Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Ethernet-Port-VLANs im Switching-Modus auf Sicherheitsgeräten

Grundlegendes zum VLAN-Retagging auf Sicherheitsgeräten

VLAN-Retagging wird von Junos OS Version 15.1X49-D40 bis Junos OS Version 15.1X49-D60 nicht unterstützt.

Ab Junos OS Version 15.1X49-D70 wird das VLAN-Retagging im Switching-Modus auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten unterstützt.

Ab Junos OS Version 15.1X49-D80 wird das VLAN-Retagging im Switching-Modus auf SRX1500 Geräten unterstützt.

Um das VLAN-Retagging auf Firewallsvlan-rewrite der SRX-Serie zu unterstützen, konfigurieren Sie im transparenten Modus und konfigurieren Sie im Switching-Modus.swap

Die VLAN-Kennung in Paketen, die an einem Layer-2-Trunk-Port ankommen, kann umgeschrieben oder mit einer anderen internen VLAN-Kennung versehen werden. VLAN-Retagging ist ein symmetrischer Vorgang. Beim Verlassen desselben Trunk-Ports wird die neu getaggte VLAN-Kennung durch die ursprüngliche VLAN-Kennung ersetzt. VLAN-Retagging bietet eine Möglichkeit, eingehende Pakete selektiv zu überprüfen und an eine Firewall oder ein anderes Sicherheitsgerät umzuleiten, ohne den anderen VLAN-Datenverkehr zu beeinträchtigen.

VLAN-Retagging kann nur auf Schnittstellen angewendet werden, die als Layer-2-Trunk-Schnittstellen konfiguriert sind. Diese Schnittstellen können redundante Ethernet-Schnittstellen in einem transparenten Layer-2-Modus innerhalb einer Chassis-Cluster-Konfiguration umfassen.

HINWEIS:

Wenn ein Trunk-Port für VLAN-Retagging konfiguriert ist, wird den am Port empfangenen nicht getaggten Paketen mit der VLAN-Retagging-Konfiguration keine VLAN-Kennung zugewiesen. Verwenden Sie die Anweisung, um eine VLAN-Kennung für nicht getaggte Pakete zu konfigurieren, die auf der physischen Schnittstelle empfangen werden.native-vlan-id

Um das VLAN-Retagging für eine Layer-2-Trunk-Schnittstelle zu konfigurieren, geben Sie eine Eins-zu-Eins-Zuordnung der folgenden Optionen an:

  • Incoming VLAN identifier (Eingehende VLAN-Kennung): VLAN-Kennung des eingehenden Pakets, das neu getaggt werden soll. Bei dieser VLAN-Kennung darf es sich nicht um dieselbe VLAN-Kennung handeln, die mit der Anweisung für den Trunk-Port konfiguriert wurde.native-vlan-id

  • Internal VLAN identifier (Interne VLAN-Kennung): VLAN-Kennung für das neu getaggte Paket. Diese VLAN-Kennung muss sich in der VLAN-ID-Liste für den Trunk-Port befinden und darf nicht dieselbe VLAN-Kennung sein, die mit der Anweisung für den Trunk-Port konfiguriert wurde.native-vlan-id

Siehe auch

Konfigurieren des VLAN-Retaggings auf einer Layer-2-Trunk-Schnittstelle eines Sicherheitsgeräts

VLAN-Retagging ist eine Funktion, die auf dem IEEE-Standard 802.1Q Virtual LAN-Tagging (VLAN-Tagging. VLAN-Retagging für SRX1500 Geräte ist eine Art VLAN-Retagging im Unternehmensstil, bei dem ein einziger Befehl zusätzlich zur normalen Trunk-Konfiguration ausreicht.

  1. Erstellen Sie eine Layer-2-Trunk-Schnittstelle.
  2. Konfigurieren Sie das VLAN-Retagging.

Beispiel: Konfigurieren eines Gast-VLANs auf einem Sicherheitsgerät

Dieses Beispiel zeigt, wie Sie ein Gast-VLAN für eingeschränkten Netzwerkzugriff oder für reinen Internetzugriff konfigurieren, um die Sicherheit eines Unternehmens nicht zu gefährden.

Gast-VLANs werden von Junos OS Version 15.1X49-D40 bis Junos OS Version 15.1X49-D60 nicht unterstützt.

Anforderungen

Bevor Sie beginnen, stellen Sie sicher, dass sich die zu verwendenden Schnittstellen im Switch-Modus befinden. Siehe Beispiel: Konfigurieren von Switching-Modi auf Sicherheitsgeräten und Verstehen von Switching-Modi auf Sicherheitsgeräten.Grundlegendes zum Umschalten der Modi auf Sicherheitsgeräten

Überblick

In diesem Beispiel konfigurieren Sie ein VLAN namens visitor-vlan mit der VLAN-ID 300. Anschließend legen Sie Protokolle fest und konfigurieren das Besucher-VLAN als Gast-VLAN.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So konfigurieren Sie ein Gast-VLAN:

  1. Konfigurieren Sie ein VLAN.

  2. Geben Sie das Gast-VLAN an.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie die Befehle und ein.show vlansshow protocols dot1x