Juniper SSG5 VLAN設定
Juniper SSG5 VLAN設定
關於Trunk、Hybrid、Access、Tag、Untag、Pvid的關係與區別
一、相關定義
1、Trunk口,Trunk口上可以同時傳送多個VLAN的包,一般用於交換機之間的鏈結。
2、Hybrid口,Hybrid口上可以同時傳送多個VLAN的包,一般用於交換機之間的鏈結或交換機於伺服器的鏈
接。
3、Access口,Access口只能屬於1個VLAN,一般用於連接電腦的埠。
4、Tag和Untag,tag是指vlan的標籤,即vlan的id,用於指名資料包屬於那個vlan,untag指數據包不屬於任何vlan,沒有vlan標記。
5、pvid,即埠vlan id號,是非標記埠的vlan id 設定,當非標記資料包進入交換機,交換機將檢查vlan設定並決定是否進行轉發。一個ip包進入交換機埠的時候,如果沒有帶tag頭,且該埠上配置了
pvid,那麼,該資料包就會被打上相應的tag頭!如果進入的ip包已經帶有tag頭(vlan資料)的話,那麼交換機一般不會再增加tag頭,即使是 埠上配置了pvid號;當非標記資料包進入交換機。
二、埠的Tag和Untag
若某一埠在vlan設定中被指定為非標記埠untagged port, 所有從此埠轉發出的資料包上都沒有標記
(untagged)。若有標記的資料包進入交換機,則其經過非標記埠時,標記將被去除。因為目前眾多設備並不支援標記資料包,其也無法識別標記資料
包,因此,需要將與其連接的埠設定為非標記。
若某一埠在vlan設定中被指定為標記埠tagged port, 所有從此埠轉發出的資料包上都將有標記
(tagged)。若有非標記的資料包進入交換機,則其經過標記埠時,標記將被加上。此時,其將使用在ingress 埠上的pvid設定作為增加的標記中的vlan id號。
三、埠的封裝類型:ISL、802.1Q
ISL Trunk上所有的包都是tag的(Cisco專用);
802.1q 設計的時候為了相容與不支援VLAN的交換機混合部署,特地設計成可以不tag:但是只有一個VLAN允許不tag,這樣N個VLAN,(N-1)個都tag了,不tag的包一定是來自那個特殊VLAN的,所以不會亂套。(當然也可以所有VLAN都tag)
四、各埠收發資料的區別
埠類型
|
收發
|
描述
|
Access
|
收報文
|
判斷是否有VLAN資訊:如果沒有則打上埠的PVID,並進行交換轉發,如果有則直接丟棄(缺省)
|
發報文
|
將報文的VLAN資訊剝離,直接發送出去
|
|
Trunk
|
收報文
|
收到一個報文,判斷是否有VLAN資訊:如果沒有則打上埠的PVID,並進行交換轉發,如果有判斷該trunk埠是否允許該
VLAN的資料進入:如果可以則轉發,否則丟棄
|
發報文
|
比較埠的PVID和將要發送報文的VLAN資訊,如果兩者相等則剝離VLAN資訊,再發送,如果不相等則直接發送
|
|
Hybrid
|
收報文
|
收到一個報文判斷是否有VLAN資訊:如果沒有則打上埠的PVID,並進行交換轉發,如果有則判斷該hybrid埠是否允許該VLAN的資料進入:如果可以則轉發,否則丟棄
|
發報文
|
判斷該VLAN在本埠的屬性(disp interface 即可看到該埠對哪些VLAN是untag, 哪些VLAN是tag)如果是untag則剝離VLAN資訊,再發送,如果是tag則直接發送
|
________________
ssg5 vlan設定 sample_____________________
basic-firewall_cfg - vlan - 50_60 - 6subnet.txt
以下設定根據CD中之設定檔截取而來,歸類成三種設定方式如下
##設定vlan40,直接將vlan設置在ssg設備端口上
由於預設系統策略為deny all,所以只要將端口ethernet0/4加入安全區vlan40就能達到vlan的功能,每個安全區(zone) 之間是互不相通的,除非在策略(policy)中設定允許才行。
由於預設系統策略為deny all,所以只要將端口ethernet0/4加入安全區vlan40就能達到vlan的功能,每個安全區(zone) 之間是互不相通的,除非在策略(policy)中設定允許才行。
set zone id 100
"vlan40"
unset zone "vlan40"
tcp-rst
set interface
"ethernet0/4" zone "vlan40"
set interface ethernet0/4 ip
192.168.40.1/24
set interface ethernet0/4 route
set interface ethernet0/4 dhcp
server service
set interface ethernet0/4 dhcp
server enable
set interface ethernet0/4 dhcp
server option gateway 192.168.40.1 ##指定default gateway
set interface ethernet0/4 dhcp
server option netmask 255.255.255.0
set interface ethernet0/4 dhcp
server option dns1 168.95.1.1 ##指定dns
set interface ethernet0/4 dhcp
server ip 192.168.40.11 to 192.168.40.111 ##指定位址集
set policy id 2 name
"vlan40-untrust" from "vlan40" to "Untrust" "Any" "Any"
"ANY" permit
##設定vlan50 — 網路介面模式為nat,並設定tag
一般通常將介面模式設為route,在此示範nat模式,一旦將 介面模式設為nat,則您在策略設定中就必須加入nat src的設定,才能與外界溝通。
一般通常將介面模式設為route,在此示範nat模式,一旦將 介面模式設為nat,則您在策略設定中就必須加入nat src的設定,才能與外界溝通。
set zone id 101
"vlan50"
unset zone "vlan50"
tcp-rst
set interface
"ethernet0/5" zone "vlan50" ##為介面指定安全區
set interface
"ethernet0/5.1" tag 51 zone "vlan50" ##為子介面指定TAG及安全區
set interface "ethernet0/5.2"
tag 52 zone "vlan50"
set interface ethernet0/5.1 ip
192.168.51.1/24 ##為子介面指定IP
set interface ethernet0/5.1 nat ##設定子介面網路模式為NAT
set interface ethernet0/5.2 ip
192.168.52.1/24
set interface ethernet0/5.2 nat
set interface ethernet0/5.1 dhcp
server service ##為ethernet0/5二個子界面設定DHCP參數
set interface ethernet0/5.2 dhcp
server service
set interface ethernet0/5.1 dhcp
server enable
set interface ethernet0/5.2 dhcp
server enable
set interface ethernet0/5.1 dhcp
server option gateway 192.168.51.1 ##指定default gateway
set interface ethernet0/5.1 dhcp
server option netmask 255.255.255.0
set interface ethernet0/5.1 dhcp
server option dns1 168.95.1.1 ##指定dns
set interface ethernet0/5.2 dhcp
server option gateway 192.168.52.1
set interface ethernet0/5.2 dhcp
server option netmask 255.255.255.0
set interface ethernet0/5.2 dhcp
server option dns1 168.95.1.1
set interface ethernet0/5.1 dhcp
server ip 192.168.51.11 to 192.168.51.111 ##指定位址集
set interface ethernet0/5.2 dhcp
server ip 192.168.52.11 to 192.168.52.111
set policy id 3 name
"vlan50-untrust" from "vlan50" to "Untrust" "Any" "Any"
"ANY" nat src permit
/* 因為將子介面網路模式設定為NAT,所以policy必須設定nat src(來源位址轉譯)網路才會通。 */
##設定vlan60 — 網路介面模式為route,並設定tag
另外,ssg5一個介面(端口)只能設定一種介面模式哦。
另外,ssg5一個介面(端口)只能設定一種介面模式哦。
set zone id 102
"vlan60"
unset zone "vlan60"
tcp-rst
set interface
"ethernet0/6" zone "vlan60"
set interface
"ethernet0/6.1" tag 61 zone "vlan60"
set interface
"ethernet0/6.2" tag 62 zone "vlan60"
set interface ethernet0/6.1 ip
192.168.61.1/24
set interface ethernet0/6.1
route
set interface ethernet0/6.2 ip
192.168.62.1/24
set interface ethernet0/6.2
route
set interface ethernet0/6.1 dhcp
server service
set interface ethernet0/6.2 dhcp
server service
set interface ethernet0/6.1 dhcp
server enable
set interface ethernet0/6.2 dhcp
server enable
set interface ethernet0/6.1 dhcp
server option gateway 192.168.61.1
set interface ethernet0/6.1 dhcp
server option netmask 255.255.255.0
set interface ethernet0/6.1 dhcp
server option dns1 168.95.1.1
set interface ethernet0/6.2 dhcp
server option gateway 192.168.62.1
set interface ethernet0/6.2 dhcp
server option netmask 255.255.255.0
set interface ethernet0/6.2 dhcp
server option dns1 168.95.1.1
set interface ethernet0/6.1 dhcp
server ip 192.168.61.11 to 192.168.61.111
set interface ethernet0/6.2 dhcp
server ip 192.168.62.11 to 192.168.62.111
set policy id 4 name
"vlan60-untrust" from "vlan60" to "Untrust" "Any" "Any"
"ANY" permit
##讓vlan60能夠上網
若要讓vlan能夠互通,則要設定policy才行。
set policy id 5 from
"vlan50" to "vlan60"
"Any" "Any" "ANY" nat src permit
set policy id 6 from
"vlan60" to "vlan50"
"Any" "Any" "ANY" permit
________________子網路Swithces的vlan相關設定 _____________________
本範例為一8prots簡單網管型switches,簡單網管交換機預設端口1為溝通彙聚端口,且vlan 1無法被刪除。
首先要將交換機端口1與SSG5 ethernet0/5、ethernet0/6端口相連,SSG5端口已經設定好VLAN ID為51,52,61,62四個VLAN,並已經設定好DHCP,預設只要接入交換機的2,3,4,5埠,就能取得相對應的IP網段之IP。
當然,本例所使用的為一8prots簡單網管型switches,簡單網管交換機預設端口1為溝通彙聚端口(只有1個trunk port),所以您要vlan51,52能通,就得將SSG5 ethernet0/5與switches端口1連接;若您要vlan61,62能通,就得將SSG5 ethernet0/6與switches端口1連接;沒辦法,簡單網管交換機嘛!
若想要一條就能通全部,簡單,在ssg5將所有vlan51,52,61,62全部設在ethernet0/6端口即可,本例純屬示範網路介面模式nat、route而已。
另外,ssg5一個介面(端口)只能設定一種介面模式哦。
設定方法如下:
若想要一條就能通全部,簡單,在ssg5將所有vlan51,52,61,62全部設在ethernet0/6端口即可,本例純屬示範網路介面模式nat、route而已。
另外,ssg5一個介面(端口)只能設定一種介面模式哦。
設定方法如下:
端口1為接路由的VLAN彙聚口,端口2-5設定成VLAN
51,52,61,62,端口6-8用不到,設定成單獨VLAN
6。
首先,在VLAN ID號裏填51,VLAN 名可以任意(本例空白),然後埠1 選擇"Tagged",埠2選擇"Untagged",然後點擊"增加/修改"。
然後繼續設置VLAN52,61,62。設置完後結果如下:
VLAN ID 設置好之後,進入VLAN PVID埠設置,將埠的PVID 設置成跟VLAN ID 一致,接收幀格式為ALL,如下圖:
端口選擇 "Port 2",PVID填入51,允許類型選擇"所有",然後點擊"應用"。
其餘設定類推。
(PS:同一個VLAN的VLAN ID與PVID編號要設定一致,否則VLAN會不通,無論有無TAG標記都一樣不通) 
________________ 子網路Swithces的vlan相關設定 __________________end
