Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Частные сети VLANs

Понимание частных VLANs

Широковещательные сети VLANs ограничиваются только для определенных пользователей. Частные сети VLAN (PVLAN) еще больше ограничивают коммуникацию внутри VLAN. Для этого сети PVLAN ограничивают потоки трафика через свои порты-члены коммутатора (которые называются частными портами), чтобы эти порты связывались только с указанным портом магистрали для отключении или с указанными портами в пределах одной VLAN. Порт магистрали от оператора к оператору или группа агрегирования соединений (LAG) обычно подключены к маршрутизатору, брандмауэру, серверу или сети поставщика. Обычно в каждой PVLAN содержится несколько частных портов, которые взаимодействуют только с одним портом uplink, что не позволяет портам взаимодействовать друг с другом.

Сети PVLAN обеспечивают изоляцию уровня 2 между портами внутри VLAN, разделяя широковещательный домен на несколько отдельных поддомен широковещательных каналов путем создания вторичных VLAN (VLAN сообществ и изолированной VLAN) внутри первичной VLAN. Порты одной сети VLAN сообщества могут взаимодействовать друг с другом. Порты в изолированной VLAN могут взаимодействовать только с одним портом uplink.

Как и обычные VLANs, сети PVLANs изолированы на уровне 2 и требуют одного из следующих вариантов маршрутов трафика уровня 3 среди вторичных VLANs:

  • Разносточное соединение порта с маршрутизатором

  • Маршрутивный интерфейс VLAN (RVI)

Прим.:

Для маршрутки трафика уровня 3 среди вторичных VLAN PVLAN необходим только один из параметров, упомянутых выше. При использовании RVI вы все еще можете использовать разносточное подключение порта к маршрутизатору со promiscuous портом, настроенным для обработки только трафика, который входит и выходит из PVLAN.

Сети PVLANs полезны для ограничения потока широковещательного и неизвестного однонастного трафика, а также для ограничения связи между известными хостами. Поставщики услуг используют сети PVLANs для изоляции своих клиентов. Другим типичным использованием PVLAN является предоставление доступа в Интернет для каждого номера в отеле.

Прим.:

Можно настроить PVLAN для коммутаторов, которые поддерживают PVLAN.

В этой теме объясняются следующие концепции, касающиеся PVLANs на коммутаторах серии EX:

Преимущества PVLANs

Необходимость разделения одной VLAN особенно полезна в следующих сценариях развертывания:

  • Фермы серверов — типичный поставщик интернет-услуг использует ферму серверов для предоставления хостинга многочисленным клиентам. Поиск различных серверов в рамках одной фермы серверов обеспечивает простоту управления. Проблемы безопасности возникают, если все серверы находятся в одной сети VLAN, поскольку широковещательные передачи уровня 2 передаются всем серверам в VLAN.

  • Столичные сети Ethernet. Поставщики услуг городских сетей предлагают Ethernet уровня 2 доступ к домам, сообществам сообществам и предприятиям на уровне 2. Традиционное решение развертывания одной VLAN на каждого клиента не масштабируемое и сложное в управлении, что приводит к потенциальной расточительности IP-адресов. PVLANs предоставляют более безопасное и более эффективное решение.

Типичная структура и основное применение PVLANs

PVLAN можно настроить на одном коммутаторе или настроить для нескольких коммутаторов. Типы доменов и портов:

  • Первичная VLAN — первичная VLAN сети PVLAN определяется тегом 802.1Q (ID VLAN) для полной PVLAN. Первичная PVLAN может содержать несколько вторичных VLAN (одна изолированная VLAN и несколько сообществ VLAN).

  • Изолированная VLAN/изолированный порт — первичная VLAN может содержать только одну изолированную VLAN. Интерфейс в изолированной VLAN может переадрегировать пакеты только на изолированный порт или на порт меж коммутаторного соединения (ISL). Изолированный интерфейс не может перенаададировать пакеты на другой изолированный интерфейс; и изолированный интерфейс не может принимать пакеты из другого изолированного интерфейса. Если устройству заказчика требуется доступ только к маршрутизатору шлюза, то устройство должно быть подключено к изолированного магистрального порта.

  • Community VLAN/community port. Можно настроить несколько сообществ VLAN в пределах одной PVLAN. Интерфейс в пределах определенной VLAN сообщества может устанавливать связь уровня 2 с любым другим интерфейсом, принадлежащим к той же VLAN сообщества. Интерфейс в сети VLAN сообщества может также связываться со разноназначным портом или портом ISL. Если имеется, например, два клиентских устройства, которые необходимо изолировать от других устройств клиентов, но которые должны иметь возможность общаться друг с другом, используют порты сообщества.

  • Promiscuous port. У разнонаборного порта есть связь уровня 2 со всеми интерфейсами в PVLAN, независимо от того, принадлежит ли интерфейс изолированной сети VLAN или сети VLAN сообщества. Разнородный порт является членом первичной VLAN, но не включен ни в какой дополнительный поддомен. Шлюзы 3-го уровня, серверы DHCP и другие доверенные устройства, которые должны взаимодействовать с оконечным устройством, обычно подключены к разностоенным портам.

  • Между коммутативным соединением (ISL)— ISL является магистральным портом, соединяющим несколько коммутаторов в PVLAN и содержащий две или более VLAN. Это необходимо, только когда PVLAN охватывает несколько коммутаторов.

Настроенная PVLAN является основным доменом (первичной VLAN). В сети PVLAN настраиваются вторичные сети VLAN, которые становятся поддоменами, вложенными в основной домен. PVLAN можно настроить на одном коммутаторе или настроить для нескольких коммутаторов. PVLAN, показанная в том числе, включает два коммутатора, с первичным Рис. 1 доменом PVLAN и различными поддоменами.

Рис. 1: Поддомена в PVLANПоддомена в PVLAN

Как показано Рис. 3 в, PVLAN имеет только один основной и несколько вторичных доменов. Типы доменов:

  • Первичная VLAN — VLAN, используемая для перенастоянья кадров в изолированные и сообщества VLAN. Первичная VLAN в PVLAN определяется меткой 802.1Q (ID VLAN) для полной PVLAN. Первичная PVLAN может содержать несколько вторичных VLAN (одна изолированная VLAN и несколько сообществ VLAN).

  • Вторичная изолированная VLAN — VLAN, которая получает пакеты только от первичной сети VLAN и передает кадры вверх по первичной VLAN. Изолированная VLAN – это вторичная VLAN, вложенная в первичную VLAN. Первичная VLAN может содержать только одну изолированную VLAN. Интерфейс в изолированной сети VLAN (изолированном интерфейсе) может переадрактировать пакеты только на изолированный порт или на магистральный порт PVLAN. Изолированный интерфейс не может перенаададировать пакеты на другой изолированный интерфейс; кроме того, изолированный интерфейс не может получать пакеты от другого изолированного интерфейса. Если устройству заказчика требуется доступ только к маршрутизатору, то устройство должно быть подключено к изолированного магистрального порта.

  • Вторичный коммутатор изолированной сети VLAN — VLAN, используемая для перенаадения изолированного трафика VLAN от одного коммутатора к другому через порты магистрали PVLAN. Теги 802.1Q необходимы для изолированных VLAN interswitch, так как IEEE 802.1Q использует внутренний механизм маркировки, с помощью которого транкинговая компания вставляет в заглавную таблицу пакета идентификационный кадр размером 4-byte VLAN. Изолированная VLAN interswitch – это вторичная VLAN, вложенная в первичную VLAN.

  • Вторичная VLAN сообщества — VLAN, используемая для транспортировки кадров среди членов сообщества (подмножество пользователей в сети VLAN) и для перенастройки кадров в первичную VLAN. VLAN сообщества – это вторичная VLAN, вложенная в первичную VLAN. Можно настроить несколько сообществ VLAN в пределах одной PVLAN. Интерфейс в пределах определенной VLAN сообщества может устанавливать связь уровня 2 с любым другим интерфейсом, принадлежащим к той же VLAN сообщества. Интерфейс в сети VLAN сообщества может также связываться со стороны разных портов или с магистральным портом PVLAN.

Рис. 2 показывает PVLAN, охватывающую несколько коммутаторов, где первичная VLAN () содержит два домена сообщества и) и один изолированный 100(300 домен 400 interswitch.

Рис. 2: Множественные коммутаторы PVLANМножественные коммутаторы PVLAN
Прим.:

Количество первичных и вторичных VLANs не ограничивается 4089 VLANs, поддерживаемых серия QFX. Например, каждая VLAN Рис. 2 подсчитываются по этому пределу.

Типичная структура и основное применение PVLANs на серия MX маршрутизаторах

Настроенная PVLAN становится основным доменом, а вторичные VLAN – поддоменами, вложенными в первичный домен. PVLAN можно создать на одном маршрутизаторе. PVLAN, показанная в том числе, включает один маршрутизатор, один первичный домен PVLAN и несколько вторичных Рис. 3 поддомен.

Рис. 3: Поддомен в PVLAN с одним маршрутизаторомПоддомен в PVLAN с одним маршрутизатором

Типы доменов:

  • Первичная VLAN — VLAN, используемая для перенастоянья кадров в изолированные и сообщества VLAN.

  • Вторичная изолированная VLAN — VLAN, которая получает пакеты только от первичной сети VLAN и передает кадры вверх по первичной VLAN.

  • Вторичная изолированная VLAN коммутатора — VLAN, используемая для переадрегатора изолированного трафика VLAN от одного маршрутизатора к другому через магистральные порты PVLAN.

  • Вторичная VLAN сообщества — VLAN, используемая для транспортировки кадров между участниками сообщества, которое является подмножеством пользователей в VLAN, и для перенастройки кадров в первичную VLAN.

Прим.:

Сети PVLANs поддерживаются на MX80, MX240, MX480 и MX960 с DPC в улучшенном режиме LAN, на серия MX маршрутизаторах с PC1, MPC2 и Adaptive Services.

Типичная структура и основное применение PVLANs на коммутаторах серии EX

Прим.:

Первичная VLAN в PVLAN определяется меткой 802.1Q (ID VLAN) для полной PVLAN. На EX9200 коммутаторах каждая вторичная VLAN также должна быть определена с помощью отдельного VLAN ID.

Рис. 4показывает PVLAN на одном коммутаторе, где первичная VLAN (VLAN) содержит две сети VLAN сообщества (VLAN и VLAN) и одну изолированную 100300400 VLAN (VLAN). 50

Рис. 4: Частная VLAN на одном коммутаторе EXЧастная VLAN на одном коммутаторе EX

Рис. 5 показывает PVLAN, охватывающую несколько коммутаторов, где первичная VLAN (VLAN) содержит две сети VLAN сообщества (VLAN и VLAN) и одну изолированную 100300400 VLAN (VLAN 200). Кроме того, коммутаторы 1 и 2 подключены через соединение между коммутаторами (магистральные соединения PVLAN).

Рис. 5: PVLAN Spanning Multiple EX Series SwitchesPVLAN Spanning Multiple EX Series Switches

Кроме того, сети PVLANs показаны и используют изолированные порты, подключенные к маршрутизатору как средства маршрутизировать трафик уровня 3 между сообществами и Рис. 4Рис. 5 изолированными VLANs. Вместо использования подключаемого к маршрутизатору порта можно настроить RVI на коммутаторе или на одном из коммутаторов, показанных в (на некоторых Рис. 4 коммутаторах Рис. 5 EX).

Чтобы маршрутизировать трафик уровня 3 между изолированными и сообществами VLANs, необходимо либо подключить маршрутизатор к разнонамеровому порту, как показано в примере, и настроить Рис. 4Рис. 5 RVI.

При выборе параметра RVI необходимо настроить один RVI для основной VLAN в домене PVLAN. Этот RVI обслуживает весь домен PVLAN вне зависимости от того, включает ли этот домен один или несколько коммутаторов. После настройки RVI пакеты уровня 3, полученные интерфейсами вторичных VLAN, со стороны RVI сообразуются и маршрутются.

При настройке RVI необходимо также включить протокол разрешения прокси-адресов (ARP), чтобы RVI могли обрабатывать запросы ARP, полученные вторичными интерфейсами VLAN.

Для получения сведений о настройке PVLAN на одном коммутаторе и нескольких коммутаторах см. Создание частной VLAN на одном коммутаторе серии EX (интерфейс командной строки процедура).Информацию о настройке RVI см. в "Настройка маршрутного интерфейса VLAN в частной сети VLAN на коммутаторе серии EX".

Маршрутка между изолированной и сообществом VLANs

Чтобы маршрутизировать трафик уровня 3 между изолированной и сообществом VLAN, необходимо подключить внешний маршрутизатор или коммутатор к магистральным портам основной VLAN. Магистральные порты первичной VLAN являются разноназначными; таким образом, он может взаимодействовать со всеми портами в PVLAN.

Для идентификации пакетов в PVLANs используются теги 802.1Q

Когда пакеты маркированы меткой 802.1Q, определенной для клиента, эта метка идентифицирует принадлежность пакетов для любого коммутатора или маршрутизатора в сети. Иногда теги 802.1Q необходимы в пределах PVLANs для отслеживания пакетов из разных поддомен. Табл. 1 указывает, когда тег VLAN 802.1Q необходим для основной сети VLAN или для вторичных VLAN.

Табл. 1: Когда VLAN в PVLAN требуются теги 802.1Q

На одном коммутаторе На нескольких коммутаторах

Первичная VLAN

Укажите тег 802.1Q, установив ID сети VLAN.

Укажите тег 802.1Q, установив ID сети VLAN.

Вторичная VLAN

Тег для VLANs не требуется.

VLANs требуют тегов 802.1Q:

  • Укажите тег 802.1Q для каждой сети VLAN сообщества, задав ID VLAN.

  • Укажите метку 802.1Q для ID изолированной сети VLAN, задав изолированный ID.

PVLANs эффективно используют IP-адреса

PVLANs обеспечивают сохранение IP-адресов и эффективное распределение IP-адресов. В обычной сети сети VLANs обычно соответствуют одной IP-подсети. В PVLAN хосты во всех вторичных VLAN принадлежат к одной IP-подсети, поскольку подсеть выделена основной VLAN. Хосту во вторичной сети VLAN присвоены IP-адреса на основании IP-подсетей, связанных с первичной VLAN, а их данные о маске IP-подсети отражают данные основной подсети VLAN. Однако каждая вторичная VLAN является отдельным доменом широковещательной передачи.

Типы портов PVLAN и правила переададаторов

PVLANs могут использовать до шести различных типов портов. В сети, изображенной на рисунке, для переноса информации на маршрутизатор, порты сообщества для подключения финансового и HR-сообщества к соответствующим коммутаторам, изолированных портов для подключения серверов и магистрального порта PVLAN для соединения двух коммутаторов. Рис. 2 Порты PVLAN имеют различные ограничения:

  • Promiscuous trunk port. У разного порта имеется связь уровня 2 со всеми интерфейсами в PVLAN, независимо от того, принадлежит ли этот интерфейс изолированной сети VLAN или сети VLAN сообщества. Разнородный порт является членом первичной VLAN, но не включен в один из вторичных поддомеансов. Шлюзы 3-го уровня, серверы DHCP и другие доверенные устройства, которые должны взаимодействовать с оконечным устройством, обычно подключены к разностоенным портам.

  • Магистральные соединения PVLAN — магистральные соединения PVLAN, также известные как соединение между коммутаторами, необходимы только тогда, когда PVLAN настроена для работы нескольких коммутаторов. Магистральные соединения PVLAN соединяют несколько коммутаторов, композитных PVLAN.

  • Порт магистрали PVLAN — для работы коммутаторов требуется магистраальный порт PVLAN в конфигурации multiswitch PVLAN. Порт магистрали PVLAN является членом всех VLAN внутри PVLAN (то есть первичные VLAN, сообщества VLAN и interswitch isolated VLAN), и он передает трафик из первичной и всех вторичных VLAN. Он может взаимодействовать со всеми портами, кроме изолированных портов.

    Связь между магистральным портом PVLAN и изолированным портом обычно однонаправленна. Членство порта магистрали PVLAN в изолированной сети VLAN является только выходным, т.е. изолированный порт может переадресовывать пакеты на магистральный порт PVLAN, но порт магистрали PVLAN не передает пакеты на изолированный порт (если пакеты не впускаются на изолированный порт доступа и, таким образом, переадресуются всем вторичным VLAN в той же первичной сети VLAN, что и изолированные порты).

  • Вторичный порт магистрали VLAN (не показан) — вторичные магистральные порты переносят вторичный трафик VLAN. Для данной частной VLAN дополнительный порт магистрали VLAN может переносить трафик только для одной вторичной VLAN. Однако дополнительный порт магистрали VLAN может переносить трафик для нескольких вторичных VLAN, пока каждая вторичная VLAN является членом другой первичной VLAN. Например, дополнительный порт магистрали VLAN может переносить трафик для сети VLAN сообщества, которая является частью первичной VLAN pvlan100, а также переносить трафик для изолированной VLAN, которая является частью первичной VLAN pvlan400.

  • Community port — коммутативные порты сообщества взаимодействуют между собой и со своими разноназначными портами. Порты сообщества служат только для выбранной группы пользователей. Эти интерфейсы отделены на уровне 2 от всех других интерфейсов в других сообществах или изолированных портах в пределах их PVLAN.

  • Изолированный порт доступа. У изолированных портов есть связь уровня 2 только со изолированными портами и портами магистрали PVLAN — изолированный порт не может взаимодействовать с другим изолированным портом, даже если эти два порта являются членами одной изолированной VLAN (или interswitch isolated VLAN) домена. Обычно сервер, например, почтовый сервер или резервный сервер, подключается к изолированному порту. В отелях каждое помещение обычно подключается к изолированному порту, т.е. подключение «номер-помещение» невозможно, но каждый номер может подключаться к Интернету через разносто возможный порт.

  • Promiscuous access port (не показан) — эти порты переносят непотаговый трафик. Трафик, в который вошел через порт разного доступа, переадресуется на все вторичные порты VLAN устройства. Если трафик вошел на устройство на порте с поддержкой VLAN и на выходе через порт разного доступа, трафик на выходе не будет разбит. Если маркированный трафик вошел на порт разного доступа, трафик отбрасывается.

  • Порт связи interswitch. Порт связи interswitch (ISL) является магистральным портом, соединяющим два маршрутизатора, когда эти маршрутизаторы охватывает PVLAN. Порт ISL является членом всех VLAN в пределах PVLAN (то есть первичной VLAN, сообществ VLAN и изолированной VLAN).

    Связь между портом ISL и изолированным портом является однонаправленной. Членство порта ISL в изолированной сети VLAN коммерсантов является только для выходящих портов, что означает, что входящий трафик на порте ISL никогда не назначен изолированной VLAN. Изолированный порт может перенаададировать пакеты на магистральный порт PVLAN, но порт магистрали PVLAN не может переададминировать пакеты на изолированный порт. Табл. 3 суммирует, существует ли соединение уровня 2 между различными типами портов.

Табл. 2 суммирует соединение уровня 2 между различными типами портов внутри PVLAN на коммутаторах серии EX, которые поддерживают ELS.

Табл. 2: Порты PVLAN и переададаторы уровня 2 на коммутаторах серии EX, поддерживаюющих ELS

Из типа порта

К изолированным портам?

Для разных портов?

Для портов сообщества?

На порт связи между коммутаторами?

Изолированные

Отрицать

Разрешение

Отрицать

Разрешение

Смешанный

Разрешение

Разрешение

Разрешение

Разрешение

Сообщество 1

Отрицать

Разрешение

Разрешение

Разрешение

Табл. 3: Порты PVLAN и подключение уровня 2

Тип порта

Разностоявая магистраль

Магистраль PVLAN

Вторичный транк

Сообщество

Изолированный доступ

Профилактический доступ

Разностостояная магистраль

да

да

да

да

да

да

Магистраль PVLAN

да

да

да

Да — только одно и то же сообщество

да

да

Вторичный транк

да

да

Нет

да

Нет

да

Сообщество

да

да

да

Да — только одно и то же сообщество

Нет

да

Изолированный доступ

да

Да — только однонаправленный.

Нет

Нет

Нет

да

Профилактический доступ

да

да

да

да

да

Нет

Табл. 4 суммирует, существует ли соединение уровня 2 между различными типами портов в PVLAN.

Табл. 4: Порты PVLAN и подключение уровня 2 на коммутаторах серии EX без поддержки ELS

Тип порта

Кому: →

From:году:

Смешанный

Сообщество

Изолированные

Магистраль PVLAN

Rvi

Смешанный

да

да

да

да

да

Сообщество

да

Да — только одно и то же сообщество

Нет

да

да

Изолированные

да

Нет

Нет

да

Прим.:

Это однонаправленное взаимодействие.

да

Магистраль PVLAN

да

Да — только одно и то же сообщество

да

Прим.:

Это однонаправленное взаимодействие.

да

да

Rvi

да

да

да

да

да

Как уже было отмечено, связь уровня 2 между изолированным портом и Табл. 4 портом магистрали PVLAN является однонаправленной. То есть изолированный порт может отправлять пакеты только на порт магистрали PVLAN, а порт магистрали PVLAN может принимать только пакеты из изолированного порта. Наоборот, порт магистрали PVLAN не может отправлять пакеты на изолированный порт, а изолированный порт не может принимать пакеты от порта магистрали PVLAN.

Прим.:

Если включить первичную VLAN, то все изолированные no-mac-learning VLAN (или interswitch isolated VLAN) в PVLAN наследуют этот параметр. Однако если необходимо отключить обучение MAC-адрес сообществе VLANs, необходимо настроить каждую из no-mac-learning этих VLANs.

Создание PVLAN

Схея, показанная в окнах, позволяет общее представление о процессе Рис. 6 создания PVLANs. Если вы выполните действия по настройке в том порядке, который показан, вы не нарушите эти правила PVLAN. (В правилах PVLAN настройка порта магистрали PVLAN применяется только к PVLAN, которая охватывает несколько маршрутизаторов.)

  • Основной VLAN должна быть метленной VLAN.

  • Чтобы настроить VLAN-ID сообщества, сначала необходимо настроить первичную VLAN.

  • При настройке ID изолированной сети VLAN сначала необходимо настроить первичную VLAN.

Прим.:

Настройка VLAN для голоса через IP (VoIP) на интерфейсах PVLAN не поддерживается.

Настройка VLAN на одном маршрутизаторе относительно проста, как показано Рис. 6 в.

Рис. 6: Настройка PVLAN на одном коммутатореНастройка PVLAN на одном коммутаторе

Настройка первичной сети VLAN состоит из этих действий:

  1. Настройте первичное имя VLAN и метку 802.1Q.

  2. Настройка no-local-switching основной сети VLAN.

  3. Настройте порты promiscuous trunk и access.

  4. В первичной VLAN сделайте порты магистрали и порты доступа разномерными.

В первичной сети VLAN можно настроить вторичные сети VLAN сообщества или вторичные изолированные сети VLAN или обе. Настройка вторичной сети VLAN сообщества состоит из этих действий:

  1. Настройте VLAN, используя обычный процесс.

  2. Настройте интерфейсы доступа для VLAN.

  3. Назначьте первичную VLAN сообществу VLAN,

Изолированные сети VLAN создаются внутри, когда у изолированной VLAN есть интерфейсы доступа как члены, а для первичной сети VLAN включен no-local-switching параметр.

Теги 802.1Q необходимы для изолированных VLAN interswitch, так как IEEE 802.1Q использует внутренний механизм маркировки, с помощью которого транкинговая компания вставляет в заглавную таблицу пакета идентификационный кадр размером 4-byte VLAN.

Магистральные порты необходимы только для многоавторных конфигураций PVLAN — транковый порт передает трафик как из первичной, так и из всех вторичных VLAN.

Ограничения частных VLANs

К конфигурациям частных VLAN применяются следующие ограничения:

  • Интерфейс доступа может принадлежать только одному домену PVLAN, то есть он не может участвовать в двух основных VLAN.

  • Магистральные интерфейсы могут быть членами двух вторичных VLA, пока вторичные VLANs находятся в двух различных первичных VLANs. Магистральные интерфейсы не могут быть членами двух вторичных VLAN, которые находятся в одной первичной сети VLAN.

  • Для всех VLAN, включенных в PVLAN, необходимо настроить один регион протокола нескольких spanning Tree Protocol (MSTP).

  • Протокол протокола spanning Tree VLAN (VSTP) не поддерживается.

  • IGMP Snooping не поддерживается в частных VLANs.

  • Маршрутные интерфейсы VLAN не поддерживаются на частных VLAN

  • Маршрутка между вторичными VLAN в одной первичной сети VLAN не поддерживается.

  • Некоторые утверждения конфигурации не могут быть заданы во вторичной VLAN. Следующие утверждения можно настроить на уровне иерархии только [edit vlans vlan-name switch-options]в первичной PVLAN.

  • Если необходимо изменить первичную VLAN на в качестве вторичной, сначала измените ее на обычную VLAN и сфиксировать изменение. Например, вы выполните эту процедуру:

    1. Измените первичную VLAN на обычную VLAN.

    2. Сфиксировать конфигурацию.

    3. Измените обычную VLAN на вторичную VLAN.

    4. Сфиксировать конфигурацию.

    Для изменения вторичной VLAN в качестве первичной следует следовать той же последовательности фиксов. То есть, сделайте вторичную VLAN обычной VLAN и сфиксировать это изменение, а затем измените обычную VLAN на первичную VLAN.

Следующие функции не поддерживаются в PVLANs на Junos с поддержкой стиля конфигурации ELS:

  • Фильтры межсетевых экранов VLAN для выпада

  • Защита кольца Ethernet (ERP)

  • Гибкая маркировка VLAN

  • глобальная mac-статистика

  • Интерфейс интегрированной маршрутной и маршрутной (IRB) маршрутов

  • Группы агрегирования многокорпорационных соединений (MC-LAGs)

  • зеркальное отражение портов

  • Туннеление Q-in-Q

  • Протокол протокола spanning Tree VLAN (VSTP)

  • Голос по IP (VoIP)

Следующие утверждения можно настроить на уровне иерархии только [edit vlans vlan-name switch-options] для первичной PVLAN:

Понимание потока трафика PVLAN через несколько коммутаторов

Данный раздел иллюстрирует и объясняет три различных потока трафика на примере сети multiswitch, настроенной с частной VLAN (PVLAN). Сети PVLAN ограничивают потоки трафика через свои порты-члены коммутатора (которые называются "частными портами"), так что они взаимодействуют только с определенным портом магистрали для отключении магистрали или с указанными портами в пределах одной VLAN.

Эта тема описывает:

VLAN сообщества, отправляя непотагсорный трафик

В этом сценарии VLAN в community-1 коммутатора 1 на интерфейсе ge-0/0/0 отправляет непотагичный трафик. Стрелки представляют Рис. 7 данный поток трафика.

Рис. 7: Сообщество VLAN отправляет непотагченный трафикСообщество VLAN отправляет непотагченный трафик

В этом сценарии на коммутаторе 1 будет перейти следующее действие:

  • VLAN сообщества-1 на интерфейсе ge-0/0/0: Обучения

  • pvlan100 на интерфейсе ge-0/0/0: Репликации

  • VLAN сообщества 1 на интерфейсе ge-0/0/12: Принимает трафик

  • Порт магистрали PVLAN: Трафик выходит из ge-1/0/2 и из ae0 с тегом 10

  • Community-2: Интерфейс не получает трафик

  • Изолированные сети VLANs: Интерфейсы не получают трафик

В этом сценарии данное упражнение имеет место на коммутаторе 3:

  • VLAN сообщества-1 на интерфейсе ge-0/0/23 (магистраль PVLAN): Обучения

  • pvlan100 на интерфейсе ge-0/0/23: Репликации

  • VLAN сообщества-1 на интерфейсах ge-0/0/9 и ge-0/0/16: Принимает трафик

  • Promiscuous trunk port: Трафик выходит из ge-0/0/0 с тегом 100

  • Community-2: Интерфейс не получает трафик

  • Изолированные сети VLANs: Интерфейсы не получают трафик

Изолированная VLAN, отправляя непотагичный трафик

В этом сценарии изолированная VLAN1 на коммутаторе 1 в интерфейсе ge-1/0/0 отправляет непотагичный трафик. Стрелки представляют Рис. 8 данный поток трафика.

Рис. 8: Изолированная VLAN отправляет непотагичный трафикИзолированная VLAN отправляет непотагичный трафик

В этом сценарии на коммутаторе 1 будет перейти следующее действие:

  • Изолированная VLAN1 на интерфейсе ge-1/0/0: Обучения

  • pvlan100 на интерфейсе ge-1/0/0: Репликации

  • Трафик выходит из pvlan-trunk ge-1/0/2 и ae0 с тегом 50

  • Сообщества 1 и Community-2: Интерфейсы не получают трафик

  • Изолированные сети VLANs: Интерфейсы не получают трафик

В этом сценарии данное упражнение имеет место на коммутаторе 3:

  • VLAN на интерфейсе ge-0/0/23 (порт магистрали PVLAN): Обучения

  • pvlan100 на интерфейсе ge0/0/23: Репликации

  • Promiscuous trunk port: Трафик выходит из ge-0/0/0 с тегом 100

  • Сообщества 1 и Community-2: Интерфейсы не получают трафик

  • Изолированные сети VLANs: Не получает трафик

Трафик с тегами PVLAN, отосланный по разностоененму порту

В этом сценарии маркированный трафик PVLAN отправляется на разнозвенный порт. Стрелки представляют Рис. 9 данный поток трафика.

Рис. 9: Трафик с тегами PVLAN, отосланный по разностоененму портуТрафик с тегами PVLAN, отосланный по разностоененму порту

В этом сценарии на коммутаторе 1 будет перейти следующее действие:

  • VLAN pvlan100 на интерфейсе ae0 (магистраль PVLAN): Обучения

  • Сообщество-1, Сообщество-2 и все изолированные VLANs на интерфейсе ae0: Репликации

  • VLAN на интерфейсе ae0: Репликации

  • Трафик выходит из pvlan-trunk ge-1/0/2 с тегом 100

  • Сообщества 1 и Community-2: Интерфейсы получают трафик

  • Изолированные сети VLANs: Получение трафика

В этом сценарии данное упражнение имеет место на коммутаторе 3:

  • pvlan100 на интерфейсе ge-0/0/0: Обучения

  • Сообщество-1, сообщество-2 и все изолированные VLANs на интерфейсе ge-0/0/0: Репликации

  • VLAN на интерфейсе ge-0/0/0: Репликации

  • Сообщества 1 и Community-2: Интерфейсы получают трафик

  • Изолированные сети VLANs: Получение трафика

Понимание вторичных магистральных портов VLAN и портов разного доступа в PVLAN

Широковещательные сети VLANs ограничиваются только для определенных пользователей. Частные сети VLAN (PVLAN) еще больше повысьте эту концепцию, разделив VLAN на несколько поддомеанд широковещательной передачи и по сути помещая вторичные сети VLAN в первичную VLAN. Сети PVLAN ограничивают потоки трафика через свои порты-члены таким образом, чтобы эти порты связывались только с указанным портом магистрали для отладки или с указанными портами в пределах одной и той же VLAN. Порт магистрали для подключения к магистрали для подключения к маршрутизатору, брандмауэру, серверу или сети поставщика услуг. Обычно PVLAN содержит несколько частных портов, которые взаимодействуют только с одним uplink, что не позволяет портам взаимодействовать друг с другом.

Вторичные порты магистрали и порты разного доступа расширяют функциональность PVLANs для использования в сложных развертываниях, таких как:

  • Среды корпоративной инфраструктуры VMWare

  • Многоавещенная облачные сервисы управления VM

  • Услуги по размещению веб-серверов для нескольких клиентов

Например, можно использовать вторичные магистральные порты VLAN для подключения устройств QFX к серверам VMware, настроенным с помощью частных VLAN. Для соединения устройств QFX с системами, которые не поддерживают магистральные порты, но требуют участия в частных VLANs, можно использовать порты разного доступа.

В этой теме объясняются следующие концепции, касающиеся PVLANs на серия QFX:

Типы портов PVLAN

PVLANs могут использовать следующие типы портов:

  • Promiscuous trunk port– разностоверный порт магистрали в направлении оператора к маршрутизатору, брандмауэру, серверу или сети поставщика. Разнонастоечные порты магистрали могут взаимодействовать со всеми интерфейсами, включая изолированные и сообществовые порты в пределах PVLAN.

  • Порт магистрали PVLAN — для работы коммутаторов требуется магистраальный порт PVLAN в конфигурации multiswitch PVLAN. Порт магистрали PVLAN является членом всех VLAN внутри PVLAN (то есть первичные VLAN, сообщества VLAN и interswitch isolated VLAN), и он передает трафик из первичной и всех вторичных VLAN. Он может взаимодействовать со всеми портами.

    Связь между магистральным портом PVLAN и изолированным портом обычно однонаправленна. Членство порта магистрали PVLAN в изолированной сети VLAN является только выходным, т.е. изолированный порт может переадресовывать пакеты на магистральный порт PVLAN, но порт магистрали PVLAN не передает пакеты на изолированный порт (если пакеты не впускаются на изолированный порт доступа и, таким образом, переадресуются всем вторичным VLAN в той же первичной сети VLAN, что и изолированные порты).

  • Вторичный порт магистрали VLAN — вторичные порты магистрали VLAN переносят вторичный трафик VLAN. Для данной частной (первичной) VLAN дополнительный порт магистрали VLAN может переносить трафик только для одной вторичной VLAN. Однако дополнительный порт магистрали VLAN может переносить трафик для нескольких вторичных VLAN, пока каждая вторичная VLAN является членом другой первичной VLAN. Например, дополнительный порт магистрали VLAN может переносить трафик для сети VLAN сообщества, которая является частью первичной VLAN pvlan100, а также переносить трафик для изолированной VLAN, которая является частью первичной VLAN pvlan400.

    Прим.:

    При утере трафика из вторичного порта магистрали VLAN он обычно содержит метку основной VLAN, членом которую является вторичный порт. Если необходимо, чтобы трафик, выеханый из вторичного порта магистрали VLAN, сохранил тег вторичной сети VLAN, используйте extend-secondary-vlan-id эту утверждение.

  • Community port — коммутативные порты сообщества взаимодействуют между собой и со своими разноназначными портами. Порты сообщества служат только для выбранной группы пользователей. Эти интерфейсы отделены на уровне 2 от всех других интерфейсов в других сообществах или изолированных портах в пределах их PVLAN.

  • Изолированный порт доступа. У изолированных портов есть связь уровня 2 только со изолированными портами и магистральными портами PVLAN. Изолированный порт доступа не может взаимодействовать с другим изолированным портом, даже если эти два порта являются членами одной изолированной сети VLAN.

  • Promiscuous access port. Эти порты переносят непотаговый трафик и могут быть членами только одной первичной VLAN. Трафик, в который входит порт разного доступа, переадресуется на порты вторичных VLAN, которые являются членами первичной сети VLAN, членом которую является этот порт. В этом случае трафик содержит соответствующую метку вторичной VLAN при откате от вторичного порта VLAN, если вторичный порт VLAN является магистральным портом. Если трафик вошел на вторичный порт VLAN и выход на разнозвенный порт доступа, на выходе трафик не будет разбит. Если маркированный трафик вошел на порт разного доступа, трафик отбрасывается.

Сведения о дополнительных портах магистрали VLAN

При использовании вторичного порта магистрали VLAN следует помнить следующее:

  • Необходимо настроить изолированный VLAN ID для каждой первичной сети VLAN, в которую будет участвовать дополнительный порт магистрали VLAN. Это справедливо даже в том случае, если вторичные сети VLAN, которые будет переносить дополнительный порт магистрали VLAN, ограничены одним устройством.

  • Если порт настроен в качестве вторичного магистрального порта VLAN для данной основной сети VLAN, можно также настроить такой же физический порт как любой из следующих:

    • Вторичный порт магистрали VLAN для другой основной VLAN

    • Магистраль PVLAN для другой основной VLAN

    • Promiscuous trunk port (Разностойкий порт магистрали)

    • Порт доступа для не частной сети VLAN

  • Трафик, в который взламывется порт магистрали вторичной сети VLAN (с тегом вторичной VLAN) и выпадает на магистральном порту PVLAN, сохраняет вторичную метку VLAN на выпаде.

  • Для трафика, впадаемого на вторичный порт магистрали VLAN и выпадаемого на разностоятельных портах магистрали, имеется соответствующая первичная метка VLAN на отступе.

  • Трафик, в который вошел на вторичный порт магистрали VLAN и выход на разнозвенный порт доступа, не имеет разбитого на выходе.

  • Трафик, который впадает на порт promiscuous trunk с основной меткой VLAN и выпадает на вторичный порт магистрали VLAN, содержит соответствующую вторичную метку VLAN на выпаде. Например, предположим, что на коммутаторе настроено следующее:

    • Первичная VLAN 100

    • VLAN сообщества 200 как часть основной VLAN

    • Promiscuous trunk port (Разностойкий порт магистрали)

    • Вторичный магистральный порт, несущий community VLAN 200

    Если пакет влияет на порт promiscuous trunk с первичной меткой VLAN 100 и на выпадение на вторичный порт магистрали VLAN, он содержит метку 200 на выпаде.

Случаи использования

На одном физическом интерфейсе можно настроить несколько вторичных магистральных портов VLAN (в разных первичных VLAN) или объединить дополнительный порт магистрали VLAN с другими типами портов VLAN. В следующих примерах использования покажут, как будет поступать трафик в каждом случае:

Вторичные магистрали VLAN в двух основных VLAN

В данном случае предположим, что имеется два коммутатора со следующей конфигурацией:

  • Первичная VLAN pvlan100 с тегом 100.

    • Изолированная VLAN isolated200 с тегом 200 является членом pvlan100.

    • Сообщество VLAN comm300 с тегом 300 является членом pvlan100.

  • Первичная VLAN pvlan400 с тегом 400.

    • Изолированная VLAN isolated500 с тегом 500 является членом pvlan400.

    • Community VLAN comm600 с тегом 600 является членом pvlan400.

  • Интерфейс xe-0/0/0 на коммутаторе 1 подключается к серверу VMware (не показан), который настроен с частными VLANs, используемыми в этом примере. Этот интерфейс настроен со вторичными магистральными портами VLAN для переноса трафика для вторичной VLAN comm600 и изолированной VLAN (tag 200), которая является членом pvlan100.

  • Интерфейс xe-0/0/0 на коммутаторе 2 показан в конфигурации как порт разнонастройной магистрали или порта разнонастройного доступа. В последнем случае можно предположить, что он подключен к системе (не показанной), которая не поддерживает магистральные порты, но настроена с частными VLANs, используемыми в этом примере.

  • На коммутаторе 1 xe-0/0/6 является членом comm600 и настраивается как порт магистрали.

  • На коммутаторе 2 xe-0/0/6 является членом comm600 и настраивается как порт доступа.

Рис. 10 показывает эту топологию и то, как трафик для isolated200 и comm600 будет поступать после впадения на xe-0/0/0 на коммутаторе 1. Обратите внимание, что трафик будет поступать только там, где указаны стрелки. Например, для интерфейсов xe-0/0/2, xe-0/0/3 и xe-0/0/5 на коммутаторе 1 нет стрелок, так как никакие пакеты не будут выходить на эти интерфейсы.

Рис. 10: Два вторичных магистральных порта VLAN на одном интерфейсеДва вторичных магистральных порта VLAN на одном интерфейсе

Вот поток трафика для VLAN isolated200:

  1. После того, как трафик для изолированных200 вошел на вторичный порт магистрали VLAN на коммутаторе 1, он входит в порт магистрали PVLAN, поскольку порт магистрали PVLAN является членом всех VLAN. Пакеты при отступе продолжают хранить тег вторичной VLAN (200).
  2. После того, как трафик для изолированных200 влиятельных портов магистрали VLAN на коммутаторе 2, он переходит на xe-0/0/0, который настраивается как изолированный порт магистрали или порт разноназначного доступа.
    • Если xe-0/0/0 на коммутаторе 2 настроен как promiscuous trunk port, пакеты вылещаются на этот порт с первичной меткой VLAN (100).

    • Если xe-0/0/0 на коммутаторе 2 настроен как promiscuous port доступа, пакеты выход на этот порт не разбит.

Обратите внимание, что трафик для изолированной VLAN200 не идет на изолированный порт доступа xe-0/0/2 на коммутаторе 1 или вторичный порт магистрали VLAN xe-0/0/2 на коммутаторе 2, даже если эти два порта являются членами одной изолированной VLAN.

Вот поток трафика для VLAN comm600:

  1. После того, как трафик для comm600 входит на вторичный порт магистрали VLAN на коммутаторе 1, он переходит на порт магистрали PVLAN, поскольку порт магистрали PVLAN является членом всех VLAN. При пропадающих пакетах метка вторичной VLAN (600) содержится.

  2. Трафик для comm600 также вышел на порт сообщества xe-0/0/6 на коммутаторе 1. Трафик маркирован, так как порт настроен в качестве магистрали.

  3. После того, как трафик для comm600 вошел на порт магистрали PVLAN на коммутаторе 2, он вышел на xe-0/0/0, если этот интерфейс настроен в качестве разноравного порта магистрали.

    Прим.:

    Если xe-0/0/0 на коммутаторе 2 настроен как порт доступа со стороны promiscuous, порт может участвовать только в одной первичной VLAN. В этом случае, порт разного доступа является частью pvlan100, поэтому трафик для comm600 не будет выход из него

  4. Трафик для comm600 также вышел на порт сообщества xe-0/0/6 на коммутаторе 2. В этом случае трафик не разбит, так как для порта существует режим доступа.

Магистраль вторичной сети VLAN и многократная магистраль

В данном случае использования предположим, что два коммутатора настроены с одними портами и VLANs, как в предыдущем случае, с одним исключением: В этом случае xe-0/0/0 на коммутаторе 1 настроен в качестве вторичного порта магистрали VLAN для VLAN pvlan100 и также настроен в качестве разнонастройного магистрального порта для pvlan400.

Рис. 11 показывает эту топологию и то, как трафик для isolated200 (член pvlan100) и comm600 (участник pvlan400) будет поступать после включении на коммутаторе 1.

Рис. 11: Магистраль вторичной сети VLAN и магистраль общего четного класса на одном интерфейсеМагистраль вторичной сети VLAN и магистраль общего четного класса на одном интерфейсе

Поток трафика для VLAN isolated200 тот же, что и в предыдущем случае использования, но поток для comm600 отличается. Вот поток трафика для VLAN comm600:

  1. После того, как трафик для comm600 вшел на порт сообщества VLAN xe-0/0/6 на коммутаторе 1, он вышел на разнозвенный транковый порт xe-0/0/0 на коммутаторе 1. В данном случае он содержит метку основной VLAN (400).
  2. Трафик для comm600 также выпадет на порт магистрали PVLAN, поскольку порт магистрали PVLAN является членом всех VLAN. При пропадающих пакетах метка вторичной VLAN (600) содержится.
  3. После того, как трафик для comm600 вошел на порт магистрали PVLAN на коммутаторе 2, он вышел на xe-0/0/0, если этот интерфейс настроен в качестве разноравного порта магистрали.

    Он не выпадет на xe-0/0/0, если этот интерфейс настроен как разноравный порт доступа, поскольку порт может участвовать только в pvlan100.

  4. Трафик для comm600 также вышел на порт сообщества xe-0/0/6 на коммутаторе 2.

Магистраль вторичной сети VLAN и магистраль PVLAN

Для этого случая использования предположим, что два коммутатора настроены с одинаковыми портами и VLAN, как в предыдущих случаях использования, за исключением того, что на коммутаторе 1 xe-0/0/0 настроен как дополнительный порт магистрали VLAN для VLAN pvlan100 и также настроен как порт магистрали PVLAN для pvlan400.

Рис. 12 показывает эту топологию и то, как трафик для comm300 (член pvlan100) и comm600 (участник pvlan400) будет поступать после включении на коммутаторе 1.

Рис. 12: Вторичный магистраль VLAN и магистраль PVLAN на одном интерфейсеВторичный магистраль VLAN и магистраль PVLAN на одном интерфейсе

Вот поток трафика для VLAN comm300:

  1. После впадения трафика для comm300 на порт сообщества xe-0/0/3 на коммутаторе 1, он входит в магистральный порт PVLAN xe-0/0/1 из-за того, что порт магистрали PVLAN является членом всех VLAN. При пропадающих пакетах содержится тег вторичной VLAN (300).
    Прим.:

    Трафик для comm300 не выпадет на xe-0/0/0, поскольку вторичный порт магистрали VLAN на этом интерфейсе содержит isolated200, а не comm300.

  2. После впуска трафика для comm300 на порт магистрали PVLAN на коммутаторе 2, он переходит на xe-0/0/0, который настраивается как разнозвенный порт магистрали или порт разнонастроенного доступа.
    • Если xe-0/0/0 на коммутаторе 2 настроен как promiscuous trunk port, пакеты вылещаются на этот порт с первичной меткой VLAN (100).

    • Если xe-0/0/0 на коммутаторе 2 настроен как promiscuous port доступа, пакеты выход на этот порт не разбит.

  3. Трафик для comm300 также вышел на порт сообщества xe-0/0/3 на коммутаторе 2.

Вот поток трафика для VLAN comm600:

  1. После того, как трафик для comm600 вшел на порт PVLAN xe-0/0/0 на коммутаторе 1, он вышел на порт сообщества xe-0/0/6 на коммутаторе 1. Пакеты не вмещают тег вторичной VLAN (600) при выпадении, поскольку xe-0/0/6 является магистральным портом.

  2. Трафик для comm600 также выпадет на магистральный порт PVLAN xe-0/0/1, так как этот порт PVLAN является членом всех VLAN. При пропадающих пакетах метка вторичной VLAN (600) содержится.

  3. После того, как трафик для comm600 вошел на порт магистрали PVLAN на коммутаторе 2, он вышел на xe-0/0/0, если этот интерфейс настроен в качестве разноравного порта магистрали.

    Он не выпадет на xe-0/0/0, если этот интерфейс настроен как разноравный порт доступа, поскольку порт может участвовать только в pvlan100.

  4. Трафик для comm600 также вышел на порт сообщества xe-0/0/6 на коммутаторе 2. Этот трафик не разбит на выходе, поскольку xe-0/0/6 является портом доступа.

Интерфейс вторичной сети VLAN Trunk и нечастного интерфейса VLAN

В данном случае предположим, что два коммутатора настроены с одинаковыми портами и VLANs, как в предыдущих случаях использования, за исключением этих отличий:

  • Конфигурация для xe-0/0/0 на коммутаторе 1:

    • Вторичный порт магистрали VLAN для VLAN pvlan100

    • Порт доступа для vlan700

  • Порт xe-0/0/6 на обоих коммутаторах является портом доступа для vlan700.

Рис. 13 показывает эту топологию и то, как трафик для isolated200 (член pvlan100) и vlan700 будет поступать после включении на коммутаторе 1.

Рис. 13: Вторичный порт VLAN и не-частный порт VLAN на одном интерфейсеВторичный порт VLAN и не-частный порт VLAN на одном интерфейсе

Вот поток трафика для VLAN isolated200:

  1. После того, как трафик для изолированных200 вошел на вторичный порт магистрали VLAN на коммутаторе 1, он переходит на порт магистрали PVLAN. Пакеты при отступе продолжают хранить тег вторичной VLAN (200).
  2. После того, как трафик для изолированных200 вошел на магистральный порт PVLAN на коммутаторе 2, он переходит на xe-0/0/0, который настраивается как изолированный порт магистрали или порт разноназначного доступа.
    • Если xe-0/0/0 на коммутаторе 2 настроен как promiscuous trunk port, пакеты вылещаются на этот порт с первичной меткой VLAN (100).

    • Если xe-0/0/0 на коммутаторе 2 настроен как promiscuous port доступа, пакеты выход на этот порт не разбит.

Обратите внимание, что трафик для изолированной VLAN200 не идет на изолированный порт доступа xe-0/0/2 на коммутаторе 1 или вторичный порт магистрали VLAN xe-0/0/2 на коммутаторе 2, даже если эти два порта являются членами одной изолированной VLAN.

После впуска трафика для vlan700 на порт доступа, настроенный на xe-0/0/0 на коммутаторе 1, он выходит на порт доступа xe-0/0/6, так как этот порт является членом той же VLAN. Трафик для vlan700 не перенащается на коммутатор 2 (даже если на коммутаторе 2 xe-0/0/6 является членом vlan700), поскольку магистраль PVLAN на xe-0/0/1 не переносит эту VLAN.

Впуск трафика на разноназначенный порт доступа

В данном случае предположим, что два коммутатора настроены с одинаковыми портами и VLAN, как в предыдущем случае использования, за исключением того, что на коммутаторе 1 xe-0/0/0 настроен как разнозвенный порт доступа и является членом pvlan100. показывает эту топологию и то, как непометный трафик будет проходить после Рис. 14 внияния через этот интерфейс на коммутаторе 1.

Рис. 14: Впуск трафика на разноназначенный порт доступаВпуск трафика на разноназначенный порт доступа

Как показано на рисунке, непотаговый трафик, в который входит порт доступа, переадресуется на все вторичные порты VLAN, которые являются членами одной первичной сети VLAN, в которую входит порт разностоенного доступа. Трафик немеченый при выходе из портов доступа и маркирован на выходе из магистрали порта (xe-0/0/2 на коммутаторе 2).

Использование аутентификации 802.1X и частных VLANs на одном интерфейсе

Понимание использования аутентификации 802.1X и PVLANs вместе на одном интерфейсе

Теперь можно настроить на одном интерфейсе и аутентификацию 802.1X, и частные VLANs (PVLANs).

IEEE аутентификация 802.1X обеспечивает безопасность сетевой границы, защищает сети Ethernet от несанкционированного доступа пользователя, блокируя весь трафик в интерфейсе и от него, пока учетные данные приложения не будут представлены и не будут совпаны на сервере аутентификации (RADIUS сервер).

Частные сети VLAN (PVLAN) обеспечивают изоляцию уровня 2 между портами внутри VLAN, разделив широковещательный домен на несколько отдельных поддомелей широковещательной передачи путем создания вторичных VLAN. Сети PVLANs полезны для ограничения потока широковещательного и неизвестного однонастного трафика, а также для ограничения связи между известными хостами.

На коммутаторе, настроенном с аутентификацией 802.1X и сетями PVLAN, при подключении нового устройства к сети PVLAN происходит аутентификация устройства, а затем происходит присвоение вторичной VLAN на основе конфигурации PVLAN или RADIUS профиля. Затем устройство получает IP-адрес и получает доступ к сети PVLAN.

Прим.:

В этом документе не содержится подробных сведений об аутентификации 802.1X или частных VLANs. Эти сведения см. в документации по функциям, специфическим для отдельных функций. Для 802.1X см. Руководство пользователя по доступу и аутентификации. Для PVLANs см. Руководство пользователя коммутаторов Ethernet.

Рекомендации по конфигурации для сочетания аутентификации 802.1X с PVLANs

Помните следующие инструкции и ограничения по настройке этих двух функций на одном интерфейсе:

  • Нельзя настроить интерфейс с поддержкой 802.1X как пользовательский (интерфейс, который по конфигурации является членом первичной VLAN) или как интерфейс с поддержкой interswitch-link (ISL).

  • Несколько пользователей не могут быть аутентификацией через различные VLAN, принадлежащие одному домену PVLAN на логическом интерфейсе. Например, если интерфейс ge-0/0/0 настроен так, как клиенты C1 и C2 аутентификация и добавлены в динамические VLAN V1 и V2, то V1 и V2 должны принадлежать разным supplicant multiple доменам PVLAN.

  • Если VLAN VoIP и VLAN передачи данных отличаются, эти две сети VLAN должны быть в разных доменах PVLAN.

  • Если членство PVLAN изменено (то есть интерфейс перенастроен в другой PVLAN), клиенты должны быть повторно переустановлены.

Примере: Настройка аутентификации 802.1X с частными VLANs в одной конфигурации

Требования

  • Junos OS версии 18.2R1 или более поздней

  • EX2300, EX3400 или EX4300 коммутатора

Перед началом укажите RADIUS или серверы, которые будут использоваться в качестве сервера аутентификации. См. RADIUS соединений серверов на коммутаторах (интерфейс командной строки процедуры).

Обзор

В следующем разделе конфигурации показана конфигурация профиля доступа, конфигурация аутентификации 802.1X и, наконец, конфигурация VLANs (включая PVLANs).

Настройка аутентификации 802.1X с частными VLANs в одной конфигурации

Процедуры
интерфейс командной строки быстрой конфигурации
Пошаговая процедура

Для настройки аутентификации 802.1X и PVLANs в одной конфигурации:

  1. Настройка профиля доступа:

    Прим.:

    Настроенная VLAN VoIP не может быть PVLAN (первичной, сообществом или изолированной).

  2. Настройте параметры 802.1X:

    Прим.:

    Настроенная VLAN для данных может также быть VLAN сообщества или изолированной VLAN.

  3. Настройка VLANs (включая PVLANs):

Результаты

В режиме конфигурации подтвердите конфигурацию, введите на show коммутаторе следующие команды. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

Проверки

Проверка, что MAC-адреса клиентов выучаются в первичной сети VLAN
Цель

Покажите, что MAC-адрес клиент уже узнал о первичной сети VLAN.

Действий
Убедитесь, что первичной VLAN является аутентификация VLAN
Цель

Покажите, что первичная VLAN отображается как аутентификация VLAN.

Действий

Обеспечение безопасности порта доступа на частных VLANs

О безопасности портов доступа в PVLANs

Теперь функции безопасности порта доступа, такие как функции DHCP Snooping, можно включить в частных VLANs (PVLANs).

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция PVLAN позволяет разделить широковещательный домен на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN.

Сети Ethernet уязвимы для таких атак, как спуфинг (подмена адресов) и атаки на сетевые устройства отказ в обслуживании (DoS) уровня 2. Следующие функции обеспечения безопасности порта доступа помогают защитить устройство от потерь информации и производительности, которые могут вызвать такие атаки, и теперь можно настроить эти функции безопасности в PVLAN:

  • DHCP Snooping — фильтры и блокировки сообщений впадаемого сервера DHCP на неподтверченных портах. При создании и обслуживании базы данных аренды DHCP создается и ведется база данных, называемая базой данных Snooping DHCP.

  • DHCPv6 Snooping — служба DHCP для IPv6.

  • Параметр 82 DHCP также известен как параметр DHCP Relay Agent Information. Помогает защитить коммутатор от таких атак, как спуфинг IP-адресов и MAC-адресов, а также от нехватки IP-адресов DHCP. Параметр 82 предоставляет информацию о расположении сети клиента DHCP. Сервер DHCP использует эти сведения для реализации IP-адресов или других параметров для клиента.

  • Параметры DHCPv6:

    • Вариант 37 — параметр удаленного идентификации для DHCPv6; вставляет информацию о расположении сети удаленного хоста в пакеты DHCPv6.

    • Вариант 18 — параметр цепи ID для DHCPv6; вставляет информацию о клиентском порте в пакеты DHCPv6.

    • Вариант 16 — параметр ID поставщика для DHCPv6; вставляет информацию о поставщике клиентского оборудования в пакеты DHCPv6.

  • Динамическая проверка ARP (DAI) — предотвращает подмену адресов (ARP) на протокол разрешения адресов. Запросы и ответы ARP сравниваются с записями в базе данных проверки DHCP, а решения о фильтрации принимаются на основе результатов этих сравнения.

  • IP source guard— устраняет последствия атак подмены IP-адресов на ЛВС Ethernet; проверяет IP-адрес источника в пакете, отправленном с недоверенного интерфейса доступа к базе данных Snooping DHCP. Если пакет не может быть проверен, он отбрасывается.

  • IPv6 source guard — ip source guard для IPv6.

  • IPv6 neighbor discovery inspection — предотвращает подмену адреса IPv6; сравнивает запросы обнаружения соседей и отвечает на записи в базе данных обнаружения DHCPv6, а решения о фильтрации принимаются на основе результатов этих сравнения.

Прим.:

В этом документе не содержится подробной информации о функции безопасности порта доступа или PVLANs. Эти сведения см. в документации по функциям, специфическим для отдельных функций. Для обеспечения безопасности порта доступа см. Руководство по администрированию служб безопасности. Для PVLANs см. Руководство пользователя коммутаторов Ethernet.

Рекомендации по конфигурации для настройки функций безопасности порта доступа в PVLANs

Следует иметь в виду следующие инструкции и ограничения для настройки функций безопасности порта доступа в PVLANs:

  • Необходимо применить одинаковые функции защиты порта доступа как к первичной, так и ко всем вторичным VLAN.

  • У PVLAN может быть только один встроенный интерфейс маршрутной и ремексной (IRB), а интерфейс IRB должен быть в первичной VLAN.

  • Ограничения на конфигурации безопасности порта доступа на PVLANs те же, что и для функций безопасности порта доступа, которые не находятся в PVLANs. См. документацию по безопасности порта доступа в руководстве по администрированию служб безопасности.

Примере: Настройка безопасности порта доступа на PVLAN

Требования

  • Junos OS версии 18.2R1 или более поздней

  • EX4300 коммутатор

Обзор

Следующий раздел конфигурации показывает:

  • Конфигурация частной VLAN с первичной VLAN () и тремя вторичными vlan-pri VLAN-сообществами VLAN (и) и изолированной vlan-hrvlan-finance VLAN vlan-iso ().

  • Конфигурация интерфейсов, используемых для передачи данных между интерфейсами этих VLANs.

  • Настройка функций безопасности доступа в первичных и вторичных VLAN, которые составляют PVLAN.

Табл. 5 перечисляет настройки для примерной топологии.

Табл. 5: Компоненты топологии для настройки PVLAN с функциями безопасности порта доступа
Интерфейс Описание

ge-0/0/0.0

Основной интерфейс магистрали VLAN (vlan1-pri)

ge-0/0/11.0

Пользователь 1, HR Community (vlan-hr)

ge-0/0/12.0

Пользователь 2, HR Community (vlan-hr)

ge-0/0/13.0

Пользователь 3, финансовое сообщество (vlan-finance)

ge-0/0/14.0

Пользователь 4, финансовое сообщество (vlan-finance)

ge-0/0/15.0

Почтовый сервер, изолированный (vlan-iso)

ge-0/0/16.0

Резервный сервер, изолированный (vlan-iso)

ge-1/0/0.0

Основной интерфейс магистрали VLAN (vlan-pri)

Настройка безопасности порта доступа на PVLAN

Процедуры
интерфейс командной строки быстрой конфигурации
Пошаговая процедура

Чтобы настроить частную VLAN (PVLAN), а затем настроить функции безопасности порта доступа на этой PVLAN:

  1. Настройка PVLAN — создайте первичную и вторичные сети VLAN и назначьте им VLAN ID. Связывать интерфейсы с VLANs. (Подробные сведения о настройке VLANs см. в настройках VLANs для коммутаторов серии EX с поддержкой ELS (интерфейс командной строки процедуры).)

  2. Настройте функции безопасности порта доступа на первичной и всех его вторичных VLAN:

    Прим.:

    При настройке проверки ARP, защиты источника IP, защиты от источника IPv6, проверки обнаружения соседа, параметра DHCP 82 или DHCPv6 параметры, параметры DHCP Snooping и DHCPv6 автоматически настраиваются.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите на show коммутаторе следующие команды. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

Проверки

Убедитесь, что функции безопасности доступа работают, как ожидалось
Цель

Убедитесь, что функции безопасности порта доступа, настроенные на PVLAN, работают, как ожидалось.

Действий

Используйте команды интерфейс командной строки и интерфейс командной строки, чтобы убедиться, что show dhcp-securityclear dhcp-security функции работают, как ожидалось. См. подробные сведения об этих командах в руководстве по администрированию служб безопасности.

Создание частной VLAN на одном коммутаторе с поддержкой ELS (интерфейс командной строки)

Прим.:

Данная задача Junos OS для коммутаторов с поддержкой стиля конфигурации Enhanced Layer 2 Software (ELS). Если на коммутаторе серии EX работает программное обеспечение, не поддерживаю которое поддерживает ELS, см. "Создание частной VLAN на одном коммутаторе серии EX" (интерфейс командной строки). Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки.

Прим.:

Частные сети VLANs не поддерживаются на QFX5100 и коммутаторах QFX10002 с Junos OS версии 15.1X53.

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика или ограничить взаимодействие между известными хостом. Частные сети VLAN (PVLAN) позволяют разделить широковещательный домен (первичная VLAN) на несколько изолированных поддомелей широковещательной передачи (вторичные VLAN), по сути помещая VLAN в VLAN. Данная процедура описывает, как создать PVLAN на одном коммутаторе.

Прим.:

Необходимо указать VLAN ID для каждой вторичной VLAN, даже если PVLAN настроена на одном коммутаторе.

Не нужно предварительно заранее сконфигурировать первичную VLAN. На этом тему показана настройка первичной VLAN в рамках процедуры настройки PVLAN.

Список инструкций по настройке частных VLANs см. в документе Общие принципы частных VLANs.

Настройка частной VLAN на одном коммутаторе:

  1. Установите ID VLAN для основной сети VLAN:
  2. Настройте по крайней мере один интерфейс в первичной сети VLAN таким образом, чтобы он связывался со всеми поддоменами PVLAN. Этот интерфейс функционирует как разовый порт. Он может быть либо магистральным портом, либо портом доступа.
  3. Настройте другой promiscuous интерфейс первичной VLAN в качестве магистрали порта для подключения PVLAN к внешнему маршрутизатору или коммутатору:
  4. Создайте изолированную VLAN, выбрав параметр для и установив ID для изолированной isolatedprivate-vlan VLAN:
    Прим.:

    В рамках частной сети VLAN можно создать только одну изолированную VLAN. Настройка имени сети VLAN для изолированной сети VLAN необязательна. Требуется настройка ID VLAN.

  5. Создайте сообщество VLAN, выбрав параметр для и установив communityprivate-vlan ID VLAN для этого сообщества VLAN:
    Прим.:

    Чтобы создать дополнительные VLAN сообщества, повторите этот шаг и укажите другое имя сообщества VLAN. Настройка имени VLAN для сети VLAN сообщества не является обязательной. Требуется настройка ID VLAN.

  6. Связывать изолированную VLAN с первичной VLAN:
  7. Связывать каждую сообществовую VLAN с первичной VLAN:
  8. Если это не было сделано ранее, настройте по крайней мере один интерфейс изолированной VLAN.
  9. Если это не было сделано ранее, настройте по крайней мере один интерфейс сети VLAN сообщества.
    Прим.:

    Повторите то же самое, что и для других VLAN сообщества, которые необходимо включить в PVLAN.

Создание частной VLAN на одном коммутаторе QFX

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частной VLAN (PVLAN) позволяет разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая вторичную VLAN в первичную VLAN. В этом разделе описывается настройка PVLAN на одном коммутаторе.

Перед началом работы настройте имена для всех вторичных VLAN, которые будут частью первичной VLAN. (Не требуется настраивать первичную VLAN— она настраивается в рамках данной процедуры.) Для вторичных VLAN создавать ID (теги) VLAN не требуется. Если тегировать вторичные VLAN, работа не нарушается, но теги не используются, если вторичные сети VLAN настроены на одном коммутаторе.

При настройке PVLAN помните об этих правилах:

  • Основной VLAN должна быть метленной VLAN.

  • Если вы хотите настроить VLAN сообщества, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN. Также необходимо настроить первичную VLAN как частную, используя утверждение pvlan.

  • Если вы хотите настроить изолированную VLAN, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

Если вы выполните действия по настройке в том порядке, который показан, вы не нарушите эти правила PVLAN. Настройка частной VLAN на одном коммутаторе:

  1. Задай имя и VLAN ID (тег 802.1Q) для основной сети VLAN:
  2. Настройте VLAN как частную:
  3. Настройка магистральных интерфейсов для основной сети VLAN:
  4. Добавьте магистральные интерфейсы в первичную VLAN:
  5. Настройте интерфейсы доступа для сообществ (вторичных) VLANs:
  6. Добавьте интерфейсы доступа в сообщества VLANs:
  7. Для каждой сети VLAN сообщества установите первичную VLAN:
  8. Настройте изолированные порты:

Создание частной VLAN на одном коммутаторе серии EX (интерфейс командной строки)

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частной VLAN (PVLAN) на коммутаторах серии EX позволяет разделить широковещательный домен, также известный как первичная VLAN, на несколько изолированных поддомелей широковещательной передачи, также известных как вторичные сети VLAN. Разбиение первичной VLAN на вторичные сети VLAN фактически вложено в VLAN внутри другой VLAN. В этом разделе описывается настройка PVLAN на одном коммутаторе.

Перед началом работы настройте имена для всех вторичных VLAN, которые будут частью первичной VLAN. (В отличие от вторичных VLAN, нет необходимости в предварительной настройке первичной VLAN — эта процедура обеспечивает полную конфигурацию первичной VLAN.) Хотя теги не нужны, если вторичная VLAN настроена на одном коммутаторе, настройка вторичной VLAN как помеченной не влияет на ее функциональность. Инструкции по настройке вторичных VLANs см. в "Настройка VLANs для коммутаторов серии EX".

Помните эти правила при настройке PVLAN на одном коммутаторе:

  • Основной VLAN должна быть метленной VLAN.

  • Настройка VLAN VoIP на интерфейсах PVLAN не поддерживается.

Настройка частной VLAN на одном коммутаторе:

  1. Установите ID VLAN для основной сети VLAN:
  2. Установите интерфейсы и режимы порта:
  3. Настройте порты доступа в первичной VLAN так, чтобы пакеты не переадамились друг другу:
  4. Для каждой сети VLAN сообщества настройте интерфейсы доступа:
  5. Для каждой сети VLAN сообщества установите первичную VLAN:

Изолированные сети VLANs не настраиваются как часть этого процесса. Вместо этого они создаются внутри сети, если она включена в первичной сети VLAN, и изолированная VLAN имеет интерфейсы доступа no-local-switching в качестве членов.

Чтобы дополнительно включить маршрутную маршрутизацию между изолированными и сообществами VLAN с помощью маршрутизируемых интерфейсов VLAN (RVI) вместо разнонамерного порта, подключенного к маршрутизатору, см. "Настройка маршрутизируемых VLAN-интерфейсов в частной VLAN на коммутаторах серии EX".

Прим.:

Только EX8200 коммутатор или EX8200 Virtual Chassis поддерживают использование RVI для маршрутации трафика уровня 3 между изолированными и сообществами VLAN в домене PVLAN.

Создание частной сети VLAN, охватывающей несколько серия QFX коммутаторов

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частной VLAN (PVLAN) позволяет разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая вторичную VLAN в первичную VLAN. В этой теме описывается настройка PVLAN для нескольких коммутаторов.

Перед началом работы настройте имена для всех вторичных VLAN, которые будут частью первичной VLAN. (Не требуется настраивать первичную VLAN— она настраивается в рамках данной процедуры.) Для вторичных VLAN создавать ID (теги) VLAN не требуется. Если тегировать вторичные VLAN, работа не нарушается, но теги не используются, если вторичные сети VLAN настроены на одном коммутаторе.

Для создания PVLANs применяются следующие правила:

  • Основной VLAN должна быть метленной VLAN.

  • Если вы хотите настроить VLAN сообщества, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN. Также необходимо настроить первичную VLAN как частную, используя утверждение pvlan.

  • Если вы хотите настроить изолированную VLAN, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

Если вы выполните действия по настройке в том порядке, который показан, вы не нарушите эти правила PVLAN. Настройка частной VLAN для нескольких коммутаторов:

  1. Задай имя и VLAN ID (тег 802.1Q) для основной сети VLAN:
  2. Настройте VLAN как частную:
  3. Настройка магистральных интерфейсов для основной сети VLAN:
  4. Добавьте магистральные интерфейсы в первичную VLAN:
  5. Настройте интерфейсы доступа для сообществ (вторичных) VLANs:
  6. Добавьте интерфейсы доступа в сообщества VLANs:
  7. Для каждой сети VLAN сообщества установите первичную VLAN:
  8. Настройте изолированный VLAN ID для создания изолированного домена между коммутаторами:
  9. Настройте изолированные порты:

Создание частной VLAN, spanning Multiple EX Series Switches с поддержкой ELS (интерфейс командной строки процедуры)

Прим.:

Данная задача Junos OS для коммутаторов серии EX с поддержкой стилей конфигурации улучшенного программного обеспечения уровня 2 (ELS) Если коммутатор работает под управлением ПРОГРАММНОго обеспечения, не поддерживаюного ELS, см. "Создание частных коммутаторов серии VLAN, spanning Multiple EX Series Switches" (интерфейс командной строки). Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки.

Прим.:

Частные сети VLANs не поддерживаются на QFX5100 и коммутаторах QFX10002 с Junos OS версии 15.1X53.

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика или ограничить взаимодействие между известными хостом. Частные сети VLAN (PVLAN) позволяют разделить широковещательный домен (первичная VLAN) на несколько изолированных поддомелей широковещательной передачи (вторичные VLAN), по сути помещая VLAN в VLAN. В данной процедуре описана настройка PVLAN для работы нескольких коммутаторов.

Список инструкций по настройке частных VLANs см. в документе Общие принципы частных VLANs.

Чтобы настроить PVLAN на нескольких коммутаторах, выполните следующую процедуру на всех коммутаторах, которые будут участвовать в PVLAN::

  1. Создайте первичную VLAN, задав уникальное имя VLAN и укажите тег 802.1Q для VLAN:
  2. На коммутаторе, который подключается к маршрутизатору, настройте в качестве порта магистрали пользовательский интерфейс для подключения PVLAN к маршрутизатору:
  3. На всех коммутаторах настройте магистральные интерфейсы в качестве межмутаторного соединения (ISL), который будет использоваться для соединения коммутаторов друг с другом:
  4. Создайте изолированную VLAN в первичной VLAN, выбрав параметр для и установив isolatedprivate-vlan ID VLAN для изолированной VLAN:
    Прим.:

    В рамках частной сети VLAN можно создать только одну изолированную VLAN. Изолированная VLAN может содержать ряд интерфейсов от нескольких коммутаторов, из которых составляется PVLAN. Настройка имени сети VLAN для изолированной сети VLAN необязательна. Требуется настройка ID VLAN.

  5. Создайте сообщество VLAN в первичной VLAN, выбрав параметр для и установив ID VLAN для этого сообщества communityprivate-vlan VLAN::
    Прим.:

    Чтобы создать дополнительные VLAN сообщества, повторите этот шаг и укажите другое имя сообщества VLAN. Настройка имени VLAN для сети VLAN сообщества не является обязательной. Требуется настройка ID VLAN.

  6. Связывать изолированную VLAN с первичной VLAN:
  7. Связывать каждую сообществовую VLAN с первичной VLAN:
  8. Если это не было сделано ранее, настройте по крайней мере один интерфейс доступа для работы в изолированной сети VLAN.
  9. Если это не было сделано ранее, настройте по крайней мере один интерфейс доступа для присоединения к VLAN сообщества.
    Прим.:

    Повторите этот шаг для других VLAN сообщества, которые находятся в PVLAN.

Создание частной сети VLAN, охватывающей несколько коммутаторов серии EX (интерфейс командной строки процедуры)

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частных VLAN (PVLAN) на коммутаторах серии EX позволяет администратору разделять домен широковещательной передачи, также известного как первичная VLAN, на несколько изолированных поддомелей широковещательной передачи, также известных как вторичные сети VLAN. Разбиение первичной VLAN на вторичные сети VLAN фактически вложено в VLAN внутри другой VLAN. В этой теме описывается настройка PVLAN для нескольких коммутаторов.

Перед началом работы настройте имена для всех вторичных VLAN, которые будут частью первичной VLAN. (В отличие от вторичных VLAN, нет необходимости в предварительной настройке первичной VLAN — эта процедура обеспечивает полную конфигурацию первичной VLAN.) Инструкции по настройке вторичных VLANs см. в "Настройка VLANs для коммутаторов серии EX".

Для создания PVLANs применяются следующие правила:

  • Основной VLAN должна быть метленной VLAN.

  • Перед настройкой вторичных VLAN необходимо настроить первичную и магистральные порты PVLAN.

  • Настройка VLAN VoIP на интерфейсах PVLAN не поддерживается.

  • Если протокол регистрации нескольких VLAN (MVRP) настроен на порте магистрали PVLAN, конфигурация вторичных VLAN и порта магистрали PVLAN должна быть зафиксирована с той же самой операцией сфиксаем.

Настройка частной VLAN для нескольких коммутаторов:

  1. Настройте имя и тег 802.1Q для основной сети VLAN:.
  2. Установите первичную VLAN без локальной коммутатора:
  3. Установите интерфейс магистрали PVLAN, который соединит первичную VLAN с соседним коммутатором:
  4. Настройте имя и тег 802.1Q для сети VLAN сообщества, которая охватывает коммутаторы:
  5. Добавьте интерфейсы доступа в сообщество VLAN:
  6. Укажите первичную VLAN указанного сообщества VLAN:
  7. Добавьте изолированный интерфейс в указанную первичную VLAN:
    Прим.:

    Чтобы настроить изолированный интерфейс, включите его в качестве одного из членов первичной VLAN, но не настройте как принадлежащий одной из сообществ VLAN.

  8. Установите метку 802.1Q изолированной VLAN interswitch:

    Теги 802.1Q необходимы для изолированных VLAN interswitch, так как IEEE 802.1Q использует внутренний механизм маркировки, с помощью которого транкинговая компания вставляет в заглавную таблицу пакета идентификационный кадр размером 4-byte VLAN.

Чтобы дополнительно включить маршрутную маршрутизацию между изолированными и сообществами VLAN с помощью маршрутизируемых интерфейсов VLAN (RVI) вместо разнонамерного порта, подключенного к маршрутизатору, см. "Настройка маршрутизируемых VLAN-интерфейсов в частной VLAN на коммутаторах серии EX".

Прим.:

Только EX8200 коммутатор или EX8200 Virtual Chassis поддерживают использование RVI для маршрутации трафика уровня 3 между изолированными и сообществами VLAN в домене PVLAN.

Примере: Настройка частной VLAN на одном коммутаторе с поддержкой ELS

Прим.:

В данном примере Junos OS для коммутаторов с поддержкой стилей конфигурации Enhanced Layer 2 Software (ELS). Если коммутатор EX работает с программным обеспечением, не поддерживаюным ELS, см. пример: Настройка частной VLAN на одном коммутаторе серии EX. Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки.

Прим.:

Частные сети VLANs не поддерживаются на QFX5100 и коммутаторах QFX10002 с Junos OS версии 15.1X53.

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика или ограничить взаимодействие между известными хостом. Частные сети VLAN (PVLAN) позволяют разделить широковещательный домен (первичная VLAN) на несколько изолированных поддомелей широковещательной передачи (вторичные VLAN), по сути помещая VLAN в VLAN.

В данном примере описывается, как создать PVLAN на одном коммутаторе:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Один Junos OS коммутатор

  • Junos OS коммутаторов серии EX 14.1X53-D10 или более поздних версий

    Junos OS для 14.1X53-D15 или более поздней версии для серия QFX коммутаторов

Обзор и топология

Для повышения безопасности и эффективности можно изолировать группы абонентов. В данном примере конфигурации используется простая топология, которая показывает, как создать PVLAN с одной первичной и тремя вторичными VLAN (одна изолированная VLAN и две сети VLAN сообщества).

Табл. 6 перечисляет интерфейсы топологии, используемые в примере.

Табл. 6: Интерфейсы топологии для настройки PVLAN
Интерфейс Описание

ge-0/0/0

ge-1/0/0

Порты-участникы, которые могут быть разноназначными

ge-0/0/11ge-0/0/12

Порты членов VLAN сообщества HR

ge-0/0/13ge-0/0/14

Финансовое финансовое сообщество портов-членов VLAN

ge-0/0/15ge-0/0/16

Изолированные порты-члены

Табл. 7 перечисляет VLAN ID топологии, использованной в примере.

Табл. 7: VLAN ID в топологии для настройки PVLAN
VLAN ID Описание

100

Первичная VLAN

200

VLAN сообщества кадров

300

VLAN сообщества финансового сообщества

400

Изолированная VLAN

Рис. 15 показывает топологию для этого примера.

Рис. 15: Топология частной VLAN на одном коммутаторе серии EXТопология частной VLAN на одном коммутаторе серии EX

Конфигурации

Можно использовать существующую VLAN в качестве базы для частной PVLAN и создавать в ней поддомена. В этом примере в рамках процедуры создается первичная VLAN с использованием vlan-pri имени VLAN.

Чтобы настроить PVLAN, выполните эти задачи:

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLAN, скопируйте следующие команды и включите их в окно терминала коммутатора:

Процедуры

Пошаговая процедура

Настройка PVLAN:

  1. Создайте первичную VLAN (в этом примере имя vlan-pri –) частной VLAN:

  2. Создайте изолированную VLAN и назначьте ее VLAN ID:

  3. Создайте HR-сообщество VLAN и назначьте ему VLAN ID:

  4. Создайте VLAN финансового сообщества и назначьте ему VLAN ID:

  5. Связывать вторичные сети VLAN с первичной VLAN:

  6. Установите интерфейсы в соответствующие режимы:

  7. Настройте недопустимый интерфейс магистрали основной сети VLAN. Этот интерфейс используется первичной VLAN для связи с вторичными VLAN.

  8. Настройте еще один магистральный интерфейс (также является разнонастройным интерфейсом) основной сети VLAN, подключив PVLAN к маршрутизатору.

Примере: Настройка частной VLAN на одном коммутаторе серия QFX сети

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить взаимодействие между известными хостом. Функция частной VLAN (PVLAN) позволяет администратору разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN.

В данном примере описывается, как создать PVLAN на одном коммутаторе:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Одно QFX3500 устройство

  • Junos OS версии 12.1 или более поздней для серия QFX

Перед началом настройки PVLAN убедитесь, что были созданы и настроены необходимые сети VLAN. См. Настройка VLANs на коммутаторах .

Обзор и топология

В большом офисе с несколькими зданиями и VLANs может потребоваться изолировать несколько групп или других конечных точек по причинам безопасности или раздел домена широковещательной передачи. В этом примере конфигурации показана простая топология, которая показывает, как создать PVLAN с одной первичной VLAN и двумя сообществами VLAN, одной для HR и второй для финансирования, а также двумя изолированными портами— для почтового сервера и другой для резервного сервера.

Табл. 8 перечисляет параметры для примерной топологии.

Табл. 8: Компоненты топологии для настройки PVLAN
Интерфейс Описание

ge-0/0/0.0

Интерфейс магистрали первичной сети VLAN pvlan100 ()

ge-0/0/11.0

Пользователь 1, отдел кадров hr-comm ()

ge-0/0/12.0

Пользователь 2, отдел кадров hr-comm ()

ge-0/0/13.0

Пользователь 3, финансовое сообщество finance-comm ()

ge-0/0/14.0

Пользователь 4, финансовое сообщество finance-comm ()

ge-0/0/15.0

Почтовый сервер, изолированный isolated ()

ge-0/0/16.0

Резервный сервер, изолированный isolated ()

ge-1/0/0.0

Интерфейс магистрали первичной сети VLAN pvlan100 ()

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLAN, скопируйте следующие команды и включите их в окно терминала коммутатора:

Процедуры

Пошаговая процедура

Настройка PVLAN:

  1. Установите ID VLAN для основной сети VLAN:

  2. Установите интерфейсы и режимы порта:

  3. Установите первичную VLAN без локальной коммутатора:

    Прим.:

    Основной VLAN должна быть метленной VLAN.

  4. Добавьте магистральные интерфейсы в первичную VLAN:

  5. Для каждой вторичной VLAN настройте интерфейсы доступа:

    Прим.:

    Для вторичных VLANs рекомендуется использовать ненагрузки VLANs. Это не нарушает функционирование при теге вторичных VLAN. Однако теги не используются, если вторичная VLAN настроена на одном коммутаторе.

  6. Для каждой сети VLAN сообщества установите первичную VLAN:

  7. Настройка изолированных интерфейсов в первичной сети VLAN:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания частных и вторичных VLAN

Цель

Проверьте правильность создания первичной и вторичной VLAN на коммутаторе.

Действий

Используйте show vlans команду:

Смысл

Выходные данные показывают, что первичная VLAN была создана и идентифицирует интерфейсы и связанные с ней вторичные сети VLAN.

Примере: Настройка частной VLAN на одном коммутаторе серии EX

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частных VLAN (PVLAN) на коммутаторах серии EX позволяет администратору разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN.

В данном примере описывается, как создать PVLAN на одном коммутаторе серии EX:

Прим.:

Настройка VLAN для голоса через IP (VoIP) на интерфейсах PVLAN не поддерживается.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Один коммутатор серии EX

  • Junos OS версии 9.3 или более поздней версии для коммутаторов серии EX

Перед началом настройки PVLAN убедитесь, что были созданы и настроены необходимые сети VLAN. См. "Настройка VLANs для коммутаторов серии EX".

Обзор и топология

В большом офисе с несколькими зданиями и VLANs может потребоваться изолировать несколько групп или других конечных точек по причинам безопасности или раздел домена широковещательной передачи. В этом примере конфигурации показана простая топология, которая показывает, как создать PVLAN с одной первичной VLAN и двумя сообществами VLAN, одной для HR и второй для финансирования, а также двумя изолированными портами— для почтового сервера и другой для резервного сервера.

Табл. 9 перечисляет настройки для примерной топологии.

Табл. 9: Компоненты топологии для настройки PVLAN
Интерфейс Описание

ge-0/0/0.0

Интерфейс магистрали первичной сети VLAN vlan1 ()

ge-0/0/11.0

Пользователь 1, отдел кадров hr-comm ()

ge-0/0/12.0

Пользователь 2, отдел кадров hr-comm ()

ge-0/0/13.0

Пользователь 3, финансовое сообщество finance-comm ()

ge-0/0/14.0

Пользователь 4, финансовое сообщество finance-comm ()

ge-0/0/15.0

Почтовый сервер, изолированный isolated ()

ge-0/0/16.0

Резервный сервер, изолированный isolated ()

ge-1/0/0.0

Интерфейс магистрали первичной сети VLAN pvlan ()

Рис. 16 показывает топологию для этого примера.

Рис. 16: Топология частной VLAN на одном коммутаторе серии EXТопология частной VLAN на одном коммутаторе серии EX

Конфигурации

Чтобы настроить PVLAN, выполните эти задачи:

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLAN, скопируйте следующие команды и включите их в окно терминала коммутатора:

Процедуры

Пошаговая процедура

Настройка PVLAN:

  1. Установите ID VLAN для основной сети VLAN:

  2. Установите интерфейсы и режимы порта:

  3. Установите первичную VLAN без локальной коммутатора:

    Прим.:

    Основной VLAN должна быть метленной VLAN.

  4. Добавьте магистральные интерфейсы в первичную VLAN:

  5. Для каждой вторичной сети VLAN настройте VLAN ID и интерфейсы доступа:

    Прим.:

    Для вторичных VLANs рекомендуется использовать ненагрузки VLANs. Это не нарушает функционирование при теге вторичных VLAN. Однако теги не используются, если вторичная VLAN настроена на одном коммутаторе.

  6. Для каждой сети VLAN сообщества установите первичную VLAN:

  7. Добавьте каждый изолированный интерфейс в первичную VLAN:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания частных и вторичных VLAN

Цель

Проверьте правильность создания первичной и вторичной VLAN на коммутаторе.

Действий

Используйте show vlans команду:

Смысл

Выходные данные показывают, что первичная VLAN была создана и идентифицирует интерфейсы и связанные с ней вторичные сети VLAN.

Примере: Настройка частной VLAN, переключающих несколько коммутаторов QFX

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить взаимодействие между известными хостом. Функция частной VLAN (PVLAN) позволяет администратору разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN. PVLAN может охватывать множество коммутаторов.

В данном примере описывается, как создать PVLAN, охватывающую несколько коммутаторов. В примере создается одна первичная PVLAN, содержащая несколько вторичных VLAN:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Три QFX3500 устройства

  • Junos OS версии 12.1 или более поздней для серия QFX

Перед началом настройки PVLAN убедитесь, что были созданы и настроены необходимые сети VLAN. См. Настройка VLANs на коммутаторах .

Обзор и топология

В большом офисе с несколькими зданиями и VLANs может потребоваться изолировать несколько групп или других конечных точек по причинам безопасности или раздел домена широковещательной передачи. В этом примере конфигурации показано, как создать PVLAN, охватывающую несколько устройств QFX, с одной первичной VLAN, содержащей две VLAN сообщества (одну для HR и одну для финансирования), и interswitch изолированную VLAN (для почтового сервера, резервного сервера и сервера CVS). PVLAN включает в себя три коммутатора, два коммутатора доступа и один распределительный коммутатор. PVLAN подключается к маршрутизатору через разностоверный порт, настроенный на распределительном коммутаторе.

Прим.:

Изолированные порты на коммутаторе 1 и на коммутаторе 2 не имеют возможности подключения уровня 2 друг к другу, даже если они включены в один и тот же домен. См. Понимание частных VLANs .

Рис. 17 показывает топологию для этого примера — два коммутатора доступа, подключенных к распределительному коммутатору, который имеет соединение (через разовый порт) с маршрутизатором.

Рис. 17: Топология PVLAN, охватывающая несколько коммутаторовТопология PVLAN, охватывающая несколько коммутаторов

Табл. 10, Табл. 11 и Табл. 12 со списком параметров примерной топологии.

Табл. 10: Компоненты коммутатора 1 в топологии для настройки PVLAN Spanning Multiple Devices
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolation-vlan-idТег 50finance-commТег 300hr-commТег 400

Магистральные интерфейсы PVLAN

ge-0/0/0.0, подключает коммутатор 1 к коммутатору 3

ge-0/0/5.0, подключает коммутатор 1 к коммутатору 2

Изолированные интерфейсы в первичной VLAN

ge-0/0/15.0, почтовый сервер

ge-0/0/16.0, резервный сервер

Интерфейсы в сети VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Интерфейсы в сети VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Табл. 11: Компоненты коммутатора 2 в топологии для настройки PVLAN Spanning Multiple Devices
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolation-vlan-idТег 50finance-commТег 300hr-commТег 400

Магистральные интерфейсы PVLAN

ge-0/0/0.0, подключает коммутатор 2 к коммутатору 3

ge-0/0/5.0, подключает коммутатор 2 к коммутатору 1

Изолированный интерфейс в первичной сети VLAN

ge-0/0/17.0, сервер CVS

Интерфейсы в сети VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Интерфейсы в сети VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Табл. 12: Компоненты коммутатора 3 в топологии для настройки PVLAN Spanning Multiple Devices
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolation-vlan-idТег 50finance-commТег 300hr-commТег 400

Магистральные интерфейсы PVLAN

ge-0/0/0.0, подключает коммутатор 3 к коммутатору 1

ge-0/0/1.0, подключает коммутатор 3 к коммутатору 2

Promiscuous port (разнонаборный порт)

ge-0/0/2, подключает PVLAN к маршрутизатору

Прим.:

Необходимо настроить порт магистрали, соединяющий PVLAN с другим коммутатором или маршрутизатором, который находится за пределами PVLAN, как участник PVLAN, который в неявном образом настраивает ее в качестве разнонастройного порта.

Топологии

Настройка PVLAN на коммутаторе 1

При настройке PVLAN на нескольких коммутаторах применяются эти правила:

  • Основной VLAN должна быть метленной VLAN. Рекомендуется сначала настроить первичную VLAN.

  • Если вы хотите настроить VLAN ID сообщества, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN. Также необходимо настроить первичную VLAN как частную, используя утверждение pvlan.

  • Если вы хотите настроить изолированный VLAN ID, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLAN, охватывающие несколько коммутаторов, скопируйте следующие команды и вкопировать их в окно терминала коммутатора 1:

Процедуры

Пошаговая процедура
  1. Установите ID VLAN для основной сети VLAN:

  2. Установите магистральные интерфейсы PVLAN для подключения этой VLAN к соседним коммутаторам:

  3. Установите первичную VLAN как частную и не имеют локальной коммутаторов:

  4. Установите ID VLAN для сети finance-comm VLAN сообщества, которая охватывает коммутаторы:

  5. Настройка интерфейсов доступа для finance-comm VLAN:

  6. Установите первичную VLAN этой вторичной сети VLAN finance-comm сообщества:

  7. Установите VLAN ID для VLAN сообщества кадров VLAN, которая охватывает коммутаторы.

  8. Настройка интерфейсов доступа для hr-comm VLAN:

  9. Установите первичную VLAN этой вторичной сети VLAN hr-comm сообщества:

  10. Установите изолированный ID между коммутаторами для создания изолированного домена между коммутаторами:

  11. Настройка изолированных интерфейсов в первичной сети VLAN:

    Прим.:

    При настройке изолированного порта его необходимо включить в качестве участника первичной сети VLAN, но не настраивать как участника какой-либо сообщества VLAN.

Результаты

Проверьте результаты настройки:

Настройка PVLAN на коммутаторе 2

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить частную VLAN, которая включает несколько коммутаторов, скопируйте следующие команды и включите их в окно терминала коммутатора 2:

Прим.:

Конфигурация коммутатора 2 та же, что и конфигурация коммутатора 1, за исключением интерфейса в изолированном домене interswitch. Для коммутатора 2 интерфейсом является ge-0/0/17.0 .

Процедуры

Пошаговая процедура

Для настройки PVLAN на коммутаторе 2, который будет охватывать несколько коммутаторов:

  1. Установите ID VLAN для сети finance-comm VLAN сообщества, которая охватывает коммутаторы:

  2. Настройка интерфейсов доступа для finance-comm VLAN:

  3. Установите первичную VLAN этой вторичной сети VLAN finance-comm сообщества:

  4. Установите VLAN ID для VLAN сообщества кадров VLAN, которая охватывает коммутаторы.

  5. Настройка интерфейсов доступа для hr-comm VLAN:

  6. Установите первичную VLAN этой вторичной сети VLAN hr-comm сообщества:

  7. Установите ID VLAN для основной сети VLAN:

  8. Установите магистральные интерфейсы PVLAN, которые будут связывать эту VLAN с соседними коммутаторами:

  9. Установите первичную VLAN как частную и не имеют локальной коммутаторов:

  10. Установите изолированный ID между коммутаторами для создания изолированного домена между коммутаторами:

    Прим.:

    Для настройки изолированного порта включите его в качестве одного из членов первичной VLAN, но не настройте как принадлежащий одной из сообществ VLAN.

  11. Настройте изолированный интерфейс в первичной VLAN:

Результаты

Проверьте результаты настройки:

Настройка PVLAN на коммутаторе 3

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить коммутатор 3 на работу в качестве коммутатора распределения этой PVLAN, скопируйте следующие команды и вкопировать их в окно терминала коммутатора 3:

Прим.:

Интерфейс ge-0/0/2.0 является магистральным портом, соединяющим PVLAN с маршрутизатором.

Процедуры

Пошаговая процедура

Чтобы настроить коммутатор 3 в качестве распределителя для PVLAN, используйте следующую процедуру:

  1. Установите ID VLAN для сети finance-comm VLAN сообщества, которая охватывает коммутаторы:

  2. Установите первичную VLAN этой вторичной сети VLAN finance-comm сообщества:

  3. Установите VLAN ID для VLAN сообщества кадров VLAN, которая охватывает коммутаторы:

  4. Установите первичную VLAN этой вторичной сети VLAN hr-comm сообщества:

  5. Установите ID VLAN для основной сети VLAN:

  6. Установите магистральные интерфейсы PVLAN, которые будут связывать эту VLAN с соседними коммутаторами:

  7. Установите первичную VLAN как частную и не имеют локальной коммутаторов:

  8. Установите изолированный ID между коммутаторами для создания изолированного домена между коммутаторами:

    Прим.:

    Для настройки изолированного порта включите его в качестве одного из членов первичной VLAN, но не настройте как принадлежащий одной из сообществ VLAN.

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания первичной и вторичной VLAN на коммутаторе 1

Цель

Убедитесь, что конфигурация PVLAN, охватывающая несколько коммутаторов, работает правильно на коммутаторе 1:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN была создана на коммутаторе 1 и показывает, что она включает две изолированные VLAN, две сообщества VLAN и изолированную VLAN между коммутаторами. Наличие полей pvlan-trunk и inter-switch-isolated показывает, что эта PVLAN охватывает более одного коммутатора.

Проверка создания первичной и вторичной VLAN на коммутаторе 2

Цель

Проверьте правильность работы конфигурации PVLAN, охватывающей несколько коммутаторов, на коммутаторе 2:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN была создана на коммутаторе 2 и показывает, что она включает одну изолированную VLAN, две сообщества VLAN и изолированную VLAN между коммутаторами. Наличие полей pvlan-trunk и inter-switch-isolated показывает, что эта PVLAN охватывает более одного коммутатора. При сравнении этих выходных данных с выходных данных коммутатора 1 можно увидеть, что оба коммутатора принадлежат одной и той же PVLAN pvlan100 ().

Проверка создания первичной и вторичной VLAN на коммутаторе 3

Цель

Убедитесь, что конфигурация PVLAN, охватывающая несколько коммутаторов, работает правильно на коммутаторе 3:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN () настроена на коммутаторе 3 и в нее не входят изолированные VLAN, две сообщества VLAN и изолированная pvlan100 interswitch VLAN. Но коммутатор 3 функционирует как распределительный коммутатор, поэтому выходные данные не включают интерфейсы доступа в PVLAN. Она показывает только интерфейсы, которые подключаются от коммутатора 3 к другим коммутаторам (коммутатор 1 и коммутатор pvlan-trunkpvlan100 2) в той же PVLAN.

Примере: Настройка частной VLAN, охватывающей несколько коммутаторов с интерфейсом IRB

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить взаимодействие между известными хостом. Функция частной VLAN (PVLAN) позволяет администратору разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN. PVLAN может охватывать множество коммутаторов. В данном примере описывается, как создать PVLAN, охватывающую несколько коммутаторов. В примере создается одна первичная PVLAN, содержащая несколько вторичных VLAN.

Так же, как и обычные VLANs, сети PVLANs изолированы на уровне 2 и обычно требуют использования устройства уровня 3, если необходимо маршрутировать трафик. Начиная Junos OS 14.1X53-D30, можно использовать встроенный интерфейс маршрутной и ремешрутной (IRB) интерфейса для маршрутирования трафика уровня 3 между устройствами, подключенными к PVLAN. Используя таким образом интерфейс IRB, можно также разрешить устройствам в PVLAN взаимодействовать на уровне 3 с устройствами в других сообществах или изолированных VLAN или с устройствами вне PVLAN. В данном примере также показано, как включить интерфейс IRB в конфигурацию PVLAN.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Три серия QFX или EX4600 коммутатора

  • Junos OS выпуске с PVLAN для серия QFX или EX4600

Обзор и топология

В большом офисе с несколькими зданиями и VLANs может потребоваться изолировать несколько групп или других конечных точек по причинам безопасности или раздел домена широковещательной передачи. В этом примере конфигурации показано, как создать PVLAN, охватывающую несколько коммутаторов, с одной первичной VLAN, содержащей две VLAN сообщества (одна для HR и одна для финансирования), и interswitch isolated VLAN (для почтового сервера, резервного сервера и сервера CVS). PVLAN включает в себя три коммутатора — два коммутатора доступа и один распределительный коммутатор. Устройства в PVLAN подключены на уровне 3 друг к другу и к устройствам вне PVLAN через интерфейс IRB, настроенный на распределительном коммутаторе.

Прим.:

Изолированные порты на коммутаторе 1 и на коммутаторе 2 не имеют возможности подключения уровня 2 друг к другу, даже если они включены в один и тот же домен. См. Понимание частных VLANs .

Рис. 18 показывает топологию для этого примера.

Рис. 18: Топология PVLAN, охватывающая несколько коммутаторов с интерфейсом IRBТопология PVLAN, охватывающая несколько коммутаторов с интерфейсом IRB

Табл. 13, Табл. 14 и Табл. 15 со списком параметров примерной топологии.

Табл. 13: Компоненты коммутатора 1 в топологии для настройки PVLAN Spanning Multiple Devices
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolated-vlan-idТег 50finance-commТег 300hr-commТег 400

Интерфейсы связи interswitch

xe-0/0/0.0, подключает коммутатор 1 к коммутатору 3

xe-0/0/5.0, подключает коммутатор 1 к коммутатору 2

Изолированные интерфейсы в первичной VLAN

xe-0/0/15.0, почтовый сервер

xe-0/0/16.0, резервный сервер

Интерфейсы в сети VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Интерфейсы в сети VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Табл. 14: Компоненты коммутатора 2 в топологии для настройки PVLAN Spanning Multiple Devices
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolated-vlan-idТег 50finance-commТег 300hr-commТег 400

Интерфейсы связи interswitch

xe-0/0/0.0, подключает коммутатор 2 к коммутатору 3

xe-0/0/5.0, подключает коммутатор 2 к коммутатору 1

Изолированный интерфейс в первичной сети VLAN

xe-0/0/17.0, сервер CVS

Интерфейсы в сети VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Интерфейсы в сети VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Табл. 15: Компоненты коммутатора 3 в топологии для настройки PVLAN Spanning Multiple Devices
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolated-vlan-id, tag 50finance-comm , tag 300hr-commТег 400

Интерфейсы связи interswitch

xe-0/0/0.0, подключает коммутатор 3 к коммутатору 1.

xe-0/0/1.0, подключает коммутатор 3 к коммутатору 2.

Promiscuous port (разнонаборный порт)

xe-0/0/2, подключает PVLAN к другой сети.

Прим.:

Необходимо настроить порт магистрали, соединяющий PVLAN с другим коммутатором или маршрутизатором, который находится за пределами PVLAN, как участник PVLAN, который в неявном образом настраивает ее в качестве разнонастройного порта.

Интерфейс IRB

xe-0/0/0

xe-0/0/1

Настройте неограниченный прокси ARP на интерфейсе IRB, чтобы разрешить разрешение ARP, чтобы устройства, которые используют IPv4, могли взаимодействовать на уровне 3. Для трафика IPv6 необходимо в явном примере укандовать адрес IRB с адресом назначения, чтобы разрешить разрешение ARP.

Топологии

Обзор конфигурации

При настройке PVLAN на нескольких коммутаторах применяются следующие правила:

  • Основной VLAN должна быть метленной VLAN.

  • Первичная VLAN – это единственная VLAN, которая может быть членом интерфейса соединения interswitch.

При настройке интерфейса IRB в PVLAN применяются данные правила:

  • В PVLAN можно создать только один интерфейс IRB вне зависимости от того, сколько коммутаторов участвуют в PVLAN.

  • Интерфейс IRB должен быть членом первичной VLAN в PVLAN.

  • Каждое хост-устройство, к которое необходимо подключиться на уровне 3, должно использовать IP-адрес IRB в качестве адреса шлюза по умолчанию.

Настройка PVLAN на коммутаторе 1

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLAN, охватывающие несколько коммутаторов, скопируйте следующие команды и вкопировать их в окно терминала коммутатора 1:

Процедуры

Пошаговая процедура
  1. Настройте интерфейс xe-0/0/0 в качестве магистрали:

  2. Настройте интерфейс xe-0/0/0 в качестве соединения между компрессиями, который передает все VLANs:

  3. Настройте pvlan100 (первичная VLAN) в качестве участника интерфейса xe-0/0/0:

  4. Настройте интерфейс xe-0/0/5 в качестве магистрали:

  5. Настройте интерфейс xe-0/0/5 в качестве соединения между компрессиями, который передает все VLANs:

  6. Настройте pvlan100 в качестве участника интерфейса xe-0/0/5:

  7. Создайте сообщество VLAN для финансовой организации:

  8. Создайте сообщество VLAN для отдела кадров:

  9. Создайте изолированную VLAN для почтовых и резервных серверов:

  10. Создайте первичную VLAN и сделайте их участниками сообщества и изолированных VLAN:

  11. Настройте VLAN 300 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/11:

  12. Настройте VLAN 300 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/12:

  13. Настройте VLAN 400 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/13:

  14. Настройте VLAN 400 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/14:

  15. Настройте VLAN 50 (изолированную VLAN) в качестве участника интерфейса xe-0/0/15:

  16. Настройте VLAN 50 (изолированную VLAN) в качестве участника интерфейса xe-0/0/16:

Результаты

Проверьте результаты настройки:

Настройка PVLAN на коммутаторе 2

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить частную VLAN, которая включает несколько коммутаторов, скопируйте следующие команды и включите их в окно терминала коммутатора 2:

Прим.:

Конфигурация коммутатора 2 такая же, как и конфигурация коммутатора 1, за исключением изолированной VLAN. Для коммутатора 2 изолированным интерфейсом VLAN является xe-0/0/17.0 .

Процедуры

Пошаговая процедура
  1. Настройте интерфейс xe-0/0/0 в качестве магистрали:

  2. Настройте интерфейс xe-0/0/0 в качестве соединения между компрессиями, который передает все VLANs:

  3. Настройте pvlan100 (первичная VLAN) в качестве участника интерфейса xe-0/0/0:

  4. Настройте интерфейс xe-0/0/5 в качестве магистрали:

  5. Настройте интерфейс xe-0/0/5 в качестве соединения между компрессиями, который передает все VLANs:

  6. Настройте pvlan100 в качестве участника интерфейса xe-0/0/5:

  7. Создайте сообщество VLAN для финансовой организации:

  8. Создайте сообщество VLAN для отдела кадров:

  9. Создайте изолированную VLAN для почтовых и резервных серверов:

  10. Создайте первичную VLAN и сделайте их участниками сообщества и изолированных VLAN:

  11. Настройте VLAN 300 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/11:

  12. Настройте VLAN 300 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/12:

  13. Настройте VLAN 400 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/13:

  14. Настройте VLAN 400 (сообщество VLAN), чтобы быть членом интерфейса xe-0/0/14:

  15. Настройте VLAN 50 (изолированную VLAN) в качестве участника интерфейса xe-0/0/17:

Результаты

Проверьте результаты настройки:

Настройка PVLAN на коммутаторе 3

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить коммутатор 3 на работу в качестве коммутатора распределения этой PVLAN, скопируйте следующие команды и вкопировать их в окно терминала коммутатора 3:

Прим.:

Интерфейс xe-0/0/2.0 является магистральным портом, соединяющим PVLAN с другой сетью.

Процедуры

Пошаговая процедура

Чтобы настроить коммутатор 3 в качестве распределителя для PVLAN, используйте следующую процедуру:

  1. Настройте интерфейс xe-0/0/0 в качестве магистрали:

  2. Настройте интерфейс xe-0/0/0 в качестве соединения между компрессиями, который передает все VLANs:

  3. Настройте pvlan100 (первичная VLAN) в качестве участника интерфейса xe-0/0/0:

  4. Настройте интерфейс xe-0/0/5 в качестве магистрали:

  5. Настройте интерфейс xe-0/0/5 в качестве соединения между компрессиями, который передает все VLANs:

  6. Настройте pvlan100 в качестве участника интерфейса xe-0/0/5:

  7. Настройте интерфейс xe-0/0/2 (пользовательский интерфейс) в качестве магистрали:

  8. Настройте pvlan100 в качестве участника интерфейса xe-0/0/2:

  9. Создайте первичную VLAN:

  10. Создайте интерфейс IRB и назначьте ему адрес в подсети, используемой устройствами, подключенными к коммутаторам irb 1 и 2:

    Прим.:

    Каждое хост-устройство, к которое необходимо подключиться на уровне 3, должно быть в той же подсети, что и интерфейс IRB, и использовать IP-адрес интерфейса IRB в качестве адреса шлюза по умолчанию.

  11. Выполните настройку интерфейса IRB, прикрепив интерфейс к первичной pvlan100 VLAN:

  12. Настройте неограниченный прокси ARP для каждого блока интерфейса IRB так, чтобы разрешение ARP работает для трафика IPv4:

    Прим.:

    Поскольку устройства в сообществе и изолированных VLANs изолированы на уровне 2, этот шаг необходим для разрешения разрешения ARP между VLANs, чтобы устройства, использующие IPv4, могли взаимодействовать на уровне 3. (Для трафика IPv6 необходимо явно укандовать адрес IRB на адрес назначения, чтобы разрешить разрешение ARP.)

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания первичной и вторичной VLAN на коммутаторе 1

Цель

Убедитесь, что конфигурация PVLAN, охватывающая несколько коммутаторов, работает правильно на коммутаторе 1:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN была создана на коммутаторе 1 и показывает, что она включает две изолированные VLAN, две сообщества VLAN и изолированную VLAN между коммутаторами. Присутствие полей магистрали и изолированных между коммутаторами означает, что PVLAN охватывает более одного коммутатора.

Проверка создания первичной и вторичной VLAN на коммутаторе 2

Цель

Проверьте правильность работы конфигурации PVLAN, охватывающей несколько коммутаторов, на коммутаторе 2:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN была создана на коммутаторе 2 и показывает, что она включает одну изолированную VLAN, две сообщества VLAN и изолированную VLAN между коммутаторами. Присутствие полей магистрали и изолированных между коммутаторами означает, что PVLAN охватывает более одного коммутатора. При сравнении этих выходных данных с выходных данных коммутатора 1 можно увидеть, что оба коммутатора принадлежат одной и той же PVLAN pvlan100 ().

Проверка создания первичной и вторичной VLAN на коммутаторе 3

Цель

Убедитесь, что конфигурация PVLAN, охватывающая несколько коммутаторов, работает правильно на коммутаторе 3:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN () настроена на коммутаторе 3 и в нее не входят изолированные VLAN, две сообщества VLAN и изолированная pvlan100 interswitch VLAN. Но коммутатор 3 функционирует как распределительный коммутатор, поэтому выходные данные не включают интерфейсы доступа в PVLAN. Она показывает только магистральные интерфейсы, соединяющие коммутатор 3 с другими коммутаторами (коммутатор 1 и коммутатор pvlan100 2) в той же PVLAN.

Примере: Настройка частной VLAN, spanning multiple EX Series Switches

Из соображений безопасности часто полезно ограничить поток широковещательного и неизвестного однонастоного трафика и даже ограничить связь между известными хостом. Функция частных VLAN (PVLAN) на коммутаторах серии EX позволяет администратору разделить домен широковещательной передачи на несколько изолированных поддоменов широковещательной передачи, по сути помещая VLAN в VLAN. PVLAN может охватывать множество коммутаторов.

В данном примере описывается, как создать PVLAN, охватывающую несколько коммутаторов серии EX. В примере создается одна первичная PVLAN, содержащая несколько вторичных VLAN:

Прим.:

Настройка VLAN для голоса через IP (VoIP) на интерфейсах PVLAN не поддерживается.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Три коммутатора серии EX

  • Junos OS версии 10.4 или более поздней для коммутаторов серии EX

Перед началом настройки PVLAN убедитесь, что были созданы и настроены необходимые сети VLAN. См. "Настройка VLANs для коммутаторов серии EX".

Обзор и топология

В большом офисе с несколькими зданиями и VLANs может потребоваться изолировать несколько групп или других конечных точек по причинам безопасности или раздел домена широковещательной передачи. В этом примере конфигурации показано, как создать PVLAN, охватывающую несколько коммутаторов серии EX, с одной первичной VLAN, содержащей две VLAN сообщества (одна для HR и одна для финансирования), и Interswitch изолированную VLAN (для почтового сервера, резервного сервера и сервера CVS). PVLAN включает в себя три коммутатора, два коммутатора доступа и один распределительный коммутатор. PVLAN подключается к маршрутизатору через разностоверный порт, настроенный на распределительном коммутаторе.

Прим.:

Изолированные порты на коммутаторе 1 и на коммутаторе 2 не имеют возможности подключения уровня 2 друг к другу, даже если они включены в один и тот же домен. См. "О частных VLANs".

Рис. 19 показывает топологию для этого примера — два коммутатора доступа, подключенных к распределительному коммутатору, который имеет соединение (через разовый порт) с маршрутизатором.

Рис. 19: Топология PVLAN, охватывающая несколько коммутаторовТопология PVLAN, охватывающая несколько коммутаторов

Табл. 16, Табл. 17 и Табл. 18 со списком параметров примерной топологии.

Табл. 16: Компоненты коммутатора 1 в топологии для настройки PVLAN Spanning Multiple EX Series Switches
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolation-idТег 50finance-commТег 300hr-commТег 400

Магистральные интерфейсы PVLAN

ge-0/0/0.0, Подключает коммутатор 1 к коммутатору 3

ge-0/0/5.0, Подключает коммутатор 1 к коммутатору 2

Интерфейсы в сети VLAN isolation

ge-0/0/15.0, Почтовый сервер

ge-0/0/16.0, резервный сервер

Интерфейсы в сети VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Интерфейсы в сети VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Табл. 17: Компоненты коммутатора 2 в топологии для настройки PVLAN Spanning Multiple EX Series Switches
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolation-idТег 50finance-commТег 300hr-commТег 400

Магистральные интерфейсы PVLAN

ge-0/0/0.0, Подключает коммутатор 2 к коммутатору 3

ge-0/0/5.0, Подключает коммутатор 2 к коммутатору 1

Интерфейсы в сети VLAN isolation

ge-0/0/17.0,сервер CVS

Интерфейсы в сети VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Интерфейсы в сети VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Табл. 18: Компоненты коммутатора 3 в топологии для настройки PVLAN Spanning Multiple EX Series Switches
Свойство Параметры

Имена ИД тегов VLAN

primary-vlanТег 100

isolation-idТег 50finance-commТег 300hr-commТег 400

Магистральные интерфейсы PVLAN

ge-0/0/0.0, Подключает коммутатор 3 к коммутатору 1

ge-0/0/1.0, Подключает коммутатор 3 к коммутатору 2

Promiscuous port (разнонаборный порт)

ge-0/0/2, Подключает PVLAN к маршрутизатору

Прим.:

Необходимо настроить порт магистрали, соединяющий PVLAN с другим коммутатором или маршрутизатором, который находится за пределами PVLAN, как участник PVLAN, который в неявном образом настраивает ее в качестве разнонастройного порта.

Топологии

Настройка PVLAN на коммутаторе 1

интерфейс командной строки быстрой конфигурации

При настройке PVLAN на нескольких коммутаторах применяются эти правила:

  • Основной VLAN должна быть метленной VLAN. Рекомендуется сначала настроить первичную VLAN.

  • Настройка VLAN для голоса через IP (VoIP) на интерфейсах PVLAN не поддерживается.

  • Если вы хотите настроить VLAN ID сообщества, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

  • Если вы хотите настроить изолированный VLAN ID, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

  • Вторичные сети VLAN и магистральные порты PVLAN должны быть фиксируемы на одной фиксации, если MVRP настроен на порте магистрали PVLAN.

Чтобы быстро создать и настроить PVLAN, охватывающие несколько коммутаторов, скопируйте следующие команды и вкопировать их в окно терминала коммутатора 1:

Процедуры

Пошаговая процедура

Выполните следующие шаги настройки в приведенной ниже конфигурации. Кроме того, выполните все шаги перед тем, как выполнить конфигурацию в одном сфиксии. Это самый простой способ избежать сообщений об ошибках, инициированных нарушением любого из трех правил:

  • Если вы хотите настроить VLAN ID сообщества, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

  • Если вы хотите настроить изолированный VLAN ID, сначала необходимо настроить первичную VLAN и порт магистрали PVLAN.

  • Вторичные сети vlan и магистраль PVLAN должны быть настроены на одну фиксацию.

Настройка PVLAN на коммутаторе 1, который будет охватывать несколько коммутаторов:

  1. Установите ID VLAN для основной сети VLAN:

  2. Установите магистральные интерфейсы PVLAN, которые будут связывать эту VLAN с соседними коммутаторами:

  3. Установите первичную VLAN без локальной коммутатора:

  4. Установите ID VLAN для сети finance-comm VLAN сообщества, которая охватывает коммутаторы:

  5. Настройка интерфейсов доступа для finance-comm VLAN:

  6. Установите первичную VLAN этой вторичной сети VLAN finance-comm сообщества:

  7. Установите VLAN ID для VLAN сообщества кадров VLAN, которая охватывает коммутаторы.

  8. Настройка интерфейсов доступа для hr-comm VLAN:

  9. Установите первичную VLAN этой вторичной сети VLAN hr-comm сообщества:

  10. Установите изолированный ID между коммутаторами для создания изолированного домена между коммутаторами, который будет охватывать коммутаторы:

    Прим.:

    Для настройки изолированного порта включите его в качестве одного из членов первичной сети VLAN, но не настройте как принадлежащий одной из сообществ VLAN.

Результаты

Проверьте результаты настройки:

Настройка PVLAN на коммутаторе 2

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить частную VLAN, которая включает несколько коммутаторов, скопируйте следующие команды и включите их в окно терминала коммутатора 2:

Прим.:

Конфигурация коммутатора 2 та же, что и конфигурация коммутатора 1, за исключением интерфейса в изолированном домене между коммутаторами. Для коммутатора 2 интерфейсом является ge-0/0/17.0 .

Процедуры

Пошаговая процедура

Для настройки PVLAN на коммутаторе 2, который будет охватывать несколько коммутаторов:

  1. Установите ID VLAN для сети finance-comm VLAN сообщества, которая охватывает коммутаторы:

  2. Настройка интерфейсов доступа для finance-comm VLAN:

  3. Установите первичную VLAN этой вторичной сети VLAN finance-comm сообщества:

  4. Установите VLAN ID для VLAN сообщества кадров VLAN, которая охватывает коммутаторы.

  5. Настройка интерфейсов доступа для hr-comm VLAN:

  6. Установите первичную VLAN этой вторичной сети VLAN hr-comm сообщества:

  7. Установите ID VLAN для основной сети VLAN:

  8. Установите магистральные интерфейсы PVLAN, которые будут связывать эту VLAN с соседними коммутаторами:

  9. Установите первичную VLAN без локальной коммутатора:

  10. Установите изолированный ID между коммутаторами для создания изолированного домена между коммутаторами, который будет охватывать коммутаторы:

    Прим.:

    Для настройки изолированного порта включите его в качестве одного из членов первичной сети VLAN, но не настройте как принадлежащий одной из сообществ VLAN.

Результаты

Проверьте результаты настройки:

Настройка PVLAN на коммутаторе 3

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить коммутатор 3 на работу в качестве коммутатора распределения этой PVLAN, скопируйте следующие команды и вкопировать их в окно терминала коммутатора 3:

Прим.:

Интерфейс ge-0/0/2.0 является магистральным портом, соединяющим PVLAN с маршрутизатором.

Процедуры

Пошаговая процедура

Чтобы настроить коммутатор 3 в качестве распределителя для PVLAN, используйте следующую процедуру:

  1. Установите ID VLAN для сети finance-comm VLAN сообщества, которая охватывает коммутаторы:

  2. Установите первичную VLAN этой вторичной сети VLAN finance-comm сообщества:

  3. Установите VLAN ID для VLAN сообщества кадров VLAN, которая охватывает коммутаторы:

  4. Установите первичную VLAN этой вторичной сети VLAN hr-comm сообщества:

  5. Установите ID VLAN для основной сети VLAN:

  6. Установите магистральные интерфейсы PVLAN, которые будут связывать эту VLAN с соседними коммутаторами:

  7. Установите первичную VLAN без локальной коммутатора:

  8. Установите изолированный ID между коммутаторами для создания изолированного домена между коммутаторами, который будет охватывать коммутаторы:

    Прим.:

    Для настройки изолированного порта включите его в качестве одного из членов первичной сети VLAN, но не настройте как принадлежащий одной из сообществ VLAN.

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания первичной и вторичной VLAN на коммутаторе 1

Цель

Убедитесь, что конфигурация PVLAN, охватывающая несколько коммутаторов, работает правильно на коммутаторе 1:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN была создана на коммутаторе 1 и показывает, что она включает две изолированные VLAN, две сообщества VLAN и изолированную VLAN между коммутаторами. Наличие полей pvlan-trunk и Inter-switch-isolated полей указывает на то, что PVLAN охватывает более одного коммутатора.

Проверка создания первичной и вторичной VLAN на коммутаторе 2

Цель

Проверьте правильность работы конфигурации PVLAN, охватывающей несколько коммутаторов, на коммутаторе 2:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN была создана на коммутаторе 1 и показывает, что она включает две изолированные VLAN, две сообщества VLAN и изолированную VLAN между коммутаторами. Наличие полей pvlan-trunk и Inter-switch-isolated полей указывает на то, что PVLAN охватывает более одного коммутатора. При сравнении этих выходных данных с выходных данных коммутатора 1 можно увидеть, что оба коммутатора принадлежат одной и той же PVLAN pvlan100 ().

Проверка создания первичной и вторичной VLAN на коммутаторе 3

Цель

Убедитесь, что конфигурация PVLAN, охватывающая несколько коммутаторов, работает правильно на коммутаторе 3:

Действий

Используйте show vlans extensive команду:

Смысл

Выходные данные показывают, что PVLAN () настроена на коммутаторе 3 и включает в себя две изолированные сети VLAN, две сети VLAN сообщества и изолированную VLAN между pvlan100 коммутаторами. Но коммутатор 3 функционирует как распределительный коммутатор, поэтому выходные данные не включают интерфейсы доступа в PVLAN. Она показывает только интерфейсы, которые подключаются от коммутатора 3 к другим коммутаторам (коммутатор 1 и коммутатор pvlan-trunkpvlan100 2) в той же PVLAN.

Примере: Настройка PVLAN со вторичными магистральными портами VLAN и портами разного доступа на серия QFX коммутаторе

В данном примере показано, как настраивать вторичные магистральные порты VLAN и порты разного доступа в рамках конфигурации частной VLAN. Вторичные порты магистрали VLAN переносят вторичный трафик VLAN.

Прим.:

В данном примере Junos OS коммутаторы, которые не поддерживают тип конфигурации Enhanced Layer 2 (ELS). Для получения дополнительной информации о ELS см. Использование улучшенного программного обеспечения уровня 2 интерфейс командной строки.

Для данной частной VLAN дополнительный порт магистрали VLAN может переносить трафик только для одной вторичной VLAN. Однако дополнительный порт магистрали VLAN может переносить трафик для нескольких вторичных VLAN, пока каждая вторичная VLAN является членом другой частной (первичной) VLAN. Например, дополнительный порт магистрали VLAN может переносить трафик для сети VLAN сообщества, которая является частью первичной VLAN pvlan100, а также переносить трафик для изолированной VLAN, которая является частью первичной VLAN pvlan400.

Чтобы настроить порт магистрали для трафика вторичных isolated VLAN, используйте изолированные сообщения и утверждения, как показано в шагах и примере конфигурации для interface1213 коммутатора 1.

Прим.:

При утере трафика из вторичного порта магистрали VLAN он обычно содержит метку основной VLAN, членом которую является вторичный порт. Если необходимо, чтобы трафик, выехав из вторичного порта магистрали VLAN, сохранил тег вторичной сети VLAN, используйте утверждение extend-secondary-vlan-id.

Порт разного доступа содержит непогруженный трафик и может быть членом только одной первичной сети VLAN. Трафик, в который входит порт разного доступа, переадресуется на порты вторичных VLAN, которые являются членами первичной сети VLAN, членом которую является этот порт. Этот трафик содержит соответствующие теги вторичных VLAN при его откате от вторичных портов VLAN, если вторичный порт VLAN является магистральным портом.

Чтобы настроить порт доступа как promiscuous, используйте утверждение promiscuous, как показано на шаге примера конфигурации для 12 коммутатора 2.

Если трафик вошел на вторичный порт VLAN и выход на разнозвенный порт доступа, на выходе трафик не будет разбит. Если маркированный трафик вошел на порт разного доступа, трафик отбрасывается.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Два устройства QFX

  • Junos OS версии 12.2 или более поздней для серия QFX

Обзор и топология

Рис. 20 показывает топологию, используемую в этом примере. Коммутатор 1 включает несколько основных и вторичных частных VLAN, а также два вторичных порта магистрали VLAN, настроенных для переноса вторичных VLAN, которые являются участниками первичных VLAN pvlan100 и pvlan400.

Коммутатор 2 включает те же частные сети VLANs. На рисунке показана конфигурация xe-0/0/0 на коммутаторе 2 со входными портами доступа или разнозвонными магистральными портами. В данном примере конфигурации этот порт настраивается как разностоянный порт доступа.

На рисунке также показано, как будет поступать трафик после внияния на вторичные порты магистрали VLAN на коммутаторе 1.

Рис. 20: Топология PVLAN с вторичными портами магистрали VLAN и портом разного доступаТопология PVLAN с вторичными портами магистрали VLAN и портом разного доступа

Табл. 19 и Табл. 20 со списком параметров примерной топологии на обоих коммутаторах.

Табл. 19: Компоненты топологии для настройки вторичного магистрали VLAN на коммутаторе 1
Компонент Описание

pvlan100, ID 100

Первичная VLAN

pvlan400, ID 400

Первичная VLAN

comm300, ID 300

VLAN сообщества, член pvlan100

comm600, ID 600

VLAN сообщества, член pvlan400

isolation-vlan-id 200

VLAN ID для изолированной VLAN, члена pvlan100

isolation — vlan-id 500

VLAN ID для изолированной VLAN, члена pvlan400

xe-0/0/0.0

Порт магистрали вторичной VLAN для первичных VLAN pvlan100 и pvlan400

xe-0/0/1.0

Порт магистрали PVLAN для первичных VLAN pvlan100 и pvlan400

xe-0/0/2.0

Изолированный порт доступа для pvlan100

xe-0/0/3.0

Порт доступа сообщества для comm300

xe-0/0/5.0

Изолированный порт доступа для pvlan400

xe-0/0/6.0

Порт магистрали сообщества для comm600

Табл. 20: Компоненты топологии для настройки вторичного магистрали VLAN на коммутаторе 2
Компонент Описание

pvlan100, ID 100

Первичная VLAN

pvlan400, ID 400

Первичная VLAN

comm300, ID 300

VLAN сообщества, член pvlan100

comm600, ID 600

VLAN сообщества, член pvlan400

isolation-vlan-id 200

VLAN ID для изолированной VLAN, члена pvlan100

isolation — vlan-id 500

VLAN ID для изолированной VLAN, члена pvlan400

xe-0/0/0.0

Порт разного доступа для первичных VLAN pvlan100

xe-0/0/1.0

Порт магистрали PVLAN для первичных VLAN pvlan100 и pvlan400

xe-0/0/2.0

Вторичный порт магистрали для изолированной VLAN, член pvlan100

xe-0/0/3.0

Порт доступа сообщества для comm300

xe-0/0/5.0

Изолированный порт доступа для pvlan400

xe-0/0/6.0

Порт доступа сообщества для comm600

Настройка PVLANs на коммутаторе 1

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLANs на коммутаторе 1, скопируйте следующие команды и вкопировать их в окно терминала коммутатора:

Процедуры

Пошаговая процедура

Настройка частных и вторичных магистральных портов VLAN:

  1. Настройте интерфейсы и режимы порта:

  2. Создание первичных VLANs:

    Прим.:

    Первичные VLANs всегда должны быть помечены VLANs, даже если они существуют только на одном устройстве.

  3. Настройте первичные сети VLANs как частные:

  4. Настройте порт магистрали PVLAN для переноса трафика частной VLAN между коммутаторами:

  5. Создайте вторичный VLAN comm300 с ID VLAN 300:

  6. Настройте первичную VLAN для comm300:

  7. Настройка интерфейса для comm300:

  8. Создайте вторичные VLAN comm600 с ID VLAN 600:

  9. Настройка основной VLAN для comm600:

  10. Настройка интерфейса для comm600:

  11. Настройте изолированные сети VLANs для interswitch:

    Прим.:

    При настройке дополнительного порта магистрали VLAN для переноса изолированной сети VLAN необходимо также настроить изолированную VLAN-id. Это справедливо даже в том случае, если изолированная VLAN существует только на одном коммутаторе.

  12. Включить магистральные порты xe-0/0/0 для переноса вторичных VLANs для первичных VLANs:

  13. Настройте магистральные порты xe-0/0/0 для переноса comm600 (член pvlan400):

    Прим.:

    Для переноса изолированного трафика VLAN (теги 200 и 500) не требуется явно настраивать xe-0/0/0, поскольку все изолированные порты в pvlan100 и pvlan400, включая xe-0/0/0.0, автоматически включаются в изолированные сети VLAN, созданные при настройке isolation-vlan-id 200isolation-vlan-id 500 и.

  14. Настройте xe-0/0/2 и xe-0/0/6, чтобы они были изолированными:

Результаты

Проверьте результаты настройки на коммутаторе 1:

Настройка PVLANs на коммутаторе 2

Конфигурация коммутатора 2 почти идентична конфигурации коммутатора 1. Самое существенное различие заключается в том, что на коммутаторе 2 xe-0/0 настроен как разнозвенный порт магистрали или как порт разнонастройного доступа, как Рис. 20 показано на снимке. В следующей конфигурации xe-0/0/0 настроен как promiscuous port доступа для первичной VLAN pvlan100.

Если трафик вошел на порт с поддержкой VLAN и выход на разностороненный порт доступа, метки VLAN на выходе отброшены, а трафик в этой точке немеченый. Например, трафик для comm600 вошел на вторичный порт магистрали VLAN, настроенный на xe-0/0/0.0 на коммутаторе 1 и несущий тег 600 при переадресовке через вторичную VLAN. При выходе из xe-0/0/0.0 на коммутаторе 2 он будет не разбит, если настроить xe-0/0/0.0 в качестве порта разного доступа, как показано в этом примере. Если вместо этого настроить xe-0/0/0.0 в качестве разноситого порта магистрали (магистраль порта в режиме порта), трафик comm600 переносит свою первичную метку VLAN (400) при откате.

интерфейс командной строки быстрой конфигурации

Чтобы быстро создать и настроить PVLANs на коммутаторе 2, скопируйте следующие команды и вкопировать их в окно терминала коммутатора:

Процедуры

Пошаговая процедура

Настройка частных и вторичных магистральных портов VLAN:

  1. Настройте интерфейсы и режимы порта:

  2. Создание первичных VLANs:

  3. Настройте первичные сети VLANs как частные:

  4. Настройте порт магистрали PVLAN для переноса трафика частной VLAN между коммутаторами:

  5. Создайте вторичный VLAN comm300 с ID VLAN 300:

  6. Настройте первичную VLAN для comm300:

  7. Настройка интерфейса для comm300:

  8. Создайте вторичные VLAN comm600 с ID VLAN 600:

  9. Настройка основной VLAN для comm600:

  10. Настройка интерфейса для comm600:

  11. Настройте изолированные сети VLANs для interswitch:

  12. Настройте порт доступа xe-0/0/0 для pvlan100 как promiscuous:

    Прим.:

    Порт разного доступа может быть членом только одной первичной сети VLAN.

  13. Настройте xe-0/0/2 и xe-0/0/6, чтобы они были изолированными:

Результаты

Проверьте результаты настройки на коммутаторе 2:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка создания частных и вторичных VLAN

Цель

Проверьте правильность создания первичной и вторичной VLAN на коммутаторе 1.

Действий

Используйте show vlans команду:

Смысл

Выходные данные показывают, что были созданы частные VLANs и идентифицируются интерфейсы и вторичные VLANs, связанные с ними.

Проверка записей таблицы коммутаторов Ethernet

Цель

Убедитесь, что записи таблицы коммутаторов Ethernet были созданы для первичной VLAN pvlan100.

Действий

Откажите записи таблицы коммутаторов Ethernet для pvlan100.

Проверка работы частной VLAN на коммутаторе

Цель

После создания и настройки частных VLANs (PVLANs) убедитесь, что они настроены правильно.

Действий

  1. Чтобы определить, были ли успешно созданы конфигурации первичной и вторичной VLAN:

    • Для PVLAN на одном коммутаторе используйте show configuration vlans команду:

    • Для PVLAN, охватывающей несколько коммутаторов, используйте show vlans extensive команду:

  2. Используйте эту команду для просмотра информации о VLAN и состоянии соединения для PVLAN на одном коммутаторе или для show vlans extensive нескольких коммутаторов PVLAN.

    • Для PVLAN на одном коммутаторе:

    • Для PVLAN, охватывающей несколько коммутаторов:

  3. Используйте эту show ethernet-switching table команду для просмотра журналов mac-обучения в VLANs:

Прим.:

Если настроена PVLAN, охватывающая несколько коммутаторов, можно использовать на всех коммутаторах ту же команду для проверки журналов MAC-обучения на этих коммутаторах.

Смысл

В выходных данных для PVLAN на одном коммутаторе видно, что первичная VLAN содержит два домена сообщества (и), два изолированных порта и два магистральных community1community2 порта. PVLAN на одном коммутаторе имеет только одну метку 1000 (), которая является основной VLAN.

PVLAN, которая охватывает несколько коммутаторов, содержит несколько тегов:

  • Домен сообщества COM1 идентифицирован тегом 100 .

  • Домен сообщества community2 идентифицирован тегом 20 .

  • Изолированный домен interswitch идентифицирован 50 тегом.

  • Первичная VLAN primary идентифицирована тегом 10 .

Кроме того, для PVLAN, которая охватывает несколько коммутаторов, магистральные интерфейсы идентифицированы как pvlan-trunk .

Устранение неполадок частных VLANs на коммутаторах QFX

Используйте следующую информацию для устранения неполадок конфигурации частной VLAN.

Ограничения частных VLANs

К конфигурациям частных VLAN применяются следующие ограничения:

  • IGMP Snooping не поддерживается в частных VLANs.

  • Маршрутные интерфейсы VLAN не поддерживаются на частных VLAN

  • Маршрутка между вторичными VLAN в одной первичной сети VLAN не поддерживается.

  • Если необходимо изменить первичную VLAN на в качестве вторичной, сначала измените ее на обычную VLAN и сфиксировать изменение. Например, вы выполните эту процедуру:

    1. Измените первичную VLAN на обычную VLAN.

    2. Сфиксировать конфигурацию.

    3. Измените обычную VLAN на вторичную VLAN.

    4. Сфиксировать конфигурацию.

    Для изменения вторичной VLAN в качестве первичной следует следовать той же последовательности фиксов. То есть, сделайте вторичную VLAN обычной VLAN и сфиксировать это изменение, а затем измените обычную VLAN на первичную VLAN.

Переадтрансляцию с частными VLANs

Проблема

Описание
  • Когда на порт магистрали PVLAN получается маркированный трафик VLAN или сообщества, MAC-адреса получаются из первичной сети VLAN. Это означает, что выходные данные команды show ethernet-switching table показывают, что MAC-адреса были заучены из первичной сети VLAN и реплицированы во вторичные сети VLAN. Данное поведение не влияет на решения о переад нет.

  • Если пакет со вторичной меткой VLAN принимается на разностоятельных портах, он принимается и переназначен.

  • Если пакет получен магистральным портом PVLAN и соответствует обоим условиям, перечисленным ниже, он отброшен.

    • Пакет имеет метку VLAN сообщества.

    • Пакет предназначен для одноарентной MAC-адрес или многоабластной MAC-адрес, которые были заумлены в изолированной VLAN.

  • Если пакет получен магистральным портом PVLAN и соответствует обоим условиям, перечисленным ниже, он отброшен.

    • Пакет имеет изолированную метку VLAN.

    • Пакет предназначен для одноарентной MAC-адрес или многоабластной MAC-адрес, которая была узнаваема в сети VLAN сообщества.

  • Если пакет с первичной меткой VLAN получен вторичным (изолированным или сообществом) портом VLAN, вторичный порт перенанотирует пакет.

  • Если настроить сообщество VLAN на одном устройстве и настроить другую VLAN сообщества на втором устройстве, и обе сообщества VLAN используют один и тот же VLAN ID, трафик для одной из этих VLAN может быть переадтранслирован в другую VLAN. Например, предположим следующую конфигурацию:

    • Сообщество VLAN comm1 на коммутаторе 1 имеет VLAN ID 50 и является членом первичной VLAN pvlan100.

    • Community VLAN comm2 на коммутаторе 2 также имеет VLAN ID 50 и является членом основной VLAN pvlan200.

    • Первичная VLAN pvlan100 существует на обоих коммутаторах.

    Если трафик для comm1 отправляется с коммутатора 1 на коммутатор 2, он будет отправлен на порты, участвующие в comm2. (Трафик также будет перенаад а в порты comm1, как и ожидалось.)

Решение

Это ожидаемое поведение.

Фильтры от межсетевых экранов с частными VLANs

Проблема

Описание

При применении фильтра брандмауэра в направлении вывода к первичной сети VLAN фильтр также применяется к вторичным VLAN, которые являются членами первичной VLAN при выходе трафика с помощью метки первичной VLAN или изолированной VLAN, как по списку ниже:

  • Трафик, перена который переназначен из вторичного порта магистрали VLAN на разнодатной порт (магистраль или доступ)

  • Трафик, перена который перенащается из вторичного порта магистрали VLAN, несущего изолированную VLAN, на магистральный порт PVLAN.

  • Трафик, перена который переназначен из разного порта (магистрали или доступа) на вторичный порт магистрали VLAN.

  • Трафик, перена который перенащается из порта магистрали PVLAN. на вторичный порт магистрали VLAN

  • Трафик, который переназначен из порта сообщества на promiscuous-порт (магистраль или доступ)

При применении фильтра брандмауэра в направлении вывода к первичной VLAN фильтр не применяется к трафику, выпадаемму с тегом VLAN сообщества, как по списку ниже:

  • Трафик, перена который от порта магистрали сообщества до порта магистрали PVLAN

  • Трафик, перена который перенащается из вторичного порта магистрали VLAN, несущего VLAN сообщества, на магистральный порт PVLAN.

  • Трафик, перена который из разнонаборного порта (магистрали или доступа) в магистральные порты сообщества

  • Трафик, перена который перенащается из порта магистрали PVLAN. на порт магистрали сообщества

При применении фильтра межсетевых экранов в направлении вывода к VLAN сообщества, применяются следующие поведения:

  • Фильтр применяется к трафику, который переадресуется из разного порта (магистрали или доступа) на магистральный порт сообщества (поскольку трафик выходит с меткой VLAN сообщества).

  • Фильтр применяется к трафику, который переадресуется из порта сообщества на магистральный порт PVLAN (поскольку трафик выпадает с меткой VLAN сообщества).

  • Фильтр не применяется к трафику, который переадресуется из порта сообщества на promiscuous-порт (поскольку трафик выпадает с первичной меткой VLAN или немеченым).

Решение

Это ожидаемое поведение. Они возникают, только если применить фильтр межсетевых экранов к частной VLAN в направлении вывода и не применять фильтр межсетевых экранов к частной VLAN в направлении ввода.

Отражение портов на выпадающих портах с частными VLANs

Проблема

Описание

При создании конфигурации зеркального анализа порта, зеркального зеркального отражение трафика частной VLAN (PVLAN) на потоке, зеркальный трафик (трафик, отосланный в систему анализатора) будет использовать метку VLAN для впадаемой VLAN, а не для выпадаемой VLAN. Например, предположим следующую конфигурацию PVLAN:

  • Разносит магистральные порты, несущие первичные VLAN pvlan100 и pvlan400.

  • Изолированный порт доступа, несущий вторичные VLAN isolated200. Эта VLAN является членом первичной VLAN pvlan100.

  • Порт сообщества, несущий вторичный VLAN comm300. Эта VLAN также является членом первичной VLAN pvlan100.

  • Выходной интерфейс (интерфейс монитора), который подключается к системе анализатора. Этот интерфейс передает зеркальный трафик анализатору.

Если пакет для pvlan100 входит в изолированный порт транка и выходит на изолированный порт доступа, исходный пакет не содержится на выходе из-за его выхода на порт доступа. Однако зеркальная копия сохраняет тег для pvlan100 при ее отправлении на анализатор.

Вот еще один пример: Если пакет для comm300 взламывется на порт сообщества и выпадает на разностоянном порте магистрали, исходный пакет содержит тег для pvlan100 на выпаде, как и ожидалось. Однако зеркальная копия сохраняет тег для comm300 при ее отправлении на анализатор.

Решение

Это ожидаемое поведение.