Ejemplo: Configuración de PVLAN con puertos troncales VLAN secundarios y puertos de acceso promiscuo en un conmutador de la serie QFX
En este ejemplo, se muestra cómo configurar puertos de troncalización de VLAN secundarios y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos troncales de VLAN secundarios transportan tráfico de VLAN secundario.
En este ejemplo, se usa Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN privada (principal) diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.
Para configurar un puerto de troncalización para transportar tráfico de VLAN secundario, utilice las instrucciones aisladas y interface , como se muestra en los pasos 12 , y 13 de la configuración de ejemplo para el conmutador 1.
Cuando el tráfico salida de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal de la que el puerto secundario es miembro. Si desea que el tráfico que salida de un puerto de troncalización VLAN secundario conserve su etiqueta VLAN secundaria, use la instrucción extend-secondary-vlan-id .
Un puerto de acceso promiscuo transporta tráfico sin etiquetar y puede ser miembro de una sola VLAN principal. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que el puerto de acceso promiscuo es miembro. Este tráfico lleva las etiquetas VLAN secundarias adecuadas cuando salida de los puertos VLAN secundarios, si el puerto VLAN secundario es un puerto de troncalización.
Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscuous , como se muestra en el paso 12 de la configuración de ejemplo para el conmutador 2.
Si el tráfico de entrada en un puerto VLAN secundario y la salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos dispositivos QFX
Junos OS versión 12.2 o posterior para la serie QFX
Descripción general y topología
Figura 1 muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas principales y secundarias, y también incluye dos puertos troncales VLAN secundarios configurados para transportar VLAN secundarias que son miembros de las VLAN principales pvlan100 y pvlan400.
El conmutador 2 incluye las mismas VLAN privadas. La figura muestra xe-0/0/0 en el conmutador 2 configurado con puertos de acceso promiscuos o puertos de troncalización promiscuos. La configuración de ejemplo incluida aquí configura este puerto como un puerto de acceso promiscuo.
La figura también muestra cómo fluye el tráfico después de la entrada en los puertos de troncalización VLAN secundarios en el conmutador 1.
Tabla 1 y Tabla 2 enumerar la configuración de la topología de ejemplo en ambos conmutadores.
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN de la comunidad, miembro de pvlan100 |
comm600, ID 600 |
Comunidad VLAN, miembro de pvlan400 |
aislamiento-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
aislamiento–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto troncal de VLAN secundario para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/2.0 |
Puerto de acceso aislado para pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto de troncalización comunitaria para comm600 |
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN de la comunidad, miembro de pvlan100 |
comm600, ID 600 |
Comunidad VLAN, miembro de pvlan400 |
aislamiento-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
aislamiento–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto de acceso promiscuo para VLAN principales pvlan100 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/2.0 |
Puerto troncal secundario para VLAN aislada, miembro de pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto de acceso comunitario para comm600 |
Configurar las PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 1, copie los siguientes comandos y péguelos en una ventana terminal del conmutador:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos de troncalización VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:Las VLAN principales siempre deben estar etiquetadas con VLAN, incluso si existen en un solo dispositivo.
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto de troncalización PVLAN para transportar el tráfico VLAN privado entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree VLAN secundaria comm300 con VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree VLAN secundaria comm600 con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure las VLAN aisladas entre conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Cuando configure un puerto de troncalización VLAN secundario para transportar una VLAN aislada, también debe configurar un aislamiento-vlan-id. Esto es cierto incluso si la VLAN aislada solo existe en un conmutador.
Habilite el puerto de troncalización xe-0/0/0 para transportar VLAN secundarias para las VLAN principales:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure el puerto de troncalización xe-0/0/0 para transportar comm600 (miembro de pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:No es necesario configurar explícitamente xe-0/0/0 para transportar el tráfico de VLAN aislado (etiquetas 200 y 500), ya que todos los puertos aislados de pvlan100 y pvlan400 (incluidos xe-0/0/0.0) se incluyen automáticamente en las VLAN aisladas creadas al configurar
isolation-vlan-id 200yisolation-vlan-id 500.Configure xe-0/0/2 y xe-0/0/6 para que se aísle:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configurar las PVLAN en el conmutador 2
La configuración del conmutador 2 es casi idéntica a la configuración del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo o un puerto de acceso promiscuo, como Figura 1 se muestra. En la siguiente configuración, xe-0/0/0 se configura como un puerto de acceso promiscuo para VLAN principal pvlan100.
Si el tráfico de entrada en un puerto habilitado para VLAN y la salida en un puerto de acceso promiscuo, las etiquetas VLAN se pierden en la salida y el tráfico se desetiqueta en ese punto. Por ejemplo, el tráfico de entrada comm600 en el puerto troncal de VLAN secundario configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 a medida que se reenvía a través de la VLAN secundaria. Cuando salida de xe-0/0/0.0 en el conmutador 2, se desa etiquetará si configura xe-0/0/0.0 como un puerto de acceso promiscuo como se muestra en este ejemplo. Si, en su lugar, configura xe-0/0/0.0 como un puerto de troncalización promiscuo (troncalización en modo puerto), el tráfico de comm600 lleva su etiqueta VLAN principal (400) cuando salida.
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 2, copie los siguientes comandos y péguelos en una ventana terminal de conmutación:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos de troncalización VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto de troncalización PVLAN para transportar el tráfico VLAN privado entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree VLAN secundaria comm300 con VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree VLAN secundaria comm600 con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
Configure las VLAN aisladas entre conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Un puerto de acceso promiscuo puede ser miembro de una sola VLAN principal.
Configure xe-0/0/2 y xe-0/0/6 para que se aísle:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar que se crearon las VLAN privadas y las VLAN secundarias
- Verificar las entradas de la tabla de conmutación Ethernet
Verificar que se crearon las VLAN privadas y las VLAN secundarias
Propósito
Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador 1.
Acción
Utilice el show vlans comando:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
El resultado muestra que las VLAN privadas se crearon e identifica las interfaces y VLAN secundarias asociadas con ellas.
Verificar las entradas de la tabla de conmutación Ethernet
Propósito
Compruebe que las entradas de la tabla de conmutación Ethernet se crearon para VLAN pvlan100 principal.
Acción
Muestra las entradas de la tabla de conmutación Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0