Juniper SRX210 路由 VLAN

Juniper SRX210 路由 VLAN

我有一台 Juniper SRX210,只使用 2 个端口

型号:srx210he-poe

JUNOS 软件版本 [11.4R2.14]

广域网

ge-0/0/0                up    up  
ge-0/0/0.0              up    up   inet     192.168.10.4/24

局域网

ge-0/0/1                up    up  
ge-0/0/1.0              up    up   eth-switch

vlan                    up    up  
vlan.0                  up    up   inet     192.168.1.1/24 

我想在 3 个 VLAN 上添加内部可路由 IP 空间

VLAN 101 - 192.168.70.1/24
VLAN 102 - 10.10.0.1/24
VLAN 103 - 10.10.10.1/24

我的桌面位于 192.168.1.22。我希望能够从我的桌面访问这三个 VLAN,因为我已在上述 IP 空间中部署了服务器和存储。我已阅读了有关虚拟路由器和创建可路由子网的各种文档,但似乎没有一个适用于此配置,或者我根本无法理解。我也不想使用其他 6 个接口,因为它们只有 10/100。它用于分支机构中的 OpenStack 实验室部署,需要标记的 VLAN。问题出现在此特定设备只有 2 个 GigE 端口时,一个是网关 WAN,另一个是连接到 Extreme Summit 400-48T 的端口。因此我实际上只有 1 个可用端口可以中继到山顶,并且我需要 3 个标记的 vlan 101、102、103,但是我似乎无法容纳它,从我阅读的和在虚拟路由器、中继端口和 vlan 上尝试的所有内容来看,似乎没有什么能完成我所做的事情,并且 OpenStack 需要标记的 vlan 才能正常工作,我认为环境很简单。

希望实现

ge-0/0/1                up    up  
ge-0/0/1.0              up    up   eth-switch

vlan                    up    up  
vlan.0                  up    up   inet     192.168.1.1/24
vlan.101 - 192.168.0.1/24
vlan.102 - 10.10.0.1/24
vlan.103 - 172.16.10.1/24

答案1

我不会在这里给出确切的命令,只会给出您需要完成的任务和需要了解的事情的原则。

  • 您真的在使用 VLAN 吗?如何使用?在交换机上?桌面上的单个接口上有多个 IP?

  • 这是一个防火墙,除非您降级到 Junox 9.x,否则您可能需要进行防火墙策略调整和 NAT 调整

  • 你可以给 VLAN.0 多个 IP 地址,如果你在其他地方也这么做,那当然可行

  • 最好创建更多 VLAN,并将端口变为中继,但连接到另一端的设备必须适应 VLAN 标签

更清楚地描述您的设置,我会给您更具体的答案。

现在编辑:

步骤 1:定义 VLAN(第 2 层配置)

set vlans vlan101 vlan-id 101 description mytexthere
set vlans vlan102 vlan-id 102 description mytexthere
set vlans vlan103 vlan-id 103 description mytexthere

步骤 2:定义所述 VLAN 的 L3 接口

set interfaces vlan unit 101 family inet address 192.168.70.1/24
set interfaces vlan unit 102 family inet address 10.10.0.1/24
set interfaces vlan unit 103 family inet address 172.16.10.1/24

步骤 3:将 L3 接口分配给安全区域

设置安全区域安全区域信任接口 vlan.101 设置安全区域安全区域信任接口 vlan.102 设置安全区域安全区域信任接口 vlan.103

步骤 4:确保存在允许区域内流量的策略

set security policies from-zone trust to-zone trust policy default-permit match source-address any
set security policies from-zone trust to-zone trust policy default-permit match destination-address any
set security policies from-zone trust to-zone trust policy default-permit match application any
set security policies from-zone trust to-zone trust policy default-permit then permit

步骤 5:配置端口中继,并将其他 VLAN 标记到其中

set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan101
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan102
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan103

相关内容