Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:配置跨越多个 EX 系列交换机的专用 VLAN

 

出于安全考虑,限制广播流量和未知单播信息流,甚至限制已知主机之间的通信通常很有用。EX 系列交换机上的专用 VLAN (PVLAN)功能允许管理员将广播域拆分为多个独立的广播子域,实质上是在 VLAN 内部放置一个 VLAN。PVLAN 可跨多台交换机。

本示例介绍如何创建跨多个 EX 系列交换机的 PVLAN。该示例创建一个包含多个辅助 Vlan 的主 PVLAN:

注意

不支持在 PVLAN 接口上配置 IP 语音(VoIP) VLAN。

要求

此示例使用以下硬件和软件组件:

  • 三个 EX 系列交换机

  • EX 系列交换机 Junos OS 发行10.4 或更高版本

开始配置 PVLAN 之前,请确保您已创建并配置了必要的 Vlan。请参阅Configuring VLANs for EX Series Switches

概述和拓扑

在具有多个建筑物和 Vlan 的大型办事处中,您可能需要隔离某些工作组或其他端点,以了解安全原因或划分广播域。此配置示例演示如何创建跨越多个 EX 系列交换机的 PVLAN,其中一个主要 VLAN 包含两个社区 Vlan (HR 和一个用于财务的一个),以及一个交换机间隔离 VLAN (适用于邮件服务器、备份服务器和 CVS服务器)。PVLAN 包含三个交换机、两个接入交换机和一个分配交换机。PVLAN 通过在分配交换机上配置的混杂端口连接到路由器。

注意

交换机1和交换机2上的隔离端口没有第2层连接,即使它们包含在相同的域中也是如此。请参阅Understanding Private VLANs

图 1显示了此示例—的拓扑结构连接到分布交换机(通过混杂端口连接到路由器)的两台接入交换机。

图 1: 跨多个交换机的 PVLAN 拓扑
跨多个交换机的 PVLAN 拓扑

表 1表 2表 3列出了示例拓扑的设置。

表 1: 拓扑中交换机1的组件,用于配置跨多个 EX 系列交换机的 PVLAN

财产设置

VLAN 名称和标记 Id

主 vlan、标记 100

隔离 id、标记 50

财务-comm、标记 300

hr-comm、标记 400

PVLAN 中继接口

ge-0/0/0.0,将交换机1连接到交换机3



ge-0/0/5.0,将交换机1连接到交换机2

VLAN 接口 级别

ge-0/0/15.0、邮件服务器

ge-0/0/16.0、备份服务器

VLAN 接口 金融-com

ge-0/0/11.0

ge-0/0/12.0

VLAN 接口 hr-comm

ge-0/0/13.0

ge-0/0/14.0

表 2: 拓扑中交换机2的组件,用于配置跨多个 EX 系列交换机的 PVLAN

财产设置

VLAN 名称和标记 Id

主 vlan、标记 100

隔离 id、标记 50

财务-comm、标记 300

hr-comm、标记 400

PVLAN 中继接口

ge-0/0/0.0,将交换机2连接到交换机3



ge-0/0/5.0,将交换机2连接到交换机1

VLAN 接口 级别

ge-0/0/17.0、CVS 服务器

VLAN 接口 金融-com

ge-0/0/11.0

ge-0/0/12.0

VLAN 接口 hr-comm

ge-0/0/13.0

ge-0/0/14.0

表 3: 拓扑结构中交换机3的组件,用于配置 PVLAN 跨越多个 EX 系列交换机

财产设置

VLAN 名称和标记 Id

主 vlan、标记 100

隔离 id、标记 50

财务-comm、标记 300

hr-comm、标记 400

PVLAN 中继接口

ge-0/0/0.0,将交换机3连接到交换机1



ge-0/0/1.0,将交换机3连接到交换机2

混杂端口

ge-0/0/2,将 PVLAN 连接到路由器

注意: 您必须将 PVLAN 的中继端口配置为作为 PVLAN 的成员,将其连接到 PVLAN 之外的另一台交换机或路由器,并将其隐式配置为混杂端口。

在交换机1上配置 PVLAN

CLI 快速配置

在多台交换机上配置 PVLAN 时,这些规则适用:

  • 主 VLAN 必须为标记的 VLAN。建议先配置主 VLAN。

  • 不支持在 PVLAN 接口上配置 IP 语音(VoIP) VLAN。

  • 如果要配置社区 VLAN ID,必须先配置主 VLAN 和 PVLAN 中继端口。

  • 如果您打算配置隔离 VLAN ID,则必须先配置主 VLAN 和 PVLAN 中继端口。

  • 如果在 PVLAN 中继端口上配置了 MVRP,则必须在单个 commit 上提交辅助 Vlan 和 PVLAN 中继端口。

要快速创建和配置跨越多个交换机的 PVLAN,请复制以下命令并将其粘贴到交换机1的端子窗口中:

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/15.0


set vlans pvlan100 interface ge-0/0/16.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

分步过程

按照下面所示—的顺序完成以下配置步骤,在单个提交中提交配置之前完成所有步骤。这是避免违反任何这三条规则触发的错误消息的最简单方法:

  • 如果要配置社区 VLAN ID,必须先配置主 VLAN 和 PVLAN 中继端口。

  • 如果您打算配置隔离 VLAN ID,则必须先配置主 VLAN 和 PVLAN 中继端口。

  • 辅助 vlan 和 PVLAN 干线必须在单个提交上提交。

要在交换机1上配置将跨越多个交换机的 PVLAN:

  1. 设置主 VLAN 的 VLAN ID:
    [edit vlans]
    user@switch# set pvlan100 vlan–id 100
  2. 设置将在邻接交换机之间连接此 VLAN 的 PVLAN 中继接口:
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  3. 将主 VLAN 设置为不使用本地交换:
    [edit vlans]

    user@switch# set pvlan100 无本地交换
  4. 将 VLAN ID 设置为 财务-comm跨越交换机的社区 VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    user@switch# set pvlan100 vlan–id 100
  5. 为以下各配置访问接口 财务-commVLAN
    [edit vlans]

    user@switch# set finance-comm interface interfacege-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  6. 设置此次要社区 VLAN 的主 VLAN, 财务-comm可以:
    [edit vlans]

    user@switch# set vlans finance-comm 主 vlan pvlan100
  7. 设置跨越交换机的 HR 社区 VLAN 的 VLAN ID。
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  8. 为以下各配置访问接口 hr-commVLAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0


    user@switch# set hr-comm interface ge-0/0/14.0
  9. 设置此次要社区 VLAN 的主 VLAN, hr-comm可以:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  10. 设置交换机间隔离 ID,以创建跨越交换机的交换机间隔离域:
    [edit vlans]
    user@switch# set pvlan100 isolation-id 50
    注意

    要配置隔离端口,请将其作为主要 VLAN 的一个成员包括在内,但不要将其配置为属于某个社区 Vlan。

结果

检查配置结果:

在交换机2上配置 PVLAN

CLI 快速配置

要快速创建和配置跨越多个交换机的专用 VLAN,请复制以下命令并将其粘贴到交换机2的端子窗口:

注意

交换机2的配置与交换机1的配置相同,但交换机间隔离域中的接口除外。对于交换机2,接口 ge-0/0/17.0.

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/17.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

分步过程

要在交换机2上配置将跨越多个交换机的 PVLAN:

  1. 将 VLAN ID 设置为 财务-comm跨越交换机的社区 VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    user@switch# set pvlan100 vlan–id 100
  2. 为以下各配置访问接口 财务-commVLAN
    [edit vlans]

    user@switch# set finance-comm interface ge-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  3. 设置此次要社区 VLAN 的主 VLAN, 财务-comm可以:
    [edit vlans]

    user@switch# set vlans finance-comm 主 vlan pvlan100
  4. 设置跨越交换机的 HR 社区 VLAN 的 VLAN ID。
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  5. 为以下各配置访问接口 hr-commVLAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0


    user@switch# set hr-comm interface ge-0/0/14.0
  6. 设置此次要社区 VLAN 的主 VLAN, hr-comm可以:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  7. 设置主 VLAN 的 VLAN ID:
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  8. 设置将在邻接交换机之间连接此 VLAN 的 PVLAN 中继接口:
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  9. 将主 VLAN 设置为不使用本地交换:
    [edit vlans]

    user@switch# set pvlan100 无本地交换
  10. 设置交换机间隔离 ID,以创建跨越交换机的交换机间隔离域:
    [edit vlans]

    user@switch# set pvlan100 isolation-id 50
    注意

    要配置隔离端口,请将其作为主要 VLAN 的一个成员包括在内,但不要将其配置为属于某个社区 Vlan。

结果

检查配置结果:

在交换机3上配置 PVLAN

CLI 快速配置

要将交换机3快速配置为充当此 PVLAN 的分配交换机,请复制以下命令并将其粘贴到交换机3的端子窗口中:

注意

接口 ge-0/0/2.0 是将 PVLAN 连接到路由器的中继端口。

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

分步过程

要将交换机3配置为此 PVLAN 的分配交换机,请使用以下过程:

  1. 将 VLAN ID 设置为 财务-comm跨越交换机的社区 VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  2. 设置此次要社区 VLAN 的主 VLAN, 财务-comm可以:
    [edit vlans]

    user@switch# set vlans finance-comm 主 vlan pvlan100
  3. 设置跨越交换机的 HR 社区 VLAN 的 VLAN ID:
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  4. 设置此次要社区 VLAN 的主 VLAN, hr-comm可以:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  5. 设置主 VLAN 的 VLAN ID:
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  6. 设置将在邻接交换机之间连接此 VLAN 的 PVLAN 中继接口:
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  7. 将主 VLAN 设置为不使用本地交换:
    [edit vlans]

    user@switch# set pvlan100 无本地交换
  8. 设置交换机间隔离 ID,以创建跨越交换机的交换机间隔离域:
    [edit vlans]

    user@switch# set pvlan100 isolation-id 50
    注意

    要配置隔离端口,请将其作为主要 VLAN 的一个成员包括在内,但不要将其配置为属于某个社区 Vlan。

结果

检查配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证主 VLAN 和辅助 Vlan 是否已在交换机1上创建

用途

验证交换机1上是否在运行跨多台交换机的 PVLAN 配置:

操作

show vlans extensive使用命令:

user@switch> 显示 vlan extensive

含义

输出显示,PVLAN 在交换机1上创建,并显示了两个隔离 Vlan、两个社区 Vlan 和一个交换机间隔离 VLAN。存在 pvlan-干线交换机间隔离字段表示此 PVLAN 正在跨越多台交换机。

验证主 VLAN 和辅助 Vlan 是否已在交换机2上创建

用途

验证交换机2上是否有跨多个交换机的 PVLAN 配置正常工作:

操作

show vlans extensive使用命令:

user@switch> 显示 vlan extensive

含义

输出显示,PVLAN 在交换机1上创建,并显示了两个隔离 Vlan、两个社区 Vlan 和一个交换机间隔离 VLAN。存在 pvlan-干线交换机间隔离字段表示这 PVLAN 跨越多台交换机。将此输出与交换机1的输出进行比较时,可以看到两个交换机属于同一个 PVLAN (pvlan100) 中减去衰减或链路损耗 (LL) 之后可用的功率。

验证主 VLAN 和辅助 Vlan 是否已在交换机3上创建

用途

验证交换机3上是否有多个交换机的 PVLAN 配置正常工作:

操作

show vlans extensive使用命令:

user@switch> 显示 vlan extensive

含义

输出显示 PVLAN (pvlan100)在交换机3上配置,并且包含两个隔离 Vlan、两个社区 Vlan 和一个交换机间隔离 VLAN。但交换机3作为分布交换机运行,因此输出不包括 PVLAN 内的接入接口。它仅显示 pvlan-干线连接的接口 pvlan100从交换机3到同一 PVLAN 中的其他交换机(交换机1和交换机2)。