Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

프라이빗 VLAN 이해

VLAN은 브로드캐스트를 특정 사용자로 제한합니다. 프라이빗 VLAN(PVLAN)은 VLAN 내에서의 통신을 제한함으로써 이 개념을 한 단계 더 발전시킬 수 있습니다. PVLAN은 이들 포트가 지정된 업링크 트렁크 포트 또는 동일한 VLAN 내의 특정 포트와만 통신할 수 있도록 멤버 스위치 포트( 프라이빗 포트라고 함)를 통해 트래픽 흐름을 제한함으로써 이를 달성합니다. 업링크 트렁크 포트 또는 LAG(Link Aggregation Group)는 일반적으로 라우터, 방화벽, 서버 또는 프로바이더 네트워크에 연결됩니다. 각 PVLAN에는 일반적으로 단일 업링크 포트와만 통신하는 많은 전용 포트가 포함되어 있어 포트가 서로 통신하지 못하게 됩니다.

PVLAN은 VLAN 내 포트 간의 레이어 2 격리를 제공하며, 기본 VLAN 내부에 보조 VLAN(커뮤니티 VLAN 및 격리된 VLAN)을 생성하여 브로드캐스트 도메인을 여러 개의 개별 브로드캐스트 서브도메인으로 분할합니다. 동일한 커뮤니티 내의 포트 VLAN은 서로 통신할 수 있습니다. 격리된 VLAN 내의 포트는 단일 업링크 포트와 통신할 수 있습니다.

일반 VLAN과 마찬가지로 PVLAN은 Layer 2에서 격리되어 있으며 보조 VLAN 간에 레이어 3 트래픽을 라우팅하기 위한 다음 옵션 중 하나가 필요합니다.

  • 라우터를 통한 난잡한 포트 연결

  • RVI(Routed VLAN Interface)

주:

보조 VLAN 간에 레이어 3 트래픽을 라우팅하려면 PVLAN이 위에서 언급한 옵션 중 하나만 필요합니다. RVI를 사용하는 경우, PVLAN으로 들어오고 나가는 트래픽만 처리하도록 난잡한 포트를 설정하여 라우터에 난잡한 포트 연결을 구현할 수 있습니다.

PVLAN은 브로드캐스트 및 알 수 없는 유니캐스트 트래픽의 흐름을 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다. 서비스 프로바이더는 PVLAN을 사용하여 고객을 서로 격리합니다. PVLAN의 또 다른 일반적인 사용은 호텔에 객실당 인터넷 액세스를 제공하는 것입니다.

주:

PVLAN을 구성하여 PVLAN을 지원하는 스위치로 확장할 수 있습니다.

이 주제에서는 EX 시리즈 스위치의 PVLAN과 관련된 다음과 같은 개념에 대해 설명합니다.

PVLAN의 이점

단일 VLAN을 분리해야 하는 필요성은 다음과 같은 구축 시나리오에서 특히 유용합니다.

  • 서버 팜—일반적인 인터넷 서비스 프로바이더는 서버 팜을 사용하여 많은 고객에게 웹 호스팅을 제공합니다. 단일 서버 팜 내에 다양한 서버를 배치하면 관리가 용이해집니다. Layer 2 브로드캐스트가 VLAN의 모든 서버로 이동하기 때문에 모든 서버가 동일한 VLAN에 있는 경우 보안 문제가 발생합니다.

  • Metropolitan Ethernet 네트워크—메트로 서비스 프로바이더는 다양한 주택, 임대 커뮤니티 및 비즈니스에 Layer 2 Ethernet 액세스를 제공합니다. 고객당 하나의 VLAN을 구축하는 기존의 솔루션은 확장할 수 없으며 관리가 어려우며 IP 주소 낭비를 초래할 수 있습니다. PVLAN은 보다 안전하고 효율적인 솔루션을 제공합니다.

일반적인 구조 및 PVLAN의 기본 적용

단일 스위치에서 PVLAN을 구성하거나 여러 스위치에 걸쳐 구성할 수 있습니다. 도메인 및 포트의 유형은 다음과 같습니다.

  • 기본 VLAN—PVLAN의 기본 VLAN은 전체 PVLAN에 대해 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN에는 여러 개의 보조 VLAN(하나의 격리된 VLAN 및 여러 커뮤니티 VLAN)이 포함될 수 있습니다.

  • 격리된 VLAN/격리된 포트—기본 VLAN에는 하나의 격리된 VLAN만 포함할 수 있습니다. 격리된 VLAN 내의 인터페이스는 난잡한 포트 또는 ISL(Inter-Switch Link) 포트로만 패킷을 포워딩할 수 있습니다. 격리된 인터페이스는 패킷을 다른 격리된 인터페이스로 전달할 수 없습니다. 격리된 인터페이스는 다른 격리된 인터페이스에서 패킷을 수신할 수 없습니다. 고객 디바이스가 게이트웨이 라우터 에만 액세스해야 하는 경우 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 커뮤니티 VLAN/커뮤니티 포트—단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속한 다른 인터페이스와 Layer 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 난잡한 포트 또는 ISL 포트와 통신할 수도 있습니다. 예를 들어, 다른 고객 디바이스로부터 분리해야 하지만 서로 통신할 수 있어야 하는 두 개의 고객 디바이스가 있는 경우 커뮤니티 포트를 사용합니다.

  • Promiscuous 포트—난잡한 포트는 인터페이스가 격리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN의 모든 인터페이스와 Layer 2 통신을 제공합니다. promiscuous 포트는 기본 VLAN의 구성원이지만 보조 하위 도메인에는 포함되지 않습니다. 레이어 3 게이트웨이, DHCP 서버 및 단말 장치와 통신해야 하는 기타 신뢰할 수 있는 장치는 일반적으로 난잡한 포트에 연결됩니다.

  • ISL(Inter-Switch Link)—ISL은 PVLAN에서 여러 스위치를 연결하고 2개 이상의 VLAN을 포함하는 트렁크 포트입니다. PVLAN이 여러 스위치를 아우르는 경우에만 필요합니다.

구성된 PVLAN은 기본 도메인(기본 VLAN)입니다. PVLAN 내에서 보조 VLAN 을 구성합니다. 이 VLAN은 기본 도메인 내에 네스티드된 하위 도메인이 됩니다. 단일 스위치에서 PVLAN을 구성하거나 여러 스위치에 걸쳐 구성할 수 있습니다. PVLAN에는 기본 PVLAN 그림 1 도메인과 다양한 서브도메인을 포함한 2개의 스위치가 포함됩니다.

그림 1: PVLAN의 하위 도메인PVLAN의 하위 도메인

PVLAN에는 그림 3하나의 기본 도메인과 여러 보조 도메인만 있습니다. 도메인의 유형은 다음과 같습니다.

  • 기본 VLAN—VLAN은 프레임 다운스트림을 격리된 커뮤니티 VLAN으로 전달하는 데 사용되었습니다. PVLAN의 기본 VLAN은 전체 PVLAN에 대해 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN에는 여러 개의 보조 VLAN(하나의 격리된 VLAN 및 여러 커뮤니티 VLAN)이 포함될 수 있습니다.

  • 보조 격리된 VLAN—기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 포워딩하는 VLAN. 격리된 VLAN은 기본 VLAN 내에 내포된 보조 VLAN입니다. 기본 VLAN에는 단 하나의 격리된 VLAN만 포함할 수 있습니다. 격리된 VLAN(격리된 인터페이스) 내의 인터페이스는 난잡한 포트 또는 PVLAN 트렁크 포트로만 패킷을 포워딩할 수 있습니다. 격리된 인터페이스는 패킷을 다른 격리된 인터페이스로 전달할 수 없습니다. 격리된 인터페이스가 다른 격리된 인터페이스에서 패킷을 수신할 수도 없습니다. 고객 디바이스가 라우터에 액세스해야 하는 경우, 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 보조 인터스위치 격리 VLAN—VLAN은 PVLAN 트렁크 포트를 통해 한 스위치에서 다른 스위치로 격리된 VLAN 트래픽을 포워딩하는 데 사용됩니다. IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 Interswitch 격리된 VLAN에 필요합니다. Interswitch 격리된 VLAN은 기본 VLAN 내에 내포된 보조 VLAN입니다.

  • 보조 커뮤니티 VLAN—VLAN은 커뮤니티 구성원(VLAN 내 사용자 하위 세트) 간에 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용되었습니다. 커뮤니티 VLAN은 기본 VLAN 내에 내포된 보조 VLAN입니다. 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 VLAN 내의 인터페이스는 동일한 커뮤니티 VLAN에 속한 다른 인터페이스와 Layer 2 통신을 설정할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 난잡한 포트 또는 PVLAN 트렁크 포트와 통신할 수도 있습니다.

그림 2 여러 스위치에 걸쳐 PVLAN을 보여 줍니다. 여기서 기본 VLAN(100)에는 2개의 커뮤니티 도메인 (3004001개의 스위치 간 격리 도메인이 포함됩니다.

그림 2: 여러 스위치를 아우르는 PVLAN여러 스위치를 아우르는 PVLAN
주:

기본 및 보조 VLAN은 QFX 시리즈에서 지원되는 4089 VLAN의 한계에 해당합니다. 예를 들어, 각 VLAN은 그림 2 이 제한에 따라 계산됩니다.

MX 시리즈 라우터에서 PVLAN의 일반적인 구조 및 기본 적용

구성된 PVLAN은 기본 도메인이 되고 보조 VLAN은 기본 도메인 내에 내포된 하위 도메인이 됩니다. 단일 라우터에서 PVLAN을 생성할 수 있습니다. PVLAN에 표시된 그림 3 PVLAN에는 하나의 라우터가 포함되며, 하나의 기본 PVLAN 도메인과 여러 개의 보조 서브도메인이 포함됩니다.

그림 3: 단일 라우터가 있는 PVLAN의 하위 도메인단일 라우터가 있는 PVLAN의 하위 도메인

도메인의 유형은 다음과 같습니다.

  • 기본 VLAN—VLAN은 프레임 다운스트림을 격리된 커뮤니티 VLAN으로 전달하는 데 사용되었습니다.

  • 보조 격리된 VLAN—기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 포워딩하는 VLAN.

  • 보조 인터스위치 격리 VLAN—VLAN은 PVLAN 트렁크 포트를 통해 격리된 VLAN 트래픽을 한 라우터에서 다른 라우터로 포워딩하는 데 사용됩니다.

  • 보조 커뮤니티 VLAN—VLAN은 VLAN 내 사용자의 하위 집합인 커뮤니티 구성원 간에 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용되었습니다.

주:

PVLAN은 MX80 라우터, MX240, MX480 및 MX960 라우터에서 지원되며, 향상된 LAN 모드의 DPC는 MX 시리즈 라우터, MPC1, MPC2 및 Adaptive Services PIC에서 지원됩니다.

EX 시리즈 스위치에서 PVLAN의 일반적인 구조 및 기본 적용

주:

PVLAN의 기본 VLAN은 전체 PVLAN에 대해 802.1Q 태그(VLAN ID)로 정의됩니다. EX9200 스위치에서는 각 보조 VLAN을 별도의 VLAN ID로 정의해야 합니다.

그림 4 단일 스위치에서 PVLAN을 보여 줍니다. 여기서 기본 VLAN(VLAN 100)은 2개의 커뮤니티 VLAN(VLAN 및 VLAN 300400)과 1개의 격리된 VLAN(VLAN 50)을 포함합니다.

그림 4: 단일 EX 스위치의 프라이빗 VLAN단일 EX 스위치의 프라이빗 VLAN

그림 5 여러 스위치에 걸쳐 PVLAN을 보여 줍니다. 여기서 기본 VLAN(VLAN 100)은 2개의 커뮤니티 VLAN(VLAN 및 VLAN 300400)과 1개의 격리된 VLAN(VLAN 200)을 포함합니다. 또한 스위치 1과 2가 스위치 간 링크(PVLAN 트렁크 링크)를 통해 연결되어 있음을 보여줍니다.

그림 5: 여러 EX 시리즈 스위치를 아우르는 PVLAN여러 EX 시리즈 스위치를 아우르는 PVLAN

또한 PVLAN은 커뮤니티와 격리된 VLAN 간에 레이어 3 트래픽을 라우팅하는 수단으로 라우터에 연결된 promiscuous 포트에 표시 그림 4 되고 그림 5 사용합니다. 라우터에 연결된 promiscuous 포트를 사용하는 대신, 스위치 그림 4 내 또는 일부 EX 스위치에 표시된 그림 5 스위치 중 하나를 구성할 수 있습니다.

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면, 표시된 대로 라우터를 난잡한 포트에 그림 4그림 5연결하거나 RVI를 구성해야 합니다.

RVI 옵션을 선택하면 PVLAN 도메인의 기본 VLAN에 대해 하나의 RVI를 구성해야 합니다. 이 RVI는 도메인에 하나 이상의 스위치가 포함되어 있는지 여부에 관계없이 전체 PVLAN 도메인에 서비스를 제공합니다. RVI를 구성한 후 보조 VLAN 인터페이스에서 수신하는 레이어 3 패킷은 RVI에 의해 매핑되고 라우팅됩니다.

RVI를 설정할 때는 RVI가 보조 VLAN 인터페이스에서 받은 ARP 요청을 처리할 수 있도록 ARP(Proxy Address Resolution Protocol)도 활성화해야 합니다.

단일 스위치와 여러 스위치에서 PVLAN을 구성하는 방법에 대한 자세한 내용은 단일 EX 시리즈 스위치(CLI 절차)에서 프라이빗 VLAN 생성을 참조하십시오. RVI 구성에 대한 자세한 내용은 EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스 구성을 참조하십시오.

격리된 VLAN과 커뮤니티 VLAN 간의 라우팅

레이어 3 트래픽을 격리된 VLAN과 커뮤니티 VLAN 간에 라우팅하려면 외부 라우터 또는 스위치를 기본 VLAN의 트렁크 포트에 연결해야 합니다. 기본 VLAN의 트렁크 포트는 난잡한 포트입니다. 따라서 PVLAN의 모든 포트와 통신할 수 있습니다.

PVLAN, 802.1Q 태그를 사용하여 패킷 식별

패킷에 고객별 802.1Q 태그가 표시되면 해당 태그는 네트워크의 모든 스위치 또는 라우터에 대한 패킷의 소유권을 식별합니다. 때로는 서로 다른 서브도메인의 패킷을 추적하기 위해 PVLAN 내에서 802.1Q 태그가 필요합니다. 표 1 기본 VLAN 또는 보조 VLAN에서 VLAN 802.1Q 태그가 필요한 경우를 나타냅니다.

표 1: PVLAN의 VLAN에 802.1Q 태그가 필요한 경우

단일 스위치에서 여러 스위치에서

기본 VLAN

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

보조 VLAN

VLAN에 태그가 필요하지 않습니다.

VLAN에는 802.1Q 태그가 필요합니다.

  • VLAN ID를 설정하여 각 커뮤니티 VLAN에 대한 802.1Q 태그를 지정합니다.

  • 격리 ID를 설정하여 격리 VLAN ID에 대한 802.1Q 태그를 지정합니다.

IP 주소를 효율적으로 사용하는 PVLAN

PVLAN은 IP 주소 보존 및 IP 주소의 효율적인 할당을 제공합니다. 일반적인 네트워크에서는 VLAN이 일반적으로 단일 IP 서브넷에 해당합니다. 서브넷이 기본 VLAN에 할당되므로 PVLAN에서 모든 보조 VLAN의 호스트는 동일한 IP 서브넷에 속합니다. 보조 VLAN 내의 호스트는 기본 VLAN과 연관된 IP 서브넷을 기반으로 IP 주소를 할당하며, IP 서브넷 마스킹 정보는 기본 VLAN 서브넷의 IP 주소를 반영합니다. 그러나 각 보조 VLAN은 별도의 브로드캐스트 도메인입니다.

PVLAN 포트 유형 및 포워딩 규칙

PVLAN은 최대 6가지 포트 유형을 사용할 수 있습니다. 그림에그림 2 소개된 네트워크는 난잡한 포트를 사용하여 라우터로 정보를 전송하고, 커뮤니티 포트를 사용하여 금융 및 HR 커뮤니티를 해당 스위치에 연결하고, 서버를 연결하는 격리된 포트, 두 스위치를 연결하는 PVLAN 트렁크 포트를 사용합니다. PVLAN 포트에는 여러 가지 제한이 있습니다.

  • Promiscuous Trunk 포트—promiscuous 포트는 인터페이스가 격리된 VLAN 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN에 있는 모든 인터페이스와 Layer 2 통신을 제공합니다. 난교 포트는 기본 VLAN의 구성원이지만 보조 하위 도메인 중 하나에 포함되지 않습니다. 레이어 3 게이트웨이, DHCP 서버 및 단말 장치와 통신해야 하는 기타 신뢰할 수 있는 장치는 일반적으로 난잡한 포트에 연결됩니다.

  • PVLAN 트렁크 링크—인터스위치 링크라고도 하는 PVLAN 트렁크 링크는 PVLAN이 여러 스위치를 아우르도록 구성된 경우에만 필요합니다. PVLAN 트렁크 링크는 PVLAN을 구성하는 여러 스위치를 연결합니다.

  • PVLAN 트렁크 포트—스위치를 확장하려면 멀티스위치 PVLAN 구성에서 PVLAN 트렁크 포트가 필요합니다. PVLAN 트렁크 포트는 PVLAN 내 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN, Interswitch isolated VLAN)의 구성원이며, 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전송합니다. 격리된 포트가 아닌 모든 포트와 통신할 수 있습니다.

    PVLAN 트렁크 포트와 격리된 포트 간의 통신은 일반적으로 단방향입니다. Interswitch 격리된 VLAN의 PVLAN 트렁크 포트 멤버십은 송신 전용이며 즉, 격리된 포트가 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달하지 않습니다(난잡한 액세스 포트에서 수신된 패킷이 프로비저닝된 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 포워딩되지 않는 한).

  • 보조 VLAN 트렁크 포트(표시되지 않음)—보조 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 주어진 프라이빗 VLAN의 경우, 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대해서만 트래픽을 전송할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 서로 다른 기본 VLAN의 구성원인 한 여러 보조 VLAN의 트래픽을 전송할 수 있습니다. 예를 들어, 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN의 트래픽을 전송할 수 있으며 기본 VLAN pvlan400의 일부인 격리된 VLAN의 트래픽도 전송할 수 있습니다.

  • 커뮤니티 포트—커뮤니티 포트는 서로 간에 그리고 난잡한 포트와 통신합니다. 커뮤니티 포트는 일부 사용자 그룹만을 지원합니다. 이들 인터페이스는 Layer 2에서 다른 커뮤니티의 다른 모든 인터페이스 또는 PVLAN 내의 격리된 포트와 분리됩니다.

  • 격리된 액세스 포트—격리된 포트는 promiscuous 포트 및 PVLAN 트렁크 포트에서만 레이어 2 연결을 제공합니다. 이 두 포트가 동일한 격리된 VLAN(또는 스위치 간 격리 VLAN) 도메인의 구성원이라 하더라도 격리된 포트는 다른 격리된 포트와 통신할 수 없습니다. 일반적으로 메일 서버나 백업 서버와 같은 서버는 격리된 포트에 연결됩니다. 호텔에서 각 객실은 일반적으로 격리된 포트에 연결되어 있기 때문에 객실 간 통신은 불가능하지만 각 객실은 난잡한 포트에서 인터넷에 액세스할 수 있습니다.

  • Promiscuous 액세스 포트(표시되지 않음)—이 포트는 태그가 없는 트래픽을 전달합니다. 난잡한 액세스 포트에서 수신되는 트래픽은 디바이스의 모든 보조 VLAN 포트로 전달됩니다. 트래픽이 VLAN 지원 포트에서 장치로 수신되고 난잡한 액세스 포트에서 송신되면 트래픽은 송신에 태그가 지정되지 않습니다. 태그된 트래픽이 promiscuous 액세스 포트에 수신되면 트래픽은 폐기됩니다.

  • Interswitch 링크 포트—ISL(Interswitch Link) 포트는 PVLAN이 해당 라우터를 확장할 때 두 개의 라우터를 연결하는 트렁크 포트입니다. ISL 포트는 PVLAN 내 모든 VLAN의 구성원입니다(즉, 기본 VLAN, 커뮤니티 VLAN 및 격리된 VLAN).

    ISL 포트와 격리된 포트 간의 통신은 단방향입니다. ISL 포트의 Interswitch Isolated VLAN 멤버십은 송신 전용이기 때문에 ISL 포트의 수신 트래픽은 격리된 VLAN에 할당되지 않습니다. 격리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달할 수 없습니다. 표 3 여러 유형의 포트 사이에 레이어 2 연결이 있는지 요약합니다.

표 2 ELS를 지원하는 EX 시리즈 스위치의 PVLAN 내 다양한 유형의 포트 간 Layer 2 연결을 요약합니다.

표 2: ELS를 지원하는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 포워딩

포트 유형에서

포트를 분리하려면?

난잡한 포트에?

커뮤니티 포트에 연결하려면?

스위치 간 링크 포트에 연결하려면?

격리

거부

허용(Permit)

거부

허용(Permit)

무차별

허용(Permit)

허용(Permit)

허용(Permit)

허용(Permit)

커뮤니티 1

거부

허용(Permit)

허용(Permit)

허용(Permit)

표 3: PVLAN 포트 및 레이어 2 연결

포트 유형

프로미스어드 트렁크

PVLAN 트렁크

보조 트렁크

커뮤니티

격리된 액세스

프로미스세스(Promiscuous) 액세스

프로미스어드 트렁크

PVLAN 트렁크

예—동일한 커뮤니티에서만 지원

보조 트렁크

아니요

아니요

커뮤니티

예—동일한 커뮤니티에서만 지원

아니요

격리된 액세스

예—단방향 전용

아니요

아니요

아니요

프로미스세스(Promiscuous) 액세스

아니요

표 4 레이어 2 연결이 PVLAN 내의 다양한 유형의 포트 사이에 존재하는지 여부를 요약합니다.

표 4: ELS 지원 없이 EX 시리즈 스위치에서 PVLAN 포트 및 레이어 2 연결

포트 유형

후 →

출발지:

무차별

커뮤니티

격리

PVLAN 트렁크

RVI

무차별

커뮤니티

예—동일한 커뮤니티에서만 지원

아니요

격리

아니요

아니요

주:

이러한 통신은 단방향입니다.

PVLAN 트렁크

예—동일한 커뮤니티에서만 지원

주:

이러한 통신은 단방향입니다.

RVI

표 4격리된 포트와 PVLAN 트렁크 포트 간의 레이어 2 통신은 단방향입니다. 즉, 격리된 포트는 패킷을 PVLAN 트렁크 포트로만 보낼 수 있으며 PVLAN 트렁크 포트는 격리된 포트에서만 패킷을 수신할 수 있습니다. 반대로 PVLAN 트렁크 포트는 패킷을 격리된 포트로 보낼 수 없으며, 격리된 포트는 PVLAN 트렁크 포트에서 패킷을 수신할 수 없습니다.

주:

기본 VLAN을 활성화 no-mac-learning 하면 PVLAN의 모든 격리된 VLAN(또는 스위치 간 격리된 VLAN)이 해당 설정을 상속받습니다. 그러나 모든 커뮤니티 VLAN에서 MAC 주소 학습을 비활성화하려면 각 VLAN에 대해 구성 no-mac-learning 해야 합니다.

PVLAN 생성

표시된 그림 6 순서도는 PVLAN 생성 프로세스에 대한 일반적인 아이디어를 제공합니다. 표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. (PVLAN 규칙에서 PVLAN 트렁크 포트 구성은 여러 라우터를 아우르는 PVLAN에만 적용됩니다.)

  • 기본 VLAN은 태그가 지정된 VLAN이어야 합니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

  • 격리 VLAN ID를 구성하려는 경우 먼저 기본 VLAN을 구성해야 합니다.

주:

PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

에 표시된 그림 6것처럼 단일 라우터에서 VLAN을 구성하는 것은 비교적 간단합니다.

그림 6: 단일 스위치에서 PVLAN 구성단일 스위치에서 PVLAN 구성

기본 VLAN 구성은 다음과 같은 단계로 구성됩니다.

  1. 기본 VLAN 이름 및 802.1Q 태그를 구성합니다.

  2. 기본 VLAN에서 설정합니다 no-local-switching .

  3. promiscuous Trunk 포트 및 액세스 포트를 구성합니다.

  4. 기본 VLAN의 난잡한 트렁크 및 액세스 포트 멤버를 만듭니다.

기본 VLAN 내에서 보조 커뮤니티 VLAN 또는 보조 격리된 VLAN 또는 둘 모두를 구성할 수 있습니다. 보조 커뮤니티 VLAN 구성은 다음 단계로 구성됩니다.

  1. 일반적인 프로세스를 사용하여 VLAN을 구성합니다.

  2. VLAN에 대한 액세스 인터페이스를 구성합니다.

  3. 커뮤니티 VLAN에 기본 VLAN을 할당하고,

격리된 VLAN은 멤버로서 액세스 인터페이스를 가지고 있고 기본 VLAN에서 옵션을 no-local-switching 활성화하면 내부적으로 격리된 VLAN이 생성됩니다.

IEEE 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4바이트 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 Interswitch 격리된 VLAN에 필요합니다.

트렁크 포트는 멀티라우터 PVLAN 구성에만 필요합니다. 트렁크 포트는 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전송합니다.

프라이빗 VLAN의 한계

프라이빗 VLAN 구성에는 다음과 같은 제약 조건이 적용됩니다.

  • 액세스 인터페이스는 하나의 PVLAN 도메인에만 속할 수 있습니다. 즉, 2개의 기본 VLAN에 참여할 수 없습니다.

  • 트렁크 인터페이스는 보조 VLAN이 2개의 기본 VLAN에 있는 한 두 개의 보조 VLAN의 구성원이 될 수 있습니다. 트렁크 인터페이스는 동일한 기본 VLAN에 있는 2개의 보조 VLAN의 구성원이 될 수 없습니다.

  • MSTP(Multiple Spanning Tree Protocol)의 단일 영역은 PVLAN 내에 포함된 모든 VLAN에 대해 구성되어야 합니다.

  • VSTP(VLAN Spanning Tree Protocol)는 지원되지 않습니다.

  • IGMP 스누핑은 프라이빗 VLAN에서 지원되지 않습니다.

  • 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

  • 동일한 기본 VLAN에서 보조 VLAN 간의 라우팅은 지원되지 않습니다.

  • 일부 구성 명령문은 보조 VLAN에 지정할 수 없습니다. 기본 PVLAN에서 [edit vlans vlan-name switch-options] 계층 수준에서 다음 명령문을 구성할 수 있습니다.

  • 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 기본 VLAN으로 변경하고 변경을 커밋해야 합니다. 예를 들어 다음 절차에 따라야 합니다.

    1. 기본 VLAN을 일반 VLAN으로 변경합니다.

    2. 구성을 커밋합니다.

    3. 일반 VLAN을 보조 VLAN으로 변경합니다.

    4. 구성을 커밋합니다.

    보조 VLAN을 기본 VLAN으로 변경하려는 경우 동일한 커밋 순서를 따릅니다. 즉, 보조 VLAN을 일반 VLAN으로 만들고 해당 변경을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

ELS 구성 스타일을 지원하는 Junos 스위치의 PVLAN에서는 다음 기능이 지원 되지 않습니다 .

  • 송신 VLAN 방화벽 필터

  • ERP(Ethernet Ring Protection)

  • 유연한 VLAN 태깅

  • 글로벌 mac-통계

  • IRB(Integrated Routing and Bridging) 인터페이스

  • 멀티섀시 링크 어그리게이션 그룹(MC-LAG)

  • 포트 미러링

  • Q-in-Q 터널링

  • VSTP(VLAN Spanning Tree Protocol)

  • VoIP(Voice over IP)

기본 PVLAN에서 [edit vlans vlan-name switch-options] 만 계층 수준에서 다음 명령문을 구성할 수 있습니다.