Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

在单个 EX 系列交换机上创建专用 VLAN (CLI 过程)

 

出于安全考虑,限制广播流量和未知单播信息流,甚至限制已知主机之间的通信通常很有用。EX 系列交换机上的专用 VLAN (PVLAN)功能允许您将广播域(又称为主 VLAN)拆分为多个独立的广播子域,也称为辅助 Vlan。将主要 VLAN 拆分为辅助 Vlan 实质上会将 VLAN 嵌套在另一个 VLAN 内。本主题介绍如何在单个交换机上配置 PVLAN。

开始之前,请为将成为主 VLAN 一部分的所有辅助 Vlan 配置名称。(与辅助 Vlan 不同,您无需预先配置主 VLAN—此过程将提供主 vlan 的完整配置。)尽管在单个交换机上配置辅助 VLAN 时不需要标记,但将辅助 VLAN 配置为已标记不会对其功能造成负面影响。有关配置辅助 Vlan 的说明,请参阅Configuring VLANs for EX Series Switches

在单个交换机上配置 PVLAN 时,请记住以下规则:

  • 主 VLAN 必须为标记的 VLAN。

  • 不支持在 PVLAN 接口上配置 VoIP VLAN。

要在单个交换机上配置专用 VLAN:

  1. 设置主 VLAN 的 VLAN ID:
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id vlan-id-number
  2. 设置接口和端口模式:
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching 端口模式 mode
    user@switch# set interface-name unit 0 family ethernet-switching vlan 人员 (all | vlan-id | vlan-number)
  3. 配置主 VLAN 中的接入端口,使其不会转发数据包彼此之间:
    [edit vlans]

    user@switch# set vlan-id vlan-id-number 无本地交换
  4. 对于每个社区 VLAN,配置接入接口:
    [edit vlans]

    user@switch# set community-vlan-name interface-mac-limit interface-name
  5. 对于每个社区 VLAN,设置主 VLAN:
    [edit vlans]

    user@switch# set community-vlan-name 主 vlan primary-vlan-name

隔离 Vlan 不会作为此进程的一部分进行配置。而是在内部创建,前提是 无本地交换在主 VLAN 上启用,隔离 VLAN 将访问接口作为成员。

要使用路由 VLAN 接口(RVI)代替混合端口连接到路由器,可选择在隔离和社区 Vlan 之间实现路由,请参阅Configuring a Routed VLAN Interface in a Private VLAN on an EX Series Switch

注意

只有 EX8200 交换机或 EX8200 集群交换才支持使用 RVI 在 PVLAN 域中的隔离和社区 Vlan 之间路由第3层信息流。