Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка интерфейса IRB в частной VLAN на одном серия MX маршрутизаторе

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частной VLAN (PVLAN) на серия MX позволяет администратору разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN.

В данном примере описывается, как создать интегрированный интерфейс маршрутов и мостов (IRB) в домене моста PVLAN, связанного с экземпляром виртуальный коммутатор на одном маршрутизаторе серия MX:

Прим.:

Настройка VLAN для голоса через IP (VoIP) на интерфейсах PVLAN не поддерживается.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Один серия MX в улучшенном режиме ЛОКАЛЬНОй сети.

  • Junos OS версии 15.1 или более поздней для серия MX маршрутизаторов

Перед началом настройки PVLAN убедитесь, что есть:

  • Создаются и настраиваются необходимые сети VLANs. См. "Настройка VLAN и расширенная инкапсуляция VLAN и включение маркировки VLAN".

  • Настроенные MX240, MX480 и MX960 для функционирования в режиме enhanced LAN путем ввода утверждения на network-services lan[edit chassis] уровне иерархии.

Обзор и топология

В большом офисе с несколькими зданиями и VLANs может потребоваться изолировать несколько групп или других конечных точек по причинам безопасности или раздел домена широковещательной передачи. В этом примере конфигурации показана простая топология, которая показывает, как создать PVLAN с одной первичной VLAN и четырьмя сообществами VLAN, а также двумя изолированными портами.

Предположим пример развертывания, в котором первичная VLAN с именем VP содержит порты: p1, p2, t1, t2, i1, i2, cx1 и cx2. Типы портов этих настроенных портов:

  • Promiscuous порты = p1, p2

  • Порты ISL = t1, t2

  • Изолированные порты = i1, i2

  • VLAN сообщества = Cx

  • Порты сообщества = cx1, cx2

Интерфейс IRB, irb.0, настраивается и соберется на домен моста в виртуальный коммутатор экземпляре.

Домены моста предусмотрены для каждой из VLANs , а именно Vp, Vi и Vcx. Предположим, что домены моста должны быть настроены следующим образом:

Vp — BD_primary_Vp (порты, содержащие: p1, t1, i1, i2, cx1, cx2)

Vi — BD_isolate_Vi (содержащиеся порты: p1, t1, *i1, *i2)

Vcx — BD_community_Vcx (содержащиеся порты: p1, t1, cx1, cx2)

Домены моста для сообществ, первичных и изолированных VLANs автоматически создаются системой внутренне при настройке домена моста с магистральным интерфейсом, интерфейсом доступа или соединением interswitch. Домены моста содержат тот же VLAN ID, соответствующий VLAN. Чтобы использовать домены моста для PVLANs, необходимо настроить следующие дополнительные атрибуты:

Конфигурации

Чтобы настроить интерфейс IRB в PVLAN, выполните эти задачи:

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLAN и включить интерфейс IRB в домен моста PVLAN, связанного с экземпляром виртуальный коммутатор, скопируйте следующие команды и вкопировать их в окно терминала маршрутизатора:

Настройка интерфейса IRB

Настройка promiscuous, ISL, isolated и community ports

Настройка экземпляра виртуального коммутатора с доменными интерфейсами моста

Указание интерфейса IRB и первичных, изолированных и community VLAN ID в домене моста

Процедуры

Пошаговая процедура

Чтобы настроить соединение interswitch (ISL) для PVLAN, типов портов PVLAN и вторичных VLAN для PVLAN:

  1. Создайте интерфейс IRB.

  2. Создайте promiscuous порт для PVLAN.

  3. Создайте магистральный порт interswitch link (ISL) для PVLAN.

  4. Создайте изолированные порты для PVLAN.

  5. Создайте порты сообщества для PVLAN.

  6. Создайте экземпляр виртуальный коммутатор с доменом моста и связывайте логические интерфейсы.

  7. Укажите интерфейс IRB, первичный, изолированный и community VLAN ID и связать VLAN с доменом моста.

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания частных и вторичных VLAN

Цель

Проверьте правильность создания первичной и вторичной VLAN на коммутаторе.

Действий

Используйте show bridge domain команду:

Смысл

Выходные данные показывают, что первичная VLAN была создана и идентифицирует интерфейсы и связанные с ней вторичные сети VLAN.