EN ESTA PÁGINA
Descripción de los flujos de tráfico de PVLAN a través de varios conmutadores
Descripción de puertos troncales VLAN secundarios y puertos de acceso promiscuo en PVLAN
Uso de la autenticación 802.1X y VLAN privadas juntas en la misma interfaz
Poner la seguridad del puerto de acceso en redes VLAN privadas
Creación de una VLAN privada en un solo conmutador con soporte ELS (procedimiento de CLI)
Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI)
Creación de una VLAN privada que abarca varios conmutadores de la serie QFX
Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de CLI)
Ejemplo: Configuración de una VLAN privada en un solo conmutador compatible con ELS
Ejemplo: Configuración de una VLAN privada en un solo conmutador serie QFX
Ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX
Ejemplo: Configurar una VLAN privada que abarca varios conmutadores QFX
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores con una interfaz IRB
Ejemplo: Configurar una VLAN privada que abarca varios conmutadores de la serie EX
VLAN privadas
Descripción de VLAN privadas
Las VLAN limitan las transmisiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá al limitar la comunicación dentro de una VLAN. Las PVLAN logran esto restringiendo los flujos de tráfico a través de sus puertos de conmutación miembro (que se denominan puertos privados) para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto de troncalización ascendente o el grupo de agregación de vínculos (LAG) generalmente se conectan a un enrutador, firewall, servidor o red de proveedor. Por lo general, cada PVLAN contiene muchos puertos privados que se comunican solo con un único puerto de enlace ascendente, lo que impide que los puertos se comuniquen entre sí.
Las PVLAN proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de comunidad y una VLAN aislada ) dentro de una VLAN principal. Los puertos dentro de la misma VLAN comunitaria pueden comunicarse entre sí. Los puertos de una VLAN aislada solo pueden comunicarse con un único puerto de enlace ascendente.
Al igual que las VLAN regulares, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:
Una conexión de puerto promiscuo con un enrutador
Una interfaz VLAN enrutada (RVI)
Para enrutar el tráfico de capa 3 entre redes VLAN secundarias, una PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza una RVI, aún puede implementar una conexión de puerto promiscuo a un enrutador con el puerto promiscuo configurado para manejar solo el tráfico que entra y sale de la PVLAN.
Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocida, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios usan PVLAN para mantener a sus clientes aislados entre sí. Otro uso típico de una PVLAN es proporcionar acceso a Internet por habitación en un hotel.
Puede configurar una PVLAN para abarcar conmutadores compatibles con PVLAN.
En este tema, se explican los siguientes conceptos con respecto a las PVLAN en conmutadores de la serie EX:
- Beneficios de las PVLAN
- Estructura típica y aplicación principal de las PVLAN
- Estructura típica y aplicación principal de PVLAN en enrutadores serie MX
- Estructura típica y aplicación principal de PVLAN en conmutadores de la serie EX
- Enrutamiento entre VLAN aisladas y comunitarias
- Las PVLAN usan etiquetas 802.1Q para identificar paquetes
- Las PVLAN usan direcciones IP de manera eficiente
- Tipos de puerto PVLAN y reglas de reenvío
- Creación de una PVLAN
- Limitaciones de las VLAN privadas
Beneficios de las PVLAN
La necesidad de separar una sola VLAN es particularmente útil en los siguientes escenarios de implementación:
Granjas de servidores: un proveedor de servicios de Internet típico usa una granja de servidores para proporcionar alojamiento web a numerosos clientes. La localización de varios servidores dentro de una sola granja de servidores facilita la administración. Surgen preocupaciones de seguridad si todos los servidores están en la misma VLAN, ya que las difusión de capa 2 van a todos los servidores de la VLAN.
Redes Ethernet metropolitanas: un proveedor de servicios metropolitanos ofrece acceso Ethernet de capa 2 a varios hogares, comunidades de alquiler y empresas. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que lleva a un potencial desperdicio de direcciones IP. Las PVLAN proporcionan una solución más segura y eficiente.
Estructura típica y aplicación principal de las PVLAN
Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. Los tipos de dominios y puertos son:
VLAN principal: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).
VLAN aislada/puerto aislado: una VLAN principal puede contener solo una VLAN aislada. Una interfaz dentro de una VLAN aislada puede reenviar paquetes solo a un puerto promiscuo o al puerto ISL (Inter-Switch Link). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente solo necesita tener acceso a un enrutador de puerta de enlace, el dispositivo debe estar conectado a un puerto de troncalización aislado.
VLAN de comunidad/puerto de comunidad: puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto ISL. Si tiene, por ejemplo, dos dispositivos de cliente que debe aislar de otros dispositivos del cliente, pero que deben poder comunicarse entre sí, utilice los puertos de la comunidad.
Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN comunitaria. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con los dispositivos de punto de conexión suelen estar conectados a un puerto promiscuo.
Vínculo entre conmutadores (ISL): un ISL es un puerto de troncalización que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando una PVLAN abarca varios conmutadores.
La PVLAN configurada es el dominio principal (VLAN principal). Dentro de la PVLAN, se configuran VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. La PVLAN que se muestra en Figura 1 incluye dos conmutadores, con un dominio PVLAN principal y varios subdominios.
Como se muestra en Figura 3, una PVLAN tiene solo un dominio principal y varios dominios secundarios. Los tipos de dominios son:
VLAN principal: la VLAN se utiliza para reenviar tramas descendentes a VLAN aisladas y de comunidad. La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).
VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas aguas arriba a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada dentro de la VLAN principal. Una VLAN principal puede contener solo una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes solo a un puerto promiscuo o al puerto de troncalización PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; ni una interfaz aislada puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente solo necesita tener acceso a un enrutador, el dispositivo debe estar conectado a un puerto de troncalización aislado.
VLAN aislada de interswitch secundario: VLAN se utiliza para reenviar tráfico de VLAN aislado de un conmutador a otro mediante puertos de troncalización PVLAN. Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada entre conmutadores es una VLAN secundaria anidada dentro de la VLAN principal.
VLAN de comunidad secundaria: VLAN se usa para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas aguas arriba a la VLAN principal. Una VLAN de comunidad es una VLAN secundaria anidada dentro de la VLAN principal. Puede configurar varias VLAN de comunidad dentro de una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto de troncalización PVLAN.
Figura 2 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (100) contiene dos dominios (300 de comunidad y ) y 400un dominio aislado interswitch.
Las VLAN principales y secundarias cuentan con el límite de 4089 VLAN compatibles con la serie QFX. Por ejemplo, cada VLAN en Figura 2 cuenta con este límite.
Estructura típica y aplicación principal de PVLAN en enrutadores serie MX
La PVLAN configurada se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un solo enrutador. La PVLAN que se muestra en Figura 3 incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.
Los tipos de dominios son:
VLAN principal: la VLAN se utiliza para reenviar tramas descendentes a VLAN aisladas y de comunidad.
VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas aguas arriba a la VLAN principal.
VLAN aislada de interswitch secundario: la VLAN se utiliza para reenviar el tráfico de VLAN aislado de un enrutador a otro a través de los puertos de troncalización PVLAN.
VLAN de comunidad secundaria: VLAN se usa para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas aguas arriba a la VLAN principal.
Las PVLAN son compatibles con enrutadores MX80, en enrutadores MX240, MX480 y MX960 con DPC en modo LAN mejorado, en enrutadores serie MX con PIC MPC1, MPC2 y Adaptive Services.
Estructura típica y aplicación principal de PVLAN en conmutadores de la serie EX
La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. En los conmutadores EX9200, cada VLAN secundaria también se debe definir con su propio ID de VLAN independiente.
Figura 4 muestra una PVLAN en un solo conmutador, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 50).
Figura 5 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 se conectan a través de un vínculo de interswitch (vínculo troncal PVLAN troncal).
Además, las PVLAN que se muestran en Figura 4 y Figura 5 utilizan un puerto promiscuo conectado a un enrutador como el medio para enrutar el tráfico de capa 3 entre la comunidad y VLAN aisladas. En lugar de usar el puerto promiscuo conectado a un enrutador, puede configurar una RVI en Figura 4 el conmutador en o uno de los conmutadores que se muestran en (en Figura 5 algunos conmutadores EX).
Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador a un puerto promiscuo, como se muestra en Figura 4 y Figura 5, o configurar una RVI.
Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Esta RVI sirve a todo el dominio de PVLAN independientemente de si el dominio incluye uno o más conmutadores. Después de configurar la RVI, los paquetes de capa 3 recibidos por las interfaces VLAN secundarias se asignan a y enrutan por la RVI.
Al configurar la RVI, también debe habilitar el Protocolo de resolución de direcciones (ARP) de proxy para que la RVI pueda manejar las solicitudes de ARP recibidas por las interfaces VLAN secundarias.
Para obtener más información acerca de cómo configurar PVLAN en un solo conmutador y en varios conmutadores, consulte Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI). Para obtener más información acerca de cómo configurar una RVI, consulte Configurar una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.
Enrutamiento entre VLAN aisladas y comunitarias
Para enrutar el tráfico de capa 3 entre VLAN aisladas y de comunidad, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto troncal de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.
Las PVLAN usan etiquetas 802.1Q para identificar paquetes
Cuando los paquetes se marcan con una etiqueta 802.1Q específica del cliente, esa etiqueta identifica la propiedad de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLAN para realizar un seguimiento de paquetes de diferentes subdominios. Tabla 1 indica cuándo se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en VLAN secundarias.
| En un solo conmutador | En varios conmutadores | |
|---|---|---|
| VLAN principal | Especifique una etiqueta 802.1Q estableciendo un ID de VLAN. |
Especifique una etiqueta 802.1Q estableciendo un ID de VLAN. |
| VLAN secundaria | No se necesita ninguna etiqueta en VLAN. |
Las VLAN necesitan etiquetas 802.1Q:
|
Las PVLAN usan direcciones IP de manera eficiente
Las PVLAN proporcionan conservación de direcciones IP y asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En las PVLAN, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP porque la subred se asigna a la VLAN principal. A los hosts de la VLAN secundaria se les asignan direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.
Tipos de puerto PVLAN y reglas de reenvío
Las PVLAN pueden usar hasta seis tipos de puertos diferentes. La red representada enFigura 2 usa un puerto promiscuo para transportar información al enrutador, puertos de comunidad para conectar las comunidades financieras y de RR. HH. a sus respectivos conmutadores, puertos aislados para conectar los servidores y un puerto troncal PVLAN para conectar los dos conmutadores. Los puertos PVLAN tienen diferentes restricciones:
Puerto de troncalización promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN comunitaria. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido dentro de uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con los dispositivos de punto de conexión suelen estar conectados a un puerto promiscuo.
Vínculo de troncalización PVLAN: el vínculo de troncalización PVLAN, que también se conoce como vínculo de interswitch, solo se requiere cuando una PVLAN está configurada para abarcar varios conmutadores. El vínculo troncal de PVLAN conecta los múltiples conmutadores que componen la PVLAN.
Puerto de troncalización PVLAN: se requiere un puerto de troncalización PVLAN en configuraciones PVLAN multiswitch para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada entre conmutadores), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos, excepto con los puertos aislados.
La comunicación entre un puerto troncal PVLAN y un puerto aislado es generalmente unidireccional. La pertenencia de un puerto de troncalización PVLAN a la VLAN aislada entre conmutadores es solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresaron en un puerto de acceso promiscuo y, por lo tanto, se reenvían a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).
Puerto de troncalización VLAN secundario (no mostrado): los puertos de troncalización secundarios transportan tráfico de VLAN secundario. Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.
Puerto comunitario: los puertos comunitarios se comunican entre ellos y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo selecto de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o puertos aislados dentro de su PVLAN.
Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos de troncalización PVLAN. Un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio de VLAN aislada (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de respaldo, se conecta en un puerto aislado. En un hotel, cada habitación normalmente estaría conectada en un puerto aislado, lo que significa que no es posible la comunicación habitación a habitación, pero cada habitación puede acceder a Internet en el puerto promiscuo.
Puerto de acceso promiscuo (no mostrado): estos puertos llevan tráfico sin etiquetar. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico entra en el dispositivo en un puerto habilitado para VLAN y salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.
Puerto de vínculo interswitch: un puerto de vínculo interswitch (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN abarca esos enrutadores. El puerto ISL es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada).
La comunicación entre un puerto ISL y un puerto aislado es unidireccional. La pertenencia de un puerto ISL a la VLAN aislada entre conmutadores es solo de salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.
Tabla 2 resume la conectividad de capa 2 entre los diferentes tipos de puertos de una PVLAN en conmutadores de la serie EX compatibles con ELS.
Desde el tipo de puerto |
¿A puertos aislados? |
¿A los puertos promiscuos? |
¿A Community Ports? |
¿Para el puerto de vínculo entre conmutadores? |
|---|---|---|---|---|
Aislado |
Negar |
Permitir |
Negar |
Permitir |
Promiscuo |
Permitir |
Permitir |
Permitir |
Permitir |
Comunidad 1 |
Negar |
Permitir |
Permitir |
Permitir |
Tipo de puerto |
Troncal promiscuo |
Troncalización PVLAN |
Troncalización secundaria |
Comunidad |
Acceso aislado |
Acceso promiscuo |
|---|---|---|---|---|---|---|
Troncal promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Troncalización PVLAN |
Sí |
Sí |
Sí |
Sí, solo la misma comunidad |
Sí |
Sí |
Troncalización secundaria |
Sí |
Sí |
No |
Sí |
No |
Sí |
Comunidad |
Sí |
Sí |
Sí |
Sí, solo la misma comunidad |
No |
Sí |
Acceso aislado |
Sí |
Sí: solo unidireccional |
No |
No |
No |
Sí |
Acceso promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
Tabla 4 resume si existe o no conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.
Tipo de puerto Nueva versión: → Desde:, |
Promiscuo |
Comunidad |
Aislado |
Troncalización PVLAN |
RVI |
|---|---|---|---|---|---|
Promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
Comunidad |
Sí |
Sí, solo la misma comunidad |
No |
Sí |
Sí |
Aislado |
Sí |
No |
No |
Sí Nota:
Esta comunicación es unidireccional. |
Sí |
Troncalización PVLAN |
Sí |
Sí, solo la misma comunidad |
Sí Nota:
Esta comunicación es unidireccional. |
Sí |
Sí |
RVI |
Sí |
Sí |
Sí |
Sí |
Sí |
Como se señaló en Tabla 4, la comunicación de capa 2 entre un puerto aislado y un puerto troncal PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncalización PVLAN y un puerto de troncalización PVLAN solo puede recibir paquetes desde un puerto aislado. Por el contrario, un puerto de troncalización PVLAN no puede enviar paquetes a un puerto aislado y un puerto aislado no puede recibir paquetes desde un puerto troncal de PVLAN.
Si habilita no-mac-learning en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada entre conmutadores) en la PVLAN heredan esa configuración. Sin embargo, si desea deshabilitar el aprendizaje de dirección MAC en cualquier VLAN de comunidad, debe configurar no-mac-learning en cada una de esas VLAN.
Creación de una PVLAN
El diagrama de flujo que se muestra en Figura 6 le da una idea general del proceso para crear PVLAN. Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. (En las reglas de PVLAN, la configuración del puerto de troncalización PVLAN solo se aplica a una PVLAN que se extiende por varios enrutadores.)
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Configurar una VLAN en un único enrutador es relativamente sencillo, como se muestra en Figura 6.
La configuración de una VLAN principal consta de estos pasos:
Configure el nombre de VLAN principal y la etiqueta 802.1Q.
Establecer no-local-switching en la VLAN principal.
Configure el puerto de troncalización promiscuo y los puertos de acceso.
Haga que la troncalización promiscua y los puertos de acceso sean miembros de la VLAN principal.
En una VLAN principal, puede configurar VLAN de comunidad secundaria o VLAN aisladas secundarias, o ambas. La configuración de una VLAN de comunidad secundaria consta de estos pasos:
Configure una VLAN mediante el proceso habitual.
Configure las interfaces de acceso para la VLAN.
Asigne una VLAN principal a la VLAN de la comunidad,
Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción no-local-switching está habilitada en la VLAN principal.
Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete.
Los puertos de troncalización solo son necesarios para configuraciones de PVLAN multirouter: el puerto de troncalización transporta tráfico desde la VLAN principal y desde todas las VLAN secundarias.
Limitaciones de las VLAN privadas
Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:
Una interfaz de acceso puede pertenecer solo a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.
Una interfaz troncal puede ser miembro de dos VLAN secundarias, siempre y cuando las VLAN secundarias estén en dos VLAN principales diferentes . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentran en la misma VLAN principal.
Se debe configurar una sola región del protocolo de árbol de expansión múltiple (MSTP) en todas las VLAN incluidas en la PVLAN.
No se admite el protocolo de árbol de expansión de VLAN (VSTP).
La ing IGMP no se admite con VLAN privadas.
Las interfaces VLAN enrutadas no se admiten en VLAN privadas
No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.
Algunas instrucciones de configuración no se pueden especificar en una VLAN secundaria. Puede configurar las siguientes instrucciones en el
[edit vlans vlan-name switch-options]nivel de jerarquía solo en la PVLAN principal.Si desea cambiar una VLAN principal a una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:
Cambie la VLAN principal para que sea una VLAN normal.
Confirme la configuración.
Cambie la VLAN normal a una VLAN secundaria.
Confirme la configuración.
Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria a una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, luego, cambiar la VLAN normal para que sea una VLAN principal.
Las siguientes funciones no se admiten en PVLAN en conmutadores Junos compatibles con el estilo de configuración ELS:
Filtros de firewall VLAN de salida
Protección de anillo Ethernet (ERP)
Etiquetado VLAN flexible
Interfaz de enrutamiento y puentes integrados (IRB)
Grupos de agregación de vínculos multichasis (MC-LAG)
Duplicación de puertos
Tunelización Q-in-Q
Protocolo de árbol de expansión de VLAN (VSTP)
Voz sobre IP (VoIP)
Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía solo en la PVLAN principal:
Descripción de los flujos de tráfico de PVLAN a través de varios conmutadores
En este tema, se ilustran y explican tres flujos de tráfico diferentes en una red multiswitch de ejemplo configurada con una VLAN privada (PVLAN). Las PVLAN restringen los flujos de tráfico a través de sus puertos de conmutación miembro (que se denominan "puertos privados") de modo que solo se comuniquen con un puerto troncal de enlace ascendente específico o con puertos especificados dentro de la misma VLAN.
En este tema se describe:
- VLAN de la comunidad que envía tráfico sin etiquetar
- VLAN aislada que envía tráfico sin etiquetar
- Tráfico con etiqueta PVLAN enviado a un puerto promiscuo
VLAN de la comunidad que envía tráfico sin etiquetar
En este caso, una VLAN en la comunidad 1 del conmutador 1 en la interfaz ge-0/0/0 envía tráfico sin etiquetar. Las flechas representan Figura 7 este flujo de tráfico.
En este caso, se lleva a cabo la siguiente actividad en el conmutador 1:
Comunidad-1 VLAN en la interfaz ge-0/0/0: Aprendizaje
pvlan100 en interfaz ge-0/0/0: Replicación
Comunidad-1 VLAN en la interfaz ge-0/0/12: Recibe tráfico
Puerto troncal PVLAN: El tráfico sale de ge-1/0/2 y de ae0 con etiqueta 10
Community-2: La interfaz no recibe tráfico
VLAN aisladas: Las interfaces no reciben tráfico
En este caso, esta actividad se lleva a cabo en el conmutador 3:
Community-1 VLAN en la interfaz ge-0/0/23 (troncalización PVLAN): Aprendizaje
pvlan100 en la interfaz ge-0/0/23: Replicación
Community-1 VLAN en la interfaz ge-0/0/9 y ge-0/0/16: Recibe tráfico
Puerto troncal promiscuo: El tráfico sale de ge-0/0/0 con etiqueta 100
Comunidad-2: La interfaz no recibe tráfico
VLAN aisladas: Las interfaces no reciben tráfico
VLAN aislada que envía tráfico sin etiquetar
En este caso, VLAN1 aislada en el conmutador 1 en la interfaz ge-1/0/0 envía tráfico sin etiquetar. Las flechas representan Figura 8 este flujo de tráfico.
En este caso, se lleva a cabo la siguiente actividad en el conmutador 1:
VLAN1 aislada en la interfaz ge-1/0/0: Aprendizaje
pvlan100 en interfaz ge-1/0/0: Replicación
El tráfico sale de pvlan-trunk ge-1/0/2 y ae0 con la etiqueta 50
Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico
VLAN aisladas: Las interfaces no reciben tráfico
En este caso, esta actividad se lleva a cabo en el conmutador 3:
VLAN en la interfaz ge-0/0/23 (puerto troncal PVLAN): Aprendizaje
pvlan100 en la interfaz ge0/0/23: Replicación
Puerto troncal promiscuo: El tráfico sale de ge-0/0/0 con etiqueta 100
Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico
VLAN aisladas: No reciba tráfico
Tráfico con etiqueta PVLAN enviado a un puerto promiscuo
En este caso, el tráfico etiquetado de PVLAN se envía a un puerto promiscuo. Las flechas representan Figura 9 este flujo de tráfico.
En este caso, se lleva a cabo la siguiente actividad en el conmutador 1:
pvlan100 VLAN en la interfaz ae0 (troncalización PVLAN): Aprendizaje
Community-1, Community-2 y todas las VLAN aisladas en la interfaz ae0: Replicación
VLAN en la interfaz ae0: Replicación
El tráfico sale de pvlan-trunk ge-1/0/2 con la etiqueta 100
Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico
VLAN aisladas: Recepción de tráfico
En este caso, esta actividad se lleva a cabo en el conmutador 3:
pvlan100 en interfaz ge-0/0/0: Aprendizaje
Community-1, Community-2 y todas las VLAN aisladas en la interfaz ge-0/0/0: Replicación
VLAN en la interfaz ge-0/0/0: Replicación
Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico
VLAN aisladas: Recepción de tráfico
Descripción de puertos troncales VLAN secundarios y puertos de acceso promiscuo en PVLAN
Las VLAN limitan las transmisiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá al dividir una VLAN en varios subdominios de difusión y, básicamente, colocar VLAN secundarias dentro de una VLAN principal. Las PVLAN restringen los flujos de tráfico a través de sus puertos miembros para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto de troncalización ascendente suele estar conectado a un enrutador, firewall, servidor o red de proveedor. Una PVLAN normalmente contiene muchos puertos privados que se comunican solo con un único enlace ascendente, lo que impide que los puertos se comuniquen entre sí.
Los puertos troncales secundarios y los puertos de acceso promiscuo extienden la funcionalidad de las PVLAN para su uso en implementaciones complejas, como:
Entornos de infraestructura de VMWare empresarial
Servicios de nube multiinteniente con administración de VM
Servicios de alojamiento web para varios clientes
Por ejemplo, puede usar puertos de troncalización VLAN secundarios para conectar dispositivos QFX a servidores VMware configurados con VLAN privadas. Puede usar puertos de acceso promiscuo para conectar dispositivos QFX a sistemas que no admiten puertos de troncalización pero que necesitan participar en VLAN privadas.
En este tema, se explican los siguientes conceptos con respecto a las PVLAN en la serie QFX:
Tipos de puerto PVLAN
Las PVLAN pueden usar los siguientes tipos de puerto diferentes:
Puerto de troncalización promiscuo: un puerto promiscuo es un puerto troncal ascendente conectado a un enrutador, firewall, servidor o red de proveedor. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y comunitarios dentro de una PVLAN.
Puerto de troncalización PVLAN: se requiere un puerto de troncalización PVLAN en configuraciones PVLAN multiswitch para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada entre conmutadores), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.
La comunicación entre un puerto troncal PVLAN y un puerto aislado es generalmente unidireccional. La pertenencia de un puerto de troncalización PVLAN a la VLAN aislada entre conmutadores es solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresaron en un puerto de acceso promiscuo y, por lo tanto, se reenvían a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).
Puerto de troncalización VLAN secundario: los puertos de troncalización de VLAN secundarios transportan tráfico de VLAN secundario. Para una VLAN privada (principal) dada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.
Nota:Cuando el tráfico salida de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal de la que el puerto secundario es miembro. Si desea que el tráfico que salida de un puerto de troncalización VLAN secundario conserve su etiqueta VLAN secundaria, use la extend-secondary-vlan-id instrucción.
Puerto comunitario: los puertos comunitarios se comunican entre ellos y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo selecto de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o puertos aislados dentro de su PVLAN.
Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.
Puerto de acceso promiscuo: estos puertos llevan tráfico sin etiquetar y pueden ser miembros de una sola VLAN principal. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que el puerto de acceso promiscuo es miembro. En este caso, el tráfico lleva la etiqueta VLAN secundaria adecuada cuando salida del puerto VLAN secundario, si el puerto VLAN secundario es un puerto de troncalización. Si el tráfico de entrada en un puerto VLAN secundario y la salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.
Detalles del puerto de troncalización VLAN secundario
Cuando utilice un puerto troncal de VLAN secundario, tenga en cuenta lo siguiente:
Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto troncal de VLAN secundario. Esto es cierto incluso si las VLAN secundarias que transportará el puerto de troncalización VLAN secundaria están confinadas a un solo dispositivo.
Si configura un puerto para que sea un puerto troncal de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de los siguientes:
Puerto troncal de VLAN secundario para otra VLAN principal
Troncalización PVLAN para otra VLAN principal
Puerto troncal promiscuo
Puerto de acceso para una VLAN no privada
El tráfico que penetra en un puerto troncal de VLAN secundario (con una etiqueta VLAN secundaria) y salida en un puerto de troncalización PVLAN conserva la etiqueta VLAN secundaria en la salida.
El tráfico que entrada en un puerto troncal de VLAN secundario y salida en un puerto de troncalización promiscuo tiene la etiqueta VLAN principal adecuada en la salida.
El tráfico que accede a un puerto troncal de VLAN secundario y a la salida de un puerto de acceso promiscuo no se etiqueta en la salida.
El tráfico que penetra en un puerto de troncalización promiscuo con una etiqueta VLAN principal y salida en un puerto troncal de VLAN secundario lleva la etiqueta VLAN secundaria adecuada en la salida. Por ejemplo, suponga que ha configurado lo siguiente en un conmutador:
VLAN principal 100
VLAN de la comunidad 200 como parte de la VLAN principal
Puerto troncal promiscuo
Puerto de troncalización secundario que transporta VLAN comunitaria 200
Si un paquete entrada en el puerto de troncalización promiscuo con etiqueta VLAN principal 100 y salida en el puerto troncal de VLAN secundario, lleva la etiqueta 200 en la salida.
Casos de uso
En la misma interfaz física, puede configurar varios puertos de troncalización VLAN secundarios (en VLAN principales diferentes) o combinar un puerto troncal de VLAN secundario con otros tipos de puertos VLAN. Los siguientes casos de uso proporcionan ejemplos de esto y muestran cómo fluye el tráfico en cada caso:
- Troncalización de VLAN secundaria en dos VLAN principales
- Troncalización VLAN secundaria y troncalización promiscua
- Troncalización VLAN secundaria y troncalización PVLAN
- Interfaz de troncalización de VLAN secundaria y no privada
- Tráfico de entrada en el puerto de acceso promiscuo
Troncalización de VLAN secundaria en dos VLAN principales
Para este caso de uso, supongamos que tiene dos conmutadores con la siguiente configuración:
VLAN principal pvlan100 con etiqueta 100.
La VLAN aislada isolated200 con etiqueta 200 es miembro de pvlan100.
Community VLAN comm300 con etiqueta 300 es miembro de pvlan100.
VLAN principal pvlan400 con etiqueta 400.
VLAN aislado aislado 500 con etiqueta 500 es miembro de pvlan400.
Community VLAN comm600 con etiqueta 600 es miembro de pvlan400.
La interfaz xe-0/0/0 en el conmutador 1 se conecta a un servidor VMware (no se muestra) que está configurado con las VLAN privadas utilizadas en este ejemplo. Esta interfaz está configurada con puertos de troncalización de VLAN secundarios para transportar tráfico para VLAN secundaria comm600 y la VLAN aislada (etiqueta 200) que es miembro de pvlan100.
La interfaz xe-0/0/0 en el conmutador 2 se muestra configurada como un puerto de troncalización promiscuo o un puerto de acceso promiscuo. En este último caso, puede asumir que se conecta a un sistema (no mostrado) que no admite puertos de troncalización pero que está configurado con las VLAN privadas utilizadas en este ejemplo.
En el conmutador 1, xe-0/0/6 es miembro de comm600 y está configurado como un puerto de troncalización.
En el conmutador 2, xe-0/0/6 es miembro de comm600 y está configurado como un puerto de acceso.
Figura 10 muestra esta topología y cómo fluye el tráfico para aislados200 y comm600 después de la entrada en xe-0/0/0 en el conmutador 1. Tenga en cuenta que el tráfico solo fluiría donde las flechas lo indiquen. Por ejemplo, no hay flechas para las interfaces xe-0/0/2, xe-0/0/3 y xe-0/0/5 en el conmutador 1, ya que ningún paquete salida de esas interfaces.
Este es el flujo de tráfico para VLAN aislada200:
Tenga en cuenta que el tráfico de VLAN aislada200 no sale del puerto de acceso aislado xe-0/0/2 del conmutador 1 ni del puerto de troncalización VLAN secundario xe-0/0/2 del conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.
Este es el flujo de tráfico para VLAN comm600:
Después de que el tráfico para la comm600 entrada en el puerto de troncalización VLAN secundario en el conmutador 1, salida del puerto de troncalización PVLAN porque el puerto de troncalización PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida.
El tráfico de comm600 también egresa en el puerto de la comunidad xe-0/0/6 en el conmutador 1. El tráfico se etiqueta porque el puerto está configurado como troncalización.
Después de la entrada de tráfico para comm600 en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, si esta interfaz está configurada como un puerto de troncalización promiscuo.
Nota:Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, el puerto puede participar en una sola VLAN principal. En este caso, el puerto de acceso promiscuo forma parte de pvlan100, por lo que el tráfico para comm600 no sale de él
El tráfico de comm600 también salida en el puerto de la comunidad xe-0/0/6 en el conmutador 2. En este caso, el tráfico no está marcado porque el modo de puerto es acceso.
Troncalización VLAN secundaria y troncalización promiscua
Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, con una excepción: En este caso, xe-0/0/0 en el conmutador 1 se configura como un puerto troncal de VLAN secundario para VLAN pvlan100 y también está configurado como un puerto de troncalización promiscuo para pvlan400.
Figura 11 muestra esta topología y cómo fluye el tráfico de aislados200 (miembro de pvlan100) y comm600 (miembro de pvlan400) después de la entrada en el conmutador 1.
El flujo de tráfico para VLAN aislado200 es el mismo que en el caso de uso anterior, pero el flujo para comm600 es diferente. Este es el flujo de tráfico para VLAN comm600:
Troncalización VLAN secundaria y troncalización PVLAN
Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto troncal de VLAN secundario para VLAN pvlan100 y también está configurado como puerto de troncalización PVLAN para pvlan400.
Figura 12 muestra esta topología y cómo fluye el tráfico de comm300 (miembro de pvlan100) y comm600 (miembro de pvlan400) después de la entrada en el conmutador 1.
Este es el flujo de tráfico para VLAN comm300:
Este es el flujo de tráfico para VLAN comm600:
Después de que el tráfico para la entrada comm600 en el puerto PVLAN xe-0/0/0 en el conmutador 1, salida por el puerto de comunidad xe-0/0/6 en el conmutador 1. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida, ya que xe-0/0/6 es un puerto de troncalización.
El tráfico de comm600 también salida en el puerto de troncalización PVLAN xe-0/0/1, ya que ese puerto troncal de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida.
Después de la entrada de tráfico para comm600 en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, si esta interfaz está configurada como un puerto de troncalización promiscuo.
No sale en xe-0/0/0 si esta interfaz está configurada como un puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.
El tráfico de comm600 también salida en el puerto de la comunidad xe-0/0/6 en el conmutador 2. Este tráfico no se etiqueta en la salida porque xe-0/0/6 es un puerto de acceso.
Interfaz de troncalización de VLAN secundaria y no privada
Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto por estas diferencias:
Configuración para xe-0/0/0 en el conmutador 1:
Puerto troncal de VLAN secundario para VLAN pvlan100
Puerto de acceso para vlan700
El puerto xe-0/0/6 en ambos conmutadores es un puerto de acceso para vlan700.
Figura 13 muestra esta topología y cómo fluye el tráfico de aislados200 (miembro de pvlan100) y vlan700 después de la entrada en el conmutador 1.
Este es el flujo de tráfico para VLAN aislada200:
Tenga en cuenta que el tráfico de VLAN aislada200 no sale del puerto de acceso aislado xe-0/0/2 del conmutador 1 ni del puerto de troncalización VLAN secundario xe-0/0/2 del conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.
Después de que el tráfico de vlan700 ingresara en el puerto de acceso configurado en xe-0/0/0 en el conmutador 1, salida por el puerto de acceso xe-0/0/6 porque ese puerto es miembro de la misma VLAN. El tráfico de vlan700 no se reenvía al conmutador 2 (aunque xe-0/0/6 en el conmutador 2 es miembro de vlan700) porque la troncalización PVLAN en xe-0/0/1 no transporta esta VLAN.
Tráfico de entrada en el puerto de acceso promiscuo
Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto de acceso promiscuo y es miembro de pvlan100. Figura 14 muestra esta topología y cómo fluye el tráfico sin etiqueta después de pasar por esta interfaz en el conmutador 1.
Como se muestra en la figura, el tráfico sin etiquetar que penetra en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios que son miembros de la misma VLAN principal a la que pertenece el puerto de acceso promiscuo. El tráfico no se etiqueta cuando salida de los puertos de acceso y se etiqueta en la salida de un puerto de troncalización (xe-0/0/2 en el conmutador 2).
Uso de la autenticación 802.1X y VLAN privadas juntas en la misma interfaz
- Descripción del uso de la autenticación 802.1X y las PVLAN juntas en la misma interfaz
- Pautas de configuración para combinar la autenticación 802.1X con PVLAN
- Ejemplo: Configuración de la autenticación 802.1X con VLAN privadas en una configuración
Descripción del uso de la autenticación 802.1X y las PVLAN juntas en la misma interfaz
Ahora puede configurar tanto la autenticación 802.1X como las VLAN privadas (PVLAN) en la misma interfaz.
La autenticación IEEE 802.1X ofrece seguridad de borde de red y protege a las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presentan y coinciden en el authentication server (un servidor RADIUS).
Las VLAN privadas (PVLAN) proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, lo que divide un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias. Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocida, y para limitar la comunicación entre hosts conocidos.
En un conmutador configurado con autenticación 802.1X y PVLAN, cuando un nuevo dispositivo se conecta a la red PVLAN, el dispositivo se autentica y, luego, se asigna a una VLAN secundaria basada en la configuración PVLAN o el perfil RADIUS. Luego, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.
En este documento no se proporciona información detallada sobre la autenticación 802.1X o las VLAN privadas. Para obtener esos detalles, consulte la documentación de características específica de esas características individuales. Para 802.1X, consulte Guía del usuario de acceso y autenticación del usuario. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.
Pautas de configuración para combinar la autenticación 802.1X con PVLAN
Tenga en cuenta las siguientes pautas y limitaciones para configurar estas dos funciones en la misma interfaz:
No puede configurar una interfaz habilitada para 802.1X como una interfaz promiscua (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz de vínculo de interswitch (ISL).
No se pueden autenticar varios usuarios a través de VLAN diferentes que pertenezcan al mismo dominio PVLAN en una interfaz lógica; por ejemplo, si la interfaz ge-0/0/0 está configurada como
supplicant multipley los clientes C1 y C2 se autentican y se agregan a las VLAN dinámicas V1 y V2, respectivamente, V1 y V2 deben pertenecer a dominios PVLAN diferentes.Si la VLAN de VoIP y la VLAN de datos son diferentes, esas dos VLAN deben estar en dominios PVLAN diferentes.
Cuando se cambia la pertenencia a PVLAN (es decir, se reconfigura una interfaz en una PVLAN diferente), se deben volver a autenticar los clientes.
Ejemplo: Configuración de la autenticación 802.1X con VLAN privadas en una configuración
- Requisitos
- Descripción general
- Configuración de la autenticación 802.1X con VLAN privadas en una configuración
- Verificación
Requisitos
Junos OS versión 18.2R1 o posterior
Conmutadores EX2300, EX3400 o EX4300
Antes de comenzar, especifique el servidor RADIUS o los servidores que se usarán como servidor de autenticación. Consulte Especificar conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).
Descripción general
En la siguiente sección de configuración se muestra la configuración del perfil de acceso, la configuración de autenticación 802.1X y, por último, la configuración de las VLAN (incluidas las PVLAN).
Configuración de la autenticación 802.1X con VLAN privadas en una configuración
Procedimiento
Configuración rápida de CLI
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Procedimiento paso a paso
Para configurar la autenticación 802.1X y las PVLAN en una configuración:
Configure el perfil de acceso:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
Nota:La VLAN de VoIP configurada no puede ser una PVLAN (primaria, comunitaria o aislada).
Configure la configuración de 802.1X:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
Nota:La VLAN de datos configurada también podría ser una VLAN comunitaria o una VLAN aislada.
Configure las VLAN (incluidas las PVLAN):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Resultados
Desde el modo de configuración, ingrese los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Verificación
- Verifique que las direcciones MAC del cliente se aprenden en la VLAN principal
- Compruebe que la VLAN principal es una VLAN autenticada
Verifique que las direcciones MAC del cliente se aprenden en la VLAN principal
Propósito
Mostrar que se aprendió una dirección MAC de cliente en la VLAN principal.
Acción
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Compruebe que la VLAN principal es una VLAN autenticada
Propósito
Muestra que la VLAN principal se muestra como una VLAN autenticada.
Acción
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsPoner la seguridad del puerto de acceso en redes VLAN privadas
- Descripción de la seguridad del puerto de acceso en PVLAN
- Pautas de configuración para poner funciones de seguridad de puerto de acceso en PVLAN
- Ejemplo: Configuración de la seguridad del puerto de acceso en una PVLAN
Descripción de la seguridad del puerto de acceso en PVLAN
Ahora puede habilitar las funciones de seguridad del puerto de acceso, como el esnooping dhcp, en VLAN privadas (PVLAN).
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función PVLAN le permite dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.
Las LAN Ethernet son vulnerables a ataques como suplantación de dirección (falsificación) y denegación de servicio (DoS) de capa 2 en dispositivos de red. Las siguientes funciones de seguridad del puerto de acceso ayudan a proteger su dispositivo contra las pérdidas de información y productividad que tales ataques pueden causar, y ahora puede configurar estas funciones de seguridad en una PVLAN:
Búsqueda de DHCP: filtra y bloquea los mensajes del servidor DHCP de entrada en puertos que no son de confianza. La búsqueda de DHCP crea y mantiene una base de datos de información de arrendamiento DHCP, la cual se denomina base de datos de búsqueda de DHCP.
Búsqueda de DHCPv6: búsqueda de DHCP para IPv6.
Opción 82 de DHCP: también conocida como la opción de información del agente de retransmisión DHCP. Ayuda a proteger el conmutador contra ataques como la suplantación de direcciones IP y direcciones MAC y la inanición de direcciones IP DHCP. La opción 82 proporciona información sobre la ubicación de red de un cliente DHCP. El servidor DHCP usa esta información para implementar direcciones IP u otros parámetros para el cliente.
Opciones de DHCPv6:
Opción 37— Opción de ID remoto para DHCPv6; inserta información sobre la ubicación de red del host remoto en paquetes DHCPv6.
Opción 18— Opción de ID de circuito para DHCPv6; inserta información sobre el puerto de cliente en paquetes DHCPv6.
Opción 16— Opción de ID de proveedor para DHCPv6; inserta información sobre el proveedor del hardware del cliente en paquetes DHCPv6.
Inspección de ARP dinámico (DAI): previene ataques de suplantación de protocolo de resolución de direcciones (ARP). Las solicitudes y respuestas de ARP se comparan con las entradas de la base de datos de búsqueda de DHCP, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones.
Protección de origen IP: mitiga los efectos de los ataques de suplantación de dirección IP en la LAN Ethernet; valida la dirección IP de origen en el paquete enviado desde una interfaz de acceso no confiable en la base de datos de fisonomía DHCP. Si el paquete no se puede validar, se descarta.
Guardia de origen IPv6: protección de origen IP para IPv6.
Inspección de descubrimiento de vecinos IPv6: previene ataques de suplantación de dirección IPv6; compara las solicitudes y respuestas de descubrimiento de vecinos con las entradas de la base de datos de búsqueda de DHCPv6, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones.
En este documento no se proporciona información detallada sobre las funciones de seguridad del puerto de acceso o las PVLAN. Para obtener esos detalles, consulte la documentación de características específica de esas características individuales. Para seguridad del puerto de acceso, consulte Guía de administración de servicios de seguridad. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.
Pautas de configuración para poner funciones de seguridad de puerto de acceso en PVLAN
Tenga en cuenta las siguientes pautas y limitaciones para configurar las funciones de seguridad de puerto de acceso en PVLAN:
Debe aplicar las mismas funciones de seguridad de puerto de acceso tanto en la vlan principal como en todas sus VLAN secundarias.
Una PVLAN solo puede tener una interfaz de enrutamiento y puente integrados (IRB), y la interfaz IRB debe estar en la VLAN principal.
Las limitaciones de las configuraciones de seguridad del puerto de acceso en las PVLAN son las mismas que las de las configuraciones de características de seguridad del puerto de acceso que no están en PVLAN. Consulte la documentación de seguridad del puerto de acceso en la Guía de administración de servicios de seguridad.
Ejemplo: Configuración de la seguridad del puerto de acceso en una PVLAN
- Requisitos
- Descripción general
- Configuración de la seguridad del puerto de acceso en una PVLAN
- Verificación
Requisitos
Junos OS versión 18.2R1 o posterior
Conmutador EX4300
Descripción general
En la siguiente sección de configuración se muestra:
Configuración de una VLAN privada con la VLAN principal (
vlan-pri) y sus tres VLAN secundarias: VLAN de comunidad (vlan-hry ) yvlan-financeVLAN aislada (vlan-iso).Configuración de las interfaces que se utilizan para enviar comunicaciones entre las interfaces en esas VLAN.
Configuración de las funciones de seguridad de acceso en las VLAN primarias y secundarias que conforman la PVLAN.
Tabla 5 enumera la configuración de la topología de ejemplo.
| Interfaz | Description |
|---|---|
ge-0/0/0.0 |
Interfaz troncal de VLAN principal (vlan1-pri) |
ge-0/0/11.0 |
Usuario 1, Comunidad de RR. HH. (vlan-hr) |
ge-0/0/12.0 |
Usuario 2, Comunidad de RR. HH. (vlan-hr) |
ge-0/0/13.0 |
Usuario 3, Comunidad financiera (vlan-finance) |
ge-0/0/14.0 |
Usuario 4, Comunidad financiera (vlan-finance) |
ge-0/0/15.0 |
Servidor de correo aislado (vlan-iso) |
ge-0/0/16.0 |
Servidor de respaldo, aislado (vlan-iso) |
ge-1/0/0.0 |
Interfaz troncal de VLAN principal (vlan-pri) |
Configuración de la seguridad del puerto de acceso en una PVLAN
Procedimiento
Configuración rápida de CLI
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Procedimiento paso a paso
Para configurar una VLAN privada (PVLAN) y, a continuación, configurar las funciones de seguridad del puerto de acceso en esa PVLAN:
Configurar la PVLAN: cree la VLAN principal y sus VLAN secundarias y asigne identificadores de VLAN a ellas. Asocie interfaces con las redes VLAN. (Para obtener más información sobre cómo configurar redes VLAN, consulte Configuración de VLAN para conmutadores de la serie EX con compatibilidad con ELS (procedimiento de CLI).)
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure las funciones de seguridad del puerto de acceso en la VLAN principal y en todas sus VLAN secundarias:
Nota:Cuando configura la inspección de ARP, la guardia de origen IP, la guardia de origen IPv6, la inspección de descubrimiento de vecinos, las opciones de la opción 82 o DHCPv6 de DHCP, a continuación, el esnooping de DHCP y la búsqueda de DHCPv6 se configuran automáticamente.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Resultados
Desde el modo de configuración, ingrese los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Verificación
Verifique que las funciones de seguridad de acceso funcionen como se esperaba
Propósito
Compruebe que las funciones de seguridad del puerto de acceso que configuró en la PVLAN funcionan como se esperaba.
Acción
Utilice los show dhcp-security comandos y la clear dhcp-security CLI para comprobar que las funciones funcionan como se esperaba. Vea los detalles acerca de esos comandos en la Guía de administración de servicios de seguridad.
Creación de una VLAN privada en un solo conmutador con soporte ELS (procedimiento de CLI)
Esta tarea usa Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador de la serie EX ejecuta software que no admite ELS, consulte Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las VLAN privadas no son compatibles con conmutadores QFX5100 y QFX10002 que ejecutan la versión 15.1X53 de Junos OS.
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) le permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), básicamente poniendo una VLAN dentro de una VLAN. Este procedimiento describe cómo crear una PVLAN en un solo conmutador.
Debe especificar un ID de VLAN para cada VLAN secundaria incluso si la PVLAN está configurada en un solo conmutador.
No es necesario preconfigurar la VLAN principal. En este tema, se muestra la VLAN principal que se configura como parte de este procedimiento de configuración de PVLAN.
Para obtener una lista de pautas sobre la configuración de PVLAN, consulte Descripción de VLAN privadas.
Para configurar una VLAN privada en un solo conmutador:
Creación de una VLAN privada en un solo conmutador QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, colocando esencialmente una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN en un solo conmutador.
Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal, ya que está configurada como parte de este procedimiento.) No es necesario crear ID (etiquetas) de VLAN para las VLAN secundarias. No perjudica el funcionamiento si etiqueta las VLAN secundarias, pero no se utilizan etiquetas cuando se configuran VLAN secundarias en un solo conmutador.
Tenga en cuenta estas reglas al configurar una PVLAN:
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar una VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .
Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada en un solo conmutador:
Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI)
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) en los conmutadores serie EX le permite dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. La división de la VLAN principal en VLAN secundarias anida esencialmente una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN en un solo conmutador.
Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal.) Aunque no se necesitan etiquetas cuando se configura una VLAN secundaria en un solo conmutador, configurar una VLAN secundaria como etiquetada no afecta negativamente a su funcionalidad. Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores de la serie EX.
Tenga en cuenta estas reglas al configurar una PVLAN en un solo conmutador:
La VLAN principal debe ser una VLAN etiquetada.
No se admite la configuración de una VLAN VoIP en interfaces PVLAN.
Para configurar una VLAN privada en un solo conmutador:
Las VLAN aisladas no se configuran como parte de este proceso. En su lugar, se crean internamente si no-local-switching está habilitada en la VLAN principal y la VLAN aislada tiene interfaces de acceso como miembros.
Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y de comunidad mediante una interfaz de VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.
Solo un conmutador EX8200 o Virtual Chassis EX8200 admiten el uso de una RVI para enrutar tráfico de capa 3 entre VLAN aisladas y de comunidad en un dominio PVLAN.
Creación de una VLAN privada que abarca varios conmutadores de la serie QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, colocando esencialmente una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.
Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal, ya que está configurada como parte de este procedimiento.) No es necesario crear ID (etiquetas) de VLAN para las VLAN secundarias. No perjudica el funcionamiento si etiqueta las VLAN secundarias, pero no se utilizan etiquetas cuando se configuran VLAN secundarias en un solo conmutador.
Se aplican las siguientes reglas a la creación de PVLAN:
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar una VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .
Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada para abarcar varios conmutadores:
Creación de una VLAN privada que abarca varios conmutadores de la serie EX con soporte ELS (procedimiento de CLI)
Esta tarea usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS) Si el conmutador ejecuta software que no es compatible con ELS, consulte Creación de una VLAN privada que expanda varios conmutadores de la serie EX (procedimiento de CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las VLAN privadas no son compatibles con conmutadores QFX5100 y QFX10002 que ejecutan la versión 15.1X53 de Junos OS.
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) le permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), básicamente poniendo una VLAN dentro de una VLAN. Este procedimiento describe cómo configurar una PVLAN para abarcar varios conmutadores.
Para obtener una lista de pautas sobre la configuración de PVLAN, consulte Descripción de VLAN privadas.
Para configurar una PVLAN para abarcar varios conmutadores, realice el siguiente procedimiento en todos los conmutadores que participarán en la PVLAN::
Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de CLI)
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) en los conmutadores serie EX permite a un administrador dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. La división de la VLAN principal en VLAN secundarias anida esencialmente una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.
Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal.) Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores de la serie EX.
Se aplican las siguientes reglas a la creación de PVLAN:
La VLAN principal debe ser una VLAN etiquetada.
Debe configurar la VLAN principal y el puerto de troncalización PVLAN antes de configurar las VLAN secundarias.
No se admite la configuración de una VLAN VoIP en interfaces PVLAN.
Si el protocolo de registro de varias VLAN (MVRP) está configurado en el puerto de troncalización PVLAN, la configuración de VLAN secundarias y el puerto de troncalización PVLAN se deben confirmar con la misma operación de confirmación.
Para configurar una VLAN privada para abarcar varios conmutadores:
Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y de comunidad mediante una interfaz de VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.
Solo un conmutador EX8200 o Virtual Chassis EX8200 admiten el uso de una RVI para enrutar tráfico de capa 3 entre VLAN aisladas y de comunidad en un dominio PVLAN.
Ejemplo: Configuración de una VLAN privada en un solo conmutador compatible con ELS
En este ejemplo, se usa Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador EX ejecuta software que no admite ELS, consulte ejemplo: Configurar una VLAN privada en un solo conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las VLAN privadas no son compatibles con conmutadores QFX5100 y QFX10002 que ejecutan la versión 15.1X53 de Junos OS.
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) le permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), básicamente poniendo una VLAN dentro de una VLAN.
En este ejemplo, se describe cómo crear una PVLAN en un solo conmutador:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador Junos OS
Junos OS versión 14.1X53-D10 o posterior para conmutadores serie EX
Junos OS versión 14.1X53-D15 o posterior para conmutadores serie QFX
Descripción general y topología
Puede aislar grupos de suscriptores para mejorar la seguridad y la eficiencia. En este ejemplo de configuración se usa una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y tres VLAN secundarias (una VLAN aislada y dos VLAN de comunidad).
Tabla 6 enumera las interfaces de la topología usada en el ejemplo.
| Interfaz | Description |
|---|---|
|
Puertos de miembros promiscuos |
|
Puertos miembros de VLAN de la comunidad de RR. HH. |
|
Puertos miembros de VLAN de la comunidad financiera |
|
Puertos miembros aislados |
Tabla 7 enumera los identificadores de VLAN de la topología utilizada en el ejemplo.
| VLAN ID | Description |
|---|---|
|
VLAN principal |
|
VLAN de la comunidad de RR. HH. |
|
VLAN de comunidad financiera |
|
VLAN aislada |
Figura 15 muestra la topología de este ejemplo.
Configuración
Puede usar una VLAN existente como base para su PVLAN privada y crear subdominios en ella. En este ejemplo, se crea una VLAN principal (con el nombre vlan-priVLAN) como parte del procedimiento.
Para configurar una PVLAN, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Procedimiento
Procedimiento paso a paso
Para configurar la PVLAN:
Cree la VLAN principal (en este ejemplo, el nombre es vlan-pri) de la VLAN privada:
[edit vlans] user@switch# set vlan-pri vlan-id 100
Cree una VLAN aislada y asígnele un ID de VLAN:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Cree la VLAN de la comunidad de RR. HH. y asígnele un ID de VLAN:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Cree la VLAN de comunidad financiera y asigne un ID de VLAN:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Asocie las VLAN secundarias con la VLAN principal:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Establezca las interfaces en los modos de interfaz adecuados:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Configure una interfaz troncal promiscua de la VLAN principal. La VLAN principal utiliza esta interfaz para comunicarse con las VLAN secundarias.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure otra interfaz troncal (también es una interfaz promiscua) de la VLAN principal, conectando la PVLAN al enrutador.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Ejemplo: Configuración de una VLAN privada en un solo conmutador serie QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.
En este ejemplo, se describe cómo crear una PVLAN en un solo conmutador:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo QFX3500
Junos OS versión 12.1 o posterior para la serie QFX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RR. HH. y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y el otro para el servidor de copia de seguridad.
Tabla 8 enumera la configuración de la topología de ejemplo.
| Interfaz | Description |
|---|---|
|
Interfaz troncal de VLAN principal ( |
|
Usuario 1, Comunidad de RR. HH. ( |
|
Usuario 2, Comunidad de RR. HH. ( |
|
Usuario 3, Comunidad financiera ( |
|
Usuario 4, Comunidad financiera ( |
|
Servidor de correo aislado ( |
|
Servidor de respaldo, aislado ( |
|
Interfaz troncal de VLAN principal ( |
Configuración
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar la PVLAN:
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan vlan-id 100
Establezca las interfaces y los modos de puerto:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Establezca la VLAN principal para que no tenga conmutación local:
Nota:La VLAN principal debe ser una VLAN etiquetada.
[edit vlans] user@switch# set pvlan100 pvlan
Agregue las interfaces de troncalización a la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Para cada VLAN secundaria, configure las interfaces de acceso:
Nota:Recomendamos que las VLAN secundarias sean VLAN sin etiquetar. No perjudica el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN de comunidad, establezca la VLAN principal:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Configure las interfaces aisladas en la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que se crearon las VLAN privadas y las VLAN secundarias
Propósito
Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador.
Acción
Utilice el show vlans comando:
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
El resultado muestra que la VLAN principal se creó e identifica las interfaces y las VLAN secundarias asociadas con ella.
Ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) en los conmutadores de la serie EX permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.
En este ejemplo, se describe cómo crear una PVLAN en un solo conmutador de la serie EX:
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Conmutador de la serie EX
Junos OS versión 9.3 o posterior para conmutadores serie EX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de redes VLAN para conmutadores de la serie EX.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RR. HH. y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y el otro para el servidor de copia de seguridad.
Tabla 9 enumera la configuración de la topología de ejemplo.
| Interfaz | Description |
|---|---|
ge-0/0/0.0 |
Interfaz troncal de VLAN principal (vlan1) |
ge-0/0/11.0 |
Usuario 1, Comunidad de RR. HH. (hr-comm) |
ge-0/0/12.0 |
Usuario 2, Comunidad de RR. HH. (hr-comm) |
ge-0/0/13.0 |
Usuario 3, Comunidad financiera (finance-comm) |
ge-0/0/14.0 |
Usuario 4, Comunidad financiera (finance-comm) |
ge-0/0/15.0 |
Servidor de correo aislado (isolated) |
ge-0/0/16.0 |
Servidor de respaldo, aislado (isolated) |
ge-1/0/0.0 |
Interfaz troncal de VLAN principal ( pvlan) |
Figura 16 muestra la topología de este ejemplo.
Configuración
Para configurar una PVLAN, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Procedimiento
Procedimiento paso a paso
Para configurar la PVLAN:
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Establezca las interfaces y los modos de puerto:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Establezca la VLAN principal para que no tenga conmutación local:
Nota:La VLAN principal debe ser una VLAN etiquetada.
[edit vlans] user@switch# set vlan1 no-local-switching
Agregue las interfaces de troncalización a la VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Para cada VLAN secundaria, configure los IDENTIFICADORes de VLAN y las interfaces de acceso:
Nota:Recomendamos que las VLAN secundarias sean VLAN sin etiquetar. No perjudica el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN de comunidad, establezca la VLAN principal:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Agregue cada interfaz aislada a la VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que se crearon las VLAN privadas y las VLAN secundarias
Propósito
Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador.
Acción
Utilice el show vlans comando:
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
El resultado muestra que la VLAN principal se creó e identifica las interfaces y las VLAN secundarias asociadas con ella.
Ejemplo: Configurar una VLAN privada que abarca varios conmutadores QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.
En este ejemplo se describe cómo crear una PVLAN que abarca varios conmutadores. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias:
- Requisitos
- Descripción general y topología
- Configuración de una PVLAN en el conmutador 1
- Configurar una PVLAN en el conmutador 2
- Configuración de una PVLAN en el conmutador 3
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres dispositivos QFX3500
Junos OS versión 12.1 o posterior para la serie QFX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra cómo crear una PVLAN que abarca varios dispositivos QFX, con una VLAN principal que contiene dos VLAN de comunidad (una para HR y otra para finanzas) y una VLAN aislada interswitch (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que está configurado en el conmutador de distribución.
Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos en el mismo dominio. Consulte Descripción de VLAN privadas.
Figura 17 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) con el enrutador.
Tabla 10, Tabla 11y Tabla 12 enumerar la configuración de la topología de ejemplo.
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 1 al conmutador 3 ge-0/0/5.0, conecta el conmutador 1 al conmutador 2 |
Interfaces aisladas en VLAN principal |
ge-0/0/15.0, servidor de correo ge-0/0/16.0, servidor de respaldo |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 2 al conmutador 3 ge-0/0/5.0, conecta el conmutador 2 al conmutador 1 |
Interfaz aislada en VLAN principal |
ge-0/0/17.0, servidor CVS |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 3 al conmutador 1 ge-0/0/1.0, conecta el conmutador 3 al conmutador 2 |
Puerto promiscuo |
ge-0/0/2, conecta la PVLAN al enrutador Nota:
Debe configurar el puerto de troncalización que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo. |
Topología
Configuración de una PVLAN en el conmutador 1
Cuando se configura una PVLAN en varios conmutadores, se aplican estas reglas:
La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN que abarca varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimiento
Procedimiento paso a paso
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Establezca las interfaces de troncalización PVLAN para conectar esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Establezca que la VLAN principal sea privada y no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 pvlan
Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID aislado del interswitch para crear un dominio aislado entre interswitch que se extiende por los conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Configure las interfaces aisladas en la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Nota:Cuando configure un puerto aislado, incluyrlo como miembro de la VLAN principal, pero no lo configure como miembro de ninguna VLAN de comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Configurar una PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto para la interfaz en el dominio aislado del interswitch. Para el conmutador 2, la interfaz es ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar una PVLAN en el conmutador 2 que abarcará varios conmutadores:
Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Establezca que la VLAN principal sea privada y no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 pvlan
Establezca el ID aislado del interswitch para crear un dominio aislado entre interswitch que se extiende por los conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Configure la interfaz aislada en la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Configuración de una PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 para que funcione como el conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:
La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Procedimiento
Procedimiento paso a paso
Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:
Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores:
[edit vlans] user@switch# set hr-comm vlan-id 400
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Establezca que la VLAN principal sea privada y no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 pvlan
Establezca el ID aislado del interswitch para crear un dominio aislado entre interswitch que se extiende por los conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1
Propósito
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los campos de pvlan troncal e aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador.
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que una PVLAN se creó en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. La presencia de los campos de pvlan troncal e aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador. Cuando se compara esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3
Propósito
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye ninguna VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que la salida no incluye interfaces de acceso dentro de la PVLAN. Muestra solo las pvlan-trunk interfaces que se conectan pvlan100 del conmutador 3 a los otros conmutadores (conmutadores 1 y 2) en la misma PVLAN.
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores con una interfaz IRB
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores. En este ejemplo se describe cómo crear una PVLAN que abarca varios conmutadores. El ejemplo crea una PVLAN principal que contiene varias VLAN secundarias.
Al igual que las VLAN regulares, las PVLAN se aíslan en la capa 2 y normalmente requieren que se utilice un dispositivo de capa 3 si se desea enrutar el tráfico. A partir de Junos OS 14.1X53-D30, puede usar una interfaz de enrutamiento y puentes integrados (IRB) para enrutar el tráfico de capa 3 entre dispositivos conectados a una PVLAN. El uso de una interfaz IRB de esta manera también puede permitir que los dispositivos de la PVLAN se comuniquen en la capa 3 con dispositivos en otras comunidades o VLAN aisladas o con dispositivos fuera de la PVLAN. En este ejemplo también se muestra cómo incluir una interfaz IRB en una configuración PVLAN.
- Requisitos
- Descripción general y topología
- Descripción general de la configuración
- Configuración de una PVLAN en el conmutador 1
- Configurar una PVLAN en el conmutador 2
- Configuración de una PVLAN en el conmutador 3
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres conmutadores serie QFX o EX4600
Versión de Junos OS con PVLAN para la serie QFX o EX4600
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra cómo crear una PVLAN que se extiende por varios conmutadores, con una VLAN principal que contiene dos VLAN de comunidad (una para HR y otra para finanzas) y una VLAN aislada interswitch (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores: dos conmutadores de acceso y un conmutador de distribución. Los dispositivos de la PVLAN se conectan en la capa 3 entre sí y con dispositivos fuera de la PVLAN mediante una interfaz IRB configurada en el conmutador de distribución.
Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos en el mismo dominio. Consulte Descripción de VLAN privadas.
Figura 18 muestra la topología de este ejemplo.
Tabla 13, Tabla 14y Tabla 15 enumerar la configuración de la topología de ejemplo.
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
|
Interfaces de vínculo entre conmutadores |
|
Interfaces aisladas en VLAN principal |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
|
Interfaces de vínculo entre conmutadores |
|
Interfaz aislada en VLAN principal |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
|
Interfaces de vínculo entre conmutadores |
|
Puerto promiscuo |
Nota:
Debe configurar el puerto de troncalización que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo. |
Interfaz IRB |
Configure ARP de proxy sin restricciones en la interfaz IRB para permitir que se produzca la resolución ARP, de modo que los dispositivos que usan IPv4 puedan comunicarse en la capa 3. Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP. |
Topología
Descripción general de la configuración
Al configurar una PVLAN en varios conmutadores, se aplican las siguientes reglas:
La VLAN principal debe ser una VLAN etiquetada.
La VLAN principal es la única VLAN que puede ser miembro de una interfaz de vínculo entre conmutadores.
Al configurar una interfaz IRB en una PVLAN, se aplican estas reglas:
Solo puede crear una interfaz IRB en una PVLAN, independientemente de cuántos conmutadores participen en la PVLAN.
La interfaz IRB debe ser miembro de la VLAN principal en la PVLAN.
Cada dispositivo host que desee conectar en la capa 3 debe usar una dirección IP del IRB como dirección de puerta de enlace predeterminada.
Configuración de una PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN que abarca varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Procedimiento
Procedimiento paso a paso
Configure la interfaz xe-0/0/0 para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/0 para que sea un vínculo interswitch que lleve todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/5 para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/5 para que sea un vínculo de interswitch que lleve todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 para ser miembro de la interfaz xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Cree la VLAN comunitaria para la organización financiera:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Cree la VLAN comunitaria para la organización de RR. HH.
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Cree la VLAN aislada para los servidores de correo y copia de seguridad:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure la VLAN 300 (la VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 300 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configurar una PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto para la VLAN aislada. Para el conmutador 2, la interfaz VLAN aislada es xe-0/0/17.0 .
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Procedimiento
Procedimiento paso a paso
Configure la interfaz xe-0/0/0 para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/0 para que sea un vínculo interswitch que lleve todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/5 para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/5 para que sea un vínculo de interswitch que lleve todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 para ser miembro de la interfaz xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Cree la VLAN comunitaria para la organización financiera:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Cree la VLAN comunitaria para la organización de RR. HH.
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Cree la VLAN aislada para los servidores de correo y copia de seguridad:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure la VLAN 300 (la VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 300 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuración de una PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 para que funcione como el conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:
La interfaz xe-0/0/2.0 es un puerto troncal que conecta la PVLAN a otra red.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Procedimiento
Procedimiento paso a paso
Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:
Configure la interfaz xe-0/0/0 para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/0 para que sea un vínculo interswitch que lleve todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/5 para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/5 para que sea un vínculo de interswitch que lleve todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 para ser miembro de la interfaz xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/2 (la interfaz promiscua) para que sea una troncalización:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Configure pvlan100 para ser miembro de la interfaz xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Cree la VLAN principal:
[edit vlans] set vlans pvlan100 vlan-id 100
Cree la interfaz
irbIRB y asigne una dirección en la subred que utilizan los dispositivos conectados a los conmutadores 1 y 2:[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
Nota:Cada dispositivo host que desee conectar en la capa 3 debe estar en la misma subred que la interfaz IRB y usar la dirección IP de la interfaz IRB como dirección de puerta de enlace predeterminada.
Complete la configuración de interfaz IRB vinculando la interfaz a la VLAN
pvlan100principal:[edit vlans] set pvlan100 l3-interface irb.100
Configure el ARP de proxy sin restricciones para cada unidad de la interfaz IRB de modo que la resolución ARP funcione para el tráfico IPv4:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
Nota:Dado que los dispositivos de la comunidad y las VLAN aisladas se aíslan en la capa 2, este paso es necesario para permitir que se produzca la resolución ARP entre las VLAN, de modo que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. (Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP.)
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1
Propósito
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los campos troncales y aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador.
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que una PVLAN se creó en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. La presencia de los campos troncales y aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador. Cuando se compara esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3
Propósito
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye ninguna VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que la salida no incluye interfaces de acceso dentro de la PVLAN. Muestra solo las interfaces de troncalización que se conectan pvlan100 desde el conmutador 3 a los otros conmutadores (conmutadores 1 y 2) en la misma PVLAN.
Ejemplo: Configurar una VLAN privada que abarca varios conmutadores de la serie EX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) en los conmutadores de la serie EX permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.
En este ejemplo se describe cómo crear una PVLAN que abarca varios conmutadores de la serie EX. En el ejemplo, se crea una PVLAN principal que contiene varias VLAN secundarias:
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
- Requisitos
- Descripción general y topología
- Configuración de una PVLAN en el conmutador 1
- Configurar una PVLAN en el conmutador 2
- Configuración de una PVLAN en el conmutador 3
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres conmutadores de la serie EX
Junos OS versión 10.4 o posterior para conmutadores serie EX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de redes VLAN para conmutadores de la serie EX.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra cómo crear una PVLAN que se extiende por varios conmutadores de la serie EX, con una VLAN principal que contiene dos VLAN de comunidad (una para HR y otra para finanzas) y una VLAN aislada entre interswitch (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que está configurado en el conmutador de distribución.
Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de redes VLAN privadas.
Figura 19 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) con el enrutador.
Tabla 16, Tabla 17y Tabla 18 enumerar la configuración de la topología de ejemplo.
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, Conecta el conmutador 1 al conmutador 3 ge-0/0/5.0, Conecta el conmutador 1 al conmutador 2 |
Interfaces en VLAN isolation |
ge-0/0/15.0, servidor de correo ge-0/0/16.0, servidor de respaldo |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 2 al conmutador 3 ge-0/0/5.0, Conecta el conmutador 2 al conmutador 1 |
Interfaces en VLAN isolation |
ge-0/0/17.0,servidor CVS |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuración |
|---|---|
Nombres de VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, Conecta el conmutador 3 al conmutador 1 ge-0/0/1.0, conecta el conmutador 3 al conmutador 2 |
Puerto promiscuo |
ge-0/0/2, Conecta la PVLAN al enrutador Nota:
Debe configurar el puerto de troncalización que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo. |
Topología
Configuración de una PVLAN en el conmutador 1
Configuración rápida de CLI
Cuando se configura una PVLAN en varios conmutadores, se aplican estas reglas:
La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Las VLAN secundarias y el puerto de troncalización PVLAN se deben confirmar en una sola confirmación si MVRP está configurado en el puerto de troncalización PVLAN.
Para crear y configurar rápidamente una PVLAN que abarca varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimiento
Procedimiento paso a paso
Complete los pasos de configuración a continuación en el orden que se muestra; también, complete todos los pasos antes de confirmar la configuración en una sola confirmación. Esta es la forma más fácil de evitar los mensajes de error desencadenados al infringir cualquiera de estas tres reglas:
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.
Las vlan secundarias y una troncalización PVLAN se deben confirmar en una única confirmación.
Para configurar una PVLAN en el conmutador 1 que abarcará varios conmutadores:
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Establezca la VLAN principal para que no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Configurar una PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto para la interfaz en el dominio aislado entre conmutadores. Para el conmutador 2, la interfaz es ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimiento
Procedimiento paso a paso
Para configurar una PVLAN en el conmutador 2 que abarcará varios conmutadores:
Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Establezca la VLAN principal para que no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Configuración de una PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 para que funcione como el conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:
La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimiento
Procedimiento paso a paso
Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:
Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores:
[edit vlans] user@switch# hr-comm vlan-id 400
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Establezca la VLAN principal para que no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2
- Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1
Propósito
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que esta PVLAN abarca más de un conmutador.
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que se trata de PVLAN que abarca más de un conmutador. Cuando se compara esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).
Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3
Propósito
Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que la salida no incluye interfaces de acceso dentro de la PVLAN. Muestra solo las pvlan-trunk interfaces que se conectan pvlan100 del conmutador 3 a los otros conmutadores (conmutadores 1 y 2) en la misma PVLAN.
Ejemplo: Configuración de PVLAN con puertos troncales VLAN secundarios y puertos de acceso promiscuo en un conmutador de la serie QFX
En este ejemplo, se muestra cómo configurar puertos de troncalización de VLAN secundarios y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos troncales de VLAN secundarios transportan tráfico de VLAN secundario.
En este ejemplo, se usa Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN privada (principal) diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.
Para configurar un puerto de troncalización para transportar tráfico de VLAN secundario, utilice las instrucciones aisladas y interface , como se muestra en los pasos 12 , y 13 de la configuración de ejemplo para el conmutador 1.
Cuando el tráfico salida de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal de la que el puerto secundario es miembro. Si desea que el tráfico que salida de un puerto de troncalización VLAN secundario conserve su etiqueta VLAN secundaria, use la instrucción extend-secondary-vlan-id .
Un puerto de acceso promiscuo transporta tráfico sin etiquetar y puede ser miembro de una sola VLAN principal. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que el puerto de acceso promiscuo es miembro. Este tráfico lleva las etiquetas VLAN secundarias adecuadas cuando salida de los puertos VLAN secundarios, si el puerto VLAN secundario es un puerto de troncalización.
Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscuous , como se muestra en el paso 12 de la configuración de ejemplo para el conmutador 2.
Si el tráfico de entrada en un puerto VLAN secundario y la salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.
- Requisitos
- Descripción general y topología
- Configurar las PVLAN en el conmutador 1
- Configurar las PVLAN en el conmutador 2
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos dispositivos QFX
Junos OS versión 12.2 o posterior para la serie QFX
Descripción general y topología
Figura 20 muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas principales y secundarias, y también incluye dos puertos troncales VLAN secundarios configurados para transportar VLAN secundarias que son miembros de las VLAN principales pvlan100 y pvlan400.
El conmutador 2 incluye las mismas VLAN privadas. La figura muestra xe-0/0/0 en el conmutador 2 configurado con puertos de acceso promiscuos o puertos de troncalización promiscuos. La configuración de ejemplo incluida aquí configura este puerto como un puerto de acceso promiscuo.
La figura también muestra cómo fluye el tráfico después de la entrada en los puertos de troncalización VLAN secundarios en el conmutador 1.
Tabla 19 y Tabla 20 enumerar la configuración de la topología de ejemplo en ambos conmutadores.
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN de la comunidad, miembro de pvlan100 |
comm600, ID 600 |
Comunidad VLAN, miembro de pvlan400 |
aislamiento-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
aislamiento–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto troncal de VLAN secundario para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/2.0 |
Puerto de acceso aislado para pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto de troncalización comunitaria para comm600 |
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN de la comunidad, miembro de pvlan100 |
comm600, ID 600 |
Comunidad VLAN, miembro de pvlan400 |
aislamiento-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
aislamiento–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto de acceso promiscuo para VLAN principales pvlan100 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/2.0 |
Puerto troncal secundario para VLAN aislada, miembro de pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto de acceso comunitario para comm600 |
Configurar las PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 1, copie los siguientes comandos y péguelos en una ventana terminal del conmutador:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos de troncalización VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:Las VLAN principales siempre deben estar etiquetadas con VLAN, incluso si existen en un solo dispositivo.
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto de troncalización PVLAN para transportar el tráfico VLAN privado entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree VLAN secundaria comm300 con VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree VLAN secundaria comm600 con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure las VLAN aisladas entre conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Cuando configure un puerto de troncalización VLAN secundario para transportar una VLAN aislada, también debe configurar un aislamiento-vlan-id. Esto es cierto incluso si la VLAN aislada solo existe en un conmutador.
Habilite el puerto de troncalización xe-0/0/0 para transportar VLAN secundarias para las VLAN principales:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure el puerto de troncalización xe-0/0/0 para transportar comm600 (miembro de pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:No es necesario configurar explícitamente xe-0/0/0 para transportar el tráfico de VLAN aislado (etiquetas 200 y 500), ya que todos los puertos aislados de pvlan100 y pvlan400 (incluidos xe-0/0/0.0) se incluyen automáticamente en las VLAN aisladas creadas al configurar
isolation-vlan-id 200yisolation-vlan-id 500.Configure xe-0/0/2 y xe-0/0/6 para que se aísle:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configurar las PVLAN en el conmutador 2
La configuración del conmutador 2 es casi idéntica a la configuración del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo o un puerto de acceso promiscuo, como Figura 20 se muestra. En la siguiente configuración, xe-0/0/0 se configura como un puerto de acceso promiscuo para VLAN principal pvlan100.
Si el tráfico de entrada en un puerto habilitado para VLAN y la salida en un puerto de acceso promiscuo, las etiquetas VLAN se pierden en la salida y el tráfico se desetiqueta en ese punto. Por ejemplo, el tráfico de entrada comm600 en el puerto troncal de VLAN secundario configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 a medida que se reenvía a través de la VLAN secundaria. Cuando salida de xe-0/0/0.0 en el conmutador 2, se desa etiquetará si configura xe-0/0/0.0 como un puerto de acceso promiscuo como se muestra en este ejemplo. Si, en su lugar, configura xe-0/0/0.0 como un puerto de troncalización promiscuo (troncalización en modo puerto), el tráfico de comm600 lleva su etiqueta VLAN principal (400) cuando salida.
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 2, copie los siguientes comandos y péguelos en una ventana terminal de conmutación:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos de troncalización VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto de troncalización PVLAN para transportar el tráfico VLAN privado entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree VLAN secundaria comm300 con VLAN ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree VLAN secundaria comm600 con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
Configure las VLAN aisladas entre conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Un puerto de acceso promiscuo puede ser miembro de una sola VLAN principal.
Configure xe-0/0/2 y xe-0/0/6 para que se aísle:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar que se crearon las VLAN privadas y las VLAN secundarias
- Verificar las entradas de la tabla de conmutación Ethernet
Verificar que se crearon las VLAN privadas y las VLAN secundarias
Propósito
Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador 1.
Acción
Utilice el show vlans comando:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
El resultado muestra que las VLAN privadas se crearon e identifica las interfaces y VLAN secundarias asociadas con ellas.
Verificar las entradas de la tabla de conmutación Ethernet
Propósito
Compruebe que las entradas de la tabla de conmutación Ethernet se crearon para VLAN pvlan100 principal.
Acción
Muestra las entradas de la tabla de conmutación Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Verificar que una VLAN privada funcione en un conmutador
Propósito
Después de crear y configurar VLAN privadas (PVLAN), verifique que estén configuradas correctamente.
Acción
Para determinar si creó correctamente las configuraciones de VLAN principal y secundaria:
Para una PVLAN en un solo conmutador, utilice el
show configuration vlanscomando:user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Para una PVLAN que abarca varios conmutadores, utilice el show vlans
extensivecomando:user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Utilice el comando para ver la
show vlansextensiveinformación de VLAN y el estado de los vínculos para una PVLAN en un solo conmutador o para una PVLAN que abarca varios conmutadores.Para una PVLAN en un solo conmutador:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Para una PVLAN que abarca varios conmutadores:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Utilice el
show ethernet-switching tablecomando para ver los registros para el aprendizaje de MAC en las VLAN:user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Si configuró una PVLAN que abarca varios conmutadores, puede usar el mismo comando en todos los conmutadores para comprobar los registros para el aprendizaje de MAC en esos conmutadores.
Significado
En las pantallas de salida para una PVLAN en un solo conmutador, puede ver que la VLAN principal contiene dos dominios de comunidad (community1 y community2), dos puertos aislados y dos puertos de troncalización. La PVLAN en un solo conmutador tiene una sola etiqueta (1000), que es para la VLAN principal.
La PVLAN que abarca varios conmutadores contiene varias etiquetas:
El dominio de COM1 la comunidad se identifica con la etiqueta 100.
El dominio de community2 la comunidad se identifica con la etiqueta 20.
El dominio aislado entre interswitch se identifica con la etiqueta 50.
La VLAN primary principal se identifica con la etiqueta 10.
Además, para la PVLAN que abarca varios conmutadores, las interfaces de troncalización se identifican como pvlan-trunk.
Solución de problemas de VLAN privadas en conmutadores QFX
Utilice la siguiente información para solucionar problemas de una configuración de VLAN privada.
- Limitaciones de las VLAN privadas
- Reenvío con VLAN privadas
- Filtros de firewall de salida con VLAN privadas
- Duplicación de puerto de salida con VLAN privadas
Limitaciones de las VLAN privadas
Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:
La ing IGMP no se admite con VLAN privadas.
Las interfaces VLAN enrutadas no se admiten en VLAN privadas
No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.
Si desea cambiar una VLAN principal a una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:
Cambie la VLAN principal para que sea una VLAN normal.
Confirme la configuración.
Cambie la VLAN normal a una VLAN secundaria.
Confirme la configuración.
Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria a una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, luego, cambiar la VLAN normal para que sea una VLAN principal.
Reenvío con VLAN privadas
Problema
Descripción
Cuando se recibe tráfico con etiqueta de VLAN de comunidad o VLAN aislada en un puerto de troncalización PVLAN, las direcciones MAC se aprenden desde la VLAN principal. Esto significa que la salida del comando show ethernet-switching table muestra que las direcciones MAC se aprenden desde la VLAN principal y se replican en VLAN secundarias. Este comportamiento no tiene ningún efecto en las decisiones de reenvío.
Si se recibe un paquete con una etiqueta VLAN secundaria en un puerto promiscuo, se acepta y se reenvía.
Si se recibe un paquete en un puerto de troncalización PVLAN y cumple ambas condiciones enumeradas a continuación, se pierde.
El paquete tiene una etiqueta VLAN comunitaria.
El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN aislada.
Si se recibe un paquete en un puerto de troncalización PVLAN y cumple ambas condiciones enumeradas a continuación, se pierde.
El paquete tiene una etiqueta VLAN aislada.
El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN de la comunidad.
Si un paquete con una etiqueta VLAN principal recibe un puerto VLAN secundario (aislado o comunitario), el puerto secundario reenvía el paquete.
Si configura una VLAN de comunidad en un dispositivo y configura otra VLAN de comunidad en un segundo dispositivo y ambas VLAN de comunidad usan el mismo ID de VLAN, el tráfico de una de las VLAN se puede reenviar a la otra VLAN. Por ejemplo, suponga la siguiente configuración:
Comm1 de VLAN de comunidad en el conmutador 1 tiene ID de VLAN 50 y es miembro de VLAN principal pvlan100.
Community VLAN comm2 en el conmutador 2 también tiene VLAN ID 50 y es miembro de VLAN principal pvlan200.
VLAN principal pvlan100 existe en ambos conmutadores.
Si el tráfico de comm1 se envía del conmutador 1 al conmutador 2, se enviará a los puertos que participan en comm2. (El tráfico también se reenviará a los puertos en comm1, como es de esperar.)
Solución
Estos son comportamientos esperados.
Filtros de firewall de salida con VLAN privadas
Problema
Descripción
Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico salida con la etiqueta VLAN principal o la etiqueta VLAN aislada, como se muestra a continuación:
Tráfico reenviado desde un puerto troncal de VLAN secundario a un puerto promiscuo (troncalización o acceso)
Tráfico reenviado desde un puerto de troncalización VLAN secundario que transporta una VLAN aislada a un puerto de troncalización PVLAN.
Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal de VLAN secundario
Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de VLAN secundario
Tráfico reenviado desde un puerto comunitario a un puerto promiscuo (troncal o acceso)
Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que sale con una etiqueta VLAN comunitaria, como se muestra a continuación:
Tráfico reenviado desde un puerto troncal de comunidad a un puerto troncal pvLAN
Tráfico reenviado desde un puerto de troncalización VLAN secundario que transporta una VLAN comunitaria a un puerto de troncalización PVLAN
Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal comunitario
Tráfico reenviado desde un puerto troncal PVLAN. a un puerto de troncalización comunitaria
Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplican los siguientes comportamientos:
El filtro se aplica al tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto de troncalización comunitaria (porque el tráfico se desvía con la etiqueta VLAN de la comunidad).
El filtro se aplica al tráfico reenviado desde un puerto de comunidad a un puerto de troncalización PVLAN (porque el tráfico salida con la etiqueta VLAN de la comunidad).
El filtro no se aplica al tráfico que se reenvía desde un puerto de comunidad a un puerto promiscuo (porque el tráfico salida con la etiqueta VLAN principal o sin etiquetar).
Solución
Estos son comportamientos esperados. Se producen solo si aplica un filtro de firewall a una VLAN privada en la dirección de salida y no se producen si aplica un filtro de firewall a una VLAN privada en la dirección de entrada.
Duplicación de puerto de salida con VLAN privadas
Problema
Descripción
Si crea una configuración de duplicación de puerto que refleja el tráfico de VLAN privada (PVLAN) en la salida, el tráfico reflejado (el tráfico que se envía al sistema de analizador) tiene la etiqueta VLAN de la VLAN de entrada en lugar de la VLAN de salida. Por ejemplo, suponga la siguiente configuración PVLAN:
Puerto de troncal promiscuo que transporta las VLAN principales pvlan100 y pvlan400.
Puerto de acceso aislado que transporta VLAN secundaria aislada200. Esta VLAN es miembro de VLAN principal pvlan100.
Puerto de comunidad que transporta VLAN secundaria comm300. Esta VLAN también es miembro de VLAN principal pvlan100.
Interfaz de salida (interfaz de monitoreo) que se conecta al sistema del analizador. Esta interfaz reenvía el tráfico reflejado al analizador.
Si un paquete para pvlan100 entra en el puerto de troncalización promiscuo y sale del puerto de acceso aislado, el paquete original no se etiqueta en la salida porque sale en un puerto de acceso. Sin embargo, la copia reflejada conserva la etiqueta para pvlan100 cuando se envía al analizador.
Este es otro ejemplo: Si un paquete para comm300 entrada en el puerto de la comunidad y salida en el puerto de troncalización promiscuo, el paquete original lleva la etiqueta para pvlan100 en la salida, como se esperaba. Sin embargo, la copia reflejada conserva la etiqueta para comm300 cuando se envía al analizador.
Solución
Este es el comportamiento esperado.