Ejemplo: Configuración de una interfaz IRB en una VLAN privada en un único enrutador de la serie MX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) en los enrutadores serie MX permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.
En este ejemplo, se describe cómo crear una interfaz de enrutamiento y puentes integrados (IRB) en un dominio de puente PVLAN asociado con una instancia de conmutador virtual en un único enrutador de la serie MX:
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un enrutador serie MX en modo LAN mejorado.
Junos OS versión 15.1 o posterior para enrutadores serie MX
Antes de comenzar a configurar una PVLAN, asegúrese de que dispone de lo siguiente:
Creó y configuró las VLAN necesarias. Consulte Configurar la encapsulación de VLAN extendida y la habilitación del etiquetado de VLAN.
Configure los enrutadores MX240, MX480 y MX960 para funcionar en modo LAN mejorado mediante la introducción de la
network-services laninstrucción en el[edit chassis]nivel de jerarquía.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y cuatro VLAN de comunidad, así como dos puertos aislados.
Supongamos una implementación de ejemplo en la que una VLAN principal denominada VP contiene puertos, p1, p2, t1, t2, i1, i2, cx1 y cx2. Los tipos de puertos de estos puertos configurados son los siguientes:
Puertos promiscuos = p1, p2
Puertos ISL = t1, t2
Puertos aislados = i1, i2
VLAN de la comunidad = Cx
Puertos de la comunidad = cx1, cx2
Una interfaz IRB, irb.0, está configurada y asignada al dominio de puente en la instancia de conmutador virtual.
Los dominios de puente se aprovisionan para cada una de las VLAN, a saber, Vp, Vi y Vcx. Supongamos que los dominios de puente que se configurarán de la siguiente manera:
Vp—BD_primary_Vp (los puertos incluidos son p1, t1, i1, i2, cx1, cx2)
Vi—BD_isolate_Vi (los puertos incluidos son p1, t1, *i1, *i2)
Vcx— BD_community_Vcx (los puertos incluidos son p1, t1, cx1, cx2)
Los dominios de puente para las VLAN comunitarias, principales y aisladas se crean automáticamente por el sistema internamente cuando configura un dominio de puente con una interfaz troncal, una interfaz de acceso o un vínculo de interswitch. Los dominios de puente contienen el mismo ID de VLAN correspondiente a las VLAN. Para usar dominios de puente para PVLAN, debe configurar los siguientes atributos adicionales:
Configuración
Para configurar una interfaz IRB en una PVLAN, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN e incluir una interfaz IRB en un dominio de puente PVLAN asociado con una instancia de conmutador virtual, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
Configuración de una interfaz IRB
set interfaces irb unit 0 family inet address 22.22.22.1/24
Configuración de puertos promiscuos, ISL, aislados y de comunidad
set interfaces ge-0/0/9 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/9 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/13 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/13 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/12 unit 0 family bridge interface-mode access set interfaces ge-0/0/12 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access set interfaces ge-0/0/1 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/2 unit 0 family bridge interface-mode access set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/3 unit 0 family bridge interface-mode access set interfaces ge-0/0/3 unit 0 family bridge vlan-id 60 set interfaces ge-0/0/4 unit 0 family bridge interface-mode access set interfaces ge-0/0/4 unit 0 family bridge vlan-id 60
Configuración de una instancia de conmutador virtual con interfaces de dominio de puente
set routing-instances vs-1 instance-type virtual-switch set routing-instances vs-1 interface ge-0/0/1.0 set routing-instances vs-1 interface ge-0/0/2.0 set routing-instances vs-1 interface ge-0/0/3.0 set routing-instances vs-1 interface ge-0/0/4.0 set routing-instances vs-1 interface ge-0/0/9.0 set routing-instances vs-1 interface ge-0/0/10.0 set routing-instances vs-1 interface ge-0/0/12.0 set routing-instances vs-1 interface ge-0/0/13.0 set routing-instances vs-1 bridge-domains bd1
Especifique la interfaz IRB y los IDENTIFICADORes de VLAN principal, aislado y de comunidad en el dominio de bridge
set routing-instances vs1 bridge-domains bd1 vlan-id 100 set routing-instances vs1 bridge-domains bd1 isolated-vlan 10 set routing-instances vs1 bridge-domains bd1 community-vlans [50 60] set routing-instances vs1 bridge-domains bd1 routing-interface irb.0
Procedimiento
Procedimiento paso a paso
Para configurar el vínculo de interswitch (ISL) para una PVLAN, los tipos de puerto PVLAN y VLAN secundarias para la PVLAN:
Cree una interfaz IRB.
[edit interfaces] user@host# set interfaces irb unit 0 family inet address 22.22.22.1/24
Cree un puerto promiscuo para la PVLAN.
[edit interfaces] user@host# set ge-0/0/9 unit 0 family bridge interface-mode trunk user@host# set ge-0/0/9 unit 0 family bridge vlan-id 100
Cree el puerto de troncalización del vínculo de interswitch (ISL) para la PVLAN.
[edit interfaces] user@host# set ge-0/0/13 unit 0 family bridge interface-mode trunk inter-switch-link user@host# set ge-0/0/13 unit 0 family bridge vlan-id 100
Cree los puertos aislados para la PVLAN.
[edit interfaces] user@host# set ge-0/0/10 unit 0 family bridge interface-mode access user@host# set ge-0/0/10 unit 0 family bridge vlan-id 10 user@host# set ge-0/0/12 unit 0 family bridge interface-mode access user@host# set ge-0/0/12 unit 0 family bridge vlan-id 10
Cree los puertos de la comunidad para la PVLAN.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family bridge interface-mode access user@host# set ge-0/0/1 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/2 unit 0 family bridge interface-mode access user@host# set ge-0/0/2 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/3 unit 0 family bridge interface-mode access user@host# set ge-0/0/3 unit 0 family bridge vlan-id 60 user@host# set ge-0/0/4 unit 0 family bridge interface-mode access user@host# set ge-0/0/4 unit 0 family bridge vlan-id 60
Cree una instancia de conmutador virtual con un dominio de puente y asocie las interfaces lógicas.
[edit routing-instances] user@host# set vs-1 instance-type virtual-switch user@host# set vs-1 interface ge-0/0/1.0 user@host# set vs-1 interface ge-0/0/2.0 user@host# set vs-1 interface ge-0/0/3.0 user@host# set vs-1 interface ge-0/0/4.0 user@host# set vs-1 interface ge-0/0/9.0 user@host# set vs-1 interface ge-0/0/10.0 user@host# set vs-1 interface ge-0/0/12.0 user@host# set vs-1 interface ge-0/0/13.0 user@host# set vs-1 bridge-domains bd1
Especifique la interfaz IRB, los identificadores de VLAN principal, aislado y de comunidad, y asocie las VLAN con el dominio de puente.
[edit routing-instances vs1 bridge-domains bd1] user@host# set vlan-id 100 user@host# set isolated-vlan 10 user@host# set community-vlans [50 60] user@host# set routing-interface irb.0
Resultados
Compruebe los resultados de la configuración:
[edit]
[interfaces]
ge-0/0/9 {
unit 0 {
family bridge {
interface-mode trunk;
vlan-id 100; Promiscuous port by vlan id
}
}
}
ge-0/0/13 {
unit 0 {
family bridge {
interface-mode trunk inter-switch-link; ISL trunk
vlan-id 100;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/12 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/2 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/3 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
ge-0/0/4 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
irb {
unit 0 {
family inet {
address 22.22.22.1/24;
}
}
}
[edit]
routing-instances {
vs-1 {
instance-type virtual-switch;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface ge-0/0/3.0;
interface ge-0/0/4.0;
interface ge-0/0/9.0;
interface ge-0/0/10.0;
interface ge-0/0/12.0;
interface ge-0/0/13.0;
bridge-domains {
bd1 {
vlan-id 100; /* primary vlan */
isolated-vlan 10;
community-vlans [50 60]
routing-interface irb.0 /* IRB interface */
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que se crearon las VLAN privadas y las VLAN secundarias
Propósito
Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador.
Acción
Utilice el show bridge domain comando:
user@host> show bridge domain
Routing instance Bridge domain VLAN ID Interfaces
default-switch bd1-primary-100 100
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
ge-0/0/3.0
ge-0/0/4.0
default-switch bd1-isolation-10 10
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
default-switch bd1-comunity-50 50
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
default-switch bd1-comunity-60 60
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/3.0
ge-0/0/4.0Significado
El resultado muestra que la VLAN principal se creó e identifica las interfaces y las VLAN secundarias asociadas con ella.