EN ESTA PÁGINA
Creación de una serie de VLAN etiquetadas en conmutadores de la serie EX (procedimiento de CLI)
Creación de una serie de redes VLAN etiquetadas en conmutadores compatibles con ELS
Verificar que se creó una serie de VLAN etiquetadas en un conmutador de la serie EX
Configuración de VLAN con doble etiqueta en interfaces lógicas de capa 3
Configurar la traducción de VLAN con una lista de ID de VLAN
Configuración de la traducción de VLAN en dispositivos de seguridad
Configuración de VLAN etiquetadas
Creación de una serie de VLAN etiquetadas
Cuando se divide una LAN Ethernet en varias VLAN, a cada VLAN se le asigna una etiqueta IEEE 802.1Q exclusiva. Esta etiqueta está asociada a cada trama de la VLAN, y los nodos de red que reciben el tráfico pueden usar la etiqueta para identificar con qué VLAN está asociada una trama.
En lugar de configurar VLAN y etiquetas 802.1Q de una en una interfaz de troncalización, puede configurar un rango de VLAN para crear una serie de VLAN etiquetadas.
Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas puedan detectar a qué VLAN pertenecen las tramas. Los puertos de troncalización, que multiplexan el tráfico entre varias VLAN, usan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.
Por ejemplo, puede configurar la VLAN employee y especificar un intervalo de etiqueta de 10 through 12. Esto crea las siguientes VLAN y etiquetas:
VLAN employee-10, etiqueta 10
VLAN employee-11, etiqueta 11
VLAN employee-12, etiqueta 12
La creación de VLAN etiquetadas en una serie tiene las siguientes limitaciones:
Las interfaces de capa 3 no admiten esta función.
Dado que una interfaz de acceso solo puede admitir un miembro de VLAN, las interfaces de acceso tampoco admiten esta función.
Esta tarea usa Junos OS para conmutadores QFX3500 y QFX3600 que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software compatible con ELS, consulte Creación de una serie de redes VLAN etiquetadas en conmutadores compatibles con ELS.
Para configurar una serie de VLAN etiquetadas mediante la CLI (aquí, la VLAN es employee):
Configure la serie (aquí, una serie VLAN del 120 al 130):
[edit] user@switch# set vlans employee vlan-range 120-130
Asocie una serie de VLAN etiquetadas cuando configure una interfaz de una de dos maneras:
Incluya el nombre de la serie:
[edit interfaces] user@switch# set interfaces xe-0/0/22.0 family ethernet-switching vlanmembers employee
Incluya el rango de VLAN:
[edit interfaces] user@switch# set interfaces xe-0/0/22.0 family ethernet-switching vlan members 120–130
Asociar una serie de VLAN etiquetadas a una interfaz por nombre o por rango de VLAN tiene el mismo resultado: Se crean VLAN __employee_120__ a través __employee_130__ .
Cuando se crea una serie de VLAN mediante el vlan-range comando, los nombres de VLAN se preceden y seguidos de un doble guión bajo.
Creación de una serie de VLAN etiquetadas en conmutadores de la serie EX (procedimiento de CLI)
Para identificar a qué tráfico VLAN pertenece, todas las tramas de una VLAN Ethernet se identifican mediante una etiqueta, como se define en el estándar IEEE 802.1Q. Estas tramas se etiquetan y se encapsulan con etiquetas 802.1Q. Para una red simple que tenga una sola VLAN, todo el tráfico tiene la misma etiqueta 802.1Q.
En lugar de configurar las etiquetas VLAN y 802.1Q de una en una interfaz de troncalización, puede configurar un rango de VLAN para crear una serie de VLAN etiquetadas.
Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas sepan a qué VLAN pertenecen las tramas. Los puertos de troncalización, que multiplexan el tráfico entre varias VLAN, usan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.
Por ejemplo, puede configurar la VLAN employee y especificar un intervalo de etiqueta de 10-12. Esto crea las siguientes VLAN y etiquetas:
VLAN employee-10, etiqueta 10
VLAN employee-11, etiqueta 11
VLAN employee-12, etiqueta 12
La creación de VLAN etiquetadas en una serie tiene las siguientes limitaciones:
Las interfaces de capa 3 no admiten esta función.
Dado que una interfaz de acceso solo puede admitir un miembro de VLAN, las interfaces de acceso tampoco admiten esta función.
Las configuraciones de voz sobre IP (VoIP) no admiten un rango de VLAN etiquetadas.
Para configurar una serie de VLAN etiquetadas mediante la CLI (aquí, la VLAN es employee):
Configure la serie (aquí, una serie VLAN del 120 al 130):
[edit] user@switch# set vlans employee vlan-range 120-130
Asocie una serie de VLAN etiquetadas cuando configure una interfaz de una de dos maneras:
Incluya el nombre de la serie:
[edit interfaces] user@switch# set interfaces ge-0/0/22.0 family ethernet-switching vlan members employee
Incluya el rango de VLAN:
[edit interfaces] user@switch# set interfaces ge-0/0/22.0 family ethernet-switching vlan members 120–130
Asociar una serie de VLAN etiquetadas a una interfaz por nombre o por rango de VLAN tiene el mismo resultado: Se crean VLAN __employee_120__ a través __employee_130__ .
Cuando se crean una serie de VLAN mediante el vlan-range comando, los nombres de VLAN se prefijo y sufijo con un doble guión bajo.
Consulte también
Creación de una serie de redes VLAN etiquetadas en conmutadores compatibles con ELS
Cuando se divide una LAN Ethernet en varias VLAN, a cada VLAN se le asigna una etiqueta IEEE 802.1Q exclusiva. Esta etiqueta está asociada a cada trama de la VLAN, y los nodos de red que reciben el tráfico pueden usar la etiqueta para identificar con qué VLAN está asociada una trama.
En lugar de configurar VLAN y etiquetas 802.1Q de una en una interfaz de troncalización, puede configurar un rango de VLAN para crear una serie de VLAN etiquetadas.
Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas puedan detectar a qué VLAN pertenecen las tramas. Los puertos de troncalización, que multiplexan el tráfico entre varias VLAN, usan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.
Por ejemplo, puede configurar la VLAN employee y especificar un intervalo de etiqueta de 10 through 12. Esto crea las siguientes VLAN y etiquetas:
VLAN employee-10, etiqueta 10
VLAN employee-11, etiqueta 11
VLAN employee-12, etiqueta 12
La creación de VLAN etiquetadas en una serie tiene las siguientes limitaciones:
Las interfaces de capa 3 no admiten esta función.
Dado que una interfaz de acceso solo puede admitir un miembro de VLAN, las interfaces de acceso tampoco admiten esta función.
Esta tarea usa Junos OS para Junos OS para conmutadores QFX3500 y QFX3600 compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Creación de una serie de VLAN etiquetadas. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Para configurar una serie de VLAN etiquetadas mediante la CLI (aquí, la VLAN es employee):
Configure la serie (aquí, una serie VLAN del 120 al 130):
[edit] user@switch# set vlans employee vlan-id-list [ 120-130 ]
Asocie una serie de VLAN etiquetadas cuando configure una interfaz de una de dos maneras:
Incluya el nombre de la serie:
[edit interfaces] user@switch# set interfaces xe-0/0/22.0 family ethernet-switching vlanmembers employee
Incluya el rango de VLAN:
[edit interfaces] user@switch# set interfaces xe-0/0/22.0 family ethernet-switching vlan members 120–130
Asociando una serie de VLAN etiquetadas a una interfaz por nombre o por intervalo de VLAN, el mismo resultado: Se crean VLAN __employee_120__ a través __employee_130__ .
Cuando se crea una serie de VLAN mediante el vlan-id-list comando, los nombres de VLAN se preceden y seguidos de un doble guión bajo.
Consulte también
Verificar que se creó una serie de VLAN etiquetadas
Propósito
Compruebe que se ha creado una serie de VLAN etiquetadas en el conmutador.
Acción
Muestra las VLAN en el orden ascendente de su ID de VLAN:
user@switch> show vlans sort-by tag Name Tag Interfaces __employee_120__ 120 xe-0/0/22.0* __employee_121__ 121 xe-0/0/22.0* __employee_122__ 122 xe-0/0/22.0* __employee_123__ 123 xe-0/0/22.0* __employee_124__ 124 xe-0/0/22.0* __employee_125__ 125 xe-0/0/22.0* __employee_126__ 126 xe-0/0/22.0* __employee_127__ 127 xe-0/0/22.0* __employee_128__ 128 xe-0/0/22.0* __employee_129__ 129 xe-0/0/22.0* __employee_130__ 130 xe-0/0/22.0*Mostrar las VLAN por el orden alfabético del nombre de la VLAN:
user@switch> show vlans sort-by name Name Tag Interfaces __employee_120__ 120 xe-0/0/22.0* __employee_121__ 121 xe-0/0/22.0* __employee_122__ 122 xe-0/0/22.0* __employee_123__ 123 xe-0/0/22.0* __employee_124__ 124 xe-0/0/22.0* __employee_125__ 125 xe-0/0/22.0* __employee_126__ 126 xe-0/0/22.0* __employee_127__ 127 xe-0/0/22.0* __employee_128__ 128 xe-0/0/22.0* __employee_129__ 129 xe-0/0/22.0* __employee_130__ 130 xe-0/0/22.0*Para mostrar las VLAN especificando el nombre del rango de VLAN (aquí, el nombre del rango de VLAN es employee):
user@switch> show vlans employee Name Tag Interfaces __employee_120__ 120 xe-0/0/22.0* __employee_121__ 121 xe-0/0/22.0* __employee_122__ 122 xe-0/0/22.0* __employee_123__ 123 xe-0/0/22.0* __employee_124__ 124 xe-0/0/22.0* __employee_125__ 125 xe-0/0/22.0* __employee_126__ 126 xe-0/0/22.0* __employee_127__ 127 xe-0/0/22.0* __employee_128__ 128 xe-0/0/22.0* __employee_129__ 129 xe-0/0/22.0* __employee_130__ 130 xe-0/0/22.0*
Significado
La salida de ejemplo muestra las VLAN configuradas en el conmutador. Se muestra la serie de VLAN etiquetadas: __employee__120__ a través de __employee_130__. Cada una de las VLAN etiquetadas está configurada en la interfaz xe-0/0/22.0de troncalización. El asterisco (*) junto al nombre de la interfaz indica que la interfaz es UP.
Cuando se crea una serie de VLAN mediante la vlan-range instrucción, los nombres de VLAN se preceden y seguidos de un doble guión bajo.
Verificar que se creó una serie de VLAN etiquetadas en un conmutador de la serie EX
Propósito
Compruebe que se crea una serie de VLAN etiquetadas en el conmutador.
Acción
Muestra las VLAN en el orden ascendente de su ID de VLAN:
user@switch> show vlans sort-by tag
Name Tag Interfaces
__employee_120__ 120
ge-0/0/22.0*
__employee_121__ 121
ge-0/0/22.0*
__employee_122__ 122
ge-0/0/22.0*
__employee_123__ 123
ge-0/0/22.0*
__employee_124__ 124
ge-0/0/22.0*
__employee_125__ 125
ge-0/0/22.0*
__employee_126__ 126
ge-0/0/22.0*
__employee_127__ 127
ge-0/0/22.0*
__employee_128__ 128
ge-0/0/22.0*
__employee_129__ 129
ge-0/0/22.0*
__employee_130__ 130
ge-0/0/22.0*
Mostrar las VLAN por el orden alfabético del nombre de la VLAN:
user@switch> show vlans sort-by name
Name Tag Interfaces
__employee_120__ 120
ge-0/0/22.0*
__employee_121__ 121
ge-0/0/22.0*
__employee_122__ 122
ge-0/0/22.0*
__employee_123__ 123
ge-0/0/22.0*
__employee_124__ 124
ge-0/0/22.0*
__employee_125__ 125
ge-0/0/22.0*
__employee_126__ 126
ge-0/0/22.0*
__employee_127__ 127
ge-0/0/22.0*
__employee_128__ 128
ge-0/0/22.0*
__employee_129__ 129
ge-0/0/22.0*
__employee_130__ 130
ge-0/0/22.0*Para mostrar las VLAN especificando el nombre del rango VLAN (aquí, el nombre del rango de VLAN es employee):
user@switch> show vlans employee
Name Tag Interfaces
__employee_120__ 120
ge-0/0/22.0*
__employee_121__ 121
ge-0/0/22.0*
__employee_122__ 122
ge-0/0/22.0*
__employee_123__ 123
ge-0/0/22.0*
__employee_124__ 124
ge-0/0/22.0*
__employee_125__ 125
ge-0/0/22.0*
__employee_126__ 126
ge-0/0/22.0*
__employee_127__ 127
ge-0/0/22.0*
__employee_128__ 128
ge-0/0/22.0*
__employee_129__ 129
ge-0/0/22.0*
__employee_130__ 130
ge-0/0/22.0*Significado
La salida de ejemplo muestra las VLAN configuradas en el conmutador. Se muestra la serie de VLAN etiquetadas: __employee__120__ a través de __employee_130__. Cada una de las VLAN etiquetadas está configurada en la interfaz ge-0/0/22.0de troncalización. El asterisco (*) junto al nombre de la interfaz indica que la interfaz es UP.
Cuando se crea una serie de VLAN mediante la vlan-range instrucción, los nombres VLAN se prefijo y sufijo con un doble guión bajo.
Configuración de VLAN con doble etiqueta en interfaces lógicas de capa 3
Junos OS admite un subconjunto del estándar IEEE 802.1Q para canalizar una interfaz Ethernet en varias interfaces lógicas, lo que permite que muchos hosts se conecten al mismo conmutador, pero les impide estar en el mismo dominio de enrutamiento o puente. Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas puedan detectar a qué VLAN pertenecen las tramas.
Puede configurar etiquetas VLAN dobles (es decir, una etiqueta interna y una etiqueta externa) en una interfaz lógica de capa 3 (a veces llamada "subinterface de capa 3").
La compatibilidad con VLAN de doble etiquetado en interfaces lógicas de capa 3 incluye:
Configuración de una IPv4, una IPv6 o una
mplsfamilia en la interfaz lógicaConfiguración a través de una interfaz Ethernet agregada
Configuración de varias interfaces lógicas en una sola interfaz física
Esta función no incluye compatibilidad con lo siguiente:
Reescritura de VLAN (
input-vlan-mapooutput-vlan-map)Configuración de TPID (en interfaces físicas o lógicas)
native-inner-vlan-id;outer-vlan-id-list;inner-vlan-id-list; Ovlan-id-range
Para configurar una interfaz lógica de capa 3 con doble etiqueta:
Consulte también
Apilar una etiqueta VLAN
Para apilar una etiqueta VLAN en todas las tramas etiquetadas que entran o salen de la interfaz, incluya las pushinstrucciones , vlan-idy , en tag-protocol-id la asignación de VLAN de entrada o de salida:
input-vlan-map input-vlan-map { push; vlan-id number; tag-protocol-id tpid; } output-vlan-map { push; tag-protocol-id tpid; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number][edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Los ID de VLAN que se definen en los mapas VLAN de entrada se apilan sobre el ID de VLAN vinculado a la interfaz lógica.
Todos los TPID que incluya en los mapas VLAN de entrada y salida deben estar entre los especificados en el [edit interfaces interface-name ether-options ethernet-switch-profile tag-protocol-id [ tpids ]] nivel jerárquico.
Reescribir una etiqueta VLAN y agregar una nueva etiqueta
En las interfaces IQ, IQ2 y IQ2-E de Ethernet, en el enrutador de la serie MX Gigabit Ethernet, las interfaces de cobre de Ethernet tri-rate y 10 Gigabit Ethernet, en interfaces Ethernet agregadas con PIC Gigabit Ethernet IQ2 y IQ2-E o 10 Gigabit Ethernet en enrutadores serie MX, y en interfaces Gigabit Ethernet y 10 Gigabit Ethernet en conmutadores serie EX, para reemplazar la etiqueta VLAN externa de la trama entrante por un valor de etiqueta VLAN especificado por el usuario, incluya la swap-push instrucción en la asignación de VLAN de entrada o en la asignación de VLAN de salida:
swap-push
Una etiqueta VLAN externa especificada por el usuario se inserta delante. La etiqueta externa se convierte en una etiqueta interna en el marco final. Las etiquetas VLAN de Gigabit-Ethernet apiladas y reescritas también se denominan tunelización Q-in-Q.
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
-
[edit interfaces interface-name unit logical-unit-number input-vlan-map] -
[edit interfaces interface-name unit logical-unit-number output-vlan-map] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number input-vlan-map] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number output-vlan-map]
Consulte también
Reescritura de las etiquetas VLAN internas y externas
En las interfaces IQ, IQ2 y IQ2-E de Ethernet, en las interfaces de cobre y 10 Gigabit Ethernet serie MX, y en interfaces Ethernet agregadas mediante las PIC Gigabit Ethernet IQ2 y IQ2-E o 10 Gigabit Ethernet en enrutadores serie MX, para reemplazar las etiquetas VLAN internas y externas de la trama entrante por un valor de etiqueta VLAN especificado por el usuario, incluya la swap-swap instrucción en la asignación de VLAN de entrada o en la asignación de VLAN de salida: Las etiquetas VLAN de Gigabit-Ethernet apiladas y reescritas también se denominan tunelización Q-in-Q.
swap-swap;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number input-vlan-map][edit interfaces interface-name unit logical-unit-number output-vlan-map][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number input-vlan-map][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number output-vlan-map]
Consulte también
Reescritura de la etiqueta VLAN en tramas etiquetadas
Para reescribir la etiqueta VLAN en todas las tramas etiquetadas que entran en la interfaz a un ID de VLAN y TPID especificados, incluya las swapinstrucciones , tag-protocol-idy vlan-id en la asignación de VLAN de entrada:
input-vlan-map { swap; vlan-id number; tag-protocol-id tpid; }
Para reescribir la etiqueta VLAN en todas las tramas etiquetadas que salen de la interfaz a un ID de VLAN y TPID especificados, incluya las swap instrucciones y tag-protocol-id en la asignación de VLAN de salida:
output-vlan-map { swap; vlan-id number; tag-protocol-id tpid; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number input-vlan-map][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number input-vlan-map]
No puede incluir tanto la swap instrucción como la instrucción en la vlan-id configuración de asignación de VLAN de salida. Si incluye la instrucción en la swap configuración, el ID de VLAN en tramas de salida se reescribe en el ID de VLAN vinculado a la interfaz lógica. Para obtener más información acerca de cómo enlazar un ID de VLAN a la interfaz lógica, consulte Descripción general de VLAN 802.1Q.
La operación de intercambio solo funciona en la etiqueta externa, independientemente de que incluya o no la stacked-vlan-tagging instrucción en la configuración. Para obtener más información, consulte Ejemplos: Apilamiento y reescritura de etiquetas IQ VLAN de Gigabit Ethernet.
Consulte también
Configurar la traducción de VLAN con una lista de ID de VLAN
En muchos casos, los identificadores de VLAN en las tramas de los paquetes de una interfaz no son correctos. La traducción de VLAN o reescritura de VLAN le permite configurar la traducción de identificadores de VLAN bidireccional con una lista de tramas que llegan y salen de una interfaz lógica. Esto le permite usar identificadores de VLAN únicos internamente y mantener identificadores de VLAN heredados en interfaces lógicas.
Para realizar la traducción de VLAN en los paquetes de una interfaz troncal, inserte la vlan-rewrite instrucción en el [edit interfaces interface-name unit unit-number] nivel de jerarquía. También debe incluir la interface-mode trunk instrucción en la jerarquía, ya que la [edit interfaces interface-name unit unit-number family ethernet-switching] traducción de VLAN solo se admite en interfaces de troncalización. La traducción inversa se realiza en el tráfico que sale de la interfaz. En otras palabras, si VLAN 200 se traduce a 500 en el tráfico que entra en la interfaz, VLAN 500 se traduce a VLAN 200 en el tráfico que sale de la interfaz.
Puede configurar el etiquetado de VLAN flexible o el modo de troncalización en interfaces. La traducción de VLAN no admite ambas.
En el siguiente ejemplo, se traducen los paquetes de troncalización entrantes del identificador de VLAN 200 al 500 y del 201 al 501 (otros identificadores VLAN válidos no se ven afectados):
[edit interfaces ge-1/0/1]
unit 0 {
... # Other logical interface statements
family ethernet-switching {
interface-mode trunk # Translation is only for trunks
vlan {
members 500-501;
}
vlan-rewrite {
translate 200 500;
translate 201 501;
}
... # Other ethernet-switching statements
}
}
En este ejemplo, también se traducen las VLAN de trama de 500 a 200 y de 501 a 201 en la salida.
Configuración de la traducción de VLAN en dispositivos de seguridad
La traducción de VLAN permite a los operadores de telecomunicaciones crear una conexión Ethernet de capa 2 entre dos sitios de clientes. Los proveedores pueden separar el tráfico de VLAN de diferentes clientes en un vínculo (por ejemplo, si los clientes usan identificadores de VLAN superpuestos) o agrupar VLAN de clientes diferentes en una VLAN de servicio único. Los centros de datos pueden usar la tunelización Q-in-Q para aislar el tráfico de clientes dentro de un solo sitio o cuando el tráfico de clientes fluye entre centros de datos en la nube en diferentes ubicaciones geográficas.
Antes de comenzar a configurar la traducción de VLAN, asegúrese de que ha creado y configurado las VLAN de cliente necesarias en los conmutadores vecinos. Consulte Configuración de redes VLAN.
La traducción de VLAN se puede hacer de dos maneras:
Para configurar la traducción de VLAN en el retatiquetado de VLAN, se puede lograr un estilo de traducción de VLAN de proveedor empresarial mediante la siguiente configuración de CLI:
[edit] user@host#set interfaces intf-name unit 0 family ethernet-switching interface-mode trunk user@host#set interfaces intf-name unit 0 family ethernet-switching vlan members v1000 user@host#set interfaces intf-name unit 0 family ethernet-switching vlan-rewrite translate 500 1000
Para configurar la traducción de VLAN en Q-in-Q, se puede lograr un estilo de proveedor de servicios de traducción de VLAN mediante la siguiente configuración de CLI:
[edit] user@host#set interfaces intf-name flexible-vlan-tagging user@host#set interfaces intf-name encapsulation extended-vlan-bridge user@host#set interfaces intf-name unit 100 vlan-id 500 user@host#set interfaces intf-name unit 100 input-vlan-map swap user@host#set interfaces intf-name unit 100 input-vlan-map tag-protocol-id 0x8100 user@host#set interfaces intf-name unit 100 output-vlan-map swap user@host#set interfaces intf-name unit 100 family ethernet-switching vlan members v1000
Consulte también
Ejemplo: Configuración del retatiquetado de VLAN para el modo transparente de capa 2 en un dispositivo de seguridad
En este ejemplo, se muestra cómo configurar el retatiquetado de VLAN en una interfaz de troncalización de capa 2 para examinar selectivamente los paquetes entrantes y redirigirlos a un dispositivo de seguridad sin afectar a otros tráfico de VLAN.
Requisitos
Antes de comenzar, determine la asignación que desea incluir para el retatiquetado de VLAN. Consulte Descripción de la retatiqueción de VLAN en dispositivos de seguridad.
Descripción general
En este ejemplo, se crea una interfaz troncal de capa 2 llamada ge-3/0/0 y se configura para recibir paquetes con identificadores VLAN del 1 al 10. Los paquetes que llegan a la interfaz con el identificador de VLAN 11 se vuelven a etiquetar con el identificador de VLAN 2. Antes de salir de la interfaz de troncalización, el identificador de VLAN 2 en los paquetes reetiquetados se sustituye por el identificador de VLAN 11. Todos los identificadores VLAN de los paquetes reetiquetados cambian al salir de la interfaz de troncalización.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar el retatiquetado de VLAN en una interfaz troncal de capa 2:
Cree una interfaz troncal de capa 2.
[edit] user@host#set interfaces ge-3/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members 1–10
Configure el retatiquetado de VLAN.
[edit] user@host#set interfaces ge-3/0/0 unit 0 family ethernet-switching vlan-rewrite translate 11 2
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show interfaces ge-3/0/0 comando.
Configuración de TPID e IDs de VLAN internos y externos
Para algunas operaciones de reescritura, debe configurar los valores TPID internos o externos y los valores de ID de VLAN interno o externo. Estos valores se pueden aplicar a la asignación de VLAN de entrada o a la Asignación de VLAN de salida.
En las interfaces IQ, IQ2 y IQ2-E de Ethernet; en las interfaces de 10 Gigabit Ethernet de la serie MX, Ethernet de cobre tri rate y 10 Gigabit Ethernet; y en interfaces Ethernet agregadas mediante PIC Gigabit Ethernet IQ2 y IQ2-E o 10 Gigabit Ethernet en enrutadores serie MX, para configurar el TPID interno, incluya la inner-tag-protocol-id instrucción:
inner-tag-protocol-id tpid;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number input-vlan-map][edit interfaces interface-name unit logical-unit-number output-vlan-map][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number input-vlan-map][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number output-vlan-map]
Para el ID de VLAN interno, incluya la inner-vlan-id instrucción. Para el TPID externo, incluya la tag-protocol-id instrucción. Para el ID de VLAN externo, incluya la vlan-id instrucción:
input-vlan-map { (pop | pop-pop | pop-swap | push | push-push | swap | swap-push | swap-swap); inner-tag-protocol-id tpid; inner-vlan-id number; tag-protocol-id tpid; vlan-id number; } output-vlan-map { (pop | pop-pop | pop-swap | push | push-push | swap | swap-push | swap-swap); inner-tag-protocol-id tpid; inner-vlan-id number; tag-protocol-id tpid; vlan-id number; }
Para las interfaces Ethernet agregadas que utilizan interfaces IQ gigabit Ethernet, incluya la tag-protocol-id instrucción para el TPID externo. Para el ID de VLAN externo, incluya la vlan-id instrucción:
input-vlan-map { (pop | push | swap); tag-protocol-id tpid; vlan-id number; } output-vlan-map { (pop | push | swap); tag-protocol-id tpid; vlan-id number; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Los ID de VLAN que se definen en los mapas VLAN de entrada se apilan sobre el ID de VLAN vinculado a la interfaz lógica. Para obtener más información acerca de cómo enlazar un ID de VLAN a la interfaz lógica, consulte Descripción general de VLAN 802.1Q.
Todos los TPID que incluya en los mapas VLAN de entrada y salida deben estar entre los especificados en el [edit interfaces interface-name ether-options ethernet-switch-profile tag-protocol-id [ tpids ]] nivel jerárquico.
Tabla 1 y Tabla 2 especifique cuándo se requieren estas instrucciones. Tabla 1 indica combinaciones de instrucción válidas para las operaciones de reescritura para la asignación de VLAN de entrada. "No" significa que la instrucción no se debe incluir en la asignación de VLAN de entrada para la operación de reescritura. "Opcional" significa que la instrucción se puede especificar opcionalmente para la operación de reescritura en la asignación de VLAN de entrada. "Cualquiera" significa que debe incluir la instrucción, tag-protocol-id instrucciónvlan-id, inner-vlan-id instrucción o inner-tag-protocol-id instrucción.
|
Instrucciones de mapa de VLAN de entrada |
|||
|---|---|---|---|---|
| Operación de reescritura | vlan-id | tag-protocol-id | vlan-id interno | etiqueta interna-protocol-id |
| Empujar | Opcional |
Opcional |
No |
No |
| Pop | No |
No |
No |
No |
| Intercambio | Cualquiera |
Cualquiera |
No |
No |
| push-push | Opcional |
Opcional |
Opcional |
Opcional |
| intercambio-inserción | Opcional |
Opcional |
Cualquiera |
Cualquiera |
| intercambio-intercambio | Opcional |
Opcional |
Cualquiera |
Cualquiera |
| intercambio de elementos emergentes | No |
No |
Cualquiera |
Cualquiera |
| pop-pop | No |
No |
No |
No |
Tabla 2 indica combinaciones de instrucción válidas para las operaciones de reescritura de la asignación de VLAN de salida. "No" significa que la instrucción no se debe incluir en la asignación de VLAN de salida para la operación de reescritura. "Opcional" significa que la instrucción se puede especificar opcionalmente para la operación de reescritura en la asignación de VLAN de salida.
|
Instrucciones de mapa de VLAN de salida |
|||
|---|---|---|---|---|
| Operación de reescritura | vlan-id | tag-protocol-id | vlan-id interno | etiqueta interna-protocol-id |
| Empujar | No |
Opcional |
No |
No |
| Pop | No |
No |
No |
No |
| Intercambio | No |
Opcional |
No |
No |
| push-push | No |
Opcional |
No |
Opcional |
| intercambio-inserción | No |
Opcional |
No |
Opcional |
| intercambio-intercambio | No |
Opcional |
No |
Opcional |
| intercambio de elementos emergentes | No |
No |
No |
Opcional |
| pop-pop | No |
No |
No |
No |
Los siguientes ejemplos usan Tabla 1 y Tabla 2 muestran cómo se puede configurar la pop-swap operación en una asignación de VLAN de entrada y una Asignación de VLAN de salida:
Mapa de VLAN de entrada con instrucción interna de vlan-id, mapa de VLAN de salida con instrucción opcional interna de etiqueta-protocolo-id
[edit interfaces interface-name unit logical-unit-number] input-vlan-map { pop-swap; inner-vlan-id number; } output-vlan-map { pop-swap; inner-tag-protocol-id tpid; }
Mapa de VLAN de entrada con instrucción interna de etiqueta-protocolo-id, mapa de VLAN de salida con instrucción opcional interna de etiqueta-protocolo-id
[edit interfaces interface-name unit logical-unit-number] input-vlan-map { pop-swap; inner-tag-protocol-id tpid; } output-vlan-map { pop-swap; inner-tag-protocol-id tpid; }
Asignación de VLAN de entrada con instrucciones inner-tag-protocol-id y inner-vlan-id
[edit interfaces interface-name unit logical-unit-number] input-vlan-map { pop-swap; inner-vlan-id number; inner-tag-protocol-id tpid; }