Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

VLAN de puerto Ethernet en modo de conmutación en dispositivos de seguridad

Descripción del reetiquetado de VLAN en dispositivos de seguridad

No se admite el reetiquetado de VLAN de Junos OS versión 15.1X49-D40 a Junos OS versión 15.1X49-D60.

A partir de Junos OS versión 15.1X49-D70, el reetiquetado de VLAN en modo de conmutación se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M.

A partir de Junos OS versión 15.1X49-D80, se admite el reetiquetado de VLAN en modo de conmutación en dispositivos SRX1500.

Para admitir el reetiquetado de VLAN en firewalls de la serie SRX, configure en modo transparente y configure en modo de conmutaciónvlan-rewrite.swap

El identificador de VLAN en los paquetes que llegan a un puerto troncal de capa 2 se puede reescribir o reetiquetar con un identificador de VLAN interno diferente. El reetiquetado de VLAN es una operación simétrica; al salir del mismo puerto de troncalización, el identificador de VLAN reetiquetado se sustituye por el identificador de VLAN original. El reetiquetado de VLAN proporciona una forma de examinar selectivamente los paquetes entrantes y redirigirlos a un firewall u otro dispositivo de seguridad sin afectar el resto del tráfico de VLAN.

El reetiquetado de VLAN solo se puede aplicar a interfaces configuradas como interfaces troncales de capa 2. Estas interfaces pueden incluir interfaces Ethernet redundantes en modo transparente de capa 2 dentro de una configuración de clúster de chasis .

Nota:

Si un puerto de troncalización está configurado para el reetiquetado de VLAN, a los paquetes sin etiquetar recibidos en el puerto no se les asigna un identificador de VLAN con la configuración de reetiquetado de VLAN. Para configurar un identificador de VLAN para paquetes sin etiquetar recibidos en la interfaz física, utilice la instrucción.native-vlan-id

Para configurar el reetiquetado de VLAN para una interfaz troncal de capa 2, especifique una asignación uno a uno de lo siguiente:

  • Identificador de VLAN entrante: identificador de VLAN del paquete entrante que se va a volver a etiquetar. Este identificador de VLAN no debe ser el mismo identificador de VLAN configurado con la instrucción para el puerto de troncalización.native-vlan-id

  • Identificador VLAN interno: identificador de VLAN para el paquete reetiquetado. Este identificador de VLAN debe estar en la lista de identificadores de VLAN para el puerto de troncalización y no debe ser el mismo identificador de VLAN configurado con la instrucción para el puerto de troncalización.native-vlan-id

Consulte también

Configuración del reetiquetado de VLAN en una interfaz troncal de capa 2 de un dispositivo de seguridad

El reetiquetado de VLAN es una característica que funciona en el etiquetado de LAN virtual 802.1Q estándar IEEE (etiquetado VLAN. El reetiquetado de VLAN para dispositivos SRX1500 es un estilo empresarial de reetiquetado de VLAN, en el que un solo comando es suficiente sobre la configuración normal del troncal.

  1. Cree una interfaz de troncalización de capa 2.
  2. Configure el reetiquetado de VLAN.

Ejemplo: Configuración de una VLAN de invitado en un dispositivo de seguridad

En este ejemplo se muestra cómo configurar una VLAN invitada para el acceso limitado a la red o para el acceso solo a Internet para evitar comprometer la seguridad de una empresa.

Las VLAN de invitado no son compatibles con Junos OS versión 15.1X49-D40 a Junos OS versión 15.1X49-D60.

Descripción general

En este ejemplo, se configura una VLAN denominada visitor-vlan con un ID de VLAN de 300. A continuación, debe establecer los protocolos y configurar visitor-vlan como VLAN invitada.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar una VLAN invitada:

  1. Configure una VLAN.

  2. Especifique la VLAN de invitado.

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba los comandos y .show vlansshow protocols dot1x