安全设备上处于交换模式的以太网端口 VLAN
了解安全设备上的 VLAN 重新标记
从 Junos OS 15.1X49-D40 版到 Junos OS 15.1X49-D60 版本不支持 VLAN 重新标记。
从 Junos OS 15.1X49-D70 版开始,SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备支持在交换模式下进行 VLAN 重试。
从 Junos OS 15.1X49-D80 版开始,SRX1500 设备支持在交换模式下进行 VLAN 重试。
要支持 SRX 系列设备上的 VLAN 重试,请在透明模式下配置 vlan-rewrite
,并在交换模式下配置 swap
。
到达第 2 层中继端口的数据包中的 VLAN 标识符可以使用不同的内部 VLAN 标识符重写或 重新标记 。VLAN 重新标记是一种对称操作;退出同一中继端口时,重新标记的 VLAN 标识符将替换为原始 VLAN 标识符。VLAN 重新标记提供了一种有选择地筛选传入数据包并将其重定向到防火墙或其他安全设备的方法,而不会影响其他 VLAN 流量。
VLAN 重新标记只能应用于配置为第 2 层中继接口的接口。这些接口可以在 机箱群集 配置中包含处于第 2 层透明模式的冗余以太网接口。
如果为 VLAN 重试配置了中继端口,则不会为端口上接收的未标记数据包分配 VLAN 重新标记配置的 VLAN 标识符。要为物理接口上接收的未标记数据包配置 VLAN 标识符,请使用 native-vlan-id
语句。
要为第 2 层中继接口配置 VLAN 重新标记,请指定以下一对一映射:
传入 VLAN 标识符 — 要重新标记的传入数据包的 VLAN 标识符。此 VLAN 标识符不能是使用中继端口语句
native-vlan-id
配置的相同 VLAN 标识符。内部 VLAN 标识符 — 重新标记数据包的 VLAN 标识符。此 VLAN 标识符必须位于中继端口的 VLAN 标识符列表中,并且不能与为中继端口的语句配置的
native-vlan-id
VLAN 标识符相同。
另请参阅
在安全设备的第 2 层中继接口上配置 VLAN 重新标记
VLAN 重新标记是一项适用于 IEEE 标准 802.1Q 虚拟 LAN 标记(VLAN 标记)的功能。SRX1500 设备的 VLAN 重试是一种企业风格的 VLAN 重试,其中,除了正常的中继配置,只需一个命令即可。
示例:在安全设备上配置访客 VLAN
此示例说明如何为有限网络访问或仅互联网访问配置访客 VLAN,以避免损害公司安全性。
从 Junos OS 15.1X49-D40 版到 Junos OS 15.1X49-D60 版,不支持访客 VLAN。
要求
开始之前,验证将使用的接口是否处于交换机模式。请参阅 示例:在安全设备上 配置交换模式,并 了解安全设备上的交换模式。
概述
在此示例中,您将配置 VLAN ID 为 300,称为访客 VLAN。然后,设置协议并将访客 VLAN 配置为访客 VLAN。
配置
程序
逐步过程
要配置访客 VLAN:
配置 VLAN。
[edit] user@host# set vlans visitor-vlan vlan-id 300
指定访客 VLAN。
[edit] user@host# set protocols dot1x authenticator interface all guest-vlan visitor-vlan
完成设备配置后,提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show vlans
和 show protocols dot1x
命令。