Descripción de VLAN privadas en Junos Fusion Enterprise
En este tema se describen las VLAN privadas (PVLAN) en Junos Fusion Enterprise.
En este tema se trata:
Descripción general de PVLAN en Junos Fusion Enterprise
Junos Fusion Enterprise (JFE) admite VLAN privadas (PVLAN). Las PVLAN de Junos Fusion Enterprise son una extensión de las PVLAN en conmutadores independientes que habilitan las PVLAN en puertos extendidos en dispositivos satelitales.
Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, así como para limitar la comunicación conocida entre hosts conocidos. PVLAN es un estándar introducido por RFC 5517 para lograr el aislamiento de puertos o dispositivos en una VLAN de capa 2 mediante la partición de un dominio de difusión VLAN (también llamado VLAN principal) en subdominios más pequeños (también llamados VLAN secundarios).
Las PVLAN se pueden utilizar para fines tales como:
Para ayudar a garantizar la seguridad de los proveedores de servicios que comparten una granja de servidores
Proporcionar seguridad a los suscriptores de varios proveedores de servicios que comparten una red de área metropolitana común.
Para lograr el aislamiento dentro de la misma subred en una red empresarial muy grande
En Junos Fusion Enterprise, las PVLAN se pueden configurar en puertos que pertenecen al dispositivo de agregación o en un puerto extendido en un dispositivo satelital.
Los conceptos de PVLAN para conmutadores independientes se aplican a las PVLAN en Junos Fusion Enterprise. Consulte Descripción de las VLAN privadas.
Sin embargo, algunas "Directrices y restricciones para PVLAN" en Descripción de VLAN privadas, no se aplican a las PVLAN en Junos Fusion Enterprise por los siguientes motivos:
Restricciones en el uso de MSTP y VSTP: los protocolos de árbol de expansión no se admiten en Junos Fusion Enterprise.
Restricciones en el uso de mac-table-size, no-mac-learning, mac-statistics e interface-mac-limit: estas instrucciones no se admiten en Junos Fusion Enterprise.
Descripción de la configuración de PVLAN en una empresa Junos Fusion
Como todas las funciones de Junos Fusion Enterprise, las PVLAN se configuran desde los dispositivos de agregación.
Las topologías PVLAN de Junos Fusion Enterprise admiten lo siguiente:
Múltiples dispositivos satelitales pueden agruparse en un grupo y cablearse al JFE como un grupo en lugar de como dispositivos satelitales individuales.
Los puertos nativos del dispositivo de agregación (es decir, los puertos del dispositivo de agregación que no actúan como puertos en cascada) o los puertos extendidos del dispositivo satélite pueden actuar como puertos promiscuos, puertos aislados o puertos VLAN comunitarios. Consulte Descripción de VLAN privadas para ver definiciones de los tipos de puertos PVLAN. Estos tipos de puertos también se describen en RFC 5517.
El puerto promiscuo se puede conectar a un conmutador o enrutador central a través de interfaces físicas o enlaces agregados.
Las PVLAN son compatibles con JFE de dispositivo de agregación dual.
Recomendamos las siguientes directrices de configuración para PVLAN en Junos Fusion Enterprise:
En un JFE de dispositivo de agregación dual, se recomienda utilizar el vínculo entre chasis (ICL) como vínculo entre conmutadores para la interconmutación PVLAN. Aunque cualquier enlace de puerto en la JFE podría servir como enlace entre conmutadores, los requisitos de ancho de banda alto en el enlace entre conmutadores hacen que la ICL sea la mejor opción.
Los puertos PVLAN pueden abarcar los conmutadores de la JFE. Le recomendamos que interconecte puertos de 10 gigabits o 40 gigabits, ya que proporcionan el alto ancho de banda necesario para el tráfico troncal PVLAN.
Limitaciones para PVLAN en Junos Fusion Enterprise
Tenga en cuenta las siguientes limitaciones al configurar PVLAN en Junos Fusion Enterprise:
Las PVLAN en una JFE no funcionan si la conmutación local está habilitada en dispositivos satelitales.
No puede cambiar la función de un dominio de puente PVLAN de VLAN principal a VLAN secundaria o viceversa en un solo ciclo de confirmación.
Los protocolos configurados por VLAN no se pueden configurar en VLAN secundarias. Las VLAN secundarias heredan configuraciones de protocolo de la VLAN principal.