2 et qu’il comprend un VLAN isolé, deux VLAN communautaires et un VLAN isolé entre commutateurs. La présence des champs Trunk (Jonction) et Inter-switch-isolated (Isolé entre les commutateurs) indique que ce PVLAN s’étend sur plusieurs commutateurs. Lorsque vous comparez cette sortie à la sortie du commutateur 1, vous pouvez voir que les deux commutateurs appartiennent au même PVLAN (pvlan100).
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 3
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 3 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique que le PVLAN (pvlan100) est configuré sur le commutateur 3 et qu’il ne comprend aucun VLAN isolé, deux VLAN communautaires et un VLAN isolé entre commutateurs. Mais le commutateur 3 fonctionne comme un commutateur de distribution, de sorte que la sortie n’inclut pas d’interfaces d’accès dans le PVLAN. Il affiche uniquement les interfaces trunk qui se connectent pvlan100 du commutateur 3 aux autres commutateurs (commutateur 1 et commutateur 2) dans le même PVLAN.
Exemple : Configuration d’un VLAN privé couvrant plusieurs commutateurs EX Series
Pour des raisons de sécurité, il est souvent utile de restreindre le flux de trafic de diffusion et de unicast inconnu et même de limiter la communication entre des hôtes connus. La fonctionnalité VLAN privé (PVLAN) des commutateurs EX Series permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, plaçant ainsi un VLAN à l’intérieur d’un VLAN. Un PVLAN peut s’étendre sur plusieurs commutateurs.
Cet exemple décrit comment créer un PVLAN couvrant plusieurs commutateurs EX Series. L’exemple crée un PVLAN principal, contenant plusieurs VLAN secondaires :
La configuration d’un VLAN voix sur IP (VoIP) sur les interfaces PVLAN n’est pas prise en charge.
- Conditions préalables
- Vue d’ensemble et topologie
- Configuration d’un PVLAN sur le commutateur 1
- Configuration d’un PVLAN sur le commutateur 2
- Configuration d’un PVLAN sur le commutateur 3
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Trois commutateurs EX Series
Junos OS version 10.4 ou ultérieure pour les commutateurs EX Series
Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series.
Vue d’ensemble et topologie
Dans un grand bureau avec plusieurs bâtiments et VLAN, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre comment créer un PVLAN couvrant plusieurs commutateurs EX Series, avec un VLAN principal contenant deux VLAN communautaires (un pour les RH et un pour la finance) et un VLAN isolé entre les commutateurs (pour le serveur de messagerie, le serveur de sauvegarde et le serveur CVS). Le PVLAN se compose de trois commutateurs, deux commutateurs d’accès et un commutateur de distribution. Le PVLAN est connecté à un routeur via un port de promiscuité configuré sur le commutateur de distribution.
Les ports isolés des commutateurs 1 et 2 n’ont pas de connectivité de couche 2 entre eux, même s’ils sont inclus dans le même domaine. Reportez-vous à la section Présentation des VLAN privés.
Figure 20 montre la topologie de cet exemple : deux commutateurs d’accès se connectant à un commutateur de distribution, qui a une connexion (via un port de promiscuité) au routeur.
Tableau 16, Tableau 17et Tableau 18 répertoriez les paramètres de l’exemple de topologie.
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
primary-vlanétiquette 100 isolation-idétiquette 50finance-commétiquette 300hr-commétiquette 400 |
Interfaces trunk PVLAN |
ge-0/0/0.0, connecte le commutateur 1 au commutateur 3 ge-0/0/5.0, connecte l’interrupteur 1 à l’interrupteur 2 |
Interfaces dans le VLAN isolation |
ge-0/0/15.0, Serveur de messagerie ge-0/0/16.0, Serveur de sauvegarde |
Interfaces dans le VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces dans le VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
primary-vlanétiquette 100 isolation-idétiquette 50finance-commétiquette 300hr-commétiquette 400 |
Interfaces trunk PVLAN |
ge-0/0/0.0, connecte le commutateur 2 au commutateur 3 ge-0/0/5.0, connecte l’interrupteur 2 à l’interrupteur 1 |
Interfaces dans le VLAN isolation |
ge-0/0/17.0,serveur CVS |
Interfaces dans le VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces dans le VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propriété | Paramètres |
|---|---|
Noms VLAN et ID de balise |
primary-vlanétiquette 100 isolation-idétiquette 50finance-commétiquette 300hr-commétiquette 400 |
Interfaces trunk PVLAN |
ge-0/0/0.0, connecte le commutateur 3 au commutateur 1 ge-0/0/1.0, connecte l’interrupteur 3 à l’interrupteur 2 |
Port de promiscuité |
ge-0/0/2, connecte le réseau PVLAN au routeur REMARQUE :
Vous devez configurer le port trunk qui connecte le PVLAN à un autre commutateur ou routeur en dehors du PVLAN en tant que membre du PVLAN, ce qui le configure implicitement en tant que port de promiscuité. |
Topologie
Configuration d’un PVLAN sur le commutateur 1
Configuration rapide de l’interface de ligne de commande
Lors de la configuration d’un PVLAN sur plusieurs commutateurs, les règles suivantes s’appliquent :
Le VLAN principal doit être un VLAN balisé. Nous vous recommandons de configurer d’abord le VLAN principal.
La configuration d’un VLAN voix sur IP (VoIP) sur les interfaces PVLAN n’est pas prise en charge.
Si vous souhaitez configurer un ID de VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port de jonction PVLAN.
Si vous souhaitez configurer un ID de VLAN d’isolation, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN.
Les VLAN secondaires et le port de jonction PVLAN doivent être validés sur une seule validation si MVRP est configuré sur le port de jonction PVLAN.
Pour créer et configurer rapidement un PVLAN s’étendant sur plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 1 :
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procédure
Procédure étape par étape
Effectuez les étapes de configuration ci-dessous dans l’ordre indiqué, et effectuez également toutes les étapes avant de valider la configuration en une seule validation. C’est le moyen le plus simple d’éviter les messages d’erreur déclenchés par la violation de l’une de ces trois règles :
Si vous souhaitez configurer un ID de VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port de jonction PVLAN.
Si vous souhaitez configurer un ID de VLAN d’isolation, vous devez d’abord configurer le VLAN principal et le port trunk PVLAN.
Les VLAN secondaires et une jonction PVLAN doivent être validés sur un seul commit.
Pour configurer un PVLAN sur le commutateur 1 qui s’étendra sur plusieurs commutateurs :
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan100 vlan–id 100
Définissez les interfaces trunk PVLAN qui connecteront ce VLAN sur les commutateurs voisins :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configurez le VLAN principal pour qu’il n’ait pas de commutation locale :
[edit vlans] user@switch# set pvlan100 no-local-switching
Définissez l’ID de VLAN pour le finance-comm VLAN communautaire qui s’étend sur les commutateurs :
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configurez les interfaces d’accès pour le finance-comm VLAN :
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN de la communauté RH qui s’étend sur les commutateurs.
[edit vlans] user@switch# hr-comm vlan-id 400
Configurez les interfaces d’accès pour le hr-comm VLAN :
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Définissez l’ID isolé entre commutateurs pour créer un domaine isolé entre commutateurs qui s’étend sur les commutateurs :
[edit vlans] user@switch# set pvlan100 isolation-id 50
REMARQUE :Pour configurer un port isolé, incluez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Configuration d’un PVLAN sur le commutateur 2
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement un VLAN privé s’étendant sur plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 2 :
La configuration du commutateur 2 est la même que celle du commutateur 1, à l’exception de l’interface dans le domaine isolé entre les commutateurs. Pour le commutateur 2, l’interface est ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procédure
Procédure étape par étape
Pour configurer un PVLAN sur le commutateur 2 qui s’étendra sur plusieurs commutateurs :
Définissez l’ID de VLAN pour le finance-comm VLAN communautaire qui s’étend sur les commutateurs :
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configurez les interfaces d’accès pour le finance-comm VLAN :
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN de la communauté RH qui s’étend sur les commutateurs.
[edit vlans] user@switch# hr-comm vlan-id 400
Configurez les interfaces d’accès pour le hr-comm VLAN :
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Définissez le VLAN principal de ce VLAN communautaire secondaire, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan100 vlan–id 100
Définissez les interfaces trunk PVLAN qui connecteront ce VLAN sur les commutateurs voisins :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configurez le VLAN principal pour qu’il n’ait pas de commutation locale :
[edit vlans] user@switch# set pvlan100 no-local-switching
Définissez l’ID isolé entre commutateurs pour créer un domaine isolé entre commutateurs qui s’étend sur les commutateurs :
[edit vlans] user@switch# set pvlan100 isolation-id 50
REMARQUE :Pour configurer un port isolé, incluez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Configuration d’un PVLAN sur le commutateur 3
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le commutateur 3 afin qu’il fonctionne comme commutateur de distribution de ce PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur 3 :
L’interface ge-0/0/2.0 est un port trunk reliant le PVLAN à un routeur.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procédure
Procédure étape par étape
Pour configurer le commutateur 3 afin qu’il fonctionne comme commutateur de distribution pour ce PVLAN, procédez comme suit :
Définissez l’ID de VLAN pour le finance-comm VLAN communautaire qui s’étend sur les commutateurs :
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Définissez le VLAN principal de ce VLAN communautaire secondaire, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN de la communauté RH qui s’étend sur les commutateurs :
[edit vlans] user@switch# hr-comm vlan-id 400
Définissez le VLAN principal de ce VLAN communautaire secondaire, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Définissez l’ID de VLAN pour le VLAN principal :
[edit vlans] user@switch# set pvlan100 vlan–id 100
Définissez les interfaces trunk PVLAN qui connecteront ce VLAN sur les commutateurs voisins :
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configurez le VLAN principal pour qu’il n’ait pas de commutation locale :
[edit vlans] user@switch# set pvlan100 no-local-switching
Définissez l’ID isolé entre commutateurs pour créer un domaine isolé entre commutateurs qui s’étend sur les commutateurs :
[edit vlans] user@switch# set pvlan100 isolation-id 50
REMARQUE :Pour configurer un port isolé, incluez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 1
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 2
- Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 3
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 1
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 1 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et qu’il comprend deux VLAN isolés, deux VLAN communautaires et un VLAN isolé entre commutateurs. La présence des pvlan-trunk champs et Inter-switch-isolated indique que ce PVLAN s’étend sur plusieurs commutateurs.
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 2
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 2 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et qu’il comprend deux VLAN isolés, deux VLAN communautaires et un VLAN isolé entre commutateurs. La présence des pvlan-trunk champs et Inter-switch-isolated indique qu’il s’agit d’un PVLAN couvrant plusieurs commutateurs. Lorsque vous comparez cette sortie à la sortie du commutateur 1, vous pouvez voir que les deux commutateurs appartiennent au même PVLAN (pvlan100).
Vérification de la création du VLAN principal et du VLAN secondaire sur le commutateur 3
But
Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 3 :
Action
Utilisez la show vlans extensive commande :
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Sens
La sortie indique que le PVLAN (pvlan100) est configuré sur le commutateur 3 et qu’il comprend deux VLAN isolés, deux VLAN communautaires et un VLAN isolé entre commutateurs. Mais le commutateur 3 fonctionne comme un commutateur de distribution, de sorte que la sortie n’inclut pas d’interfaces d’accès dans le PVLAN. Il affiche uniquement les interfaces qui se connectent pvlan100 entre le commutateur 3 et les pvlan-trunk autres commutateurs (commutateur 1 et commutateur 2) dans le même PVLAN.
Exemple : Configuration des réseaux PVLAN avec des ports trunk VLAN secondaires et des ports d’accès de promiscuité sur un commutateur QFX Series
Cet exemple montre comment configurer des ports trunk VLAN secondaires et des ports d’accès de proximité dans le cadre d’une configuration VLAN privée. Les ports trunk VLAN secondaires transportent le trafic VLAN secondaire.
Cet exemple utilise Junos OS pour les commutateurs qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Pour un VLAN privé donné, un port trunk VLAN secondaire ne peut transporter le trafic que pour un seul VLAN secondaire. Toutefois, un port trunk VLAN secondaire peut transporter le trafic de plusieurs VLAN secondaires, à condition que chaque VLAN secondaire soit membre d’un VLAN privé (principal) différent. Par exemple, un port VLAN trunk secondaire peut transporter le trafic d’un VLAN communautaire qui fait partie du VLAN principal pvlan100 et également transporter le trafic d’un VLAN isolé qui fait partie du VLAN principal pvlan400.
Pour configurer un port trunk afin qu’il achemine le trafic VLAN secondaire, utilisez les instructions isolated and interface , comme indiqué dans les étapes 12 et 13 dans l’exemple de configuration du commutateur 1.
Lorsque le trafic sort d’un port trunk VLAN secondaire, il porte normalement la balise du VLAN principal dont le port secondaire est membre. Si vous souhaitez que le trafic sortant d’un port trunk VLAN secondaire conserve sa balise VLAN secondaire, utilisez l’instruction extend-secondary-vlan-id .
Un port d’accès de promiscuité achemine le trafic non balisé et ne peut être membre que d’un seul VLAN principal. Le trafic entrant sur un port d’accès de proximité est redirigé vers les ports des VLAN secondaires membres du VLAN principal dont le port d’accès de proximité est membre. Ce trafic porte les balises VLAN secondaires appropriées lorsqu’il sort des ports VLAN secondaires si le port VLAN secondaire est un port trunk.
Pour configurer un port d’accès afin qu’il soit de promiscuité, utilisez l’instruction de promiscuité , comme illustré à l’étape 12 de l’exemple de configuration du commutateur 2.
Si le trafic pénètre sur un port VLAN secondaire et sort sur un port d’accès de proximité, le trafic sortant n’est pas balisé. Si le trafic balisé pénètre sur un port d’accès de promiscuité, le trafic est ignoré.
- Conditions préalables
- Vue d’ensemble et topologie
- Configuration des PVLAN sur le commutateur 1
- Configuration des PVLAN sur le commutateur 2
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux équipements QFX
Junos OS version 12.2 ou ultérieure pour le QFX Series
Vue d’ensemble et topologie
Figure 21 Affiche la topologie utilisée dans cet exemple. Le commutateur 1 comprend plusieurs VLAN privés primaires et secondaires, ainsi que deux ports trunk VLAN secondaires configurés pour transporter des VLAN secondaires membres des VLAN principaux pvlan100 et pvlan400.
Le commutateur 2 inclut les mêmes VLAN privés. La figure montre xe-0/0/0 sur le commutateur 2 tel qu’il est configuré avec des ports d’accès ou des ports trunk de promiscuité. L’exemple de configuration inclus ici configure ce port en tant que port d’accès de promiscuité.
La figure montre également comment le trafic circule après avoir pénétré sur les ports trunk VLAN secondaires du commutateur 1.
Tableau 19 et Tableau 20 répertoriez les paramètres de l’exemple de topologie sur les deux commutateurs.
| Composant | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN communautaire, membre de pvlan100 |
comm600, ID 600 |
VLAN communautaire, membre de pvlan400 |
id-vlan d’isolement 200 |
ID de VLAN pour VLAN isolé, membre de pvlan100 |
isolation – VLAN-ID 500 |
ID VLAN pour VLAN isolé, membre de pvlan400 |
xe-0/0/0.0 |
Port trunk VLAN secondaire pour les VLAN principaux pvlan100 et pvlan400 |
xe-0/0/1.0 |
Port trunk PVLAN pour VLAN principal pvlan100 et pvlan400 |
xe-0/0/2.0 |
Port d’accès isolé pour pvlan100 |
xe-0/0/3.0 |
Port d’accès communautaire pour comm300 |
xe-0/0/5.0 |
Port d’accès isolé pour pvlan400 |
xe-0/0/6.0 |
Port trunk communautaire pour comm600 |
| Composant | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN communautaire, membre de pvlan100 |
comm600, ID 600 |
VLAN communautaire, membre de pvlan400 |
id-vlan d’isolement 200 |
ID de VLAN pour VLAN isolé, membre de pvlan100 |
isolation – VLAN-ID 500 |
ID VLAN pour VLAN isolé, membre de pvlan400 |
xe-0/0/0.0 |
Port d’accès de proximité pour les VLAN principaux pvlan100 |
xe-0/0/1.0 |
Port trunk PVLAN pour VLAN principal pvlan100 et pvlan400 |
xe-0/0/2.0 |
Port trunk secondaire pour VLAN isolé, membre de pvlan100 |
xe-0/0/3.0 |
Port d’accès communautaire pour comm300 |
xe-0/0/5.0 |
Port d’accès isolé pour pvlan400 |
xe-0/0/6.0 |
Port d’accès communautaire pour comm600 |
Configuration des PVLAN sur le commutateur 1
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement les PVLAN sur le commutateur 1, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutateur :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procédure
Procédure étape par étape
Pour configurer les VLAN privés et les ports trunk VLAN secondaires :
Configurez les interfaces et les modes de port :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Créez les VLAN principaux :
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
REMARQUE :Les VLAN principaux doivent toujours être étiquetés VLAN, même s’ils n’existent que sur un seul équipement.
Configurez les VLAN principaux pour qu’ils soient privés :
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configurez le port trunk PVLAN pour qu’il transporte le trafic VLAN privé entre les commutateurs :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Créez un VLAN secondaire comm300 avec l’ID de VLAN 300 :
[edit vlans] user@switch# set comm300 vlan-id 300
Configurez le VLAN principal pour comm300 :
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configurez l’interface pour comm300 :
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Créez un VLAN secondaire comm600 avec l’ID de VLAN 600 :
[edit vlans] user@switch# set comm600 vlan-id 600
Configurez le VLAN principal pour comm600 :
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configurez l’interface pour comm600 :
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configurez les VLAN isolés de l’intercommutateur :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
REMARQUE :Lorsque vous configurez un port trunk VLAN secondaire pour transporter un VLAN isolé, vous devez également configurer un isolation-vlan-id. Et ce, même si le VLAN isolé n’existe que sur un seul commutateur.
Activez le port trunk xe-0/0/0 pour transporter les VLAN secondaires pour les VLAN principaux :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configurez le port trunk xe-0/0/0 pour transporter comm600 (membre de pvlan400) :
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
REMARQUE :Vous n’avez pas besoin de configurer explicitement xe-0/0/0 pour transporter le trafic VLAN isolé (balises 200 et 500), car tous les ports isolés de pvlan100 et pvlan400, y compris xe-0/0/0.0, sont automatiquement inclus dans les VLAN isolés créés lorsque vous avez configuré
isolation-vlan-id 200etisolation-vlan-id 500.Configurez xe-0/0/2 et xe-0/0/6 pour qu’ils soient isolés :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Résultats
Vérifiez les résultats de la configuration sur le commutateur 1 :
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuration des PVLAN sur le commutateur 2
La configuration du commutateur 2 est presque identique à celle du commutateur 1. La différence la plus significative est que xe-0/0/0 sur le commutateur 2 est configuré comme un port trunk de promiscuité ou un port d’accès de promiscuité, comme Figure 21 indiqué. Dans la configuration suivante, xe-0/0/0 est configuré en tant que port d’accès de promiscuité pour le VLAN principal pvlan100.
Si le trafic pénètre sur un port compatible VLAN et sort sur un port d’accès promiscuité, les balises VLAN sont supprimées à la sortie et le trafic n’est plus balisé à ce moment-là. Par exemple, le trafic de comm600 pénètre sur le port trunk VLAN secondaire configuré sur xe-0/0/0.0 sur le commutateur 1 et porte la balise 600 lorsqu’il est transféré via le VLAN secondaire. Lorsqu’il sort de xe-0/0/0.0 sur le commutateur 2, il ne sera pas étiqueté si vous configurez xe-0/0/0.0 comme port d’accès de promiscuité, comme illustré dans cet exemple. Si vous configurez plutôt xe-0/0/0.0 en tant que port trunk de promiscuité (trunk en mode port), le trafic de comm600 porte sa balise VLAN principale (400) lorsqu’il sort.
Configuration rapide de l’interface de ligne de commande
Pour créer et configurer rapidement les PVLAN sur le commutateur 2, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutation :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procédure
Procédure étape par étape
Pour configurer les VLAN privés et les ports trunk VLAN secondaires :
Configurez les interfaces et les modes de port :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Créez les VLAN principaux :
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configurez les VLAN principaux pour qu’ils soient privés :
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configurez le port trunk PVLAN pour qu’il transporte le trafic VLAN privé entre les commutateurs :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Créez un VLAN secondaire comm300 avec l’ID de VLAN 300 :
[edit vlans] user@switch# set comm300 vlan-id 300
Configurez le VLAN principal pour comm300 :
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configurez l’interface pour comm300 :
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Créez un VLAN secondaire comm600 avec l’ID de VLAN 600 :
[edit vlans] user@switch# set comm600 vlan-id 600
Configurez le VLAN principal pour comm600 :
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configurez l’interface pour comm600 :
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Configuration des PVLAN sur le commutateur 1
Configurez les VLAN isolés de l’intercommutateur :
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configurez le port d’accès xe-0/0/0 pour qu’il soit de promiscuité pour pvlan100 :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
REMARQUE :Un port d’accès de proximité ne peut être membre que d’un seul VLAN principal.
Configurez xe-0/0/2 et xe-0/0/6 pour qu’ils soient isolés :
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Résultats
Vérifiez les résultats de la configuration sur le commutateur 2 :
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la création du VLAN privé et du VLAN secondaire
- Vérification des entrées de la table de commutation Ethernet
Vérification de la création du VLAN privé et du VLAN secondaire
But
Vérifiez que le VLAN principal et le VLAN secondaire ont été correctement créés sur le commutateur 1.
Action
Utilisez la show vlans commande :
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Sens
La sortie indique que les VLAN privés ont été créés et identifie les interfaces et les VLAN secondaires qui leur sont associés.
Vérification des entrées de la table de commutation Ethernet
But
Vérifiez que les entrées de la table de commutation Ethernet ont été créées pour le VLAN principal pvlan100.
Action
Affichez les entrées de la table de commutation Ethernet pour pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Vérification du fonctionnement d’un VLAN privé sur un commutateur
But
Après avoir créé et configuré des VLAN privés (PVLAN), vérifiez qu’ils sont correctement configurés.
Action
Pour déterminer si vous avez correctement créé les configurations VLAN principal et secondaire :
Pour un PVLAN sur un seul commutateur, utilisez la
show configuration vlanscommande :user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Pour un PVLAN s’étendant sur plusieurs commutateurs, utilisez la show vlans
extensivecommande :user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Utilisez la commande pour afficher les informations VLAN et l’état de la
show vlansextensiveliaison d’un PVLAN sur un seul commutateur ou d’un PVLAN s’étendant sur plusieurs commutateurs.Pour un PVLAN sur un seul commutateur :
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Pour un PVLAN s’étendant sur plusieurs commutateurs :
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Utilisez la
show ethernet-switching tablecommande pour afficher les journaux d’apprentissage MAC sur les VLAN :user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Si vous avez configuré un PVLAN s’étendant sur plusieurs commutateurs, vous pouvez utiliser la même commande sur tous les commutateurs pour vérifier les journaux d’apprentissage MAC sur ces commutateurs.
Sens
Dans les affichages de sortie d’un PVLAN sur un commutateur unique, vous pouvez voir que le VLAN principal contient deux domaines communautaires (community1 et ), deux ports isolés et community2deux ports trunk. Le PVLAN d’un commutateur unique n’a qu’une seule balise (1000), qui correspond au VLAN principal.
Le PVLAN qui s’étend sur plusieurs commutateurs contient plusieurs balises :
Le domaine COM1 de la communauté est identifié par la balise 100.
Le domaine community2 de la communauté est identifié par la balise 20.
Le domaine isolé de l’intercommutateur est identifié par la balise 50.
Le VLAN primary principal est identifié par la balise 10.
De plus, pour le PVLAN qui s’étend sur plusieurs commutateurs, les interfaces trunk sont identifiées comme pvlan-trunk.
Dépannage des VLAN privés sur les commutateurs QFX
Utilisez les informations suivantes pour dépanner une configuration de VLAN privé.
- Limites des VLAN privés
- Transfert avec des VLAN privés
- Filtres de pare-feu de sortie avec VLAN privés
- Mise en miroir des ports de sortie avec des VLAN privés
Limites des VLAN privés
Les contraintes suivantes s’appliquent aux configurations VLAN privé :
La surveillance IGMP n’est pas prise en charge avec les VLAN privés.
Les interfaces VLAN routées ne sont pas prises en charge sur les VLAN privés
Le routage entre les VLAN secondaires d’un même VLAN principal n’est pas pris en charge.
Si vous souhaitez transformer un VLAN principal en VLAN secondaire, vous devez d’abord le remplacer par un VLAN normal et valider la modification. Par exemple, vous devez suivre la procédure suivante :
Remplacez le VLAN principal par un VLAN normal.
Validez la configuration.
Remplacez le VLAN normal par un VLAN secondaire.
Validez la configuration.
Suivez la même séquence de validations si vous souhaitez transformer un VLAN secondaire en VLAN principal. En d’autres termes, faites du VLAN secondaire un VLAN normal et validez cette modification, puis modifiez le VLAN normal pour qu’il devienne un VLAN principal.
Transfert avec des VLAN privés
Problème
Description
Lorsqu’un VLAN isolé ou communautaire reçoit du trafic avec balisage VLAN sur un port trunk PVLAN, les adresses MAC sont apprises à partir du VLAN principal. Cela signifie que la sortie de la commande show ethernet-switching table indique que les adresses MAC sont apprises à partir du VLAN principal et répliquées sur les VLAN secondaires. Ce comportement n’a aucun effet sur les décisions de transfert.
Si un paquet avec une balise VLAN secondaire est reçu sur un port de promiscuité, il est accepté et transféré.
Si un paquet est reçu sur un port trunk PVLAN et qu’il remplit les deux conditions répertoriées ci-dessous, il est abandonné.
Le paquet possède une balise VLAN communautaire.
Le paquet est destiné à une adresse MAC unicast ou à une adresse MAC de groupe multicast apprise sur un VLAN isolé.
Si un paquet est reçu sur un port trunk PVLAN et qu’il remplit les deux conditions répertoriées ci-dessous, il est abandonné.
Le paquet possède une balise VLAN isolée.
Le paquet est destiné à une adresse MAC unicast ou à une adresse MAC de groupe multicast apprise sur un VLAN communautaire.
Si un paquet avec une balise VLAN principale est reçu par un port VLAN secondaire (isolé ou communautaire), le port secondaire transfère le paquet.
Si vous configurez un VLAN communautaire sur un équipement et que vous configurez un autre VLAN communautaire sur un deuxième équipement et que les deux VLAN communautaires utilisent le même ID de VLAN, le trafic de l’un des VLAN peut être transféré vers l’autre VLAN. Par exemple, supposons la configuration suivante :
Le VLAN communautaire comm1 sur le commutateur 1 a l’ID de VLAN 50 et est membre du VLAN principal pvlan100.
Le VLAN communautaire comm2 sur le commutateur 2 a également l’ID de VLAN 50 et fait partie du VLAN principal pvlan200.
Le VLAN principal pvlan100 existe sur les deux commutateurs.
Si le trafic de comm1 est envoyé du commutateur 1 au commutateur 2, il sera envoyé aux ports participant à comm2. (Le trafic sera également transféré vers les ports de comm1, comme on peut s’y attendre.)
Solution
Ce sont des comportements attendus.
Filtres de pare-feu de sortie avec VLAN privés
Problème
Description
Si vous appliquez un filtre de pare-feu dans le sens de la sortie à un VLAN principal, le filtre s’applique également aux VLAN secondaires membres du VLAN principal lorsque le trafic sort avec la balise VLAN principale ou la balise VLAN isolée, comme indiqué ci-dessous :
Trafic transféré d’un port trunk VLAN secondaire vers un port de proximité (trunk ou accès)
Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN isolé vers un port trunk PVLAN.
Trafic transféré d’un port de proximité (trunk ou accès) vers un port trunk VLAN secondaire
Trafic transféré à partir d’un port trunk PVLAN. vers un port trunk VLAN secondaire
Trafic transféré d’un port communautaire vers un port de proximité (jonction ou accès)
Si vous appliquez un filtre de pare-feu dans le sens de la sortie vers un VLAN principal, le filtre ne s’applique pas au trafic sortant avec une balise VLAN communautaire, comme indiqué ci-dessous :
Trafic transféré d’un port trunk communautaire vers un port trunk PVLAN
Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN communautaire vers un port trunk PVLAN
Trafic transféré d’un port de proximité (jonction ou accès) vers un port trunk communautaire
Trafic transféré à partir d’un port trunk PVLAN. vers un port trunk communautaire
Si vous appliquez un filtre de pare-feu dans le sens de la sortie à un VLAN communautaire, les comportements suivants s’appliquent :
Le filtre est appliqué au trafic transféré à partir d’un port de proximité (jonction ou accès) vers un port de jonction communautaire (car le trafic sort avec la balise VLAN communautaire).
Le filtre est appliqué au trafic transféré d’un port communautaire vers un port trunk PVLAN (car le trafic sort avec la balise VLAN communautaire).
Le filtre n’est pas appliqué au trafic transféré d’un port communautaire vers un port de promiscuité (car le trafic sort avec la balise VLAN principale ou non balisée).
Solution
Ce sont des comportements attendus. Ils ne se produisent que si vous appliquez un filtre de pare-feu à un VLAN privé dans le sens de sortie et ne se produisent pas si vous appliquez un filtre de pare-feu à un VLAN privé dans le sens d’entrée.
Mise en miroir des ports de sortie avec des VLAN privés
Problème
Description
Si vous créez une configuration de mise en miroir de port qui met en miroir le trafic VLAN privé (PVLAN) à la sortie, le trafic en miroir (le trafic envoyé au système d’analyse) a la balise VLAN entrante au lieu du VLAN sortant. Par exemple, supposons la configuration PVLAN suivante :
Port trunk de promiscuité qui transporte les VLAN principaux pvlan100 et pvlan400.
Port d’accès isolé qui transporte le VLAN secondaire isolated200. Ce VLAN est membre du VLAN principal pvlan100.
Port communautaire qui transporte le VLAN secondaire comm300. Ce VLAN est également membre du VLAN principal pvlan100.
Interface de sortie (interface de moniteur) qui se connecte au système d’analyse. Cette interface transfère le trafic en miroir à l’analyseur.
Si un paquet pour pvlan100 entre sur le port trunk de promiscuité et sort sur le port d’accès isolé, le paquet d’origine n’est pas étiqueté à la sortie car il sort sur un port d’accès. Cependant, la copie miroir conserve la balise pour pvlan100 lorsqu’elle est envoyée à l’analyseur.
Voici un autre exemple : Si un paquet pour comm300 entre sur le port communautaire et sort sur le port trunk de promiscuité, le paquet d’origine porte la balise pvlan100 à la sortie, comme prévu. Toutefois, la copie en miroir conserve la balise pour comm300 lorsqu’elle est envoyée à l’analyseur.
Solution
Il s’agit d’un comportement attendu.