Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

VLAN privé

Understanding Private VLANs

Les réseaux VLA limitent les diffusions aux utilisateurs spécifiés. Les VLAN privés (PVLAN) aller un peu plus loin en limitant les communications au sein d’un VLAN. Pour ce faire, les réseaux PVLAN restreignent les flux de trafic via leurs ports de commutation membres (appelés portsprivés), de sorte que ces ports communiquent uniquement avec un port d’trunk de liaison montante spécifié ou avec des ports spécifiés au sein du même VLAN. Le port d’agrégation de liaison ou le groupe d’agrégation de liaisons (LAG) est généralement connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. Chaque PVLAN contient généralement de nombreux ports privés qui communiquent uniquement avec un seul port de liaison, ce qui empêche les ports de communiquer entre eux.

Les réseaux PVLAN assurent l’isolation de couche 2 entre les ports d’un VLAN, en partageant un domaine de diffusion en plusieurs sous-domaines de diffusion discrets en créant des VLAN secondaires (VLAN communautaires et un VLAN isolé) au sein d’un VLAN principal. Les ports d’une même communauté peuvent communiquer entre eux. Les ports d’un VLAN isolé peuvent communiquer uniquement avec un seul port de liaison.

Tout comme les réseaux VLA réguliers, les réseaux PVLA sont isolés sur la couche 2 et nécessitent l’une des options suivantes pour router le trafic de couche 3 entre les réseaux VLA secondaires:

  • Connexion de ports promiscuous avec un routeur

  • Une interface VLAN à itinéraire (RVI)

Remarque :

Pour router le trafic de couche 3 entre les réseaux VLAN secondaires, un PVLAN n’a besoin que de l’une des options mentionnées ci-dessus. Si vous utilisez un RVI, vous pouvez toujours implémenter une connexion de port promiscuous à un routeur avec le port promiscuous mis en place pour gérer uniquement le trafic entrant et sortant du PVLAN.

Les réseaux PVLA sont utiles pour limiter le flux de trafic de diffusion et de trafic unicast inconnu et pour limiter la communication entre les hôtes connus. Les fournisseurs de services utilisent des réseaux PVLAN pour isoler leurs clients les uns des autres. Autre utilisation typique d’un PVLAN: fournir un accès Internet par chambres dans un hôtel.

Remarque :

Vous pouvez configurer un PVLAN pour étendre les commutateurs qui prendre en charge les PVLAN.

Ce sujet explique les concepts suivants concernant les PVLAN sur EX Series commutateurs:

Avantages des PVLANs

Le besoin de séparer un VLAN unique est particulièrement utile dans les scénarios de déploiement suivants:

  • Batteries de serveurs: un fournisseur de services Internet classique utilise une batterie de serveurs pour héberger un grand nombre de clients. La localisation des différents serveurs au sein d’une même batterie de serveurs facilite la gestion. Des problèmes de sécurité surviennent si tous les serveurs se trouver sur le même VLAN, car les diffusions de couche 2 s’viennent à tous les serveurs du VLAN.

  • Réseaux Ethernet métropolitains: un fournisseur de services métro offre un accès Ethernet de couche 2 aux foyers assortis, aux communautés de location et aux entreprises. La solution traditionnelle de déploiement d’un VLAN par client n’est pas évolutive et est difficile à gérer, entraînant un gaspillage potentiel d’adresses IP. Les RÉSEAUx PVLA fournissent une solution plus sécurisée et plus efficace.

Structure typique et application principale des PVLANs

Un PVLAN peut être configuré sur un commutateur unique ou peut être configuré pour s’étendre à plusieurs commutateurs. Les types de domaines et de ports sont les suivants:

  • VLAN principal: le VLAN principal du PVLAN est défini par une balise 802.1Q (ID VLAN) pour l’ensemble du PVLAN. Le PVLAN principal peut contenir plusieurs VLAN secondaires (un VLAN isolé et plusieurs VLAN de communauté).

  • VLAN isolé/port isolé: un VLAN principal ne peut contenir qu’un seul VLAN isolé. Une interface au sein d’un VLAN isolé peut uniquement transfert de paquets vers un port promiscuous ou un port ISL (Inter-Switch Link). Une interface isolée ne peut pas avancer de paquets vers une autre interface isolée ; et qu’une interface isolée ne peut recevoir de paquets depuis une autre interface isolée. Si l’équipement d’un client doit n’avoir accès qu’à un routeur de passerelle, il doit être relié à un port d’trunk isolé.

  • VLAN de communauté/port communautaire: vous pouvez configurer plusieurs VLAN de communauté dans un seul et même PVLAN. Une interface au sein d’une communauté spécifique le VLAN peut établir des communications de couche 2 avec toute autre interface appartenant à la même communauté VLAN. Une interface DLAN d’une communauté peut également communiquer avec un port ou un port ISL. Si vous avez, par exemple, deux équipements clients que vous devez isoler des autres équipements du client mais qui doivent être capables de communiquer entre eux, utiliser des ports communautaires.

  • Port promiscuous: un port promiscuous dispose de communications de couche 2 avec toutes les interfaces du RÉSEAU PVLAN, indépendamment du fait qu’une interface appartient à un VLAN isolé ou à un VLAN communautaire. Un port promiscuous fait partie du VLAN principal mais n’est inclus dans aucun sous-domaine secondaire. Les passerelles de couche 3, les serveurs DHCP et les autres équipements de confiance qui doivent communiquer avec les points de terminaison sont généralement connectés à un port promiscuous.

  • Liaison inter-commutateur (ISL): un ISL est un port d’tronc qui connecte plusieurs commutateurs dans un réseau PVLAN et contient au moins deux VLAN. Cette technologie n’est requise que si un PVLAN couvre plusieurs commutateurs.

Le PVLAN configuré est le domaine principal (VLAN principal). Au sein du réseau PVLAN, vous configurez des VLAN secondaires, qui deviennent des sous-domaines imbrmbrés dans le domaine principal. Un PVLAN peut être configuré sur un commutateur unique ou peut être configuré pour s’étendre à plusieurs commutateurs. Le PVLAN illustré inclut deux commutateurs, avec un domaine Figure 1 PVLAN principal et divers sous-domaines.

Figure 1 : Sous-domaine dans un PVLANSous-domaine dans un PVLAN

Comme le montre le cas, un PVLAN ne possède Figure 3 qu’un seul domaine principal et plusieurs domaines secondaires. Les types de domaines sont les suivants:

  • VLAN principal: VLAN utilisé pour le recadrage en aval vers des VLAN communautaires et isolés. Le VLAN principal du PVLAN est défini avec une balise 802.1Q (ID VLAN) pour l’ensemble du PVLAN. Le PVLAN principal peut contenir plusieurs VLAN secondaires (un VLAN isolé et plusieurs VLAN de communauté).

  • VLAN isolé secondaire: VLAN qui reçoit uniquement des paquets depuis le VLAN principal et fait avancer les trames en amont vers le VLAN principal. Le VLAN isolé est un VLAN secondaire imbrmbré dans le VLAN principal. Un VLAN principal ne peut contenir qu’un seul VLAN isolé. Une interface au sein d’un VLAN isolé (interface isolée) peut uniquement avancer les paquets vers un port promiscuous ou le port d’trunk PVLAN. Une interface isolée ne peut pas avancer de paquets vers une autre interface isolée ; de même qu’une interface isolée ne peut recevoir des paquets à partir d’une autre interface isolée. Si un appareil d’un client doit n’avoir accès qu’à un routeur, il doit être relié à un port d’trunk isolé.

  • VLAN isolé d’interconnexion secondaire: VLAN utilisé pour le transfert du trafic VLAN isolé d’un commutateur vers un autre via des ports d’trunk PVLAN. Les balises 802.1Q sont requises pour les réseaux VLAN isolés d’interconnexion car IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un équipement d’trunking insère un onglet d’identification de trame VLAN de 4 tots dans l’en-tête du paquet. Un VLAN isolé entre interconnexions est un VLAN secondaire imbrmbré dans le VLAN principal.

  • VLAN de la communauté secondaire: le VLAN transportait des trames parmi les membres d’une communauté (un sous-ensemble d’utilisateurs au sein du VLAN) et pour faire avancer les trames en amont vers le VLAN principal. Un VLAN de communauté est un VLAN secondaire imbrmbré dans le VLAN principal. Vous pouvez configurer plusieurs VLAN de communautés dans un seul et même PVLAN. Une interface au sein d’une communauté spécifique le VLAN peut établir des communications de couche 2 avec toute autre interface appartenant à la même communauté VLAN. Une interface d’un VLAN de communauté peut également communiquer avec un port promiscuous ou le port d’trunk PVLAN.

Figure 2 affiche un réseau PVLAN couvrant plusieurs commutateurs, où le VLAN principal ( ) contient deux domaines communautaires et un domaine 100(300 isolé 400 inter-interconnexion.

Figure 2 : PvLAN couvrant plusieurs commutateursPvLAN couvrant plusieurs commutateurs
Remarque :

Les VLAN primaires et secondaires comptent contre la limite de 4 089 VLAN pris en charge sur le QFX Series. Par exemple, chaque VLAN compte Figure 2 dans cette limite.

Structure typique et application principale de PVLAN sur MX Series routeurs

Le PVLAN configuré devient le domaine principal, et les VLAN secondaires deviennent des sous-domaines qui sont imbrmbrés dans le domaine principal. Vous pouvez créer un PVLAN sur un seul routeur. Le PVLAN illustré inclut un routeur, avec un domaine PVLAN principal et Figure 3 plusieurs sous-domaines secondaires.

Figure 3 : Sous-domaine dans un PVLAN avec un routeurSous-domaine dans un PVLAN avec un routeur

Les types de domaines sont les suivants:

  • VLAN principal: VLAN utilisé pour le recadrage en aval vers des VLAN communautaires et isolés.

  • VLAN isolé secondaire: VLAN qui reçoit uniquement des paquets depuis le VLAN principal et fait avancer les trames en amont vers le VLAN principal.

  • VLAN isolé d’interconnexion secondaire: VLAN utilisé pour le transport de trafic VLAN isolé d’un routeur vers un autre via des ports d’trunk PVLAN.

  • VLAN de la communauté secondaire: le VLAN transportait des trames parmi les membres d’une communauté, c’est-à-dire un sous-ensemble d’utilisateurs au sein du VLAN, et pour faire avancer les trames en amont vers le VLAN principal.

Remarque :

Les PVLAN sont pris en charge sur les routeurs MX80, sur les routeurs MX240, MX480 et MX960 avec DPC en mode LAN amélioré, sur des routeurs MX Series avec MPC1, MPC2 et des PIC de services adaptatifs.

Structure typique et application principale des PVLAN sur EX Series commutateurs

Remarque :

Le VLAN principal du PVLAN est défini avec une balise 802.1Q (ID VLAN) pour l’ensemble du PVLAN. Sur EX9200 réseau, chaque VLAN secondaire doit également être défini avec son propre ID VLAN distinct.

Figure 4 affiche un PVLAN sur un commutateur unique, où le VLAN principal (VLAN) contient deux 100 VLAN communautaires (VLAN et VLAN) et un 300400 VLAN isolé 50 .

Figure 4 : VLAN privé sur un commutateur EX uniqueVLAN privé sur un commutateur EX unique

Figure 5 affiche un PVLAN couvrant plusieurs commutateurs, où le VLAN principal (VLAN) contient deux 100 VLAN communautaires (VLAN et VLAN) et un VLAN isolé 300400 (VLAN 200). Il indique également que les commutateurs 1 et 2 sont connectés par une liaison d’interconnexion (lien d’trunk PVLAN).

Figure 5 : PvLAN couvrant plusieurs commutateurs EX Series multiplesPvLAN couvrant plusieurs commutateurs EX Series multiples

De plus, les PVLAN présentés dans la communauté et l’utilisation d’un port connecté à un routeur sont le moyen de router le trafic de couche 3 au sein de la communauté et de Figure 4Figure 5 réseaux VLAn isolés. Au lieu d’utiliser le port promiscuous connecté à un routeur, vous pouvez configurer un RVI sur le commutateur dans ou l’un des commutateurs présentés dans (sur certains commutateurs Figure 4Figure 5 EX).

Pour router le trafic de couche 3 entre VLAN isolés et communautaires, vous devez soit connecter un routeur à un port promiscuous, comme indiqué dans l’étude, soit configurer un Figure 4Figure 5 RVI.

Si vous choisissez l’option DVI, vous devez configurer un RVI pour le VLAN principal dans le domaine PVLAN. Cette RVI s’applique à l’ensemble du domaine PVLAN, que celui-ci inclut un ou plusieurs commutateurs. Une fois l’interface RVI configurée, les paquets de couche 3 reçus par les interfaces VLAN secondaires sont mapés et acheminés par l’interface RVI.

Lors de la configuration de l’interface RVI, vous devez également activer le protocole ARP (Address Resolution Protocol) proxy afin que l’IVI puisse gérer les demandes ARP reçues par les interfaces VLAN secondaires.

Pour plus d’informations sur la configuration des VLAN sur un commutateur unique et sur plusieurs commutateurs, consultez La création d’un VLAN privé sur un commutateur EX Series unique (CLI unique). Pour plus d’informations sur la configuration d’un VVI, consultez la fonction Configuring a Routed VLAN Interface in a Private VLAN on an EX Series Switch.

Routage entre VLA isolés et communautaires

Pour router le trafic de couche 3 entre VLAN isolés et communautaires, vous devez connecter un routeur ou un commutateur externe à un port d’trunk du VLAN principal. Le port d’trunk du VLAN principal est un port promiscuous. il peut donc communiquer avec tous les ports du PVLAN.

Les PVLAN utilisent des balises 802.1Q pour identifier les paquets

Lorsque les paquets sont marqués par une balise 802.1Q spécifique au client, cette balise identifie la propriété des paquets pour tout commutateur ou routeur du réseau. Des balises 802.1Q sont parfois requises au sein des réseaux PVLAN pour suivre les paquets provenant de sous-domaine différents. Tableau 1 indique lorsqu’une balise VLAN 802.1Q est requise sur le VLAN principal ou sur les VLAN secondaires.

Tableau 1 : Lorsque les VLAN d’un PVLAN ont besoin de balises 802.1Q

Sur un commutateur unique Sur plusieurs commutateurs

VLAN principal

Indiquez une balise 802.1Q en établissant un ID VLAN.

Indiquez une balise 802.1Q en établissant un ID VLAN.

VLAN secondaire

Aucune balise nécessaire sur les VLANs.

Les VLANs ont besoin de balises 802.1Q:

  • Indiquez une balise 802.1Q pour chaque VLAN de communauté en établissant un ID VLAN.

  • Indiquez la balise 802.1Q pour un ID VLAN d’isolement en établissant un ID d’isolement.

Les PVLANs utilisent efficacement les adresses IP

Les PVLAN permettent de conserver les adresses IP et d’allocation efficace des adresses IP. Dans un réseau typique, les réseaux VLAN correspondent généralement à un sous-réseau IP unique. Dans les réseaux PVLAN, les hôtes de tous les VLAN secondaires appartiennent au même sous-réseau IP, car le sous-réseau est alloué au VLAN principal. Les hôtes du VLAN secondaire se voit attribuer des adresses IP en fonction des sous-réseaux IP associés au VLAN principal, et les informations de masque de leur sous-réseau IP reflètent celle du sous-réseau VLAN principal. Toutefois, chaque VLAN secondaire est un domaine de diffusion distinct.

Types de ports PVLAN et règles de forwarding

Les PVLANs peuvent utiliser jusqu’à six types de ports différents. Le réseau représenté dans l’utilisation d’un port promiscuous pour transporter des informations vers le routeur, des ports communautaires pour connecter les communautés de ressources humaines et financières à leurs commutateurs respectifs, des ports isolés pour connecter les serveurs et un port d’trunk PVLAN pour connecter les deux Figure 2 commutateurs. Les ports PVLAN sont différentes restrictions:

  • Port d’tronc promiscuous: un port promiscuous est communications de couche 2 avec toutes les interfaces du réseau PVLAN, que l’interface appartienne à un VLAN isolé ou à un VLAN communautaire. Un port promiscuous est membre du VLAN principal, mais n’est pas inclus dans l’un des sous-domaine secondaires. Les passerelles de couche 3, les serveurs DHCP et les autres équipements de confiance qui doivent communiquer avec les points de terminaison sont généralement connectés à un port promiscuous.

  • Liaison d’tronc PVLAN: la liaison d’tronc PVLAN, également connue sous le nom de liaison inter-liaison, n’est requise que lorsqu’un PVLAN est configuré pour s’étendre à plusieurs commutateurs. La liaison d’trunk PVLAN connecte les différents commutateurs qui composent le PVLAN.

  • Port d’trunk PVLAN: un port d’trunk PVLAN est requis dans les configurations PVLAN multisechage pour étendre les commutateurs. Le port d’trunk PVLAN est membre de tous les VLAN du PVLAN (c’est-à-dire le VLAN principal, les VLAN de la communauté et le VLAN isolé d’interconnexion), et il transporte le trafic depuis le VLAN principal et l’ensemble des VLAN secondaires. Il peut communiquer avec tous les ports autres que les ports isolés.

    La communication entre un port d’trunk PVLAN et un port isolé est en général unidirectionnelle. L’appartenance d’un port d’trunk PVLAN au VLAN d’interconnexion isolé n’est disponible qu’en sortie: un port isolé peut alors avancer des paquets vers un port d’tronc PVLAN, mais pas vers un port VLAN isolé (sauf si les paquets sont ingressés sur un port d’accès promiscuous et sont donc transmis à tous les VLAN secondaires du même port VLAN principal que le port promiscuous).

  • Port d’trunk du VLAN secondaire (non indiqué): les ports d’tronc secondaires transportent le trafic VLAN secondaire. Pour un VLAN privé donné, un port d’trunk VLAN secondaire peut transporter du trafic pour un seul VLAN secondaire. Toutefois, un port d’trunk du VLAN secondaire peut transporter le trafic de plusieurs réseaux VLAN secondaires tant que chaque VLAN secondaire est membre d’un VLAN principal différent. Par exemple, un port d’trunk du VLAN secondaire peut transporter le trafic d’un VLAN communautaire intégré au VLAN principal pvlan100 et transporter le trafic pour un VLAN isolé faisant partie du pvlan400 VLAN principal.

  • Port de la communauté: les ports de la communauté communiquent entre eux et avec leurs ports superflus. Les ports de la communauté ne servent qu’un groupe select d’utilisateurs. Ces interfaces sont séparées au niveau de la couche 2 de toutes les autres interfaces d’autres communautés ou des ports isolés au sein de leur PVLAN.

  • Port d’accès isolé: les ports isolés n’ont une connectivité de couche 2 qu’avec des ports promiscuous et des ports d’accès PVLAN. Un port isolé ne peut pas communiquer avec un autre port isolé même si ces deux ports sont membres du même domaine VLAN isolé (ou VLAN isolé d’interconnexion). En règle générale, un serveur, tel qu’un serveur de messagerie ou un serveur de sauvegarde, est connecté sur un port isolé. Dans un hôtel, chaque pièce est généralement connectée sur un port isolé, ce qui signifie qu’il n’est pas possible de communiquer entre les chambres, mais chaque pièce peut accéder à Internet via le port promiscue.

  • Port d’accès promiscuous (non indiqué): ces ports sont porteurs de trafic non-indiqué. Le trafic qui s’ingique sur un port d’accès périphérique est transmis à tous les ports VLAN secondaires de l’équipement. Si le trafic s’inséresse à l’équipement sur un port VLAN et s’pare-feu sur un port d’accès promiscuous, le trafic n’est pas pris en compte lors de la sortie. Si les ingresses de trafic balisé sont sur un port d’accès promiscuous, le trafic est éliminé.

  • Port de liaison entre liaisons: un port ISL (interswitch link) est un port d’trunk qui connecte deux routeurs lorsqu’un PVLAN couvre ces routeurs. Le port ISL est membre de tous les VLAN du PVLAN (c’est-à-dire le VLAN principal, la communauté VLAN et le VLAN isolé).

    La communication entre un port ISL et un port isolé est unidirectionnelle. L’appartenance d’un port ISL au VLAN d’interconnexion isolé n’est qu’en sortie, ce qui signifie que le trafic entrant sur le port ISL n’est jamais attribué au VLAN isolé. Un port isolé peut faire avancer des paquets vers un port d’trunk PVLAN, mais un port d’trunk PVLAN ne peut pas le faire vers un port isolé. permet de savoir s’il existe une connectivité de couche Tableau 3 2 entre les différents types de ports.

Tableau 2 résume la connectivité de couche 2 entre les différents types de ports au sein d’un réseau PVLAN EX Series qui s’appuient sur ELS.

Tableau 2 : Ports PVLAN et transfert de couche 2 sur les EX Series qui supportent ELS

À partir du type de port

Vers des ports isolés?

Vers des ports promiscuous?

Vers les ports de la communauté?

Vers un port de liaison inter-commutateur?

Isolé

Refuser

Autoriser

Refuser

Autoriser

Promiscuité

Autoriser

Autoriser

Autoriser

Autoriser

Communauté 1

Refuser

Autoriser

Autoriser

Autoriser

Tableau 3 : Ports PVLAN et connectivité de couche 2

Port Type

Promiscuous Trunk

PVLAN Trunk

Tronc secondaire

Communauté

Accès isolé

Accès promiscuous

Tronc promiscuous

Oui

Oui

Oui

Oui

Oui

Oui

Tronc PVLAN

Oui

Oui

Oui

Oui: même communauté uniquement

Oui

Oui

Tronc secondaire

Oui

Oui

Non

Oui

Non

Oui

Communauté

Oui

Oui

Oui

Oui: même communauté uniquement

Non

Oui

Accès isolé

Oui

Oui — unidirectionnelle uniquement

Non

Non

Non

Oui

Accès promiscuous

Oui

Oui

Oui

Oui

Oui

Non

Tableau 4 résume s’il existe ou non une connectivité de couche 2 entre les différents types de ports au sein d’un PVLAN.

Tableau 4 : Ports PVLAN et connectivité de couche 2 sur les EX Series sans prise en charge ELS

Port Type

À : →

À partir de:dont vous ne pourz pas vous

Promiscuité

Communauté

Isolé

PVLAN Trunk

RVI (RVI)

Promiscuité

Oui

Oui

Oui

Oui

Oui

Communauté

Oui

Oui: même communauté uniquement

Non

Oui

Oui

Isolé

Oui

Non

Non

Oui

Remarque :

Cette communication est unidirectionnelle.

Oui

Tronc PVLAN

Oui

Oui: même communauté uniquement

Oui

Remarque :

Cette communication est unidirectionnelle.

Oui

Oui

RVI (RVI)

Oui

Oui

Oui

Oui

Oui

Comme indiqué dans l’exemple ci-dessus, la communication de couche 2 entre un port isolé et un port d’trunk PVLAN est Tableau 4 unidirectionnelle. En d’autres cas, un port isolé ne peut envoyer des paquets qu’à un port d’trunk PVLAN, alors qu’un port d’trunk PVLAN ne peut recevoir ces paquets qu’à partir d’un port isolé. Inversement, un port d’tronc PVLAN ne peut pas envoyer de paquets vers un port isolé, et un port isolé ne peut pas recevoir de paquets à partir d’un port d’tronc PVLAN.

Remarque :

Si vous activez un VLAN principal, tous les no-mac-learning VLAN isolés (ou VLAN isolés entre-interconnexions) du RÉSEAU PVLAN héritent de ces paramètres. Toutefois, si vous souhaitez désactiver l’apprentissage de l’adresse MAC sur un VLAN de communauté, vous devez le configurer sur chacun de ces no-mac-learning VLAN.

Création d’un PVLAN

Les données de flux présentées dans cette vidéo vous donnent une idée générale du processus de création Figure 6 de PVLANs. Si vous remplissez vos étapes de configuration dans l’ordre indiqué, vous ne violerez pas ces règles PVLAN. (Dans les règles PVLAN, la configuration du port d’trunk PVLAN s’applique uniquement à un PVLAN qui s’étend sur plusieurs routeurs.)

  • Le VLAN principal doit être un VLAN balisé.

  • Si vous souhaitez configurer un ID VLAN communautaire, vous devez d’abord configurer le VLAN principal.

  • Si vous devez configurer un ID VLAN d’isolement, vous devez d’abord configurer le VLAN principal.

Remarque :

La configuration d’un VLAN voIP (voix sur IP) sur les interfaces PVLAN n’est pas prise en charge.

La configuration d’un VLAN sur un routeur unique est relativement simple, comme illustré dans Figure 6 .

Figure 6 : Configuration d’un PVLAN sur un commutateur uniqueConfiguration d’un PVLAN sur un commutateur unique

La configuration d’un VLAN principal se compose de ces étapes:

  1. Configurez le nom VLAN principal et la balise 802.1Q.

  2. Définissez no-local-switching le VLAN principal.

  3. Configurez le port d’accès et le port d’accès promiscuous.

  4. Faites du tronc et des ports d’accès promiscuous des membres du VLAN principal.

Au sein d’un VLAN principal, vous pouvez configurer des VLAN de communauté secondaire ou des réseaux VLAN isolés secondaires ou les deux. La configuration d’un VLAN de communauté secondaire se compose des étapes suivantes:

  1. Configurez un VLAN selon le processus habituel.

  2. Configurez les interfaces d’accès pour le VLAN.

  3. Attribuer un VLAN principal à un VLAN de la communauté,

Des réseaux VLAN isolés sont créés en interne lorsque le VLAN isolé dispose d’interfaces d’accès en tant que membres et que l’option est activée sur no-local-switching le VLAN principal.

Les balises 802.1Q sont requises pour les réseaux VLAN isolés d’interconnexion car IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un équipement d’trunking insère un onglet d’identification de trame VLAN de 4 tots dans l’en-tête du paquet.

Les ports d’trunk ne sont nécessaires que pour les configurations PVLAN multirouters: le port d’tronc transporte du trafic depuis le VLAN principal et tous les VLAN secondaires.

Limites des VLAN privés

Les contraintes suivantes s’appliquent aux configurations VLAN privées:

  • Une interface d’accès ne peut appartenir qu’à un seul domaine PVLAN, c’est-à-dire qu’elle ne peut pas participer à deux VLAN principaux différents.

  • Une interface d’tronc peut être membre de deux réseaux VLA secondaires tant que les VLAN secondaires sont dans deux VLAN principaux différents. Une interface d’tronc ne peut pas être membre de deux réseaux VLAN secondaires qui se nomment dans le même VLAN principal.

  • Une seule région du protocole MSTP (Multiple Spanning Tree Protocol) doit être configurée sur tous les VLAN inclus dans le PVLAN.

  • Le protocole VSTP (VLAN Spanning Tree Protocol) n’est pas pris en charge.

  • La snooping IGMP n’est pas prise en charge avec les VLAN privés.

  • Les interfaces VLAN à itinéraire ne sont pas prise en charge sur les VLAN privés

  • Le routage entre VLAN secondaires dans le même VLAN principal n’est pas pris en charge.

  • Certains énoncés de configuration ne peuvent pas être spécifiés sur un VLAN secondaire. Vous pouvez configurer les instructions suivantes au niveau de la hiérarchie uniquement [edit vlans vlan-name switch-options] sur le PVLAN principal.

  • Si vous souhaitez que votre VLAN principal soit un VLAN secondaire, vous devez d’abord le changer en VLAN normal et valider la modification. Par exemple, vous suivrez cette procédure:

    1. Le VLAN principal est alors un VLAN normal.

    2. Valider la configuration.

    3. Le VLAN normal est un VLAN secondaire.

    4. Valider la configuration.

    Suivez la même séquence de validations si vous souhaitez faire d’un VLAN secondaire un VLAN principal. En d’autres cas, le VLAN secondaire est un VLAN normal, puis commit that change, puis le VLAN normal est un VLAN principal.

Les fonctionnalités suivantes ne sont pas prise en charge sur les réseaux PVLAN sur les commutateurs Junos et ne sont pas pris en charge par le style de configuration ELS:

  • Fonctionnalités de sécurité DHCP (surveillance DHCP, inspection ARP dynamique, IP source guard)

  • Filtres de pare-feu VLAN de sortie sortie

  • ERP (Ethernet Ring Protection)

  • Balisage VLAN flexible

  • statistiques globales-mac

  • Interface de routage et de pontage intégrée (IRB)

  • Snooping multicast ou snooping IGMP

  • Mc-LAG (Link Aggregation Groups, groupes d’agrégation de liens multichaïssis)

  • Mise en miroir des ports

  • Tunnellation Q-in-Q

  • Protocole VSTP (VLAN Spanning Tree Protocol)

  • Voix sur IP (VoIP)

Vous pouvez configurer les instructions suivantes au niveau de la hiérarchie uniquement sur [edit vlans vlan-name switch-options] le PVLAN principal:

Comprendre les flux de trafic PVLAN sur plusieurs commutateurs

Ce sujet illustre et explique trois flux de trafic différents sur un réseau multi-points d’exemple configuré avec un VLAN privé (PVLAN). Les réseaux PVLAN restreignent les flux de trafic via les ports de commutage membres (appelés « ports privés ») afin de ne communiquer qu’avec un port d’trunk de liaison montante spécifique ou avec des ports spécifiés au sein du même VLAN.

Ce sujet décrit les sujets suivants:

VLAN communautaire envoyant du trafic non-perturbé

Dans ce scénario, un VLAN de la Communauté-1 du commutateur 1 à l’interface ge-0/0/0 envoie du trafic en retard. Les flèches représentent Figure 7 ce flux de trafic.

Figure 7 : Le VLAN de la communauté envoie du trafic non-occupéLe VLAN de la communauté envoie du trafic non-occupé

Dans ce scénario, l’activité suivante s’déroule sur le commutateur 1:

  • Communauté-1 VLAN sur interface ge-0/0/0: Apprentissage

  • pvlan100 sur interface ge-0/0/0: Réplication

  • Communauté-1 VLAN sur interface ge-0/0/12: Reçoit du trafic

  • Port d’trunk PVLAN: Sorties de ge-1/0/2 et d’ae0 avec balise 10

  • Community-2: L’interface ne reçoit aucun trafic

  • VLANs isolés: Les interfaces ne reçoivent aucun trafic

Dans ce scénario, cette activité s’déroule sur le commutateur 3:

  • Community-1 VLAN sur l’interface ge-0/0/23 (tronc PVLAN): Apprentissage

  • pvlan100 sur interface ge-0/0/23: Réplication

  • Community-1 VLAN sur interface ge-0/0/9 et ge-0/0/16: Reçoit du trafic

  • Port d’trunk promiscuous: Sorties du trafic de ge-0/0/0 avec la balise 100

  • Community-2: L’interface ne reçoit aucun trafic

  • VLANs isolés: Les interfaces ne reçoivent aucun trafic

VLAN isolé envoyant du trafic non-perturbé

Dans ce scénario, le VLAN1 isolé du commutateur 1 à l’interface ge-1/0/0 envoie du trafic non-perturbé. Les flèches représentent Figure 8 ce flux de trafic.

Figure 8 : Un VLAN isolé envoie du trafic non-retardUn VLAN isolé envoie du trafic non-retard

Dans ce scénario, l’activité suivante s’déroule sur le commutateur 1:

  • VLAN1 isolé sur interface ge-1/0/0: Apprentissage

  • pvlan100 sur interface ge-1/0/0: Réplication

  • Sorties du trafic pvlan-trunk ge-1/0/2 et ae0 avec balise 50

  • Communauté 1 et Communauté-2: Les interfaces ne reçoivent aucun trafic

  • VLANs isolés: Les interfaces ne reçoivent aucun trafic

Dans ce scénario, cette activité s’déroule sur le commutateur 3:

  • VLAN sur l’interface ge-0/0/23 (port d’trunk PVLAN): Apprentissage

  • pvlan100 sur interface ge0/0/23: Réplication

  • Port d’trunk promiscuous: Sorties du trafic de ge-0/0/0 avec la balise 100

  • Communauté 1 et Communauté-2: Les interfaces ne reçoivent aucun trafic

  • VLANs isolés: Ne pas recevoir de trafic

Trafic balisé PVLAN envoyé sur un port promiscuous

Dans ce scénario, le trafic balisé PVLAN est envoyé sur un port promiscuous. Les flèches représentent Figure 9 ce flux de trafic.

Figure 9 : Trafic balisé PVLAN envoyé sur un port promiscuousTrafic balisé PVLAN envoyé sur un port promiscuous

Dans ce scénario, l’activité suivante s’déroule sur le commutateur 1:

  • VLAN pvlan100 sur ae0 d’interface (tronc PVLAN): Apprentissage

  • Community-1, Community-2 et tous les VLAN isolés sur l’interface ae0: Réplication

  • VLAN sur interface ae0: Réplication

  • Sorties du trafic pvlan-trunk ge-1/0/2 avec la balise 100

  • Communauté 1 et Communauté-2: Les interfaces reçoivent du trafic

  • VLANs isolés: Recevoir du trafic

Dans ce scénario, cette activité s’déroule sur le commutateur 3:

  • pvlan100 sur interface ge-0/0/0: Apprentissage

  • Communauté-1, Communauté-2 et tous les VLAN isolés sur l’interface ge-0/0/0: Réplication

  • VLAN sur interface ge-0/0/0: Réplication

  • Communauté 1 et Communauté-2: Les interfaces reçoivent du trafic

  • VLANs isolés: Recevoir du trafic

Compréhension des ports d’trunk du VLAN secondaire et des ports d’accès promiscuous sur les réseaux PVLAN

Les réseaux VLA limitent les diffusions aux utilisateurs spécifiés. Les VLAN privés (PVLAN) aller un peu plus loin en partageant un VLAN en plusieurs sous-domaine de diffusion et en mettant essentiellement les VLAN secondaires au sein d’un VLAN principal. Les réseaux PVLAN restreignent les flux de trafic via les ports membres de manière à ce que ces ports ne communiquent qu’avec un port d’trunk de liaison montante spécifié ou avec des ports spécifiés au sein du même VLAN. Le port d’trunk de liaison est généralement connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. En règle générale, un réseau PVLAN contient de nombreux ports privés qui communiquent uniquement avec une liaison unique, ce qui empêche les ports de communiquer entre eux.

Les ports d’accès secondaires et les ports d’accès promiscuous étendent les fonctionnalités des réseaux PVLAN pour les utiliser dans des déploiements complexes, tels que:

  • Environnements d’infrastructure VMWare d’entreprise

  • Services cloud multi-fournisseurs avec gestion des VM

  • Services d’hébergement Web pour plusieurs clients

Par exemple, vous pouvez utiliser des ports d’trunk VLAN secondaires pour connecter les équipements QFX aux serveurs VMware configurés avec des VLAN privés. Vous pouvez utiliser des ports d’accès périphériques pour connecter les équipements QFX aux systèmes qui ne sont pas prendre en charge les ports trunk mais qui doivent prendre part à des VLAN privés.

Ce sujet explique les concepts suivants concernant les PVLANs sur le QFX Series:

Types de ports PVLAN

Les PVLANs peuvent utiliser les différents types de ports suivants:

  • Port d’tronc promiscuous: un port promiscuous est un port d’tronc en amont connecté à un routeur, un pare-feu, un serveur ou un réseau de fournisseur. Un port d’tronc promiscuous peut communiquer avec toutes les interfaces, y compris les ports isolés et communautaires au sein d’un PVLAN.

  • Port d’trunk PVLAN: un port d’trunk PVLAN est requis dans les configurations PVLAN multisechage pour étendre les commutateurs. Le port d’trunk PVLAN est membre de tous les VLAN du PVLAN (c’est-à-dire le VLAN principal, les VLAN de la communauté et le VLAN isolé d’interconnexion), et il transporte le trafic depuis le VLAN principal et l’ensemble des VLAN secondaires. Il peut communiquer avec tous les ports.

    La communication entre un port d’trunk PVLAN et un port isolé est en général unidirectionnelle. L’appartenance d’un port d’trunk PVLAN au VLAN d’interconnexion isolé n’est disponible qu’en sortie: un port isolé peut alors avancer des paquets vers un port d’tronc PVLAN, mais pas vers un port VLAN isolé (sauf si les paquets sont ingressés sur un port d’accès promiscuous et sont donc transmis à tous les VLAN secondaires du même port VLAN principal que le port promiscuous).

  • Port d’trunk du VLAN secondaire: les ports d’tronc du VLAN secondaire véhiculent le trafic VLAN secondaire. Pour un VLAN privé (principal) donné, un port d’trunk VLAN secondaire peut transporter le trafic pour un seul VLAN secondaire. Toutefois, un port d’trunk du VLAN secondaire peut transporter le trafic de plusieurs réseaux VLAN secondaires tant que chaque VLAN secondaire est membre d’un VLAN principal différent. Par exemple, un port d’trunk du VLAN secondaire peut transporter le trafic d’un VLAN communautaire intégré au VLAN principal pvlan100 et transporter le trafic pour un VLAN isolé faisant partie du pvlan400 VLAN principal.

    Remarque :

    Lorsque le trafic pare-feu est en provenance d’un port d’trunk du VLAN secondaire, il transporte normalement la balise du VLAN principal dont est membre le port secondaire. Si vous souhaitez que le trafic utilisé depuis un port d’trunk du VLAN secondaire conserve sa balise VLAN secondaire, utilisez extend-secondary-vlan-id l’énoncé.

  • Port de la communauté: les ports de la communauté communiquent entre eux et avec leurs ports superflus. Les ports de la communauté ne servent qu’un groupe select d’utilisateurs. Ces interfaces sont séparées au niveau de la couche 2 de toutes les autres interfaces d’autres communautés ou des ports isolés au sein de leur PVLAN.

  • Port d’accès isolé: les ports isolés n’ont une connectivité de couche 2 qu’avec les ports promiscuous et les ports d’accès PVLAN. Un port d’accès isolé ne peut pas communiquer avec un autre port isolé même si ces deux ports sont membres du même réseau VLAN isolé.

  • Port d’accès promiscuous: ces ports sont porteurs de trafic non-autorisé et ne peuvent être membres que d’un seul VLAN principal. Le trafic qui s’ingresse sur un port d’accès promiscuous est transmis aux ports des réseaux VLAN secondaires membres du VLAN principal dont le port d’accès est promiscueux. Dans ce cas, si le port VLAN secondaire est un port d’trunk, le trafic transporte la balise VLAN secondaire appropriée lorsqu’il est par ex. du port VLAN secondaire. Si le trafic s’ingique sur un port VLAN secondaire et s’illustre sur un port d’accès promiscuous, le trafic n’est pas pris en retard lors de la sortie. Si les ingresses de trafic balisé sont sur un port d’accès promiscuous, le trafic est éliminé.

Détails du port d’trunk du VLAN secondaire

Lorsque vous utilisez un port d’trunk du VLAN secondaire, être conscient des activités suivantes:

  • Vous devez configurer un ID VLAN d’isolement pour chaque VLAN principal au niveau du port d’trunk du VLAN secondaire. Cela est vrai même si les réseaux VLAN secondaires qu’est le port d’trunk du VLAN secondaire sont confinés à un seul équipement.

  • Si vous configurez un port comme port d’trunk du VLAN secondaire pour un VLAN principal donné, vous pouvez également configurer le même port physique comme l’un des ports suivants:

    • Port d’trunk du VLAN secondaire pour un autre VLAN principal

    • Tronc PVLAN pour un autre VLAN principal

    • Port d’trunk promiscuous

    • Port d’accès pour un VLAN non privé

  • Le trafic qui s’ingresse sur un port d’trunk du VLAN secondaire (avec une balise VLAN secondaire) et sur un port d’trunk PVLAN maintient la balise VLAN secondaire lors de la sortie.

  • Le trafic qui s’ingresse sur un port d’trunk VLAN secondaire et par ex. sur un port d’tronc promiscuous dispose de la balise VLAN principale appropriée lors de la sortie.

  • Le trafic qui s’ingique sur un port d’trunk VLAN secondaire et sur un port d’accès promiscuous n’est pas pris en retard lors de la sortie.

  • Le trafic qui s’exécute sur un port d’tronc promiscuous avec une balise VLAN principale et des pare-feu d’un port d’tronc du VLAN secondaire transporte la balise VLAN secondaire appropriée lors de la sortie. Par exemple, supposez que vous avez configuré les configurations suivantes sur un commutateur:

    • VLAN principal 100

    • VLAN de la communauté 200 dans le cadre du VLAN principal

    • Port d’trunk promiscuous

    • Port d’tronc secondaire transportant le VLAN communautaire 200

    Si un paquet s’inséresse sur le port d’tronc promiscuous avec la balise VLAN principale 100 et sur le port d’trunk du VLAN secondaire, il transporte la balise 200 lors du sortie.

Scénarios d'utilisation

Sur la même interface physique, vous pouvez configurer plusieurs ports d’tronc de VLAN secondaires (dans différents VLAN principaux) ou associer un port d’tronc de VLAN secondaire à d’autres types de ports VLAN. Les cas d’utilisation suivants fournissent des exemples de ce fonctionnement et indiquent le flux du trafic dans chaque cas:

Troncs de VLAN secondaires dans deux VLAN principaux

Dans ce cas d’utilisation, supposez que vous avez deux commutateurs avec la configuration suivante:

  • VLAN principal pvlan100 avec balise 100.

    • Le VLAN isolé200 avec balise 200 est membre du pvlan100.

    • Le VLAN communautaire comm300 avec tag 300 est membre du pvlan100.

  • VLAN principal pvlan400 avec balise 400.

    • Le VLAN isolé500 avec balise 500 est membre du pvlan400.

    • Le VLAN communautaire comm600 avec balise 600 est membre du pvlan400.

  • L’interface xe-0/0/0 du commutateur 1 se connecte à un serveur VMware (non affiché) qui est configuré avec les VLAN privés utilisés dans cet exemple. Cette interface est configurée avec des ports d’tronc VLAN secondaires pour transporter le trafic pour le VLAN secondaire comm600 et le VLAN isolé (tag 200) membre du pvlan100.

  • L’interface xe-0/0/0 du commutateur 2 est affichée comme port d’accès ou port d’accès promiscuous. Dans ce dernier cas, vous pouvez penser qu’il se connecte à un système (non affiché) qui ne prend pas en charge les ports trunk mais qui est configuré avec les réseaux VLA privés utilisés dans cet exemple.

  • Au commutateur 1, xe-0/0/6 fait partie de comm600 et est configuré en tant que port d’trunk.

  • Au commutateur 2, xe-0/0/6 fait partie de comm600 et est configuré en tant que port d’accès.

Figure 10 montre cette topologie et la façon dont le trafic pour les réseaux isolés200 et comm600 circulerait après l’entrée sur xe-0/0/0 sur le commutateur 1. Notez que le trafic circule uniquement là où les flèches indiquent. Par exemple, il n’y a aucune flèche pour les interfaces xe-0/0/2, xe-0/0/3 et xe-0/0/5 sur le commutateur 1 car aucun paquet ne peut faire de sortie sur ces interfaces.

Figure 10 : Deux ports d’trunk VLAN secondaires sur une seule interfaceDeux ports d’trunk VLAN secondaires sur une seule interface

Voici le flux de trafic pour le VLAN isolé200:

  1. Après le trafic pour les ingresses isolées200 sur le port d’tronc du VLAN secondaire du commutateur 1, il est par exemple sur le port d’trunk PVLAN, car le port d’trunk PVLAN fait partie de tous les VLAN. Lors de leur sortie, les paquets conservent la balise VLAN secondaire (200).
  2. Après le trafic des resses isolées200 sur le port d’trunk du VLAN secondaire du commutateur 2, il est par exemple configuré comme port d’accès promiscuous ou promiscuous.
    • Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’tronc promiscuous, les paquets sont sorties de ce port avec la balise VLAN principale (100).

    • Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès promiscuous, les paquets sont dégressifs sur ce port.

Notez que le trafic d’isolement200 du VLAN ne passe pas par le port d’accès isolé xe-0/0/2 du commutateur 1 ou du port d’accès VLAN secondaire xe-0/0/2 du commutateur 2, même si ces deux ports sont membres du même VLAN isolé.

Voici le flux de trafic du VLAN comm600:

  1. Après le trafic des comm600 resses sur le port d’trunk du VLAN secondaire du commutateur 1, il est par exemple sur le port d’trunk PVLAN, car le port d’trunk PVLAN fait partie de tous les VLAN. Lors de leur sortie, les paquets conservent la balise VLAN secondaire (600).

  2. Le trafic des communications comm600 est également sur le port communautaire xe-0/0/6 du commutateur 1. Le trafic est balisé parce que le port est configuré comme un tronc.

  3. Après le trafic des comm600 resses sur le port d’trunk PVLAN du commutateur 2, il est par exemple configuré comme un port d’trunk promiscuous sur xe-0/0/0.

    Remarque :

    Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès promiscuous, ce port ne peut participer qu’à un seul VLAN principal. Dans ce cas, le port d’accès promiscuous fait partie du pvlan100, de sorte que le trafic comm600 ne peut pas en être dégressé.

  4. Le trafic des communications comm600 est également sur le port communautaire xe-0/0/6 du commutateur 2. Dans ce cas, le trafic n’est pas pris en compte car le mode port est un accès.

Trunk VLAN secondaire et tronc promiscuous

Dans ce cas d’utilisation, supposez que vous avez deux commutateurs configurés avec les mêmes ports et VLAN que dans le cas précédent, avec une exception: Dans ce cas, xe-0/0/0 du commutateur 1 est configuré en tant que port d’trunk VLAN secondaire pour VLAN pvlan100 et également en tant que port d’tronc promiscuous pour pvlan400.

Figure 11 montre cette topologie et comment le trafic d’isolement200 (membre du pvlan100) et du comm600 (membre du pvlan400) circule après l’entrée du commutateur 1.

Figure 11 : Trunk VLAN secondaire et tronc promiscuous sur une interfaceTrunk VLAN secondaire et tronc promiscuous sur une interface

Le flux de trafic d’un réseau VLAN isolé200 est le même que dans le cas précédent, mais le flux de comm600 est différent. Voici le flux de trafic du VLAN comm600:

  1. Après le trafic sur le port VLAN communautaire xe-0/0/6 du commutateur 1, il s’allume sur le port d’trunk xe-0/0/0 du commutateur 1. Elle transporte alors la balise VLAN principale (400).
  2. Le trafic du trafic comm600 est également intégré au port d’trunk PVLAN, car ce dernier est membre de tous les VLAN. Lors de leur sortie, les paquets conservent la balise VLAN secondaire (600).
  3. Après le trafic des comm600 resses sur le port d’trunk PVLAN du commutateur 2, il est par exemple configuré comme un port d’trunk promiscuous sur xe-0/0/0.

    Il ne peut pas être dégressé sur xe-0/0/0 si cette interface est configurée en tant que port d’accès promiscuous car ce port peut uniquement participer au pvlan100.

  4. Le trafic des communications comm600 est également sur le port communautaire xe-0/0/6 du commutateur 2.

Trunk VLAN secondaire et tronc PVLAN

Dans ce cas d’utilisation, supposez que vous avez deux commutateurs configurés avec les mêmes ports et réseaux VLAN que dans les cas précédents, sauf que xe-0/0/0 sur le commutateur 1 est configuré comme port d’tronc VLAN secondaire pour VLAN pvlan100 et également en tant que port d’trunk PVLAN pour pvlan400.

Figure 12 montre cette topologie et la façon dont le trafic des communications comm300 (membre du pvlan100) et comm600 (membre du pvlan400) circule après l’entrée du commutateur 1.

Figure 12 : Tronc de VLAN secondaire et tronc PVLAN sur une interface uniqueTronc de VLAN secondaire et tronc PVLAN sur une interface unique

Voici le flux de trafic du VLAN comm300:

  1. Après le trafic de comm300 resses sur le port communautaire xe-0/0/3 du commutateur 1, il est par exemple sur le port d’trunk PVLAN xe-0/0/1, car ce port d’tronc PVLAN est membre de tous les VLAN. Lors de leur sortie, les paquets conservent la balise VLAN secondaire (300).
    Remarque :

    Le trafic comm300 ne passe pas par xe-0/0/0 car le port d’trunk VLAN secondaire de cette interface transporte des données isolées200 et non comm300.

  2. Après le trafic de comm300 sur le port d’trunk PVLAN du commutateur 2, il prend exemple sur xe-0/0/0, qui est configuré comme un port d’accès promiscuous ou un port d’accès promiscuous.
    • Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’tronc promiscuous, les paquets sont sorties de ce port avec la balise VLAN principale (100).

    • Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès promiscuous, les paquets sont dégressifs sur ce port.

  3. Le trafic des communications comm300 est également egresse sur le port de la communauté xe-0/0/3 sur le commutateur 2.

Voici le flux de trafic du VLAN comm600:

  1. Après le trafic des comm600 resses sur le port PVLAN xe-0/0/0 du commutateur 1, il est par exemple sur le port de la communauté xe-0/0/6 sur le commutateur 1. Les paquets conservent la balise VLAN secondaire (600) lors de leur sortie, car xe-0/0/6 est un port d’trunk.

  2. Le trafic comm600 est également intégré au port d’trunk PVLAN xe-0/0/1, car ce port d’trunk PVLAN fait partie de tous les VLAN. Lors de leur sortie, les paquets conservent la balise VLAN secondaire (600).

  3. Après le trafic des comm600 resses sur le port d’trunk PVLAN du commutateur 2, il est par exemple configuré comme un port d’trunk promiscuous sur xe-0/0/0.

    Il ne peut pas être dégressé sur xe-0/0/0 si cette interface est configurée en tant que port d’accès promiscuous car ce port peut uniquement participer au pvlan100.

  4. Le trafic des communications comm600 est également sur le port communautaire xe-0/0/6 du commutateur 2. Ce trafic n’est pas pris en compte lors de la sortie, car xe-0/0/6 est un port d’accès.

Trunk VLAN secondaire et interface VLAN non privée

Dans ce cas d’utilisation, supposez que vous avez deux commutateurs configurés avec les mêmes ports et VLANs que dans les cas d’utilisation précédents, sauf ces différences:

  • Configuration pour xe-0/0/0 sur le commutateur 1:

    • Port d’trunk VLAN secondaire pour VLAN pvlan100

    • Port d’accès pour vlan700

  • Le port xe-0/0/6 des deux commutateurs est un port d’accès pour le vlan700.

Figure 13 montre cette topologie et la façon dont le trafic d’isolement200 (membre du pvlan100) et du vlan700 passerait après l’entrée du commutateur 1.

Figure 13 : Trunk VLAN secondaire et port VLAN non privé sur une interface uniqueTrunk VLAN secondaire et port VLAN non privé sur une interface unique

Voici le flux de trafic pour le VLAN isolé200:

  1. Après le trafic pour les 200 ingresses isolées sur le port d’trunk du VLAN secondaire du commutateur 1, il est par exemple sur le port d’trunk PVLAN. Lors de leur sortie, les paquets conservent la balise VLAN secondaire (200).
  2. Après le trafic pour les resses isolées200 sur le port d’trunk PVLAN du commutateur 2, il est par exemple sur xe-0/0/0, qui est configuré comme un port d’accès promiscuous ou un port d’accès promiscuous.
    • Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’tronc promiscuous, les paquets sont sorties de ce port avec la balise VLAN principale (100).

    • Si xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès promiscuous, les paquets sont dégressifs sur ce port.

Notez que le trafic d’isolement200 du VLAN ne passe pas par le port d’accès isolé xe-0/0/2 du commutateur 1 ou du port d’accès VLAN secondaire xe-0/0/2 du commutateur 2, même si ces deux ports sont membres du même VLAN isolé.

Après le trafic des resses vlan700 sur le port d’accès configuré sur xe-0/0/0 sur le commutateur 1, il est par exemple sur le port d’accès xe-0/0/6, car ce port est membre du même VLAN. Le trafic du vlan700 n’est pas transmis au commutateur 2 (même si xe-0/0/6 sur le commutateur 2 fait partie du vlan700) car le tronc PVLAN de xe-0/0/1 ne transporte pas ce VLAN.

Entrée du trafic sur le port d’accès promiscuous

Dans ce cas d’utilisation, supposez que vous avez deux commutateurs configurés avec les mêmes ports et réseaux VLAN que dans le cas précédent, sauf que xe-0/0/0 du commutateur 1 est configuré comme un port d’accès promiscuous et qu’il est membre du pvlan100. montre la topologie et le flux du trafic qui ne serait pas en retard après son entrée dans cette Figure 14 interface sur le commutateur 1.

Figure 14 : Entrée du trafic sur le port d’accès promiscuousEntrée du trafic sur le port d’accès promiscuous

Comme le montre la figure, le trafic non-occupé qui s’affiche sur un port d’accès promiscuous est transmis à tous les ports VLAN secondaires membres du même VLAN principal dont est membre le port d’accès promiscuous. Le trafic n’est pas pris en retard lorsqu’il pare-feu des ports d’accès et est balisé à la sortie d’un port d’trunk (xe-0/0/2 sur le commutateur 2).

Utilisation de l’authentification 802.1X et de VLAN privés sur la même interface

Comprendre l’utilisation de l’authentification 802.1X et des PVLANs ensemble sur la même interface

Vous pouvez désormais configurer à la fois l’authentification 802.1X et les VLAN privés (PVLAN) sur la même interface.

IEEE l’authentification 802.1X assure la sécurité en périphérie du réseau et protège les réseaux Ethernet des accès non autorisés de l’utilisateur en bloquant tout le trafic à l’entrée et en provenance d’un demandeur (client) au niveau de l’interface, jusqu’à ce que les informations d’identification du demandeur soient présentées et assorties sur le serveur d’authentification (serveur RADIUS).

Les VLAN privés (PVLAN) assurent l’isolation de couche 2 entre les ports d’un VLAN, en partageant un domaine de diffusion en sous-domaines de diffusion multiples et discrets en créant des VLAN secondaires. Les réseaux PVLA sont utiles pour limiter le flux de trafic de diffusion et de trafic unicast inconnu et pour limiter la communication entre les hôtes connus.

Sur un commutateur configuré avec l’authentification 802.1X et les réseaux PVLAN, lorsqu’un nouvel équipement est connecté au réseau PVLAN, l’équipement est authentifié, puis est assigné à un VLAN secondaire en fonction de la configuration PVLAN ou du profil RADIUS. L’équipement obtient alors une adresse IP et se fait donner accès au réseau PVLAN.

Remarque :

Ce document ne fournit pas d’informations détaillées sur l’authentification 802.1X ou sur les VLAN privés. Pour plus d’informations, consultez la documentation sur les fonctionnalités spécifiques à ces fonctionnalités individuelles. Pour 802.1X, consultez le Guide de l’utilisateur de l’accès utilisateur et de l’authentification. Pour les réseaux PVLAN, consultez le Guide de l’utilisateur de la commutation Ethernet.

Directives de configuration relatives à l’authentification 802.1X et aux PVLANs

Gardez à l’esprit les directives et limites suivantes pour configurer ces deux fonctionnalités sur la même interface:

  • Vous ne pouvez pas configurer une interface 802.1X comme une interface promiscuous (une interface membre du VLAN principal par configuration) ou comme une interface de liaison inter-liaisons (ISL).

  • Plusieurs utilisateurs ne peuvent pas être authentifiés sur différents réseaux VLAN appartenant au même domaine PVLAN sur une interface logique. Par exemple, si l’interface ge-0/0/0 est configurée en tant que clients C1 et C2 authentifiées et ajoutée aux VLAN dynamiques V1 et V2, respectivement, les V1 et V2 doivent appartenir à différents domaines supplicant multiple PVLAN.

  • Si le VLAN VoIP et le VLAN de données sont différents, ces deux VLAN doivent se trouver dans des domaines PVLAN différents.

  • Lorsque l’adhésion PVLAN est modifiée (c’est-à-dire qu’une interface est reconfigurée dans un autre PVLAN), les clients doivent être reauththifiés.

Exemple: Configuration de l’authentification 802.1X avec des VLANs privés dans une seule configuration

Conditions préalables

  • Junos OS version ultérieure ou 18.2R1 version ultérieure

  • EX2300, EX3400, EX4300 commutateur

Avant de commencer, indiquez le serveur ou RADIUS serveur d’authentification à utiliser. Consultez la RADIUS connexions de serveur sur les commutateurs (CLI).

Présentation

La section de configuration suivante affiche la configuration du profil d’accès, la configuration d’authentification 802.1X et enfin la configuration des VLAN (y compris les PVLANs).

Configuration de l’authentification 802.1X avec des VLANs privés dans une seule configuration

Procédure
CLI configuration rapide
Procédure étape par étape

Pour configurer l’authentification 802.1X et les RÉSEAUx PVLAN dans une configuration:

  1. Configurez le profil d’accès:

    Remarque :

    Le VLAN VoIP configuré ne peut pas être un PVLAN (principal, communautaire ou isolé).

  2. Configurez les paramètres 802.1X:

    Remarque :

    Les données VLAN configurées peuvent également être un VLAN communautaire ou un VLAN isolé.

  3. Configurer les VLAN (y compris les PVLAN):

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show commandes suivantes sur le commutateur. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifier que les adresses MAC du client sont apprises sur le VLAN principal
But

Indiquez qu’une adresse MAC client a été apprise sur le VLAN principal.

Action
Vérifier que le VLAN principal est un VLAN authentifié
But

Indiquez que le VLAN principal est présenté sous la forme d’un VLAN authentifié.

Action

Sécurité des ports d’accès sur les réseaux VLAN privés

Comprendre la sécurité des ports d’accès sur les réseaux PVLANs

Vous pouvez désormais activer les fonctionnalités de sécurité des ports d’accès, telles que la snooping DHCP, sur les VLAN privés (PVLANs).

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité PVLAN vous permet de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, en mettant un VLAN dans un VLAN.

Les réseaux LAN Ethernet sont vulnérables aux attaques telles que l’usurpation d’adresses (usurpation) et les déni de service de couche 2 (DoS) sur les équipements réseau. Les fonctionnalités de sécurité des ports d’accès suivantes permettent de protéger votre équipement contre la perte d’informations et de productivité qu’une telle attaque peut causer. Vous pouvez désormais configurer ces fonctionnalités de sécurité sur un réseau PVLAN:

  • Snooping DHCP: filtres et bloque les messages de serveur DHCP d’entrée sur les ports non sécurisés. La snooping DHCP construit et tient à jour une base de données d’informations de location DHCP, appelée base de données de snooping DHCP.

  • Snooping DHCPv6 —Snooping DHCP pour IPv6.

  • Option DHCP 82: également connue sous le nom d’option DHCP Relay Agent Information. Aide à protéger le commutateur contre les attaques telles que l’usurpation d’adresses IP et d’adresses MAC et la dissipation d’adresses IP DHCP. L’option 82 fournit des informations sur la position du réseau d’un client DHCP. Le serveur DHCP utilise ces informations pour implémenter des adresses IP ou d’autres paramètres pour le client.

  • Options DHCPv6:

    • Option 37: option d’ID distant pour DHCPv6 ; insère des informations sur la position du réseau de l’hôte distant dans les paquets DHCPv6.

    • Option 18: option d’ID de circuit pour DHCPv6 ; insère des informations sur le port client dans les paquets DHCPv6.

    • Option 16: ID fournisseur pour DHCPv6 ; insère des informations sur le fournisseur de matériel client dans les paquets DHCPv6.

  • Inspection du protocole ARP dynamique (DAI) — Prévention des attaques d’usurpation du protocole de résolution d’adresses (ARP). Les requêtes et réponses ARP sont comparées aux entrées dans la base de données de snooping DHCP, et les décisions de filtrage sont prises en fonction des résultats de ces comparaisons.

  • Protection de la source IP: atténue les effets des attaques d’usurpation d’adresse IP sur le réseau lan Ethernet ; valide l’adresse IP source dans le paquet envoyé à partir d’une interface d’accès non validée par rapport à la base de données de snooping DHCP. Si le paquet n’est pas validé, il est éliminé.

  • Protection de la source IPv6: protection de la source IP pour IPv6.

  • Inspection de la détection des voisins IPv6— Empêche les attaques d’usurpation d’adresse IPv6 ; compare les requêtes de découverte de voisin et les réponses contre les entrées dans la base de données de snooping DHCPv6, et les décisions de filtrage sont prises en fonction des résultats de ces comparaisons.

Remarque :

Ce document ne fournit pas d’informations détaillées sur les fonctionnalités de sécurité des ports d’accès ou sur les PVLAN. Pour plus d’informations, consultez la documentation sur les fonctionnalités spécifiques à ces fonctionnalités individuelles. Pour la sécurité des ports d’accès, consultez le Security Services Administration Guide. Pour les réseaux PVLAN, consultez le Guide de l’utilisateur de la commutation Ethernet.

Directives de configuration relatives à l’installation de fonctionnalités de sécurité sur les ports d’accès sur les réseaux PVLANs

Gardez à l’esprit les directives et limites suivantes pour la configuration des fonctionnalités de sécurité des ports d’accès sur les réseaux PVLANs:

  • Vous devez appliquer les mêmes fonctionnalités de sécurité de port d’accès sur le vlan principal et sur tous ses VLAN secondaires.

  • Un PVLAN ne peut avoir qu’une seule interface de routage et de pontage (IRB) et l’interface IRB doit se trouver sur le VLAN principal.

  • Les limites des configurations de sécurité des ports d’accès sur les réseaux PVLAN sont les mêmes que celles des configurations de fonctionnalités de sécurité de port d’accès qui ne sont pas dans des PVLANs. Consultez la documentation sur la sécurité des ports d’accès à l’aide du Security Services Administration Guide.

Exemple: Configuration de la sécurité des ports d’accès sur un PVLAN

Conditions préalables

  • Junos OS version ultérieure ou 18.2R1 version ultérieure

  • EX4300 de commuter

Présentation

La section de configuration suivante présente les sections suivantes:

  • Configuration d’un VLAN privé, avec le VLAN principal ( ) et ses vlan-pri trois réseaux VLAN secondaires: VLAN communautaires ( et ) et vlan-hrvlan-finance VLAN isolé ( vlan-iso ).

  • Configuration des interfaces utilisées pour envoyer des communications entre les interfaces de ces réseaux VLAN.

  • Configuration des fonctionnalités de sécurité d’accès sur les réseaux VLAN principaux et secondaires qui font le PVLAN.

Tableau 5 répertorie les paramètres pour la topologie de l’exemple.

Tableau 5 : Composants de la topologie pour la configuration d’un réseau PVLAN avec les fonctionnalités de sécurité des ports d’accès
Interface Description

ge-0/0/0.0

Interface d’tronc VLAN principal (vlan1-quen)

ge-0/0/11.0

Utilisateur 1, Communauté des RH (vlan-h)

ge-0/0/12.0

Utilisateur 2, communauté des RH (vlan-h)

ge-0/0/13.0

Utilisateur 3, Communauté financière (vlan-finance)

ge-0/0/14.0

Utilisateur 4, Communauté financière (vlan-finance)

ge-0/0/15.0

Serveur de messagerie, isolé (vlan-iso)

ge-0/0/16.0

Serveur de sauvegarde, isolé (vlan-iso)

ge-1/0/0.0

Interface d’tronc VLAN principal (vlan-9)

Configuration de la sécurité des ports d’accès sur un PVLAN

Procédure
CLI configuration rapide
Procédure étape par étape

Pour configurer un VLAN privé (PVLAN) et ensuite configurer les fonctionnalités de sécurité des ports d’accès sur ce PVLAN:

  1. Configurer le PVLAN: créez le VLAN principal et ses VLAN secondaires et leur attribuez des ID VLAN. Associer des interfaces aux VLANs. (Pour plus d’informations sur la configuration des VLAN, consultez la fonction Configuring VLANs for EX Series Switches with ELS Support (CLI Procedure).)

  2. Configurez les fonctionnalités de sécurité des ports d’accès sur le VLAN principal et sur tous ses VLAN secondaires:

    Remarque :

    Lorsque vous configurez l’inspection ARP, IP source guard, IPv6 source guard, l’inspection de la découverte des voisins, les options DHCP option 82 ou DHCPv6, la surveillance DHCP et la surveillance DHCPv6 sont automatiquement configurées.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show commandes suivantes sur le commutateur. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifier que les fonctionnalités de sécurité des accès fonctionnent comme prévu
But

Vérifiez que les fonctionnalités de sécurité de port d’accès que vous avez configurées sur votre PVLAN fonctionnent comme prévu.

Action

Utilisez les commandes d’CLI et de contrôle pour vérifier que les show dhcp-securityclear dhcp-security fonctionnalités fonctionnent comme prévu. Pour en savoir plus sur ces commandes, consultez le guide Security Services Administration Guide.

Création d’un VLAN privé sur un commutateur unique avec prise en charge d’ELS (CLI technique)

Remarque :

Cette tâche utilise Junos OS commutateurs avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur EX Series exécute un logiciel qui ne prend pas en charge ELS, consultez La création d’un VLAN privé sur EX Series unique (CLI technique). Pour plus de détails sur ELS, consultez la version de l’application Enhanced Layer 2 Software CLI.

Remarque :

Les VN privés ne sont pas pris en charge QFX5100 les commutateurs QFX10002 et les commutateurs Junos OS version 15.1X53.

Pour des raisons de sécurité, il est souvent utile de limiter le flux de diffusion et de trafic unicast inconnu ou de limiter la communication entre les hôtes connus. Les VLAN privés (PVLAN) vous permettent de diviser un domaine de diffusion (VLAN principal) en plusieurs sous-domaines de diffusion isolés (VLAN secondaires), en mettant un VLAN dans un VLAN. Cette procédure décrit comment créer un PVLAN sur un commutateur unique.

Remarque :

Vous devez spécifier un ID VLAN pour chaque VLAN secondaire même si le PVLAN est configuré sur un commutateur unique.

Vous n’avez pas besoin de préconfigurer le VLAN principal. Ce sujet présente le VLAN principal en cours de configuration dans le cadre de cette procédure de configuration PVLAN.

Pour obtenir une liste de directives sur la configuration des VLANs, consultez la liste Understanding Private VLANs.

Pour configurer un VLAN privé sur un seul commutateur:

  1. Définir l’ID VLAN pour le VLAN principal:
  2. Configurez au moins une interface au sein du VLAN principal afin qu’elle communique avec tous les sous-domaine du PVLAN. Cette interface fonctionne comme un port promiscuous. Il peut s’agit d’un port d’accès ou d’un port d’accès.
  3. Configurez une autre interface de VLAN principal en tant que port d’trunk pour connecter le PVLAN au routeur ou au commutateur externe:
  4. Créez un VLAN isolé en sélectionnant l’option pour et en établissant un isolatedprivate-vlan ID VLAN pour le VLAN isolé:
    Remarque :

    Vous pouvez créer un seul VLAN isolé au sein d’un VLAN privé. La définition du nom du VLAN pour le VLAN isolé est en option. La configuration de l’ID VLAN est requise.

  5. Créez un VLAN de communauté en sélectionnant l’option pour et en établissant un communityprivate-vlan ID VLAN pour cette communauté VLAN:
    Remarque :

    Pour créer des VLAN de communauté supplémentaires, répétez cette étape et spécifiez un nouveau nom pour le VLAN de la communauté. La définition du nom VLAN de la communauté VLAN est facultative. La configuration de l’ID VLAN est requise.

  6. Associer le VLAN isolé au VLAN principal:
  7. Associer le VLAN de chaque communauté au VLAN principal:
  8. Si ce n’est pas déjà fait, configurez au moins une interface du VLAN isolé.
  9. Si ce n’est pas déjà fait, configurez au moins une interface du VLAN de la communauté.
    Remarque :

    Répétez la même démarche sur les autres VLAN de communauté que vous souhaitez inclure dans le PVLAN.

Création d’un VLAN privé sur un commutateur QFX unique

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) vous permet de diviser un domaine de diffusion en sous-domaines de diffusion isolés, en mettant essentiellement un VLAN secondaire dans un VLAN principal. Ce sujet décrit comment configurer un PVLAN sur un commutateur unique.

Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Vous n’avez pas besoin de préconfigurer le VLAN principal; il est configuré dans le cadre de cette procédure.) Il n’est pas nécessaire de créer des ID VLAN (balises) pour les VLAN secondaires. Il ne détériore pas le fonctionnement si vous balisez le VLANS secondaire, mais les balises ne sont pas utilisées lorsque des VLAN secondaires sont configurés sur un seul commutateur.

Gardez ces règles à l’esprit lors de la configuration d’un PVLAN:

  • Le VLAN principal doit être un VLAN balisé.

  • Si vous devez configurer un VLAN de communauté, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN. Vous devez également configurer le VLAN principal comme privé à l’aide de l’instruction pvlan.

  • Si vous devez configurer un VLAN isolé, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

Si vous remplissez vos étapes de configuration dans l’ordre indiqué, vous ne violerez pas ces règles PVLAN. Pour configurer un VLAN privé sur un seul commutateur:

  1. Définissez le nom et l’ID VLAN (balise 802.1Q) pour le VLAN principal:
  2. Configurez le VLAN comme privé:
  3. Configurez les interfaces d’trunk du VLAN principal:
  4. Ajoutez les interfaces d’tronc au VLAN principal:
  5. Configurez les interfaces d’accès de la communauté (secondaire) VLAN:
  6. Ajout des interfaces d’accès aux VLANs de la communauté:
  7. Définissez le VLAN principal pour chaque communauté:
  8. Configuration des ports isolés:

Création d’un VLAN privé sur un commutateur EX Series unique (CLI)

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) des commutateurs EX Series vous permet de diviser un domaine de diffusion, également appelé VLAN principal, en plusieurs sous-domaines de diffusion isolés, également appelés VLAN secondaires. Le fractionnement du VLAN principal dans les réseaux VLAN secondaires imbrmbre essentiellement un VLAN dans un autre VLAN. Ce sujet décrit comment configurer un PVLAN sur un commutateur unique.

Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Contrairement aux VLAN secondaires, vous n’avez pas besoin de préconfigurer le VLAN principal; cette procédure fournit la configuration complète du VLAN principal.) Bien que les balises ne soient pas requises lorsqu’un VLAN secondaire est configuré sur un commutateur unique, la configuration d’un VLAN secondaire tel que balisé n’affecte pas sa fonctionnalité. Pour obtenir des instructions sur la configuration des réseaux VLA secondaires, consultez la fonction Configuring VLANs for EX Series Switches.

Gardez ces règles à l’esprit lors de la configuration d’un PVLAN sur un commutateur unique:

  • Le VLAN principal doit être un VLAN balisé.

  • La configuration d’un VLAN VoIP sur des interfaces PVLAN n’est pas prise en charge.

Pour configurer un VLAN privé sur un seul commutateur:

  1. Définir l’ID VLAN pour le VLAN principal:
  2. Définissez les interfaces et les modes de port:
  3. Configurez les ports d’accès dans le VLAN principal afin de ne pas faire avancer les paquets entre eux:
  4. Pour chaque VLAN de communauté, configurez des interfaces d’accès:
  5. Définissez le VLAN principal pour chaque communauté:

Les VLAN isolés ne sont pas configurés dans le cadre de ce processus. Ils sont alors créés en interne si le VLAN principal est activé et que le VLAN isolé dispose no-local-switching d’interfaces d’accès en tant que membres.

Pour activer, éventuellement, le routage entre VLAN isolés et communautaires en utilisant une interface VLAN rouée (RVI) plutôt qu’un port connecté à un routeur, consultez la configuration d’une interface VLAN rouée dans un VLAN privé sur un commutateur EX Series.

Remarque :

Seul un commutateur EX8200 ou une EX8200 Virtual Chassis l’utilisation d’un VVI pour router le trafic de couche 3 entre les réseaux VLAN isolés et communautaires dans un domaine PVLAN.

Création d’un VLAN privé couvrant plusieurs Commutateurs QFX Series

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) vous permet de diviser un domaine de diffusion en sous-domaines de diffusion isolés, en mettant essentiellement un VLAN secondaire dans un VLAN principal. Ce sujet décrit comment configurer un PVLAN pour étendre plusieurs commutateurs.

Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Vous n’avez pas besoin de préconfigurer le VLAN principal; il est configuré dans le cadre de cette procédure.) Il n’est pas nécessaire de créer des ID VLAN (balises) pour les VLAN secondaires. Il ne détériore pas le fonctionnement si vous balisez le VLANS secondaire, mais les balises ne sont pas utilisées lorsque des VLAN secondaires sont configurés sur un seul commutateur.

Les règles suivantes s’appliquent à la création de PVLANs:

  • Le VLAN principal doit être un VLAN balisé.

  • Si vous devez configurer un VLAN de communauté, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN. Vous devez également configurer le VLAN principal comme privé à l’aide de l’instruction pvlan.

  • Si vous devez configurer un VLAN isolé, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

Si vous remplissez vos étapes de configuration dans l’ordre indiqué, vous ne violerez pas ces règles PVLAN. Pour configurer un VLAN privé pour étendre plusieurs commutateurs:

  1. Définissez le nom et l’ID VLAN (balise 802.1Q) pour le VLAN principal:
  2. Configurez le VLAN comme privé:
  3. Configurez les interfaces d’trunk du VLAN principal:
  4. Ajoutez les interfaces d’tronc au VLAN principal:
  5. Configurez les interfaces d’accès de la communauté (secondaire) VLAN:
  6. Ajout des interfaces d’accès aux VLANs de la communauté:
  7. Définissez le VLAN principal pour chaque communauté:
  8. Configurez un ID VLAN isolé pour créer un domaine d’interconnexion isolé qui couvre les commutateurs:
  9. Configuration des ports isolés:

Création d’un VLAN privé couvrant plusieurs EX Series avec prise en charge d’ELS (CLI technique)

Remarque :

Cette tâche utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced Layer 2 Software) Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez La création d’un VLAN privé spanning multiples EX Series Switches (CLI Procedure). Pour plus de détails sur ELS, consultez la version de l’application Enhanced Layer 2 Software CLI.

Remarque :

Les VN privés ne sont pas pris en charge QFX5100 les commutateurs QFX10002 et les commutateurs Junos OS version 15.1X53.

Pour des raisons de sécurité, il est souvent utile de limiter le flux de diffusion et de trafic unicast inconnu ou de limiter la communication entre les hôtes connus. Les VLAN privés (PVLAN) vous permettent de diviser un domaine de diffusion (VLAN principal) en plusieurs sous-domaines de diffusion isolés (VLAN secondaires), en mettant un VLAN dans un VLAN. Cette procédure décrit comment configurer un PVLAN pour étendre plusieurs commutateurs.

Pour obtenir une liste de directives sur la configuration des VLANs, consultez la liste Understanding Private VLANs.

Pour configurer un PVLAN pour étendre plusieurs commutateurs, exécutez la procédure suivante sur tous les commutateurs qui participeront au PVLAN:

  1. Créez le VLAN principal en définissez le nom unique et spécifiez une balise 802.1Q pour le VLAN:
  2. Sur le commutateur qui se connecte à un routeur, configurez une interface promiscuous en tant que port d’trunk pour connecter le PVLAN au routeur:
  3. Sur tous les commutateurs, configurez une interface d’trunk en tant que liaison inter-commutateur (ISL) qui sera utilisée pour connecter les commutateurs les uns aux autres:
  4. Créez un VLAN isolé dans le VLAN principal en sélectionnant l’option et en établissant un isolatedprivate-vlan ID VLAN pour le VLAN isolé:
    Remarque :

    Vous pouvez créer un seul VLAN isolé au sein d’un VLAN privé. Le VLAN isolé peut contenir des interfaces membres à partir des commutateurs multiples qui composent le PVLAN. La définition du nom du VLAN pour le VLAN isolé est en option. La configuration de l’ID VLAN est requise.

  5. Créez un VLAN de communauté au sein du VLAN principal en sélectionnant l’option pour cette communauté et en établissant un communityprivate-vlan ID VLAN::
    Remarque :

    Pour créer des VLAN de communauté supplémentaires, répétez cette étape et spécifiez un nouveau nom pour le VLAN de la communauté. La définition du nom VLAN de la communauté VLAN est facultative. La configuration de l’ID VLAN est requise.

  6. Associer le VLAN isolé au VLAN principal:
  7. Associer le VLAN de chaque communauté au VLAN principal:
  8. Si ce n’est pas déjà fait, configurez au moins une interface d’accès pour faire partie du VLAN isolé.
  9. Si ce n’est pas déjà fait, configurez au moins une interface d’accès pour faire partie de la communauté VLAN.
    Remarque :

    Répétez cette étape pour les autres VLAN de la communauté que vous êtes dans le PVLAN.

Création d’un VLAN privé couvrant plusieurs EX Series de données (CLI procédure)

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) sur les commutateurs EX Series permet à un administrateur de diviser un domaine de diffusion, également appelé VLAN principal, en plusieurs sous-domaines de diffusion isolés, également appelés VLAN secondaires. Le fractionnement du VLAN principal dans les réseaux VLAN secondaires imbrmbre essentiellement un VLAN dans un autre VLAN. Ce sujet décrit comment configurer un PVLAN pour étendre plusieurs commutateurs.

Avant de commencer, configurez les noms de tous les VLAN secondaires qui feront partie du VLAN principal. (Contrairement aux VLAN secondaires, vous n’avez pas besoin de préconfigurer le VLAN principal; cette procédure fournit la configuration complète du VLAN principal.) Pour obtenir des instructions sur la configuration des réseaux VLA secondaires, consultez la fonction Configuring VLANs for EX Series Switches.

Les règles suivantes s’appliquent à la création de PVLANs:

  • Le VLAN principal doit être un VLAN balisé.

  • Vous devez configurer le VLAN principal et le port d’trunk PVLAN avant de configurer les VLAN secondaires.

  • La configuration d’un VLAN VoIP sur des interfaces PVLAN n’est pas prise en charge.

  • Si le protocole d’enregistrement de VLAN multiple (MVRP) est configuré sur le port d’trunk PVLAN, la configuration des VLAN secondaires et du port d’trunk PVLAN doit être engagée avec la même opération de validation.

Pour configurer un VLAN privé pour étendre plusieurs commutateurs:

  1. Configurez un nom et une balise 802.1Q pour le VLAN principal:.
  2. Définissez le VLAN principal sans commutation locale:
  3. Définissez l’interface d’trunk PVLAN qui connecte le VLAN principal au commutateur voisin:
  4. Configurez un nom et une balise 802.1Q pour un VLAN de communauté qui couvre les commutateurs:
  5. Ajout d’interfaces d’accès au VLAN de la communauté:
  6. Indiquez le VLAN principal de la communauté VLAN spécifié:
  7. Ajout de l’interface isolée au VLAN principal spécifié:
    Remarque :

    Pour configurer une interface isolée, faites-la comme l’un des membres du VLAN principal, mais ne la configurez pas comme appartenant à l’un des VLAN de la communauté.

  8. Définir la balise 802.1Q du VLAN d’interconnexion isolé:

    Les balises 802.1Q sont requises pour les réseaux VLAN isolés d’interconnexion car IEEE 802.1Q utilise un mécanisme de balisage interne par lequel un équipement d’trunking insère un onglet d’identification de trame VLAN de 4 tots dans l’en-tête du paquet.

Pour activer, éventuellement, le routage entre VLAN isolés et communautaires en utilisant une interface VLAN rouée (RVI) plutôt qu’un port connecté à un routeur, consultez la configuration d’une interface VLAN rouée dans un VLAN privé sur un commutateur EX Series.

Remarque :

Seul un commutateur EX8200 ou une EX8200 Virtual Chassis l’utilisation d’un VVI pour router le trafic de couche 3 entre les réseaux VLAN isolés et communautaires dans un domaine PVLAN.

Exemple: Configuration d’un VLAN privé sur un commutateur unique avec prise en charge d’ELS

Remarque :

Cet exemple utilise des Junos OS pour les commutateurs avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur EX exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple: La configuration d’un VLAN privé sur un commutateur EX Series unique . Pour plus de détails sur ELS, consultez la version de l’application Enhanced Layer 2 Software CLI.

Remarque :

Les VN privés ne sont pas pris en charge QFX5100 les commutateurs QFX10002 et les commutateurs Junos OS version 15.1X53.

Pour des raisons de sécurité, il est souvent utile de limiter le flux de diffusion et de trafic unicast inconnu ou de limiter la communication entre les hôtes connus. Les VLAN privés (PVLAN) vous permettent de diviser un domaine de diffusion (VLAN principal) en plusieurs sous-domaines de diffusion isolés (VLAN secondaires), en mettant un VLAN dans un VLAN.

Cet exemple décrit comment créer un PVLAN sur un commutateur unique:

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Un commutateur Junos OS commutateur

  • Junos OS version ultérieure ou 14.1X53-D10 des commutateurs EX Series version ultérieure

    Junos OS version ultérieure ou 14.1X53-D15 pour les commutateurs QFX Series de sortie

Présentation et topologie

Vous pouvez isoler des groupes d’abonnés pour améliorer la sécurité et l’efficacité. Cet exemple de configuration utilise une topologie simple pour illustrer comment créer un RÉSEAU PVLAN avec un VLAN principal et trois réseaux VLAN secondaires (un VLAN isolé et deux VLAN communautaires).

Tableau 6 répertorie les interfaces de la topologie utilisée dans l’exemple.

Tableau 6 : Interfaces de la topologie pour la configuration d’un PVLAN
Interface Description

ge-0/0/0

ge-1/0/0

Ports membres promiscuous

ge-0/0/11ge-0/0/12

Ports membres VLAN de la communauté DES RH

ge-0/0/13ge-0/0/14

Ports membres VLAN de la communauté financière

ge-0/0/15ge-0/0/16

Ports membres isolés

Tableau 7 répertorie les ID VLAN de la topologie utilisée dans l’exemple.

Tableau 7 : ID VLAN dans la topologie pour la configuration d’un PVLAN
VLAN ID Description

100

VLAN principal

200

Communauté de RH VLAN

300

Communauté financière VLAN

400

VLAN isolé

Figure 15 montre la topologie de cet exemple.

Figure 15 : Topologie d’un VLAN privé sur un commutateur EX Series uniqueTopologie d’un VLAN privé sur un commutateur EX Series unique

Configuration

Vous pouvez utiliser un VLAN existant comme base de votre RÉSEAU PVLAN privé et y créer des sous-domaine. Cet exemple crée un VLAN principal(utilisant le nom vlan-pri VLAN) dans le cadre de la procédure.

Pour configurer un PVLAN, exécutez ces tâches:

CLI configuration rapide

Pour créer et configurer rapidement un PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre de borne du commutateur:

Procédure

Procédure étape par étape

Pour configurer le PVLAN:

  1. Créez le VLAN principal (dans cet exemple, le nom vlan-pri est) du VLAN privé:

  2. Créez un VLAN isolé et attribuez-lui un ID VLAN:

  3. Créez la communauté de RH VLAN et attribuez-lui un ID VLAN:

  4. Créer la communauté financière VLAN et lui attribuer un ID VLAN:

  5. Associer les VLAN secondaires au VLAN principal:

  6. Définissez les interfaces en différents modes d’interface appropriés:

  7. Configurez une interface d’trunk promiscuous du VLAN principal. Cette interface est utilisée par le VLAN principal pour communiquer avec les VLAN secondaires.

  8. Configurez une autre interface d’trunk (il s’agit également d’une interface promiscuous) du VLAN principal et connectez le PVLAN au routeur.

Exemple: Configuration d’un VLAN privé sur un commutateur QFX Series unique

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et d’unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) permet à un administrateur de diviser un domaine de diffusion en sous-domaines de diffusion isolés, en mettant essentiellement un VLAN à l’intérieur d’un VLAN.

Cet exemple décrit comment créer un PVLAN sur un commutateur unique:

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Un QFX3500 de sécurité

  • Junos OS version 12.1 ou ultérieure pour la version QFX Series

Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Voir Configuration des VLAN sur les commutateurs .

Présentation et topologie

Dans un grand bureau avec plusieurs bâtiments et VLANs, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration présente une topologie simple pour illustrer comment créer un réseau PVLAN avec un VLAN principal et deux réseaux VLAN communautaires, un pour les ressources humaines et un pour la finance, ainsi que deux ports isolés (un pour le serveur de messagerie et l’autre pour le serveur de secours).

Tableau 8 répertorie les paramètres de la topologie de l’exemple.

Tableau 8 : Composants de la topologie pour la configuration d’un PVLAN
Interface Description

ge-0/0/0.0

Interface d’trunk du VLAN pvlan100 principal ()

ge-0/0/11.0

Utilisateur 1, Communauté des RH ( hr-comm )

ge-0/0/12.0

Utilisateur 2, Communauté des RH ( hr-comm )

ge-0/0/13.0

Utilisateur 3, Communauté financière ( finance-comm )

ge-0/0/14.0

Utilisateur 4, Communauté financière ( finance-comm )

ge-0/0/15.0

Serveur de messagerie, isolé ( isolated )

ge-0/0/16.0

Serveur de secours, isolé ( isolated )

ge-1/0/0.0

Interface d’trunk du VLAN pvlan100 principal ()

Configuration

CLI configuration rapide

Pour créer et configurer rapidement un PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre de borne du commutateur:

Procédure

Procédure étape par étape

Pour configurer le PVLAN:

  1. Définir l’ID VLAN pour le VLAN principal:

  2. Définissez les interfaces et les modes de port:

  3. Définissez le VLAN principal sans commutation locale:

    Remarque :

    Le VLAN principal doit être un VLAN balisé.

  4. Ajoutez les interfaces d’tronc au VLAN principal:

  5. Pour chaque VLAN secondaire, configurez les interfaces d’accès:

    Remarque :

    Il est recommandé que les VLAN secondaires ne soient pas pris en retard. Il ne détériore pas le fonctionnement si vous balisez le VLANS secondaire. Cependant, les balises ne sont pas utilisées lorsqu’un VLAN secondaire est configuré sur un commutateur unique.

  6. Définissez le VLAN principal pour chaque communauté:

  7. Configurez les interfaces isolées dans le VLAN principal:

Résultats

Consultez les résultats de la configuration:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création d’un VLAN privé et de réseaux VLAN secondaires

But

Vérifiez que les VLAN principaux et les VLAN secondaires ont été correctement créés sur le commutateur.

Action

Utilisez la show vlans commande:

Sens

Le résultat indique que le VLAN principal a été créé et identifie les interfaces et les réseaux VLAN secondaires qui y sont associés.

Exemple: Configuration d’un VLAN privé sur un commutateur EX Series unique

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité de VLAN privé (PVLAN) sur les commutateurs EX Series permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, en mettant essentiellement un VLAN dans un VLAN.

Cet exemple décrit comment créer un PVLAN sur un commutateur EX Series unique:

Remarque :

La configuration d’un VLAN voIP (voix sur IP) sur les interfaces PVLAN n’est pas prise en charge.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Un EX Series commutateur

  • Junos OS version 9.3 ou ultérieure pour les EX Series commutateurs

Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Voir Configurer les VLANs pour EX Series commutateurs.

Présentation et topologie

Dans un grand bureau avec plusieurs bâtiments et VLANs, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration présente une topologie simple pour illustrer comment créer un réseau PVLAN avec un VLAN principal et deux réseaux VLAN communautaires, un pour les ressources humaines et un pour la finance, ainsi que deux ports isolés (un pour le serveur de messagerie et l’autre pour le serveur de secours).

Tableau 9 répertorie les paramètres pour la topologie de l’exemple.

Tableau 9 : Composants de la topologie pour la configuration d’un PVLAN
Interface Description

ge-0/0/0.0

Interface d’trunk du VLAN vlan1 principal ()

ge-0/0/11.0

Utilisateur 1, Communauté des RH ( hr-comm )

ge-0/0/12.0

Utilisateur 2, Communauté des RH ( hr-comm )

ge-0/0/13.0

Utilisateur 3, Communauté financière ( finance-comm )

ge-0/0/14.0

Utilisateur 4, Communauté financière ( finance-comm )

ge-0/0/15.0

Serveur de messagerie, isolé ( isolated )

ge-0/0/16.0

Serveur de secours, isolé ( isolated )

ge-1/0/0.0

Interface d’trunk du VLAN pvlan principal ()

Figure 16 montre la topologie de cet exemple.

Figure 16 : Topologie d’un VLAN privé sur un commutateur EX Series uniqueTopologie d’un VLAN privé sur un commutateur EX Series unique

Configuration

Pour configurer un PVLAN, exécutez ces tâches:

CLI configuration rapide

Pour créer et configurer rapidement un PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre de borne du commutateur:

Procédure

Procédure étape par étape

Pour configurer le PVLAN:

  1. Définir l’ID VLAN pour le VLAN principal:

  2. Définissez les interfaces et les modes de port:

  3. Définissez le VLAN principal sans commutation locale:

    Remarque :

    Le VLAN principal doit être un VLAN balisé.

  4. Ajoutez les interfaces d’tronc au VLAN principal:

  5. Pour chaque VLAN secondaire, configurez les ID VLAN et les interfaces d’accès:

    Remarque :

    Il est recommandé que les VLAN secondaires ne soient pas pris en retard. Il ne détériore pas le fonctionnement si vous balisez le VLANS secondaire. Cependant, les balises ne sont pas utilisées lorsqu’un VLAN secondaire est configuré sur un commutateur unique.

  6. Définissez le VLAN principal pour chaque communauté:

  7. Ajoutez chaque interface isolée au VLAN principal:

Résultats

Consultez les résultats de la configuration:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création d’un VLAN privé et de réseaux VLAN secondaires

But

Vérifiez que les VLAN principaux et les VLAN secondaires ont été correctement créés sur le commutateur.

Action

Utilisez la show vlans commande:

Sens

Le résultat indique que le VLAN principal a été créé et identifie les interfaces et les réseaux VLAN secondaires qui y sont associés.

Exemple: Configuration d’un VLAN privé couvrant plusieurs commutateurs QFX

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et d’unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) permet à un administrateur de diviser un domaine de diffusion en sous-domaines de diffusion isolés, en mettant essentiellement un VLAN à l’intérieur d’un VLAN. Un PVLAN peut s’étendre à plusieurs commutateurs.

Cet exemple décrit comment créer un PVLAN couvrant plusieurs commutateurs. L’exemple crée un PVLAN principal contenant plusieurs réseaux VLAN secondaires:

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Trois QFX3500 de sécurité

  • Junos OS version 12.1 ou ultérieure pour la version QFX Series

Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Voir Configuration des VLAN sur les commutateurs .

Présentation et topologie

Dans un grand bureau avec plusieurs bâtiments et VLANs, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre comment créer un réseau PVLAN couvrant plusieurs équipements QFX, avec un VLAN principal contenant deux réseaux VLAN communautaires (un pour les ressources humaines et un pour les finances) et un VLAN isolé (pour le serveur de messagerie, le serveur de secours et le serveur CVS). Le réseau PVLAN comprend trois commutateurs, deux commutateurs d’accès et un commutateur de distribution. Le PVLAN est connecté à un routeur par l’intermédiaire d’un port qui est configuré sur le commutateur de distribution.

Remarque :

Les ports isolés du commutateur 1 et du commutateur 2 n’ont pas de connectivité de couche 2 les uns avec les autres, même s’ils sont inclus dans le même domaine. Voir Understanding Private VLANs .

Figure 17 montre la topologie de cet exemple: deux commutateurs d’accès se connectant à un commutateur de distribution, qui dispose d’une connexion (par un port promiscuous) au routeur.

Figure 17 : Topologie PVLAN couvrant plusieurs commutateursTopologie PVLAN couvrant plusieurs commutateurs

Tableau 10Tableau 11, et Tableau 12 énumérer les paramètres de la topologie de l’exemple.

Tableau 10 : Composants du commutateur 1 dans la topologie pour la configuration d’un PVLAN couvrant plusieurs équipements
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolation-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces d’trunk PVLAN

ge-0/0/0.0, connecte le commutateur 1 au commutateur 3

ge-0/0/5.0, connecte le commutateur 1 au commutateur 2

Interfaces isolées dans le VLAN principal

ge-0/0/15.0, serveur de messagerie

ge-0/0/16.0, serveur de sauvegarde

Interfaces dans VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces dans VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tableau 11 : Composants du commutateur 2 dans la topologie pour la configuration d’un PVLAN couvrant plusieurs équipements
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolation-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces d’trunk PVLAN

ge-0/0/0.0, connecte le commutateur 2 au commutateur 3

ge-0/0/5.0, connecte le commutateur 2 au commutateur 1

Interface isolée dans le VLAN principal

ge-0/0/17.0, serveur CVS

Interfaces dans VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces dans VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tableau 12 : Composants du commutateur 3 dans la topologie pour la configuration d’un PVLAN couvrant plusieurs équipements
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolation-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces d’trunk PVLAN

ge-0/0/0.0, connecte le commutateur 3 au commutateur 1

ge-0/0/1.0, connecte le commutateur 3 au commutateur 2

Port promiscuous

ge-0/0/2, connecte le PVLAN au routeur

Remarque :

Vous devez configurer le port d’trunk qui connecte le PVLAN à un autre commutateur ou routeur en dehors du PVLAN en tant que membre du PVLAN, ce qui le configure implicitement comme un port promiscuous.

Topologie

Configuration d’un PVLAN sur le commutateur 1

Lors de la configuration d’un PVLAN sur plusieurs commutateurs, ces règles s’appliquent:

  • Le VLAN principal doit être un VLAN balisé. Il est recommandé de configurer d’abord le VLAN principal.

  • Si vous devez configurer un ID VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN. Vous devez également configurer le VLAN principal comme privé à l’aide de l’instruction pvlan.

  • Si vous devez configurer un ID VLAN d’isolement, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

CLI configuration rapide

Pour créer et configurer rapidement un PVLAN couvrant plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 1:

Procédure

Procédure étape par étape
  1. Définir l’ID VLAN pour le VLAN principal:

  2. Définissez les interfaces d’trunk PVLAN pour connecter ce VLAN sur les commutateurs voisins:

  3. Définissez le VLAN principal comme privé et sans commutation locale:

  4. Définissez l’ID VLAN pour le VLAN de la communauté finance-comm qui couvre les commutateurs:

  5. Configurer les interfaces d’accès pour le finance-comm VLAN:

  6. Définir le VLAN principal de cette communauté VLAN finance-comm secondaire:

  7. Définissez l’ID VLAN pour la communauté de RH VLAN qui couvre les commutateurs.

  8. Configurer les interfaces d’accès pour le hr-comm VLAN:

  9. Définir le VLAN principal de cette communauté VLAN hr-comm secondaire:

  10. Définissez l’ID d’interconnexion isolé pour créer un domaine d’interconnexion isolé qui couvre les commutateurs:

  11. Configurez les interfaces isolées dans le VLAN principal:

    Remarque :

    Lorsque vous configurez un port isolé, l’inclure comme membre du VLAN principal, mais ne le configurez pas comme membre d’un VLAN de communauté.

Résultats

Consultez les résultats de la configuration:

Configuration d’un PVLAN sur le commutateur 2

CLI configuration rapide

Pour créer et configurer rapidement un VLAN privé couvrant plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 2:

Remarque :

La configuration du commutateur 2 est la même que celle du commutateur 1, à l’exception de l’interface du domaine isolé d’interconnexion. Pour le commutateur 2, l’interface est ge-0/0/17.0 .

Procédure

Procédure étape par étape

Pour configurer un PVLAN sur le commutateur 2 qui s’étend sur plusieurs commutateurs:

  1. Définissez l’ID VLAN pour le VLAN de la communauté finance-comm qui couvre les commutateurs:

  2. Configurer les interfaces d’accès pour le finance-comm VLAN:

  3. Définir le VLAN principal de cette communauté VLAN finance-comm secondaire:

  4. Définissez l’ID VLAN pour la communauté de RH VLAN qui couvre les commutateurs.

  5. Configurer les interfaces d’accès pour le hr-comm VLAN:

  6. Définir le VLAN principal de cette communauté VLAN hr-comm secondaire:

  7. Définir l’ID VLAN pour le VLAN principal:

  8. Définissez les interfaces d’trunk PVLAN qui connectent ce VLAN sur les commutateurs voisins:

  9. Définissez le VLAN principal comme privé et sans commutation locale:

  10. Définissez l’ID d’interconnexion isolé pour créer un domaine d’interconnexion isolé qui couvre les commutateurs:

    Remarque :

    Pour configurer un port isolé, faites-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.

  11. Configurez l’interface isolée dans le VLAN principal:

Résultats

Consultez les résultats de la configuration:

Configuration d’un PVLAN sur le commutateur 3

CLI configuration rapide

Pour configurer rapidement le commutateur 3 comme commutateur de distribution de ce PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 3:

Remarque :

L’interface ge-0/0/2.0 est un port d’trunk connectant le PVLAN à un routeur.

Procédure

Procédure étape par étape

Pour configurer le commutateur 3 comme commutateur de distribution de ce PVLAN, utilisez la procédure suivante:

  1. Définissez l’ID VLAN pour le VLAN de la communauté finance-comm qui couvre les commutateurs:

  2. Définir le VLAN principal de cette communauté VLAN finance-comm secondaire:

  3. Définir l’ID VLAN pour la communauté de RH VLAN qui couvre les commutateurs:

  4. Définir le VLAN principal de cette communauté VLAN hr-comm secondaire:

  5. Définir l’ID VLAN pour le VLAN principal:

  6. Définissez les interfaces d’trunk PVLAN qui connectent ce VLAN sur les commutateurs voisins:

  7. Définissez le VLAN principal comme privé et sans commutation locale:

  8. Définissez l’ID d’interconnexion isolé pour créer un domaine d’interconnexion isolé qui couvre les commutateurs:

    Remarque :

    Pour configurer un port isolé, faites-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.

Résultats

Consultez les résultats de la configuration:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création des VLAN principaux et secondaires sur le commutateur 1

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 1:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et montre qu’il inclut deux réseaux VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre interconnexions. La présence des champs pvlan-trunk et inter-commutateurs isolés indique que ce PVLAN s’étend sur plusieurs commutateurs.

Vérification de la création des VLAN principaux et secondaires sur le commutateur 2

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 2:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique qu’un PVLAN a été créé sur le commutateur 2 et montre qu’il comprend un VLAN isolé, deux réseaux VLAN communautaires et un VLAN isolé entre interconnexions. La présence des champs pvlan-trunk et inter-commutateurs isolés indique que ce PVLAN s’étend sur plusieurs commutateurs. Lorsque vous comparez ce résultat à celui du commutateur 1, vous voyez que les deux commutateurs appartiennent au même PVLAN ( pvlan100 ).

Vérification de la création des VLAN principaux et secondaires sur le commutateur 3

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 3:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique que le PVLAN ( ) est configuré sur le commutateur 3 et qu’il n’inclut pas de pvlan100 VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre les points de commutation. Mais le commutateur 3 fonctionne comme un commutateur de distribution, de sorte que le produit n’inclut pas les interfaces d’accès dans le PVLAN. Seules les interfaces du commutateur 3 se connectent aux autres commutateurs (commutateur 1 et commutateur pvlan-trunkpvlan100 2) du même réseau PVLAN.

Exemple: Configuration d’un VLAN privé couvrant plusieurs commutateurs avec une interface IRB

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et d’unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité VLAN privé (PVLAN) permet à un administrateur de diviser un domaine de diffusion en sous-domaines de diffusion isolés, en mettant essentiellement un VLAN à l’intérieur d’un VLAN. Un PVLAN peut s’étendre à plusieurs commutateurs. Cet exemple décrit comment créer un PVLAN couvrant plusieurs commutateurs. L’exemple crée un réseau PVLAN principal contenant plusieurs VLAN secondaires.

Tout comme les réseaux VLA réguliers, les réseaux PVLA sont isolés au niveau de la couche 2 et nécessitent normalement l’utilisation d’un équipement de couche 3 pour le routeur. En commençant par Junos OS 14.1X53-D30, vous pouvez utiliser une interface de routage et de pontage (IRB) intégrée pour router le trafic de couche 3 entre les équipements connectés à un PVLAN. L’utilisation d’une interface IRB peut également permettre aux équipements pvLAN de communiquer au niveau de la couche 3 avec des équipements d’autres communautés ou des VLAN isolés ou avec des équipements en dehors du PVLAN. Cet exemple illustre également comment inclure une interface IRB dans une configuration PVLAN.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Trois QFX Series ou EX4600 commutateurs

  • Junos OS version PVLAN pour QFX Series ou EX4600

Présentation et topologie

Dans un grand bureau avec plusieurs bâtiments et VLANs, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre comment créer un réseau PVLAN couvrant plusieurs commutateurs, avec un VLAN principal contenant deux VLAN communautaires (un pour les ressources humaines et un pour les finances) et un VLAN isolé entre plusieurs (pour le serveur de messagerie, le serveur de secours et le serveur CVS). Le réseau PVLAN comprend trois commutateurs: deux commutateurs d’accès et un commutateur de distribution. Les équipements pvLAN sont connectés au niveau de la couche 3 les uns aux autres et aux équipements en dehors du PVLAN par le biais d’une interface IRB configurée sur le commutateur de distribution.

Remarque :

Les ports isolés du commutateur 1 et du commutateur 2 n’ont pas de connectivité de couche 2 les uns avec les autres, même s’ils sont inclus dans le même domaine. Voir Understanding Private VLANs .

Figure 18 montre la topologie de cet exemple.

Figure 18 : Topologie PVLAN couvrant plusieurs commutateurs avec une interface IRBTopologie PVLAN couvrant plusieurs commutateurs avec une interface IRB

Tableau 13Tableau 14, et Tableau 15 énumérer les paramètres de la topologie de l’exemple.

Tableau 13 : Composants du commutateur 1 dans la topologie pour la configuration d’un PVLAN couvrant plusieurs équipements
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolated-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces de liaison inter-liaisons

xe-0/0/0.0, connecte le commutateur 1 au commutateur 3

xe-0/0/5.0, connecte le commutateur 1 au commutateur 2

Interfaces isolées dans le VLAN principal

xe-0/0/15.0, serveur de messagerie

xe-0/0/16.0, serveur de sauvegarde

Interfaces dans VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces dans VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tableau 14 : Composants du commutateur 2 dans la topologie pour la configuration d’un PVLAN couvrant plusieurs équipements
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolated-vlan-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces de liaison inter-liaisons

xe-0/0/0.0, connecte le commutateur 2 au commutateur 3

xe-0/0/5.0, connecte le commutateur 2 au commutateur 1

Interface isolée dans le VLAN principal

xe-0/0/17.0, serveur CVS

Interfaces dans VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces dans VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tableau 15 : Composants du commutateur 3 dans la topologie pour la configuration d’un PVLAN couvrant plusieurs équipements
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolated-vlan-id, balise 50finance-comm , tag 300hr-commétiquette 400

Interfaces de liaison inter-liaisons

xe-0/0/0.0, connecte le commutateur 3 au commutateur 1.

xe-0/0/1.0, connecte le commutateur 3 au commutateur 2.

Port promiscuous

xe-0/0/2, connecte le PVLAN à un autre réseau.

Remarque :

Vous devez configurer le port d’trunk qui connecte le PVLAN à un autre commutateur ou routeur en dehors du PVLAN en tant que membre du PVLAN, ce qui le configure implicitement comme un port promiscuous.

Interface IRB

xe-0/0/0

xe-0/0/1

Configurez ARP proxy illimité sur l’interface IRB afin de permettre à ARP de résoudre les problèmes afin que les équipements qui utilisent IPv4 peuvent communiquer au niveau de la couche 3. Pour le trafic IPv6, vous devez mappper une adresse IRB à l’adresse de destination pour permettre une résolution ARP.

Topologie

Présentation de la configuration

Lors de la configuration d’un PVLAN sur plusieurs commutateurs, les règles suivantes s’appliquent:

  • Le VLAN principal doit être un VLAN balisé.

  • Le VLAN principal est le seul VLAN qui peut être membre d’une interface de liaison inter-liaisons.

Lors de la configuration d’une interface IRB dans un PVLAN, ces règles s’appliquent:

  • Vous pouvez créer une seule interface IRB dans un PVLAN, quel que soit le nombre de commutateurs participants au PVLAN.

  • L’interface IRB doit être membre du VLAN principal dans le PVLAN.

  • Chaque équipement hôte que vous souhaitez connecter au niveau de la couche 3 doit utiliser une adresse IP de l’IRB comme adresse de passerelle par défaut.

Configuration d’un PVLAN sur le commutateur 1

CLI configuration rapide

Pour créer et configurer rapidement un PVLAN couvrant plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 1:

Procédure

Procédure étape par étape
  1. Configurer l’interface xe-0/0/0 pour qu’elle soit un tronc:

  2. Configurez l’interface xe-0/0/0 pour qu’elle soit une liaison inter-liaison transportant tous les VLAN:

  3. Configurer pvlan100 (VLAN principal) pour être membre de l’interface xe-0/0/0:

  4. Configurer l’interface xe-0/0/5 pour qu’elle soit un tronc:

  5. Configurez l’interface xe-0/0/5 pour qu’elle soit une liaison inter-liaison transportant tous les VLAN:

  6. Configurer pvlan100 pour être membre de l’interface xe-0/0/5:

  7. Créer un VLAN communautaire pour l’organisation financière:

  8. Créer un VLAN communautaire pour l’organisation des RH:

  9. Créez le VLAN isolé pour les serveurs de messagerie et de sauvegarde:

  10. Créez le VLAN principal et créez la communauté et les VLAN isolés membres de celui-ci:

  11. Configurer le VLAN 300 (le VLAN de communauté) pour être membre de l’interface xe-0/0/11:

  12. Configurer le VLAN 300 (un VLAN communautaire) pour être membre de l’interface xe-0/0/12:

  13. Configurer le VLAN 400 (un VLAN communautaire) pour être membre de l’interface xe-0/0/13:

  14. Configurer le VLAN 400 (un VLAN communautaire) pour être membre de l’interface xe-0/0/14:

  15. Configurer le VLAN 50 (le VLAN isolé) pour être membre de l’interface xe-0/0/15:

  16. Configurer le VLAN 50 (le VLAN isolé) pour être membre de l’interface xe-0/0/16:

Résultats

Consultez les résultats de la configuration:

Configuration d’un PVLAN sur le commutateur 2

CLI configuration rapide

Pour créer et configurer rapidement un VLAN privé couvrant plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 2:

Remarque :

La configuration du commutateur 2 est la même que celle du commutateur 1, à l’exception du VLAN isolé. Pour le commutateur 2, l’interface VLAN isolée est xe-0/0/17.0 .

Procédure

Procédure étape par étape
  1. Configurer l’interface xe-0/0/0 pour qu’elle soit un tronc:

  2. Configurez l’interface xe-0/0/0 pour qu’elle soit une liaison inter-liaison transportant tous les VLAN:

  3. Configurer pvlan100 (VLAN principal) pour être membre de l’interface xe-0/0/0:

  4. Configurer l’interface xe-0/0/5 pour qu’elle soit un tronc:

  5. Configurez l’interface xe-0/0/5 pour qu’elle soit une liaison inter-liaison transportant tous les VLAN:

  6. Configurer pvlan100 pour être membre de l’interface xe-0/0/5:

  7. Créer un VLAN communautaire pour l’organisation financière:

  8. Créer un VLAN communautaire pour l’organisation des RH:

  9. Créez le VLAN isolé pour les serveurs de messagerie et de sauvegarde:

  10. Créez le VLAN principal et créez la communauté et les VLAN isolés membres de celui-ci:

  11. Configurer le VLAN 300 (le VLAN de communauté) pour être membre de l’interface xe-0/0/11:

  12. Configurer le VLAN 300 (un VLAN communautaire) pour être membre de l’interface xe-0/0/12:

  13. Configurer le VLAN 400 (un VLAN communautaire) pour être membre de l’interface xe-0/0/13:

  14. Configurer le VLAN 400 (un VLAN communautaire) pour être membre de l’interface xe-0/0/14:

  15. Configurer le VLAN 50 (le VLAN isolé) pour être membre de l’interface xe-0/0/17:

Résultats

Consultez les résultats de la configuration:

Configuration d’un PVLAN sur le commutateur 3

CLI configuration rapide

Pour configurer rapidement le commutateur 3 comme commutateur de distribution de ce PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 3:

Remarque :

Interface xe-0/0/2.0 est un port d’trunk connectant le PVLAN à un autre réseau.

Procédure

Procédure étape par étape

Pour configurer le commutateur 3 comme commutateur de distribution de ce PVLAN, utilisez la procédure suivante:

  1. Configurer l’interface xe-0/0/0 pour qu’elle soit un tronc:

  2. Configurez l’interface xe-0/0/0 pour qu’elle soit une liaison inter-liaison transportant tous les VLAN:

  3. Configurer pvlan100 (VLAN principal) pour être membre de l’interface xe-0/0/0:

  4. Configurer l’interface xe-0/0/5 pour qu’elle soit un tronc:

  5. Configurez l’interface xe-0/0/5 pour qu’elle soit une liaison inter-liaison transportant tous les VLAN:

  6. Configurer pvlan100 pour être membre de l’interface xe-0/0/5:

  7. Configurer l’interface xe-0/0/2 (l’interface promiscuous) pour être un tronc:

  8. Configurer pvlan100 pour être membre de l’interface xe-0/0/2:

  9. Création du VLAN principal:

  10. Créez l’interface IRB et attribuez-la une adresse dans le sous-réseau utilisé par les équipements reliés aux irb commutateurs 1 et 2:

    Remarque :

    Chaque équipement hôte que vous souhaitez connecter au niveau de la couche 3 doit se trouver dans le même sous-réseau que l’interface IRB et utiliser l’adresse IP de l’interface IRB comme adresse de passerelle par défaut.

  11. Remplissez la configuration de l’interface IRB en lier l’interface au VLAN pvlan100 principal:

  12. Configurez ARP proxy illimité pour chaque unité de l’interface IRB afin que la résolution ARP fonctionne pour le trafic IPv4:

    Remarque :

    Étant donné que les équipements de la communauté et les VLAN isolés sont isolés au niveau de la couche 2, cette étape est nécessaire pour permettre une résolution ARP entre les VLAN afin que les équipements utilisant IPv4 peuvent communiquer au niveau de la couche 3. (Pour le trafic IPv6, vous devez mappper une adresse IRB à l’adresse de destination pour permettre la résolution DRP.)

Résultats

Consultez les résultats de la configuration:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création des VLAN principaux et secondaires sur le commutateur 1

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 1:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et montre qu’il inclut deux réseaux VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre interconnexions. La présence du tronc et des champs isolés entre commutateurs indique que ce PVLAN couvre plusieurs commutateurs.

Vérification de la création des VLAN principaux et secondaires sur le commutateur 2

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 2:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique qu’un PVLAN a été créé sur le commutateur 2 et montre qu’il comprend un VLAN isolé, deux réseaux VLAN communautaires et un VLAN isolé entre interconnexions. La présence du tronc et des champs isolés entre commutateurs indique que ce PVLAN couvre plusieurs commutateurs. Lorsque vous comparez ce résultat à celui du commutateur 1, vous voyez que les deux commutateurs appartiennent au même PVLAN ( pvlan100 ).

Vérification de la création des VLAN principaux et secondaires sur le commutateur 3

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 3:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique que le PVLAN ( ) est configuré sur le commutateur 3 et qu’il n’inclut pas de pvlan100 VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre les points de commutation. Mais le commutateur 3 fonctionne comme un commutateur de distribution, de sorte que le produit n’inclut pas les interfaces d’accès dans le PVLAN. Seules les interfaces d’trunk se connectent du commutateur 3 aux autres commutateurs (commutateur 1 et commutateur pvlan100 2) du même réseau PVLAN.

Exemple: Configuration d’un VLAN privé couvrant plusieurs EX Series commutateurs

Pour des raisons de sécurité, il est souvent utile de limiter le flux de trafic de diffusion et de trafic unicast inconnu, voire de limiter la communication entre les hôtes connus. La fonctionnalité de VLAN privé (PVLAN) sur les commutateurs EX Series permet à un administrateur de diviser un domaine de diffusion en plusieurs sous-domaines de diffusion isolés, en mettant essentiellement un VLAN dans un VLAN. Un PVLAN peut s’étendre à plusieurs commutateurs.

Cet exemple décrit comment créer un PVLAN couvrant plusieurs commutateurs EX Series commutateurs. L’exemple crée un RÉSEAU PVLAN principal contenant plusieurs VLAN secondaires:

Remarque :

La configuration d’un VLAN voIP (voix sur IP) sur les interfaces PVLAN n’est pas prise en charge.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Trois EX Series commutateurs

  • Junos OS version 10.4 ou ultérieure pour les EX Series commutateurs

Avant de commencer à configurer un PVLAN, assurez-vous d’avoir créé et configuré les VLAN nécessaires. Voir Configurer les VLANs pour EX Series commutateurs.

Présentation et topologie

Dans un grand bureau avec plusieurs bâtiments et VLANs, vous devrez peut-être isoler certains groupes de travail ou d’autres points de terminaison pour des raisons de sécurité ou pour partitionner le domaine de diffusion. Cet exemple de configuration montre comment créer un réseau PVLAN couvrant plusieurs commutateurs EX Series, avec un VLAN principal contenant deux VLAN communautaires (un pour les ressources humaines et un pour les finances) et un VLAN isolé entre divers (pour le serveur de messagerie, le serveur de secours et le serveur CVS). Le réseau PVLAN comprend trois commutateurs, deux commutateurs d’accès et un commutateur de distribution. Le PVLAN est connecté à un routeur par l’intermédiaire d’un port qui est configuré sur le commutateur de distribution.

Remarque :

Les ports isolés du commutateur 1 et du commutateur 2 n’ont pas de connectivité de couche 2 les uns avec les autres, même s’ils sont inclus dans le même domaine. Découvrez Understanding Private VLANs ( Comprendre les VLANs privés).

Figure 19 montre la topologie de cet exemple: deux commutateurs d’accès se connectant à un commutateur de distribution, qui dispose d’une connexion (par un port promiscuous) au routeur.

Figure 19 : Topologie PVLAN couvrant plusieurs commutateursTopologie PVLAN couvrant plusieurs commutateurs

Tableau 16Tableau 17, et Tableau 18 énumérer les paramètres de la topologie de l’exemple.

Tableau 16 : Composants du commutateur 1 dans la topologie de configuration d’un PVLAN Spanning Multiple EX Series commutateurs
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolation-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces d’trunk PVLAN

ge-0/0/0.0, connecte le commutateur 1 au commutateur 3

ge-0/0/5.0, connecte le commutateur 1 au commutateur 2

Interfaces dans VLAN isolation

ge-0/0/15.0, serveur de messagerie

ge-0/0/16.0, serveur de secours

Interfaces dans VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces dans VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tableau 17 : Composants du commutateur 2 dans la topologie de configuration d’un PVLAN Spanning Multiple EX Series commutateurs
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolation-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces d’trunk PVLAN

ge-0/0/0.0, connecte le commutateur 2 au commutateur 3

ge-0/0/5.0, connecte le commutateur 2 au commutateur 1

Interfaces dans VLAN isolation

ge-0/0/17.0,serveur CVS

Interfaces dans VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces dans VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tableau 18 : Composants du commutateur 3 dans la topologie pour la configuration d’un PVLAN spanning EX Series commutateurs
Propriété Paramètres

Noms et ID de balises VLAN

primary-vlanétiquette 100

isolation-idétiquette 50finance-commétiquette 300hr-commétiquette 400

Interfaces d’trunk PVLAN

ge-0/0/0.0, connecte le commutateur 3 au commutateur 1

ge-0/0/1.0, connecte le commutateur 3 au commutateur 2

Port promiscuous

ge-0/0/2, connecte le PVLAN au routeur

Remarque :

Vous devez configurer le port d’trunk qui connecte le PVLAN à un autre commutateur ou routeur en dehors du PVLAN en tant que membre du PVLAN, ce qui le configure implicitement comme un port promiscuous.

Topologie

Configuration d’un PVLAN sur le commutateur 1

CLI configuration rapide

Lors de la configuration d’un PVLAN sur plusieurs commutateurs, ces règles s’appliquent:

  • Le VLAN principal doit être un VLAN balisé. Il est recommandé de configurer d’abord le VLAN principal.

  • La configuration d’un VLAN voIP (voix sur IP) sur les interfaces PVLAN n’est pas prise en charge.

  • Si vous devez configurer un ID VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

  • Si vous devez configurer un ID VLAN d’isolement, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

  • Si MVRP est configuré sur le port d’trunk PVLAN, les VLAN secondaires et le port d’trunk PVLAN doivent être engagés lors d’une seule validation.

Pour créer et configurer rapidement un PVLAN couvrant plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 1:

Procédure

Procédure étape par étape

Complétez les étapes de configuration ci-dessous dans l’ordre indiqué. Remplissez également toutes les étapes avant de valider la configuration en une seule validation. Il s’agit du moyen le plus simple d’éviter les messages d’erreur déclenchés en enfreindant l’une de ces trois règles:

  • Si vous devez configurer un ID VLAN communautaire, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

  • Si vous devez configurer un ID VLAN d’isolement, vous devez d’abord configurer le VLAN principal et le port d’trunk PVLAN.

  • Les réseaux vlan secondaires et un tronc PVLAN doivent être engagés lors d’une seule validation.

Pour configurer un PVLAN sur le commutateur 1 qui s’étend sur plusieurs commutateurs:

  1. Définir l’ID VLAN pour le VLAN principal:

  2. Définissez les interfaces d’trunk PVLAN qui connectent ce VLAN sur les commutateurs voisins:

  3. Définissez le VLAN principal sans commutation locale:

  4. Définissez l’ID VLAN pour le VLAN de la communauté finance-comm qui couvre les commutateurs:

  5. Configurer les interfaces d’accès pour le finance-comm VLAN:

  6. Définir le VLAN principal de cette communauté VLAN finance-comm secondaire:

  7. Définissez l’ID VLAN pour la communauté de RH VLAN qui couvre les commutateurs.

  8. Configurer les interfaces d’accès pour le hr-comm VLAN:

  9. Définir le VLAN principal de cette communauté VLAN hr-comm secondaire:

  10. Définissez l’ID isolé entre commutateurs pour créer un domaine inter-commutateur isolé qui couvre les commutateurs:

    Remarque :

    Pour configurer un port isolé, notez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.

Résultats

Consultez les résultats de la configuration:

Configuration d’un PVLAN sur le commutateur 2

CLI configuration rapide

Pour créer et configurer rapidement un VLAN privé couvrant plusieurs commutateurs, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 2:

Remarque :

La configuration du commutateur 2 est la même que celle du commutateur 1, à l’exception de l’interface dans le domaine isolé entre commutateurs. Pour le commutateur 2, l’interface est ge-0/0/17.0 .

Procédure

Procédure étape par étape

Pour configurer un PVLAN sur le commutateur 2 qui s’étend sur plusieurs commutateurs:

  1. Définissez l’ID VLAN pour le VLAN de la communauté finance-comm qui couvre les commutateurs:

  2. Configurer les interfaces d’accès pour le finance-comm VLAN:

  3. Définir le VLAN principal de cette communauté VLAN finance-comm secondaire:

  4. Définissez l’ID VLAN pour la communauté de RH VLAN qui couvre les commutateurs.

  5. Configurer les interfaces d’accès pour le hr-comm VLAN:

  6. Définir le VLAN principal de cette communauté VLAN hr-comm secondaire:

  7. Définir l’ID VLAN pour le VLAN principal:

  8. Définissez les interfaces d’trunk PVLAN qui connectent ce VLAN sur les commutateurs voisins:

  9. Définissez le VLAN principal sans commutation locale:

  10. Définissez l’ID isolé entre commutateurs pour créer un domaine inter-commutateur isolé qui couvre les commutateurs:

    Remarque :

    Pour configurer un port isolé, notez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.

Résultats

Consultez les résultats de la configuration:

Configuration d’un PVLAN sur le commutateur 3

CLI configuration rapide

Pour configurer rapidement le commutateur 3 comme commutateur de distribution de ce PVLAN, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du commutateur 3:

Remarque :

L’interface ge-0/0/2.0 est un port d’trunk connectant le PVLAN à un routeur.

Procédure

Procédure étape par étape

Pour configurer le commutateur 3 comme commutateur de distribution de ce PVLAN, utilisez la procédure suivante:

  1. Définissez l’ID VLAN pour le VLAN de la communauté finance-comm qui couvre les commutateurs:

  2. Définir le VLAN principal de cette communauté VLAN finance-comm secondaire:

  3. Définir l’ID VLAN pour la communauté de RH VLAN qui couvre les commutateurs:

  4. Définir le VLAN principal de cette communauté VLAN hr-comm secondaire:

  5. Définir l’ID VLAN pour le VLAN principal:

  6. Définissez les interfaces d’trunk PVLAN qui connectent ce VLAN sur les commutateurs voisins:

  7. Définissez le VLAN principal sans commutation locale:

  8. Définissez l’ID isolé entre commutateurs pour créer un domaine inter-commutateur isolé qui couvre les commutateurs:

    Remarque :

    Pour configurer un port isolé, notez-le comme l’un des membres du VLAN principal, mais ne le configurez pas comme appartenant à l’un des VLAN de la communauté.

Résultats

Consultez les résultats de la configuration:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création des VLAN principaux et secondaires sur le commutateur 1

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 1:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et montre qu’il inclut deux réseaux VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre interconnexions. La présence des champs et des champs indique que ce PVLAN couvre pvlan-trunkInter-switch-isolated plusieurs commutateurs.

Vérification de la création des VLAN principaux et secondaires sur le commutateur 2

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 2:

Action

Utilisez la show vlans extensive commande:

Sens

La sortie indique qu’un PVLAN a été créé sur le commutateur 1 et montre qu’il inclut deux réseaux VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre interconnexions. La présence des champs et des champs indique qu’il s’agit d’un PVLAN couvrant pvlan-trunkInter-switch-isolated plusieurs commutateurs. Lorsque vous comparez ce résultat à celui du commutateur 1, vous voyez que les deux commutateurs appartiennent au même PVLAN ( pvlan100 ).

Vérification de la création des VLAN principaux et secondaires sur le commutateur 3

But

Vérifiez que la configuration PVLAN couvrant plusieurs commutateurs fonctionne correctement sur le commutateur 3:

Action

Utilisez la show vlans extensive commande:

Sens

Le résultat indique que le PVLAN ( ) est configuré sur le commutateur 3 et qu’il inclut deux pvlan100 réseaux VLAN isolés, deux réseaux VLAN communautaires et un VLAN isolé entre plusieurs points de commutation. Mais le commutateur 3 fonctionne comme un commutateur de distribution, de sorte que le produit n’inclut pas les interfaces d’accès dans le PVLAN. Seules les interfaces du commutateur 3 se connectent aux autres commutateurs (commutateur 1 et commutateur pvlan-trunkpvlan100 2) du même réseau PVLAN.

Exemple: La configuration de réseaux PVLAN avec des ports d’accès VLAN secondaires et des ports d’accès promiscuous sur QFX Series commutateur

Cet exemple montre comment configurer les ports d’accès secondaires et les ports d’accès promiscuous dans le cadre d’une configuration VLAN privée. Les ports d’trunk du VLAN secondaire transportent le trafic VLAN secondaire.

Remarque :

Cet exemple utilise des Junos OS commutateurs qui ne sont pas prend en charge le style de configuration ELS (Enhanced Layer 2 Software). Pour en savoir plus sur ELS, consultez le site Using the Enhanced Layer 2 Software CLI.

Pour un VLAN privé donné, un port d’trunk VLAN secondaire peut transporter du trafic pour un seul VLAN secondaire. Toutefois, un port d’trunk du VLAN secondaire peut transporter le trafic de plusieurs réseaux VLAN secondaires tant que chaque VLAN secondaire est membre d’un VLAN privé (principal) différent. Par exemple, un port d’trunk du VLAN secondaire peut transporter le trafic d’un VLAN communautaire intégré au VLAN principal pvlan100 et transporter le trafic pour un VLAN isolé faisant partie du pvlan400 VLAN principal.

Pour configurer un port d’trunk pour transporter isolated le trafic VLAN secondaire, utilisez les instructions et l’isolement, comme illustré en étapes et de l’exemple de configuration du commutateur interface1213 1.

Remarque :

Lorsque le trafic pare-feu est en provenance d’un port d’trunk du VLAN secondaire, il transporte normalement la balise du VLAN principal dont est membre le port secondaire. Si vous souhaitez que le trafic utilisé à partir d’un port d’trunk du VLAN secondaire conserve sa balise VLAN secondaire, utilisez l’énoncé « extend-secondary-vlan-id ».

Un port d’accès promiscuous transporte du trafic non-autorisé et ne peut être membre que d’un seul VLAN principal. Le trafic qui s’ingresse sur un port d’accès promiscuous est transmis aux ports des réseaux VLAN secondaires membres du VLAN principal dont le port d’accès est promiscueux. Ce trafic transporte les étiquettes VLAN secondaires appropriées lorsqu’il est par ex. des ports VLAN secondaires si le port VLAN secondaire est un port d’tronc.

Pour configurer un port d’accès promiscuous, utilisez l’énoncé promiscuous, comme illustré à l’étape de la configuration de l’exemple pour le commutateur 12 2.

Si le trafic s’ingique sur un port VLAN secondaire et s’illustre sur un port d’accès promiscuous, le trafic n’est pas pris en retard lors de la sortie. Si les ingresses de trafic balisé sont sur un port d’accès promiscuous, le trafic est éliminé.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Deux équipements QFX

  • Junos OS version 12.2 ou ultérieure pour la version QFX Series

Présentation et topologie

Figure 20 montre la topologie utilisée dans cet exemple. Le commutateur 1 comprend plusieurs réseaux VLAN privés principaux et secondaires et comprend également deux ports d’trunk VLAN secondaires configurés pour transporter des réseaux VLAN secondaires membres de VLAN principaux pvlan100 et pvlan400.

Le commutateur 2 comprend les mêmes VLAN privés. Le chiffre affiche xe-0/0/0 sur le commutateur 2 tel que configuré avec des ports d’accès promiscuous ou des ports d’tronc promiscuous. La configuration d’exemple incluse ici configure ce port comme un port d’accès promiscuous.

Ce chiffre indique également le flux du trafic après son entrée sur les ports d’trunk VLAN secondaires du commutateur 1.

Figure 20 : Topologie PVLAN avec ports d’accès VLAN secondaires et port d’accès promiscuousTopologie PVLAN avec ports d’accès VLAN secondaires et port d’accès promiscuous

Tableau 19 et Tableau 20 énumérer les paramètres de topologie des deux commutateurs.

Tableau 19 : Composants de la topologie pour la configuration d’un tronc de VLAN secondaire sur le commutateur 1
Composant Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN communautaire, membre du pvlan100

comm600, ID 600

VLAN communautaire, membre du pvlan400

isolation-vlan-id 200

ID VLAN pour VLAN isolé, membre du pvlan100

isolation–vlan-id 500

ID VLAN pour VLAN isolé, membre du pvlan400

xe-0/0/0.0

Port d’trunk du VLAN secondaire pour les réseaux VLAN principaux pvlan100 et pvlan400

xe-0/0/1.0

Port d’tronc PVLAN pour les réseaux VLAN principaux pvlan100 et pvlan400

xe-0/0/2.0

Port d’accès isolé pour pvlan100

xe-0/0/3.0

Port d’accès communautaire pour comm300

xe-0/0/5.0

Port d’accès isolé pour pvlan400

xe-0/0/6.0

Port d’trunk de la communauté pour comm600

Tableau 20 : Composants de la topologie pour la configuration d’un tronc de VLAN secondaire sur le commutateur 2
Composant Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN communautaire, membre du pvlan100

comm600, ID 600

VLAN communautaire, membre du pvlan400

isolation-vlan-id 200

ID VLAN pour VLAN isolé, membre du pvlan100

isolation–vlan-id 500

ID VLAN pour VLAN isolé, membre du pvlan400

xe-0/0/0.0

Port d’accès promiscuous pour les réseaux VLAN principaux pvlan100

xe-0/0/1.0

Port d’tronc PVLAN pour les réseaux VLAN principaux pvlan100 et pvlan400

xe-0/0/2.0

Port d’tronc secondaire pour VLAN isolé, membre du pvlan100

xe-0/0/3.0

Port d’accès communautaire pour comm300

xe-0/0/5.0

Port d’accès isolé pour pvlan400

xe-0/0/6.0

Port d’accès communautaire pour comm600

Configuration des PVLANs sur le commutateur 1

CLI configuration rapide

Pour créer et configurer rapidement les PVLAN du commutateur 1, copiez les commandes suivantes et collez-les dans une fenêtre de borne du commutateur:

Procédure

Procédure étape par étape

Pour configurer les VLAN privés et les ports d’trunk du VLAN secondaire:

  1. Configurez les interfaces et les modes de port:

  2. Création des principaux VLANs:

    Remarque :

    Les réseaux VLA principaux doivent toujours être balisé les VLANs, même s’ils existent sur un seul équipement.

  3. Configurez les VLAN principaux comme privés:

  4. Configurez le port d’trunk PVLAN pour transporter le trafic VLAN privé entre les commutateurs:

  5. Créez un réseau VLAN secondaire comm300 avec ID VLAN 300:

  6. Configurez le VLAN principal pour comm300:

  7. Configurez l’interface pour comm300:

  8. Création d’un VLAN secondaire comm600 avec ID VLAN 600:

  9. Configurez le VLAN principal pour comm600:

  10. Configurez l’interface pour comm600:

  11. Configurez les réseaux VLAN isolés entre interconnexions:

    Remarque :

    Lorsque vous configurez un port d’trunk VLAN secondaire pour transporter un VLAN isolé, vous devez également configurer une isolation-vlan-id. Cela est vrai même si le VLAN isolé n’existe qu’sur un seul commutateur.

  12. Activer le port d’trunk xe-0/0/0 pour transporter des VLAN secondaires pour les VLAN principaux:

  13. Configurer le port d’trunk xe-0/0/0 pour transporter comm600 (membre du pvlan400):

    Remarque :

    Il n’est pas nécessaire de configurer xe-0/0/0 pour transporter le trafic VLAN isolé (balises 200 et 500) car tous les ports isolés du pvlan100 et pvlan400 (y compris xe-0/0/0.0– sont automatiquement inclus dans les VLAN isolés créés lors de votre configuration et isolation-vlan-id 200isolation-vlan-id 500 .

  14. Configurez xe-0/0/2 et xe-0/0/6 pour être isolé:

Résultats

Consultez les résultats de la configuration sur le commutateur 1:

Configuration des PVLANs sur le commutateur 2

La configuration du commutateur 2 est pratiquement identique à celle du commutateur 1. La différence la plus importante est que xe-0/0/0 sur le commutateur 2 est configuré comme un port d’accès promiscuous ou comme port d’accès promiscuous, comme le montre Figure 20 la différence. Dans la configuration suivante, xe-0/0/0 est configuré en tant que port d’accès promiscuous pour le VLAN pvlan100 principal.

Si les étiquettes de trafic sont abandonnées au niveau du port VLAN et si elles sont par exemple sur un port d’accès promiscuous, les balises VLAN sont abandonnées au moment de la sortie et le trafic n’est pas pris en retard à ce stade. Par exemple, le trafic des resses comm600 sur le port d’trunk VLAN secondaire configuré sur xe-0/0/0.0 sur le commutateur 1 et transporte la balise 600 lors de son transfert par le biais du VLAN secondaire. Lorsque le commutateur xe-0/0/0.0 est par exemple configuré par exemple xe-0/0.0 sur le commutateur 2, vous ne pouvez pas le faire si vous configurez xe-0/0/0.0 comme port d’accès difficile, comme illustré dans cet exemple. Si vous configurez plutôt xe-0/0/0.0 en tant que port d’tronc promiscuous (tronc en mode de port), le trafic de comm600 transporte sa balise VLAN principale (400) lorsqu’il est par exemple configuré.

CLI configuration rapide

Pour créer et configurer rapidement les PVLAN du commutateur 2, copiez les commandes suivantes et collez-les dans une fenêtre de borne de commuter:

Procédure

Procédure étape par étape

Pour configurer les VLAN privés et les ports d’trunk du VLAN secondaire:

  1. Configurez les interfaces et les modes de port:

  2. Création des principaux VLANs:

  3. Configurez les VLAN principaux comme privés:

  4. Configurez le port d’trunk PVLAN pour transporter le trafic VLAN privé entre les commutateurs:

  5. Créez un réseau VLAN secondaire comm300 avec ID VLAN 300:

  6. Configurez le VLAN principal pour comm300:

  7. Configurez l’interface pour comm300:

  8. Création d’un VLAN secondaire comm600 avec ID VLAN 600:

  9. Configurez le VLAN principal pour comm600:

  10. Configurez l’interface pour comm600:

  11. Configurez les réseaux VLAN isolés entre interconnexions:

  12. Configurer le port d’accès xe-0/0/0 comme promiscuous pour pvlan100:

    Remarque :

    Un port d’accès promiscuous peut être membre d’un seul VLAN principal.

  13. Configurez xe-0/0/2 et xe-0/0/6 pour être isolé:

Résultats

Consultez les résultats de la configuration sur le commutateur 2:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la création d’un VLAN privé et de réseaux VLAN secondaires

But

Vérifiez que les VLAN principaux et les VLAN secondaires ont été correctement créés sur le commutateur 1.

Action

Utilisez la show vlans commande:

Sens

Le résultat indique que des VLA privés ont été créés et identifie les interfaces et les réseaux VLA secondaires qui y sont associés.

Vérification des entrées de la table de commutation Ethernet

But

Vérifiez que les entrées de la table de commutation Ethernet ont été créées pour le VLAN pvlan100 principal.

Action

Afficher les entrées de la table de commutation Ethernet pour le pvlan100.

Vérifier qu’un VLAN privé fonctionne sur un commutateur

But

Après avoir créé et configuré des VLAN privés (PVLAN), vérifiez qu’ils sont correctement configurés.

Action

  1. Pour déterminer si vous avez bien créé les configurations VLAN principales et secondaires:

    • Pour un PVLAN sur un commutateur unique, utilisez la show configuration vlans commande:

    • Pour un PVLAN couvrant plusieurs commutateurs, utilisez la show vlans extensive commande:

  2. Utilisez la commande pour afficher les informations du VLAN et l’état des liens d’un PVLAN sur un commutateur unique ou sur un PVLAN couvrant show vlans extensive plusieurs commutateurs.

    • Pour un PVLAN sur un seul commutateur:

    • Pour un PVLAN couvrant plusieurs commutateurs:

  3. Utilisez la show ethernet-switching table commande pour afficher les journaux d’apprentissage MAC sur les VLANs:

Remarque :

Si vous avez configuré un PVLAN couvrant plusieurs commutateurs, vous pouvez utiliser la même commande sur tous les commutateurs pour vérifier les journaux d’apprentissage MAC sur ces commutateurs.

Sens

Dans les écrans de sortie d’un réseau PVLAN sur un commutateur unique, vous pouvez voir que le VLAN principal contient deux domaines communautaires (et deux ports isolés et deux community1 ports d’tronc). community2 Sur un commutateur unique, le PVLAN ne dispose que d’une balise ( qui 1000 est le VLAN principal).

Le PVLAN qui couvre plusieurs commutateurs contient plusieurs balises:

  • Le domaine de la COM1 communauté est identifié par un tag 100 .

  • Le domaine de la community2 communauté est identifié par un tag 20 .

  • Le domaine d’isolement inter-interconnexion est identifié par une 50 balise.

  • Le VLAN principal primary est identifié par une balise 10 .

En outre, pour le réseau PVLAN qui couvre plusieurs commutateurs, les interfaces d’tronc sont identifiées comme pvlan-trunk .

Dépannage des VLAN privés sur les commutateurs QFX

Utilisez les informations suivantes pour dépanner une configuration VLAN privée.

Limites des VLAN privés

Les contraintes suivantes s’appliquent aux configurations VLAN privées:

  • La snooping IGMP n’est pas prise en charge avec les VLAN privés.

  • Les interfaces VLAN à itinéraire ne sont pas prise en charge sur les VLAN privés

  • Le routage entre VLAN secondaires dans le même VLAN principal n’est pas pris en charge.

  • Si vous souhaitez que votre VLAN principal soit un VLAN secondaire, vous devez d’abord le changer en VLAN normal et valider la modification. Par exemple, vous suivrez cette procédure:

    1. Le VLAN principal est alors un VLAN normal.

    2. Valider la configuration.

    3. Le VLAN normal est un VLAN secondaire.

    4. Valider la configuration.

    Suivez la même séquence de validations si vous souhaitez faire d’un VLAN secondaire un VLAN principal. En d’autres cas, le VLAN secondaire est un VLAN normal, puis commit that change, puis le VLAN normal est un VLAN principal.

Forwarding with Private VLANs

Problème

Description
  • Lorsque le VLAN isolé ou le trafic VLAN communautaire balisé est reçu sur un port d’trunk PVLAN, les adresses MAC sont apprises à partir du VLAN principal. Cela signifie que le résultat de la commande de table de commutation Ethernet show montre que les adresses MAC sont apprises depuis le VLAN principal et répliquées vers les VLAN secondaires. Ce comportement n’a aucun effet sur les décisions d’adage.

  • Si un paquet contenant une balise VLAN secondaire est reçu sur un port promiscuous, il est accepté et transmis.

  • Si un paquet est reçu sur un port d’trunk PVLAN et répond aux deux conditions énumérées ci-dessous, il est abandonné.

    • Le paquet contient une balise VLAN de la communauté.

    • Le paquet est destiné à une adresse MAC unicast ou à une adresse MAC de groupe multicast qui a été apprise sur un VLAN isolé.

  • Si un paquet est reçu sur un port d’trunk PVLAN et répond aux deux conditions énumérées ci-dessous, il est abandonné.

    • Le paquet dispose d’une balise VLAN isolée.

    • Le paquet est destiné à une adresse MAC unicast ou à une adresse MAC de groupe multicast qui a été apprise sur un VLAN communautaire.

  • Si un paquet contenant une balise VLAN principale est reçu par un port VLAN secondaire (isolé ou communautaire), le port secondaire le forwarde.

  • Si vous configurez un VLAN de communauté sur un équipement et configurez un autre VLAN de communauté sur un deuxième équipement et que les deux VLAN de la communauté utilisent le même ID VLAN, le trafic de l’un des VLAN peut être transmis à l’autre VLAN. Par exemple, assumez la configuration suivante:

    • VLAN communautaire comm1 sur commutateur 1 avec ID VLAN 50 et membre du VLAN pvlan100 principal.

    • Le VLAN comm2 de la communauté sur le commutateur 2 dispose également d’un ID VLAN 50 et fait partie du VLAN pvlan200 principal.

    • Le VLAN pvlan100 principal existe sur les deux commutateurs.

    Si le trafic comm1 est envoyé du commutateur 1 au commutateur 2, il sera envoyé aux ports participant à la comm2. (Le trafic sera également transmis aux ports dans la comm1, comme vous le pensez.)

Solution

Ce sont des comportements attendus.

Filtres de pare-feu de sortie avec VLANs privés

Problème

Description

Si vous appliquez un filtre de pare-feu dans la direction de sortie à un VLAN principal, le filtre s’applique également aux réseaux VLAN secondaires membres du VLAN principal lorsque le trafic est par ex. avec la balise VLAN principale ou la balise VLAN isolée, tels que répertoriés ci-dessous:

  • Trafic aigu vers un port d’accès ou d’accès VLAN secondaire

  • Trafic avancé depuis un port d’trunk VLAN secondaire transportant un VLAN isolé vers un port d’trunk PVLAN.

  • Trafic transmis depuis un port (tronc ou accès) à un port d’accès VLAN secondaire

  • Trafic avancé depuis un port d’trunk PVLAN. vers un port d’trunk VLAN secondaire

  • Trafic transmis depuis un port communautaire vers un port (tronc ou accès) promis à un port

Si vous appliquez un filtre de pare-feu dans la direction de sortie à un VLAN principal, le filtre ne s’applique pas au trafic qui fonctionne avec une balise VLAN de la communauté, tel qu’énuméré ci-dessous:

  • Trafic transmis depuis un port d’trunk communautaire vers un port d’trunk PVLAN

  • Trafic avancé depuis un port d’trunk du VLAN secondaire qui transporte un VLAN communautaire vers un port d’trunk PVLAN

  • Trafic transmis depuis un port (tronc ou accès) promis à un port d’trunk communautaire

  • Trafic avancé depuis un port d’trunk PVLAN. vers un port d’trunk communautaire

Si vous appliquez un filtre de pare-feu dans la direction de sortie à un VLAN de communauté, les comportements suivants s’appliquent:

  • Le filtre est appliqué au trafic transmis depuis un port (tronc ou accès) vers un port d’trunk communautaire (car le trafic est par exemple utilisé avec la balise VLAN de la communauté).

  • Le filtre est appliqué au trafic transmis depuis un port communautaire vers un port d’trunk PVLAN (parce que le trafic est paré avec la balise VLAN de la communauté).

  • Le filtre n’est pas appliqué au trafic transmis depuis un port communautaire vers un port promiscuous (parce que le trafic est utilisé avec la balise VLAN principale ou non).

Solution

Ce sont des comportements attendus. Elles se produisent uniquement si vous appliquez un filtre de pare-feu à un VLAN privé dans la direction de sortie et ne se produisent pas si vous appliquez un filtre de pare-feu à un VLAN privé dans la direction d’entrée.

Mise en miroir des ports de sortie avec les VLAN privés

Problème

Description

Si vous créez une configuration de mise en miroir des ports qui reflète le trafic VLAN privé (PVLAN) lors de la sortie, le trafic en miroir (le trafic envoyé au système d’analyse) possède la balise VLAN du VLAN d’entrée au lieu du VLAN de sortie. Par exemple, assumez la configuration PVLAN suivante:

  • Port d’tronc promiscuous transportant les VLAN principaux pvlan100 et pvlan400.

  • Port d’accès isolé transportant des VLAN secondaires isolés200. Ce VLAN est membre du VLAN pvlan100 principal.

  • Port communautaire transportant des communications VLAN secondaires. Ce VLAN est également membre du pvlan100 VLAN principal.

  • Interface de sortie (interface de surveillance) qui se connecte au système d’analyse. Cette interface permet de faire avancer le trafic en miroir vers l’analyseur.

Si un paquet pvlan100 entre dans le port d’accès et sort du port d’accès isolé, le paquet d’origine n’est pas en retard lors de la sortie car il sort d’un port d’accès. Toutefois, cette copie en miroir conserve la balise du pvlan100 lorsqu’elle est envoyée à l’analyseur.

Voici un autre exemple: Si un paquet pour comm300 ingresses sur le port de la communauté et egresses sur le port d’tronc promiscuous, le paquet d’origine transporte la balise du pvlan100 lors de la sortie, comme prévu. Toutefois, la copie mise en miroir conserve la balise de communications comm300 lorsqu’elle est envoyée à l’analyseur.

Solution

C’est un comportement attendu.