Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

프라이빗 VLAN 이해

VLAN은 브로드캐스트를 지정된 사용자로 제한합니다. 프라이빗 VLAN(PVLAN)은 VLAN 내의 통신을 제한하여 이 개념을 한 단계 더 발전시킵니다. PVLAN은 멤버 스위치 포트(프라이빗 포트라고 함)를 통한 트래픽 흐름을 제한하여 이러한 포트가 지정된 업링크 트렁크 포트 또는 동일한 VLAN 내의 지정된 포트와만 통신하도록 함으로써 이를 수행합니다. 업링크 트렁크 포트 또는 LAG(Link Aggregation Group)는 일반적으로 라우터, 방화벽, 서버 또는 프로바이더 네트워크에 연결됩니다. 각 PVLAN에는 일반적으로 단일 업링크 포트와만 통신하는 많은 프라이빗 포트가 포함되어 있어 포트가 서로 통신할 수 없습니다.

PVLAN은 VLAN 내 포트 간에 레이어 2 격리를 제공하며, 기본 VLAN 내에 보조 VLAN(커뮤니티 VLAN 및 격리 된 VLAN)을 생성하여 브로드캐스트 도메인을 여러 개의 개별 브로드캐스트 하위 도메인으로 분할합니다. 동일한 커뮤니티 VLAN 내의 포트는 서로 통신할 수 있습니다. 분리된 VLAN 내의 포트는 단일 업링크 포트 와만 통신할 수 있습니다.

일반 VLAN과 마찬가지로 PVLAN은 레이어 2에서 분리되며 보조 VLAN 간에 레이어 3 트래픽을 라우팅하려면 다음 옵션 중 하나가 필요합니다.

  • 라우터와의 무차별 포트 연결

  • 라우팅된 VLAN 인터페이스(RVI)

주:

보조 VLAN 간에 레이어 3 트래픽을 라우팅하려면 PVLAN에 위에서 언급한 옵션 중 하나만 필요합니다. RVI를 사용하는 경우에도 PVLAN에 들어오고 나가는 트래픽만 처리하도록 프로미스큐어스 포트가 설정된 라우터에 대한 프로미스큐어스 포트 연결을 구현할 수 있습니다.

PVLAN은 브로드캐스트 및 알려지지 않은 유니캐스트 트래픽 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다. 서비스 프로바이더는 PVLAN을 사용하여 고객이 서로 격리되도록 합니다. PVLAN의 또 다른 일반적인 용도는 호텔에서 객실당 인터넷 액세스를 제공하는 것입니다.

주:

PVLAN을 지원하는 스위치에 PVLAN을 구성할 수 있습니다.

이 주제는 EX 시리즈 스위치의 PVLAN과 관련된 다음 개념을 설명합니다.

PVLAN의 이점

단일 VLAN을 분리해야 하는 필요성은 다음과 같은 구축 시나리오에서 특히 유용합니다.

  • 서버 팜 - 일반적인 인터넷 서비스 공급자는 서버 팜을 사용하여 수많은 고객에게 웹 호스팅을 제공합니다. 단일 서버 팜 내에 다양한 서버를 배치하면 관리를 용이하게 할 수 있습니다. 레이어 2 브로드캐스트가 VLAN의 모든 서버로 이동하기 때문에 모든 서버가 동일한 VLAN에 있는 경우 보안 문제가 발생합니다.

  • 메트로폴리탄 이더넷 네트워크 - 메트로 서비스 프로바이더는 다양한 주택, 임대 커뮤니티 및 기업에 레이어 2 이더넷 액세스를 제공합니다. 고객당 하나의 VLAN을 구축하는 기존 솔루션은 확장 불가능하고 관리하기 어려워 잠재적인 IP 주소 낭비로 이어졌습니다. PVLAN은 보다 안전하고 효율적인 솔루션을 제공합니다.

PVLAN의 일반적인 구조와 주요 적용

PVLAN은 단일 스위치에서 구성하거나 여러 스위치에 걸쳐 구성할 수 있습니다. 도메인 및 포트 유형은 다음과 같습니다.

  • 기본 VLAN—PVLAN의 기본 VLAN은 전체 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN과 여러 개의 커뮤니티 VLAN)을 포함할 수 있습니다.

  • 격리된 VLAN/격리된 포트 - 기본 VLAN은 하나의 격리된 VLAN만 포함할 수 있습니다. 분리된 VLAN 내의 인터페이스는 무차별 포트 또는 ISL(Inter-Switch Link) 포트로만 패킷을 전달할 수 있습니다. 격리된 인터페이스는 패킷을 다른 격리된 인터페이스로 전달할 수 없습니다. 또한 격리된 인터페이스는 다른 격리된 인터페이스에서 패킷을 수신할 수 없습니다. 고객 디바이스가 게이트웨이 라우터 에만 액세스해야 하는 경우 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 커뮤니티 VLAN/커뮤니티 포트 - 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 레이어 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 프로미스큐어스 포트 또는 ISL 포트와도 통신할 수 있습니다. 예를 들어 다른 고객 장치와 격리해야 하지만 서로 통신할 수 있어야 하는 두 개의 고객 장치가 있는 경우 커뮤니티 포트를 사용합니다.

  • 프로미스큐어스 포트 - 프로미스큐어스 포트는 인터페이스가 격리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN의 모든 인터페이스와 레이어 2 통신을 갖습니다. 프로미스큐어스 포트는 기본 VLAN의 멤버이지만 보조 하위 도메인에 포함되지 않습니다. 엔드포인트 디바이스와 통신해야 하는 레이어 3 게이트웨이, DHCP 서버 및 기타 신뢰할 수 있는 디바이스는 일반적으로 프로미스큐어스 포트에 연결됩니다.

  • ISL(Inter-Switch Link) - ISL은 PVLAN의 여러 스위치를 연결하고 두 개 이상의 VLAN을 포함하는 트렁크 포트입니다. PVLAN이 여러 스위치에 걸쳐 있는 경우에만 필요합니다.

구성된 PVLAN은 기본 도메인( 기본 VLAN)입니다. PVLAN 내에서 보조 VLAN을 구성하며, 보조 VLAN은 기본 도메인 내에 중첩된 하위 도메인이 됩니다. PVLAN은 단일 스위치에서 구성하거나 여러 스위치에 걸쳐 구성할 수 있습니다. 에 표시된 PVLAN에는 기본 PVLAN 도메인과 다양한 하위 도메인이 있는 두 개의 스위치가 포함되어 있습니다.그림 1

그림 1: PVLAN의 하위 도메인PVLAN의 하위 도메인

에서 볼 수 있듯이 PVLAN에는 하나의 기본 도메인과 여러 개의 보조 도메인만 있습니다.그림 3 도메인 유형은 다음과 같습니다.

  • 기본 VLAN—프레임 다운스트림을 격리 및 커뮤니티 VLAN으로 전달하는 데 사용되는 VLAN입니다. PVLAN의 기본 VLAN은 전체 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN과 여러 개의 커뮤니티 VLAN)을 포함할 수 있습니다.

  • 보조 격리 VLAN—기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN입니다. 분리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 기본 VLAN은 하나의 분리된 VLAN만 포함할 수 있습니다. 격리된 VLAN(격리된 인터페이스) 내의 인터페이스는 프로미스큐어스 포트 또는 PVLAN 트렁크 포트로만 패킷을 전달할 수 있습니다. 격리된 인터페이스는 패킷을 다른 격리된 인터페이스로 전달할 수 없습니다. 또한 격리된 인터페이스는 다른 격리된 인터페이스에서 패킷을 수신할 수 없습니다. 고객 디바이스가 라우터 에만 액세스해야 하는 경우 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 보조 스위치 간 격리된 VLAN—PVLAN 트렁크 포트를 통해 한 스위치에서 다른 스위치로 격리된 VLAN 트래픽을 전달하는 데 사용되는 VLAN입니다. IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 스위치 간 분리 VLAN에 802.1Q 태그가 필요합니다. 스위치 간 분리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다.

  • 보조 커뮤니티 VLAN—커뮤니티 구성원(VLAN 내 사용자 하위 집합) 간에 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용되는 VLAN입니다. 커뮤니티 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 레이어 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 프로미스큐어스 포트 또는 PVLAN 트렁크 포트와도 통신할 수 있습니다.

에서는 여러 스위치에 걸친 PVLAN을 보여주며, 기본 VLAN()에는 두 개의 커뮤니티 도메인과 )과 한 개의 스위치 간 격리 도메인 이 포함되어 있습니다.그림 2100(300400

그림 2: 다중 스위치에 걸친 PVLAN다중 스위치에 걸친 PVLAN
주:

기본 및 보조 VLAN은 QFX 시리즈에서 지원되는 4089개의 VLAN 제한에 대해 계산됩니다. 예를 들어, 의 각 VLAN은 이 제한에 대해 계산됩니다.그림 2

MX 시리즈 라우터에서 PVLAN의 일반적인 구조 및 주요 애플리케이션

구성된 PVLAN은 기본 도메인이 되고 보조 VLAN은 기본 도메인 내에 중첩된 하위 도메인이 됩니다. PVLAN은 단일 라우터에서 생성될 수 있습니다. 에 표시된 PVLAN에는 하나의 라우터와 하나의 기본 PVLAN 도메인 및 여러 개의 보조 하위 도메인이 포함됩니다.그림 3

그림 3: 하나의 라우터가 있는 PVLAN의 하위 도메인하나의 라우터가 있는 PVLAN의 하위 도메인

도메인 유형은 다음과 같습니다.

  • 기본 VLAN—프레임 다운스트림을 격리 및 커뮤니티 VLAN으로 전달하는 데 사용되는 VLAN입니다.

  • 보조 격리 VLAN—기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN입니다.

  • 보조 스위치 간 격리 VLAN—PVLAN 트렁크 포트를 통해 한 라우터에서 다른 라우터로 격리된 VLAN 트래픽을 전달하는 데 사용되는 VLAN입니다.

  • 보조 커뮤니티 VLAN—VLAN 내 사용자의 하위 집합인 커뮤니티 구성원 간에 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용되는 VLAN입니다.

주:

PVLAN은 MX80 라우터, 향상된 LAN 모드의 DPC가 있는 MX240, MX480 및 MX960 라우터, MPC1, MPC2 및 Adaptive Services PIC가 있는 MX 시리즈 라우터에서 지원됩니다.

EX 시리즈 스위치에서 PVLAN의 일반적인 구조 및 주요 적용

주:

PVLAN의 기본 VLAN은 전체 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. EX9200 스위치에서 각 보조 VLAN은 별도의 자체 VLAN ID로 정의되어야 합니다.

은 단일 스위치의 PVLAN을 보여주며, 기본 VLAN(VLAN)에는 2개의 커뮤니티 VLAN(VLAN 및 VLAN)과 1개의 분리된 VLAN(VLAN)이 포함되어 있습니다.그림 410030040050

그림 4: 단일 EX 스위치의 프라이빗 VLAN단일 EX 스위치의 프라이빗 VLAN

에서는 기본 VLAN(VLAN)에 2개의 커뮤니티 VLAN(VLAN 및 VLAN)과 1개의 분리된 VLAN(VLAN 200)이 포함된 다중 스위치에 걸친 PVLAN을 보여줍니다.그림 5100300400 또한 스위치 1과 2가 스위치 간 링크(PVLAN 트렁크 링크)를 통해 연결되어 있음을 보여줍니다.

그림 5: 여러 EX 시리즈 스위치에 걸친 PVLAN여러 EX 시리즈 스위치에 걸친 PVLAN

또한 에 표시된 PVLAN은 커뮤니티 및 격리된 VLAN 간에 레이어 3 트래픽을 라우팅하는 수단으로 라우터에 연결된 무차별 포트를 사용합니다.그림 4그림 5 라우터에 연결된 무차별 포트를 사용하는 대신 의 스위치 또는 에 표시된 스위치 중 하나(일부 EX 스위치)에서 RVI를 구성할 수 있습니다.그림 4그림 5

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 및 에 표시된 대로 라우터를 무차별 포트에 연결하거나 RVI를 구성해야 합니다.그림 4그림 5

RVI 옵션을 선택하는 경우 PVLAN 도메인의 기본 VLAN에 대해 하나의 RVI를 구성해야 합니다. 이 RVI는 도메인에 하나 이상의 스위치가 포함되어 있는지 여부에 관계없이 전체 PVLAN 도메인에 서비스를 제공합니다. RVI를 구성한 후 보조 VLAN 인터페이스에서 수신한 레이어 3 패킷은 RVI에 매핑되고 RVI에 의해 라우팅됩니다.

RVI를 설정할 때 RVI가 보조 VLAN 인터페이스에서 수신한 ARP 요청을 처리할 수 있도록 프록시 ARP(Address Resolution Protocol)도 활성화해야 합니다.

단일 스위치 및 여러 스위치에서 PVLAN을 구성하는 방법에 대한 자세한 내용은 단일 EX 시리즈 스위치에서 프라이빗 VLAN 생성(CLI 절차)을 참조하십시오.단일 EX 시리즈 스위치에서 프라이빗 VLAN 생성(CLI 절차) RVI 구성에 대한 자세한 내용은 EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스 구성을 참조하십시오.EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스 구성

격리된 VLAN과 커뮤니티 VLAN 간의 라우팅

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 외부 라우터 또는 스위치를 기본 VLAN의 트렁크 포트에 연결해야 합니다. 기본 VLAN의 트렁크 포트는 무차별 포트입니다. 따라서 PVLAN의 모든 포트와 통신할 수 있습니다.

PVLAN은 802.1Q 태그를 사용하여 패킷을 식별합니다

패킷에 고객별 802.1Q 태그가 표시되면 해당 태그가 네트워크의 스위치 또는 라우터에 대한 패킷의 소유권을 식별합니다. 때로는 다른 하위 도메인의 패킷을 추적하기 위해 PVLAN 내에서 802.1Q 태그가 필요합니다. 는 기본 VLAN 또는 보조 VLAN에 VLAN 802.1Q 태그가 필요한 시기를 나타냅니다.표 1

표 1: PVLAN의 VLAN에 802.1Q 태그가 필요한 경우
  단일 스위치에서 여러 스위치에서
기본 VLAN

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

보조 VLAN

VLAN에는 태그가 필요하지 않습니다.

VLAN에는 802.1Q 태그가 필요합니다.

  • VLAN ID를 설정하여 각 커뮤니티 VLAN에 대한 802.1Q 태그를 지정합니다.

  • 격리 ID를 설정하여 격리 VLAN ID에 대한 802.1Q 태그를 지정합니다.

PVLAN은 IP 주소를 효율적으로 사용합니다.

PVLAN은 IP 주소를 보존하고 IP 주소를 효율적으로 할당합니다. 일반적인 네트워크에서 VLAN은 일반적으로 단일 IP 서브넷에 해당합니다. PVLAN에서 서브넷이 기본 VLAN에 할당되기 때문에 모든 보조 VLAN의 호스트는 동일한 IP 서브넷에 속합니다. 보조 VLAN 내의 호스트에는 기본 VLAN과 연결된 IP 서브넷을 기반으로 IP 주소가 할당되며, 해당 IP 서브넷 마스킹 정보는 기본 VLAN 서브넷의 마스킹 정보를 반영합니다. 그러나 각 보조 VLAN은 별도의 브로드캐스트 도메인입니다.

PVLAN 포트 유형 및 포워딩 규칙

PVLAN은 최대 6개의 서로 다른 포트 유형을 사용할 수 있습니다. 에 묘사된 네트워크는 무차별 포트를 사용하여 라우터로 정보를 전송하고, 커뮤니티 포트를 사용하여 재무 및 HR 커뮤니티를 해당 스위치에 연결하고, 격리된 포트를 사용하여 서버를 연결하고, PVLAN 트렁크 포트를 사용하여 두 스위치를 연결합니다.그림 2 PVLAN 포트에는 다양한 제한 사항이 있습니다.

  • 프로미스큐어스 트렁크 포트 - 프로미스큐어스 포트는 인터페이스가 격리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN에 있는 모든 인터페이스와 레이어 2 통신을 합니다. 프로미스큐어스 포트는 기본 VLAN의 멤버이지만 보조 하위 도메인 중 하나에 포함되지 않습니다. 엔드포인트 디바이스와 통신해야 하는 레이어 3 게이트웨이, DHCP 서버 및 기타 신뢰할 수 있는 디바이스는 일반적으로 프로미스큐어스 포트에 연결됩니다.

  • PVLAN 트렁크 링크 - 스위치 간 링크라고도 하는 PVLAN 트렁크 링크는 PVLAN이 여러 스위치에 걸쳐 구성된 경우에만 필요합니다. PVLAN 트렁크 링크는 PVLAN을 구성하는 여러 스위치를 연결합니다.

  • PVLAN 트렁크 포트 - PVLAN 트렁크 포트는 스위치를 확장하기 위해 멀티스위치 PVLAN 구성에 필요합니다. PVLAN 트렁크 포트는 PVLAN 내 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 스위치 간 격리 VLAN)의 멤버이며 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 격리된 포트를 제외한 모든 포트와 통신할 수 있습니다.

    PVLAN 트렁크 포트와 분리된 포트 간의 통신은 일반적으로 단방향입니다. 스위치 간 격리된 VLAN에서 PVLAN 트렁크 포트의 구성원은 송신 전용이며, 이는 격리된 포트가 PVLAN 트렁크 포트로 패킷을 전달할 수 있지만 PVLAN 트렁크 포트는 격리된 포트로 패킷을 전달하지 않는다는 것을 의미합니다(패킷이 무차별 액세스 포트에서 수신되어 프로미스큐어스 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 한).

  • 보조 VLAN 트렁크 포트(표시되지 않음) - 보조 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 지정된 프라이빗 VLAN의 경우 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대해서만 트래픽을 전송할 수 있습니다. 그러나 각 보조 VLAN이 서로 다른 기본 VLAN의 멤버인 한 보조 VLAN 트렁크 포트는 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어, 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달할 수 있으며 기본 VLAN pvlan400의 일부인 분리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

  • 커뮤니티 포트 - 커뮤니티 포트는 서로 통신하며 무차별 포트와 통신합니다. 커뮤니티 포트는 선택된 사용자 그룹에만 서비스를 제공합니다. 이러한 인터페이스는 레이어 2에서 다른 커뮤니티의 다른 모든 인터페이스 또는 PVLAN 내의 격리된 포트와 분리됩니다.

  • 격리된 액세스 포트 - 격리된 포트는 프로미스큐어스 포트 및 PVLAN 트렁크 포트에만 레이어 2 연결이 있습니다. 이 두 포트가 동일한 격리된 VLAN(또는 스위치 간 격리된 VLAN) 도메인의 구성원인 경우에도 격리된 포트는 다른 분리된 포트와 통신할 수 없습니다. 일반적으로 메일 서버 또는 백업 서버와 같은 서버는 격리된 포트에 연결됩니다. 호텔에서 각 방은 일반적으로 격리된 포트에 연결되어 있으므로 방 간 통신은 불가능하지만 각 방은 무차별 포트에서 인터넷에 액세스할 수 있습니다.

  • Promiscuous access port (표시되지 않음) - 이 포트는 태그가 지정되지 않은 트래픽을 전달합니다. 프로미스큐어스 액세스 포트에서 수신되는 트래픽은 디바이스의 모든 보조 VLAN 포트로 전달됩니다. 트래픽이 VLAN 지원 포트에서 디바이스로 수신되고 프로미스큐어스 액세스 포트에서 송신되는 경우, 트래픽은 송신 시 태그 해제됩니다. 태그가 지정된 트래픽이 무차별 액세스 포트로 수신되면 해당 트래픽은 폐기됩니다.

  • 스위치 간 링크 포트 - ISL(Interswitch Link) 포트는 PVLAN이 해당 라우터에 걸쳐 있을 때 두 라우터를 연결하는 트렁크 포트입니다. ISL 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 분리된 VLAN)의 멤버입니다.

    ISL 포트와 분리된 포트 간의 통신은 단방향입니다. 스위치 간 분리된 VLAN에서 ISL 포트의 구성원 자격은 송신 전용이며, 이는 ISL 포트의 수신 트래픽이 분리된 VLAN에 할당되지 않음을 의미합니다. 격리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달할 수 없습니다. 에서는 서로 다른 유형의 포트 간에 레이어 2 연결이 존재하는지 여부를 요약합니다.표 3

표 2 에는 ELS를 지원하는 EX 시리즈 스위치의 PVLAN 내에 있는 여러 유형의 포트 간 레이어 2 연결이 요약되어 있습니다.

표 2: ELS를 지원하는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 포워딩

포트 유형에서

격리된 포트로?

난잡한 항구로?

커뮤니티 포트로?

스위치 간 링크 포트로?

격리

거부

허용(Permit)

거부

허용(Permit)

무차별

허용(Permit)

허용(Permit)

허용(Permit)

허용(Permit)

커뮤니티 1

거부

허용(Permit)

허용(Permit)

허용(Permit)

표 3: PVLAN 포트 및 레이어 2 연결

포트 유형

무차별 트렁크

PVLAN 트렁크

보조 트렁크

커뮤니티

격리된 액세스

무차별적인 액세스

난잡한 트렁크

PVLAN 트렁크

예(동일한 커뮤니티만 해당)

보조 트렁크

아니요

아니요

커뮤니티

예(동일한 커뮤니티만 해당)

아니요

격리된 액세스

예(단방향만 해당)

아니요

아니요

아니요

무차별적인 액세스

아니요

표 4 은(는) PVLAN 내의 여러 유형의 포트 간에 레이어 2 연결이 존재하는지 여부를 요약합니다.

표 4: ELS를 지원하지 않는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 연결

포트 유형

수신자: →

출발지:↓

무차별

커뮤니티

격리

PVLAN 트렁크

Rvi

무차별

커뮤니티

예(동일한 커뮤니티만 해당)

아니요

격리

아니요

아니요

주:

이 통신은 단방향입니다.

PVLAN 트렁크

예(동일한 커뮤니티만 해당)

주:

이 통신은 단방향입니다.

Rvi

에서 언급했듯이 격리된 포트와 PVLAN 트렁크 포트 간의 레이어 2 통신은 단방향입니다.표 4 즉, 격리된 포트는 PVLAN 트렁크 포트로만 패킷을 전송할 수 있고, PVLAN 트렁크 포트는 격리된 포트에서만 패킷을 수신할 수 있습니다. 반대로, PVLAN 트렁크 포트는 분리된 포트로 패킷을 전송할 수 없으며, 분리된 포트는 PVLAN 트렁크 포트에서 패킷을 수신할 수 없습니다.

주:

기본 VLAN에서 사용하도록 설정하면 PVLAN의 모든 분리된 VLAN(또는 스위치 간 분리된 VLAN)이 해당 설정을 상속합니다.no-mac-learning 그러나 커뮤니티 VLAN에서 MAC 주소 학습을 비활성화하려면 각 VLAN에서 구성해야 합니다.no-mac-learning

PVLAN 생성

에 표시된 순서도는 PVLAN을 생성하는 프로세스에 대한 일반적인 아이디어를 제공합니다.그림 6 표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. (PVLAN 규칙에서 PVLAN 트렁크 포트 구성은 여러 라우터에 걸쳐 있는 PVLAN에만 적용됩니다.)

  • 기본 VLAN은 태그가 지정된 VLAN이어야 합니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

  • 격리 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

주:

PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

에 표시된 것처럼 단일 라우터에서 VLAN을 구성하는 것은 비교적 간단합니다.그림 6

그림 6: 단일 스위치에서 PVLAN 구성단일 스위치에서 PVLAN 구성

기본 VLAN 구성은 다음 단계로 구성됩니다.

  1. 기본 VLAN 이름 및 802.1Q 태그를 구성합니다.

  2. 기본 VLAN에 설정합니다 .no-local-switching

  3. 무차별 트렁크 포트 및 액세스 포트를 구성합니다.

  4. 무차별 트렁크 및 액세스 포트를 기본 VLAN의 멤버로 만듭니다.

기본 VLAN 내에서 보조 커뮤니티 VLAN 또는 보조 격리 VLAN 또는 둘 다를 구성할 수 있습니다. 보조 커뮤니티 VLAN 구성은 다음 단계로 구성됩니다.

  1. 일반적인 프로세스를 사용하여 VLAN을 구성합니다.

  2. VLAN에 대한 액세스 인터페이스를 구성합니다.

  3. 커뮤니티 VLAN에 기본 VLAN을 할당하고,

격리된 VLAN은 분리된 VLAN에 액세스 인터페이스가 멤버로 있고 옵션이 기본 VLAN에서 활성화될 때 내부적으로 생성됩니다.no-local-switching

IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 스위치 간 분리 VLAN에 802.1Q 태그가 필요합니다.

트렁크 포트는 다중 라우터 PVLAN 구성에만 필요하며, 트렁크 포트는 기본 VLAN과 모든 보조 VLAN에서 트래픽을 전송합니다.

프라이빗 VLAN의 제한 사항

프라이빗 VLAN 구성에는 다음과 같은 제약 조건이 적용됩니다.

  • 액세스 인터페이스는 하나의 PVLAN 도메인에만 속할 수 있으므로 두 개의 서로 다른 기본 VLAN에 참여할 수 없습니다.

  • 보조 VLAN이 두 개의 서로 다른 기본 VLAN에 있는 한 트렁크 인터페이스는 두 개의 보조 VLAN의 구성원이 될 수 있습니다. 트렁크 인터페이스는 동일한 기본 VLAN에 있는 두 개의 보조 VLAN의 멤버가 될 수 없습니다.

  • PVLAN에 포함된 모든 VLAN에서 MSTP(Multiple Spanning Tree Protocol)의 단일 영역을 구성해야 합니다.

  • VSTP(VLAN Spanning Tree Protocol)는 지원되지 않습니다.

  • IGMP 스누핑은 프라이빗 VLAN에서 지원되지 않습니다.

  • 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

  • 동일한 기본 VLAN에 있는 보조 VLAN 간의 라우팅은 지원되지 않습니다.

  • 일부 구성 명령문은 보조 VLAN에서 지정할 수 없습니다. 기본 PVLAN의 계층 수준 에서만 다음 문을 구성할 수 있습니다.[edit vlans vlan-name switch-options]

  • 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 일반 VLAN으로 변경하고 변경 사항을 커밋해야 합니다. 예를 들어 다음 절차를 따릅니다.

    1. 기본 VLAN을 일반 VLAN으로 변경합니다.

    2. 구성을 커밋합니다.

    3. 일반 VLAN을 보조 VLAN으로 변경합니다.

    4. 구성을 커밋합니다.

    보조 VLAN을 기본 VLAN으로 변경하려면 동일한 커밋 순서를 따릅니다. 즉, 보조 VLAN을 일반 VLAN으로 만들고 해당 변경 사항을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

다음 기능은 ELS 구성 스타일을 지원하는 Junos 스위치의 PVLAN에서 지원되지 않습니다 .

  • 송신 VLAN 방화벽 필터

  • 이더넷 링 보호(ERP)

  • 유연한 VLAN 태깅

  • global-mac-statistics

  • 통합 라우팅 및 브리징(IRB) 인터페이스

  • 멀티섀시 링크 어그리게이션 그룹(MC-LAG)

  • 포트 미러링

  • Q-in-Q 터널링

  • VSTP(VLAN Spanning Tree Protocol)

  • VoIP(Voice over IP)

기본 PVLAN의 계층 수준에서만 다음 명령문을 구성할 수 있습니다.[edit vlans vlan-name switch-options]