Ejemplo: Configuración de PVLAN con puertos troncales VLAN secundarios y puertos de acceso promiscuo en un conmutador serie QFX
En este ejemplo se muestra cómo configurar puertos de troncalización de VLAN secundaria y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos troncales de VLAN secundaria transportan tráfico VLAN secundario.
En este ejemplo se utiliza Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI mejorada de software de capa 2.
Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico solo para una VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN privada (primaria) diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.
Para configurar un puerto troncal para transportar tráfico VLAN secundario, utilice las instrucciones aisladas y interface , como se muestra en los pasos 12 y 13 en la configuración de ejemplo para el conmutador 1.
Cuando el tráfico sale de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal a la que pertenece el puerto secundario. Si desea que el tráfico que sale de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la instrucción extend-secondary-vlan-id .
Un puerto de acceso promiscuo transporta tráfico sin etiquetar y solo puede ser miembro de una VLAN principal. El tráfico que entra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal a la que pertenece el puerto de acceso promiscuo. Este tráfico lleva las etiquetas VLAN secundarias apropiadas cuando sale de los puertos VLAN secundarios si el puerto VLAN secundario es un puerto de troncalización.
Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscua , como se muestra en el paso 12 de la configuración de ejemplo para el conmutador 2.
Si el tráfico ingresa en un puerto VLAN secundario y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos dispositivos QFX
Junos OS versión 12.2 o posterior para la serie QFX
Descripción general y topología
Figura 1muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas primarias y secundarias, y también incluye dos puertos troncales VLAN secundarios configurados para transportar VLAN secundarias que son miembros de las VLAN principales pvlan100 y pvlan400.
El conmutador 2 incluye las mismas VLAN privadas. La figura muestra xe-0/0/0 en el conmutador 2 configurado con puertos de acceso promiscuos o puertos troncales promiscuos. La configuración de ejemplo incluida aquí configura este puerto como un puerto de acceso promiscuo.
La figura también muestra cómo fluiría el tráfico después de ingresar en los puertos troncales de VLAN secundaria en el conmutador 1.
Tabla 1 y Tabla 2 enumere la configuración de la topología de ejemplo en ambos conmutadores.
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN comunitaria, miembro de pvlan100 |
comm600, ID 600 |
VLAN comunitaria, miembro de pvlan400 |
isolation-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
isolation–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto troncal VLAN secundario para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN principales PVLAN100 y PVLAN400 |
xe-0/0/2.0 |
Puerto de acceso aislado para pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto troncal comunitario para comm600 |
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN comunitaria, miembro de pvlan100 |
comm600, ID 600 |
VLAN comunitaria, miembro de pvlan400 |
isolation-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
isolation–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto de acceso promiscuo para VLAN principales pvlan100 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN principales PVLAN100 y PVLAN400 |
xe-0/0/2.0 |
Puerto troncal secundario para VLAN aislada, miembro de pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto de acceso comunitario para comm600 |
Configuración de las PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 1, copie los siguientes comandos y péguelos en una ventana de terminal de conmutador:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos troncales de VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:Las VLAN principales siempre deben etiquetarse como VLAN, incluso si existen en un solo dispositivo.
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto troncal PVLAN para transportar el tráfico de VLAN privada entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree una VLAN secundaria comm300 con ID de VLAN 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree un comm600 de VLAN secundario con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure las VLAN aisladas del interconmutador:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Cuando configure un puerto troncal de VLAN secundario para transportar una VLAN aislada, también debe configurar un isolation-vlan-id. Esto es cierto incluso si la VLAN aislada solo existe en un conmutador.
Habilite el puerto troncal xe-0/0/0 para transportar VLAN secundarias para las VLAN principales:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure el puerto troncal xe-0/0/0 para transportar comm600 (miembro de pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:No es necesario configurar explícitamente xe-0/0/0 para transportar el tráfico VLAN aislado (etiquetas 200 y 500), ya que todos los puertos aislados de pvlan100 y pvlan400, incluidos xe-0/0/0.0, se incluyen automáticamente en las VLAN aisladas creadas al configurar
isolation-vlan-id 200yisolation-vlan-id 500.Configure xe-0/0/2 y xe-0/0/6 para que se aíslen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuración de las PVLAN en el conmutador 2
La configuración del conmutador 2 es casi idéntica a la del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo o un puerto de acceso promiscuo, como Figura 1 se muestra. En la siguiente configuración, xe-0/0/0 se configura como un puerto de acceso promiscuo para la VLAN principal pvlan100.
Si el tráfico ingresa en el puerto habilitado para VLAN y sale en un puerto de acceso promiscuo, las etiquetas VLAN se eliminan al salir y el tráfico se desetiqueta en ese punto. Por ejemplo, el tráfico para comm600 ingresa en el puerto troncal de VLAN secundario configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 a medida que se reenvía a través de la VLAN secundaria. Cuando salga de xe-0/0/0.0 en el conmutador 2, se desetiquetará si configura xe-0/0/0.0 como puerto de acceso promiscuo, como se muestra en este ejemplo. Si, en cambio, configura xe-0/0/0.0 como un puerto troncal promiscuo (troncal en modo de puerto), el tráfico de comm600 lleva su etiqueta VLAN principal (400) cuando sale.
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 2, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos troncales de VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto troncal PVLAN para transportar el tráfico de VLAN privada entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree una VLAN secundaria comm300 con ID de VLAN 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree un comm600 de VLAN secundario con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Configuración de las PVLAN en el conmutador 1
Configure las VLAN aisladas del interconmutador:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Un puerto de acceso promiscuo solo puede ser miembro de una VLAN principal.
Configure xe-0/0/2 y xe-0/0/6 para que se aíslen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar que se crearon la VLAN privada y las VLAN secundarias
- Verificación de las entradas de la tabla de conmutación Ethernet
Verificar que se crearon la VLAN privada y las VLAN secundarias
Propósito
Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador 1.
Acción
Utilice el show vlans comando:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
El resultado muestra que se crearon las VLAN privadas e identifica las interfaces y las VLAN secundarias asociadas a ellas.
Verificación de las entradas de la tabla de conmutación Ethernet
Propósito
Verifique que las entradas de la tabla de conmutación Ethernet se crearon para la VLAN principal pvlan100.
Acción
Mostrar las entradas de la tabla de conmutación Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0