예: 단일 MX 시리즈 라우터의 프라이빗 VLAN에서 IRB 인터페이스 구성
보안상의 이유로 브로드캐스트 및 알 수 없는 유니캐스트 트래픽의 흐름을 제한하고 알려진 호스트 간의 통신도 제한하는 것이 유용한 경우가 많습니다. MX 시리즈 라우터의 프라이빗 VLAN(PVLAN) 기능을 통해 관리자는 브로드캐스트 도메인을 여러 개의 격리된 브로드캐스트 하위 도메인으로 분할하여 VLAN을 VLAN 내부에 배치할 수 있습니다.
이 예에서는 단일 MX 시리즈 라우터의 가상 스위치 인스턴스와 연결된 PVLAN 브리지 도메인에서 통합 라우팅 및 브리징(IRB) 인터페이스를 생성하는 방법을 설명합니다.
PVLAN 인터페이스에서 VoIP(Voice over IP) VLAN 구성은 지원되지 않습니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
향상된 LAN 모드의 MX 시리즈 라우터 1개.
MX 시리즈 라우터용 Junos OS 릴리스 15.1 이상
PVLAN 구성을 시작하기 전에 다음을 확인하십시오.
필요한 VLAN을 생성하고 구성했습니다. VLAN 및 확장 VLAN 캡슐화 구성 및 VLAN 태깅 활성화를 참조하십시오.
MX240, MX480 및 MX960 라우터가 계층 수준에서 문을 입력하여
network-services lan향상된 LAN 모드에서 작동하도록 구성했습니다[edit chassis].
개요 및 토폴로지
여러 건물과 VLAN이 있는 대규모 사무실에서는 보안상의 이유로 일부 작업 그룹 또는 기타 엔드포인트를 격리하거나 브로드캐스트 도메인을 분할해야 할 수 있습니다. 이 구성 예에서는 1개의 기본 VLAN과 4개의 커뮤니티 VLAN뿐만 아니라 2개의 격리된 포트로 PVLAN을 생성하는 방법을 설명하는 간단한 토폴로지를 보여줍니다.
VP라는 기본 VLAN에 포트 p1, p2, t1, t2, i1, i2, cx1 및 cx2가 포함된 샘플 구축을 가정합니다. 이렇게 구성된 포트의 포트 유형은 다음과 같습니다.
무차별 포트 = p1, p2
ISL 포트 = t1, t2
분리된 포트 = i1, i2
커뮤니티 VLAN = Cx
커뮤니티 포트 = cx1, cx2
IRB 인터페이스인 irb.0이 구성되어 가상 스위치 인스턴스의 브리지 도메인에 매핑됩니다.
브리지 도메인은 각 VLAN, 즉 Vp, Vi 및 Vcx에 대해 프로비저닝됩니다. 브리지 도메인이 다음과 같이 구성된다고 가정합니다.
VP—BD_primary_Vp(포함된 포트는 p1, t1, i1, i2, cx1, cx2)
Vi—BD_isolate_Vi(포함된 포트는 p1, t1, *i1, *i2임)
Vcx—BD_community_Vcx(포함된 포트는 p1, t1, cx1, cx2)
커뮤니티, 기본 및 분리된 VLAN에 대한 브리지 도메인은 트렁크 인터페이스, 액세스 인터페이스 또는 스위치 간 링크로 브리지 도메인을 구성할 때 시스템에서 내부적으로 자동으로 생성됩니다. 브리지 도메인에는 VLAN에 해당하는 동일한 VLAN ID가 포함되어 있습니다. PVLAN에 브리지 도메인을 사용하려면 다음과 같은 추가 속성을 구성해야 합니다.
구성
PVLAN에서 IRB 인터페이스를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
PVLAN을 신속하게 생성 및 구성하고 가상 스위치 인스턴스와 연결된 PVLAN 브리지 도메인에 IRB 인터페이스를 포함하려면 다음 명령을 복사하여 라우터 터미널 창에 붙여넣습니다.
IRB 인터페이스 구성
set interfaces irb unit 0 family inet address 22.22.22.1/24
Promiscuous, ISL, Isolated 및 Community 포트 구성
set interfaces ge-0/0/9 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/9 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/13 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/13 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/12 unit 0 family bridge interface-mode access set interfaces ge-0/0/12 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access set interfaces ge-0/0/1 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/2 unit 0 family bridge interface-mode access set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/3 unit 0 family bridge interface-mode access set interfaces ge-0/0/3 unit 0 family bridge vlan-id 60 set interfaces ge-0/0/4 unit 0 family bridge interface-mode access set interfaces ge-0/0/4 unit 0 family bridge vlan-id 60
브리지 도메인 인터페이스를 사용한 가상 스위치 인스턴스 구성
set routing-instances vs-1 instance-type virtual-switch set routing-instances vs-1 interface ge-0/0/1.0 set routing-instances vs-1 interface ge-0/0/2.0 set routing-instances vs-1 interface ge-0/0/3.0 set routing-instances vs-1 interface ge-0/0/4.0 set routing-instances vs-1 interface ge-0/0/9.0 set routing-instances vs-1 interface ge-0/0/10.0 set routing-instances vs-1 interface ge-0/0/12.0 set routing-instances vs-1 interface ge-0/0/13.0 set routing-instances vs-1 bridge-domains bd1
브리지 도메인에서 IRB 인터페이스와 기본, 분리 및 커뮤니티 VLAN ID를 지정합니다
set routing-instances vs1 bridge-domains bd1 vlan-id 100 set routing-instances vs1 bridge-domains bd1 isolated-vlan 10 set routing-instances vs1 bridge-domains bd1 community-vlans [50 60] set routing-instances vs1 bridge-domains bd1 routing-interface irb.0
절차
단계별 절차
PVLAN에 대한 ISL(Interswitch Link), PVLAN에 대한 PVLAN 포트 유형 및 보조 VLAN을 구성하려면 다음을 수행합니다.
IRB 인터페이스를 생성합니다.
[edit interfaces] user@host# set interfaces irb unit 0 family inet address 22.22.22.1/24
PVLAN을 위한 무차별 포트를 생성합니다.
[edit interfaces] user@host# set ge-0/0/9 unit 0 family bridge interface-mode trunk user@host# set ge-0/0/9 unit 0 family bridge vlan-id 100
PVLAN에 대한 ISL(Interswitch Link) 트렁크 포트를 생성합니다.
[edit interfaces] user@host# set ge-0/0/13 unit 0 family bridge interface-mode trunk inter-switch-link user@host# set ge-0/0/13 unit 0 family bridge vlan-id 100
PVLAN에 대한 격리된 포트를 생성합니다.
[edit interfaces] user@host# set ge-0/0/10 unit 0 family bridge interface-mode access user@host# set ge-0/0/10 unit 0 family bridge vlan-id 10 user@host# set ge-0/0/12 unit 0 family bridge interface-mode access user@host# set ge-0/0/12 unit 0 family bridge vlan-id 10
PVLAN을 위한 커뮤니티 포트를 생성합니다.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family bridge interface-mode access user@host# set ge-0/0/1 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/2 unit 0 family bridge interface-mode access user@host# set ge-0/0/2 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/3 unit 0 family bridge interface-mode access user@host# set ge-0/0/3 unit 0 family bridge vlan-id 60 user@host# set ge-0/0/4 unit 0 family bridge interface-mode access user@host# set ge-0/0/4 unit 0 family bridge vlan-id 60
브리지 도메인이 있는 가상 스위치 인스턴스를 생성하고 논리적 인터페이스를 연결합니다.
[edit routing-instances] user@host# set vs-1 instance-type virtual-switch user@host# set vs-1 interface ge-0/0/1.0 user@host# set vs-1 interface ge-0/0/2.0 user@host# set vs-1 interface ge-0/0/3.0 user@host# set vs-1 interface ge-0/0/4.0 user@host# set vs-1 interface ge-0/0/9.0 user@host# set vs-1 interface ge-0/0/10.0 user@host# set vs-1 interface ge-0/0/12.0 user@host# set vs-1 interface ge-0/0/13.0 user@host# set vs-1 bridge-domains bd1
IRB 인터페이스, 기본, 분리 및 커뮤니티 VLAN ID를 지정하고 VLAN을 브리지 도메인과 연결합니다.
[edit routing-instances vs1 bridge-domains bd1] user@host# set vlan-id 100 user@host# set isolated-vlan 10 user@host# set community-vlans [50 60] user@host# set routing-interface irb.0
결과
구성 결과를 확인합니다:
[edit]
[interfaces]
ge-0/0/9 {
unit 0 {
family bridge {
interface-mode trunk;
vlan-id 100; Promiscuous port by vlan id
}
}
}
ge-0/0/13 {
unit 0 {
family bridge {
interface-mode trunk inter-switch-link; ISL trunk
vlan-id 100;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/12 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/2 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/3 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
ge-0/0/4 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
irb {
unit 0 {
family inet {
address 22.22.22.1/24;
}
}
}
[edit]
routing-instances {
vs-1 {
instance-type virtual-switch;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface ge-0/0/3.0;
interface ge-0/0/4.0;
interface ge-0/0/9.0;
interface ge-0/0/10.0;
interface ge-0/0/12.0;
interface ge-0/0/13.0;
bridge-domains {
bd1 {
vlan-id 100; /* primary vlan */
isolated-vlan 10;
community-vlans [50 60]
routing-interface irb.0 /* IRB interface */
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
프라이빗 VLAN 및 보조 VLAN이 생성되었는지 확인
목적
스위치에서 기본 VLAN 및 보조 VLAN이 올바르게 생성되었는지 확인합니다.
작업
show bridge domain 명령을 사용합니다.
user@host> show bridge domain
Routing instance Bridge domain VLAN ID Interfaces
default-switch bd1-primary-100 100
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
ge-0/0/3.0
ge-0/0/4.0
default-switch bd1-isolation-10 10
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
default-switch bd1-comunity-50 50
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
default-switch bd1-comunity-60 60
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/3.0
ge-0/0/4.0의미
출력은 기본 VLAN이 생성되었음을 보여주고 이와 관련된 인터페이스 및 보조 VLAN을 식별합니다.