Configuración del etiquetado VLAN
Las LAN virtuales (VLAN) permiten a los arquitectos de red segmentar las LAN en diferentes dominios de difusión en función de agrupaciones lógicas. En el tema siguiente se describe la configuración de estas VLAN etiquetadas, ID de VLAN y tipos de interfaz Ethernet compatibles en firewalls serie SRX.
Descripción de las LAN virtuales
Una LAN es un dominio de difusión único. Cuando se difunde tráfico, todos los hosts de la LAN reciben el tráfico de difusión. Una LAN viene determinada por la conectividad física de los dispositivos dentro del dominio.
Dentro de una LAN tradicional, los hosts están conectados por un concentrador o repetidor que propaga cualquier tráfico entrante a través de la red. Cada host y sus concentradores o repetidores de conexión forman un segmento LAN. Los segmentos LAN se conectan a través de conmutadores y puentes para formar el dominio de difusión de la LAN. La figura 1 muestra una topología LAN típica.
Las LAN virtuales (VLAN) permiten a los arquitectos de red segmentar las LAN en diferentes dominios de difusión en función de agrupaciones lógicas. Dado que las agrupaciones son lógicas, los dominios de difusión no están determinados por la conectividad física de los dispositivos en la red. Los hosts se pueden agrupar de acuerdo con una función lógica, para limitar la difusión de tráfico dentro de la VLAN solo a los dispositivos para los que está destinado el tráfico.
Supongamos que una red corporativa tiene tres organizaciones principales: ingeniería, ventas y soporte. Mediante el etiquetado de VLAN, los hosts de cada organización se pueden etiquetar con un identificador de VLAN diferente. A continuación, el tráfico enviado al dominio de difusión se compara con el identificador de VLAN y se difunde solo a los dispositivos en la VLAN adecuada. La figura 2 muestra una topología VLAN típica.
típica
Ver también
ID de VLAN y tipos de interfaz Ethernet admitidos en los dispositivos de la serie SRX
En la Tabla 1 se enumera el rango de ID de VLAN por tipo de interfaz admitido en los firewalls de la serie SRX:
Tipo de interfaz |
Tipo de interfaz Rango de ID de VLAN |
|---|---|
10 Gigabit Ethernet de 2 puertos |
Del 1 al 4094 |
Ethernet de 10 gigabits |
Del 1 al 4094 |
Gigabit Ethernet de 16 puertos |
Del 1 al 4094 |
Gigabit Ethernet de 24 puertos |
Del 1 al 4094 |
Ethernet agregada para Fast Ethernet |
Del 1 al 1023 |
Ethernet agregada para Gigabit Ethernet |
Del 1 al 4094 |
Gigabit Ethernet |
Del 1 al 4094 |
Interfaces Ethernet internas y de administración |
Del 1 al 1023 |
En los dispositivos SRX210, SRX220, SRX240, SRX320 y SRX340, en 1-GE SFP Mini-PIM, el ID de VLAN 4093 se incluye en el intervalo de direcciones VLAN reservado. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación). Debido a esto, no podrá configurar el ID de VLAN desde este rango.
Ver también
Configuración del etiquetado VLAN
Puede configurar dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550HM para recibir y reenviar tramas de etiqueta simple, tramas de etiqueta doble o una combinación de tramas de etiqueta simple y etiqueta doble.
Consulte la Tabla 2 para ver las VLAN flexibles.
| Número de etiquetas | ID de VLAN |
|---|---|
0 (sin etiquetar) |
Nativo |
1 (Etiquetado) |
Soltero |
2 (Doble etiquetado) |
Doble |
En este tema se incluyen las siguientes secciones:
- Configuración de marcos de etiqueta única
- Configuración del etiquetado dual
- Configuración del etiquetado mixto
- Configuración de la compatibilidad con etiquetado mixto para paquetes sin etiquetar
Configuración de marcos de etiqueta única
Para configurar un dispositivo para recibir y reenviar tramas de etiqueta única con etiquetas VLAN 802.1Q, incluya la vlan-tagging instrucción en el nivel de [edit interfaces interface-name] jerarquía:
[edit interfaces interface-name] vlan-tagging;
SRX5400, SRX5600 y SRX5800 solo admiten el encuadre de una sola etiqueta.
Configuración del etiquetado dual
Para configurar el dispositivo para recibir y reenviar tramas de etiqueta doble con etiquetas VLAN 802.1Q, incluya la flexible-vlan-tagging instrucción en el nivel de [edit interfaces interface-name] jerarquía:
[edit interfaces interface-name] flexible-vlan-tagging;
Configuración del etiquetado mixto
El etiquetado mixto se admite en interfaces Ethernet de dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550HM. El etiquetado mixto permite configurar dos interfaces lógicas en el mismo puerto Ethernet, una con trama de etiqueta única y otra con trama de etiqueta doble.
Para configurar el etiquetado mixto, incluya la flexible-vlan-tagging instrucción en el nivel de [edit interfaces ge-fpc/pic/port ] jerarquía. También debe incluir la instrucción con y options o la vlan-tags vlan-id instrucción en el nivel jerárquico[edit interfaces ge-fpc/pic/port unit logical-unit-number]:outer inner
[edit interfaces ge-fpc/pic/port]
flexible-vlan-tagging;
unit logical-unit-number {
vlan-id number;
family family {
address address;
}
}
unit logical-unit-number {
vlan-tags inner tpid.vlan-id outer tpid.vlan-id;
family family {
address address;
}
}
Cuando configure la MTU de interfaz física para etiquetado mixto, debe aumentar la MTU a 4 bytes más que el valor de MTU que configuraría para una interfaz etiquetada con VLAN estándar.
Por ejemplo, si el valor de MTU está configurado para ser 1018 en una interfaz etiquetada con VLAN, el valor de MTU en una interfaz etiquetada con VLAN flexible debe ser 1022, es decir, 4 bytes más. Los 4 bytes adicionales acomodan la adición futura de una configuración de etiqueta VLAN apilada en la misma interfaz física.
En el ejemplo siguiente se configura el etiquetado mixto. Las interfaces lógicas de etiqueta doble y etiqueta única se encuentran bajo la misma interfaz física:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}
Configuración de la compatibilidad con etiquetado mixto para paquetes sin etiquetar
Puede configurar la compatibilidad con etiquetado mixto para paquetes sin etiquetar en un puerto. Los paquetes sin etiquetar se aceptan en el mismo puerto mixto etiquetado con VLAN. Para aceptar paquetes sin etiquetar, incluya la native-vlan-id instrucción y la flexible-vlan-tagging instrucción en el nivel jerárquico [edit interfaces interface-name] :
[edit interfaces ge-fpc/pic/port] flexible-vlan-tagging; native-vlan-id number;
El flexible-vlan-tagging solo se admite sin encapsulación o con encapsulación VLAN VPLS.
La interfaz lógica en la que se recibirán los paquetes sin etiquetar debe configurarse con el mismo ID de VLAN nativo que el configurado en la interfaz física. Para configurar la interfaz lógica, incluya la instrucción (que coincida con la instrucción en la vlan-id native-vlan-id interfaz física) en el nivel de [edit interfaces interface-name unit logical-unit-number] jerarquía.
En el ejemplo siguiente se configuran paquetes sin etiquetar para que se asignen a la unidad lógica número 0:
[edit interfaces ge-0/2/0]
flexible-vlan-tagging;
native-vlan-id 232;
unit 0 {
vlan-id 232;
family inet {
address 10.66.1.2/30;
}
}
unit 1 {
vlan-tags outer 0x8100.222 inner 0x8100.221;
family inet {
address 10.66.1.2/30;
}
}