Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用 IRB 接口配置跨越多台交换机的专用 VLAN

 

出于安全考虑,限制广播流量和未知单播信息流,甚至限制已知主机之间的通信通常很有用。专用 VLAN (PVLAN)功能允许管理员将广播域拆分为多个独立的广播子域,实质上是在 VLAN 内部放置一个 VLAN。PVLAN 可跨多台交换机。本示例介绍如何创建跨多个交换机的 PVLAN。该示例创建一个包含多个辅助 Vlan 的主 PVLAN。

就像常规 Vlan 一样,Pvlan 在第 2 层隔离,并且通常需要使用 第3层设备(如果您希望路由信息流)。从 Junos OS 14.1 X53-D30,您可以使用集成路由和桥接(IRB)接口在连接到 PVLAN 的设备之间路由第3层流量。以这种方式使用 IRB 接口还可以允许 PVLAN 中的设备在第3层 与其他社区或隔离 vlan 中的设备或与 PVLAN 外部的设备通信。此示例还演示如何在 PVLAN 配置中包含 IRB 接口。

要求

此示例使用以下硬件和软件组件:

  • 三个 QFX 系列或 EX4600 交换机

  • Junos OS 随 PVLAN 发布 QFX 系列或 EX4600

概述和拓扑

在具有多个建筑物和 Vlan 的大型办事处中,您可能需要隔离某些工作组或其他端点,以了解安全原因或划分广播域。此配置示例演示如何创建跨越多个交换机的 PVLAN,其中一个主要 VLAN 包含两个社区 Vlan (HR 和一个用于财务的一个),以及一个交换机间隔离 VLAN (适用于邮件服务器、备份服务器和 CVS 服务器)。PVLAN 包含三台交换机—两个接入交换机和一个分配交换机。PVLAN 中的设备通过分布交换机上配置的 IRB 接口连接到其他各层,以及 PVLAN 外部的设备。

注意

即使在同一个域中包含交换机1和交换机2上的隔离端口,它们也没有第2层连接。请参阅Understanding Private VLANs

图 1显示了此示例的拓扑。

图 1: PVLAN 拓扑通过 IRB 接口跨越多台交换机
PVLAN 拓扑通过 IRB 接口跨越多台交换机

表 1表 2表 3列出了示例拓扑的设置。

表 1: 拓扑中交换机1的组件,用于配置 PVLAN 跨越多个设备

财产设置

VLAN 名称和标记 Id

primary-vlan、标记100

isolated-vlan-id、标记50

finance-comm300

标记hr-comm、标记400

交换机间链路接口

xe-0/0/0.0,将交换机1连接到交换机3



xe-0/0/5.0,将交换机1连接到交换机2

主 VLAN 中的隔离接口

xe-0/0/15.0、邮件服务器

xe-0/0/16.0、备份服务器

VLAN 接口finance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN 接口hr-comm

xe-0/0/13.0

xe-0/0/14.0

表 2: 拓扑中交换机2的组件,用于配置 PVLAN 跨越多个设备

财产设置

VLAN 名称和标记 Id

primary-vlan、标记100

isolated-vlan-id、标记50

finance-comm300

标记hr-comm、标记400

交换机间链路接口

xe-0/0/0.0,将交换机2连接到交换机3



xe-0/0/5.0,将交换机2连接到交换机1

主 VLAN 中的隔离接口

xe-0/0/17.0、CVS 服务器

VLAN 接口finance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN 接口hr-comm

xe-0/0/13.0

xe-0/0/14.0

表 3: 拓扑中交换机3的组件,用于配置 PVLAN 跨越多个设备

财产设置

VLAN 名称和标记 Id

primary-vlan、标记100

isolated-vlan-id、标记50finance-comm、标记300

hr-comm、标记400

交换机间链路接口

xe-0/0/0.0,将交换机3连接到交换机1。



xe-0/0/1.0,将交换机3连接到交换机2。

混杂端口

xe-0/0/2,将 PVLAN 连接到另一个网络。

注意: 您必须将 PVLAN 的中继端口配置为作为 PVLAN 的成员,将其连接到 PVLAN 之外的另一台交换机或路由器,并将其隐式配置为混杂端口。

IRB 接口

xe-0/0/0

xe-0/0/1

在 IRB 接口上配置不受限制的代理 ARP 以允许进行 ARP 解析,以便使用 IPv4 的设备可以在第3层通信。对于 IPv6 流量,您必须将 IRB 地址显式映射到目标地址以允许 ARP 解析。

配置概述

在多台交换机上配置 PVLAN 时,请遵循以下规则:

  • 主 VLAN 必须为标记的 VLAN。

  • 主 VLAN 是唯一可作为交换机间链路接口成员的 VLAN。

在 PVLAN 中配置 IRB 接口时,以下规则适用:

  • 无论有多少台交换机参与 PVLAN,您都只能在 PVLAN 中创建一个 IRB 接口。

  • IRB 接口必须是 PVLAN 中主 VLAN 的成员。

  • 每个要在第3层连接的主机设备都必须将 IRB 的 IP 地址用作其默认网关地址。

在交换机1上配置 PVLAN

CLI 快速配置

要快速创建和配置跨越多个交换机的 PVLAN,请复制以下命令并将其粘贴到交换机1的端子窗口中:

[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100


set vlans finance-comm vlan-id 300 private-vlan community


set vlans hr-comm vlan-id 400 private-vlan community


set vlans isolated-vlan vlan-id 50 private-vlan isolated


set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50


set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50


set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50

分步过程

  1. 配置接口 xe-0/0/0 要成为主干:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  2. 配置接口 xe-0/0/0 将成为传输所有 Vlan 的交换机间链路:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
  3. 将 pvlan100 (主要 VLAN)配置为接口 xe-0/0/0 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
  4. 配置接口 xe-0/0/5 成为主干:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  5. 配置接口 xe-0/0/5 是一种传输所有 Vlan 的交换机间链路:
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
  6. 将 pvlan100 配置为接口 xe-0/0/5 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
  7. 为财务组织创建社区 VLAN:
    [edit vlans]

    set finance-comm vlan-id 300 private-vlan community
  8. 为 HR 组织创建社区 VLAN:
    [edit vlans]

    set hr-comm vlan-id 400 private-vlan community
  9. 为邮件和备份服务器创建隔离 VLAN:
    [edit vlans]

    set isolated-vlan vlan-id 50 private-vlan isolated
  10. 创建主要 VLAN 并使社区和隔离 Vlan 成为其成员:
    [edit vlans]

    set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
  11. 将 VLAN 300 (a 社区 VLAN)配置为接口 xe-0/0/11 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
  12. 将 VLAN 300 (社区 VLAN)配置为接口 xe-0/0/12 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
  13. 将 VLAN 400 (社区 VLAN)配置为接口 xe 的成员-0/0/13:
    [edit interfaces]
    user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
  14. 将 VLAN 400 (社区 VLAN)配置为接口 xe-0/0/14 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
  15. 将 VLAN 50 (隔离 VLAN)配置为接口 xe-0/0/15 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
  16. 将 VLAN 50 (隔离 VLAN)配置为接口 xe-0/0/16 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50

结果

检查配置结果:

在交换机2上配置 PVLAN

CLI 快速配置

要快速创建和配置跨越多个交换机的专用 VLAN,请复制以下命令并将其粘贴到交换机2的端子窗口:

注意

除隔离 VLAN 之外,交换机2的配置与交换机1的配置相同。对于交换机2,隔离 VLAN 接口为xe-0/0/17.0

[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100


set vlans finance-comm vlan-id 300 private-vlan community


set vlans hr-comm vlan-id 400 private-vlan community


set vlans isolated-vlan vlan-id 50 private-vlan isolated


set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50


set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50

分步过程

  1. 配置接口 xe-0/0/0 要成为主干:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  2. 配置接口 xe-0/0/0 将成为传输所有 Vlan 的交换机间链路:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
  3. 将 pvlan100 (主要 VLAN)配置为接口 xe-0/0/0 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
  4. 配置接口 xe-0/0/5 成为主干:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  5. 配置接口 xe-0/0/5 是一种传输所有 Vlan 的交换机间链路:
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
  6. 将 pvlan100 配置为接口 xe-0/0/5 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
  7. 为财务组织创建社区 VLAN:
    [edit vlans]

    set finance-comm vlan-id 300 private-vlan community
  8. 为 HR 组织创建社区 VLAN:
    [edit vlans]

    set hr-comm vlan-id 400 private-vlan community
  9. 为邮件和备份服务器创建隔离 VLAN:
    [edit vlans]

    set isolated-vlan vlan-id 50 private-vlan isolated
  10. 创建主要 VLAN 并使社区和隔离 Vlan 成为其成员:
    [edit vlans]

    set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
  11. 将 VLAN 300 (a 社区 VLAN)配置为接口 xe-0/0/11 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
  12. 将 VLAN 300 (社区 VLAN)配置为接口 xe-0/0/12 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
  13. 将 VLAN 400 (社区 VLAN)配置为接口 xe 的成员-0/0/13:
    [edit interfaces]
    user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
  14. 将 VLAN 400 (社区 VLAN)配置为接口 xe-0/0/14 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
  15. 将 VLAN 50 (隔离 VLAN)配置为接口 xe-0/0/17 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50

结果

检查配置结果:

在交换机3上配置 PVLAN

CLI 快速配置

要将交换机3快速配置为充当此 PVLAN 的分配交换机,请复制以下命令并将其粘贴到交换机3的端子窗口中:

注意

接口 xe-0/0/2.0 是将 PVLAN 连接到另一个网络的中继端口。

[edit]


[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100


set vlans pvlan100 vlan-id 100


set interfaces irb unit 100 family inet address 192.168.1.1/24


set vlans pvlan100 l3-interface irb.100


set interfaces irb unit 100 proxy-arp unrestricted

分步过程

要将交换机3配置为此 PVLAN 的分配交换机,请使用以下过程:

  1. 配置接口 xe-0/0/0 要成为主干:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  2. 配置接口 xe-0/0/0 将成为传输所有 Vlan 的交换机间链路:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
  3. 将 pvlan100 (主要 VLAN)配置为接口 xe-0/0/0 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
  4. 配置接口 xe-0/0/5 成为主干:
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  5. 配置接口 xe-0/0/5 是一种传输所有 Vlan 的交换机间链路:
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
  6. 将 pvlan100 配置为接口 xe-0/0/5 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
  7. 将接口 xe-0/0/2 (混杂接口)配置为主干:
    [edit interfaces]
    user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
  8. 将 pvlan100 配置为接口 xe-0/0/2 的成员:
    [edit interfaces]
    user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
  9. 创建主要 VLAN:
    [edit vlans]

    set vlans pvlan100 vlan-id 100
  10. 创建 IRB 接口irb并为其分配子网中连接到交换机1和2的设备所使用的地址:
    [edit interfaces]

    set irb unit 100 family inet address 192.168.1.1/24
    注意

    每个要在第3层连接的主机设备必须与 IRB 接口位于同一子网中,并使用 IRB 接口的 IP 地址作为其默认网关地址。

  11. 通过将接口绑定到主 VLAN pvlan100,完成 IRB 接口配置:
    [edit vlans]

    set pvlan100 l3-interface irb.100
  12. 为 IRB 接口的每个单元配置无限制代理 ARP,以便 ARP 解析适用于 IPv4 信息流:
    [edit interfaces]

    set irb unit 100 proxy-arp unrestricted
    注意

    由于社区和隔离 Vlan 中的设备在第2层中隔离,因此此步骤需要在 Vlan 之间进行 ARP 解析,以便使用 IPv4 的设备可以在第3层进行通信。(对于 IPv6 流量,您必须将 IRB 地址显式映射到目标地址以允许 ARP 解析。)

结果

检查配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证主 VLAN 和辅助 Vlan 是否已在交换机1上创建

用途

验证交换机1上是否在运行跨多台交换机的 PVLAN 配置:

操作

show vlans extensive使用命令:

user@switch> 显示 vlan extensive

含义

输出显示,PVLAN 在交换机1上创建,并显示了两个隔离 Vlan、两个社区 Vlan 和一个交换机间隔离 VLAN。干线和交换机间隔离字段的存在表示此 PVLAN 正在跨越多台交换机。

验证主 VLAN 和辅助 Vlan 是否已在交换机2上创建

用途

验证交换机2上是否有跨多个交换机的 PVLAN 配置正常工作:

操作

show vlans extensive使用命令:

user@switch> 显示 vlan extensive

含义

输出显示,PVLAN 是在交换机2上创建的,表示它包含一个隔离 VLAN、两个社区 Vlan 和一个交换机间隔离 VLAN。干线和交换机间隔离字段的存在表示此 PVLAN 正在跨越多台交换机。将此输出与交换机1的输出进行比较时,您可以看到两个交换机属于相同的 PVLAN (pvlan100)。

验证主 VLAN 和辅助 Vlan 是否已在交换机3上创建

用途

验证交换机3上是否有多个交换机的 PVLAN 配置正常工作:

操作

show vlans extensive使用命令:

user@switch> 显示 vlan extensive

含义

输出显示,PVLAN (pvlan100)在交换机3上配置,不包含隔离 vlan、两个社区 vlan 和一个交换机间隔离 vlan。但交换机3作为分布交换机运行,因此输出不包括 PVLAN 内的接入接口。它仅显示从交换机3连接pvlan100到同一 PVLAN 中的其他交换机(交换机1和交换机2)的中继接口。