Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

VLAN privadas

Descripción de VLAN privadas

Las VLAN limitan las transmisiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá al limitar la comunicación dentro de una VLAN. Las PVLAN logran esto restringiendo los flujos de tráfico a través de sus puertos de conmutación miembro (que se denominan puertos privados) para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto de troncalización ascendente o el grupo de agregación de vínculos (LAG) generalmente se conectan a un enrutador, firewall, servidor o red de proveedor. Por lo general, cada PVLAN contiene muchos puertos privados que se comunican solo con un único puerto de enlace ascendente, lo que impide que los puertos se comuniquen entre sí.

Las PVLAN proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de comunidad y una VLAN aislada ) dentro de una VLAN principal. Los puertos dentro de la misma VLAN comunitaria pueden comunicarse entre sí. Los puertos de una VLAN aislada solo pueden comunicarse con un único puerto de enlace ascendente.

Al igual que las VLAN regulares, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:

  • Una conexión de puerto promiscuo con un enrutador

  • Una interfaz VLAN enrutada (RVI)

Nota:

Para enrutar el tráfico de capa 3 entre redes VLAN secundarias, una PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza una RVI, aún puede implementar una conexión de puerto promiscuo a un enrutador con el puerto promiscuo configurado para manejar solo el tráfico que entra y sale de la PVLAN.

Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocida, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios usan PVLAN para mantener a sus clientes aislados entre sí. Otro uso típico de una PVLAN es proporcionar acceso a Internet por habitación en un hotel.

Nota:

Puede configurar una PVLAN para abarcar conmutadores compatibles con PVLAN.

En este tema, se explican los siguientes conceptos con respecto a las PVLAN en conmutadores de la serie EX:

Beneficios de las PVLAN

La necesidad de separar una sola VLAN es particularmente útil en los siguientes escenarios de implementación:

  • Granjas de servidores: un proveedor de servicios de Internet típico usa una granja de servidores para proporcionar alojamiento web a numerosos clientes. La localización de varios servidores dentro de una sola granja de servidores facilita la administración. Surgen preocupaciones de seguridad si todos los servidores están en la misma VLAN, ya que las difusión de capa 2 van a todos los servidores de la VLAN.

  • Redes Ethernet metropolitanas: un proveedor de servicios metropolitanos ofrece acceso Ethernet de capa 2 a varios hogares, comunidades de alquiler y empresas. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que lleva a un potencial desperdicio de direcciones IP. Las PVLAN proporcionan una solución más segura y eficiente.

Estructura típica y aplicación principal de las PVLAN

Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. Los tipos de dominios y puertos son:

  • VLAN principal: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada/puerto aislado: una VLAN principal puede contener solo una VLAN aislada. Una interfaz dentro de una VLAN aislada puede reenviar paquetes solo a un puerto promiscuo o al puerto ISL (Inter-Switch Link). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente solo necesita tener acceso a un enrutador de puerta de enlace, el dispositivo debe estar conectado a un puerto de troncalización aislado.

  • VLAN de comunidad/puerto de comunidad: puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto ISL. Si tiene, por ejemplo, dos dispositivos de cliente que debe aislar de otros dispositivos del cliente, pero que deben poder comunicarse entre sí, utilice los puertos de la comunidad.

  • Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN comunitaria. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con los dispositivos de punto de conexión suelen estar conectados a un puerto promiscuo.

  • Vínculo entre conmutadores (ISL): un ISL es un puerto de troncalización que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando una PVLAN abarca varios conmutadores.

La PVLAN configurada es el dominio principal (VLAN principal). Dentro de la PVLAN, se configuran VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. La PVLAN que se muestra en Figura 1 incluye dos conmutadores, con un dominio PVLAN principal y varios subdominios.

Figura 1: Subdominios en una PVLANSubdominios en una PVLAN

Como se muestra en Figura 3, una PVLAN tiene solo un dominio principal y varios dominios secundarios. Los tipos de dominios son:

  • VLAN principal: la VLAN se utiliza para reenviar tramas descendentes a VLAN aisladas y de comunidad. La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas aguas arriba a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada dentro de la VLAN principal. Una VLAN principal puede contener solo una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes solo a un puerto promiscuo o al puerto de troncalización PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; ni una interfaz aislada puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente solo necesita tener acceso a un enrutador, el dispositivo debe estar conectado a un puerto de troncalización aislado.

  • VLAN aislada de interswitch secundario: VLAN se utiliza para reenviar tráfico de VLAN aislado de un conmutador a otro mediante puertos de troncalización PVLAN. Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada entre conmutadores es una VLAN secundaria anidada dentro de la VLAN principal.

  • VLAN de comunidad secundaria: VLAN se usa para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas aguas arriba a la VLAN principal. Una VLAN de comunidad es una VLAN secundaria anidada dentro de la VLAN principal. Puede configurar varias VLAN de comunidad dentro de una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto de troncalización PVLAN.

Figura 2 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (100) contiene dos dominios (300 de comunidad y ) y 400un dominio aislado interswitch.

Figura 2: PVLAN que abarca varios conmutadoresPVLAN que abarca varios conmutadores
Nota:

Las VLAN principales y secundarias cuentan con el límite de 4089 VLAN compatibles con la serie QFX. Por ejemplo, cada VLAN en Figura 2 cuenta con este límite.

Estructura típica y aplicación principal de PVLAN en enrutadores serie MX

La PVLAN configurada se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un solo enrutador. La PVLAN que se muestra en Figura 3 incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.

Figura 3: Subdominios en una PVLAN con un enrutadorSubdominios en una PVLAN con un enrutador

Los tipos de dominios son:

  • VLAN principal: la VLAN se utiliza para reenviar tramas descendentes a VLAN aisladas y de comunidad.

  • VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas aguas arriba a la VLAN principal.

  • VLAN aislada de interswitch secundario: la VLAN se utiliza para reenviar el tráfico de VLAN aislado de un enrutador a otro a través de los puertos de troncalización PVLAN.

  • VLAN de comunidad secundaria: VLAN se usa para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas aguas arriba a la VLAN principal.

Nota:

Las PVLAN son compatibles con enrutadores MX80, en enrutadores MX240, MX480 y MX960 con DPC en modo LAN mejorado, en enrutadores serie MX con PIC MPC1, MPC2 y Adaptive Services.

Estructura típica y aplicación principal de PVLAN en conmutadores de la serie EX

Nota:

La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. En los conmutadores EX9200, cada VLAN secundaria también se debe definir con su propio ID de VLAN independiente.

Figura 4 muestra una PVLAN en un solo conmutador, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 50).

Figura 4: VLAN privada en un solo conmutador EXVLAN privada en un solo conmutador EX

Figura 5 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 se conectan a través de un vínculo de interswitch (vínculo troncal PVLAN troncal).

Figura 5: PVLAN que abarca varios conmutadores de la serie EXPVLAN que abarca varios conmutadores de la serie EX

Además, las PVLAN que se muestran en Figura 4 y Figura 5 utilizan un puerto promiscuo conectado a un enrutador como el medio para enrutar el tráfico de capa 3 entre la comunidad y VLAN aisladas. En lugar de usar el puerto promiscuo conectado a un enrutador, puede configurar una RVI en Figura 4 el conmutador en o uno de los conmutadores que se muestran en (en Figura 5 algunos conmutadores EX).

Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador a un puerto promiscuo, como se muestra en Figura 4 y Figura 5, o configurar una RVI.

Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Esta RVI sirve a todo el dominio de PVLAN independientemente de si el dominio incluye uno o más conmutadores. Después de configurar la RVI, los paquetes de capa 3 recibidos por las interfaces VLAN secundarias se asignan a y enrutan por la RVI.

Al configurar la RVI, también debe habilitar el Protocolo de resolución de direcciones (ARP) de proxy para que la RVI pueda manejar las solicitudes de ARP recibidas por las interfaces VLAN secundarias.

Para obtener más información acerca de cómo configurar PVLAN en un solo conmutador y en varios conmutadores, consulte Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI). Para obtener más información acerca de cómo configurar una RVI, consulte Configurar una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Enrutamiento entre VLAN aisladas y comunitarias

Para enrutar el tráfico de capa 3 entre VLAN aisladas y de comunidad, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto troncal de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.

Las PVLAN usan etiquetas 802.1Q para identificar paquetes

Cuando los paquetes se marcan con una etiqueta 802.1Q específica del cliente, esa etiqueta identifica la propiedad de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLAN para realizar un seguimiento de paquetes de diferentes subdominios. Tabla 1 indica cuándo se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en VLAN secundarias.

Tabla 1: Cuando las VLAN en una PVLAN necesitan etiquetas 802.1Q

En un solo conmutador En varios conmutadores

VLAN principal

Especifique una etiqueta 802.1Q estableciendo un ID de VLAN.

Especifique una etiqueta 802.1Q estableciendo un ID de VLAN.

VLAN secundaria

No se necesita ninguna etiqueta en VLAN.

Las VLAN necesitan etiquetas 802.1Q:

  • Especifique una etiqueta 802.1Q para cada VLAN de comunidad estableciendo un ID de VLAN.

  • Especifique la etiqueta 802.1Q para un ID de VLAN de aislamiento estableciendo un ID de aislamiento.

Las PVLAN usan direcciones IP de manera eficiente

Las PVLAN proporcionan conservación de direcciones IP y asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En las PVLAN, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP porque la subred se asigna a la VLAN principal. A los hosts de la VLAN secundaria se les asignan direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.

Tipos de puerto PVLAN y reglas de reenvío

Las PVLAN pueden usar hasta seis tipos de puertos diferentes. La red representada enFigura 2 usa un puerto promiscuo para transportar información al enrutador, puertos de comunidad para conectar las comunidades financieras y de RR. HH. a sus respectivos conmutadores, puertos aislados para conectar los servidores y un puerto troncal PVLAN para conectar los dos conmutadores. Los puertos PVLAN tienen diferentes restricciones:

  • Puerto de troncalización promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN comunitaria. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido dentro de uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con los dispositivos de punto de conexión suelen estar conectados a un puerto promiscuo.

  • Vínculo de troncalización PVLAN: el vínculo de troncalización PVLAN, que también se conoce como vínculo de interswitch, solo se requiere cuando una PVLAN está configurada para abarcar varios conmutadores. El vínculo troncal de PVLAN conecta los múltiples conmutadores que componen la PVLAN.

  • Puerto de troncalización PVLAN: se requiere un puerto de troncalización PVLAN en configuraciones PVLAN multiswitch para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada entre conmutadores), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos, excepto con los puertos aislados.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado es generalmente unidireccional. La pertenencia de un puerto de troncalización PVLAN a la VLAN aislada entre conmutadores es solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresaron en un puerto de acceso promiscuo y, por lo tanto, se reenvían a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización VLAN secundario (no mostrado): los puertos de troncalización secundarios transportan tráfico de VLAN secundario. Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.

  • Puerto comunitario: los puertos comunitarios se comunican entre ellos y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo selecto de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o puertos aislados dentro de su PVLAN.

  • Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos de troncalización PVLAN. Un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio de VLAN aislada (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de respaldo, se conecta en un puerto aislado. En un hotel, cada habitación normalmente estaría conectada en un puerto aislado, lo que significa que no es posible la comunicación habitación a habitación, pero cada habitación puede acceder a Internet en el puerto promiscuo.

  • Puerto de acceso promiscuo (no mostrado): estos puertos llevan tráfico sin etiquetar. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico entra en el dispositivo en un puerto habilitado para VLAN y salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.

  • Puerto de vínculo interswitch: un puerto de vínculo interswitch (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN abarca esos enrutadores. El puerto ISL es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada).

    La comunicación entre un puerto ISL y un puerto aislado es unidireccional. La pertenencia de un puerto ISL a la VLAN aislada entre conmutadores es solo de salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.

Tabla 2 resume la conectividad de capa 2 entre los diferentes tipos de puertos de una PVLAN en conmutadores de la serie EX compatibles con ELS.

Tabla 2: Puertos PVLAN y reenvío de capa 2 en conmutadores de la serie EX compatibles con ELS

Desde el tipo de puerto

¿A puertos aislados?

¿A los puertos promiscuos?

¿A Community Ports?

¿Para el puerto de vínculo entre conmutadores?

Aislado

Negar

Permitir

Negar

Permitir

Promiscuo

Permitir

Permitir

Permitir

Permitir

Comunidad 1

Negar

Permitir

Permitir

Permitir

Tabla 3: Puertos PVLAN y conectividad de capa 2

Tipo de puerto

Troncal promiscuo

Troncalización PVLAN

Troncalización secundaria

Comunidad

Acceso aislado

Acceso promiscuo

Troncal promiscuo

Troncalización PVLAN

Sí, solo la misma comunidad

Troncalización secundaria

No

No

Comunidad

Sí, solo la misma comunidad

No

Acceso aislado

Sí: solo unidireccional

No

No

No

Acceso promiscuo

No

Tabla 4 resume si existe o no conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.

Tabla 4: Puertos PVLAN y conectividad de capa 2 en conmutadores de la serie EX sin soporte ELS

Tipo de puerto

Nueva versión: →

Desde:,

Promiscuo

Comunidad

Aislado

Troncalización PVLAN

RVI

Promiscuo

Comunidad

Sí, solo la misma comunidad

No

Aislado

No

No

Nota:

Esta comunicación es unidireccional.

Troncalización PVLAN

Sí, solo la misma comunidad

Nota:

Esta comunicación es unidireccional.

RVI

Como se señaló en Tabla 4, la comunicación de capa 2 entre un puerto aislado y un puerto troncal PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncalización PVLAN y un puerto de troncalización PVLAN solo puede recibir paquetes desde un puerto aislado. Por el contrario, un puerto de troncalización PVLAN no puede enviar paquetes a un puerto aislado y un puerto aislado no puede recibir paquetes desde un puerto troncal de PVLAN.

Nota:

Si habilita no-mac-learning en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada entre conmutadores) en la PVLAN heredan esa configuración. Sin embargo, si desea deshabilitar el aprendizaje de dirección MAC en cualquier VLAN de comunidad, debe configurar no-mac-learning en cada una de esas VLAN.

Creación de una PVLAN

El diagrama de flujo que se muestra en Figura 6 le da una idea general del proceso para crear PVLAN. Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. (En las reglas de PVLAN, la configuración del puerto de troncalización PVLAN solo se aplica a una PVLAN que se extiende por varios enrutadores.)

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Configurar una VLAN en un único enrutador es relativamente sencillo, como se muestra en Figura 6.

Figura 6: Configurar una PVLAN en un solo conmutadorConfigurar una PVLAN en un solo conmutador

La configuración de una VLAN principal consta de estos pasos:

  1. Configure el nombre de VLAN principal y la etiqueta 802.1Q.

  2. Establecer no-local-switching en la VLAN principal.

  3. Configure el puerto de troncalización promiscuo y los puertos de acceso.

  4. Haga que la troncalización promiscua y los puertos de acceso sean miembros de la VLAN principal.

En una VLAN principal, puede configurar VLAN de comunidad secundaria o VLAN aisladas secundarias, o ambas. La configuración de una VLAN de comunidad secundaria consta de estos pasos:

  1. Configure una VLAN mediante el proceso habitual.

  2. Configure las interfaces de acceso para la VLAN.

  3. Asigne una VLAN principal a la VLAN de la comunidad,

Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción no-local-switching está habilitada en la VLAN principal.

Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete.

Los puertos de troncalización solo son necesarios para configuraciones de PVLAN multirouter: el puerto de troncalización transporta tráfico desde la VLAN principal y desde todas las VLAN secundarias.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • Una interfaz de acceso puede pertenecer solo a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.

  • Una interfaz troncal puede ser miembro de dos VLAN secundarias, siempre y cuando las VLAN secundarias estén en dos VLAN principales diferentes . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentran en la misma VLAN principal.

  • Se debe configurar una sola región del protocolo de árbol de expansión múltiple (MSTP) en todas las VLAN incluidas en la PVLAN.

  • No se admite el protocolo de árbol de expansión de VLAN (VSTP).

  • La ing IGMP no se admite con VLAN privadas.

  • Las interfaces VLAN enrutadas no se admiten en VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.

  • Algunas instrucciones de configuración no se pueden especificar en una VLAN secundaria. Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía solo en la PVLAN principal.

  • Si desea cambiar una VLAN principal a una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal a una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria a una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, luego, cambiar la VLAN normal para que sea una VLAN principal.

Las siguientes funciones no se admiten en PVLAN en conmutadores Junos compatibles con el estilo de configuración ELS:

  • Filtros de firewall VLAN de salida

  • Protección de anillo Ethernet (ERP)

  • Etiquetado VLAN flexible

  • global-mac-statistics

  • Interfaz de enrutamiento y puentes integrados (IRB)

  • Grupos de agregación de vínculos multichasis (MC-LAG)

  • Duplicación de puertos

  • Tunelización Q-in-Q

  • Protocolo de árbol de expansión de VLAN (VSTP)

  • Voz sobre IP (VoIP)

Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía solo en la PVLAN principal:

Descripción de los flujos de tráfico de PVLAN a través de varios conmutadores

En este tema, se ilustran y explican tres flujos de tráfico diferentes en una red multiswitch de ejemplo configurada con una VLAN privada (PVLAN). Las PVLAN restringen los flujos de tráfico a través de sus puertos de conmutación miembro (que se denominan "puertos privados") de modo que solo se comuniquen con un puerto troncal de enlace ascendente específico o con puertos especificados dentro de la misma VLAN.

En este tema se describe:

VLAN de la comunidad que envía tráfico sin etiquetar

En este caso, una VLAN en la comunidad 1 del conmutador 1 en la interfaz ge-0/0/0 envía tráfico sin etiquetar. Las flechas representan Figura 7 este flujo de tráfico.

Figura 7: La VLAN de la comunidad envía tráfico sin etiquetarLa VLAN de la comunidad envía tráfico sin etiquetar

En este caso, se lleva a cabo la siguiente actividad en el conmutador 1:

  • Comunidad-1 VLAN en la interfaz ge-0/0/0: Aprendizaje

  • pvlan100 en interfaz ge-0/0/0: Replicación

  • Comunidad-1 VLAN en la interfaz ge-0/0/12: Recibe tráfico

  • Puerto troncal PVLAN: El tráfico sale de ge-1/0/2 y de ae0 con etiqueta 10

  • Community-2: La interfaz no recibe tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

En este caso, esta actividad se lleva a cabo en el conmutador 3:

  • Community-1 VLAN en la interfaz ge-0/0/23 (troncalización PVLAN): Aprendizaje

  • pvlan100 en la interfaz ge-0/0/23: Replicación

  • Community-1 VLAN en la interfaz ge-0/0/9 y ge-0/0/16: Recibe tráfico

  • Puerto troncal promiscuo: El tráfico sale de ge-0/0/0 con etiqueta 100

  • Comunidad-2: La interfaz no recibe tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

VLAN aislada que envía tráfico sin etiquetar

En este caso, VLAN1 aislada en el conmutador 1 en la interfaz ge-1/0/0 envía tráfico sin etiquetar. Las flechas representan Figura 8 este flujo de tráfico.

Figura 8: La VLAN aislada envía tráfico sin etiquetarLa VLAN aislada envía tráfico sin etiquetar

En este caso, se lleva a cabo la siguiente actividad en el conmutador 1:

  • VLAN1 aislada en la interfaz ge-1/0/0: Aprendizaje

  • pvlan100 en interfaz ge-1/0/0: Replicación

  • El tráfico sale de pvlan-trunk ge-1/0/2 y ae0 con la etiqueta 50

  • Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

En este caso, esta actividad se lleva a cabo en el conmutador 3:

  • VLAN en la interfaz ge-0/0/23 (puerto troncal PVLAN): Aprendizaje

  • pvlan100 en la interfaz ge0/0/23: Replicación

  • Puerto troncal promiscuo: El tráfico sale de ge-0/0/0 con etiqueta 100

  • Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: No reciba tráfico

Tráfico con etiqueta PVLAN enviado a un puerto promiscuo

En este caso, el tráfico etiquetado de PVLAN se envía a un puerto promiscuo. Las flechas representan Figura 9 este flujo de tráfico.

Figura 9: Tráfico con etiqueta PVLAN enviado a un puerto promiscuoTráfico con etiqueta PVLAN enviado a un puerto promiscuo

En este caso, se lleva a cabo la siguiente actividad en el conmutador 1:

  • pvlan100 VLAN en la interfaz ae0 (troncalización PVLAN): Aprendizaje

  • Community-1, Community-2 y todas las VLAN aisladas en la interfaz ae0: Replicación

  • VLAN en la interfaz ae0: Replicación

  • El tráfico sale de pvlan-trunk ge-1/0/2 con la etiqueta 100

  • Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico

  • VLAN aisladas: Recepción de tráfico

En este caso, esta actividad se lleva a cabo en el conmutador 3:

  • pvlan100 en interfaz ge-0/0/0: Aprendizaje

  • Community-1, Community-2 y todas las VLAN aisladas en la interfaz ge-0/0/0: Replicación

  • VLAN en la interfaz ge-0/0/0: Replicación

  • Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico

  • VLAN aisladas: Recepción de tráfico

Descripción de puertos troncales VLAN secundarios y puertos de acceso promiscuo en PVLAN

Las VLAN limitan las transmisiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá al dividir una VLAN en varios subdominios de difusión y, básicamente, colocar VLAN secundarias dentro de una VLAN principal. Las PVLAN restringen los flujos de tráfico a través de sus puertos miembros para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto de troncalización ascendente suele estar conectado a un enrutador, firewall, servidor o red de proveedor. Una PVLAN normalmente contiene muchos puertos privados que se comunican solo con un único enlace ascendente, lo que impide que los puertos se comuniquen entre sí.

Los puertos troncales secundarios y los puertos de acceso promiscuo extienden la funcionalidad de las PVLAN para su uso en implementaciones complejas, como:

  • Entornos de infraestructura de VMWare empresarial

  • Servicios de nube multiinteniente con administración de VM

  • Servicios de alojamiento web para varios clientes

Por ejemplo, puede usar puertos de troncalización VLAN secundarios para conectar dispositivos QFX a servidores VMware configurados con VLAN privadas. Puede usar puertos de acceso promiscuo para conectar dispositivos QFX a sistemas que no admiten puertos de troncalización pero que necesitan participar en VLAN privadas.

En este tema, se explican los siguientes conceptos con respecto a las PVLAN en la serie QFX:

Tipos de puerto PVLAN

Las PVLAN pueden usar los siguientes tipos de puerto diferentes:

  • Puerto de troncalización promiscuo: un puerto promiscuo es un puerto troncal ascendente conectado a un enrutador, firewall, servidor o red de proveedor. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y comunitarios dentro de una PVLAN.

  • Puerto de troncalización PVLAN: se requiere un puerto de troncalización PVLAN en configuraciones PVLAN multiswitch para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada entre conmutadores), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado es generalmente unidireccional. La pertenencia de un puerto de troncalización PVLAN a la VLAN aislada entre conmutadores es solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresaron en un puerto de acceso promiscuo y, por lo tanto, se reenvían a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización VLAN secundario: los puertos de troncalización de VLAN secundarios transportan tráfico de VLAN secundario. Para una VLAN privada (principal) dada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.

    Nota:

    Cuando el tráfico salida de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal de la que el puerto secundario es miembro. Si desea que el tráfico que salida de un puerto de troncalización VLAN secundario conserve su etiqueta VLAN secundaria, use la extend-secondary-vlan-id instrucción.

  • Puerto comunitario: los puertos comunitarios se comunican entre ellos y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo selecto de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o puertos aislados dentro de su PVLAN.

  • Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.

  • Puerto de acceso promiscuo: estos puertos llevan tráfico sin etiquetar y pueden ser miembros de una sola VLAN principal. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que el puerto de acceso promiscuo es miembro. En este caso, el tráfico lleva la etiqueta VLAN secundaria adecuada cuando salida del puerto VLAN secundario, si el puerto VLAN secundario es un puerto de troncalización. Si el tráfico de entrada en un puerto VLAN secundario y la salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.

Detalles del puerto de troncalización VLAN secundario

Cuando utilice un puerto troncal de VLAN secundario, tenga en cuenta lo siguiente:

  • Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto troncal de VLAN secundario. Esto es cierto incluso si las VLAN secundarias que transportará el puerto de troncalización VLAN secundaria están confinadas a un solo dispositivo.

  • Si configura un puerto para que sea un puerto troncal de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de los siguientes:

    • Puerto troncal de VLAN secundario para otra VLAN principal

    • Troncalización PVLAN para otra VLAN principal

    • Puerto troncal promiscuo

    • Puerto de acceso para una VLAN no privada

  • El tráfico que penetra en un puerto troncal de VLAN secundario (con una etiqueta VLAN secundaria) y salida en un puerto de troncalización PVLAN conserva la etiqueta VLAN secundaria en la salida.

  • El tráfico que entrada en un puerto troncal de VLAN secundario y salida en un puerto de troncalización promiscuo tiene la etiqueta VLAN principal adecuada en la salida.

  • El tráfico que accede a un puerto troncal de VLAN secundario y a la salida de un puerto de acceso promiscuo no se etiqueta en la salida.

  • El tráfico que penetra en un puerto de troncalización promiscuo con una etiqueta VLAN principal y salida en un puerto troncal de VLAN secundario lleva la etiqueta VLAN secundaria adecuada en la salida. Por ejemplo, suponga que ha configurado lo siguiente en un conmutador:

    • VLAN principal 100

    • VLAN de la comunidad 200 como parte de la VLAN principal

    • Puerto troncal promiscuo

    • Puerto de troncalización secundario que transporta VLAN comunitaria 200

    Si un paquete entrada en el puerto de troncalización promiscuo con etiqueta VLAN principal 100 y salida en el puerto troncal de VLAN secundario, lleva la etiqueta 200 en la salida.

Casos de uso

En la misma interfaz física, puede configurar varios puertos de troncalización VLAN secundarios (en VLAN principales diferentes) o combinar un puerto troncal de VLAN secundario con otros tipos de puertos VLAN. Los siguientes casos de uso proporcionan ejemplos de esto y muestran cómo fluye el tráfico en cada caso:

Troncalización de VLAN secundaria en dos VLAN principales

Para este caso de uso, supongamos que tiene dos conmutadores con la siguiente configuración:

  • VLAN principal pvlan100 con etiqueta 100.

    • La VLAN aislada isolated200 con etiqueta 200 es miembro de pvlan100.

    • Community VLAN comm300 con etiqueta 300 es miembro de pvlan100.

  • VLAN principal pvlan400 con etiqueta 400.

    • VLAN aislado aislado 500 con etiqueta 500 es miembro de pvlan400.

    • Community VLAN comm600 con etiqueta 600 es miembro de pvlan400.

  • La interfaz xe-0/0/0 en el conmutador 1 se conecta a un servidor VMware (no se muestra) que está configurado con las VLAN privadas utilizadas en este ejemplo. Esta interfaz está configurada con puertos de troncalización de VLAN secundarios para transportar tráfico para VLAN secundaria comm600 y la VLAN aislada (etiqueta 200) que es miembro de pvlan100.

  • La interfaz xe-0/0/0 en el conmutador 2 se muestra configurada como un puerto de troncalización promiscuo o un puerto de acceso promiscuo. En este último caso, puede asumir que se conecta a un sistema (no mostrado) que no admite puertos de troncalización pero que está configurado con las VLAN privadas utilizadas en este ejemplo.

  • En el conmutador 1, xe-0/0/6 es miembro de comm600 y está configurado como un puerto de troncalización.

  • En el conmutador 2, xe-0/0/6 es miembro de comm600 y está configurado como un puerto de acceso.

Figura 10 muestra esta topología y cómo fluye el tráfico para aislados200 y comm600 después de la entrada en xe-0/0/0 en el conmutador 1. Tenga en cuenta que el tráfico solo fluiría donde las flechas lo indiquen. Por ejemplo, no hay flechas para las interfaces xe-0/0/2, xe-0/0/3 y xe-0/0/5 en el conmutador 1, ya que ningún paquete salida de esas interfaces.

Figura 10: Dos puertos troncales VLAN secundarios en una interfazDos puertos troncales VLAN secundarios en una interfaz

Este es el flujo de tráfico para VLAN aislada200:

  1. Después de la entrada de 200 aislados en el puerto de troncalización VLAN secundario en el conmutador 1, salida del puerto de troncalización PVLAN porque el puerto de troncalización PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (200) al salida.
  2. Después de la entrada de 200 aislados en el puerto troncal de VLAN secundario en el conmutador 2, salida en xe-0/0/0, que está configurado como un puerto de troncalización promiscuo o un puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de troncalización promiscuo, los paquetes salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, los paquetes salida de este puerto sin etiquetar.

Tenga en cuenta que el tráfico de VLAN aislada200 no sale del puerto de acceso aislado xe-0/0/2 del conmutador 1 ni del puerto de troncalización VLAN secundario xe-0/0/2 del conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.

Este es el flujo de tráfico para VLAN comm600:

  1. Después de que el tráfico para la comm600 entrada en el puerto de troncalización VLAN secundario en el conmutador 1, salida del puerto de troncalización PVLAN porque el puerto de troncalización PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida.

  2. El tráfico de comm600 también egresa en el puerto de la comunidad xe-0/0/6 en el conmutador 1. El tráfico se etiqueta porque el puerto está configurado como troncalización.

  3. Después de la entrada de tráfico para comm600 en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, si esta interfaz está configurada como un puerto de troncalización promiscuo.

    Nota:

    Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, el puerto puede participar en una sola VLAN principal. En este caso, el puerto de acceso promiscuo forma parte de pvlan100, por lo que el tráfico para comm600 no sale de él

  4. El tráfico de comm600 también salida en el puerto de la comunidad xe-0/0/6 en el conmutador 2. En este caso, el tráfico no está marcado porque el modo de puerto es acceso.

Troncalización VLAN secundaria y troncalización promiscua

Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, con una excepción: En este caso, xe-0/0/0 en el conmutador 1 se configura como un puerto troncal de VLAN secundario para VLAN pvlan100 y también está configurado como un puerto de troncalización promiscuo para pvlan400.

Figura 11 muestra esta topología y cómo fluye el tráfico de aislados200 (miembro de pvlan100) y comm600 (miembro de pvlan400) después de la entrada en el conmutador 1.

Figura 11: Troncalización de VLAN secundaria y troncalización promiscua en una interfazTroncalización de VLAN secundaria y troncalización promiscua en una interfaz

El flujo de tráfico para VLAN aislado200 es el mismo que en el caso de uso anterior, pero el flujo para comm600 es diferente. Este es el flujo de tráfico para VLAN comm600:

  1. Después de la entrada de tráfico de comm600 en el puerto VLAN de la comunidad xe-0/0/6 en el conmutador 1, salida por el puerto de troncalización promiscuo xe-0/0/0 en el conmutador 1. En este caso, lleva la etiqueta VLAN principal (400).
  2. El tráfico de comm600 también salida en el puerto de troncalización PVLAN, ya que el puerto de troncalización PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida.
  3. Después de la entrada de tráfico para comm600 en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, si esta interfaz está configurada como un puerto de troncalización promiscuo.

    No sale en xe-0/0/0 si esta interfaz está configurada como un puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.

  4. El tráfico de comm600 también salida en el puerto de la comunidad xe-0/0/6 en el conmutador 2.

Troncalización VLAN secundaria y troncalización PVLAN

Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto troncal de VLAN secundario para VLAN pvlan100 y también está configurado como puerto de troncalización PVLAN para pvlan400.

Figura 12 muestra esta topología y cómo fluye el tráfico de comm300 (miembro de pvlan100) y comm600 (miembro de pvlan400) después de la entrada en el conmutador 1.

Figura 12: Troncalización de VLAN secundaria y troncalización PVLAN en una interfazTroncalización de VLAN secundaria y troncalización PVLAN en una interfaz

Este es el flujo de tráfico para VLAN comm300:

  1. Después de la entrada de tráfico de comm300 en el puerto de comunidad xe-0/0/3 en el conmutador 1, salida en el puerto de troncalización PVLAN xe-0/0/1 porque ese puerto de troncalización PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (300) al salida.
    Nota:

    El tráfico de comm300 no sale en xe-0/0/0, ya que el puerto troncal de VLAN secundario de esta interfaz transporta aislados200, no comm300.

  2. Después de la entrada de tráfico de comm300 en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, que está configurado como puerto de troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de troncalización promiscuo, los paquetes salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, los paquetes salida de este puerto sin etiquetar.

  3. El tráfico de comm300 también egresa en el puerto de la comunidad xe-0/0/3 en el conmutador 2.

Este es el flujo de tráfico para VLAN comm600:

  1. Después de que el tráfico para la entrada comm600 en el puerto PVLAN xe-0/0/0 en el conmutador 1, salida por el puerto de comunidad xe-0/0/6 en el conmutador 1. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida, ya que xe-0/0/6 es un puerto de troncalización.

  2. El tráfico de comm600 también salida en el puerto de troncalización PVLAN xe-0/0/1, ya que ese puerto troncal de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) al salida.

  3. Después de la entrada de tráfico para comm600 en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, si esta interfaz está configurada como un puerto de troncalización promiscuo.

    No sale en xe-0/0/0 si esta interfaz está configurada como un puerto de acceso promiscuo, ya que el puerto solo puede participar en pvlan100.

  4. El tráfico de comm600 también salida en el puerto de la comunidad xe-0/0/6 en el conmutador 2. Este tráfico no se etiqueta en la salida porque xe-0/0/6 es un puerto de acceso.

Interfaz de troncalización de VLAN secundaria y no privada

Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto por estas diferencias:

  • Configuración para xe-0/0/0 en el conmutador 1:

    • Puerto troncal de VLAN secundario para VLAN pvlan100

    • Puerto de acceso para vlan700

  • El puerto xe-0/0/6 en ambos conmutadores es un puerto de acceso para vlan700.

Figura 13 muestra esta topología y cómo fluye el tráfico de aislados200 (miembro de pvlan100) y vlan700 después de la entrada en el conmutador 1.

Figura 13: Puerto VLAN troncal de VLAN secundario y no privado en una interfazPuerto VLAN troncal de VLAN secundario y no privado en una interfaz

Este es el flujo de tráfico para VLAN aislada200:

  1. Después de la entrada de 200 aislados en el puerto de troncalización VLAN secundario en el conmutador 1, salida en el puerto de troncalización PVLAN. Los paquetes mantienen la etiqueta VLAN secundaria (200) al salida.
  2. Después de la entrada de 200 aislados en el puerto de troncalización PVLAN en el conmutador 2, salida en xe-0/0/0, que está configurado como puerto de troncalización promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de troncalización promiscuo, los paquetes salida de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, los paquetes salida de este puerto sin etiquetar.

Tenga en cuenta que el tráfico de VLAN aislada200 no sale del puerto de acceso aislado xe-0/0/2 del conmutador 1 ni del puerto de troncalización VLAN secundario xe-0/0/2 del conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.

Después de que el tráfico de vlan700 ingresara en el puerto de acceso configurado en xe-0/0/0 en el conmutador 1, salida por el puerto de acceso xe-0/0/6 porque ese puerto es miembro de la misma VLAN. El tráfico de vlan700 no se reenvía al conmutador 2 (aunque xe-0/0/6 en el conmutador 2 es miembro de vlan700) porque la troncalización PVLAN en xe-0/0/1 no transporta esta VLAN.

Tráfico de entrada en el puerto de acceso promiscuo

Para este caso de uso, supongamos que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto de acceso promiscuo y es miembro de pvlan100. Figura 14 muestra esta topología y cómo fluye el tráfico sin etiqueta después de pasar por esta interfaz en el conmutador 1.

Figura 14: Tráfico de entrada en el puerto de acceso promiscuoTráfico de entrada en el puerto de acceso promiscuo

Como se muestra en la figura, el tráfico sin etiquetar que penetra en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios que son miembros de la misma VLAN principal a la que pertenece el puerto de acceso promiscuo. El tráfico no se etiqueta cuando salida de los puertos de acceso y se etiqueta en la salida de un puerto de troncalización (xe-0/0/2 en el conmutador 2).

Uso de la autenticación 802.1X y VLAN privadas juntas en la misma interfaz

Descripción del uso de la autenticación 802.1X y las PVLAN juntas en la misma interfaz

Ahora puede configurar tanto la autenticación 802.1X como las VLAN privadas (PVLAN) en la misma interfaz.

La autenticación IEEE 802.1X ofrece seguridad de borde de red y protege a las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presentan y coinciden en el authentication server (un servidor RADIUS).

Las VLAN privadas (PVLAN) proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, lo que divide un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias. Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocida, y para limitar la comunicación entre hosts conocidos.

En un conmutador configurado con autenticación 802.1X y PVLAN, cuando un nuevo dispositivo se conecta a la red PVLAN, el dispositivo se autentica y, luego, se asigna a una VLAN secundaria basada en la configuración PVLAN o el perfil RADIUS. Luego, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.

Nota:

En este documento no se proporciona información detallada sobre la autenticación 802.1X o las VLAN privadas. Para obtener esos detalles, consulte la documentación de características específica de esas características individuales. Para 802.1X, consulte Guía del usuario de acceso y autenticación del usuario. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.

Pautas de configuración para combinar la autenticación 802.1X con PVLAN

Tenga en cuenta las siguientes pautas y limitaciones para configurar estas dos funciones en la misma interfaz:

  • No puede configurar una interfaz habilitada para 802.1X como una interfaz promiscua (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz de vínculo de interswitch (ISL).

  • No se pueden autenticar varios usuarios a través de VLAN diferentes que pertenezcan al mismo dominio PVLAN en una interfaz lógica; por ejemplo, si la interfaz ge-0/0/0 está configurada como supplicant multiple y los clientes C1 y C2 se autentican y se agregan a las VLAN dinámicas V1 y V2, respectivamente, V1 y V2 deben pertenecer a dominios PVLAN diferentes.

  • Si la VLAN de VoIP y la VLAN de datos son diferentes, esas dos VLAN deben estar en dominios PVLAN diferentes.

  • Cuando se cambia la pertenencia a PVLAN (es decir, se reconfigura una interfaz en una PVLAN diferente), se deben volver a autenticar los clientes.

Ejemplo: Configuración de la autenticación 802.1X con VLAN privadas en una configuración

Requisitos

  • Junos OS versión 18.2R1 o posterior

  • Conmutadores EX2300, EX3400 o EX4300

Antes de comenzar, especifique el servidor RADIUS o los servidores que se usarán como servidor de autenticación. Consulte Especificar conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).

Descripción general

En la siguiente sección de configuración se muestra la configuración del perfil de acceso, la configuración de autenticación 802.1X y, por último, la configuración de las VLAN (incluidas las PVLAN).

Configuración de la autenticación 802.1X con VLAN privadas en una configuración

Procedimiento
Configuración rápida de CLI
Procedimiento paso a paso

Para configurar la autenticación 802.1X y las PVLAN en una configuración:

  1. Configure el perfil de acceso:

    Nota:

    La VLAN de VoIP configurada no puede ser una PVLAN (primaria, comunitaria o aislada).

  2. Configure la configuración de 802.1X:

    Nota:

    La VLAN de datos configurada también podría ser una VLAN comunitaria o una VLAN aislada.

  3. Configure las VLAN (incluidas las PVLAN):

Resultados

Desde el modo de configuración, ingrese los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Verificación

Verifique que las direcciones MAC del cliente se aprenden en la VLAN principal
Propósito

Mostrar que se aprendió una dirección MAC de cliente en la VLAN principal.

Acción
Compruebe que la VLAN principal es una VLAN autenticada
Propósito

Muestra que la VLAN principal se muestra como una VLAN autenticada.

Acción

Poner la seguridad del puerto de acceso en redes VLAN privadas

Descripción de la seguridad del puerto de acceso en PVLAN

Ahora puede habilitar las funciones de seguridad del puerto de acceso, como el esnooping dhcp, en VLAN privadas (PVLAN).

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función PVLAN le permite dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.

Las LAN Ethernet son vulnerables a ataques como suplantación de dirección (falsificación) y denegación de servicio (DoS) de capa 2 en dispositivos de red. Las siguientes funciones de seguridad del puerto de acceso ayudan a proteger su dispositivo contra las pérdidas de información y productividad que tales ataques pueden causar, y ahora puede configurar estas funciones de seguridad en una PVLAN:

  • Búsqueda de DHCP: filtra y bloquea los mensajes del servidor DHCP de entrada en puertos que no son de confianza. La búsqueda de DHCP crea y mantiene una base de datos de información de arrendamiento DHCP, la cual se denomina base de datos de búsqueda de DHCP.

  • Búsqueda de DHCPv6: búsqueda de DHCP para IPv6.

  • Opción 82 de DHCP: también conocida como la opción de información del agente de retransmisión DHCP. Ayuda a proteger el conmutador contra ataques como la suplantación de direcciones IP y direcciones MAC y la inanición de direcciones IP DHCP. La opción 82 proporciona información sobre la ubicación de red de un cliente DHCP. El servidor DHCP usa esta información para implementar direcciones IP u otros parámetros para el cliente.

  • Opciones de DHCPv6:

    • Opción 37— Opción de ID remoto para DHCPv6; inserta información sobre la ubicación de red del host remoto en paquetes DHCPv6.

    • Opción 18— Opción de ID de circuito para DHCPv6; inserta información sobre el puerto de cliente en paquetes DHCPv6.

    • Opción 16— Opción de ID de proveedor para DHCPv6; inserta información sobre el proveedor del hardware del cliente en paquetes DHCPv6.

  • Inspección de ARP dinámico (DAI): previene ataques de suplantación de protocolo de resolución de direcciones (ARP). Las solicitudes y respuestas de ARP se comparan con las entradas de la base de datos de búsqueda de DHCP, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones.

  • Protección de origen IP: mitiga los efectos de los ataques de suplantación de dirección IP en la LAN Ethernet; valida la dirección IP de origen en el paquete enviado desde una interfaz de acceso no confiable en la base de datos de fisonomía DHCP. Si el paquete no se puede validar, se descarta.

  • Guardia de origen IPv6: protección de origen IP para IPv6.

  • Inspección de descubrimiento de vecinos IPv6: previene ataques de suplantación de dirección IPv6; compara las solicitudes y respuestas de descubrimiento de vecinos con las entradas de la base de datos de búsqueda de DHCPv6, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones.

Nota:

En este documento no se proporciona información detallada sobre las funciones de seguridad del puerto de acceso o las PVLAN. Para obtener esos detalles, consulte la documentación de características específica de esas características individuales. Para seguridad del puerto de acceso, consulte Guía de administración de servicios de seguridad. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.

Pautas de configuración para poner funciones de seguridad de puerto de acceso en PVLAN

Tenga en cuenta las siguientes pautas y limitaciones para configurar las funciones de seguridad de puerto de acceso en PVLAN:

  • Debe aplicar las mismas funciones de seguridad de puerto de acceso tanto en la vlan principal como en todas sus VLAN secundarias.

  • Una PVLAN solo puede tener una interfaz de enrutamiento y puente integrados (IRB), y la interfaz IRB debe estar en la VLAN principal.

  • Las limitaciones de las configuraciones de seguridad del puerto de acceso en las PVLAN son las mismas que las de las configuraciones de características de seguridad del puerto de acceso que no están en PVLAN. Consulte la documentación de seguridad del puerto de acceso en la Guía de administración de servicios de seguridad.

Ejemplo: Configuración de la seguridad del puerto de acceso en una PVLAN

Requisitos

  • Junos OS versión 18.2R1 o posterior

  • Conmutador EX4300

Descripción general

En la siguiente sección de configuración se muestra:

  • Configuración de una VLAN privada con la VLAN principal (vlan-pri) y sus tres VLAN secundarias: VLAN de comunidad (vlan-hr y ) y vlan-financeVLAN aislada (vlan-iso).

  • Configuración de las interfaces que se utilizan para enviar comunicaciones entre las interfaces en esas VLAN.

  • Configuración de las funciones de seguridad de acceso en las VLAN primarias y secundarias que conforman la PVLAN.

Tabla 5 enumera la configuración de la topología de ejemplo.

Tabla 5: Componentes de la topología para configurar una PVLAN con funciones de seguridad del puerto de acceso
Interfaz Description

ge-0/0/0.0

Interfaz troncal de VLAN principal (vlan1-pri)

ge-0/0/11.0

Usuario 1, Comunidad de RR. HH. (vlan-hr)

ge-0/0/12.0

Usuario 2, Comunidad de RR. HH. (vlan-hr)

ge-0/0/13.0

Usuario 3, Comunidad financiera (vlan-finance)

ge-0/0/14.0

Usuario 4, Comunidad financiera (vlan-finance)

ge-0/0/15.0

Servidor de correo aislado (vlan-iso)

ge-0/0/16.0

Servidor de respaldo, aislado (vlan-iso)

ge-1/0/0.0

Interfaz troncal de VLAN principal (vlan-pri)

Configuración de la seguridad del puerto de acceso en una PVLAN

Procedimiento
Configuración rápida de CLI
Procedimiento paso a paso

Para configurar una VLAN privada (PVLAN) y, a continuación, configurar las funciones de seguridad del puerto de acceso en esa PVLAN:

  1. Configurar la PVLAN: cree la VLAN principal y sus VLAN secundarias y asigne identificadores de VLAN a ellas. Asocie interfaces con las redes VLAN. (Para obtener más información sobre cómo configurar redes VLAN, consulte Configuración de VLAN para conmutadores de la serie EX con compatibilidad con ELS (procedimiento de CLI).)

  2. Configure las funciones de seguridad del puerto de acceso en la VLAN principal y en todas sus VLAN secundarias:

    Nota:

    Cuando configura la inspección de ARP, la guardia de origen IP, la guardia de origen IPv6, la inspección de descubrimiento de vecinos, las opciones de la opción 82 o DHCPv6 de DHCP, a continuación, el esnooping de DHCP y la búsqueda de DHCPv6 se configuran automáticamente.

Resultados

Desde el modo de configuración, ingrese los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Verificación

Verifique que las funciones de seguridad de acceso funcionen como se esperaba
Propósito

Compruebe que las funciones de seguridad del puerto de acceso que configuró en la PVLAN funcionan como se esperaba.

Acción

Utilice los show dhcp-security comandos y la clear dhcp-security CLI para comprobar que las funciones funcionan como se esperaba. Vea los detalles acerca de esos comandos en la Guía de administración de servicios de seguridad.

Creación de una VLAN privada en un solo conmutador con soporte ELS (procedimiento de CLI)

Nota:

Esta tarea usa Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador de la serie EX ejecuta software que no admite ELS, consulte Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Las VLAN privadas no son compatibles con conmutadores QFX5100 y QFX10002 que ejecutan la versión 15.1X53 de Junos OS.

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) le permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), básicamente poniendo una VLAN dentro de una VLAN. Este procedimiento describe cómo crear una PVLAN en un solo conmutador.

Nota:

Debe especificar un ID de VLAN para cada VLAN secundaria incluso si la PVLAN está configurada en un solo conmutador.

No es necesario preconfigurar la VLAN principal. En este tema, se muestra la VLAN principal que se configura como parte de este procedimiento de configuración de PVLAN.

Para obtener una lista de pautas sobre la configuración de PVLAN, consulte Descripción de VLAN privadas.

Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el ID de VLAN para la VLAN principal:
  2. Configure al menos una interfaz dentro de la VLAN principal para que se comunique con todos los subdominios de la PVLAN. Esta interfaz funciona como un puerto promiscuo . Puede ser un puerto troncal o un puerto de acceso.
  3. Configure otra interfaz promiscua de la VLAN principal como un puerto troncal para conectar la PVLAN al enrutador o conmutador externo:
  4. Cree una VLAN aislada seleccionando la isolated opción para private-vlan, y estableciendo un ID de VLAN para la VLAN aislada:
    Nota:

    Solo puede crear una VLAN aislada dentro de una VLAN privada. Establecer el nombre de VLAN para la VLAN aislada es opcional. Es necesario configurar el ID de VLAN.

  5. Para crear una VLAN de comunidad, seleccione la community opción para private-vlan, y establezca un ID de VLAN para esta VLAN de comunidad:
    Nota:

    Para crear VLAN de comunidad adicionales, repita este paso y especifique un nombre diferente para la VLAN de comunidad. Establecer el nombre de VLAN para la VLAN de la comunidad es opcional. Es necesario configurar el ID de VLAN.

  6. Asocie la VLAN aislada con la VLAN principal:
  7. Asocie cada VLAN de comunidad con la VLAN principal:
  8. Si aún no lo ha hecho, configure al menos una interfaz de la VLAN aislada.
  9. Si aún no lo ha hecho, configure al menos una interfaz de la VLAN de la comunidad.
    Nota:

    Repita el mismo paso en otras VLAN de comunidad que desee incluir en la PVLAN.

Creación de una VLAN privada en un solo conmutador QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, colocando esencialmente una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN en un solo conmutador.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal, ya que está configurada como parte de este procedimiento.) No es necesario crear ID (etiquetas) de VLAN para las VLAN secundarias. No perjudica el funcionamiento si etiqueta las VLAN secundarias, pero no se utilizan etiquetas cuando se configuran VLAN secundarias en un solo conmutador.

Tenga en cuenta estas reglas al configurar una PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar una VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .

  • Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el nombre y el ID de VLAN (etiqueta 802.1Q) para la VLAN principal:
  2. Configure la VLAN para que sea privada:
  3. Configure las interfaces de troncalización para la VLAN principal:
  4. Agregue las interfaces de troncalización a la VLAN principal:
  5. Configure las interfaces de acceso para las VLAN de comunidad (secundarias):
  6. Agregue las interfaces de acceso a las VLAN de la comunidad:
  7. Para cada VLAN de comunidad, establezca la VLAN principal:
  8. Configure puertos aislados:

Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de CLI)

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) en los conmutadores serie EX le permite dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. La división de la VLAN principal en VLAN secundarias anida esencialmente una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN en un solo conmutador.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal.) Aunque no se necesitan etiquetas cuando se configura una VLAN secundaria en un solo conmutador, configurar una VLAN secundaria como etiquetada no afecta negativamente a su funcionalidad. Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores de la serie EX.

Tenga en cuenta estas reglas al configurar una PVLAN en un solo conmutador:

  • La VLAN principal debe ser una VLAN etiquetada.

  • No se admite la configuración de una VLAN VoIP en interfaces PVLAN.

Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el ID de VLAN para la VLAN principal:
  2. Establezca las interfaces y los modos de puerto:
  3. Configure los puertos de acceso en la VLAN principal para no reenviar paquetes entre sí:
  4. Para cada VLAN de comunidad, configure las interfaces de acceso:
  5. Para cada VLAN de comunidad, establezca la VLAN principal:

Las VLAN aisladas no se configuran como parte de este proceso. En su lugar, se crean internamente si no-local-switching está habilitada en la VLAN principal y la VLAN aislada tiene interfaces de acceso como miembros.

Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y de comunidad mediante una interfaz de VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Nota:

Solo un conmutador EX8200 o Virtual Chassis EX8200 admiten el uso de una RVI para enrutar tráfico de capa 3 entre VLAN aisladas y de comunidad en un dominio PVLAN.

Creación de una VLAN privada que abarca varios conmutadores de la serie QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, colocando esencialmente una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal, ya que está configurada como parte de este procedimiento.) No es necesario crear ID (etiquetas) de VLAN para las VLAN secundarias. No perjudica el funcionamiento si etiqueta las VLAN secundarias, pero no se utilizan etiquetas cuando se configuran VLAN secundarias en un solo conmutador.

Se aplican las siguientes reglas a la creación de PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar una VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .

  • Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

Si completa los pasos de configuración en el orden que se muestra, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada para abarcar varios conmutadores:

  1. Establezca el nombre y el ID de VLAN (etiqueta 802.1Q) para la VLAN principal:
  2. Configure la VLAN para que sea privada:
  3. Configure las interfaces de troncalización para la VLAN principal:
  4. Agregue las interfaces de troncalización a la VLAN principal:
  5. Configure las interfaces de acceso para las VLAN de comunidad (secundarias):
  6. Agregue las interfaces de acceso a las VLAN de la comunidad:
  7. Para cada VLAN de comunidad, establezca la VLAN principal:
  8. Configure un ID de VLAN aislado para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:
  9. Configure puertos aislados:

Creación de una VLAN privada que abarca varios conmutadores de la serie EX con soporte ELS (procedimiento de CLI)

Nota:

Esta tarea usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS) Si el conmutador ejecuta software que no es compatible con ELS, consulte Creación de una VLAN privada que expanda varios conmutadores de la serie EX (procedimiento de CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Las VLAN privadas no son compatibles con conmutadores QFX5100 y QFX10002 que ejecutan la versión 15.1X53 de Junos OS.

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) le permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), básicamente poniendo una VLAN dentro de una VLAN. Este procedimiento describe cómo configurar una PVLAN para abarcar varios conmutadores.

Para obtener una lista de pautas sobre la configuración de PVLAN, consulte Descripción de VLAN privadas.

Para configurar una PVLAN para abarcar varios conmutadores, realice el siguiente procedimiento en todos los conmutadores que participarán en la PVLAN::

  1. Cree la VLAN principal estableciendo el nombre único de VLAN y especifique una etiqueta 802.1Q para la VLAN:
  2. En el conmutador que se conectará a un enrutador, configure una interfaz promiscua como un puerto troncal para conectar la PVLAN al enrutador:
  3. En todos los conmutadores, configure una interfaz de troncalización como vínculo de interconmuta (ISL) que se utilizará para conectar los conmutadores entre sí:
  4. Cree una VLAN aislada dentro de la VLAN principal seleccionando la isolated opción para private-vlan, y estableciendo un ID de VLAN para la VLAN aislada:
    Nota:

    Solo puede crear una VLAN aislada dentro de una VLAN privada. La VLAN aislada puede contener interfaces de miembro de los varios conmutadores que componen la PVLAN. Establecer el nombre de VLAN para la VLAN aislada es opcional. Es necesario configurar el ID de VLAN.

  5. Cree una VLAN comunitaria dentro de la VLAN principal seleccionando la community opción para private-vlan, y estableciendo un ID de VLAN para esta VLAN de comunidad::
    Nota:

    Para crear VLAN de comunidad adicionales, repita este paso y especifique un nombre diferente para la VLAN de comunidad. Establecer el nombre de VLAN para la VLAN de la comunidad es opcional. Es necesario configurar el ID de VLAN.

  6. Asocie la VLAN aislada con la VLAN principal:
  7. Asocie cada VLAN de comunidad con la VLAN principal:
  8. Si aún no lo ha hecho, configure al menos una interfaz de acceso para que sea miembro de la VLAN aislada.
  9. Si aún no lo ha hecho, configure al menos una interfaz de acceso para que sea miembro de la VLAN de la comunidad.
    Nota:

    Repita este paso para las otras VLAN de comunidad que esté incluyendo en la PVLAN.

Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de CLI)

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) en los conmutadores serie EX permite a un administrador dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. La división de la VLAN principal en VLAN secundarias anida esencialmente una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.

Antes de comenzar, configure nombres para todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal.) Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores de la serie EX.

Se aplican las siguientes reglas a la creación de PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Debe configurar la VLAN principal y el puerto de troncalización PVLAN antes de configurar las VLAN secundarias.

  • No se admite la configuración de una VLAN VoIP en interfaces PVLAN.

  • Si el protocolo de registro de varias VLAN (MVRP) está configurado en el puerto de troncalización PVLAN, la configuración de VLAN secundarias y el puerto de troncalización PVLAN se deben confirmar con la misma operación de confirmación.

Para configurar una VLAN privada para abarcar varios conmutadores:

  1. Configure un nombre y una etiqueta 802.1Q para la VLAN principal:.
  2. Establezca la VLAN principal para que no tenga conmutación local:
  3. Establezca la interfaz troncal de PVLAN que conectará la VLAN principal al conmutador vecino:
  4. Configure un nombre y una etiqueta 802.1Q para una VLAN comunitaria que abarca los conmutadores:
  5. Agregue interfaces de acceso a la VLAN de la comunidad:
  6. Especifique la VLAN principal de la VLAN de comunidad especificada:
  7. Agregue la interfaz aislada a la VLAN principal especificada:
    Nota:

    Para configurar una interfaz aislada, incluyala como uno de los miembros de la VLAN principal, pero no la configure como perteneciente a una de las VLAN de la comunidad.

  8. Establezca la etiqueta 802.1Q de la VLAN aislada entre conmutadores:

    Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q usa un mecanismo de etiquetado interno mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de tramaS VLAN de 4 bytes en el encabezado del paquete.

Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y de comunidad mediante una interfaz de VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz de VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Nota:

Solo un conmutador EX8200 o Virtual Chassis EX8200 admiten el uso de una RVI para enrutar tráfico de capa 3 entre VLAN aisladas y de comunidad en un dominio PVLAN.

Ejemplo: Configuración de una VLAN privada en un solo conmutador compatible con ELS

Nota:

En este ejemplo, se usa Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador EX ejecuta software que no admite ELS, consulte ejemplo: Configurar una VLAN privada en un solo conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Las VLAN privadas no son compatibles con conmutadores QFX5100 y QFX10002 que ejecutan la versión 15.1X53 de Junos OS.

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) le permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), básicamente poniendo una VLAN dentro de una VLAN.

En este ejemplo, se describe cómo crear una PVLAN en un solo conmutador:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador Junos OS

  • Junos OS versión 14.1X53-D10 o posterior para conmutadores serie EX

    Junos OS versión 14.1X53-D15 o posterior para conmutadores serie QFX

Descripción general y topología

Puede aislar grupos de suscriptores para mejorar la seguridad y la eficiencia. En este ejemplo de configuración se usa una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y tres VLAN secundarias (una VLAN aislada y dos VLAN de comunidad).

Tabla 6 enumera las interfaces de la topología usada en el ejemplo.

Tabla 6: Interfaces de la topología para configurar una PVLAN
Interfaz Description

ge-0/0/0

ge-1/0/0

Puertos de miembros promiscuos

ge-0/0/11,ge-0/0/12

Puertos miembros de VLAN de la comunidad de RR. HH.

ge-0/0/13,ge-0/0/14

Puertos miembros de VLAN de la comunidad financiera

ge-0/0/15,ge-0/0/16

Puertos miembros aislados

Tabla 7 enumera los identificadores de VLAN de la topología utilizada en el ejemplo.

Tabla 7: Identificadores de VLAN en la topología para configurar una PVLAN
VLAN ID Description

100

VLAN principal

200

VLAN de la comunidad de RR. HH.

300

VLAN de comunidad financiera

400

VLAN aislada

Figura 15 muestra la topología de este ejemplo.

Figura 15: Topología de una VLAN privada en un solo conmutador de la serie EXTopología de una VLAN privada en un solo conmutador de la serie EX

Configuración

Puede usar una VLAN existente como base para su PVLAN privada y crear subdominios en ella. En este ejemplo, se crea una VLAN principal (con el nombre vlan-priVLAN) como parte del procedimiento.

Para configurar una PVLAN, realice estas tareas:

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la PVLAN:

  1. Cree la VLAN principal (en este ejemplo, el nombre es vlan-pri) de la VLAN privada:

  2. Cree una VLAN aislada y asígnele un ID de VLAN:

  3. Cree la VLAN de la comunidad de RR. HH. y asígnele un ID de VLAN:

  4. Cree la VLAN de comunidad financiera y asigne un ID de VLAN:

  5. Asocie las VLAN secundarias con la VLAN principal:

  6. Establezca las interfaces en los modos de interfaz adecuados:

  7. Configure una interfaz troncal promiscua de la VLAN principal. La VLAN principal utiliza esta interfaz para comunicarse con las VLAN secundarias.

  8. Configure otra interfaz troncal (también es una interfaz promiscua) de la VLAN principal, conectando la PVLAN al enrutador.

Ejemplo: Configuración de una VLAN privada en un solo conmutador serie QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.

En este ejemplo, se describe cómo crear una PVLAN en un solo conmutador:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo QFX3500

  • Junos OS versión 12.1 o posterior para la serie QFX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RR. HH. y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y el otro para el servidor de copia de seguridad.

Tabla 8 enumera la configuración de la topología de ejemplo.

Tabla 8: Componentes de la topología para configurar una PVLAN
Interfaz Description

ge-0/0/0.0

Interfaz troncal de VLAN principal (pvlan100)

ge-0/0/11.0

Usuario 1, Comunidad de RR. HH. (hr-comm)

ge-0/0/12.0

Usuario 2, Comunidad de RR. HH. (hr-comm)

ge-0/0/13.0

Usuario 3, Comunidad financiera (finance-comm)

ge-0/0/14.0

Usuario 4, Comunidad financiera (finance-comm)

ge-0/0/15.0

Servidor de correo aislado (isolated)

ge-0/0/16.0

Servidor de respaldo, aislado (isolated)

ge-1/0/0.0

Interfaz troncal de VLAN principal (pvlan100)

Configuración

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la PVLAN:

  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces y los modos de puerto:

  3. Establezca la VLAN principal para que no tenga conmutación local:

    Nota:

    La VLAN principal debe ser una VLAN etiquetada.

  4. Agregue las interfaces de troncalización a la VLAN principal:

  5. Para cada VLAN secundaria, configure las interfaces de acceso:

    Nota:

    Recomendamos que las VLAN secundarias sean VLAN sin etiquetar. No perjudica el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.

  6. Para cada VLAN de comunidad, establezca la VLAN principal:

  7. Configure las interfaces aisladas en la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que se crearon las VLAN privadas y las VLAN secundarias

Propósito

Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador.

Acción

Utilice el show vlans comando:

Significado

El resultado muestra que la VLAN principal se creó e identifica las interfaces y las VLAN secundarias asociadas con ella.

Ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) en los conmutadores de la serie EX permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN.

En este ejemplo, se describe cómo crear una PVLAN en un solo conmutador de la serie EX:

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Conmutador de la serie EX

  • Junos OS versión 9.3 o posterior para conmutadores serie EX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de redes VLAN para conmutadores de la serie EX.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra una topología simple para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RR. HH. y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y el otro para el servidor de copia de seguridad.

Tabla 9 enumera la configuración de la topología de ejemplo.

Tabla 9: Componentes de la topología para configurar una PVLAN
Interfaz Description

ge-0/0/0.0

Interfaz troncal de VLAN principal (vlan1)

ge-0/0/11.0

Usuario 1, Comunidad de RR. HH. (hr-comm)

ge-0/0/12.0

Usuario 2, Comunidad de RR. HH. (hr-comm)

ge-0/0/13.0

Usuario 3, Comunidad financiera (finance-comm)

ge-0/0/14.0

Usuario 4, Comunidad financiera (finance-comm)

ge-0/0/15.0

Servidor de correo aislado (isolated)

ge-0/0/16.0

Servidor de respaldo, aislado (isolated)

ge-1/0/0.0

Interfaz troncal de VLAN principal ( pvlan)

Figura 16 muestra la topología de este ejemplo.

Figura 16: Topología de una VLAN privada en un solo conmutador de la serie EXTopología de una VLAN privada en un solo conmutador de la serie EX

Configuración

Para configurar una PVLAN, realice estas tareas:

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la PVLAN:

  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces y los modos de puerto:

  3. Establezca la VLAN principal para que no tenga conmutación local:

    Nota:

    La VLAN principal debe ser una VLAN etiquetada.

  4. Agregue las interfaces de troncalización a la VLAN principal:

  5. Para cada VLAN secundaria, configure los IDENTIFICADORes de VLAN y las interfaces de acceso:

    Nota:

    Recomendamos que las VLAN secundarias sean VLAN sin etiquetar. No perjudica el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.

  6. Para cada VLAN de comunidad, establezca la VLAN principal:

  7. Agregue cada interfaz aislada a la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que se crearon las VLAN privadas y las VLAN secundarias

Propósito

Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador.

Acción

Utilice el show vlans comando:

Significado

El resultado muestra que la VLAN principal se creó e identifica las interfaces y las VLAN secundarias asociadas con ella.

Ejemplo: Configurar una VLAN privada que abarca varios conmutadores QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.

En este ejemplo se describe cómo crear una PVLAN que abarca varios conmutadores. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos QFX3500

  • Junos OS versión 12.1 o posterior para la serie QFX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra cómo crear una PVLAN que abarca varios dispositivos QFX, con una VLAN principal que contiene dos VLAN de comunidad (una para HR y otra para finanzas) y una VLAN aislada interswitch (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que está configurado en el conmutador de distribución.

Nota:

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos en el mismo dominio. Consulte Descripción de VLAN privadas.

Figura 17 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) con el enrutador.

Figura 17: Topología PVLAN que abarca varios conmutadoresTopología PVLAN que abarca varios conmutadores

Tabla 10, Tabla 11y Tabla 12 enumerar la configuración de la topología de ejemplo.

Tabla 10: Componentes del conmutador 1 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 1 al conmutador 3

ge-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces aisladas en VLAN principal

ge-0/0/15.0, servidor de correo

ge-0/0/16.0, servidor de respaldo

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 11: Componentes del conmutador 2 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 2 al conmutador 3

ge-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaz aislada en VLAN principal

ge-0/0/17.0, servidor CVS

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 12: Componentes del conmutador 3 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 3 al conmutador 1

ge-0/0/1.0, conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, conecta la PVLAN al enrutador

Nota:

Debe configurar el puerto de troncalización que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo.

Topología

Configuración de una PVLAN en el conmutador 1

Cuando se configura una PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN que abarca varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:

Procedimiento

Procedimiento paso a paso
  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces de troncalización PVLAN para conectar esta VLAN a través de conmutadores vecinos:

  3. Establezca que la VLAN principal sea privada y no tenga conmutación local:

  4. Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:

  5. Configure las interfaces de acceso para la finance-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :

  7. Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.

  8. Configure las interfaces de acceso para la hr-comm VLAN:

  9. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  10. Establezca el ID aislado del interswitch para crear un dominio aislado entre interswitch que se extiende por los conmutadores:

  11. Configure las interfaces aisladas en la VLAN principal:

    Nota:

    Cuando configure un puerto aislado, incluyrlo como miembro de la VLAN principal, pero no lo configure como miembro de ninguna VLAN de comunidad.

Resultados

Compruebe los resultados de la configuración:

Configurar una PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto para la interfaz en el dominio aislado del interswitch. Para el conmutador 2, la interfaz es ge-0/0/17.0.

Procedimiento

Procedimiento paso a paso

Para configurar una PVLAN en el conmutador 2 que abarcará varios conmutadores:

  1. Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:

  2. Configure las interfaces de acceso para la finance-comm VLAN:

  3. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:

  4. Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.

  5. Configure las interfaces de acceso para la hr-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  7. Establezca el ID de VLAN para la VLAN principal:

  8. Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  9. Establezca que la VLAN principal sea privada y no tenga conmutación local:

  10. Establezca el ID aislado del interswitch para crear un dominio aislado entre interswitch que se extiende por los conmutadores:

    Nota:

    Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

  11. Configure la interfaz aislada en la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 para que funcione como el conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:

Nota:

La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.

Procedimiento

Procedimiento paso a paso

Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:

  2. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:

  3. Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores:

  4. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  5. Establezca el ID de VLAN para la VLAN principal:

  6. Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  7. Establezca que la VLAN principal sea privada y no tenga conmutación local:

  8. Establezca el ID aislado del interswitch para crear un dominio aislado entre interswitch que se extiende por los conmutadores:

    Nota:

    Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1

Propósito

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los campos de pvlan troncal e aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador.

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que una PVLAN se creó en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. La presencia de los campos de pvlan troncal e aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador. Cuando se compara esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3

Propósito

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye ninguna VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que la salida no incluye interfaces de acceso dentro de la PVLAN. Muestra solo las pvlan-trunk interfaces que se conectan pvlan100 del conmutador 3 a los otros conmutadores (conmutadores 1 y 2) en la misma PVLAN.

Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores con una interfaz IRB

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores. En este ejemplo se describe cómo crear una PVLAN que abarca varios conmutadores. El ejemplo crea una PVLAN principal que contiene varias VLAN secundarias.

Al igual que las VLAN regulares, las PVLAN se aíslan en la capa 2 y normalmente requieren que se utilice un dispositivo de capa 3 si se desea enrutar el tráfico. A partir de Junos OS 14.1X53-D30, puede usar una interfaz de enrutamiento y puentes integrados (IRB) para enrutar el tráfico de capa 3 entre dispositivos conectados a una PVLAN. El uso de una interfaz IRB de esta manera también puede permitir que los dispositivos de la PVLAN se comuniquen en la capa 3 con dispositivos en otras comunidades o VLAN aisladas o con dispositivos fuera de la PVLAN. En este ejemplo también se muestra cómo incluir una interfaz IRB en una configuración PVLAN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores serie QFX o EX4600

  • Versión de Junos OS con PVLAN para la serie QFX o EX4600

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra cómo crear una PVLAN que se extiende por varios conmutadores, con una VLAN principal que contiene dos VLAN de comunidad (una para HR y otra para finanzas) y una VLAN aislada interswitch (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores: dos conmutadores de acceso y un conmutador de distribución. Los dispositivos de la PVLAN se conectan en la capa 3 entre sí y con dispositivos fuera de la PVLAN mediante una interfaz IRB configurada en el conmutador de distribución.

Nota:

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos en el mismo dominio. Consulte Descripción de VLAN privadas.

Figura 18 muestra la topología de este ejemplo.

Figura 18: Topología PVLAN que abarca varios conmutadores con una interfaz IRBTopología PVLAN que abarca varios conmutadores con una interfaz IRB

Tabla 13, Tabla 14y Tabla 15 enumerar la configuración de la topología de ejemplo.

Tabla 13: Componentes del conmutador 1 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolated-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces de vínculo entre conmutadores

xe-0/0/0.0, conecta el conmutador 1 al conmutador 3

xe-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces aisladas en VLAN principal

xe-0/0/15.0, servidor de correo

xe-0/0/16.0, servidor de respaldo

Interfaces en VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces en VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabla 14: Componentes del conmutador 2 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolated-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces de vínculo entre conmutadores

xe-0/0/0.0, conecta el conmutador 2 al conmutador 3

xe-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaz aislada en VLAN principal

xe-0/0/17.0, servidor CVS

Interfaces en VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces en VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabla 15: Componentes del conmutador 3 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolated-vlan-id, etiqueta 50finance-comm, etiqueta 300hr-commetiqueta 400

Interfaces de vínculo entre conmutadores

xe-0/0/0.0, conecta el conmutador 3 al conmutador 1.

xe-0/0/1.0, conecta el conmutador 3 al conmutador 2.

Puerto promiscuo

xe-0/0/2, conecta la PVLAN a otra red.

Nota:

Debe configurar el puerto de troncalización que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo.

Interfaz IRB

xe-0/0/0

xe-0/0/1

Configure ARP de proxy sin restricciones en la interfaz IRB para permitir que se produzca la resolución ARP, de modo que los dispositivos que usan IPv4 puedan comunicarse en la capa 3. Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP.

Topología

Descripción general de la configuración

Al configurar una PVLAN en varios conmutadores, se aplican las siguientes reglas:

  • La VLAN principal debe ser una VLAN etiquetada.

  • La VLAN principal es la única VLAN que puede ser miembro de una interfaz de vínculo entre conmutadores.

Al configurar una interfaz IRB en una PVLAN, se aplican estas reglas:

  • Solo puede crear una interfaz IRB en una PVLAN, independientemente de cuántos conmutadores participen en la PVLAN.

  • La interfaz IRB debe ser miembro de la VLAN principal en la PVLAN.

  • Cada dispositivo host que desee conectar en la capa 3 debe usar una dirección IP del IRB como dirección de puerta de enlace predeterminada.

Configuración de una PVLAN en el conmutador 1

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN que abarca varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:

Procedimiento

Procedimiento paso a paso
  1. Configure la interfaz xe-0/0/0 para que sea una troncalización:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo interswitch que lleve todas las VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea una troncalización:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo de interswitch que lleve todas las VLAN:

  6. Configure pvlan100 para ser miembro de la interfaz xe-0/0/5:

  7. Cree la VLAN comunitaria para la organización financiera:

  8. Cree la VLAN comunitaria para la organización de RR. HH.

  9. Cree la VLAN aislada para los servidores de correo y copia de seguridad:

  10. Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:

  11. Configure la VLAN 300 (la VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/11:

  12. Configure la VLAN 300 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/12:

  13. Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/13:

  14. Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/14:

  15. Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/15:

  16. Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/16:

Resultados

Compruebe los resultados de la configuración:

Configurar una PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto para la VLAN aislada. Para el conmutador 2, la interfaz VLAN aislada es xe-0/0/17.0 .

Procedimiento

Procedimiento paso a paso
  1. Configure la interfaz xe-0/0/0 para que sea una troncalización:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo interswitch que lleve todas las VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea una troncalización:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo de interswitch que lleve todas las VLAN:

  6. Configure pvlan100 para ser miembro de la interfaz xe-0/0/5:

  7. Cree la VLAN comunitaria para la organización financiera:

  8. Cree la VLAN comunitaria para la organización de RR. HH.

  9. Cree la VLAN aislada para los servidores de correo y copia de seguridad:

  10. Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:

  11. Configure la VLAN 300 (la VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/11:

  12. Configure la VLAN 300 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/12:

  13. Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/13:

  14. Configure la VLAN 400 (una VLAN comunitaria) para que sea miembro de la interfaz xe-0/0/14:

  15. Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/17:

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 para que funcione como el conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:

Nota:

La interfaz xe-0/0/2.0 es un puerto troncal que conecta la PVLAN a otra red.

Procedimiento

Procedimiento paso a paso

Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:

  1. Configure la interfaz xe-0/0/0 para que sea una troncalización:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo interswitch que lleve todas las VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea una troncalización:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo de interswitch que lleve todas las VLAN:

  6. Configure pvlan100 para ser miembro de la interfaz xe-0/0/5:

  7. Configure la interfaz xe-0/0/2 (la interfaz promiscua) para que sea una troncalización:

  8. Configure pvlan100 para ser miembro de la interfaz xe-0/0/2:

  9. Cree la VLAN principal:

  10. Cree la interfaz irb IRB y asigne una dirección en la subred que utilizan los dispositivos conectados a los conmutadores 1 y 2:

    Nota:

    Cada dispositivo host que desee conectar en la capa 3 debe estar en la misma subred que la interfaz IRB y usar la dirección IP de la interfaz IRB como dirección de puerta de enlace predeterminada.

  11. Complete la configuración de interfaz IRB vinculando la interfaz a la VLAN pvlan100principal:

  12. Configure el ARP de proxy sin restricciones para cada unidad de la interfaz IRB de modo que la resolución ARP funcione para el tráfico IPv4:

    Nota:

    Dado que los dispositivos de la comunidad y las VLAN aisladas se aíslan en la capa 2, este paso es necesario para permitir que se produzca la resolución ARP entre las VLAN, de modo que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. (Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP.)

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1

Propósito

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los campos troncales y aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador.

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que una PVLAN se creó en el conmutador 2 y muestra que incluye una VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. La presencia de los campos troncales y aislados entre conmutadores indica que esta PVLAN abarca más de un conmutador. Cuando se compara esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3

Propósito

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye ninguna VLAN aislada, dos VLAN de comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que la salida no incluye interfaces de acceso dentro de la PVLAN. Muestra solo las interfaces de troncalización que se conectan pvlan100 desde el conmutador 3 a los otros conmutadores (conmutadores 1 y 2) en la misma PVLAN.

Ejemplo: Configurar una VLAN privada que abarca varios conmutadores de la serie EX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocida e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) en los conmutadores de la serie EX permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, básicamente poniendo una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.

En este ejemplo se describe cómo crear una PVLAN que abarca varios conmutadores de la serie EX. En el ejemplo, se crea una PVLAN principal que contiene varias VLAN secundarias:

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores de la serie EX

  • Junos OS versión 10.4 o posterior para conmutadores serie EX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de redes VLAN para conmutadores de la serie EX.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que tenga que aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o particionar el dominio de difusión. En este ejemplo de configuración, se muestra cómo crear una PVLAN que se extiende por varios conmutadores de la serie EX, con una VLAN principal que contiene dos VLAN de comunidad (una para HR y otra para finanzas) y una VLAN aislada entre interswitch (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que está configurado en el conmutador de distribución.

Nota:

Los puertos aislados del conmutador 1 y del conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de redes VLAN privadas.

Figura 19 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) con el enrutador.

Figura 19: Topología PVLAN que abarca varios conmutadoresTopología PVLAN que abarca varios conmutadores

Tabla 16, Tabla 17y Tabla 18 enumerar la configuración de la topología de ejemplo.

Tabla 16: Componentes del conmutador 1 en la topología para configurar una PVLAN que abarca varios conmutadores de la serie EX
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, Conecta el conmutador 1 al conmutador 3

ge-0/0/5.0, Conecta el conmutador 1 al conmutador 2

Interfaces en VLAN isolation

ge-0/0/15.0, servidor de correo

ge-0/0/16.0, servidor de respaldo

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 17: Componentes del conmutador 2 en la topología para configurar una PVLAN que abarca varios conmutadores de la serie EX
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 2 al conmutador 3

ge-0/0/5.0, Conecta el conmutador 2 al conmutador 1

Interfaces en VLAN isolation

ge-0/0/17.0,servidor CVS

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 18: Componentes del conmutador 3 en la topología para configurar una PVLAN que abarca varios conmutadores de la serie EX
Propiedad Configuración

Nombres de VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, Conecta el conmutador 3 al conmutador 1

ge-0/0/1.0, conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, Conecta la PVLAN al enrutador

Nota:

Debe configurar el puerto de troncalización que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo.

Topología

Configuración de una PVLAN en el conmutador 1

Configuración rápida de CLI

Cuando se configura una PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Recomendamos que configure primero la VLAN principal.

  • No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

  • Las VLAN secundarias y el puerto de troncalización PVLAN se deben confirmar en una sola confirmación si MVRP está configurado en el puerto de troncalización PVLAN.

Para crear y configurar rápidamente una PVLAN que abarca varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:

Procedimiento

Procedimiento paso a paso

Complete los pasos de configuración a continuación en el orden que se muestra; también, complete todos los pasos antes de confirmar la configuración en una sola confirmación. Esta es la forma más fácil de evitar los mensajes de error desencadenados al infringir cualquiera de estas tres reglas:

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto de troncalización PVLAN.

  • Las vlan secundarias y una troncalización PVLAN se deben confirmar en una única confirmación.

Para configurar una PVLAN en el conmutador 1 que abarcará varios conmutadores:

  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  3. Establezca la VLAN principal para que no tenga conmutación local:

  4. Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:

  5. Configure las interfaces de acceso para la finance-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :

  7. Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.

  8. Configure las interfaces de acceso para la hr-comm VLAN:

  9. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :

  10. Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:

    Nota:

    Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configurar una PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la configuración del conmutador 1, excepto para la interfaz en el dominio aislado entre conmutadores. Para el conmutador 2, la interfaz es ge-0/0/17.0.

Procedimiento

Procedimiento paso a paso

Para configurar una PVLAN en el conmutador 2 que abarcará varios conmutadores:

  1. Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:

  2. Configure las interfaces de acceso para la finance-comm VLAN:

  3. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :

  4. Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores.

  5. Configure las interfaces de acceso para la hr-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :

  7. Establezca el ID de VLAN para la VLAN principal:

  8. Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  9. Establezca la VLAN principal para que no tenga conmutación local:

  10. Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:

    Nota:

    Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 para que funcione como el conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:

Nota:

La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.

Procedimiento

Procedimiento paso a paso

Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para la VLAN de comunidad finance-comm que abarca los conmutadores:

  2. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:

  3. Establezca el ID de VLAN para la VLAN de comunidad de RR. HH. que abarca los conmutadores:

  4. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  5. Establezca el ID de VLAN para la VLAN principal:

  6. Establezca las interfaces troncales PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  7. Establezca la VLAN principal para que no tenga conmutación local:

  8. Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que se extiende por los conmutadores:

    Nota:

    Para configurar un puerto aislado, includlo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 1

Propósito

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que esta PVLAN abarca más de un conmutador.

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 2

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada interswitch. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que se trata de PVLAN que abarca más de un conmutador. Cuando se compara esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).

Verificar que las VLAN primarias y las VLAN secundarias se crearon en el conmutador 3

Propósito

Compruebe que la configuración de PVLAN que abarca varios conmutadores funciona correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada entre conmutadores. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que la salida no incluye interfaces de acceso dentro de la PVLAN. Muestra solo las pvlan-trunk interfaces que se conectan pvlan100 del conmutador 3 a los otros conmutadores (conmutadores 1 y 2) en la misma PVLAN.

Ejemplo: Configuración de PVLAN con puertos troncales VLAN secundarios y puertos de acceso promiscuo en un conmutador de la serie QFX

En este ejemplo, se muestra cómo configurar puertos de troncalización de VLAN secundarios y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos troncales de VLAN secundarios transportan tráfico de VLAN secundario.

Nota:

En este ejemplo, se usa Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico de solo una VLAN secundaria. Sin embargo, un puerto troncal de VLAN secundario puede transportar tráfico para varias VLAN secundarias, siempre que cada VLAN secundaria sea miembro de una VLAN privada (principal) diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forme parte de la VLAN pvlan100 principal y también transportar tráfico para una VLAN aislada que forme parte de la VLAN principal pvlan400.

Para configurar un puerto de troncalización para transportar tráfico de VLAN secundario, utilice las instrucciones aisladas y interface , como se muestra en los pasos 12 , y 13 de la configuración de ejemplo para el conmutador 1.

Nota:

Cuando el tráfico salida de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal de la que el puerto secundario es miembro. Si desea que el tráfico que salida de un puerto de troncalización VLAN secundario conserve su etiqueta VLAN secundaria, use la instrucción extend-secondary-vlan-id .

Un puerto de acceso promiscuo transporta tráfico sin etiquetar y puede ser miembro de una sola VLAN principal. El tráfico que penetra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que el puerto de acceso promiscuo es miembro. Este tráfico lleva las etiquetas VLAN secundarias adecuadas cuando salida de los puertos VLAN secundarios, si el puerto VLAN secundario es un puerto de troncalización.

Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscuous , como se muestra en el paso 12 de la configuración de ejemplo para el conmutador 2.

Si el tráfico de entrada en un puerto VLAN secundario y la salida en un puerto de acceso promiscuo, el tráfico no se etiqueta en la salida. Si el tráfico etiquetado penetra en un puerto de acceso promiscuo, el tráfico se descarta.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos QFX

  • Junos OS versión 12.2 o posterior para la serie QFX

Descripción general y topología

Figura 20 muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas principales y secundarias, y también incluye dos puertos troncales VLAN secundarios configurados para transportar VLAN secundarias que son miembros de las VLAN principales pvlan100 y pvlan400.

El conmutador 2 incluye las mismas VLAN privadas. La figura muestra xe-0/0/0 en el conmutador 2 configurado con puertos de acceso promiscuos o puertos de troncalización promiscuos. La configuración de ejemplo incluida aquí configura este puerto como un puerto de acceso promiscuo.

La figura también muestra cómo fluye el tráfico después de la entrada en los puertos de troncalización VLAN secundarios en el conmutador 1.

Figura 20: Topología PVLAN con puertos troncales VLAN secundarios y puerto de acceso promiscuoTopología PVLAN con puertos troncales VLAN secundarios y puerto de acceso promiscuo

Tabla 19 y Tabla 20 enumerar la configuración de la topología de ejemplo en ambos conmutadores.

Tabla 19: Componentes de la topología para configurar una troncalización de VLAN secundaria en el conmutador 1
Componente Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN de la comunidad, miembro de pvlan100

comm600, ID 600

Comunidad VLAN, miembro de pvlan400

aislamiento-vlan-id 200

ID de VLAN para VLAN aislada, miembro de pvlan100

aislamiento–vlan-id 500

ID de VLAN para VLAN aislada, miembro de pvlan400

xe-0/0/0.0

Puerto troncal de VLAN secundario para VLAN primarias pvlan100 y pvlan400

xe-0/0/1.0

Puerto troncal PVLAN para VLAN primarias pvlan100 y pvlan400

xe-0/0/2.0

Puerto de acceso aislado para pvlan100

xe-0/0/3.0

Puerto de acceso comunitario para comm300

xe-0/0/5.0

Puerto de acceso aislado para pvlan400

xe-0/0/6.0

Puerto de troncalización comunitaria para comm600

Tabla 20: Componentes de la topología para configurar una troncalización de VLAN secundaria en el conmutador 2
Componente Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN de la comunidad, miembro de pvlan100

comm600, ID 600

Comunidad VLAN, miembro de pvlan400

aislamiento-vlan-id 200

ID de VLAN para VLAN aislada, miembro de pvlan100

aislamiento–vlan-id 500

ID de VLAN para VLAN aislada, miembro de pvlan400

xe-0/0/0.0

Puerto de acceso promiscuo para VLAN principales pvlan100

xe-0/0/1.0

Puerto troncal PVLAN para VLAN primarias pvlan100 y pvlan400

xe-0/0/2.0

Puerto troncal secundario para VLAN aislada, miembro de pvlan100

xe-0/0/3.0

Puerto de acceso comunitario para comm300

xe-0/0/5.0

Puerto de acceso aislado para pvlan400

xe-0/0/6.0

Puerto de acceso comunitario para comm600

Configurar las PVLAN en el conmutador 1

Configuración rápida de CLI

Para crear y configurar rápidamente las PVLAN en el conmutador 1, copie los siguientes comandos y péguelos en una ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar las VLAN privadas y los puertos de troncalización VLAN secundarios:

  1. Configure las interfaces y los modos de puerto:

  2. Cree las VLAN principales:

    Nota:

    Las VLAN principales siempre deben estar etiquetadas con VLAN, incluso si existen en un solo dispositivo.

  3. Configure las VLAN principales para que sean privadas:

  4. Configure el puerto de troncalización PVLAN para transportar el tráfico VLAN privado entre los conmutadores:

  5. Cree VLAN secundaria comm300 con VLAN ID 300:

  6. Configure la VLAN principal para comm300:

  7. Configure la interfaz para comm300:

  8. Cree VLAN secundaria comm600 con ID de VLAN 600:

  9. Configure la VLAN principal para comm600:

  10. Configure la interfaz para comm600:

  11. Configure las VLAN aisladas entre conmutadores:

    Nota:

    Cuando configure un puerto de troncalización VLAN secundario para transportar una VLAN aislada, también debe configurar un aislamiento-vlan-id. Esto es cierto incluso si la VLAN aislada solo existe en un conmutador.

  12. Habilite el puerto de troncalización xe-0/0/0 para transportar VLAN secundarias para las VLAN principales:

  13. Configure el puerto de troncalización xe-0/0/0 para transportar comm600 (miembro de pvlan400):

    Nota:

    No es necesario configurar explícitamente xe-0/0/0 para transportar el tráfico de VLAN aislado (etiquetas 200 y 500), ya que todos los puertos aislados de pvlan100 y pvlan400 (incluidos xe-0/0/0.0) se incluyen automáticamente en las VLAN aisladas creadas al configurar isolation-vlan-id 200 y isolation-vlan-id 500.

  14. Configure xe-0/0/2 y xe-0/0/6 para que se aísle:

Resultados

Compruebe los resultados de la configuración en el conmutador 1:

Configurar las PVLAN en el conmutador 2

La configuración del conmutador 2 es casi idéntica a la configuración del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo o un puerto de acceso promiscuo, como Figura 20 se muestra. En la siguiente configuración, xe-0/0/0 se configura como un puerto de acceso promiscuo para VLAN principal pvlan100.

Si el tráfico de entrada en un puerto habilitado para VLAN y la salida en un puerto de acceso promiscuo, las etiquetas VLAN se pierden en la salida y el tráfico se desetiqueta en ese punto. Por ejemplo, el tráfico de entrada comm600 en el puerto troncal de VLAN secundario configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 a medida que se reenvía a través de la VLAN secundaria. Cuando salida de xe-0/0/0.0 en el conmutador 2, se desa etiquetará si configura xe-0/0/0.0 como un puerto de acceso promiscuo como se muestra en este ejemplo. Si, en su lugar, configura xe-0/0/0.0 como un puerto de troncalización promiscuo (troncalización en modo puerto), el tráfico de comm600 lleva su etiqueta VLAN principal (400) cuando salida.

Configuración rápida de CLI

Para crear y configurar rápidamente las PVLAN en el conmutador 2, copie los siguientes comandos y péguelos en una ventana terminal de conmutación:

Procedimiento

Procedimiento paso a paso

Para configurar las VLAN privadas y los puertos de troncalización VLAN secundarios:

  1. Configure las interfaces y los modos de puerto:

  2. Cree las VLAN principales:

  3. Configure las VLAN principales para que sean privadas:

  4. Configure el puerto de troncalización PVLAN para transportar el tráfico VLAN privado entre los conmutadores:

  5. Cree VLAN secundaria comm300 con VLAN ID 300:

  6. Configure la VLAN principal para comm300:

  7. Configure la interfaz para comm300:

  8. Cree VLAN secundaria comm600 con ID de VLAN 600:

  9. Configure la VLAN principal para comm600:

  10. Configure la interfaz para comm600:

  11. Configure las VLAN aisladas entre conmutadores:

  12. Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:

    Nota:

    Un puerto de acceso promiscuo puede ser miembro de una sola VLAN principal.

  13. Configure xe-0/0/2 y xe-0/0/6 para que se aísle:

Resultados

Compruebe los resultados de la configuración en el conmutador 2:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que se crearon las VLAN privadas y las VLAN secundarias

Propósito

Compruebe que las VLAN principales y VLAN secundarias se crearon correctamente en el conmutador 1.

Acción

Utilice el show vlans comando:

Significado

El resultado muestra que las VLAN privadas se crearon e identifica las interfaces y VLAN secundarias asociadas con ellas.

Verificar las entradas de la tabla de conmutación Ethernet

Propósito

Compruebe que las entradas de la tabla de conmutación Ethernet se crearon para VLAN pvlan100 principal.

Acción

Muestra las entradas de la tabla de conmutación Ethernet para pvlan100.

Verificar que una VLAN privada funcione en un conmutador

Propósito

Después de crear y configurar VLAN privadas (PVLAN), verifique que estén configuradas correctamente.

Acción

  1. Para determinar si creó correctamente las configuraciones de VLAN principal y secundaria:

    • Para una PVLAN en un solo conmutador, utilice el show configuration vlans comando:

    • Para una PVLAN que abarca varios conmutadores, utilice el show vlans extensive comando:

  2. Utilice el comando para ver la show vlans extensive información de VLAN y el estado de los vínculos para una PVLAN en un solo conmutador o para una PVLAN que abarca varios conmutadores.

    • Para una PVLAN en un solo conmutador:

    • Para una PVLAN que abarca varios conmutadores:

  3. Utilice el show ethernet-switching table comando para ver los registros para el aprendizaje de MAC en las VLAN:

Nota:

Si configuró una PVLAN que abarca varios conmutadores, puede usar el mismo comando en todos los conmutadores para comprobar los registros para el aprendizaje de MAC en esos conmutadores.

Significado

En las pantallas de salida para una PVLAN en un solo conmutador, puede ver que la VLAN principal contiene dos dominios de comunidad (community1 y community2), dos puertos aislados y dos puertos de troncalización. La PVLAN en un solo conmutador tiene una sola etiqueta (1000), que es para la VLAN principal.

La PVLAN que abarca varios conmutadores contiene varias etiquetas:

  • El dominio de COM1 la comunidad se identifica con la etiqueta 100.

  • El dominio de community2 la comunidad se identifica con la etiqueta 20.

  • El dominio aislado entre interswitch se identifica con la etiqueta 50.

  • La VLAN primary principal se identifica con la etiqueta 10.

Además, para la PVLAN que abarca varios conmutadores, las interfaces de troncalización se identifican como pvlan-trunk.

Solución de problemas de VLAN privadas en conmutadores QFX

Utilice la siguiente información para solucionar problemas de una configuración de VLAN privada.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • La ing IGMP no se admite con VLAN privadas.

  • Las interfaces VLAN enrutadas no se admiten en VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.

  • Si desea cambiar una VLAN principal a una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal a una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria a una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, luego, cambiar la VLAN normal para que sea una VLAN principal.

Reenvío con VLAN privadas

Problema

Descripción
  • Cuando se recibe tráfico con etiqueta de VLAN de comunidad o VLAN aislada en un puerto de troncalización PVLAN, las direcciones MAC se aprenden desde la VLAN principal. Esto significa que la salida del comando show ethernet-switching table muestra que las direcciones MAC se aprenden desde la VLAN principal y se replican en VLAN secundarias. Este comportamiento no tiene ningún efecto en las decisiones de reenvío.

  • Si se recibe un paquete con una etiqueta VLAN secundaria en un puerto promiscuo, se acepta y se reenvía.

  • Si se recibe un paquete en un puerto de troncalización PVLAN y cumple ambas condiciones enumeradas a continuación, se pierde.

    • El paquete tiene una etiqueta VLAN comunitaria.

    • El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN aislada.

  • Si se recibe un paquete en un puerto de troncalización PVLAN y cumple ambas condiciones enumeradas a continuación, se pierde.

    • El paquete tiene una etiqueta VLAN aislada.

    • El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN de la comunidad.

  • Si un paquete con una etiqueta VLAN principal recibe un puerto VLAN secundario (aislado o comunitario), el puerto secundario reenvía el paquete.

  • Si configura una VLAN de comunidad en un dispositivo y configura otra VLAN de comunidad en un segundo dispositivo y ambas VLAN de comunidad usan el mismo ID de VLAN, el tráfico de una de las VLAN se puede reenviar a la otra VLAN. Por ejemplo, suponga la siguiente configuración:

    • Comm1 de VLAN de comunidad en el conmutador 1 tiene ID de VLAN 50 y es miembro de VLAN principal pvlan100.

    • Community VLAN comm2 en el conmutador 2 también tiene VLAN ID 50 y es miembro de VLAN principal pvlan200.

    • VLAN principal pvlan100 existe en ambos conmutadores.

    Si el tráfico de comm1 se envía del conmutador 1 al conmutador 2, se enviará a los puertos que participan en comm2. (El tráfico también se reenviará a los puertos en comm1, como es de esperar.)

Solución

Estos son comportamientos esperados.

Filtros de firewall de salida con VLAN privadas

Problema

Descripción

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico salida con la etiqueta VLAN principal o la etiqueta VLAN aislada, como se muestra a continuación:

  • Tráfico reenviado desde un puerto troncal de VLAN secundario a un puerto promiscuo (troncalización o acceso)

  • Tráfico reenviado desde un puerto de troncalización VLAN secundario que transporta una VLAN aislada a un puerto de troncalización PVLAN.

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal de VLAN secundario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de VLAN secundario

  • Tráfico reenviado desde un puerto comunitario a un puerto promiscuo (troncal o acceso)

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que sale con una etiqueta VLAN comunitaria, como se muestra a continuación:

  • Tráfico reenviado desde un puerto troncal de comunidad a un puerto troncal pvLAN

  • Tráfico reenviado desde un puerto de troncalización VLAN secundario que transporta una VLAN comunitaria a un puerto de troncalización PVLAN

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal comunitario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto de troncalización comunitaria

Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplican los siguientes comportamientos:

  • El filtro se aplica al tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto de troncalización comunitaria (porque el tráfico se desvía con la etiqueta VLAN de la comunidad).

  • El filtro se aplica al tráfico reenviado desde un puerto de comunidad a un puerto de troncalización PVLAN (porque el tráfico salida con la etiqueta VLAN de la comunidad).

  • El filtro no se aplica al tráfico que se reenvía desde un puerto de comunidad a un puerto promiscuo (porque el tráfico salida con la etiqueta VLAN principal o sin etiquetar).

Solución

Estos son comportamientos esperados. Se producen solo si aplica un filtro de firewall a una VLAN privada en la dirección de salida y no se producen si aplica un filtro de firewall a una VLAN privada en la dirección de entrada.

Duplicación de puerto de salida con VLAN privadas

Problema

Descripción

Si crea una configuración de duplicación de puerto que refleja el tráfico de VLAN privada (PVLAN) en la salida, el tráfico reflejado (el tráfico que se envía al sistema de analizador) tiene la etiqueta VLAN de la VLAN de entrada en lugar de la VLAN de salida. Por ejemplo, suponga la siguiente configuración PVLAN:

  • Puerto de troncal promiscuo que transporta las VLAN principales pvlan100 y pvlan400.

  • Puerto de acceso aislado que transporta VLAN secundaria aislada200. Esta VLAN es miembro de VLAN principal pvlan100.

  • Puerto de comunidad que transporta VLAN secundaria comm300. Esta VLAN también es miembro de VLAN principal pvlan100.

  • Interfaz de salida (interfaz de monitoreo) que se conecta al sistema del analizador. Esta interfaz reenvía el tráfico reflejado al analizador.

Si un paquete para pvlan100 entra en el puerto de troncalización promiscuo y sale del puerto de acceso aislado, el paquete original no se etiqueta en la salida porque sale en un puerto de acceso. Sin embargo, la copia reflejada conserva la etiqueta para pvlan100 cuando se envía al analizador.

Este es otro ejemplo: Si un paquete para comm300 entrada en el puerto de la comunidad y salida en el puerto de troncalización promiscuo, el paquete original lleva la etiqueta para pvlan100 en la salida, como se esperaba. Sin embargo, la copia reflejada conserva la etiqueta para comm300 cuando se envía al analizador.

Solución

Este es el comportamiento esperado.