Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

安全设备上处于交换模式的以太网端口 VLAN

了解安全设备上的 VLAN 重新标记

从 Junos OS 版本 15.1X49-D40 到 Junos OS 版本 15.1X49-D60,不支持 VLAN 重新标记。

从 Junos OS 版本 15.1X49-D70 开始,SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备支持交换模式下的 VLAN 重新标记。

从 Junos OS 15.1X49-D80 版开始,SRX1500 设备上都支持交换模式下的 VLAN 重新标记。

要在 SRX 系列防火墙上支持 VLAN 重新标记,请在透明模式下配置vlan-rewrite,并在交换模式下配置swap

到达第 2 层中继端口的数据包中的 VLAN 标识符可以重写或使用不同的内部 VLAN 标识符重新 标记 。VLAN 重新标记是一种对称操作;退出同一中继端口后,重新标记的 VLAN 标识符将替换为原始 VLAN 标识符。VLAN 重新标记提供了一种有选择地筛选传入数据包并将其重定向到防火墙或其他安全设备的方法,而不会影响其他 VLAN 流量。

VLAN 重新标记只能应用于配置为第 2 层中继接口的接口。这些接口可以包括 机箱群集 配置中第 2 层透明模式下的冗余以太网接口。

注:

如果为中继端口配置了 VLAN 重新标记,则不会通过 VLAN 重新标记配置为在该端口上收到的未标记数据包分配 VLAN 标识符。要为物理接口上接收的未标记数据包配置 VLAN 标识符,请使用 native-vlan-id 语句。

要为第 2 层中继接口配置 VLAN 重新标记,请指定以下内容的一对一映射:

  • 传入 VLAN 标识符 — 要重新标记的传入数据包的 VLAN 标识符。此 VLAN 标识符不能与使用中继端口语句配置 native-vlan-id 的 VLAN 标识符相同。

  • 内部 VLAN 标识符 — 重新标记数据包的 VLAN 标识符。此 VLAN 标识符必须位于中继端口的 VLAN 标识符列表中,并且不得与使用中继端口语句配置 native-vlan-id 的 VLAN 标识符相同。

另请参阅

在安全设备的第 2 层中继接口上配置 VLAN 重新标记

VLAN 重新标记是一项适用于 IEEE 标准 802.1Q 虚拟 LAN 标记(VLAN 标记。SRX1500设备的 VLAN 重新标记是一种企业风格的 VLAN 重新标记,在正常中继配置之上,单个命令就足够了。

  1. 创建一个第 2 层中继接口。
  2. 配置 VLAN 重新标记。

示例:在安全设备上配置访客 VLAN

此示例说明如何将访客 VLAN 配置为受限网络访问或仅互联网访问,以避免损害公司的安全。

从 Junos OS 版本 15.1X49-D40 到 Junos OS 版本 15.1X49-D60,不支持访客 VLAN。

要求

开始之前,请验证将使用的接口是否处于交换机模式。请参阅 示例:配置安全设备上 的交换模式和 了解安全设备上的交换模式

概述

在此示例中,您将配置一个名为访客-VLAN 的 VLAN,其 VLAN ID 为 300。然后设置协议并将访客 VLAN 配置为访客 VLAN。

配置

程序

分步过程

要配置访客 VLAN:

  1. 配置 VLAN。

  2. 指定访客 VLAN。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show vlansshow protocols dot1x 命令。