EN ESTA PÁGINA
Descripción de los flujos de tráfico de PVLAN en varios conmutadores
Descripción de los puertos troncales VLAN secundarios y los puertos de acceso promiscuo en PVLAN
Usar la autenticación 802.1X y VLAN privadas juntas en la misma interfaz
Creación de una VLAN privada en un solo conmutador compatible con ELS (procedimiento de CLI)
Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de la CLI)
Creación de una VLAN privada que abarca varios conmutadores de la serie QFX
Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de la CLI)
Ejemplo: Configuración de una VLAN privada en un solo conmutador compatible con ELS
Ejemplo: Configuración de una VLAN privada en un único conmutador de la serie QFX
Ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores QFX
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores con una interfaz IRB
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores de la serie EX
Verificar que una VLAN privada esté funcionando en un conmutador
Resolución de problemas de VLAN privadas en conmutadores QFX
VLAN privadas
Descripción de las VLAN privadas
Las VLAN limitan las difusiones a usuarios especificados. Las VLAN privadas (PVLAN) llevan este concepto un paso más allá limitando la comunicación dentro de una VLAN. Para ello, las PVLAN restringen los flujos de tráfico a través de sus puertos de conmutador miembro (que se denominan puertos privados) para que estos puertos se comuniquen únicamente con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto troncal de enlace ascendente o el grupo de agregación de vínculos (LAG) suele estar conectado a una red de enrutador, firewall, servidor o proveedor. Normalmente, cada PVLAN contiene muchos puertos privados que se comunican solo con un único puerto de enlace ascendente, lo que impide que los puertos se comuniquen entre sí.
Las PVLAN proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias (VLAN de comunidad y una VLAN aislada ) dentro de una VLAN primaria. Los puertos dentro de la misma VLAN de la comunidad pueden comunicarse entre sí. Los puertos dentro de una VLAN aislada solo pueden comunicarse con un único puerto de enlace ascendente.
Al igual que las VLAN normales, las PVLAN se aíslan en la capa 2 y requieren una de las siguientes opciones para enrutar el tráfico de capa 3 entre las VLAN secundarias:
Una conexión de puerto promiscua con un enrutador
Una interfaz VLAN enrutada (RVI)
Para enrutar el tráfico de capa 3 entre VLAN secundarias, una PVLAN solo necesita una de las opciones mencionadas anteriormente. Si utiliza una RVI, aún puede implementar una conexión de puerto promiscuo a un enrutador con el puerto promiscuo configurado para manejar solo el tráfico que entra y sale de la PVLAN.
Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos. Los proveedores de servicios utilizan PVLAN para mantener a sus clientes aislados entre sí. Otro uso típico de una PVLAN es proporcionar acceso a Internet por habitación en un hotel.
Puede configurar una PVLAN para abarcar conmutadores que admitan PVLAN.
En este tema se explican los siguientes conceptos relacionados con las PVLAN en conmutadores de la serie EX:
- Ventajas de las PVLAN
- Estructura típica y aplicación principal de las PVLAN
- Estructura típica y aplicación principal de las PVLAN en enrutadores de la serie MX
- Estructura típica y aplicación principal de las PVLAN en conmutadores de la serie EX
- Enrutamiento entre VLAN aisladas y comunitarias
- Las PVLAN utilizan etiquetas 802.1Q para identificar paquetes
- Las PVLAN utilizan las direcciones IP de manera eficiente
- Tipos de puertos PVLAN y reglas de reenvío
- Creación de una PVLAN
- Limitaciones de las VLAN privadas
Ventajas de las PVLAN
La necesidad de segregar una sola VLAN es particularmente útil en los siguientes escenarios de implementación:
Granjas de servidores: un proveedor de servicios Internet típico usa una granja de servidores para proporcionar alojamiento web a numerosos clientes. La ubicación de los distintos servidores dentro de una única granja de servidores facilita la administración. Los problemas de seguridad surgen si todos los servidores se encuentran en la misma VLAN, ya que las difusiones de capa 2 van a todos los servidores de la VLAN.
Redes Ethernet metropolitanas: un proveedor de servicios metropolitanos ofrece acceso Ethernet de capa 2 a una variedad de hogares, comunidades de alquiler y empresas. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que puede generar un desperdicio potencial de direcciones IP. Las PVLAN proporcionan una solución más segura y eficiente.
Estructura típica y aplicación principal de las PVLAN
Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. Los tipos de dominios y puertos son:
VLAN primaria: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN primaria puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).
VLAN aislada/puerto aislado: una VLAN primaria solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada sólo puede reenviar paquetes a un puerto promiscuo o al puerto de vínculo entre conmutadores (ISL). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso solo a un enrutador de puerta de enlace, el dispositivo debe estar conectado a un puerto troncal aislado.
VLAN comunitaria/puerto de comunidad: puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o el puerto ISL. Si tiene, por ejemplo, dos dispositivos de cliente que necesita aislar de otros dispositivos de cliente, pero que deben poder comunicarse entre sí, use puertos de comunidad.
Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no está incluido en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de punto final suelen estar conectados a un puerto promiscuo.
Vínculo entre conmutadores (ISL): un ISL es un puerto troncal que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando una PVLAN abarca varios conmutadores.
La PVLAN configurada es el dominio principal (VLAN principal). Dentro de la PVLAN, se configuran VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Una PVLAN se puede configurar en un solo conmutador o se puede configurar para abarcar varios conmutadores. La PVLAN que se muestra en Figura 1 incluye dos conmutadores, con un dominio PVLAN primario y varios subdominios.
Como se muestra en Figura 3, una PVLAN solo tiene un dominio principal y varios dominios secundarios. Los tipos de dominios son:
VLAN primaria: VLAN utilizada para reenviar tramas descendentes a VLAN aisladas y comunitarias. La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. La PVLAN primaria puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).
VLAN secundaria aislada: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas ascendentes a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada dentro de la VLAN principal. Una VLAN primaria solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes solo a un puerto promiscuo o al puerto troncal PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; Una interfaz aislada tampoco puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso solo a un enrutador, el dispositivo debe estar conectado a un puerto troncal aislado.
VLAN aislada de interconmutador secundario: VLAN utilizada para reenviar tráfico VLAN aislado de un conmutador a otro a través de puertos troncales PVLAN. Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada de interconmutador es una VLAN secundaria anidada dentro de la VLAN principal.
VLAN de comunidad secundaria: VLAN utilizada para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas ascendentes a la VLAN principal. Una VLAN comunitaria es una VLAN secundaria anidada dentro de la VLAN principal. Puede configurar varias VLAN de comunidad en una sola PVLAN. Una interfaz dentro de una VLAN de comunidad específica puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de comunidad. Una interfaz dentro de una VLAN comunitaria también puede comunicarse con un puerto promiscuo o con el puerto troncal PVLAN.
Figura 2muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (100) contiene dos dominios de comunidad y 400) y un dominio aislado de (300 interconmutador.
Las VLAN primarias y secundarias cuentan para el límite de 4089 VLAN admitidas en la serie QFX. Por ejemplo, cada VLAN en Figura 2 cuenta para este límite.
Estructura típica y aplicación principal de las PVLAN en enrutadores de la serie MX
La PVLAN configurada se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un único enrutador. La PVLAN que se muestra en Figura 3 incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.
Los tipos de dominios son:
VLAN primaria: VLAN utilizada para reenviar tramas descendentes a VLAN aisladas y comunitarias.
VLAN secundaria aislada: VLAN que recibe paquetes solo de la VLAN principal y reenvía tramas ascendentes a la VLAN principal.
VLAN aislada de interconmutador secundario: VLAN utilizada para reenviar tráfico VLAN aislado de un enrutador a otro a través de puertos troncales PVLAN.
VLAN de comunidad secundaria: VLAN utilizada para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas ascendentes a la VLAN principal.
Las PVLAN son compatibles con enrutadores MX80, en enrutadores MX240, MX480 y MX960 con DPC en modo LAN mejorado, en enrutadores serie MX con PIC MPC1, MPC2 y Adaptive Services.
Estructura típica y aplicación principal de las PVLAN en conmutadores de la serie EX
La VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. En los conmutadores EX9200, cada VLAN secundaria también debe definirse con su propio ID de VLAN independiente.
Figura 4 muestra una PVLAN en un solo conmutador, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 50).
Figura 5 muestra una PVLAN que abarca varios conmutadores, donde la VLAN principal (VLAN 100) contiene dos VLAN de comunidad (VLAN 300 y VLAN 400) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 están conectados a través de un enlace de interconmutador (enlace troncal PVLAN).
Además, las PVLAN que se muestran y Figura 4Figura 5 utilizan un puerto promiscuo conectado a un enrutador como medio para enrutar el tráfico de capa 3 entre la comunidad y VLAN aisladas. En lugar de utilizar el puerto promiscuo conectado a un enrutador, puede configurar una RVI en el conmutador o Figura 4 en uno de los conmutadores que se muestran en Figura 5 (en algunos conmutadores EX).
Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador a un puerto promiscuo, como se muestra en Figura 4 y Figura 5, o configurar una RVI.
Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Esta RVI sirve a todo el dominio de PVLAN, independientemente de si el dominio incluye uno o más conmutadores. Después de configurar la RVI, los paquetes de capa 3 recibidos por las interfaces VLAN secundarias se asignan a la RVI y la enrutan.
Al configurar la RVI, también debe habilitar el Protocolo de resolución de direcciones (ARP) de proxy para que la RVI pueda controlar las solicitudes ARP recibidas por las interfaces VLAN secundarias.
Para obtener información acerca de la configuración de PVLAN en un solo conmutador y en varios, consulte Creación de una VLAN privada en un único conmutador de la serie EX (procedimiento de CLI). Para obtener información acerca de cómo configurar una RVI, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.
Enrutamiento entre VLAN aisladas y comunitarias
Para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto troncal de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.
Las PVLAN utilizan etiquetas 802.1Q para identificar paquetes
Cuando los paquetes se marcan con una etiqueta 802.1Q específica del cliente, esa etiqueta identifica la propiedad de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLAN para realizar un seguimiento de los paquetes de diferentes subdominios. Tabla 1 indica cuándo se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en las VLAN secundarias.
| En un solo conmutador | En varios conmutadores | |
|---|---|---|
| VLAN principal | Especifique una etiqueta 802.1Q estableciendo un ID de VLAN. |
Especifique una etiqueta 802.1Q estableciendo un ID de VLAN. |
| VLAN secundaria | No se necesita ninguna etiqueta en las VLAN. |
Las VLAN necesitan etiquetas 802.1Q:
|
Las PVLAN utilizan las direcciones IP de manera eficiente
Las PVLAN proporcionan conservación de direcciones IP y asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En las PVLAN, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP porque la subred está asignada a la VLAN principal. A los hosts dentro de la VLAN secundaria se les asignan direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.
Tipos de puertos PVLAN y reglas de reenvío
Las PVLAN pueden utilizar hasta seis tipos de puertos diferentes. La red representada enFigura 2 utiliza un puerto promiscuo para transportar información al enrutador, puertos comunitarios para conectar a las comunidades de finanzas y recursos humanos a sus respectivos conmutadores, puertos aislados para conectar los servidores y un puerto troncal PVLAN para conectar los dos conmutadores. Los puertos PVLAN tienen diferentes restricciones:
Puerto troncal promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye dentro de uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de punto final suelen estar conectados a un puerto promiscuo.
Vínculo troncal de PVLAN: el vínculo troncal de PVLAN, también conocido como vínculo de interconmutador, solo es necesario cuando una PVLAN está configurada para abarcar varios conmutadores. El enlace troncal de PVLAN conecta los múltiples conmutadores que componen la PVLAN.
Puerto troncal PVLAN: se requiere un puerto troncal PVLAN en las configuraciones de PVLAN de varios conmutadores para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada del interconmutador) y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos que no sean los puertos aislados.
La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La pertenencia de un puerto troncal PVLAN a la VLAN aislada del interconmutador es solo de salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto troncal PVLAN, pero un puerto troncal PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes hayan ingresado en un puerto de acceso promiscuo y, por lo tanto, se reenvíen a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).
Puerto de troncalización de VLAN secundaria (no mostrado): los puertos de troncalización secundaria transportan tráfico de VLAN secundaria. Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico solo para una VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.
Puerto comunitario—Los puertos comunitarios se comunican entre sí y con sus puertos promiscuos. Los puertos comunitarios solo sirven a un grupo selecto de usuarios. Estas interfaces están separadas en la capa 2 de todas las demás interfaces en otras comunidades o puertos aislados dentro de su PVLAN.
Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN: un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio VLAN aislado (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de copia de seguridad, está conectado en un puerto aislado. En un hotel, cada habitación normalmente estaría conectada en un puerto aislado, lo que significa que la comunicación de habitación a habitación no es posible, pero cada habitación puede acceder a Internet en el puerto promiscuo.
Puerto de acceso promiscuo (no mostrado): estos puertos transportan tráfico sin etiquetar. El tráfico que ingresa en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico ingresa al dispositivo en un puerto habilitado para VLAN y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.
Puerto de vínculo de interconmutador: un puerto de vínculo de interconmutador (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN abarca esos enrutadores. El puerto ISL es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada).
La comunicación entre un puerto ISL y un puerto aislado es unidireccional. La pertenencia de un puerto ISL a la VLAN aislada del interconmutador es de solo salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.
Tabla 2 resume la conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN en conmutadores serie EX compatibles con ELS.
Desde el tipo de puerto |
¿A puertos aislados? |
¿A puertos promiscuos? |
¿A los puertos comunitarios? |
para interconectar el puerto de enlace? |
|---|---|---|---|---|
Aislado |
Negar |
Permitir |
Negar |
Permitir |
Promiscuo |
Permitir |
Permitir |
Permitir |
Permitir |
Comunidad 1 |
Negar |
Permitir |
Permitir |
Permitir |
Tipo de puerto |
Tronco promiscuo |
Troncal PVLAN |
Tronco secundario |
Comunidad |
Acceso aislado |
Acceso promiscuo |
|---|---|---|---|---|---|---|
Tronco promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Troncal de PVLAN |
Sí |
Sí |
Sí |
Sí, solo la misma comunidad |
Sí |
Sí |
Tronco secundario |
Sí |
Sí |
No |
Sí |
No |
Sí |
Comunidad |
Sí |
Sí |
Sí |
Sí, solo la misma comunidad |
No |
Sí |
Acceso aislado |
Sí |
Sí, solo unidireccional |
No |
No |
No |
Sí |
Acceso promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
Tabla 4 resume si existe o no conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.
Tipo de puerto Nueva versión: → De:↓ |
Promiscuo |
Comunidad |
Aislado |
Troncal PVLAN |
RVI |
|---|---|---|---|---|---|
Promiscuo |
Sí |
Sí |
Sí |
Sí |
Sí |
Comunidad |
Sí |
Sí, solo la misma comunidad |
No |
Sí |
Sí |
Aislado |
Sí |
No |
No |
Sí Nota:
Esta comunicación es unidireccional. |
Sí |
Troncal de PVLAN |
Sí |
Sí, solo la misma comunidad |
Sí Nota:
Esta comunicación es unidireccional. |
Sí |
Sí |
RVI |
Sí |
Sí |
Sí |
Sí |
Sí |
Como se indica en Tabla 4, La comunicación de capa 2 entre un puerto aislado y un puerto troncal PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncalización PVLAN y un puerto de troncalización PVLAN solo puede recibir paquetes de un puerto aislado. Por el contrario, un puerto de troncalización PVLAN no puede enviar paquetes a un puerto aislado y un puerto aislado no puede recibir paquetes desde un puerto de troncalización PVLAN.
Si habilita no-mac-learning en una VLAN principal, todas las VLAN aisladas (o la VLAN aislada del interconmutador) de la PVLAN heredarán esa configuración. Sin embargo, si desea deshabilitar el aprendizaje de dirección MAC en cualquier VLAN de la comunidad, debe configurarlo no-mac-learning en cada una de esas VLAN.
Creación de una PVLAN
El diagrama de flujo que se muestra en Figura 6 le da una idea general del proceso para crear PVLAN. Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. (En las reglas de PVLAN, la configuración del puerto troncal de PVLAN solo se aplica a una PVLAN que abarca varios enrutadores).
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Configurar una VLAN en un único enrutador es relativamente sencillo, como se muestra en Figura 6.
La configuración de una VLAN principal consta de estos pasos:
Configure el nombre de la VLAN principal y la etiqueta 802.1Q.
Establezca no-local-switching en la VLAN principal.
Configure el puerto troncal promiscuo y los puertos de acceso.
Haga que el troncal promiscuo y los puertos de acceso sean miembros de la VLAN principal.
Dentro de una VLAN principal, puede configurar VLAN de comunidad secundarias o VLAN aisladas secundarias o ambas. La configuración de una VLAN de comunidad secundaria consta de estos pasos:
Configure una VLAN mediante el proceso habitual.
Configure las interfaces de acceso para la VLAN.
Asigne una VLAN principal a la VLAN de la comunidad,
Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción no-local-switching está habilitada en la VLAN principal.
Las etiquetas 802.1Q son necesarias para las VLAN aisladas entre conmutadores porque IEEE 802.1Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de enlace troncal inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete.
Los puertos de troncalización solo son necesarios para las configuraciones de PVLAN de varios enrutadores: el puerto de troncalización transporta el tráfico desde la VLAN principal y todas las VLAN secundarias.
Limitaciones de las VLAN privadas
Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:
Una interfaz de acceso solo puede pertenecer a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.
Una interfaz troncal puede ser miembro de dos VLAN secundarias siempre que las VLAN secundarias estén en dos VLAN principales diferentes . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentren en la misma VLAN principal.
Se debe configurar una sola región del Protocolo de árbol de expansión múltiple (MSTP) en todas las VLAN incluidas en la PVLAN.
No se admite el protocolo de árbol de expansión de VLAN (VSTP).
La supervisión IGMP no es compatible con VLAN privadas.
Las interfaces VLAN enrutadas no son compatibles con VLAN privadas
No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.
Algunas instrucciones de configuración no se pueden especificar en una VLAN secundaria. Puede configurar las siguientes instrucciones en el nivel de
[edit vlans vlan-name switch-options]jerarquía solo en la PVLAN principal.Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:
Cambie la VLAN principal para que sea una VLAN normal.
Confirme la configuración.
Cambie la VLAN normal para que sea una VLAN secundaria.
Confirme la configuración.
Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.
Las siguientes funciones no se admiten en PVLAN en conmutadores Junos compatibles con el estilo de configuración ELS:
Filtros de firewall VLAN de salida
Protección de anillo Ethernet (ERP)
Etiquetado VLAN flexible
Interfaz de enrutamiento y puente integrados (IRB)
Grupos de agregación de vínculos multichasis (MC-LAG)
Duplicación de puertos
Tunelización Q-in-Q
Protocolo de árbol de expansión de VLAN (VSTP)
Voz sobre IP (VoIP)
Puede configurar las siguientes instrucciones en el nivel de [edit vlans vlan-name switch-options] jerarquía solo en la PVLAN principal:
Descripción de los flujos de tráfico de PVLAN en varios conmutadores
En este tema se ilustran y explican tres flujos de tráfico diferentes en una red multiconmutador de ejemplo configurada con una VLAN privada (PVLAN). Las PVLAN restringen el flujo de tráfico a través de sus puertos de conmutador miembro (que se denominan "puertos privados") para que se comuniquen únicamente con un puerto troncal de enlace ascendente específico o con puertos especificados dentro de la misma VLAN.
En este tema, se describe lo siguiente:
- VLAN de la comunidad que envía tráfico sin etiquetar
- VLAN aislada que envía tráfico sin etiquetar
- Tráfico etiquetado con PVLAN enviado en un puerto promiscuo
VLAN de la comunidad que envía tráfico sin etiquetar
En este ejemplo, un miembro de la Comunidad-1 en el conmutador 1 envía tráfico sin etiquetar en la interfaz ge-0/0/12. Las flechas de representan Figura 7 el flujo de tráfico resultante.
En este ejemplo, a los miembros de la comunidad-1 se les asigna el ID de C-VLAN 100 que se asigna al ID de P-VLAN 10.
En este escenario, se lleva a cabo la siguiente actividad en el conmutador 1:
-
VLAN de la Comunidad-1 en las interfaces ge-0/0/0 y ge-0/0/12: Aprendizaje
-
PVLAN100 en la interfaz GE-0/0/0 y GE-0/0/12: Replicación
-
VLAN de la Comunidad 1 en la interfaz ge-0/0/12: Recibe tráfico sin etiquetar
-
Interfaz VLAN de la Comunidad 1 ge-0/0/0: Salidas de tráfico sin etiquetar
-
Puerto troncal PVLAN: Salidas de tráfico desde ge-1/0/2 y desde ae0 con etiqueta 10
-
Comunidad-2: Las interfaces no reciben tráfico
-
VLAN aisladas: Las interfaces no reciben tráfico
En este escenario, esta actividad se lleva a cabo en el conmutador 3:
-
VLAN de la Comunidad 1 en la interfaz ge-0/0/23 (troncalización PVLAN): Aprendizaje
-
PVLAN100 en la interfaz GE-0/0/23: Replicación
-
VLAN de la Comunidad-1 en las interfaces ge-0/0/9 y ge-0/0/16: Recibir tráfico sin etiquetar
-
Puerto troncal promiscuo: Salidas de tráfico de ge-0/0/0 con la etiqueta 10
-
Comunidad-2: Las interfaces no reciben tráfico
-
VLAN aisladas: Las interfaces no reciben tráfico
VLAN aislada que envía tráfico sin etiquetar
En este escenario, la VLAN aislada en el conmutador 1 en la interfaz ge-1/0/0 envía tráfico sin etiquetar. Las flechas de representan Figura 8 este flujo de tráfico.
En este escenario, se lleva a cabo la siguiente actividad en el conmutador 1:
VLAN aislada 1 en la interfaz ge-1/0/0: Aprendizaje
PVLAN100 en interfaz GE-1/0/0: Replicación
El tráfico sale de pvlan-trunk ge-1/0/2 y ae0 con la etiqueta 50
Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico
VLAN aisladas: Las interfaces no reciben tráfico
En este escenario, esta actividad se lleva a cabo en el conmutador 3:
VLAN en la interfaz ge-0/0/23 (puerto troncal PVLAN): Aprendizaje
PVLAN100 en interfaz GE0/0/23: Replicación
Puerto troncal promiscuo: Salidas de tráfico de ge-0/0/0 con la etiqueta 100
Comunidad-1 y Comunidad-2: Las interfaces no reciben tráfico
VLAN aisladas: No recibir tráfico
Tráfico etiquetado con PVLAN enviado en un puerto promiscuo
En este escenario, el tráfico etiquetado con PVLAN se envía a un puerto promiscuo. Las flechas de representan Figura 9 este flujo de tráfico.
En este escenario, se lleva a cabo la siguiente actividad en el conmutador 1:
VLAN pvlan100 en interfaz ae0 (troncal PVLAN): Aprendizaje
Comunidad 1, Comunidad 2 y todas las VLAN aisladas en la interfaz ae0: Replicación
VLAN en la interfaz ae0: Replicación
El tráfico sale de pvlan-trunk ge-1/0/2 con la etiqueta 100
Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico
VLAN aisladas: Recibir tráfico
En este escenario, esta actividad se lleva a cabo en el conmutador 3:
PVLAN100 en la interfaz GE-0/0/0: Aprendizaje
Comunidad 1, Comunidad 2 y todas las VLAN aisladas en la interfaz ge-0/0/0: Replicación
VLAN en la interfaz ge-0/0/0: Replicación
Comunidad-1 y Comunidad-2: Las interfaces reciben tráfico
VLAN aisladas: Recibir tráfico
Descripción de los puertos troncales VLAN secundarios y los puertos de acceso promiscuo en PVLAN
Las VLAN limitan las difusiones a usuarios especificados. Las VLAN privadas (PVLANs) llevan este concepto un paso más allá dividiendo una VLAN en múltiples subdominios de difusión y, esencialmente, colocando VLAN secundarias dentro de una VLAN primaria. Las PVLAN restringen el flujo de tráfico a través de sus puertos miembro para que estos puertos se comuniquen solo con un puerto troncal de enlace ascendente especificado o con puertos especificados dentro de la misma VLAN. El puerto troncal de enlace ascendente suele estar conectado a una red de enrutador, firewall, servidor o proveedor. Una PVLAN normalmente contiene muchos puertos privados que se comunican solo con un único enlace ascendente, lo que impide que los puertos se comuniquen entre sí.
Los puertos troncales secundarios y los puertos de acceso promiscuo amplían la funcionalidad de las PVLAN para su uso en implementaciones complejas, como:
Entornos de infraestructura VMWare empresarial
Servicios en la nube multiusuario con gestión de VM
Servicios de alojamiento web para múltiples clientes
Por ejemplo, puede utilizar puertos troncales VLAN secundarios para conectar dispositivos QFX a servidores VMware configurados con VLAN privadas. Puede usar puertos de acceso promiscuo para conectar dispositivos QFX a sistemas que no admiten puertos troncales pero que necesitan participar en VLAN privadas.
En este tema se explican los siguientes conceptos relacionados con las PVLAN en la serie QFX:
Tipos de puertos PVLAN
Las PVLAN pueden utilizar los siguientes tipos de puertos:
Puerto troncal promiscuo: un puerto promiscuo es un puerto troncal ascendente conectado a una red de enrutador, firewall, servidor o proveedor. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y comunitarios dentro de una PVLAN.
Puerto troncal PVLAN: se requiere un puerto troncal PVLAN en las configuraciones de PVLAN de varios conmutadores para abarcar los conmutadores. El puerto troncal de PVLAN es miembro de todas las VLAN dentro de la PVLAN (es decir, la VLAN principal, las VLAN de comunidad y la VLAN aislada del interconmutador) y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.
La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La pertenencia de un puerto troncal PVLAN a la VLAN aislada del interconmutador es solo de salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto troncal PVLAN, pero un puerto troncal PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes hayan ingresado en un puerto de acceso promiscuo y, por lo tanto, se reenvíen a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).
Puerto de troncalización de VLAN secundaria: los puertos de troncalización de VLAN secundaria transportan tráfico de VLAN secundaria. Para una VLAN privada (primaria) dada, un puerto de troncalización de VLAN secundario puede transportar tráfico para una sola VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.
Nota:Cuando el tráfico sale de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal a la que pertenece el puerto secundario. Si desea que el tráfico que sale de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la extend-secondary-vlan-id instrucción.
Puerto comunitario—Los puertos comunitarios se comunican entre sí y con sus puertos promiscuos. Los puertos comunitarios solo sirven a un grupo selecto de usuarios. Estas interfaces están separadas en la capa 2 de todas las demás interfaces en otras comunidades o puertos aislados dentro de su PVLAN.
Puerto de acceso aislado: los puertos aislados tienen conectividad de capa 2 solo con puertos promiscuos y puertos troncales PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.
Puerto de acceso promiscuo: estos puertos transportan tráfico sin etiquetar y pueden ser miembros de una sola VLAN principal. El tráfico que entra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal a la que pertenece el puerto de acceso promiscuo. En este caso, el tráfico lleva la etiqueta VLAN secundaria adecuada cuando sale del puerto VLAN secundario si el puerto VLAN secundario es un puerto de troncalización. Si el tráfico ingresa en un puerto VLAN secundario y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.
Detalles del puerto de troncalización de VLAN secundaria
Cuando utilice un puerto troncal VLAN secundario, tenga en cuenta lo siguiente:
Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto troncal de la VLAN secundaria. Esto es cierto incluso si las VLAN secundarias que transportará el puerto troncal de la VLAN secundaria están confinadas a un único dispositivo.
Si configura un puerto para que sea un puerto troncal de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de las siguientes opciones:
Puerto de troncalización de VLAN secundaria para otra VLAN principal
Troncalización de PVLAN para otra VLAN principal
Puerto troncal promiscuo
Puerto de acceso para una VLAN no privada
El tráfico que ingresa en un puerto de troncalización de VLAN secundario (con una etiqueta VLAN secundaria) y sale en un puerto de troncalización de PVLAN conserva la etiqueta de VLAN secundaria al salir.
El tráfico que ingresa en un puerto de troncalización de VLAN secundario y sale en un puerto de troncalización promiscuo tiene la etiqueta VLAN principal adecuada al salir.
El tráfico que ingresa en un puerto de troncalización de VLAN secundario y sale en un puerto de acceso promiscuo no se etiqueta al salir.
El tráfico que ingresa en un puerto troncal promiscuo con una etiqueta VLAN principal y sale en un puerto de troncalización VLAN secundario lleva la etiqueta VLAN secundaria adecuada al salir. Por ejemplo, suponga que ha configurado lo siguiente en un conmutador:
VLAN primaria 100
VLAN comunitaria 200 como parte de la VLAN principal
Puerto troncal promiscuo
Puerto troncal secundario que transporta la VLAN 200 de la comunidad
Si un paquete ingresa en el puerto troncal promiscuo con la etiqueta VLAN principal 100 y sale en el puerto de troncalización VLAN secundario, lleva la etiqueta 200 al salir.
Casos de uso
En la misma interfaz física, puede configurar varios puertos de troncalización de VLAN secundarios (en VLAN primarias diferentes) o combinar un puerto de troncalización de VLAN secundaria con otros tipos de puertos de VLAN. Los siguientes casos de uso proporcionan ejemplos de cómo hacer esto y muestran cómo fluiría el tráfico en cada caso:
- Troncales de VLAN secundaria en dos VLAN primarias
- Tronco VLAN secundario y tronco promiscuo
- Troncalización de VLAN secundaria y troncalización de PVLAN
- Troncalización de VLAN secundaria e interfaz VLAN no privada
- Entrada de tráfico en el puerto de acceso promiscuo
Troncales de VLAN secundaria en dos VLAN primarias
Para este caso de uso, suponga que tiene dos conmutadores con la siguiente configuración:
VLAN principal pvlan100 con etiqueta 100.
VLAN aislada aislada200 con la etiqueta 200 es un miembro de pvlan100.
VLAN de la comunidad comm300 con la etiqueta 300 es miembro de pvlan100.
VLAN principal pvlan400 con etiqueta 400.
VLAN aislada isolated500 con etiqueta 500 es miembro de pvlan400.
VLAN de la comunidad comm600 con etiqueta 600 es miembro de pvlan400.
La interfaz xe-0/0/0 del conmutador 1 se conecta a un servidor VMware (no se muestra) configurado con las VLAN privadas utilizadas en este ejemplo. Esta interfaz está configurada con puertos de troncalización de VLAN secundaria para transportar tráfico para la VLAN secundaria comm600 y la VLAN aislada (etiqueta 200) que es miembro de pvlan100.
La interfaz xe-0/0/0 en el conmutador 2 se muestra configurada como puerto troncal promiscuo o puerto de acceso promiscuo. En este último caso, puede suponer que se conecta a un sistema (no se muestra) que no admite puertos troncales pero que está configurado con las VLAN privadas utilizadas en este ejemplo.
En el conmutador 1, xe-0/0/6 es miembro de comm600 y está configurado como un puerto troncal.
En el conmutador 2, xe-0/0/6 es miembro de comm600 y está configurado como puerto de acceso.
Figura 10 muestra esta topología y cómo fluiría el tráfico para isolated200 y comm600 después de ingresar en xe-0/0/0 en el conmutador 1. Tenga en cuenta que el tráfico fluiría solo donde las flechas indican. Por ejemplo, no hay flechas para las interfaces xe-0/0/2, xe-0/0/3 y xe-0/0/5 en el conmutador 1 porque ningún paquete saldría en esas interfaces.
Este es el flujo de tráfico para VLAN isolated200:
Tenga en cuenta que el tráfico para VLAN aislado200 no sale en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en el puerto troncal de VLAN secundario xe-0/0/2 en el conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.
Este es el flujo de tráfico para VLAN comm600:
Después de que el tráfico para comm600 ingresa en el puerto de troncalización de VLAN secundario en el conmutador 1, sale en el puerto de troncalización de PVLAN porque el puerto de troncalización de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) durante la salida.
El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 1. El tráfico se etiqueta porque el puerto está configurado como un troncal.
Después de que el tráfico para comm600 ingresa en el puerto troncal PVLAN en el conmutador 2, sale en xe-0/0/0, si esta interfaz está configurada como un puerto troncal promiscuo.
Nota:Si xe-0/0/0 en el conmutador 2 está configurado como puerto de acceso promiscuo, el puerto solo puede participar en una VLAN principal. En este caso, el puerto de acceso promiscuo forma parte de pvlan100, por lo que el tráfico de comm600 no sale de él
El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 2. En este caso, el tráfico no está etiquetado porque el modo de puerto es acceso.
Tronco VLAN secundario y tronco promiscuo
Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, con una excepción: En este caso, xe-0/0/0 en el conmutador 1 se configura como un puerto troncal VLAN secundario para VLAN pvlan100 y también se configura como un puerto troncal promiscuo para pvlan400.
Figura 11 muestra esta topología y cómo fluiría el tráfico para isolated200 (miembro de PVLAN100) y Comm600 (miembro de PVLAN400) después de ingresar en el conmutador 1.
El flujo de tráfico para VLAN isolated200 es el mismo que en el caso de uso anterior, pero el flujo para comm600 es diferente. Este es el flujo de tráfico para VLAN comm600:
Troncalización de VLAN secundaria y troncalización de PVLAN
Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto troncal VLAN secundario para VLAN pvlan100 y también está configurado como un puerto troncal PVLAN para pvlan400.
Figura 12 muestra esta topología y cómo fluiría el tráfico para Comm300 (miembro de PVLAN100) y Comm600 (miembro de PVLAN400) después de ingresar en el conmutador 1.
Este es el flujo de tráfico para VLAN comm300:
Este es el flujo de tráfico para VLAN comm600:
Después de que el tráfico para comm600 ingresa en el puerto PVLAN xe-0/0/0 en el conmutador 1, sale en el puerto de la comunidad xe-0/0/6 en el conmutador 1. Los paquetes mantienen la etiqueta VLAN secundaria (600) cuando salen porque xe-0/0/6 es un puerto de troncalización.
El tráfico para comm600 también sale en el puerto troncal de PVLAN xe-0/0/1 porque ese puerto troncal de PVLAN es miembro de todas las VLAN. Los paquetes mantienen la etiqueta VLAN secundaria (600) durante la salida.
Después de que el tráfico para comm600 ingresa en el puerto troncal PVLAN en el conmutador 2, sale en xe-0/0/0, si esta interfaz está configurada como un puerto troncal promiscuo.
No sale en xe-0/0/0 si esta interfaz está configurada como un puerto de acceso promiscuo porque el puerto solo puede participar en pvlan100.
El tráfico para comm600 también sale en el puerto de la comunidad xe-0/0/6 en el conmutador 2. Este tráfico no se etiqueta al salir porque xe-0/0/6 es un puerto de acceso.
Troncalización de VLAN secundaria e interfaz VLAN no privada
Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en los casos de uso anteriores, excepto por estas diferencias:
Configuración para xe-0/0/0 en el conmutador 1:
Puerto troncal VLAN secundario para VLAN pvlan100
Puerto de acceso para vlan700
El puerto xe-0/0/6 en ambos conmutadores es un puerto de acceso para vlan700.
Figura 13 muestra esta topología y cómo fluiría el tráfico para Isolated200 (miembro de PVLAN100) y VLAN700 después de ingresar en el conmutador 1.
Este es el flujo de tráfico para VLAN isolated200:
Tenga en cuenta que el tráfico para VLAN aislado200 no sale en el puerto de acceso aislado xe-0/0/2 en el conmutador 1 o en el puerto troncal de VLAN secundario xe-0/0/2 en el conmutador 2, aunque estos dos puertos sean miembros de la misma VLAN aislada.
Después de que el tráfico para la entrada de vlan700 en el puerto de acceso configurado en xe-0/0/0 en el conmutador 1, sale en el puerto de acceso xe-0/0/6 porque ese puerto es miembro de la misma VLAN. El tráfico de vlan700 no se reenvía al conmutador 2 (aunque xe-0/0/6 del conmutador 2 sea miembro de vlan700) porque el troncal PVLAN de xe-0/0/1 no lleva esta VLAN.
Entrada de tráfico en el puerto de acceso promiscuo
Para este caso de uso, suponga que tiene dos conmutadores configurados con los mismos puertos y VLAN que en el caso de uso anterior, excepto que xe-0/0/0 en el conmutador 1 está configurado como un puerto de acceso promiscuo y es miembro de pvlan100. Figura 14 muestra esta topología y cómo fluiría el tráfico sin etiquetar después de ingresar a través de esta interfaz en el conmutador 1.
Como muestra la figura, el tráfico sin etiquetar que ingresa en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios que son miembros de la misma VLAN principal de la que pertenece el puerto de acceso promiscuo. El tráfico se desetiqueta cuando sale de los puertos de acceso y se etiqueta al salir de un puerto troncal (xe-0/0/2 en el conmutador 2).
Usar la autenticación 802.1X y VLAN privadas juntas en la misma interfaz
- Descripción del uso conjunto de la autenticación 802.1X y PVLAN en la misma interfaz
- Directrices de configuración para combinar la autenticación 802.1X con PVLAN
- Ejemplo: Configuración de la autenticación 802.1X con VLAN privadas en una configuración
Descripción del uso conjunto de la autenticación 802.1X y PVLAN en la misma interfaz
Ahora puede configurar la autenticación 802.1X y VLAN privadas (PVLAN) en la misma interfaz.
La autenticación IEEE 802.1X proporciona seguridad en el borde de la red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del solicitante se presenten y coincidan en el authentication server (un servidor RADIUS).
Las VLAN privadas (PVLAN) proporcionan aislamiento de capa 2 entre puertos dentro de una VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLAN secundarias. Las PVLAN son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos.
En un conmutador configurado con autenticación 802.1X y PVLAN, cuando se conecta un nuevo dispositivo a la red PVLAN, el dispositivo se autentica y, a continuación, se asigna a una VLAN secundaria según la configuración de PVLAN o el perfil RADIUS. A continuación, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.
Este documento no proporciona información detallada acerca de la autenticación 802.1X o las VLAN privadas. Para obtener más información, consulte la documentación de características específica de esas características individuales. Para 802.1X, consulte la Guía del usuario de acceso y autenticación de usuarios. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.
Directrices de configuración para combinar la autenticación 802.1X con PVLAN
Tenga en cuenta las siguientes directrices y limitaciones para configurar estas dos características en la misma interfaz:
No puede configurar una interfaz habilitada para 802.1X como una interfaz promiscua (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz de vínculo de interconmutación (ISL).
No se pueden autenticar varios usuarios en VLAN diferentes que pertenezcan al mismo dominio PVLAN en una interfaz lógica; por ejemplo, si la interfaz ge-0/0/0 está configurada como
supplicant multipley los clientes C1 y C2 se autentican y se agregan a VLAN dinámicas V1 y V2, respectivamente, V1 y V2 deben pertenecer a dominios PVLAN diferentes.Si la VLAN de VoIP y la VLAN de datos son diferentes, esas dos VLAN deben estar en dominios PVLAN diferentes.
Cuando se cambia la pertenencia a PVLAN (es decir, se reconfigura una interfaz en una PVLAN diferente), se debe volver a autenticar a los clientes.
Ejemplo: Configuración de la autenticación 802.1X con VLAN privadas en una configuración
- Requisitos
- Descripción general
- Configuración de la autenticación 802.1X con VLAN privadas en una configuración
- Verificación
Requisitos
Junos OS versión 18.2R1 o posterior
Conmutador EX2300, EX3400 o EX4300
Antes de comenzar, especifique el servidor o servidores RADIUS que se utilizarán como servidor de autenticación. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).
Descripción general
En la siguiente sección de configuración se muestra la configuración del perfil de acceso, la configuración de autenticación 802.1X y, por último, la configuración de VLAN (incluidas las PVLAN).
Configuración de la autenticación 802.1X con VLAN privadas en una configuración
Procedimiento
Configuración rápida de CLI
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Procedimiento paso a paso
Para configurar la autenticación 802.1X y las PVLAN en una sola configuración:
Configure el perfil de acceso:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
Nota:La VLAN VoIP configurada no puede ser una PVLAN (primaria, comunitaria o aislada).
Configure los ajustes del 802.1X:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
Nota:La VLAN de datos configurada también puede ser una VLAN de comunidad o una VLAN aislada.
Configure las VLAN (incluidas las PVLAN):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los siguientes show comandos en el conmutador. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Verificación
- Verifique que las direcciones MAC del cliente estén aprendidas en la VLAN principal
- Verificar que la VLAN principal sea una VLAN autenticada
Verifique que las direcciones MAC del cliente estén aprendidas en la VLAN principal
Propósito
Mostrar que se ha aprendido una dirección MAC de cliente en la VLAN principal.
Acción
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Verificar que la VLAN principal sea una VLAN autenticada
Propósito
Muestre que la VLAN principal se muestra como una VLAN autenticada.
Acción
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsPoner la seguridad del puerto de acceso en VLAN privadas
- Descripción de la seguridad de los puertos de acceso en PVLAN
- Directrices de configuración para instalar funciones de seguridad de puerto de acceso en PVLAN
- Ejemplo: Configuración de la seguridad del puerto de acceso en una PVLAN
Descripción de la seguridad de los puertos de acceso en PVLAN
Ahora puede habilitar las funciones de seguridad del puerto de acceso, como la supervisión de DHCP, en VLAN privadas (PVLAN).
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función PVLAN le permite dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN.
Las LAN Ethernet son vulnerables a ataques como la suplantación de direcciones (falsificación) y la denegación de servicio (DoS) de capa 2 en dispositivos de red. Las siguientes funciones de seguridad del puerto de acceso ayudan a proteger su dispositivo contra las pérdidas de información y productividad que pueden causar tales ataques, y ahora puede configurar estas funciones de seguridad en una PVLAN:
Espionaje DHCP: filtra y bloquea la entrada de mensajes del servidor DHCP en puertos que no son de confianza. El espionaje DHCP crea y mantiene una base de datos de información de concesión DHCP, que se denomina base de datos de espionaje DHCP.
Espionaje DHCPv6: espionaje DHCP para IPv6.
Opción 82 de DHCP: también conocida como opción Información del agente de retransmisión DHCP. Ayuda a proteger el conmutador contra ataques como la suplantación de direcciones IP y direcciones MAC y la inanición de direcciones IP DHCP. La opción 82 proporciona información acerca de la ubicación de red de un cliente DHCP. El servidor DHCP utiliza esta información para implementar direcciones IP u otros parámetros para el cliente.
Opciones de DHCPv6:
Opción 37: opción de ID remoto para DHCPv6; inserta información sobre la ubicación de red del host remoto en paquetes DHCPv6.
Opción 18: opción de ID de circuito para DHCPv6; inserta información sobre el puerto de cliente en paquetes DHCPv6.
Opción 16: opción de ID de proveedor para DHCPv6; inserta información sobre el proveedor del hardware cliente en paquetes DHCPv6.
Inspección ARP dinámica (DAI): evita los ataques de suplantación del Protocolo de resolución de direcciones (ARP). Las solicitudes y respuestas ARP se comparan con las entradas en la base de datos de espionaje DHCP, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones.
Protección de origen IP: mitiga los efectos de los ataques de suplantación de direcciones IP en la LAN Ethernet; valida la dirección IP de origen del paquete enviado desde una interfaz de acceso que no es de confianza con la base de datos de espionaje DHCP. Si el paquete no se puede validar, se descarta.
Protección de origen IPv6: protección de origen IP para IPv6.
Inspección de descubrimiento de vecinos IPv6: evita ataques de suplantación de direcciones IPv6; compara las solicitudes y respuestas de descubrimiento de vecinos con las entradas de la base de datos de espionaje DHCPv6, y las decisiones de filtrado se toman en función de los resultados de esas comparaciones.
Este documento no proporciona información detallada sobre las características de seguridad del puerto de acceso o PVLAN. Para obtener más información, consulte la documentación de características específica de esas características individuales. Para obtener información sobre la seguridad del puerto de acceso, consulte la Guía de administración de servicios de seguridad. Para PVLAN, consulte la Guía del usuario de conmutación Ethernet.
Directrices de configuración para instalar funciones de seguridad de puerto de acceso en PVLAN
Tenga en cuenta las siguientes directrices y limitaciones para configurar las funciones de seguridad del puerto de acceso en PVLAN:
Debe aplicar las mismas características de seguridad del puerto de acceso tanto en la VLAN principal como en todas sus VLAN secundarias.
Una PVLAN solo puede tener una interfaz de enrutamiento y puente integrados (IRB) y la interfaz IRB debe estar en la VLAN principal.
Las limitaciones en las configuraciones de seguridad del puerto de acceso en PVLAN son las mismas que para las configuraciones de características de seguridad del puerto de acceso que no están en PVLAN. Consulte la documentación de seguridad del puerto de acceso en Guía de administración de servicios de seguridad.
Ejemplo: Configuración de la seguridad del puerto de acceso en una PVLAN
- Requisitos
- Descripción general
- Configuración de la seguridad del puerto de acceso en una PVLAN
- Verificación
Requisitos
Junos OS versión 18.2R1 o posterior
Conmutador EX4300
Descripción general
Se muestra la siguiente sección de configuración:
Configuración de una VLAN privada con la VLAN principal (
vlan-pri) y sus tres VLAN secundarias: VLAN de comunidad (vlan-hryvlan-finance) y VLAN aislada (vlan-iso).Configuración de las interfaces que se utilizan para enviar comunicaciones entre las interfaces en esas VLAN.
Configuración de las funciones de seguridad de acceso en las VLAN principal y secundaria que componen la PVLAN.
Tabla 5 enumera la configuración de la topología de ejemplo.
| Interfaz | Description |
|---|---|
ge-0/0/0.0 |
Interfaz troncal VLAN principal (vlan1-pri) |
ge-0/0/11.0 |
Usuario 1, comunidad de recursos humanos (vlan-hr) |
ge-0/0/12.0 |
Usuario 2, Comunidad de recursos humanos (vlan-hr) |
ge-0/0/13.0 |
Usuario 3, Comunidad de finanzas (vlan-finance) |
GE-0/0/14.0 |
Usuario 4, Comunidad de finanzas (vlan-finance) |
ge-0/0/15.0 |
Servidor de correo, aislado (vlan-iso) |
GE-0/0/16.0 |
Servidor de copia de seguridad, aislado (vlan-iso) |
ge-1/0/0.0 |
Interfaz troncal VLAN principal (vlan-pri) |
Configuración de la seguridad del puerto de acceso en una PVLAN
Procedimiento
Configuración rápida de CLI
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Procedimiento paso a paso
Para configurar una VLAN privada (PVLAN) y, a continuación, configurar las características de seguridad del puerto de acceso en esa PVLAN:
Configure la PVLAN: cree la VLAN principal y sus VLAN secundarias y asígneles ID de VLAN. Asocie interfaces con las VLAN. (Para obtener más información sobre la configuración de VLAN, consulte Configuración de VLAN para conmutadores serie EX compatibles con ELS (procedimiento de CLI).)
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure las funciones de seguridad del puerto de acceso en la VLAN principal y en todas sus VLAN secundarias:
Nota:Cuando configure la inspección ARP, la protección de origen IP, la protección de origen IPv6, la inspección de descubrimiento de vecinos, la opción 82 de DHCP o las opciones DHCPv6, la supervisión de DHCP y la supervisión de DHCPv6 se configuran automáticamente.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los siguientes show comandos en el conmutador. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Verificación
Comprobar que las características de seguridad de acceso funcionan como se esperaba
Propósito
Compruebe que las funciones de seguridad del puerto de acceso que configuró en la PVLAN funcionan como se esperaba.
Acción
Utilice los comandos y show dhcp-security CLI clear dhcp-security para comprobar que las características funcionan como se esperaba. Consulte los detalles sobre estos comandos en la Guía de administración de servicios de seguridad.
Creación de una VLAN privada en un solo conmutador compatible con ELS (procedimiento de CLI)
Esta tarea utiliza Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador de la serie EX ejecuta software que no admite ELS, consulte Creación de una VLAN privada en un único conmutador de la serie EX (procedimiento de la CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las VLAN privadas no se admiten en conmutadores QFX5100 ni en conmutadores QFX10002 que ejecutan Junos OS versión 15.1X53.
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), esencialmente colocando una VLAN dentro de una VLAN. Este procedimiento describe cómo crear una PVLAN en un solo conmutador.
Debe especificar un ID de VLAN para cada VLAN secundaria, incluso si la PVLAN está configurada en un solo conmutador.
No es necesario preconfigurar la VLAN principal. En este tema se muestra la VLAN principal que se está configurando como parte de este procedimiento de configuración de PVLAN.
Para obtener una lista de directrices sobre la configuración de PVLAN, consulte Descripción de las VLAN privadas.
Para configurar una VLAN privada en un solo conmutador:
Crear una VLAN privada en un conmutador QFX único
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN en un solo conmutador.
Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal; se configura como parte de este procedimiento). No es necesario crear ID de VLAN (etiquetas) para las VLAN secundarias. No afecta el funcionamiento si etiqueta las VLAN secundarias, pero las etiquetas no se utilizan cuando las VLAN secundarias están configuradas en un solo conmutador.
Tenga en cuenta estas reglas al configurar una PVLAN:
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar una VLAN comunitaria, primero debe configurar la VLAN principal y el puerto troncal de PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .
Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada en un solo conmutador:
Creación de una VLAN privada en un solo conmutador de la serie EX (procedimiento de la CLI)
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores serie EX le permite dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. Al dividir la VLAN primaria en VLAN secundarias, esencialmente se anida una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN en un solo conmutador.
Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal). Aunque las etiquetas no son necesarias cuando se configura una VLAN secundaria en un solo conmutador, configurar una VLAN secundaria como etiquetada no afecta negativamente a su funcionalidad. Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores serie EX.
Tenga en cuenta estas reglas cuando configure una PVLAN en un solo conmutador:
La VLAN principal debe ser una VLAN etiquetada.
No se admite la configuración de una VLAN VoIP en interfaces PVLAN.
Para configurar una VLAN privada en un solo conmutador:
Las VLAN aisladas no se configuran como parte de este proceso. En su lugar, se crean internamente si no-local-switching está habilitada en la VLAN principal y la VLAN aislada tiene interfaces de acceso como miembros.
Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y comunitarias mediante una interfaz VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.
Solo un conmutador EX8200 o un chasis virtual EX8200 admiten el uso de una RVI para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias en un dominio PVLAN.
Creación de una VLAN privada que abarca varios conmutadores de la serie QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) le permite dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN secundaria dentro de una VLAN principal. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.
Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (No es necesario preconfigurar la VLAN principal; se configura como parte de este procedimiento). No es necesario crear ID de VLAN (etiquetas) para las VLAN secundarias. No afecta el funcionamiento si etiqueta las VLAN secundarias, pero las etiquetas no se utilizan cuando las VLAN secundarias están configuradas en un solo conmutador.
Las siguientes reglas se aplican a la creación de PVLAN:
La VLAN principal debe ser una VLAN etiquetada.
Si va a configurar una VLAN comunitaria, primero debe configurar la VLAN principal y el puerto troncal de PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .
Si va a configurar una VLAN aislada, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Si completa los pasos de configuración en el orden indicado, no infringirá estas reglas de PVLAN. Para configurar una VLAN privada para abarcar varios conmutadores:
Creación de una VLAN privada que abarca varios conmutadores de la serie EX con soporte para ELS (procedimiento de CLI)
Esta tarea utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS) Si el conmutador ejecuta software que no admite ELS, consulte Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las VLAN privadas no se admiten en conmutadores QFX5100 ni en conmutadores QFX10002 que ejecutan Junos OS versión 15.1X53.
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), esencialmente colocando una VLAN dentro de una VLAN. Este procedimiento describe cómo configurar una PVLAN para abarcar varios conmutadores.
Para obtener una lista de directrices sobre la configuración de PVLAN, consulte Descripción de las VLAN privadas.
Para configurar una PVLAN de modo que abarque varios conmutadores, realice el siguiente procedimiento en todos los conmutadores que participarán en la PVLAN:
Creación de una VLAN privada que abarca varios conmutadores de la serie EX (procedimiento de la CLI)
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores serie EX permite a un administrador dividir un dominio de difusión, también conocido como VLAN principal, en varios subdominios de difusión aislados, también conocidos como VLAN secundarias. Al dividir la VLAN primaria en VLAN secundarias, esencialmente se anida una VLAN dentro de otra VLAN. En este tema se describe cómo configurar una PVLAN para abarcar varios conmutadores.
Antes de comenzar, configure los nombres de todas las VLAN secundarias que formarán parte de la VLAN principal. (A diferencia de las VLAN secundarias, no es necesario preconfigurar la VLAN principal; este procedimiento proporciona la configuración completa de la VLAN principal). Para obtener instrucciones sobre cómo configurar las VLAN secundarias, consulte Configuración de VLAN para conmutadores serie EX.
Las siguientes reglas se aplican a la creación de PVLAN:
La VLAN principal debe ser una VLAN etiquetada.
Debe configurar la VLAN principal y el puerto troncal de PVLAN antes de configurar las VLAN secundarias.
No se admite la configuración de una VLAN VoIP en interfaces PVLAN.
Si el Protocolo de registro de varias VLAN (MVRP) está configurado en el puerto troncal PVLAN, la configuración de VLAN secundarias y el puerto troncal PVLAN deben confirmarse con la misma operación de confirmación.
Para configurar una VLAN privada para abarcar varios conmutadores:
Para habilitar opcionalmente el enrutamiento entre VLAN aisladas y comunitarias mediante una interfaz VLAN enrutada (RVI) en lugar de un puerto promiscuo conectado a un enrutador, consulte Configuración de una interfaz VLAN enrutada en una VLAN privada en un conmutador de la serie EX.
Solo un conmutador EX8200 o un chasis virtual EX8200 admiten el uso de una RVI para enrutar el tráfico de capa 3 entre VLAN aisladas y comunitarias en un dominio PVLAN.
Ejemplo: Configuración de una VLAN privada en un solo conmutador compatible con ELS
En este ejemplo se utiliza Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador EX ejecuta software que no admite ELS, consulte el ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las VLAN privadas no se admiten en conmutadores QFX5100 ni en conmutadores QFX10002 que ejecutan Junos OS versión 15.1X53.
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido o limitar la comunicación entre hosts conocidos. Las VLAN privadas (PVLAN) permiten dividir un dominio de difusión (VLAN principal) en varios subdominios de difusión aislados (VLAN secundarias), esencialmente colocando una VLAN dentro de una VLAN.
En este ejemplo se describe cómo crear una PVLAN en un solo conmutador:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador Junos OS
Junos OS versión 14.1X53-D10 o posterior para conmutadores serie EX
Junos OS versión 14.1X53-D15 o posterior para conmutadores serie QFX
Descripción general y topología
Puede aislar grupos de suscriptores para mejorar la seguridad y la eficiencia. Este ejemplo de configuración utiliza una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y tres VLAN secundarias (una VLAN aislada y dos VLAN de comunidad).
Tabla 6 enumera las interfaces de la topología utilizada en el ejemplo.
| Interfaz | Description |
|---|---|
|
Puertos miembros promiscuos |
|
Puertos de miembro de VLAN de la comunidad de recursos humanos |
|
Puertos miembro de VLAN de la comunidad financiera |
|
Puertos miembro aislados |
Tabla 7 enumera los identificadores de VLAN de la topología utilizada en el ejemplo.
| VLAN ID | Description |
|---|---|
|
VLAN principal |
|
VLAN de la comunidad de RRHH |
|
VLAN de la comunidad financiera |
|
VLAN aislada |
Figura 16 muestra la topología de este ejemplo.
Configuración
Puede utilizar una VLAN existente como base para su PVLAN privada y crear subdominios dentro de ella. En este ejemplo se crea una VLAN principal (utilizando el nombre vlan-pride VLAN) como parte del procedimiento.
Para configurar una PVLAN, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Procedimiento
Procedimiento paso a paso
Para configurar la PVLAN:
Cree la VLAN principal (en este ejemplo, el nombre es vlan-pri) de la VLAN privada:
[edit vlans] user@switch# set vlan-pri vlan-id 100
Cree una VLAN aislada y asígnele un ID de VLAN:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Cree la VLAN de la comunidad de recursos humanos y asígnele un ID de VLAN:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Cree la VLAN de la comunidad financiera y asígnele un ID de VLAN:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Asocie las VLAN secundarias con la VLAN principal:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Establezca las interfaces en los modos de interfaz adecuados:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Configure una interfaz troncal promiscua de la VLAN principal. La VLAN principal utiliza esta interfaz para comunicarse con las VLAN secundarias.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Configure otra interfaz troncal (también es una interfaz promiscua) de la VLAN principal, conectando la PVLAN al enrutador.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Ejemplo: Configuración de una VLAN privada en un único conmutador de la serie QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN.
En este ejemplo se describe cómo crear una PVLAN en un solo conmutador:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo QFX3500
Junos OS versión 12.1 o posterior para la serie QFX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RRHH y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y otro para el servidor de copia de seguridad.
Tabla 8 enumera la configuración de la topología de ejemplo.
| Interfaz | Description |
|---|---|
|
Interfaz troncal VLAN principal ( |
|
Usuario 1, Comunidad de RRHH ( |
|
Usuario 2, Comunidad de RRHH ( |
|
Usuario 3, Comunidad Financiera ( |
|
Usuario 4, Comunidad Financiera ( |
|
Servidor de correo, aislado ( |
|
Servidor de copia de seguridad, aislado ( |
|
Interfaz troncal VLAN principal ( |
Configuración
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar la PVLAN:
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan vlan-id 100
Establezca las interfaces y los modos de puerto:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Configure la VLAN principal para que no tenga conmutación local:
Nota:La VLAN principal debe ser una VLAN etiquetada.
[edit vlans] user@switch# set pvlan100 pvlan
Agregue las interfaces troncales a la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Para cada VLAN secundaria, configure las interfaces de acceso:
Nota:Se recomienda que las VLAN secundarias sean VLAN sin etiquetar. No afecta el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN de comunidad, establezca la VLAN principal:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Configure las interfaces aisladas en la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificar que se crearon la VLAN privada y las VLAN secundarias
Propósito
Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador.
Acción
Utilice el show vlans comando:
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
El resultado muestra que se creó la VLAN primaria e identifica las interfaces y las VLAN secundarias asociadas a ella.
Ejemplo: Configuración de una VLAN privada en un solo conmutador de la serie EX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislados, lo que esencialmente coloca una VLAN dentro de una VLAN.
En este ejemplo se describe cómo crear una PVLAN en un único conmutador de la serie EX:
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX
Junos OS versión 9.3 o posterior para conmutadores serie EX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN para conmutadores serie EX.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra una topología sencilla para ilustrar cómo crear una PVLAN con una VLAN principal y dos VLAN de comunidad, una para RRHH y otra para finanzas, así como dos puertos aislados: uno para el servidor de correo y otro para el servidor de copia de seguridad.
Tabla 9 enumera la configuración de la topología de ejemplo.
| Interfaz | Description |
|---|---|
ge-0/0/0.0 |
Interfaz troncal VLAN principal (vlan1) |
ge-0/0/11.0 |
Usuario 1, Comunidad de RRHH (hr-comm) |
ge-0/0/12.0 |
Usuario 2, Comunidad de RRHH (hr-comm) |
ge-0/0/13.0 |
Usuario 3, Comunidad Financiera (finance-comm) |
ge-0/0/14.0 |
Usuario 4, Comunidad Financiera (finance-comm) |
ge-0/0/15.0 |
Servidor de correo, aislado (isolated) |
ge-0/0/16.0 |
Servidor de copia de seguridad, aislado (isolated) |
ge-1/0/0.0 |
Interfaz troncal VLAN principal ( pvlan) |
Figura 17 muestra la topología de este ejemplo.
Configuración
Para configurar una PVLAN, realice estas tareas:
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Procedimiento
Procedimiento paso a paso
Para configurar la PVLAN:
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Establezca las interfaces y los modos de puerto:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Configure la VLAN principal para que no tenga conmutación local:
Nota:La VLAN principal debe ser una VLAN etiquetada.
[edit vlans] user@switch# set vlan1 no-local-switching
Agregue las interfaces troncales a la VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Para cada VLAN secundaria, configure los ID de VLAN y las interfaces de acceso:
Nota:Se recomienda que las VLAN secundarias sean VLAN sin etiquetar. No afecta el funcionamiento si etiqueta las VLAN secundarias. Sin embargo, las etiquetas no se utilizan cuando se configura una VLAN secundaria en un solo conmutador.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Para cada VLAN de comunidad, establezca la VLAN principal:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Agregue cada interfaz aislada a la VLAN principal:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificar que se crearon la VLAN privada y las VLAN secundarias
Propósito
Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador.
Acción
Utilice el show vlans comando:
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkSignificado
El resultado muestra que se creó la VLAN primaria e identifica las interfaces y las VLAN secundarias asociadas a ella.
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores QFX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.
En este ejemplo se describe cómo crear una PVLAN que abarque varios conmutadores. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias:
- Requisitos
- Descripción general y topología
- Configuración de una PVLAN en el conmutador 1
- Configuración de una PVLAN en el conmutador 2
- Configuración de una PVLAN en el conmutador 3
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres dispositivos QFX3500
Junos OS versión 12.1 o posterior para la serie QFX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN en conmutadores.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear una PVLAN que abarca varios dispositivos QFX, con una VLAN principal que contiene dos VLAN de comunidad (una para RRHH y otra para finanzas) y una VLAN aislada de interconmutador (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.
Los puertos aislados en el conmutador 1 y en el conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadas.
Figura 18 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) al enrutador.
Tabla 10, Tabla 11y Tabla 12 enumere la configuración de la topología de ejemplo.
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 1 al conmutador 3 ge-0/0/5.0, conecta el conmutador 1 al conmutador 2 |
Interfaces aisladas en VLAN primaria |
ge-0/0/15.0, servidor de correo ge-0/0/16.0, servidor de copia de seguridad |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 2 al conmutador 3 ge-0/0/5.0, conecta el conmutador 2 al conmutador 1 |
Interfaz aislada en VLAN primaria |
ge-0/0/17.0, servidor CVS |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-vlan-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 3 al conmutador 1 ge-0/0/1.0, conecta el conmutador 3 al conmutador 2 |
Puerto promiscuo |
ge-0/0/2, conecta la PVLAN al enrutador Nota:
Debe configurar el puerto troncal que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo. |
Topología
Configuración de una PVLAN en el conmutador 1
Al configurar una PVLAN en varios conmutadores, se aplican estas reglas:
La VLAN principal debe ser una VLAN etiquetada. Le recomendamos que configure primero la VLAN principal.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto troncal de PVLAN. También debe configurar la VLAN principal para que sea privada mediante la instrucción pvlan .
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Procedimiento
Procedimiento paso a paso
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Configure las interfaces troncales de PVLAN para conectar esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure la VLAN principal para que sea privada y no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 pvlan
Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID aislado del interconmutador para crear un dominio aislado del interconmutador que abarque los conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Configure las interfaces aisladas en la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Nota:Cuando configure un puerto aislado, inclúyalo como miembro de la VLAN principal, pero no lo configure como miembro de ninguna VLAN de comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Configuración de una PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la del conmutador 1, excepto por la interfaz en el dominio aislado del interconmutador. Para el conmutador 2, la interfaz es ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar una PVLAN en el conmutador 2 que abarque varios conmutadores:
Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:
[edit vlans] user@switch# set finance-comm vlan-id 300
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.
[edit vlans] user@switch# set hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure la VLAN principal para que sea privada y no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 pvlan
Establezca el ID aislado del interconmutador para crear un dominio aislado del interconmutador que abarque los conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Configure la interfaz aislada en la VLAN principal:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Configuración de una PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 para que funcione como conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:
La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Procedimiento
Procedimiento paso a paso
Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:
Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores:
[edit vlans] user@switch# set hr-comm vlan-id 400
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure la VLAN principal para que sea privada y no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 pvlan
Establezca el ID aislado del interconmutador para crear un dominio aislado del interconmutador que abarque los conmutadores:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Nota:Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los campos pvlan-troncal y entre conmutadores aislados indica que esta PVLAN abarca más de un conmutador.
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 2 e incluye una VLAN aislada, dos VLAN comunitarias y una VLAN aislada del interconmutador. La presencia de los campos pvlan-troncal y entre conmutadores aislados indica que esta PVLAN abarca más de un conmutador. Al comparar esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de comunidad y una VLAN aislada del interconmutador. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso dentro de la PVLAN. Solo muestra las interfaces que se conectan pvlan100 desde el pvlan-trunk conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) en la misma PVLAN.
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores con una interfaz IRB
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función VLAN privada (PVLAN) permite a un administrador dividir un dominio de difusión en varios subdominios de difusión aislados, esencialmente colocando una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores. En este ejemplo se describe cómo crear una PVLAN que abarque varios conmutadores. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias.
Al igual que las VLAN normales, las PVLAN se aíslan en la capa 2 y normalmente requieren que se utilice un dispositivo de capa 3 si desea enrutar el tráfico. A partir de Junos OS 14.1X53-D30, puede utilizar una interfaz integrada de enrutamiento y puente (IRB) para enrutar el tráfico de capa 3 entre dispositivos conectados a una PVLAN. El uso de una interfaz IRB de esta manera también puede permitir que los dispositivos en la PVLAN se comuniquen en la capa 3 con dispositivos en otras VLAN comunitarias o aisladas o con dispositivos fuera de la PVLAN. En este ejemplo también se muestra cómo incluir una interfaz IRB en una configuración PVLAN.
- Requisitos
- Descripción general y topología
- Descripción general de la configuración
- Configuración de una PVLAN en el conmutador 1
- Configuración de una PVLAN en el conmutador 2
- Configuración de una PVLAN en el conmutador 3
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres conmutadores serie QFX o EX4600
Versión de Junos OS con PVLAN para la serie QFX o EX4600
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear una PVLAN que abarca varios conmutadores, con una VLAN principal que contiene dos VLAN de comunidad (una para RRHH y otra para finanzas) y una VLAN aislada de interconmutador (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores: dos conmutadores de acceso y un conmutador de distribución. Los dispositivos de la PVLAN se conectan en la capa 3 entre sí y con dispositivos fuera de la PVLAN a través de una interfaz IRB configurada en el conmutador de distribución.
Los puertos aislados en el conmutador 1 y en el conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadas.
Figura 19 muestra la topología de este ejemplo.
Tabla 13, Tabla 14y Tabla 15 enumere la configuración de la topología de ejemplo.
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
|
Interfaces de vínculo de interconmutador |
|
Interfaces aisladas en VLAN primaria |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
|
Interfaces de vínculo de interconmutador |
|
Interfaz aislada en VLAN primaria |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
|
Interfaces de vínculo de interconmutador |
|
Puerto promiscuo |
Nota:
Debe configurar el puerto troncal que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo. |
Interfaz IRB |
Configure ARP de proxy no restringido en la interfaz IRB para permitir que se produzca la resolución ARP, de modo que los dispositivos que usan IPv4 puedan comunicarse en la capa 3. Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP. |
Topología
Descripción general de la configuración
Al configurar una PVLAN en varios conmutadores, se aplican las siguientes reglas:
La VLAN principal debe ser una VLAN etiquetada.
La VLAN principal es la única VLAN que puede ser miembro de una interfaz de vínculo de interconmutador.
Al configurar una interfaz IRB en una PVLAN, se aplican estas reglas:
Solo puede crear una interfaz IRB en una PVLAN, sin importar cuántos conmutadores participen en la PVLAN.
La interfaz IRB debe ser miembro de la VLAN principal en la PVLAN.
Cada dispositivo host que desee conectar en la capa 3 debe utilizar una dirección IP del IRB como dirección de puerta de enlace predeterminada.
Configuración de una PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente una PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Procedimiento
Procedimiento paso a paso
Configure la interfaz xe-0/0/0 para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/0 para que sea un vínculo de interconmutador que incluya todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/5 para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/5 para que sea un vínculo de interconmutador que contenga todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Cree la VLAN de la comunidad para la organización financiera:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Cree la VLAN de la comunidad para la organización de recursos humanos:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Cree la VLAN aislada para los servidores de correo y copia de seguridad:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure la VLAN 300 (la VLAN de una comunidad) para que sea miembro de la interfaz xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 300 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuración de una PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la del conmutador 1, excepto por la VLAN aislada. Para el conmutador 2, la interfaz VLAN aislada es xe-0/0/17.0 .
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Procedimiento
Procedimiento paso a paso
Configure la interfaz xe-0/0/0 para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/0 para que sea un vínculo de interconmutador que incluya todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/5 para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/5 para que sea un vínculo de interconmutador que contenga todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Cree la VLAN de la comunidad para la organización financiera:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Cree la VLAN de la comunidad para la organización de recursos humanos:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Cree la VLAN aislada para los servidores de correo y copia de seguridad:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Cree la VLAN principal y haga que la comunidad y las VLAN aisladas sean miembros de ella:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Configure la VLAN 300 (la VLAN de una comunidad) para que sea miembro de la interfaz xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 300 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 400 (una VLAN de comunidad) para que sea miembro de la interfaz xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Configure la VLAN 50 (la VLAN aislada) para que sea miembro de la interfaz xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Configuración de una PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 para que funcione como conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:
La interfaz xe-0/0/2.0 es un puerto troncal que conecta la PVLAN a otra red.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Procedimiento
Procedimiento paso a paso
Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:
Configure la interfaz xe-0/0/0 para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/0 para que sea un vínculo de interconmutador que incluya todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 (la VLAN principal) para que sea miembro de la interfaz xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/5 para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz xe-0/0/5 para que sea un vínculo de interconmutador que contenga todas las VLAN:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Configure pvlan100 para que sea miembro de la interfaz xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Configure la interfaz xe-0/0/2 (la interfaz promiscua) para que sea un troncal:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Configure pvlan100 para que sea miembro de la interfaz xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Cree la VLAN principal:
[edit vlans] set vlans pvlan100 vlan-id 100
Cree la interfaz
irbIRB y asígnele una dirección en la subred utilizada por los dispositivos conectados a los conmutadores 1 y 2:[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
Nota:Cada dispositivo host que desee conectar en la capa 3 debe estar en la misma subred que la interfaz IRB y utilizar la dirección IP de la interfaz IRB como dirección de puerta de enlace predeterminada.
Complete la configuración de la interfaz IRB enlazando la interfaz a la VLAN
pvlan100principal:[edit vlans] set pvlan100 l3-interface irb.100
Configure un ARP de proxy sin restricciones para cada unidad de la interfaz IRB, de modo que la resolución ARP funcione para el tráfico IPv4:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
Nota:Dado que los dispositivos de la comunidad y las VLAN aisladas se aíslan en la capa 2, este paso es necesario para permitir que se produzca la resolución ARP entre las VLAN, de modo que los dispositivos que utilizan IPv4 puedan comunicarse en la capa 3. (Para el tráfico IPv6, debe asignar explícitamente una dirección IRB a la dirección de destino para permitir la resolución ARP).
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los campos troncal y aislado entre conmutadores indica que esta PVLAN abarca más de un conmutador.
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 2 e incluye una VLAN aislada, dos VLAN comunitarias y una VLAN aislada del interconmutador. La presencia de los campos troncal y aislado entre conmutadores indica que esta PVLAN abarca más de un conmutador. Al comparar esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que no incluye VLAN aisladas, dos VLAN de comunidad y una VLAN aislada del interconmutador. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso dentro de la PVLAN. Solo muestra las interfaces troncales que se conectan pvlan100 desde el conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) en la misma PVLAN.
Ejemplo: Configuración de una VLAN privada que abarca varios conmutadores de la serie EX
Por razones de seguridad, a menudo es útil restringir el flujo de tráfico de difusión y unidifusión desconocido e incluso limitar la comunicación entre hosts conocidos. La función de VLAN privada (PVLAN) de los conmutadores de la serie EX permite al administrador dividir un dominio de difusión en varios subdominios de difusión aislados, lo que esencialmente coloca una VLAN dentro de una VLAN. Una PVLAN puede abarcar varios conmutadores.
En este ejemplo se describe cómo crear una PVLAN que abarque varios conmutadores de la serie EX. En el ejemplo se crea una PVLAN principal que contiene varias VLAN secundarias:
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
- Requisitos
- Descripción general y topología
- Configuración de una PVLAN en el conmutador 1
- Configuración de una PVLAN en el conmutador 2
- Configuración de una PVLAN en el conmutador 3
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres conmutadores de la serie EX
Junos OS versión 10.4 o posterior para conmutadores serie EX
Antes de comenzar a configurar una PVLAN, asegúrese de haber creado y configurado las VLAN necesarias. Consulte Configuración de VLAN para conmutadores serie EX.
Descripción general y topología
En una oficina grande con varios edificios y VLAN, es posible que deba aislar algunos grupos de trabajo u otros puntos de conexión por motivos de seguridad o para particionar el dominio de difusión. Este ejemplo de configuración muestra cómo crear una PVLAN que abarca varios conmutadores de la serie EX, con una VLAN principal que contiene dos VLAN de comunidad (una para RRHH y otra para finanzas) y una VLAN aislada de interconmutador (para el servidor de correo, el servidor de copia de seguridad y el servidor CVS). La PVLAN consta de tres conmutadores, dos conmutadores de acceso y un conmutador de distribución. La PVLAN se conecta a un enrutador a través de un puerto promiscuo, que se configura en el conmutador de distribución.
Los puertos aislados en el conmutador 1 y en el conmutador 2 no tienen conectividad de capa 2 entre sí, aunque estén incluidos dentro del mismo dominio. Consulte Descripción de las VLAN privadas.
Figura 20 muestra la topología de este ejemplo: dos conmutadores de acceso que se conectan a un conmutador de distribución, que tiene una conexión (a través de un puerto promiscuo) al enrutador.
Tabla 16, Tabla 17y Tabla 18 enumere la configuración de la topología de ejemplo.
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 1 al conmutador 3 ge-0/0/5.0, conecta el conmutador 1 al conmutador 2 |
Interfaces en VLAN isolation |
ge-0/0/15.0, Servidor de correo ge-0/0/16.0, Servidor de copia de seguridad |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 2 al conmutador 3 ge-0/0/5.0, conecta el conmutador 2 al conmutador 1 |
Interfaces en VLAN isolation |
ge-0/0/17.0,servidor CVS |
Interfaces en VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Interfaces en VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Propiedad | Configuraciones |
|---|---|
Nombres VLAN e ID de etiqueta |
primary-vlanetiqueta 100 isolation-idetiqueta 50finance-commetiqueta 300hr-commetiqueta 400 |
Interfaces troncales PVLAN |
ge-0/0/0.0, conecta el conmutador 3 al conmutador 1 ge-0/0/1.0, conecta el conmutador 3 al conmutador 2 |
Puerto promiscuo |
ge-0/0/2, Conecta la PVLAN al enrutador Nota:
Debe configurar el puerto troncal que conecta la PVLAN a otro conmutador o enrutador fuera de la PVLAN como miembro de la PVLAN, lo que implícitamente la configura como un puerto promiscuo. |
Topología
Configuración de una PVLAN en el conmutador 1
Configuración rápida de CLI
Al configurar una PVLAN en varios conmutadores, se aplican estas reglas:
La VLAN principal debe ser una VLAN etiquetada. Le recomendamos que configure primero la VLAN principal.
No se admite la configuración de una VLAN de voz sobre IP (VoIP) en interfaces PVLAN.
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Las VLAN secundarias y el puerto troncal de PVLAN deben confirmarse en una sola confirmación si MVRP está configurado en el puerto troncal de PVLAN.
Para crear y configurar rápidamente una PVLAN que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 1:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimiento
Procedimiento paso a paso
Complete los pasos de configuración siguientes en el orden que se muestra; además, complete todos los pasos antes de confirmar la configuración en una sola confirmación. Esta es la forma más fácil de evitar los mensajes de error desencadenados por la violación de cualquiera de estas tres reglas:
Si va a configurar un ID de VLAN de comunidad, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal y el puerto troncal de PVLAN.
Las VLAN secundarias y un troncal PVLAN deben confirmarse en una sola confirmación.
Para configurar una PVLAN en el conmutador 1 que abarcará varios conmutadores:
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure la VLAN principal para que no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Configuración de una PVLAN en el conmutador 2
Configuración rápida de CLI
Para crear y configurar rápidamente una VLAN privada que abarque varios conmutadores, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 2:
La configuración del conmutador 2 es la misma que la del conmutador 1, excepto por la interfaz en el dominio aislado entre conmutadores. Para el conmutador 2, la interfaz es ge-0/0/17.0.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimiento
Procedimiento paso a paso
Para configurar una PVLAN en el conmutador 2 que abarque varios conmutadores:
Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Configure las interfaces de acceso para la finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores.
[edit vlans] user@switch# hr-comm vlan-id 400
Configure las interfaces de acceso para la hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure la VLAN principal para que no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Configuración de una PVLAN en el conmutador 3
Configuración rápida de CLI
Para configurar rápidamente el conmutador 3 para que funcione como conmutador de distribución de esta PVLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador 3:
La interfaz ge-0/0/2.0 es un puerto troncal que conecta la PVLAN a un enrutador.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Procedimiento
Procedimiento paso a paso
Para configurar el conmutador 3 para que funcione como conmutador de distribución para esta PVLAN, utilice el siguiente procedimiento:
Establezca el ID de VLAN para la finance-comm VLAN de comunidad que abarca los conmutadores:
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca la VLAN principal de esta VLAN de comunidad secundaria, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN de la comunidad de recursos humanos que abarca los conmutadores:
[edit vlans] user@switch# hr-comm vlan-id 400
Establezca la VLAN principal de esta VLAN de comunidad secundaria, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Establezca el ID de VLAN para la VLAN principal:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Establezca las interfaces troncales de PVLAN que conectarán esta VLAN a través de conmutadores vecinos:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Configure la VLAN principal para que no tenga conmutación local:
[edit vlans] user@switch# set pvlan100 no-local-switching
Establezca el ID aislado entre conmutadores para crear un dominio aislado entre conmutadores que abarque los conmutadores:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Nota:Para configurar un puerto aislado, inclúyalo como uno de los miembros de la VLAN principal, pero no lo configure como perteneciente a una de las VLAN de la comunidad.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
- Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 1
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 1:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que esta PVLAN abarca más de un conmutador.
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 2
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 2:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que se creó una PVLAN en el conmutador 1 y muestra que incluye dos VLAN aisladas, dos VLAN de comunidad y una VLAN aislada de interconmutador. La presencia de los pvlan-trunk campos y Inter-switch-isolated indica que se trata de una PVLAN que abarca más de un conmutador. Al comparar esta salida con la salida del conmutador 1, puede ver que ambos conmutadores pertenecen a la misma PVLAN (pvlan100).
Verificar que la VLAN principal y las VLAN secundarias se crearon en el conmutador 3
Propósito
Verifique que la configuración de PVLAN que abarca varios conmutadores funcione correctamente en el conmutador 3:
Acción
Utilice el show vlans extensive comando:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Significado
El resultado muestra que la PVLAN (pvlan100) está configurada en el conmutador 3 y que incluye dos VLAN aisladas, dos VLAN comunitarias y una VLAN aislada del interconmutador. Pero el conmutador 3 funciona como un conmutador de distribución, por lo que el resultado no incluye interfaces de acceso dentro de la PVLAN. Solo muestra las interfaces que se conectan pvlan100 desde el pvlan-trunk conmutador 3 a los demás conmutadores (conmutador 1 y conmutador 2) en la misma PVLAN.
Ejemplo: Configuración de PVLAN con puertos troncales VLAN secundarios y puertos de acceso promiscuo en un conmutador serie QFX
En este ejemplo se muestra cómo configurar puertos de troncalización de VLAN secundaria y puertos de acceso promiscuo como parte de una configuración de VLAN privada. Los puertos troncales de VLAN secundaria transportan tráfico VLAN secundario.
En este ejemplo se utiliza Junos OS para conmutadores que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI mejorada de software de capa 2.
Para una VLAN privada determinada, un puerto troncal de VLAN secundario puede transportar tráfico solo para una VLAN secundaria. Sin embargo, un puerto de troncalización de VLAN secundaria puede transportar tráfico para varias VLAN secundarias siempre que cada VLAN secundaria sea miembro de una VLAN privada (primaria) diferente. Por ejemplo, un puerto troncal de VLAN secundario puede transportar tráfico para una VLAN comunitaria que forma parte de la VLAN principal pvlan100 y también transportar tráfico para una VLAN aislada que forma parte de la VLAN principal pvlan400.
Para configurar un puerto troncal para transportar tráfico VLAN secundario, utilice las instrucciones aisladas y interface , como se muestra en los pasos 12 y 13 en la configuración de ejemplo para el conmutador 1.
Cuando el tráfico sale de un puerto troncal de VLAN secundario, normalmente lleva la etiqueta de la VLAN principal a la que pertenece el puerto secundario. Si desea que el tráfico que sale de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la instrucción extend-secondary-vlan-id .
Un puerto de acceso promiscuo transporta tráfico sin etiquetar y solo puede ser miembro de una VLAN principal. El tráfico que entra en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal a la que pertenece el puerto de acceso promiscuo. Este tráfico lleva las etiquetas VLAN secundarias apropiadas cuando sale de los puertos VLAN secundarios si el puerto VLAN secundario es un puerto de troncalización.
Para configurar un puerto de acceso para que sea promiscuo, utilice la instrucción promiscua , como se muestra en el paso 12 de la configuración de ejemplo para el conmutador 2.
Si el tráfico ingresa en un puerto VLAN secundario y sale en un puerto de acceso promiscuo, el tráfico se desetiqueta al salir. Si el tráfico etiquetado ingresa en un puerto de acceso promiscuo, el tráfico se descarta.
- Requisitos
- Descripción general y topología
- Configuración de las PVLAN en el conmutador 1
- Configuración de las PVLAN en el conmutador 2
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos dispositivos QFX
Junos OS versión 12.2 o posterior para la serie QFX
Descripción general y topología
Figura 21muestra la topología utilizada en este ejemplo. El conmutador 1 incluye varias VLAN privadas primarias y secundarias, y también incluye dos puertos troncales VLAN secundarios configurados para transportar VLAN secundarias que son miembros de las VLAN principales pvlan100 y pvlan400.
El conmutador 2 incluye las mismas VLAN privadas. La figura muestra xe-0/0/0 en el conmutador 2 configurado con puertos de acceso promiscuos o puertos troncales promiscuos. La configuración de ejemplo incluida aquí configura este puerto como un puerto de acceso promiscuo.
La figura también muestra cómo fluiría el tráfico después de ingresar en los puertos troncales de VLAN secundaria en el conmutador 1.
Tabla 19 y Tabla 20 enumere la configuración de la topología de ejemplo en ambos conmutadores.
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN comunitaria, miembro de pvlan100 |
comm600, ID 600 |
VLAN comunitaria, miembro de pvlan400 |
isolation-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
isolation–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto troncal VLAN secundario para VLAN primarias pvlan100 y pvlan400 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN principales PVLAN100 y PVLAN400 |
xe-0/0/2.0 |
Puerto de acceso aislado para pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto troncal comunitario para comm600 |
| Componente | Description |
|---|---|
pvlan100, ID 100 |
VLAN principal |
pvlan400, ID 400 |
VLAN principal |
comm300, ID 300 |
VLAN comunitaria, miembro de pvlan100 |
comm600, ID 600 |
VLAN comunitaria, miembro de pvlan400 |
isolation-vlan-id 200 |
ID de VLAN para VLAN aislada, miembro de pvlan100 |
isolation–vlan-id 500 |
ID de VLAN para VLAN aislada, miembro de pvlan400 |
xe-0/0/0.0 |
Puerto de acceso promiscuo para VLAN principales pvlan100 |
xe-0/0/1.0 |
Puerto troncal PVLAN para VLAN principales PVLAN100 y PVLAN400 |
xe-0/0/2.0 |
Puerto troncal secundario para VLAN aislada, miembro de pvlan100 |
xe-0/0/3.0 |
Puerto de acceso comunitario para comm300 |
xe-0/0/5.0 |
Puerto de acceso aislado para pvlan400 |
xe-0/0/6.0 |
Puerto de acceso comunitario para comm600 |
Configuración de las PVLAN en el conmutador 1
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 1, copie los siguientes comandos y péguelos en una ventana de terminal de conmutador:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos troncales de VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Nota:Las VLAN principales siempre deben etiquetarse como VLAN, incluso si existen en un solo dispositivo.
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto troncal PVLAN para transportar el tráfico de VLAN privada entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree una VLAN secundaria comm300 con ID de VLAN 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree un comm600 de VLAN secundario con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Configure las VLAN aisladas del interconmutador:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Nota:Cuando configure un puerto troncal de VLAN secundario para transportar una VLAN aislada, también debe configurar un isolation-vlan-id. Esto es cierto incluso si la VLAN aislada solo existe en un conmutador.
Habilite el puerto troncal xe-0/0/0 para transportar VLAN secundarias para las VLAN principales:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Configure el puerto troncal xe-0/0/0 para transportar comm600 (miembro de pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Nota:No es necesario configurar explícitamente xe-0/0/0 para transportar el tráfico VLAN aislado (etiquetas 200 y 500), ya que todos los puertos aislados de pvlan100 y pvlan400, incluidos xe-0/0/0.0, se incluyen automáticamente en las VLAN aisladas creadas al configurar
isolation-vlan-id 200yisolation-vlan-id 500.Configure xe-0/0/2 y xe-0/0/6 para que se aíslen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Configuración de las PVLAN en el conmutador 2
La configuración del conmutador 2 es casi idéntica a la del conmutador 1. La diferencia más significativa es que xe-0/0/0 en el conmutador 2 está configurado como un puerto troncal promiscuo o un puerto de acceso promiscuo, como Figura 21 se muestra. En la siguiente configuración, xe-0/0/0 se configura como un puerto de acceso promiscuo para la VLAN principal pvlan100.
Si el tráfico ingresa en el puerto habilitado para VLAN y sale en un puerto de acceso promiscuo, las etiquetas VLAN se eliminan al salir y el tráfico se desetiqueta en ese punto. Por ejemplo, el tráfico para comm600 ingresa en el puerto troncal de VLAN secundario configurado en xe-0/0/0.0 en el conmutador 1 y lleva la etiqueta 600 a medida que se reenvía a través de la VLAN secundaria. Cuando salga de xe-0/0/0.0 en el conmutador 2, se desetiquetará si configura xe-0/0/0.0 como puerto de acceso promiscuo, como se muestra en este ejemplo. Si, en cambio, configura xe-0/0/0.0 como un puerto troncal promiscuo (troncal en modo de puerto), el tráfico de comm600 lleva su etiqueta VLAN principal (400) cuando sale.
Configuración rápida de CLI
Para crear y configurar rápidamente las PVLAN en el conmutador 2, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Procedimiento
Procedimiento paso a paso
Para configurar las VLAN privadas y los puertos troncales de VLAN secundarios:
Configure las interfaces y los modos de puerto:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Cree las VLAN principales:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Configure las VLAN principales para que sean privadas:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Configure el puerto troncal PVLAN para transportar el tráfico de VLAN privada entre los conmutadores:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Cree una VLAN secundaria comm300 con ID de VLAN 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Configure la VLAN principal para comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Configure la interfaz para comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Cree un comm600 de VLAN secundario con ID de VLAN 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Configure la VLAN principal para comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Configure la interfaz para comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Configuración de las PVLAN en el conmutador 1
Configure las VLAN aisladas del interconmutador:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Configure el puerto de acceso xe-0/0/0 para que sea promiscuo para pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Nota:Un puerto de acceso promiscuo solo puede ser miembro de una VLAN principal.
Configure xe-0/0/2 y xe-0/0/6 para que se aíslen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Resultados
Compruebe los resultados de la configuración en el conmutador 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar que se crearon la VLAN privada y las VLAN secundarias
- Verificación de las entradas de la tabla de conmutación Ethernet
Verificar que se crearon la VLAN privada y las VLAN secundarias
Propósito
Verifique que la VLAN principal y las VLAN secundarias se crearon correctamente en el conmutador 1.
Acción
Utilice el show vlans comando:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Significado
El resultado muestra que se crearon las VLAN privadas e identifica las interfaces y las VLAN secundarias asociadas a ellas.
Verificación de las entradas de la tabla de conmutación Ethernet
Propósito
Verifique que las entradas de la tabla de conmutación Ethernet se crearon para la VLAN principal pvlan100.
Acción
Mostrar las entradas de la tabla de conmutación Ethernet para pvlan100.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Verificar que una VLAN privada esté funcionando en un conmutador
Propósito
Después de crear y configurar VLAN privadas (PVLAN), compruebe que estén configuradas correctamente.
Acción
Para determinar si creó correctamente las configuraciones de VLAN principal y secundaria:
Para una PVLAN en un solo conmutador, use el
show configuration vlanscomando:user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Para una PVLAN que abarca varios conmutadores, use el show vlans
extensivecomando:user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Utilice el comando para ver la información de la VLAN y el estado del
show vlansextensivevínculo de una PVLAN en un solo conmutador o de una PVLAN que abarca varios conmutadores.Para una PVLAN en un solo conmutador:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Para una PVLAN que abarca varios conmutadores:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Utilice el
show ethernet-switching tablecomando para ver los registros del aprendizaje de MAC en las VLAN:user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Si ha configurado una PVLAN que abarca varios conmutadores, puede utilizar el mismo comando en todos los conmutadores para comprobar los registros de aprendizaje MAC en esos conmutadores.
Significado
En las pantallas de salida de una PVLAN en un solo conmutador, puede ver que la VLAN principal contiene dos dominios de comunidad (community1 y community2), dos puertos aislados y dos puertos de troncalización. La PVLAN de un solo conmutador solo tiene una etiqueta (1000), que es para la VLAN principal.
La PVLAN que abarca varios conmutadores contiene varias etiquetas:
El dominio COM1 de la comunidad se identifica con la etiqueta 100.
El dominio community2 de la comunidad se identifica con la etiqueta 20.
El dominio aislado del interconmutador se identifica con la etiqueta 50.
La VLAN primary principal se identifica con la etiqueta 10.
Además, para la PVLAN que abarca varios conmutadores, las interfaces troncales se identifican como pvlan-trunk.
Resolución de problemas de VLAN privadas en conmutadores QFX
Utilice la siguiente información para solucionar problemas de configuración de una VLAN privada.
- Limitaciones de las VLAN privadas
- Reenvío con VLAN privadas
- Filtros de firewall de salida con VLAN privadas
- Duplicación de puertos de salida con VLAN privadas
Limitaciones de las VLAN privadas
Las siguientes restricciones se aplican a las configuraciones de VLAN privadas:
La supervisión IGMP no es compatible con VLAN privadas.
Las interfaces VLAN enrutadas no son compatibles con VLAN privadas
No se admite el enrutamiento entre VLAN secundarias en la misma VLAN principal.
Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, seguiría este procedimiento:
Cambie la VLAN principal para que sea una VLAN normal.
Confirme la configuración.
Cambie la VLAN normal para que sea una VLAN secundaria.
Confirme la configuración.
Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.
Reenvío con VLAN privadas
Problema
Description
Cuando se recibe tráfico etiquetado con VLAN aislada o VLAN comunitaria en un puerto troncal PVLAN, las direcciones MAC se aprenden de la VLAN principal. Esto significa que la salida del comando show ethernet-switching table muestra que las direcciones MAC se aprenden de la VLAN primaria y se replican en VLAN secundarias. Este comportamiento no tiene ningún efecto en las decisiones de reenvío.
Si se recibe un paquete con una etiqueta VLAN secundaria en un puerto promiscuo, se acepta y se reenvía.
Si se recibe un paquete en un puerto troncal PVLAN y cumple las dos condiciones que se enumeran a continuación, se descarta.
El paquete tiene una etiqueta VLAN de comunidad.
El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN aislada.
Si se recibe un paquete en un puerto troncal PVLAN y cumple las dos condiciones que se enumeran a continuación, se descarta.
El paquete tiene una etiqueta VLAN aislada.
El paquete está destinado a una dirección MAC de unidifusión o dirección MAC de grupo de multidifusión que se aprendió en una VLAN de comunidad.
Si un puerto VLAN secundario (aislado o comunitario) recibe un paquete con una etiqueta VLAN principal, el puerto secundario reenvía el paquete.
Si configura una VLAN de comunidad en un dispositivo y configura otra VLAN de comunidad en un segundo dispositivo y ambas VLAN de comunidad utilizan el mismo ID de VLAN, el tráfico de una de las VLAN se puede reenviar a la otra VLAN. Por ejemplo, supongamos la siguiente configuración:
La VLAN comunitaria comm1 en el conmutador 1 tiene el ID de VLAN 50 y es miembro de la VLAN principal pvlan100.
La VLAN comunitaria comm2 en el conmutador 2 también tiene ID de VLAN 50 y es miembro de la VLAN principal pvlan200.
La VLAN principal pvlan100 existe en ambos conmutadores.
Si el tráfico de comm1 se envía del conmutador 1 al conmutador 2, se enviará a los puertos que participan en comm2. (El tráfico también se reenviará a los puertos en comm1, como era de esperar).
Solución
Estos son comportamientos esperados.
Filtros de firewall de salida con VLAN privadas
Problema
Description
Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico sale con la etiqueta VLAN principal o la etiqueta VLAN aislada, como se indica a continuación:
Tráfico reenviado desde un puerto troncal de VLAN secundario a un puerto promiscuo (troncal o acceso)
Tráfico reenviado desde un puerto de troncalización de VLAN secundario que lleva una VLAN aislada a un puerto de troncalización de PVLAN.
Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal VLAN secundario
Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de VLAN secundario
Tráfico reenviado desde un puerto comunitario a un puerto promiscuo (troncal o acceso)
Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que sale con una etiqueta VLAN de comunidad, como se indica a continuación:
Tráfico reenviado desde un puerto troncal comunitario a un puerto troncal PVLAN
Tráfico reenviado desde un puerto de troncalización de VLAN secundario que lleva una VLAN de comunidad a un puerto de troncalización de PVLAN
Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal comunitario
Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal comunitario
Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplican los siguientes comportamientos:
El filtro se aplica al tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal de la comunidad (porque el tráfico sale con la etiqueta VLAN de la comunidad).
El filtro se aplica al tráfico reenviado desde un puerto de comunidad a un puerto troncal PVLAN (porque el tráfico sale con la etiqueta VLAN de comunidad).
El filtro no se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (porque el tráfico sale con la etiqueta VLAN principal o sin etiquetar).
Solución
Estos son comportamientos esperados. Sólo se producen si se aplica un filtro de firewall a una VLAN privada en la dirección de salida y no se producen si se aplica un filtro de firewall a una VLAN privada en la dirección de entrada.
Duplicación de puertos de salida con VLAN privadas
Problema
Description
Si crea una configuración de duplicación de puertos que refleja el tráfico de VLAN privada (PVLAN) en la salida, el tráfico reflejado (el tráfico que se envía al sistema del analizador) tiene la etiqueta VLAN de la VLAN de entrada en lugar de la VLAN de salida. Por ejemplo, supongamos la siguiente configuración de PVLAN:
Puerto troncal promiscuo que transporta VLAN principales pvlan100 y pvlan400.
Puerto de acceso aislado que lleva VLAN secundaria aislada200. Esta VLAN es miembro de la VLAN principal pvlan100.
Puerto de comunidad que transporta la VLAN secundaria comm300. Esta VLAN también es miembro de la VLAN principal pvlan100.
Interfaz de salida (interfaz de monitor) que se conecta al sistema del analizador. Esta interfaz reenvía el tráfico reflejado al analizador.
Si un paquete para pvlan100 entra en el puerto troncal promiscuo y sale en el puerto de acceso aislado, el paquete original se desetiqueta al salir porque está saliendo en un puerto de acceso. Sin embargo, la copia reflejada conserva la etiqueta para pvlan100 cuando se envía al analizador.
Aquí hay otro ejemplo: Si un paquete para comm300 ingresa en el puerto comunitario y sale en el puerto troncal promiscuo, el paquete original lleva la etiqueta pvlan100 al salir, como se esperaba. Sin embargo, la copia reflejada conserva la etiqueta para comm300 cuando se envía al analizador.
Solución
Este es el comportamiento esperado.