基于L3子网的VLAN隔离

Question

我有一个Juniper EX交换机，它从上游交换机的无标记端口接收3个子网(192.168.1~3.0/24) (我无法访问该交换机)。是否可以将EX交换机配置为在不同的VLAN上放置不同的子网？

我在交换机下的所有三个子网上都有主机，它们都连接到VLAN 10的访问端口。(上游端口也被配置为访问端口VLAN 10)。

例如，我希望VLAN 11只包含192.168.1.0/24流量，VLAN 12只包含192.168.2.0/24流量等等。我不知道怎么配置它。

ps。我的前交换机不是这三个子网的网关。

Answer 1

听起来你的处境很糟，还想让情况更糟。见鬼，我在玩游戏--下面这些应该会让你半途而废：

firewall {
    family ethernet-switching {
        filter SUBNET-TRAFFIC {
            term SUBNET-11 {
                from {
                    source-address {
                        192.168.1.0/24;
                    }
                }
                then vlan v11-NET11;
            }
            term SUBNET-12 {
                from {
                    source-address {
                        192.168.2.0/24;
                    }
                }
                then vlan v12-NET12;
            }
            term SUBNET-13 {
                from {
                    source-address {
                        192.168.3.0/24;
                    }
                }
                then vlan v13-NET13;
            }
        }
    }
}
interfaces {
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching {
                filter {
                    input SUBNET-TRAFFIC;
                }
            }
        }
    }
}

假设您的上行链路接口为ge-0/0/1，上述防火墙过滤器应捕获入口流量并将其发送到正确的VLAN (请记住将所有附加设备移动到正确的VLAN中)。

至于出口交通，那可不是件容易的事。Junos不允许您在单个出口接口上弹出多个VLAN的标记(这是有意义的，因为您不知道哪个VLAN发送入口流量)。