Ethernet-Port-VLANs im Switching-Modus auf Sicherheitsgeräten
Grundlegendes zum VLAN-Retagging auf Sicherheitsgeräten
VLAN-Retagging wird von Junos OS Version 15.1X49-D40 bis Junos OS Version 15.1X49-D60 nicht unterstützt.
Ab Junos OS Version 15.1X49-D70 wird das VLAN-Retagging im Switching-Modus auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten unterstützt.
Ab Junos OS Version 15.1X49-D80 wird das VLAN-Retagging im Switching-Modus auf SRX1500 Geräten unterstützt.
Um das VLAN-Retagging auf Firewallsvlan-rewrite
der SRX-Serie zu unterstützen, konfigurieren Sie im transparenten Modus und konfigurieren Sie im Switching-Modus.swap
Die VLAN-Kennung in Paketen, die an einem Layer-2-Trunk-Port ankommen, kann umgeschrieben oder mit einer anderen internen VLAN-Kennung versehen werden. VLAN-Retagging ist ein symmetrischer Vorgang. Beim Verlassen desselben Trunk-Ports wird die neu getaggte VLAN-Kennung durch die ursprüngliche VLAN-Kennung ersetzt. VLAN-Retagging bietet eine Möglichkeit, eingehende Pakete selektiv zu überprüfen und an eine Firewall oder ein anderes Sicherheitsgerät umzuleiten, ohne den anderen VLAN-Datenverkehr zu beeinträchtigen.
VLAN-Retagging kann nur auf Schnittstellen angewendet werden, die als Layer-2-Trunk-Schnittstellen konfiguriert sind. Diese Schnittstellen können redundante Ethernet-Schnittstellen in einem transparenten Layer-2-Modus innerhalb einer Chassis-Cluster-Konfiguration umfassen.
Wenn ein Trunk-Port für VLAN-Retagging konfiguriert ist, wird den am Port empfangenen nicht getaggten Paketen mit der VLAN-Retagging-Konfiguration keine VLAN-Kennung zugewiesen. Verwenden Sie die Anweisung, um eine VLAN-Kennung für nicht getaggte Pakete zu konfigurieren, die auf der physischen Schnittstelle empfangen werden.native-vlan-id
Um das VLAN-Retagging für eine Layer-2-Trunk-Schnittstelle zu konfigurieren, geben Sie eine Eins-zu-Eins-Zuordnung der folgenden Optionen an:
Incoming VLAN identifier (Eingehende VLAN-Kennung): VLAN-Kennung des eingehenden Pakets, das neu getaggt werden soll. Bei dieser VLAN-Kennung darf es sich nicht um dieselbe VLAN-Kennung handeln, die mit der Anweisung für den Trunk-Port konfiguriert wurde.
native-vlan-id
Internal VLAN identifier (Interne VLAN-Kennung): VLAN-Kennung für das neu getaggte Paket. Diese VLAN-Kennung muss sich in der VLAN-ID-Liste für den Trunk-Port befinden und darf nicht dieselbe VLAN-Kennung sein, die mit der Anweisung für den Trunk-Port konfiguriert wurde.
native-vlan-id
Siehe auch
Konfigurieren des VLAN-Retaggings auf einer Layer-2-Trunk-Schnittstelle eines Sicherheitsgeräts
VLAN-Retagging ist eine Funktion, die auf dem IEEE-Standard 802.1Q Virtual LAN-Tagging (VLAN-Tagging. VLAN-Retagging für SRX1500 Geräte ist eine Art VLAN-Retagging im Unternehmensstil, bei dem ein einziger Befehl zusätzlich zur normalen Trunk-Konfiguration ausreicht.
Beispiel: Konfigurieren eines Gast-VLANs auf einem Sicherheitsgerät
Dieses Beispiel zeigt, wie Sie ein Gast-VLAN für eingeschränkten Netzwerkzugriff oder für reinen Internetzugriff konfigurieren, um die Sicherheit eines Unternehmens nicht zu gefährden.
Gast-VLANs werden von Junos OS Version 15.1X49-D40 bis Junos OS Version 15.1X49-D60 nicht unterstützt.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass sich die zu verwendenden Schnittstellen im Switch-Modus befinden. Siehe Beispiel: Konfigurieren von Switching-Modi auf Sicherheitsgeräten und Verstehen von Switching-Modi auf Sicherheitsgeräten.Grundlegendes zum Umschalten der Modi auf Sicherheitsgeräten
Überblick
In diesem Beispiel konfigurieren Sie ein VLAN namens visitor-vlan mit der VLAN-ID 300. Anschließend legen Sie Protokolle fest und konfigurieren das Besucher-VLAN als Gast-VLAN.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Gast-VLAN:
Konfigurieren Sie ein VLAN.
[edit] user@host# set vlans visitor-vlan vlan-id 300
Geben Sie das Gast-VLAN an.
[edit] user@host# set protocols dot1x authenticator interface all guest-vlan visitor-vlan
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie die Befehle und ein.show vlans
show protocols dot1x