Descripción de las VLAN privadas
Las VLAN limitan las difusiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá limitando la comunicación dentro de una VLAN. Para ello, las PVLAN restringen los flujos de tráfico a través de sus puertos de conmutador miembro (que se denominan puertos privados) para que estos puertos se comuniquen únicamente con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto troncal de enlace ascendente o el grupo de agregación de vínculos (LAG) suele estar conectado a una red de enrutador, firewall, servidor o proveedor. Normalmente, cada PVLAN contiene muchos puertos privados que se comunican solo con un único puerto de enlace ascendente, lo que impide que los puertos se comuniquen entre sí.
Las PVLAN proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de comunidad y una VLAN aislada) dentro de una VLAN primaria. Los puertos dentro de la misma VLAN de la comunidad pueden comunicarse entre sí. Los puertos dentro de una VLAN aislada solo pueden comunicarse con un único puerto de enlace ascendente.
Al igual que las VLAN normales, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:
Una conexión de puerto promiscua con un enrutador
Una interfaz VLAN enrutada (RVI)
Para enrutar el tráfico de capa 3 entre VLAN secundarias, una PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza una RVI, aún puede implementar una conexión de puerto promiscuo a un enrutador con el puerto promiscuo configurado para manejar solo el tráfico que entra y sale de la PVLAN.
Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios utilizan PVLAN para mantener a sus clientes aislados entre sí. Otro uso típico de una PVLAN es proporcionar acceso a Internet por habitación en un hotel.
Puede configurar una PVLAN para abarcar conmutadores que admitan PVLAN.
En este tema se explican los siguientes conceptos relacionados con las PVLAN en conmutadores de la serie EX:
Ventajas de las PVLAN
La necesidad de segregar una sola VLAN es particularmente útil en los siguientes escenarios de implementación:
Granjas de servidores: un proveedor de servicios Internet típico usa una granja de servidores para proporcionar alojamiento web a numerosos clientes. La ubicación de los distintos servidores dentro de una única granja de servidores facilita la administración. Los problemas de seguridad surgen si todos los servidores se encuentran en la misma VLAN, ya que las difusiones de capa 2 van a todos los servidores de la VLAN.
Redes Ethernet metropolitanas: un proveedor de servicios metropolitanos ofrece acceso Ethernet de capa 2 a una variedad de hogares, comunidades de alquiler y empresas. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que puede generar un desperdicio potencial de direcciones IP. Las PVLAN proporcionan una solución más segura y eficiente.
Estructura típica y aplicación principal de las PVLAN
Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. Los tipos de dominios y puertos son:
VLAN primaria: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN primaria puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).
VLAN aislada/puerto aislado: una VLAN primaria solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada sólo puede reenviar paquetes a un puerto promiscuo o al puerto de vínculo entre conmutadores (ISL). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso solo a un enrutador de puerta de enlace, el dispositivo debe estar conectado a un puerto troncal aislado.
VLAN comunitaria/puerto de comunidad: puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto ISL. Si tiene, por ejemplo, dos dispositivos de cliente que necesita aislar de otros dispositivos de cliente, pero que deben poder comunicarse entre sí, use puertos de comunidad.
Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de punto final suelen estar conectados a un puerto promiscuo.
Vínculo entre conmutadores (ISL): un ISL es un puerto troncal que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando una PVLAN abarca varios conmutadores.
La PVLAN configurada es el dominio principal (VLAN principal ). Dentro de la PVLAN, se configuran VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. La PVLAN que se muestra en incluye dos conmutadores, con un dominio PVLAN primario y varios subdominios.Figura 1
Como se muestra en , una PVLAN solo tiene un dominio principal y varios dominios secundarios.Figura 3 Los tipos de dominios son:
VLAN primaria: VLAN utilizada para reenviar tramas descendentes a VLAN aisladas y comunitarias. La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN primaria puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).
VLAN secundaria aislada: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas ascendentes a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada dentro de la VLAN principal. Una VLAN primaria solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes solo a un puerto promiscuo o al puerto troncal PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; Una interfaz aislada tampoco puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso solo a un enrutador, el dispositivo debe estar conectado a un puerto troncal aislado.
VLAN aislada de interconmutador secundario: VLAN utilizada para reenviar tráfico VLAN aislado de un conmutador a otro a través de puertos troncales PVLAN. Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada de interconmutador es una VLAN secundaria anidada dentro de la VLAN principal.
VLAN de comunidad secundaria: VLAN utilizada para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas ascendentes a la VLAN principal. Una VLAN comunitaria es una VLAN secundaria anidada dentro de la VLAN principal. Puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o con el puerto troncal PVLAN.
muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal () contiene dos dominios de comunidad y ) y un dominio aislado de interconmutador.Figura 2100(300400
Las VLAN primarias y secundarias cuentan para el límite de 4089 VLAN admitidas en la serie QFX. Por ejemplo, cada VLAN en cuenta para este límite.Figura 2
Estructura típica y aplicación principal de las PVLAN en enrutadores de la serie MX
La PVLAN configurada se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un único enrutador. La PVLAN que se muestra en incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.Figura 3
Los tipos de dominios son:
VLAN primaria: VLAN utilizada para reenviar tramas descendentes a VLAN aisladas y comunitarias.
VLAN secundaria aislada: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas ascendentes a la VLAN principal.
VLAN aislada de interconmutador secundario: VLAN utilizada para reenviar tráfico VLAN aislado de un enrutador a otro a través de puertos troncales PVLAN.
VLAN de comunidad secundaria: VLAN utilizada para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas ascendentes a la VLAN principal.
Las PVLAN son compatibles con enrutadores MX80, en enrutadores MX240, MX480 y MX960 con DPC en modo LAN mejorado, en enrutadores serie MX con PIC MPC1, MPC2 y Adaptive Services.
Estructura típica y aplicación principal de las PVLAN en conmutadores de la serie EX
La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. En los conmutadores EX9200, cada VLAN secundaria también debe definirse con su propio ID de VLAN independiente.
muestra una PVLAN en un solo conmutador, donde la VLAN principal (VLAN) contiene dos VLAN de comunidad (VLAN y VLAN) y una VLAN aislada (VLAN).Figura 410030040050
muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (VLAN) contiene dos VLAN de comunidad (VLAN y VLAN) y una VLAN aislada (VLAN 200).Figura 5100300400 También muestra que los conmutadores 1 y 2 están conectados a través de un enlace de interconmutador (enlace troncal PVLAN).
Además, las PVLAN que se muestran y utilizan un puerto promiscuo conectado a un enrutador como medio para enrutar el tráfico de capa 3 entre la comunidad y VLAN aisladas.Figura 4Figura 5 En lugar de utilizar el puerto promiscuo conectado a un enrutador, puede configurar una RVI en el conmutador o en uno de los conmutadores que se muestran en (en algunos conmutadores EX).Figura 4Figura 5
Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador a un puerto promiscuo, como se muestra en y , o configurar una RVI.Figura 4Figura 5
Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Esta RVI sirve a todo el dominio de PVLAN, independientemente de si el dominio incluye uno o más conmutadores. Después de configurar la RVI, los paquetes de capa 3 recibidos por las interfaces VLAN secundarias se asignan a la RVI y la enrutan.
Al configurar la RVI, también debe habilitar el Protocolo de resolución de direcciones (ARP) de proxy para que la RVI pueda controlar las solicitudes ARP recibidas por las interfaces VLAN secundarias.
Para obtener información acerca de la configuración de PVLAN en un solo conmutador y en varios, consulte Creación de una VLAN privada en un único conmutador de la serie EX (procedimiento de CLI).Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de la CLI) Para obtener información acerca de cómo configurar una RVI, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX
Enrutamiento entre VLAN aisladas y comunitarias
Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto troncal de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.
Las PVLAN utilizan etiquetas 802.1Q para identificar paquetes
Cuando los paquetes se marcan con una etiqueta 802.1Q específica del cliente, esa etiqueta identifica la propiedad de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLAN para realizar un seguimiento de los paquetes de diferentes subdominios. indica cuándo se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en las VLAN secundarias.Tabla 1
| En un solo conmutador | En varios conmutadores | |
|---|---|---|
| VLAN principal | Especifique una etiqueta 802.1Q estableciendo un ID de VLAN. |
Especifique una etiqueta 802.1Q estableciendo un ID de VLAN. |
| VLAN secundaria | No se necesita ninguna etiqueta en las VLAN. |
Las VLAN necesitan etiquetas 802.1Q:
|
Las PVLAN utilizan las direcciones IP de manera eficiente
Las PVLAN proporcionan conservación de direcciones IP y asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En las PVLAN, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP porque la subred está asignada a la VLAN principal. A los hosts dentro de la VLAN secundaria se les asignan direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.
Tipos de puertos PVLAN y reglas de reenvío
Las PVLAN pueden utilizar hasta seis tipos de puertos diferentes. La red representada en utiliza un puerto promiscuo para transportar información al enrutador, puertos comunitarios para conectar a las comunidades de finanzas y recursos humanos a sus respectivos conmutadores, puertos aislados para conectar los servidores y un puerto troncal PVLAN para conectar los dos conmutadores.Figura 2 Los puertos PVLAN tienen diferentes restricciones:
Puerto troncal promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye dentro de uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de punto final suelen estar conectados a un puerto promiscuo.
Vínculo troncal de PVLAN: el vínculo troncal de PVLAN, también conocido como vínculo de interconmutador, solo es necesario cuando una PVLAN está configurada para abarcar varios conmutadores. El enlace troncal de PVLAN conecta los múltiples conmutadores que componen la PVLAN.
Puerto troncal PVLAN: se requiere un puerto troncal PVLAN en las configuraciones de PVLAN de varios conmutadores para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada del interconmutador) y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos que no sean los puertos aislados.
La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La pertenencia de un puerto troncal PVLAN a la VLAN aislada del interconmutador es solo de salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto troncal PVLAN, pero un puerto troncal PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes hayan ingresado en un puerto de acceso promiscuo y, por lo tanto, se reenvíen a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).
Puerto de troncalización de VLAN secundaria (no mostrado): los puertos de troncalización secundaria transportan tráfico de VLAN secundaria. Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico solo para una VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.
Puerto comunitario—Los puertos comunitarios se comunican entre sí y con sus puertos promiscuos. Los puertos comunitarios solo sirven a un grupo selecto de usuarios. Estas interfaces están separadas en la capa 2 de todas las demás interfaces en otras comunidades o puertos aislados dentro de su PVLAN.
Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN: un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio VLAN aislado (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de copia de seguridad, está conectado en un puerto aislado. En un hotel, cada habitación normalmente estaría conectada en un puerto aislado, lo que significa que la comunicación de habitación a habitación no es posible, pero cada habitación puede acceder a Internet en el puerto promiscuo.
Puerto de acceso promiscuo (no mostrado): estos puertos transportan tráfico sin etiquetar. El tráfico que ingresa en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico ingresa al dispositivo en un puerto habilitado para VLAN y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.
Puerto de vínculo de interconmutador: un puerto de vínculo de interconmutador (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN abarca esos enrutadores. El puerto ISL es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada).
La comunicación entre un puerto ISL y un puerto aislado es unidireccional. La pertenencia de un puerto ISL a la VLAN aislada del interconmutador es de solo salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no puede reenviar paquetes a un puerto aislado. resume si existe conectividad de capa 2 entre los distintos tipos de puertos.Tabla 3
Tabla 2 resume la conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN en conmutadores serie EX compatibles con ELS.
Desde el tipo de puerto |
¿A puertos aislados? |
¿A puertos promiscuos? |
¿A los puertos comunitarios? |
para interconectar el puerto de enlace? |
|---|---|---|---|---|
Aislado |
Negar |
Permitir |
Negar |
Permitir |
Promiscuo |
Permitir |
Permitir |
Permitir |
Permitir |
Comunidad 1 |
Negar |
Permitir |
Permitir |
Permitir |
Tipo de puerto |
Tronco promiscuo |
Troncal PVLAN |
Tronco secundario |
Comunidad |
Acceso aislado |
Acceso promiscuo |
|---|---|---|---|---|---|---|
Tronco promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Troncal de PVLAN |
Sí |
Sí |
Sí |
Sí, solo la misma comunidad |
Sí |
Sí |
Tronco secundario |
Sí |
Sí |
No |
Sí |
No |
Sí |
Comunidad |
Sí |
Sí |
Sí |
Sí, solo la misma comunidad |
No |
Sí |
Acceso aislado |
Sí |
Sí, solo unidireccional |
No |
No |
No |
Sí |
Acceso promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
Tabla 4 resume si existe o no conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.
Tipo de puerto Nueva versión: → De:↓ |
Promiscuo |
Comunidad |
Aislado |
Troncal PVLAN |
RVI |
|---|---|---|---|---|---|
Promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
Comunidad |
Sí |
Sí, solo la misma comunidad |
No |
Sí |
Sí |
Aislado |
Sí |
No |
No |
Sí Nota:
Esta comunicación es unidireccional. |
Sí |
Troncal de PVLAN |
Sí |
Sí, solo la misma comunidad |
Sí Nota:
Esta comunicación es unidireccional. |
Sí |
Sí |
RVI |
Sí |
Sí |
Sí |
Sí |
Sí |
Como se indica en , La comunicación de capa 2 entre un puerto aislado y un puerto troncal PVLAN es unidireccional.Tabla 4 Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncalización PVLAN y un puerto de troncalización PVLAN solo puede recibir paquetes de un puerto aislado. Por el contrario, un puerto de troncalización PVLAN no puede enviar paquetes a un puerto aislado y un puerto aislado no puede recibir paquetes desde un puerto de troncalización PVLAN.
Si habilita en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada del interconmutador) de la PVLAN heredarán esa configuración.no-mac-learning Sin embargo, si desea deshabilitar el aprendizaje de dirección MAC en cualquier VLAN de la comunidad, debe configurarlo en cada una de esas VLAN.no-mac-learning
Creación de una PVLAN
El diagrama de flujo que se muestra en le da una idea general del proceso para crear PVLAN.Figura 6 Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. (En las reglas de PVLAN, la configuración del puerto troncal de PVLAN solo se aplica a una PVLAN que abarca varios enrutadores).
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Configurar una VLAN en un único enrutador es relativamente sencillo, como se muestra en .Figura 6
La configuración de una VLAN principal consta de estos pasos:
Configure el nombre de la VLAN principal y la etiqueta 802.1Q.
Establezca en la VLAN principal.no-local-switching
Configure el puerto troncal promiscuo y los puertos de acceso.
Haga que el troncal promiscuo y los puertos de acceso sean miembros de la VLAN principal.
Dentro de una VLAN principal, puede configurar VLAN de comunidad secundarias o VLAN aisladas secundarias o ambas. La configuración de una VLAN de comunidad secundaria consta de estos pasos:
Configure una VLAN mediante el proceso habitual.
Configure las interfaces de acceso para la VLAN.
Asigne una VLAN principal a la VLAN de la comunidad,
Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción está habilitada en la VLAN principal.no-local-switching
Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete.
Los puertos de troncalización solo son necesarios para las configuraciones de PVLAN de varios enrutadores: el puerto de troncalización transporta el tráfico desde la VLAN principal y todas las VLAN secundarias.
Limitaciones de las VLAN privadas
Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:
Una interfaz de acceso solo puede pertenecer a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.
Una interfaz troncal puede ser miembro de dos VLAN secundarias siempre que las VLAN secundarias estén en dos VLAN principales diferentes . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentren en la misma VLAN principal.
Se debe configurar una sola región del Protocolo de árbol de expansión múltiple (MSTP) en todas las VLAN incluidas en la PVLAN.
No se admite el protocolo de árbol de expansión de VLAN (VSTP).
La supervisión IGMP no es compatible con VLAN privadas.
Las interfaces VLAN enrutadas no son compatibles con VLAN privadas
No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.
Algunas instrucciones de configuración no se pueden especificar en una VLAN secundaria. Puede configurar las siguientes instrucciones en el nivel de jerarquía solo en la PVLAN principal.
[edit vlans vlan-name switch-options]Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:
Cambie la VLAN principal para que sea una VLAN normal.
Confirme la configuración.
Cambie la VLAN normal para que sea una VLAN secundaria.
Confirme la configuración.
Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.
Las siguientes funciones no se admiten en PVLAN en conmutadores Junos compatibles con el estilo de configuración ELS:
Filtros de firewall VLAN de salida
Protección de anillo Ethernet (ERP)
Etiquetado VLAN flexible
Interfaz de enrutamiento y puente integrados (IRB)
Grupos de agregación de vínculos multichasis (MC-LAG)
Duplicación de puertos
Tunelización Q-in-Q
Protocolo de árbol de expansión de VLAN (VSTP)
Voz sobre IP (VoIP)
Puede configurar las siguientes instrucciones en el nivel de jerarquía solo en la PVLAN principal:[edit vlans vlan-name switch-options]