Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

프라이빗 VLAN

사설 VLA 이해

VLA는 브로드캐스트를 지정된 사용자로 제한합니다. 프라이빗 VLAN(PVLAN)은 VLAN 내에서 통신을 제한하여 이러한 개념을 한 단계 더 도출합니다. PVLAN은 구성원 스위치 포트(프라이빗 포트)를 통해 트래픽 흐름을 제한하여 이러한 포트가 지정된 업링크 트렁크 포트 또는 동일한 VLAN 내의 지정된 포트와만 통신할 수 있도록 하여 이를 달성합니다. 업링크 트렁크 포트 또는 LAG(Link Aggregation Group)는 일반적으로 라우터, 방화벽, 서버 또는 제공업체 네트워크에 연결됩니다. 각 PVLAN은 일반적으로 단일 업링크 포트와만 통신하는 많은 프라이빗 포트를 포함하기 때문에 포트가 서로 통신하지 못합니다.

PVLAN은 VLAN 내의 포트 간에 레이어 2 격리 기능을 제공하고, 기본 VLAN 내부에 보조 VLAN(커뮤니티VLAN 및 격리 VLAN)을 생성하여 브로드캐스트 도메인을 여러 이기종 브로드캐스트 하위 도메인으로 분할합니다. 동일한 커뮤니티 내의 포트 VLAN은 서로 통신할 수 있습니다. 격리된 VLAN 내의 포트는 단일 업링크 포트와만 통신할 수 있습니다.

일반 VLA와 마찬가지로, PVLA는 Layer 2상에서 격리되어 보조 VLA 간 Layer 3 트래픽을 라우팅하는 다음 옵션 중 하나를 필요로 합니다.

  • 라우터를 통해 프로미스런트 포트 연결

  • RVI(Routed VLAN Interface)

주:

보조 VLAN 간 Layer 3 트래픽을 라우팅하기 위해 PVLAN에는 위에서 언급한 옵션 중 하나만 필요합니다. RVI를 사용하는 경우, PVLAN에 들어오고 나가는 트래픽만 처리하기 위해 promiscuous 포트가 설정되어 있는 라우터에 대한 전이식 포트 연결을 구현할 수 있습니다.

PVLANS는 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다. 서비스 프로바이더는 PVLA를 사용하여 고객 간을 격리할 수 있습니다. PVLAN을 사용하는 또 다른 일반적인 용도는 호텔 객실당 인터넷 액세스를 제공하는 것입니다.

주:

PVLAN을 지원하는 스위치를 확장하도록 PVLAN을 구성할 수 있습니다.

이 주제는 EX 시리즈 스위치의 PVLANS에 대한 다음 개념을 설명합니다.

PVLANS의 이점

단일 VLAN을 나란히해야 하는 필요성은 특히 다음과 같은 구축 시나리오에서 유용합니다.

  • 서버 팜—일반적인 인터넷 서비스 제공업체는 서버 팜을 사용하여 많은 고객에게 웹 호스팅을 제공합니다. 단일 서버 팜 내에 다양한 서버를 위치하면 관리가 용이합니다. Layer 2 브로드캐스트는 VLAN의 모든 서버로 이동하기 때문에 모든 서버가 동일한 VLAN에 있는 경우 보안 문제가 발생합니다.

  • Metropolitan Ethernet 네트워크—한 메트로 서비스 제공업체는 가정, 임대 커뮤니티 및 비즈니스에 레이어 2 이더넷 액세스를 제공합니다. 고객당 하나의 VLAN을 구축하는 기존 솔루션은 확장이 어렵고 관리가 어렵기 때문에 IP 주소의 낭비가 발생할 수 있습니다. PVLANS는 보다 안전하고 효율적인 솔루션을 제공합니다.

PVLANS의 일반적인 구조 및 기본 애플리케이션

PVLAN은 단일 스위치에서 구성될 수 있습니다. 또는 여러 스위치를 아우를 수 있도록 구성할 수 있습니다. 도메인 및 포트의 유형은

  • 기본 VLAN—PVLAN의 기본 VLAN은 완벽한 PVLAN을 위한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN 및 여러 커뮤니티 VLAN)을 포함할 수 있습니다.

  • 격리된 VLAN/격리 포트—기본 VLAN은 하나의 격리된 VLAN만 포함할 수 있습니다. 격리된 VLAN 내의 인터페이스는 확인된 포트 또는 ISL(Inter-Switch Link) 포트로만 패킷을 전달할 수 있습니다. 고립된 인터페이스는 패킷을 다른 분리된 인터페이스로 전달할 수 없습니다. 고립된 인터페이스는 다른 분리된 인터페이스로부터 패킷을 수신할 수 없습니다. 고객 디바이스가 게이트웨이 라우터에만 액세스하려면 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 커뮤니티 VLAN/커뮤니티 포트—단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 내의 인터페이스 VLAN은 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 Layer 2 통신을 구축할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 promiscuous 포트 또는 ISL 포트와 통신할 수도 있습니다. 예를 들어 다른 고객 디바이스에서 분리해야 하지만 서로 통신할 수 있어야 하는 두 고객 디바이스가 있는 경우 커뮤니티 포트를 사용할 수 있습니다.

  • Promiscuous 포트—promiscuous 포트는 인터페이스가 격리된 VLAN에 속하는지 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN의 모든 인터페이스와 레이어 2 통신을 제공합니다. promiscuous 포트는 기본 VLAN의 멤버이지만 보조 하위도인에는 포함되지 않습니다. Layer 3 게이트웨이, DHCP 서버 및 단말 장치와 통신해야 하는 기타 신뢰할 수 있는 장비는 일반적으로 사용자 역할을 하는 포트에 연결됩니다.

  • ISL(Inter-Switch Link)—ISL은 PVLAN에서 여러 스위치를 연결하고 2개 이상의 VLAN을 포함하는 트렁크 포트입니다. PVLAN이 여러 스위치를 아우를 때에만 필요합니다.

구성된 PVLAN은 기본 도메인(기본 VLAN)입니다. PVLAN 내에서 기본 도메인 내에 중첩되는 보조 VLAN을 구성합니다. PVLAN은 단일 스위치에서 구성될 수 있습니다. 또는 여러 스위치를 아우를 수 있도록 구성할 수 있습니다. 표시된 PVLAN에는 기본 PVLAN 도메인과 다양한 하위 도메인을 포함하는 2개의 그림 1 스위치가 포함되어 있습니다.

그림 1: PVLAN의 하위도인PVLAN의 하위도인

에 표시된와 같이 PVLAN에는 단일 기본 도메인과 여러 보조 그림 3 도메인만 있습니다. 도메인 유형은

  • 기본 VLAN—프레임 다운스트림을 격리된 VLAN 및 커뮤니티 VLAN으로 전달하는 데 사용됨. PVLAN의 주요 VLAN은 완벽한 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 기본 PVLAN은 여러 개의 보조 VLAN(하나의 격리된 VLAN 및 여러 커뮤니티 VLAN)을 포함할 수 있습니다.

  • 보조 격리 VLAN— 기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN. 격리된 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 기본 VLAN은 하나의 격리된 VLAN만 포함할 수 있습니다. 격리된 VLAN(격리된 인터페이스)의 인터페이스는 프로미스큐어(promiscuous) 포트 또는 PVLAN 트렁크 포트로만 패킷을 전달할 수 있습니다. 고립된 인터페이스는 패킷을 다른 분리된 인터페이스로 전달할 수 없습니다. 고립된 인터페이스는 다른 격리 인터페이스로부터 패킷을 수신할 수도 없습니다. 고객 장비가 라우터에만 액세스하려면 디바이스를 격리된 트렁크 포트에 연결해야 합니다.

  • 보조 상호 스위치 격리 VLAN—PVLAN 트렁크 포트를 통해 분리된 VLAN 트래픽을 스위치에서 다른 스위치로 전달하는 데 사용되는 VLAN입니다. IEEE(Institute of Electrical and Electronics Engineers) 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4개 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 인터스위치 격리 VLAN에 필요합니다. 인터스위치 격리 VLAN은 기본 VLAN 내에 네스티드(nested) 보조 VLAN입니다.

  • 보조 커뮤니티 VLAN—커뮤니티 구성원(VLAN 내의 사용자 하위 세트)을 통해 프레임을 전송하고 프레임 업스트림을 기본 VLAN으로 전달하는 데 사용했습니다. 커뮤니티 VLAN은 기본 VLAN 내에 중첩된 보조 VLAN입니다. 단일 PVLAN 내에서 여러 커뮤니티 VLAN을 구성할 수 있습니다. 특정 커뮤니티 내의 인터페이스 VLAN은 동일한 커뮤니티 VLAN에 속하는 다른 인터페이스와 Layer 2 통신을 구축할 수 있습니다. 커뮤니티 VLAN 내의 인터페이스는 promiscuous 포트 또는 PVLAN 트렁크 포트와 통신할 수도 있습니다.

그림 2 는 여러 스위치에 걸쳐 PVLAN을 보여 주며, 기본 VLAN()에는 2개의 커뮤니티 도메인과 1개의 100(300400 interswitch 격리 도메인이 있습니다.

그림 2: 여러 스위치를 아우를 수 있는 PVLAN여러 스위치를 아우를 수 있는 PVLAN
주:

기본 및 보조 VLA는 QFX 시리즈에서 지원되는 4089개 VLA의 한도에 따라 계산됩니다. 예를 들어, 각 VLAN은 그림 2 이 제한에 따라 카운트를 계산합니다.

MX 시리즈 라우터에서 PVLANS의 일반적인 구조 및 기본 애플리케이션

구성된 PVLAN이 기본 도메인이 되고 보조 VLAN은 기본 도메인 내에 중첩된 하위 도메인이 됩니다. 단일 라우터에서 PVLAN을 만들 수 있습니다. 표시된 PVLAN에는 하나의 기본 PVLAN 도메인과 여러 보조 하위 도메인을 포함하는 하나의 그림 3 라우터가 포함됩니다.

그림 3: 하나의 라우터가 있는 PVLAN의 하위도인하나의 라우터가 있는 PVLAN의 하위도인

도메인 유형은

  • 기본 VLAN—프레임 다운스트림을 격리된 VLAN 및 커뮤니티 VLAN으로 전달하는 데 사용됨.

  • 보조 격리 VLAN— 기본 VLAN에서만 패킷을 수신하고 프레임 업스트림을 기본 VLAN으로 전달하는 VLAN.

  • 보조 상호 스위치 격리 VLAN—PVLAN 트렁크 포트를 통해 격리된 VLAN 트래픽을 라우터에서 다른 라우터로 전달하는 데 사용되는 VLAN입니다.

  • 보조 커뮤니티 VLAN—VLAN은 커뮤니티 구성원들 사이에서 프레임을 전송하고 VLAN 내의 사용자 하위 세트인 프레임을 기본 VLAN으로 전달하는 데 사용했습니다.

주:

PVLAN은 MPC1, MPC2 및 Adaptive Services PIC가 있는 MX 시리즈 라우터에서 MX240, MX480 및 MX960 DPC가 있는 MX80 라우터에서 지원됩니다.

EX 시리즈 스위치에서 PVLANS의 일반적인 구조 및 기본 애플리케이션

주:

PVLAN의 주요 VLAN은 완벽한 PVLAN에 대한 802.1Q 태그(VLAN ID)로 정의됩니다. 스위치 EX9200 경우, 각 보조 VLAN은 별도의 VLAN ID로 정의되어야 합니다.

그림 4 단일 스위치에서 PVLAN을 보여 주며, 기본 VLAN(VLAN)에는 2개의 커뮤니티 VLAN(VLAN 및 VLAN)과 1개의 분리된 100300400 VLAN(VLAN)이 포함되어 50 있습니다.

그림 4: 단일 EX 스위치의 프라이빗 VLAN단일 EX 스위치의 프라이빗 VLAN

그림 5 여러 스위치에 걸쳐 PVLAN을 보여 주며, 기본 VLAN(VLAN)에는 2개의 커뮤니티 VLAN(VLAN 및 VLAN)과 1개의 분리된 100300400 VLAN(VLAN 200)이 포함되어 있습니다. 또한 스위치 1과 2가 인터스위치 링크(PVLAN 트렁크 링크)를 통해 연결되어 있는 것으로도 표시됩니다.

그림 5: 여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN

또한, PVLA는 커뮤니티와 격리된 VLA를 통해 레이어 3 트래픽을 라우팅하는 수단으로 라우터에 연결된 전관 포트를 사용하여 그림 4그림 5 표시하고 있습니다. 라우터에 연결된 전사적인 포트를 사용하는 대신 스위치 내 또는 스위치(일부 EX 스위치)에서 RVI를 구성할 수 그림 4그림 5 있습니다.

분리된 VLA와 커뮤니티 VLA 간의 레이어 3 트래픽을 라우팅하려면 에 표시된처럼 라우터를 원하는 포트에 연결하거나 RVI를 구성해야 그림 4그림 5 합니다.

RVI 옵션을 선택하는 경우 PVLAN 도메인의 기본 VLAN에 대해 하나의 RVI를 구성해야 합니다. 이 RVI는 도메인에 하나 이상의 스위치가 포함되어 있는지 여부에 관계없이 전체 PVLAN 도메인을 제공합니다. RVI를 구성한 후 보조 VLAN 인터페이스에서 수신하는 레이어 3 패킷을 RVI에 매핑하고 라우팅합니다.

RVI를 설정할 때 RVI가 보조 VLAN 인터페이스에서 수신한 ARP 요청을 처리할 수 있도록 ARP(Proxy Address Resolution Protocol)를 활성화해야 합니다.

단일 스위치 및 여러 스위치에서 PVLAN 구성에 대한 자세한 내용은 단일 EX 시리즈 스위치(CLI Procedure)에서 프라이빗 VLAN 생성을 참조하십시오. RVI 구성에 대한 자세한 내용은 EX 시리즈 스위치의 프라이빗 VLAN에서 라우팅된 VLAN 인터페이스구성을 참조하십시오.

격리된 VLA 간의 라우팅

격리된 VLAN과 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅하려면 외부 라우터 또는 스위치를 기본 VLAN의 트렁크 포트에 연결해야 합니다. 기본 VLAN의 트렁크 포트는 점진적인 포트입니다. 따라서 PVLAN의 모든 포트와 통신할 수 있습니다.

PVLANS는 802.1Q 태그를 사용하여 패킷 식별

패킷이 고객별 802.1Q 태그로 표시될 때 해당 태그는 네트워크의 모든 스위치 또는 라우터에 대한 패킷의 소유권을 확인합니다. 때로는 여러 다른 서브도미의 패킷을 추적하기 위해 PVLANS 내에서 802.1Q 태그가 필요합니다. 기본 VLAN 또는 보조 표 1 VLAN에서 VLAN 802.1Q 태그가 필요한 경우를 나타냅니다.

표 1: PVLAN의 VLAN에 802.1Q 태그가 필요한 경우

단일 스위치에서 다수의 스위치에서

기본 VLAN

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

VLAN ID를 설정하여 802.1Q 태그를 지정합니다.

보조 VLAN

VLANS에 태그가 필요하지 않습니다.

VLA는 802.1Q 태그를 필요로 합니다.

  • VLAN ID를 설정하여 각 커뮤니티 VLAN에 802.1Q 태그를 지정합니다.

  • 고리 VLAN ID에 대해 802.1Q 태그를 지정합니다.

PVLANS는 IP 주소를 효율적으로 사용합니다.

PVLANS는 IP 주소 보존과 IP 주소의 효율적인 할당을 제공합니다. 일반적인 네트워크에서 VLA는 일반적으로 단일 IP 서브넷과 대응합니다. PVLAN에서 모든 보조 VLAN의 호스트는 서브넷이 기본 VLAN에 할당될 때 동일 IP 서브넷에 속합니다. 보조 VLAN 내의 호스트는 기본 VLAN과 연관된 IP 서브넷에 기반하여 IP 주소를 할당하며, IP 서브넷 마스킹 정보는 기본 VLAN 서브넷의 정보를 반영합니다. 그러나 각 보조 VLAN은 별도의 브로드캐스트 도메인입니다.

PVLAN 포트 유형 및 포링 규칙

PVLANS는 최대 6개의 서로 다른 포트 유형을 사용할 수 있습니다. 설명된 네트워크는 프로미스루(promiscuous) 포트를 사용하여 라우터로 정보를 전송하고, 재무 및 HR 커뮤니티를 해당 스위치에 연결하는 커뮤니티 포트, 서버를 연결하는 격리된 포트 그리고 두 스위치를 연결하는 PVLAN 트렁크 포트 등 2개의 스위치를 그림 2 연결합니다. PVLAN 포트는 서로 다른 제한 사항을 가하고 있습니다.

  • Promiscuous 트렁크 포트—promiscuous 포트는 인터페이스가 격리된 VLAN에 속하는지 또는 커뮤니티 VLAN에 속하는지 여부에 관계없이 PVLAN에 있는 모든 인터페이스와 레이어 2 통신을 제공합니다. promiscuous 포트는 기본 VLAN의 구성원이지만, 보조 하위도인 중 하나에 포함되지 않습니다. Layer 3 게이트웨이, DHCP 서버 및 단말 장치와 통신해야 하는 기타 신뢰할 수 있는 장비는 일반적으로 사용자 역할을 하는 포트에 연결됩니다.

  • PVLAN 트렁크 링크—PVLAN 트렁크 링크(인터스위치 링크)는 PVLAN이 여러 스위치에 걸쳐 확장하도록 구성된 경우만 필요합니다. PVLAN 트렁크 링크는 PVLAN을 구성하는 여러 스위치를 연결합니다.

  • PVLAN 트렁크 포트—스위치를 확장하려면 멀티스위치 PVLAN 구성에서 PVLAN 트렁크 포트가 필요합니다. PVLAN 트렁크 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 interswitch 분리 VLAN)의 구성원으로, 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 이 포트는 분리된 포트가 아니라 모든 포트와 통신할 수 있습니다.

    PVLAN 트렁크 포트와 격리된 포트 간의 통신은 보통 한방향입니다. PVLAN 트렁크 포트의 Interswitch 격리 VLAN 멤버십은 egress 전용입니다. 즉, 격리된 포트가 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만, PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달하지 않습니다(패킷이 사용자 액세스 포트에 수신되어 프로미스커스 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 경우).

  • 보조 VLAN 트렁크 포트(나와 있지)—보조 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 주어진 프라이빗 VLAN의 경우 보조 VLAN 트렁크 포트가 하나의 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 서로 다른 기본 VLAN의 구성원인 경우 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달하고 기본 VLAN pvlan400의 일부인 격리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

  • 커뮤니티 포트—커뮤니티 포트는 자신들 사이에서 그리고 이들이 저지르는 포트와 통신을 합니다. 커뮤니티 포트는 특정 사용자 그룹만 지원합니다. 이러한 인터페이스는 Layer 2에서 다른 커뮤니티의 다른 모든 인터페이스와 분리되거나 PVLAN 내의 격리된 포트로 분리됩니다.

  • 격리된 액세스 포트—격리된 포트는 promiscuous 포트 및 PVLAN 트렁크 포트와만 Layer 2 연결을 제공합니다. 이러한 두 포트가 동일한 격리 VLAN(또는 interswitch isolated VLAN) 도메인에 있는 경우에도 격리된 포트는 다른 격리 포트와 통신할 수 없습니다. 일반적으로 메일 서버나 백업 서버와 같은 서버는 격리된 포트에 연결됩니다. 호텔의 경우 일반적으로 각 객실이 격리된 포트에 연결되어 객실 간 통신이 불가능하지만 각 객실이 서로 연결된 포트에서 인터넷에 액세스할 수 있습니다.

  • Promiscuous 액세스 포트(표시 안 )—이 포트는 집계되지 않은 트래픽을 전달합니다. 프로미스 액세스 포트에서 ingress하는 트래픽은 디바이스의 모든 보조 VLAN 포트로 전달됩니다. VLAN 지원 포트에서 트래픽이 장치에 들어오고 프로미스 액세스 포트에서 발신되면 트래픽은 egress에서 집계됩니다. 태그된 트래픽이 프로미스 액세스 포트에 도착하면 해당 트래픽은 폐기됩니다.

  • Interswitch 링크 포트—ISL(Interswitch Link) 포트는 PVLAN이 라우터를 확장할 때 두 개의 라우터를 연결하는 트렁크 포트입니다. ISL 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 격리된 VLAN)의 멤버입니다.

    ISL 포트와 격리된 포트 간의 통신은 단방향(unidirectional)입니다. interswitch 분리된 VLAN의 ISL 포트 멤버십은 egress 전용(egress-only)으로, ISL 포트의 수신 트래픽은 격리된 VLAN에 할당되지 않습니다. 격리된 포트는 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만 PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달할 수 없습니다. 레이어 2 연결이 서로 다른 유형의 포트 간에 있는지 표 3 여부를 요약합니다.

표 2 ELS를 지원하는 EX 시리즈 스위치의 PVLAN 내에서 서로 다른 유형의 포트 간 레이어 2 연결을 요약합니다.

표 2: ELS를 지원하는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 포우링

포트 유형에서

포트를 분리하고 있습니까?

프로미스큐어(Promiscuous) 포트를 원합니까?

커뮤니티 포트에?

스위치 간 링크 포트는요?

격리

거부

허용(Permit)

거부

허용(Permit)

무차별

허용(Permit)

허용(Permit)

허용(Permit)

허용(Permit)

커뮤니티 1

거부

허용(Permit)

허용(Permit)

허용(Permit)

표 3: PVLAN 포트 및 레이어 2 연결

포트 유형

프로미스큐스 트렁크(Promiscuous Trunk)

PVLAN 트렁크

보조 트렁크

커뮤니티

격리된 액세스

비차원적 액세스

프로미스큐스 트렁크

PVLAN 트렁크

예—동일한 커뮤니티에서만 지원

보조 트렁크

아니요

아니요

커뮤니티

예—동일한 커뮤니티에서만 지원

아니요

격리된 액세스

예—단방향 전용

아니요

아니요

아니요

비차원적 액세스

아니요

표 4 은 LAYER 2 연결이 PVLAN 내의 여러 포트 유형 간에 존재하는지의 여부를 요약합니다.

표 4: ELS 지원이 없는 EX 시리즈 스위치의 PVLAN 포트 및 레이어 2 연결

포트 유형

후 →

From:"

무차별

커뮤니티

격리

PVLAN 트렁크

Rvi

무차별

커뮤니티

예—동일한 커뮤니티에서만 지원

아니요

격리

아니요

아니요

주:

이러한 통신은 한방향입니다.

PVLAN 트렁크

예—동일한 커뮤니티에서만 지원

주:

이러한 통신은 한방향입니다.

Rvi

앞서 설명한 것 처럼, 격리된 포트와 PVLAN 트렁크 포트 간의 레이어 2 통신은 표 4 단방향입니다. 즉, 격리된 포트는 PVLAN 트렁크 포트로 패킷을 보낼 수 있으며 PVLAN 트렁크 포트는 격리된 포트에서만 패킷을 수신할 수 있습니다. 반대로, PVLAN 트렁크 포트는 패킷을 격리된 포트로 전송할 수 없습니다. 그리고 격리된 포트는 PVLAN 트렁크 포트에서 패킷을 수신할 수 없습니다.

주:

기본 VLAN에서 활성화하는 경우, PVLAN 내 모든 no-mac-learning 분리된 VLAN(또는 인터스위치 격리 VLAN)이 해당 설정을 상속합니다. 그러나 모든 커뮤니티 VLA에서 MAC 주소 학습을 비활성화하려면 각 no-mac-learning VLA에 대해 구성해야 합니다.

PVLAN 생성

그림에 나와 있는 플로우를 통해 PVLANS 생성 프로세스에 대한 일반적인 그림 6 아이디어를 제공합니다. 표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. (PVLAN 규칙에서 PVLAN 트렁크 포트 구성은 여러 라우터를 아우르는 PVLAN에만 적용됩니다.)

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

  • 고리 VLAN ID를 구성하려면 먼저 기본 VLAN을 구성해야 합니다.

주:

PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

에 표시된와 같이 단일 라우터에서 VLAN을 구성하는 것은 비교적 그림 6 간단합니다.

그림 6: 단일 스위치에서 PVLAN 구성단일 스위치에서 PVLAN 구성

기본 VLAN 구성은 다음과 같은 단계로 구성됩니다.

  1. 기본 VLAN 이름 및 802.1Q 태그를 구성합니다.

  2. 기본 no-local-switching VLAN에 설정됩니다.

  3. 전이적인 트렁크 포트 및 액세스 포트를 구성합니다.

  4. 기본 VLAN의 전이식 트렁크 및 액세스 포트 구성원을 만들어야 합니다.

기본 VLAN 내에서 보조 커뮤니티 VLAN 또는 보조 격리 VLAN을 구성하거나 둘 다 구성할 수 있습니다. 보조 커뮤니티 구성 VLAN은 다음과 같은 단계로 구성됩니다.

  1. 일반적인 프로세스를 사용하여 VLAN을 구성합니다.

  2. VLAN에 대한 액세스 인터페이스를 구성합니다.

  3. 커뮤니티 VLAN에 기본 VLAN을 할당하면

격리된 VLAN은 멤버로 액세스 인터페이스를 사용하며 기본 VLAN에서 옵션이 활성화되면 내부적으로 no-local-switching 생성됩니다.

IEEE(Institute of Electrical and Electronics Engineers) 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4개 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 인터스위치 격리 VLAN에 필요합니다.

트렁크 포트는 멀티라우터 PVLAN 구성에만 필요하며, 트렁크 포트는 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다.

전용 VLA의 한계

프라이빗 VLAN 구성에는 다음과 같은 제약 조건이 적용됩니다.

  • 액세스 인터페이스는 하나의 PVLAN 도메인에 속할 수 있습니다. 즉, 두 개의 서로 다른 기본 VLAN에 참여할 수 없습니다.

  • 트렁크 인터페이스는 보조 VLA가 2개의 서로 다른 기본 VLA에 있는 한 2차 VLA의 구성원이 될 수 있습니다. 트렁크 인터페이스는 동일한 기본 VLAN에 있는 2개의 보조 VLAN의 구성원이 될 수 없습니다.

  • PVLAN 내에 포함된 모든 VLAN에서 MSTP(Multiple Spanning Tree Protocol)의 단일 지역을 구성해야 합니다.

  • VSTP(VLAN Spanning Tree Protocol)는 지원되지 않습니다.

  • IGMP 스누킹은 프라이빗 VLANS에서 지원되지 않습니다.

  • 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

  • 동일한 기본 VLAN에 있는 보조 VLAN 간의 라우팅은 지원되지 않습니다.

  • 일부 구성 명령문은 보조 VLAN에 지정될 수 없습니다. 기본 PVLAN에서만 계층 수준에서 다음 [edit vlans vlan-name switch-options] 명령문을 구성할 수 있습니다.

  • 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 기본 VLAN으로 변경하고 변경을 커밋해야 합니다. 예를 들어, 다음과 같은 절차를 따르게 됩니다.

    1. 기본 VLAN을 표준 VLAN으로 변경합니다.

    2. 구성을 커밋합니다.

    3. 일반 VLAN을 보조 VLAN으로 변경합니다.

    4. 구성을 커밋합니다.

    보조 VLAN을 기본 VLAN으로 변경하려는 경우 동일한 커밋 시퀀스를 따르야 합니다. 즉, 보조 VLAN을 표준 VLAN으로 만들어 변경을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

다음 기능은 ELS 구성 스타일이 지원되는 Junos 스위치의 PVLA에서 지원되지 않습니다.

  • 발신 VLAN 방화벽 필터

  • ERP(Ethernet Ring Protection)

  • 유연한 VLAN 태깅

  • 글로벌 mac 통계

  • IRB(Integrated Routing and Bridging) 인터페이스

  • 멀티 채시 링크 집계 그룹(MC-LAG)

  • 포트 미러링

  • Q-in-Q 터널링

  • VSTP(VLAN Spanning Tree Protocol)

  • VoIP(Voice over IP)

기본 PVLAN에 대한 계층 수준에서만 다음 [edit vlans vlan-name switch-options] 명령문을 구성할 수 있습니다.

여러 스위치에서 PVLAN 트래픽 흐름 이해

이 주제는 프라이빗 VLAN(PVLAN)으로 구성된 샘플 멀티스위치 네트워크에서 3가지 트래픽 플로우를 설명하고 설명합니다. PVLAN은 구성원 스위치 포트("프라이빗 포트")를 통해 트래픽 흐름을 제한하여 특정 업링크 트렁크 포트 또는 동일한 VLAN 내의 지정된 포트와만 통신합니다.

이 주제는 다음을 설명합니다.

집계되지 않은 트래픽을 전송하는 커뮤니티 VLAN

이 시나리오에서는 인터페이스 ge-0/0/0의 Community-1 of Switch 1의 VLAN이 언태그드 트래픽을 전송합니다. 화살표는 이러한 트래픽 그림 7 흐름을 나타내고 있습니다.

그림 7: 집계되지 않은 트래픽을 전송하는 커뮤니티 VLAN집계되지 않은 트래픽을 전송하는 커뮤니티 VLAN

이 시나리오에서는 스위치 1에서 다음과 같은 활동이 진행됩니다.

  • 인터페이스 ge-0/0/0의 커뮤니티-1 VLAN: 자세히 보기

  • 인터페이스 ge-0/0/0에서 pvlan100: 복제

  • 인터페이스 ge-0/0/12의 커뮤니티-1 VLAN: 트래픽 수신

  • PVLAN 트렁크 포트: 트래픽은 ge-1/0/2에서, 태그 10이 있는 ae0에서 나타났습니다.

  • Community-2: 인터페이스는 트래픽이 수신하지 않습니다.

  • 격리된 VLANS: 인터페이스 트래픽이 수신하지 않습니다.

이 시나리오에서는 스위치 3에서 이 활동이 진행됩니다.

  • 인터페이스 ge-0/0/23(PVLAN 트렁크)의 Community-1 VLAN: 자세히 보기

  • 인터페이스 ge-0/0/23에서 pvlan100: 복제

  • 인터페이스 ge-0/0/9 및 ge-0/0/16에서 커뮤니티-1 VLAN: 트래픽 수신

  • Promiscuous 트렁크 포트: 트래픽은 ge-0/0/0에서 태그 100으로 나타났습니다.

  • Community-2: 인터페이스는 트래픽이 수신하지 않습니다.

  • 격리된 VLANS: 인터페이스 트래픽이 수신하지 않습니다.

집계되지 않은 트래픽을 전송하는 격리된 VLAN

이 시나리오에서는 인터페이스 ge-1/0/0에서 Switch 1의 격리된 VLAN1이 언태그드 트래픽을 전송합니다. 화살표는 이러한 트래픽 그림 8 흐름을 나타내고 있습니다.

그림 8: 언태그드 트래픽을 전송하는 격리된 VLAN언태그드 트래픽을 전송하는 격리된 VLAN

이 시나리오에서는 스위치 1에서 다음과 같은 활동이 진행됩니다.

  • 인터페이스 ge-1/0/0에서 격리된 VLAN1: 자세히 보기

  • 인터페이스 ge-1/0/0에서 pvlan100: 복제

  • Pvlan-Trunk ge-1/0/2 및 ae0에서 태그 50으로 트래픽이 빠져나와

  • 커뮤니티-1 및 커뮤니티-2: 인터페이스 트래픽이 수신하지 않습니다.

  • 격리된 VLANS: 인터페이스 트래픽이 수신하지 않습니다.

이 시나리오에서는 스위치 3에서 이 활동이 진행됩니다.

  • 인터페이스 ge-0/0/23(PVLAN 트렁크 포트) VLAN: 자세히 보기

  • pvlan100 인터페이스 ge0/0/23: 복제

  • Promiscuous 트렁크 포트: 트래픽은 ge-0/0/0에서 태그 100으로 나타났습니다.

  • 커뮤니티-1 및 커뮤니티-2: 인터페이스 트래픽이 수신하지 않습니다.

  • 격리된 VLANS: 트래픽 수신 없음

PROMISCUOUS 포트에서 전송된 PVLAN 태그드 트래픽

이 시나리오에서는 PVLAN 태그된 트래픽이 promiscuous 포트에 전송됩니다. 화살표는 이러한 트래픽 그림 9 흐름을 나타내고 있습니다.

그림 9: PROMISCUOUS 포트에서 전송된 PVLAN 태그드 트래픽PROMISCUOUS 포트에서 전송된 PVLAN 태그드 트래픽

이 시나리오에서는 스위치 1에서 다음과 같은 활동이 진행됩니다.

  • pvlan100 VLAN(인터페이스 ae0)(PVLAN 트렁크): 자세히 보기

  • 커뮤니티-1, 커뮤니티-2 및 인터페이스 ae0에 있는 모든 분리된 VLA: 복제

  • 인터페이스 ae0의 VLAN: 복제

  • Pvlan-Trunk ge-1/0/2에서 태그 100으로 트래픽이 빠져나와

  • 커뮤니티-1 및 커뮤니티-2: 인터페이스에서 트래픽 수신

  • 격리된 VLANS: 트래픽 수신

이 시나리오에서는 스위치 3에서 이 활동이 진행됩니다.

  • 인터페이스 ge-0/0/0에서 pvlan100: 자세히 보기

  • Community-1, Community-2 및 인터페이스 ge-0/0/0에서 모든 분리된 VLA: 복제

  • 인터페이스 ge-0/0/0의 VLAN: 복제

  • 커뮤니티-1 및 커뮤니티-2: 인터페이스에서 트래픽 수신

  • 격리된 VLANS: 트래픽 수신

PVLAN에서 보조 VLAN 트렁크 포트 및 Promiscuous 액세스 포트 이해

VLA는 브로드캐스트를 지정된 사용자로 제한합니다. 프라이빗 VLAN(PVLAN)은 VLAN을 여러 브로드캐스트 하위도인으로 분할하고 기본적으로 기본 VLAN에 보조 VLAN을 추가하여 이러한 개념을 한 단계 더 발전시 적용합니다. PVLAN은 이들 포트가 지정된 업링크 트렁크 포트 또는 동일한 VLAN 내의 지정된 포트와만 통신할 수 있도록 구성원 포트를 통한 트래픽 흐름을 제한합니다. 업링크 트렁크 포트는 일반적으로 라우터, 방화벽, 서버 또는 제공업체 네트워크에 연결됩니다. PVLAN은 일반적으로 단일 업링크와만 통신하는 많은 프라이빗 포트를 포함하기 때문에 포트가 서로 통신하지 못합니다.

보조 트렁크 포트와 promiscuous 액세스 포트는

  • 엔터프라이즈 VMWare 인프라 환경

  • VM 관리를 활용한 멀티텐트 클라우드 서비스

  • 여러 고객을 위한 웹 호스팅 서비스

예를 들어, 보조 VLAN 트렁크 포트를 사용하여 QFX 디바이스를 프라이빗 VLAN으로 구성된 VMware 서버에 연결할 수 있습니다. 전이식 액세스 포트를 사용하여 QFX 디바이스를 트렁크 포트를 지원하지 않지만 프라이빗 VLA에 참여해야 하는 시스템에 QFX 디바이스를 연결할 수 있습니다.

이 주제는 QFX 시리즈의 PVLANS에 대한 다음 개념을 설명합니다.

PVLAN 포트 유형

PVLANS는 다음과 같은 다양한 포트 유형을 사용할 수 있습니다.

  • Promiscuous 트렁크 포트—promiscuous 포트는 라우터, 방화벽, 서버 또는 프로바이더 네트워크에 연결된 업스트림 트렁크 포트입니다. 전이적인 트렁크 포트는 PVLAN 내의 격리된 커뮤니티 포트를 포함하여 모든 인터페이스와 통신할 수 있습니다.

  • PVLAN 트렁크 포트—스위치를 확장하려면 멀티스위치 PVLAN 구성에서 PVLAN 트렁크 포트가 필요합니다. PVLAN 트렁크 포트는 PVLAN 내의 모든 VLAN(즉, 기본 VLAN, 커뮤니티 VLAN 및 interswitch 분리 VLAN)의 구성원으로, 기본 VLAN 및 모든 보조 VLAN에서 트래픽을 전달합니다. 모든 포트와 통신할 수 있습니다.

    PVLAN 트렁크 포트와 격리된 포트 간의 통신은 보통 한방향입니다. PVLAN 트렁크 포트의 Interswitch 격리 VLAN 멤버십은 egress 전용입니다. 즉, 격리된 포트가 패킷을 PVLAN 트렁크 포트로 전달할 수 있지만, PVLAN 트렁크 포트는 패킷을 격리된 포트로 전달하지 않습니다(패킷이 사용자 액세스 포트에 수신되어 프로미스커스 포트와 동일한 기본 VLAN의 모든 보조 VLAN으로 전달되지 않는 경우).

  • 보조 VLAN 트렁크 포트—보조 VLAN 트렁크 포트는 보조 VLAN 트래픽을 전달합니다. 주어진 프라이빗(기본) VLAN의 경우 보조 VLAN 트렁크 포트는 하나의 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 서로 다른 기본 VLAN의 구성원인 경우 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달하고 기본 VLAN pvlan400의 일부인 격리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

    주:

    트래픽이 보조 VLAN 트렁크 포트에서 Egress될 때 일반적으로 보조 포트가 구성원인 기본 VLAN의 태그를 수행합니다. 보조 VLAN 트렁크 포트에서 이기종 트래픽이 보조 VLAN 태그를 유지하려는 경우 명령문을 extend-secondary-vlan-id 사용하여

  • 커뮤니티 포트—커뮤니티 포트는 자신들 사이에서 그리고 이들이 저지르는 포트와 통신을 합니다. 커뮤니티 포트는 특정 사용자 그룹만 지원합니다. 이러한 인터페이스는 Layer 2에서 다른 커뮤니티의 다른 모든 인터페이스와 분리되거나 PVLAN 내의 격리된 포트로 분리됩니다.

  • 격리된 액세스 포트—격리된 포트는 MI(promiscuous) 포트 및 PVLAN 트렁크 포트만 Layer 2 연결됩니다. 이들 2개 포트가 동일한 격리된 VLAN의 멤버인 경우에도 격리된 액세스 포트는 다른 분리된 포트와 통신할 수 없습니다.

  • Promiscuous 액세스 포트—이들 포트는 집계되지 않은 트래픽을 전달하며 하나의 기본 VLAN 중 하나에 불과할 수 있습니다. promiscuous 액세스 포트에서 ingress하는 트래픽은 promiscuous 액세스 포트가 기본 VLAN의 멤버인 보조 VLAN의 포트로 전달됩니다. 이 경우, 보조 VLAN 포트가 트렁크 포트인 경우 트래픽은 보조 VLAN 포트에서 Egress할 때 적절한 보조 VLAN 태그를 처리합니다. 보조 VLAN 포트에서 트래픽이 ingress하고 promiscuous 액세스 포트에서 egress인 경우 트래픽은 egress에서 집계됩니다. 태그된 트래픽이 검색된 액세스 포트에 있는 경우 트래픽은 폐기됩니다.

보조 VLAN Trunk 포트 세부 정보

보조 VLAN 트렁크 포트를 사용하는 경우 다음을 유의하십시오.

  • 보조 VLAN 트렁크 포트가 참여할 각 기본 VLAN에 대해 고리 VLAN ID를 구성해야 합니다. 보조 VLAN이 보조 VLAN을 전달하는 경우에도 마찬가지입니다. 보조 VLAN이 단일 장비로 국한되는 경우에도 마찬가지입니다.

  • 포트를 특정 기본 VLAN에 대한 보조 VLAN 트렁크 포트로 구성할 경우 동일한 물리적 포트를 다음과 같이 구성할 수도 있습니다.

    • 또 다른 기본 VLAN을 위한 보조 VLAN 트렁크 포트

    • 다른 기본 VLAN을 위한 PVLAN 트렁크

    • Promiscuous 트렁크 포트

    • 비 프라이빗 VLAN을 위한 액세스 포트

  • 보조 VLAN 트렁크 포트(보조 VLAN 태그 사용)에서 발신되고 PVLAN 트렁크 포트의 발신은 egress에서 보조 VLAN 태그를 유지합니다.

  • 보조 VLAN 트렁크 포트에서 ingress하고 promiscuous 트렁크 포트에서 발신하는 트래픽에는 egress에 적절한 기본 VLAN 태그가 있습니다.

  • 보조 VLAN 트렁크 포트에서 ingress 및 promiscuous 액세스 포트에서 발신하는 트래픽은 egress에서 집계되지 않습니다.

  • 보조 VLAN 트렁크 포트에서 기본 VLAN 태그와 발신하는 트래픽은 egress에서 적절한 보조 VLAN 태그를 처리합니다. 예를 들어 스위치에서 다음과 같은 구성을 구성했다고 가정해 보겠습니다.

    • 기본 VLAN 100

    • 기본 VLAN의 일부로 커뮤니티 VLAN 200

    • Promiscuous 트렁크 포트

    • 커뮤니티 VLAN 200을 캐스팅하는 보조 트렁크 포트

    패킷이 기본 VLAN 태그 100을 사용하여 promiscuous 트렁크 포트에 수신하고 보조 VLAN 트렁크 포트에서 egress에 태그 200을 전송합니다.

사용 사례

동일한 물리적 인터페이스에서 여러 보조 VLAN 트렁크 포트(다른 기본 VLAN에서)를 구성하거나 보조 VLAN 트렁크 포트와 다른 유형의 VLAN 포트를 결합할 수 있습니다. 다음 사용 사례에서는 이를 수행한 예와 각 케이스에서 트래픽이 어떻게 흐르게 됐는가를 보여 제공합니다.

2개의 기본 VLAN에서 보조 VLAN 트렁크

이 사용 사례에서 다음과 같은 구성을 사용하는 두 개의 스위치가 있는 것으로 가정합니다.

  • 기본 VLAN pvlan100(태그 100)

    • 태그 200을 사용하여 격리된 VLAN은 pvlan100의 구성원입니다.

    • 태그 300이 있는 커뮤니티 VLAN comm300은 pvlan100의 구성원입니다.

  • 태그 400이 있는 기본 VLAN pvlan400.

    • 태그 500을 사용하여 격리된 VLAN은 pvlan400의 구성원입니다.

    • 태그 600이 있는 커뮤니티 VLAN comm600은 pvlan400의 구성원입니다.

  • Switch 1의 인터페이스 xe-0/0/0은 이 예에서 사용되는 프라이빗 VLA와 함께 구성된 VMware 서버에 연결(표시하지 않은)에 연결합니다. 이 인터페이스는 보조 VLAN 트렁크 포트로 구성되어 보조 VLAN comm600과 pvlan100의 구성원인 격리된 VLAN(태그 200)에 대한 트래픽을 전달합니다.

  • 스위치 2의 인터페이스 xe-0/0/0은 Promiscuous 트렁크 포트 또는 전이적 액세스 포트로 구성됩니다. 후자의 경우 트렁크 포트를 지원하지 않지만 이 예에서 사용되는 프라이빗 VLA로 구성된 시스템(표시하지 않은)에 연결했다고 가정할 수 있습니다.

  • 스위치 1에서 xe-0/0/6은 comm600의 구성원으로, 트렁크 포트로 구성됩니다.

  • 스위치 2에서 xe-0/0/6은 comm600의 멤버로 액세스 포트로 구성됩니다.

그림 10 이 토폴로지와 고립된200 및 comm600에 대한 트래픽이 스위치 1에서 xe-0/0/0에 시작된 후에 어떻게 흐르는지 보여줍니다. 트래픽은 화살표가 표시된 곳만 흐를 수 있습니다. 예를 들어, 인터페이스 xe-0/0/2, xe-0/0/3, xe-0/0/5에 대한 화살표가 없는 경우, 그 어떤 패킷도 해당 인터페이스에서 Egress하지 못하기 때문에 스위치 1에는 xe-0/0/5가 있습니다.

그림 10: 하나의 인터페이스에 있는 2개의 보조 VLAN 트렁크 포트하나의 인터페이스에 있는 2개의 보조 VLAN 트렁크 포트

VLAN 분리된200의 트래픽 플로우는 다음과 같습니다.

  1. SWITCH 1의 보조 VLAN 트렁크 포트에서 분리된200 ingress에 대한 트래픽이 시작된 후 PVLAN 트렁크 포트는 모든 VLAN의 멤버이기 때문에 PVLAN 트렁크 포트에서 이 포트를 Egress합니다. 패킷은 Egressing 시 보조 VLAN 태그(200)를 보관합니다.
  2. Switch 2의 보조 VLAN 트렁크 포트에서 분리된200 ingress에 대한 트래픽이 시작된 후 promiscuous 트렁크 포트 또는 promiscuous 액세스 포트로 구성된 xe-0/0/0에 대해 이 트래픽을 발신합니다.
    • Switch 2의 xe-0/0/0이 promiscuous 트렁크 포트로 구성되면 패킷은 이 포트에서 기본 VLAN 태그(100)를 사용하여 이 포트에 전송됩니다.

    • 스위치 2의 xe-0/0/0이 promiscuous 액세스 포트로 구성되면 패킷은 이 포트에서 egress 언타그리게이트됩니다.

이들 2개 포트가 동일한 격리된 VLAN에 속하는 경우에도 VLAN 분리된 액세스 포트 xe-0/0/2 또는 스위치 1 또는 보조 VLAN 트렁크 포트 xe-0/0/2에서 트래픽이 Egress되지 않는다는 점에 유의해야 합니다.

VLAN comm600의 트래픽 플로우는 다음과 같습니다.

  1. SWITCH 1의 보조 VLAN 트렁크 포트에서 comm600 ingress에 대한 트래픽이 도착하면 PVLAN 트렁크 포트가 모든 VLAN의 멤버이기 때문에 PVLAN 트렁크 포트에서 이 포트를 Egress합니다. 패킷은 Egressing 시 보조 VLAN 태그(600)를 보관합니다.

  2. comm600에 대한 트래픽은 또한 스위치 1에서 커뮤니티 포트 xe-0/0/6에서 발신됩니다. 포트가 트렁크로 구성되어 트래픽에 태그가 지정됩니다.

  3. Switch 2의 PVLAN 트렁크 포트에서 comm600 ingress에 대한 트래픽이 인그리게이트되면 이 인터페이스가 promiscuous 트렁크 포트로 구성되면 xe-0/0/0에 표시됩니다.

    주:

    스위치 2의 xe-0/0/0이 비차원 액세스 포트로 구성된 경우 포트는 하나의 기본 VLAN에만 참여할 수 있습니다. 이 경우, promiscuous 액세스 포트는 pvlan100의 일부이기 때문에 comm600의 트래픽은 이를 유인하지 않습니다.

  4. comm600에 대한 트래픽은 또한 스위치 2에서 커뮤니티 포트 xe-0/0/6에서 발신됩니다. 이 경우 포트 모드가 액세스이기 때문에 트래픽이 집계되지 않습니다.

보조 VLAN 트렁크 및 Promiscuous 트렁크

이 사용 사례에서 한 가지 예외를 제외하고 이전 사용 사례와 동일한 포트 및 VLA를 사용하여 구성된 두 개의 스위치가 있는 것으로 가정합니다. 이 경우, Switch 1의 xe-0/0/0은 VLAN pvlan100을 위한 보조 VLAN 트렁크 포트로 구성하며 Pvlan400을 위한 프로미스런트 트렁크 포트로 구성됩니다.

그림 11 이 토폴로지에서는 이러한 토폴로지와 고립된200(pvlan100의 구성원) 및 comm600(pvlan400의 구성원)에 대한 트래픽이 스위치 1에서 시작된 후에 흐르는 방법을 보여줍니다.

그림 11: 하나의 인터페이스에서 보조 VLAN 트렁크 및 Promiscuous 트렁크하나의 인터페이스에서 보조 VLAN 트렁크 및 Promiscuous 트렁크

VLAN 분리된200의 트래픽 플로우는 이전 사용 사례와 동일하지만 comm600의 플로우는 다릅니다. VLAN comm600의 트래픽 플로우는 다음과 같습니다.

  1. 커뮤니티 VLAN 포트 xe-0/0/6을 스위치 1에서 comm600 ingress에 대한 트래픽이 시작된 후 스위치 1에서 promiscuous 트렁크 포트 xe-0/0/0을 egress 합니다. 이 경우 기본 VLAN 태그(400)를
  2. PVLAN 트렁크 포트는 모든 VLAN의 구성원이기 때문에 comm600에 대한 트래픽은 PVLAN 트렁크 포트에서 또한 발신됩니다. 패킷은 Egressing 시 보조 VLAN 태그(600)를 보관합니다.
  3. Switch 2의 PVLAN 트렁크 포트에서 comm600 ingress에 대한 트래픽이 인그리게이트되면 이 인터페이스가 promiscuous 트렁크 포트로 구성되면 xe-0/0/0에 표시됩니다.

    포트가 pvlan100에만 참여할 수 있기 때문에 이 인터페이스가 promiscuous 액세스 포트로 구성되면 xe-0/0/0에서 발신되지 않습니다.

  4. comm600에 대한 트래픽은 또한 스위치 2에서 커뮤니티 포트 xe-0/0/6에서 발신됩니다.

보조 VLAN 트렁크 및 PVLAN 트렁크

이 사용 사례에서, 스위치 1의 xe-0/0/0이 VLAN pvlan100에 대한 보조 VLAN 트렁크 포트로 구성되고 pvlan400을 위한 PVLAN 트렁크 포트로 구성된 경우를 제외하고 이전 사용 사례와 동일한 포트 및 VLAN으로 구성된 두 개의 스위치가 있는 경우를 가정합니다.

그림 12 이 토폴로지에서는 이 토폴로지와 comm300(pvlan100의 구성원) 및 comm600(pvlan400의 구성원)에 대한 트래픽이 스위치 1에서 시작된 후에 흐르는 방법을 보여줍니다.

그림 12: 하나의 인터페이스에서 보조 VLAN 트렁크 및 PVLAN 트렁크하나의 인터페이스에서 보조 VLAN 트렁크 및 PVLAN 트렁크

VLAN comm300의 트래픽 플로우는 다음과 같습니다.

  1. PVLAN 트렁크 포트는 모든 VLAN의 구성원이기 때문에 커뮤니티 포트 xe-0/0/3에서 comm300을 인가한 트래픽은 PVLAN 트렁크 포트 xe-0/0/1에 대해 발신됩니다. 패킷은 수신 시 보조 VLAN 태그(300)를 유지합니다.
    주:

    이 인터페이스의 보조 VLAN 트렁크 포트는 comm300이 아닌 분리된200을 작동하기 때문에 comm300에 대한 트래픽은 xe-0/0/0에서 발신되지 않습니다.

  2. Switch 2의 PVLAN 트렁크 포트에서 comm300 ingress에 대한 트래픽이 인가된 후 promiscuous 트렁크 포트 또는 전이적 액세스 포트로 구성된 xe-0/0/0에 대해 이 트래픽을 발신합니다.
    • Switch 2의 xe-0/0/0이 promiscuous 트렁크 포트로 구성되면 패킷은 이 포트에서 기본 VLAN 태그(100)를 사용하여 이 포트에 전송됩니다.

    • 스위치 2의 xe-0/0/0이 promiscuous 액세스 포트로 구성되면 패킷은 이 포트에서 egress 언타그리게이트됩니다.

  3. comm300에 대한 트래픽은 또한 스위치 2에서 커뮤니티 포트 xe-0/0/3에서 발신됩니다.

VLAN comm600의 트래픽 플로우는 다음과 같습니다.

  1. Switch 1의 PVLAN 포트 xe-0/0/0에서 comm600 ingress에 대한 트래픽이 인가된 후, 스위치 1에서 커뮤니티 포트 xe-0/0/6을 발신합니다. 패킷은 xe-0/0/6이 트렁크 포트이기 때문에 Egressing 시 보조 VLAN 태그(600)를 보관합니다.

  2. PVLAN 트렁크 포트는 PVLAN 트렁크 포트 xe-0/0/1에서 발신됩니다. 패킷은 Egressing 시 보조 VLAN 태그(600)를 보관합니다.

  3. Switch 2의 PVLAN 트렁크 포트에서 comm600 ingress에 대한 트래픽이 인그리게이트되면 이 인터페이스가 promiscuous 트렁크 포트로 구성되면 xe-0/0/0에 표시됩니다.

    포트가 pvlan100에만 참여할 수 있기 때문에 이 인터페이스가 promiscuous 액세스 포트로 구성되면 xe-0/0/0에서 발신되지 않습니다.

  4. comm600에 대한 트래픽은 또한 스위치 2에서 커뮤니티 포트 xe-0/0/6에서 발신됩니다. xe-0/0/6이 액세스 포트이기 때문에 이 트래픽은 egress에서 집계되지 않습니다.

보조 VLAN 트렁크 및 비 프라이빗 VLAN 인터페이스

이 사용 사례에서 다음 차이점을 제외하고 이전 사용 사례와 동일한 포트 및 VLA로 구성된 2개의 스위치가 구성된 것으로 가정합니다.

  • 스위치 1의 xe-0/0/0 구성:

    • VLAN pvlan100용 보조 VLAN 트렁크 포트

    • vlan700용 액세스 포트

  • 두 스위치의 포트 xe-0/0/6은 vlan700에 대한 액세스 포트입니다.

그림 13 이 토폴로지와 고립된200(pvlan100의 구성원)과 vlan700에 대한 트래픽이 Switch 1에서 시작된 후에 흐르는 방법을 보여줍니다.

그림 13: 하나의 인터페이스에서 보조 VLAN 트렁크 및 Non-Private VLAN 포트하나의 인터페이스에서 보조 VLAN 트렁크 및 Non-Private VLAN 포트

VLAN 분리된200의 트래픽 플로우는 다음과 같습니다.

  1. Switch 1의 보조 VLAN 트렁크 포트에서 분리된200 ingress에 대한 트래픽이 트래픽을 인가한 후 PVLAN 트렁크 포트에서 이그리게이트됩니다. 패킷은 Egressing 시 보조 VLAN 태그(200)를 보관합니다.
  2. Switch 2의 PVLAN 트렁크 포트에서 분리된200 ingress에 대한 트래픽이 있는 후 promiscuous 트렁크 포트 또는 promiscuous 액세스 포트로 구성된 xe-0/0/0에 대해 이 트래픽을 발신합니다.
    • Switch 2의 xe-0/0/0이 promiscuous 트렁크 포트로 구성되면 패킷은 이 포트에서 기본 VLAN 태그(100)를 사용하여 이 포트에 전송됩니다.

    • 스위치 2의 xe-0/0/0이 promiscuous 액세스 포트로 구성되면 패킷은 이 포트에서 egress 언타그리게이트됩니다.

이들 2개 포트가 동일한 격리된 VLAN에 속하는 경우에도 VLAN 분리된 액세스 포트 xe-0/0/2 또는 스위치 1 또는 보조 VLAN 트렁크 포트 xe-0/0/2에서 트래픽이 Egress되지 않는다는 점에 유의해야 합니다.

스위치 1의 xe-0/0/0에서 구성된 액세스 포트에서 vlan700 ingress에 대한 트래픽이 있는 경우 해당 포트가 동일한 VLAN의 구성원이기 때문에 액세스 포트 xe-0/0/6에 대해 이 트래픽을 발신합니다. vlan700에 대한 트래픽은 xe-0/0/1의 PVLAN 트렁크가 이 VLAN을 수행하지 못하기 때문에 스위치 2(xe-0/0/6가 vlan700의 구성원인 경우에도)로 전달되지 않습니다.

Promiscuous 액세스 포트에서 트래픽 유인

이 사용 사례에서 스위치 1의 xe-0/0/0이 promiscuous 액세스 포트로 구성되고 pvlan100의 구성원인 경우를 제외하고 이전 사용 사례와 동일한 포트 및 VLAN으로 구성된 두 개의 스위치가 있는 경우를 가정합니다. 이 토폴로지와 스위치 1의 이 인터페이스를 통해 Ingress를 통과한 후에 어그리게이트되지 않은 트래픽이 그림 14 어떻게 흐르는지 보여줍니다.

그림 14: Promiscuous 액세스 포트에서 트래픽 유인Promiscuous 액세스 포트에서 트래픽 유인

그림에서 보시다시피, promiscuous 액세스 포트에서 ingress가 전달된 언태그드 트래픽은 promiscuous 액세스 포트가 있는 동일한 기본 VLAN의 구성원인 모든 보조 VLAN 포트로 전달됩니다. 트래픽은 액세스 포트에서 발신하고 트렁크 포트(xe-0/0/2상에서 xe-0/2)의 egress에 태그를 지정하면 어그리게이트됩니다.

동일한 인터페이스에서 802.1X 인증 및 프라이빗 VLA를 함께 사용하는 경우

동일한 인터페이스에서 802.1X 인증 및 PVLANS를 함께 사용하는 데 대한 이해

이제 동일한 인터페이스에서 802.1X 인증 및 프라이빗 VLANS(PRIVATE VLANs)를 구성할 수 있습니다.

IEEE(Institute of Electrical and Electronics Engineers) 802.1X 인증은 인증 서버(RADIUS 서버)에서 인증 서버(RADIUS)에서 제공될 때까지 인터페이스에서 서플리던트(클라이언트)를 오고오는 모든 트래픽을 차단하여 승인되지 않은 사용자 액세스로부터 이더넷 LA를 보호합니다.

프라이빗 VLAN(PVLAN)은 VLAN 내의 포트 간에 레이어 2 분리를 제공하고, 보조 VLAN을 생성하여 브로드캐스트 도메인을 여러 이기종 브로드캐스트 하위 도메인으로 분할합니다. PVLANS는 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 데 유용합니다.

802.1X 인증 및 PVLAN으로 구성된 스위치에서 새 디바이스가 PVLAN 네트워크에 연결되면 장비가 인증되면 PVLAN 구성 또는 RADIUS 프로파일에 따라 보조 VLAN에 RADIUS. 그러면 디바이스가 IP 주소를 획득하고 PVLAN 네트워크에 대한 액세스가 부여됩니다.

주:

본 문서는 802.1X 인증 또는 전용 VLANS에 대한 상세 정보를 제공하지 않습니다. 이러한 세부 정보는 해당 개별 기능에 특화된 기능 설명서를 참조하십시오. 802.1X는 사용자 액세스 및 인증 사용자 가이드 를 참조하십시오. PVLANs의 경우 이더넷 스위칭 사용자 가이드 를 참조하십시오.

802.1X 인증과 PVLANS를 결합하기 위한 구성 지침

동일한 인터페이스에서 이들 2개 기능을 구성할 때 다음과 같은 지침과 제한 사항을 염두에 두십시오.

  • 802.1X 지원 인터페이스를 전관 인터페이스(구성에 따라 기본 VLAN의 구성원인 인터페이스) 또는 ISL(interswitch-link) 인터페이스로 구성할 수 없습니다.

  • 인터페이스 ge-0/0/0이 구성되면 인터페이스 ge-0/0/0이 인증되면 여러 사용자가 논리적 인터페이스에 속하는 서로 다른 VLAN을 통해 인증될 수 없습니다. C1과 C2가 동적 VLAN V1 및 V2에 각각 추가된 경우 supplicant multiple V1과 V2는 서로 다른 PVLAN 도메인에 속해야 합니다.

  • VoIP VLAN과 데이터 VLAN이 서로 다른 경우, 이들 2개의 VLAN은 서로 다른 PVLAN 도메인에 있어야 합니다.

  • PVLAN 멤버십이 변경된 경우(즉, 인터페이스가 다른 PVLAN으로 재구성됩니다) 클라이언트는 재인증되어야 합니다.

예를 들면 다음과 같습니다. 하나의 구성에서 프라이빗 VLA를 사용하는 802.1X 인증 구성

요구 사항

  • Junos OS 릴리스 18.2R1 이상

  • EX2300, EX3400 또는 EX4300 스위치

시작하기 전에 인증 RADIUS 서버 또는 서버를 지정합니다. 스위치(RADIUS 프로시저)의서버 CLI 지정을 참조합니다.

개요

다음 구성 섹션에는 액세스 프로파일 구성, 802.1X 인증 구성 및 마지막으로 VLA(VLANS) 구성이 설명되어 있습니다.

하나의 구성에서 프라이빗 VLA를 사용하는 802.1X 인증 구성

절차
CLI 빠른 구성
단계별 절차

하나의 구성으로 802.1X 인증 및 PVLANS를 구성하려면:

  1. 액세스 프로파일 구성:

    주:

    구성된 VoIP VLAN은 PVLAN(기본, 커뮤니티 또는 격리)이 될 수 없습니다.

  2. 802.1X 설정 구성:

    주:

    구성된 데이터 VLAN은 커뮤니티 VLAN 또는 격리된 VLAN일 수도 있습니다.

  3. VLA(VLANS 포함):

결과

구성 모드에서 스위치에 다음 명령을 입력하여 show 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

확인

클라이언트 MAC 주소가 기본 VLAN에서 학습된지 확인
목적

클라이언트 MAC 주소가 기본 VLAN에서 학습된지 보여라.

실행
기본 VLAN이 인증된 VLAN인지 확인
목적

기본 VLAN이 인증된 VLAN으로 표시하는지 보여야 합니다.

실행

프라이빗 VLA에 액세스 포트 보안 통합

PVLANS의 액세스 포트 보안 이해

이제 프라이빗 VLANs(PVLANs)에서 DHCP 스누킹과 같은 액세스 포트 보안 기능을 사용할 수 있습니다.

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. PVLAN 기능을 통해 브로드캐스트 도메인을 여러 개의 격리된 브로드캐스트 하위 도메인으로 분할하여 기본적으로 VLAN 내부에 VLAN을 넣습니다.

이더넷 런은 네트워크 디바이스에서 주소 스푸핑(위조) 및 Layer 2 서비스 거부(DoS)와 같은 공격에 취약합니다. 다음과 같은 액세스 포트 보안 기능은 공격으로 인해 발생할 수 있는 정보 및 생산성 손실로부터 장치를 보호하는 데 도움을 주며, 이제 PVLAN에서 이러한 보안 기능을 구성할 수 있습니다.

  • DHCP 스누퍼링—언트러버트 포트에서 수신 DHCP 서버 메시지를 필터 및 차단합니다. DHCP 스누킹은 DHCP 스누킹 데이터베이스라고 하는 DHCP 리스 정보 데이터베이스를 작성 및 유지 관리합니다.

  • DHCPv6 스누킹—IPv6용 DHCP 스누킹

  • DHCP 옵션 82—DHCP 릴레이 에이전트 정보 옵션으로도 알려져 있습니다. IP 주소 및 MAC 주소의 스푸핑, DHCP IP 주소 고전 등의 공격으로부터 스위치를 보호합니다. 옵션 82는 DHCP 클라이언트의 네트워크 위치에 대한 정보를 제공합니다. DHCP 서버는 이 정보를 사용하여 클라이언트에 IP 주소 또는 기타 매개 변수를 구현합니다.

  • DHCPv6 옵션:

    • 옵션 37—DHCPv6용 원격 ID 옵션 원격 호스트의 네트워크 위치에 대한 정보를 DHCPv6 패킷에 삽입합니다.

    • 옵션 18—DHCPv6용 서킷 ID 옵션, 클라이언트 포트에 대한 정보를 DHCPv6 패킷에 삽입합니다.

    • 옵션 16—DHCPv6용 벤더 ID 옵션 DHCPv6 패킷에 클라이언트 하드웨어 벤더에 대한 정보를 삽입합니다.

  • DAI(Dynamic ARP Inspection)—ARP(Address Resolution Protocol) 스푸핑 공격을 차단합니다. ARP 요청 및 응답을 DHCP 스누킹 데이터베이스의 엔트리와 비교하고, 비교 결과를 기준으로 필터링 결정을 내릴 수 있습니다.

  • IP 소스 가드—이더넷 LAN에 대한 IP 주소 스푸핑 공격의 영향을 완화 DHCP 스누킹 데이터베이스에 대해 언트러스되지 않은 액세스 인터페이스에서 전송된 패킷의 소스 IP 주소를 검증합니다. 패킷을 검증할 수 없는 경우 폐기됩니다.

  • IPv6 소스 가드—IPv6를 위한 IP 소스 가드.

  • IPv6 인접 검색 검사—IPv6 주소 스푸핑 공격을 방지합니다. DHCPv6 스누킹 데이터베이스의 엔트리와 인접 탐색 요청을 비교하고 응답을 비교한 결과를 기준으로 필터링 결정을 내릴 수 있습니다.

주:

이 문서는 액세스 포트 보안 기능 또는 PVLANS에 대한 자세한 정보를 제공하지 않습니다. 이러한 세부 정보는 해당 개별 기능에 특화된 기능 설명서를 참조하십시오. 액세스 포트 보안은 Security Services Administration Guide 를 참조하십시오. PVLANs의 경우 이더넷 스위칭 사용자 가이드 를 참조하십시오.

PVLANS에 액세스 포트 보안 기능을 통합하기 위한 구성 지침

PVLANS의 액세스 포트 보안 기능 구성에 대한 다음과 같은 지침과 제한 사항을 염두에 두십시오.

  • 기본 vlan과 모든 보조 VLAN 모두에 동일한 액세스 포트 보안 기능을 적용해야 합니다.

  • PVLAN은 하나의 IRB(Integrated Routing and Bridging) 인터페이스만 가지고 있으며 IRB 인터페이스는 기본 VLAN에 있어야 합니다.

  • PVLANS의 액세스 포트 보안 구성에 대한 제한은 PVLANS에 없는 액세스 포트 보안 기능 구성의 경우와 동일합니다. Security Services Administration Guide의 액세스 포트 보안 설명서를 참조하십시오.

예를 들면 다음과 같습니다. PVLAN에서 액세스 포트 보안 구성

요구 사항

  • Junos OS 릴리스 18.2R1 이상

  • EX4300 스위치

개요

다음 구성 섹션에서는 다음과 같은 부분을 보여줍니다.

  • 프라이빗 VLAN 구성, 기본 VLAN() 및 이 vlan-pri 3개의 보조 VLAN—커뮤니티 vlan-hrvlan-finance VLAN (및) 및 격리된 VLAN(). vlan-iso

  • 이러한 VLA의 인터페이스 간에 통신을 전송하는 데 사용되는 인터페이스 구성

  • PVLAN을 구성하는 기본 및 보조 VLAN에 액세스 보안 기능 구성.

표 5 예제 토폴로지의 설정을 나열합니다.

표 5: 액세스 포트 보안 기능을 사용하는 PVLAN 구성을 위한 토폴로지 구성 요소
인터페이스 설명

ge-0/0/0.0

기본 VLAN(vlan1-pri) 트렁크 인터페이스

ge-0/0/11.0

사용자 1, HR 커뮤니티(vlan-hr)

ge-0/0/12.0

사용자 2, HR 커뮤니티(vlan-hr)

ge-0/0/13.0

User 3, Finance Community(vlan-finance)

ge-0/0/14.0

사용자 4, 재무 커뮤니티(vlan-finance)

ge-0/0/15.0

메일 서버, 격리(vlan-iso)

ge-0/0/16.0

백업 서버, 격리(vlan-iso)

ge-1/0/0.0

기본 VLAN(vlan-pri) 트렁크 인터페이스

PVLAN에서 액세스 포트 보안 구성

절차
CLI 빠른 구성
단계별 절차

PVLAN(Private VLAN)을 구성한 다음, 해당 PVLAN에서 액세스 포트 보안 기능을 구성하는 경우:

  1. PVLAN 구성—기본 VLAN과 보조 VLAN을 생성하고 VLAN 신원을 할당합니다. VLA와 인터페이스 연결 (VLA 구성에 대한 자세한 내용은 ELS 지원을 지원하는 EX 시리즈 스위치를 위한 VLA 구성(CLI Procedure)을 참조하십시오.

  2. 기본 VLAN과 보조 VLAN의 액세스 포트 보안 기능을 구성합니다.

    주:

    ARP 검사, IP 소스 가드, IPv6 소스 가드, 이웃 탐색 검사, DHCP 옵션 82 또는 DHCPv6 옵션을 구성하면 DHCP 스누킹 및 DHCPv6 스누킹이 자동으로 구성됩니다.

결과

구성 모드에서 스위치에 다음 명령을 입력하여 show 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

확인

액세스 보안 기능이 예상대로 작동하고 있는지 확인
목적

PVLAN에서 구성한 액세스 포트 보안 기능이 예상대로 작동하고 있는지 확인

실행

the and the CLI 명령어를 사용하여 기능이 예상대로 작동하고 있는지 show dhcp-securityclear dhcp-security 검증합니다. 보안 서비스 관리 가이드 에서이러한 명령에 대한 자세한 내용을 참조하십시오.

ELS 지원을 통해 단일 스위치에서 사설 VLAN 생성(CLI 절차)

주:

이 작업은 Junos OS ELS(Enhanced Layer 2 Software) 구성 스타일에 대한 지원을 통해 스위치에 대한 보안 기능을 제공합니다. EX 시리즈 스위치가 ELS를 지원하지 않는 소프트웨어를 실행하면 단일 EX 시리즈 스위치(CLI Procedure)에서 전용 VLAN 생성을 참조하십시오. ELS 세부 정보는 Enhanced Layer 2 Software CLI.

주:

프라이빗 VLANs는 릴리즈 15.1X53에서 QFX5100 스위치 및 QFX10002 스위치에서 지원되지 Junos OS 없습니다.

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하거나 알려진 호스트 간의 통신을 제한하는 것이 유용합니다. 프라이빗 VLAN(PVLAN)을 사용하면 브로드캐스트 도메인(기본 VLAN)을 여러 개의 격리된 브로드캐스트 서브도인(보조 VLAN)으로 분할할 수 있습니다. 본질적으로 VLAN은 VLAN 내부에 넣습니다. 이 절차는 단일 스위치에서 PVLAN을 생성하는 방법을 설명합니다.

주:

PVLAN이 단일 스위치에 구성된 경우에도 각 보조 VLAN에 대해 VLAN ID를 지정해야 합니다.

기본 VLAN을 사전 구성할 필요가 있습니다. 이 주제에는 이 PVLAN 구성 절차의 일부로 구성되는 기본 VLAN이 표시되어 있습니다.

PVLA의 구성에 대한 가이드라인은 사설 VLA(Understanding Private VLANs)를 참조하십시오.

단일 스위치에서 프라이빗 VLAN을 구성하는 경우:

  1. 기본 VLAN에 대한 VLAN ID 설정:
  2. PVLAN의 모든 하위 종속과 통신할 수 있도록 기본 VLAN 내에서 하나 이상의 인터페이스를 구성합니다. 이 인터페이스는 사용자 제어 포트(promiscuous port)의 기능을 합니다. 트렁크 포트 또는 액세스 포트가 될 수 있습니다.
  3. PVLAN을 외부 라우터 또는 스위치에 연결하는 트렁크 포트로 기본 VLAN의 또 다른 인터페이스 구성:
  4. 에 대한 옵션을 선택하고 분리된 isolatedprivate-vlan VLAN에 대한 VLAN ID를 설정하여 격리된 VLAN을 생성합니다.
    주:

    프라이빗 VLAN 내에서 하나의 분리된 VLAN만 만들 수 있습니다. 분리된 VLAN에 VLAN 이름을 설정하는 것은 선택 사항입니다. VLAN ID 구성이 필요합니다.

  5. 이 커뮤니티 VLAN에 대한 옵션을 선택하고 이 커뮤니티 communityprivate-vlan VLAN에 VLAN ID를 설정하여 커뮤니티 VLAN을 생성합니다.
    주:

    추가 커뮤니티 VLAN을 생성하기 위해 이 단계를 반복하고 커뮤니티 VLAN에 다른 이름을 지정합니다. 커뮤니티 VLAN에 VLAN 이름을 설정하는 것은 선택 사항입니다. VLAN ID 구성이 필요합니다.

  6. 분리된 VLAN을 기본 VLAN과 연결:
  7. 각 커뮤니티 VLAN을 기본 VLAN과 연결:
  8. 아직 수행하지 않은 경우 격리된 VLAN의 인터페이스 중 하나 이상을 구성합니다.
  9. 아직 수행하지 않은 경우 커뮤니티 VLAN 인터페이스 중 하나 이상을 구성하십시오.
    주:

    PVLAN에 포함하려는 다른 커뮤니티 VLAN에서 동일한 단계를 반복합니다.

단일 QFX 스위치에서 전용 VLAN 생성

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. PVLAN(Private VLAN) 기능을 사용하면 브로드캐스트 도메인을 여러 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 기본적으로 보조 VLAN을 기본 VLAN 내부에 넣습니다. 이 주제는 단일 스위치에서 PVLAN을 구성하는 방법을 설명하고 있습니다.

시작하기 전에 기본 VLAN의 일부가 될 모든 보조 VLAN의 이름을 구성합니다. (기본 VLAN을 사전 구성할 필요가 없습니다. 이 절차의 일부로 구성됩니다.) 보조 VLAN에 대해 VLAN 아이디(태그)를 생성할 필요가 없습니다. 보조 VLAN에 태그를 지정하면 기능이 저하되지 않지만 보조 VLAN이 단일 스위치에서 구성될 때 태그는 사용되지 않습니다.

PVLAN을 구성할 때 이러한 규칙을 염두에 두기:

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • 커뮤니티 VLAN을 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다. Pvlan 명령문을 사용하여 기본 VLAN을 프라이빗하도록 구성해야 합니다.

  • 분리된 VLAN을 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. 단일 스위치에서 프라이빗 VLAN을 구성하는 경우:

  1. 기본 VLAN에 대한 이름 및 VLAN ID(802.1Q 태그) 설정:
  2. VLAN을 프라이빗 하도록 구성:
  3. 기본 VLAN에 대한 트렁크 인터페이스 구성:
  4. 기본 VLAN에 트렁크 인터페이스를 추가합니다.
  5. 커뮤니티(보조) VLANS에 대한 액세스 인터페이스를 구성합니다.
  6. 커뮤니티 VLANS에 액세스 인터페이스를 추가합니다.
  7. 각 커뮤니티 VLAN에 대해 기본 VLAN을 설정합니다.
  8. 분리된 포트 구성:

단일 EX 시리즈 스위치에서 프라이빗 VLAN 생성(CLI 프로시저)

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. EX 시리즈 스위치의 프라이빗 VLAN(PVLAN) 기능을 사용하면 기본 VLAN으로 알려진 브로드캐스트 도메인을 여러 개의 격리된 브로드캐스트 서브도인(보조 VLAN)으로 분할할 수 있습니다. 기본 VLAN을 보조 VLAN으로 분할하는 경우 기본적으로 다른 VLAN 내부에 VLAN이 중첩됩니다. 이 주제는 단일 스위치에서 PVLAN을 구성하는 방법을 설명하고 있습니다.

시작하기 전에 기본 VLAN의 일부가 될 모든 보조 VLAN의 이름을 구성합니다. (보조 VLAN과 달리 기본 VLAN을 사전 구성할 필요가 없습니다. 이 절차는 기본 VLAN의 완벽한 구성을 제공합니다.) 보조 VLAN이 단일 스위치에서 구성될 때 태그가 필요하지는 않습니다. 보조 VLAN을 태그로 구성하는 것은 기능에 부정적인 영향을 미치지 않습니다. 보조 VLA 구성에 대한 지침은 EX 시리즈 스위치를 위한 VLA 구성 을 참조하십시오.

단일 스위치에서 PVLAN을 구성할 때 다음과 같은 규칙을 염두에 두기:

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • PVLAN 인터페이스에서 VoIP VLAN 구성은 지원되지 않습니다.

단일 스위치에서 프라이빗 VLAN을 구성하는 경우:

  1. 기본 VLAN에 대한 VLAN ID 설정:
  2. 인터페이스 및 포트 모드 설정:
  3. 주 VLAN에서 액세스 포트를 구성하여 패킷을 다른 서버로 전달하지 마십시오.
  4. 각 커뮤니티 VLAN의 경우 액세스 인터페이스를 구성합니다.
  5. 각 커뮤니티 VLAN에 대해 기본 VLAN을 설정합니다.

분리된 VLANS는 이 프로세스의 일부로 구성되지 않습니다. 대신, 기본 VLAN에서 활성화된 경우 내부적으로 생성되고 격리된 VLAN에는 구성원으로 액세스 no-local-switching 인터페이스가 있습니다.

라우터에 연결된 프로미스큐어 포트 대신 RVI(Routed VLAN Interface)를 사용하여 격리된 VLAN과 커뮤니티 VLAN 간 라우팅을 옵션으로 활성화하려면 EX 시리즈 스위치의 프라이빗 VLAN에서 Routed VLAN Interface구성을 참조하세요.

주:

오직 EX8200 스위치 또는 EX8200 Virtual Chassis RVI 사용을 지원하여 PVLAN 도메인에서 격리된 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅할 수 있습니다.

여러 멀티미디어 환경을 아우를 수 있는 프라이빗 VLAN QFX 시리즈 스위치

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. PVLAN(Private VLAN) 기능을 사용하면 브로드캐스트 도메인을 여러 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 기본적으로 보조 VLAN을 기본 VLAN 안에 넣습니다. 이 주제는 여러 스위치를 아우를 PVLAN을 구성하는 방법을 설명하고 있습니다.

시작하기 전에 기본 VLAN의 일부가 될 모든 보조 VLAN의 이름을 구성합니다. (기본 VLAN을 사전 구성할 필요가 없습니다. 이 절차의 일부로 구성됩니다.) 보조 VLAN에 대해 VLAN 아이디(태그)를 생성할 필요가 없습니다. 보조 VLAN에 태그를 지정하면 기능이 저하되지 않지만 보조 VLAN이 단일 스위치에서 구성될 때 태그는 사용되지 않습니다.

PVLANS 생성에는 다음 규칙이 적용됩니다.

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • 커뮤니티 VLAN을 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다. Pvlan 명령문을 사용하여 기본 VLAN을 프라이빗하도록 구성해야 합니다.

  • 분리된 VLAN을 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

표시된 순서대로 구성 단계를 완료하면 이러한 PVLAN 규칙을 위반하지 않습니다. 여러 스위치에 걸쳐 전용 VLAN을 구성하기 위해 다음을 제공합니다.

  1. 기본 VLAN에 대한 이름 및 VLAN ID(802.1Q 태그) 설정:
  2. VLAN을 프라이빗 하도록 구성:
  3. 기본 VLAN에 대한 트렁크 인터페이스 구성:
  4. 기본 VLAN에 트렁크 인터페이스를 추가합니다.
  5. 커뮤니티(보조) VLANS에 대한 액세스 인터페이스를 구성합니다.
  6. 커뮤니티 VLANS에 액세스 인터페이스를 추가합니다.
  7. 각 커뮤니티 VLAN에 대해 기본 VLAN을 설정합니다.
  8. 스위치를 아우를 수 있는 인터스위치 격리 도메인을 생성하기 위해 격리된 VLAN ID를 구성합니다.
  9. 격리된 포트 구성:

ELS 지원을 통해 여러 EX 시리즈 스위치를 아우를 수 있는 프라이빗 VLAN 생성(CLI 절차)

주:

이 작업은 ELS(Enhanced Layer 2 Software) 구성 스타일에 대한 지원과 함께 EX 시리즈 스위치를 위한 스위치를 사용하는 경우, ELS를 지원하지 않는 소프트웨어를 실행하는 경우 여러 EX 시리즈 스위치(CLI Procedure)를 통해 전용 VLAN을생성하십시오. Junos OS ELS 세부 정보는 Enhanced Layer 2 Software CLI.

주:

프라이빗 VLANs는 릴리즈 15.1X53에서 QFX5100 스위치 및 QFX10002 스위치에서 지원되지 Junos OS 없습니다.

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하거나 알려진 호스트 간의 통신을 제한하는 것이 유용합니다. 프라이빗 VLAN(PVLAN)을 사용하면 브로드캐스트 도메인(기본 VLAN)을 여러 개의 격리된 브로드캐스트 서브도인(보조 VLAN)으로 분할할 수 있습니다. 기본적으로 VLAN을 VLAN 내부에 넣습니다. 이 절차는 여러 스위치를 아우를 PVLAN을 구성하는 방법을 설명합니다.

PVLA의 구성에 대한 가이드라인은 사설 VLA(Understanding Private VLANs)를 참조하십시오.

여러 스위치를 확장하도록 PVLAN을 구성하기 위해 PVLAN에 참여할 모든 스위치에서 다음 절차를 수행하십시오.

  1. 고유한 VLAN 이름을 설정하여 기본 VLAN을 생성하고 VLAN에 802.1Q 태그를 지정합니다.
  2. 라우터에 연결하는 스위치에서 PVLAN을 라우터에 연결하기 위해 트렁크 포트로 promiscuous 인터페이스를 구성합니다.
  3. 모든 스위치에서 스위치를 서로 연결하는 데 사용되는 ISL(Inter-Switch Link)으로 트렁크 인터페이스를 구성합니다.
  4. 에 대한 옵션을 선택하고 격리된 VLAN을 위한 VLAN ID를 설정하여 기본 VLAN 내에서 isolatedprivate-vlan 분리된 VLAN을 생성합니다.
    주:

    프라이빗 VLAN 내에서 하나의 분리된 VLAN만 만들 수 있습니다. 분리된 VLAN은 PVLAN을 구성하는 여러 스위치의 구성원 인터페이스를 포함할 수 있습니다. 분리된 VLAN에 VLAN 이름을 설정하는 것은 선택 사항입니다. VLAN ID 구성이 필요합니다.

  5. 기본 VLAN 내에 커뮤니티 VLAN을 생성하고 이 커뮤니티 VLAN에 대한 VLAN ID를 설정하여 다음을 communityprivate-vlan 제공합니다.
    주:

    추가 커뮤니티 VLAN을 생성하기 위해 이 단계를 반복하고 커뮤니티 VLAN에 다른 이름을 지정합니다. 커뮤니티 VLAN에 VLAN 이름을 설정하는 것은 선택 사항입니다. VLAN ID 구성이 필요합니다.

  6. 분리된 VLAN을 기본 VLAN과 연결:
  7. 각 커뮤니티 VLAN을 기본 VLAN과 연결:
  8. 아직 이를 수행하지 않은 경우 하나 이상의 액세스 인터페이스를 격리된 VLAN의 구성원으로 구성합니다.
  9. 아직 수행하지 않은 경우 하나 이상의 액세스 인터페이스를 커뮤니티 VLAN의 구성원으로 구성하십시오.
    주:

    PVLAN에 포함되는 다른 커뮤니티 VLAN에 대해 이 단계를 반복합니다.

여러 EX 시리즈 스위치를 아우를 수 있는 프라이빗 VLAN 생성(CLI 프로시저)

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. EX 시리즈 스위치의 프라이빗 VLAN(PVLAN) 기능을 통해 관리자는 기본 VLAN으로 알려진 브로드캐스트 도메인을 여러 개의 격리된 브로드캐스트 서브도인(secondary VLAN)으로 분할할 수 있습니다. 기본 VLAN을 보조 VLAN으로 분할하는 경우 기본적으로 다른 VLAN 내부에 VLAN이 중첩됩니다. 이 주제는 여러 스위치를 아우를 PVLAN을 구성하는 방법을 설명하고 있습니다.

시작하기 전에 기본 VLAN의 일부가 될 모든 보조 VLAN의 이름을 구성합니다. (보조 VLAN과 달리 기본 VLAN을 사전 구성할 필요가 없습니다. 이 절차는 기본 VLAN의 완벽한 구성을 제공합니다.) 보조 VLA 구성에 대한 지침은 EX 시리즈 스위치를 위한 VLA 구성 을 참조하십시오.

PVLANS 생성에는 다음 규칙이 적용됩니다.

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • 보조 VLAN을 구성하기 전에 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

  • PVLAN 인터페이스에서 VoIP VLAN 구성은 지원되지 않습니다.

  • PVLAN 트렁크 포트에서 MVRP(Multiple VLAN Registration Protocol)가 구성된 경우 보조 VLAN 및 PVLAN 트렁크 포트의 구성은 동일한 커밋 작업으로 커밋되어야 합니다.

여러 스위치에 걸쳐 전용 VLAN을 구성하기 위해 다음을 제공합니다.

  1. 기본 VLAN에 대해 이름과 802.1Q 태그를 구성합니다.
  2. 로컬 스위칭이 없는 기본 VLAN을 설정합니다.
  3. 기본 VLAN을 이웃 스위치에 연결하는 PVLAN 트렁크 인터페이스를 설정합니다.
  4. 스위치를 아우를 수 있는 커뮤니티 VLAN에 이름 및 802.1Q 태그를 구성합니다.
  5. 커뮤니티 VLAN에 액세스 인터페이스 추가:
  6. 지정된 커뮤니티 VLAN의 기본 VLAN을 지정합니다.
  7. 지정된 기본 VLAN에 분리된 인터페이스를 추가합니다.
    주:

    격리된 인터페이스를 구성하기 위해 이 인터페이스를 기본 VLAN의 구성원 중 하나로 포함하지만 커뮤니티 VLAN 중 하나에 속해 구성하지는 않습니다.

  8. 인터스위치 격리 VLAN의 802.1Q 태그 설정:

    IEEE(Institute of Electrical and Electronics Engineers) 802.1Q는 트렁킹 디바이스가 패킷 헤더에 4개 VLAN 프레임 식별 탭을 삽입하는 내부 태깅 메커니즘을 사용하기 때문에 802.1Q 태그는 인터스위치 격리 VLAN에 필요합니다.

라우터에 연결된 프로미스큐어 포트 대신 RVI(Routed VLAN Interface)를 사용하여 격리된 VLAN과 커뮤니티 VLAN 간 라우팅을 옵션으로 활성화하려면 EX 시리즈 스위치의 프라이빗 VLAN에서 Routed VLAN Interface구성을 참조하세요.

주:

오직 EX8200 스위치 또는 EX8200 Virtual Chassis RVI 사용을 지원하여 PVLAN 도메인에서 격리된 커뮤니티 VLAN 간에 레이어 3 트래픽을 라우팅할 수 있습니다.

예를 들면 다음과 같습니다. ELS 지원을 통해 단일 스위치에서 사설 VLAN 구성

주:

이 예는 Junos OS ELS(Enhanced Layer 2 Software) 구성 스타일에 대한 지원을 통해 스위치를 위한 스위치를 제공합니다. EX 스위치가 ELS를 지원하지 않는 소프트웨어를 실행하면 다음을 예로 들 수 있습니다. 단일 EX 시리즈 스위치에서 프라이빗 VLAN 구성. ELS 세부 정보는 Enhanced Layer 2 Software CLI.

주:

프라이빗 VLANs는 릴리즈 15.1X53에서 QFX5100 스위치 및 QFX10002 스위치에서 지원되지 Junos OS 없습니다.

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하거나 알려진 호스트 간의 통신을 제한하는 것이 유용합니다. 프라이빗 VLAN(PVLAN)을 사용하면 브로드캐스트 도메인(기본 VLAN)을 여러 개의 격리된 브로드캐스트 서브도인(보조 VLAN)으로 분할할 수 있습니다. 본질적으로 VLAN은 VLAN 내부에 넣습니다.

이 예에서는 단일 스위치에서 PVLAN을 생성하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 1개 Junos OS 스위치

  • Junos OS 릴리스 14.1X53-D10 EX 시리즈 스위치 이상에서 지원

    Junos OS 릴리스 14.1X53-D15 QFX 시리즈 스위치의 이상 버전

개요 및 토폴로지

향상된 보안 및 효율성을 위해 가입자 그룹을 분리할 수 있습니다. 이 구성 예는 간단한 토폴로지로 하나의 기본 VLAN과 3개의 보조 VLAN(하나의 격리된 VLAN과 2개의 커뮤니티 VLAN)을 사용하여 PVLAN을 생성하는 방법을 설명합니다.

표 6 예제에 사용된 토폴로지의 인터페이스를 나열합니다.

표 6: PVLAN 구성을 위한 토폴로지 인터페이스
인터페이스 설명

ge-0/0/0

ge-1/0/0

비회원 포트

ge-0/0/11ge-0/0/12

HR 커뮤니티 VLAN 구성원 포트

ge-0/0/13ge-0/0/14

재무 커뮤니티 VLAN 회원 포트

ge-0/0/15ge-0/0/16

격리된 멤버 포트

표 7 예제에 사용된 토폴로지의 VLAN 아이디를 나열합니다.

표 7: PVLAN 구성을 위한 토폴로지 내 VLAN 아이디
VLAN ID 설명

100

기본 VLAN

200

HR 커뮤니티 VLAN

300

재무 커뮤니티 VLAN

400

격리된 VLAN

그림 15 이 예제의 토폴로지가 표시됩니다.

그림 15: 단일 EX 시리즈 스위치의 프라이빗 VLAN 토폴로지단일 EX 시리즈 스위치의 프라이빗 VLAN 토폴로지

구성

프라이빗 PVLAN의 기본 토대로 기존 VLAN을 사용하여 그 내부에 서브도미를 생성할 수 있습니다. 이 예에서는 프로시저의 일부로 VLAN 이름을 사용하는 기본 VLAN을 vlan-pri 만듭니다.

PVLAN을 구성하기 위해 다음 작업을 수행합니다.

CLI 빠른 구성

PVLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하고 스위치 터미널 창에 붙여넣기:

절차

단계별 절차

PVLAN을 구성하는 경우:

  1. 프라이빗 VLAN의 기본 VLAN(이 예에서는 vlan-pri 이름은)을 생성합니다.

  2. 분리된 VLAN을 생성하고 VLAN ID를 할당합니다.

  3. HR 커뮤니티 VLAN을 생성하고 VLAN ID를 할당합니다.

  4. 재무 커뮤니티 VLAN을 생성하고 VLAN ID를 할당합니다.

  5. 보조 VLAN을 기본 VLAN과 연결합니다.

  6. 적절한 인터페이스 모드로 인터페이스 설정:

  7. 기본 VLAN의 전이적인 트렁크 인터페이스를 구성합니다. 이 인터페이스는 기본 VLAN에서 보조 VLAN과 통신하는 데 사용됩니다.

  8. PVLAN을 라우터에 연결하는 기본 VLAN의 또 다른 트렁크 인터페이스(프로미스큐스 인터페이스)를 구성합니다.

예를 들면 다음과 같습니다. 단일 QFX 시리즈 스위치에서 프라이빗 VLAN 구성

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. PVLAN(Private VLAN) 기능을 통해 관리자는 브로드캐스트 도메인을 여러 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 본질적으로 VLAN은 VLAN 내부에 넣습니다.

이 예에서는 단일 스위치에서 PVLAN을 생성하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 1대의 QFX3500 디바이스

  • Junos OS 릴리즈 12.1 이상 QFX Series용

PVLAN 구성을 시작하기 전에 필요한 VLAN을 생성하고 구성한 다음, 을 스위치에서 VLA 구성 참조합니다.

개요 및 토폴로지

여러 건물과 VLA를 사용하는 대규모 사무실에서 보안상의 이유로 일부 작업 영역이나 다른 엔드포인트를 분리하거나 브로드캐스트 도메인을 분할해야 할 수도 있습니다. 이 구성 예에서는 기본 VLAN 1개와 커뮤니티 VLAN 2개, HR용 1개와 재무 포트 1개와 메일 서버용 포트 2개와 백업 서버를 위한 분리된 포트 2개가 있는 PVLAN을 만드는 방법을 설명하는 간단한 토폴로지가 있습니다.

표 8 샘플 토폴로지의 설정을 나열합니다.

표 8: PVLAN 구성을 위한 토폴로지 구성 요소
인터페이스 설명

ge-0/0/0.0

기본 VLAN() pvlan100 트렁크 인터페이스

ge-0/0/11.0

User 1, HR Community ( hr-comm )

ge-0/0/12.0

사용자 2, HR 커뮤니티 ( hr-comm )

ge-0/0/13.0

User 3, Finance Community finance-comm ()

ge-0/0/14.0

User 4, Finance Community finance-comm ()

ge-0/0/15.0

메일 서버, 격리 ( isolated )

ge-0/0/16.0

백업 서버, 격리 isolated ()

ge-1/0/0.0

기본 VLAN() pvlan100 트렁크 인터페이스

구성

CLI 빠른 구성

PVLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하고 스위치 터미널 창에 붙여넣기:

절차

단계별 절차

PVLAN을 구성하는 경우:

  1. 기본 VLAN에 대한 VLAN ID 설정:

  2. 인터페이스 및 포트 모드 설정:

  3. 로컬 스위칭이 없는 기본 VLAN을 설정합니다.

    주:

    기본 VLAN은 태그된 VLAN이 되어야 합니다.

  4. 기본 VLAN에 트렁크 인터페이스를 추가합니다.

  5. 각 보조 VLAN의 경우 액세스 인터페이스를 구성합니다.

    주:

    보조 VLA는 통합되지 않은 VLA(Untagged VLANs)를 권장합니다. 보조 VLAN에 태그를 지정하면 기능이 저하되지 않습니다. 그러나 보조 VLAN이 단일 스위치에서 구성되면 태그가 사용되지 않습니다.

  6. 각 커뮤니티 VLAN에 대해 기본 VLAN을 설정합니다.

  7. 기본 VLAN에서 분리된 인터페이스를 구성합니다.

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

프라이빗 VLAN 및 보조 VLAN이 생성된지 확인

목적

주 VLAN 및 보조 VLAN이 스위치에서 올바르게 생성되었는지 검증합니다.

실행

명령어 show vlans 사용:

의미

출력에 따르면 기본 VLAN이 생성된 후 그와 연관된 인터페이스 및 보조 VLAN을 식별합니다.

예를 들면 다음과 같습니다. 단일 EX 시리즈 스위치에서 프라이빗 VLAN 구성

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. EX 시리즈 스위치의 프라이빗 VLAN(PVLAN) 기능을 통해 관리자는 브로드캐스트 도메인을 여러 개의 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 본질적으로 VLAN 내부에 VLAN을 넣습니다.

이 예에서는 단일 EX 시리즈 스위치에서 PVLAN을 생성하는 방법을 설명합니다.

주:

PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 1대의 EX 시리즈 스위치

  • Junos OS EX 시리즈 스위치용 릴리스 9.3 이상

PVLAN 구성을 시작하기 전에 필요한 VLAN을 생성하고 구성한 다음, EX 시리즈 스위치용 VLA 구성 을 참조합니다.

개요 및 토폴로지

여러 건물과 VLA를 사용하는 대규모 사무실에서 보안상의 이유로 일부 작업 영역이나 다른 엔드포인트를 분리하거나 브로드캐스트 도메인을 분할해야 할 수도 있습니다. 이 구성 예에서는 기본 VLAN 1개와 커뮤니티 VLAN 2개, HR용 1개와 재무 포트 1개와 메일 서버용 포트 2개와 백업 서버를 위한 분리된 포트 2개가 있는 PVLAN을 만드는 방법을 설명하는 간단한 토폴로지가 있습니다.

표 9 예제 토폴로지의 설정을 나열합니다.

표 9: PVLAN 구성을 위한 토폴로지 구성 요소
인터페이스 설명

ge-0/0/0.0

기본 VLAN() vlan1 트렁크 인터페이스

ge-0/0/11.0

User 1, HR Community ( hr-comm )

ge-0/0/12.0

사용자 2, HR 커뮤니티 ( hr-comm )

ge-0/0/13.0

User 3, Finance Community finance-comm ()

ge-0/0/14.0

User 4, Finance Community finance-comm ()

ge-0/0/15.0

메일 서버, 격리 ( isolated )

ge-0/0/16.0

백업 서버, 격리 isolated ()

ge-1/0/0.0

기본 VLAN() pvlan 트렁크 인터페이스

그림 16 이 예제의 토폴로지가 표시됩니다.

그림 16: 단일 EX 시리즈 스위치의 프라이빗 VLAN 토폴로지단일 EX 시리즈 스위치의 프라이빗 VLAN 토폴로지

구성

PVLAN을 구성하기 위해 다음 작업을 수행합니다.

CLI 빠른 구성

PVLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하고 스위치 터미널 창에 붙여넣기:

절차

단계별 절차

PVLAN을 구성하는 경우:

  1. 기본 VLAN에 대한 VLAN ID 설정:

  2. 인터페이스 및 포트 모드 설정:

  3. 로컬 스위칭이 없는 기본 VLAN을 설정합니다.

    주:

    기본 VLAN은 태그된 VLAN이 되어야 합니다.

  4. 기본 VLAN에 트렁크 인터페이스를 추가합니다.

  5. 각 보조 VLAN에 대해 VLAN 아이디와 액세스 인터페이스를 구성합니다.

    주:

    보조 VLA는 통합되지 않은 VLA(Untagged VLANs)를 권장합니다. 보조 VLAN에 태그를 지정하면 기능이 저하되지 않습니다. 그러나 보조 VLAN이 단일 스위치에서 구성되면 태그가 사용되지 않습니다.

  6. 각 커뮤니티 VLAN에 대해 기본 VLAN을 설정합니다.

  7. 각 격리된 인터페이스를 기본 VLAN에 추가:

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

프라이빗 VLAN 및 보조 VLAN이 생성된지 확인

목적

주 VLAN 및 보조 VLAN이 스위치에서 올바르게 생성되었는지 검증합니다.

실행

명령어 show vlans 사용:

의미

출력에 따르면 기본 VLAN이 생성된 후 그와 연관된 인터페이스 및 보조 VLAN을 식별합니다.

예를 들면 다음과 같습니다. 여러 QFX 스위치를 아우를 수 있는 프라이빗 VLAN 구성

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. PVLAN(Private VLAN) 기능을 통해 관리자는 브로드캐스트 도메인을 여러 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 본질적으로 VLAN은 VLAN 내부에 넣습니다. PVLAN은 여러 스위치에 걸쳐 있을 수 있습니다.

이 예에서는 여러 스위치에 걸쳐 PVLAN을 생성하는 방법을 설명하고 있습니다. 이 예에서는 여러 개의 보조 VLAN을 포함하는 하나의 기본 PVLAN을 만듭니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 3개의 QFX3500 디바이스

  • Junos OS 릴리즈 12.1 이상 QFX Series용

PVLAN 구성을 시작하기 전에 필요한 VLAN을 생성하고 구성한 다음, 을 스위치에서 VLA 구성 참조합니다.

개요 및 토폴로지

여러 건물과 VLA를 사용하는 대규모 사무실에서 보안상의 이유로 일부 작업 영역이나 다른 엔드포인트를 분리하거나 브로드캐스트 도메인을 분할해야 할 수도 있습니다. 이 구성 예에서는 두 개의 커뮤니티 VLAN(HR용 1개와 재무용 1개)를 포함하는 1개의 기본 VLAN과 interswitch 격리 VLAN(메일 서버, 백업 서버 및 CVS 서버)을 포함하는 여러 QFX 장비에 걸쳐 PVLAN을 만드는 방법을 보여줍니다. PVLAN은 3개의 스위치, 2개의 액세스 스위치, 1개의 분산 스위치로 구성됩니다. PVLAN은 분산 스위치에서 구성되는 promiscuous 포트를 통해 라우터에 연결됩니다.

주:

스위치 1 및 스위치 2의 분리된 포트는 동일한 도메인 내에 포함되어 있는 경우에도 서로 레이어 2 연결을 끊습니다. 을 사설 VLA 이해 참조합니다.

그림 17 이 예에서는 두 개의 액세스 스위치가 라우터에 연결(promiscuous 포트를 통해)에 연결되는 두 개의 액세스 스위치를 보여줍니다.

그림 17: 여러 스위치를 아우를 수 있는 PVLAN 토폴로지여러 스위치를 아우를 수 있는 PVLAN 토폴로지

표 10표 11표 12 예제 토폴로지의 설정을 나열합니다.

표 10: 여러 디바이스를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 1 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolation-vlan-id태그 50finance-comm태그 300hr-comm태그 400

PVLAN 트렁크 인터페이스

ge-0/0/0.0스위치 1과 스위치 3을 연결합니다.

ge-0/0/5.0스위치 1과 스위치 2를 연결합니다.

기본 VLAN의 격리된 인터페이스

ge-0/0/15.0메일 서버

ge-0/0/16.0, 백업 서버

VLAN의 인터페이스 finance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN의 인터페이스 hr-comm

ge-0/0/13.0

ge-0/0/14.0

표 11: 여러 디바이스를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 2 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolation-vlan-id태그 50finance-comm태그 300hr-comm태그 400

PVLAN 트렁크 인터페이스

ge-0/0/0.0스위치 2와 스위치 3을 연결합니다.

ge-0/0/5.0스위치 2와 스위치 1을 연결합니다.

기본 VLAN에서 격리된 인터페이스

ge-0/0/17.0, CVS 서버

VLAN의 인터페이스 finance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN의 인터페이스 hr-comm

ge-0/0/13.0

ge-0/0/14.0

표 12: 여러 디바이스를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 3 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolation-vlan-id태그 50finance-comm태그 300hr-comm태그 400

PVLAN 트렁크 인터페이스

ge-0/0/0.0스위치 3와 스위치 1을 연결합니다.

ge-0/0/1.0스위치 3와 스위치 2를 연결합니다.

프로미스큐어(Promiscuous) 포트

ge-0/0/2PVLAN을 라우터에 연결하고

주:

PVLAN을 다른 스위치 또는 라우터에 연결하는 트렁크 포트를 PVLAN의 구성원으로 구성해야 합니다. PVLAN 외부의 스위치 또는 라우터는 은밀하게 이 포트를 promiscuous 포트로 구성해야 합니다.

토폴로지

스위치 1에서 PVLAN 구성

여러 스위치에서 PVLAN을 구성할 때 다음과 같은 규칙이 적용됩니다.

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다. 먼저 기본 VLAN을 구성하는 것이 좋습니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다. Pvlan 명령문을 사용하여 기본 VLAN을 프라이빗하도록 구성해야 합니다.

  • 고리 VLAN ID를 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

CLI 빠른 구성

여러 스위치를 아우르는 PVLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하여 Switch 1의 터미널 창에 붙여넣기:

절차

단계별 절차
  1. 기본 VLAN에 대한 VLAN ID 설정:

  2. 인접 스위치에서 이 VLAN을 연결하기 위해 PVLAN 트렁크 인터페이스를 설정합니다.

  3. 기본 VLAN을 프라이빗으로 설정하고 로컬 스위칭이 없는 경우:

  4. 스위치를 아우를 수 있는 finance-comm 커뮤니티 VLAN에 VLAN ID를 설정합니다.

  5. VLAN을 위한 액세스 인터페이스 finance-comm 구성:

  6. 이 보조 커뮤니티 VLAN의 기본 VLAN을 finance-comm 설정합니다.

  7. 스위치를 아우르는 HR 커뮤니티 VLAN에 VLAN ID를 설정할 수 있습니다.

  8. VLAN을 위한 액세스 인터페이스 hr-comm 구성:

  9. 이 보조 커뮤니티 VLAN의 기본 VLAN을 hr-comm 설정합니다.

  10. 스위치를 아우를 수 있는 인터스위치 격리 도메인을 생성하기 위해 인터스위치 격리 ID를 설정합니다.

  11. 기본 VLAN에서 분리된 인터페이스를 구성합니다.

    주:

    격리된 포트를 구성할 경우 기본 VLAN의 구성원으로 포함하지만 커뮤니티 VLAN의 구성원으로 구성하지는 않습니다.

결과

구성의 결과를 확인:

스위치 2에서 PVLAN 구성

CLI 빠른 구성

여러 스위치를 아우르는 프라이빗 VLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하여 Switch 2의 터미널 창에 붙여넣기하십시오.

주:

스위치 2의 구성은 Interswitch 격리 도메인의 인터페이스를 제외하고 스위치 1의 구성과 동일합니다. 스위치 2의 인터페이스는 ge-0/0/17.0 입니다.

절차

단계별 절차

여러 스위치에 걸쳐 PVLAN을 구성하는 스위치 2:

  1. 스위치를 아우를 수 있는 finance-comm 커뮤니티 VLAN에 VLAN ID를 설정합니다.

  2. VLAN을 위한 액세스 인터페이스 finance-comm 구성:

  3. 이 보조 커뮤니티 VLAN의 기본 VLAN을 finance-comm 설정합니다.

  4. 스위치를 아우르는 HR 커뮤니티 VLAN에 VLAN ID를 설정할 수 있습니다.

  5. VLAN을 위한 액세스 인터페이스 hr-comm 구성:

  6. 이 보조 커뮤니티 VLAN의 기본 VLAN을 hr-comm 설정합니다.

  7. 기본 VLAN에 대한 VLAN ID 설정:

  8. 인접 스위치에서 이 VLAN을 연결하는 PVLAN 트렁크 인터페이스를 설정합니다.

  9. 기본 VLAN을 프라이빗으로 설정하고 로컬 스위칭이 없는 경우:

  10. 스위치를 아우를 수 있는 인터스위치 격리 도메인을 생성하기 위해 인터스위치 격리 ID를 설정합니다.

    주:

    격리된 포트를 구성하기 위해 이 포트를 기본 VLAN의 구성원 중 하나로 포함하지만 커뮤니티 VLAN 중 하나에 속하는 것으로 구성하지 않습니다.

  11. 기본 VLAN에서 분리된 인터페이스를 구성합니다.

결과

구성의 결과를 확인:

스위치 3에서 PVLAN 구성

CLI 빠른 구성

이 PVLAN의 분산 스위치로 기능하도록 Switch 3를 신속하게 구성하기 위해 다음 명령을 복사하여 Switch 3의 터미널 창에 붙여넣기:

주:

Interface ge-0/0/2.0은 PVLAN을 라우터에 연결하는 트렁크 포트입니다.

절차

단계별 절차

이 PVLAN의 분산 스위치로 작동하도록 Switch 3를 구성하기 위해 다음 절차를 사용합니다.

  1. 스위치를 아우를 수 있는 finance-comm 커뮤니티 VLAN에 VLAN ID를 설정합니다.

  2. 이 보조 커뮤니티 VLAN의 기본 VLAN을 finance-comm 설정합니다.

  3. 스위치를 아우르는 HR 커뮤니티 VLAN을 위한 VLAN ID 설정:

  4. 이 보조 커뮤니티 VLAN의 기본 VLAN을 hr-comm 설정합니다.

  5. 기본 VLAN에 대한 VLAN ID 설정:

  6. 인접 스위치에서 이 VLAN을 연결하는 PVLAN 트렁크 인터페이스를 설정합니다.

  7. 기본 VLAN을 프라이빗으로 설정하고 로컬 스위칭이 없는 경우:

  8. 스위치를 아우를 수 있는 인터스위치 격리 도메인을 생성하기 위해 인터스위치 격리 ID를 설정합니다.

    주:

    격리된 포트를 구성하기 위해 이 포트를 기본 VLAN의 구성원 중 하나로 포함하지만 커뮤니티 VLAN 중 하나에 속하는 것으로 구성하지 않습니다.

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

기본 VLAN 및 보조 VLAN이 Switch 1에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 1에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN이 Switch 1에서 생성된 것으로 표시되고 2개의 격리된 VLAN과 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 있는 것으로 나타났습니다. PVLAN-트렁크와 스위치 간 격리 필드가 존재하면 이 PVLAN이 두 개 이상의 스위치에 걸쳐 있는 것으로 나타났습니다.

기본 VLAN 및 보조 VLAN이 Switch 2에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 2에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN이 Switch 2에서 생성되고 하나의 격리된 VLAN, 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 있는 것으로 나타남을 보여줍니다. PVLAN-트렁크와 스위치 간 격리 필드가 존재하면 이 PVLAN이 두 개 이상의 스위치에 걸쳐 있는 것으로 나타났습니다. 이 출력을 Switch 1의 출력과 비교하면 두 스위치가 모두 동일한 PVLAN()에 속하는지 볼 수 pvlan100 있습니다.

기본 VLAN 및 보조 VLAN이 Switch 3에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 3에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN()이 Switch 3에서 구성되고 분리된 pvlan100 VLAN이 없음, 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 없음을 보여줍니다. 그러나 스위치 3는 분산 스위치로 작동하기 때문에 출력에는 PVLAN 내에 액세스 인터페이스가 포함되어 있지 않습니다. 동일한 pvlan-trunkpvlan100 PVLAN에서 Switch 3에서 다른 스위치(Switch 1 및 Switch 2)에 연결하는 인터페이스만 표시됩니다.

예를 들면 다음과 같습니다. IRB 인터페이스를 통해 여러 스위치를 아우르는 프라이빗 VLAN 구성

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. PVLAN(Private VLAN) 기능을 통해 관리자는 브로드캐스트 도메인을 여러 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 본질적으로 VLAN은 VLAN 내부에 넣습니다. PVLAN은 여러 스위치에 걸쳐 있을 수 있습니다. 이 예에서는 여러 스위치에 걸쳐 PVLAN을 생성하는 방법을 설명하고 있습니다. 이 예에서는 여러 개의 보조 VLAN을 포함하는 하나의 기본 PVLAN을 만듭니다.

일반 VLA와 마찬가지로, PVLA는 Layer 2에서 격리되어 있으며 일반적으로 트래픽을 라우팅하려는 경우 Layer 3 디바이스를 사용해야 합니다. 시작 Junos OS 14.1X53-D30 IRB(Integrated Routing and Bridging) 인터페이스를 사용하여 PVLAN에 연결된 장비 간에 레이어 3 트래픽을 라우팅할 수 있습니다. 이러한 방식으로 IRB 인터페이스를 사용하면 PVLAN의 디바이스가 다른 커뮤니티 또는 격리된 VLAN의 디바이스 또는 PVLAN 외부의 디바이스와 레이어 3에서 통신할 수도 있습니다. 또한 이 예에서는 PVLAN 구성에 IRB 인터페이스를 포함하는 방법을 보여 제공합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 3개의 QFX 시리즈 또는 EX4600 스위치

  • Junos OS 또는 QFX 시리즈용 PVLAN을 EX4600

개요 및 토폴로지

여러 건물과 VLA를 사용하는 대규모 사무실에서 보안상의 이유로 일부 작업 영역이나 다른 엔드포인트를 분리하거나 브로드캐스트 도메인을 분할해야 할 수도 있습니다. 이 구성 예에서는 2개의 커뮤니티 VLAN(HR용 1개와 재무용 1개)를 포함하는 1개의 기본 VLAN과 interswitch 격리 VLAN(메일 서버, 백업 서버 및 CVS 서버)을 포함하는 여러 스위치에 걸쳐 PVLAN을 만드는 방법을 보여줍니다. PVLAN은 3개의 스위치(2개의 액세스 스위치와 1개의 분산 스위치)로 구성됩니다. PVLAN의 장치는 Layer 3에서 서로 연결되고 분산 스위치에서 구성된 IRB 인터페이스를 통해 PVLAN 외부의 장비에 연결됩니다.

주:

스위치 1 및 스위치 2의 분리된 포트는 동일한 도메인 내에 포함되어 있는 경우에도 서로 레이어 2 연결을 끊습니다. 을 사설 VLA 이해 참조합니다.

그림 18 이 예제의 토폴로지가 표시됩니다.

그림 18: IRB 인터페이스를 통해 여러 스위치를 아우르는 PVLAN 토폴로지IRB 인터페이스를 통해 여러 스위치를 아우르는 PVLAN 토폴로지

표 13표 14표 15 예제 토폴로지의 설정을 나열합니다.

표 13: 여러 디바이스를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 1 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolated-vlan-id태그 50finance-comm태그 300hr-comm태그 400

Interswitch 링크 인터페이스

xe-0/0/0.0스위치 1과 스위치 3을 연결합니다.

xe-0/0/5.0스위치 1과 스위치 2를 연결합니다.

기본 VLAN의 격리된 인터페이스

xe-0/0/15.0메일 서버

xe-0/0/16.0, 백업 서버

VLAN의 인터페이스 finance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN의 인터페이스 hr-comm

xe-0/0/13.0

xe-0/0/14.0

표 14: 여러 디바이스를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 2 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolated-vlan-id태그 50finance-comm태그 300hr-comm태그 400

Interswitch 링크 인터페이스

xe-0/0/0.0스위치 2와 스위치 3을 연결합니다.

xe-0/0/5.0스위치 2와 스위치 1을 연결합니다.

기본 VLAN에서 격리된 인터페이스

xe-0/0/17.0, CVS 서버

VLAN의 인터페이스 finance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN의 인터페이스 hr-comm

xe-0/0/13.0

xe-0/0/14.0

표 15: 여러 디바이스를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 3 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolated-vlan-id, 태그 50finance-comm , 태그 300hr-comm태그 400

Interswitch 링크 인터페이스

xe-0/0/0.0스위치 3와 스위치 1을 연결합니다.

xe-0/0/1.0스위치 3와 스위치 2를 연결합니다.

프로미스큐어(Promiscuous) 포트

xe-0/0/2을 사용하여 PVLAN을 다른 네트워크에 연결합니다.

주:

PVLAN을 다른 스위치 또는 라우터에 연결하는 트렁크 포트를 PVLAN의 구성원으로 구성해야 합니다. PVLAN 외부의 스위치 또는 라우터는 은밀하게 이 포트를 promiscuous 포트로 구성해야 합니다.

IRB 인터페이스

xe-0/0/0

xe-0/0/1

IPv4를 사용하는 장비가 Layer 3에서 통신할 수 있도록 IRB 인터페이스에서 무제한 프록시 ARP를 구성하여 ARP 해결이 가능합니다. IPv6 트래픽의 경우, ARP 해결을 허용하기 위해 IRB 주소를 대상 주소에 명시적으로 매핑해야 합니다.

토폴로지

구성 개요

여러 스위치에서 PVLAN을 구성할 때 다음 규칙이 적용됩니다.

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다.

  • 주 VLAN은 interswitch 링크 인터페이스의 구성이 될 수 있는 유일한 VLAN입니다.

PVLAN에서 IRB 인터페이스를 구성할 때 다음과 같은 규칙이 적용됩니다.

  • PVLAN에 참여하는 스위치 수에 관계없이 PVLAN에서 하나의 IRB 인터페이스만 생성할 수 있습니다.

  • IRB 인터페이스는 PVLAN의 기본 VLAN의 멤버가 되어야 합니다.

  • Layer 3에서 연결하려는 각 호스트 디바이스는 IRB의 IP 주소를 기본 게이트웨이 주소로 사용해야 합니다.

스위치 1에서 PVLAN 구성

CLI 빠른 구성

여러 스위치를 아우르는 PVLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하여 Switch 1의 터미널 창에 붙여넣기:

절차

단계별 절차
  1. 인터페이스 xe-0/0/0을 트렁크로 구성합니다.

  2. 인터페이스 xe-0/0/0을 모든 VLA를 전달하는 인터스위치 링크로 구성합니다.

  3. 인터페이스 xe-0/0/0의 구성원으로 pvlan100(기본 VLAN)을 구성합니다.

  4. 인터페이스 xe-0/0/5를 트렁크로 구성합니다.

  5. 인터페이스 xe-0/0/5를 모든 VLA를 전달하는 인터스위치 링크로 구성합니다.

  6. 인터페이스 xe-0/0/5의 구성원이 될 pvlan100을 구성합니다.

  7. 금융 조직을 위한 커뮤니티 VLAN 생성:

  8. HR 조직을 위한 커뮤니티 VLAN 생성:

  9. 메일 및 백업 서버를 위해 분리된 VLAN을 생성합니다.

  10. 기본 VLAN을 생성하고 커뮤니티와 격리된 VLAN의 구성원으로 만들 수 있습니다.

  11. 인터페이스 xe-0/0/11의 구성원으로 VLAN 300(커뮤니티 VLAN)을 구성합니다.

  12. 인터페이스 xe-0/0/12의 구성원으로 VLAN 300(커뮤니티 VLAN)을 구성합니다.

  13. 인터페이스 xe-0/0/13의 구성원으로 VLAN 400(커뮤니티 VLAN)을 구성합니다.

  14. 인터페이스 xe-0/0/14의 구성원으로 VLAN 400(커뮤니티 VLAN)을 구성합니다.

  15. 인터페이스 xe-0/0/15의 구성원으로 VLAN 50(격리된 VLAN)을 구성합니다.

  16. 인터페이스 xe-0/0/16의 구성원으로 VLAN 50(격리된 VLAN)을 구성합니다.

결과

구성의 결과를 확인:

스위치 2에서 PVLAN 구성

CLI 빠른 구성

여러 스위치를 아우르는 프라이빗 VLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하여 Switch 2의 터미널 창에 붙여넣기하십시오.

주:

스위치 2의 구성은 분리된 VLAN을 제외하고 스위치 1의 구성과 동일합니다. Switch 2의 경우, 격리된 VLAN 인터페이스는 xe-0/0/17.0 입니다.

절차

단계별 절차
  1. 인터페이스 xe-0/0/0을 트렁크로 구성합니다.

  2. 인터페이스 xe-0/0/0을 모든 VLA를 전달하는 인터스위치 링크로 구성합니다.

  3. 인터페이스 xe-0/0/0의 구성원으로 pvlan100(기본 VLAN)을 구성합니다.

  4. 인터페이스 xe-0/0/5를 트렁크로 구성합니다.

  5. 인터페이스 xe-0/0/5를 모든 VLA를 전달하는 인터스위치 링크로 구성합니다.

  6. 인터페이스 xe-0/0/5의 구성원이 될 pvlan100을 구성합니다.

  7. 금융 조직을 위한 커뮤니티 VLAN 생성:

  8. HR 조직을 위한 커뮤니티 VLAN 생성:

  9. 메일 및 백업 서버를 위해 분리된 VLAN을 생성합니다.

  10. 기본 VLAN을 생성하고 커뮤니티와 격리된 VLAN의 구성원으로 만들 수 있습니다.

  11. 인터페이스 xe-0/0/11의 구성원으로 VLAN 300(커뮤니티 VLAN)을 구성합니다.

  12. 인터페이스 xe-0/0/12의 구성원으로 VLAN 300(커뮤니티 VLAN)을 구성합니다.

  13. 인터페이스 xe-0/0/13의 구성원으로 VLAN 400(커뮤니티 VLAN)을 구성합니다.

  14. 인터페이스 xe-0/0/14의 구성원으로 VLAN 400(커뮤니티 VLAN)을 구성합니다.

  15. 인터페이스 xe-0/0/17의 구성원으로 VLAN 50(격리된 VLAN)을 구성합니다.

결과

구성의 결과를 확인:

스위치 3에서 PVLAN 구성

CLI 빠른 구성

이 PVLAN의 분산 스위치로 기능하도록 Switch 3를 신속하게 구성하기 위해 다음 명령을 복사하여 Switch 3의 터미널 창에 붙여넣기:

주:

인터페이스 xe-0/0/2.0은 PVLAN을 다른 네트워크에 연결하는 트렁크 포트입니다.

절차

단계별 절차

이 PVLAN의 분산 스위치로 작동하도록 Switch 3를 구성하기 위해 다음 절차를 사용합니다.

  1. 인터페이스 xe-0/0/0을 트렁크로 구성합니다.

  2. 인터페이스 xe-0/0/0을 모든 VLA를 전달하는 인터스위치 링크로 구성합니다.

  3. 인터페이스 xe-0/0/0의 구성원으로 pvlan100(기본 VLAN)을 구성합니다.

  4. 인터페이스 xe-0/0/5를 트렁크로 구성합니다.

  5. 인터페이스 xe-0/0/5를 모든 VLA를 전달하는 인터스위치 링크로 구성합니다.

  6. 인터페이스 xe-0/0/5의 구성원이 될 pvlan100을 구성합니다.

  7. 인터페이스 xe-0/0/2(promiscuous interface)를 트렁크로 구성합니다.

  8. 인터페이스 xe-0/0/2의 구성원이 될 pvlan100을 구성합니다.

  9. 기본 VLAN을 생성합니다.

  10. IRB 인터페이스를 생성하고 스위치 1 및 2에 연결된 디바이스가 사용하는 서브넷에 주소를 irb 할당합니다.

    주:

    Layer 3에서 연결하려는 각 호스트 디바이스는 IRB 인터페이스와 동일한 서브넷에 있어야 하고 기본 게이트웨이 주소로 IRB 인터페이스의 IP 주소를 사용해야 합니다.

  11. 기본 VLAN에 인터페이스를 결합하여 IRB 인터페이스 구성을 pvlan100 완료합니다.

  12. IPv4 트래픽에 ARP 해결이 작동하도록 IRB 인터페이스의 각 유닛에 대해 무제한 프록시 ARP를 구성합니다.

    주:

    커뮤니티의 디바이스와 격리된 VLA는 레이어 2에서 격리되어 있기 때문에 이 단계는 IPv4를 사용하는 디바이스가 Layer 3에서 통신할 수 있도록 VLA 간에 ARP 해결을 허용해야 합니다. (IPv6 트래픽의 경우 ARP 해결을 허용하기 위해 IRB 주소를 대상 주소에 명시적으로 매핑해야 합니다.)

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

기본 VLAN 및 보조 VLAN이 Switch 1에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 1에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN이 Switch 1에서 생성된 것으로 표시되고 2개의 격리된 VLAN과 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 있는 것으로 나타났습니다. 트렁크와 스위치 간 격리 필드의 존재는 이 PVLAN이 두 개 이상의 스위치에 걸쳐 있는 것으로 나타났습니다.

기본 VLAN 및 보조 VLAN이 Switch 2에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 2에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN이 Switch 2에서 생성되고 하나의 격리된 VLAN, 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 있는 것으로 나타남을 보여줍니다. 트렁크와 스위치 간 격리 필드의 존재는 이 PVLAN이 두 개 이상의 스위치에 걸쳐 있는 것으로 나타났습니다. 이 출력을 Switch 1의 출력과 비교하면 두 스위치가 모두 동일한 PVLAN()에 속하는지 볼 수 pvlan100 있습니다.

기본 VLAN 및 보조 VLAN이 Switch 3에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 3에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN()이 Switch 3에서 구성되고 분리된 pvlan100 VLAN이 없음, 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 없음을 보여줍니다. 그러나 스위치 3는 분산 스위치로 작동하기 때문에 출력에는 PVLAN 내에 액세스 인터페이스가 포함되어 있지 않습니다. 동일한 pvlan100 PVLAN에서 Switch 3에서 다른 스위치(스위치 1 및 스위치 2)에 연결하는 트렁크 인터페이스만 표시됩니다.

예를 들면 다음과 같습니다. 여러 EX 시리즈 스위치를 아우를 수 있는 프라이빗 VLAN 구성

보안상의 이유로 브로드캐스트와 알려지지 않은 유니캐스트 트래픽의 플로우를 제한하고 알려진 호스트 간의 통신을 제한하는 것이 종종 유용합니다. EX 시리즈 스위치의 프라이빗 VLAN(PVLAN) 기능을 통해 관리자는 브로드캐스트 도메인을 여러 개의 격리된 브로드캐스트 하위 도메인으로 분할할 수 있습니다. 본질적으로 VLAN 내부에 VLAN을 넣습니다. PVLAN은 여러 스위치에 걸쳐 있을 수 있습니다.

이 예에서는 여러 EX 시리즈 스위치에 걸쳐 PVLAN을 생성하는 방법을 설명하고 있습니다. 이 예에서는 여러 개의 보조 VLAN을 포함하는 하나의 기본 PVLAN을 생성합니다.

주:

PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 3개의 EX 시리즈 스위치

  • Junos OS EX 시리즈 스위치용 릴리즈 10.4 이상

PVLAN 구성을 시작하기 전에 필요한 VLAN을 생성하고 구성한 다음, EX 시리즈 스위치용 VLA 구성 을 참조합니다.

개요 및 토폴로지

여러 건물과 VLA를 사용하는 대규모 사무실에서 보안상의 이유로 일부 작업 영역이나 다른 엔드포인트를 분리하거나 브로드캐스트 도메인을 분할해야 할 수도 있습니다. 이 구성 예에서는 두 개의 커뮤니티 VLAN(HR용 1개와 재무용 1개)를 포함하는 1개의 기본 VLAN과 Interswitch 격리 VLAN(메일 서버, 백업 서버 및 CVS 서버)을 포함하는 여러 EX 시리즈 스위치를 아우르는 PVLAN을 만드는 방법을 보여줍니다. PVLAN은 3개의 스위치, 2개의 액세스 스위치, 1개의 분산 스위치로 구성됩니다. PVLAN은 분산 스위치에서 구성되는 promiscuous 포트를 통해 라우터에 연결됩니다.

주:

스위치 1 및 Switch 2의 분리된 포트는 동일한 도메인 내에 포함되어 있는 경우에도 레이어 2 연결을 서로 연결하지 못합니다. 프라이빗 VLA(Understanding Private VLANs)를 참조합니다.

그림 19 이 예에서는 두 개의 액세스 스위치가 라우터에 연결(promiscuous 포트를 통해)에 연결되는 두 개의 액세스 스위치를 보여줍니다.

그림 19: 여러 스위치를 아우를 수 있는 PVLAN 토폴로지여러 스위치를 아우를 수 있는 PVLAN 토폴로지

표 16표 17표 18 예제 토폴로지의 설정을 나열합니다.

표 16: 여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 1 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolation-id태그 50finance-comm태그 300hr-comm태그 400

PVLAN 트렁크 인터페이스

ge-0/0/0.0, 스위치 1과 스위치 3을 연결합니다.

ge-0/0/5.0, 스위치 1과 스위치 2를 연결합니다.

VLAN의 인터페이스 isolation

ge-0/0/15.0메일 서버

ge-0/0/16.0, 백업 서버

VLAN의 인터페이스 finance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN의 인터페이스 hr-comm

ge-0/0/13.0

ge-0/0/14.0

표 17: 여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 Switch 2의 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolation-id태그 50finance-comm태그 300hr-comm태그 400

PVLAN 트렁크 인터페이스

ge-0/0/0.0, 스위치 2와 스위치 3을 연결합니다.

ge-0/0/5.0, 스위치 2와 스위치 1을 연결합니다.

VLAN의 인터페이스 isolation

ge-0/0/17.0,CVS 서버

VLAN의 인터페이스 finance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN의 인터페이스 hr-comm

ge-0/0/13.0

ge-0/0/14.0

표 18: 여러 EX 시리즈 스위치를 아우를 수 있는 PVLAN 구성을 위한 토폴로지 내 스위치 3 구성 요소
속성 설정

VLAN 이름 및 태그 아이디

primary-vlan태그 100

isolation-id태그 50finance-comm태그 300hr-comm태그 400

PVLAN 트렁크 인터페이스

ge-0/0/0.0, 스위치 3와 스위치 1을 연결합니다.

ge-0/0/1.0, 스위치 3와 스위치 2를 연결합니다.

프로미스큐어(Promiscuous) 포트

ge-0/0/2를 사용하여 PVLAN을 라우터에 연결합니다.

주:

PVLAN을 다른 스위치 또는 라우터에 연결하는 트렁크 포트를 PVLAN의 구성원으로 구성해야 합니다. PVLAN 외부의 스위치 또는 라우터는 은밀하게 이 포트를 promiscuous 포트로 구성해야 합니다.

토폴로지

스위치 1에서 PVLAN 구성

CLI 빠른 구성

여러 스위치에서 PVLAN을 구성할 때 다음과 같은 규칙이 적용됩니다.

  • 기본 VLAN은 태그된 VLAN이 되어야 합니다. 먼저 기본 VLAN을 구성하는 것이 좋습니다.

  • PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

  • 고리 VLAN ID를 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

  • PVLAN 트렁크 포트에서 MVRP가 구성된 경우 보조 VLAN 및 PVLAN 트렁크 포트가 단일 커밋에서 커밋되어야 합니다.

여러 스위치를 아우르는 PVLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하여 Switch 1의 터미널 창에 붙여넣기:

절차

단계별 절차

아래 순서대로 구성 단계를 완료합니다. 또한 단일 커밋에서 구성을 커밋하기 전에 모든 단계를 완료합니다. 이는 다음과 같은 3가지 규칙을 위반하여 트리거되는 오류 메시지를 방지하는 가장 쉬운 방법입니다.

  • 커뮤니티 VLAN ID를 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

  • 고리 VLAN ID를 구성하려면 먼저 기본 VLAN 및 PVLAN 트렁크 포트를 구성해야 합니다.

  • 보조 vlan과 PVLAN 트렁크는 단일 커밋에서 커밋되어야 합니다.

여러 스위치에 걸쳐 PVLAN을 구성하기 위해:

  1. 기본 VLAN에 대한 VLAN ID 설정:

  2. 인접 스위치에서 이 VLAN을 연결하는 PVLAN 트렁크 인터페이스를 설정합니다.

  3. 로컬 스위칭이 없는 기본 VLAN을 설정합니다.

  4. 스위치를 아우를 수 있는 finance-comm 커뮤니티 VLAN에 VLAN ID를 설정합니다.

  5. VLAN을 위한 액세스 인터페이스 finance-comm 구성:

  6. 이 보조 커뮤니티 VLAN의 기본 VLAN을 finance-comm 설정합니다.

  7. 스위치를 아우르는 HR 커뮤니티 VLAN에 VLAN ID를 설정할 수 있습니다.

  8. VLAN을 위한 액세스 인터페이스 hr-comm 구성:

  9. 이 보조 커뮤니티 VLAN의 기본 VLAN을 hr-comm 설정합니다.

  10. 스위치 간 분리 ID를 설정하여 스위치를 아우를 수 있는 스위치 간 격리 도메인을 생성합니다.

    주:

    격리된 포트를 구성하기 위해 기본 VLAN의 구성원 중 하나로 포함하지만 커뮤니티 VLAN 중 하나에 속해 구성하지 않습니다.

결과

구성의 결과를 확인:

스위치 2에서 PVLAN 구성

CLI 빠른 구성

여러 스위치를 아우르는 프라이빗 VLAN을 신속하게 생성 및 구성하기 위해 다음 명령을 복사하여 Switch 2의 터미널 창에 붙여넣기:

주:

스위치 2의 구성은 스위치 간 격리 도메인의 인터페이스를 제외하고 스위치 1의 구성과 동일합니다. 스위치 2의 인터페이스는 ge-0/0/17.0 입니다.

절차

단계별 절차

여러 스위치에 걸쳐 PVLAN을 구성하는 스위치 2:

  1. 스위치를 아우를 수 있는 finance-comm 커뮤니티 VLAN에 VLAN ID를 설정합니다.

  2. VLAN을 위한 액세스 인터페이스 finance-comm 구성:

  3. 이 보조 커뮤니티 VLAN의 기본 VLAN을 finance-comm 설정합니다.

  4. 스위치를 아우르는 HR 커뮤니티 VLAN에 VLAN ID를 설정할 수 있습니다.

  5. VLAN을 위한 액세스 인터페이스 hr-comm 구성:

  6. 이 보조 커뮤니티 VLAN의 기본 VLAN을 hr-comm 설정합니다.

  7. 기본 VLAN에 대한 VLAN ID 설정:

  8. 인접 스위치에서 이 VLAN을 연결하는 PVLAN 트렁크 인터페이스를 설정합니다.

  9. 로컬 스위칭이 없는 기본 VLAN을 설정합니다.

  10. 스위치 간 분리 ID를 설정하여 스위치를 아우를 수 있는 스위치 간 격리 도메인을 생성합니다.

    주:

    격리된 포트를 구성하기 위해 기본 VLAN의 구성원 중 하나로 포함하지만 커뮤니티 VLAN 중 하나에 속해 구성하지 않습니다.

결과

구성의 결과를 확인:

스위치 3에서 PVLAN 구성

CLI 빠른 구성

이 PVLAN의 분산 스위치로 기능하도록 Switch 3를 신속하게 구성하기 위해 다음 명령을 복사하여 Switch 3의 터미널 창에 붙여넣기:

주:

Interface ge-0/0/2.0은 PVLAN을 라우터에 연결하는 트렁크 포트입니다.

절차

단계별 절차

이 PVLAN의 분산 스위치로 작동하도록 Switch 3를 구성하기 위해 다음 절차를 사용합니다.

  1. 스위치를 아우를 수 있는 finance-comm 커뮤니티 VLAN에 VLAN ID를 설정합니다.

  2. 이 보조 커뮤니티 VLAN의 기본 VLAN을 finance-comm 설정합니다.

  3. 스위치를 아우르는 HR 커뮤니티 VLAN을 위한 VLAN ID 설정:

  4. 이 보조 커뮤니티 VLAN의 기본 VLAN을 hr-comm 설정합니다.

  5. 기본 VLAN에 대한 VLAN ID 설정:

  6. 인접 스위치에서 이 VLAN을 연결하는 PVLAN 트렁크 인터페이스를 설정합니다.

  7. 로컬 스위칭이 없는 기본 VLAN을 설정합니다.

  8. 스위치 간 분리 ID를 설정하여 스위치를 아우를 수 있는 스위치 간 격리 도메인을 생성합니다.

    주:

    격리된 포트를 구성하기 위해 기본 VLAN의 구성원 중 하나로 포함하지만 커뮤니티 VLAN 중 하나에 속해 구성하지 않습니다.

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

기본 VLAN 및 보조 VLAN이 Switch 1에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 1에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN이 Switch 1에서 생성된 것으로 표시되고 2개의 격리된 VLAN과 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 있는 것으로 나타났습니다. 필드와 필드는 이 PVLAN이 두 개 이상의 스위치에 걸쳐 있는 pvlan-trunkInter-switch-isolated 것으로 나타남을 나타냅니다.

기본 VLAN 및 보조 VLAN이 Switch 2에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 2에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN이 Switch 1에서 생성된 것으로 표시되고 2개의 격리된 VLAN과 2개의 커뮤니티 VLAN 및 interswitch 격리 VLAN이 포함되어 있는 것으로 나타났습니다. 필드와 필드의 존재는 두 개 이상의 스위치에 걸쳐 pvlan-trunkInter-switch-isolated 있는 PVLAN을 나타냅니다. 이 출력을 Switch 1의 출력과 비교하면 두 스위치가 모두 동일한 PVLAN()에 속하는지 볼 수 pvlan100 있습니다.

기본 VLAN 및 보조 VLAN이 Switch 3에서 생성된지 확인

목적

여러 스위치에 걸쳐 있는 PVLAN 구성이 Switch 3에서 제대로 작동하고 있는지 확인합니다.

실행

명령어 show vlans extensive 사용:

의미

출력에 따르면 PVLAN()이 Switch 3에서 구성되고 2개의 pvlan100 격리된 VLAN, 2개의 커뮤니티 VLAN 및 interswitch 분리 VLAN이 포함된 것으로 나타났습니다. 그러나 스위치 3는 분산 스위치로 작동하기 때문에 출력에는 PVLAN 내에 액세스 인터페이스가 포함되어 있지 않습니다. 동일한 pvlan-trunkpvlan100 PVLAN에서 Switch 3에서 다른 스위치(Switch 1 및 Switch 2)에 연결하는 인터페이스만 표시됩니다.

예를 들면 다음과 같습니다. QFX 시리즈 스위치에서 보조 VLAN 트렁크 포트 및 Promiscuous 액세스 포트를 사용하는 PVLAN 구성

이 예에서는 사설 VLAN 구성의 일부로 보조 VLAN 트렁크 포트 및 promiscuous 액세스 포트를 구성하는 방법을 보여줍니다. 보조 VLAN 트렁크 포트는 보조 VLAN 트래픽을 전달합니다.

주:

이 예는 Junos OS ELS(Enhanced Layer 2 Software) 구성 스타일이 지원되지 않는 스위치에 대한 스위치 구성을 제공합니다. ELS에 대한 자세한 내용은 를 참조해 CLI.

주어진 프라이빗 VLAN의 경우 보조 VLAN 트렁크 포트가 하나의 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 그러나 보조 VLAN 트렁크 포트는 각 보조 VLAN이 서로 다른 프라이빗(기본) VLAN의 구성원인 경우 여러 보조 VLAN에 대한 트래픽을 전달할 수 있습니다. 예를 들어 보조 VLAN 트렁크 포트는 기본 VLAN pvlan100의 일부인 커뮤니티 VLAN에 대한 트래픽을 전달하고 기본 VLAN pvlan400의 일부인 격리된 VLAN에 대한 트래픽도 전달할 수 있습니다.

보조 VLAN 트래픽을 전달하도록 트렁크 포트를 구성하려면 스위치 1의 단계 및 예제 구성에 표시된와 같이 격리된 명령문을 isolatedinterface1213 사용하세요.

주:

트래픽이 보조 VLAN 트렁크 포트에서 Egress될 때 일반적으로 보조 포트가 구성원인 기본 VLAN의 태그를 수행합니다. 보조 VLAN 트렁크 포트에서 이기종 트래픽이 보조 VLAN 태그를 유지하려는 경우, extend-secondary-vlan-id statement을 사용

전방위 액세스 포트는 비통신 트래픽을 수행하며 하나의 기본 VLAN 중 하나에 불과할 수 있습니다. promiscuous 액세스 포트에서 ingress하는 트래픽은 promiscuous 액세스 포트가 기본 VLAN의 멤버인 보조 VLAN의 포트로 전달됩니다. 보조 VLAN 포트가 트렁크 포트인 경우 이 트래픽은 보조 VLAN 포트에서 이그아웃될 때 적절한 보조 VLAN 태그를 처리합니다.

액세스 포트를 원하는 것으로 구성하려면 스위치 2의 예제 구성 단계에 나와 있는 예시와 같이 promiscuous statement을 12 사용해야 합니다.

보조 VLAN 포트에서 트래픽이 ingress하고 promiscuous 액세스 포트에서 발신하면 트래픽은 egress에서 집계됩니다. 태그된 트래픽이 검색된 액세스 포트에 있는 경우 트래픽은 폐기됩니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 2개의 QFX 디바이스

  • Junos OS 릴리즈 12.2 이상 QFX Series용

개요 및 토폴로지

그림 20 이 예에서 사용된 토폴로지가 표시됩니다. 스위치 1은 여러 개의 기본 및 보조 프라이빗 VLAN을 포함하며 기본 VLAN pvlan100 및 pvlan400의 멤버인 보조 VLAN을 수행하도록 구성된 2개의 보조 VLAN 트렁크 포트도 포함합니다.

스위치 2에는 동일한 프라이빗 VLANS가 포함되어 있습니다. 그림에는 promiscuous 액세스 포트 또는 전이적 트렁크 포트로 구성된 스위치 2의 xe-0/0이 표시되어 있습니다. 여기에 포함된 예제 구성은 이 포트를 promiscuous 액세스 포트로 구성합니다.

또한 이 그림은 스위치 1의 보조 VLAN 트렁크 포트에서 Ingress 이후 트래픽이 어떻게 이동하는지 보여줍니다.

그림 20: 보조 VLAN 트렁크 포트 및 Promiscuous 액세스 포트가 있는 PVLAN 토폴로지보조 VLAN 트렁크 포트 및 Promiscuous 액세스 포트가 있는 PVLAN 토폴로지

표 19표 20두 스위치의 토폴로지 예시에 대한 설정을 나열합니다.

표 19: 스위치 1에서 보조 VLAN 트렁크 구성을 위한 토폴로지 구성 요소
컴포넌트 설명

pvlan100, ID 100

기본 VLAN

pvlan400, ID 400

기본 VLAN

comm300, ID 300

커뮤니티 VLAN, pvlan100 멤버

comm600, ID 600

커뮤니티 VLAN, pvlan400 멤버

isolation-vlan-id 200

분리된 VLAN용 VLAN ID, pvlan100 멤버

고리–vlan-id 500

분리된 VLAN용 VLAN ID, pvlan400 멤버

xe-0/0/0.0

기본 VLAN pvlan100 및 pvlan400용 보조 VLAN 트렁크 포트

xe-0/0/1.0

기본 VLAN pvlan100 및 pvlan400용 PVLAN 트렁크 포트

xe-0/0/2.0

Pvlan100을 위한 격리된 액세스 포트

xe-0/0/3.0

comm300을 위한 커뮤니티 액세스 포트

xe-0/0/5.0

Pvlan400을 위한 격리된 액세스 포트

xe-0/0/6.0

comm600용 커뮤니티 트렁크 포트

표 20: 스위치 2에서 보조 VLAN 트렁크 구성을 위한 토폴로지 구성 요소
컴포넌트 설명

pvlan100, ID 100

기본 VLAN

pvlan400, ID 400

기본 VLAN

comm300, ID 300

커뮤니티 VLAN, pvlan100 멤버

comm600, ID 600

커뮤니티 VLAN, pvlan400 멤버

isolation-vlan-id 200

분리된 VLAN용 VLAN ID, pvlan100 멤버

고리–vlan-id 500

분리된 VLAN용 VLAN ID, pvlan400 멤버

xe-0/0/0.0

기본 VLAN pvlan100을 위한 Promiscuous 액세스 포트

xe-0/0/1.0

기본 VLAN pvlan100 및 pvlan400용 PVLAN 트렁크 포트

xe-0/0/2.0

분리된 VLAN용 보조 트렁크 포트, pvlan100 부재

xe-0/0/3.0

comm300을 위한 커뮤니티 액세스 포트

xe-0/0/5.0

Pvlan400을 위한 격리된 액세스 포트

xe-0/0/6.0

comm600을 위한 커뮤니티 액세스 포트

스위치 1에서 PVLA 구성

CLI 빠른 구성

Switch 1에서 PVLANS를 신속하게 생성 및 구성하기 위해 다음 명령을 복사하고 스위치 터미널 창에 붙여넣기:

절차

단계별 절차

프라이빗 VLAN 및 보조 VLAN 트렁크 포트를 구성하기 위해 다음을 제공합니다.

  1. 인터페이스 및 포트 모드 구성:

  2. 기본 VLA를 생성합니다.

    주:

    기본 VLA는 단 하나의 디바이스에만 있는 경우에도 항상 VLA에 태그를 지정해야 합니다.

  3. 기본 VLA를 프라이빗 VLA로 구성합니다.

  4. 스위치 간에 프라이빗 VLAN 트래픽을 전달하도록 PVLAN 트렁크 포트를 구성합니다.

  5. VLAN ID 300을 사용하여 보조 VLAN comm300을 생성합니다.

  6. comm300을 위한 기본 VLAN 구성:

  7. comm300을 위한 인터페이스 구성:

  8. VLAN ID 600을 사용하여 보조 VLAN comm600을 생성합니다.

  9. comm600을 위한 기본 VLAN 구성:

  10. comm600을 위한 인터페이스 구성:

  11. 인터스위치 격리 VLANS 구성:

    주:

    분리된 VLAN을 수행하도록 보조 VLAN 트렁크 포트를 구성할 경우 격리 vlan-id도 구성해야 합니다. 이는 격리된 VLAN이 하나의 스위치에만 존재하는 경우에도 마찬가지입니다.

  12. 트렁크 포트 xe-0/0/0을 통해 기본 VLA에 보조 VLA를 전달합니다.

  13. 트렁크 포트 xe-0/0/0을 구성하여 comm600(pvlan400의 구성원)을 전달합니다.

    주:

    xe-0/0/0을 포함해 pvlan100 및 pvlan400의 모든 분리된 포트는 구성 및 에서 생성된 격리된 VLAN에 자동으로 포함되어 있기 때문에 격리된 VLAN 트래픽(태그 200 및 500)을 수행하도록 xe-0/0/0을 명시적으로 구성할 필요가 isolation-vlan-id 200isolation-vlan-id 500 없습니다.

  14. 분리될 xe-0/0/2 및 xe-0/0/6을 구성합니다.

결과

스위치 1의 구성 결과 확인:

스위치 2에서 PVLA 구성

Switch 2의 구성은 Switch 1의 구성과 거의 동일합니다. 가장 큰 차이점은 스위치 2의 xe-0/0/0이 전이식 트렁크 포트 또는 전이적 액세스 포트로 구성되어 있는 그림 20 것입니다. 다음 구성에서 xe-0/0/0은 기본 VLAN pvlan100에 대한 promiscuous 액세스 포트로 구성됩니다.

트래픽이 VLAN 기반 포트에서 ingress에 도착하고 promiscuous 액세스 포트에서 발신되면 VLAN 태그는 egress에 드롭되어 해당 시점에서 트래픽이 언태그드됩니다. 예를 들어, 스위치 1의 xe-0/0/0.0에서 구성된 보조 VLAN 트렁크 포트에서 comm600 ingress에 대한 트래픽은 보조 VLAN을 통해 포팅될 때 태그 600을 전달합니다. 이 예에서와 같이 xe-0/0/0.0을 스위치 2에서 발신하면 xe-0/0/0.0을 promiscuous 액세스 포트로 구성하면 어그리게이트되지 않습니다. xe-0/0/0.0을 promiscuous 트렁크 포트(포트 모드 트렁크)로 구성하는 대신 comm600의 트래픽은 Egress 때 기본 VLAN 태그(400)를 사용합니다.

CLI 빠른 구성

Switch 2에서 PVLANS를 신속하게 생성 및 구성하기 위해 다음 명령을 복사하고 스위치 터미널 창에 붙여넣기:

절차

단계별 절차

프라이빗 VLAN 및 보조 VLAN 트렁크 포트를 구성하기 위해 다음을 제공합니다.

  1. 인터페이스 및 포트 모드 구성:

  2. 기본 VLA를 생성합니다.

  3. 기본 VLA를 프라이빗 VLA로 구성합니다.

  4. 스위치 간에 프라이빗 VLAN 트래픽을 전달하도록 PVLAN 트렁크 포트를 구성합니다.

  5. VLAN ID 300을 사용하여 보조 VLAN comm300을 생성합니다.

  6. comm300을 위한 기본 VLAN 구성:

  7. comm300을 위한 인터페이스 구성:

  8. VLAN ID 600을 사용하여 보조 VLAN comm600을 생성합니다.

  9. comm600을 위한 기본 VLAN 구성:

  10. comm600을 위한 인터페이스 구성:

  11. 인터스위치 격리 VLANS 구성:

  12. Pvlan100에 대해 액세스 포트 xe-0/0/0을 Promiscuous로 구성합니다.

    주:

    비차원 액세스 포트는 오직 하나의 기본 VLAN의 멤버가 될 수 있습니다.

  13. 분리될 xe-0/0/2 및 xe-0/0/6을 구성합니다.

결과

Switch 2의 구성 결과 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

프라이빗 VLAN 및 보조 VLAN이 생성된지 확인

목적

기본 VLAN 및 보조 VLAN이 Switch 1에서 올바르게 생성되었는지 확인

실행

명령어 show vlans 사용:

의미

출력에 따르면 프라이빗 VLA가 생성 및 연결되는 인터페이스 및 보조 VLA를 식별합니다.

이더넷 스위칭 테이블 항목 검증

목적

기본 VLAN pvlan100에 대해 이더넷 스위칭 테이블 항목이 생성된지 확인

실행

pvlan100에 대한 이더넷 스위칭 테이블 엔트리를 표시하십시오.

스위치에서 전용 VLAN이 작동하고 있는지 검증

목적

프라이빗 VLANs(Private VLANs)를 생성 및 구성한 후, 적절하게 설정되었는지 확인합니다.

실행

  1. 기본 및 보조 VLAN 구성을 성공적으로 생성한지 여부를 확인하려면 다음을 제공합니다.

    • 단일 스위치의 PVLAN의 경우 show configuration vlans

    • 여러 스위치에 걸쳐 있는 PVLAN의 경우 show vlans extensive

  2. 명령어를 사용하여 단일 스위치의 PVLAN에 대한 VLAN 정보 및 링크 상태 또는 여러 스위치에 걸쳐 show vlans extensive 있는 PVLAN에 대한 링크 상태를 볼 수 있습니다.

    • 단일 스위치의 PVLAN의 경우:

    • 여러 스위치에 걸쳐 있는 PVLAN의 경우:

  3. show ethernet-switching table명령어를 사용하여 VLANS에서 MAC 학습에 대한 로그를 볼 수 있습니다.

주:

여러 스위치에 걸쳐 PVLAN을 구성한 경우 모든 스위치에서 동일한 명령을 사용하여 해당 스위치에서 MAC 학습 로그를 확인할 수 있습니다.

의미

단일 스위치의 PVLAN에 대한 출력 디스플레이에서 기본 VLAN에는 2개의 커뮤니티 도메인(및) 2개의 격리된 포트와 2개의 트렁크 포트가 포함되어 community1community2 있습니다. 단일 스위치의 PVLAN에는 단일 태그()만 있습니다( 이는 기본 1000 VLAN에 해당합니다.

여러 스위치를 아우를 수 있는 PVLAN에는 여러 개의 태그가 포함되어 있습니다.

  • 커뮤니티 도메인은 COM1 태그로 100 식별됩니다.

  • 커뮤니티 도메인은 community2 태그로 20 식별됩니다.

  • interswitch 격리 도메인은 태그로 50 식별됩니다.

  • 기본 primary VLAN은 태그로 식별됩니다. 10

또한 여러 스위치를 아우를 수 있는 PVLAN의 경우 트렁크 인터페이스가 으로 pvlan-trunk 식별됩니다.

QFX 스위치에서 프라이빗 VLA 문제 해결

다음 정보를 사용하여 사설 VLAN 구성의 문제를 해결합니다.

전용 VLA의 한계

프라이빗 VLAN 구성에는 다음과 같은 제약 조건이 적용됩니다.

  • IGMP 스누킹은 프라이빗 VLANS에서 지원되지 않습니다.

  • 라우팅된 VLAN 인터페이스는 프라이빗 VLAN에서 지원되지 않습니다.

  • 동일한 기본 VLAN에 있는 보조 VLAN 간의 라우팅은 지원되지 않습니다.

  • 기본 VLAN을 보조 VLAN으로 변경하려면 먼저 기본 VLAN으로 변경하고 변경을 커밋해야 합니다. 예를 들어, 다음과 같은 절차를 따르게 됩니다.

    1. 기본 VLAN을 표준 VLAN으로 변경합니다.

    2. 구성을 커밋합니다.

    3. 일반 VLAN을 보조 VLAN으로 변경합니다.

    4. 구성을 커밋합니다.

    보조 VLAN을 기본 VLAN으로 변경하려는 경우 동일한 커밋 시퀀스를 따르야 합니다. 즉, 보조 VLAN을 표준 VLAN으로 만들어 변경을 커밋한 다음 일반 VLAN을 기본 VLAN으로 변경합니다.

프라이빗 VLANS를 통해 포우링

문제

설명
  • 분리된 VLAN 또는 커뮤니티 VLAN 태그 트래픽이 PVLAN 트렁크 포트에서 수신될 경우, MAC 주소는 기본 VLAN에서 학습됩니다. 즉, show Ethernet 스위칭 테이블 명령의 출력은 MAC 주소가 기본 VLAN에서 학습하고 보조 VLAN으로 복제된 것을 보여줍니다. 이러한 동작은 전달 결정에 영향을 미치지 않습니다.

  • 보조 VLAN 태그가 있는 패킷이 promiscuous 포트에서 수신되면 이를 수락하고 전달합니다.

  • PVLAN 트렁크 포트에서 패킷이 수신되어 아래에 나열된 두 조건을 모두 충족하면 삭제됩니다.

    • 패킷에는 커뮤니티 VLAN 태그가 있습니다.

    • 패킷은 격리된 VLAN에서 학습된 유니캐스트 MAC 주소 또는 멀티캐스트 그룹 MAC 주소로 전달됩니다.

  • PVLAN 트렁크 포트에서 패킷이 수신되어 아래에 나열된 두 조건을 모두 충족하면 삭제됩니다.

    • 패킷에 격리된 VLAN 태그가 있습니다.

    • 패킷은 커뮤니티 VLAN에서 학습된 유니캐스트 MAC 주소 또는 멀티캐스트 그룹 MAC 주소로 전달됩니다.

  • 기본 VLAN 태그가 있는 패킷이 보조(격리 또는 커뮤니티) VLAN 포트에 의해 수신되는 경우 보조 포트는 패킷을 전달합니다.

  • 한 디바이스에서 커뮤니티 VLAN을 구성하고 두 번째 디바이스에서 다른 커뮤니티 VLAN을 구성하고 두 커뮤니티 VLAN 모두 동일한 VLAN ID를 사용하는 경우, 한 VLAN에 대한 트래픽을 다른 VLAN으로 전달할 수 있습니다. 예를 들어 다음과 같은 구성을 가정합니다.

    • Switch 1의 커뮤니티 VLAN comm1은 VLAN ID 50을 가지며 기본 VLAN pvlan100의 멤버입니다.

    • 또한, 스위치 2의 커뮤니티 VLAN comm2는 VLAN ID 50을 가지며 기본 VLAN pvlan200의 멤버입니다.

    • 기본 VLAN pvlan100은 두 스위치 모두에 존재합니다.

    comm1 트래픽이 스위치 1에서 스위치 2로 전송될 경우 comm2에 참여하는 포트로 전송됩니다. (예상과 같은 트래픽은 comm1의 포트로 전달됩니다.)

솔루션

이러한 동작은 예상되는 동작입니다.

프라이빗 VLA를 장착한 발신 방화벽 필터

문제

설명

출력 방향으로 방화벽 필터를 기본 VLAN에 적용하는 경우, 필터는 트래픽이 기본 VLAN 태그 또는 격리된 VLAN 태그로 에그리게이트될 때 기본 VLAN의 구성원인 보조 VLAN에도 적용됩니다.

  • 보조 VLAN 트렁크 포트에서 promiscuous 포트로 전달된 트래픽(트렁크 또는 액세스)

  • 분리된 VLAN을 PVLAN 트렁크 포트로 전달하는 보조 VLAN 트렁크 포트에서 트래픽을 전달합니다.

  • promiscuous 포트(트렁크 또는 액세스)에서 보조 VLAN 트렁크 포트로 전달된 트래픽

  • PVLAN 트렁크 포트에서 전달된 트래픽. 보조 VLAN 트렁크 포트로

  • 커뮤니티 포트에서 Promiscuous 포트로 전달된 트래픽(트렁크 또는 액세스)

출력 방향으로 방화벽 필터를 기본 VLAN에 적용하는 경우 필터는 아래와 같은 커뮤니티 VLAN 태그로 발신되는 트래픽에는 적용되지 않습니다.

  • 커뮤니티 트렁크 포트에서 PVLAN 트렁크 포트로 전달된 트래픽

  • 커뮤니티 VLAN을 PVLAN 트렁크 포트로 전달하는 보조 VLAN 트렁크 포트에서 전달되는 트래픽

  • Promiscuous 포트(트렁크 또는 액세스)에서 커뮤니티 트렁크 포트로 전달된 트래픽

  • PVLAN 트렁크 포트에서 전달된 트래픽. 커뮤니티 트렁크 포트에 대한

출력 방향으로 방화벽 필터를 커뮤니티 VLAN에 적용하면 다음 동작이 적용됩니다.

  • 필터는 promiscuous 포트(트렁크 또는 액세스)에서 커뮤니티 트렁크 포트로 전달된 트래픽에 적용됩니다(트래픽이 커뮤니티 VLAN 태그로 Egresses 부터).

  • 필터는 커뮤니티 포트에서 PVLAN 트렁크 포트로 전달된 트래픽에 적용됩니다(트래픽이 커뮤니티 VLAN 태그로 발신하기 때문에).

  • 필터는 커뮤니티 포트에서 promiscuous 포트로 전달된 트래픽에 적용되지 않습니다(트래픽이 기본 VLAN 태그 또는 언타그드)를 통해 발신하기 때문에).

솔루션

이러한 동작은 예상되는 동작입니다. 이는 출력 방향의 전용 VLAN에 방화벽 필터를 적용하는 경우만 발생하며, 입력 방향의 전용 VLAN에 방화벽 필터를 적용하는 경우 발생하지 않습니다.

프라이빗 VLA를 통해 발신 포트 미러링

문제

설명

egress에서 프라이빗 VLAN(PVLAN) 트래픽을 미러링하는 포트 미러링 구성을 생성하면 미러링된 트래픽(분석기 시스템으로 전송된 트래픽)은 egress VLAN 대신 ingress VLAN의 VLAN 태그를 가 됩니다. 예를 들어, 다음 PVLAN 구성을 가정합니다.

  • 기본 VLAN pvlan100 및 pvlan400을 전달하는 전방위적인 트렁크 포트입니다.

  • 보조 VLAN을 격리된200을 실시하는 격리된 액세스 포트. 이 VLAN은 기본 VLAN pvlan100의 멤버입니다.

  • 보조 VLAN comm300을 이동하는 커뮤니티 포트. 이 VLAN은 기본 VLAN pvlan100의 구성원입니다.

  • 분석기 시스템에 연결하는 출력 인터페이스(인터페이스 모니터링) 이 인터페이스는 미러링된 트래픽을 분석기로 전달합니다.

pvlan100용 패킷이 promiscuous 트렁크 포트에 입력되고 격리된 액세스 포트에서 나가면 액세스 포트에서 나가기 때문에 원래 패킷은 egress에서 집계되지 않습니다. 그러나 미러 카피는 분석기로 전송될 때 pvlan100에 대한 태그를 유지합니다.

또 다른 예는 다음과 같습니다. comm300용 패킷이 커뮤니티 포트에서 수신되어 promiscuous 트렁크 포트에 전송되는 경우 원래 패킷은 예상대로 egress에서 pvlan100의 태그를 전송합니다. 그러나 미러링된 카피는 분석기로 전송될 때 comm300에 대한 태그를 유지합니다.

솔루션

이는 예상되는 동작입니다.