Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用 ELS 支持在单个交换机上配置专用 VLAN

 
注意

此示例使用 Junos OS 作为交换机,支持增强型第2层软件(ELS)配置样式。如果 EX 交换机运行不支持 ELS 的软件,请参阅示例:Example: Configuring a Private VLAN on a Single EX Series Switch上配置专用 VLAN。有关 ELS 详细信息,请参阅Using the Enhanced Layer 2 Software CLI

注意

运行 Junos OS 版本 15.1 X53 的 QFX5100 交换机和 QFX10002 交换机上不支持私有 Vlan。

出于安全考虑,限制广播流和未知单播信息流或限制已知主机之间的通信通常很有用。专用 Vlan (Pvlan)允许您将广播域(主 VLAN)拆分为多个独立的广播子域(辅助 Vlan),实质上是在 VLAN 内部放置一个 VLAN。

本示例介绍如何在单个交换机上创建 PVLAN:

要求

此示例使用以下硬件和软件组件:

  • 一个 Junos OS 交换机

  • Junos OS 版本 14.1 x53-d EX 系列交换机或更高版本

    Junos OS 版本 14.1 X53-D15 或更高版本,用于 QFX 系列交换机

概述和拓扑

您可以隔离用户组以提高安全性和效率。此配置示例使用简单的拓扑结构演示如何使用一个主 VLAN 和三个辅助 Vlan (一个隔离 VLAN 和两个群组 Vlan)创建 PVLAN。

表 1列出了示例中所用拓扑的接口。

表 1: 用于配置 PVLAN 的拓扑接口

接口Description

ge-0/0/0

ge-1/0/0

混杂成员端口

ge-0/0/11、 ge-0/0/12

HR 社区 VLAN 成员端口

ge-0/0/13、 ge-0/0/14

财务社区 VLAN 成员端口

ge-0/0/15、 ge-0/0/16

独立成员端口

表 2列出了示例中使用的拓扑的 VLAN Id。

表 2: 拓扑中的 VLAN Id,用于配置 PVLAN

VLAN IDDescription

100

主 VLAN

200

HR 社区 VLAN

300

金融社区 VLAN

400

隔离 VLAN

图 1显示了此示例的拓扑。

图 1: 单个 EX 系列交换机上的专用 VLAN 拓扑
单个 EX 系列交换机上的专用 VLAN 拓扑

配置

您可以将现有 VLAN 用作专用 PVLAN 的基础,并在其中创建子域。此示例使用 VLAN 名称创建—一个主 VLAN vlan-pri—作为过程的一部分。

要配置 PVLAN,请执行以下任务:

CLI 快速配置

要快速创建和配置 PVLAN,请复制以下命令并将其粘贴到交换机端子窗口中:

[edit]


set vlans vlan-pri vlan-id 100
set vlans vlan-iso private-vlan isolated vlan-id 400
set vlans vlan-hr private-vlan community vlan-id 200
set vlans vlan-finance private-vlan community vlan-id 300
set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr
set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr
set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance
set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance
set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso
set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso
set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri

分步过程

要配置 PVLAN:

  1. 创建主 VLAN (在此示例中,名称为 vlan-pri)的专用 VLAN:
    [edit vlans]

    user@switch# set vlan-pri vlan-id 100
  2. 创建隔离的 VLAN 并为其分配一个 VLAN ID:
    [edit vlans]

    user@switch# set vlan-iso 私有 vlan isolated vlan-id 400
  3. 创建 HR 社区 VLAN 并为其分配一个 VLAN ID:
    [edit vlans]

    user@switch# set vlan-hr private-vlan community vlan-id 200
  4. 创建财务社区 VLAN 并为其分配一个 VLAN ID:
    [edit vlans]

    user@switch# set vlan-finance private-vlan community vlan-id 300
  5. 将辅助 Vlan 与主 VLAN 相关联:
    [edit vlans]

    user@switch# set vlan-pri vlan-id 100 隔离 vlan vlan-iso 社区-vlan vlan-hr community-vlan vlan-finance
  6. 将接口设置为相应的接口模式:
    [edit interfaces]

    user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan 人员 vlan-hr
    user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr
    user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance
    user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance
    user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso
    user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
  7. 配置主 VLAN 的混杂中继接口。此接口由主要 VLAN 用于与辅助 Vlan 通信。
    user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
  8. 配置主 VLAN 的另一个中继接口(也是一个混杂接口),并将 PVLAN 连接到路由器。
    user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri