Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de VLAN privadas

Las VLAN limitan las transmisiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá al limitar la comunicación dentro de una VLAN. Las PVLAN logran esto restringiendo los flujos de tráfico a través de sus puertos de conmutación miembro (que se denominan puertos privados) para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto de troncalización ascendente o el grupo de agregación de vínculos (LAG) generalmente se conectan a un enrutador, firewall, servidor o red de proveedor. Por lo general, cada PVLAN contiene muchos puertos privados que se comunican solo con un único puerto de enlace ascendente, lo que impide que los puertos se comuniquen entre sí.

Las PVLAN proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de comunidad y una VLAN aislada ) dentro de una VLAN principal. Los puertos dentro de la misma VLAN comunitaria pueden comunicarse entre sí. Los puertos de una VLAN aislada solo pueden comunicarse con un único puerto de enlace ascendente.

Al igual que las VLAN regulares, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:

  • Una conexión de puerto promiscuo con un enrutador

  • Una interfaz VLAN enrutada (RVI)

Nota:

Para enrutar el tráfico de capa 3 entre redes VLAN secundarias, una PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza una RVI, aún puede implementar una conexión de puerto promiscuo a un enrutador con el puerto promiscuo configurado para manejar solo el tráfico que entra y sale de la PVLAN.

Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocida, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios usan PVLAN para mantener a sus clientes aislados entre sí. Otro uso típico de una PVLAN es proporcionar acceso a Internet por habitación en un hotel.

Nota:

Puede configurar una PVLAN para abarcar conmutadores compatibles con PVLAN.

En este tema, se explican los siguientes conceptos con respecto a las PVLAN en conmutadores de la serie EX:

Beneficios de las PVLAN

La necesidad de separar una sola VLAN es particularmente útil en los siguientes escenarios de implementación:

  • Granjas de servidores: un proveedor de servicios de Internet típico usa una granja de servidores para proporcionar alojamiento web a numerosos clientes. La localización de varios servidores dentro de una sola granja de servidores facilita la administración. Surgen preocupaciones de seguridad si todos los servidores están en la misma VLAN, ya que las difusión de capa 2 van a todos los servidores de la VLAN.

  • Redes Ethernet metropolitanas: un proveedor de servicios metropolitanos ofrece acceso Ethernet de capa 2 a varios hogares, comunidades de alquiler y empresas. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que lleva a un potencial desperdicio de direcciones IP. Las PVLAN proporcionan una solución más segura y eficiente.

Estructura típica y aplicación principal de las PVLAN

Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. Los tipos de dominios y puertos son:

  • VLAN principal: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada/puerto aislado: una VLAN principal puede contener solo una VLAN aislada. Una interfaz dentro de una VLAN aislada puede reenviar paquetes solo a un puerto promiscuo o al puerto ISL (Inter-Switch Link). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente solo necesita tener acceso a un enrutador de puerta de enlace, el dispositivo debe estar conectado a un puerto de troncalización aislado.

  • VLAN de comunidad/puerto de comunidad: puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto ISL. Si tiene, por ejemplo, dos dispositivos de cliente que debe aislar de otros dispositivos del cliente, pero que deben poder comunicarse entre sí, utilice los puertos de la comunidad.

  • Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN comunitaria. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con los dispositivos de punto de conexión suelen estar conectados a un puerto promiscuo.

  • Vínculo entre conmutadores (ISL): un ISL es un puerto de troncalización que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando una PVLAN abarca varios conmutadores.

La PVLAN configurada es el dominio principal (VLAN principal). Dentro de la PVLAN, se configuran VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. La PVLAN que se muestra en Figura 1 incluye dos conmutadores, con un dominio PVLAN principal y varios subdominios.

Figura 1: Subdominios en una PVLANSubdominios en una PVLAN

Como se muestra en Figura 3, una PVLAN tiene solo un dominio principal y varios dominios secundarios. Los tipos de dominios son:

  • VLAN principal: la VLAN se utiliza para reenviar tramas descendentes a VLAN aisladas y de comunidad. La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas aguas arriba a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada dentro de la VLAN principal. Una VLAN principal puede contener solo una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes solo a un puerto promiscuo o al puerto de troncalización PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; ni una interfaz aislada puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente solo necesita tener acceso a un enrutador, el dispositivo debe estar conectado a un puerto de troncalización aislado.

  • VLAN aislada de interswitch secundario: VLAN se utiliza para reenviar tráfico de VLAN aislado de un conmutador a otro mediante puertos de troncalización PVLAN. Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada entre conmutadores es una VLAN secundaria anidada dentro de la VLAN principal.

  • VLAN de comunidad secundaria: VLAN se usa para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas aguas arriba a la VLAN principal. Una VLAN de comunidad es una VLAN secundaria anidada dentro de la VLAN principal. Puede configurar varias VLAN de comunidad dentro de una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto de troncalización PVLAN.

Figura 2 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (100) contiene dos dominios (300 de comunidad y ) y 400un dominio aislado interswitch.

Figura 2: PVLAN que abarca varios conmutadoresPVLAN que abarca varios conmutadores
Nota:

Las VLAN principales y secundarias cuentan con el límite de 4089 VLAN compatibles con la serie QFX. Por ejemplo, cada VLAN en Figura 2 cuenta con este límite.

Estructura típica y aplicación principal de PVLAN en enrutadores serie MX

La PVLAN configurada se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un solo enrutador. La PVLAN que se muestra en Figura 3 incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.

Figura 3: Subdominios en una PVLAN con un enrutadorSubdominios en una PVLAN con un enrutador

Los tipos de dominios son:

  • VLAN principal: la VLAN se utiliza para reenviar tramas descendentes a VLAN aisladas y de comunidad.

  • VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas aguas arriba a la VLAN principal.

  • VLAN aislada de interswitch secundario: la VLAN se utiliza para reenviar el tráfico de VLAN aislado de un enrutador a otro a través de los puertos de troncalización PVLAN.

  • VLAN de comunidad secundaria: VLAN se usa para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas aguas arriba a la VLAN principal.

Nota:

Las PVLAN son compatibles con enrutadores MX80, en enrutadores MX240, MX480 y MX960 con DPC en modo LAN mejorado, en enrutadores serie MX con PIC MPC1, MPC2 y Adaptive Services.

Estructura típica y aplicación principal de PVLAN en conmutadores de la serie EX

Nota:

La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. En los conmutadores EX9200, cada VLAN secundaria también se debe definir con su propio ID de VLAN independiente.

Figura 4 muestra una PVLAN en un solo conmutador, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 50).

Figura 4: VLAN privada en un solo conmutador EXVLAN privada en un solo conmutador EX

Figura 5 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 se conectan a través de un vínculo de interswitch (vínculo troncal PVLAN troncal).

Figura 5: PVLAN que abarca varios conmutadores de la serie EXPVLAN que abarca varios conmutadores de la serie EX

Además, las PVLAN que se muestran en Figura 4 y Figura 5 utilizan un puerto promiscuo conectado a un enrutador como el medio para enrutar el tráfico de capa 3 entre la comunidad y VLAN aisladas. En lugar de usar el puerto promiscuo conectado a un enrutador, puede configurar una RVI en Figura 4 el conmutador en o uno de los conmutadores que se muestran en (en Figura 5 algunos conmutadores EX).

Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador a un puerto promiscuo, como se muestra en Figura 4 y Figura 5, o configurar una RVI.

Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Esta RVI sirve a todo el dominio de PVLAN independientemente de si el dominio incluye uno o más conmutadores. Después de configurar la RVI, los paquetes de capa 3 recibidos por las interfaces VLAN secundarias se asignan a y enrutan por la RVI.

Al configurar la RVI, también debe habilitar el Protocolo de resolución de direcciones (ARP) de proxy para que la RVI pueda manejar las solicitudes de ARP recibidas por las interfaces VLAN secundarias.

Para obtener más información acerca de cómo configurar PVLAN en un solo conmutador y en varios conmutadores, consulte Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI). Para obtener más información acerca de cómo configurar una RVI, consulte Configurar una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Enrutamiento entre VLAN aisladas y comunitarias

Para enrutar el tráfico de capa 3 entre VLAN aisladas y de comunidad, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto troncal de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.

Las PVLAN usan etiquetas 802.1Q para identificar paquetes

Cuando los paquetes se marcan con una etiqueta 802.1Q específica del cliente, esa etiqueta identifica la propiedad de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLAN para realizar un seguimiento de paquetes de diferentes subdominios. Tabla 1 indica cuándo se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en VLAN secundarias.

Tabla 1: Cuando las VLAN en una PVLAN necesitan etiquetas 802.1Q

En un solo conmutador En varios conmutadores

VLAN principal

Especifique una etiqueta 802.1Q estableciendo un ID de VLAN.

Especifique una etiqueta 802.1Q estableciendo un ID de VLAN.

VLAN secundaria

No se necesita ninguna etiqueta en VLAN.

Las VLAN necesitan etiquetas 802.1Q:

  • Especifique una etiqueta 802.1Q para cada VLAN de comunidad estableciendo un ID de VLAN.

  • Especifique la etiqueta 802.1Q para un ID de VLAN de aislamiento estableciendo un ID de aislamiento.

Las PVLAN usan direcciones IP de manera eficiente

Las PVLAN proporcionan conservación de direcciones IP y asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En las PVLAN, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP porque la subred se asigna a la VLAN principal. A los hosts de la VLAN secundaria se les asignan direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.

Tipos de puerto PVLAN y reglas de reenvío

Las PVLAN pueden usar hasta seis tipos de puertos diferentes. La red representada enFigura 2 usa un puerto promiscuo para transportar información al enrutador, puertos de comunidad para conectar las comunidades financieras y de RR. HH. a sus respectivos conmutadores, puertos aislados para conectar los servidores y un puerto troncal PVLAN para conectar los dos conmutadores. Los puertos PVLAN tienen diferentes restricciones:

  • Puerto de troncalización promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN comunitaria. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido dentro de uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con los dispositivos de punto de conexión suelen estar conectados a un puerto promiscuo.

  • Vínculo de troncalización PVLAN: el vínculo de troncalización PVLAN, que también se conoce como vínculo de interswitch, solo se requiere cuando una PVLAN está configurada para abarcar varios conmutadores. El vínculo troncal de PVLAN conecta los múltiples conmutadores que componen la PVLAN.

  • Puerto de troncalización PVLAN: se requiere un puerto de troncalización PVLAN en configuraciones PVLAN multiswitch para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada entre conmutadores), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos, excepto con los puertos aislados.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado es generalmente unidireccional. La pertenencia de un puerto de troncalización PVLAN a la VLAN aislada entre conmutadores es solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresaron en un puerto de acceso promiscuo y, por lo tanto, se reenvían a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización VLAN secundario (no mostrado): los puertos de troncalización secundarios transportan tráfico de VLAN secundario. Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.

  • Puerto comunitario: los puertos comunitarios se comunican entre ellos y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo selecto de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o puertos aislados dentro de su PVLAN.

  • Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos de troncalización PVLAN. Un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio de VLAN aislada (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de respaldo, se conecta en un puerto aislado. En un hotel, cada habitación normalmente estaría conectada en un puerto aislado, lo que significa que no es posible la comunicación habitación a habitación, pero cada habitación puede acceder a Internet en el puerto promiscuo.

  • Puerto de acceso promiscuo (no mostrado): estos puertos llevan tráfico sin etiquetar. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico entra en el dispositivo en un puerto habilitado para VLAN y salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.

  • Puerto de vínculo interswitch: un puerto de vínculo interswitch (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN abarca esos enrutadores. El puerto ISL es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada).

    La comunicación entre un puerto ISL y un puerto aislado es unidireccional. La pertenencia de un puerto ISL a la VLAN aislada entre conmutadores es solo de salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.

Tabla 2 resume la conectividad de capa 2 entre los diferentes tipos de puertos de una PVLAN en conmutadores de la serie EX compatibles con ELS.

Tabla 2: Puertos PVLAN y reenvío de capa 2 en conmutadores de la serie EX compatibles con ELS

Desde el tipo de puerto

¿A puertos aislados?

¿A los puertos promiscuos?

¿A Community Ports?

¿Para el puerto de vínculo entre conmutadores?

Aislado

Negar

Permitir

Negar

Permitir

Promiscuo

Permitir

Permitir

Permitir

Permitir

Comunidad 1

Negar

Permitir

Permitir

Permitir

Tabla 3: Puertos PVLAN y conectividad de capa 2

Tipo de puerto

Troncal promiscuo

Troncalización PVLAN

Troncalización secundaria

Comunidad

Acceso aislado

Acceso promiscuo

Troncal promiscuo

Troncalización PVLAN

Sí, solo la misma comunidad

Troncalización secundaria

No

No

Comunidad

Sí, solo la misma comunidad

No

Acceso aislado

Sí: solo unidireccional

No

No

No

Acceso promiscuo

No

Tabla 4 resume si existe o no conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.

Tabla 4: Puertos PVLAN y conectividad de capa 2 en conmutadores de la serie EX sin soporte ELS

Tipo de puerto

Nueva versión: →

Desde:,

Promiscuo

Comunidad

Aislado

Troncalización PVLAN

RVI

Promiscuo

Comunidad

Sí, solo la misma comunidad

No

Aislado

No

No

Nota:

Esta comunicación es unidireccional.

Troncalización PVLAN

Sí, solo la misma comunidad

Nota:

Esta comunicación es unidireccional.

RVI

Como se señaló en Tabla 4, la comunicación de capa 2 entre un puerto aislado y un puerto troncal PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncalización PVLAN y un puerto de troncalización PVLAN solo puede recibir paquetes desde un puerto aislado. Por el contrario, un puerto de troncalización PVLAN no puede enviar paquetes a un puerto aislado y un puerto aislado no puede recibir paquetes desde un puerto troncal de PVLAN.

Nota:

Si habilita no-mac-learning en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada entre conmutadores) en la PVLAN heredan esa configuración. Sin embargo, si desea deshabilitar el aprendizaje de dirección MAC en cualquier VLAN de comunidad, debe configurar no-mac-learning en cada una de esas VLAN.

Creación de una PVLAN

El diagrama de flujo que se muestra en Figura 6 le da una idea general del proceso para crear PVLAN. Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. (En las reglas de PVLAN, la configuración del puerto de troncalización PVLAN solo se aplica a una PVLAN que se extiende por varios enrutadores.)

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Configurar una VLAN en un único enrutador es relativamente sencillo, como se muestra en Figura 6.

Figura 6: Configurar una PVLAN en un solo conmutadorConfigurar una PVLAN en un solo conmutador

La configuración de una VLAN principal consta de estos pasos:

  1. Configure el nombre de VLAN principal y la etiqueta 802.1Q.

  2. Establecer no-local-switching en la VLAN principal.

  3. Configure el puerto de troncalización promiscuo y los puertos de acceso.

  4. Haga que la troncalización promiscua y los puertos de acceso sean miembros de la VLAN principal.

En una VLAN principal, puede configurar VLAN de comunidad secundaria o VLAN aisladas secundarias, o ambas. La configuración de una VLAN de comunidad secundaria consta de estos pasos:

  1. Configure una VLAN mediante el proceso habitual.

  2. Configure las interfaces de acceso para la VLAN.

  3. Asigne una VLAN principal a la VLAN de la comunidad,

Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción no-local-switching está habilitada en la VLAN principal.

Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete.

Los puertos de troncalización solo son necesarios para configuraciones de PVLAN multirouter: el puerto de troncalización transporta tráfico desde la VLAN principal y desde todas las VLAN secundarias.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • Una interfaz de acceso puede pertenecer solo a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.

  • Una interfaz troncal puede ser miembro de dos VLAN secundarias, siempre y cuando las VLAN secundarias estén en dos VLAN principales diferentes . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentran en la misma VLAN principal.

  • Se debe configurar una sola región del protocolo de árbol de expansión múltiple (MSTP) en todas las VLAN incluidas en la PVLAN.

  • No se admite el protocolo de árbol de expansión de VLAN (VSTP).

  • La ing IGMP no se admite con VLAN privadas.

  • Las interfaces VLAN enrutadas no se admiten en VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.

  • Algunas instrucciones de configuración no se pueden especificar en una VLAN secundaria. Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía solo en la PVLAN principal.

  • Si desea cambiar una VLAN principal a una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal a una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria a una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, luego, cambiar la VLAN normal para que sea una VLAN principal.

Las siguientes funciones no se admiten en PVLAN en conmutadores Junos compatibles con el estilo de configuración ELS:

  • Filtros de firewall VLAN de salida

  • Protección de anillo Ethernet (ERP)

  • Etiquetado VLAN flexible

  • global-mac-statistics

  • Interfaz de enrutamiento y puentes integrados (IRB)

  • Grupos de agregación de vínculos multichasis (MC-LAG)

  • Duplicación de puertos

  • Tunelización Q-in-Q

  • Protocolo de árbol de expansión de VLAN (VSTP)

  • Voz sobre IP (VoIP)

Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía solo en la PVLAN principal: