例:単一の MX シリーズ ルーター上のプライベート VLAN での IRB インターフェイスの設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。MXシリーズルーターのPVLAN(プライベートVLAN)機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的にVLAN内にVLANを配置できます。
この例では、単一の MX シリーズ ルーター上の仮想スイッチ インスタンスに関連付けられた PVLAN ブリッジ ドメインに、IRB(統合型ルーティングおよびブリッジング)インターフェイスを作成する方法を説明します。
PVLAN インターフェイスでのボイス オーバー IP(VoIP)VLAN の設定はサポートされていません。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードのMXシリーズルーター1台。
MX シリーズ ルーター向けの Junos OS リリース 15.1 以降
PVLAN の設定を開始する前に、以下が完了していることを確認してください。
必要な VLAN が作成され、構成されていること。VLANおよび拡張VLANカプセル化の設定およびVLANタギングの有効化を参照してください。
MX240、MX480、MX960ルーターを、
[edit chassis]階層レベルでnetwork-services lanステートメントを入力して、拡張LANモードで機能するように設定。
概要とトポロジー
複数の建物とVLANがある大規模なオフィスでは、セキュリティ上の理由から、またはブロードキャストドメインを分割するために、一部のワークグループまたは他のエンドポイントを分離する必要がある場合があります。この設定例は、1 つのプライマリ VLAN と 4 つのコミュニティ VLAN、および 2 つの分離ポートを持つ PVLAN を作成する方法を説明するシンプルなトポロジーを示しています。
VPという名前のプライマリVLANにポート、p1、p2、t1、t2、i1、i2、cx1、cx2が含まれるサンプル展開を想定します。これらの設定済みポートのポートタイプは次のとおりです。
無作為検出ポート = p1、p2
ISL ポート = t1、t2
絶縁ポート = i1、i2
コミュニティ VLAN = Cx
コミュニティポート = cx1、cx2
IRB インターフェイス irb.0 が設定され、仮想スイッチ インスタンスのブリッジ ドメインにマップされます。
ブリッジ ドメインは、Vp、Vi、および Vcx の各 VLAN に対してプロビジョニングされます。ブリッジ ドメインが次のように設定されているとします。
Vp—BD_primary_Vp(含まれるポートはP1、T1、i1、i2、cx1、cx2)
Vi—BD_isolate_Vi(含まれるポートはP1、T1、*i1、*i2)
Vcx—BD_community_Vcx(含まれるポートはP1、T1、cx1、cx2)
コミュニティ、プライマリ、および分離VLANのブリッジドメインは、トランクインターフェイス、アクセスインターフェイス、またはインタースイッチリンクでブリッジドメインを設定すると、システムによって内部的に自動的に作成されます。ブリッジ ドメインには、VLAN に対応する同じ VLAN ID が含まれています。PVLAN にブリッジ ドメインを使用するには、次の追加属性を設定する必要があります。
設定
PVLAN で IRB インターフェイスを設定するには、次のタスクを実行します。
CLIクイック構成
PVLAN をすばやく作成および設定し、仮想スイッチ インスタンスに関連付けられた PVLAN ブリッジ ドメインに IRB インターフェイスを含めるには、次のコマンドをコピーして、ルーター端末ウィンドウに貼り付けます。
IRBインターフェイスの設定
set interfaces irb unit 0 family inet address 22.22.22.1/24
プロミスキャスポート、ISLポート、分離ポート、コミュニティポートの設定
set interfaces ge-0/0/9 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/9 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/13 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/13 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/12 unit 0 family bridge interface-mode access set interfaces ge-0/0/12 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access set interfaces ge-0/0/1 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/2 unit 0 family bridge interface-mode access set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/3 unit 0 family bridge interface-mode access set interfaces ge-0/0/3 unit 0 family bridge vlan-id 60 set interfaces ge-0/0/4 unit 0 family bridge interface-mode access set interfaces ge-0/0/4 unit 0 family bridge vlan-id 60
ブリッジドメインインターフェイスを持つ仮想スイッチインスタンスの設定
set routing-instances vs-1 instance-type virtual-switch set routing-instances vs-1 interface ge-0/0/1.0 set routing-instances vs-1 interface ge-0/0/2.0 set routing-instances vs-1 interface ge-0/0/3.0 set routing-instances vs-1 interface ge-0/0/4.0 set routing-instances vs-1 interface ge-0/0/9.0 set routing-instances vs-1 interface ge-0/0/10.0 set routing-instances vs-1 interface ge-0/0/12.0 set routing-instances vs-1 interface ge-0/0/13.0 set routing-instances vs-1 bridge-domains bd1
ブリッジ ドメイン内の IRB インターフェイスと、プライマリ、独立、およびコミュニティ VLAN ID を指定します
set routing-instances vs1 bridge-domains bd1 vlan-id 100 set routing-instances vs1 bridge-domains bd1 isolated-vlan 10 set routing-instances vs1 bridge-domains bd1 community-vlans [50 60] set routing-instances vs1 bridge-domains bd1 routing-interface irb.0
手順
ステップバイステップでの手順
PVLAN のインタースイッチ リンク(ISL)、PVLAN ポート タイプ、および PVLAN のセカンダリ VLAN を設定するには、次の手順に従います。
IRB インターフェイスを作成します。
[edit interfaces] user@host# set interfaces irb unit 0 family inet address 22.22.22.1/24
PVLAN の無差別ポートを作成します。
[edit interfaces] user@host# set ge-0/0/9 unit 0 family bridge interface-mode trunk user@host# set ge-0/0/9 unit 0 family bridge vlan-id 100
PVLAN のスイッチ間リンク(ISL)トランク ポートを作成します。
[edit interfaces] user@host# set ge-0/0/13 unit 0 family bridge interface-mode trunk inter-switch-link user@host# set ge-0/0/13 unit 0 family bridge vlan-id 100
PVLAN の分離ポートを作成します。
[edit interfaces] user@host# set ge-0/0/10 unit 0 family bridge interface-mode access user@host# set ge-0/0/10 unit 0 family bridge vlan-id 10 user@host# set ge-0/0/12 unit 0 family bridge interface-mode access user@host# set ge-0/0/12 unit 0 family bridge vlan-id 10
PVLAN のコミュニティ ポートを作成します。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family bridge interface-mode access user@host# set ge-0/0/1 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/2 unit 0 family bridge interface-mode access user@host# set ge-0/0/2 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/3 unit 0 family bridge interface-mode access user@host# set ge-0/0/3 unit 0 family bridge vlan-id 60 user@host# set ge-0/0/4 unit 0 family bridge interface-mode access user@host# set ge-0/0/4 unit 0 family bridge vlan-id 60
ブリッジドメインを持つ仮想スイッチインスタンスを作成し、論理インターフェイスを関連付けます。
[edit routing-instances] user@host# set vs-1 instance-type virtual-switch user@host# set vs-1 interface ge-0/0/1.0 user@host# set vs-1 interface ge-0/0/2.0 user@host# set vs-1 interface ge-0/0/3.0 user@host# set vs-1 interface ge-0/0/4.0 user@host# set vs-1 interface ge-0/0/9.0 user@host# set vs-1 interface ge-0/0/10.0 user@host# set vs-1 interface ge-0/0/12.0 user@host# set vs-1 interface ge-0/0/13.0 user@host# set vs-1 bridge-domains bd1
IRB インターフェイス、プライマリ、独立、およびコミュニティ VLAN ID を指定し、VLAN をブリッジ ドメインに関連付けます。
[edit routing-instances vs1 bridge-domains bd1] user@host# set vlan-id 100 user@host# set isolated-vlan 10 user@host# set community-vlans [50 60] user@host# set routing-interface irb.0
結果
構成の結果を確認します。
[edit]
[interfaces]
ge-0/0/9 {
unit 0 {
family bridge {
interface-mode trunk;
vlan-id 100; Promiscuous port by vlan id
}
}
}
ge-0/0/13 {
unit 0 {
family bridge {
interface-mode trunk inter-switch-link; ISL trunk
vlan-id 100;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/12 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/2 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/3 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
ge-0/0/4 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
irb {
unit 0 {
family inet {
address 22.22.22.1/24;
}
}
}
[edit]
routing-instances {
vs-1 {
instance-type virtual-switch;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface ge-0/0/3.0;
interface ge-0/0/4.0;
interface ge-0/0/9.0;
interface ge-0/0/10.0;
interface ge-0/0/12.0;
interface ge-0/0/13.0;
bridge-domains {
bd1 {
vlan-id 100; /* primary vlan */
isolated-vlan 10;
community-vlans [50 60]
routing-interface irb.0 /* IRB interface */
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことの確認
目的
スイッチでプライマリVLANとセカンダリVLANが正しく作成されたことを確認します。
アクション
show bridge domain コマンドを使用します。
user@host> show bridge domain
Routing instance Bridge domain VLAN ID Interfaces
default-switch bd1-primary-100 100
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
ge-0/0/3.0
ge-0/0/4.0
default-switch bd1-isolation-10 10
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
default-switch bd1-comunity-50 50
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
default-switch bd1-comunity-60 60
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/3.0
ge-0/0/4.0意味
出力には、プライマリVLANが作成され、それに関連するインターフェイスとセカンダリVLANが識別されていることが示されます。