Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全设备上的交换模式中的以太网端口 Vlan

了解安全设备上的 VLAN Retagging

不支持从 Junos OS Release 15.1 X 49-D40 到 Junos OS 版本 15.1 X 49-D 60 的 VLAN retagging。

从 Junos OS Release 15.1 X 49-D 70,SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备支持 VLAN retagging 切换模式。

从 Junos OS Release 15.1 X 49-D80 中开始,SRX1500 设备上支持 VLAN retagging 切换模式。

要在 SRX 系列设备上支持 VLAN retagging, vlan-rewrite请在透明模式下swap配置并在交换模式中配置。

可使用不同的内部 VLAN 标识符重写或retagged到达第2层中继端口的数据包中的 VLAN 标识符。VLAN retagging 是一种对称操作;在退出同一个中继端口时,retagged VLAN 标识符将被原始 VLAN 标识符取代。VLAN retagging 提供了一种方法,可在不影响其他 VLAN 流量的情况下,有选择地将接收的屏幕数据包重定向到防火墙或其他安全设备。

VLAN retagging 只能应用于配置为第2层中继接口的接口。这些接口可在机箱集群配置内的第2层透明模式中包括冗余以太网接口。

注:

如果为 VLAN retagging 配置了中继端口,则未在端口上收到的未标记数据包将 VLAN 标识符分配给 VLAN retagging 配置。要为物理接口上接收的未标记数据包配置 VLAN 标识符,请使用native-vlan-id语句。

要为第2层中继接口配置 VLAN retagging,请指定以下各项的一对一映射:

  • 传入 VLAN 标识符— 要重标记的传入数据包的 VLAN 标识符。此 VLAN 标识符不得与为中继端口的native-vlan-id语句配置的相同 vlan 标识符相同。

  • 内部 VLAN 标识符 — 重新标记数据包的 VLAN 标识符。此 VLAN 标识符必须位于中继端口的 VLAN 标识符列表中,并且不得与配置有中继端口native-vlan-id语句的同一 VLAN 标识符相同。

在安全设备的第2层中继接口上配置 VLAN Retagging

VLAN retagging 是在 IEEE 标准 802.1 Q 虚拟 LAN 标记(VLAN 标记)上工作的功能。VLAN retagging for SRX1500 设备是 VLAN retagging 的企业风格,其中一个命令就足以在正常的中继配置之上找到。

  1. 创建第2层中继接口。
  2. 配置 VLAN retagging。

示例:在安全设备上配置访客 VLAN

此示例展示如何为有限的网络访问或仅访问互联网来配置访客 VLAN 以避免影响公司的安全。

不支持从 Junos OS Release 15.1 X 49-D40 到 Junos OS Release 15.1 X 49-D 60 的来宾 Vlan。

要求

开始之前,请验证将要使用的接口是否处于交换机模式。请参阅示例:在安全设备上配置切换模式,并了解安全设备上的交换模式

概述

在此示例中,您将配置一个称为访客端 vlan 的 VLAN,其 VLAN ID 为300。然后,设置协议并将访客-vlan 配置为访客 VLAN。

配置

操作

分步过程

要配置访客 VLAN:

  1. 配置 VLAN。

  2. 指定访客 VLAN。

  3. 如果您完成了设备配置,请提交配置。

针对

要验证配置是否正常工作,请输入show vlansshow protocols dot1x命令。