Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

VLAN privadas

Descripción de las VLAN privadas

Las VLAN limitan las difusiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá limitando la comunicación dentro de una VLAN. Para ello, las PVLAN restringen los flujos de tráfico a través de sus puertos de conmutador miembro (que se denominan puertos privados) para que estos puertos se comuniquen únicamente con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto troncal de enlace ascendente o el grupo de agregación de vínculos (LAG) suele estar conectado a una red de enrutador, firewall, servidor o proveedor. Normalmente, cada PVLAN contiene muchos puertos privados que se comunican solo con un único puerto de enlace ascendente, lo que impide que los puertos se comuniquen entre sí.

Las PVLAN proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de comunidad y una VLAN aislada ) dentro de una VLAN primaria. Los puertos dentro de la misma VLAN de la comunidad pueden comunicarse entre sí. Los puertos dentro de una VLAN aislada solo pueden comunicarse con un único puerto de enlace ascendente.

Al igual que las VLAN normales, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:

  • Una conexión de puerto promiscua con un enrutador

  • Una interfaz VLAN enrutada (RVI)

Nota:

Para enrutar el tráfico de capa 3 entre VLAN secundarias, una PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza una RVI, aún puede implementar una conexión de puerto promiscuo a un enrutador con el puerto promiscuo configurado para manejar solo el tráfico que entra y sale de la PVLAN.

Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios utilizan PVLAN para mantener a sus clientes aislados entre sí. Otro uso típico de una PVLAN es proporcionar acceso a Internet por habitación en un hotel.

Nota:

Puede configurar una PVLAN para abarcar conmutadores que admitan PVLAN.

En este tema se explican los siguientes conceptos relacionados con las PVLAN en conmutadores de la serie EX:

Ventajas de las PVLAN

La necesidad de segregar una sola VLAN es particularmente útil en los siguientes escenarios de implementación:

  • Granjas de servidores: un proveedor de servicios Internet típico usa una granja de servidores para proporcionar alojamiento web a numerosos clientes. La ubicación de los distintos servidores dentro de una única granja de servidores facilita la administración. Los problemas de seguridad surgen si todos los servidores se encuentran en la misma VLAN, ya que las difusiones de capa 2 van a todos los servidores de la VLAN.

  • Redes Ethernet metropolitanas: un proveedor de servicios metropolitanos ofrece acceso Ethernet de capa 2 a una variedad de hogares, comunidades de alquiler y empresas. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que puede generar un desperdicio potencial de direcciones IP. Las PVLAN proporcionan una solución más segura y eficiente.

Estructura típica y aplicación principal de las PVLAN

Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. Los tipos de dominios y puertos son:

  • VLAN primaria: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN primaria puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN aislada/puerto aislado: una VLAN primaria solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada sólo puede reenviar paquetes a un puerto promiscuo o al puerto de vínculo entre conmutadores (ISL). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso solo a un enrutador de puerta de enlace, el dispositivo debe estar conectado a un puerto troncal aislado.

  • VLAN comunitaria/puerto de comunidad: puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto ISL. Si tiene, por ejemplo, dos dispositivos de cliente que necesita aislar de otros dispositivos de cliente, pero que deben poder comunicarse entre sí, use puertos de comunidad.

  • Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de punto final suelen estar conectados a un puerto promiscuo.

  • Vínculo entre conmutadores (ISL): un ISL es un puerto troncal que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando una PVLAN abarca varios conmutadores.

La PVLAN configurada es el dominio principal (VLAN principal). Dentro de la PVLAN, se configuran VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. La PVLAN que se muestra en Figura 1 incluye dos conmutadores, con un dominio PVLAN primario y varios subdominios.

Figura 1: Subdominios en una PVLANSubdominios en una PVLAN

Como se muestra en Figura 3, una PVLAN solo tiene un dominio principal y varios dominios secundarios. Los tipos de dominios son:

  • VLAN primaria: VLAN utilizada para reenviar tramas descendentes a VLAN aisladas y comunitarias. La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN primaria puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

  • VLAN secundaria aislada: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas ascendentes a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada dentro de la VLAN principal. Una VLAN primaria solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes solo a un puerto promiscuo o al puerto troncal PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; Una interfaz aislada tampoco puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso solo a un enrutador, el dispositivo debe estar conectado a un puerto troncal aislado.

  • VLAN aislada de interconmutador secundario: VLAN utilizada para reenviar tráfico VLAN aislado de un conmutador a otro a través de puertos troncales PVLAN. Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada de interconmutador es una VLAN secundaria anidada dentro de la VLAN principal.

  • VLAN de comunidad secundaria: VLAN utilizada para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas ascendentes a la VLAN principal. Una VLAN comunitaria es una VLAN secundaria anidada dentro de la VLAN principal. Puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o con el puerto troncal PVLAN.

Figura 2muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (100) contiene dos dominios de comunidad y 400) y un dominio aislado de (300 interconmutador.

Figura 2: PVLAN que abarca varios conmutadoresPVLAN que abarca varios conmutadores
Nota:

Las VLAN primarias y secundarias cuentan para el límite de 4089 VLAN admitidas en la serie QFX. Por ejemplo, cada VLAN en Figura 2 cuenta para este límite.

Estructura típica y aplicación principal de las PVLAN en enrutadores de la serie MX

La PVLAN configurada se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un único enrutador. La PVLAN que se muestra en Figura 3 incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.

Figura 3: Subdominios en una PVLAN con un enrutadorSubdominios en una PVLAN con un enrutador

Los tipos de dominios son:

  • VLAN primaria: VLAN utilizada para reenviar tramas descendentes a VLAN aisladas y comunitarias.

  • VLAN secundaria aislada: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas ascendentes a la VLAN principal.

  • VLAN aislada de interconmutador secundario: VLAN utilizada para reenviar tráfico VLAN aislado de un enrutador a otro a través de puertos troncales PVLAN.

  • VLAN de comunidad secundaria: VLAN utilizada para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas ascendentes a la VLAN principal.

Nota:

Las PVLAN son compatibles con enrutadores MX80, en enrutadores MX240, MX480 y MX960 con DPC en modo LAN mejorado, en enrutadores serie MX con PIC MPC1, MPC2 y Adaptive Services.

Estructura típica y aplicación principal de las PVLAN en conmutadores de la serie EX

Nota:

La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. En los conmutadores EX9200, cada VLAN secundaria también debe definirse con su propio ID de VLAN independiente.

Figura 4 muestra una PVLAN en un solo conmutador, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 50).

Figura 4: VLAN privada en un solo conmutador EXVLAN privada en un solo conmutador EX

Figura 5 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 están conectados a través de un enlace de interconmutador (enlace troncal PVLAN).

Figura 5: PVLAN que abarca varios conmutadores de la serie EXPVLAN que abarca varios conmutadores de la serie EX

Además, las PVLAN que se muestran y Figura 4Figura 5 utilizan un puerto promiscuo conectado a un enrutador como medio para enrutar el tráfico de capa 3 entre la comunidad y VLAN aisladas. En lugar de utilizar el puerto promiscuo conectado a un enrutador, puede configurar una RVI en el conmutador o Figura 4 en uno de los conmutadores que se muestran en Figura 5 (en algunos conmutadores EX).

Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador a un puerto promiscuo, como se muestra en Figura 4 y Figura 5, o configurar una RVI.

Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Esta RVI sirve a todo el dominio de PVLAN, independientemente de si el dominio incluye uno o más conmutadores. Después de configurar la RVI, los paquetes de capa 3 recibidos por las interfaces VLAN secundarias se asignan a la RVI y la enrutan.

Al configurar la RVI, también debe habilitar el Protocolo de resolución de direcciones (ARP) de proxy para que la RVI pueda controlar las solicitudes ARP recibidas por las interfaces VLAN secundarias.

Para obtener información acerca de la configuración de PVLAN en un solo conmutador y en varios, consulte Creación de una VLAN privada en un único conmutador de la serie EX (procedimiento de CLI). Para obtener información acerca de cómo configurar una RVI, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Enrutamiento entre VLAN aisladas y comunitarias

Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto troncal de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.

Las PVLAN utilizan etiquetas 802.1Q para identificar paquetes

Cuando los paquetes se marcan con una etiqueta 802.1Q específica del cliente, esa etiqueta identifica la propiedad de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLAN para realizar un seguimiento de los paquetes de diferentes subdominios. Tabla 1 indica cuándo se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en las VLAN secundarias.

Tabla 1: Cuando las VLAN en una PVLAN necesitan etiquetas 802.1Q
  En un solo conmutador En varios conmutadores
VLAN principal

Especifique una etiqueta 802.1Q estableciendo un ID de VLAN.

Especifique una etiqueta 802.1Q estableciendo un ID de VLAN.

VLAN secundaria

No se necesita ninguna etiqueta en las VLAN.

Las VLAN necesitan etiquetas 802.1Q:

  • Especifique una etiqueta 802.1Q para cada VLAN de comunidad estableciendo un ID de VLAN.

  • Especifique la etiqueta 802.1Q para un ID de VLAN de aislamiento estableciendo un ID de aislamiento.

Las PVLAN utilizan las direcciones IP de manera eficiente

Las PVLAN proporcionan conservación de direcciones IP y asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En las PVLAN, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP porque la subred está asignada a la VLAN principal. A los hosts dentro de la VLAN secundaria se les asignan direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.

Tipos de puertos PVLAN y reglas de reenvío

Las PVLAN pueden utilizar hasta seis tipos de puertos diferentes. La red representada enFigura 2 utiliza un puerto promiscuo para transportar información al enrutador, puertos comunitarios para conectar a las comunidades de finanzas y recursos humanos a sus respectivos conmutadores, puertos aislados para conectar los servidores y un puerto troncal PVLAN para conectar los dos conmutadores. Los puertos PVLAN tienen diferentes restricciones:

  • Puerto troncal promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye dentro de uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de punto final suelen estar conectados a un puerto promiscuo.

  • Vínculo troncal de PVLAN: el vínculo troncal de PVLAN, también conocido como vínculo de interconmutador, solo es necesario cuando una PVLAN está configurada para abarcar varios conmutadores. El enlace troncal de PVLAN conecta los múltiples conmutadores que componen la PVLAN.

  • Puerto troncal PVLAN: se requiere un puerto troncal PVLAN en las configuraciones de PVLAN de varios conmutadores para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada del interconmutador) y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos que no sean los puertos aislados.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La pertenencia de un puerto troncal PVLAN a la VLAN aislada del interconmutador es solo de salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto troncal PVLAN, pero un puerto troncal PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes hayan ingresado en un puerto de acceso promiscuo y, por lo tanto, se reenvíen a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización de VLAN secundaria (no mostrado): los puertos de troncalización secundaria transportan tráfico de VLAN secundaria. Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico solo para una VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.

  • Puerto comunitario—Los puertos comunitarios se comunican entre sí y con sus puertos promiscuos. Los puertos comunitarios solo sirven a un grupo selecto de usuarios. Estas interfaces están separadas en la capa 2 de todas las demás interfaces en otras comunidades o puertos aislados dentro de su PVLAN.

  • Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN: un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio VLAN aislado (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de copia de seguridad, está conectado en un puerto aislado. En un hotel, cada habitación normalmente estaría conectada en un puerto aislado, lo que significa que la comunicación de habitación a habitación no es posible, pero cada habitación puede acceder a Internet en el puerto promiscuo.

  • Puerto de acceso promiscuo (no mostrado): estos puertos transportan tráfico sin etiquetar. El tráfico que ingresa en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico ingresa al dispositivo en un puerto habilitado para VLAN y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.

  • Puerto de vínculo de interconmutador: un puerto de vínculo de interconmutador (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN abarca esos enrutadores. El puerto ISL es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada).

    La comunicación entre un puerto ISL y un puerto aislado es unidireccional. La pertenencia de un puerto ISL a la VLAN aislada del interconmutador es de solo salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.

Tabla 2 resume la conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN en conmutadores serie EX compatibles con ELS.

Tabla 2: Puertos PVLAN y reenvío de capa 2 en conmutadores de la serie EX compatibles con ELS

Desde el tipo de puerto

¿A puertos aislados?

¿A puertos promiscuos?

¿A los puertos comunitarios?

para interconectar el puerto de enlace?

Aislado

Negar

Permitir

Negar

Permitir

Promiscuo

Permitir

Permitir

Permitir

Permitir

Comunidad 1

Negar

Permitir

Permitir

Permitir

Tabla 3: Puertos PVLAN y conectividad de capa 2

Tipo de puerto

Tronco promiscuo

Troncal PVLAN

Tronco secundario

Comunidad

Acceso aislado

Acceso promiscuo

Tronco promiscuo

Troncal de PVLAN

Sí, solo la misma comunidad

Tronco secundario

No

No

Comunidad

Sí, solo la misma comunidad

No

Acceso aislado

Sí, solo unidireccional

No

No

No

Acceso promiscuo

No

Tabla 4 resume si existe o no conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.

Tabla 4: Puertos PVLAN y conectividad de capa 2 en conmutadores de la serie EX sin soporte ELS

Tipo de puerto

Nueva versión: →

De:↓

Promiscuo

Comunidad

Aislado

Troncal PVLAN

RVI

Promiscuo

Comunidad

Sí, solo la misma comunidad

No

Aislado

No

No

Nota:

Esta comunicación es unidireccional.

Troncal de PVLAN

Sí, solo la misma comunidad

Nota:

Esta comunicación es unidireccional.

RVI

Como se indica en Tabla 4, La comunicación de capa 2 entre un puerto aislado y un puerto troncal PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncalización PVLAN y un puerto de troncalización PVLAN solo puede recibir paquetes de un puerto aislado. Por el contrario, un puerto de troncalización PVLAN no puede enviar paquetes a un puerto aislado y un puerto aislado no puede recibir paquetes desde un puerto de troncalización PVLAN.

Nota:

Si habilita no-mac-learning en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada del interconmutador) de la PVLAN heredarán esa configuración. Sin embargo, si desea deshabilitar el aprendizaje de dirección MAC en cualquier VLAN de la comunidad, debe configurarlo no-mac-learning en cada una de esas VLAN.

Creación de una PVLAN

El diagrama de flujo que se muestra en Figura 6 le da una idea general del proceso para crear PVLAN. Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. (En las reglas de PVLAN, la configuración del puerto troncal de PVLAN solo se aplica a una PVLAN que abarca varios enrutadores).

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Configurar una VLAN en un único enrutador es relativamente sencillo, como se muestra en Figura 6.

Figura 6: Configuración de una PVLAN en un solo conmutadorConfiguración de una PVLAN en un solo conmutador

La configuración de una VLAN principal consta de estos pasos:

  1. Configure el nombre de la VLAN principal y la etiqueta 802.1Q.

  2. Establezca no-local-switching en la VLAN principal.

  3. Configure el puerto troncal promiscuo y los puertos de acceso.

  4. Haga que el troncal promiscuo y los puertos de acceso sean miembros de la VLAN principal.

Dentro de una VLAN principal, puede configurar VLAN de comunidad secundarias o VLAN aisladas secundarias o ambas. La configuración de una VLAN de comunidad secundaria consta de estos pasos:

  1. Configure una VLAN mediante el proceso habitual.

  2. Configure las interfaces de acceso para la VLAN.

  3. Asigne una VLAN principal a la VLAN de la comunidad,

Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción no-local-switching está habilitada en la VLAN principal.

Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete.

Los puertos de troncalización solo son necesarios para las configuraciones de PVLAN de varios enrutadores: el puerto de troncalización transporta el tráfico desde la VLAN principal y todas las VLAN secundarias.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • Una interfaz de acceso solo puede pertenecer a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.

  • Una interfaz troncal puede ser miembro de dos VLAN secundarias siempre que las VLAN secundarias estén en dos VLAN principales diferentes . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentren en la misma VLAN principal.

  • Se debe configurar una sola región del Protocolo de árbol de expansión múltiple (MSTP) en todas las VLAN incluidas en la PVLAN.

  • No se admite el protocolo de árbol de expansión de VLAN (VSTP).

  • La supervisión IGMP no es compatible con VLAN privadas.

  • Las interfaces VLAN enrutadas no son compatibles con VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.

  • Algunas instrucciones de configuración no se pueden especificar en una VLAN secundaria. Puede configurar las siguientes instrucciones en el nivel de [edit vlans vlan-name switch-options] jerarquía solo en la PVLAN principal.

  • Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal para que sea una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.

Las siguientes funciones no se admiten en PVLAN en conmutadores Junos compatibles con el estilo de configuración ELS:

  • Filtros de firewall VLAN de salida

  • Protección de anillo Ethernet (ERP)

  • Etiquetado VLAN flexible

  • global-mac-statistics

  • Interfaz de enrutamiento y puente integrados (IRB)

  • Grupos de agregación de vínculos multichasis (MC-LAG)

  • Duplicación de puertos

  • Tunelización Q-in-Q

  • Protocolo de árbol de expansión de VLAN (VSTP)

  • Voz sobre IP (VoIP)

Puede configurar las siguientes instrucciones en el nivel de [edit vlans vlan-name switch-options] jerarquía solo en la PVLAN principal:

Descripción de los flujos de tráfico de PVLAN en varios conmutadores

En este tema se ilustran y explican tres flujos de tráfico diferentes en una red multiconmutador de ejemplo configurada con una VLAN privada (PVLAN). Las PVLAN restringen el flujo de tráfico a través de sus puertos de conmutador miembro (que se denominan "puertos privados") para que se comuniquen únicamente con un puerto troncal de enlace ascendente específico o con puertos especificados dentro de la misma VLAN.

En este tema, se describe lo siguiente:

VLAN de la comunidad que envía tráfico sin etiquetar

En este ejemplo, un miembro de la Comunidad-1 en el conmutador 1 envía tráfico sin etiquetar en la interfaz ge-0/0/12. Las flechas de representan Figura 7 el flujo de tráfico resultante.

Nota:

En este ejemplo, a los miembros de la comunidad-1 se les asigna el ID de C-VLAN 100 que se asigna al ID de P-VLAN 10.

Figura 7: La VLAN de la comunidad envía tráfico sin etiquetarLa VLAN de la comunidad envía tráfico sin etiquetar

En este escenario, se lleva a cabo la siguiente actividad en el conmutador 1:

  • VLAN de la Comunidad-1 en las interfaces ge-0/0/0 y ge-0/0/12: Aprendizaje

  • PVLAN100 en la interfaz GE-0/0/0 y GE-0/0/12: Replicación

  • VLAN de la Comunidad 1 en la interfaz ge-0/0/12: Recibe tráfico sin etiquetar

  • Interfaz VLAN de la Comunidad 1 ge-0/0/0: Salidas de tráfico sin etiquetar

  • Puerto troncal PVLAN: Salidas de tráfico desde ge-1/0/2 y desde ae0 con etiqueta 10

  • Comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

En este escenario, esta actividad se lleva a cabo en el conmutador 3:

  • VLAN de la Comunidad 1 en la interfaz ge-0/0/23 (troncalización PVLAN): Aprendizaje

  • PVLAN100 en la interfaz GE-0/0/23: Replicación

  • VLAN de la Comunidad-1 en las interfaces ge-0/0/9 y ge-0/0/16: Recibir tráfico sin etiquetar

  • Puerto troncal promiscuo: Salidas de tráfico de ge-0/0/0 con la etiqueta 10

  • Comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

VLAN aislada que envía tráfico sin etiquetar

En este escenario, la VLAN aislada en el conmutador 1 en la interfaz ge-1/0/0 envía tráfico sin etiquetar. Las flechas de representan Figura 8 este flujo de tráfico.

Figura 8: VLAN aislada envía tráfico sin etiquetarVLAN aislada envía tráfico sin etiquetar

En este escenario, se lleva a cabo la siguiente actividad en el conmutador 1:

  • VLAN aislada 1 en la interfaz ge-1/0/0: Aprendizaje

  • PVLAN100 en interfaz GE-1/0/0: Replicación

  • El tráfico sale de pvlan-trunk ge-1/0/2 y ae0 con la etiqueta 50

  • Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: Las interfaces no reciben tráfico

En este escenario, esta actividad se lleva a cabo en el conmutador 3:

  • VLAN en la interfaz ge-0/0/23 (puerto troncal PVLAN): Aprendizaje

  • PVLAN100 en interfaz GE0/0/23: Replicación

  • Puerto troncal promiscuo: Salidas de tráfico de ge-0/0/0 con la etiqueta 100

  • Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico

  • VLAN aisladas: No recibir tráfico

Tráfico etiquetado con PVLAN enviado en un puerto promiscuo

En este escenario, el tráfico etiquetado con PVLAN se envía a un puerto promiscuo. Las flechas de representan Figura 9 este flujo de tráfico.

Figura 9: Tráfico etiquetado con PVLAN enviado en un puerto promiscuoTráfico etiquetado con PVLAN enviado en un puerto promiscuo

En este escenario, se lleva a cabo la siguiente actividad en el conmutador 1:

  • VLAN pvlan100 en interfaz ae0 (troncal PVLAN): Aprendizaje

  • Comunidad 1, Comunidad 2 y todas las VLAN aisladas en la interfaz ae0: Replicación

  • VLAN en la interfaz ae0: Replicación

  • El tráfico sale de pvlan-trunk ge-1/0/2 con la etiqueta 100

  • Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico

  • VLAN aisladas: Recibir tráfico

En este escenario, esta actividad se lleva a cabo en el conmutador 3:

  • PVLAN100 en la interfaz GE-0/0/0: Aprendizaje

  • Comunidad 1, Comunidad 2 y todas las VLAN aisladas en la interfaz ge-0/0/0: Replicación

  • VLAN en la interfaz ge-0/0/0: Replicación

  • Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico

  • VLAN aisladas: Recibir tráfico

Descripción de los puertos troncales VLAN secundarios y los puertos de acceso promiscuo en PVLAN

Las VLAN limitan las difusiones a usuarios especificados. Las VLAN privadas (PVLANs) llevan este concepto un paso más allá dividiendo una VLAN en múltiples subdominios de difusión y, esencialmente, colocando VLAN secundarias dentro de una VLAN primaria. Las PVLAN restringen el flujo de tráfico a través de sus puertos miembro para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto troncal de enlace ascendente suele estar conectado a una red de enrutador, firewall, servidor o proveedor. Una PVLAN normalmente contiene muchos puertos privados que se comunican solo con un único enlace ascendente, lo que impide que los puertos se comuniquen entre sí.

Los puertos troncales secundarios y los puertos de acceso promiscuo amplían la funcionalidad de las PVLAN para su uso en implementaciones complejas, como:

  • Entornos de infraestructura VMWare empresarial

  • Servicios en la nube multiusuario con gestión de VM

  • Servicios de alojamiento web para múltiples clientes

Por ejemplo, puede utilizar puertos troncales VLAN secundarios para conectar dispositivos QFX a servidores VMware configurados con VLAN privadas. Puede usar puertos de acceso promiscuo para conectar dispositivos QFX a sistemas que no admiten puertos troncales pero que necesitan participar en VLAN privadas.

En este tema se explican los siguientes conceptos relacionados con las PVLAN en la serie QFX:

Tipos de puertos PVLAN

Las PVLAN pueden utilizar los siguientes tipos de puertos:

  • Puerto troncal promiscuo: un puerto promiscuo es un puerto troncal ascendente conectado a una red de enrutador, firewall, servidor o proveedor. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y comunitarios dentro de una PVLAN.

  • Puerto troncal PVLAN: se requiere un puerto troncal PVLAN en las configuraciones de PVLAN de varios conmutadores para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada del interconmutador) y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.

    La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La pertenencia de un puerto troncal PVLAN a la VLAN aislada del interconmutador es solo de salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto troncal PVLAN, pero un puerto troncal PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes hayan ingresado en un puerto de acceso promiscuo y, por lo tanto, se reenvíen a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

  • Puerto de troncalización de VLAN secundaria: los puertos de troncalización de VLAN secundaria transportan tráfico de VLAN secundaria. Para una VLAN privada (primaria) dada, un puerto de troncalización de VLAN secundario puede transportar tráfico para una sola VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.

    Nota:

    Cuando el tráfico sale de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal a la que pertenece el puerto secundario. Si desea que el tráfico que sale de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la extend-secondary-vlan-id instrucción.

  • Puerto comunitario—Los puertos comunitarios se comunican entre sí y con sus puertos promiscuos. Los puertos comunitarios solo sirven a un grupo selecto de usuarios. Estas interfaces están separadas en la capa 2 de todas las demás interfaces en otras comunidades o puertos aislados dentro de su PVLAN.

  • Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.

  • Puerto de acceso promiscuo: estos puertos transportan tráfico sin etiquetar y pueden ser miembros de una sola VLAN principal. El tráfico que entra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal a la que pertenece el puerto de acceso promiscuo. En este caso, el tráfico lleva la etiqueta VLAN secundaria adecuada cuando sale del puerto VLAN secundario si el puerto VLAN secundario es un puerto de troncalización. Si el tráfico ingresa en un puerto VLAN secundario y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.

Detalles del puerto de troncalización de VLAN secundaria

Cuando utilice un puerto troncal VLAN secundario, tenga en cuenta lo siguiente:

  • Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto troncal de la VLAN secundaria. Esto es cierto incluso si las VLAN secundarias que transportará el puerto troncal de la VLAN secundaria están confinadas a un único dispositivo.

  • Si configura un puerto para que sea un puerto troncal de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de las siguientes opciones:

    • Puerto de troncalización de VLAN secundaria para otra VLAN principal

    • Troncalización de PVLAN para otra VLAN principal

    • Puerto troncal promiscuo

    • Puerto de acceso para una VLAN no privada

  • El tráfico que ingresa en un puerto de troncalización de VLAN secundario (con una etiqueta VLAN secundaria) y sale en un puerto de troncalización de PVLAN conserva la etiqueta de VLAN secundaria al salir.

  • El tráfico que ingresa en un puerto de troncalización de VLAN secundario y sale en un puerto de troncalización promiscuo tiene la etiqueta VLAN principal adecuada al salir.

  • El tráfico que ingresa en un puerto de troncalización de VLAN secundario y sale en un puerto de acceso promiscuo no se etiqueta al salir.

  • El tráfico que ingresa en un puerto troncal promiscuo con una etiqueta VLAN principal y sale en un puerto de troncalización VLAN secundario lleva la etiqueta VLAN secundaria adecuada al salir. Por ejemplo, suponga que ha configurado lo siguiente en un conmutador:

    • VLAN primaria 100

    • VLAN comunitaria 200 como parte de la VLAN principal

    • Puerto troncal promiscuo

    • Puerto troncal secundario que transporta la VLAN 200 de la comunidad

    Si un paquete ingresa en el puerto troncal promiscuo con la etiqueta VLAN principal 100 y sale en el puerto de troncalización VLAN secundario, lleva la etiqueta 200 al salir.

Casos de uso

En la misma interfaz física, puede configurar varios puertos de troncalización de VLAN secundarios (en VLAN primarias diferentes) o combinar un puerto de troncalización de VLAN secundaria con otros tipos de puertos de VLAN. Los siguientes casos de uso proporcionan ejemplos de cómo hacer esto y muestran cómo fluiría el tráfico en cada caso:

Troncales de VLAN secundaria en dos VLAN primarias

Para este caso de uso, suponga que tiene dos conmutadores con la siguiente configuración:

  • VLAN principal pvlan100 con etiqueta 100.

    • VLAN aislada aislada200 con la etiqueta 200 es un miembro de pvlan100.

    • VLAN de la comunidad comm300 con la etiqueta 300 es miembro de pvlan100.

  • VLAN principal pvlan400 con etiqueta 400.

    • VLAN aislada isolated500 con etiqueta 500 es miembro de pvlan400.

    • VLAN de la comunidad comm600 con etiqueta 600 es miembro de pvlan400.

  • La interfaz xe-0/0/0 del conmutador 1 se conecta a un servidor VMware (no se muestra) configurado con las VLAN privadas utilizadas en este ejemplo. Esta interfaz está configurada con puertos de troncalización de VLAN secundaria para transportar tráfico para la VLAN secundaria comm600 y la VLAN aislada (etiqueta 200) que es miembro de pvlan100.

  • La interfaz xe-0/0/0 en el conmutador 2 se muestra configurada como puerto troncal promiscuo o puerto de acceso promiscuo. En este último caso, puede suponer que se conecta a un sistema (no se muestra) que no admite puertos troncales pero que está configurado con las VLAN privadas utilizadas en este ejemplo.

  • En el conmutador 1, xe-0/0/6 es miembro de comm600 y está configurado como un puerto troncal.

  • En el conmutador 2, xe-0/0/6 es miembro de comm600 y está configurado como puerto de acceso.

Figura 10 muestra esta topología y cómo fluiría el tráfico para isolated200 y comm600 después de ingresar en xe-0/0/0 en el conmutador 1. Tenga en cuenta que el tráfico fluiría solo donde las flechas indican. Por ejemplo, no hay flechas para las interfaces xe-0/0/2, xe-0/0/3 y xe-0/0/5 en el conmutador 1 porque ningún paquete saldría en esas interfaces.

Figura 10: Dos puertos de troncalización de VLAN secundaria en una interfazDos puertos de troncalización de VLAN secundaria en una interfaz

Este es el flujo de tráfico para VLAN isolated200:

  1. Después de que el tráfico para las entradas aisladas200 en el puerto de troncalización de VLAN secundario en el conmutador 1, sale en el puerto de troncalización de PVLAN porque el puerto de troncalización de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (200) durante la salida.
  2. Después de que el tráfico para la entrada aislada200 en el puerto troncal VLAN secundario del conmutador 2, sale en xe-0/0/0, que está configurado como puerto troncal promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo, los paquetes salen de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, los paquetes salen de este puerto sin etiquetar.

Tenga en cuenta que el tráfico para VLAN aislado200 no sale en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en el puerto troncal de VLAN secundario xe-0/0/2 en el conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.

Este es el flujo de tráfico para VLAN comm600:

  1. Después de que el tráfico para comm600 ingresa en el puerto de troncalización de VLAN secundario en el conmutador 1, sale en el puerto de troncalización de PVLAN porque el puerto de troncalización de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) durante la salida.

  2. El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 1. El tráfico se etiqueta porque el puerto está configurado como un troncal.

  3. Después de que el tráfico para comm600 ingresa en el puerto troncal PVLAN en el conmutador 2, sale en xe-0/0/0, si esta interfaz está configurada como un puerto troncal promiscuo.

    Nota:

    Si xe-0/0/0 en el conmutador 2 está configurado como puerto de acceso promiscuo, el puerto solo puede participar en una VLAN principal. En este caso, el puerto de acceso promiscuo forma parte de pvlan100, por lo que el tráfico de comm600 no sale de él

  4. El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 2. En este caso, el tráfico no está etiquetado porque el modo de puerto es acceso.

Tronco VLAN secundario y tronco promiscuo

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, con una excepción: En este caso, xe-0/0/0 en el conmutador 1 se configura como un puerto troncal VLAN secundario para VLAN pvlan100 y también se configura como un puerto troncal promiscuo para pvlan400.

Figura 11 muestra esta topología y cómo fluiría el tráfico para isolated200 (miembro de PVLAN100) y Comm600 (miembro de PVLAN400) después de ingresar en el conmutador 1.

Figura 11: Troncal VLAN secundaria y tronco promiscuo en una interfazTroncal VLAN secundaria y tronco promiscuo en una interfaz

El flujo de tráfico para VLAN isolated200 es el mismo que en el caso de uso anterior, pero el flujo para comm600 es diferente. Este es el flujo de tráfico para VLAN comm600:

  1. Después de que el tráfico para comm600 ingresa en el puerto VLAN de la comunidad xe-0/0/6 en el conmutador 1, sale en el puerto troncal promiscuo xe-0/0/0 en el conmutador 1. En este caso, lleva la etiqueta VLAN principal (400).
  2. El tráfico para comm600 también sale en el puerto troncal de PVLAN porque el puerto troncal de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) durante la salida.
  3. Después de que el tráfico para comm600 ingresa en el puerto troncal PVLAN en el conmutador 2, sale en xe-0/0/0, si esta interfaz está configurada como un puerto troncal promiscuo.

    No sale en xe-0/0/0 si esta interfaz está configurada como un puerto de acceso promiscuo porque el puerto solo puede participar en pvlan100.

  4. El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 2.

Troncalización de VLAN secundaria y troncalización de PVLAN

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto troncal VLAN secundario para VLAN pvlan100 y también está configurado como un puerto troncal PVLAN para pvlan400.

Figura 12 muestra esta topología y cómo fluiría el tráfico para Comm300 (miembro de PVLAN100) y Comm600 (miembro de PVLAN400) después de ingresar en el conmutador 1.

Figura 12: Troncalización de VLAN secundaria y troncalización de PVLAN en una interfazTroncalización de VLAN secundaria y troncalización de PVLAN en una interfaz

Este es el flujo de tráfico para VLAN comm300:

  1. Después de que el tráfico para la entrada comm300 en el puerto comunitario xe-0/0/3 en el conmutador 1, sale en el puerto troncal PVLAN xe-0/0/1 porque ese puerto troncal PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (300) al salir.
    Nota:

    El tráfico para comm300 no sale en xe-0/0/0 porque el puerto troncal de VLAN secundario en esta interfaz lleva isolated200, no comm300.

  2. Después de que el tráfico para la entrada de comm300 en el puerto troncal PVLAN del conmutador 2, sale en xe-0/0/0, que está configurado como puerto troncal promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo, los paquetes salen de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, los paquetes salen de este puerto sin etiquetar.

  3. El tráfico para comm300 también sale en el puerto comunitario xe-0/0/3 en el conmutador 2.

Este es el flujo de tráfico para VLAN comm600:

  1. Después de que el tráfico para comm600 ingresa en el puerto PVLAN xe-0/0/0 en el conmutador 1, sale en el puerto de la comunidad xe-0/0/6 en el conmutador 1. Los paquetes mantienen la etiqueta VLAN secundaria (600) cuando salen porque xe-0/0/6 es un puerto de troncalización.

  2. El tráfico para comm600 también sale en el puerto troncal de PVLAN xe-0/0/1 porque ese puerto troncal de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) durante la salida.

  3. Después de que el tráfico para comm600 ingresa en el puerto troncal PVLAN en el conmutador 2, sale en xe-0/0/0, si esta interfaz está configurada como un puerto troncal promiscuo.

    No sale en xe-0/0/0 si esta interfaz está configurada como un puerto de acceso promiscuo porque el puerto solo puede participar en pvlan100.

  4. El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 2. Este tráfico no se etiqueta al salir porque xe-0/0/6 es un puerto de acceso.

Troncalización de VLAN secundaria e interfaz VLAN no privada

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto por estas diferencias:

  • Configuración para xe-0/0/0 en el conmutador 1:

    • Puerto troncal VLAN secundario para VLAN pvlan100

    • Puerto de acceso para vlan700

  • El puerto xe-0/0/6 en ambos conmutadores es un puerto de acceso para vlan700.

Figura 13 muestra esta topología y cómo fluiría el tráfico para Isolated200 (miembro de PVLAN100) y VLAN700 después de ingresar en el conmutador 1.

Figura 13: Troncalización de VLAN secundaria y puerto VLAN no privado en una interfazTroncalización de VLAN secundaria y puerto VLAN no privado en una interfaz

Este es el flujo de tráfico para VLAN isolated200:

  1. Después de que el tráfico para la entrada aislada200 en el puerto troncal VLAN secundario del conmutador 1, sale en el puerto troncal PVLAN. Los paquetes mantienen la etiqueta VLAN secundaria (200) durante la salida.
  2. Después de que el tráfico para la entrada aislada200 en el puerto troncal PVLAN del conmutador 2, sale en xe-0/0/0, que está configurado como puerto troncal promiscuo o puerto de acceso promiscuo.
    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo, los paquetes salen de este puerto con la etiqueta VLAN principal (100).

    • Si xe-0/0/0 en el conmutador 2 está configurado como un puerto de acceso promiscuo, los paquetes salen de este puerto sin etiquetar.

Tenga en cuenta que el tráfico para VLAN aislado200 no sale en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en el puerto troncal de VLAN secundario xe-0/0/2 en el conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.

Después de que el tráfico para la entrada de vlan700 en el puerto de acceso configurado en xe-0/0/0 en el conmutador 1, sale en el puerto de acceso xe-0/0/6 porque ese puerto es miembro de la misma VLAN. El tráfico de vlan700 no se reenvía al conmutador 2 (aunque xe-0/0/6 del conmutador 2 sea miembro de vlan700) porque el troncal PVLAN de xe-0/0/1 no lleva esta VLAN.

Entrada de tráfico en el puerto de acceso promiscuo

Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto de acceso promiscuo y es miembro de pvlan100. Figura 14 muestra esta topología y cómo fluiría el tráfico sin etiquetar después de ingresar a través de esta interfaz en el conmutador 1.

Figura 14: Entrada de tráfico en el puerto de acceso promiscuoEntrada de tráfico en el puerto de acceso promiscuo

Como muestra la figura, el tráfico sin etiquetar que ingresa en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios que son miembros de la misma VLAN principal de la que pertenece el puerto de acceso promiscuo. El tráfico se desetiqueta cuando sale de los puertos de acceso y se etiqueta al salir de un puerto troncal (xe-0/0/2 en el conmutador 2).

Usar la autenticación 802.1X y VLAN privadas juntas en la misma interfaz

Descripción del uso conjunto de la autenticación 802.1X y PVLAN en la misma interfaz

Ahora puede configurar la autenticación 802.1X y VLAN privadas (PVLAN) en la misma interfaz.

La autenticación IEEE 802.1X proporciona seguridad en el borde de la red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del solicitante se presenten y coincidan en el authentication server (un servidor RADIUS).

Las VLAN privadas (PVLAN) proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias. Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos.

En un conmutador configurado con autenticación 802.1X y PVLAN, cuando se conecta un nuevo dispositivo a la red PVLAN, el dispositivo se autentica y, a continuación, se asigna a una VLAN secundaria según la configuración de PVLAN o el perfil RADIUS. A continuación, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.

Nota:

Este documento no proporciona información detallada acerca de la autenticación 802.1X o las VLAN privadas. Para obtener más información, consulte la documentación de características específica de esas características individuales. Para 802.1X, consulte la Guía del usuario de acceso y autenticación de usuarios. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.

Directrices de configuración para combinar la autenticación 802.1X con PVLAN

Tenga en cuenta las siguientes directrices y limitaciones para configurar estas dos características en la misma interfaz:

  • No puede configurar una interfaz habilitada para 802.1X como una interfaz promiscua (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz de vínculo de interconmutación (ISL).

  • No se pueden autenticar varios usuarios en VLAN diferentes que pertenezcan al mismo dominio PVLAN en una interfaz lógica; por ejemplo, si la interfaz ge-0/0/0 está configurada como supplicant multiple y los clientes C1 y C2 se autentican y se agregan a VLAN dinámicas V1 y V2, respectivamente, V1 y V2 deben pertenecer a dominios PVLAN diferentes.

  • Si la VLAN de VoIP y la VLAN de datos son diferentes, esas dos VLAN deben estar en dominios PVLAN diferentes.

  • Cuando se cambia la pertenencia a PVLAN (es decir, se reconfigura una interfaz en una PVLAN diferente), se debe volver a autenticar a los clientes.

Ejemplo: Configuración de la autenticación 802.1X con VLAN privadas en una configuración

Requisitos

  • Junos OS versión 18.2R1 o posterior

  • Conmutador EX2300, EX3400 o EX4300

Antes de comenzar, especifique el servidor o servidores RADIUS que se utilizarán como servidor de autenticación. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).

Descripción general

En la siguiente sección de configuración se muestra la configuración del perfil de acceso, la configuración de autenticación 802.1X y, por último, la configuración de VLAN (incluidas las PVLAN).

Configuración de la autenticación 802.1X con VLAN privadas en una configuración

Procedimiento
Configuración rápida de CLI
Procedimiento paso a paso

Para configurar la autenticación 802.1X y las PVLAN en una sola configuración:

  1. Configure el perfil de acceso:

    Nota:

    La VLAN VoIP configurada no puede ser una PVLAN (primaria, comunitaria o aislada).

  2. Configure los ajustes del 802.1X:

    Nota:

    La VLAN de datos configurada también puede ser una VLAN de comunidad o una VLAN aislada.

  3. Configure las VLAN (incluidas las PVLAN):

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los siguientes show comandos en el conmutador. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Verificación

Verifique que las direcciones MAC del cliente estén aprendidas en la VLAN principal
Propósito

Mostrar que se ha aprendido una dirección MAC de cliente en la VLAN principal.

Acción
Verificar que la VLAN principal sea una VLAN autenticada
Propósito

Muestre que la VLAN principal se muestra como una VLAN autenticada.

Acción

Poner la seguridad del puerto de acceso en VLAN privadas

Descripción de la seguridad de los puertos de acceso en PVLAN

Ahora puede habilitar las funciones de seguridad del puerto de acceso, como la supervisión de DHCP, en VLAN privadas (PVLAN).

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función PVLAN le permite dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN.

Las LAN Ethernet son vulnerables a ataques como la suplantación de direcciones (falsificación) y la denegación de servicio (DoS) de capa 2 en dispositivos de red. Las siguientes funciones de seguridad del puerto de acceso ayudan a proteger su dispositivo contra las pérdidas de información y productividad que pueden causar tales ataques, y ahora puede configurar estas funciones de seguridad en una PVLAN:

  • Espionaje DHCP: filtra y bloquea la entrada de mensajes del servidor DHCP en puertos que no son de confianza. El espionaje DHCP crea y mantiene una base de datos de información de concesión DHCP, que se denomina base de datos de espionaje DHCP.

  • Espionaje DHCPv6: espionaje DHCP para IPv6.

  • Opción 82 de DHCP: también conocida como opción Información del agente de retransmisión DHCP. Ayuda a proteger el conmutador contra ataques como la suplantación de direcciones IP y direcciones MAC y la inanición de direcciones IP DHCP. La opción 82 proporciona información acerca de la ubicación de red de un cliente DHCP. El servidor DHCP utiliza esta información para implementar direcciones IP u otros parámetros para el cliente.

  • Opciones de DHCPv6:

    • Opción 37: opción de ID remoto para DHCPv6; inserta información sobre la ubicación de red del host remoto en paquetes DHCPv6.

    • Opción 18: opción de ID de circuito para DHCPv6; inserta información sobre el puerto de cliente en paquetes DHCPv6.

    • Opción 16: opción de ID de proveedor para DHCPv6; inserta información sobre el proveedor del hardware cliente en paquetes DHCPv6.

  • Inspección ARP dinámica (DAI): evita los ataques de suplantación del Protocolo de resolución de direcciones (ARP). Las solicitudes y respuestas ARP se comparan con las entradas en la base de datos de espionaje DHCP, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones.

  • Protección de origen IP: mitiga los efectos de los ataques de suplantación de direcciones IP en la LAN Ethernet; valida la dirección IP de origen del paquete enviado desde una interfaz de acceso que no es de confianza con la base de datos de espionaje DHCP. Si el paquete no se puede validar, se descarta.

  • Protección de origen IPv6: protección de origen IP para IPv6.

  • Inspección de descubrimiento de vecinos IPv6: evita ataques de suplantación de direcciones IPv6; compara las solicitudes y respuestas de descubrimiento de vecinos con las entradas de la base de datos de espionaje DHCPv6, y las decisiones de filtrado se toman en función de los resultados de esas comparaciones.

Nota:

Este documento no proporciona información detallada sobre las características de seguridad del puerto de acceso o PVLAN. Para obtener más información, consulte la documentación de características específica de esas características individuales. Para obtener información sobre la seguridad del puerto de acceso, consulte la Guía de administración de servicios de seguridad. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.

Directrices de configuración para instalar funciones de seguridad de puerto de acceso en PVLAN

Tenga en cuenta las siguientes directrices y limitaciones para configurar las funciones de seguridad del puerto de acceso en PVLAN:

  • Debe aplicar las mismas características de seguridad del puerto de acceso tanto en la VLAN principal como en todas sus VLAN secundarias.

  • Una PVLAN solo puede tener una interfaz de enrutamiento y puente integrados (IRB) y la interfaz IRB debe estar en la VLAN principal.

  • Las limitaciones en las configuraciones de seguridad del puerto de acceso en PVLAN son las mismas que para las configuraciones de características de seguridad del puerto de acceso que no están en PVLAN. Consulte la documentación de seguridad del puerto de acceso en Guía de administración de servicios de seguridad.

Ejemplo: Configuración de la seguridad del puerto de acceso en una PVLAN

Requisitos

  • Junos OS versión 18.2R1 o posterior

  • Conmutador EX4300

Descripción general

Se muestra la siguiente sección de configuración:

  • Configuración de una VLAN privada con la VLAN principal (vlan-pri) y sus tres VLAN secundarias: VLAN de comunidad (vlan-hr y vlan-finance) y VLAN aislada (vlan-iso).

  • Configuración de las interfaces que se utilizan para enviar comunicaciones entre las interfaces en esas VLAN.

  • Configuración de las funciones de seguridad de acceso en las VLAN principal y secundaria que componen la PVLAN.

Figura 15: Topología Topología

Tabla 5 enumera la configuración de la topología de ejemplo.

Tabla 5: Componentes de la topología para configurar una PVLAN con funciones de seguridad de puerto de acceso
Interfaz Description

ge-0/0/0.0

Interfaz troncal VLAN principal (vlan1-pri)

ge-0/0/11.0

Usuario 1, comunidad de recursos humanos (vlan-hr)

ge-0/0/12.0

Usuario 2, Comunidad de recursos humanos (vlan-hr)

ge-0/0/13.0

Usuario 3, Comunidad de finanzas (vlan-finance)

GE-0/0/14.0

Usuario 4, Comunidad de finanzas (vlan-finance)

ge-0/0/15.0

Servidor de correo, aislado (vlan-iso)

GE-0/0/16.0

Servidor de copia de seguridad, aislado (vlan-iso)

ge-1/0/0.0

Interfaz troncal VLAN principal (vlan-pri)

Configuración de la seguridad del puerto de acceso en una PVLAN

Procedimiento
Configuración rápida de CLI
Procedimiento paso a paso

Para configurar una VLAN privada (PVLAN) y, a continuación, configurar las características de seguridad del puerto de acceso en esa PVLAN:

  1. Configure la PVLAN: cree la VLAN principal y sus VLAN secundarias y asígneles ID de VLAN. Asocie interfaces con las VLAN. (Para obtener más información sobre la configuración de VLAN, consulte Configuración de VLAN para conmutadores serie EX compatibles con ELS (procedimiento de CLI).)

  2. Configure las funciones de seguridad del puerto de acceso en la VLAN principal y en todas sus VLAN secundarias:

    Nota:

    Cuando configure la inspección ARP, la protección de origen IP, la protección de origen IPv6, la inspección de descubrimiento de vecinos, la opción 82 de DHCP o las opciones DHCPv6, la supervisión de DHCP y la supervisión de DHCPv6 se configuran automáticamente.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los siguientes show comandos en el conmutador. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Verificación

Comprobar que las características de seguridad de acceso funcionan como se esperaba
Propósito

Compruebe que las funciones de seguridad del puerto de acceso que configuró en la PVLAN funcionan como se esperaba.

Acción

Utilice los comandos y show dhcp-security CLI clear dhcp-security para comprobar que las características funcionan como se esperaba. Consulte los detalles sobre estos comandos en la Guía de administración de servicios de seguridad.

Creación de una VLAN privada en un solo conmutador compatible con ELS (procedimiento de CLI)

Nota:

Esta tarea utiliza Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador de la serie EX ejecuta software que no admite ELS, consulte Creación de una VLAN privada en un único conmutador de la serie EX (procedimiento de la CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Las VLAN privadas no se admiten en conmutadores QFX5100 ni en conmutadores QFX10002 que ejecutan Junos OS versión 15.1X53.

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), esencialmente colocando una VLAN dentro de una VLAN. Este procedimiento describe cómo crear una PVLAN en un solo conmutador.

Nota:

Debe especificar un ID de VLAN para cada VLAN secundaria, incluso si la PVLAN está configurada en un solo conmutador.

No es necesario preconfigurar la VLAN principal. En este tema se muestra la VLAN principal que se está configurando como parte de este procedimiento de configuración de PVLAN.

Para obtener una lista de directrices sobre la configuración de PVLAN, consulte Descripción de las VLAN privadas.

Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el ID de VLAN para la VLAN principal:
  2. Configure al menos una interfaz dentro de la VLAN principal para que se comunique con todos los subdominios de la PVLAN. Esta interfaz funciona como un puerto promiscuo . Puede ser un puerto troncal o un puerto de acceso.
  3. Configure otra interfaz promiscua de la VLAN principal como puerto troncal para conectar la PVLAN al enrutador o conmutador externo:
  4. Para crear una VLAN aislada, seleccione la opción para private-vlany establezca un ID de isolated VLAN para la VLAN aislada:
    Nota:

    Solo puede crear una VLAN aislada dentro de una VLAN privada. Establecer el nombre de VLAN para la VLAN aislada es opcional. Es necesario configurar el ID de VLAN.

  5. Para crear una VLAN de comunidad, seleccione la opción para private-vlany establezca un ID de community VLAN para esta VLAN de comunidad:
    Nota:

    Para crear VLAN de comunidad adicionales, repita este paso y especifique un nombre diferente para la VLAN de comunidad. Establecer el nombre de VLAN para la VLAN de la comunidad es opcional. Es necesario configurar el ID de VLAN.

  6. Asocie la VLAN aislada con la VLAN principal:
  7. Asocie cada VLAN de comunidad con la VLAN principal:
  8. Si aún no lo ha hecho, configure al menos una interfaz de la VLAN aislada.
  9. Si aún no lo ha hecho, configure al menos una interfaz de la VLAN de la comunidad.
    Nota:

    Repita el mismo paso en otras VLAN de comunidad que desee incluir en la PVLAN.

Crear una VLAN privada en un conmutador QFX único

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN en un solo conmutador.

Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal; se configura como parte de este procedimiento). No es necesario crear ID de VLAN (etiquetas) para las VLAN secundarias. No afecta el funcionamiento si etiqueta las VLAN secundarias, pero las etiquetas no se utilizan cuando las VLAN secundarias están configuradas en un solo conmutador.

Tenga en cuenta estas reglas al configurar una PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar una VLAN comunitaria, primero debe configurar la VLAN principal y el puerto troncal de PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .

  • Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el nombre y el ID de VLAN (etiqueta 802.1Q) para la VLAN principal:
  2. Configure la VLAN para que sea privada:
  3. Configure las interfaces troncales para la VLAN principal:
  4. Agregue las interfaces troncales a la VLAN principal:
  5. Configure las interfaces de acceso para las VLAN comunitarias (secundarias):
  6. Agregue las interfaces de acceso a las VLAN de la comunidad:
  7. Para cada VLAN de comunidad, establezca la VLAN principal:
  8. Configure puertos aislados:

Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de la CLI)

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores serie EX le permite dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. Al dividir la VLAN primaria en VLAN secundarias, esencialmente se anida una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN en un solo conmutador.

Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal). Aunque las etiquetas no son necesarias cuando se configura una VLAN secundaria en un solo conmutador, configurar una VLAN secundaria como etiquetada no afecta negativamente a su funcionalidad. Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores serie EX.

Tenga en cuenta estas reglas cuando configure una PVLAN en un solo conmutador:

  • La VLAN principal debe ser una VLAN etiquetada.

  • No se admite la configuración de una VLAN VoIP en interfaces PVLAN.

Para configurar una VLAN privada en un solo conmutador:

  1. Establezca el ID de VLAN para la VLAN principal:
  2. Establezca las interfaces y los modos de puerto:
  3. Configure los puertos de acceso en la VLAN principal para que no se reenvíen paquetes entre sí:
  4. Para cada VLAN de comunidad, configure las interfaces de acceso:
  5. Para cada VLAN de comunidad, establezca la VLAN principal:

Las VLAN aisladas no se configuran como parte de este proceso. En su lugar, se crean internamente si no-local-switching está habilitada en la VLAN principal y la VLAN aislada tiene interfaces de acceso como miembros.

Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y comunitarias mediante una interfaz VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Nota:

Solo un conmutador EX8200 o un chasis virtual EX8200 admiten el uso de una RVI para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias en un dominio PVLAN.

Creación de una VLAN privada que abarca varios conmutadores de la serie QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.

Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal; se configura como parte de este procedimiento). No es necesario crear ID de VLAN (etiquetas) para las VLAN secundarias. No afecta el funcionamiento si etiqueta las VLAN secundarias, pero las etiquetas no se utilizan cuando las VLAN secundarias están configuradas en un solo conmutador.

Las siguientes reglas se aplican a la creación de PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Si va a configurar una VLAN comunitaria, primero debe configurar la VLAN principal y el puerto troncal de PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .

  • Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada para abarcar varios conmutadores:

  1. Establezca el nombre y el ID de VLAN (etiqueta 802.1Q) para la VLAN principal:
  2. Configure la VLAN para que sea privada:
  3. Configure las interfaces troncales para la VLAN principal:
  4. Agregue las interfaces troncales a la VLAN principal:
  5. Configure las interfaces de acceso para las VLAN comunitarias (secundarias):
  6. Agregue las interfaces de acceso a las VLAN de la comunidad:
  7. Para cada VLAN de comunidad, establezca la VLAN principal:
  8. Configure un ID de VLAN aislado para crear un dominio aislado entre conmutadores que abarque los conmutadores:
  9. Configure puertos aislados:

Creación de una VLAN privada que abarca varios conmutadores de la serie EX con soporte para ELS (procedimiento de CLI)

Nota:

Esta tarea utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS) Si el conmutador ejecuta software que no admite ELS, consulte Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Las VLAN privadas no se admiten en conmutadores QFX5100 ni en conmutadores QFX10002 que ejecutan Junos OS versión 15.1X53.

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), esencialmente colocando una VLAN dentro de una VLAN. Este procedimiento describe cómo configurar una PVLAN para abarcar varios conmutadores.

Para obtener una lista de directrices sobre la configuración de PVLAN, consulte Descripción de las VLAN privadas.

Para configurar una PVLAN de modo que abarque varios conmutadores, realice el siguiente procedimiento en todos los conmutadores que participarán en la PVLAN:

  1. Cree la VLAN principal estableciendo el nombre único de VLAN y especifique una etiqueta 802.1Q para la VLAN:
  2. En el conmutador que se conectará a un enrutador, configure una interfaz promiscua como puerto troncal para conectar la PVLAN al enrutador:
  3. En todos los conmutadores, configure una interfaz troncal como vínculo entre conmutadores (ISL) que se utilizará para conectar los conmutadores entre sí:
  4. Para crear una VLAN aislada dentro de la VLAN principal, seleccione la opción para private-vlany establezca un ID de isolated VLAN para la VLAN aislada:
    Nota:

    Solo puede crear una VLAN aislada dentro de una VLAN privada. La VLAN aislada puede contener interfaces miembro de los múltiples conmutadores que componen la PVLAN. Establecer el nombre de VLAN para la VLAN aislada es opcional. Es necesario configurar el ID de VLAN.

  5. Cree una VLAN de comunidad dentro de la VLAN principal seleccionando la opción para private-vlan, y estableciendo un ID de community VLAN para esta VLAN de comunidad:
    Nota:

    Para crear VLAN de comunidad adicionales, repita este paso y especifique un nombre diferente para la VLAN de comunidad. Establecer el nombre de VLAN para la VLAN de la comunidad es opcional. Es necesario configurar el ID de VLAN.

  6. Asocie la VLAN aislada con la VLAN principal:
  7. Asocie cada VLAN de comunidad con la VLAN principal:
  8. Si aún no lo ha hecho, configure al menos una interfaz de acceso para que sea miembro de la VLAN aislada.
  9. Si aún no lo ha hecho, configure al menos una interfaz de acceso para que sea miembro de la VLAN de la comunidad.
    Nota:

    Repita este paso para las demás VLAN de la comunidad que vaya a incluir en la PVLAN.

Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de la CLI)

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores serie EX permite a un administrador dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. Al dividir la VLAN primaria en VLAN secundarias, esencialmente se anida una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.

Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal). Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores serie EX.

Las siguientes reglas se aplican a la creación de PVLAN:

  • La VLAN principal debe ser una VLAN etiquetada.

  • Debe configurar la VLAN principal y el puerto troncal de PVLAN antes de configurar las VLAN secundarias.

  • No se admite la configuración de una VLAN VoIP en interfaces PVLAN.

  • Si el Protocolo de registro de varias VLAN (MVRP) está configurado en el puerto troncal PVLAN, la configuración de VLAN secundarias y el puerto troncal PVLAN deben confirmarse con la misma operación de confirmación.

Para configurar una VLAN privada para abarcar varios conmutadores:

  1. Configure un nombre y una etiqueta 802.1Q para la VLAN principal:.
  2. Configure la VLAN principal para que no tenga conmutación local:
  3. Establezca la interfaz troncal PVLAN que conectará la VLAN principal con el conmutador vecino:
  4. Configure un nombre y una etiqueta 802.1Q para una VLAN de comunidad que abarque los conmutadores:
  5. Agregar interfaces de acceso a la VLAN de la comunidad:
  6. Especifique la VLAN principal de la VLAN de la comunidad especificada:
  7. Agregue la interfaz aislada a la VLAN principal especificada:
    Nota:

    Para configurar una interfaz aislada, inclúyala como uno de los miembros de la VLAN principal, pero no la configure como perteneciente a una de las VLAN de la comunidad.

  8. Establezca la etiqueta 802.1Q de la VLAN aislada del interconmutador:

    Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete.

Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y comunitarias mediante una interfaz VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.

Nota:

Solo un conmutador EX8200 o un chasis virtual EX8200 admiten el uso de una RVI para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias en un dominio PVLAN.

Ejemplo: Configuración de una VLAN privada en un solo conmutador compatible con ELS

Nota:

En este ejemplo se utiliza Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador EX ejecuta software que no admite ELS, consulte el ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Las VLAN privadas no se admiten en conmutadores QFX5100 ni en conmutadores QFX10002 que ejecutan Junos OS versión 15.1X53.

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), esencialmente colocando una VLAN dentro de una VLAN.

En este ejemplo se describe cómo crear una PVLAN en un solo conmutador:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador Junos OS

  • Junos OS versión 14.1X53-D10 o posterior para conmutadores serie EX

    Junos OS versión 14.1X53-D15 o posterior para conmutadores serie QFX

Descripción general y topología

Puede aislar grupos de suscriptores para mejorar la seguridad y la eficiencia. Este ejemplo de configuración utiliza una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y tres VLAN secundarias (una VLAN aislada y dos VLAN de comunidad).

Tabla 6 enumera las interfaces de la topología utilizada en el ejemplo.

Tabla 6: Interfaces de la topología para configurar una PVLAN
Interfaz Description

ge-0/0/0

ge-1/0/0

Puertos miembros promiscuos

ge-0/0/11,ge-0/0/12

Puertos de miembro de VLAN de la comunidad de recursos humanos

ge-0/0/13,ge-0/0/14

Puertos miembro de VLAN de la comunidad financiera

ge-0/0/15,ge-0/0/16

Puertos miembro aislados

Tabla 7 enumera los identificadores de VLAN de la topología utilizada en el ejemplo.

Tabla 7: ID de VLAN en la topología para configurar una PVLAN
VLAN ID Description

100

VLAN principal

200

VLAN de la comunidad de RRHH

300

VLAN de la comunidad financiera

400

VLAN aislada

Figura 16 muestra la topología de este ejemplo.

Figura 16: Topología de una VLAN privada en un único conmutador de la serie EXTopología de una VLAN privada en un único conmutador de la serie EX

Configuración

Puede utilizar una VLAN existente como base para su PVLAN privada y crear subdominios dentro de ella. En este ejemplo se crea una VLAN principal (utilizando el nombre vlan-pride VLAN) como parte del procedimiento.

Para configurar una PVLAN, realice estas tareas:

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la PVLAN:

  1. Cree la VLAN principal (en este ejemplo, el nombre es vlan-pri) de la VLAN privada:

  2. Cree una VLAN aislada y asígnele un ID de VLAN:

  3. Cree la VLAN de la comunidad de recursos humanos y asígnele un ID de VLAN:

  4. Cree la VLAN de la comunidad financiera y asígnele un ID de VLAN:

  5. Asocie las VLAN secundarias con la VLAN principal:

  6. Establezca las interfaces en los modos de interfaz adecuados:

  7. Configure una interfaz troncal promiscua de la VLAN principal. La VLAN principal utiliza esta interfaz para comunicarse con las VLAN secundarias.

  8. Configure otra interfaz troncal (también es una interfaz promiscua) de la VLAN principal, conectando la PVLAN al enrutador.

Ejemplo: Configuración de una VLAN privada en un único conmutador de la serie QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN.

En este ejemplo se describe cómo crear una PVLAN en un solo conmutador:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo QFX3500

  • Junos OS versión 12.1 o posterior para la serie QFX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RRHH y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y otro para el servidor de copia de seguridad.

Tabla 8 enumera la configuración de la topología de ejemplo.

Tabla 8: Componentes de la topología para configurar una PVLAN
Interfaz Description

ge-0/0/0.0

Interfaz troncal VLAN principal (pvlan100)

ge-0/0/11.0

Usuario 1, Comunidad de RRHH (hr-comm)

ge-0/0/12.0

Usuario 2, Comunidad de RRHH (hr-comm)

ge-0/0/13.0

Usuario 3, Comunidad Financiera (finance-comm)

ge-0/0/14.0

Usuario 4, Comunidad Financiera (finance-comm)

ge-0/0/15.0

Servidor de correo, aislado (isolated)

ge-0/0/16.0

Servidor de copia de seguridad, aislado (isolated)

ge-1/0/0.0

Interfaz troncal VLAN principal (pvlan100)

Configuración

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la PVLAN:

  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces y los modos de puerto:

  3. Configure la VLAN principal para que no tenga conmutación local:

    Nota:

    La VLAN principal debe ser una VLAN etiquetada.

  4. Agregue las interfaces troncales a la VLAN principal:

  5. Para cada VLAN secundaria, configure las interfaces de acceso:

    Nota:

    Se recomienda que las VLAN secundarias sean VLAN sin etiquetar. No afecta el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.

  6. Para cada VLAN de comunidad, establezca la VLAN principal:

  7. Configure las interfaces aisladas en la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que se crearon la VLAN privada y las VLAN secundarias

Propósito

Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador.

Acción

Utilice el show vlans comando:

Significado

El resultado muestra que se creó la VLAN primaria e identifica las interfaces y las VLAN secundarias asociadas a ella.

Ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislados, lo que esencialmente coloca una VLAN dentro de una VLAN.

En este ejemplo se describe cómo crear una PVLAN en un único conmutador de la serie EX:

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador de la serie EX

  • Junos OS versión 9.3 o posterior para conmutadores serie EX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN para conmutadores serie EX.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RRHH y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y otro para el servidor de copia de seguridad.

Tabla 9 enumera la configuración de la topología de ejemplo.

Tabla 9: Componentes de la topología para configurar una PVLAN
Interfaz Description

ge-0/0/0.0

Interfaz troncal VLAN principal (vlan1)

ge-0/0/11.0

Usuario 1, Comunidad de RRHH (hr-comm)

ge-0/0/12.0

Usuario 2, Comunidad de RRHH (hr-comm)

ge-0/0/13.0

Usuario 3, Comunidad Financiera (finance-comm)

ge-0/0/14.0

Usuario 4, Comunidad Financiera (finance-comm)

ge-0/0/15.0

Servidor de correo, aislado (isolated)

ge-0/0/16.0

Servidor de copia de seguridad, aislado (isolated)

ge-1/0/0.0

Interfaz troncal VLAN principal ( pvlan)

Figura 17 muestra la topología de este ejemplo.

Figura 17: Topología de una VLAN privada en un único conmutador de la serie EXTopología de una VLAN privada en un único conmutador de la serie EX

Configuración

Para configurar una PVLAN, realice estas tareas:

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar la PVLAN:

  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces y los modos de puerto:

  3. Configure la VLAN principal para que no tenga conmutación local:

    Nota:

    La VLAN principal debe ser una VLAN etiquetada.

  4. Agregue las interfaces troncales a la VLAN principal:

  5. Para cada VLAN secundaria, configure los ID de VLAN y las interfaces de acceso:

    Nota:

    Se recomienda que las VLAN secundarias sean VLAN sin etiquetar. No afecta el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.

  6. Para cada VLAN de comunidad, establezca la VLAN principal:

  7. Agregue cada interfaz aislada a la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que se crearon la VLAN privada y las VLAN secundarias

Propósito

Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador.

Acción

Utilice el show vlans comando:

Significado

El resultado muestra que se creó la VLAN primaria e identifica las interfaces y las VLAN secundarias asociadas a ella.

Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores QFX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.

En este ejemplo se describe cómo crear una PVLAN que abarque varios conmutadores. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos QFX3500

  • Junos OS versión 12.1 o posterior para la serie QFX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear una PVLAN que abarca varios dispositivos QFX, con una VLAN principal que contiene dos VLAN de comunidad (una para RRHH y otra para finanzas) y una VLAN aislada de interconmutador (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.

Nota:

Los puertos aislados en el conmutador 1 y en el conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadas.

Figura 18 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) al enrutador.

Figura 18: Topología de PVLAN que abarca varios conmutadoresTopología de PVLAN que abarca varios conmutadores

Tabla 10, Tabla 11y Tabla 12 enumere la configuración de la topología de ejemplo.

Tabla 10: Componentes del conmutador 1 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 1 al conmutador 3

ge-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces aisladas en VLAN primaria

ge-0/0/15.0, servidor de correo

ge-0/0/16.0, servidor de copia de seguridad

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 11: Componentes del conmutador 2 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 2 al conmutador 3

ge-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaz aislada en VLAN primaria

ge-0/0/17.0, servidor CVS

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 12: Componentes del conmutador 3 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 3 al conmutador 1

ge-0/0/1.0, conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, conecta la PVLAN al enrutador

Nota:

Debe configurar el puerto troncal que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo.

Topología

Configuración de una PVLAN en el conmutador 1

Al configurar una PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Le recomendamos que configure primero la VLAN principal.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto troncal de PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:

Procedimiento

Procedimiento paso a paso
  1. Establezca el ID de VLAN para la VLAN principal:

  2. Configure las interfaces troncales de PVLAN para conectar esta VLAN a través de conmutadores vecinos:

  3. Configure la VLAN principal para que sea privada y no tenga conmutación local:

  4. Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:

  5. Configure las interfaces de acceso para la finance-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :

  7. Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.

  8. Configure las interfaces de acceso para la hr-comm VLAN:

  9. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :

  10. Establezca el ID aislado del interconmutador para crear un dominio aislado del interconmutador que abarque los conmutadores:

  11. Configure las interfaces aisladas en la VLAN principal:

    Nota:

    Cuando configure un puerto aislado, inclúyalo como miembro de la VLAN principal, pero no lo configure como miembro de ninguna VLAN de comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la del conmutador 1, excepto por la interfaz en el dominio aislado del interconmutador. Para el conmutador 2, la interfaz es ge-0/0/17.0.

Procedimiento

Procedimiento paso a paso

Para configurar una PVLAN en el conmutador 2 que abarque varios conmutadores:

  1. Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:

  2. Configure las interfaces de acceso para la finance-comm VLAN:

  3. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:

  4. Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.

  5. Configure las interfaces de acceso para la hr-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  7. Establezca el ID de VLAN para la VLAN principal:

  8. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  9. Configure la VLAN principal para que sea privada y no tenga conmutación local:

  10. Establezca el ID aislado del interconmutador para crear un dominio aislado del interconmutador que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

  11. Configure la interfaz aislada en la VLAN principal:

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 para que funcione como conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:

Nota:

La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.

Procedimiento

Procedimiento paso a paso

Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:

  2. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:

  3. Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores:

  4. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  5. Establezca el ID de VLAN para la VLAN principal:

  6. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  7. Configure la VLAN principal para que sea privada y no tenga conmutación local:

  8. Establezca el ID aislado del interconmutador para crear un dominio aislado del interconmutador que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los campos pvlan-troncal y entre conmutadores aislados indica que esta PVLAN abarca más de un conmutador.

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 2 e incluye una VLAN aislada, dos VLAN comunitarias y una VLAN aislada del interconmutador. La presencia de los campos pvlan-troncal y entre conmutadores aislados indica que esta PVLAN abarca más de un conmutador. Al comparar esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de comunidad y una VLAN aislada del interconmutador. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso dentro de la PVLAN. Solo muestra las interfaces que se conectan pvlan100 desde el pvlan-trunk conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) en la misma PVLAN.

Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores con una interfaz IRB

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores. En este ejemplo se describe cómo crear una PVLAN que abarque varios conmutadores. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias.

Al igual que las VLAN normales, las PVLAN se aíslan en la capa 2 y normalmente requieren que se utilice un dispositivo de capa 3 si desea enrutar el tráfico. A partir de Junos OS 14.1X53-D30, puede utilizar una interfaz integrada de enrutamiento y puente (IRB) para enrutar el tráfico de capa 3 entre dispositivos conectados a una PVLAN. El uso de una interfaz IRB de esta manera también puede permitir que los dispositivos en la PVLAN se comuniquen en la capa 3 con dispositivos en otras VLAN comunitarias o aisladas o con dispositivos fuera de la PVLAN. En este ejemplo también se muestra cómo incluir una interfaz IRB en una configuración PVLAN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores serie QFX o EX4600

  • Versión de Junos OS con PVLAN para la serie QFX o EX4600

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear una PVLAN que abarca varios conmutadores, con una VLAN principal que contiene dos VLAN de comunidad (una para RRHH y otra para finanzas) y una VLAN aislada de interconmutador (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores: dos conmutadores de acceso y un conmutador de distribución. Los dispositivos de la PVLAN se conectan en la capa 3 entre sí y con dispositivos fuera de la PVLAN a través de una interfaz IRB configurada en el conmutador de distribución.

Nota:

Los puertos aislados en el conmutador 1 y en el conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadas.

Figura 19 muestra la topología de este ejemplo.

Figura 19: Topología PVLAN que abarca varios conmutadores con una interfaz IRBTopología PVLAN que abarca varios conmutadores con una interfaz IRB

Tabla 13, Tabla 14y Tabla 15 enumere la configuración de la topología de ejemplo.

Tabla 13: Componentes del conmutador 1 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolated-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces de vínculo de interconmutador

xe-0/0/0.0, conecta el conmutador 1 al conmutador 3

xe-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces aisladas en VLAN primaria

xe-0/0/15.0, servidor de correo

xe-0/0/16.0, servidor de copia de seguridad

Interfaces en VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces en VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabla 14: Componentes del conmutador 2 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolated-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces de vínculo de interconmutador

xe-0/0/0.0, conecta el conmutador 2 al conmutador 3

xe-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaz aislada en VLAN primaria

xe-0/0/17.0, servidor CVS

Interfaces en VLAN finance-com

xe-0/0/11.0

xe-0/0/12.0

Interfaces en VLAN hr-comm

xe-0/0/13.0

xe-0/0/14.0

Tabla 15: Componentes del conmutador 3 en la topología para configurar una PVLAN que abarca varios dispositivos
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolated-vlan-id, etiqueta 50finance-comm, etiqueta 300hr-commetiqueta 400

Interfaces de vínculo de interconmutador

xe-0/0/0.0, conecta el conmutador 3 con el conmutador 1.

xe-0/0/1.0, conecta el conmutador 3 al conmutador 2.

Puerto promiscuo

xe-0/0/2, conecta la PVLAN a otra red.

Nota:

Debe configurar el puerto troncal que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo.

Interfaz IRB

xe-0/0/0

xe-0/0/1

Configure ARP de proxy no restringido en la interfaz IRB para permitir que se produzca la resolución ARP, de modo que los dispositivos que usan IPv4 puedan comunicarse en la capa 3. Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP.

Topología

Descripción general de la configuración

Al configurar una PVLAN en varios conmutadores, se aplican las siguientes reglas:

  • La VLAN principal debe ser una VLAN etiquetada.

  • La VLAN principal es la única VLAN que puede ser miembro de una interfaz de vínculo de interconmutador.

Al configurar una interfaz IRB en una PVLAN, se aplican estas reglas:

  • Solo puede crear una interfaz IRB en una PVLAN, sin importar cuántos conmutadores participen en la PVLAN.

  • La interfaz IRB debe ser miembro de la VLAN principal en la PVLAN.

  • Cada dispositivo host que desee conectar en la capa 3 debe utilizar una dirección IP del IRB como dirección de puerta de enlace predeterminada.

Configuración de una PVLAN en el conmutador 1

Configuración rápida de CLI

Para crear y configurar rápidamente una PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:

Procedimiento

Procedimiento paso a paso
  1. Configure la interfaz xe-0/0/0 para que sea un troncal:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo de interconmutador que incluya todas las VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea un troncal:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo de interconmutador que contenga todas las VLAN:

  6. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:

  7. Cree la VLAN de la comunidad para la organización financiera:

  8. Cree la VLAN de la comunidad para la organización de recursos humanos:

  9. Cree la VLAN aislada para los servidores de correo y copia de seguridad:

  10. Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:

  11. Configure la VLAN 300 (la VLAN de una comunidad) para que sea miembro de la interfaz xe-0/0/11:

  12. Configure la VLAN 300 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/12:

  13. Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/13:

  14. Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/14:

  15. Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/15:

  16. Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/16:

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la del conmutador 1, excepto por la VLAN aislada. Para el conmutador 2, la interfaz VLAN aislada es xe-0/0/17.0 .

Procedimiento

Procedimiento paso a paso
  1. Configure la interfaz xe-0/0/0 para que sea un troncal:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo de interconmutador que incluya todas las VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea un troncal:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo de interconmutador que contenga todas las VLAN:

  6. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:

  7. Cree la VLAN de la comunidad para la organización financiera:

  8. Cree la VLAN de la comunidad para la organización de recursos humanos:

  9. Cree la VLAN aislada para los servidores de correo y copia de seguridad:

  10. Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:

  11. Configure la VLAN 300 (la VLAN de una comunidad) para que sea miembro de la interfaz xe-0/0/11:

  12. Configure la VLAN 300 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/12:

  13. Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/13:

  14. Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/14:

  15. Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/17:

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 para que funcione como conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:

Nota:

La interfaz xe-0/0/2.0 es un puerto troncal que conecta la PVLAN a otra red.

Procedimiento

Procedimiento paso a paso

Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:

  1. Configure la interfaz xe-0/0/0 para que sea un troncal:

  2. Configure la interfaz xe-0/0/0 para que sea un vínculo de interconmutador que incluya todas las VLAN:

  3. Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:

  4. Configure la interfaz xe-0/0/5 para que sea un troncal:

  5. Configure la interfaz xe-0/0/5 para que sea un vínculo de interconmutador que contenga todas las VLAN:

  6. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:

  7. Configure la interfaz xe-0/0/2 (la interfaz promiscua) para que sea un troncal:

  8. Configure pvlan100 para que sea miembro de la interfaz xe-0/0/2:

  9. Cree la VLAN principal:

  10. Cree la interfaz irb IRB y asígnele una dirección en la subred utilizada por los dispositivos conectados a los conmutadores 1 y 2:

    Nota:

    Cada dispositivo host que desee conectar en la capa 3 debe estar en la misma subred que la interfaz IRB y utilizar la dirección IP de la interfaz IRB como dirección de puerta de enlace predeterminada.

  11. Complete la configuración de la interfaz IRB enlazando la interfaz a la VLAN pvlan100principal:

  12. Configure un ARP de proxy sin restricciones para cada unidad de la interfaz IRB, de modo que la resolución ARP funcione para el tráfico IPv4:

    Nota:

    Dado que los dispositivos de la comunidad y las VLAN aisladas se aíslan en la capa 2, este paso es necesario para permitir que se produzca la resolución ARP entre las VLAN, de modo que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. (Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP).

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los campos troncal y aislado entre conmutadores indica que esta PVLAN abarca más de un conmutador.

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 2 e incluye una VLAN aislada, dos VLAN comunitarias y una VLAN aislada del interconmutador. La presencia de los campos troncal y aislado entre conmutadores indica que esta PVLAN abarca más de un conmutador. Al comparar esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de comunidad y una VLAN aislada del interconmutador. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso dentro de la PVLAN. Solo muestra las interfaces troncales que se conectan pvlan100 desde el conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) en la misma PVLAN.

Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores de la serie EX

Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislados, lo que esencialmente coloca una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.

En este ejemplo se describe cómo crear una PVLAN que abarque varios conmutadores de la serie EX. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias:

Nota:

No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores de la serie EX

  • Junos OS versión 10.4 o posterior para conmutadores serie EX

Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN para conmutadores serie EX.

Descripción general y topología

En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear una PVLAN que abarca varios conmutadores de la serie EX, con una VLAN principal que contiene dos VLAN de comunidad (una para RRHH y otra para finanzas) y una VLAN aislada de interconmutador (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.

Nota:

Los puertos aislados en el conmutador 1 y en el conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadas.

Figura 20 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) al enrutador.

Figura 20: Topología de PVLAN que abarca varios conmutadoresTopología de PVLAN que abarca varios conmutadores

Tabla 16, Tabla 17y Tabla 18 enumere la configuración de la topología de ejemplo.

Tabla 16: Componentes del conmutador 1 en la topología para configurar una PVLAN que abarca varios conmutadores de la serie EX
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 1 al conmutador 3

ge-0/0/5.0, conecta el conmutador 1 al conmutador 2

Interfaces en VLAN isolation

ge-0/0/15.0, Servidor de correo

ge-0/0/16.0, Servidor de copia de seguridad

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 17: Componentes del conmutador 2 en la topología para configurar una PVLAN que abarca varios conmutadores de la serie EX
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 2 al conmutador 3

ge-0/0/5.0, conecta el conmutador 2 al conmutador 1

Interfaces en VLAN isolation

ge-0/0/17.0,servidor CVS

Interfaces en VLAN finance-com

ge-0/0/11.0

ge-0/0/12.0

Interfaces en VLAN hr-comm

ge-0/0/13.0

ge-0/0/14.0

Tabla 18: Componentes del conmutador 3 en la topología para configurar una PVLAN que abarca varios conmutadores de la serie EX
Propiedad Configuraciones

Nombres VLAN e ID de etiqueta

primary-vlanetiqueta 100

isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400

Interfaces troncales PVLAN

ge-0/0/0.0, conecta el conmutador 3 al conmutador 1

ge-0/0/1.0, conecta el conmutador 3 al conmutador 2

Puerto promiscuo

ge-0/0/2, Conecta la PVLAN al enrutador

Nota:

Debe configurar el puerto troncal que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo.

Topología

Configuración de una PVLAN en el conmutador 1

Configuración rápida de CLI

Al configurar una PVLAN en varios conmutadores, se aplican estas reglas:

  • La VLAN principal debe ser una VLAN etiquetada. Le recomendamos que configure primero la VLAN principal.

  • No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

  • Las VLAN secundarias y el puerto troncal de PVLAN deben confirmarse en una sola confirmación si MVRP está configurado en el puerto troncal de PVLAN.

Para crear y configurar rápidamente una PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:

Procedimiento

Procedimiento paso a paso

Complete los pasos de configuración siguientes en el orden que se muestra; además, complete todos los pasos antes de confirmar la configuración en una sola confirmación. Esta es la forma más fácil de evitar los mensajes de error desencadenados por la violación de cualquiera de estas tres reglas:

  • Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

  • Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.

  • Las VLAN secundarias y un troncal PVLAN deben confirmarse en una sola confirmación.

Para configurar una PVLAN en el conmutador 1 que abarcará varios conmutadores:

  1. Establezca el ID de VLAN para la VLAN principal:

  2. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  3. Configure la VLAN principal para que no tenga conmutación local:

  4. Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:

  5. Configure las interfaces de acceso para la finance-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :

  7. Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.

  8. Configure las interfaces de acceso para la hr-comm VLAN:

  9. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :

  10. Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 2

Configuración rápida de CLI

Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:

Nota:

La configuración del conmutador 2 es la misma que la del conmutador 1, excepto por la interfaz en el dominio aislado entre conmutadores. Para el conmutador 2, la interfaz es ge-0/0/17.0.

Procedimiento

Procedimiento paso a paso

Para configurar una PVLAN en el conmutador 2 que abarque varios conmutadores:

  1. Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:

  2. Configure las interfaces de acceso para la finance-comm VLAN:

  3. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :

  4. Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.

  5. Configure las interfaces de acceso para la hr-comm VLAN:

  6. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :

  7. Establezca el ID de VLAN para la VLAN principal:

  8. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  9. Configure la VLAN principal para que no tenga conmutación local:

  10. Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Configuración de una PVLAN en el conmutador 3

Configuración rápida de CLI

Para configurar rápidamente el conmutador 3 para que funcione como conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:

Nota:

La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.

Procedimiento

Procedimiento paso a paso

Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:

  1. Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:

  2. Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:

  3. Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores:

  4. Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:

  5. Establezca el ID de VLAN para la VLAN principal:

  6. Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:

  7. Configure la VLAN principal para que no tenga conmutación local:

  8. Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:

    Nota:

    Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 1:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que esta PVLAN abarca más de un conmutador.

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que se trata de una PVLAN que abarca más de un conmutador. Al comparar esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).

Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3

Propósito

Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 3:

Acción

Utilice el show vlans extensive comando:

Significado

El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que incluye dos VLAN aisladas, dos VLAN comunitarias y una VLAN aislada del interconmutador. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso dentro de la PVLAN. Solo muestra las interfaces que se conectan pvlan100 desde el pvlan-trunk conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) en la misma PVLAN.

Ejemplo: Configuración de PVLAN con puertos troncales VLAN secundarios y puertos de acceso promiscuo en un conmutador serie QFX

En este ejemplo se muestra cómo configurar puertos de troncalización de VLAN secundaria y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos troncales de VLAN secundaria transportan tráfico VLAN secundario.

Nota:

En este ejemplo se utiliza Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI mejorada de software de capa 2.

Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico solo para una VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN privada (primaria) diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.

Para configurar un puerto troncal para transportar tráfico VLAN secundario, utilice las instrucciones aisladas y interface , como se muestra en los pasos 12 y 13 en la configuración de ejemplo para el conmutador 1.

Nota:

Cuando el tráfico sale de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal a la que pertenece el puerto secundario. Si desea que el tráfico que sale de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la instrucción extend-secondary-vlan-id .

Un puerto de acceso promiscuo transporta tráfico sin etiquetar y solo puede ser miembro de una VLAN principal. El tráfico que entra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal a la que pertenece el puerto de acceso promiscuo. Este tráfico lleva las etiquetas VLAN secundarias apropiadas cuando sale de los puertos VLAN secundarios si el puerto VLAN secundario es un puerto de troncalización.

Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscua , como se muestra en el paso 12 de la configuración de ejemplo para el conmutador 2.

Si el tráfico ingresa en un puerto VLAN secundario y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos QFX

  • Junos OS versión 12.2 o posterior para la serie QFX

Descripción general y topología

Figura 21muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas primarias y secundarias, y también incluye dos puertos troncales VLAN secundarios configurados para transportar VLAN secundarias que son miembros de las VLAN principales pvlan100 y pvlan400.

El conmutador 2 incluye las mismas VLAN privadas. La figura muestra xe-0/0/0 en el conmutador 2 configurado con puertos de acceso promiscuos o puertos troncales promiscuos. La configuración de ejemplo incluida aquí configura este puerto como un puerto de acceso promiscuo.

La figura también muestra cómo fluiría el tráfico después de ingresar en los puertos troncales de VLAN secundaria en el conmutador 1.

Figura 21: Topología PVLAN con puertos troncales VLAN secundarios y puerto de acceso promiscuoTopología PVLAN con puertos troncales VLAN secundarios y puerto de acceso promiscuo

Tabla 19 y Tabla 20 enumere la configuración de la topología de ejemplo en ambos conmutadores.

Tabla 19: Componentes de la topología para configurar un troncal de VLAN secundaria en el conmutador 1
Componente Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN comunitaria, miembro de pvlan100

comm600, ID 600

VLAN comunitaria, miembro de pvlan400

isolation-vlan-id 200

ID de VLAN para VLAN aislada, miembro de pvlan100

isolation–vlan-id 500

ID de VLAN para VLAN aislada, miembro de pvlan400

xe-0/0/0.0

Puerto troncal VLAN secundario para VLAN primarias pvlan100 y pvlan400

xe-0/0/1.0

Puerto troncal PVLAN para VLAN principales PVLAN100 y PVLAN400

xe-0/0/2.0

Puerto de acceso aislado para pvlan100

xe-0/0/3.0

Puerto de acceso comunitario para comm300

xe-0/0/5.0

Puerto de acceso aislado para pvlan400

xe-0/0/6.0

Puerto troncal comunitario para comm600

Tabla 20: Componentes de la topología para configurar un troncal de VLAN secundaria en el conmutador 2
Componente Description

pvlan100, ID 100

VLAN principal

pvlan400, ID 400

VLAN principal

comm300, ID 300

VLAN comunitaria, miembro de pvlan100

comm600, ID 600

VLAN comunitaria, miembro de pvlan400

isolation-vlan-id 200

ID de VLAN para VLAN aislada, miembro de pvlan100

isolation–vlan-id 500

ID de VLAN para VLAN aislada, miembro de pvlan400

xe-0/0/0.0

Puerto de acceso promiscuo para VLAN principales pvlan100

xe-0/0/1.0

Puerto troncal PVLAN para VLAN principales PVLAN100 y PVLAN400

xe-0/0/2.0

Puerto troncal secundario para VLAN aislada, miembro de pvlan100

xe-0/0/3.0

Puerto de acceso comunitario para comm300

xe-0/0/5.0

Puerto de acceso aislado para pvlan400

xe-0/0/6.0

Puerto de acceso comunitario para comm600

Configuración de las PVLAN en el conmutador 1

Configuración rápida de CLI

Para crear y configurar rápidamente las PVLAN en el conmutador 1, copie los siguientes comandos y péguelos en una ventana de terminal de conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar las VLAN privadas y los puertos troncales de VLAN secundarios:

  1. Configure las interfaces y los modos de puerto:

  2. Cree las VLAN principales:

    Nota:

    Las VLAN principales siempre deben etiquetarse como VLAN, incluso si existen en un solo dispositivo.

  3. Configure las VLAN principales para que sean privadas:

  4. Configure el puerto troncal PVLAN para transportar el tráfico de VLAN privada entre los conmutadores:

  5. Cree una VLAN secundaria comm300 con ID de VLAN 300:

  6. Configure la VLAN principal para comm300:

  7. Configure la interfaz para comm300:

  8. Cree un comm600 de VLAN secundario con ID de VLAN 600:

  9. Configure la VLAN principal para comm600:

  10. Configure la interfaz para comm600:

  11. Configure las VLAN aisladas del interconmutador:

    Nota:

    Cuando configure un puerto troncal de VLAN secundario para transportar una VLAN aislada, también debe configurar un isolation-vlan-id. Esto es cierto incluso si la VLAN aislada solo existe en un conmutador.

  12. Habilite el puerto troncal xe-0/0/0 para transportar VLAN secundarias para las VLAN principales:

  13. Configure el puerto troncal xe-0/0/0 para transportar comm600 (miembro de pvlan400):

    Nota:

    No es necesario configurar explícitamente xe-0/0/0 para transportar el tráfico VLAN aislado (etiquetas 200 y 500), ya que todos los puertos aislados de pvlan100 y pvlan400, incluidos xe-0/0/0.0, se incluyen automáticamente en las VLAN aisladas creadas al configurar isolation-vlan-id 200 y isolation-vlan-id 500.

  14. Configure xe-0/0/2 y xe-0/0/6 para que se aíslen:

Resultados

Compruebe los resultados de la configuración en el conmutador 1:

Configuración de las PVLAN en el conmutador 2

La configuración del conmutador 2 es casi idéntica a la del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo o un puerto de acceso promiscuo, como Figura 21 se muestra. En la siguiente configuración, xe-0/0/0 se configura como un puerto de acceso promiscuo para la VLAN principal pvlan100.

Si el tráfico ingresa en el puerto habilitado para VLAN y sale en un puerto de acceso promiscuo, las etiquetas VLAN se eliminan al salir y el tráfico se desetiqueta en ese punto. Por ejemplo, el tráfico para comm600 ingresa en el puerto troncal de VLAN secundario configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 a medida que se reenvía a través de la VLAN secundaria. Cuando salga de xe-0/0/0.0 en el conmutador 2, se desetiquetará si configura xe-0/0/0.0 como puerto de acceso promiscuo, como se muestra en este ejemplo. Si, en cambio, configura xe-0/0/0.0 como un puerto troncal promiscuo (troncal en modo de puerto), el tráfico de comm600 lleva su etiqueta VLAN principal (400) cuando sale.

Configuración rápida de CLI

Para crear y configurar rápidamente las PVLAN en el conmutador 2, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:

Procedimiento

Procedimiento paso a paso

Para configurar las VLAN privadas y los puertos troncales de VLAN secundarios:

  1. Configure las interfaces y los modos de puerto:

  2. Cree las VLAN principales:

  3. Configure las VLAN principales para que sean privadas:

  4. Configure el puerto troncal PVLAN para transportar el tráfico de VLAN privada entre los conmutadores:

  5. Cree una VLAN secundaria comm300 con ID de VLAN 300:

  6. Configure la VLAN principal para comm300:

  7. Configure la interfaz para comm300:

  8. Cree un comm600 de VLAN secundario con ID de VLAN 600:

  9. Configure la VLAN principal para comm600:

  10. Configure la interfaz para comm600:

  11. Configuración de las PVLAN en el conmutador 1

    Configure las VLAN aisladas del interconmutador:

  12. Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:

    Nota:

    Un puerto de acceso promiscuo solo puede ser miembro de una VLAN principal.

  13. Configure xe-0/0/2 y xe-0/0/6 para que se aíslen:

Resultados

Compruebe los resultados de la configuración en el conmutador 2:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que se crearon la VLAN privada y las VLAN secundarias

Propósito

Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador 1.

Acción

Utilice el show vlans comando:

Significado

El resultado muestra que se crearon las VLAN privadas e identifica las interfaces y las VLAN secundarias asociadas a ellas.

Verificación de las entradas de la tabla de conmutación Ethernet

Propósito

Verifique que las entradas de la tabla de conmutación Ethernet se crearon para la VLAN principal pvlan100.

Acción

Mostrar las entradas de la tabla de conmutación Ethernet para pvlan100.

Verificar que una VLAN privada esté funcionando en un conmutador

Propósito

Después de crear y configurar VLAN privadas (PVLAN), compruebe que estén configuradas correctamente.

Acción

  1. Para determinar si creó correctamente las configuraciones de VLAN principal y secundaria:

    • Para una PVLAN en un solo conmutador, use el show configuration vlans comando:

    • Para una PVLAN que abarca varios conmutadores, use el show vlans extensive comando:

  2. Utilice el comando para ver la información de la VLAN y el estado del show vlans extensive vínculo de una PVLAN en un solo conmutador o de una PVLAN que abarca varios conmutadores.

    • Para una PVLAN en un solo conmutador:

    • Para una PVLAN que abarca varios conmutadores:

  3. Utilice el show ethernet-switching table comando para ver los registros del aprendizaje de MAC en las VLAN:

Nota:

Si ha configurado una PVLAN que abarca varios conmutadores, puede utilizar el mismo comando en todos los conmutadores para comprobar los registros de aprendizaje MAC en esos conmutadores.

Significado

En las pantallas de salida de una PVLAN en un solo conmutador, puede ver que la VLAN principal contiene dos dominios de comunidad (community1 y community2), dos puertos aislados y dos puertos de troncalización. La PVLAN de un solo conmutador solo tiene una etiqueta (1000), que es para la VLAN principal.

La PVLAN que abarca varios conmutadores contiene varias etiquetas:

  • El dominio COM1 de la comunidad se identifica con la etiqueta 100.

  • El dominio community2 de la comunidad se identifica con la etiqueta 20.

  • El dominio aislado del interconmutador se identifica con la etiqueta 50.

  • La VLAN primary principal se identifica con la etiqueta 10.

Además, para la PVLAN que abarca varios conmutadores, las interfaces troncales se identifican como pvlan-trunk.

Resolución de problemas de VLAN privadas en conmutadores QFX

Utilice la siguiente información para solucionar problemas de configuración de una VLAN privada.

Limitaciones de las VLAN privadas

Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:

  • La supervisión IGMP no es compatible con VLAN privadas.

  • Las interfaces VLAN enrutadas no son compatibles con VLAN privadas

  • No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.

  • Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:

    1. Cambie la VLAN principal para que sea una VLAN normal.

    2. Confirme la configuración.

    3. Cambie la VLAN normal para que sea una VLAN secundaria.

    4. Confirme la configuración.

    Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.

Reenvío con VLAN privadas

Problema

Description
  • Cuando se recibe tráfico etiquetado con VLAN aislada o VLAN comunitaria en un puerto troncal PVLAN, las direcciones MAC se aprenden de la VLAN principal. Esto significa que la salida del comando show ethernet-switching table muestra que las direcciones MAC se aprenden de la VLAN primaria y se replican en VLAN secundarias. Este comportamiento no tiene ningún efecto en las decisiones de reenvío.

  • Si se recibe un paquete con una etiqueta VLAN secundaria en un puerto promiscuo, se acepta y se reenvía.

  • Si se recibe un paquete en un puerto troncal PVLAN y cumple las dos condiciones que se enumeran a continuación, se descarta.

    • El paquete tiene una etiqueta VLAN de comunidad.

    • El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN aislada.

  • Si se recibe un paquete en un puerto troncal PVLAN y cumple las dos condiciones que se enumeran a continuación, se descarta.

    • El paquete tiene una etiqueta VLAN aislada.

    • El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN de comunidad.

  • Si un puerto VLAN secundario (aislado o comunitario) recibe un paquete con una etiqueta VLAN principal, el puerto secundario reenvía el paquete.

  • Si configura una VLAN de comunidad en un dispositivo y configura otra VLAN de comunidad en un segundo dispositivo y ambas VLAN de comunidad utilizan el mismo ID de VLAN, el tráfico de una de las VLAN se puede reenviar a la otra VLAN. Por ejemplo, supongamos la siguiente configuración:

    • La VLAN comunitaria comm1 en el conmutador 1 tiene el ID de VLAN 50 y es miembro de la VLAN principal pvlan100.

    • La VLAN comunitaria comm2 en el conmutador 2 también tiene ID de VLAN 50 y es miembro de la VLAN principal pvlan200.

    • La VLAN principal pvlan100 existe en ambos conmutadores.

    Si el tráfico de comm1 se envía del conmutador 1 al conmutador 2, se enviará a los puertos que participan en comm2. (El tráfico también se reenviará a los puertos en comm1, como era de esperar).

Solución

Estos son comportamientos esperados.

Filtros de firewall de salida con VLAN privadas

Problema

Description

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico sale con la etiqueta VLAN principal o la etiqueta VLAN aislada, como se indica a continuación:

  • Tráfico reenviado desde un puerto troncal de VLAN secundario a un puerto promiscuo (troncal o acceso)

  • Tráfico reenviado desde un puerto de troncalización de VLAN secundario que lleva una VLAN aislada a un puerto de troncalización de PVLAN.

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal VLAN secundario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de VLAN secundario

  • Tráfico reenviado desde un puerto comunitario a un puerto promiscuo (troncal o acceso)

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que sale con una etiqueta VLAN de comunidad, como se indica a continuación:

  • Tráfico reenviado desde un puerto troncal comunitario a un puerto troncal PVLAN

  • Tráfico reenviado desde un puerto de troncalización de VLAN secundario que lleva una VLAN de comunidad a un puerto de troncalización de PVLAN

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal comunitario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal comunitario

Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplican los siguientes comportamientos:

  • El filtro se aplica al tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal de la comunidad (porque el tráfico sale con la etiqueta VLAN de la comunidad).

  • El filtro se aplica al tráfico reenviado desde un puerto de comunidad a un puerto troncal PVLAN (porque el tráfico sale con la etiqueta VLAN de comunidad).

  • El filtro no se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (porque el tráfico sale con la etiqueta VLAN principal o sin etiquetar).

Solución

Estos son comportamientos esperados. Sólo se producen si se aplica un filtro de firewall a una VLAN privada en la dirección de salida y no se producen si se aplica un filtro de firewall a una VLAN privada en la dirección de entrada.

Duplicación de puertos de salida con VLAN privadas

Problema

Description

Si crea una configuración de duplicación de puertos que refleja el tráfico de VLAN privada (PVLAN) en la salida, el tráfico reflejado (el tráfico que se envía al sistema del analizador) tiene la etiqueta VLAN de la VLAN de entrada en lugar de la VLAN de salida. Por ejemplo, supongamos la siguiente configuración de PVLAN:

  • Puerto troncal promiscuo que transporta VLAN principales pvlan100 y pvlan400.

  • Puerto de acceso aislado que lleva VLAN secundaria aislada200. Esta VLAN es miembro de la VLAN principal pvlan100.

  • Puerto de comunidad que transporta la VLAN secundaria comm300. Esta VLAN también es miembro de la VLAN principal pvlan100.

  • Interfaz de salida (interfaz de monitor) que se conecta al sistema del analizador. Esta interfaz reenvía el tráfico reflejado al analizador.

Si un paquete para pvlan100 entra en el puerto troncal promiscuo y sale en el puerto de acceso aislado, el paquete original se desetiqueta al salir porque está saliendo en un puerto de acceso. Sin embargo, la copia reflejada conserva la etiqueta para pvlan100 cuando se envía al analizador.

Aquí hay otro ejemplo: Si un paquete para comm300 ingresa en el puerto comunitario y sale en el puerto troncal promiscuo, el paquete original lleva la etiqueta pvlan100 al salir, como se esperaba. Sin embargo, la copia reflejada conserva la etiqueta para comm300 cuando se envía al analizador.

Solución

Este es el comportamiento esperado.