Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

사설 VLA 이해

VLA는 브로드캐스트를 지정된 사용자로 제한합니다. 프라이빗 VLAN(PVLAN)은 VLAN 내에서 통신을 제한하여 이러한 개념을 한 단계 더 도출합니다. PVLAN은 구성원 스위치 포트(프라이빗 포트)를 통해 트래픽 흐름을 제한하여 이러한 포트가 지정된 업링크 트렁크 포트 또는 동일한 VLAN 내의 지정된 포트와만 통신할 수 있도록 하여 이를 달성합니다. 업링크 트렁크 포트 또는 LAG(Link Aggregation Group)는 일반적으로 라우터, 방화벽, 서버 또는 제공업체 네트워크에 연결됩니다. 각 PVLAN은 일반적으로 단일 업링크 포트와만 통신하는 많은 프라이빗 포트를 포함하기 때문에 포트가 서로 통신하지 못합니다.

PVLAN은 VLAN 내의 포트 간에 레이어 2 격리 기능을 제공하고, 기본 VLAN 내부에 보조 VLAN(커뮤니티VLAN 및 격리 VLAN)을 생성하여 브로드캐스트 도메인을 여러 이기종 브로드캐스트 하위 도메인으로 분할합니다. 동일한 커뮤니티 내의 포트 VLAN은 서로 통신할 수 있습니다. 격리된 VLAN 내의 포트는 단일 업링크 포트와만 통신할 수 있습니다.

일반 VLA와 마찬가지로, PVLA는 Layer 2상에서 격리되어 보조 VLA 간 Layer 3 트래픽을 라우팅하는 다음 옵션 중 하나를 필요로 합니다.

  • 라우터를 통해 프로미스런트 포트 연결

  • RVI(Routed VLAN Interface)

주:

보조 VLAN 간 Layer 3 트래픽을 라우팅하기 위해 PVLAN에는 위에서 언급한 옵션 중 하나만 필요합니다. RVI를 사용하는 경우, PVLAN에 들어오고 나가는 트래픽만 처리하기 위해 promiscuous 포트가 설정되어 있는 라우터에 대한 전이식 포트 연결을 구현할 수 있습니다.

PVLANS는 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다. 서비스 프로바이더는 PVLA를 사용하여 고객 간을 격리할 수 있습니다. PVLAN을 사용하는 또 다른 일반적인 용도는 호텔 객실당 인터넷 액세스를 제공하는 것입니다.

주:

PVLAN을 지원하는 스위치를 확장하도록 PVLAN을 구성할 수 있습니다.

이 주제는 EX 시리즈 스위치의 PVLANS에 대한 다음 개념을 설명합니다.

PVLANS의 이점

단일 VLAN을 나란히해야 하는 필요성은 특히 다음과 같은 구축 시나리오에서 유용합니다.

  • 서버 팜—일반적인 인터넷 서비스 제공업체는 서버 팜을 사용하여 많은 고객에게 웹 호스팅을 제공합니다. 단일 서버 팜 내에 다양한 서버를 위치하면 관리가 용이합니다. Layer 2 브로드캐스트는 VLAN의 모든 서버로 이동하기 때문에 모든 서버가 동일한 VLAN에 있는 경우 보안 문제가 발생합니다.

  • Metropolitan Ethernet 네트워크—한 메트로 서비스 제공업체는 가정, 임대 커뮤니티 및 비즈니스에 레이어 2 이더넷 액세스를 제공합니다. 고객당 하나의 VLAN을 구축하는 기존 솔루션은 확장이 어렵고 관리가 어렵기 때문에 IP 주소의 낭비가 발생할 수 있습니다. PVLANS는 보다 안전하고 효율적인 솔루션을 제공합니다.

PVLANS의 일반적인 구조 및 기본 애플리케이션

PVLAN은 단일 스위치에서 구성될 수 있습니다. 또는 여러 스위치를 아우를 수 있도록 구성할 수 있습니다. 도메인 및 포트의 유형은

  • 기본 VLAN—PVLAN의 기본 VLAN은 완벽한 PVLAN을 위한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN 및 여러 커뮤니티 VLAN)을 포함할 수 있습니다.

  • 격리된 VLAN/격리 포트—기본 VLAN은 하나의 격리된 VLAN만 포함할 수 있습니다. 격리된 VLAN 내의 인터페이스는 확인된 포트 또는 ISL(Inter-Switch Link) 포트로만 패킷을 전달할 수 있습니다. 고립된 인터페이스는 패킷을 다른 분리된 인터페이스로 전달할 수 없습니다. 고립된 인터페이스는 다른 분리된 인터페이스로부터 패킷을 수신할 수 없습니다. 고객 디바이스가 게이트웨이 라우터에만 액세스하려면 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 커뮤니티 VLAN/커뮤니티 포트—단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 내의 인터페이스 VLAN은 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 Layer 2 통신을 구축할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 promiscuous 포트 또는 ISL 포트와 통신할 수도 있습니다. 예를 들어 다른 고객 디바이스에서 분리해야 하지만 서로 통신할 수 있어야 하는 두 고객 디바이스가 있는 경우 커뮤니티 포트를 사용할 수 있습니다.

  • Promiscuous 포트—promiscuous 포트는 인터페이스가 격리된 VLAN에 속하는지 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN의 모든 인터페이스와 레이어 2 통신을 제공합니다. promiscuous 포트는 기본 VLAN의 멤버이지만 보조 하위도인에는 포함되지 않습니다. Layer 3 게이트웨이, DHCP 서버 및 단말 장치와 통신해야 하는 기타 신뢰할 수 있는 장비는 일반적으로 사용자 역할을 하는 포트에 연결됩니다.

  • ISL(Inter-Switch Link)—ISL은 PVLAN에서 여러 스위치를 연결하고 2개 이상의 VLAN을 포함하는 트렁크 포트입니다. PVLAN이 여러 스위치를 아우를 때에만 필요합니다.

구성된 PVLAN은 기본 도메인(기본 VLAN)입니다. PVLAN 내에서 기본 도메인 내에 중첩되는 보조 VLAN을 구성합니다. PVLAN은 단일 스위치에서 구성될 수 있습니다. 또는 여러 스위치를 아우를 수 있도록 구성할 수 있습니다. 표시된 PVLAN에는 기본 PVLAN 도메인과 다양한 하위 도메인을 포함하는 2개의 그림 1 스위치가 포함되어 있습니다.

그림 1: PVLAN의 하위도인PVLAN의 하위도인

에 표시된와 같이 PVLAN에는 단일 기본 도메인과 여러 보조 그림 3 도메인만 있습니다. 도메인 유형은

  • 기본 VLAN—프레임 다운스트림을 격리된 VLAN 및 커뮤니티 VLAN으로 전달하는 데 사용됨. PVLAN의 주요 VLAN은 완벽한 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN 및 여러 커뮤니티 VLAN)을 포함할 수 있습니다.

  • 보조 격리 VLAN— 기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN. 격리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 기본 VLAN은 하나의 격리된 VLAN만 포함할 수 있습니다. 격리된 VLAN(격리된 인터페이스)의 인터페이스는 프로미스큐어(promiscuous) 포트 또는 PVLAN 트렁크 포트로만 패킷을 전달할 수 있습니다. 고립된 인터페이스는 패킷을 다른 분리된 인터페이스로 전달할 수 없습니다. 고립된 인터페이스는 다른 격리 인터페이스로부터 패킷을 수신할 수도 없습니다. 고객 장비가 라우터에만 액세스하려면 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 보조 상호 스위치 격리 VLAN—PVLAN 트렁크 포트를 통해 분리된 VLAN 트래픽을 스위치에서 다른 스위치로 전달하는 데 사용되는 VLAN입니다. IEEE(Institute of Electrical and Electronics Engineers) 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4개 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 인터스위치 격리 VLAN에 필요합니다. 인터스위치 격리 VLAN은 기본 VLAN 내에 네스티드(nested) 보조 VLAN입니다.

  • 보조 커뮤니티 VLAN—커뮤니티 구성원(VLAN 내의 사용자 하위 세트)을 통해 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용했습니다. 커뮤니티 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 내의 인터페이스 VLAN은 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 Layer 2 통신을 구축할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 promiscuous 포트 또는 PVLAN 트렁크 포트와 통신할 수도 있습니다.

그림 2 는 여러 스위치에 걸쳐 PVLAN을 보여 주며, 기본 VLAN()에는 2개의 커뮤니티 도메인과 1개의 100(300400 interswitch 격리 도메인이 있습니다.

그림 2: 여러 스위치를 아우를 수 있는 PVLAN여러 스위치를 아우를 수 있는 PVLAN
주:

기본 및 보조 VLA는 QFX 시리즈에서 지원되는 4089개 VLA의 한도에 따라 계산됩니다. 예를 들어, 각 VLAN은 그림 2 이 제한에 따라 카운트를 계산합니다.

MX 시리즈 라우터에서 PVLANS의 일반적인 구조 및 기본 애플리케이션

구성된 PVLAN이 기본 도메인이 되고 보조 VLAN은 기본 도메인 내에 중첩된 하위 도메인이 됩니다. 단일 라우터에서 PVLAN을 만들 수 있습니다. 표시된 PVLAN에는 하나의 기본 PVLAN 도메인과 여러 보조 하위 도메인을 포함하는 하나의 그림 3 라우터가 포함됩니다.

그림 3: 하나의 라우터가 있는 PVLAN의 하위도인하나의 라우터가 있는 PVLAN의 하위도인

도메인 유형은

  • 기본 VLAN—프레임 다운스트림을 격리된 VLAN 및 커뮤니티 VLAN으로 전달하는 데 사용됨.

  • 보조 격리 VLAN— 기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN.

  • 보조 상호 스위치 격리 VLAN—PVLAN 트렁크 포트를 통해 격리된 VLAN 트래픽을 라우터에서 다른 라우터로 전달하는 데 사용되는 VLAN입니다.

  • 보조 커뮤니티 VLAN—VLAN은 커뮤니티 구성원들 사이에서 프레임을 전송하고 VLAN 내의 사용자 하위 세트인 프레임을 기본 VLAN으로 전달하는 데 사용했습니다.

주:

PVLAN은 MPC1, MPC2 및 Adaptive Services PIC가 있는 MX 시리즈 라우터에서 MX240, MX480 및 MX960 DPC가 있는 MX80 라우터에서 지원됩니다.

EX 시리즈 스위치에서 PVLANS의 일반적인 구조 및 기본 애플리케이션

주:

PVLAN의 주요 VLAN은 완벽한 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 스위치 EX9200 경우, 각 보조 VLAN은 별도의 VLAN ID로 정의되어야 합니다.

그림 4 단일 스위치에서 PVLAN을 보여 주며, 기본 VLAN(VLAN)에는 2개의 커뮤니티 VLAN(VLAN 및 VLAN)과 1개의 분리된 100300400 VLAN(VLAN)이 포함되어 50 있습니다.

그림 4: 단일 EX 스위치의 프라이빗 VLAN단일 EX 스위치의 프라이빗 VLAN

그림 5 여러 스위치에 걸쳐 PVLAN을 보여 주며, 기본 VLAN(VLAN)에는 2개의 커뮤니티 VLAN(VLAN 및 VLAN)과 1개의 분리된 100300400 VLAN(VLAN 200)이 포함되어 있습니다. 또한 스위치 1과 2가 인터스위치 링크(PVLAN 트렁크 링크)를 통해 연결되어 있는 것으로도 표시됩니다.

그림 5: 여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN

또한, PVLA는 커뮤니티와 격리된 VLA를 통해 레이어 3 트래픽을 라우팅하는 수단으로 라우터에 연결된 전관 포트를 사용하여 그림 4그림 5 표시하고 있습니다. 라우터에 연결된 전사적인 포트를 사용하는 대신 스위치 내 또는 스위치(일부 EX 스위치)에서 RVI를 구성할 수 그림 4그림 5 있습니다.

분리된 VLA와 커뮤니티 VLA 간의 레이어 3 트래픽을 라우팅하려면 에 표시된처럼 라우터를 원하는 포트에 연결하거나 RVI를 구성해야 그림 4그림 5 합니다.

RVI 옵션을 선택하는 경우 PVLAN 도메인의 기본 VLAN에 대해 하나의 RVI를 구성해야 합니다. 이 RVI는 도메인에 하나 이상의 스위치가 포함되어 있는지 여부에 관계없이 전체 PVLAN 도메인을 제공합니다. RVI를 구성한 후 보조 VLAN 인터페이스에서 수신하는 레이어 3 패킷을 RVI에 매핑하고 라우팅합니다.

RVI를 설정할 때 RVI가 보조 VLAN 인터페이스에서 수신한 ARP 요청을 처리할 수 있도록 ARP(Proxy Address Resolution Protocol)를 활성화해야 합니다.

단일 스위치 및 여러 스위치에서 PVLAN 구성에 대한 자세한 내용은 단일 EX 시리즈 스위치(CLI Procedure)에서 프라이빗 VLAN 생성을 참조하십시오. RVI 구성에 대한 자세한 내용은 EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스구성을 참조하십시오.

격리된 VLA 간의 라우팅

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 외부 라우터 또는 스위치를 기본 VLAN의 트렁크 포트에 연결해야 합니다. 기본 VLAN의 트렁크 포트는 점진적인 포트입니다. 따라서 PVLAN의 모든 포트와 통신할 수 있습니다.

PVLANS는 802.1Q 태그를 사용하여 패킷 식별

패킷이 고객별 802.1Q 태그로 표시될 때 해당 태그는 네트워크의 모든 스위치 또는 라우터에 대한 패킷의 소유권을 확인합니다. 때로는 여러 다른 서브도미의 패킷을 추적하기 위해 PVLANS 내에서 802.1Q 태그가 필요합니다. 기본 VLAN 또는 보조 표 1 VLAN에서 VLAN 802.1Q 태그가 필요한 경우를 나타냅니다.

표 1: PVLAN의 VLAN에 802.1Q 태그가 필요한 경우

단일 스위치에서 다수의 스위치에서

기본 VLAN

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

보조 VLAN

VLANS에 태그가 필요하지 않습니다.

VLA는 802.1Q 태그를 필요로 합니다.

  • VLAN ID를 설정하여 각 커뮤니티 VLAN에 802.1Q 태그를 지정합니다.

  • 고리 VLAN ID에 대해 802.1Q 태그를 지정합니다.

PVLANS는 IP 주소를 효율적으로 사용합니다.

PVLANS는 IP 주소 보존과 IP 주소의 효율적인 할당을 제공합니다. 일반적인 네트워크에서 VLA는 일반적으로 단일 IP 서브넷과 대응합니다. PVLAN에서 모든 보조 VLAN의 호스트는 서브넷이 기본 VLAN에 할당될 때 동일 IP 서브넷에 속합니다. 보조 VLAN 내의 호스트는 기본 VLAN과 연관된 IP 서브넷에 기반하여 IP 주소를 할당하며, IP 서브넷 마스킹 정보는 기본 VLAN 서브넷의 정보를 반영합니다. 그러나 각 보조 VLAN은 별도의 브로드캐스트 도메인입니다.

PVLAN 포트 유형 및 포링 규칙

PVLANS는 최대 6개의 서로 다른 포트 유형을 사용할 수 있습니다. 설명된 네트워크는 프로미스루(promiscuous) 포트를 사용하여 라우터로 정보를 전송하고, 재무 및 HR 커뮤니티를 해당 스위치에 연결하는 커뮤니티 포트, 서버를 연결하는 격리된 포트 그리고 두 스위치를 연결하는 PVLAN 트렁크 포트 등 2개의 스위치를 그림 2 연결합니다. PVLAN 포트는 서로 다른 제한 사항을 가하고 있습니다.

  • Promiscuous 트렁크 포트—promiscuous 포트는 인터페이스가 격리된 VLAN에 속하는지 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN에 있는 모든 인터페이스와 레이어 2 통신을 제공합니다. promiscuous 포트는 기본 VLAN의 구성원이지만, 보조 하위도인 중 하나에 포함되지 않습니다. Layer 3 게이트웨이, DHCP 서버 및 단말 장치와 통신해야 하는 기타 신뢰할 수 있는 장비는 일반적으로 사용자 역할을 하는 포트에 연결됩니다.

  • PVLAN 트렁크 링크—PVLAN 트렁크 링크(인터스위치 링크)는 PVLAN이 여러 스위치에 걸쳐 확장하도록 구성된 경우만 필요합니다. PVLAN 트렁크 링크는 PVLAN을 구성하는 여러 스위치를 연결합니다.

  • PVLAN 트렁크 포트—스위치를 확장하려면 멀티스위치 PVLAN 구성에서 PVLAN 트렁크 포트가 필요합니다. PVLAN 트렁크 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 interswitch 분리 VLAN)의 구성원으로, 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 이 포트는 분리된 포트가 아니라 모든 포트와 통신할 수 있습니다.

    PVLAN 트렁크 포트와 격리된 포트 간의 통신은 보통 한방향입니다. PVLAN 트렁크 포트의 Interswitch 격리 VLAN 멤버십은 egress 전용입니다. 즉, 격리된 포트가 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만, PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달하지 않습니다(패킷이 사용자 액세스 포트에 수신되어 프로미스커스 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 경우).

  • 보조 VLAN 트렁크 포트(나와 있지)—보조 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 주어진 프라이빗 VLAN의 경우 보조 VLAN 트렁크 포트가 하나의 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 서로 다른 기본 VLAN의 구성원인 경우 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달하고 기본 VLAN pvlan400의 일부인 격리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

  • 커뮤니티 포트—커뮤니티 포트는 자신들 사이에서 그리고 이들이 저지르는 포트와 통신을 합니다. 커뮤니티 포트는 특정 사용자 그룹만 지원합니다. 이러한 인터페이스는 Layer 2에서 다른 커뮤니티의 다른 모든 인터페이스와 분리되거나 PVLAN 내의 격리된 포트로 분리됩니다.

  • 격리된 액세스 포트—격리된 포트는 promiscuous 포트 및 PVLAN 트렁크 포트와만 Layer 2 연결을 제공합니다. 이러한 두 포트가 동일한 격리 VLAN(또는 interswitch isolated VLAN) 도메인에 있는 경우에도 격리된 포트는 다른 격리 포트와 통신할 수 없습니다. 일반적으로 메일 서버나 백업 서버와 같은 서버는 격리된 포트에 연결됩니다. 호텔의 경우 일반적으로 각 객실이 격리된 포트에 연결되어 객실 간 통신이 불가능하지만 각 객실이 서로 연결된 포트에서 인터넷에 액세스할 수 있습니다.

  • Promiscuous 액세스 포트(표시 안 )—이 포트는 집계되지 않은 트래픽을 전달합니다. 프로미스 액세스 포트에서 ingress하는 트래픽은 디바이스의 모든 보조 VLAN 포트로 전달됩니다. VLAN 지원 포트에서 트래픽이 장치에 들어오고 프로미스 액세스 포트에서 발신되면 트래픽은 egress에서 집계됩니다. 태그된 트래픽이 프로미스 액세스 포트에 도착하면 해당 트래픽은 폐기됩니다.

  • Interswitch 링크 포트—ISL(Interswitch Link) 포트는 PVLAN이 라우터를 확장할 때 두 개의 라우터를 연결하는 트렁크 포트입니다. ISL 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 격리된 VLAN)의 멤버입니다.

    ISL 포트와 격리된 포트 간의 통신은 단방향(unidirectional)입니다. interswitch 분리된 VLAN의 ISL 포트 멤버십은 egress 전용(egress-only)으로, ISL 포트의 수신 트래픽은 격리된 VLAN에 할당되지 않습니다. 격리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달할 수 없습니다. 레이어 2 연결이 서로 다른 유형의 포트 간에 있는지 표 3 여부를 요약합니다.

표 2 ELS를 지원하는 EX 시리즈 스위치의 PVLAN 내에서 서로 다른 유형의 포트 간 레이어 2 연결을 요약합니다.

표 2: ELS를 지원하는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 포우링

포트 유형에서

포트를 분리하고 있습니까?

프로미스큐어(Promiscuous) 포트를 원합니까?

커뮤니티 포트에?

스위치 간 링크 포트는요?

격리

거부

허용(Permit)

거부

허용(Permit)

무차별

허용(Permit)

허용(Permit)

허용(Permit)

허용(Permit)

커뮤니티 1

거부

허용(Permit)

허용(Permit)

허용(Permit)

표 3: PVLAN 포트 및 레이어 2 연결

포트 유형

프로미스큐스 트렁크(Promiscuous Trunk)

PVLAN 트렁크

보조 트렁크

커뮤니티

격리된 액세스

비차원적 액세스

프로미스큐스 트렁크

PVLAN 트렁크

예—동일한 커뮤니티에서만 지원

보조 트렁크

아니요

아니요

커뮤니티

예—동일한 커뮤니티에서만 지원

아니요

격리된 액세스

예—단방향 전용

아니요

아니요

아니요

비차원적 액세스

아니요

표 4 은 LAYER 2 연결이 PVLAN 내의 여러 포트 유형 간에 존재하는지의 여부를 요약합니다.

표 4: ELS 지원이 없는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 연결

포트 유형

후 →

From:"

무차별

커뮤니티

격리

PVLAN 트렁크

Rvi

무차별

커뮤니티

예—동일한 커뮤니티에서만 지원

아니요

격리

아니요

아니요

주:

이러한 통신은 한방향입니다.

PVLAN 트렁크

예—동일한 커뮤니티에서만 지원

주:

이러한 통신은 한방향입니다.

Rvi

앞서 설명한 것 처럼, 격리된 포트와 PVLAN 트렁크 포트 간의 레이어 2 통신은 표 4 단방향입니다. 즉, 격리된 포트는 PVLAN 트렁크 포트로 패킷을 보낼 수 있으며 PVLAN 트렁크 포트는 격리된 포트에서만 패킷을 수신할 수 있습니다. 반대로, PVLAN 트렁크 포트는 패킷을 격리된 포트로 전송할 수 없습니다. 그리고 격리된 포트는 PVLAN 트렁크 포트에서 패킷을 수신할 수 없습니다.

주:

기본 VLAN에서 활성화하는 경우, PVLAN 내 모든 no-mac-learning 분리된 VLAN(또는 인터스위치 격리 VLAN)이 해당 설정을 상속합니다. 그러나 모든 커뮤니티 VLA에서 MAC 주소 학습을 비활성화하려면 각 no-mac-learning VLA에 대해 구성해야 합니다.

PVLAN 생성

그림에 나와 있는 플로우를 통해 PVLANS 생성 프로세스에 대한 일반적인 그림 6 아이디어를 제공합니다. 표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. (PVLAN 규칙에서 PVLAN 트렁크 포트 구성은 여러 라우터를 아우르는 PVLAN에만 적용됩니다.)

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

  • 고리 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

주:

PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

에 표시된와 같이 단일 라우터에서 VLAN을 구성하는 것은 비교적 그림 6 간단합니다.

그림 6: 단일 스위치에서 PVLAN 구성단일 스위치에서 PVLAN 구성

기본 VLAN 구성은 다음과 같은 단계로 구성됩니다.

  1. 기본 VLAN 이름 및 802.1Q 태그를 구성합니다.

  2. 기본 no-local-switching VLAN에 설정됩니다.

  3. 전이적인 트렁크 포트 및 액세스 포트를 구성합니다.

  4. 기본 VLAN의 전이식 트렁크 및 액세스 포트 구성원을 만들어야 합니다.

기본 VLAN 내에서 보조 커뮤니티 VLAN 또는 보조 격리 VLAN을 구성하거나 둘 다 구성할 수 있습니다. 보조 커뮤니티 구성 VLAN은 다음과 같은 단계로 구성됩니다.

  1. 일반적인 프로세스를 사용하여 VLAN을 구성합니다.

  2. VLAN에 대한 액세스 인터페이스를 구성합니다.

  3. 커뮤니티 VLAN에 기본 VLAN을 할당하면

격리된 VLAN은 멤버로 액세스 인터페이스를 사용하며 기본 VLAN에서 옵션이 활성화되면 내부적으로 no-local-switching 생성됩니다.

IEEE(Institute of Electrical and Electronics Engineers) 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4개 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 인터스위치 격리 VLAN에 필요합니다.

트렁크 포트는 멀티라우터 PVLAN 구성에만 필요하며, 트렁크 포트는 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다.

전용 VLA의 한계

프라이빗 VLAN 구성에는 다음과 같은 제약 조건이 적용됩니다.

  • 액세스 인터페이스는 하나의 PVLAN 도메인에 속할 수 있습니다. 즉, 두 개의 서로 다른 기본 VLAN에 참여할 수 없습니다.

  • 트렁크 인터페이스는 보조 VLA가 2개의 서로 다른 기본 VLA에 있는 한 2차 VLA의 구성원이 될 수 있습니다. 트렁크 인터페이스는 동일한 기본 VLAN에 있는 2개의 보조 VLAN의 구성원이 될 수 없습니다.

  • PVLAN 내에 포함된 모든 VLAN에서 MSTP(Multiple Spanning Tree Protocol)의 단일 지역을 구성해야 합니다.

  • VSTP(VLAN Spanning Tree Protocol)는 지원되지 않습니다.

  • IGMP 스누킹은 프라이빗 VLANS에서 지원되지 않습니다.

  • 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

  • 동일한 기본 VLAN에 있는 보조 VLAN 간의 라우팅은 지원되지 않습니다.

  • 일부 구성 명령문은 보조 VLAN에 지정될 수 없습니다. 기본 PVLAN에서만 계층 수준에서 다음 [edit vlans vlan-name switch-options] 명령문을 구성할 수 있습니다.

  • 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 기본 VLAN으로 변경하고 변경을 커밋해야 합니다. 예를 들어, 다음과 같은 절차를 따르게 됩니다.

    1. 기본 VLAN을 표준 VLAN으로 변경합니다.

    2. 구성을 커밋합니다.

    3. 일반 VLAN을 보조 VLAN으로 변경합니다.

    4. 구성을 커밋합니다.

    보조 VLAN을 기본 VLAN으로 변경하려는 경우 동일한 커밋 시퀀스를 따르야 합니다. 즉, 보조 VLAN을 표준 VLAN으로 만들어 변경을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

다음 기능은 ELS 구성 스타일이 지원되는 Junos 스위치의 PVLA에서 지원되지 않습니다.

  • DHCP 보안 기능(DHCP 스누킹, 동적 ARP 검사, IP 소스 가드)

  • 발신 VLAN 방화벽 필터

  • ERP(Ethernet Ring Protection)

  • 유연한 VLAN 태깅

  • 글로벌 mac 통계

  • IRB(Integrated Routing and Bridging) 인터페이스

  • 멀티캐스트 스누프 또는 IGMP 스누킹

  • 멀티 채시 링크 집계 그룹(MC-LAG)

  • 포트 미러링

  • Q-in-Q 터널링

  • VSTP(VLAN Spanning Tree Protocol)

  • VoIP(Voice over IP)

기본 PVLAN에 대한 계층 수준에서만 다음 [edit vlans vlan-name switch-options] 명령문을 구성할 수 있습니다.