Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

创建跨越多个 EX 系列交换机的私有 VLAN (CLI 过程)

 

出于安全考虑,限制广播流量和未知单播信息流,甚至限制已知主机之间的通信通常很有用。EX 系列交换机上的专用 VLAN (PVLAN)功能使管理员能够将广播域(又称为主 VLAN)拆分为多个独立的广播子域,也称为辅助 Vlan。将主要 VLAN 拆分为辅助 Vlan 实质上会将 VLAN 嵌套在另一个 VLAN 内。本主题介绍如何配置 PVLAN 以跨越多台交换机。

开始之前,请为将成为主 VLAN 一部分的所有辅助 Vlan 配置名称。(与辅助 Vlan 不同,您无需预先配置主 VLAN—此过程将提供主 vlan 的完整配置。)有关配置辅助 Vlan 的说明,请参阅Configuring VLANs for EX Series Switches

以下规则适用于创建 Pvlan:

  • 主 VLAN 必须为标记的 VLAN。

  • 配置辅助 Vlan 之前,必须先配置主 VLAN 和 PVLAN 中继端口。

  • 不支持在 PVLAN 接口上配置 VoIP VLAN。

  • 如果在 PVLAN 中继端口上配置了多个 VLAN 注册协议(MVRP),则必须使用相同的提交操作提交辅助 Vlan 和 PVLAN 中继端口的配置。

要配置专用 VLAN 以跨越多台交换机:

  1. 为主要 VLAN 配置名称和 802.1 Q 标记:。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id number
  2. 将主 VLAN 设置为不使用本地交换:
    [edit vlans]

    user@switch# set primary-vlan-name 无本地交换
  3. 设置用于将主 VLAN 连接到邻接交换机的 PVLAN 中继接口:
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name pvlan-trunk
  4. 为跨越交换机的社区 VLAN 配置 name 和 802.1 Q 标记:
    [edit vlans]

    user@switch# set community-vlan-name vlan-id number
  5. 向社区 VLAN 添加接入接口:
    [edit vlans]

    user@switch# set community-vlan-name interface interface-name
  6. 指定指定社区 VLAN 的主 VLAN:
    [edit vlans]

    user@switch# set community-vlan-name 主 vlan primary-vlan-name
  7. 将隔离接口添加到指定的主 VLAN:
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name
    注意

    要配置隔离接口,请将其作为主要 VLAN 的一个成员包括在内,但不要将其配置为属于某个社区 Vlan。

  8. 设置交换机间隔离 VLAN 的 802.1 Q 标记:
    [edit vlans]

    user@switch# set primary-vlan-name isolation-id number

    802.1 q 标记对于交换机间隔离 Vlan 是必需的,因为 IEEE 802.1 Q 使用一种内部标记机制,中继设备将4字节 VLAN 帧标识选项卡插入数据包标头。

要使用路由 VLAN 接口(RVI)代替混合端口连接到路由器,可选择在隔离和社区 Vlan 之间实现路由,请参阅Configuring a Routed VLAN Interface in a Private VLAN on an EX Series Switch

注意

只有 EX8200 交换机或 EX8200 集群交换才支持使用 RVI 在 PVLAN 域中的隔离和社区 Vlan 之间路由第3层信息流。