Ejemplo: Configuración de una interfaz IRB en una VLAN privada en un único enrutador de la serie MX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) de los enrutadores de la serie MX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislados, lo que esencialmente coloca una VLAN dentro de una VLAN.
En este ejemplo se describe cómo crear una interfaz de enrutamiento y puente integrados (IRB) en un dominio de puente PVLAN asociado a una instancia de conmutador virtual en un único enrutador de la serie MX:
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un enrutador de la serie MX en modo LAN mejorado.
Junos OS versión 15.1 o posterior para enrutadores serie MX
Antes de empezar a configurar una PVLAN, asegúrese de tener:
Creé y configuré las VLAN necesarias. Consulte Configuración de la encapsulación de VLAN y VLAN extendida y Habilitación del etiquetado de VLAN.
Se configuraron los enrutadores MX240, MX480 y MX960 para funcionar en modo LAN mejorado ingresando la
network-services laninstrucción en el nivel de[edit chassis]jerarquía.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y cuatro VLAN de comunidad, así como dos puertos aislados.
Supongamos una implementación de ejemplo en la que una VLAN principal denominada VP contiene los puertos, p1, p2, t1, t2, i1, i2, cx1 y cx2. Los tipos de puerto de estos puertos configurados son los siguientes:
Puertos promiscuos = p1, p2
Puertos ISL = t1, t2
Puertos aislados = i1, i2
VLAN de comunidad = Cx
Puertos comunitarios = cx1, cx2
Se configura una interfaz IRB, irb.0, y se asigna al dominio de puente en la instancia del conmutador virtual.
Los dominios de puente se aprovisionan para cada una de las VLAN, a saber, Vp, Vi y Vcx. Suponga que los dominios de puente se configuran de la siguiente manera:
Vp: BD_primary_Vp (los puertos contenidos son p1, t1, i1, i2, cx1, cx2)
Vi—BD_isolate_Vi (los puertos contenidos son p1, t1, *i1, *i2)
Vcx: BD_community_Vcx (los puertos contenidos son p1, t1, cx1, cx2)
El sistema crea automáticamente los dominios de puente para VLAN comunitarias, primarias y aisladas al configurar un dominio de puente con una interfaz troncal, una interfaz de acceso o un vínculo de interconmutador. Los dominios de puente contienen el mismo ID de VLAN correspondiente a las VLAN. Para utilizar dominios de puente para PVLAN, debe configurar los siguientes atributos adicionales:
Configuración
Para configurar una interfaz IRB en una PVLAN, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN e incluir una interfaz IRB en un dominio de puente PVLAN asociado a una instancia de conmutador virtual, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
Configuración de una interfaz IRB
set interfaces irb unit 0 family inet address 22.22.22.1/24
Configuración de puertos promiscuos, ISL, aislados y comunitarios
set interfaces ge-0/0/9 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/9 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/13 unit 0 family bridge interface-mode trunk set interfaces ge-0/0/13 unit 0 family bridge vlan-id 100 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/12 unit 0 family bridge interface-mode access set interfaces ge-0/0/12 unit 0 family bridge vlan-id 10 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access set interfaces ge-0/0/1 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/2 unit 0 family bridge interface-mode access set interfaces ge-0/0/2 unit 0 family bridge vlan-id 50 set interfaces ge-0/0/3 unit 0 family bridge interface-mode access set interfaces ge-0/0/3 unit 0 family bridge vlan-id 60 set interfaces ge-0/0/4 unit 0 family bridge interface-mode access set interfaces ge-0/0/4 unit 0 family bridge vlan-id 60
Configuración de una instancia de conmutador virtual con interfaces de dominio de puente
set routing-instances vs-1 instance-type virtual-switch set routing-instances vs-1 interface ge-0/0/1.0 set routing-instances vs-1 interface ge-0/0/2.0 set routing-instances vs-1 interface ge-0/0/3.0 set routing-instances vs-1 interface ge-0/0/4.0 set routing-instances vs-1 interface ge-0/0/9.0 set routing-instances vs-1 interface ge-0/0/10.0 set routing-instances vs-1 interface ge-0/0/12.0 set routing-instances vs-1 interface ge-0/0/13.0 set routing-instances vs-1 bridge-domains bd1
Especifique la interfaz IRB y los ID de VLAN principal, aislado y comunitario en el dominio del puente
set routing-instances vs1 bridge-domains bd1 vlan-id 100 set routing-instances vs1 bridge-domains bd1 isolated-vlan 10 set routing-instances vs1 bridge-domains bd1 community-vlans [50 60] set routing-instances vs1 bridge-domains bd1 routing-interface irb.0
Procedimiento
Procedimiento paso a paso
Para configurar el vínculo de interconmutador (ISL) para una PVLAN, los tipos de puertos PVLAN y las VLAN secundarias para PVLAN:
Cree una interfaz IRB.
[edit interfaces] user@host# set interfaces irb unit 0 family inet address 22.22.22.1/24
Cree un puerto promiscuo para la PVLAN.
[edit interfaces] user@host# set ge-0/0/9 unit 0 family bridge interface-mode trunk user@host# set ge-0/0/9 unit 0 family bridge vlan-id 100
Cree el puerto troncal del vínculo del interconmutador (ISL) para la PVLAN.
[edit interfaces] user@host# set ge-0/0/13 unit 0 family bridge interface-mode trunk inter-switch-link user@host# set ge-0/0/13 unit 0 family bridge vlan-id 100
Cree los puertos aislados para la PVLAN.
[edit interfaces] user@host# set ge-0/0/10 unit 0 family bridge interface-mode access user@host# set ge-0/0/10 unit 0 family bridge vlan-id 10 user@host# set ge-0/0/12 unit 0 family bridge interface-mode access user@host# set ge-0/0/12 unit 0 family bridge vlan-id 10
Cree los puertos de comunidad para la PVLAN.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family bridge interface-mode access user@host# set ge-0/0/1 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/2 unit 0 family bridge interface-mode access user@host# set ge-0/0/2 unit 0 family bridge vlan-id 50 user@host# set ge-0/0/3 unit 0 family bridge interface-mode access user@host# set ge-0/0/3 unit 0 family bridge vlan-id 60 user@host# set ge-0/0/4 unit 0 family bridge interface-mode access user@host# set ge-0/0/4 unit 0 family bridge vlan-id 60
Cree una instancia de conmutador virtual con un dominio de puente y asocie las interfaces lógicas.
[edit routing-instances] user@host# set vs-1 instance-type virtual-switch user@host# set vs-1 interface ge-0/0/1.0 user@host# set vs-1 interface ge-0/0/2.0 user@host# set vs-1 interface ge-0/0/3.0 user@host# set vs-1 interface ge-0/0/4.0 user@host# set vs-1 interface ge-0/0/9.0 user@host# set vs-1 interface ge-0/0/10.0 user@host# set vs-1 interface ge-0/0/12.0 user@host# set vs-1 interface ge-0/0/13.0 user@host# set vs-1 bridge-domains bd1
Especifique los ID de VLAN principal, aislado y de comunidad de IRB, y asocie las VLAN con el dominio del puente.
[edit routing-instances vs1 bridge-domains bd1] user@host# set vlan-id 100 user@host# set isolated-vlan 10 user@host# set community-vlans [50 60] user@host# set routing-interface irb.0
Resultados
Compruebe los resultados de la configuración:
[edit]
[interfaces]
ge-0/0/9 {
unit 0 {
family bridge {
interface-mode trunk;
vlan-id 100; Promiscuous port by vlan id
}
}
}
ge-0/0/13 {
unit 0 {
family bridge {
interface-mode trunk inter-switch-link; ISL trunk
vlan-id 100;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/12 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 10; isolated port by vlan ID
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/2 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 50; community port by vlan ID
}
}
}
ge-0/0/3 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
ge-0/0/4 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 60; community port by vlan ID
}
}
}
irb {
unit 0 {
family inet {
address 22.22.22.1/24;
}
}
}
[edit]
routing-instances {
vs-1 {
instance-type virtual-switch;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface ge-0/0/3.0;
interface ge-0/0/4.0;
interface ge-0/0/9.0;
interface ge-0/0/10.0;
interface ge-0/0/12.0;
interface ge-0/0/13.0;
bridge-domains {
bd1 {
vlan-id 100; /* primary vlan */
isolated-vlan 10;
community-vlans [50 60]
routing-interface irb.0 /* IRB interface */
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificar que se crearon la VLAN privada y las VLAN secundarias
Propósito
Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador.
Acción
Utilice el show bridge domain comando:
user@host> show bridge domain
Routing instance Bridge domain VLAN ID Interfaces
default-switch bd1-primary-100 100
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
ge-0/0/3.0
ge-0/0/4.0
default-switch bd1-isolation-10 10
ge-0/0/9.0
ge-0/0/10.0
ge-0/0/12.0
ge-0/0/13.0
default-switch bd1-comunity-50 50
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/1.0
ge-0/0/2.0
default-switch bd1-comunity-60 60
ge-0/0/9.0
ge-0/0/13.0
ge-0/0/3.0
ge-0/0/4.0Significado
El resultado muestra que se creó la VLAN primaria e identifica las interfaces y las VLAN secundarias asociadas a ella.