Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

VLAN privadas

Descripción de las VLAN privadas

Las VLAN limitan las difusiones a los usuarios especificados. Las VLAN privadas (PVLANs) toman este concepto en un paso más a través de la limitación de la comunicación dentro de una VLAN. PVLANs lograr esto mediante la restricción de flujos de tráfico a través de los puertos de conmutadores miembro (que se denominan puertos privados) para que estos puertos se comuniquen únicamente con un puerto de tronco de vínculo superior especificado o con puertos especificados dentro de la misma VLAN. El puerto de red troncal de vínculo superior o el grupo de agregación de vínculos (posposición) suele estar conectado a un enrutador, firewall, servidor o red de proveedor. Cada PVLAN contiene normalmente varios puertos privados que se comunican únicamente con un único puerto de vínculo superior, lo que impide que los puertos se comuniquen entre sí.

PVLANs proporcionan aislamiento de capa 2 entre los puertos de una red VLAN, la división de un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de lacomunidad y una VLAN aislada ) en una VLAN principal. Los puertos dentro de la misma VLAN de la comunidad se pueden comunicar entre sí. Los puertos dentro de una VLAN aislada solo se pueden comunicar con un puerto de vínculo superior único.

Al igual que las VLAN regulares, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:

  • Una conexión de Puerto promiscuo con un enrutador

  • Una interfaz de VLAN enrutada (RVI)

Nota:

Para enrutar el tráfico de capa 3 entre las VLAN secundarias, un PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza un RVI, puede implementar una conexión de Puerto promiscuo a un enrutador con el puerto promiscuo configurado para controlar únicamente el tráfico que entra y sale de la PVLAN.

PVLANs son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios utilizan PVLANs para mantener sus clientes aislados entre sí. Otro uso típico de un PVLAN es proporcionar acceso a Internet por sala en un hotel.

Nota:

Puede configurar un PVLAN para que abarque los conmutadores que admitan PVLANs.

En este tema se explican los siguientes conceptos relativos a PVLANs en los conmutadores de la serie EX:

Ventajas de PVLANs

La necesidad de segregar una sola VLAN es especialmente útil en los siguientes escenarios de implementación:

  • Conjunto de servidores: un proveedor de servicios de Internet típico utiliza una granja de servidores para proporcionar alojamiento Web a numerosos clientes. La ubicación de varios servidores dentro de una sola granja de servidores proporciona facilidad de administración. Los problemas de seguridad surgen si todos los servidores se encuentran en la misma red VLAN ya que las transmisiones de capa 2 se dirigen a todos los servidores de la VLAN.

  • Redes Ethernet metropolitanas: un proveedor de servicios metro ofrece acceso Ethernet de capa 2 a hogares surtidos, comunidades de alquiler y negocios. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que conduce a un posible desperdicio de direcciones IP. PVLANs proporcionan una solución más segura y más eficiente.

Estructura típica y aplicación principal de los PVLANs

Un PVLAN puede configurarse en un único conmutador o puede configurarse para que abarque varios conmutadores. Los tipos de dominios y puertos son:

  • VLAN principal: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. El PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada/puerto aislado: una VLAN principal solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada puede reenviar paquetes solo a un puerto promiscuo o al puerto de vínculo inter conmutador (ISL). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso únicamente a un enrutador de puerta de enlace, el dispositivo debe conectarse a un puerto de enlace aislado.

  • VLAN de comunidad/puerto de comunidad: puede configurar varias VLAN de comunidad dentro de una sola PVLAN. Una interfaz dentro de una VLAN específica de la comunidad puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de la comunidad. Una interfaz dentro de una VLAN de la comunidad también puede comunicarse con un puerto promiscuo o con el puerto ISL. Si, por ejemplo, dispone de dos dispositivos del cliente que necesita aislar de otros dispositivos del cliente pero que deben poder comunicarse entre sí, utilice puertos de la comunidad.

  • Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de extremo se suelen conectar a un puerto promiscuo.

  • Vínculo entre conmutadores (ISL): un ISL es un puerto de troncalización que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando un PVLAN abarca varios conmutadores.

El PVLAN configurado es el dominio principal (VLAN principal). En el PVLAN, puede configurar las VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Un PVLAN puede configurarse en un único conmutador o puede configurarse para que abarque varios conmutadores. El PVLAN que se Figura 1 muestra en incluye dos conmutadores, con un dominio PVLAN principal y varios subdominios.

Figura 1: Subdominios en un PVLANSubdominios en un PVLAN

Como se muestra Figura 3en la, un PVLAN solo tiene un dominio principal y varios dominios secundarios. Los tipos de dominios son:

  • VLAN principal: VLAN usada para reenviar tramas descendentes a VLAN aisladas y de comunidad. La VLAN principal de la PVLAN se define con una etiqueta Q 802.1 (ID de VLAN) para el PVLAN completo. El PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía las tramas hacia arriba a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada en la VLAN principal. Una VLAN principal solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes únicamente a un puerto promiscuo o al puerto troncal PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; tampoco es posible que una interfaz aislada reciba paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso únicamente a un enrutador, el dispositivo debe estar conectado a un puerto de enlace aislado.

  • VLAN aislada de interswitch secundario: VLAN que se usa para reenviar tráfico de VLAN aislado de un conmutador a otro a través de puertos de troncalización PVLAN. Se requieren etiquetas 802.1Q para VLAN aisladas entre conmutadores, ya que IEEE 802.1Q utiliza un mecanismo interno de etiquetado mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada de intercambios es una VLAN secundaria anidada dentro de la VLAN principal.

  • VLAN de comunidad secundaria: VLAN se utiliza para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas hacia arriba a la VLAN principal. Una VLAN de comunidad es una VLAN secundaria anidada en la VLAN principal. Puede configurar varias VLAN de comunidad en un solo PVLAN. Una interfaz dentro de una VLAN específica de la comunidad puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de la comunidad. Una interfaz dentro de una VLAN de la comunidad también puede comunicarse con un puerto promiscuo o con el puerto troncal PVLAN.

Figura 2muestra un PVLAN que abarca varios conmutadores, en los que100la VLAN principal () (300 contiene 400dos dominios de la comunidad y un dominio aislado intercambiador.

Figura 2: PVLAN de varios conmutadoresPVLAN de varios conmutadores
Nota:

Las VLAN principales y secundarias cuentan con el límite de 4089 VLAN compatibles en el serie QFX. Por ejemplo, cada VLAN en Figura 2 cuenta con este límite.

Estructura típica y aplicación principal de PVLANs sobre enrutadores serie MX

El PVLAN configurado se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un único enrutador. La PVLAN que se Figura 3 muestra en incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.

Figura 3: Subdominios en un PVLAN con un enrutadorSubdominios en un PVLAN con un enrutador

Los tipos de dominios son:

  • VLAN principal: VLAN usada para reenviar tramas descendentes a VLAN aisladas y de comunidad.

  • VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía las tramas hacia arriba a la VLAN principal.

  • VLAN aislada de interswitch secundario: VLAN que se usa para reenviar tráfico de VLAN aislado de un enrutador a otro a través de puertos de troncalización PVLAN.

  • VLAN de comunidad secundaria: VLAN se utiliza para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas hacia arriba a la VLAN principal.

Nota:

PVLANs son compatibles con enrutadores MX80, en MX240, MX480 y enMX960 enrutadores con DPC en el modo LAN mejorado, enrutadores de la serie MX con MPC1, MPC2 y PICs de servicios adaptables.

Estructura típica y aplicación de la PVLANs de los conmutadores de la serie EX

Nota:

La VLAN principal de la PVLAN se define con una etiqueta Q 802.1 (ID de VLAN) para el PVLAN completo. En conmutadores EX9200, cada VLAN secundaria también debe definirse con su propio ID de VLAN separado.

Figura 4muestra un PVLAN en un conmutador único, donde la VLAN principal (VLAN 100) contiene dos VLANs de la comunidad 300 (VLAN 400y VLAN) y una VLAN aislada 50(VLAN).

Figura 4: VLAN privada en un solo conmutador EXVLAN privada en un solo conmutador EX

Figura 5muestra un PVLAN que abarca varios conmutadores, donde la VLAN principal 100(VLAN) contiene dos VLANs de 300 la comunidad 400(VLAN y VLAN) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 se conectan a través de un enlace de intercambios (PVLAN troncal Link).

Figura 5: PVLAN que abarca varios conmutadores de la serie EXPVLAN que abarca varios conmutadores de la serie EX

Asimismo, los PVLANs mostrados Figura 4 en Figura 5 y utilizan un puerto promiscuo conectado a un enrutador como medio para enrutar el tráfico de capa 3 entre la comunidad y las VLAN aisladas. En lugar de utilizar el puerto promiscuo conectado a un enrutador, puede configurar un RVI en el conmutador Figura 4 o uno de los conmutadores que Figura 5 se muestran en la (en algunos conmutadores ex).

Para enrutar el tráfico de capa 3 entre las VLANs aisladas y de la comunidad, debe conectar un enrutador Figura 4 a Figura 5un puerto promiscuo, como se muestra en y, o configurar un RVI.

Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Este RVI sirve al dominio PVLAN completo independientemente de si el dominio incluye uno o varios conmutadores. Después de configurar la RVI, la RVI asigna y enruta los paquetes de capa 3 recibidos por las interfaces vlan secundarias.

Al configurar el RVI, también debe activar el protocolo de resolución de direcciones de proxy (ARP) para que el RVI pueda tratar las solicitudes ARP recibidas por las interfaces VLAN secundarias.

Para obtener más información sobre la configuración de PVLANs en un único conmutador y en varios conmutadores, consulte la creación de una VLAN privada en un único conmutador de la serie ex (procedimiento de la CLI).Para obtener más información sobre la configuración de un RVI, consulte la configuración de una interfaz de VLAN de ruta en una VLAN privada en un conmutador de la serie ex.

Enrutamiento entre VLANs aisladas y comunitarias

Para enrutar el tráfico de capa 3 entre las VLANs aisladas y de la comunidad, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto de enlace de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.

PVLANs usar las etiquetas Q 802.1 para identificar los paquetes

Cuando los paquetes se marcan con una etiqueta de 802.1 Q específica del cliente, esa etiqueta identifica la posesión de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLANs para hacer un seguimiento de paquetes desde diferentes subdominios. Tabla 1 indica cuando se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en vlan secundarias.

Tabla 1: Cuando las VLAN de una PVLAN necesitan 802.1 etiquetas Q

En un solo conmutador En varios conmutadores

VLAN principal

Especifique una etiqueta de 802.1 Q estableciendo un ID de VLAN.

Especifique una etiqueta de 802.1 Q estableciendo un ID de VLAN.

VLAN secundaria

No se necesita ninguna etiqueta en las redes VLAN.

Las VLAN necesitan etiquetas 802.1 Q:

  • Especifique una etiqueta de 802.1 Q para cada VLAN de comunidad mediante el establecimiento de un identificador de VLAN.

  • Especifique la etiqueta de 802.1 Q para un ID de VLAN de aislamiento estableciendo un identificador de aislamiento.

PVLANs usar las direcciones IP de manera eficiente

PVLANs proporcionan la conservación de direcciones IP y una asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En PVLANs, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP, ya que la subred está asignada a la VLAN principal. A los hosts de la VLAN secundaria se les asigna direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.

Tipos de puertos PVLAN y reglas de reenvío

PVLANs puede utilizar hasta seis tipos de puertos distintos. La red descrita enFigura 2 utiliza un puerto promiscuo para transportar información al enrutador, los puertos de la comunidad para conectar las comunidades de finanzas y recursos humanos con sus respectivos conmutadores, los puertos aislados para conectar los servidores y un puerto de troncal PVLAN para conectar ambos cambios. Los puertos PVLAN tienen distintas restricciones:

  • Puerto de troncalización promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye en uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de extremo se suelen conectar a un puerto promiscuo.

  • Vínculo de troncalización PVLAN: el vínculo de troncalización PVLAN, que también se conoce como vínculo de interswitch, solo se requiere cuando una PVLAN está configurada para abarcar varios conmutadores. El enlace de troncal de PVLAN conecta los conmutadores múltiples que componen el PVLAN.

  • Puerto de troncalización PVLAN: en las configuraciones PVLAN de varios conmutadores se requiere un puerto de troncalización PVLAN para abarcar los conmutadores. El puerto troncal PVLAN es miembro de todas las VLAN en la PVLAN (es decir, la VLAN principal, la comunidad VLAN y la VLAN aislada intercambiadora), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos excepto con los puertos aislados.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La membresía de un puerto de troncalización PVLAN en la VLAN aislada de interswitch es de solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresen en un puerto de acceso promiscuo y, por lo tanto, se reenvía a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización DE VLAN secundario (no se muestra): los puertos de troncalización secundarios llevan tráfico de VLAN secundario. En el caso de una VLAN privada determinada, un puerto de tronco de VLAN secundario puede transportar el tráfico sólo a una VLAN secundaria. Sin embargo, un puerto de tronco de VLAN secundario puede transportar tráfico para varias VLAN secundarias siempre y cuando cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto de tronco de VLAN secundario puede transportar tráfico para una VLAN de comunidad que forma parte de pvlan100 de VLAN principal y que también transporta tráfico para una VLAN aislada que forma parte de VLAN principal pvlan400.

  • Puerto de la comunidad: los puertos de la comunidad se comunican entre sí y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo seleccionado de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o de puertos aislados en su PVLAN.

  • Puerto de acceso aislado: los puertos aislados solo tienen conectividad de capa 2 con puertos promiscuos y puertos de troncalización PVLAN; un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio de VLAN aislada (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de copia de seguridad, está conectado en un puerto aislado. En un hotel, cada habitación suele estar conectado en un puerto aislado, lo que significa que no es posible la comunicación de la sala a la sala, pero que cada sala puede tener acceso a Internet en el puerto promiscuo.

  • Puerto de acceso promiscuo (no mostrado): estos puertos llevan tráfico sin etiquetar. El tráfico de entrada en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico entra en el dispositivo en un puerto habilitado para VLAN y de salida en un puerto de acceso promiscuo, el tráfico queda sin etiquetar a la salida. Si el tráfico con etiqueta se encuentra en un puerto de acceso promiscuo, se descarta el tráfico.

  • Puerto de vínculo de interswitch: un puerto de vínculo de interswitch (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN se extiende por esos enrutadores. El puerto de ISL es un miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de la comunidad y la VLAN aislada).

    La comunicación entre un puerto de ISL y un puerto aislado es unidireccional. La membresía de un puerto ISL en la VLAN aislada de interswitch es de solo salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto PVLAN troncal, pero un puerto de enlace de PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.

Tabla 2resume la conectividad de capa 2 entre los distintos tipos de puertos de un PVLAN en conmutadores de la serie EX que admite ELS.

Tabla 2: Puertos de PVLAN y reenvío de capa 2 en conmutadores de la serie EX compatibles con ELS

Tipo de puerto desde

A puertos aislados?

A puertos promiscuo?

¿A los puertos de la comunidad?

A Puerto de vínculo entre conmutadores?

Islas

Niegue

Estancia

Niegue

Estancia

Promiscuo

Estancia

Estancia

Estancia

Estancia

Comunidad 1

Niegue

Estancia

Estancia

Estancia

Tabla 3: Puertos PVLAN y conectividad de capa 2

Tipo de Puerto

Troncal promiscuo

PVLAN troncal

Tronco secundario

Comunidad

Acceso aislado

Acceso promiscuo

Troncal promiscuo

PVLAN troncal

Sí: la misma comunidad solo

Tronco secundario

No

No

Comunidad

Sí: la misma comunidad solo

No

Acceso aislado

Sí: solo unidireccional

No

No

No

Acceso promiscuo

No

Tabla 4resume si existe conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.

Tabla 4: Puertos PVLAN y conectividad de capa 2 en conmutadores de la serie EX sin soporte de ELS

Tipo de Puerto

Como →

A partir de:.

Promiscuo

Comunidad

Islas

PVLAN troncal

RVI

Promiscuo

Comunidad

Sí: la misma comunidad solo

No

Islas

No

No

Nota:

Esta comunicación es unidireccional.

PVLAN troncal

Sí: la misma comunidad solo

Nota:

Esta comunicación es unidireccional.

RVI

Como se indica en , la comunicación de capa 2 entre un puerto aislado y un puerto de Tabla 4 troncalización PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncal PVLAN y un puerto de enlace de PVLAN solo puede recibir paquetes de un puerto aislado. A la inversa, un puerto de troncal PVLAN no puede enviar paquetes a un puerto aislado, y un puerto aislado no puede recibir paquetes desde un puerto de enlace de PVLAN.

Nota:

Si lo habilita no-mac-learning en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada intercambiadora) de la PVLAN heredan dicha configuración. Sin embargo, si desea deshabilitar dirección MAC aprendizaje sobre las VLAN de la comunidad, debe configurar no-mac-learning en cada una de estas VLAN.

Crear una PVLAN

El diagrama de flujo Figura 6 que se muestra en le ofrece una idea general del proceso de creación de PVLANs. Si completa los pasos de configuración en el orden mostrado, no infringirá estas reglas de PVLAN. (En las reglas PVLAN, la configuración del puerto de enlace de PVLAN sólo se aplica a un PVLAN que abarca varios enrutadores.)

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

La configuración de una VLAN en un único enrutador es relativamente sencilla Figura 6, tal y como se muestra en la.

Figura 6: Configuración de un PVLAN en un solo conmutadorConfiguración de un PVLAN en un solo conmutador

La configuración de una VLAN principal consta de estos pasos:

  1. Configure el nombre de VLAN principal y la etiqueta de 802.1 Q.

  2. Establecer no-local-switching en la VLAN principal.

  3. Configure el puerto troncal y los puertos de acceso del promiscuo.

  4. Haga que el troncal promiscuo y los puertos de acceso sean miembros de la VLAN principal.

En una VLAN principal, puede configurar VLANs secundarias, o VLAN aisladas secundarias o ambas. La configuración de una VLAN de comunidad secundaria consta de los siguientes pasos:

  1. Configure una VLAN con el proceso habitual.

  2. Configure interfaces de acceso para la VLAN.

  3. Asignar una VLAN principal a la VLAN de la comunidad,

Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción está no-local-switching habilitada en la VLAN principal.

las etiquetas 802.1 q son necesarias para las VLAN aisladas entre conmutadores, ya que IEEE 802.1 Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de Troncalización inserta una ficha de identificación de fotogramas de VLAN de 4 bytes en el encabezado del paquete.

Los puertos de troncalización solo son necesarios para las configuraciones de PVLAN multirouter: el puerto de troncalización transporta tráfico desde la VLAN principal y todas las VLAN secundarias.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • Una interfaz de acceso puede pertenecer únicamente a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.

  • Una interfaz troncal puede ser miembro de dos VLAN secundarias siempre y cuando las VLAN secundarias se encuentren en dos VLAN principales distintas . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentren en la misma VLAN principal.

  • Se debe configurar una sola región de multiple Spanning Tree Protocol (MSTP) en todas las VLAN incluidas en el PVLAN.

  • No se admite el protocolo de árbol de expansión de VLAN (VSTP).

  • La supervisión IGMP no es compatible con las VLAN privadas.

  • Las interfaces VLAN enrutadas no se admiten en VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias de la misma VLAN principal.

  • Algunas instrucciones de configuración no pueden especificarse en una VLAN secundaria. Puede configurar las siguientes instrucciones en el nivel [edit vlans vlan-name switch-options] de jerarquía solo en la PVLAN principal.

  • Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, puede seguir este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal para que sea una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.

Las siguientes características no se admiten en PVLANs en conmutadores Junos con compatibilidad para el estilo de configuración Els:

  • Características de seguridad de DHCP (supervisión de DHCP, inspección ARP dinámica, protección de la fuente IP)

  • Filtros de Firewall de VLAN de salida

  • Protección de ring Ethernet (ERP)

  • Etiquetado de VLAN flexible

  • global-Mac-estadísticas

  • Interfaz de enrutamiento y puentes integrados (IRB)

  • Supervisión de multidifusión o supervisión IGMP

  • Grupos de agregación de vínculos de chasis múltiple (MC-intervalos)

  • Duplicación de puertos

  • Túnel q-in-Q

  • Protocolo de árbol de expansión de VLAN (VSTP)

  • Voz sobre IP (VoIP)

Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía únicamente en el PVLAN primario:

Descripción de los flujos de tráfico PVLAN en varios conmutadores

En este tema se muestran y se explican tres flujos de tráfico diferentes en una red multiswitch de muestra configurada con una VLAN privada (PVLAN). Las PVLANs restringen los flujos de tráfico a través de sus puertos de conmutador miembro (los cuales se denominan "puertos privados") para que se comuniquen solo con un puerto de troncalización ascendente específico o con puertos especificados dentro de la misma VLAN.

Este tema describe lo siguiente:

VLAN de la comunidad que envía tráfico sin etiquetar

En este escenario, una VLAN de la comunidad-1 del conmutador 1 en la interfaz GE-0/0/0 envía tráfico sin etiquetar. Las flechas en Figura 7 la que se representa este flujo de tráfico.

Figura 7: La VLAN de la comunidad envía tráfico sin etiquetarLa VLAN de la comunidad envía tráfico sin etiquetar

En este escenario, la siguiente actividad tiene lugar en el conmutador 1:

  • Comunidad-1 VLAN en interface GE-0/0/0: Conocimientos

  • pvlan100 en la interfaz GE-0/0/0: Replicaci

  • Comunidad-1 VLAN en interface GE-0/0/12: Recibe el tráfico

  • Puerto troncal PVLAN: El tráfico sale de GE-1/0/2 y de ae0 con etiqueta 10

  • Community-2: Interfaz no recibe tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

En este escenario, esta actividad tiene lugar en el conmutador 3:

  • Comunidad-1 VLAN en interface GE-0/0/23 (PVLAN troncal): Conocimientos

  • pvlan100 en la interfaz GE-0/0/23: Replicaci

  • Comunidad-1 VLAN en interface GE-0/0/9 y GE-0/0/16: Recibe el tráfico

  • Puerto de troncal promiscuo: El tráfico sale de GE-0/0/0 con la etiqueta 100

  • Community-2: Interfaz no recibe tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

VLAN aislada que envía tráfico sin etiquetar

En este escenario, VLAN1 aislado en conmutador 1 en la interfaz GE-1/0/0 envía tráfico sin etiquetar. Las flechas en Figura 8 la que se representa este flujo de tráfico.

Figura 8: Una VLAN aislada envía tráfico sin etiquetarUna VLAN aislada envía tráfico sin etiquetar

En este escenario, la siguiente actividad tiene lugar en el conmutador 1:

  • VLAN1 aislado en la interfaz GE-1/0/0: Conocimientos

  • pvlan100 en la interfaz GE-1/0/0: Replicaci

  • El tráfico sale de PVLAN-troncal GE-1/0/2 y ae0 con la etiqueta 50

  • Comunidad-1 y comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

En este escenario, esta actividad tiene lugar en el conmutador 3:

  • VLAN en interface GE-0/0/23 (PVLAN puerto troncal): Conocimientos

  • pvlan100 en la interfaz ge0/0/23: Replicaci

  • Puerto de troncal promiscuo: El tráfico sale de GE-0/0/0 con la etiqueta 100

  • Comunidad-1 y comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: No reciba tráfico

PVLAN tráfico etiquetado enviado en un puerto promiscuo

En este escenario, PVLAN tráfico con etiquetas se envía en un puerto promiscuo. Las flechas en Figura 9 la que se representa este flujo de tráfico.

Figura 9: PVLAN tráfico etiquetado enviado en un puerto promiscuoPVLAN tráfico etiquetado enviado en un puerto promiscuo

En este escenario, la siguiente actividad tiene lugar en el conmutador 1:

  • pvlan100 VLAN en interface ae0 (PVLAN troncal): Conocimientos

  • Community-1, Community-2, y todas las VLAN aisladas en la interfaz ae0: Replicaci

  • VLAN en interfaz ae0: Replicaci

  • El tráfico sale de PVLAN-troncal GE-1/0/2 con la etiqueta 100

  • Comunidad-1 y comunidad-2: Las interfaces reciben tráfico

  • VLAN aisladas: Recibir tráfico

En este escenario, esta actividad tiene lugar en el conmutador 3:

  • pvlan100 en la interfaz GE-0/0/0: Conocimientos

  • Comunidad-1, comunidad-2 y todas las VLAN aisladas en la interfaz GE-0/0/0: Replicaci

  • VLAN en la interfaz GE-0/0/0: Replicaci

  • Comunidad-1 y comunidad-2: Las interfaces reciben tráfico

  • VLAN aisladas: Recibir tráfico

Comprensión de los puertos de tronco de VLAN secundarios y puertos de acceso promiscuo en PVLANs

Las VLAN limitan las difusiones a los usuarios especificados. Las VLAN privadas (PVLANs) toman este concepto un paso más allá dividiendo una VLAN en varios subdominios de difusión y colocando fundamentalmente VLAN secundarias dentro de una VLAN principal. PVLANs limitar el tráfico fluye a través de sus puertos para que estos puertos solo se comuniquen con un puerto troncal de vínculo superior especificado o con puertos especificados dentro de la misma VLAN. El puerto de enlace del vínculo superior suele conectarse a un enrutador, un cortafuegos, un servidor o una red de proveedor. Normalmente, un PVLAN contiene muchos puertos privados que se comunican solo con un único vínculo superior, lo que impide que los puertos se comuniquen entre sí.

Los puertos secundarios de troncal y los puertos de acceso promiscuo amplían la funcionalidad de PVLANs para su uso en implementaciones complejas, como:

  • Entornos empresariales de VMWare Infrastructure

  • Servicios en la nube de multiinquilino con administración de VM

  • Servicios de alojamiento web para varios clientes

Por ejemplo, puede utilizar puertos troncales de VLAN secundarios para conectar dispositivos QFX a servidores VMware que estén configurados con VLANs privadas. Puede utilizar puertos de acceso promiscuo para conectar dispositivos QFX a sistemas que no admitan puertos troncales pero que necesiten participar en VLAN privadas.

En este tema se explican los siguientes conceptos relativos a PVLANs en el serie QFX:

Tipos de puertos PVLAN

PVLANs puede usar los siguientes tipos de puerto:

  • Puerto de troncalización promiscuo: un puerto promiscuo es un puerto de troncalización ascendente conectado a un enrutador, firewall, servidor o red de proveedor. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y de comunidad de una PVLAN.

  • Puerto de troncalización PVLAN: en las configuraciones PVLAN de varios conmutadores se requiere un puerto de troncalización PVLAN para abarcar los conmutadores. El puerto troncal PVLAN es miembro de todas las VLAN en la PVLAN (es decir, la VLAN principal, la comunidad VLAN y la VLAN aislada intercambiadora), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La membresía de un puerto de troncalización PVLAN en la VLAN aislada de interswitch es de solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresen en un puerto de acceso promiscuo y, por lo tanto, se reenvía a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización de VLAN secundaria: los puertos de troncalización de VLAN secundaria llevan tráfico de VLAN secundario. En el caso de una VLAN privada (principal) determinada, el puerto de tronco de una VLAN secundaria puede transportar el tráfico únicamente a una VLAN secundaria. Sin embargo, un puerto de tronco de VLAN secundario puede transportar tráfico para varias VLAN secundarias siempre y cuando cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto de tronco de VLAN secundario puede transportar tráfico para una VLAN de comunidad que forma parte de pvlan100 de VLAN principal y que también transporta tráfico para una VLAN aislada que forma parte de VLAN principal pvlan400.

    Nota:

    Cuando el tráfico se deriva de un puerto de tronco de la VLAN secundaria, normalmente lleva la etiqueta de la VLAN principal de la que es miembro el puerto secundario. Si desea que el tráfico que salida de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la ID de Extend-Secondary-VLAN instrucción.

  • Puerto de la comunidad: los puertos de la comunidad se comunican entre sí y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo seleccionado de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o de puertos aislados en su PVLAN.

  • Puerto de acceso aislado: los puertos aislados solo tienen conectividad de capa 2 con puertos promiscuos y puertos de troncalización PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.

  • Puerto de acceso promiscuo: estos puertos llevan tráfico sin etiquetar y pueden ser miembros de una sola VLAN principal. El tráfico de entrada en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que es miembro el puerto de acceso promiscuo. En este caso, el tráfico lleva la etiqueta VLAN secundaria correspondiente cuando salida del puerto VLAN secundario si el puerto VLAN secundario es un puerto troncal. Si el tráfico se encuentra en el puerto de VLAN secundario y en el puerto de acceso promiscuo, el tráfico no se etiquetará a la salida. Si el tráfico con etiqueta se encuentra en un puerto de acceso promiscuo, se descarta el tráfico.

Detalles del puerto de tronco de VLAN secundario

Cuando se utiliza un puerto de conexión de VLAN secundario, tenga en cuenta lo siguiente:

  • Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto de tronco de la VLAN secundaria. Esto se cumple incluso si las VLAN secundarias que el puerto de enlace de la VLAN secundaria va a transportar se limitan a un único dispositivo.

  • Si configura un puerto para que sea un puerto de tronco de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de los siguientes:

    • Puerto de tronco de VLAN secundario para otra VLAN principal

    • PVLAN troncal para otra VLAN principal

    • Puerto de troncal promiscuo

    • Acceso al puerto para una VLAN no privada

  • El tráfico que se transporta en un puerto de enlace de VLAN secundario (con una etiqueta de VLAN secundaria) y la salida en un puerto de PVLAN troncal conserva la etiqueta de VLAN secundaria en el salida.

  • El tráfico que transporta en un puerto de enlace de VLAN secundario y la salida en un puerto troncal promiscuo tiene la etiqueta VLAN principal correspondiente en el salida.

  • El tráfico de salida en un puerto de tronco de la VLAN secundario y el de salida en el puerto de acceso promiscuo no tiene etiquetas sin etiqueta.

  • El tráfico que transmite en un puerto troncal promiscuo con etiqueta VLAN principal y salida en un puerto troncal de VLAN secundario incorpora la etiqueta VLAN secundaria apropiada en el salida. Por ejemplo, supongamos que se ha configurado lo siguiente en un conmutador:

    • VLAN principal 100

    • La VLAN de la comunidad 200 como parte de la VLAN principal

    • Puerto de troncal promiscuo

    • Puerto de enlace secundario que transporta la VLAN 200 de la comunidad

    Si un paquete de entrada en el puerto de enlace promiscuo con la etiqueta VLAN principal 100 y salidas en el puerto de entrada de la VLAN secundaria, lleva la etiqueta 200 en salida.

Casos de uso

En la misma interfaz física, puede configurar varios puertos troncales de VLAN secundarios (en distintas VLAN principales) o combinar un puerto de red VLAN secundario con otros tipos de puertos VLAN. Los siguientes casos de uso proporcionan ejemplos de cómo hacerlo y muestran cómo fluirá el tráfico en cada caso:

Troncos secundarios de VLAN en dos VLAN principales

Para este caso de uso, suponga que tiene dos conmutadores con la siguiente configuración:

  • Pvlan100 de VLAN principal con etiqueta 100.

    • Isolated200 de VLAN aislada con la etiqueta 200 es miembro de pvlan100.

    • La comm300 VLAN de la comunidad con la etiqueta 300 es miembro de pvlan100.

  • Pvlan400 de VLAN principal con etiqueta 400.

    • Isolated500 de VLAN aislada con la etiqueta 500 es miembro de pvlan400.

    • La comm600 VLAN de la comunidad con la etiqueta 600 es miembro de pvlan400.

  • Interface xe-0/0/0 en el conmutador 1 se conecta con un servidor VMware (no mostrado) que está configurado con las VLAN privadas que se utilizan en este ejemplo. Esta interfaz se configura con puertos troncales de VLAN secundarios para transportar el tráfico para comm600 de VLAN secundaria y la VLAN aislada (etiqueta 200) que es miembro de pvlan100.

  • Interface xe-0/0/0 en el conmutador 2 se muestra configurado como puerto de enlace promiscuo o puerto de acceso promiscuo. En este último caso, puede suponer que se conecta a un sistema (no mostrado) que no admite puertos troncales, pero que está configurado con las VLAN privadas que se usan en este ejemplo.

  • En el conmutador 1, XE-0/0/6 es miembro de comm600 y está configurado como puerto troncal.

  • En el conmutador 2, XE-0/0/6 es miembro de comm600 y está configurado como un puerto de acceso.

Figura 10muestra esta topología y cómo el tráfico para isolated200 y comm600 fluirá después de la entrada en xe-0/0/0 en conmutador 1. Tenga en cuenta que el tráfico sólo fluirá donde indiquen las flechas. Por ejemplo, no hay flechas para las interfaces xe-0/0/2, XE-0/0/3 y xe-0/0/5 en el conmutador 1 porque no se descartaron paquetes en esas interfaces.

Figura 10: Dos puertos de tronco de VLAN secundarios en una interfazDos puertos de tronco de VLAN secundarios en una interfaz

Este es el flujo de tráfico para VLAN isolated200:

  1. Después del tráfico para la entrada de isolated200 en el puerto de enlace de la VLAN secundaria en el conmutador 1, la salida se encuentra en el puerto PVLAN troncal, ya que el puerto de troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (200) en el momento de la salida.
  2. Después del tráfico de la entrada de isolated200 en el puerto de tronco de la VLAN secundaria del conmutador 2, salida de la copia en xe-0/0/0, que está configurada como puerto de Troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 se configura como puerto troncal promiscuo, los paquetes de salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, los paquetes de salida de este puerto quedarán sin etiqueta.

Tenga en cuenta que el tráfico de VLAN isolated200 no se salida en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en la VLAN secundaria puerto de enlace xe-0/0/2 en el conmutador 2 aunque estos dos puertos son miembros de la misma VLAN aislada.

Este es el flujo de tráfico para VLAN comm600:

  1. Después del tráfico para la entrada de comm600 en el puerto de enlace de la VLAN secundaria en el conmutador 1, la salida se encuentra en el puerto PVLAN troncal, ya que el puerto de troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida.

  2. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 1. El tráfico se etiqueta porque el puerto está configurado como un tronco.

  3. Después del tráfico de entrada de comm600 en el puerto de troncal PVLAN del conmutador 2, salida en xe-0/0/0 si esta interfaz está configurada como puerto de enlace promiscuo.

    Nota:

    Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, el puerto puede participar en una sola VLAN principal. En este caso, el puerto de acceso promiscuo forma parte de pvlan100, por lo que el tráfico de comm600 no tiene salida

  4. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 2. En este caso, el tráfico no está etiquetado, ya que el modo de puerto es Access.

Troncal de VLAN secundario y troncal promiscuo

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, con una excepción: En este caso, XE-0/0/0 en conmutador 1 se configura como puerto de tronco de VLAN secundario para VLAN pvlan100 y también está configurado como puerto de enlace promiscuo para pvlan400.

Figura 11muestra esta topología y cómo fluirá el tráfico de isolated200 (miembro de pvlan100) y comm600 (miembro de pvlan400) tras la entrada en el conmutador 1.

Figura 11: Troncal de VLAN secundario y troncal promiscuo en una interfazTroncal de VLAN secundario y troncal promiscuo en una interfaz

El flujo de tráfico para VLAN isolated200 es el mismo que en el caso de uso anterior, pero el flujo para comm600 es diferente. Este es el flujo de tráfico para VLAN comm600:

  1. Después del tráfico para la entrada de comm600 en el puerto VLAN de la comunidad xe-0/0/6 en el conmutador 1, éste no está en el puerto troncal promiscuo xe-0/0/0 en el conmutador 1. En este caso, incluye la etiqueta de VLAN principal (400).
  2. El tráfico para comm600 también salida en el puerto de troncal PVLAN porque el puerto de troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida.
  3. Después del tráfico de entrada de comm600 en el puerto de troncal PVLAN del conmutador 2, salida en xe-0/0/0 si esta interfaz está configurada como puerto de enlace promiscuo.

    No se salida en xe-0/0/0 si esta interfaz está configurada como puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.

  4. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 2.

Troncal de VLAN y troncal de PVLAN

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto que xe-0/0/0 en el conmutador 1 se configura como puerto de tronco de VLAN secundario para VLAN pvlan100 y también está configurado como un puerto de enlace de PVLAN para pvlan400.

Figura 12muestra esta topología y cómo fluirá el tráfico de comm300 (miembro de pvlan100) y comm600 (miembro de pvlan400) tras la entrada en el conmutador 1.

Figura 12: Troncal de VLAN y troncal de PVLAN en una interfazTroncal de VLAN y troncal de PVLAN en una interfaz

Este es el flujo de tráfico para VLAN comm300:

  1. Después del tráfico de entrada de comm300 en el puerto de la comunidad xe-0/0/3 en el conmutador 1, se queda en PVLAN puerto troncal xe-0/0/1, ya que PVLAN puerto de red troncal pertenece a todas las VLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (300) en el momento de la salida.
    Nota:

    El tráfico de comm300 no se salida en xe-0/0/0 porque el puerto de tronco de la VLAN secundaria de esta interfaz incluye isolated200, no comm300.

  2. Después del tráfico de comm300 en el puerto de troncal PVLAN del conmutador 2, salida de xe-0/0/0, que está configurado como puerto de Troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 se configura como puerto troncal promiscuo, los paquetes de salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, los paquetes de salida de este puerto quedarán sin etiqueta.

  3. El tráfico de comm300 también se salida en el puerto de comunidad xe-0/0/3 del conmutador 2.

Este es el flujo de tráfico para VLAN comm600:

  1. Después del tráfico para la entrada de comm600 en el puerto PVLAN xe-0/0/0 en el conmutador 1, salida del puerto de comunidad xe-0/0/6 en el conmutador 1. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida porque xe-0/0/6 es un puerto troncal.

  2. El tráfico para comm600 también se encuentra en PVLAN puerto troncal xe-0/0/1, ya que PVLAN puerto de red troncal pertenece a todas las VLANs. Los paquetes mantienen la etiqueta de la VLAN secundaria (600) en el momento de la salida.

  3. Después del tráfico de entrada de comm600 en el puerto de troncal PVLAN del conmutador 2, salida en xe-0/0/0 si esta interfaz está configurada como puerto de enlace promiscuo.

    No se salida en xe-0/0/0 si esta interfaz está configurada como puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.

  4. El tráfico para comm600 también salida en el puerto de comunidad xe-0/0/6 en el conmutador 2. Este tráfico no está etiquetado con salida, ya que xe-0/0/6 es un puerto de acceso.

Interfaz de Troncalización de VLAN secundaria y VLAN no privada

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto en estas diferencias:

  • Configuración de xe-0/0/0 en conmutador 1:

    • Puerto de tronco de VLAN secundario para VLAN pvlan100

    • Puerto de acceso para vlan700

  • El puerto xe-0/0/6 en ambos conmutadores es un puerto de acceso para vlan700.

Figura 13muestra esta topología y cómo fluirá el tráfico de isolated200 (miembro de pvlan100) y vlan700 después de la entrada en el conmutador 1.

Figura 13: Troncal de VLAN secundario y puerto VLAN no privado en una interfazTroncal de VLAN secundario y puerto VLAN no privado en una interfaz

Este es el flujo de tráfico para VLAN isolated200:

  1. Después del tráfico para la entrada de isolated200 en el puerto de enlace de la VLAN secundaria en el conmutador 1, la salida está en el puerto de troncal PVLAN. Los paquetes mantienen la etiqueta de la VLAN secundaria (200) en el momento de la salida.
  2. Después del tráfico de isolated200 en el puerto de troncal PVLAN del conmutador 2, salida de xe-0/0/0, que está configurado como puerto de Troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 se configura como puerto troncal promiscuo, los paquetes de salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 se configura como puerto de acceso promiscuo, los paquetes de salida de este puerto quedarán sin etiqueta.

Tenga en cuenta que el tráfico de VLAN isolated200 no se salida en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en la VLAN secundaria puerto de enlace xe-0/0/2 en el conmutador 2 aunque estos dos puertos son miembros de la misma VLAN aislada.

Después del tráfico de la entrada de vlan700 en el puerto de acceso configurado en xe-0/0/0 en el conmutador 1, salida del puerto de acceso xe-0/0/6, ya que ese puerto es miembro de la misma VLAN. El tráfico para vlan700 no se reenvía al conmutador 2 (incluso aunque xe-0/0/6 en el conmutador 2 sea miembro de vlan700) porque el tronco PVLAN en xe-0/0/1 no tiene esta VLAN.

Entrada de tráfico en el puerto de acceso promiscuo

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, excepto que xe-0/0/0 en el conmutador 1 se configura como puerto de acceso promiscuo y es miembro de pvlan100. Figura 14 muestra esta topología y cómo fluirá el tráfico sin etiquetar después de la entrada a través de esta interfaz en el conmutador 1.

Figura 14: Entrada de tráfico en el puerto de acceso promiscuoEntrada de tráfico en el puerto de acceso promiscuo

Como se muestra en la figura, el tráfico sin etiquetar que ingrese en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios que sean miembros de la misma VLAN principal de la que el puerto de acceso promiscuo es miembro. El tráfico no se etiqueta cuando lo quita de los puertos de acceso y se etiqueta en las salidas de un puerto troncal (Xe-0/0/2 en el conmutador 2).

Uso de la autenticación 802.1 X y las VLAN privadas juntas en la misma interfaz

Comprender el uso de 802.1 X autenticación y PVLANs en la misma interfaz

Ahora puede configurar tanto la autenticación de 802.1 X como las VLAN privadas (PVLANs) en la misma interfaz.

IEEE autenticación 802.1X proporciona seguridad de borde de red, lo que protege las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un supplicante (cliente) en la interfaz hasta que se presentan y hacen coincidir las credenciales del suplicante en el servidor de autenticación (un RADIUS server).

Las VLAN privadas (PVLANs) proporcionan aislamiento de capa 2 entre los puertos de una red VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLANs secundarias. PVLANs son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos.

En un conmutador que esté configurado con autenticación 802.1 X y PVLANs, cuando se conecte un nuevo dispositivo a la red PVLAN, el dispositivo se autenticará y se asignará a una VLAN secundaria basada en la configuración PVLAN o en RADIUS perfil. A continuación, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.

Nota:

Este documento no proporciona información detallada sobre la autenticación de 802.1 X o las VLAN privadas. Para obtener más información, consulte la documentación sobre características específica de esas características. Para 802.1 X, consulte User Access and Authentication User Guide. Para PVLANs, consulte Guía del usuario de conmutación Ethernet.

Directrices de configuración para combinar la autenticación de 802.1 X con PVLANs

Tenga en cuenta las siguientes directrices y limitaciones para configurar estas dos funciones en la misma interfaz:

  • Una interfaz habilitada para 802.1 X no puede configurarse como una interfaz promiscuo (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz interconmutador-vínculo (ISL).

  • No se pueden autenticar varios usuarios a través de distintas VLAN que pertenecen al mismo dominio PVLAN en una interfaz lógica; por ejemplo, si la interfaz ge-0/0/0 está configurada como y los clientes C1 y C2 se autentican y se agregan a las VLAN dinámicas V1 y V2, respectivamente, entonces V1 y V2 deben pertenecer a distintos dominios supplicant multiple PVLAN.

  • Si la VLAN de VoIP y la VLAN de datos son diferentes, estas dos VLAN deben estar en dominios PVLAN diferentes.

  • Cuando se cambia la pertenencia a PVLAN (es decir, una interfaz se vuelve a configurar en unPVLAN diferente), los clientes deben volver a autenticarse.

Ejemplo Configuración de la autenticación de 802.1 X con VLAN privadas con una configuración

Aplicables

  • Junos OS versión 18.2 R1 o superior

  • Conmutador EX2300, EX3400 o EX4300

Antes de comenzar, especifique el RADIUS servidor o servidores que se utilizarán como el servidor de autenticación. Consulte especificación de conexiones del servidor RADIUS en conmutadores (procedimiento de la CLI).

Descripción general

La siguiente sección de configuración muestra la configuración del perfil de acceso, la configuración de autenticación de 802.1 X y, por último, la configuración de VLAN (incluida PVLANs).

Configuración de la autenticación de 802.1 X con VLAN privadas con una configuración

Modalidades
Configuración rápida de CLI
Procedimiento paso a paso

Para configurar la autenticación 802.1 X y el PVLANs en una sola configuración:

  1. Configure el perfil de acceso:

    Nota:

    La VLAN configurada de VoIP no puede ser una PVLAN (principal, comunidad o aislada).

  2. Configure las configuraciones de 802.1 X:

    Nota:

    La VLAN de datos configurada también podría ser una VLAN aislada o en una VLAN.

  3. Configure las redes VLAN (incluida la PVLANs):

Resultados

Desde el modo de configuración, escriba los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Comprobar que las direcciones MAC del cliente se aprenden en la VLAN principal
Purpose

Muestre que una dirección MAC cliente se ha aprendido en la VLAN principal.

Intervención
Verificar que la VLAN principal sea una VLAN autenticada
Purpose

Muestre que la VLAN principal se muestra como una VLAN autenticada.

Intervención

Colocación de la seguridad del puerto de acceso en las VLAN privadas

Descripción de Security Port Access en PVLANs

Ahora puede activar las características de seguridad del puerto de acceso, como la supervisión DHCP, en las VLAN privadas (PVLANs).

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica PVLAN le permite dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN.

Las LAN Ethernet son vulnerables a ataques como suplantación de direcciones (falsificación) y denegación de servicio (DoS) de capa 2 en dispositivos de red. Las siguientes características de seguridad del puerto de acceso ayudan a proteger el dispositivo frente a la pérdida de información y productividad que tales ataques pueden ocasionar, y ahora puede configurar estas características de seguridad en un PVLAN:

  • Snooping DHCP: filtra y bloquea los mensajes del servidor DHCP de entrada en puertos que no son de confianza. La supervisión DHCP crea y mantiene una base de datos de la información de concesiones DHCP, que se denomina base de datos de supervisión DHCP.

  • Snooping DHCPv6: snooping DHCP para IPv6.

  • Opción 82 de DHCP: también conocida como opción información de agente de retransmisión DHCP. Ayuda a proteger el conmutador frente a ataques como suplantación de direcciones IP y direcciones MAC, así como el colapso de direcciones IP DHCP. La opción 82 proporciona información acerca de la ubicación de red de un cliente DHCP. El servidor DHCP utiliza esta información para implementar direcciones IP u otros parámetros para el cliente.

  • Opciones DHCPv6:

    • Opción 37: opción de ID remoto para DHCPv6; inserta información acerca de la ubicación de red del host remoto en paquetes DHCPv6.

    • Opción 18: opción de ID de circuito para DHCPv6; inserta información sobre el puerto del cliente en paquetes DHCPv6.

    • Opción 16: opción id del proveedor para DHCPv6; inserta información sobre el proveedor del hardware del cliente en paquetes DHCPv6.

  • Inspección ARP dinámica (DAI): previene ataques de suplantación de protocolo de Resolución dirección (ARP). Las solicitudes y las respuestas ARP se comparan con las entradas de la base de datos de supervisión DHCP, y las decisiones de filtrado se toman a partir de los resultados de dichas comparaciones.

  • Protección de origen IP: mitiga los efectos de los ataques de suplantación de direcciones IP en la LAN Ethernet; valida la dirección IP de origen en el paquete enviado desde una interfaz de acceso que no es de confianza con la base de datos de espionaje DHCP. Si el paquete no se puede validar, se descarta.

  • Protección de origen IPv6: protección de origen IP para IPv6.

  • Inspección de detección de vecino IPv6: previene los ataques de suplantación de direcciones IPv6; compara las solicitudes de descubrimiento de vecinos y respuestas con las entradas en la base de datos de espionaje DHCPv6, y las decisiones de filtrado se toman a partir de los resultados de esas comparaciones.

Nota:

Este documento no proporciona información detallada acerca de las características de seguridad del puerto de acceso o PVLANs. Para obtener más información, consulte la documentación sobre características específica de esas características. Para seguridad del puerto de acceso, consulte Guía de administración de servicios de seguridad. Para PVLANs, consulte Guía del usuario de conmutación Ethernet.

Directrices de configuración para colocar características de seguridad del puerto de acceso en PVLANs

Tenga en cuenta las siguientes directrices y limitaciones para configurar las funciones de seguridad del puerto de acceso en PVLANs:

  • Debe aplicar las mismas funciones de seguridad del puerto de acceso tanto en la VLAN principal como en todas sus VLAN secundarias.

  • Un PVLAN puede tener una sola interfaz integrada de enrutamiento y puente (IRB), y la interfaz IRB debe estar en la VLAN principal.

  • Las limitaciones de las configuraciones de seguridad de puertos de acceso en PVLANs son las mismas que las de las características de seguridad del puerto de acceso que no se encuentran en PVLANs. Consulte la documentación de seguridad del puerto de acceso en la Guía de administración de servicios de seguridad.

Ejemplo Configuración del acceso a puertos de seguridad en un PVLAN

Aplicables

  • Junos OS versión 18.2 R1 o superior

  • Conmutador EX4300

Descripción general

La siguiente sección de configuración muestra:

  • Configuración de una VLAN privada, con la VLAN principal ( ) y sus tres VLAN secundarias: VLAN de comunidad ( y ) y vlan-privlan-hr VLAN vlan-finance aisladas ( vlan-iso ).

  • Configuración de las interfaces que se utilizan para enviar las comunicaciones entre las interfaces de esas VLAN.

  • Configuración de las funciones de seguridad de acceso en las VLAN principal y secundaria que componen el PVLAN.

Tabla 5enumera los valores de la topología de ejemplo.

Tabla 5: Componentes de la topología para configurar un PVLAN con funciones de seguridad del puerto de Access
Interfaz Descripción

ge-0/0/0.0

Interfaz troncal de VLAN principal (vlan1-PRI)

ge-0/0/11.0

Usuario 1, comunidad de RRHH (VLAN-hr)

ge-0/0/12.0

Usuario 2, comunidad de RRHH (VLAN-hr)

ge-0/0/13.0

Usuario 3, finanzas, comunidad (VLAN-Finance)

ge-0/0/14.0

Usuario 4, finanzas, comunidad (VLAN-Finance)

ge-0/0/15.0

Servidor de correo, aislado (VLAN-ISO)

ge-0/0/16.0

Servidor de backup aislado (VLAN-ISO)

ge-1/0/0.0

Interfaz troncal VLAN principal (VLAN-PRI)

Configuración del acceso a puertos de seguridad en un PVLAN

Modalidades
Configuración rápida de CLI
Procedimiento paso a paso

Para configurar una VLAN privada (PVLAN) y, a continuación, configurar las características de seguridad del puerto de acceso en ese PVLAN:

  1. Configurar la PVLAN: cree la VLAN principal y sus VLAN secundarias y asígneles identificadores de VLAN. Asociar interfaces con las redes VLAN. Para obtener más detalles sobre la configuración de redes VLAN, consulte Configuring VLANS for ex series switches with Els support (procedimiento de CLI).

  2. Configure las funciones de seguridad del puerto de acceso en la VLAN principal y en todas sus VLAN secundarias:

    Nota:

    Cuando configure la inspección de ARP, la protección de código IP, la protección de código IPv6, la inspección de descubrimiento de vecinos, la opción 82 de DHCP o las opciones DHCPv6, se configurarán automáticamente la supervisión de DHCP y la supervisión DHCPv6.

Resultados

Desde el modo de configuración, escriba los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Comprobar que las características de seguridad de Access funcionan según lo previsto
Purpose

Compruebe que las características de seguridad del puerto de acceso que configuró en el PVLAN funcionan según lo previsto.

Intervención

Utilice los show dhcp-security comandos y clear dhcp-security la CLI para comprobar que las características funcionan tal y como se esperaba. Consulte los detalles de estos comandos en la Guía de administración de servicios de seguridad.

Crear una VLAN privada en un solo conmutador con compatibilidad con ELS (procedimiento CLI)

Nota:

Esta tarea utiliza Junos OS para los conmutadores compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si su conmutador de la serie EX ejecuta software que no admite ELS, consulte la creación de una VLAN privada en un único conmutador de la serie ex (procedimiento de la CLI). Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

Nota:

Las VLAN privadas no se admiten en conmutadores QFX5100 y conmutadores QFX10002 que ejecuten Junos OS versión 15.1 X53.

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, o bien limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLANs) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislada (VLAN secundarias), con lo que se coloca una VLAN dentro de una VLAN. Este procedimiento describe cómo crear un PVLAN en un solo conmutador.

Nota:

Debe especificar un ID de VLAN para cada VLAN secundaria, incluso si la PVLAN está configurada en un único conmutador.

No es necesario preconfigurar la VLAN principal. Este tema muestra la VLAN principal que se está configurando como parte de este procedimiento de configuración PVLAN.

Para obtener una lista de las directrices para configurar PVLANs, consulte Understanding Private VLANs.

Para configurar una VLAN privada en un solo conmutador:

  1. Establecer el ID. de VLAN para la VLAN principal:
  2. Configure al menos una interfaz en la VLAN principal para que se comunique con todos los subdominios del PVLAN. Esta interfaz funciona como un puerto promiscuo . Puede ser un puerto troncal o un puerto de acceso.
  3. Configure otra interfaz promiscuo de la VLAN principal como puerto de tronco para conectar el PVLAN al enrutador o conmutador externo:
  4. Para crear una VLAN aislada isolatedprivate-vlan, seleccione la opción y establezca un ID de VLAN para la VLAN aislada:
    Nota:

    Solo puede crear una VLAN aislada en una VLAN privada. La configuración del nombre de VLAN para la VLAN aislada es opcional. Es necesario configurar el ID de VLAN.

  5. Para crear una VLAN de comunidad communityprivate-vlan, seleccione la opción y configure un ID. de VLAN para la VLAN de esta comunidad:
    Nota:

    Para crear VLAN de comunidad adicionales, repita este paso y especifique un nombre diferente para la VLAN de la comunidad. La configuración del nombre de VLAN para la VLAN de la comunidad es opcional. Es necesario configurar el ID de VLAN.

  6. Asocie la VLAN aislada con la VLAN principal:
  7. Asocie cada VLAN de la comunidad con la VLAN principal:
  8. Si aún no lo ha hecho, configure al menos una interfaz de la VLAN aislada.
  9. Si aún no lo ha hecho, configure al menos una interfaz de la VLAN de la comunidad.
    Nota:

    Repita el mismo paso en otras VLAN de comunidad que desee incluir en el PVLAN.

Creación de una VLAN privada en un solo conmutador QFX

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislada, colocando esencialmente una VLAN secundaria en una VLAN principal. En este tema se describe cómo configurar un PVLAN en un único conmutador.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal: está configurada como parte de este procedimiento).) No es necesario crear identificadores (etiquetas) vlan para las VLAN secundarias. No perjudica al funcionamiento si etiqueta las VLAN secundarias, pero no se utilizan etiquetas cuando las VLAN secundarias se configuran en un único conmutador.

Tenga en cuenta estas reglas cuando configure un PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar una VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN. También debe configurar la VLAN principal para que sea privada utilizando la instrucción PVLAN .

  • Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

Si completa los pasos de configuración en el orden mostrado, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el nombre y el ID de VLAN (etiqueta 802.1 Q) para la VLAN principal:
  2. Configure la VLAN para que sea privada:
  3. Configure las interfaces troncales para la VLAN principal:
  4. Agregue las interfaces troncales a la VLAN principal:
  5. Configure las interfaces de acceso para las VLAN (secundarias) de la comunidad:
  6. Agregue las interfaces de acceso a las VLAN de la comunidad:
  7. Para cada VLAN de la comunidad, establezca la VLAN principal:
  8. Configure puertos aislados:

Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de la CLI)

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) en conmutadores de la serie EX le permite dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislada, también conocidos como VLAN secundarias. La división de la VLAN principal en VLAN secundarias esencialmente anida una VLAN dentro de otra VLAN. En este tema se describe cómo configurar un PVLAN en un único conmutador.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal: este procedimiento proporciona la configuración completa de la VLAN principal.) Aunque no se necesitan etiquetas cuando se configura una VLAN secundaria en un solo conmutador, configurar una VLAN secundaria como etiquetada no afecta negativamente a su funcionalidad. Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuring VLANS for ex series switches.

Tenga en cuenta estas reglas cuando configure un PVLAN en un solo conmutador:

  • La VLAN principal debe ser una VLAN etiquetada.

  • No se admite la configuración de una VLAN de VoIP en interfaces PVLAN.

Para configurar una VLAN privada en un solo conmutador:

  1. Establecer el ID. de VLAN para la VLAN principal:
  2. Configure las interfaces y los modos de puerto:
  3. Configure los puertos de acceso de la VLAN principal para que no reenvíen paquetes entre sí:
  4. En cada VLAN de la comunidad, configure interfaces de acceso:
  5. Para cada VLAN de la comunidad, establezca la VLAN principal:

Las VLAN aisladas no se configuran como parte de este proceso. En su lugar, se crean internamente si está habilitado en la VLAN principal y la VLAN aislada tiene no-local-switching interfaces de acceso como miembros.

Para activar opcionalmente el enrutamiento entre VLAN y redes aisladas mediante el uso de una interfaz de VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte la configuración de una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie ex.

Nota:

Solo un modificador EX8200 o EX8200 Virtual Chassis admite el uso de un RVI para enrutar el tráfico de capa 3 entre VLANs aisladas y de comunidad en un dominio PVLAN.

Creación de una VLAN privada que abarque varios conmutadores de serie QFX

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislada, colocando esencialmente una VLAN secundaria en una VLAN principal. En este tema se describe cómo configurar un PVLAN para abarcar varios conmutadores.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal: está configurada como parte de este procedimiento).) No es necesario crear identificadores (etiquetas) vlan para las VLAN secundarias. No perjudica al funcionamiento si etiqueta las VLAN secundarias, pero no se utilizan etiquetas cuando las VLAN secundarias se configuran en un único conmutador.

Las siguientes reglas se aplican a la creación de PVLANs:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar una VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN. También debe configurar la VLAN principal para que sea privada utilizando la instrucción PVLAN .

  • Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

Si completa los pasos de configuración en el orden mostrado, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada para que abarque varios conmutadores:

  1. Establezca el nombre y el ID de VLAN (etiqueta 802.1 Q) para la VLAN principal:
  2. Configure la VLAN para que sea privada:
  3. Configure las interfaces troncales para la VLAN principal:
  4. Agregue las interfaces troncales a la VLAN principal:
  5. Configure las interfaces de acceso para las VLAN (secundarias) de la comunidad:
  6. Agregue las interfaces de acceso a las VLAN de la comunidad:
  7. Para cada VLAN de la comunidad, establezca la VLAN principal:
  8. Configure un identificador de VLAN aislado para crear un dominio aislado entre conmutadores que abarque los conmutadores:
  9. Configure puertos aislados:

Creación de una VLAN privada que abarque varios conmutadores de la serie EX con compatibilidad con ELS (procedimiento CLI)

Nota:

Esta tarea utiliza Junos os para conmutadores de la serie ex compatibles con el estilo de configuración Enhanced Layer 2 software (Els) si el conmutador ejecuta software que no sea compatible con Els, consulte creación de una VLAN privada que abarque varios conmutadores de la serie ex ( Procedimiento de la CLI). Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

Nota:

Las VLAN privadas no se admiten en conmutadores QFX5100 y conmutadores QFX10002 que ejecuten Junos OS versión 15.1 X53.

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, o bien limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLANs) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislada (VLAN secundarias), con lo que se coloca una VLAN dentro de una VLAN. Este procedimiento describe cómo configurar un PVLAN para abarcar varios conmutadores.

Para obtener una lista de las directrices para configurar PVLANs, consulte Understanding Private VLANs.

Para configurar una PVLAN de manera que abarque varios conmutadores, lleve a cabo el siguiente procedimiento en todos los conmutadores que vayan a participar en el PVLAN::

  1. Para crear la VLAN principal, configure el nombre de VLAN único y especifique una etiqueta de 802.1 Q para la VLAN:
  2. En el conmutador que se conectará a un enrutador, configure una interfaz promiscuo como puerto de enlace para conectar el PVLAN al enrutador:
  3. En todos los conmutadores, configure una interfaz troncal como el vínculo entre conmutadores (ISL) que se utilizará para conectar los conmutadores entre sí:
  4. Para crear una VLAN aislada en la VLAN principal, seleccione isolated la opción private-vlanpara y establezca un ID de VLAN para la VLAN aislada:
    Nota:

    Solo puede crear una VLAN aislada en una VLAN privada. La VLAN aislada puede contener interfaces de miembro de los conmutadores múltiples que componen el PVLAN.

    La configuración del nombre de VLAN para la VLAN aislada es opcional. Es necesario configurar el ID de VLAN.

  5. Para crear una VLAN de comunidad en la VLAN principal communityprivate-vlan, seleccione la opción y configure un ID. de VLAN para esta VLAN de comunidad:
    Nota:

    Para crear VLAN de comunidad adicionales, repita este paso y especifique un nombre diferente para la VLAN de la comunidad. La configuración del nombre de VLAN para la VLAN de la comunidad es opcional. Es necesario configurar el ID de VLAN.

  6. Asocie la VLAN aislada con la VLAN principal:
  7. Asocie cada VLAN de la comunidad con la VLAN principal:
  8. Si aún no lo ha hecho, configure al menos una interfaz de acceso para que sea miembro de la VLAN aislada.
  9. Si aún no lo ha hecho, configure al menos una interfaz de acceso para que sea miembro de la VLAN de la comunidad.
    Nota:

    Repita este paso para las otras VLAN de la comunidad que va a incluir en el PVLAN.

Creación de una VLAN privada que abarque varios conmutadores de la serie EX (procedimiento de CLI)

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislada, también conocidos como VLAN secundarias. La división de la VLAN principal en VLAN secundarias esencialmente anida una VLAN dentro de otra VLAN. En este tema se describe cómo configurar un PVLAN para abarcar varios conmutadores.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal: este procedimiento proporciona la configuración completa de la VLAN principal.) Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores de la serie EX.

Las siguientes reglas se aplican a la creación de PVLANs:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Debe configurar la VLAN principal y el puerto de PVLAN troncal antes de configurar las VLAN secundarias.

  • No se admite la configuración de una VLAN de VoIP en interfaces PVLAN.

  • Si se configura el protocolo de registro de varias VLAN (MVRP) en el puerto de troncal PVLAN, la configuración de las VLAN secundarias y el puerto de troncal PVLAN debe estar confirmada con la misma operación de confirmación.

Para configurar una VLAN privada para que abarque varios conmutadores:

  1. Configure un nombre y una etiqueta 802.1 Q para la VLAN principal:.
  2. Configure la VLAN principal para que no tenga conmutación local:
  3. Configure la interfaz troncal de PVLAN que conectará la VLAN principal al conmutador vecino:
  4. Configure una etiqueta Name y 802.1 Q para una VLAN de comunidad que abarque los conmutadores:
  5. Agregar interfaces de acceso a la VLAN de la comunidad:
  6. Especifique la VLAN principal de la VLAN de la comunidad especificada:
  7. Agregar la interfaz aislada a la VLAN principal especificada:
    Nota:

    Para configurar una interfaz aislada, debe incluirla como uno de los miembros de la VLAN principal, pero no configurarla como perteneciente a una de las VLAN de la comunidad.

  8. Defina la etiqueta 802.1 Q de la VLAN aislada de interconmutadores:

    las etiquetas 802.1 q son necesarias para las VLAN aisladas entre conmutadores, ya que IEEE 802.1 Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de Troncalización inserta una ficha de identificación de fotogramas de VLAN de 4 bytes en el encabezado del paquete.

Para activar opcionalmente el enrutamiento entre VLAN y redes aisladas mediante el uso de una interfaz de VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte la configuración de una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie ex.

Nota:

Solo un modificador EX8200 o EX8200 Virtual Chassis admite el uso de un RVI para enrutar el tráfico de capa 3 entre VLANs aisladas y de comunidad en un dominio PVLAN.

Ejemplo Configuración de una VLAN privada en un solo conmutador con compatibilidad con ELS

Nota:

En este ejemplo se utiliza Junos OS para los conmutadores compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si el conmutador EX ejecuta software que no admite ELS, consulte el ejemplo: Configuración de una VLAN privada en un solo conmutadorde la serie ex. Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

Nota:

Las VLAN privadas no se admiten en conmutadores QFX5100 y conmutadores QFX10002 que ejecuten Junos OS versión 15.1 X53.

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, o bien limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLANs) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislada (VLAN secundarias), con lo que se coloca una VLAN dentro de una VLAN.

Este ejemplo describe cómo crear un PVLAN en un único conmutador:

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un conmutador Junos OS

  • Junos os versión x53-D10 o posterior de 14,1 pulgadas para conmutadores de la serie ex

    Junos OS versión X53-D15 o posterior de 14,1 pulgadas para serie QFX conmutadores

Descripción general y topología

Puede aislar grupos de suscriptores para mejorar la seguridad y la eficacia. Este ejemplo de configuración utiliza una topología sencilla para ilustrar cómo crear un PVLAN con una VLAN principal y tres VLAN secundarias (una VLAN aislada y dos VLAN de la comunidad).

Tabla 6enumera las interfaces de la topología utilizada en el ejemplo.

Tabla 6: Interfaces de la topología para configurar un PVLAN
Interfaz Descripción

ge-0/0/0

ge-1/0/0

Puertos de miembros promiscuo

ge-0/0/11ge-0/0/12

Puertos de miembro VLAN de la comunidad de RRHH

ge-0/0/13ge-0/0/14

Finanzas-comunidad puertos de miembro de VLAN

ge-0/0/15ge-0/0/16

Puertos miembros aislados

Tabla 7muestra los identificadores de VLAN de la topología utilizada en el ejemplo.

Tabla 7: ID. de VLAN en la topología para configurar un PVLAN
ID. DE VLAN Descripción

100

VLAN principal

200

VLAN de la comunidad de RRHH

300

VLAN de la comunidad de finanzas

400

VLAN aislada

Figura 15muestra la topología de este ejemplo.

Figura 15: Topología de una VLAN privada en un solo conmutador de la serie EXTopología de una VLAN privada en un solo conmutador de la serie EX

Automática

Puede usar una VLAN existente como base para su PVLAN privado y crear subdominios en ella. En este ejemplo, se crea una VLAN principal (mediante el nombre de vlan-pri VLAN) como parte del procedimiento.

Para configurar un PVLAN, realice estas tareas:

Configuración rápida de CLI

Para crear y configurar rápidamente un PVLAN, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Modalidades

Procedimiento paso a paso

Para configurar el PVLAN:

  1. Cree la VLAN principal (en este ejemplo, el nombre vlan-pri es) de la VLAN privada:

  2. Cree una VLAN aislada y asígnele un ID. de VLAN:

  3. Cree la VLAN de la comunidad de RRHH y asígnele un ID. de VLAN:

  4. Cree la VLAN de la comunidad de finanzas y asígnele un ID. de VLAN:

  5. Asocie las VLAN secundarias con la VLAN principal:

  6. Establezca las interfaces en los modos de interfaz adecuados:

  7. Configure una interfaz troncal promiscuo para la VLAN principal. Esta interfaz la VLAN principal se utiliza para comunicarse con las VLAN secundarias.

  8. Configure otra interfaz troncal (es también una interfaz promiscuo) de la VLAN principal, conectando el PVLAN al enrutador.

Ejemplo Configuración de una VLAN privada en un solo conmutador de serie QFX

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN.

Este ejemplo describe cómo crear un PVLAN en un único conmutador:

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo QFX3500

  • Junos OS versión 12,1 o posterior del serie QFX

Antes de comenzar a configurar un PVLAN, asegúrese de haber creado y configurado las redes VLAN necesarias. Consulte Configuración de redes VLAN en conmutadoresla.

Descripción general y topología

En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RECURSOS HUMANOS y una para finanzas, así como dos puertos aislados: uno para el servidor de correo y el otro para el servidor de respaldo.

Tabla 8enumera los valores de configuración de la topología de ejemplo.

Tabla 8: Componentes de la topología para configurar un PVLAN
Interfaz Descripción

ge-0/0/0.0

VLAN principal (pvlan100) interfaz troncal

ge-0/0/11.0

Usuario 1, comunidad de RRHHhr-comm()

ge-0/0/12.0

Usuario 2, comunidad de recursoshr-commhumanos ()

ge-0/0/13.0

Usuario 3, finanzas, comunidadfinance-comm()

ge-0/0/14.0

Usuario 4, finanzas, comunidadfinance-comm()

ge-0/0/15.0

Servidor de correo, aisladoisolated()

ge-0/0/16.0

Servidor de backup, aisladoisolated()

ge-1/0/0.0

VLAN principal (pvlan100) interfaz troncal

Automática

Configuración rápida de CLI

Para crear y configurar rápidamente un PVLAN, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Modalidades

Procedimiento paso a paso

Para configurar el PVLAN:

  1. Establecer el ID. de VLAN para la VLAN principal:

  2. Configure las interfaces y los modos de puerto:

  3. Configure la VLAN principal para que no tenga conmutación local:

    Nota:

    La VLAN principal debe ser una VLAN etiquetada.

  4. Agregue las interfaces troncales a la VLAN principal:

  5. En cada VLAN secundaria, configure las interfaces de Access:

    Nota:

    Recomendamos que las VLAN secundarias sean VLAN sin etiqueta. No perjudica al funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.

  6. Para cada VLAN de la comunidad, establezca la VLAN principal:

  7. Configure las interfaces aisladas en la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobando que se crearon la VLAN privada y las VLAN secundarias

Purpose

Compruebe que la VLAN principal y las VLAN secundarias se han creado correctamente en el conmutador.

Intervención

Utilice el show vlans comando:

Efectos

La salida muestra que se creó la VLAN principal e identifica las interfaces y las VLAN secundarias asociadas con ella.

Ejemplo Configuración de una VLAN privada en un solo conmutador de la serie EX

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN.

En este ejemplo se describe cómo crear una PVLAN en un único conmutador de la serie EX:

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un conmutador de la serie EX

  • Junos OS versión 9,3 o posterior para conmutadores de la serie EX

Antes de comenzar a configurar un PVLAN, asegúrese de haber creado y configurado las redes VLAN necesarias. Consulte configuración de VLAN para conmutadores de la serie ex.

Descripción general y topología

En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RECURSOS HUMANOS y una para finanzas, así como dos puertos aislados: uno para el servidor de correo y el otro para el servidor de respaldo.

Tabla 9enumera los valores de la topología de ejemplo.

Tabla 9: Componentes de la topología para configurar un PVLAN
Interfaz Descripción

ge-0/0/0.0

VLAN principal (vlan1) interfaz troncal

ge-0/0/11.0

Usuario 1, comunidad de RRHHhr-comm()

ge-0/0/12.0

Usuario 2, comunidad de recursoshr-commhumanos ()

ge-0/0/13.0

Usuario 3, finanzas, comunidadfinance-comm()

ge-0/0/14.0

Usuario 4, finanzas, comunidadfinance-comm()

ge-0/0/15.0

Servidor de correo, aisladoisolated()

ge-0/0/16.0

Servidor de backup, aisladoisolated()

ge-1/0/0.0

VLAN principal ( pvlan) interfaz troncal

Figura 16muestra la topología de este ejemplo.

Figura 16: Topología de una VLAN privada en un solo conmutador de la serie EXTopología de una VLAN privada en un solo conmutador de la serie EX

Automática

Para configurar un PVLAN, realice estas tareas:

Configuración rápida de CLI

Para crear y configurar rápidamente un PVLAN, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Modalidades

Procedimiento paso a paso

Para configurar el PVLAN:

  1. Establecer el ID. de VLAN para la VLAN principal:

  2. Configure las interfaces y los modos de puerto:

  3. Configure la VLAN principal para que no tenga conmutación local:

    Nota:

    La VLAN principal debe ser una VLAN etiquetada.

  4. Agregue las interfaces troncales a la VLAN principal:

  5. Para cada VLAN secundaria, configure los ID de VLAN y las interfaces de acceso:

    Nota:

    Recomendamos que las VLAN secundarias sean VLAN sin etiqueta. No perjudica al funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.

  6. Para cada VLAN de la comunidad, establezca la VLAN principal:

  7. Agregue cada interfaz aislada a la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobando que se crearon la VLAN privada y las VLAN secundarias

Purpose

Compruebe que la VLAN principal y las VLAN secundarias se han creado correctamente en el conmutador.

Intervención

Utilice el show vlans comando:

Efectos

La salida muestra que se creó la VLAN principal e identifica las interfaces y las VLAN secundarias asociadas con ella.

Ejemplo Configuración de una VLAN privada que abarca varios conmutadores QFX

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN. Un PVLAN puede abarcar varios conmutadores.

Este ejemplo describe cómo crear un PVLAN que abarque varios conmutadores. El ejemplo crea una PVLAN principal que contiene varias VLAN secundarias:

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos QFX3500

  • Junos OS versión 12,1 o posterior del serie QFX

Antes de comenzar a configurar un PVLAN, asegúrese de haber creado y configurado las redes VLAN necesarias. Consulte Configuración de redes VLAN en conmutadoresla.

Descripción general y topología

En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear un PVLAN que abarque varios dispositivos QFX, con una VLAN principal que contenga dos VLAN de la comunidad (una para HR y otra para Finance), y una VLAN aislada de interconmutadores (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). El PVLAN comprende tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. El PVLAN está conectado a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.

Nota:

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí incluso aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadasla.

Figura 17 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, el cual tiene una conexión (a través de un puerto promiscuo) con el enrutador.

Figura 17: Topología de PVLAN que abarca varios conmutadoresTopología de PVLAN que abarca varios conmutadores

Tabla 10, Tabla 11y Tabla 12 enumerar los valores para la topología de ejemplo.

Tabla 10: Componentes del conmutador 1 en la topología para configurar un PVLAN que abarca varios dispositivos
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolation-vlan-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces troncales de PVLAN

ge-0/0/0.0, conecta el conmutador 1 al conmutador 3

ge-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces aisladas en VLAN principal

ge-0/0/15.0, servidor de correo

ge-0/0/16.0, servidor de backup

Interfaces en VLANfinance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLANhr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 11: Componentes del conmutador 2 en la topología para configurar un PVLAN que abarca varios dispositivos
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolation-vlan-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces troncales de PVLAN

ge-0/0/0.0, conecta el conmutador 2 al conmutador 3

ge-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaz aislada en VLAN principal

ge-0/0/17.0, Servidor CVS

Interfaces en VLANfinance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLANhr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 12: Componentes del conmutador 3 de la topología para configurar un PVLAN que abarca varios dispositivos
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolation-vlan-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces troncales de PVLAN

ge-0/0/0.0, conecta el conmutador 3 al conmutador 1

ge-0/0/1.0, conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, conecta PVLAN al enrutador

Nota:

Debe configurar el puerto de enlace que conecta el PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro del PVLAN, que implícitamente lo configura como un puerto promiscuo.

Topología

Configuración de un PVLAN en el conmutador 1

Al configurar un PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.

  • Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN. También debe configurar la VLAN principal para que sea privada utilizando la instrucción PVLAN .

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

Configuración rápida de CLI

Para crear y configurar rápidamente un PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 1:

Modalidades

Procedimiento paso a paso
  1. Establecer el ID. de VLAN para la VLAN principal:

  2. Establecer las interfaces troncales de PVLAN para conectar esta VLAN en conmutadores vecinos:

  3. Configure la VLAN principal para que sea privada y no tenga conmutación local:

  4. Establezca el ID de VLAN para la finance-comm VLAN de la comunidad que se extiende por los conmutadores:

  5. Configure las interfaces de acceso para la finance-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad finance-comm secundaria:

  7. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores.

  8. Configure las interfaces de acceso para la hr-comm VLAN:

  9. Establezca la VLAN principal de esta VLAN de comunidad hr-comm secundaria:

  10. Defina el ID aislado interconmutador para crear un dominio aislado intercambiador que abarque los conmutadores:

  11. Configure las interfaces aisladas en la VLAN principal:

    Nota:

    Cuando configure un puerto aislado, lo incluya como miembro de la VLAN principal, pero no lo configure como miembro de ninguna VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto en el caso de la interfaz en el dominio aislado intercambiador. Para el conmutador 2, la interfaz es ge-0/0/17.0 .

Modalidades

Procedimiento paso a paso

Para configurar un PVLAN en el conmutador 2 que abarque varios conmutadores:

  1. Establezca el ID de VLAN para la finance-comm VLAN de la comunidad que se extiende por los conmutadores:

  2. Configure las interfaces de acceso para la finance-comm VLAN:

  3. Establezca la VLAN principal de esta VLAN de comunidad finance-comm secundaria:

  4. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores.

  5. Configure las interfaces de acceso para la hr-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad hr-comm secundaria:

  7. Establecer el ID. de VLAN para la VLAN principal:

  8. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:

  9. Configure la VLAN principal para que sea privada y no tenga conmutación local:

  10. Defina el ID aislado interconmutador para crear un dominio aislado intercambiador que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

  11. Configure la interfaz aislada en la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 de manera que funcione como el conmutador de distribución de este PVLAN, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 3:

Nota:

Interface GE-0/0/2.0 es un puerto troncal que conecta el PVLAN a un enrutador.

Modalidades

Procedimiento paso a paso

Para configurar el modificador 3 de modo que funcione como conmutador de distribución de este PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para la finance-comm VLAN de la comunidad que se extiende por los conmutadores:

  2. Establezca la VLAN principal de esta VLAN de comunidad finance-comm secundaria:

  3. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores:

  4. Establezca la VLAN principal de esta VLAN de comunidad hr-comm secundaria:

  5. Establecer el ID. de VLAN para la VLAN principal:

  6. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:

  7. Configure la VLAN principal para que sea privada y no tenga conmutación local:

  8. Defina el ID aislado interconmutador para crear un dominio aislado intercambiador que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia de los campos de PVLAN-Troncalización y aislamiento entre conmutadores indica que este PVLAN está abarcando más de un conmutador.

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 2:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que se creó un PVLAN en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de la comunidad y una VLAN aislada de interconmutadores. La presencia de los campos de PVLAN-Troncalización y aislamiento entre conmutadores indica que este PVLAN está abarcando más de un conmutador. Cuando compare este resultado con el resultado del conmutador 1, puede ver que ambos conmutadores pertenecen al mismo PVLAN (pvlan100).

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que PVLAN (pvlan100) está configurado en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso en PVLAN. Muestra solo las interfaces que se conectan del conmutador 3 al resto pvlan-trunk de conmutadores (conmutadores 1 y pvlan100 2) en la misma PVLAN.

Ejemplo Configuración de una VLAN privada que abarque varios conmutadores con una interfaz IRB

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN. Un PVLAN puede abarcar varios conmutadores. Este ejemplo describe cómo crear un PVLAN que abarque varios conmutadores. El ejemplo crea un PVLAN principal que contiene varias VLAN secundarias.

Al igual que las VLAN normales, las PVLAN se aíslan en la capa 2 y normalmente requieren que se utilice un dispositivo de capa 3 si desea enrutar el tráfico. A partir Junos OS 14.1X53-D30, puede usar una interfaz de enrutamiento y puentes integrados (IRB) para enrutar el tráfico de capa 3 entre dispositivos conectados a una PVLAN. Usar una interfaz IRB de esta manera también puede permitir que los dispositivos de la PVLAN se comuniquen en la capa 3 con dispositivos en otras comunidades o VLAN aisladas o con dispositivos fuera de la PVLAN. En este ejemplo también se muestra cómo incluir una interfaz IRB en una configuración PVLAN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores serie QFX o EX4600

  • Versión Junos OS con PVLAN para serie QFX o EX4600

Descripción general y topología

En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear un PVLAN que abarque varios conmutadores, con una VLAN principal que contenga dos VLAN de la comunidad (una para HR y otra para Finance), y una VLAN aislada de interconmutadores (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN se compone de tres conmutadores: dos conmutadores de acceso y un conmutador de distribución. Los dispositivos de la PVLAN se conectan en la capa 3 entre sí y con dispositivos situados fuera de la PVLAN a través de una interfaz IRB configurada en el conmutador de distribución.

Nota:

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí incluso aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadasla.

Figura 18muestra la topología de este ejemplo.

Figura 18: Topología de PVLAN que abarca varios conmutadores con una interfaz IRBTopología de PVLAN que abarca varios conmutadores con una interfaz IRB

Tabla 13, Tabla 14y Tabla 15 enumerar los valores para la topología de ejemplo.

Tabla 13: Componentes del conmutador 1 en la topología para configurar un PVLAN que abarca varios dispositivos
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolated-vlan-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces de vínculos de interconmutadores

xe-0/0/0.0, conecta el conmutador 1 al conmutador 3

xe-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces aisladas en VLAN principal

xe-0/0/15.0, servidor de correo

xe-0/0/16.0, servidor de backup

Interfaces en VLANfinance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces en VLANhr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabla 14: Componentes del conmutador 2 en la topología para configurar un PVLAN que abarca varios dispositivos
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolated-vlan-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces de vínculos de interconmutadores

xe-0/0/0.0, conecta el conmutador 2 al conmutador 3

xe-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaz aislada en VLAN principal

xe-0/0/17.0, Servidor CVS

Interfaces en VLANfinance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces en VLANhr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabla 15: Componentes del conmutador 3 de la topología para configurar un PVLAN que abarca varios dispositivos
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolated-vlan-id, 50finance-comm etiqueta, etiqueta 300

hr-comm, etiqueta400

Interfaces de vínculos de interconmutadores

xe-0/0/0.0, conecta el conmutador 3 al conmutador 1.

xe-0/0/1.0, conecta el conmutador 3 al conmutador 2.

Puerto promiscuo

xe-0/0/2, conecta el PVLAN a otra red.

Nota:

Debe configurar el puerto de enlace que conecta el PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro del PVLAN, que implícitamente lo configura como un puerto promiscuo.

Interfaz IRB

xe-0/0/0

xe-0/0/1

Configure el proxy ARP sin restricciones en la interfaz IRB para permitir que se produzca la resolución ARP, de forma que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP.

Topología

Información general de configuración

Al configurar un PVLAN en varios conmutadores, se aplican las siguientes reglas:

  • La VLAN principal debe ser una VLAN etiquetada.

  • La VLAN principal es la única VLAN que puede ser miembro de una interfaz de enlace de interconmutadores.

Al configurar una interfaz IRB en un PVLAN, se aplican estas reglas:

  • Solo puede crear una interfaz IRB en una PVLAN, independientemente de cuántos conmutadores participen en el PVLAN.

  • La interfaz IRB debe ser miembro de la VLAN principal de PVLAN.

  • Cada dispositivo host que desee conectar en la capa 3 debe usar una dirección IP del IRB como dirección de puerta de enlace predeterminada.

Configuración de un PVLAN en el conmutador 1

Configuración rápida de CLI

Para crear y configurar rápidamente un PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 1:

Modalidades

Procedimiento paso a paso
  1. Configure la interfaz xe-0/0/0 para que sea un tronco:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo entre conmutadores que lleve todas las redes VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea un miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea un tronco:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo entre conmutadores que lleve a todas las VLAN:

  6. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:

  7. Cree la VLAN de la comunidad para la organización Finance:

  8. Cree la VLAN de la comunidad para la organización de recursos humanos:

  9. Crear la VLAN aislada para los servidores de correo y de copia de seguridad:

  10. Crear la VLAN principal y hacer que la comunidad y las VLANs aisladas sean miembros de la misma:

  11. Configure VLAN 300 (la VLAN de la comunidad) para que sea miembro de interface xe-0/0/11:

  12. Configure VLAN 300 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/12:

  13. Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/13:

  14. Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/14:

  15. Configure VLAN 50 (la VLAN aislada) para que sea miembro de interface xe-0/0/15:

  16. Configure VLAN 50 (la VLAN aislada) para que sea miembro de interface xe-0/0/16:

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la configuración del conmutador 1 excepto para la VLAN aislada. Para el conmutador 2, la interfaz VLAN aislada xe-0/0/17.0 es.

Modalidades

Procedimiento paso a paso
  1. Configure la interfaz xe-0/0/0 para que sea un tronco:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo entre conmutadores que lleve todas las redes VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea un miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea un tronco:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo entre conmutadores que lleve a todas las VLAN:

  6. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:

  7. Cree la VLAN de la comunidad para la organización Finance:

  8. Cree la VLAN de la comunidad para la organización de recursos humanos:

  9. Crear la VLAN aislada para los servidores de correo y de copia de seguridad:

  10. Crear la VLAN principal y hacer que la comunidad y las VLANs aisladas sean miembros de la misma:

  11. Configure VLAN 300 (la VLAN de la comunidad) para que sea miembro de interface xe-0/0/11:

  12. Configure VLAN 300 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/12:

  13. Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/13:

  14. Configure VLAN 400 (una VLAN de la comunidad) para que sea miembro de interface xe-0/0/14:

  15. Configure VLAN 50 (la VLAN aislada) para que sea miembro de interface xe-0/0/17:

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 de manera que funcione como el conmutador de distribución de este PVLAN, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 3:

Nota:

Interfaz xe-0/0/2.0 es un puerto troncal que conecta la PVLAN a otra red.

Modalidades

Procedimiento paso a paso

Para configurar el modificador 3 de modo que funcione como conmutador de distribución de este PVLAN, utilice el siguiente procedimiento:

  1. Configure la interfaz xe-0/0/0 para que sea un tronco:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo entre conmutadores que lleve todas las redes VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea un miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea un tronco:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo entre conmutadores que lleve a todas las VLAN:

  6. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:

  7. Configure la interfaz xe-0/0/2 (la interfaz promiscuo) como troncal:

  8. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/2:

  9. Crear la VLAN principal:

  10. Cree la interfaz irb IRB y asígnele una dirección de la subred utilizada por los dispositivos conectados a los conmutadores 1 y 2:

    Nota:

    Cada dispositivo host que desee conectar en la capa 3 debe estar en la misma subred que la interfaz IRB y utilizar la dirección IP de la interfaz IRB como dirección de puerta de enlace predeterminada.

  11. Complete la configuración de la interfaz IRB enlazando la interfaz con la pvlan100VLAN principal:

  12. Configure ARP de proxy sin restricciones para cada unidad de la interfaz IRB, de modo que la resolución ARP funcione para el tráfico IPv4:

    Nota:

    Dado que los dispositivos en la comunidad y las VLAN aisladas se aíslan en la capa 2, este paso es necesario para permitir que se produzca la resolución ARP entre las VLAN de modo que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. (Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP).

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia del tronco y los campos de aislamiento entre conmutadores indican que este PVLAN está abarcando más de un conmutador.

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 2:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que se creó un PVLAN en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de la comunidad y una VLAN aislada de interconmutadores. La presencia del tronco y los campos de aislamiento entre conmutadores indican que este PVLAN está abarcando más de un conmutador. Cuando compare este resultado con el resultado del conmutador 1, puede ver que ambos conmutadores pertenecen al mismo PVLAN (pvlan100).

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que PVLAN (pvlan100) está configurado en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso en PVLAN. Solo se muestran las interfaces troncales que pvlan100 se conectan desde el conmutador 3 a los demás conmutadores (conmutador 1 y 2) del mismo PVLAN.

Ejemplo Configuración de una VLAN privada que abarque varios conmutadores de la serie EX

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN. Un PVLAN puede abarcar varios conmutadores.

Este ejemplo describe cómo crear una PVLAN que abarque varios conmutadores de la serie EX. El ejemplo crea un PVLAN principal que contiene varias VLAN secundarias:

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores de la serie EX

  • Junos OS versión 10,4 o posterior para conmutadores de la serie EX

Antes de comenzar a configurar un PVLAN, asegúrese de haber creado y configurado las redes VLAN necesarias. Consulte configuración de VLAN para conmutadores de la serie ex.

Descripción general y topología

En una oficina de gran tamaño con varios edificios y VLAN, es posible que necesite aislar grupos de trabajo u otros extremos por motivos de seguridad o particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear un PVLAN que abarque varios conmutadores de la serie EX, con una VLAN principal que contenga dos VLAN de la comunidad (una para HR y otra para Finance), y una VLAN aislada de interconmutadores (para el servidor de correo, el servidor de copia de seguridad y el CVS servidor). El PVLAN comprende tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. El PVLAN está conectado a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.

Nota:

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Understanding Private VLANs.

Figura 19 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, el cual tiene una conexión (a través de un puerto promiscuo) con el enrutador.

Figura 19: Topología de PVLAN que abarca varios conmutadoresTopología de PVLAN que abarca varios conmutadores

Tabla 16, Tabla 17y Tabla 18 enumerar los valores para la topología de ejemplo.

Tabla 16: Componentes del conmutador 1 en la topología para configurar un PVLAN que abarque varios conmutadores de la serie EX
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolation-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces troncales de PVLAN

ge-0/0/0.0, Conecta el conmutador 1 al conmutador 3

ge-0/0/5.0, Conecta el conmutador 1 al conmutador 2

Interfaces en VLANisolation

ge-0/0/15.0, Servidor de correo

ge-0/0/16.0, Servidor de backup

Interfaces en VLANfinance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLANhr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 17: Componentes del conmutador 2 de la topología para configurar un PVLAN que abarque varios conmutadores de la serie EX
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolation-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces troncales de PVLAN

ge-0/0/0.0, Conecta el conmutador 2 al conmutador 3

ge-0/0/5.0, Conecta el conmutador 2 al conmutador 1

Interfaces en VLANisolation

ge-0/0/17.0, Servidor CVS

Interfaces en VLANfinance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLANhr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 18: Componentes del conmutador 3 de la topología para la configuración de un PVLAN que abarque varios conmutadores de la serie EX
Inspector Configuraciones

Nombres de VLAN e ID.

primary-vlan, etiqueta100

isolation-id, etiqueta50

finance-comm, etiqueta300

hr-comm, etiqueta400

Interfaces troncales de PVLAN

ge-0/0/0.0, Conecta el conmutador 3 al conmutador 1

ge-0/0/1.0, Conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, Conecta PVLAN al enrutador

Nota:

Debe configurar el puerto de enlace que conecta el PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro del PVLAN, que implícitamente lo configura como un puerto promiscuo.

Topología

Configuración de un PVLAN en el conmutador 1

Configuración rápida de CLI

Al configurar un PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.

  • No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

  • Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Las VLAN secundarias y el puerto de troncal PVLAN deben confirmarse en una sola confirmación si MVRP está configurado en el puerto troncal PVLAN.

Para crear y configurar rápidamente un PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 1:

Modalidades

Procedimiento paso a paso

Complete los pasos de configuración a continuación en el orden que se muestra: también, complete todos los pasos antes de confirmar la configuración en una sola confirmación. Ésta es la forma más fácil de evitar los mensajes de error que se desencadenan al infringir cualquiera de estas tres reglas:

  • Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal PVLAN.

  • Las VLAN secundarias y una troncal PVLAN se deben confirmar en una sola confirmación.

Para configurar un PVLAN en el conmutador 1 que abarque varios conmutadores:

  1. Establecer el ID. de VLAN para la VLAN principal:

  2. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:

  3. Configure la VLAN principal para que no tenga conmutación local:

  4. Establezca el ID de VLAN para la finance-comm VLAN de la comunidad que se extiende por los conmutadores:

  5. Configure las interfaces de acceso para la finance-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad finance-comm secundaria:

  7. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores.

  8. Configure las interfaces de acceso para la hr-comm VLAN:

  9. Establezca la VLAN principal de esta VLAN de comunidad hr-comm secundaria:

  10. Establezca el identificador aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto en el caso de la interfaz en el dominio aislado entre conmutadores. Para el conmutador 2, la interfaz es ge-0/0/17.0 .

Modalidades

Procedimiento paso a paso

Para configurar un PVLAN en el conmutador 2 que abarque varios conmutadores:

  1. Establezca el ID de VLAN para la finance-comm VLAN de la comunidad que se extiende por los conmutadores:

  2. Configure las interfaces de acceso para la finance-comm VLAN:

  3. Establezca la VLAN principal de esta VLAN de comunidad finance-comm secundaria:

  4. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores.

  5. Configure las interfaces de acceso para la hr-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad hr-comm secundaria:

  7. Establecer el ID. de VLAN para la VLAN principal:

  8. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:

  9. Configure la VLAN principal para que no tenga conmutación local:

  10. Establezca el identificador aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de un PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 de manera que funcione como el conmutador de distribución de este PVLAN, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador 3:

Nota:

Interface GE-0/0/2.0 es un puerto troncal que conecta el PVLAN a un enrutador.

Modalidades

Procedimiento paso a paso

Para configurar el modificador 3 de modo que funcione como conmutador de distribución de este PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para la finance-comm VLAN de la comunidad que se extiende por los conmutadores:

  2. Establezca la VLAN principal de esta VLAN de comunidad finance-comm secundaria:

  3. Defina el ID de VLAN para la VLAN de la comunidad de RRHH que abarque los conmutadores:

  4. Establezca la VLAN principal de esta VLAN de comunidad hr-comm secundaria:

  5. Establecer el ID. de VLAN para la VLAN principal:

  6. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN en los conmutadores vecinos:

  7. Configure la VLAN principal para que no tenga conmutación local:

  8. Establezca el identificador aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, debe incluirlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia de los pvlan-trunk campos y indica que esta Inter-switch-isolated PVLAN abarca más de un conmutador.

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 2:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que se creó un PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de la comunidad y una VLAN aislada intercambiador. La presencia de los campos y indica que se trata de PVLAN que abarca pvlan-trunkInter-switch-isolated más de un conmutador. Cuando compare este resultado con el resultado del conmutador 1, puede ver que ambos conmutadores pertenecen al mismo PVLAN (pvlan100).

Verificación de que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Purpose

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Intervención

Utilice el show vlans extensive comando:

Efectos

El resultado muestra que la PVLAN ( ) está configurada en el conmutador 3 y que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada pvlan100 de interswitch. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso en PVLAN. Muestra solo las interfaces que se conectan del conmutador 3 al resto pvlan-trunk de conmutadores (conmutadores 1 y pvlan100 2) en la misma PVLAN.

Ejemplo Configuración de PVLANs con puertos de tronco de VLAN secundarios y puertos de acceso promiscuo en un conmutador serie QFX

Este ejemplo muestra cómo configurar puertos de tronco de VLAN secundarios y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos de tronco de VLAN secundarios llevan tráfico secundario de VLAN.

Nota:

En este ejemplo, Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte uso de la CLI de software de capa 2 mejorada.

En el caso de una VLAN privada determinada, un puerto de tronco de VLAN secundario puede transportar el tráfico sólo a una VLAN secundaria. Sin embargo, un puerto de tronco de VLAN secundario puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN sea miembro de una VLAN privada (principal) diferente. Por ejemplo, un puerto de tronco de VLAN secundario puede transportar tráfico para una VLAN de comunidad que forma parte de pvlan100 de VLAN principal y que también transporta tráfico para una VLAN aislada que forma parte de VLAN principal pvlan400.

Para configurar un puerto de tronco de modo que transporte el tráfico de VLAN secundario interface , utilice las instrucciones y 12aisladas , como se muestra en los pasos y 13 en la configuración de ejemplo para el conmutador 1.

Nota:

Cuando el tráfico se deriva de un puerto de tronco de la VLAN secundaria, normalmente lleva la etiqueta de la VLAN principal de la que es miembro el puerto secundario. Si desea que el tráfico que salida de un puerto de tronco de la VLAN secundaria retenga su etiqueta de VLAN secundaria, use la instrucción Extend-Secondary-VLAN-id .

Un puerto de acceso promiscuo transmite tráfico sin etiquetar y sólo puede ser miembro de una VLAN principal. El tráfico de entrada en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que es miembro el puerto de acceso promiscuo. Este tráfico transporta las etiquetas VLAN secundarias adecuadas cuando salida de los puertos VLAN secundarios si el puerto VLAN secundario es un puerto troncal.

Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscuo , como se 12 muestra en paso de la configuración de ejemplo para el modificador 2.

Si el tráfico se encuentra en el puerto de VLAN secundario y en el puerto de acceso promiscuo, el tráfico no se etiquetará a la salida. Si el tráfico con etiqueta se encuentra en un puerto de acceso promiscuo, se descarta el tráfico.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos de QFX

  • Junos OS versión 12,2 o posterior del serie QFX

Descripción general y topología

Figura 20muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas principales y secundarias, y también incluye dos puertos de tronco de VLAN secundarios configurados para transportar VLAN secundarias que son miembros de VLAN principales pvlan100 y pvlan400.

El conmutador 2 incluye las mismas VLAN privadas. En la ilustración se muestra xe-0/0/0 en el conmutador 2, tal y como se configura con puertos de acceso promiscuo o puertos troncales promiscuo. La configuración de ejemplo incluida aquí configura este puerto como puerto de acceso promiscuo.

La figura también muestra cómo fluirá el tráfico después del ingresing en los puertos de tronco de la VLAN secundaria en el conmutador 1.

Figura 20: Topología de PVLAN con puertos de tronco de VLAN secundarios y puerto de acceso promiscuoTopología de PVLAN con puertos de tronco de VLAN secundarios y puerto de acceso promiscuo

Tabla 19y Tabla 20 enumerar la configuración de la topología de ejemplo en ambos conmutadores.

Tabla 19: Componentes de la topología para configurar un tronco de VLAN secundario en el conmutador 1
Component Descripción

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN de la comunidad, miembro de pvlan100

comm600, ID 600

VLAN de la comunidad, miembro de pvlan400

aislamiento de VLAN-ID 200

ID de VLAN para VLAN aislada, miembro de pvlan100

isolation-vlan-id 500

ID de VLAN para VLAN aislada, miembro de pvlan400

xe-0/0/0.0

Puerto de tronco de VLAN secundario para las VLAN principales pvlan100 y pvlan400

xe-0/0/1.0

Puerto de PVLAN troncal para VLANs principales pvlan100 y pvlan400

xe-0/0/2.0

Puerto de acceso aislado para pvlan100

xe-0/0/3.0

Puerto de acceso a la comunidad para comm300

xe-0/0/5.0

Puerto de acceso aislado para pvlan400

xe-0/0/6.0

Puerto de enlace de la comunidad para comm600

Tabla 20: Componentes de la topología para configurar un tronco de VLAN secundario en el conmutador 2
Component Descripción

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN de la comunidad, miembro de pvlan100

comm600, ID 600

VLAN de la comunidad, miembro de pvlan400

aislamiento de VLAN-ID 200

ID de VLAN para VLAN aislada, miembro de pvlan100

isolation-vlan-id 500

ID de VLAN para VLAN aislada, miembro de pvlan400

xe-0/0/0.0

Puerto de acceso promiscuo para VLAN principales pvlan100

xe-0/0/1.0

Puerto de PVLAN troncal para VLANs principales pvlan100 y pvlan400

xe-0/0/2.0

Puerto de enlace secundario para VLAN aislada, miembro de pvlan100

xe-0/0/3.0

Puerto de acceso a la comunidad para comm300

xe-0/0/5.0

Puerto de acceso aislado para pvlan400

xe-0/0/6.0

Puerto de acceso a la comunidad para comm600

Configuración del PVLANs en el conmutador 1

Configuración rápida de CLI

Para crear y configurar rápidamente el PVLANs en el conmutador 1, copie los siguientes comandos y péguelos en una ventana de terminal del conmutador:

Modalidades

Procedimiento paso a paso

Para configurar las VLAN privadas y los puertos de tronco de la VLAN secundario:

  1. Configure las interfaces y los modos de puerto:

  2. Crear las VLAN principales:

    Nota:

    Las VLAN principales siempre deben ser las VLAN con etiquetas, aunque solo existan en un único dispositivo.

  3. Configure las VLAN principales para que sean privadas:

  4. Configure el puerto de PVLAN troncal para transportar el tráfico de la VLAN privada entre los conmutadores:

  5. Crear comm300 de VLAN secundaria con ID. de VLAN 300:

  6. Configure la VLAN principal para comm300:

  7. Configure la interfaz para comm300:

  8. Crear comm600 de VLAN secundaria con ID. de VLAN 600:

  9. Configure la VLAN principal para comm600:

  10. Configure la interfaz para comm600:

  11. Configure las VLAN aisladas entre conmutadores:

    Nota:

    Cuando configure un puerto de enlace de VLAN secundario para que transporte una VLAN aislada, debe configurar también un ID de aislamiento de VLAN. Esto se cumple incluso si la VLAN aislada solo existe en un conmutador.

  12. Activar el puerto troncal xe-0/0/0 para llevar las VLAN secundarias para las VLAN principales:

  13. Configure el puerto de enlace xe-0/0/0 para transportar comm600 (miembro de pvlan400):

    Nota:

    No es necesario configurar xe-0/0/0 de forma explícita para llevar a cabo el tráfico de VLAN aislado (etiquetas 200 y 500) porque todos los puertos aislados de pvlan100 y pvlan400 (incluidos xe-0/0/0.0) se incluyen automáticamente en las VLAN aisladas creadas cuando configuró y isolation-vlan-id 200isolation-vlan-id 500 .

  14. Configure xe-0/0/2 y xe-0/0/6 para que quede aislado:

Resultados

Compruebe los resultados de la configuración en el conmutador 1:

Configuración del PVLANs en el conmutador 2

La configuración del modificador 2 es casi idéntica a la configuración del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 se configura como puerto de dirección troncal promiscuo o puerto de acceso promiscuo Figura 1 , tal y como se muestra. En la siguiente configuración, XE-0/0/0 se configura como puerto de acceso promiscuo para la VLAN principal pvlan100.

Si el tráfico se encuentra en el puerto habilitado para VLAN y en la salida de un puerto de acceso promiscuo, las etiquetas de VLAN se pierden a la salida y el tráfico no se etiqueta en ese punto. Por ejemplo, el tráfico de comm600 de entrada en el puerto de enlace de la VLAN secundaria configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 como se reenvía a través de la VLAN secundaria. Cuando se salida de xe-0/0/0.0 en el conmutador 2, no se etiquetaría si configura xe-0/0/0.0 como puerto de acceso promiscuo, como se muestra en este ejemplo. Si, en su lugar, configura xe-0/0/0.0 como puerto de enlace promiscuo (modo de puerto), el tráfico de comm600 transporta su etiqueta VLAN principal (400) cuando se salida.

Configuración rápida de CLI

Para crear y configurar rápidamente el PVLANs en el conmutador 2, copie los siguientes comandos y péguelos en una ventana de terminal del conmutador:

Modalidades

Procedimiento paso a paso

Para configurar las VLAN privadas y los puertos de tronco de la VLAN secundario:

  1. Configure las interfaces y los modos de puerto:

  2. Crear las VLAN principales:

  3. Configure las VLAN principales para que sean privadas:

  4. Configure el puerto de PVLAN troncal para transportar el tráfico de la VLAN privada entre los conmutadores:

  5. Crear comm300 de VLAN secundaria con ID. de VLAN 300:

  6. Configure la VLAN principal para comm300:

  7. Configure la interfaz para comm300:

  8. Crear comm600 de VLAN secundaria con ID. de VLAN 600:

  9. Configure la VLAN principal para comm600:

  10. Configure la interfaz para comm600:

  11. Configure las VLAN aisladas entre conmutadores:

  12. Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:

    Nota:

    Un puerto de acceso promiscuo puede ser miembro de una sola VLAN principal.

  13. Configure xe-0/0/2 y xe-0/0/6 para que quede aislado:

Resultados

Compruebe los resultados de la configuración en el conmutador 2:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobando que se crearon la VLAN privada y las VLAN secundarias

Purpose

Compruebe que la VLAN principal y las VLAN secundarias se hayan creado correctamente en el conmutador 1.

Intervención

Utilice el show vlans comando:

Efectos

La salida muestra que las VLAN privadas se crearon e identifican las interfaces y las VLAN secundarias asociadas con ellas.

Verificación de las entradas de la tabla de conmutación Ethernet

Purpose

Compruebe que las entradas de la tabla de conmutación Ethernet se crearon para las VLAN principales pvlan100.

Intervención

Muestre las entradas de la tabla de conmutación Ethernet para pvlan100.

Verificación de que una VLAN privada funciona en un conmutador

Purpose

Después de crear y configurar las VLAN privadas (PVLANs), compruebe que se han configurado correctamente.

Intervención

  1. Para determinar si las configuraciones de VLAN primaria y secundaria se crearon correctamente:

    • Para obtener un PVLAN en un único conmutador, utilice show configuration vlans el comando siguiente:

    • Para una PVLAN que abarca varios conmutadores, utilice el show vlans extensive comando:

  2. Utilice el show vlans extensive comando para ver información de VLAN y el estado de enlace de un PVLAN en un único conmutador o para un PVLAN que abarque varios conmutadores.

    • Para un PVLAN en un solo conmutador:

    • Para un PVLAN que abarca varios conmutadores:

  3. Utilice el show ethernet-switching table comando para ver los registros de aprendizaje para Mac en las redes VLAN:

Nota:

Si ha configurado un PVLAN que abarca varios conmutadores, puede usar el mismo comando en todos los conmutadores para comprobar los registros para el aprendizaje de MAC en dichos conmutadores.

Efectos

En la salida se muestra para una PVLAN en un solo conmutador, puede ver que la VLAN principal contiene dos dominios de comunidad ( y ), dos puertos aislados y dos puertos community1community2 de troncalización. La PVLAN en un solo conmutador solo tiene una etiqueta ( 1000 ), la cual es para la VLAN principal.

El PVLAN que abarca varios conmutadores contiene varias etiquetas:

  • El dominio de COM1 la comunidad se identifica con la etiqueta 100 .

  • El dominio de community2 la comunidad se identifica con la etiqueta 20 .

  • El dominio aislado del interswitch se identifica con la 50 etiqueta.

  • La VLAN principal primary se identifica con 10 etiqueta.

Además, para la PVLAN que abarca varios conmutadores, las interfaces troncales se identifican como pvlan-trunk .

Solución de problemas de VLAN privadas en conmutadores QFX

Utilice la siguiente información para solucionar problemas en una configuración de VLAN privada.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • La supervisión IGMP no es compatible con las VLAN privadas.

  • Las interfaces VLAN enrutadas no se admiten en VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias de la misma VLAN principal.

  • Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, puede seguir este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal para que sea una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.

Reenvío con VLAN privadas

Relacionado

Descripción
  • Cuando se recibe el tráfico Etiquetado VLAN aislado o comunidad en un puerto troncal PVLAN, las direcciones MAC se aprenden desde la VLAN principal. Esto significa que la salida del comando Mostrar tabla de conmutación Ethernet muestra que las direcciones MAC se aprenden desde la VLAN principal y se replican en las VLAN secundarias. Este comportamiento no tiene ningún efecto sobre el envío de decisiones.

  • Si un paquete con una etiqueta VLAN secundaria se recibe en un puerto promiscuo, se acepta y reenvía.

  • Si se recibe un paquete en un puerto PVLAN troncal y cumple con las dos condiciones que se enumeran a continuación, éste se descarta.

    • El paquete tiene una etiqueta VLAN de la comunidad.

    • El paquete está destinado a una dirección MAC de unidifusión o de grupo de multidifusión dirección MAC que se aprendió en una VLAN aislada.

  • Si se recibe un paquete en un puerto PVLAN troncal y cumple con las dos condiciones que se enumeran a continuación, éste se descarta.

    • El paquete tiene una etiqueta VLAN aislada.

    • El paquete está destinado a una dirección MAC de unidifusión o de grupo de multidifusión dirección MAC que se aprendió en una VLAN de la comunidad.

  • Si se recibe un paquete con una etiqueta VLAN principal en un puerto VLAN secundario (aislado o comunitario), el puerto secundario reenvía el paquete.

  • Si configura una VLAN de la comunidad en un dispositivo y configura otra VLAN de comunidad en un segundo dispositivo y ambas VLAN utilizan el mismo ID de VLAN, el tráfico de una de las VLAN puede reenviarse a la otra VLAN. Por ejemplo, supongamos que se trata de la siguiente configuración:

    • La VLAN de la comunidad comm1 en el conmutador 1 tiene el ID 50 de VLAN y es miembro de la VLAN principal pvlan100.

    • La VLAN de la comunidad comm2 en el conmutador 2 también tiene el ID 50 de VLAN y es miembro de la VLAN principal pvlan200.

    • Pvlan100 de VLAN principal existe en ambos conmutadores.

    Si el tráfico de comm1 se envía desde el conmutador 1 al conmutador 2, será enviado a los puertos que participan en el comm2. (El tráfico también se reenviará a los puertos de comm1, como cabría esperar.)

Solución

Estos son los comportamientos esperados.

Filtros de Firewall de salida con VLAN privadas

Relacionado

Descripción

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico salida con la etiqueta de VLAN principal o etiqueta VLAN aislada, como se muestra a continuación:

  • Tráfico reenviado desde una VLAN secundaria puerto de enlace a un puerto promiscuo (troncal o Access)

  • Tráfico reenviado desde una VLAN secundaria puerto de enlace que transporta una VLAN aislada a un puerto troncal PVLAN.

  • Tráfico reenviado desde un puerto promiscuo (troncal o Access) a una VLAN secundaria puerto de enlace

  • Tráfico reenviado desde un puerto troncal PVLAN. a una VLAN secundaria puerto de enlace

  • Tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (troncal o de acceso)

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que se salida con una etiqueta VLAN de la comunidad, como se indica a continuación:

  • Tráfico reenviado desde un puerto de tronco de la comunidad hacia un puerto troncal de PVLAN

  • Tráfico reenviado desde una VLAN secundaria puerto de enlace que transporta una VLAN de la comunidad a un puerto troncal PVLAN

  • Tráfico reenviado desde un puerto promiscuo (troncal o Access) a un puerto de tronco de la comunidad

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de la comunidad

Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplicarán los comportamientos siguientes:

  • El filtro se aplica al tráfico que se reenvía desde un puerto promiscuo (troncal o de acceso) a un puerto de tronco de la comunidad (porque el tráfico está a la salida con la etiqueta VLAN de la comunidad).

  • El filtro se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto troncal PVLAN (ya que el tráfico está a la salida con la etiqueta VLAN de la comunidad).

  • El filtro no se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (porque el tráfico se queda con la etiqueta de VLAN principal o sin etiquetar).

Solución

Estos son los comportamientos esperados. Solo se producen si aplica un filtro de Firewall a una VLAN privada en la dirección de salida y no ocurre si aplica un filtro de Firewall a una VLAN privada en la dirección de entrada.

Duplicación del puerto de salida con VLAN privadas

Relacionado

Descripción

Si crea una configuración de duplicación de puerto que refleje el tráfico de VLAN privado (PVLAN) en las salidas, el tráfico reflejado (el tráfico que se envía al sistema de analizador) tendrá la etiqueta VLAN de la VLAN de entrada en lugar de la VLAN de salida. Por ejemplo, supongamos la siguiente configuración de PVLAN:

  • Puerto de troncal promiscuo que transporta las VLAN principales pvlan100 y pvlan400.

  • Puerto de acceso aislado que transporta isolated200 de VLAN secundaria. Esta VLAN es miembro de la pvlan100 VLAN principal.

  • Puerto de la comunidad que transporta las VLAN secundarias comm300. Esta VLAN también es miembro de pvlan100 principal de VLAN.

  • Interfaz de salida (interfaz de pantalla) que se conecta al sistema de Analyzer. Esta interfaz reenvía el tráfico reflejado al analizador.

Si un paquete para pvlan100 entra en el puerto de Troncalización promiscuo y se cierra en el puerto de acceso aislado, el paquete original no se etiquetará a la salida porque se está cerrando en un puerto de acceso. Sin embargo, la copia espejada conserva la etiqueta para pvlan100 cuando se envía al analizador.

A continuación se muestra otro ejemplo: Si se trata de un paquete para la entrada de comm300 en el puerto comunitario y de salida en el puerto troncal promiscuo, el paquete original transporta la etiqueta para pvlan100 en salida, como cabría esperar. Sin embargo, la copia espejada conserva la etiqueta para comm300 cuando se envía al analizador.

Solución

Este es el comportamiento esperado.